AUDITORIA INFORMATICA – OLVA COURIER UNIVERSIDAD NACIONAL DE MOQUEGUA
INTEGRANTES: ISABEL VILCA QUISPE JOSE LUIS CALLACONDO SHIRLEY MAMANI RODRIGUEZ DOCENTE: ALEX ZUÑIGA INCALLA
PC UNIVERSIDAD NACIONAL DE MOQUEGUA
AUDITORIA INFORMATICA – OLVA COURIER
INDICE Dedicatoria............................................................................................................................... 2 SOLICITUD DE AUDITORÍA INTERNA A LA EMPRESA OLVA CORIER.............................................. 3 PLANEACION DE LA AUDITORIA INFORMATICA.......................................................................... 6 1.1.
ORIGEN DE LA AUDITORIA: ................................................................................................ 7
1.2.
OBJETIVO GENERAL ............................................................................................................ 7
1.3.
OBJETIVOS ESPECIFICOS ..................................................................................................... 7
1.4.
ANTECEDENTES ................................................................................................................... 7
1.5.
ENFOQUE A UTILIZAR ....................................................................................................... 10
1.6.
PERSONAL A CARGO DE AUDITAR ................................................................................... 10
1.7.
CRONOGRAMA DE TRABAJO ............................................................................................ 11
Diagrama de actividades ................................................................................................. 13 Auditoria del hardware ................................................................................................... 14 1.8.
DOCUMENTOS A SOLICITAR ............................................................................................. 15
1.9.
AUTORIDADES DE LA EMPRESA OLVA CORIER ................................................................ 15
1.10.
PRINCIPALES ACTIVIDADES: .................................................................................. 15
1.11.
RECURSOS PARA LA AUDITORIA ........................................................................... 16
Humanos: ........................................................................................................................... 16 Materiales: ......................................................................................................................... 17 Tecnológicos. ...................................................................................................................... 17 1.12.
METODOLOGIA ............................................................................................................. 17
1.13.
ANALISIS FODA ............................................................................................................. 19
UNIVERSIDAD NACIONAL DE MOQUEGUA 1
AUDITORIA INFORMATICA – OLVA COURIER
Dedicatoria Por este medio agradecemos a OLVA COURIER por permitir realizar nuestro trabajo dentro de sus instalaciones, así permitirnos obtener experiencia como auditores en informática. Apreciamos la confianza que nos brindaron, brindando todo lo que necesitábamos para la elaboración del documento, tiempo, información, etc.
UNIVERSIDAD NACIONAL DE MOQUEGUA 2
AUDITORIA INFORMATICA – OLVA COURIER
SOLICITUD DE AUDITORÍA INTERNA A LA EMPRESA OLVA CORIER
En Ilo, a 2 de Diciembre de 2013. Yo, José Luis Callacondo, mayor de edad, con DNI 47014048, en condición de alumno de la Universidad Nacional de Moquegua de la carrera profesional ingeniería de sistemas e informática del VIII ciclo. EXPONE: 1) Que según la Norma ISO (Organización Internacional de Normalización) 9001:2008, de Gestión y Aseguramiento de la Calidad, el centro se encuentra en fase de implantación del Sistema General de Calidad. 2) Que de acuerdo en lo establecido en la Normas del Área de Informática, sobre Seguimiento y medición, es preceptivo la realización de la Auditoría Interna. Es por ello que a la Empresa OLVA CORIER SOLICITA:
Que para la realización de dicha Auditoría del año 2013 se envíe a los pertinentes Auditores Internos de la empresa.
Que la realización de la Auditoría Interna en el centro al que representa se realice en el mes de Diciembre y preferentemente en el día de la semana 16 al 28 .
Que no se realice la Auditoría Interna en su centro los días Sábados ni Domingos
UNIVERSIDAD NACIONAL DE MOQUEGUA 3
AUDITORIA INFORMATICA – OLVA COURIER
Asimismo, el centro asume el compromiso de cumplir con las pautas que se le indiquen y a la colaboración con el Auditor para la realización de sus funciones. Para que así conste, se solicita en forma y plazo 1 de Diciembre de 2013
---------------------------------ATT. José Luis Callacondo PRESIDENTE DE AUDITORIA INFORMÁTICA
---------------------------------ATT. Isabel Vilca Quispe AUDITORA INFORMATICA
---------------------------------ATT. Shirley Mamani Rodriguez AUDITORA INFORMATICA
UNIVERSIDAD NACIONAL DE MOQUEGUA 4
AUDITORIA INFORMATICA – OLVA COURIER
INTRODUCCIÓN
En la Actualidad los Sistemas Informáticos constituyen una herramienta
bastante
poderosa para la mejora de rendimiento de toda organización empresarial. Del mismo modo, no solo se trata de adquirir tecnología, sino que también es necesario saber darle el uso adecuado de acuerdo a los Requerimientos particulares de un determinado usuario o grupos usuarios. La Auditoría Informática, es un punto clave en este sentido, debido a que, si bien es cierto, ayuda a detectar errores y señalar fallas en determinadas áreas o procesos, su
objetivo
está
orientado
a
brindar soluciones,
planteando
métodos
y
procedimientos de control de los sistemas de información que son validos para cualquier empresa u organización por pequeña que esta sea. El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de información. Cabe resaltar que para la realización de una auditoria informática eficaz, es necesario entender a la empresa en su más amplio sentido, El presente informe, realizado por la empresa JC auditores, plantea un estudio profesional del los diversos factores que pueden estar influyendo en las operaciones de la empresa auditada “OLVA COURIER” a fin de brindar las soluciones y recomendaciones pertinentes.
UNIVERSIDAD NACIONAL DE MOQUEGUA 5
AUDITORIA INFORMATICA – OLVA COURIER
PLANEACION DE LA AUDITORIA INFORMATICA
UNIVERSIDAD NACIONAL DE MOQUEGUA 6
AUDITORIA INFORMATICA – OLVA COURIER AUDITORIA INFORMATICA AUDITORIA INFORMATICA A LA EMPRESA OLVA CORIER S.A.
1.1.
ORIGEN DE LA AUDITORIA: La presente Auditoria se realiza en el cumplimiento de las normas de seguridad en dicha área de acuerdo al estándar ISO 9000
1.2.
OBJETIVO GENERAL Supervisar el área de informática de la empresa , de igual manera revisar su utilización, eficiencia y seguridad para su previa participación en el procesamiento de la información, para que logre una utilización mas eficiente y segura información que servirá para una adecuada toma de decisiones.
1.3.
OBJETIVOS ESPECIFICOS
Evaluar el diseño de los equipos de computo del área de informática
Determinar la veracidad de la información del área de Informática
A analizar su estandarización y evaluar el cumplimiento de los mismos.
Evaluar la forma como se administran los dispositivos de almacenamiento básico del área de Informática
Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.
Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del área de cómputo.
1.4.
ANTECEDENTES El 23 de marzo de 1987, dos jóvenes empresarios decidieron fundar Olva & Asociados S.R.L., empresa de correo privado dirigida a especializarse exclusivamente al correo nacional. Hoy, nos hemos convertido en el courier más grande del Perú: OLVA COURIER.
UNIVERSIDAD NACIONAL DE MOQUEGUA 7
AUDITORIA INFORMATICA – OLVA COURIER Gracias al buen servicio, la conformidad y los mejores tiempos de entrega, servicios complementarios a nivel nacional, y la confianza que se generó entre nuestros clientes, es que entre los años 1990 y 1991, logramos una importante cartera de más de 600 clientes corporativos, pertenecientes a diversos sectores de negocio. Ya para 1996 nos habíamos convertido en una organización con 68 oficinas en todo el Perú, dedicadas al servicio de entregas, todas adecuadamente equipadas y con la debida infraestructura. Al nuevo milenio, ingresamos como una empresa sólida que cuenta con un almacén central de 3.300 m2, 14 locales de atención al público ubicados en distritos estratégicos de Lima, 270 oficinas en provincias y más de 200 unidades móviles que recorren todo el país. En el 2011, continuando con nuestro espíritu de crecimiento, en OLVA COURIER iniciamos una nueva etapa al lanzar nuevas unidades de negocio: Olva Carga, Olva Export-Import, Olva TI; y una nueva línea de servicio de gestiones con cobertura nacional: verificaciones, cobranzas, trámites, firma de contratos, outsoursing, control de colas y auditoría de envíos masivos. Tras 25 años de experiencia, repotenciamos la marca y renovamos el logotipo e identidad corporativa. Nuestra red de oficinas se consolida siendo la única que permite brindar servicios de Lima a provincias, de provincias a Lima, entre provincias y locales, soportando una cartera de clientes corporativos superior a las 1,000 empresas y más de 2 millones de personas naturales, convirtiendo a OLVA COURIER en la empresa líder en el servicio courier en el país.
UNIVERSIDAD NACIONAL DE MOQUEGUA 8
AUDITORIA INFORMATICA – OLVA COURIER
UNIVERSIDAD NACIONAL DE MOQUEGUA 9
AUDITORIA INFORMATICA – OLVA COURIER 1.5.
ENFOQUE A UTILIZAR La presente acción de control, se realiza de acuerdo con el organismo central y rector de los Sistemas Nacionales de Estadística e Informática, responsable de normar, supervisar y evaluar los métodos, procedimientos y técnicas estadísticas e informáticas utilizados por los órganos del Sistema INEI (Instituto Nacional de Estadística e Informática), Normas Internacionales de Auditoria (NIA); habiéndose aplicado procedimientos de Auditoria que se consideraron necesarios de acuerdo a las circunstancias. Esta acción se realizara de acuerdo al objetivo de la auditoria informática tomando en cuenta que cada uno de los integrantes del equipo participaremos como responsables cumpliendo ciertas condiciones las cuales son supervisar y evaluar los procedimientos y técnicas informáticas utilizadas en esta institución. Habiendo así aplicado los procedimientos de auditoria que se consideren necesarios de acuerdo a las circunstancias. La presente Auditoria Informática se realizara en la empresa OLVA CORIER, ubicada en el Distrito de Ilo, Departamento de Moquegua, siendo el área a examinarse la de Informática.
1.6.
PERSONAL A CARGO DE AUDITAR
ORGANIZACIÓN QUE LLEVA LA AUDITORIA
JEFE AUDITOR: JOSE LUIS CALLACONDO
AUDITOR: ISABEL VILCA QUISPE
AUDITOR: SHIRLEY MAMANI ROGRIGUEZ
UNIVERSIDAD NACIONAL DE MOQUEGUA 10
AUDITORIA INFORMATICA – OLVA COURIER 1.7.
CRONOGRAMA DE TRABAJO PROGRAMA DE AUDITORIA Empresa: Olva Courier S.A.
FASE
ACTIVIDAD
HORAS
ENCARGADOS
ESTIMADAS 1
Planificar
16-19 de
-Ing. Isabel Vilca
1.Solicitud de manuales y Documentación
diciembre
Quispe
2.Elaboracion de Cuestionarios
- Ing. José Luis
3.Recopilacion de la Información
Callacondo
4.Pistas de auditoria
- Ing. Shirley
5.Obtencion para evidencia de auditoria
Mamani Rodríguez
6.Reconocimiento de factores internos de la entidad a auditar
2
Ejecutar
20-27 de
-Ing. Isabel Vilca
1.Aplicaciones del cuestionario al Personal
diciembre
Quispe
2.Analisis de las claves de acceso y control
- Ing. José Luis
seguridad, confiabilidad y respaldos
Callacondo
3.Evaluacion de los sistemas; relevamiento
- Ing. Shirley
de hardware y software, evaluación del
Mamani Rodríguez
diseño lógico y del desarrollo del sistema 4. Evaluación de la estructura orgánica de la empresa. 5. Evaluación del área informática y su flujo de trabajo. 6. Evaluación de las normas de seguridad en dicha entidad sobre posibles riesgos. 7.Evaluación del proceso de datos y de los equipos de cómputo: seguridad de los datos, control de operación seguridad física y procedimientos de respaldos
UNIVERSIDAD NACIONAL DE MOQUEGUA 11
AUDITORIA INFORMATICA – OLVA COURIER
3
verificar
27
1.Revision de papeles de trabajo y solicitud
diciembre
-Ing. Isabel Vilca Quispe - Ing. José Luis
de requerimientos 2.Determinacion
de
Callacondo
diagnóstico
Implicaciones
- Ing. Shirley
3.Elaboracion de carta de Gerencia
Mamani Rodríguez
4.Elaboracion
de
Borrador(Informe
Preliminar / Memorando) 4
Actuar
28-
1.Elaboracion y presentación del Informe 2.Seguimiento
diciembre
-Ing. Isabel Vilca Quispe - Ing. José Luis Callacondo - Ing. Shirley Mamani Rodríguez
UNIVERSIDAD NACIONAL DE MOQUEGUA 12
AUDITORIA INFORMATICA – OLVA COURIER
Diagrama de actividades
UNIVERSIDAD NACIONAL DE MOQUEGUA 13
AUDITORIA INFORMATICA – OLVA COURIER
Auditoria del hardware
UNIVERSIDAD NACIONAL DE MOQUEGUA 14
AUDITORIA INFORMATICA – OLVA COURIER
1.8.
