Auditoria Informatica-municipalidad Huaraz

UNIVERSIDAD PRIVADA SAN PEDRO HUARAZ

C

AUDITORIA DE SISTEMAS

2

CA PIT ULO

I AUDITOR IA I NF OR MA T ICA


3

1. TOMA DE CONTACTO 2. DEFINICIÓN DEL ALCANCE. 3. RECURSOS Y TIEMPO. 4. PROGRAMA DE TRABAJO: RECOPILACIÓN DE INFORMACIÓN. 5. IDENTIFICACIÓN DE RIESGOS POTENCIALES. 6. DEFINICIÓN DE PRUEBAS. 7. OBTENCIÓN DE RESULTADOS. 8. CONCLUSIONES Y COMENTARIOS. COMENTARIOS. . RE!ISIÓN Y CIERRE DE PAPELES DE TRABAJO. 1". PREPARACIÓN DEL BORRADOR DEL INFORME. 11. DISCUSIÓN DEL INFORME. 12. EMISIÓN Y DISTRIBUCIÓN. 13. PLAN DE MEJORAS.


4

AUDITORIA INFORMATICA 1.1.ORIGEN DE LA AUDITORIA: La presente Auditoria se realiza en cumplimiento del Plan Anual de Control 2003, aprobada mediante Resolución de Contraloría N° 235 2002C! del "5 de #iciembre del 2002$

1.2.OBJETIVOS Y ALCANCE 1.2.1. OBJETIVO GENERAL Re%isar & '%aluar los controles, sistemas, procedimientos de in(orm)tica* de los e+uipos de cómputo, su utilización, e(iciencia & seuridad, de la oranización +ue participan en el procesamiento de la in(ormación, a (in de +ue por medio del se-alamiento de cursos alternati%os se lore una utilización m)s e(iciente & seura de la in(ormación +ue ser%ir) para una adecuada toma de decisiones$

1.2.2. OBJETIVOS ESPECIFICOS '%aluar el dise-o & prueba de los sistemas del )rea de .n(orm)tica #eterminar la %eracidad de la in(ormación del )rea de .n(orm)tica '%aluar los

procedimientos

de

control

de

operación, analizar

su

estandarización & e%aluar el cumplimiento de los mismos$ '%aluar la (orma como se administran los dispositi%os de almacenamiento b)sico del )rea de .n(orm)tica '%aluar el control +ue se tiene sobre el mantenimiento & las (allas de las Pcs$ /eri(icar las disposiciones & relamentos +ue coad&u%en al mantenimiento del orden dentro del departamento de cómputo$


5

1.3.ANTECEDENTES La con%ención Nacional el 2 de #iciembre de "15 aprueba la le& +ue es promulada por el libertador Ramón Castilla disponiendo + el #pto$ de o+ueua, con(ormando por 04 pro%incias 6acna, Arica, 6arapac) & o+ueua, entre otros #ptos$, #ptos$, procedan a constituir constituir 7untas electorales en las capitales de #ptos$, #ptos$, pro%incias & distritos, para + se eli7an las primeras unicipalidades establecidas por la constitución$ 'n la Capital de la Pro%incia de o+ueua, debían eleirse "" unicipalidades, en el resto de la Pro%incia 86orata, 9mate, :binas, Carumas, Pu+uina, .loe .c;u-aetiembre de "45$ Actualmente la unicipalidad Pro%incial de ariscal Nieto cuenta con una in(raestructura moderna ubicada en la calle Ancas; N° 25

1.4.ENFOQUE A UTILIZAR UTILIZAR La presente acción de control, se realiza de acuerdo con el oranismo central & rector de los >istemas >istemas Nacionales de 'stadística 'stadística e .n(orm)tica, .n(orm)tica, responsable responsable de normar, super%isar & e%aluar los m?todos, procedimientos & t?cnicas estadísticas e in(orm)ticas utilizados por los óranos órano s del >istema .N'. 8.nstituto Nacional de 'stadística e .n(orm)tica<, Normas .nternacionales de Auditoria 8N.A<* ;abi?ndose aplicado procedimientos de Auditoria +ue se consideraron necesarios de acuerdo a las circunstancias$


6

La presente Auditoria .n(orm)tica se realizara en la unicipalidad Pro%incial de ariscal Nieto, ubicada en el #istrito de o+ueua, Pro%incia ariscal Nieto #epartamento de o+ueua, siendo el )rea a e=aminarse la de .n(orm)tica$

1.5.RELACION DE FUNCIONARIOS O PERSONAL A CARGO DEL AREA A EXAMINAR P!)#%$% $! G!&,#- A!""#$%&

C*)+%

N%'()!& C!)0*,!& G*'!&

I0*

M*/#)#* Z!(*""%& V#/,%)#* V!"*&! Z**,* S%#* G*'! V#""* C!"#*

D!"

A"

D%'#/#"#%

@e(e

0"$0 0"$0"$ "$0 03 30$ 30$"2$0 "2$03 3 A%$ alt alta a N°23 N°232 2

Planillas

0"$0"$03 30$"2$03 Calle Lima NB 44 Calle 3o+ueua

>ecretaria

0"$0"$03 30$"2$03

>ec >ecretari aria

0"$0"$0 "$03 30$" 0$"2$0 2$03 Calle Lima ima N° N°"42 "420

N°"45

1.6.CRONOGRAMA 1.6.CRONOGRAMA DE TRABAJO PROGRAMA DE AUDITORIA EMPRESA: unicipalidad Pro%incial ariscal Nieto A>'

AC6./.#A#

'CDA D9@A N° D9RA>

'NCAR!A#9>

'>6.A#A> .

/.>.6A PR'L..NAR

1 D>$

>olicitud de anuales & #ocumentaciones$ 'laboración de los cuestionarios$ Recopilación de la in(ormación oranizacional estructura or)nica, recursos ;umanos, presupuestos$


7

..

#'>ARR9LL9 #' LA A:#.69R.A

32 D>$

Aplicación del cuestionario al personal$ 'ntre%istas a líderes & usuarios mas rele%antes de la dirección$ An)lisis de las cla%es de acceso, control, seuridad, con(iabilidad & respaldos$ '%aluación de la estructura or)nica departamentos, puestos, (unciones, autoridad & responsabilidades$ '%aluación de los Recursos Dumanos & de la situación Presupuestal & inanciera desempe-o, capacitación, condiciones de traba7o, recursos en materiales & (inancieros mobiliario & e+uipos$ '%aluación de los sistemas rele%amiento de DardEare & >o(tEare, e%aluación del dise-o lóico & del desarrollo del sistema$ '%aluación del Proceso de #atos & de los '+uipos de Cómputos seuridad de los datos, control de operación, seuridad (ísica & procedimientos de respaldo$ ...

R'/.>.9N F PR'.N9R'

"G D>$

Re%isión de los papeles de traba7o$ #eterminación del #ianostico e .mplicancias$ 'laboración de la Carta de !erencia$ 'laboración del orrador$ ./

.N9R'

4 D>$

'laboración & presentación del .n(orme$


8

DIAGRAMA DE GANTT

1.7.DOCUMENTOS A SOLICITAR Políticas, est)ndares, normas & procedimientos$ Plan de sistemas$ Planes de seuridad & continuidad Contratos, pólizas de seuros$ 9ranirama & manual de (unciones$ anuales de sistemas$ Reistros 'ntre%istas Arc;i%os Re+uerimientos de :suarios

1.8.EJECUCION DE LA REVISION ESTRATEGICA ESTRATEGICA 1.8.1. CONOCIMIENT CONOCIMIENTO O INICIAL INICIAL DE LA ENTIDAD


9

Anteriormente, el obierno local de la pro%incia de ariscal Nietoo+ueua ocupaba una casona ubicada en la calle o+ueua N° 15", inmueble cu&a construcción data de " & +ue (ue donada a la unicipalidad de o+ueua el 05 de >etiembre de "45$ Actualmente la unicipalidad Pro%incial de ariscal Nieto cuenta con una in(raestructura moderna ubicada en la calle Ancas; N° 25

1.8.2. AUTORIDADES DE LA MUNICIPALIDAD MUNICIPALIDAD PROVINCIAL PROVINCIAL DE MARISCAL MARISCAL NIETO

NOMBRE

CARGO

#r$ /icente Antonio

Alcalde

Heballos >alinas #r$ @a%ier lores Arocutipa a$ Dilda !ue%ara !omez .n$ 9scar Paredes /aras a$ /ictor Corne7o

/icerrector #ecana de la acultad de Ciencias de la >alud #ecano de la acultad de .neniería

#ecano de Cs$@urídicas,

Rodriuez

'mpresariales & Pedaóicas$

1.8.3. PRINCIPALES PRINCIPALES ACTIVIDADES: Acordar su r?imen de Irano .nterior Aprobar su presupuesto Aprobar sus ienes & Rentas Crear, modi(icar, suprimir o e=aminar sus contribuciones, atribuciones & derec;o, con(orme a Le&$ 9ranizar, Relamentar & Administrar sus ser%icios pJblicos locales$


10

Contratar con otras entidades pJblicas & no pJblicas, pre(erentemente locales, la atención de los ser%icios +ue no administraron directamente$ Plani(icar el desarrollo de sus pueblos & e7ecutar los planes correspondientes$ '=aminar el cumplimiento de sus propias Normas, a tra%?s de sus propios medios o con el au=iliar de las (uerzas policiales$ Celebrar contratos con otros municipios para oranizar ser%icios comunes$ Promo%er & oranizar la participación de los %ecinos en el desarrollo comunal$

1.8.4. FUNCIONES GENERALES Plani(icar, e7ecutar e impulsar, a tra%?s de los óranos correspondientes, el con7unto de acciones destinadas a proporcionar al ciudadano, el ambiente adecuado para las satis(acciones de sus necesidades %iales de %i%ienda, salubridad, abastecimiento, educación, recreación, transporte & comunicación$ ormular el plan de desarrollo distrital en concordancia con las necesidades & re+uerimientos de la población oranizada & los planes de desarrollo nacional & reional$ Conducir los proramas de acondicionamiento territorial, %i%ienda & seuridad colecti%a, con(orme lo establece la le& or)nica de municipalidades, %elando por su e7ecución$


11

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI CONSEJO MUNICIPAL

COMISIONES ORDINARIAS CONSEJO DE COORDINACION PROVINCIAL

CONSEJO DE COORDINACION DISTRITAL OFICINA DE AUDITORIA

JUNTA DE DELEGADOS VECINALES

1.9.ORGANIGRAMA

ALCALDIA

PROCURADURIA MUNICIPAL SU! GERENCIA SECRETARIA GENERAL

COMITÉ MUNICIPAL DEFENSORIA DEL NIÑO  DEL ADOLECENTE

SU! GERENCIA DE IMAGEN INSTITUCIONAL

COMITÉ PROVINCIAL DE DEFENSA CIVIL

COMITÉ DE DEFENSA DEL USUARIO

GERENCIA MUNICIPAL

SU! GERENCIA SUPERVISION SECRETARIA GENERAL

GERENCIA DE ADMINISTRACION

SU! GERENCIA DE EJCUCION COACTIVA

GERENCIA DE ASESORIA JURIDICA

GERENCIA DE FISCALI"ACION  PRESUPUESTO

GERENCIA DE ADMINISTRACION TRI!UTARIA

SU! GERENCIA DE INVESTIGACION  C#T#I#

SU! GERENCIA DE CONTA!ILIDAD  TESORERIA

SU! GERENCIA DE RECA!ACION TRI!UTARIA

SU! GERENCIA DE LOGISTICA  CONTROL PATRIMONIAL

SU! GERENCIA DE FISCALI"ACION TRI!UTARIA

SU! GERENCIA DE PLANIFICACION  PRESIPUESTO

SU! GERENCIA DESARROLLO ORGANI"ACI%N E INFORMATICA

SU! GERENCIA DE RECURSOS $UMANOS

GERENCIA DE RECURSOS $UMANOS

GERENCIA DE SERVICIOS A LA CIUDAD

GERENCIA DE DESARROLLO ECONOMICO SOCIAL

GERENCIA DE INVERSION

SU! GERENCIA DE PRE INVERCION SU! GERENCIA PLANEAMIENTO  CONTROL UR!ANO

SU! GERENCIA DE SERVICIOS PU!LICOS

SU! GERENCIA DE DESARROLLO ECONOMICO SU! GERENCIA DE INVERCION

SU! GERENCIA TRANSPORTE  SEGURIDAD VIAL

SU! GERENCIA DE DESARROLLO AM!IENTAL

SU! GERENCIA DE A!ASTECIMIENTO  COMERCIALI"ACION

SU! GERENCIA DE DESARROLLO SOCIAL UNIDAD OPERATIVA GRIFO MUNICIPAL

SU! GERENCIA DE SEGURIDAD CIUDADANA UNIDDA OPERATIVA SERVICIO MA&UINARIA  E&UIPO

UNIDAD OPERATIVA PANTA DE PREFA!RICADOS

ENTIDAD PRESTADORA DE SERVICIOS DE SANEAMIENTO

1.1. MARCO LEGAL APLICABLE


MUNICIPALIDADES DE CENTROS PO!LADOS

12

COMITÉ ADMINISTRACION PROGRAMA VASO DE LEC$E

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

La base normati%a empleada est) compuesta por las Normas .nternacionales de Auditoría 8N.AKs< "00" >istemas de icrocomputadorasM, "002 >istemas de icrocomputador icrocomputadoras as en LíneaM, "003 >istemas de ases de #atosM, #atosM, "001 '%aluación de Riesos & Control .nternoM & el marco C9.6$

1.11. SISTEMAS Y CONTROLES IDENTIFICADOS *; C%,)%" $! A/,#0#$*$!& < O!)*/#%!&. La unicipalidad Pro%incial de ariscal Nieto a (ormulado el Relamento de 9ranización & unciones 8R9<, Asimismo la entidad ;a (ormulado el anual de 9ranización & unciones$

(; C%,)%"!& $! $! C%=#*(#"#$*$ C%=#*(#"#$*$ < V*"#$! $! "* I=%)'*/#-. I=%)'*/#-. Las (unciones & responsabilidades de cada (uncionario &o directi%o est)n establecidas en el Relamento !eneral .nterno, Relamento de 9ranización & unciones 8R9<$

1.12. OFICINA DE PLANEACION Y PRESUPUESTO 1.12. 1. 12.1. 1.

AREA AREA DE COMP COMPUT UTO O E INFO INFORM RMAT ATIC ICA A

MISION 'l )rea de Computo e in(orm)tica de la municipalidad Pro%incial de ariscal NietoO o+ueua, tiene por misión normar el adecuado uso & apro%ec;amiento de los recursos recursos in(orm)ticos* in(orm)ticos* la optimización optimización de las acti%idades, acti%idades, ser%icios ser%icios procesos procesos & acceso inmediato a in(ormación para la toma de decisiones, mediante el desarrollo, implantación & super%isión del correcto (uncionamiento de los sistemas


13


& comunicaciones, así como la ad+uisición ad+uisi ción & control de la pla ta(orma (ísica de computo$

VISION: 'l rea de cómputo e in(orm)tica, de la unicipalidad Pro%incial ariscal Nieto, capaz de liderar el desarrollo in(orm)tico, aseurando un marco transparente para el acceso a los ciudadanos a la in(ormación

1.12 1.12.2 .2..

SIT SITUACI UACION ON ACTUAL UAL

U(#/*/#-: 'l )rea de cómputo e in(orm)tica in(orm)tica or)nicament or)nicamente e depende de la o(icina o(icina de plani(icación & presupuesto, asumiendo la responsabilidad de diriir los procesos t?cnicos de in(orm)tica

R!/)&%& >'*%&: Actualmente en el )rea de cómputo e in(orm)tica labora una sola persona +uien cumple las (unciones de administración, capacitación, soporte & procesamiento de datos$

R!/)&%& #=%)'?,#/%& !@#&,!,!&:

>er%idores 8QindoEs 2000 >er%er<

"

Computadoras Personales

2

.mpresoras

"

1.12 1.12.3 .3.. OBJE OBJET TIVOS IVOS:: 'l )rea de Cómputo e in(orm)tica tiene los siuientes ob7eti%os >ectoriales


14


Apo&ar a las unicipalidades #istritales de la Pro%incia de ariscal Nieto$ 'standarizar & :ni(ormizar in(ormación rele%ante re(erente a los obiernos locales rindar un me7or ser%icio a los usuarios de o+ueua, a tra%?s de una paina Qeb

OBJETIVOS ESPECIFICOS ESPE CIFICOS PRESUPUESTADOS;: PRESUPUESTADOS;: '+uipamiento de la estión unicipal$ 9ptimizar las aplicaciones e=istentes a satis(acción de la municipalidad$ #iitalización de Partidas de Nacimiento, atrimonio & #e(unción rindar acceso a .nternet #ise-o & elaboración de p)inas Qeb$ Alo7amiento & antenimiento de la Paina Qeb$

1 .1 2 .4 .

ANALISIS FODA

F%),*"!*& o

#isponibilidad de recursos económicos$

o

Personal #irecti%o & t?cnico con amplia e=periencia8recursos ;umanos<

o

Capacidad de Con%ocatoria8#i(usión<

O%),#$*$!& o

Js+ueda de reducción de costos, apro%ec;ando la aparición de nue%as tecnoloías$

o

uen ser%icio & trato$

o

6endencias 6ecnolóicas eneran un amplio campo de acción

o

Predisposición & %oluntad de los nue%os directi%os para cambio 6ecnolóico


15


D!(#"#$*$!&

o

alta de planes & Proramas .n(orm)ticos$

o

Poca identi(icación del personal con la institución

o

.nestabilidad laboral del personal

o

'scasa capacidad de retención & %oluntad del personal

o

No e=iste proramas de capacitación & actualización al personal

o

La o(icina del rea de computo e in(orm)tica mu& reducido

o

Personal t?cnico Cali(icado insu(iciente en el )rea de computo

A'!**& o

Rotación permanente del personal imposibilitando continuidad a los ob7eti%os propuestos$

o

'standarizar & :ni(ormizar in(ormación rele%ante re(erente a los obiernos locales$


16


'laboración del in(orme Para la e%aluación de los sistemas tanto en operación como en desarrollo se lle%ar)n a cabo las siuientes acti%idades >olicitud del an)lisis & dise-o del os sistemas en desarrollo & en operación >olicitud de la documentación de los sistemas en operación 8manuales t?cnicos, de operación del usuario, dise-o de arc;i%os & proramas< Recopilación & an)lisis de los procedimientos administrati%os de cada sistema 8(lu7o de in(ormación,

DE AUDITORIA

PLAN

2.1.METODOLOGIA La metodoloía de in%estiación a utilizar en el pro&ecto se presenta a continuación Para la e%aluación del rea de .n(orm)tica se lle%ar)n a cabo las siuientes acti%idades >olicitud de los est)ndares utilizados & prorama de traba7o Aplicación del cuestionario al personal An)lisis & e%aluación del a in(ormación (ormatos, reportes & consultas< An)lisis de lla%es, redundancia, control, seuridad , con(idencial & respaldos An)lisis del a%ance de los pro&ectos en desarrollo, prioridades & personal asinado 'ntre%ista con los usuarios de los sistemas '%aluación directa de la in(ormación obtenida contra las necesidades & re+uerimientos del usuario An)lisis ob7eti%o de la estructuración & (lu7o de los proramas An)lisis & e%aluación de la in(ormación recopilada 'laboración del in(orme Para la e%aluación de los e+uipos se lle%ar)n a cabo las siuientes acti%idades >olicitud de los estudios de %iabilidad & características de los e+uipos actuales, pro&ectos sobre ampliación de e+uipo, su actualización AUDITORIA DE SISTEMAS

17


>olicitud de contratos de compra & mantenimientos de e+uipo & sistemas >olicitud de contratos & con%enios de respaldo >olicitud de contratos de >euros 'laboración de un cuestionario sobre la utilización de e+uipos, memoria, arc;i%os, unidades de entradasalida, e+uipos peri(?ricos & su seuridad /isita t?cnica de comprobación de seuridad (ísica & lóica de la instalaciones de la #irección de .n(orm)tica '%aluación t?cnica del sistema electrónico & ambiental de los e+uipos & del local utilizado '%aluación de la in(ormación recopilada, obtención de r)(icas, porcenta7e de utilización de los e+uipos & su 7usti(icación 'laboración & presentación del in(orme (inal 8 conclusiones & recomendaciones<

