UNIVERSIDAD PRIVADA SAN PEDRO HUARAZ
C
AUDITORIA DE SISTEMAS
2
CA PIT ULO
I AUDITOR IA I NF OR MA T ICA
AUDITORIA DE SISTEMAS
3
1. TOMA DE CONTACTO 2. DEFINICIÓN DEL ALCANCE. 3. RECURSOS Y TIEMPO. 4. PROGRAMA DE TRABAJO: RECOPILACIÓN DE INFORMACIÓN. 5. IDENTIFICACIÓN DE RIESGOS POTENCIALES. 6. DEFINICIÓN DE PRUEBAS. 7. OBTENCIÓN DE RESULTADOS. 8. CONCLUSIONES Y COMENTARIOS. COMENTARIOS. . RE!ISIÓN Y CIERRE DE PAPELES DE TRABAJO. 1". PREPARACIÓN DEL BORRADOR DEL INFORME. 11. DISCUSIÓN DEL INFORME. 12. EMISIÓN Y DISTRIBUCIÓN. 13. PLAN DE MEJORAS.
AUDITORIA DE SISTEMAS
4
AUDITORIA INFORMATICA 1.1.ORIGEN DE LA AUDITORIA: La presente Auditoria se realiza en cumplimiento del Plan Anual de Control 2003, aprobada mediante Resolución de Contraloría N° 235 2002C! del "5 de #iciembre del 2002$
1.2.OBJETIVOS Y ALCANCE 1.2.1. OBJETIVO GENERAL Re%isar & '%aluar los controles, sistemas, procedimientos de in(orm)tica* de los e+uipos de cómputo, su utilización, e(iciencia & seuridad, de la oranización +ue participan en el procesamiento de la in(ormación, a (in de +ue por medio del se-alamiento de cursos alternati%os se lore una utilización m)s e(iciente & seura de la in(ormación +ue ser%ir) para una adecuada toma de decisiones$
1.2.2. OBJETIVOS ESPECIFICOS '%aluar el dise-o & prueba de los sistemas del )rea de .n(orm)tica #eterminar la %eracidad de la in(ormación del )rea de .n(orm)tica '%aluar los
procedimientos
de
control
de
operación, analizar
su
estandarización & e%aluar el cumplimiento de los mismos$ '%aluar la (orma como se administran los dispositi%os de almacenamiento b)sico del )rea de .n(orm)tica '%aluar el control +ue se tiene sobre el mantenimiento & las (allas de las Pcs$ /eri(icar las disposiciones & relamentos +ue coad&u%en al mantenimiento del orden dentro del departamento de cómputo$
AUDITORIA DE SISTEMAS
5
1.3.ANTECEDENTES La con%ención Nacional el 2 de #iciembre de "15 aprueba la le& +ue es promulada por el libertador Ramón Castilla disponiendo + el #pto$ de o+ueua, con(ormando por 04 pro%incias 6acna, Arica, 6arapac) & o+ueua, entre otros #ptos$, #ptos$, procedan a constituir constituir 7untas electorales en las capitales de #ptos$, #ptos$, pro%incias & distritos, para + se eli7an las primeras unicipalidades establecidas por la constitución$ 'n la Capital de la Pro%incia de o+ueua, debían eleirse "" unicipalidades, en el resto de la Pro%incia 86orata, 9mate, :binas, Carumas, Pu+uina, .loe .c;u-aetiembre de "45$ Actualmente la unicipalidad Pro%incial de ariscal Nieto cuenta con una in(raestructura moderna ubicada en la calle Ancas; N° 25
1.4.ENFOQUE A UTILIZAR UTILIZAR La presente acción de control, se realiza de acuerdo con el oranismo central & rector de los >istemas >istemas Nacionales de 'stadística 'stadística e .n(orm)tica, .n(orm)tica, responsable responsable de normar, super%isar & e%aluar los m?todos, procedimientos & t?cnicas estadísticas e in(orm)ticas utilizados por los óranos órano s del >istema .N'. 8.nstituto Nacional de 'stadística e .n(orm)tica<, Normas .nternacionales de Auditoria 8N.A<* ;abi?ndose aplicado procedimientos de Auditoria +ue se consideraron necesarios de acuerdo a las circunstancias$
AUDITORIA DE SISTEMAS
6
La presente Auditoria .n(orm)tica se realizara en la unicipalidad Pro%incial de ariscal Nieto, ubicada en el #istrito de o+ueua, Pro%incia ariscal Nieto #epartamento de o+ueua, siendo el )rea a e=aminarse la de .n(orm)tica$
1.5.RELACION DE FUNCIONARIOS O PERSONAL A CARGO DEL AREA A EXAMINAR P!)#%$% $! G!&,#- A!""#$%&
C*)+%
N%'()!& C!)0*,!& G*'!&
I0*
M*/#)#* Z!(*""%& V#/,%)#* V!"*&! Z**,* S%#* G*'! V#""* C!"#*
D!"