1.9.
DOCUMENTOS A SOLICITAR
Políticas, estándares, normas y procedimientos.
Plan de sistemas.
Planes de seguridad y continuidad
Contratos, pólizas de seguros.
Organigrama y manual de funciones.
Manuales de sistemas.
Registros
Entrevistas
Archivos
Requerimientos de Usuarios
AUTORIDADES DE LA EMPRESA OLVA CORIER DIRECTOR
VASQUEZ LOPEZ GUSTAVO
DIRECTOR ADMINISTRATIVO
VASQUEZ VELA ROSA MERCEDES
DIRECTOR GERENTE
VASQUEZ VELA ANDERSON
1.10. PRINCIPALES ACTIVIDADES: Olva Courier ofrece los siguientes servicios: 1) Soluciones courier: - Recojo y entrega a domicilio. - Retorno de cargos adjuntos y guías de remisión. - Embalaje sin costo y embalaje especial. - Reporte UNIVERSIDAD NACIONAL DE MOQUEGUA 15
AUDITORIA INFORMATICA – OLVA COURIER de entregas diarias, semanales o mensuales. - Sistema de comunicación en tiempo real entre todas las oficinas. 2) Soluciones logísticas: - Servicio de carga. - Compras urgentes. 3) Transferencias de dinero. 4) Outsourcing: * Municipalidad: - Partida de matrimonio. - Partida de nacimiento.
*
Notarías: - Copia de minuta. - Carta notarial. * Licitaciones: - Compra de bases. - Concursos públicos. - Adjudicaciones directas. * Essalud/Red asistencial: - Cobranzas de cheque. - Recojo de muestras. Recojo de comprobantes de retención.
- Compra de bases.
* Iglesias: - Partida de confirmación. - Partida de primera comunión.
-
Partida de bautizo. - Partida de matrimonio. * Ministerio de educación: - Certificado de estudios.
- Compra de
formatos de título. * Colegios: - Certificado de estudios. * SUNARP: -Títulos de propiedad. - Título vehicular.
- Tarjetas de
propiedad. - Duplicado de tarjetas de propiedad
1.11. RECURSOS PARA LA AUDITORIA Humanos:
Auditor principal.
Asesores.
UNIVERSIDAD NACIONAL DE MOQUEGUA 16
AUDITORIA INFORMATICA – OLVA COURIER Materiales:
Materiales de escritorio y oficina.
Fotocopias.
Pendrive (USB).
Computadora de escritorio.
Cartuchos de tinta.
Tecnológicos.
1.12.
Paquete Office.
Internet Speedy 4MB
Telefonía
Impresora multifuncional.
Laptops.
METODOLOGIA La metodología de investigación a utilizar en el proyecto se presenta a continuación: Para la evaluación del Área de Informática se llevarán a cabo las siguientes actividades: Solicitud de los estándares utilizados y programa de trabajo Aplicación del cuestionario al personal Análisis y evaluación del a información Elaboración del informe Para la evaluación de los sistemas tanto en operación como en desarrollo se llevarán a cabo las siguientes actividades: o Solicitud del análisis y diseño del os sistemas en desarrollo y en operación
UNIVERSIDAD NACIONAL DE MOQUEGUA 17
AUDITORIA INFORMATICA – OLVA COURIER o
Solicitud de la documentación de los sistemas en operación (manuales técnicos, de operación del usuario, diseño de archivos y programas)
o
Recopilación y análisis de los procedimientos administrativos de cada sistema (flujo de información, formatos, reportes y consultas)
o
Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos
o
Análisis del avance de los proyectos en desarrollo, prioridades y personal asignado
o
Entrevista con los usuarios de los sistemas
o
Evaluación directa de la información obtenida contra las necesidades y equerimientos del usuario
o
Análisis objetivo de la estructuración y flujo de los programas
o
Análisis y evaluación de la información recopilada
o
Elaboración del informe
Para la evaluación de los equipos se llevarán a cabo las siguientes actividades: o Solicitud de los estudios de viabilidad y características de los equipos actuales, proyectos sobre ampliación de equipo, su actualización o
Solicitud de contratos de compra y mantenimientos de equipo y sistemas
o
Solicitud de contratos y convenios de respaldo
o
Solicitud de contratos de Seguros
o
Elaboración de un cuestionario sobre la utilización de equipos, memoria, archivos, unidades de entrada/salida, equipos periféricos y su seguridad
o
Visita técnica de comprobación de seguridad física y lógica de la instalaciones de la Dirección de Informática
o
Evaluación técnica del sistema electrónico y ambiental de los equipos y del local utilizado
o
Evaluación de la información recopilada, obtención de gráficas, porcentaje de utilización de los equipos y su justificación
Elaboración y presentación del informe final ( conclusiones y recomendaciones)
UNIVERSIDAD NACIONAL DE MOQUEGUA 18
AUDITORIA INFORMATICA – OLVA COURIER 1.13. ANALISIS FODA Fortalezas o Disponibilidad de recursos económicos. o Personal Directivo y técnico con experiencia(sistemas computacionales) Oportunidades o Buen servicio y trato. Debilidades o Falta de planes y Programas Informáticos. o Escasa capacidad sobre conocimientos en informática o No existe programas de capacitación y actualización al personal o Personal técnico Calificado insuficiente en el área de computo Amenazas o sistemas obsoletos o falta de mantenimiento a los equipos o robo de material de trabajo de esta aula ANÁLISIS INTERNO
FORTALEZAS Tratamiento personalizado a clientes, orientación y asesoramiento. Integración de productos y servicios buscando sinergias entre ellos. Innovación Constante. Personal debidamente Capacitado y comprometido con la visión de la Organización.
DEBILIDADES Control de Almacén. Realizar grandes proyectos en el sector privado y público. Dependencia de los servicios subcontratados. Sistema de Información Integrado (Compras, ventas, Almacén y Kárdex).
ANÁLISIS EXTERNO OPORTUNIDADES AMENAZAS Valoración positiva de las TIC en la Oferta de productos a Organización. precio por parte de competencia. Costos cada vez menores para las Organizaciones para la aplicación de las La inestabilidad económica TIC. pobladores de la cuidad de Huaraz. Lealtad de los clientes hacia la Organización. Cambios repentinos de Sistemas Informáticos. Ubicación Céntrica del Local. Incremento de la Competencia.
menor la de los
los
UNIVERSIDAD NACIONAL DE MOQUEGUA 19
AUDITORIA INFORMATICA – OLVA COURIER
EJECUCION DE LA AUDITORIA INFORMATICA
UNIVERSIDAD NACIONAL DE MOQUEGUA 20
AUDITORIA INFORMATICA – OLVA COURIER
N°
TIPO DE HADWARE
Modelo
N° de Serie
Marca
Capaci dad/Ta maño
1
E-HDD
MK3200GAH
MK3200KHK
Toshiba
300GB
2
E-HDD
WD5000BEVT
N82E1682213631
Western
80GB
4
Digital
IBM
3
E-HDD
6L080M0
72N6L080M0
4
E-HDD
WD10EADS
WD10EADS123HK Western Z3
5
Desktop/Registro
6
7
8
Desktop/Estacion 1 Clone/Intel P I
Desktop/Estacion 2
Desktop/Server 1
160GB
Digital
Clone/AMDTur AMD2VK8000ion
80GB
AMD
2.0ghz
Intel
3.0Ghz
Intel
2.8GHz
Intel
1.8GHz
Intel
2.6GHz
200098X87UHDK
HP
2PCs
M20 Intel Grand i865P
V Intel
E
Clone/Intel P I
Intel Grand i865P
V Intel
E
Clone/Intel P
Intel dg41rq
IV 9
Rack/Server 2
DellPowerEdge Intel dual core R310
10
KVM
KVMDUAL2X7 54
11
LCD
HPL19540
LKJNHLCD19KN
HP
19
12
LCD
DLAV17YH
009768BJHD
DELL
17"
13
LCD
KHLN791917KJ 23409087NHYLKJ
DELL
17"
B
HN
14
LCD
HBJ15JJR
BB15NJKB
DELL
17"
15
LCD
KHSD15JHK
NDOUOAD1879
HP
19"
UNIVERSIDAD NACIONAL DE MOQUEGUA 21
AUDITORIA INFORMATICA – OLVA COURIER 16
Mouse Laser 1
KHHKLOGMB
JJBJJNLOG
Logitech
17
MouseLaser2
KHHKLOGMB
JJBJJNLOG
Logitech
18
Mouse Laser 3
KHHKLOGMB
JJBJJNLOG
Logitech
19
MouseLaser4
KHHKLOGMB
JJBJJNLOG
Logitech
20
Mouse Laser 5
KHHKLOGMB
JJBJJNLOG
Logitech
21
TECLADOESPAÑOL
KKKJBGVAGVJ
KKKJBGVAGVJ
Micronics
KKKJBGVAGVJ
JVVUJKMM
Micronics
KKKJBGVAGVJ
KKJBREVAGVB
Micronics
KKKJBGVAGVJ
KKURREVHGJI
Micronics
KKKJBGVAGVJ
JBFFUJIKMN
Micronics
1 22
TECLADOESPAÑOL 2
23
TECLADOESPAÑOL 3
24
TECLADOESPAÑOL 4
25
TECLADOESPAÑOL 5
27
Regulador Voltaje
RLV-1579001
RLVGFGFU
Manhattan
28
Regulador Voltaje
RLV-1579001
RLVGFGFU
Manhattan
29
Modem
30
Router
Tipos de hardware
UNIVERSIDAD NACIONAL DE MOQUEGUA 22
AUDITORIA INFORMATICA – OLVA COURIER Aplicaciones de software N°
Aplicaciones
Ubicación
Cantidad Descripción
1
Open Office 3.3
CD case 1
3
Aplicación Ofimática Libre
2
Office2010
CD Case 1
3
Aplicación Ofimática Sin
Control
licencia 3
Office2007
CD Case 1
3
Aplicación Ofimática Sin licencia
4
Microsoft Office XP
CD Case2
2
Aplicación Ofimática Sin licencia
5
Iwork
CD Case 1
2
Aplicación Ofimática Sin licencia
6
Neo Office
CD Case 2
2
Aplicación Ofimática Sin licencia
7
Microsoft Office
CD Case2
2
MAC 2008 8
AVG Anti-Virus
Aplicación Ofimática Sin licencia
CD Case 3
2
Aplicación de seguridad FreeWare
9
NOD32
CD Case 3
2
2Aplicación de seguridad Sin Licencia
10
Avast Antivirus
CD Case 3
2
Aplicación de seguridad Free Ware
11
Kaspersky Anti-Virus
CD Case 3
2
Aplicación de seguridad Sin Licencia
12
Avira AntiVir
CD Case 3
2
Aplicación de seguridad FreeWare
13
Adobe CS5 FullSuite
CD Case 3
1
Aplicación Diseño Sin licencia
14
Adobe CS4 FullSuite
CD Case 3
1
Aplicación Diseño Sin licencia
UNIVERSIDAD NACIONAL DE MOQUEGUA 23
AUDITORIA INFORMATICA – OLVA COURIER 15
Adobe CS3 FullSuite
CD Case 3
2
Aplicación Diseño Sin licencia
16
SD Fix malware
CD Case 3
3
Aplicacion antimalware Freeware
17
Flash Disinfector
CD Case 3
3
Aplicación anti malwareFreeware
18
Malware bytes
CD Case 3
2
aplicación antimalwareFreeware
19
Windows Seven
CD Case 3
5
aplicación sin licencia
20
Mac OS X
CD Case 3
3
aplicación sin licencia
UNIVERSIDAD NACIONAL DE MOQUEGUA 24
AUDITORIA INFORMATICA – OLVA COURIER AUDITORÍA FÍSICA ALCANCE Esta auditoría fue aplicada en todas las áreas que se encuentran en ejecución (Coordinación, Administración, recepción ) las mismas que operan en la oficina principal (Oficina Administrativa), puesto que en ella se encuentran los equipos de cómputo con los que dispone la empresa, y en donde se evaluará:
Organización y calificación del personal de Seguridad.
Planes y procedimientos de Seguridad y Protección
Sistemas técnicos de Seguridad y Protección.
Remodelar el ambiente de trabajo.
OBJETIVOS
Verificar la ubicación y seguridad de las instalaciones.
Determinar y evaluar la política de mantenimiento y distribución de los equipos.
Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
Verificar la seguridad del personal, datos, hardware, software e instalaciones
Revisión de políticas y normas sobre seguridad Física de los medios, como son: Edifico, Instalaciones, Equipamiento y Telecomunicaciones, Datos y Personas.