2.2.JUSTIFICACION Aumento considerable e in7usti(icado del presupuesto del de l PA# PA# 8#epartamento de Procesamiento de #atos< #esconocimiento en el ni%el directi%o de la situación in(orm)tica de la empresa alta total o parcial de seuridades lóicas & (isicas +ue aranticen la interidad

del personal, e+uipos e in(ormación$ #escubrimiento de (raudes e(ectuados con el computador alta de una plani(icación in(orm)tica 9ranización +ue no (unciona correctamente, (alta de políticas, ob7eti%os, normas, metodoloía, asinación de tareas & adecuada administración del Recurso Dumano #escontento eneral de los usuarios por incumplimiento de plazos & mala calidad de los resultados alta de documentación o documentación incompleta de sistemas +ue re%ela la di(icultad de e(ectuar el mantenimiento de los sistemas en producción

2.3.MOTIVO O NECESIDAD DE UNA AUDITORIA INOFRMATICA: 2.3.1. S,%'*& $! $!&/%%)$#*/#- $!&/%%)$#*/#- < $!&%)+*#*/#-: $!&%)+*#*/#-:


18


No coinciden los ob7eti%os del )rea de .n(orm)tica & de la propia .nstitución$ Los est)ndares de producti%idad se des%ían sensiblemente de los promedios conseuidos ;abitualmente$ Puede ocurrir con alJn cambio masi%o de personal, o en una reestructuración (allida de aluna )rea o en la modi(icación de aluna Norma importante

2.3.2. S,%'*& $! '*"* '*"* #'*+! ! #&*,#&=*//#- #&*,#&=*//#- $! "%& &*)#%&: &*)#%&: No se atienden las peticiones de cambios de los usuarios$ '7emplos cambios de so(tEare en los terminales de usuario, res(recamiento de paneles, %ariación de los (ic;eros +ue deben ponerse diariamente a su disposición, etc$ No se reparan las a%erías de ;ardEare ni se resuel%en incidencias en plazos razonables$ razonables$ 'l usuario percibe +ue est) abandonado abandonado & desatendido desatendido permanentemente$ No se cumplen en todos los casos los plazos de entrea de resultados periódicos$ Pe+ue-as des%iaciones pueden causar importantes desa7ustes en la acti%idad del usuario, en especial en los resultados de Aplicaciones críticas & sensibles$

2.3.3. S,%'*& $! $!(#"#$*$!& $!(#"#$*$!& !/%-'#/%=#*/#!)%: .ncremento desmesurado de costes$ Necesidad de 7usti(icación de .n%ersiones .n(orm)ticas 8la empresa no est) absolutamente con%encida de tal necesidad & decide contrastar opiniones<$ #es%iaciones Presupuestarias sini(icati%as$ Costes & plazos de nue%os pro&ectos 8deben auditarse simult)neamente a #esarrollo de Pro&ectos & al órano +ue realizó la petición<$ 2$3$4$ S,%'*& $! I&!+)#$*$: '%aluación de ni%el de riesos >euridad Lóica >euridad ísica


19


Con(idencialidad Los datos son propiedad inicialmente de la oranización +ue los enera$ Los datos de personal son especialmente con(idenciales


20


CA PIT ULO II A UDIT OR IA S


21


AUDITORIA FISICA SICA 1. A"/*/! $! "* A$#,%)#* 9ranización & cuali(icación del personal de >euridad$ Remodelar el ambiente de traba7o$ Planes & procedimientos$ >istemas t?cnicos de >euridad & Protección$

2. O(!,#0%& Re%isión de las políticas & Normas sobre seuridad ísica$ /eri(icar la seuridad de personal, datos, ;ardEare, so(tEare e instalaciones >euridad, utilidad, con(ianza, pri%acidad & disponibilidad en el ambiente in(orm)tico PREGUNTAS

SI

NO

"$ >e ;an adoptado medidas de seuridad en el departamento de sistemas de in(ormaciónS 2$ '=iste un a persona responsable de la seuridadS

X

3$ >e ;a di%idido di%idido la responsabilidad para tener un me7or control de la seuridadS 4$ '=iste personal de %iilancia en la instituciónS

X

X

X

5$ '=iste una clara clara de(inición de (unciones entre los puestos cla%eS

X

G$ >e in%estia a los %iilantes cuando son contratados directamenteS $ >e controla el traba7o (uera de ;orarioS

X X

1$ >e reistran las acciones de los operadores para e%itar +ue realicen X alunas pruebas +ue puedan da-ar los sistemasS$ $ '=iste %iilancia en el departamento de cómputo las las 24 ;orasS

X

"0$ >e permite el acceso a los arc;i%os & proramas a los proramadores, analistas & operadoresS ""$ >e ;a instruido a estas personas sobre +ue medidas tomar en caso de +ue aluien pretenda entrar sin autorizaciónS


N#A

X X

22


"2$ 'l centro de cómputo tiene salida al e=teriorS "3$ >on controladas controlada s las %isitas & demostraciones demostracione s en el centro de cómputoS "4$ >e reistra el acceso al departamento de partamento de cómputo de personas a7enas a la dirección de in(orm)ticaS "5$ >e %iilan la moral & comportamiento del personal de la dirección de in(orm)tica con el (in de mantener una buena imaen & e%itar un posible (raudeS "G$ >e ;a adiestrado el personal en el mane7o de los e=tintoresS "$ >e re%isa de acuerdo con el pro%eedor el (uncionamiento de los e=tintoresS "1$ >i es +ue e=isten e=tintores autom)ticos son acti%ador por detectores autom)ticos de (ueoS "$ Los interruptores de enería est)n debidamente proteidos, eti+uetados & sin obst)culos para alcanzarlosS 20$ >aben +ue ;acer los operadores del departamento de cómputo, en caso de +ue ocurra una emerencia ocasionado por (ueoS 2"$ 'l personal a7eno a operación sabe +ue ;acer en el caso de una emerencia 8incendioe re%isa (recuentemente +ue no est? abierta o descompuesta la cerradura de esta puerta & de las %entanas, si es +ue e=istenS 24$ >e ;a adiestrado a todo el personal en la (orma en +ue se deben desalo7ar las instalaciones en caso de emerenciaS 25$ >e ;a pro;ibido a los operadores el consumo de alimentos & bebidas en el interior del departamento de cómputo para e%itar da-os al e+uipoS 2G$ >e limpia con (recuencia el pol%o acumulado deba7o del piso (also si e=isteS 2$ >e cuenta con copias de los arc;i%os en luar distinto al de la computadoraS 21$ >e tienen establecidos procedimientos de actualización a estas copiasS 2$ '=iste departamento de auditoria interna en la instituciónS 30$ 'ste departamento de auditoria interna conoce todos los aspectos de los sistemasS 3"$ >e cumplenS 32$ >e auditan los sistemas en operaciónS

X X X X X X X X X X X X X X X X X

33$ :na %ez e(ectuadas las modi(icaciones, se se presentan las pruebas a X los interesadosS 34$ '=iste control estricto en las modi(icacionesS X 35$ >e re%isa +ue tenan la (ec;a (ec ;a de las modi(icaciones cuando se X ;a&an e(ectuadoS 3G$ >i se tienen terminales conectadas, se ;a establecido procedimientos de operaciónS 3$ >e ;a establecido +ue in(ormación puede ser acezada & por +u? personaS


X X X

X X

23


A$%&' ()&* + ,-&*: P*)* /*00*) 0 SI 37 13

100' (

  31.1 P*)* /*00*) 0 NO 37 24

100' (

  64.86 LISTADO DE !ERIFICACIÓN DE AUDITORIA FISICA G)*+,-. /*, ) *),# 1"" E50'

8" B$*

6" R 7$0*)

4" M, &(

2"

N( $90

L* )+,:* ) ; ,.*+;,-. /*, D) <=+ L* +)*+,* /*,* ) *. *)* ) ).+ L* <=.).+)* /*,* ) <=+ L .)>,.)* ) ;* )?,=* ) ;* <.,,.)* ) ,.*+;,.)* /*,* L ,./)*++ )* E; )?,=* )* L ,*+,,-. ) ;* ?,=* ) <=+ )*

E*0$*&; % *<0&-&*<0&-&- +,-&* % ;9$'( ;9$'( 100'


80'

60'

40'

20'

24

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI E>);).+)

!).

R);

M.,<

N <=;)

E:;,-. ) ; )>,*+)., @ * ) .<* )*;,-. *) ;); = ); ,*)B ); ).+ ) <=+# E; <=;,<,).+ ) ;* )+,:* /.<).+;)* ) ; .,,-. = ,.*+; ); ).+ ) -<=+# L /< ) )=+, ;* )** ,./<+,* ) ; .,,-.# L ./,,;, @ *),)* ); * ) ; ,./<,-. ,.*+,+,.; L *+,*/,-. ) ;* .))*,)* ) =) <=+,.; ) ; .,,-.# L *;,-.  ,).+,/,,-. ); ).+ ) -<=+ =@-# A.;,*,* ) ; );,<,+,-. );,<,+,-. ; <.) ). ?) *) <=;). 100' E>);).+)

80' !).

60' R);

40' M.,<

20' N <=;)

L );,<,+,-. )*=,; = ;* ,<).*,.)* /*,*# L );,<,+,-. +).;-, = ;* )?),<,).+* @ .,<,).+* ,./<+,*# A.;,*,* ) ; )*+,;, )*+,;, @ ); =:)H<,).+ ) ;* )** )**  = ,.*+; ); ).+ ) <=+# 100' E>);).+)

80' !).

60' R);

40' M.,<

20' N <=;)

80' !).

60' R);

40' M.,<

20' N <=;)

A.;,*,* ) ; +.*=)., ); + = ;* *,*# L ,,-. ); ).+ ) <=+ L* )?),<,).+* ) *), ); ).+ ) <=+ E:;,-. ); ,*)B *). ); ); <,+ 100' E>);).+) A.;,*,* ); <,).+) ) + E:; ); /.,.<,).+ ) ;* )?,=* E; ;; = ); + )* L* )?,=* ).+. . :).+,;,-.


25

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI L ,;<,.,-.

A.;,*,* ) ; *), /*, 100' E>);).+) L *), ) ;* )?,=*#

80' !).

60' R);

40' M.,<

20' N <=;)

E; )*+ ).+ ) <=+ )*+ ). L* )** ) *;, *.


26


INFORME DE AUDITORIA 1. I$!,#=#/*/#- $!" #=%)'! Auditoria (ísica$

2. I$!,#=#/*/#- $!" C"#!,! 'l )rea de .n(orm)tica

3. I$!,#=#/*/#- $! "* E,#$*$ A$#,*$* unicipalidad Pro%incial de o+ueua$

4. O(!,#0%& /eri(icar la estructura de distribución de los e+uipos$ Re%isar la correcta utilización de los e+uipos /eri(icar la condición del centro de cómputo$

5. >*""*+%& P%,!/#*"!& alta de presupuesto & personal$ alta de un local mas amplio No e=iste un calendario de mantenimiento alta de %entilación$ $(altan salida al e=terior '=iste salidas de emerencia$

6. A"/*/! $! "* *$#,%)#* Nuestra Nuestra auditoria, comprende comprende el presente presente periodo 2004 & se ;a realizado realizado especialmente al #epartamento de centro de cómputo de acuerdo a las normas & dem)s disposiciones aplicable al e(ecto$


27


7. C%/"&#%!&: Como resultado de la Auditoria podemos mani(estar +ue ;emos cumplido con e%aluar cada uno de los ob7eti%os contenidos en el prorama de auditoria$ 'l #epartamento de centro de cómputo presenta de(iciencias sobre todo en el debido cumplimiento de Normas de seuridad$

8. R!/%'!$*/#%!& Reubicación del local .mplantación de e+uipos de ultima eneración .mplantar e+uipos de %entilación .mplantar salidas de emerencia$ 'laborar un calendario de mantenimiento de rutina periódico $ Capacitar al personal$

9. F!/* D!" I=%)'!

PLAN'A.'N69 'CDA> 0"O"0O04 al "5O"004

'@'C:C.9N

.N9R'

"G"0O04 al 20O""04

23O""O04 al 21O""04

1. I$!,#=#/*/#- Y F#)'* D!" A$#,%) AP'LL.#9> F N9R'> AAN. C:6.PA Q.LF


CAR!9

A:#.69R >:P'R.9R

28


AUDITORIA DE LA OFIMATI ATICA 1. A"/*/! $! "* A$#,%)#*. Planes & procedimientos Políticas de antenimiento .n%entarios 9(imaticos Capacitación del Personal

2. O(!,#0%& $! "* A$#,%)#*. Realizar un in(orme de Auditoria con el ob7eto de %eri(icar la e=istencia de controles pre%enti%os, detecti%os & correcti%os, así como el cumplimiento de los mismos por los usuarios$

PREGUNTAS

SI

NO

NA

"$ '=iste un in(orme t?cnico en el +ue se 7usti(i+ue la ad+uisición del e+uipo, so(tEare & ser%icios de comput computació ación, n,

inclu&en inclu&endo do

un

estudio estudio

costo costo

bene(icioS 2$ '=iste

un

comit?

+ue

coordine

&

se

responsabilice de todo el proceso de ad+uisición e instalaciónS 3$ Dan elaborado un instructi%o con procedimientos a seuir para la selección & ad+uisición de e+uipos, proramas & ser%icios computacionalesS 4$ se cuenta con so(tEare de o(icinaS

5$ >e ;an e(ectuado las acciones necesarias para una ma&or participación de pro%eedoresS


29


G$ >e ;a aseurado un respaldo de mantenimiento mantenimiento & asistencia t?cnicaS $ 'l acceso al centro de cómputo cuenta con las seuridades necesarias para reser%ar el inreso al personal autorizadoS 1$ >e ;an implantado cla%es o passEord para arantizar operación de consola & e+uipo central 8main(rame<, a personal autorizadoS $ >e ;an (ormulado políticas respecto a seuridad, pri%acidad pri%acidad & protección protección de las (acilidades de procesam procesamient iento o ante e%entos e%entos como como incendi incendio, o, %andalismo, %andalismo, robo & uso indebido, intentos de %iolaciónS "0$ >e mantiene un reistro permanente 8bit)cora< de todos todos los procesos procesos realizados realizados,, de7ando de7ando constancia constancia de suspensiones suspensiones o cancelaciones cancelaciones de procesosS ""$ Los operadores del e+uipo central est)n entrenados para recuperar o restaurar in(ormación en caso de destrucción de arc;i%osS "2$ Los bacTups son ma&ores de dos d os 8padres 8padr es e ;i7os ;i7os<< & se uard uardan an en luar luares es seur seuros os & adecuado adecuados, s, pre(er pre(erent entemen emente te en bó%edas bó%edas de bancosS "3$ >e ;an implantado calendarios de operación a (in de establecer prioridades de procesoS "4$ 6odas las acti%idades del Centro de Computo est)n normadas mediante manuales, instructi%os, normas, relamentos, etc$S "5$ L Las instalaciones cuentan con sistema de alarma por presencia de (ueo, ;umo, así como e=tintores de incendio, cone=iones el?ctricas


30


seuras, entre otrasS "G$ >e ;an instalado e+uipos +ue prote7an la in(ormación & los dispositi%os en caso de %ariación de

%olta %olta7e 7e

como como

reul reulado adore ress

de

%olt %olta7e a7e,,

supresores pico, :P>, eneradores de eneríaS "$ >e ;an ;a n contratado pólizas póliza s de seuros para proteer la in(ormación, e+uipos, personal & todo rieso +ue se produzca por casos (ortuitos o mala operaciónS "1$ >e ;an Ad+uirido e+uipos de protección como supresores de pico, reuladores de %olta7e & de ser posible :P> pre%io a la ad+uisición del e+uipoS "$ >i se %ence la arantía de mantenimiento del pro%eedor se contrata mantenimiento pre%enti%o & correcti%oS 20$ >e establecen procedimientos para obtención de bacTups de pa+uetes & de arc;i%os de datosS 2"$ >e ;acen re%isiones periódicas & sorpresi%as del contenido del disco para %eri(icar la instalación de aplicaciones aplicaciones no relacionadas a la estión de la empresaS 22$ >e mantiene mantien e proramas pro ramas & procedimientos de detección e inmunización de %irus en copias no autorizadas o datos procesados en otros e+uiposS 23$ >e propende a la estandarización del >istema 9perati%o, 9perati%o, so(tEare utilizado utilizado como procesadores procesadores de palabras, palabras, ;o7as electrónicas, mane7adores mane7adores de base de datos & se mantienen actualizadas actualizadas las %ersiones %ersiones & la capacitación capacitación sobre modi(icaciones modi(icaciones incluidasS


31


24$ e=isten licencias

A$%&' () &* O+&<'&* .= P*)* /*00*) 0 SI 24 15

100' (

  62.5 P*)* /*00*) 0 NO 24 7

100' (

  18.1


32


INFORME DE AUDITORIA 1. I$!,#=#/*/#- $!" #=%)'! Auditoria de la 9(im)tica


3. I$!,#=#/*/#- $! "* E,#$*$ A$#,*$* unicipalidad Pro%incial ariscal Nieto

4. O(!,#0%& /eri(icar si el ;ardEare & so(tEare se ad+uieren siempre & cuando tenan la seuridad de +ue los sistemas computarizados proporcionaran ma&ores bene(icios +ue cual+uier otra alternati%a$ /eri(icar si la selección de e+uipos & sistemas de computación es adecuada /eri(icar la e=istencia de un plan de acti%idades pre%io a la instalación /eri(icar +ue los procesos de compra de 6ecnoloía de .n(ormación, deben estar sustentados en Políticas, Procedimientos, Relamentos & Normati%ida d en !eneral, +ue aseuren +ue todo el proceso se realiza en un marco de lealidad & cumpliendo con las %erdaderas necesidades de la oranizació n para ;o& & el (uturo, sin caer en omisiones, e=cesos o incumplimientos$ /eri(icar /eri(icar si e=isten e=isten arantías para proteer la interidad interidad de los recursos in(orm)ticos$ /eri(icar la utilización adecuada de e+uipos acorde a planes & ob7eti%os$

5. >*""*+%& P%,!/#*"!& alta de licencias de so(tEare$ alta de so(tEare de aplicaciones actualizados No e=iste un calendario de mantenimiento o(imatico$ altan material o(im)tica$


33


Carece de seuridad en Acceso restrinido de los e+uipos o(imaticos & so(tEare$

6. A"/*/! $! "* *$#,%)#* Nuestra auditoria, comprende el presente periodo 2004 & se ;a r ealizado especialmente al #epartamento de centro de cómputo de acuerdo a las normas & dem)s disposiciones aplicable al e(ecto$ 'l alcance ;a de de(inir con precisión el entorno & los límites en +ue %a a desarrollarse la auditoria 9(im)tica, se complementa con los ob7eti%os de ?sta$

7. C%/"&#%!&: Como resultado de la Auditoria podemos mani(estar +ue ;emos cumplido con e%aluar cada uno de los ob7eti%os contenidos en el prorama de auditoria$ 'l #epartamento de centro de cómputo presenta de(iciencias sobre el debido cumplimiento de Normas de seuridad$ La escasez de personal debidamente capacitado$ Cabe destacar +ue la sistema o(imatico pudiera ser%ir de ran apo&o a la oranización, oranización, el cual no es e=plotado en su totalidad por (alta de personal capacitado$

8. R!/%'!$*/#%!& >e recomienda contar con sellos & (irmas diitales :n de manual de (unciones para cada puesto de traba7o dentro del )rea$ Reactualizacion de datos$ .mplantación de e+uipos de ultima eneración


34


'laborar un calendario de mantenimiento de rutina periódico $ Capacitar al personal$

9. F!/* D!" I=%)'!

PLAN'A.'N69 'CD 'CDA> A> 0"O" 0"O"0O 0O04 04 al "5O"0 5O"00 04 4

'@'C:C.9N

.N9R'