A"
D%'#/#"#%
@e(e
0"$0 0"$0"$ "$0 03 30$ 30$"2$0 "2$03 3 A%$ alt alta a N°23 N°232 2
Planillas
0"$0"$03 30$"2$03 Calle Lima NB 44 Calle 3o+ueua
>ecretaria
0"$0"$03 30$"2$03
>ec >ecretari aria
0"$0"$0 "$03 30$" 0$"2$0 2$03 Calle Lima ima N° N°"42 "420
N°"45
1.6.CRONOGRAMA 1.6.CRONOGRAMA DE TRABAJO PROGRAMA DE AUDITORIA EMPRESA: unicipalidad Pro%incial ariscal Nieto A>'
AC6./.#A#
'CDA D9@A N° D9RA>
'NCAR!A#9>
'>6.A#A> .
/.>.6A PR'L..NAR
1 D>$
>olicitud de anuales & #ocumentaciones$ 'laboración de los cuestionarios$ Recopilación de la in(ormación oranizacional estructura or)nica, recursos ;umanos, presupuestos$
AUDITORIA DE SISTEMAS
7
..
#'>ARR9LL9 #' LA A:#.69R.A
32 D>$
Aplicación del cuestionario al personal$ 'ntre%istas a líderes & usuarios mas rele%antes de la dirección$ An)lisis de las cla%es de acceso, control, seuridad, con(iabilidad & respaldos$ '%aluación de la estructura or)nica departamentos, puestos, (unciones, autoridad & responsabilidades$ '%aluación de los Recursos Dumanos & de la situación Presupuestal & inanciera desempe-o, capacitación, condiciones de traba7o, recursos en materiales & (inancieros mobiliario & e+uipos$ '%aluación de los sistemas rele%amiento de DardEare & >o(tEare, e%aluación del dise-o lóico & del desarrollo del sistema$ '%aluación del Proceso de #atos & de los '+uipos de Cómputos seuridad de los datos, control de operación, seuridad (ísica & procedimientos de respaldo$ ...
R'/.>.9N F PR'.N9R'
"G D>$
Re%isión de los papeles de traba7o$ #eterminación del #ianostico e .mplicancias$ 'laboración de la Carta de !erencia$ 'laboración del orrador$ ./
.N9R'
4 D>$
'laboración & presentación del .n(orme$
AUDITORIA DE SISTEMAS
8
DIAGRAMA DE GANTT
1.7.DOCUMENTOS A SOLICITAR Políticas, est)ndares, normas & procedimientos$ Plan de sistemas$ Planes de seuridad & continuidad Contratos, pólizas de seuros$ 9ranirama & manual de (unciones$ anuales de sistemas$ Reistros 'ntre%istas Arc;i%os Re+uerimientos de :suarios
1.8.EJECUCION DE LA REVISION ESTRATEGICA ESTRATEGICA 1.8.1. CONOCIMIENT CONOCIMIENTO O INICIAL INICIAL DE LA ENTIDAD
AUDITORIA DE SISTEMAS
9
Anteriormente, el obierno local de la pro%incia de ariscal Nietoo+ueua ocupaba una casona ubicada en la calle o+ueua N° 15", inmueble cu&a construcción data de " & +ue (ue donada a la unicipalidad de o+ueua el 05 de >etiembre de "45$ Actualmente la unicipalidad Pro%incial de ariscal Nieto cuenta con una in(raestructura moderna ubicada en la calle Ancas; N° 25
1.8.2. AUTORIDADES DE LA MUNICIPALIDAD MUNICIPALIDAD PROVINCIAL PROVINCIAL DE MARISCAL MARISCAL NIETO
NOMBRE
CARGO
#r$ /icente Antonio
Alcalde
Heballos >alinas #r$ @a%ier lores Arocutipa a$ Dilda !ue%ara !omez .n$ 9scar Paredes /aras a$ /ictor Corne7o