Verificar si la selección de equipos y Sistemas de computación es adecuada.
DESARROLLO DE LA AUDITORÍA SEGURIDAD FÍSICA Ubicación de la Oficina Central/Oficina administrativa
La oficina central se encuentra ubicada Ilo y no tienen previsto un local alternativo para cuando termine el convenio de cesión en uso con la misma. UNIVERSIDAD NACIONAL DE MOQUEGUA 25
AUDITORIA INFORMATICA – OLVA COURIER
En dicho ambiente se llevan a cabo operaciones de Coordinación, Administración y servicios.
Además, allí se encuentra almacenada toda la documentación concerniente a la empresa, en grandes folios apilados en estanterías.
De igual forma, todos los equipos de cómputo con los que cuenta la empresa, se encuentran en este ambiente.
Las ventanas superiores no poseen ninguna estructura metálica (Malla o enrejado) que proteja el acceso a personas no autorizadas y malintencionadas.
Seguridad General
De acuerdo a las observaciones realizadas en la oficina informatica, la ubicación de los equipos de computo no constituyen un inconveniente para los accesos y salidas de la misma, sin embargo, cabe resaltar que el servidor se encuentra en un lugar vulnerable.
UNIVERSIDAD NACIONAL DE MOQUEGUA 26
AUDITORIA INFORMATICA – OLVA COURIER
En lo referente a la seguridad eléctrica, los auditores, pudo verificar que cables no están debidamente colocados, pues están a la vista de todos de forma desorganizada, además, en los toma corrientes, existen varios cables sueltos, los cuales constituyen un riesgo y puede ocasionar desastres mayores.
Lo mismo ocurre con el cableado de red, para el cual no se ha previsto el uso de canaletas ni de caja toma datos.
Los equipos no reciben el mantenimiento debido; lo cual incrementa el riesgo e posible pérdida de información por averías serias en el equipo.
No disponen de un equipo contra incendios y mucho menos cuentan con la capacitación adecuada para el manejo de estos.
UNIVERSIDAD NACIONAL DE MOQUEGUA 27
AUDITORIA INFORMATICA – OLVA COURIER Plan de Contingencia De acuerdo con el Inventario de Documentos realizado en la empresa; los Auditores pudo verificar que muchos de los lineamientos del plan de Contingencia que poseen, no han sido ejecutados a la fecha. Control de accesos Puesto que se trata de un ambiente relativamente pequeño, no es imprescindible contar con un sistema para ello; todos los accesos son verificados en la entrada principal de la sede. Selección de personal El personal que labora en la empresa cuenta con los conocimientos indispensables para su labor, los cuales han sido seleccionados de una manera adecuada, tanto por concurso así como respectivas entrevistas Seguridad de datos Actualmente la duplicación y preservación de la información depende de la empresa quien es responsable de proteger su información contra pérdidas, modificación de las mismas y accesos a personal no autorizado.
UNIVERSIDAD NACIONAL DE MOQUEGUA 28
AUDITORIA INFORMATICA – OLVA COURIER DISTRIBUCIÓN Y MANTENIMIENTO DE EQUIPOS Distribución de los equipos informáticos No existen mayores dificultades, puesto que todos los equipos informáticos yacen en un mismo ambiente, y por cuyas dimensiones no son representa gran inconveniente. Mantenimiento de los equipos informáticos En cuanto a su mantenimiento no se cuenta con personal adecuado y capacitado para solucionar problemas en el mal funcionamiento del hardware, lo cual retrasa el trabajo del usuario del equipo afectado. Según
la
información
obtenida,
no
se
tiene
plan
o cronograma para el
mantenimiento de equipos, por lo que el mismo se da esporádicamente para lo cual se hace uso de servicios técnicos externos.
ENCUESTA: 1. ¿Se han adoptado medidas de seguridad en el departamento de sistemas de información? 2. ¿Existe una
persona
responsable de
la
seguridad?
UNIVERSIDAD NACIONAL DE MOQUEGUA 29
AUDITORIA INFORMATICA – OLVA COURIER 3. ¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad? 4. ¿Existe personal
de
vigilancia
en
la
institución?
5. ¿Existe una clara definición de funciones entre los puestos clave? 6. ¿Se
controla
el
trabajofuera de
horario?
7. ¿Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan dañar los sistemas?. 8. ¿Existe vigilancia en el departamento de cómputo las 24 horas? 9. ¿Se permite el
acceso a
los
archivos
y
programa a
los
programadores, analistas y operadores? 10. ¿Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda entrar sin autorización? 11. ¿El centro de cómputo tiene salida al exterior? 12. ¿Son controladas las visitas y demostraciones en el centro de cómputo? 13. ¿Se registra el acceso al departamento de cómputo de personas ajenas a la dirección de informática? 14. ¿Se vigilan la moral y comportamiento del personal de la dirección de informática con el fin de mantener una buena imagen y evitar un posible fraude? 15. ¿Se ha adiestrado el personal en el manejo de los extintores? 16. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? 17. ¿Si es que existen extintores automáticos son activador por detectores automáticos de fuego? 18. ¿Los
interruptores de
energía
están debidamente protegidos,
etiquetados y sin obstáculos para alcanzarlos? 19. ¿Saben que hacer los operadores del departamento de cómputo, en caso de que ocurra una emergencia ocasionado por fuego? 20. ¿El personal ajeno a operación sabe que hacer en el caso de una emergencia (incendio)? 21. ¿Existe salida de emergencia?
UNIVERSIDAD NACIONAL DE MOQUEGUA 30
AUDITORIA INFORMATICA – OLVA COURIER 22. ¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de esta puerta y de las ventanas, si es que existen? 23. ¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? 24. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del departamento de cómputo para evitar daños al equipo? 25. ¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe? 26. ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora? 27. ¿Se tienen establecidos procedimientos de actualización a estas copias? 28. ¿Existe departamento de auditoria interna en la institución? 29. ¿Este departamento de auditoria interna conoce todos los aspectos de los sistemas? 30. ¿Se cumplen? 31. ¿Se auditan los sistemas en operación? 32. Una vez efectuadas las modificaciones, ¿se presentan las pruebas a los interesados? 33. ¿Existe control estricto en las modificaciones? 34. ¿Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado? 35. ¿Si se tienen terminales conectadas, ¿se ha establecido procedimientos de operación? 36. ¿Se ha establecido que información puede ser acezada y por qué persona?
UNIVERSIDAD NACIONAL DE MOQUEGUA 31
AUDITORIA INFORMATICA – OLVA COURIER AUDITORIA OFIMATICA ALCANCE La auditoria Ofimática fue aplicada en todas las áreas que se encuentran en aplicación (coordinación, administración, unidad de investigación, unidad de semillas, y unidad de capacitación), las mismas que operan en la oficina principal Área de informática Los puntos que se tomarán son, Revisión de: inventario, políticas de mantenimiento, licencias, desempeño del software existente, seguridad de la data. OBJETIVOS
Determinar si el inventario ofimático refleja con exactitud los equipos y aplicaciones existentes en la organización
Determinar y evaluar la política de mantenimiento definida en la organización
Verificar el desempeño del software empleado en la institución
Verificar la legalización del software utilizado.
Verificar la seguridad en la data
DESARROLLO DE LA AUDITORÍA Todas las opiniones profesionales vertidas en este documento están respaldadas por las entrevistas, inventarios y observaciones realizadas durante las visitas a la Institución. INVENTARIO De acuerdo a la investigación realizada por la consultora de Auditores, la empresa OLVA COURIER., so cuenta con un inventario, la cual si saben con exactitud con cuantos equipos de hardware/software cuentan.
UNIVERSIDAD NACIONAL DE MOQUEGUA 32
AUDITORIA INFORMATICA – OLVA COURIER MANTENIMIENTO La empresa OLVA COURIER no cuenta con una política de mantenimiento preventivo de sus equipos, se hace mantenimiento solo y cada vez que estos empiezan a fallar. SISTEMAS - NECESIDADES Actualmente existen dos aplicaciones en red que son: Sistema de envio , Sistema comercial pero dichas aplicaciones son utilizados actualmente. Además cabe recalcar que algunos accesorios de cómputo no se utilizan a cabalidad como por ejemplo las quemadoras y lectoras, son 4 computadoras de escritorio y cada uno de ellos posee una quemadora y lectora, pero estos accesorios se utilizan con poca frecuencia. LICENCIAMIENTO Los Software que se utilizan en la empresa OLVA COURIER solo dos sistemas cuentan con licencias, el resto ninguno de ellos cuentan con licencia, esto puede ser perjudicable para la empresa ya que puede haber fuertes sanciones por el uso ilegal
UNIVERSIDAD NACIONAL DE MOQUEGUA 33
AUDITORIA INFORMATICA – OLVA COURIER APLICACIONES INSTALADAS No existe un control del software que los trabajadores puedan descargar de Internet y el uso que le den a los mismos, de igual forma de software no licenciado que puedan instalar en los equipos. COPIAS DE SEGURIDAD La empresa OLVA COURIER no realizan copias deseguridad (backup) de sus datos, ya que ante un desastre físico (robo, hurto) o lógico (virus) se pierde toda la data, pero realizan un descargo a lima diariamente. ENCUESTAS: 1. ¿Existe un informe técnico en el que se justifique la adquisición del equipo, software y servicios de computación, incluyendo un estudio costo beneficio? 2. ¿Existe un comité que coordine y se responsabilice de todo el proceso de adquisición e instalación? 3. ¿Han elaborado un instructivo con procedimientos a seguir para la selección y adquisición de equipos, programas y servicios computacionales? 4. ¿se cuenta con software de oficina? 5. ¿Se han efectuado las acciones necesarias para una mayor participación de proveedores? 6. ¿Se ha asegurado un respaldo de mantenimiento y asistencia técnica? 7. ¿El acceso al centro de cómputo cuenta con las seguridades necesarias para reservar el ingreso al personal autorizado? 8. ¿Se han implantado claves o password para garantizar operación de consola y equipo central (mainframe), a personal autorizado? 9. ¿Se han formulado políticas respecto a seguridad, privacidad y protección de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violación?
UNIVERSIDAD NACIONAL DE MOQUEGUA 34
AUDITORIA INFORMATICA – OLVA COURIER 10. ¿Se mantiene un registro permanente (bitácora) de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos? 11. ¿Los operadores del equipo central están entrenados para recuperar o restaurar información en caso de destrucción de archivos? 12. ¿Los backups son mayores de dos (padres e hijos) y se guardan en lugares seguros y adecuados, preferentemente en bóvedas de bancos? 13. ¿Se han implantado calendarios de operación a fin de establecer prioridades de proceso? 14. ¿Todas las actividades del Centro de Computo están normadas mediante manuales, instructivos, normas, reglamentos, etc.? 15. ¿Las instalaciones cuentan con sistema de alarma por presencia de fuego, humo, así como extintores de incendio, conexiones eléctricas seguras, entre otras? 16. ¿Se han instalado equipos que protejan la información y los dispositivos en caso de variación de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energía? 17. ¿Se han contratado pólizas de seguros para proteger la información, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operación? 18. ¿Se han Adquirido equipos de protección como supresores de pico, reguladores de voltaje y de ser posible UPS previo a la adquisición del equipo? 19. ¿Si se vence la garantía de mantenimiento del proveedor se contrata mantenimiento preventivo y correctivo? 20. ¿Se establecen procedimientos para obtención de backups de paquetes y de archivos de datos? 21. ¿Se hacen revisiones periódicas y sorpresivas del contenido del disco para verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa? 22. ¿Se mantiene programas y procedimientos de detección e inmunización de virus en copias no autorizadas o datos procesados en otros equipos?
UNIVERSIDAD NACIONAL DE MOQUEGUA 35
AUDITORIA INFORMATICA – OLVA COURIER 23. ¿Se propende a la estandarización del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrónicas, manejadores de base de datos y se mantienen actualizadas las versiones y la capacitación sobre modificaciones incluidas?