"G"0 G"0O0 O04 4 al 20O" 0O""04 04

23O" 23O"" "O04 O04 al al 21O" 21O"" "04 04

1:. 1:. I$!,#=#/*/#- Y F#)'* D!" A$#,%) AP'LL.#9> F N9R'> U:.V9N'H AF6A CAR'N


CAR!9

A:#.69R >:P'R.9R

35


AUDITORIA DE LA DIRECCIO CCION 1. A"/*/! $! "* A$#,%)#*. 9ranización & cali(icación de la dirección de .n(orm)tica Plan 'strat?ico de >istemas de .n(ormación$ An)lisis de puestos Planes & Procedimientos Normati%a !estión 'conómica$

2. O(!,#0%& $! "* A$#,%)#*. Realizar un in(orme de Auditoria con el ob7eto de %eri(icar la adecuación de las medidas aplicadas aplicadas a las amenazas de(inidas, de(inidas, así como el cumplimiento cumplimiento de los re+uisitos e=iidos$

3. R!&",*$%& >e obtendr) .n(orme de Auditoria detectando riesos & de(iciencias en la #irección de .n(orm)tica$ Plan de recomendaciones a aplicar en (unción de o

Normati%a a cumplir

PREGUNTAS

SI

NO

NA

"$ La dirección de los ser%icios de in(ormación desarrollan reularmente planes a corto, medio & laro plazo +ue apo&en el loro de la misión & las metas enerales de la oranizaciónS 2$ #ispon #ispone e su inst institu itució ción n de un un plan plan 'strat 'strat?ic ?ico o de 6ecnoloía de .n(ormaciónS


36


3$ #urante el proceso de plani(icación, se presta adecuada atención al plan estrat?ico de la empresaS 4$ Las tareas & acti%idades en el plan tiene la correspondiente & adecuada asinación de recursosS 5$ '=iste un comit? de in(orm)ticaS

G$ '=isten

est)ndares

de

(uncionamiento

&

procedimientos +ue obiernen la acti%idad del )rea de .n(orm)tica .n(orm)tica por un lado & sus relaciones con los departamentos usuarios por otroS $ '=isten

est)ndares

de

(uncionamiento

&

procedimientos & descripciones de puestos de traba7o adecuados & actualizadosS 1$ Los

est)ndares

&

procedimientos

e=istentes

promue%en una (iloso(ía adecuada de controlS $ Las descripciones de los puestos de traba7o re(le7an las acti%idades realizadas en la pr)cticaS "0$ La selección sele cción de personal se basa ba sa en criterios ob7eti%os & tiene en cuenta la (ormación, e=periencia & ni%eles de responsabilidadS ""$ ' 'l rendimiento de cada empleado se e%alJa reularmente en base a est)ndares establecidosS "2$ '=isten procesos para determinar las necesidades de (ormación de los empleados en base a su e=perienciaS "3$ '=isten controles +ue tienden a aseurar +ue el cambio de puesto de traba7o & la (inalización de los contratos laborales no a(ectan a los controles internos & a la seuridad in(orm)ticaS "4$ '=iste un presupuesto económicoS & ;a& un proceso para elaborarloS


37


"5$ '=isten procedimientos para la ad+uisición de bienes & ser%iciosS "G$ '=iste un plan operati%o anualS

"$ '=iste un sistema de reparto de costes in(orm)ticos & +ue este sea 7ustoS "1$ Cuentan con pólizas de seurosS "$ '=isten procedimientos procedimien tos para %iilar & determinar d eterminar permanentemente la leislación aplicableS

OBJETIVOS #eterminación de la utilidad de políticas, planes & procedimientos, así como su ni%el de cumplimiento '=aminar el proceso de plani(icación de sistemas de in(ormación & e%aluar si cumplen los ob7eti%os de los mismos$ /eri(icar si el comit? de .n(orm)tica e=iste & cumple su papel adecuadamente$ Re%isar el emplazamiento del departamento de .n(orm)tica & e%aluar su dependencia (rente a otros$ '%aluar la e=istencia de est)ndares de (uncionamiento, procedimientos & descripciones de puestos de traba7o adecuados & actualizados$ '%aluar las características de la comunicación entre la #irección de .n(orm)tica & el personal del #epartamento$ /eri(icar la e=istencia de un sistema de reparto de costes in(orm)ticos & +ue este sea 7usto$


38


A$%&'()&* D&)&( .= P*)* /*00*) 0 SI 17 12

100' (

  7".58 P*)* /*00*) 0 NO 17 5

100' (

  2.41


39


AUDITORIA DE LA EXPLOTACION 1. A"/*/! $! "* A$#,%)#* '%aluación del personal & co;erencia de caros de la propia institución$ Normas & Procedimientos del )rea de in(orm)tica

2. O(!,#0%& Realizar un in(orme de Auditoria con el ob7eto de %eri(icar la adecuación de las (unciones +ue sir%en de apo&o a las tecnoloías de la in(ormación$

PREGUNTAS

SI

NO

NA

"$ e=iste personal con conocimiento & e=periencia su(iciente +ue oraniza el traba7o para +ue resulte lo mas e(icaz posible S 2$ e=isten procedimientos de sal%auardar, (uera de la instalación en relación con (ic;eros maestros manuales & proramas, +ue permitan construir las operaciones +ue sean necesariasS 3$ se aprueban por personal autorizado las solicitudes de nue%as aplicacionesS 4$ e=iste personal con autoridad su(iciente +ue es el +ue aprueba los cambios de unas aplicaciones por otrasS 5$ e=isten

procedimientos

adecuados

para

mantener

la

documentación al día S G$ tienen manuales todas las aplicaciones S $ e=isten controles +ue aranticen el uso adecuado de discos & cintasS 1$ e=isten

procedimientos

adecuados

para

conectarce

&

desconectarce de los e+uipos remotosS


40


$ se aprueban los proramas nue%os & los +ue se re%isan antes de ponerlos en (uncionamientoS "0$ re%izan & e%aluan los deparatamentop de usuario los resultados de las prue%as (inales dando su aprobación antes de poner en (uncionamiento las aplicaciones S ""$ al poner pone r en (uncionamiento nue%as aplicaciones o %ersiones actualizada (uncionan en paralelo las e=istentes durante un cierto tiempoS "$ >e restrine el acceso a los luares asinados para uardar los dispositi%os de almacenamiento, al personal autorizadoS 2$ >e tiene tiene relación del personal autorizado para (irmar la salida de arc;i%os con(idencialesS 3$ '=iste un procedimiento para reistrar los arc;i%os arc;i%os +ue se prestan & la (ec;a en +ue se de%ol%er)nS 4$ >e lle%a control sobre los arc;i%os prestados por la instalaciónS 5$ >e conser%a la cinta maestra anterior ;asta despu?s de la nue%a cintaS G$ 'l cintotecario controla la cinta maestra anterior pre%iendo su uso incorrecto o su eliminación prematuraS $ La operación de reemplazo es controlada controlada por el cintotecarioS 1$ >e utiliza la política de conser%ación de arc;i%os ;i7opadre abueloS $ 'n los procesos +ue mane7an arc;i%os en línea, '=isten procedimientos para recuperar los arc;i%osS "0$ 'stos procedimientos los conocen los operadoresS ""$ '=iste un responsable en caso de (allaS


41


"2$ '=pli+ue +ue políticas se siuen para la obtención de arc;i%os de respaldoS "3$ '=iste un procedimiento para el mane7o de la in(ormación de la cintotecaS "4$ Lo conoce & lo siue el cintotecarioS "5$ '=iste un prorama de traba7o de captación de datosS "G$ se controla las entradas de documentos (uenteS "$ Uue ci(ras de control se obtienenS >istema Ci(ras +ue se 9bser%aciones 9btienen "1$ e=isten

documento

de

entrada

se

tienenS

>istemas #ocumentos #pto$ +ue periodicidad 9bser%aciones proporciona el documento "$ >e anota +ue persona recibe la in(ormación & su %olumenS 20$ >e anota a +ue capturista se entrea la in(ormación, el %olumen & la ;oraS 2"$ >e %eri(ica la cantidad de la in(ormación recibida para su capturaS 22$ >e re%isan las ci(ras de control antes de en%iarlas a capturaS 23$ Para a+uellos procesos +ue no traian ci(ras ci (ras de control se ;a establecido criterios a (in de aseurar +ue la in(ormación es completa & %alidaS 24$ '=iste un procedimiento escrito +ue indi+ue como tratar la in(ormación in%)lida 8sin (irma ileible, no corresponden las ci(ras de controle custodian en un luar seuroS 2G$ >i se +ueda en el departamento de sistemas, Por cuanto tiempo se uardaS


42


2$ '=iste un reistro de anomalías en la in(ormación debido a mala codi(icaciónS 21$ '=iste una relación completa de distribución de listados, en la cual se indi+uen personas, secuencia & sistemas a los +ue pertenecenS 2$ >e %eri(ica +ue las ci(ras de las %alidaciones concuerden con los documentos de entradaS >e ;ace una relación de cuando & a +ui?n (ueron distribuidos los listadosS 30$ >e controlan separadamente los documentos con(idencialesS 3"$ >e apro%ec;a adecuadamente el papel de los listados inser%iblesS 32$ '=iste un reistro de los documentos +ue entran a capturarS 33$ >e lle%a un control de la producción por personaS 34$ e=iste par)metros de controlS

A$%&' ()&* E90 ('*& ;: P*)* /*00*) 0 SI 40 26

100' (

  65 P*)* /*00*) 0 NO 40 14

100' (

  35

INFORME DE AUDITORIA AUDITORIA DE SISTEMAS

43


1. I$!,#=#/*/#- $!" #=%)'! Auditoria de la '=plotación



4. O(!,#0%& /eri(icar el cumplimiento de plazos & calendarios de tratamientos & entrea de datos* la correcta transmisión de datos entre entornos di(erentes$ /eri(icar la e=istencia de normas enerales escritas para el personal de e=plotación en lo +ue se re(iere a sus (unciones /eri(icar la realización de muestreos selecti%os de la #ocumentación de las Aplicaciones e=plotadas$ /eri(icar /eri(icar cómo se prepara, se lanza & se siue la producción producción diaria$ )sicamente, la e=plotación .n(orm)tica e7ecuta procesos por cadenas o lotes suce su cesi si%o %oss 8 atc; tc ;W<, W< , o en tiem ti empo po real re al 86ie mpo Real ea lW<$ W< $ '%aluar las relaciones personales & la co;erencia de caros & salarios, así como la e+uidad en la asinación de turnos de traba7o$ /eri(icar la e=istencia de un responsable de >ala en cada turno de traba7o$ Re%isar la adecuación de los locales en +ue se almacenan cintas & discos, así como la per(ecta & %isible identi(icación de estos medios

5. >*""*+%& P%,!/#*"!& .ncumplimiento de plazos & calendarios de tratamientos & entrea de datos .ne=istencia & (alta de uso de los anuales de 9peración alta de planes de (ormación No e=iste proramas de capacitación & actualización al personal

6. A"/*/! $! "* *$#,%)#*


44


Nuestra Nuestra auditoria, comprende comprende el presente presente periodo 2004 & se ;a realizado realizado especialmente especialmente al )rea de .n(orm)tica .n(orm)tica de acuerdo a las normas & dem)s disposiciones aplicable al e(ecto$

7. C%/"&#%!&: Como resultado de la Auditoria de la >euridad realizada al unicipio, por el período comprendido entre el 0" de >etiembre al 24 de #iciembre del 2004, podemos mani(estar mani(estar +ue ;emos cumplido con e%aluar cada uno de los ob7eti%os contenidos en el prorama de auditoria$ 'l )rea de .n(orm)tica presenta de(iciencias sobre todo en el debido cumplimiento de sus (unciones & por la (alta de ellos$

8. R!/%'!$*/#%!& #eber)n realizarse muestreos selecti%os de la #ocumentación de las Aplicaciones e=plotadas Asinar un responsable del Centro de Cómputos en cada turno de traba7o$ Crear & ;acer uso de manuales de operación$ Re%isar los monta7es diarios & por ;oras de cintas o cartuc;os, así como los tiempos transcurridos entre la petición de monta7e por parte del >istema ;asta el monta7e real$ Realizar (unciones de operación, proramación & dise-o de sistemas deben estar claramente delimitadas$ Crear mecanismos necesarios a (in de aseurar +ue los proramadores & analistas no tenan acceso a la operación del computador & los operadores a su %ez no conozcan la documentación de proramas & sistemas

9. F!/* D!" I=%)'!


45


PLANEAMIENTO 'CDA>

EJECUCION

INFORME

0"O"0O04 al "5O"0 "G"0O04 al 20O"" 23O""O04 al 21O 04

04

""04

1. I$!,#=#/*/#- Y F#)'* D!" A$#,%)

APELLIDOS Y NOMBRES AR9D:ANCA AN6AD:ANAC9 .CD'LLA


CARGO A:#.69R >:P'R.9R

46


AUDITORI DITORIA DEL DESARRO ESARROLLO 1. A"/*/! $! "* A$#,%)#* Cone=iones Ci(rado >alidas ateEa& & routers Correo 'lectrónico P)inas Q' ireEalls

2. O(!,#0%& re%isar el cumplimiento del proceso completo de desarrollo de pro&ectos %eri(icar las metodoloías utilizadas %eri(icar el control interno de las aplicaciones, satis(acción de los usuarios & control de procesos & e7ecuciones de proramas críticos$ Re%isar el ciclo de desarrollo del so(tEare$

PREGUNTAS

SI

NO

NA

"$ '=iste el documento +ue contiene las (unciones +ue son competencia del )rea de desarrollo, esta aprobado por la dirección de in(orm)tica & se respetaS 2$ se comprueban los resultados con datos realesS

3$ '=iste un oranirama con la estructura estructura de oranización del )reaS 4$ '=iste un manual de oranización +ue reula las relaciones


47


entre puestosS 5$ '=iste la relación de personal adscrito al )rea, inclu&endo el puesto ocupado por cada personaS G$ 'l plan e=iste, es claro & realistaS $ 'st)n establecidos los procedimientos de promoción de personal a puestos superiores, teniendo en cuenta la e=periencia & (ormaciónS 1$ 'l )rea de desarrollo lle%a su propio control presupuestarioS $ >e ;ace un presupuesto por e7ercicio & se cumpleS "0$ 'l presupuesto presupues to esta en concordancia con los ob7eti%os o b7eti%os a cumplirS ""$ 'l personal de )rea de desarrollo desarrol lo cuenta con la (ormación adecuada & son moti%ados para la realización de su traba7oS "2$ '=isten procedimientos de contrataciónS "3$ Las personas seleccionadas cumplen los re+uisitos del puesto al +ue accedenS "4$ Las o(ertas de puestos del )rea se di(unden de (orma su(iciente (uera de la oranización & las selecciones se ;acen de (orma ob7eti%aS "5$ '=iste un plan de (ormación +ue este en consonancia con los ob7eti%os tecnolóicos +ue se tena en el )reaS "G$ 'l plan de traba7o del )rea tiene en cuenta cuen ta los tiempos de (ormaciónS "$ '=iste un protocolo de recepción  abandono para las personas +ue se incorporan o de7an el )reaS "1$ '=iste un protocolo & se respeta para cada incorporación  abandonoS "$ 'n los abandonos del personal se arantiza la protección del


48


)reaS 20$ '=iste una biblioteca & una ;emeroteca ;e meroteca accesibles por el personal del )reaS 2"$ 'sta disponible un numero su(iciente de libros, publicaciones periódicas, periódicas, monora(ías, monora(ías, de reconocido reconocido prestiio & el personal tiene acceso a ellosS 22$ 'l personal esta moti%ado en la realización de su traba7oS 23$ '=iste alJn mecanismo +ue permita a los empleados ;acer suerencias sobre me7oras en la oranización del )reaS 24$ '=iste rotación de personal & e=iste e =iste un buen ambiente de traba7oS 25$ La realización de nue%os pro&ectos se basa en el plan de sistemas en cuanto a ob7eti%osS 2G$ Las (ec;as de realización reali zación coinciden con los del plan pl an de sistemasS 2$ 'l plan de sistemas se actualiza con la in(ormación +ue se enera a lo laro de un procesoS 21$ Los cambios en los planes de los pro&ectos se comunican al responsable de mantenimiento del plan de sistemasS 2$ '=iste un procedimiento para la propuesta de realización de nue%os pro&ectosS 30$ '=iste un mecanismo para reistrar necesidades de desarrollo de nue%os sistemasS 3"$ >e respeta este mecanismo en todas las propuestasS 32$ '=iste un procedimiento de aprobación de nue%os pro&ectosS 33$ '=iste un procedimiento para asinar director di rector & e+uipo de de desarrollo a cada nue%o pro&ectoS 34$ >e tiene en cuenta a todas las personas disponibles cu&o per(il sea adecuado a los riesos de cada pro&ecto & +ue tena


49


disponibilidad para participarS 35$ '=iste un protocolo p rotocolo para solicitar al resto de las )reas la participación participación del personal en el pro&ecto pro&ecto & se aplica dic;o protocoloS 3G$ '=iste un procedimiento para conseuir los recursos materiales necesarios para cada pro&ectoS 3$ >e tiene implantada una metodoloía de desarrollo de sistemas de in(ormación soportada por ;erramientas de a&udaS 31$ La metodoloía metodolo ía cubre todas las (ases del desarrollo desarroll o & es adaptable a distintos tipos de pro&ectosS 3$ La metodoloía metodolo ía & las t?cnicas asociadas a la misma est)n adaptadas al entorno tecnolóico & a la oranización del )rea de desarrolloS 40$ '=iste un cataloo de las aplicaciones disponible en el )reaS 4"$ '=iste un reistro de problemas +ue se producen prod ucen en los pro&ectos del )reaS 42$ '=iste un cataloo de problemasS 43$ 'l cataloo es accesible para todos los miembros del )reaS 44$ >e reistran & controlan todos los pro&ectos (racasadosS

A$%&' ()&* D-*))(00(: P*)* /*00*) 0 SI 37 27

100' (

  72.7


50


P*)* /*00*) 0 NO 37 10

100' (

  27."2

INFORME DE AUDITORIA 1. I$!,#=#/*/#- $!" #=%)'! Auditoria de #esarrollo



4. O(!,#0%& /eri(icar el cumplimiento de los pro&ectos en proceso$ Re%isar el cumplimiento de la normas enerales Re%isar los recursos de la oranización /eri(icar los a%ances tecnolóicos$

5. >*""*+%& P%,!/#*"!& .ncumplimiento de plazos & calendarios de tratamientos & entrea de datos .ne=istencia & (alta de uso de los anuales de 9peración alta de planes de (ormación No e=iste proramas de capacitación & actualización al personal

6. A"/*/! $! "* *$#,%)#*


51


Nuestra Nuestra auditoria, comprende comprende el presente presente periodo 2004 & se ;a realizado realizado especialmente especialmente al )rea de .n(orm)tica .n(orm)tica de acuerdo a las normas & dem)s disposiciones aplicable al e(ecto$

7. C%/"&#%!&: La municipalidad no desarrolla so(tEare de paliación si no la ad+uiere$ $se cali(icado el ciclo de desarrollo de los procesos de la entidad en su )mbito de traba7o

8. R!/%'!$*/#%!& Asinar un responsable un responsable para todos los procesos del Centro de Cómputos$ >e debe asinar un rupo para el desarrollo de so(Eare$ Crear & ;acer uso de manuales de operación$ Realizar (unciones de operación, dise-o de sistemas$

9. F!/* D!" I=%)'!


EJECUCION

INFORME


04

""04

1. I$!,#=#/*/#- Y F#)'* D!" A$#,%)

APELLIDOS Y NOMBRES


CARGO

52


:V9H 9R 9R6'!A, A A#'L'.N'$

A:#.69R >: >:P'R.9R

AUDITORIA DEL MANT ENIMIENTO 1. A"/*/! $! "* A$#,%)#*. Planes & procedimientos de antenimiento Normati%a

2. O(!,#0%& $! "* A$#,%)#*. Realizar un in(orme de Auditoria con el ob7eto de e%aluar el mantenimiento correcti%o & pre%enti%o del so(tEare$