/icerrector #ecana de la acultad de Ciencias de la >alud #ecano de la acultad de .neniería
#ecano de Cs$@urídicas,
Rodriuez
'mpresariales & Pedaóicas$
1.8.3. PRINCIPALES PRINCIPALES ACTIVIDADES: Acordar su r?imen de Irano .nterior Aprobar su presupuesto Aprobar sus ienes & Rentas Crear, modi(icar, suprimir o e=aminar sus contribuciones, atribuciones & derec;o, con(orme a Le&$ 9ranizar, Relamentar & Administrar sus ser%icios pJblicos locales$
AUDITORIA DE SISTEMAS
10
Contratar con otras entidades pJblicas & no pJblicas, pre(erentemente locales, la atención de los ser%icios +ue no administraron directamente$ Plani(icar el desarrollo de sus pueblos & e7ecutar los planes correspondientes$ '=aminar el cumplimiento de sus propias Normas, a tra%?s de sus propios medios o con el au=iliar de las (uerzas policiales$ Celebrar contratos con otros municipios para oranizar ser%icios comunes$ Promo%er & oranizar la participación de los %ecinos en el desarrollo comunal$
1.8.4. FUNCIONES GENERALES Plani(icar, e7ecutar e impulsar, a tra%?s de los óranos correspondientes, el con7unto de acciones destinadas a proporcionar al ciudadano, el ambiente adecuado para las satis(acciones de sus necesidades %iales de %i%ienda, salubridad, abastecimiento, educación, recreación, transporte & comunicación$ ormular el plan de desarrollo distrital en concordancia con las necesidades & re+uerimientos de la población oranizada & los planes de desarrollo nacional & reional$ Conducir los proramas de acondicionamiento territorial, %i%ienda & seuridad colecti%a, con(orme lo establece la le& or)nica de municipalidades, %elando por su e7ecución$
AUDITORIA DE SISTEMAS
11
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI CONSEJO MUNICIPAL
COMISIONES ORDINARIAS CONSEJO DE COORDINACION PROVINCIAL
CONSEJO DE COORDINACION DISTRITAL OFICINA DE AUDITORIA
JUNTA DE DELEGADOS VECINALES
1.9.ORGANIGRAMA
ALCALDIA
PROCURADURIA MUNICIPAL SU! GERENCIA SECRETARIA GENERAL
COMITÉ MUNICIPAL DEFENSORIA DEL NIÑO DEL ADOLECENTE
SU! GERENCIA DE IMAGEN INSTITUCIONAL
COMITÉ PROVINCIAL DE DEFENSA CIVIL
COMITÉ DE DEFENSA DEL USUARIO
GERENCIA MUNICIPAL
SU! GERENCIA SUPERVISION SECRETARIA GENERAL
GERENCIA DE ADMINISTRACION
SU! GERENCIA DE EJCUCION COACTIVA
GERENCIA DE ASESORIA JURIDICA
GERENCIA DE FISCALI"ACION PRESUPUESTO
GERENCIA DE ADMINISTRACION TRI!UTARIA
SU! GERENCIA DE INVESTIGACION C#T#I#
SU! GERENCIA DE CONTA!ILIDAD TESORERIA
SU! GERENCIA DE RECA!ACION TRI!UTARIA
SU! GERENCIA DE LOGISTICA CONTROL PATRIMONIAL
SU! GERENCIA DE FISCALI"ACION TRI!UTARIA
SU! GERENCIA DE PLANIFICACION PRESIPUESTO
SU! GERENCIA DESARROLLO ORGANI"ACI%N E INFORMATICA