UNIVERSIDAD NACIONAL DE MOQUEGUA 36
AUDITORIA INFORMATICA – OLVA COURIER AUDITORIA DE REDES ALCANCE La auditoria de redes fue aplicada en todas las áreas que se encuentran en aplicación (coordinación, administración, unidad de investigación, unidad de semillas, y unidad de capacitación), las mismas que operan en la oficina principal (oficina administrativa) Los puntos a tomar en cuenta serán los siguientes: Organización y calificación del tendido de red. Planes y procedimientos. Sistemas técnicos de Seguridad y Protección. OBJETIVOS
Áreas controladas para los equipos de comunicaciones, previniendo así accesos inadecuados
Protección y tendido adecuado de cables y líneas de comunicación, para evitar accesos físicos
Revisar las políticas y normas sobre redes y el funcionamiento de la red y la seguridad de los datos dentro de la Red Lan
REFERENCIA LEGAL Manual de Autoprotección aprobado por O.M. de 29/11/84, NBE-CPI 96 (RD 2177/96) ENCUESTAS 1. La gerencia de redes tiene una política definida de planeamiento de tecnología de red? 2. Esta política es acorde con el plan de calidad de la organización
UNIVERSIDAD NACIONAL DE MOQUEGUA 37
AUDITORIA INFORMATICA – OLVA COURIER 3. La gerencia de redes tiene un plan que permite modificar en forma oportuna el plan a largo plazo de tecnología de redes , teniendo en cuenta los posibles cambios tecnológicos o en la organización? 4. ¿Existe un inventario de equipos y software asociados a las redes de datos? 5. ¿Existe un plan de infraestructura de redes? 6. El plan de compras de hardware y software para el sector redes está de acuerdo con el plan de infraestructura de redes? 7. La responsabilidad operativa de las redes esta separada de las de operaciones del computador? 8. Están establecidos controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas, y para proteger los sistemas conectados 9. Existen controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas? 10. Existen controles y procedimientos de gestión para proteger el acceso a las conexiones y servicios de red.? 11. Existen protocolos de comunicaron establecida 12. Existe una topología estandarizada en toda la organización 13. Existen normas que detallan que estándares que deben cumplir el hardware y el software de tecnología de redes? 14. ¿La transmisión de la información en las redes es segura? 15. ¿El acceso a la red tiene password? DESARROLLO DE LA AUDITORIA para el desarrollo de esta auditoría específica se empleará el modelo adoptado por iso (internacional standarts organization), el cual se denomina modelo osi (open systems interconection), el cual consta de 7 capas, las cuales se tomarán para realizar la auditoría.
UNIVERSIDAD NACIONAL DE MOQUEGUA 38
AUDITORIA INFORMATICA – OLVA COURIER Areas controladas para los equipos de comunicaciones, previniendo así accesos inadecuados los equipos de comunicaciones ( switch, router ) no se mantienen en habitaciones cerradas la seguridad física de los equipos de comunicaciones (switch, router) es inadecuada. cualquier persona tiene acceso ya que se encuentra cerca de un lugar transitable
Protección y tendido adecuado de cables y líneas de comunicación, para evitar accesos físicos los cables de comunicación de datos, eléctricos y de teléfono están juntos y amarrados por otro cable, no existen procedimientos para la protección de cables y bocas de conexión, esto dificulta que sean interceptados o conectados por personas no autorizadas, no se realiza revisiones preventivas a la red de comunicaciones Revisar las políticas y normas sobre redes y el funcionamiento de la red y la seguridad de los datos dentro de la red lan A. Mapa de redes
UNIVERSIDAD NACIONAL DE MOQUEGUA 39
AUDITORIA INFORMATICA – OLVA COURIER
B.- Modelo OSI, capa Física. Capa Física: Transforma la información en señales físicas adaptadas al medio de comunicación. El cableado utilizado para el tendido de red presenta las siguientes características:
Tipo de Cable: Par trenzado sin apantallar (UTP Categoría 5)
Conectores: RJ-45 El tipo de cables y conectores utilizados para este tipo de red es adecuado, según la norma EIA/TIA, el problema radica en el tendido del cableado ya que no cuenta con ninguna protección (canaletas) y además los cables de comunicación de datos, eléctricos y de teléfono se encuentran amarrados por otros cables.
UNIVERSIDAD NACIONAL DE MOQUEGUA 40
AUDITORIA INFORMATICA – OLVA COURIER C.- Modelo OSI, capa de Enlace Capa de Enlace: Transforma los paquetes de información en tramas adaptadas a los dispositivos físicos sobres los cuales se realiza la transmisión. De acuerdo al inventario de hardware se resumen los siguientes componentes:
Topología de la Red: Estrella
Especificaciones: Ethernet
Tarjeta de Red: D-Link DFE-530TX PCI Fast Ethernet Adapter
Hay que especificar que las tarjetas de redes utilizadas son del mismo tipo, la cual es recomendable para la transferencia adecuada de los datos. D.- Modelo OSI, capa de Red. Capa de Red: Establece las rutas por las cuales se puede comunicar el emisor con el receptor, lo que se realiza mediante el envío de paquetes de información. En la institución si utilizan los siguientes componentes:
Velocidad de transmisión 10/100 MBps
Switch D-link de 8 puertos
Protocolo TCP/IP
De acuerdo a las necesidades de la empresa, el Switch empleado no presenta problemas en la transmisión de datos ya que todos los documentos realizados por los clientes se guardan en el servidor. E.- Modelo OSI, capa de Transporte. Capa de Transporte: Comprueba la integridad de los datos transmitidos (que no ha habido pérdidas ni corrupciones).
UNIVERSIDAD NACIONAL DE MOQUEGUA 41
AUDITORIA INFORMATICA – OLVA COURIER En la Empresa se utiliza el Protocolo TCP/IP para la transmisión datos, lo cual es lo óptimo debido a que es más seguro y utilizado en la actualidad que el protocolo UDP. F.- Modelo OSI, capa de Sesión. Capa de Sesión: Establece los procedimientos de aperturas y cierres de sesión de comunicaciones, así como información de la sesión en curso. En la Empresa no existe un control de las sesiones más que la que propone el sistema operativo que se posee en cada computadora, lo cual representa un “hoyo” en la seguridad de la información.
UNIVERSIDAD NACIONAL DE MOQUEGUA 42
AUDITORIA INFORMATICA – OLVA COURIER G.- Modelo OSI, capa de Presentación. Capa de Presentación: Define el formato de los datos que se van a presentar a la aplicación. Actualmente existen dos aplicaciones en red que son: Sistema de envió (vcourier) y el otro sistema masivo
UNIVERSIDAD NACIONAL DE MOQUEGUA 43
AUDITORIA INFORMATICA – OLVA COURIER H.- Modelo OSI, capa de Aplicación. Capa de Aplicación: Es donde la aplicación que necesita comunicaciones enlaza, mediante API (Application Program Interface) con el sistema de comunicaciones. De acuerdo a las entrevistas en la institución se resume lo siguiente:
Se utiliza el Protocolo FTP para el intercambio de información, el cual se usa para las impresoras.
Correo de la institución.
UNIVERSIDAD NACIONAL DE MOQUEGUA 44
AUDITORIA INFORMATICA – OLVA COURIER AUDITORIA DE BASE DE DATOS ALCANCE DE LA AUDITORIA: Esta auditoria comprende solamente al área informática de la empresa OLVA COURIER con respecto al cumplimiento del proceso "De Gestión administración de la Base de Datos " de la de manera que abarca la explotación, mantenimiento, diseño carga, post implementación, Los sistemas de gestión de base de datos (SGBD), software de auditoria , sistema operativo protocolos y sistemas distribuidos. OBJETIVOS
”Verificar la responsabilidad para la planificación de planillas y control de los activos de datos de la organización” (administrador de datos)
“Verificar la responsabilidad de la administración del entorno de la base de datos” (administrador de la base de datos)
Proporcionar servicios de apoyo en aspectos de organización y métodos, mediante la definición, implantación y actualización de Base de Datos y/o procedimientos administrativos con la finalidad de contribuir a la eficiencia Existe equipos o software de SGBD
ENCUESTA 1. Existe equipos o software de SGBD 2. La organización tiene un sistema de gestión de base dedatos (SGBD) 3. Los datos son cargados correctamente en la interfaz grafica 4. Se verificará que los controles y relaciones de datos se realizan de acuerdo a Normalización libre de error 5. Existe personal restringido que tenga acceso a la BD 6. El SGBD es dependiente de los servicios que ofrece el Sistema Operativo UNIVERSIDAD NACIONAL DE MOQUEGUA 45
AUDITORIA INFORMATICA – OLVA COURIER 7. La interfaz que existe entre el SGBD y el SO es el adecuado 8. ¿Existen procedimientos formales para la operación del SGBD? 9. ¿Están actualizados los procedimientos de SGBD? 10. ¿La periodicidad de la actualización de los procedimientos es Anual ? 11. ¿Son suficientemente claras las operaciones que realiza la BD? 12. ¿Existe un control que asegure la justificación de los procesos en el computador? (Que los procesos que están autorizados tengan una razón de ser procesados) 13. ¿Se procesa las operaciones dentro del departamento de cómputo? 14. ¿Se verifican con frecuencia la validez de los inventarios de los archivos magnéticos? 15. ¿Existe un control estricto de las copias de estos archivos? 16. ¿Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos? 17. ¿Se registran como parte del inventario las nuevas cintas magnéticas que recibe el centro de computo? 18. ¿Se tiene un responsable del SGBD? 19. ¿Se realizan auditorias periódicas a los medios de almacenamiento? 20. ¿Se tiene relación del personal autorizado para manipular la BD? 21. ¿Se lleva control sobre los archivos trasmitidos por el sistema? 22. ¿Existe un programa de mantenimiento preventivo para el dispositivo del SGBD? 23. ¿Existen integridad de los componentes y de seguridad de datos?
UNIVERSIDAD NACIONAL DE MOQUEGUA 46
AUDITORIA INFORMATICA – OLVA COURIER 24. De acuerdo con los tiempos de utilización de cada dispositivo del sistema de cómputo, ¿existe equipo capacesque soportar el trabajo? 25. ¿El SGBD tiene capacidad de teleproceso? 26. ¿Se ha investigado si ese tiempo de respuesta satisface a los usuarios? 27. ¿La capacidad de almacenamiento máximo de la BD es suficiente para atender el proceso por lotes y el proceso remoto?
UNIVERSIDAD NACIONAL DE MOQUEGUA 47
AUDITORIA INFORMATICA – OLVA COURIER
VERIFICAR LA AUDITORIA INFORMATICA
UNIVERSIDAD NACIONAL DE MOQUEGUA 48
AUDITORIA INFORMATICA – OLVA COURIER INFORME ESPECÍFICO 1. Título Auditoria Física 2. Cliente Área de informática 3. Entidad Auditada Empresa “OLVA COURIER” 4. Objetivos
Verificar la ubicación y seguridad de las instalaciones.
Determinar y evaluar la política de mantenimiento y distribución de los equipos.
Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
Verificar si la selección de equipos y Sistemas de computación es adecuada.
5. Normativa aplicada y excepciones Para esta auditoría se ha tomado en cuenta la Normas de Auditorias Gubernamentales: “Normas de Control Interno para sistemas computarizados” (NAGU 500). 6. Alcance El presente trabajo de auditoria física, comprende el periodo 1013 y se ha realizado a la Empresa “OLVA COURIER”, de acuerdo a las normas y demás disposiciones aplicables. 7. Conclusiones La seguridad
física en
la
Institución,
según las
normativas
aplicadas, es favorable aunque con ciertas salvedades. No se han tomado las previsiones necesarias en caso de futuros riesgos La empresa “OLVA VOURIER”. Solo ha mostrado preocupación en lo referente a las operaciones propias del negocio, olvidándose en cierta parte de la responsabilidad para con sus usuarios y trabajadores. UNIVERSIDAD NACIONAL DE MOQUEGUA 49
AUDITORIA INFORMATICA – OLVA COURIER 8. Resultados De acuerdo a los objetivos planteados previamente, los resultados serían los siguientes:
Verificar la ubicación y seguridad de las instalaciones.
Ubicación de la institución, favorable con salvedades, debido a que no se trata de un local propio
Seguridad de
las
instalaciones en
cuanto a
vigilancia,
favorable, puesto que se cuenta con la seguridad de la misma sede
Identificación de Salidas, favorable con algunas salvedades como el cuidado de no colocar objetos que obstruyan el paso
Seguridad ante Sismos, desfavorable, debido a que la salida inmediata del ambiente coincide un el paso de vehículos, que muchas tomado
como estacionamiento
Seguridad ante Incendios, Desfavorable
Seguridad eléctrica,
favorable
con
veces es
de camionetas de la sede.
salvedades;
falta organización
en el cableado.
Verificar la seguridad de información.
El ambiente principal se encuentra toda la documentación física de la empresa, la misma que por tratarse de papeles, folios y aerosoles constituyen material altamente inflamable, pese a ello no se cuenta con un sistema contra incendios y por aun el personal no se encuentra capacitado para el uso de ellos.
La data, además de ser almacenada en el servidor, esta a disposición de los trabajadores, quienes portan la documentación en disquete u otros dispositivos
de almacenamiento, como CD,
memorias
USB,
echo poco favorable debido posible plagio de información.
Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
Aspecto desfavorable, debido a que el ambiente es pequeño, y no se cuenta con la seguridad debida. UNIVERSIDAD NACIONAL DE MOQUEGUA
50
AUDITORIA INFORMATICA – OLVA COURIER
Verificar si la selección de equipos y Sistemas de computación es adecuada.