3. R!=!)!/#* L!+*" X 'st)ndares O .>9.'C "220 O .''' "04 O .''' "2" O .>9.'C "4G4

PREGUNTAS

SI

NO

NA

"$ '=iste un contrato de mantenimiento$ 2$ '=iste un prorama de mantenimiento pre%enti%o para cada dispositi%o del sistema de cómputoS 3$ >e lle%a a cabo tal proramaS 4$ ' '=isten tiempos de respuesta

&

de

compostura

estipulados en los contratosS


53


5$ >i los tiempos de reparación son superiores a los estipulados en el contrato, Uu? acciones correcti%as se toman para a7ustarlos a lo con%enidoS G$ '=iste plan de mantenimiento pre%enti%o$ S $ 'ste plan es proporcionado por el pro%eedorS pro%eedorS 1$ >e noti(ican las (allasS $ >e les da seuimientoS "0$ 6iene un plan loístico lo ístico para dar soporte al producto so(tEareS ""$ Los re+uerimientos de mantenibilidad se inclu&en en la Acti%idad de .niciación durante el Proceso de Ad+uisición 8.>9 "220< & se e%alJa durante el Proceso de #esarrolloS "2$ Las %ariaciones en el dise-o son super%isadas durante el desarrollo

p ar a

establecer

su

impacto

sobre

la

mantenibilidadS "3$ >e realizan %arios tipos de medidas para poder estimar la calidad del so(tEareS "4$ La mantenibilidad se tiene en cuenta antes de empezar a desarrollarS "5$ 'l desarrollador prepara un Plan de antenibilidad +ue establece pr)cticas especí(icas de mantenibilidad, así como recursos & secuencias rele%antes de acti%idadesS "G$ #urante el an)lisis de re+uerimientos, los siuientes aspectos +ue a(ectan a la mantenibilidad, son tomados en cuentaS .denti(icación & de(inición de (unciones, especialmente las opcionales$ '=actitud & oranización lóica de los datos$ Los .nter(aces 8de m)+uina & de usuario<$ Re+uerimientos de rendimiento$


54


Re+uerimientos

impuestos

po r

el

entorno

8presupuesto<$ !ranularidad 8detalle< de los re+uerimientos & su impacto sobre la trazabilidad$ Yn(asis del Plan de Aseuramiento de Calidad del >o(tEare 8>UAP< en el cumplimiento de las normas de documentación "$ La transición del so(tEare consiste con siste en una secuencia secuenc ia controlada controlada & coordinada coordinada de acciones acciones para trasladar trasladar un producto so(tEare desde la oranización +ue inicialmente ;a

realiza realizado do

el

desarro desarrollo llo

a

la

encarad encarada a

del

mantenimientoS "1$ La responsabilidad del mantenimiento se trans(iere a una oranización distinta, se elabora un Plan de 6ransiciónS +ue es lo +ue inclu&e este planS La trans(erencia de ;ardEare, so(tEare, datos & e=periencia desde el desarrollador al mantenedor$ Las tareas necesarias para +ue el mantenedor pueda implementar implementar una estrateia estrateia de mantenimiento mantenimiento del so(tEare$ "$ 'l mantenedor a menudo se encuentra con un producto so(tEare con documentaciónS 20$ >i no ;a& documentación, el mantenedor deber) crearlaS Realiza lo siuienteS a$ Comprender el dominio del problema & operar con el producto so(tEare$ b$ Aprender la estructura & oranización del producto so(tEare$ c$ #eterm #eterminar inar +u? +u? ;ace ;ace el product producto o so(tEa so(tEare$ re$ Re%i Re%isar sar las las especi(icaciones 8si las ;ubiera< 2"$ #ocumentos como

especi(icaciones,

manuales

de

mantenimiento para proramadores, manuales de usuario o uías de instalación pueden ser modi(icados o creados,


55


si (uese necesarioS 22$ 'l Plan de antenimiento es preparado por el mantenedor durante el desarrollo del so(tEare$ 23$ Los elementos ele mentos so(tEare re(le7a n la documentación de dise-oS 24$ Los productos so(tEare (ueron su(icientemente probados & sus especi(icaciones cumplidasS 25$ Los in(ormes

de

pruebas

son

correctos

&

las

discrepancias entre resultados actuales & esperados ;an sido resueltasS 2G$ La documentación docu mentación de usuario cumple c umple los est)ndares especi(icadosS 2$ Los costes & calendarios calend arios se a7ustan a los l os planes establecidosS

A$%&'()&* M*'&&'(: P*)* /*00*) 0 SI 25 18

100' (

  72 P*)* /*00*) 0 NO 25 7

100' (

  28


56


INFORME DE AUDITORIA 1. I$!,#=#/*/#- $!" #=%)'! Auditoria del antenimiento



4. O(!,#0%& Re%isar los contratos & las cl)usulas +ue est?n per(ectamente de(inidas en las cuales se elimine toda la sub7eti%idad & con penalización en caso de incumplimiento, para e%itar contratos +ue sean parciales$ /eri(icar el cumplimiento del contrato sobre el control de (allas, (recuencia, & el tiempo de reparación$ #ianóstico del sistema actual de mantenimiento$ /eri(icar el monta7e de m?todos de recopilación de in(ormación en )reas especí(icas$ /eri(icar la e=istencia de de planes estrat?icos de desarrollo$ /eri(icación de la e(ecti%idad del mantenimiento actual & los desarrollos & proramas pro&ectados$ /eri(icar la optimización de almacenes & repuestos$

5. >*""*+%& P%,!/#*"!& P?rdida de control P?rdida de una (uente de aprendiza7e, por+ue una acti%idad interna pasa a ser e=terna$ #ependencias del suministrador$


57


/ariaciones en la calidad del producto entreado al usuario (inal$ Problemas entre el personal$ :so de metodoloías para nue%os desarrollos, pero ausencia de ellas para el mantenimiento$ 6endencia a la desestructuración #i(icultad proresi%a de modi(icación alta de presupuesto alta de personal alta de apo&o de la #irección

6. A"/*/! $! "* *$#,%)#* Nuestra Nuestra auditoria, comprende comprende el presente presente periodo 2004 & se ;a realizado realizado especialmente especialmente al )rea de .n(orm)tica .n(orm)tica de acuerdo a las normas & dem)s disposiciones aplicable al e(ecto$

7. C%/"&#%!&: Como resultado de la Auditoria del antenimiento realizada al unicipio, por el período comprendido entre el 0" de >etiembre al 24 de #iciembre del 2004, podemos mani(estar mani(estar +ue ;emos cumplido con e%aluar cada uno de los ob7eti%os contenidos en el prorama de auditoria$ 'l )rea de .n(orm)tica presenta de(iciencias sobre todo en el debido cumplimiento de sus (unciones & por la (alta de ellos$

8. R!/%'!$*/#%!& odi(icación de un producto so(tEare, o de ciertos componentes, usando para el an)lisis del sistema e=istente t?cnicas de .neniería .n%ersa &, para la etapa de reconstrucción, ;erramientas de .neniería #irecta, de tal manera +ue se oriente oriente este este cambio cambio ;acia ma&ores ma&ores ni%eles ni%eles de (acilid (acilidad ad en cuanto cuanto a mantenimiento, reutilización, comprensión o e%olución$


58


Cateorizar los tipos de mantenimiento del so(tEare & para cada tipo plani(icar las acti%idades & tareas a realizar$ 'laborar un procedimiento oranizado para realizar la miración de un producto so(tEare desde un entorno operati%o antiuo a otro nue%o$ 'stablecer un acuerdo o contrato de mantenimiento entre el mantenedor & el cliente & las obliaciones de cada uno estos$ 'laborar un plan de mantenimiento +ue inclu&a el alcance del mantenimiento, +ui?n lo realizar), una estimación de los costes & un an)lisis de los recursos necesarios$

9. F!/* D!" I=%)'!

PLANEAMIENTO FEC>AS

EJECUCION

INFORME


04

"204

1. I$!,#=#/*/#- Y F#)'* D!" A$#,%)

APELLIDOS Y NOMBRES

CARGO

U:.V9N'H AF6A, CAR'N

A:#.69R >:P'R.9R


59


AUDITORIA DE BASE DE DE DATOS 1. A"/*/! $! "* *$#,%)#*: 'sta auditoria comprende solamente al )rea de cetro de computo de la municipalidad de mariscal mariscal nieto, con respecto respecto al cumplimiento cumplimiento del proceso Z#e !estión administración de la ase de #atos Z de la de manera +ue abar ca la e=plotación, mantenimiento, dise-o cara, post implementación, Los sistemas de estión de base de datos 8>!#<, 8>!#<, so(tEare de auditoria auditoria , sistema sistema operati%o protocolos protocolos & sistemas sistemas distribuidos$

2. O(!,#0%& M/eri(icar la responsabilidad para la plani(icación de planillas & control de los acti%os de datos de la oranizaciónM 8administrador de datos< /eri(icar la responsabilidad de la administración del entorno de la base de datosM 8administrador de la base de datos< Proporcionar ser%icios de apo&o en aspectos de oranización & m?todos, mediante la de(inición, implantación & actualización de ase de #atos &o procedimientos administrati%os con la (inalidad de contribuir a la e(iciencia

PREGUNTAS "$ '=iste e+uipos o so(tEare de >!#

SI

NO

NA

2$ La oranización tiene un sistema de estión de base de datos 8>!#< 3$ Los datos son carados correctamente en la inter(az ra(ica 4$ >e %eri(icar) +ue los controles & relaciones de datos se realizan de acuerdo a Normalización libre de error 5$ '=iste personal restrinido +ue tena acceso a la # G$ 'l >!# es dependiente de los ser%icios +ue o(rece el >istema 9perati%o


60


$ La inter(az +ue e=iste entre el >!# & el >9 es el adecuado 1$ '=isten procedimientos (ormales para la operación del >!#S $ 'st)n actualizados los procedimientos de >!#S "0$ La periodicidad de la actualización de los procedimientos es Anual S ""$ >on su(icientemente claras las operaciones +ue realiza la #S "2$ '=iste un control +ue aseure la 7usti(icación de los procesos en el computadorS 8Uue los procesos +ue est)n autorizados tenan una razón de ser procesados< "3$ >e procesa las operaciones dentro del departamento de cómputoS "4$ >e %eri(ican con (recuencia la %alidez de los in%entarios de los arc;i%os man?ticosS "5$ '=iste un control estricto de las copias de estos arc;i%osS "G$ >e borran los arc;i%os de los dispositi%os almacenamiento, cuando se desec;an estosS

de

"$ >e reistran como parte del in%entario las nue%as cintas man?ticas +ue recibe el centro de computoS "1$ >e tiene un responsable del >!#S "$ >e realizan auditorias periódicas a los medios de almacenamientoS 20$ >e tiene relación del personal autorizado para manipular la #S 2"$ >e lle%a control sobre los arc;i%os trasmitidos por el sistemaS 22$ '=iste un prorama de mantenimiento pre%enti%o para el dispositi%o del >!#S 23$ '=isten interidad de los componentes & de seuridad de datosS


61


24$ #e acuerdo acue rdo con los tiempos de utilización de cada dispositi%o del sistema de cómputo, e=iste e+uipo capaces +ue soportar el traba7oS 25$ 'l >!# tiene capacidad de teleprocesoS 2G$ >e ;a in%estiado si ese tiempo de respuesta satis(ace a los usuariosS 2$ La capaci capacidad dad de almacena almacenamie miento nto m)=i m)=imo mo de la # es su(iciente para atender el proceso por lotes & el proceso remotoS

A$%&' ()&* E90 ('*& ;: P*)* /*00*) 0 SI 24 19

100' (

  7.16 P*)* /*00*) 0 NO 24 100' 5 (   2".83


62


INFORME DE AUDITORIA 1. I$!,#=#/*/#- $!" #=%)'! Auditoria de ase de #atos$



4. O(!,#0%& '%aluar el tipo de ase de #atos, relaciones,

plata(orma o sistema

operati%o +ue traba7a, lla%es, administración administrac ión & dem)s aspectos +ue repercuten en su traba7o$ Re%isar del so(tEare institucional para la administración de la ase de #atos$

/eri(icar la actualización de la ase de #atos$ /eri(icar la optimización de almacenes de los ase de #atos Re%isar +ue el e+uipo utilizado tiene su(iciente poder de procesamiento & %elocidad en red para optimizar el desempe-o de la base de datos$

5. >*""*+%& P%,!/#*"!& No est)n de(inidos los par)metros o normas de calidad$ alta de presupuesto alta de personal


63


La erencia de ase de datos no tiene un plan +ue permite modi(icar en (orma oportuna el plan a laro plazo de tecnoloía, teniendo en cuenta los posibles cambios tecnolóicos & el incremento de la base de datos$$ No e=iste un calendario de mantenimiento de rutina periódico del so(tEare de(inido por la ase de datos$


7. C%/"&#%!&: Como resultado de la Auditoria podemos mani(estar +ue ;emos cumplido con e%aluar cada uno de los ob7eti%os contenidos en el prorama de auditoria$ 'l #epartamento de centro de cómputo presenta de(iciencias sobre todo en el debido cumplimiento de Normas de seuridad de datos & administración de la ase de #atos$

8. R!/%'!$*/#%!& 'laborar toda la documentación lóica correspondiente a los sistemas de administración de la #$ '%aluar e implementar un so(tEare +ue permita mantener el resuardo de acceso de los arc;i%os de proramas & aJn de los proramadores$ .mplementar la relaciones con las di(erentes )reas en cuanto al compartimiento de arc;i%os permitidos por las normas 'laborar un calendario de mantenimiento de rutina periódico $ Capacitar al personal al mane7o de la #$ #ar a conocer la importancia del >!# al usuario


64


9. F!/* D!" I=%)'!

PLANEAMIENTO 'CDA> 0"O"0O04 al "5O"004

EJECUCION

INFORME

"G"0O04 al 20O""04

23O""O04 al 21O""04

1. I$!,#=#/*/#- Y F#)'* D!" A$#,%) APELLIDOS Y NOMBRES

CARGO

AAN. C:6.PA Q.LF

A:#.69R >:P'R.9R


65


AUDITORIA DE CALIDAD O(!,#0%&: /eri(icar los procesos aplicables del prorama de la calidad ;an sido desarrollados & documentados$ '%aluar la capacidad de realizar un traba7o especi(ico$

SI >e re(le7an el so(tEare codi(icado tal como en el dise-o en la documentaciónS ueron probados con ?=ito los productos de so(tEare usados en el centro de computoS >e cumplen las especi(icaciones de la documentación del usuario del so(tEareS Los procesos de estión administrati%a aplicados en el )rea de in(orm)tica de la institución son lo su(icientemente óptimosS 'l (unci (uncionam onamient iento o del so(tEa so(tEare re dentro dentro del del )rea de traba traba7o 7o est)n est)n de acuerdo con los re+uerimientos especí(icosS Los documentos de estión administrati%a se cumplen satis(actoriamente en el )rea de computoS Los productos de so(tEare +ue utilizan en el )rea de in(orm)tica esta de acuerdo con los est)ndares establecidosS Los dispositi%os de traba7o en el )rea de in(orm)tica se les


NO

NA

X X X X X X X X

66


realizan una re%isión t?cnica correctaS Los costos (i7ados en la re%isión t?cnica se encuentran dentro de los límites (i7adosS

X

A$%&' ()&* C*0&%*%: P*)* /* /*00*) 0 SI SI 9 100' 5 (   55.5

P*)* /*00*) 0 NO 9 100' 4 ( (  44.4

INFORME DE AUDITORIA 11. I$!,#=#/*/#- $!" #=%)'! Auditoria de Calidad



14. O(!,#0%& /eri(icar la calidad de ser%icio +ue o(rece el >o(tEare$ '%aluar el so(tEare institucional para la administración$ Re%isar +ue el e+uipo utilizado tiene su(iciente poder de procesamiento & %elocidad en red para optimizar el desempe-o de la oranización$


67



16. C%/"&#%!&: 'l #epartamento de centro de cómputo presenta de(iciencias sobre todo en el debido cumplimiento de Normas de seuridad de datos & administración de la ase de #atos con respecto a calidad$

17. F!/* D!" I=%)'!

PLANEAMIENTO 'CDA> 0"O"0O04 al "5O"004

EJECUCION

INFORME

"G"0O04 al 20O""04

23O""O04 al 21O""04

18. I$!,#=#/*/#- Y F#)'* D!" A$#,%) APELLIDOS Y NOMBRES

CARGO

AAN. C:6.PA Q.LF

A:#.69R >:P'R.9R


68


AUDITORIA DE LA SEGURIDAD 1. A"/*/! $! "* A$#,%)#*. 9ranización & cali(icación del personal Planes & procedimientos >istemas t?cnicos de detección & comunicación An)lisis de puestos antenimiento Normati%a

2. O(!,#0%& $! "* A$#,%)#*. Realizar un in(orme de Auditoria con el ob7eto de %eri(icar la adecuación de las medidas aplicadas aplicadas a las amenazas de(inidas, de(inidas, así como el cumplimiento cumplimiento de los re+uisitos e=iidos$

3. R!=!)!/#* L!+*" anual de Autoprotección aprobado por 9$$ de 2""14, N'CP. G 8R# 2"G<, Normati%a de las Comunidades Autónomas & 9rdenanzas unicipales, C'PR'/'N$

4. R!&",*$%& >e obtendr) .n(orme de Auditoria detectando riesos & de(iciencias en el >istema de >euridad$ Plan de recomendaciones a aplicar en (unción de o

Riesos

o

Normati%a a cumplir

o

Costes estimados de las recomendaciones


69


AUDITORIA LOGICA PREGUNTAS "$ '=isten medidas, controles,

SI

procedimientos, normas

NO

NA

&

est)ndares de seuridadS 2$ '=iste un documento donde este especi(icado la relación de las (unciones & obliaciones del personalS 3$ '=isten

procedimientos

de

noti(icación

&

estión

de

incidenciasS 4$ '=isten procedimientos de realización de copias de seuridad & de recuperación de datosS 5$ '=iste una relación del personal autorizado a conceder, alterar o anular el acceso sobre datos & recursosS G$ '=iste una relación de controles periódicos a realizar para %eri(icar el cumplimiento del documentoS $ '=isten medidas a adoptar cuando un soporte %a&a a ser desec;ado o reutilizadoS 1$ '=iste una relación relación del personal autorizado a acceder a los locales donde se encuentren ubicados los sistemas +ue tratan datos personalesS $ '=iste una relación de personal autorizado a acceder a los soportes de datosS "0$ '=iste un período m)=imo de %ida de las contrase-asS ""$ '=iste una relación de usuarios autorizados a acceder a los sistemas & +ue inclu&e los tipos de acceso permitidosS "2$ Los derec;os de acceso concedidos a los usuarios son los necesarios & su(icientes para el e7ercicio de las (unciones +ue tienen encomendadas, las cuales a su %ez se encuentran o deben estar documentadas en el #ocumento de >euridadS "3$ Da& dadas de alta en el sistema cuentas de usuario en?ricas, es decir, utilizadas por m)s de una persona, no permitiendo por


70


tanto la identi(icación de la persona (ísica +ue las ;a utilizadoS "4$ 'n la pr)ctica las personas +ue tienen atribuciones & pri%ileios dentro del sistema para conceder derec;os de acceso son las autorizadas e incluidas en el #ocumento de >euridadS "5$ 'l sistema de autenticación de usuarios uarda las contrase-as encriptadasS "G$ 'n el sistema est)n ;abili tadas para todas las cuentas de de usuario las opciones +ue permiten establecer :n nJmero m)=imo de intentos de cone=ión$

:n perío período do m)=im m)=imo o de %ien %iencia cia para para la contr contrase ase-a -a,, coin coinci ciden dente te con con el esta establ bleci ecido do en el #ocum #ocumen ento to de >euridad$ "$ ' '=isten procedimientos de asinación & distribución de contrase-asS

AUDITORIA FISICA PR'!:N6A>

>.