SU! GERENCIA DE RECURSOS $UMANOS
GERENCIA DE RECURSOS $UMANOS
GERENCIA DE SERVICIOS A LA CIUDAD
GERENCIA DE DESARROLLO ECONOMICO SOCIAL
GERENCIA DE INVERSION
SU! GERENCIA DE PRE INVERCION SU! GERENCIA PLANEAMIENTO CONTROL UR!ANO
SU! GERENCIA DE SERVICIOS PU!LICOS
SU! GERENCIA DE DESARROLLO ECONOMICO SU! GERENCIA DE INVERCION
SU! GERENCIA TRANSPORTE SEGURIDAD VIAL
SU! GERENCIA DE DESARROLLO AM!IENTAL
SU! GERENCIA DE A!ASTECIMIENTO COMERCIALI"ACION
SU! GERENCIA DE DESARROLLO SOCIAL UNIDAD OPERATIVA GRIFO MUNICIPAL
SU! GERENCIA DE SEGURIDAD CIUDADANA UNIDDA OPERATIVA SERVICIO MA&UINARIA E&UIPO
UNIDAD OPERATIVA PANTA DE PREFA!RICADOS
ENTIDAD PRESTADORA DE SERVICIOS DE SANEAMIENTO
1.1. MARCO LEGAL APLICABLE
AUDITORIA DE SISTEMAS
MUNICIPALIDADES DE CENTROS PO!LADOS
12
COMITÉ ADMINISTRACION PROGRAMA VASO DE LEC$E
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
La base normati%a empleada est) compuesta por las Normas .nternacionales de Auditoría 8N.AKs< "00" >istemas de icrocomputadorasM, "002 >istemas de icrocomputador icrocomputadoras as en LíneaM, "003 >istemas de ases de #atosM, #atosM, "001 '%aluación de Riesos & Control .nternoM & el marco C9.6$
1.11. SISTEMAS Y CONTROLES IDENTIFICADOS *; C%,)%" $! A/,#0#$*$!& < O!)*/#%!&. La unicipalidad Pro%incial de ariscal Nieto a (ormulado el Relamento de 9ranización & unciones 8R9<, Asimismo la entidad ;a (ormulado el anual de 9ranización & unciones$
(; C%,)%"!& $! $! C%=#*(#"#$*$ C%=#*(#"#$*$ < V*"#$! $! "* I=%)'*/#-. I=%)'*/#-. Las (unciones & responsabilidades de cada (uncionario &o directi%o est)n establecidas en el Relamento !eneral .nterno, Relamento de 9ranización & unciones 8R9<$
1.12. OFICINA DE PLANEACION Y PRESUPUESTO 1.12. 1. 12.1. 1.
AREA AREA DE COMP COMPUT UTO O E INFO INFORM RMAT ATIC ICA A
MISION 'l )rea de Computo e in(orm)tica de la municipalidad Pro%incial de ariscal NietoO o+ueua, tiene por misión normar el adecuado uso & apro%ec;amiento de los recursos recursos in(orm)ticos* in(orm)ticos* la optimización optimización de las acti%idades, acti%idades, ser%icios ser%icios procesos procesos & acceso inmediato a in(ormación para la toma de decisiones, mediante el desarrollo, implantación & super%isión del correcto (uncionamiento de los sistemas
AUDITORIA DE SISTEMAS
13
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
& comunicaciones, así como la ad+uisición ad+uisi ción & control de la pla ta(orma (ísica de computo$
VISION: 'l rea de cómputo e in(orm)tica, de la unicipalidad Pro%incial ariscal Nieto, capaz de liderar el desarrollo in(orm)tico, aseurando un marco transparente para el acceso a los ciudadanos a la in(ormación
1.12 1.12.2 .2..