Desfavorable,
puesto que
todas las
computadoras, indistintamente
de las características particulares que pueda tener, son usadas para un mismo propósito
9. Recomendaciones
Reubicación del local
Implantación de equipos de ultima generación
Implantar equipos de ventilación
Implantar salidas de emergencia.
Elaborar un calendario de mantenimiento de rutina periódico . Capacitar al personal.
10. Fecha Del Informe FECHA DE INICIO
FECHA DE TERMINO
19-12-13
26-12-13
11. Identificación Y Firma Del Auditor
---------------------------------
---------------------------------
---------------------------------
ATT. José Luis Callacondo
ATT. Isabel Vilca Quispe
ATT. Shirley Mamani
JEFE DE AUDITORIA
AUDITORA INFORMATICA
Rodríguez
INFORMÁTICA
AUDITORA INFORMATICA
UNIVERSIDAD NACIONAL DE MOQUEGUA 51
AUDITORIA INFORMATICA – OLVA COURIER INFORME FINAL 1. Identificación del informe Auditoria de la Ofimática 2. Identificación del Cliente El área de Informática 3. Identificación de la Entidad Auditada OLCA COURIER 4. Objetivos
Verificar si el hardware y software se adquieren siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa.
Verificar si la selección de equipos y sistemas de computación es adecuada
Verificar la existencia de un plan de actividades previo a la instalación
Verificar que los procesos de compra de Tecnología de Información, deben estar sustentados en Políticas, Procedimientos, Reglamentos y Normatividad en General, que aseguren que todo el proceso se realiza en un marco de legalidad y cumpliendo con las verdaderas necesidades de la organización para hoy y el futuro, sin caer en omisiones, excesos o incumplimientos.
Verificar si existen garantías para proteger la integridad de los recursos informáticos.
Verificar la utilización adecuada de equipos acorde a planes y objetivos.
5. Normativa aplicada y excepciones Para esta auditoría se toman en cuenta la norma ISO 17799 y Normas de Auditorias Gubernamentales: “Normas de Control Interno para sistemas computarizados” (NAGU 500).
UNIVERSIDAD NACIONAL DE MOQUEGUA 1
AUDITORIA INFORMATICA – OLVA COURIER 6. Hallazgos Potenciales
Falta de licencias de software.
Falta de software de aplicaciones actualizados
No existe un calendario de mantenimiento ofimatico.
Faltan material ofimática.
Carece de seguridad en Acceso restringido de los equipos ofimáticos y software.
7. Alcance de la auditoria Nuestra auditoria, comprende el presente periodo 2013 y se ha realizado especialmente al Departamento de centro de cómputo de acuerdo a las normas y demás disposiciones aplicable al efecto. El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria Ofimática, se complementa con los objetivos de ésta. 8. Conclusiones El aspecto ofimático de la Institución, en la opinión del auditor a base de las normativas aplicadas, es favorable aunque con salvedades.
No todo el software propietario que se maneja en la institución está debidamente licenciado, caso de los sistemas operativos y las herramientasde escritorio (Office).
El área de informatica presenta deficiencias sobre el debido cumplimiento de Normas de seguridad.
La escasez de personal debidamente capacitado.
Cabe destacar que la sistema ofimatico pudiera servir de gran apoyo a la organización, el cual no es explotado en su totalidad por falta de personal capacitado.
UNIVERSIDAD NACIONAL DE MOQUEGUA 2
AUDITORIA INFORMATICA – OLVA COURIER 9. Resultados Revisión del inventario de los accesorios de cómputo
No cuentan con un inventario del parque informático
Revisión de las licencias del software.
No todo el software propietario que se maneja en la institución está debidamente licenciado, caso de los sistemas operativos y las herramientas de escritorio (Office)
Verificar el desempeño del software empleado en la institución
Actualmente existen dos aplicaciones en red que son:
Sistema contable financiero (suite contasis), Sistema comercial (Suite contasis) pero dichas aplicaciones no son utilizados actualmente, por lo que no se le puede dar un calificativo de desempeño. Seguridad en la Data
La seguridad en los datos es baja porque no cuentan con medidas de seguridad, como por ejemplo los backup.
10. Recomendaciones
Se recomienda contar con sellos y firmas digitales
Un de manual de funciones para cada puesto de trabajo dentro del área.
Reactualizacion de datos.
Implantación de equipos de ultima generación
Elaborar un calendario de mantenimiento de rutina periódico .
Capacitar al personal.
UNIVERSIDAD NACIONAL DE MOQUEGUA 3
AUDITORIA INFORMATICA – OLVA COURIER 11. Fecha del Informe
FECHA DE INICIO
FECHA DE TERMINO
19-12-13
29-12-13
12. Identificación y Firma del Auditor
----------------------------
---------------------------
----------------------------
ATT. José Luis
ATT. Isabel Vilca
ATT. Shirley Mamani
Callacondo
Quispe
Rodríguez
JEFE DE AUDITORIA
AUDITORA
AUDITORA
INFORMÁTICA
INFORMATICA
INFORMATICA
UNIVERSIDAD NACIONAL DE MOQUEGUA 4
AUDITORIA INFORMATICA – OLVA COURIER INFORME DE AUDITORIA 1. Identificación del informe Auditoria del Sistema de Redes 2. Identificación del Cliente El área de Informática 3. Identificación de la Entidad Auditada OLVA COURIER 4. Objetivos
Áreas controladas para los equipos de comunicaciones, previniendo así accesos inadecuados
Protección y tendido adecuado de cables y líneas de comunicación, para evitar accesos físicos
Revisar las políticas y normas sobre redes y el funcionamiento de la red y la seguridad de los datos dentro de la Red Lan
5.- Normativa aplicada y excepciones La especificación utilizada en esta auditoría de redes es la Normativa actual IEEE 802.3 para redes LAN Ethernet 10/100MBps (utilizada por la empresa), además de la norma ISO 17799 y Normas de Auditorias Gubernamentales: “Normas de Control Interno para sistemas computarizados” (NAGU 500). 6. Alcance El presente trabajo de auditoria de red, comprende el presente periodo 2013 y se ha realizado en la empresa OLVA COURIER de acuerdo a las normas y demás disposiciones aplicables.
UNIVERSIDAD NACIONAL DE MOQUEGUA 1
AUDITORIA INFORMATICA – OLVA COURIER 7.- Conclusiones El aspecto de redes en la Empresa, la opinión de los Auditores a base de las normativas aplicadas, es desfavorable. No existe un conocimiento actualizado del cableado de red; el cableado no se encuentra protegido y su distribución e implementación no es la buena, aunque funcione la red. 8. Resultados
Áreas controladas para los equipos de comunicaciones, previniendo así accesos inadecuados
Los equipos de comunicaciones ( Switch, router ) no se mantienen en habitaciones cerradas
La seguridad física de los equipos de comunicaciones (Switch, Router) es inadecuada.
Cualquier persona tiene acceso ya que se encuentra cerca de un lugar transitable
protección y tendido adecuado de cables y líneas de comunicación, para evitar accesos físicos
Los cables de comunicación de datos, eléctrios y de teléfono están juntos y amarrados por otro cable.
No existen procedimientos para la protección de cables y bocas de conexión, esto dificulta que sean interceptados o conectados por personas no autorizadas
No se realiza revisiones preventivas a la red de comunicaciones
Revisar las políticas y normas sobre redes y el funcionamiento de la red y la seguridad de los datos dentro de la Red Lan
No existen políticas y/o normas para regular el uso de la red de dicha empresa
UNIVERSIDAD NACIONAL DE MOQUEGUA 2
AUDITORIA INFORMATICA – OLVA COURIER
La red funciona correctamente de acuerdo al tamaño de la empresa; esta no podrá soportar un desarrollo de la misma.
No existe una seguridad centralizada de los datos, sólo la seguridad brindada por el sistema operativo instalado en cada equipo.
9. Fecha del Informe
FECHA DE INICIO
FECHA DE TERMINO
19-12-13
26-12-13
10. Identificación y Firma del Auditor
---------------------------------
---------------------------------
---------------------------------
ATT. José Luis Callacondo
ATT. Isabel Vilca Quispe
ATT. Shirley Mamani
JEFE DE AUDITORIA
AUDITORA INFORMATICA
Rodríguez
INFORMÁTICA
AUDITORA INFORMATICA
UNIVERSIDAD NACIONAL DE MOQUEGUA 3
AUDITORIA INFORMATICA – OLVA COURIER INFORME DE AUDITORIA 1. Identificación del informe Auditoria de Base de Datos. 2. Identificación del Cliente El área de Informática 3. Identificación de la Entidad Auditada OLVA COURIER 4. Objetivos Evaluar el tipo de Base de Datos, relaciones, plataforma o sistema operativo que trabaja, llaves, administración y demás aspectos que repercuten en su trabajo.
Revisar del software institucional para la administración de la Base de Datos.
Verificar la actualización de la Base de Datos.
Verificar la optimización de almacenes de los Base de Datos
Revisar que el equipo utilizado tiene suficiente poder de procesamiento y velocidad en red para optimizar el desempeño de la base de datos.
5. Hallazgos Potenciales
No están definidos los parámetros o normas de calidad.
Falta de presupuesto
Falta de personal
La gerencia de Base de datos no tiene un plan que permite modificar en forma oportuna el plan a largo plazo de tecnología, teniendo en cuenta los posibles cambios tecnológicos y el incremento de la base de datos.
No existe un calendario de mantenimiento de rutina periódico del software definido por la Base de datos. UNIVERSIDAD NACIONAL DE MOQUEGUA
1
AUDITORIA INFORMATICA – OLVA COURIER
6. Alcance de la auditoria Nuestra auditoria, comprende el presente periodo 2013 y se ha realizado especialmente al Departamento de centro de cómputo de acuerdo a las normas y demás disposiciones aplicable al efecto. 7. Conclusiones: •
Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoria.
•
El Departamento de centro de cómputo presenta deficiencias sobre todo en el debido cumplimiento de Normas de seguridad de datos y administración de la Base de Datos.
8. Recomendaciones •
Elaborar toda la documentación lógica correspondiente a los sistemas de administración de la BD. Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas y aún de los programadores.
•
Implementar la relaciones con las diferentes áreas en cuanto al compartimiento dearchivos permitidos por las normas
•
Elaborar un calendario de mantenimiento de rutina periódico.
•
Capacitar al personal al manejo de la BD.
•
Dar a conocer la importancia del SGBD al usuario
9. Fecha Del Informe
FECHA DE INICIO
FECHA DE TERMINO
19-12-13
26-12-13
UNIVERSIDAD NACIONAL DE MOQUEGUA 2
AUDITORIA INFORMATICA – OLVA COURIER 10. Identificación Y Firma Del Auditor
---------------------------------
---------------------------------
---------------------------------
ATT. José Luis Callacondo
ATT. Isabel Vilca Quispe
ATT. Shirley Mamani
JEFE DE AUDITORIA
AUDITORA INFORMATICA
Rodríguez
INFORMÁTICA
AUDITORA INFORMATICA
UNIVERSIDAD NACIONAL DE MOQUEGUA 3
AUDITORIA INFORMATICA – OLVA COURIER
ACTUAR DE LA AUDITORIA INFORMATICA
UNIVERSIDAD NACIONAL DE MOQUEGUA 1
AUDITORIA INFORMATICA – OLVA COURIER 1. INFORME DEL CIERRE DE AUDITORIA ACLARACION DE LA SOLICITUD OLVA COURIER S.A Ilo, 28 de Diciembre del 2013 Señores OLVA COURIER S.A De nuestra consideración: Tenemos el agrado de dirigirnos a Ud. a efectos de elevar a vuestra consideración el alcance del trabajo de Auditoría del Área de Informática practicada los días 16-28 del corriente, sobre la base del análisis y procedimientos detallados de todas las informaciones recopiladas y emitidos en el presente informe, que a nuestro criterio es razonable. Síntesis de la revisión realizada, clasificado en las siguientes secciones Auditoria física Auditoria ofimática Auditoria de sistema de redes Auditoria de base de datos El contenido del informe ha sido dividido de la siguiente forma a efectos de facilitar su análisis. a. Situación. Describe brevemente las debilidades resultantes de nuestro análisis. b. Efectos y/o implicancias probables. Enuncian los posibles riesgos a que se encuentran expuestos las operaciones realizadas por la Cooperativa. c. Índice de importancia establecida. Indica con una calificación del 0 al 3 el grado crítico del problema y la oportunidad en que se deben tomar las acciones correctivas del caso. UNIVERSIDAD NACIONAL DE MOQUEGUA 2
AUDITORIA INFORMATICA – OLVA COURIER 0 = Alto (acciones correctivas inmediatas) 1 = Alto (acciones preventivas inmediatas) 2 = Medio (acciones diferidas correctivas) 3 = Bajo (acciones diferidas preventivas) d. Sugerencias. Indicamos a la Gerencia la adopción de las medidas correctivas tendientes a subsanar las debilidades comentadas. Según el análisis realizado hemos encontrado falencias en que no existe un Comité y plan informático; falta de organización y administración del área; falencias en la seguridad física y lógica; no existe auditoría de sistemas; falta de respaldo a las operaciones; accesos de los usuarios; plan de contingencias; y entorno de desarrollo y mantenimiento de las aplicaciones. El detalle de las deficiencias encontradas, como así también las sugerencias de solución se encuentran especificadas en el Anexo adjunto. La aprobación y puesta en práctica de estas sugerencias ayudarán a la empresa a brindar un servicio más eficiente a todos sus clientes. Agradecemos la colaboración prestada durante nuestra visita por todo el personal de su empresa Olva Courier y quedamos a vuestra disposición para cualquier aclaración y/o ampliación de la presente que estime necesaria. Atentamente EQUIPO AUDITORES S.R.L.