N9

NA

"$ '=isten procedimientos para la realización de las copias de seuridadS 2$ '=isten procedimientos +ue aseuran +ue, de todos los (ic;eros con datos de car)cter personal, se realiza copia al menos una %ez cada semanaS 3$ Da& procedimientos +ue aseuran la realización de copias de todos a+uellos (ic;eros +ue ;an e=perimentado alJn cambio en su contenidoS 4$ '=isten controles para la detección de incidencias en la realización de las pruebasS 5$ '=isten controles sobre el acceso (ísico a las copias de seuridadS G$ >ólo las personas con acceso autorizado en el documento de


70


seuridad tienen acceso a los soportes +ue contienen las copias de seuridadS $ Las copias de seuridad de (ic;eros de ni%el alto inclu&en los (ic;eros ci(rados, si estas copias se transportan (uera de las instalacionesS 1$ Las copias de seuridad de los (ic;eros de ni%el alto se



almacenan en luar di(erente al de los e+uipos +ue las procesanS $ '=iste un in%entario de los soportes e=istentesS "0$ #ic;o in%entario inclu&e las copias de seuridadS ""$ Las copias de seuridad, o cual+uier otro soporte, se almacenan (uera de la instalaciónS "2$ '=isten procedimientos de actualización de dic;o in%entarioS "3$ '=isten procedimientos procedimien tos de eti+uetado e identi(icación del de l contenido de los soportesS "4$ '=isten procedimientos en relación con la salida de soportes (uera de su almacenamiento ;abitualS "5$ >e e%alJan los est)ndares de distribución & en%ío de estos soportesS "G$ >e 9btiene una relación de los (ic;eros +ue se en%ían (uera de la empresa, en la +ue se especi(i+ue el tipo de soporte, la (orma de en%ío, el estamento +ue realiza el en%ío & el destinatarioS "$ >e Comprueba +ue todos los soportes incluidos en esa relación se encuentran tambi?n en el in%entario de soportes mencionado anteriormenteS "1$ >e 9btiene una copia del Reistro de 'ntrada & >alida de >oportes & se comprueba +ue en ?l se inclu&en Los soportes incluidos en la relación del punto anterior 8& %ice%ersa< Los desplazamientos de soportes al almacenamiento


71


e=terior 8si e=istiera< "$ >e /eri(ica +ue el Reistro de 'ntrada & >alida >alid a re(le7a la in(ormación re+uerida por el Relamento a< ec;a & ;ora b< 'misorReceptor c< NB de soportes d< 6ipo de in(ormación contenida en el soporte$ e< orma de en%ío (<

Persona (ísica responsable de la recepciónentrea

20$ >e Analiza los procedimientos de actualización del Reistro de 'ntrada & >alida en relación con el mo%imiento de soportesS 2"$ '=isten controles para detectar la e=istencia de soportes recibidosen%iados +ue no se inscriben en el Reistro de 'ntrada>alidaS 22$ >e Comprueba, en el caso de +ue el .n%entario de >oportes &o el Reistro Reistro de 'ntrada>alid 'ntrada>alida a est?n in(ormatizado in(ormatizados, s, +ue se realizan copias de seuridad de ellos, al menos, una %ez a la semanaS 23$ >e realiza una u na relación de soportes en%iados (uera de la empresa con la relación de (ic;eros de ni%el altoS 24$ >e /eri(ica +ue todos los soportes +ue contiene (ic;eros con datos de ni%el Alto %an ci(radosS 25$ >e Comprobar la e=istencia, como parte del #ocumento de >euridad, de una relación de usuarios con acceso autorizado a la salaS 2G$ >e /eri(ica +ue la inclusión del personal en la relación anterior es co;erente con las (unciones +ue tienen encomendadasS 2$ >e Comprueba +ue la relación es lóicaM 8personal 8per sonal de limpiezaS /iilantes de seuridadS<$ 21$ '=isten políticas de la instalación en relación con los accesos ocasionales a la sala[ 2$ >e #etermina +ue personas tienen lla%es de acceso, tar7etas, etc$ de acceso a la salaS$


72


30$ >e Comprueba +ue + ue est)n acti%ados los lo s par)metros de acti%ación del Reistro para todos los (ic;eros de Ni%el AltoS 3"$ >e Analizan los procedimientos de descara a cinta de este Reistro de Accesos & el período de retención de este soporteS 32$ '=isten procedimientos de realización de copias de seuridad del Reistro de Accesos & el período de retención de las copiasS 33$ >e /eri(ica la asinación de pri%ileios +ue permitan acti%ardesacti%ar el Reistro de Accesos para uno o m)s (ic;erosS 34$ >e Comprueba +ue el Reistro de Accesos se encuentra ba7o el control directo del Responsable de >euridad pertinenteS

A$%&' ()&* C*0&%*%: P*)* /* /*00*) 0 SI SI 39 100' 15 (   38.46

P*)* /*00*) 0 NO 39 100' 24 ( (  61.53


73


AREAS CRTICAS DE LA AUDITORIA DE SEGURIDAD E0*"*/#- $! "* &!+)#$*$ ! !" *//!&% *" S#&,!'* P)!+,*&

1

8

6

4

2

E@/!"!,!

B!%

R!+"*)

M#'%

N% /'"!

'%aluar los atributos de acceso al sistema$ '%aluar los ni%eles de acceso al sistema$ '%aluar

la

administración

de

contrase-as al sistema '%aluar el monitoreo en el acceso al sistema$ '%aluar

las

administrador

(unciones del

acceso

del al

sistema$ '%aluar las medidas pre%enti%as o correcti%as en caso de siniestros n el acceso$

E0*"*/#- $! "* &!+)#$*$ ! !" *//!&% *" H)!* F&#/* P)!+,*&

1

8

6

4

2

E@/!"!,!

B!%

R!+"*)

M#'%

N% /'"!

'%aluar el acceso del personal al centro de cómputo$ '%aluar el acceso de los usuarios & terceros al centro de cómputo$ '%aluar el control de entradas &


74

salidas de bienes in(orm)ticos del centro de cómputo$ '%aluar la %iilancia del centro de cómputo$ '%aluar las medidas pre%enti%as o correcti%as en caso de siniestro en el centro de cómputo$ Analizar

las

políticas

de

la

instalación en relación con los accesos ocasionales a la sala$

E0*"*/#- $! "%& "*!& $! /%,#+!/#*& / %,#+!/#*& #=%)'?,#/%& P)!+,*&

1

8

6

4

2

E@/!"!,!

B!%

R!+"*)

M#'%

N% /'"!

'%aluar la e=istencia, di(usión, aplicación

&

uso

de

contra

continencias de sistemas$ '%aluar

la

aplicación

de

simulacros, así como el plan contra continencias$ '%aluar

la

con(idencialidad,

%erac %eracid idad ad & oportu oportunid nidad ad en la aplicación de las medidas del plan contra continencias$

E0*"*/#- $! "* &!+)#$*$ ! "%& &#&,!'*& /%',*/#%*"!& P)!+,*& '%aluar el rendimiento & uso del sistema computacional & de sus peri(?ricos asociados$ '%aluar la e=istencia, protección & periodicidad de los respaldos de

1

8

6

4

2

E@/!"!,!

B!%

R!+"*)

M#'%

N% /'"!

bases

de

datos,

in(ormación

so(tEare

importante

de

e la

oranización$ '%aluar

la

insta instalac lacion iones es

con(iuración, &

seur seurida idad d

del

e+uipo e+uipo de cómputo cómputo,, mobiliar mobiliario io & dem)s e+uipos$ '%aluar el rendimiento, aplicación & utilidad del e+uipo de cómputo, mobiliario & dem)s e+uipos$ '%aluar

la

seuridad

en

el

procesamiento de in(ormación$ '%aluar los procedimientos de captura, captura, procesamiento de datos & emisi emisión ón

de result resultado adoss

de

los los

sistemas computacionales$

E0*"*/#- $! "* )%,!//#- /%,)* "* #)*,!)* < )%(% $! #=%)'*/#- P)!+,*& edidas pre%enti%as$ Protección de arc;i%os$ Limitación de accesos$ Protección contra robos Protección ante copias ileales

1

8

6

4

2

E@/!"!,!

B!%

R!+"*)

M#'%

N% /'"!

E0*"*/#- $! "* )%,!//#- /%,)* 0#)& 0 #)& #=%)'?,#/%& P)!+,*&

1

8

6

4

2

E@/!"!,!

B!%

R!+"*)

M#'%

N% /'"!

1

8

6

4

2

E@/!"!,!

B!%

R!+"*)

M#'%

N% /'"!

1

8

6

4

2

E@/!"!,!

B!%

R!+"*)

M#'%

N% /'"!

edidas pre%enti%as & correcti%as$ :so de %acunas & buscadores de %irus$ Protección de arc;i%os, proramas e in(ormación$

E0*"*/#- $! "* &!+)#$*$ $!" *)$*)! P)!+,*& Realización

de

in%entarios

de

;ardEare, e+uipos & peri(?ricos asociados$ '%aluar la con(iuración del e+uipo de computo 8;ardEare<$ '%aluar el rendimiento & uso del sistema

computacional

&

s us

(ísico

de l

peri(?ricos asociados$ '%aluar

el

estado

;ardEare, peri(?ricos & e+uipos asociados

E0*"*/#- $! "* &!+)#$*$ $!" S%=,*)! P)!+,*& Reali Realiza zaci ción ón

de

in%en in%enta tari rios os

de

so(tEare, pa+ueterías & desarrollos empresariales$

'%aluar las licencias permisos & usos

de

los

sistemas

computacionales$ '%aluar el rendimiento & uso del so(tEare

de

los

sistemas

computacionales$ /eri(icar +ue la instalación del so(tEare, so(tEare, pa+ueterías pa+ueterías & sistemas sistemas desarrollados en la empresa sea la adecuada

para

cubrir

necesidades de esta ultima$

las

INFORME DE AUDITORIA 1. I$!,#=#/*/#- $!" #=%)'! Auditoria de la >euridad


3. I$!,#=#/*/#- $! "* E,#$*$ A$#,*$* unicipalidad Pro%incial

4. O(!,#0%& Dacer un estudio cuidadoso de los riesos potenciales a los +ue est) sometida el )rea de in(orm)tica$ Re%isar tanto la seuridad (ísica del Centro de Proceso de #atos en su sentido m)s amplio, como la seuridad lóica de datos, procesos & (unciones in(orm)ticas m)s .mportantes de a+u?l$

5. >*""*+%& P%,!/#*"!& No e=iste documentaciones t?cnicas del sistema interado de la Cooperati%a & tampoco no e=iste un control o reistro (ormal de las modi(icaciones e(ectuadas$ No se cuenta con un >o(tEare +ue permita la seuridad de las librerías de los proramas & la restricción &o control del acceso de los mismos$ Las modi(icaciones a los proramas son solicitadas eneralmente sin notas internas, en donde se describen los cambios o modi(icaciones +ue se re+uieren$ alta de planes & Proramas .n(orm)ticos$ Poca identi(icación del personal con la institución .nestabilidad laboral del personal No e=iste proramas de capacitación & actualización al personal


7. C%/"&#%!&: Como resultado de la Auditoria de la >euridad realizada al unicipio, por el período comprendido entre el 0" de >etiembre al 24 de #iciembre del 2004, podemos mani(estar mani(estar +ue ;emos cumplido con e%aluar cada uno de los ob7eti%os contenidos en el prorama de auditoria$ 'l )rea de .n(orm)tica .n(orm)tica presenta presenta de(iciencias de(iciencias sobre todo en el debido cumplimiento de sus (unciones & por la (alta de ellos$

8. R!/%'!$*/#%!& 'laborar toda la documentación documen tación t?cnica correspondiente a los sistemas implementados & establecer normas & procedimientos para los desarrollos & su actualización$ '%aluar e implementar un so(tEare so(tEare +ue permita mantener mantener el resuardo resuardo de acceso de los arc;i%os de proramas & aJn de los proramadores$ .mplementar .mplementar & conser%ar conser%ar todas las documentaciones documentaciones de prueba de los sistemas, como así tambi?n las modi(icaciones & aprobaciones de proramas realizadas por los usuarios 'l coste de la seuridad debe considerarse como un coste m)s entre todos los +ue son necesarios para desempe-ar la acti%idad +ue es el ob7eto de la e=istencia de la entidad, sea ?sta la obtención de un bene(icio o la prestación de un ser%icio pJblico$ 'l coste de la seuridad, como el coste de la calidad, son los costes de (unciones imprescindibles para desarrollar la acti%idad adecuadamente$ F por ZadecuadamenteZ debe entenderse no sólo un ni%el de calidad & precio +ue ;aa competiti%o el ser%icio o producto suministrado, sino tambi?n un rado de arantía de +ue dic;os productos o ser%icios %an a seuir lleando a los usuarios en cual+uier circunstancia$


80

9. F!/* D!" I=%)'!

PLANEAMIENTO FEC>AS

EJECUCION

INFORME


04

"204

1. I$!,#=#/*/#- Y F#)'* D!" A$#,%)

APELLIDOS Y NOMBRES

CARGO

U:.V9N'H AF6A, CAR'N

A:#.69R >:P'R.9R


81

AUDITORIA A LOS LOS SISTEMA S DE REDES 1. A"/*/! $! "* A$#,%)#*. Cali(icación del personal >istemas t?cnicos de la red antenimiento de la Red

2. O(!,#0%& $! "* A$#,%)#*. Realizar un in(orme de Auditoria con el ob7eto de %eri(icar la adecuación de las medidas aplicadas a las amenazas de(inidas, así como el cumplimiento de los re+uisitos e=iidos$

3. R!=!)!/#* L!+*". Xanual de Autoprotección aprobado por 9$$ de 2""14, N'CP. G 8R# 2"G<, XNormati%a de las Comunidades Autónomas & 9rdenanzas unicipales, C'PR'/'N$

4. R!&",*$%&. >e obtendr) .n(orme de Auditoria detectando de(iciencias en el >istema de Redes$ Plan de recomendaciones a aplicar en (unción de o

Normati%a a cumplir

o

Recomendaciones PR'!:N6A>

>.

N9

NA

"$ L ))., ) ))* +,).) . =;+, )/,., )

=;.)<,).+ ) +).; ) )K ) K 2$ E*+ =;+, )* ) . ); =;. ) ;, ) ;

.,,-. 3$ L ))., ) ))* +,).) . =;. ?) =)<,+) <,/, ).

/< =+. ); =;.  ; =; ) +).; ) ))*  +).,). ). ).+ ;* =*,;)* <,* +).;-,*  ). ; .,,-.K 4$ E>,*+) . ,.:).+, ) )?,=* @ */+) *,*  ;*


82

5$ ))* ) +*K G$ E>,*+) . =;. ) ,./)*++ ) ))*K $ 'l plan de compras compras de ;ardEare ;ardEare & so(tEare so(tEare para el sector sector redes est) de acuerdo con el plan de in(raestructura de redesS 1$ L )*=.*,;, =)+,: ) ;* ))* )*+ *)= ) ;*

) =),.)* ); <=+K $ E*+. )*+;),* .+;)* )*=),;)* = *;: ; ./,).,;, ) ,.+), ); =)*<,).+ ) ;* +* ?) =*.  +:* ) ))* =;,* @ = =+)) ;* *,*+)<* .)+* 10# E>,*+). .+;)* )*=),;)* = <.+).) ; ,*=.,,;, ) ;* *):,,* ) ) @ <=+* .)+*K 11# E>,*+). .+;)* @ =),<,).+* ) )*+,-. = =+)) ); )*  ;* .)>,.)* @ *):,,* ) )#K 12# E>,*+). =+;* ) <.,. )*+;), )*+;), 13# E>,*+) . +=; )*+., )*+., ). + ; .,,-.

"4$ E>,*+). .<* ?) )+;;. ?) )*+.)* ?) )).

<=;, ); H) @ ); */+) ) +).; ) ))*K "5$ La transmisión de la in(ormación en las redes es seuraS "G$ 'l acceso a la red tiene passEordS

A$%&'()&* % R%-: P*)* /* /*00*) 0 SI SI 14 100' 6 (   42.85


83

P*)* /*00*) 0 NO 14 100' 8 ( (  57#14

AREA CRITICA REDES LISTADO LISTADO DE VERIFICACIN DE AUDITORIA AUDITORIA DE REDES G)*+,-. <,.,*++,: ) ; )# 1"" E0' L* )+,:* ) ; 6 )3 D) 7<=5+7

8" B$*

6" R$0*)

4" M,&(

2"

N( $90

L* 6 +) +)6 *+, * ) ; R) ) 7<=5+7 L* 7<=7.).+)* / *,7* ) ; ) 3) 7<=5+7 L .)+,:, @ ;* 7<5.,,7.)* ) ; ) 3) 7<=5+7 L* *):,,* ?5) =67=76 , ,7.. L ) )  7<=5+7 L* ./,,.)* A +=;*  +, =7*  )+ ) ; * ))* ) 7<=5+7#

L* =+;* 3) 7<5.,,-. ,.+)6. ) ; 6 )3# L 3<,.,*+6 , ,-. ) ; ) 3) C7<=5+7#


84

L *), ) ;* ))* ) <=+ #

E*0$*&; % *<0&-&- % 0* )% % (9$'( E*0$*) > *0&+&*) 0  $90&&'( % 0(- -&$&'- *-9'(E:;,-. ) ; )>,*+)., @ * 3) <)+;*  .<* )*+.)* @ =;+,* = ); .;,*,* .;,*,* @ ,*)B 3) ))* ) <=+ # A.;,*,* ) ; ; )/,.,,-. ) ; =;)<+, @ *;,-. = ,.*+;6 ))* ) <=+ ). ; )<=)* # A.;,*,* ) <=;,<,).+ ) ; 7* )+,:* /.<).+;)* ) ; .,,-. = ,.*+; . ) 3) <=+  ):;. ).  * # L /< ) )=+, ;* 6 ) )56*7* ,./<+,* ) ; .,,-. A )*=),;<).+) ; ,./<,-. @ ; 7* +,:7*# L )+ ) *):,,* , ./76<+,7* = ; =+  ); =)*<,).+ =)*<,).+ @ ; )<,*,-. ) ,./<,-. ). ; .,,-. #

E0'

B$(

R$0*)

M,&(

N( $90

L )+ ) ;* *):,,* 3) <.,,-. # L /))., . ?) ;* *,* )).  ;* )** ) ; ) L ./,,;, @ *),)* ); 5*7 ) ; ,./<,-. , .*+,+5,7.; L ).+;,,-.  <,.,*+,-. A =),-. *,.,-. @ ); .+; 3) ;* )** ,./<+,* ) ; 764.,,-. L ,*+,,-. )?,++,: ) ; 7* *+* ) ?,*,,-. @ ); .+; 3) ;* )** ,./<+,* ) ; .,,-. # L )*;,;, @ <,,-. ) ; 7* )** <=+,.;)* ) ; .,,-. # L *+,*/,-. ) ;* .))*,)* 3) =) <=+,.; ) ; .,,-. *) . ))* A;,).+)


85

*):,  <,./<) L *;,-.  ;* =;)<* 3) <.,,-. ) ,./<,-. @ 3+7* ). ;* )* ) ; 764.,,-.#

A.;,*,* ) ;* )*+,* ) :,,;, @ /+,,;, /+,,;, ). ); ,*)B ) ,.*+;,-. ) ; ) ) -<=+ ). ; )<=)*

E*0$*) > *0&+&*) 0 $90&&'( % 0(- -&$&'- *-9'(-

E0'

B$(

R$0*)

M,&(

N( $90

E; )*+, ) /+,,;, +).;-, E; )*+, /+,,;, ).-<, E; )*+, ) /+,,;, <,.,*++,: E; )*+, ) /+,,;, =)+,:

E*0$*&; %0 %&-?(  &90'*&; % 0* )% )% -@ 0 <&'( % ()'$)* E0'

B$(

R$0*)

M,&(

N( $90

B$(

R$0*)

M,&(

N( $90

A.;,*,* ) ;* ))* ) <;+,<=+* E:; ); /.,.<,).+ ) ; )+ ) =.+  =.+ E:; ); /.,.<,).+ ) ; +).; ?) *) * . . *; ;) ).+) ;* <?,.* .)+* E:; ); /.,.<,).+ ) ;* =;,,.)* ** @ )>=;+,-. ) ;* ))*

A<0&-&- % 0* )% % <)* 0(*0 L A N E:; ); * ) @ ./,;) ) ; +).;

E0'