SIT SITUACI UACION ON ACTUAL UAL
U(#/*/#-: 'l )rea de cómputo e in(orm)tica in(orm)tica or)nicament or)nicamente e depende de la o(icina o(icina de plani(icación & presupuesto, asumiendo la responsabilidad de diriir los procesos t?cnicos de in(orm)tica
R!/)&%& >'*%&: Actualmente en el )rea de cómputo e in(orm)tica labora una sola persona +uien cumple las (unciones de administración, capacitación, soporte & procesamiento de datos$
R!/)&%& #=%)'?,#/%& !@#&,!,!&:
>er%idores 8QindoEs 2000 >er%er<
"
Computadoras Personales
2
.mpresoras
"
1.12 1.12.3 .3.. OBJE OBJET TIVOS IVOS:: 'l )rea de Cómputo e in(orm)tica tiene los siuientes ob7eti%os >ectoriales
AUDITORIA DE SISTEMAS
14
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
Apo&ar a las unicipalidades #istritales de la Pro%incia de ariscal Nieto$ 'standarizar & :ni(ormizar in(ormación rele%ante re(erente a los obiernos locales rindar un me7or ser%icio a los usuarios de o+ueua, a tra%?s de una paina Qeb
OBJETIVOS ESPECIFICOS ESPE CIFICOS PRESUPUESTADOS;: PRESUPUESTADOS;: '+uipamiento de la estión unicipal$ 9ptimizar las aplicaciones e=istentes a satis(acción de la municipalidad$ #iitalización de Partidas de Nacimiento, atrimonio & #e(unción rindar acceso a .nternet #ise-o & elaboración de p)inas Qeb$ Alo7amiento & antenimiento de la Paina Qeb$
1 .1 2 .4 .
ANALISIS FODA
F%),*"!*& o
#isponibilidad de recursos económicos$
o
Personal #irecti%o & t?cnico con amplia e=periencia8recursos ;umanos<
o
Capacidad de Con%ocatoria8#i(usión<
O%),#$*$!& o
Js+ueda de reducción de costos, apro%ec;ando la aparición de nue%as tecnoloías$
o
uen ser%icio & trato$
o
6endencias 6ecnolóicas eneran un amplio campo de acción
o
Predisposición & %oluntad de los nue%os directi%os para cambio 6ecnolóico
AUDITORIA DE SISTEMAS
15
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
D!(#"#$*$!&
o
alta de planes & Proramas .n(orm)ticos$
o
Poca identi(icación del personal con la institución
o
.nestabilidad laboral del personal
o
'scasa capacidad de retención & %oluntad del personal
o
No e=iste proramas de capacitación & actualización al personal
o
La o(icina del rea de computo e in(orm)tica mu& reducido
o
Personal t?cnico Cali(icado insu(iciente en el )rea de computo
A'!**& o
Rotación permanente del personal imposibilitando continuidad a los ob7eti%os propuestos$
o
'standarizar & :ni(ormizar in(ormación rele%ante re(erente a los obiernos locales$
AUDITORIA DE SISTEMAS
16
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
'laboración del in(orme Para la e%aluación de los sistemas tanto en operación como en desarrollo se lle%ar)n a cabo las siuientes acti%idades >olicitud del an)lisis & dise-o del os sistemas en desarrollo & en operación >olicitud de la documentación de los sistemas en operación 8manuales t?cnicos, de operación del usuario, dise-o de arc;i%os & proramas< Recopilación & an)lisis de los procedimientos administrati%os de cada sistema 8(lu7o de in(ormación,
DE AUDITORIA
PLAN
2.1.METODOLOGIA La metodoloía de in%estiación a utilizar en el pro&ecto se presenta a continuación Para la e%aluación del rea de .n(orm)tica se lle%ar)n a cabo las siuientes acti%idades >olicitud de los est)ndares utilizados & prorama de traba7o Aplicación del cuestionario al personal An)lisis & e%aluación del a in(ormación (ormatos, reportes & consultas< An)lisis de lla%es, redundancia, control, seuridad , con(idencial & respaldos An)lisis del a%ance de los pro&ectos en desarrollo, prioridades & personal asinado 'ntre%ista con los usuarios de los sistemas '%aluación directa de la in(ormación obtenida contra las necesidades & re+uerimientos del usuario An)lisis ob7eti%o de la estructuración & (lu7o de los proramas An)lisis & e%aluación de la in(ormación recopilada 'laboración del in(orme Para la e%aluación de los e+uipos se lle%ar)n a cabo las siuientes acti%idades >olicitud de los estudios de %iabilidad & características de los e+uipos actuales, pro&ectos sobre ampliación de e+uipo, su actualización AUDITORIA DE SISTEMAS
17