UNIVERSIDAD NACIONAL DE MOQUEGUA 3
AUDITORIA INFORMATICA – OLVA COURIER 2 .OBSERVACIONES FORMATO DE OSERVACIONES Nombre de la empresa
OLVA COURIER S.A
Observación
Seguridad Física Lógica
N°
SITUACION
EFECTOS IMPLICANCIA
Y/0 SUGERENCIA
1
• No existe una vigilancia estricta del Área de Informática por personal de seguridad dedicado a este sector. • No existe detectores, ni extintores automáticos. • Existe material altamente inflamable. • Carencia de un estudio de vulnerabilidad, frente a las riesgos físicos o no físicos, incluyendo el riesgo Informático. • No existe un puesto o cargo específico para la función de seguridad Informática
• Probable difusión de datos confidenciales. • Alta facilidad para cambios involuntarios o intencionales de datos, debido a la falta de controles internos. • Debido a la debilidad del servicio de mantenimiento del equipo central, la continuidad de las actividades informáticas podrían verse seriamente afectadas ante eventuales roturas y/o desperfectos de los sistemas.
INDICE DE IMPORTANCIA ESTABLECIDA A los efectos de minimizar los 0 ( cero ) riesgos descriptos, se sugiere: • Establecer guardia de seguridad, durante horarios no habilitados para el ingreso al Área de Informática. • Colocar detectores y extintores de incendios automáticos en los lugares necesarios. • Remover del Centro de Cómputos los materiales inflamables. • Determinar orgánicamente la función de seguridad. • Realizar periódicamente un estudio de vulnerabilidad, documentando efectivamente el mismo, a los efectos de implementar las acciones correctivas sobre los puntos débiles que se detecten.
UNIVERSIDAD NACIONAL DE MOQUEGUA 4
AUDITORIA INFORMATICA – OLVA COURIER FORMATO DE OSERVACIONES Nombre de la empresa
OLVA COURIER S.A
Observación
Operación de respaldo
N °
SITUACION
EFECTOS Y/0 IMPLICANCIA SUGERENCIA
1
• Existe una rutina de trabajo de tomar una copia de respaldo de datos en cuadernos y UBS, que se encuentra en el recinto del centro de cómputos, en poder del auxiliar de informática. • Si bien existen la copia de seguridad, no se poseen normas y/o procedimientos que exijan la prueba sistemática de las mismas a efectos de establecer los mínimos niveles de confiabilidad.
• La Empresa Olva Courier está expuesta a la perdida de información por no poseer un chequeo sistemático periódico de los back-up's, y que los mismas se exponen a riesgo por encontrarse en poder del auxiliar de informática.
INDICE DE IMPORTANCIA ESTABLECIDA
• Desarrollar normas y 0 ( cero ) procedimientos generales que permitan la toma de respaldo necesarios, utilitario a utilizar. • Realizar 3 copias de respaldos de datos en Zip de las cuales, una se encuentre en el recinto del área de informática, otra en la sucursal más cercana y la última en poder del Jefe de área. • Implementar pruebas sistemáticas semanales de las copias y distribución de las mismas.
UNIVERSIDAD NACIONAL DE MOQUEGUA 5
AUDITORIA INFORMATICA – OLVA COURIER FORMATO DE OSERVACIONES Nombre de la empresa
OLVA COURIER S.A
Observación
Acceso a Usuarios
N°
SITUACION
EFECTOS IMPLICANCIA
1
De acuerdo a lo relevado hemos constatado que: • Existen niveles de acceso permitidos, los cuales son establecidos conforme a la función que Cumple cada uno de los usuarios. • Los usuarios definidos al rotar o retirarse del local no son borrados de los perfiles de acceso. • Las terminales en uso y dado un cierto tipo de inactividad no salen del sistema. • El sistema informático no solicita al usuario, el cambio del Password en forma mensual.
• Existe la imposibilidad de establecer responsabilidades dado que esta se encuentra dividida entre el área de sistema y los usuarios finales. • La falta de seguridad en la utilización de los Password, podrían ocasionar fraudes por terceros.
Y/0 SUGERENCIA
INDICE DE IMPORTANCIA ESTABLECIDA
• Implementar algún 2 ( dos ) software de seguridad y auditoria existente en el mercado o desarrollar uno propio. • Establecer una metodología que permita ejercer un control efectivo sobre el uso o modificación de los programas o archivos por el personal autorizado.
UNIVERSIDAD NACIONAL DE MOQUEGUA 6
AUDITORIA INFORMATICA – OLVA COURIER FORMATO DE OSERVACIONES Nombre de la empresa
OLVA COURIER S.A
Observación
Plan de contingencia
N ° 1
SITUACION
EFECTOS Y/0 SUGERENCIA IMPLICANCIA
INDICE DE IMPORTANCIA ESTABLECIDA • Ausencia de un Plan de • Pérdida de • Establecer un plan de 1 ( uno) Contingencia debidamente información vital. contingencia escrito, en formalizado en el Área de • Pérdida de la donde se establezcan los Informática. capacidad de procedimientos • No existen normas y procesamiento. manuales e informáticos procedimientos que indiquen para restablecer la las tareas manuales e operatoria normal de la informáticas que son Empresa y establecer los necesarias para realizar y responsables de cada recuperar la capacidad de sistema. procesamiento ante una • Efectuar pruebas eventual contingencia ( simuladas en forma desperfectos de equipos, periódica, a efectos de incendios, cortes de energía monitorear el con más de una hora ), y que desempeño de los determinen los niveles de Funcionarios participación y responsables ante responsabilidades del área de eventuales desastres. sistemas y de los • Establecer convenios Usuarios. bilaterales con empresas • No existen acuerdos o proveedores a los formalizados de Centro de efectos de asegurar los Cómputos paralelos con otras equipos necesarios para empresas o proveedores que sustentar la continuidad permitan la restauración del procesamiento. inmediata de los servicios informáticos de la empresa en tiempo oportuno, en caso de contingencia.
UNIVERSIDAD NACIONAL DE MOQUEGUA 7
AUDITORIA INFORMATICA – OLVA COURIER FORMATO DE OSERVACIONES Nombre de la empresa
OLVA COURIER S.A
Observación
Mantenimiento de las aplicaciones de las PC
N °
SITUACION
EFECTOS IMPLICANCIA
Y/0 SUGERENCIA
1
• No existe documentaciones técnicas del sistema integrado de la Entidad y tampoco no existe un control o registro formal de las modificaciones efectuadas. • No se cuenta con un Software que permita la seguridad de las librerías de los programas y la restricción y/o control del acceso de los mismos. • Las modificaciones a los programas son solicitadas generalmente sin notas internas, en donde se describen los cambios o modificaciones que se requieren.
• La escasa documentación técnica de cada sistema dificulta la compresión de las normas, demandando tiempos considerables para su mantenimiento e imposibilitando la capacitación del personal nuevo en el área. • Se incrementa aún más la posibilidad de producir modificaciones erróneas y/o no autorizadas a los programas o archivos y que las mismas no sean detectadas en forma oportuna.
INDICE DE IMPORTANCIA ESTABLECIDA
• Elaborar toda la 1 ( uno) documentación técnica correspondiente a los sistemas implementados y establecer normas y procedimientos para los desarrollos y su actualización. • Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas y aún de los programadores. • Implementar y conservar todas las documentaciones de prueba de los sistemas, como así también las modificaciones y aprobaciones de programas realizadas por los usuarios
UNIVERSIDAD NACIONAL DE MOQUEGUA 8
AUDITORIA INFORMATICA – OLVA COURIER
FORMATO DE OSERVACIONES Nombre de la empresa
OLVA COURIER S.A
Observación
Área Informática
N°
EFECTOS
SITUACION
Y/0 SUGERENCIA
INDICE
IMPLICANCIA
DE
IMPORTANCIA ESTABLECIDA
1
•
No
existe
una La
Empresa
Olva •
Implementar 0 (cero )
validación de la cuenta a Courier se encuentra debidamente donde
debería expuesta
a
serios controles
acreditarse el monto del riesgos, entre ellos: aporte social.
los
necesarios
internos para
el
• Posibilidad de que adecuado manejo del
• El inventario de salidas ocurran errores por la Usuario final. y entradas
de cada falta de conocimiento •
Implementar
un
operación se hace en del tema contable en sistema de respaldo de forma manual, tanto en el área operativa.
inventario
de
envíos
la parte de recepción de • Alto riesgo de que automático. envíos,
como
envíos
en
de
los el usuario final pueda
procesos incurrir en cambios
cuando se cae el sistema.
no autorizados en los sistemas, por cuanto que el usuario final tiene
acceso
irrestricto al mismo.
UNIVERSIDAD NACIONAL DE MOQUEGUA 9
AUDITORIA INFORMATICA – OLVA COURIER FORMATO DE OSERVACIONES Nombre de la empresa
OLVA COURIER S.A
Observación
Auditoria de sistema
N°
SITUACION
EFECTOS
Y/0 SUGERENCIA
INDICE
IMPLICANCIA
DE
IMPORTANCIA ESTABLECIDA
1
• Hemos observado que • Posibilidad de que • Establecer normas y 0 ( cero ) en Olva Courier no cuenta adulteraciones
procedimientos en los
con auditoría Informática , voluntarias ni con políticas
o que
involuntarias
formales que establezcan realizadas
se
fijen
sean responsables, a
los periodicidad y
responsables, frecuencias elementos
metodología
de
y metodología a seguir componentes
del control de todos los
para efectuar revisiones procesamiento
de archivos de auditoria
de
los
archivos
de datos
auditoría.
(programas, que pudieran existir
archivos
de
datos, como asimismo, de
• Cabe destacar que el definiciones de
todos los elementos
sistema integrado posee seguridad de acceso, componentes de los un archivo que pudiera etc. ) o bien accesos a sistemas servir de auditoria
datos
Informática, el cual no es por
de
confidenciales aplicación. personas
no
habilitado por falta de autorizadas espacio en el disco duro.
que
no
sean
detectadas oportunamente.
UNIVERSIDAD NACIONAL DE MOQUEGUA 10
AUDITORIA INFORMATICA – OLVA COURIER 3. RESULTADOS RECOMENDACIONES Y ACCIONES DE LA AUDITORIA A. Seguridad Física Y Lógica A1.Entorno General -Situación Durante nuestra revisión, hemos observado lo siguiente: •
No existe una vigilancia estricta del Área de Informática por personal de seguridad dedicado a este sector.
•
No existe detectores, ni extintores automáticos.
•
Existe material altamente inflamable.
•
Carencia de un estudio de vulnerabilidad de la Cooperativa, frente a los riesgos físicos o no físicos, incluyendo el riesgo Informático.
•
No existe un puesto o cargo especifico para la función de seguridad Informática.
-Efectos y/o implicancias probables •
Probable difusión de datos confidenciales.
•
Alta facilidad para cambios involuntarios o intencionales de datos, debido a la falta de controles
•
internos.
•
Debido a la debilidad del servicio de mantenimiento del equipo central, la continuidad de las
•
actividades informáticas podrían verse seriamente afectadas ante eventuales roturas y/o
•
desperfectos de los sistemas.
UNIVERSIDAD NACIONAL DE MOQUEGUA 11
AUDITORIA INFORMATICA – OLVA COURIER
-Sugerencias A los efectos de minimizar los riesgos descriptos, se sugiere: •
Establecer guardia de seguridad, durante horarios no habilitados para el ingreso al Área de Informática.
•
Colocar detectores y extintores de incendios automáticos en los lugares necesarios.
•
Remover del Centro de Cómputos los materiales inflamables.
•
Determinar orgánicamente la función de seguridad.
•
Realizar periódicamente un estudio de vulnerabilidad, documentando efectivamente el mismo, a los efectos de implementar las acciones correctivas sobre los puntos débiles que se detecten.
A2.Auditoría de Sistema -Situación •
Hemos observado que la Empresa Olva Courier no cuenta con auditoría Informática, ni con políticas formales que establezcan responsables, frecuencias y metodología a seguir para efectuar revisiones de los archivos de auditoría.