86

+,;, ,.+).<).+) = ; +.*<,*,-. ) +*# E:; ; )*+,,-. =+ = )*+;)) ); +<B ) ; ) E:; ; :);,#

INFORME DE AUDITORIA 1. I$!,#=#/*/#- $!" #=%)'! Auditoria del >istema de Redes



4. O(!,#0%& '%aluar el tipo de red, r ed, ar+uitectura topoloía, protocolos de comunicación, las cone=iones, accesos pri%ileios, administración & dem)s aspectos +ue repercuten en su instalación$ Re%isión del so(tEare institucional para la administración de la red$

5. >*""*+%& P%,!/#*"!& No se cuenta con un >o(tEare +ue permita la seuridad de restricción &o control a la Red$

No e=iste un plan +ue aseure acciones correcti%as asociadas a la cone=ión con redes e=ternas$ No est)n de(inidos los par)metros o normas de calidad$ La erencia de redes no tiene un plan +ue permite modi(icar en (orma oportuna el plan a laro plazo de tecnoloía de redes , teniendo en cuenta los posibles cambios tecnolóicos$ No e=iste un calendario de mantenimiento de rutina periódico del ;ardEare de(inido por la erencia de redes$ No e=iste un plan proacti%o de tareas a (in de anticipar los problemas & solucionarlos antes de +ue los mismos a(ecten el desempe-o de la red

6. A"/*/! $! "* *$#,%)#* Nuestra auditoria, comprende el presente periodo 2004 & se ;a realizado especialmente al )rea de .n(orm)tica de acuerdo a las normas & dem)s disposiciones aplicable al e(ecto$

7. C%/"&#%!&: Como resultado de la Auditoria podemos mani(estar +ue ;emos cumplido con e%aluar cada uno de los ob7eti%os contenidos en el prorama de auditoria$ 'l )rea de .n(orm)tica presenta de(iciencias sobre todo en el debido cumplimiento de Normas de redes & (unciones$

8. R!/%'!$*/#%!& 'laborar toda la documentación t?cnica correspondiente a los sistemas de redes$ '%aluar e implementar un so(tEare +ue permita mantener el resuardo de acceso de los arc;i%os de proramas & aJn de los proramadores$ .mplementar un plan +ue permita modi(icar en (orma oportuna el plan a laro laro plazo de tecnoloía de redes$ 'laborar un calendario de mantenimiento de rutina periódico del ;ardEare$

9. F!/* D!" I=%)'!

PLANEAMIENTO FEC>AS 1K1K4 *" 15K14

EJECUCION

INFORME

161K4 *" 2K114

23K11K4 *" 28K114

1. I$!,#=#/*/#- Y F#)'* D!" A$#,%) APELLIDOS Y NOMBRES MAMANI POMA ORLANDO JIMMY

CARGO AUDITOR SUPERIOR

AUDITORIA RIA DE APLICACIO LICACIONES 1. A"/*/! $! "* A$#,%)#* >elección & e%aluación del personal de le propia institución$ 'st)ndares de uncionamiento & Procedimientos del )rea de in(orm)tica !estión 'conómica del )rea de .n(orm)tica 'st)ndares de (uncionamiento & procedimiento del )rea de in(orm)tica$

2. O(!,#0%& Realizar un in(orme de Auditoria con el ob7eto de %eri(icar la adecuación de los est)ndares de (uncionamiento & procedimiento del )rea de in(orm)tica$

PREGUNTAS

SI

NO

NA

"$ '=iste una lista de pro&ectos de sistema de procedimiento de in(ormación & (ec;as proramadas de implantación +ue puedan

\

ser considerados como plan maestroS 2$ 'st) relacionado el plan maestro con un plan eneral de

\

desarrollo de la dependenciaS 3$ 9(rece el plan maestro la atención de solicitudes urentes de

\

los usuariosS 4$ Asina el plan maestro un porcenta7e del tiempo total de

\

producción al reproceso o (allas de e+uipoS 5$ '=iste la lista de pro&ectos a corto plazo & laro plazo G$ '=iste una lista de sistemas en proceso periodicidad & usuarios

\ \

$ .ncluir el plazo estimado de acuerdo con los pro&ectos +ue se tienen en +ue el departamento de in(orm)tica podría satis(acer

\

las necesidades de la dependencia, seJn la situación actual 1$ Considera +ue el #epartamento de >istemas de .n(ormación de los resultados esperadosS $ '= '=ist isten (all (allas as de e=ac e=acti tittud en los los proc proces esos os de in(o in(orm rmac ació iónS nS "0$ >e cuenta con un manual de usuario por >istemaS

\ \ \

""$ 's claro & ob7eti%o el manual del usuarioS

\

"2$ Uue opinión tiene el manualS "3$ >e inter%iene de su departamento en el dise-o de sistemasS

\ \

A$%&'()&* % A90&*&(-:


90

P*)* /* /*00*) 0 SI SI 11 100' 6 (   54.54 P*)* /*00*) 0 NO 11 100' 5 (   45.45

INFORME DE AUDITORIA 1. I$!,#=#/*/#- $!" #=%)'! Auditoria de Aplicaciones



4. O(!,#0%& '%aluar el papel del )rea de in(orm)tica en la .nstitución '%aluar el plan estrat?ico del )rea de .n(orm)tica$ '%aluar la seuridad de los proramas en el sentido de arantizar +ue los e7ecutados por la ma+uina sean e=actamente los pre%istos & no otros$ '%aluar la e=istencia del plan operati%o anual del )rea de .n(orm)tica /eri(icar el cumplimiento de los ob7eti%os, planes & presupuestos contenidos en el plan de sistemas de in(ormación$


91

'%aluar el ni%el de satis(acción de los usuarios del sistema$ /eri(icar el rado de (iabilidad de la in(ormación$

5. >*""*+%& P%,!/#*"!& .ncumplimiento de los plazos pre%istos en cada una de las (ases del pro&ecto$ .ne(icacia e inseuridad del sistema de control de accesos dise-ado$ alta de metodoloías utilizadas +ue aseure la modularidad de las posibles (uturas ampliaciones de la Aplicación & el ()cil mantenimiento de las mismas$ .ncompatibilidad de las ;erramientas ;erramien tas t?cnicas utilizadas en los di%ersos proramas$ alta de sencillez, modularidad & economía de recursos del dise-o de proramas$


7. C%/"&#%!&: Como resultado de la Auditoria de Aplicaciones realizada al unicipio, por el período comprendido entre el 0" de >etiembre al 24 de #iciembre del 2004, podemos mani(estar mani(estar +ue ;emos cumplido con e%aluar cada uno de los ob7eti%os contenidos en el prorama de auditoria$ 'l )rea de .n(orm)tica .n(orm)tica presenta presenta de(iciencias de(iciencias sobre todo en la (alta de metodoloías +ue son necesarias al realizar un pro&ecto$

8. R!/%'!$*/#%!&


92

'mplear metodoloías +ue aseure la modularidad de las posibles (uturas ampliaciones de la Aplicación & el ()cil mantenimiento de las mismas$ Realizar un control .nterno de las Aplicaciones, %eri(icando +ue las mismas (ases se utilicen en el )rea correspondiente de #esarrollo Dacer un estudio de /ialidad de la Aplicación sobre todo para a+uellas +ue son laras comple7as & caras$ :tilizar ;erramientas t?cnicas compatibles Capacitar al personal para el dise-o de Proramas para realizarlos con la m)=ima sencillez, modularidad & economía de recursos

9. F!/* D!" I=%)'!


EJECUCION

INFORME


04

""04

1. I$!,#=#/*/#- Y F#)'* D!" A$#,%)

APELLIDOS Y NOMBRES

CARGO

AAN. P9A 9RLAN#9

A:#.69R >:P'R.9R


93

SI

NO

F# & &#/*

31 .1

68.86

O=# '* '* ,# / /*

67 .5

18.91

D#) !// #%

7:.58

29.41

E @ "%, */ #-

65

35

D !&* ))%""%

72.97

22.:2

M*,! ' #' #! ,%

72

28

B*&! $! D*,%&

79.16

2:.83

C*"#$*$

55 .5

44 .4

S!+)#$*$

38.46

61.53

R!$!&

42.85

57.14

A"# /*/ /*/ #% #% 

54.54

45.45

A$#,%)#*


94

CONCLUSI CONCLUSIN Al realizar el anterior traba7o se in%estio acerca de todos los elementos +ue componen La unicipalidad Pro%incial de ariscal NietoM, tanto materiales como ;umanos, con lo anterior, se puede dar uno cuenta auditar una institución no es nada ()cil, &a +ue si (alla un elemento del +ue se compone, trae consio un e(ecto domino, +ue ;ace +ue los dem)s elementos ba7en su rendimiento, o en el peor de los casos sean causantes del (racaso de la institución$ 's mentira +ue lo m)s importante para una empresa sea el e+uipo in(orm)tico con el +ue se traba7a$ 'l (actor ;umano es lo mas importante, &a +ue si se cuenta con tecnoloía de punta, pero con personal no cali(icado o en desacuerdo con el desarrollo del Centro de Computo optara optara por renunciar, renunciar, o bien por seuir rezaando al mismo Asimismo Asimismo la capacitación es importantísima, &a +ue si no ;a& capacitación permanente, el personal t?cnico de la empresa decide abandonarla para buscar nue%os ;orizontes & ma&or oportunidad, aun sacri(icando el aspecto económico$ 'l aspecto oranizati%o tambi?n debe estar per(ectamente estructurado, & las líneas de mando deben estar bien de(inidas, e%itando de esta manera la rotación innecesaria de personal, la duplicidad de (unciones, las líneas alternas demando, etc$ & +ue conlle%an al des+uiciamiento de la estructura oranizacional$ Dablando de seuridad, es indispensable indispensable el aseuramiento del e+uipo & de las instalaciones, así como de la in(ormación, el control de los accesos tambi?n es punto (undamental para e%itar las (uas de in(ormación o manipulación indebida de esta$ 'l #epartamento de in(orm)tica es la parte medular de la empresa, es en donde los datos se con%ierten en in(ormación Jtil a las di(erentes )reas, es donde se uarda esta in(ormación in(ormación & por consecuencia, consecuencia, donde donde en la ma&oría de los casos se toman las decisiones importantes para la empresa$ Adem)s al realizar la presente auditoria nos damos cuenta +ue dentro del ambiente empresarial es de %ital importancia contar con la in(ormación lo m)s %aliosa +ue sea, a tiempo, de (orma oportuna, clara, precisa & con cero errores para +ue se constitu&a en una ;erramienta poderosa para la toma de decisiones, %i?ndose re(le7ada en la obtención de resultados ben?(icos a los (ines de la oranización & 7usti(icar el e=istir de toda la oranización o empresa$ Como resultado de la Auditoria .n(orm)tica realizada a la unicipalidad Pro%incial de ariscal Nieto, por el período comprendido entre el 0" de >etiembre al 2 de #iciembre del 2004, podemos mani(estar +ue ;emos cumplido con e%aluar cada uno de los ob7eti%os contenidos en el prorama de auditoria$ 'l )rea de .n(orm)tica presenta de(iciencias en 'n su >euridad 'n el )rea ísica


95

'n de Redes F en el debido cumplimiento de sus (unciones$ Podremos estar tran+uilos & seuros +ue nuestra (unción de auditores est) (uncionando como se debe, & saber +ue cuando se siuen estos lineamientos se obtendr)n sistemas +ue no %an a necesitar mantenimiento e=cesi%o, +ue el cómputo %a a ser parte de l a solución & no parte del problema, como lo es ;o& en día$


96

I+() F&*0 % 0* A$%&'()&* LA MUNICIPALIDAD MUNICIPALIDAD PRO!INCIAL DE MARISCAL NIETO M($$* 2 % D&&) % 2.""4 S?() C)*'- G*- I* JEFE DEL REA DE INFORMTICA D $-')* (-&%)*&;: T(T(- 0 *)*%( % %&)&&)(- * U%. * +'(- % 0*) * $-')* (-&%)*&; 0 *0* %0 ')**( % A$%&'(),* %0 )* % I+()<'&* 9)*'&*%* 0(- %,*- 16 % S'&) S'&) *0 23 % D&&) -() 0* *- %0 *<0&-&- > 9)(%&&'(- %'*00*%(- % '(%*- 0*- &+()*&(- )(9&0*%*- > &'&%(-  0 9)-' &+() $ * $-')( )&')&( - )*H(*0. S,'-&- % 0* )&-&; )*0&H*%* 0*-&+&*%(  0*- -&$&'- -&(-: 1. E -$ S$)&%*% 2. E 0 <)* F,-&* 3. E R%E0 ('&%( %0 &+() /* -&%( -&%( %&&%&%( % 0* -&$&' -&$&' +()* * +'(- % +*&0&'*) -$ *<0&-&-. *. S&'$*&;. D-)& )' 0*- %&0&%*%- )-$0'*'- % $-')( *<0&-&-. . E+'(- >#( &90&*&*- 9)(*0-. E$&* 0(- 9(-&0- )&-(- * $ - $')* 9$-'(- 0*(9)*&(- )*0&H*%*- 9() 0* C((9)*'&*. . %& % &9()'*&* -'*0&%*. I%&* ( $* *0&+&*&; %0 " * 0 3 0 )*%( ),'&( %0 9)(0* > 0* (9()'$&%*%  $ - % '(*) 0*- *&(- ())'&*())'&*- %0 *-(. "  A0'( A0'(  *& *&( (-- ()) ()) '& '&* *-- & &%& %&*' *'**- 1  A0' A0'((  *& *&( (-- 9) 9) '& '&**- & &%& %&*' *'**- 2  M%&(  *&(- %&+)&%*- ())'&*- 3  B*( B*(  *& *&( (- %&+ %&+) )&%* &%*-- 9) 9)' '& &**- S@ 0 *<0&-&- )*0&H*%( /(- (')*%( +*0&*-  $ ( &-' $ C(&' > 90* &+()<'&(K +*0&*-  0* -$)&%*% +,-&* > 0;&*K ( &-' &-' *$%&'()&* % -&-'*-K +*0'* % )-9*0%( * 0*- (9)*&(-K *-(- % 0(- $-$*)&(-. E0 %'*00 % 0*- %+&&&*- (')*%*- (') *%*- (( *-, '*& 0*- -$)&*- % -(0$&; - $')* -9&+&*%*-  0 A( *%$'(. L* *9)(*&; > 9$-'*  9)<'&* % -'*-$)&*- *>$%*)< * 0* 9)-* * )&%*) $ -)&&( <<- +&&' * 0(- &$%*%*(- % 0* 0* C&$%*% % M($$*. A)*%(- 0* (0*()*&; 9)-'*%* 9)-'*%* %$)*' $-')* &-&'* 9() '(%( 0 9)-(*0 % 0* M$&&9*0&%*% > $%*(- * $-')* %&-9(-&&; 9*)* $*0$&) *0*)*&; >#( *90&*&; *90&*&; % 0* 9)-' 9)-' $ -'& -*)&*.


97

A''*'.

ORLANDO JIMMY MAMANI POMA MICELLA AROUANCA A. ILLY MAMANI CUTIPA CARMEN UIONE MAYTA MADELEINE MUO ORTEGA NELSSY POCOUANCA TURPO

A. O)*&H*&; > A%&&-')*&; %0 )*

A.1. C(&' > P0* I+()<'&( *. S&'$*&;

C( )-9'( *0 )0*&'( +'$*%( /(- ('*%( 0( -&$&': Q N( &-' $ C(&' % I+()<'&* ( *0 (- ( - $')* $' )* +()*0' -'*0&%(. Q N( &-' &$* '(%(0(,* % 90*&+&*&; (9&; >#( -$&&'( % 9)(>'(-. . E+'(- >#( &90&*&*- 9)(*0Q P(-&&0&%*% % $ 0*- -(0$&(- $ - &90' 9*)* )-(0) 9)(0*- (9)*'&(-* 9*)&*0- '*'(  *)%*) ((  S(+'*). . I%& % &9()'*&* -'*0&%* 1  $(  %. S$)&*Q E-'*0) $ C(&' % I+()<'&* &')*%( 9() )9)-'*'- % 0*- <)*- +$&(*00*-  G)&* A%&&-')*'&* )-9(-*0- % 0*- )*- O9)*'&*- )-9(-*0- % I+()<'&* > 0 )-9(-*0 C('*0. Q T)*H*) 0(- 0&*&'(- % %&)&; %0 )* % I+()<'&*. Q I90'*) ()*- >#( 9)(%&&'(- $ $  *-$) 0* +&*H *%&&-')*&; % 0()$)-(&+()<'&(- > 9)&'* 0 )&&'( (/)' %0 <)* (+() * 0* &90'*&; % 0*-(0$&(- $ - %-*))(00 >#( - )$&)* % '))(-. ') )(-. . E+'(- >#( &90&*&*- 9)(*0Q L* -*-H % 9)-(*0 %&%*' *9*&'*%( *$'* 0 &0 % )&-( % ))()- *0 %&-&$&) 0* 9(-&&0&%*% % 0(- (')(0- &')(-  0 9)(-*&'( % 0* &+()*&;K > 0&&'* 0* *'&%*% % -(0$&(- $ 9$% &90'*)-  '&9( > +()* (9()'$* * 0(- +'(- % -*'&-+*) 0(- )$)&&'(- % 0*- <)*- +$&(*0-.


98

B. S$)&%*% F,-&* Y L;&*

B.1. E'()( G)*0 *. S&'$*&;

D$)*' $-')* )&-&; /(- (-)*%( 0( -&$&': Q N( &-' $* &&0*&* -')&'* %0 )* % I+()<'&* 9() 9)-(*0 % -$)&%*% %%&*%( % %&*%( * -' -'(). Q N( &-' %''()- & '&'()- *$'(<'&(-. Q E&-' *')&*0 *0'*' &+0**0. Q C*)&* % $ -'$%&( % $0)*&0&%*% % 0* C((9)*'&* +)' * 0*- )&-(- +,-&(- ( ( +,-&(- &0$>%( 0 )&-( I+()<'&(. Q N( &-' $ 9$-'( 9$ -'( ( *)( -9&+&( 9*)* 0* +$&; % -$)&%*% I+()<'&*. . E+'(- >#( &90&*&*- 9)(*0Q P)(*0 %&+$-&; % %*'(- (+&%&*0-. Q A0'* +*&0&%*% 9*)* *&(- &(0$'*)&(- ( &'&(*0- % %*'(- %&%( * 0* +*0'* % (')(0&')(-. Q D&%( * 0* %&0&%*% %0 -)&&( % *'&&'( %0 $&9( ')*0 0* ('&$&%*% % 0**'&&%*%- &+()<'&*- 9(%),* )- -)&*' *+'*%*- *'  '$*0- )('$)*- >#( %-9)+'(- % 0(- -&-'*-. . %& % &9()'*&* -'*0&%* "  )(  %. S$)&*A 0(- +'(- % &&&H*) 0(- )&-(- %-)&9'(- - -$&): Q E-'*0) $*)%&* % -$)&%*% %$)*' /()*)&(- ( /*&0&'*%(- 9*)* 0 &)-( *0 )* % I+()<'&*. Q C(0(*) %''()- > '&'() '&'()- % &%&(- *$'(<'&(-  0(- 0$*)- -*)&(-. Q R() %0 C')( % C;9$'(C;9$' (- 0(- *')&*0- &+0**0-. Q D')&*) ()<&*' 0* +$&; % -$)&%*%. Q R*0&H*) 9)&;%&*' $ -'$%&( % $0)*&0&%*% %($'*%( +'&*' 0 &-( * 0(- +'(- % &90'*) 0*- *&(- ())'&*- -() 0(- 9$'(- %&0- $ - %''. B.2. A$%&'(),* % S&-'* *. S&'$*&; Q (- (-)*%( $ 0* M$&&9*0&%*% ( $'* ( *$%&'(),* I+()<'&*  & ( 9(0,'&*+()*0- $ -'*0H* )-9(-*0- +)$&*- > '(%(0(,* * -$&) 9*)* +'$ *) )&-&(- % 0(- *)/&(- % *$%&'(),*. Q C* %-'**) $ 0 -&-'* &')*%( 9(- $ *)/&( $ 9$%&)* -)&) % *$%&'()&* I+()<'&* 0 $*0 ( - /*&0&'*%( 9() +*0'* % -9*&(  0 %&-( %$)(. %$ )(.