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
>olicitud de contratos de compra & mantenimientos de e+uipo & sistemas >olicitud de contratos & con%enios de respaldo >olicitud de contratos de >euros 'laboración de un cuestionario sobre la utilización de e+uipos, memoria, arc;i%os, unidades de entradasalida, e+uipos peri(?ricos & su seuridad /isita t?cnica de comprobación de seuridad (ísica & lóica de la instalaciones de la #irección de .n(orm)tica '%aluación t?cnica del sistema electrónico & ambiental de los e+uipos & del local utilizado '%aluación de la in(ormación recopilada, obtención de r)(icas, porcenta7e de utilización de los e+uipos & su 7usti(icación 'laboración & presentación del in(orme (inal 8 conclusiones & recomendaciones<
2.2.JUSTIFICACION Aumento considerable e in7usti(icado del presupuesto del de l PA# PA# 8#epartamento de Procesamiento de #atos< #esconocimiento en el ni%el directi%o de la situación in(orm)tica de la empresa alta total o parcial de seuridades lóicas & (isicas +ue aranticen la interidad
del personal, e+uipos e in(ormación$ #escubrimiento de (raudes e(ectuados con el computador alta de una plani(icación in(orm)tica 9ranización +ue no (unciona correctamente, (alta de políticas, ob7eti%os, normas, metodoloía, asinación de tareas & adecuada administración del Recurso Dumano #escontento eneral de los usuarios por incumplimiento de plazos & mala calidad de los resultados alta de documentación o documentación incompleta de sistemas +ue re%ela la di(icultad de e(ectuar el mantenimiento de los sistemas en producción
2.3.MOTIVO O NECESIDAD DE UNA AUDITORIA INOFRMATICA: 2.3.1. S,%'*& $! $!&/%%)$#*/#- $!&/%%)$#*/#- < $!&%)+*#*/#-: $!&%)+*#*/#-:
AUDITORIA DE SISTEMAS
18
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
No coinciden los ob7eti%os del )rea de .n(orm)tica & de la propia .nstitución$ Los est)ndares de producti%idad se des%ían sensiblemente de los promedios conseuidos ;abitualmente$ Puede ocurrir con alJn cambio masi%o de personal, o en una reestructuración (allida de aluna )rea o en la modi(icación de aluna Norma importante
2.3.2. S,%'*& $! '*"* '*"* #'*+! ! #&*,#&=*//#- #&*,#&=*//#- $! "%& &*)#%&: &*)#%&: No se atienden las peticiones de cambios de los usuarios$ '7emplos cambios de so(tEare en los terminales de usuario, res(recamiento de paneles, %ariación de los (ic;eros +ue deben ponerse diariamente a su disposición, etc$ No se reparan las a%erías de ;ardEare ni se resuel%en incidencias en plazos razonables$ razonables$ 'l usuario percibe +ue est) abandonado abandonado & desatendido desatendido permanentemente$ No se cumplen en todos los casos los plazos de entrea de resultados periódicos$ Pe+ue-as des%iaciones pueden causar importantes desa7ustes en la acti%idad del usuario, en especial en los resultados de Aplicaciones críticas & sensibles$
2.3.3. S,%'*& $! $!(#"#$*$!& $!(#"#$*$!& !/%-'#/%=#*/#!)%: .ncremento desmesurado de costes$ Necesidad de 7usti(icación de .n%ersiones .n(orm)ticas 8la empresa no est) absolutamente con%encida de tal necesidad & decide contrastar opiniones<$ #es%iaciones Presupuestarias sini(icati%as$ Costes & plazos de nue%os pro&ectos 8deben auditarse simult)neamente a #esarrollo de Pro&ectos & al órano +ue realizó la petición<$ 2$3$4$ S,%'*& $! I&!+)#$*$: '%aluación de ni%el de riesos >euridad Lóica >euridad ísica
AUDITORIA DE SISTEMAS
19
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
Con(idencialidad Los datos son propiedad inicialmente de la oranización +ue los enera$ Los datos de personal son especialmente con(idenciales
AUDITORIA DE SISTEMAS
20
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
CA PIT ULO II A UDIT OR IA S
AUDITORIA DE SISTEMAS
21
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
AUDITORIA FISICA SICA 1. A"/*/! $! "* A$#,%)#* 9ranización & cuali(icación del personal de >euridad$ Remodelar el ambiente de traba7o$ Planes & procedimientos$ >istemas t?cnicos de >euridad & Protección$