•
Cabe destacar que el sistema integrado posee un archivo que pudiera servir de auditoria Informática, el cual no es habilitado por falta de espacio en el disco duro.
-Efectos y/o implicancias probables •
Posibilidad de que adulteraciones voluntarias o involuntarias sean realizadas a los elementos componentes del procesamiento de datos (programas, archivos de datos, definiciones de seguridad de acceso, etc.) o bien accesos a datos confidenciales por personas no autorizadas que no sean detectadas oportunamente.
UNIVERSIDAD NACIONAL DE MOQUEGUA 12
AUDITORIA INFORMATICA – OLVA COURIER -Sugerencias •
Establecer normas y procedimientos en los que se fijen responsables, periodicidad y metodología de control de todos los archivos de auditoria que pudieran existir como asimismo, de todos los elementos componentes de los sistemas de aplicación.
A.3. Operaciones de Respaldo -Situación Durante nuestra revisión hemos observado que: •
Existe una rutina de trabajo de tomar una copia de respaldo de datos en Cuadernos y USB, que se encuentra en el recinto del centro de cómputos, en poder del auxiliar de informática.
•
Si bien existen la copia de seguridad, no se poseen normas y/o procedimientos que exijan la prueba sistemática de las mismas a efectos de establecer los mínimos niveles de confiabilidad.
- Efectos y/o implicancias probables •
La Empresa Olva Courier está expuesta a la perdida de información por no poseer un chequeo sistemático periódico de los backup's, y que los mismas se exponen a riesgo por encontrarse en poder del auxiliar de informática.
-Sugerencias Minimizar los efectos, será posible a través de: •
Desarrollar normas y procedimientos generales que permitan la toma de respaldo necesarios, utilitario a utilizar.
UNIVERSIDAD NACIONAL DE MOQUEGUA 13
AUDITORIA INFORMATICA – OLVA COURIER •
Realizar 3 copias de respaldos de datos en Zip de las cuales, una se encuentre en el recinto del área de informática, otra en la sucursal más cercana y la última en poder del Jefe de área.
•
Implementar pruebas sistemáticas semanales de las copias y distribución de las mismas.
A.4. Acceso a usuarios -Situación De acuerdo a lo relevado hemos constatado que: •
Existen niveles de acceso permitidos, los cuales son establecidos conforme a la función que cumple cada uno de los usuarios.
•
Los usuarios definidos al rotar o retirarse del local no son borrados de los perfiles de acceso.
•
Las terminales en uso y dado un cierto tipo de inactividad no salen del sistema.
•
El sistema informático no solicita al usuario, el cambio del Password en forma mensual.
-Efectos y/o implicancia probables •
Existe la imposibilidad de establecer responsabilidades dado que esta se encuentra dividida entre el área de sistema y los usuarios finales.
•
La falta de seguridad en la utilización de los Password, podrían ocasionar fraudes por terceros.
- Sugerencia •
Implementar algún software de seguridad y auditoria existente en el mercado o desarrollar uno propio.
•
Establecer una metodología que permita ejercer un control efectivo sobre el uso o modificación de los programas o archivos por el personal autorizado.
UNIVERSIDAD NACIONAL DE MOQUEGUA 14
AUDITORIA INFORMATICA – OLVA COURIER A.5. Plan de Contingencias -Situación En el transcurso de nuestro trabajo hemos observado lo siguiente: •
Ausencia de un Plan de Contingencia debidamente formalizado en el Área de Informática.
•
No existen normas y procedimientos que indiquen las tareas manuales e informáticas que son necesarias para realizar y recuperar la capacidad de procesamiento ante una eventual contingencia (desperfectos de equipos, incendios, cortes de energía con más de una hora ), y que determinen los niveles de participación y responsabilidades del área de sistemas y de los usuarios.
•
No existen acuerdos formalizados de Centro de Cómputos paralelos con otras empresas o proveedores que permitan la restauración inmediata de los servicios informáticos de la Empresa Olva Courier en tiempo oportuno, en caso de contingencia.
-Efectos y/o implicancia probable •
Pérdida de información vital.
• • •
Pérdida de la capacidad de procesamiento.
-Sugerencias •
Establecer un plan de contingencia escrito, en donde se establezcan los procedimientos manuales e informáticos para restablecer la operatoria normal de la Empresa Olva Courier y establecer los responsables de cada sistema.
•
Efectuar pruebas simuladas en forma periódica, a efectos de monitorear el desempeño de los funcionarios responsables ante eventuales desastres.
•
Establecer convenios bilaterales con empresas o proveedores a los efectos de asegurar los equipos necesarios para sustentar la continuidad del procesamiento. UNIVERSIDAD NACIONAL DE MOQUEGUA
15
AUDITORIA INFORMATICA – OLVA COURIER B. Desarrollo y mantenimiento de los sistemas de aplicaciones B.1. Entorno de Desarrollo y mantenimiento de las aplicaciones -Situación •
No existe documentaciones técnicas del sistema integrado de la Cooperativa y tampoco no existe un control o registro formal de las modificaciones efectuadas.
•
No se cuenta con un Software que permita la seguridad de las librerías de los programas y la restricción y/o control del acceso de los mismos.
•
Las modificaciones a los programas son solicitadas generalmente sin notas internas, en donde se describen los cambios o modificaciones que se requieren.
Efectos y/o implicancias probables •
La escasa documentación técnica de cada sistema dificulta la compresión de las normas, demandando tiempos considerables para su mantenimiento e imposibilitando la capacitación del personal nuevo en el área.
•
Se incrementa aún más la posibilidad de producir modificaciones erróneas y/o no autorizadas a los programas o archivos y que las mismas no sean detectadas en forma oportuna.
-Sugerencias Para reducir el impacto sobre los resultados de los efectos y consecuencias probables sugerimos: •
Elaborar toda la documentación técnica correspondiente a los sistemas implementados y establecer normas y procedimientos para los desarrollos y su actualización.
•
Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas y aún de los programadores.
•
Implementar y conservar todas las documentaciones de prueba de los sistemas, como así también las modificaciones y aprobaciones de programas realizadas por los usuarios UNIVERSIDAD NACIONAL DE MOQUEGUA
16
AUDITORIA INFORMATICA – OLVA COURIER C. Área de Informática -Situación •
No existe una validación de la cuenta a donde debería acreditarse el monto del aporte social.
•
El inventario de salidas y entradas de cada operación se hace en forma manual, tanto en la parte de recepción de envíos, como de los envíos en procesos cuando se cae el sistema. .
-Efectos y/o implicancias probables La Empresa Olva Courier se encuentra expuesta a serios riesgos, entre ellos: •
Posibilidad de que ocurran errores por la falta de conocimiento del tema contable en el área operativa.
•
Alto riesgo de que el usuario final pueda incurrir en cambios no autorizados en los sistemas, por cuanto que el usuario final tiene acceso irrestricto al mismo.
-Sugerencias •
Implementar debidamente los controles internos necesarios para el adecuado manejo del usuario final.
•
Implementar un sistema de respaldo de inventario de envíos automático.
UNIVERSIDAD NACIONAL DE MOQUEGUA 17
AUDITORIA INFORMATICA – OLVA COURIER 4. AUTOMATIZACION DE PROCESOS
UNIVERSIDAD NACIONAL DE MOQUEGUA 18
AUDITORIA INFORMATICA – OLVA COURIER 5. CONCLUSIONES La empresa OLVA COURIER tanto materiales como humanos, con lo anterior, se puede dar uno cuenta auditar una institución no es nada fácil, ya que si falla un elemento del que se compone, trae consigo un efecto domino, que hace que los demás elementos bajen su rendimiento, o en el peor de los casos sean causantes del fracaso de la institución. El factor humano es lo más importante, ya que si se cuenta con tecnología de punta, pero con personal no calificado o en desacuerdo con el desarrollo del Centro de Computo optara por renunciar, o bien por seguir rezagando al mismo Asimismo la capacitación es importantísima, ya que si no hay capacitación permanente, el personal técnico de la empresa decide abandonarla para buscar nuevos horizontes y mayor oportunidad, aun sacrificando el aspecto económico. El aspecto organizativo también debe estar perfectamente estructurado, y las líneas de mando deben estar bien definidas, evitando de esta manera la rotación innecesaria de personal, la duplicidad de funciones, las líneas alternas demando, etc. y que conllevan al desquiciamiento de la estructura organizacional. Hablando de seguridad, es indispensable el aseguramiento del equipo y de las instalaciones, así como de la información, el control de los accesos también es punto fundamental para evitar las fugas de información o manipulación indebida de esta. El Departamento de informática es la parte medular de la empresa, es en donde los datos se convierten en información útil a las diferentes áreas, es donde se guarda esta información y por consecuencia, donde en la mayoría de los casos se toman las decisiones importantes para la empresa. Además al realizar la presente auditoria nos damos cuenta que dentro del ambiente empresarial es de vital importancia contar con la información lo más valiosa que sea, a tiempo, de forma oportuna, clara, precisa y con cero errores para que se constituya en una herramienta poderosa para la toma de decisiones, viéndose reflejada en la obtención de resultados benéficos a los fines de la organización y justificar el existir de toda la organización o empresa. UNIVERSIDAD NACIONAL DE MOQUEGUA 19
AUDITORIA INFORMATICA – OLVA COURIER Como resultado de la Auditoria Informática realizada a la empresa “OLVA COURIER”, por el período comprendido entre 19-28 de Diciembre del 2013 podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoria. El área de Informática presenta deficiencias en: Y en el debido cumplimiento de sus funciones. Podremos estar tranquilos y seguros que nuestra función de auditores está funcionando como se debe, y saber que cuando se siguen estos lineamientos se obtendrán sistemas que no van a necesitar mantenimiento excesivo, que el cómputo va a ser parte de la solución y no parte del problema, como lo es hoy en día.
6. FIRMAS Elaborado por
Revisado por:
Autorizado por:
José Luis Callacondo
Isabel Vilca Quispe
Shirley Mamani Rodríguez
Firma
Firma
Firma
UNIVERSIDAD NACIONAL DE MOQUEGUA 20
AUDITORIA INFORMATICA – OLVA COURIER
RECOMENDACIONES
Realizar evaluaciones periódicas con el fin de medir el avance de cada uno de los procesos estudiados en este trabajo.
Se debe utilizar software aplicativo con licenciamiento, así como adecuar las instalaciones del área de informática, puesto que el espacio de trabajo de este es muy limitado y sin las seguridades fiscas pertinentes.
Hacer el uso del presente trabajo, con el fin de tomarlo como guía para futuras mejoras en TI.
UNIVERSIDAD NACIONAL DE MOQUEGUA 21
AUDITORIA INFORMATICA – OLVA COURIER CONSEJOS 1. Utiliza un buen antivirus y actualízalo frecuentemente. 2. Comprueba que tu antivirus incluye soporte técnico, resolución urgente de nuevos virus y servicios de alerta. 3. Asegúrate de que tu antivirus esté siempre activo. 4. Verifica, antes de abrir, cada nuevo mensaje de correo electrónico recibido. 5. Evita la descarga de programas de lugares no seguros en Internet. 6. Rechaza archivos que no hayas solicitado cuando estés en chats o grupos de noticias 7. Analiza siempre con un buen antivirus los disquetes que vayas a usar en tu ordenador. 8. Retira los disquetes de las disqueteras al apagar o reiniciar tu ordenador. 9. Analiza el contenido de los archivos comprimidos. 10. Mantente alerta ante acciones sospechosas de posibles virus. 11. Añade las opciones de seguridad de las aplicaciones que usas normalmente a tu política de protección antivirus. 12. Realiza periódicamente copias de seguridad. 13. Mantente informado. 14. Utiliza siempre software legal. 15. Exige a los fabricantes de software, proveedores de acceso a Internet y editores de publicaciones, que se impliquen en la lucha contra los virus
UNIVERSIDAD NACIONAL DE MOQUEGUA 22
AUDITORIA INFORMATICA – OLVA COURIER
BIBLIOGRAFIA
http://www.slideshare.net/AmdCdmas/informe-final-de-auditoria-informatica
http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html}
http://anaranjo.galeon.com/conceptos.htm
http://www.virtual.unal.edu.co/cursos/sedes/manizales/4060035/und_0/
http://auditoriainformaticafcat.blogspot.com/2012/02/ejemplo-de-propuesta-deauditoria.html
http://html.rincondelvago.com/auditoria-de-sistemas-informaticos.html
UNIVERSIDAD NACIONAL DE MOQUEGUA 23
AUDITORIA INFORMATICA – OLVA COURIER
ANEXOS
UNIVERSIDAD NACIONAL DE MOQUEGUA 24
AUDITORIA INFORMATICA – OLVA COURIER A. Cuestionario
de
Auditoría
correspondiente
al funcionamiento del Área de
Informática: ¿Se tiene restringida la operación del sistema de cómputo a los usuarios? SI ( )
NO ( )
¿Son funcionales los muebles asignados para los equipos de cómputo?