99

. E+'(- >#( &90&*&*- 9)(*0Q P(-&&0&%*% % $ *%$0')*&(*%$ 0')*&(- (0$'*)&*- ( &(0$'*)&*- -* )*0&H*%*- * 0(- 0'((9('- %0 9)(-*&'( % %*'(% *'(- 9)()**- *)/&(- % %*'(- %+&&&(- % -$)&%*% % *-( '  ( & *-(- * %*'(- (+&%&*0- 9() 9)-(*- ( *$'()&H*%*$ ( -* %''*%*- (9()'$*'. . %& % &9()'*&* -'*0&%* "  )(  %. S$)&*Q E-'*0) ()*- > 9)(%&&'(9 )(%&&'(-  0(- $ - +& )-9(-*0- 9)&(%&&%*% 9)&(% &&%*% > '(%(0(,* % (')(0 % '(%(- 0(- *)/&(*) /&(- % *$%&'()&* $ 9$%&)* 9$% &)* &-'&) (( *-&&-( % '(%(- 0(- 0'(- (9('- % 0(- -&-'*- % *90&*&;. B.3. O9)*&(- % R-9*0%( *. S&'$*&; D$)*' $-')* )&-&; /(- (-)*%( $: Q E&-' $* )$'&* % ')**( % '(*) $* (9&* % )-9*0%( % %*'(-  D&-'' $ - $')*  0 )&'( %0 ')( % ;9$'(-  9(%) %0 *$&0&*) % &+()<'&*. Q S& & &-' 0* (9&* % -$)&%*% ( - 9(- 9( - ()*- >#( 9)(%&&'(- $ &* 0* 9)$* -&-'<'&* % 0*- &-*- * +'(- % -'*0) -'* 0) 0(- ,&(- &0- % (+&*&0&%*%. . E+'(- >#( &90&*&*- 9)(*0Q L* C((9)*'&* -'< 9$-'* * 0* 9)%&%* % &+()*&; 9() ( 9(-) $ /$( -&-'<'&( 9)&;%&( % 0(- *=$9- > $ 0(- &-*- - 9( * )&-( 9() (')*)-  9(%) %0 *$&0&*) % &+()<'&*. . %& % &9()'*&* -'*0&%* "  )(  %. S$)&*M&&&H*) 0(- +'(- -)< 9(-&0 * ')*- %: % : Q D-*))(00*) ()*- > 9)(%&&'(- )*0- $ 9)&'* 0* '(* % )-9*0%( -*)&(- $'&0&'*)&( * $'&0&H*). $'&0&H*). Q R*0&H*) 3 (9&*- % )-9*0%()-9*0%(- % %*'(-  &9 % 0*- $*0- $* - $')  0 )&'( %0 <)* % &+()<'&* (')*  0* -$$)-*0 <- )** > 0* @0'&*  9(%) %0 J+ % <)*. Q I90'*) 9)$*- -&-'<'&*- -**0- % 0*- (9&*- > %&-')&$&; % 0*- &-*-. B.4. A-( * $-$*)&(*. S&'$*&; D *$)%( * 0( )0*%( /(- (-'*'*%( $: Q E&-' &0- % *-( 9)&'&%(- 0(- $*0- -( -'*0&%(- (+() * 0* +$&; $ $90 *%* $( % 0(- $-$*)&(-.


100

Q L(- $-$*)&(- %+&&%(- *0 )('*) ( )'&)*)- %0 0(*0 ( -( ())*%(- % 0(- 9)+&0- % *-(. Q L*- ')&*0-  $-( $ -( > %*%( $ &)'( '&9( % %  &*'&&%*% ( -*0 %0 -&-'*. Q E0 -&-'* &+()<'&( ( -(0&&'* *0 $-$*)&( 0 *&(  *&( %0 P*--()%  +()* -$*0. . E+'(- >#( &90&*&* 9)(*0Q E&-' 0* &9(-&&0&%*% % -'*0) )-9(-*&0&%*%- %*%( $ -'* - $')* %&&%&%* ') 0 <)* % -&-'* > 0(- $-$*)&(- +&*0-. Q L* +*0'* % -$)&%*%  0* $'&0&H*&; % 0(- P*--()% 9(%),* (*-&(*) +)*$%+)*$% - 9() '))(-. . %& % &9()'*&* -'*0&%* 2  %(-  %. S$)&* Q I90'*) *0@ -(+'*) % -$)&%*% > *$%&'()&* &-''  0 )*%( ( %-*))(00*) $( 9)(9&(. Q E-'*0) $* '(%(0(,* $ 9)&'* )) $ (')(0 +'&( -() 0 $-( ( (%&+&*&; % 0(- 9)()**- ( *)/&(- 9() 0 9)-(*0 *$'()&H*%(.

B.5. P0* % C('&&**. S&'$*&; E 0 ')*-$)-( % $-')( ')**( /(/(- (-)*%( 0( -&$&': Q A$-&* % $ P0* % C('&&* %&%*' +()*0&H*%(  0 )* % I+()<'&*. Q N( &-' ()*- > 9)(%&&'(- $ $  &%&$ 0*- '*)*- *$*0-  &+()<'&*&+ ()<'&*- $ -( -*)&*- 9*)* )*0&H*) > )$9)*) 0* *9*&%*% % 9)(-*&'( *' $* '$*0 ('&&*  %-9)+'(- % $&9(- &%&(- ()'- % ),* ( <- % $* /()*  > $ %')& 0(- &0 &0- % 9*)'&&9*&; > )-9(-*&0&%*%- %0 <)* % -&-'*- > % 0($-$*)&(-. Q N( &-' *$)%(- +()*0&H*%(- % C')( % C;9$'(- 9*)*00(- ( (')*- 9)-*- ( 9)(%()- $ 9)&'* 0* )-'*$)*&; &%&*'* % 0(- -)&&(- &+()<'&(- % 0* C((9)*'&*  '&9( (9()'$(  *-( % ('&&*. . E+'(- >#( &90&*&* 9)(*0 Q P)%&%* % &+()*&; &'*0. Q P)%&%* % 0* *9*&%*% % 9)(-*&'(. . %& % I9()'*&* )0*'&* 1  $(  %. S$)&*Q E-'*0) $ 90* % ('&&* -)&'(  %(% - -'*0H* 0(- 9)(%&&'(*$*0-  &+()<'&(- 9*)* )-'*0) 0* (9)*'()&* ()*0 % 0* C((9)*'&* > -'*0) 0(-


101

)-9(-*0- % *%* -&-'*. Q E+'$*) 9)$*- -&$0*%*-  +()* 9)&;%&* * +'(- % (&'()*) 0 %-9?( % 0(+$&(*)&(- )-9(-*0- *' '$*0- %-*-')-. Q E-'*0) (&(- &0*')*0- ( 9)-*- ( 9)(%()- * 0(- +'(- % *-$)*) * -$)*) 0($&9(- -*)&(- 9*)* -$-''*) 0* ('&$&%*% %0 9)(-*&'(.

C. D-*))(00( > *'&&'( % 0(- -&-'*- % *90&*&(C.1. E'()( % D-*))(00( > *'&&'( % 0*- *90&*&(*. S&'$*&; Q N( &-' %($'*&(- '&*'& *- %0 -&-'* &')*%( % 0* C((9)*'&* > '*9(( ( &-' $ (')(0 ( )&-')( +()*0 % 0*- (%&+&*&(- +'$*%*-. Q N( - $'* $' * ( $ S(+'*) $ 9)&'* 0* -$)&%*% % 0*- 0&)),*- % 0(- 9)()**- > 0* )-')&&; >#( (')(0 %0 *-( % 0(- &-(-. Q L*- (%&+&*&(- * 0(0(- 9)()**- -( -(0&&'*%*- )*0' )*0' -& ('*- &')*-  %(% - %-)& 0(- *&(- ( (%&+&*&(- $ - )$&). . E+'(- >#( &90&*&*- 9)(*0Q L* -*-* %($'*&; '&* % *%* -&-'* %&+&$0'* 0* (9)-&; % 0*- ()*- %*%*%( '&9(- (-&%)*0- 9*)* -$ *'&&'(  &9(-&&0&'*%( 0* *9*&'*&; %0 9)-(*0 $(  0 <)*. Q S &)'* *@ <- 0* 9(-&&0&%*% % 9)(%$&) (%&+&*&(- ));*- >#( ( *$'()&H*%*- * 0(- 9)()**- ( *)/&(- > $ 0*- &-*- ( -* %''*%*% ''*%*-  +()* (9()'$*. . %& % &9()'*&* -'*0&%* 1  $(  %. S$)&*P*)* )%$&) 0 &9*'( -() 0(- )-$0'*%(- % 0(- +'(- > ( -$&*- 9)(*0-$)&(-: Q E0*()*) '(%* 0* %($'*&; '&* ())-9(%&' * 0(- -&-'*- &90'*%(- > -'*0) ()*- > 9)(%&&'(- 9*)* 0(- %-*))(00(- > -$ *'$*0&H*&;. Q E*0$*)  &90'*) $ -(+'*) $ 9)&'* *') 0 )-$*)%( % *-( % 0(*)/&(- % 9)()**- > *@ % 0(- 9)()**%()-. Q I90'*) > (-)*) '(%*- 0*- %($'*&(- % 9)$* % 0(- -&-'*- (( *-, '*& 0*- (%&+&*&(- > *9)(*&(- % 9)()**- )*0&H*%*- 9() 0(- $-$*)&(*)%*) E$&9*&'( C')*0 L* ((9)*'&* $'* *'$*0' ( $ E$&9( C')*0 P'&$ I! ( 0*- -&$&'*)*'),-'&*-: Q P)(-*%() I'0 P'&$ I! % 1.6"" /H Q M()&*: R* 128 MB


102

Q A0**&'(: 35 GB % 1"  RPM Q C(&;: E'/)' 1"#1"" E- $ $&9*&'( &%*0 9*)* 0*- +$&(- $ $90 > -$ (+&$)*&; - *9'*0. T& 9(-&&0&%*%- % )&&'( > 0 +*)&*' $'* ( )9$-'(- > *'&&'(- $ *)*'&H* 0* $* $'&0&H*&; %0 &-(. E$&9*&'( P)&+)&( L* ((9)*'&* $'*  -$ *-* ')*0 ( 3" PCV- % 0*- $*0- 0 5"&$'* 9() &'( *9)(&*%*' -( P'&$ III % 55"M/- ( 64 MB % ()&* > %&-(- % 5 GB. E0 )-'( -( % () 9()' 9)( 0 9*)$ % (9$'*%()*- 9)-(*0- - -$+&&'' *9'( 9*)* 0()$)&&'(- *'$*0-. L*- &9)-()*-: % -&-'* ('*%*- *0 $&9(  $&9( ')*0 -( % *)* E9-( 117" > E9-( 12"". A%<- $'* ( $&9(- % P 56" % /())( % '&'*- ('*%*- * *0$(- $&9(-. E$&9*&'(  S$$)-*0L*- -$$)-*0- $'* ( PCV- AMD W A'/0( % 75" M/H 64 % ()&* > %&-(- % 5 GB. E$&9*&'( /(0*%*' *9'( 9*)* 0*- +$&(- $ $90. L*- -$$)-*0- '& $* &9)-()* *')&&*0 %0 -&-'* > * 0$(- $-$*)&(- $'* ( &9)-()*- * /())( % '&'*. C*0*%( E0 *0*%( - -')$'$)*%( > ( *0- %0 '&9( UTP *'(),* 5 '*'(  -$$)-*0- (( )* I+()<'&* S(+'*) S(+'*) % B*- E0 -&-'* (9)*'&( ( 0 0 $ $'* 0* P'&$ I! - 0 % &%(- S)) 2""" $ 9(- $* &9()'*' -')$'$)* % -$)&%*%. C( -&-'* % )% &%(- 2""". B*- % %*'(- FO .


103

ANEXOS


104

E/!&,* "$ 'l )rea cumple con las (unciones asinadas en el 9 de la .nstituciónS 2$ Cu)ntas personas laboran en el centro de cómputoS Laboran 4 Personas$ 3$ Considera +ue el )rea de traba7o es la adecuada o apropiada para el desempe-o de sus laboresS 4$ Considera +ue es adecuado el nJmero de personas +ue laboran en el )reaS 5$ >e de7a de realizar aluna acti%idad por (alta de personalS G$ 'sta el personal +ue utiliza el computador educado en las necesidades de seuridadS $ Con respecto a la parte (ísica de la 9C.* se cumple con las normas de seuridad establecidas para los e+uipos de cómputoS 1$ 'sta el )rea del computador libre de material combustible, como suministro de papel papel en e=ceso de las necesidades inmediatasS $ '=iste en la 9C. e=tinuidores de incendio claramente identi(icados para lo +ue uso se re(iereS "0$ >obre el mantenimiento del e+uipo* cuenta con las ;erramientas necesarias para brindar un buen ser%icio en el momento re+ueridoS ""$ 'l )rea cuenta con un respecti%o plan de continenciasS "2$ >i cuenta con un plan de continencias >e ;an identi(icado las aplicaciones %itales para operación del )reaS


105


106

CONSEJOS "$ :tiliza un buen anti%irus & actualízalo (recuentemente$ 2$ Comprueba +ue tu anti%irus inclu&e soporte t?cnico, resolución urente de nue%os %irus & ser%icios de alerta$ 3$ AseJrate de +ue tu anti%irus est? siempre acti%o$ 4$ /eri(ica, antes de abrir, cada nue%o mensa7e de correo electrónico recibido$ 5$ '%ita la descara de proramas de luares no seuros en .nternet$ G$ Rec;aza arc;i%os +ue no ;a&as solicitado cuando est?s en c;ats o rupos de noticias 8neEs< $ Analiza siempre con un buen anti%irus los dis+uetes +ue %a&as a usar en tu ordenador$ 1$ Retira los dis+uetes de las dis+ueteras al apaar o reiniciar tu ordenador$ $ Analiza el contenido de los arc;i%os comprimidos$ "0$ antente alerta ante acciones sospec;osas de posibles %irus$ ""$ A-ade las opciones de seuridad de las aplicaciones +ue usas normalmente a tu política de protección anti%irus$ "2$ Realiza periódicamente copias de seuridad$ "3$ antente in(ormado$ "4$ :tiliza siempre so(tEare leal$ "5$ '=ie a los (abricantes de so(tEare, pro%eedores de acceso a .nternet & editores de publicaciones, +ue se impli+uen en la luc;a contra los %irus$


107

POLTICAS EN INFORMHTICA PROPUESTA TITULO I DISPOSICIONES GENERALES AR6.C:L9 "°$ 'l presente ordenamiento tiene por ob 7eto estandarizar & contribuir al desarrollo in(orm)tico de las di(erentes unidades administrati%as de la 'mpresa NN$ AR6.C:L9 2°$ Para los e(ectos de este instrumento se entender) por Comit? Al e+uipo interado por la #irección , >ubdirección, los @e(es departamentales & el personal administrati%o de las di(erentes unidades administrati%as 89casionalmente< con%ocado para (ines especí(icos como Ad+uisiciones de DardEare & so(tEare 'stablecimiento de est)ndares de la 'mpresa NN tanto de ;ardEare como de so(tEare 'stablecimiento de la Ar+uitectura tecnolóica de rupo$ 'stablecimiento de lineamientos para concursos de o(ertas

A$'##&,)*/#- $! I=%)'?,#/*: 'st) interada por la #irección, >ubdirección & @e(es #epartamentales, las cuales son responsables de /elar por el (uncionamiento de la tecnoloía in(orm)tica +ue se utilice en las di(erentes unidades administrati%as 'laborar & e(ectuar seuimiento del Plan aestro de .n(orm)tica #e(inir estrateias & ob7eti%os a corto, mediano & laro plazo antener la Ar+uitectura tecnolóica Controlar la calidad del ser%icio brindado antener el .n%entario actualizado de los recursos in(orm)ticos /elar por el cumplimiento de las Políticas & Procedimientos establecidos$ AR6.C:L9 3°$ Para los e(ectos de este documento, s e entiende por Políticas en .n(orm)tica, al con7unto de relas obliatorias, +ue deben obser%ar los @e(es de >istemas


108

responsables del ;ardEare & so(tEare e=istente en la 'mpresa NN, siendo responsabilidad de la Administración de .n(orm)tica, %iilar su estricta obser%ancia en el

)mbito de su competencia, tomando las medidas pre%enti%as & correcti%as para +ue se cumplan$ AR6.C:L9 4°$ Las Políticas en .n(orm)tica son el con7unto de ordenamientos & lineamientos enmarcados en el )mbito 7urídico & administrati%o de la 'mpresa NN$ 'stas normas inciden en la ad+uisición & el uso de los ienes & >er%icios .n(orm)ticos en la 'mpresa NN, las cuales se deber)n de acatar in%ariablemente, por a+uellas instancias +ue inter%enan directa &o indirectamente en ello$ AR6.C:L9 5°$ La instancia rectora de los l os sistemas de in(orm)tica in (orm)tica de la 'mpresa NN es la Administración, & el oranismo competente para la aplicación de este ordenamiento, es el Comit?$ AR6.C:L9 G°$ Las presentes Políticas a+uí contenid as, son de obser%ancia para la ad+uisición ad+uisición & uso de bienes & ser%icios ser%icios in(orm)ticos, in(orm)ticos, en la 'mpresa NN, cu&o incumplimiento enerar) +ue se incurra en responsabilidad administrati%a* su7et)ndose a lo dispuesto en la sección Responsabilidades Administrati%as de >istemas$ AR6.C:L9 °$ Las empresas de la 'mpresa NN deber)n contar con un @e(e o responsable del Area de >istemas, en el +ue recaia la administración de los ienes & >er%icios, +ue %iilar) la correcta aplicación de los ordenamien tos establecidos por el Comit? & dem)s disposiciones aplicables$

TITULO II LINEAMIENTOS PARA LA ADQUISICION DE BIENES DE INFORMATICA AR6.C:L9 1°$ 6oda ad+uisición de tecnoloía in(orm )tica se e(ectJa a tra%?s del Comit?, +ue est) con(ormado por el personal de la Administración de .n(orm)tica & !erente Administrati%o de la unidad solicitante de bienes o ser%icios in(orm)ticos$ AR6.C:L9 °$ La ad+uisición de ienes de .n(orm)ti ca en la 'mpresa NN, +uedar) su7eta a los lineamientos establecidos en este documento$


109

AR6.C:L9 "0°$ La Administración de .n(orm)tica, al planear las operaciones relati%as rel ati%as a la ad+uisición de ienes in(orm)ticos, establecer) prioridades & en su selección deber) tomar en cuenta estudio t?cnico, precio, calidad, e=periencia, desarrollo tecnolóico, est)ndares & capacidad, entendi?ndose por

Precio$ Costo inicial, costo de mantenimiento & consumibles por el período estimado de uso de los e+uipos* Calidad$ Par)metro cualitati%o +ue especi(ica las características t?cnicas de los recursos in(orm)ticos$ '=periencia$ Presencia en el mercado nacional e internacional, estructura de ser%icio, la con(iabilidad de los bienes & certi(icados de calidad con los +ue se cuente* #esarrollo 6ecnolóico$ >e deber) analizar su rado de obsolescencia, su ni%el tecnolóico con respecto a la o(erta e=istente & su permanencia en el mercado* 'st)ndares$ 6oda ad+uisición se basa en los est)ndares, es decir la ar+uitectura de rupo empresarial empresarial establecida establecida por el Comit?$ 'sta ar+uitectura tiene tiene una permanencia mínima de dos a cinco a-os$ Capacidades$ >e deber) analizar si satis(ace la demanda actual con un maren de ;olura & capacidad de crecimiento para soportar la cara de traba7o del )rea$ AR6.C:L9 ""°$ Para la ad+uisición de DardEare se o bser%ar) lo siuiente a< 'l e+uipo +ue se desee ad+uirir deber) estar dentro de las listas de %entas %ientes de los (abricantes &o distribuidores del mismo & dentro de los est)ndares de la 'mpresa NN$ b< #eber)n tener un a-o de arantía como mínimo c< #eber)n ser e+uipos interados de ()brica ()brica o ensamblados ensamblados con componentes pre%iamente e%aluados por el Comit?$ d< La marca de los e+uipos o componentes deber) contar con presencia & permanencia demostrada en el mercado nacional e internacional, así como con asistencia t?cnica & re(accionaria local$ e< 6rat)ndose de e+uipos microcomputadoras, a (in de mantene r actualizado la ar+uitectura ar+uitectura in(orm)tico in(orm)tico de la 'mpresa NN, el Comit? emitir) periódicamente periódicamente las especi(icaciones t?cnicas mínimas para su ad+uisición$