2. O(!,#0%& Re%isión de las políticas & Normas sobre seuridad ísica$ /eri(icar la seuridad de personal, datos, ;ardEare, so(tEare e instalaciones >euridad, utilidad, con(ianza, pri%acidad & disponibilidad en el ambiente in(orm)tico PREGUNTAS
SI
NO
"$ >e ;an adoptado medidas de seuridad en el departamento de sistemas de in(ormaciónS 2$ '=iste un a persona responsable de la seuridadS
X
3$ >e ;a di%idido di%idido la responsabilidad para tener un me7or control de la seuridadS 4$ '=iste personal de %iilancia en la instituciónS
X
X
X
5$ '=iste una clara clara de(inición de (unciones entre los puestos cla%eS
X
G$ >e in%estia a los %iilantes cuando son contratados directamenteS $ >e controla el traba7o (uera de ;orarioS
X X
1$ >e reistran las acciones de los operadores para e%itar +ue realicen X alunas pruebas +ue puedan da-ar los sistemasS$ $ '=iste %iilancia en el departamento de cómputo las las 24 ;orasS
X
"0$ >e permite el acceso a los arc;i%os & proramas a los proramadores, analistas & operadoresS ""$ >e ;a instruido a estas personas sobre +ue medidas tomar en caso de +ue aluien pretenda entrar sin autorizaciónS
AUDITORIA DE SISTEMAS
N#A
X X
22
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
"2$ 'l centro de cómputo tiene salida al e=teriorS "3$ >on controladas controlada s las %isitas & demostraciones demostracione s en el centro de cómputoS "4$ >e reistra el acceso al departamento de partamento de cómputo de personas a7enas a la dirección de in(orm)ticaS "5$ >e %iilan la moral & comportamiento del personal de la dirección de in(orm)tica con el (in de mantener una buena imaen & e%itar un posible (raudeS "G$ >e ;a adiestrado el personal en el mane7o de los e=tintoresS "$ >e re%isa de acuerdo con el pro%eedor el (uncionamiento de los e=tintoresS "1$ >i es +ue e=isten e=tintores autom)ticos son acti%ador por detectores autom)ticos de (ueoS "$ Los interruptores de enería est)n debidamente proteidos, eti+uetados & sin obst)culos para alcanzarlosS 20$ >aben +ue ;acer los operadores del departamento de cómputo, en caso de +ue ocurra una emerencia ocasionado por (ueoS 2"$ 'l personal a7eno a operación sabe +ue ;acer en el caso de una emerencia 8incendioe re%isa (recuentemente +ue no est? abierta o descompuesta la cerradura de esta puerta & de las %entanas, si es +ue e=istenS 24$ >e ;a adiestrado a todo el personal en la (orma en +ue se deben desalo7ar las instalaciones en caso de emerenciaS 25$ >e ;a pro;ibido a los operadores el consumo de alimentos & bebidas en el interior del departamento de cómputo para e%itar da-os al e+uipoS 2G$ >e limpia con (recuencia el pol%o acumulado deba7o del piso (also si e=isteS 2$ >e cuenta con copias de los arc;i%os en luar distinto al de la computadoraS 21$ >e tienen establecidos procedimientos de actualización a estas copiasS 2$ '=iste departamento de auditoria interna en la instituciónS 30$ 'ste departamento de auditoria interna conoce todos los aspectos de los sistemasS 3"$ >e cumplenS 32$ >e auditan los sistemas en operaciónS
X X X X X X X X X X X X X X X X X
33$ :na %ez e(ectuadas las modi(icaciones, se se presentan las pruebas a X los interesadosS 34$ '=iste control estricto en las modi(icacionesS X 35$ >e re%isa +ue tenan la (ec;a (ec ;a de las modi(icaciones cuando se X ;a&an e(ectuadoS 3G$ >i se tienen terminales conectadas, se ;a establecido procedimientos de operaciónS 3$ >e ;a establecido +ue in(ormación puede ser acezada & por +u? personaS
AUDITORIA DE SISTEMAS
X X X
X X
23
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
A$%&' ()&* + ,-&*: P*)* /*00*) 0 SI 37 13
100' (
31.1 P*)* /*00*) 0 NO 37 24
100' (
64.86 LISTADO DE !ERIFICACIÓN DE AUDITORIA FISICA G)*+,-. /*, ) *),# 1"" E50'
8" B$*
6" R 7$0*)
4" M, &(
2"
N( $90
L* )+,:* ) ; ,.*+;,-. /*, D) <=+ L* +)*+,* /*,* ) *. *)* ) ).+ L* <=.).+)* /*,* ) <=+ L .)>,.)* ) ;* )?,=* ) ;* <.,,.)* ) ,.*+;,.)* /*,* L ,./)*++ )* E; )?,=* )* L ,*+,,-. ) ;* ?,=* ) <=+ )*
E*0$*&; % *<0&-&*<0&-&- +,-&* % ;9$'( ;9$'( 100'
AUDITORIA DE SISTEMAS
80'
60'
40'
20'
24
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI E>);).+)
!).