SI ( )
NO ( )
B. Cuestionario de Auditoría correspondiente a la seguridad física: ¿“OLVA COURIER” cuenta con extintores de fuego? SI ( )
NO ( )
SI ( )
NO ( )
¿Existe salida de emergencia?
¿Existe alarma para detectar fuego (calor o humo) en forma automática? SI ( )
NO ( )
¿Existen una persona responsable de la seguridad? SI ( )
NO ( )
El lugar donde se encuentra “OLVA COURIER” está situado a salvo de: a) ¿Inundación? ( ) b) ¿Terremoto? ( ) c) ¿Fuego? ( ) d) ¿Sabotaje? ( )
UNIVERSIDAD NACIONAL DE MOQUEGUA 25
AUDITORIA INFORMATICA – OLVA COURIER C. Cuestionario de Auditoria en Redes: ¿Están establecidos controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas, y para proteger los sistemas conectados? ______________________________________________________________________________ ______________________________________________________________________________ _______________________________________________________________
¿Existen
controles
especiales
para
mantener
la disponibilidad de los
servicios de red y computadoras conectadas? ______________________________________________________________________________ ______________________________________________________________________________ _______________________________________________________________
¿Existen protocolos de comunicaron establecida? ______________________________________________________________________________ ______________________________________________________________________________ _______________________________________________________________
¿Existe un plan de infraestructura de redes? ______________________________________________________________________________ ______________________________________________________________________________ _______________________________________________________________
UNIVERSIDAD NACIONAL DE MOQUEGUA 26
AUDITORIA INFORMATICA – OLVA COURIER ¿Existen
controles
y
procedimientos
de
gestión
para proteger el
acceso a las conexiones y servicios de red? ______________________________________________________________________________ ______________________________________________________________________________ _______________________________________________________________
FOTOS
UNIVERSIDAD NACIONAL DE MOQUEGUA 27
AUDITORIA INFORMATICA – OLVA COURIER
UNIVERSIDAD NACIONAL DE MOQUEGUA 28
AUDITORIA INFORMATICA – OLVA COURIER
UNIVERSIDAD NACIONAL DE MOQUEGUA 29
AUDITORIA INFORMATICA – OLVA COURIER
UNIVERSIDAD NACIONAL DE MOQUEGUA 30
AUDITORIA INFORMATICA – OLVA COURIER
UNIVERSIDAD NACIONAL DE MOQUEGUA 31
AUDITORIA INFORMATICA – OLVA COURIER
UNIVERSIDAD NACIONAL DE MOQUEGUA 32
AUDITORIA INFORMATICA – OLVA COURIER
UNIVERSIDAD NACIONAL DE MOQUEGUA 33
AUDITORIA INFORMATICA – OLVA COURIER
UNIVERSIDAD NACIONAL DE MOQUEGUA 34
AUDITORIA INFORMATICA – OLVA COURIER
UNIVERSIDAD NACIONAL DE MOQUEGUA 35
AUDITORIA INFORMATICA – OLVA COURIER PREGUNTAS –A. FISICA
SI
NO
1. ¿Se han adoptado medidas de seguridad en el departamento de Sistemas de información? 2. ¿Existe una persona responsable de la seguridad?
X
3. ¿Se ha dividido la responsabilidad para tener un mejor control de la Seguridad? 4. ¿Existe personal de vigilancia en la institución?
X
N/A
X
X
5. ¿Existe una clara definición de funciones entre los puestos clave?
X
6. ¿Se investiga a los vigilantes cuando son contratados directamente? 7. ¿Se controla el trabajo fuera de horario?
X X
8. ¿Se registran las acciones de los operadores para evitar que realicen X Algunas pruebas que puedan dañar los sistemas?. 9. ¿Existe vigilancia en el departamento de cómputo las 24 horas?
X
10. ¿Se permite el acceso a los archivos y programas a los Programadores, analistas y operadores?
X
11. ¿Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda entrar sin autorización?
X
12. ¿El centro de cómputo tiene salida al exterior? 13. ¿Son controladas las visitas y demostraciones en el centro de Cómputo? 14. ¿Se registra el acceso al departamento de cómputo de personas Ajenas a la dirección de informática? 15. ¿Se vigilan la moral y comportamiento del personal de la dirección de Informática con el fin de mantener una buena imagen y evitar un posible fraude? 16. ¿Se ha adiestrado el personal en el manejo de los extintores? 17. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los Extintores? 18. ¿Si es que existen extintores automáticos son activador por detectores Automáticos de fuego? 19. ¿Los interruptores de energía están debidamente protegidos, Etiquetados y sin obstáculos para alcanzarlos? 20. ¿Saben que hacer los operadores del departamento de cómputo, en Caso de que ocurra una emergencia ocasionado por fuego? 21. ¿El personal ajeno a operación sabe que hacer en el caso de una Emergencia (incendio)? 22. ¿Existe salida de emergencia? 23. ¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de esta puerta y de las ventanas, si es que existen? 24. ¿Se ha adiestrado a todo el personal en la forma en que se deben Desalojar las instalaciones en caso de emergencia?
X X X X
X X X X X X X
X
UNIVERSIDAD NACIONAL DE MOQUEGUA 36
AUDITORIA INFORMATICA – OLVA COURIER
SI NO N/A 25. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas X en el interior del departamento de cómputo para evitar daños al equipo? 26. ¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si X Existe? 27. ¿Se cuenta con copias de los archivos en lugar distinto al de la Computadora? 28. ¿Se tienen establecidos procedimientos de actualización a estas Copias? 29. ¿Existe departamento de auditoria interna en la institución? X 30. ¿Este departamento de auditoria interna conoce todos los aspectos de los sistemas? 31. ¿Se cumplen? 32. ¿Se auditan los sistemas en operación? 33. Una vez efectuadas las modificaciones, ¿se presentan las pruebas a X los interesados? 34. ¿Existe control estricto en las modificaciones? X 35. ¿Se revisa que tengan la fecha de las modificaciones cuando se X Hayan efectuado? 36. ¿Si se tienen terminales conectadas, ¿se ha establecido Procedimientos de operación? 37. ¿Se ha establecido que información puede ser acezada y por qué Persona?
PREGUNTAS- A. OFIMATICA
SI
NO
X X
X X X
X X
N/A
1. ¿Existe un informe técnico en el que se justifique la adquisición del equipo, software y servicios de
computación,
incluyendo
beneficio? 2. ¿Existe un comité que coordine y se responsabilice de todo el proceso de adquisición e instalación? 3. ¿Han elaborado un instructivo con procedimientos a seguir para la selección y adquisición de equipos, programas y servicios computacionales? 4. ¿se cuenta con software de oficina? 5. ¿Se han efectuado las acciones necesarias para una mayor participación de proveedores?
UNIVERSIDAD NACIONAL DE MOQUEGUA 37
un
e
AUDITORIA INFORMATICA – OLVA COURIER SI
NO
N/A
6. ¿Se ha asegurado un respaldo de mantenimiento y asistencia técnica? 7. ¿El acceso al centro de cómputo cuenta con las seguridades necesarias para reservar el ingreso
al personal autorizado?
8. ¿Se han implantado claves o password para garantizar operación de consola y equipo central
(mainframe), a personal autorizado?
9. ¿Se han formulado políticas respecto a seguridad, privacidad y protección de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violación? 10. ¿Se mantiene un registro permanente (bitácora) de todos
los
procesos
realizados, dejando
constancia de suspensiones o cancelaciones de 11. ¿Los
operadores
del
equipo central
procesos?
están
entrenados para recuperar o restaurar información en caso de destrucción de archivos? 12. ¿Los backups son mayores de dos (padres e hijos) y se guardan en lugaresseguros
y
adecuados, preferentemente en bóvedas de bancos? 13. ¿Se han implantado calendarios de operación a fin de establecer prioridades de proceso? 14. ¿Todas las actividades del Centro de Computo están normadas mediante manuales, instructivos, 15. ¿Las instalaciones cuentan con sistema de alarma por presencia de fuego, humo, así como extintores de incendio, conexiones eléctricas seguras, entre otras?
normas, reglamentos, etc.?
AUDITORIA INFORMATICA – OLVA COURIER SI
NO
N/A
16. ¿Se han instalado equipos que protejan la información y los dispositivos en caso de variación de
voltaje
como:
reguladores
de
voltaje,
supresores pico, UPS, generadore
17. ¿Se han contratado pólizas de seguros para proteger la información, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operación? 18. ¿Se han Adquirido equipos de protección como supresores de pico, reguladores de voltaje y de ser posible UPS previo a la adquisición del equipo? 19. ¿Si se vence la garantía de mantenimiento del proveedor se contrata mantenimiento preventivo y correctivo? 20. ¿Se establecen procedimientos para obtención de backups de paquetes y de archivos de datos? 21. ¿Se hacen revisiones periódicas y sorpresivas del contenido del disco para verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa? 22. ¿Se mantiene programas y procedimientos de detección e inmunización de virus en copias no 23. ¿Se propende a la estandarización del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrónicas, manejadores de base de datos y se mantienen actualizadas las versiones y la capacitación sobre modificaciones incluidas?
autorizadas o datos procesados en otros equi
AUDITORIA INFORMATICA – OLVA COURIER PREGUNTAS - A. BASE DE DATOS SI NO 1. Existe equipos o software de SGBD 2. La organización tiene un sistema de gestión de base de datos (SGBD) 3. Los datos son cargados correctamente en la interfaz grafica 4. Se verificará que los controles y relaciones de datos se realizan de acuerdo a Normalización libre de error 5. Existe personal restringido que tenga acceso a la BD 6. El SGBD es dependiente de los servicios que ofrece el Sistema Operativo 7. La interfaz que existe entre el SGBD y el SO es el adecuado 8. ¿Existen procedimientos formales para la operación del SGBD? 9. ¿Están actualizados los procedimientos de SGBD? 10. ¿La periodicidad de la actualización de los procedimientos es Anual ? 11. ¿Son suficientemente claras las operaciones que realiza la BD? 12. ¿Existe un control que asegure la justificación de los procesos en el computador? (Que los procesos que están autorizados tengan una razón de ser procesados) 13. ¿Se procesa las operaciones dentro del departamento de cómputo? 14. ¿Se verifican con frecuencia la validez de los inventarios de los archivos magnéticos? 15. ¿Existe un control estricto de las copias de estos archivos? 16. ¿Se borran los archivos de los dispositivos almacenamiento, cuando se desechan estos?
de
17. ¿Se registran como parte del inventario las nuevas cintas magnéticas que recibe el centro de computo? 18. ¿Se tiene un responsable del SGBD?
N/A
AUDITORIA INFORMATICA – OLVA COURIER SI NO
N/A
19. ¿Se realizan auditorias periódicas a los medios de almacenamiento? 20. ¿Se tiene relación del personal autorizado para manipular la BD? 21. ¿Se lleva control sobre los archivos trasmitidos por el sistema?
22. ¿Existe un programa de mantenimiento preventivo para el dispositivo del SGBD? 23. ¿Existen integridad de los componentes y de seguridad de datos? 24. De acuerdo con los tiempos de utilización de cada dispositivo del sistema de cómputo, ¿existe equipo capaces que soportar el trabajo? 25. ¿El SGBD tiene capacidad de teleproceso? 26. ¿Se ha investigado si ese tiempo de respuesta satisface a los usuarios? 27. ¿La capacidad de almacenamiento máximo de la BD es suficiente para atender el proceso por lotes y el proceso remoto?
PREGUNTAS – A. DE REDES 1. La gerencia de redes tiene una política definida
de planeamiento de tecnología de red? 2. Esta política es acorde con el plan de calidad de la
organización 3. La gerencia de redes tiene un plan que permite modificar en
forma oportuna el plan a largo plazo de tecnología de redes , teniendo en cuenta los posibles cambios tecnológicos o en la organización? 4. Existe un inventario de equipos y software asociados a
las redes de datos?
SI
NO
N/A
AUDITORIA INFORMATICA – OLVA COURIER
SI 6. Existe un plan de infraestructura de redes? 7. El plan de compras de hardware y software para el sector redes está de acuerdo con el plan de infraestructura de redes? 8.
La responsabilidad operativa de las redes esta separada de las de operaciones del computador?
9. Están establecidos controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas, y para proteger los sistemas conectados 10. Existen controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas? 11. Existen controles y procedimientos de gestión para proteger el acceso a las conexiones y servicios de red.? 12. Existen protocolos de comunicaron establecida
13. Existe una topología estandarizada en toda la organización 14. Existen normas que detallan que estándares que
deben cumplir el hardware y el software de tecnología de redes? 15. ¿La transmisión de la información en las redes es segura? 16. ¿El acceso a la red tiene password?
NO
N/A