110

(< Los dispositi%os de almacenamiento, así como las inter(aces de entradasalida, deber)n estar acordes con la tecnoloía de punta %iente, tanto en %elocidad de trans(erencia de datos, como en el ciclo del proceso$ < Las impresoras deber)n apearse a los est)ndares de DardEare & >o(tEare %ientes en el mercado & la 'mpresa NN, corroborando +ue los suministros 8cintas, papel, etc$< se consian ()cilmente en el mercado & no est?n su7etas a un solo pro%eedor$ ;< Con7untamente con los e+uipos, se deber) ad+uirir el e+uipo complementario adecuado para su correcto (uncionamiento de acuerdo con las especi(icaciones de los (abricantes, & +ue esta ad+uisición se mani(ieste en el costo de la partida inicial$ io(tEare %iente precarado con su licencia correspondiente correspon diente considerando las disposiciones del artículo siuiente$

AR6.C:L9 "3°$ Para la ad+uisición de >o(tEare base & utilitarios, el Comit? dar) a conocer periódicamente las tendencias con tecnoloía de punta %iente, siendo la lista de productos autorizados la siuiente a$ Plata(ormas de >istemas 9perati%os


111

>#9>, > QindoEs 5 'spa-ol, QindoEs N6, No%ell NetEare, :ni=8Automotriz<$ b$ ases de #atos o=pro, .n(ormi= c$ ane7adores de bases de datos o=pro para #9>, /isualo=, Access d$ Lenua7es de proramación Los lenua7es de proramación +ue se utilicen deben ser compatibles con las plata(ormas enlistadas$ >UL QindoEs /isual asic /isualo= CenturaQeb Notes #esiner

e$ Do7as de c)lculo '=cel ($ Proc Proces esad ador ores es de de pala palabr bras as Qord $ #ise-o !r)(ico Pae aTer, Corel #raE ;$ Proramas anti%irus$ prot, Command Anti%irus, Norton Anti%irus i$ Corr Correo eo elec electr trón ónic ico o Notes ail 7$ roEser de .nternet Netscape


112

'n la eneralidad de los casos, sólo se ad+uirir)n las Jltimas %ersiones liberadas de los productos seleccionados, sal%o situaciones especí(icas +ue se deber)n 7usti(icar ante el Comit?$ 6odos los productos de >o(tEare +ue se ad+uieran deber)n contar con su licencia de uso, documentación & arantía respecti%as$ AR6.C:L9 "4°$ 6odos 6odo s los productos de >o(tEare +ue se utilicen utilice n a partir de la (ec;a en +ue entre en %ior el presente ordenamiento, deber)n contar con su licencia de uso respecti%a* por lo +ue se promo%er) la reularización o eliminación de los productos &a instalados +ue no cuenten con la licencia respecti%a$ AR6.C:L9 "5°$ Para la operación del so(tEare de re d se debe tener en conside ración lo siuiente a< 6oda la in(ormación in (ormación institucional debe in%ariablemente ser operada a tra%?s de un mismo tipo de sistema mane7ador de base de datos para bene(iciarse de los mecanismos de interidad, seuridad & recuperación de in(ormación en caso de (alla del sistema de cómputo$ b< 'l acceso a los sistemas de in(ormación, debe contar con los pri%ileios ó ni%eles de seuridad de acceso su(icientes para arantizar la seuridad total de la in(ormación institucional$ Los ni%eles de seuridad de acceso deber)n controlarse por un administrador administrador Jnico & poder ser manipulado manipulado por so(tEare$ so(tEare$ >e deben delimitar las responsabilidades en cuanto a +ui?n est) autorizado a consultar &o modi(icar en cada caso la in(ormación, tomando las medidas de seuridad pertinentes para cada caso$ c< 'l titular de la unidad administrati%a responsable del sistema de in(ormación debe autorizar & solicitar la asinación de cla%e de acceso al titular de la :nidad de .n(orm)tica$ d< Los datos de los sistemas de in(ormación, deben ser respaldados de acuerdo a la (recuencia de actualización de sus datos, rotando los dispositi%os de respaldo & uardando respaldos ;istóricos periódicamente$ 's indispensable lle%ar una bit)cora o(icial de los respaldos realizados, asimismo, las cintas de respaldo deber)n uardarse en un luar de acceso restrinido con condiciones ambientales su(icientes para arantizar su conser%ación$ #etalle e=plicati%o se aprecia en la Política de respaldos en %iencia$ e< 'n cuanto a la in(ormación in(ormación de los e+uipos de cómputo personales, personales, la :nidad de .n(orm)tica recomienda a los usuarios +ue realicen sus propios respaldos en la red o en medios de almacenamiento alternos$


113

(< 6odos los sistemas de in(ormación +ue se tenan en operación, deben contar con sus respecti%os manuales actualizados$ :no t?cnico +ue describa la estructura interna del sistema así como los proramas, cat)loos & arc;i%os +ue lo con(orman & otro +ue describa a los usuarios del sistema, los procedimientos para su utilización$ ;< Los sistemas de in(ormación, deben contemplar contemplar el reistro reistro ;istórico de las transacciones sobre datos rele%antes, así como la cla%e del usuario & (ec;a en +ue se realizó 8Normas )sicas de Auditoría & Control<$ i <>e deben implantar rutinas periódicas de auditoría a la interidad de los datos & de los proramas de cómputo, para arantizar su con(iabilidad$ AR6.C:L9 "G°$ Para la contratación del ser%icio de desarrollo o construcción de >o(tEare aplicati%o se obser%ar) lo siuiente 6odo pro&ecto de contratación de desarrollo o construcción de so(tEare re+uiere de un estudio de (actibilidad +ue permita establecer la rentabilidad del pro&ecto así como los bene(icios +ue se obtendr)n del mismo$ 6odo pro&ecto deber) ser aprobado por el Comit? en base a un in(orme t?cnico +ue contena lo siuiente ases del concurso 8Re+uerimientos claramente especi(icados< An)lisis de o(ertas 86res o(erentes como mínimo< & >elección de o(erta anadora

B*&!& $!" C%/)&% Las bases del concurso especi(ican especi(ican claramente los ob7eti%os del traba7o, delimita delimita las responsabilidades de la empresa o(erente & la contratante$

D! "*& !')!&*& %=!)!,!&: Los re+uisitos +ue se deben solicitar a las empresas o(erentes son a$ Copia de la C?dula de .dentidad del o los representantes de la compa-ía b$ Copia de los nombramientos nombramientos actualiz actualizados ados de los representantes representantes leales de la compa-ía c$ Copia de los 'statutos de la empresa, en +ue aparezca claramente de(inido el ob7eto de la compa-ía, esto es para determinar si est) o no (acultada para realizar la obra d$ Copia del R:C R:C de la compa-ía


114

e$ Re(erencias de clientes 8ínimo 3< ($ La carta carta con la o(erta o(erta de(initi%a de(initi%a del contratis contratista ta debe estar estar (irmada (irmada por el representante leal de la compa-ía o(erente$

D! "* "* /%,)*,*,! Las responsabilidades de la contratante son a$ #elinear adecuadamente los ob7eti%os & alcance del aplicati%o$ b$ 'stablecer los re+uerimientos del aplicati%o c$ #e(inir responsabilidades de la contratista & contratante d$ 'stablecer campos de acción

A?"#&#& $! %=!),*& < S!"!//#- $! %=!),* +**$%)*: Para de(inir la empresa o(erente anadora del concurso, el Comit? establecer) una reunión en la +ue se debe considerar los siuientes (actores a$ Costo b$ Calidad c$ 6iempo de permanencia en el mercado de la empresa o(erente d$ '=periencia en el desarrollo de aplicati%os e$ Re(erencias comprobadas de Clientes ($ Cumplim Cumplimien iento to en en la entrea entrea de los los re+ui re+uisito sitoss Aprobada la o(erta se debe considerar los siuientes lineamientos en la elaboración de contratos 6odo contrato debe incluir lo siuiente Antecedentes, ob7eto del contrato, precio, (orma de pao, plazo, obliaciones del contratista, responsabilidades, (iscalizador de la obra, arantías, entrea recepción de obra pro%isional & de(initi%a, sanciones por incu mplimientos, rescisión del contrato, disposiciones supletorias, documentos incorporados, solución de contro%ersias, entre otros aspectos$ Las arantías necesarias para cada contrato deben ser incluídas en (orma con7unta con el #epartamento #epartamento Leal, +uienes deben asesorar asesorar el tipo de arantía arantía necesaria en la elaboración de cada contrato$ Las arantías +ue se deben aplicar de acuerdo al tipo de contrato son


115

a$ :na arantía arantía bancaria o una póliza de seuros, incondici incondicional, onal, irre%ocab irre%ocable le & de cobro inmediato inmediato por el 5] del monto total total del contrato contrato para aseurar su (iel cumplimiento, la cual se mantendr) %iente durante todo el tiempo +ue subsista la obliación moti%o de la arantía$ b$ :na arantía arantía bancaria o una póliza de seuros, incondici incondicional, onal, irre%ocab irre%ocable le & de cobro inmediato e+ui%alente al "00 ] 8ciento por ciento< del anticipo$ 'sta arantía se de%ol%er) en su interidad una %ez +ue el anticipo se ;a&a amortizado en la (orma de pao estipulada en el contrato$ c$ :n (ondo de arantía +ue ser) retenido de cada planilla en un porcenta7e del 5 ]$ @unto al contrato se deber) mantener la ;istoria respecti%a del mismo +ue se compone de la siuiente documentación soporte 'studio de (actibilidad ases del concurso 9(ertas presentadas Acta de aceptación de o(erta (irmada por los interantes del Comit? .n(ormes de (iscalización Acta de entrea pro%isional & de(initi%a

TITULO III INSTALACIONES AR6.C:L9 "°$ "° $ La instalación del e+uipo de cómputo , +uedar) su7eta a los siuientes lineamientos a< Los e+uipos para uso interno se instalar)n en luares adecuados, le7os de pol%o & tr)(ico de personas$ 'n las )reas de atención directa al pJblico los e+uipos se instalar)n en luares adecuados$ b< La Administración de .n(orm)tica, así como las )reas operati%as deber)n contar con un cro+uis actualizado de las instalaciones el?ctricas & de comunicaciones del e+uipo de cómputo en red$


116

c< Las instalaciones el?ctricas & de comunicaciones, estar)n de pre(erencia (i7as o en su de(ecto resuardadas del paso de personas o m)+uinas, & libres de cual+uier inter(erencia el?ctrica o man?tica$ d< Las instalaciones instalacione s se apear)n estrictamente a los re+uerimientos de los e+uipos, e+uipos , cuidando las especi(icaciones del cableado & de los circuitos de protección necesarios* e< 'n ninJn caso se permitir)n instalaciones impro%isadas o sobrecaradas$ (< Cuando en la instalación se alimenten ele%adores, motores & ma+uinaria pesada, se deber) tener un circuito independiente, e=clusi%o para el e+uipo &o red de cómputo$ AR6.C:L9 "1°$ La super%isión & control de las inst alaciones se lle%ar) a cabo en los plazos & mediante los mecanismos +ue establezca el Comit?$

TITULO IV LINEAMIENTOS EN INFORMATICA CAPITULO I INFORMACION AR6.C:L9 "°$ Los arc;i%os man?ticos de in(ormaci ón se deber)n in%entariar, ane=ando la descripción & las especi(icaciones de los mismos, clasi(icando la in(ormación en tres cateorías "$ .n(ormación ;istórica para auditorías 2$ .n(ormación de inter?s de la 'mpresa NN 3$ .n(ormación de inter?s e=clusi%o de alJn )rea en particular$ AR6.C:L9 20°$ Los 7e(es de sistemas responsables d el e+uipo de cómputo & de la in(ormación in(ormación contenida en los centros centros de cómputo cómputo a su caro, delimitar)n las responsabilidades de sus subordinados & determinar)n +uien est) autorizado a e(ectuar operaciones operaciones emerentes con dic;a in(ormación in(ormación tomando las medidas de seuridad seuridad pertinentes$ AR6.C:L9 2"°$ >e establecen tres tipos de priorida d para la in(ormación "$ .n(ormación %ital %ital para el (uncionamiento de la unidad administrati%a* 2$ .n(ormación necesaria, pero no indispensable en la unidad administrati%a* 3$ .n(ormación ocasional o e%entual$


117

AR6.C:L9 22°$ 'n caso de in(ormación %ital para el (uncionamiento de la unidad administrati%a, se deber)n tener procesos concomitantes, así como tener el respaldo diario de las modi(icaciones e(ectuadas, rotando los dispositi%os de respaldo & uardando respaldos ;istóricos semanalmente$ AR6.C:L9 23°$ La in(ormación necesaria pero no ind in d ispensable, deber) ser respaldada respald ada con una (recuencia mínima de una semana, rotando los dispositi%os de respaldo & uardando respaldos ;istóricos mensualmente$ AR6.C:L9 24°$ 'l respaldo de la in(ormación ocasio nal n al o e%entual +ueda a criterio de la unidad administrati%a$ AR6.C:L9 25°$ Los arc;i%os man?ticos de in(ormaci ón, de car)cter ;istórico +uedar)n documentados como acti%os de la unidad acad?mica & estar)n debidamente resuardados en su luar de almacenamiento$ 's obliación del responsable responsable del e+uipo de cómputo, cómputo, la entrea con%eniente con%eniente de los arc;i%os man?ticos de in(ormación, a +uien le suceda en el caro$ AR6.C:L9 2G°$ Los sistemas de in(ormación en opera ción, como lo s +ue se desarrollen desarrolle n deber)n contar con sus respecti%os manuales$ :n manual del usuario +ue describa los procedimientos de operación & el manual t?cnic o +ue describa su estructura interna, proramas, cat)loos & arc;i%os$

CAPITULO II FUNCIONAMIENTO AR6.C:L9 2°$ 2 °$ 's obliación de la Administración d e .n(orm)tica %iilar +ue el e+uipo de cómputo se use ba7o las condiciones especi(icadas por el pro%eedor & de acuerdo a las (unciones del )rea a la +ue se asine$ AR6.C:L9 21°$ Los colaboradores de la empresa al u sar el e+uipo de cómputo, se abstendr abstendr)n )n de consum consumir ir alimento alimentos, s, (umar (umar o realizar realizar actos +ue per7udi+ per7udi+uen uen el (uncionamiento del mismo o deterioren la in(ormación almacenada en medios man?ticos, ópticos, etc$ AR6.C:L9 2°$ Por seuridad de los recursos in(orm )ticos se deben establecer seuridades ísicas


118

>istema 9perati%o >o(tEare Comunicaciones ase de #atos Proceso Aplicaciones Por ello se establecen los siuientes lineamientos antener cla%es de acceso +ue permitan el uso solamente al personal autorizado para ello$ /eri(icar la in(ormación +ue pro%ena de (uentes e=ternas a (in de corroborar +ue est?n libres de cual+uier aente e=terno +ue pueda contaminarla o per7udi+ue el (uncionamiento de los e+uipos$ antener pólizas de seuros de los recursos in(orm)ticos en (uncionamiento AR6.C:L9 30°$ 'n ninJn caso se autorizar) la util ización de dispositi%os a7enos a los procesos in(orm)ticos de la unidad administrati%a$ Por consiuiente, se pro;ibe el inreso &o instalación de ;ardEare & so(tEare particular, es decir +ue no sea propiedad de una unidad administrati%a de la 'mpresa NN, e=cepto en casos emerentes +ue la #irección autorice$

CAPITULO III PLAN DE CONTINGENCIAS CONTINGENCIAS AR6.C:L9 3"°$ La Administración de .n(orm)tica cre ar) para las empresas & departamentos un plan de continencias in(orm)ticas +ue inclu&a al menos los siuientes puntos a< Continuar con la operación de la unidad administrati%a con procedimientos in(orm)ticos alternos* b< 6ener los respaldos de in(ormación en un luar seuro, (uera del luar en el +ue se encuentran los e+uipos$ c< 6ener el apo&o por medios man?ticos o en (orma documental, de las operaciones necesarias para reconstruir los arc;i%os da-ados*


119

d< Contar con un instructi%o de operación para la detección de posibles (allas, para +ue toda acción correcti%a se e(ectJe con la mínima deradación posible de los datos* e< Contar con un directorio del personal interno & del personal e=terno de soporte, al cual se pueda recurrir en el momento en +ue se detecte cual+uier anomalía* (< '7ecutar pruebas de la (uncionalidad del plan (< antener re%isiones del plan a (in de e(ectuar las actualizantes respecti%as

CAPITULO IV ESTRATEGIAS AR6.C:L9 32$ La estrateia in(orm)tica de la ##6 se consolida en e n el Plan aestro de .n(orm)tica & est) orientada ;acia los siuientes puntos a< Plata(orma de >istemas Abiertos* b< #escentralización del proceso de in(ormación c< 's+uemas de operación ba7o el concepto clienteser%idor d< 'standarización de ;ardEare, so(tEare base, utilitarios & estructuras de datos e< .ntercomunicación entre unidades & e+uipos mediante protocolos est)ndares (< .ntercambio de e=periencias entre #epartamentos de .n(orm)tica$ < ane7o de pro&ectos con7untos con las di(erentes unidades administrati%as$ ;< Prorama de capacitación permanente para los colaboradores de la empresa del )rea de in(orm)tica i< .nteración de sistemas & bases de datos de la 'mpresa NN, para tener como meta (inal un >istema .nteral de .n(ormación Corporati%o$ 7< Proramación con a&udas %isuales e interacti%as$ acilitando inter(ases amiables al usuario (inal$ T< .nteración de sistemas telein(orm)ticos 8.ntranet #e rupo empresarial<$ AR6.C:L9 33°$ Para la elaboración de los pro&ectos in(orm)ticos & para la presupuestación presupuestación de los mismos, se tomar)n en cuentan tanto las necesidades necesidades de ;ardEare & so(tEare so(tEare de la unidad administrati%a administrati%a solicitante, solicitante, como la disponibilidad disponibilidad de recursos con +ue ?stas cuenten$


120

DISPOSICIONES TRANSITORIAS TRANSITORIAS AR6.C:L9 PR.'R9$ Las disposiciones a+uí a +uí enmarcadas, entrar)n en trar)n en %ior %io r a partir parti r del día siuiente de su di(usión$ AR6.C:L9 >'!:N#9$ Las normas & políticas ob7eto de este documento, podr)n ser modi(icadas modi(icadas o adecuadas con(orme con(orme a las necesidades +ue se %a&an presentando, presentando, mediante acuerdo del Comit? 6?cnico de .n(orm)tica de la 'mpresa NN 8C6.<* una %ez aprobadas dic;as modi(icaciones o adecuaciones, se establecer) su %iencia$ AR6.C:L9 6'RC'R9$ Las disposiciones a+uí descritas constan de (orma detallada en los manuales de políticas & procedimientos especí(icos e=istentes$ AR6.C:L9 C:AR69$ La (alta de desconocimiento de las normas a+uí descritas por parte de los colaboradores no los libera de la aplicación de sanciones &o penalidades por el incumplimiento de las mismas$


121

B#("#%+)*= "#%+)*= * Audinet  ;ttttp pEE EEE$ E$ au audinet$ o or >ans .nstitute  ;tt p pE EEE$ EE$ sans sans $o r A:#.69R.A .N9RA6.CA$ :n en(o+ue pr)ctico ario Piatini O 'milio del Peso 'd$ Rama A:#.69R.A #' L9> >.>6'A> #' .N9RAC.IN .N9RAC.IN Ra(ael ernal & Iscar Coltell O :ni%$ Polit?cnica de /alencia


122

Auditoria Informatica-municipalidad Huaraz

Recommend Documents