R);
M.,<
N <=;)
E:;,-. ) ; )>,*+)., @ * ) .<* )*;,-. *) ;); = ); ,*)B ); ).+ ) <=+# E; <=;,<,).+ ) ;* )+,:* /.<).+;)* ) ; .,,-. = ,.*+; ); ).+ ) -<=+# L /< ) )=+, ;* )** ,./<+,* ) ; .,,-.# L ./,,;, @ *),)* ); * ) ; ,./<,-. ,.*+,+,.; L *+,*/,-. ) ;* .))*,)* ) =) <=+,.; ) ; .,,-.# L *;,-. ,).+,/,,-. ); ).+ ) -<=+ =@-# A.;,*,* ) ; );,<,+,-. );,<,+,-. ; <.) ). ?) *) <=;). 100' E>);).+)
80' !).
60' R);
40' M.,<
20' N <=;)
L );,<,+,-. )*=,; = ;* ,<).*,.)* /*,*# L );,<,+,-. +).;-, = ;* )?),<,).+* @ .,<,).+* ,./<+,*# A.;,*,* ) ; )*+,;, )*+,;, @ ); =:)H<,).+ ) ;* )** )** = ,.*+; ); ).+ ) <=+# 100' E>);).+)
80' !).
60' R);
40' M.,<
20' N <=;)
80' !).
60' R);
40' M.,<
20' N <=;)
A.;,*,* ) ; +.*=)., ); + = ;* *,*# L ,,-. ); ).+ ) <=+ L* )?),<,).+* ) *), ); ).+ ) <=+ E:;,-. ); ,*)B *). ); ); <,+ 100' E>);).+) A.;,*,* ); <,).+) ) + E:; ); /.,.<,).+ ) ;* )?,=* E; ;; = ); + )* L* )?,=* ).+. . :).+,;,-.
AUDITORIA DE SISTEMAS
25
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI L ,;<,.,-.
A.;,*,* ) ; *), /*, 100' E>);).+) L *), ) ;* )?,=*#
80' !).
60' R);
40' M.,<
20' N <=;)
E; )*+ ).+ ) <=+ )*+ ). L* )** ) *;, *.
AUDITORIA DE SISTEMAS
26
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
INFORME DE AUDITORIA 1. I$!,#=#/*/#- $!" #=%)'! Auditoria (ísica$
2. I$!,#=#/*/#- $!" C"#!,! 'l )rea de .n(orm)tica
3. I$!,#=#/*/#- $! "* E,#$*$ A$#,*$* unicipalidad Pro%incial de o+ueua$
4. O(!,#0%& /eri(icar la estructura de distribución de los e+uipos$ Re%isar la correcta utilización de los e+uipos /eri(icar la condición del centro de cómputo$
5. >*""*+%& P%,!/#*"!& alta de presupuesto & personal$ alta de un local mas amplio No e=iste un calendario de mantenimiento alta de %entilación$ $(altan salida al e=terior '=iste salidas de emerencia$
6. A"/*/! $! "* *$#,%)#* Nuestra Nuestra auditoria, comprende comprende el presente presente periodo 2004 & se ;a realizado realizado especialmente al #epartamento de centro de cómputo de acuerdo a las normas & dem)s disposiciones aplicable al e(ecto$
AUDITORIA DE SISTEMAS
27
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
7. C%/"%!&: Como resultado de la Auditoria podemos mani(estar +ue ;emos cumplido con e%aluar cada uno de los ob7eti%os contenidos en el prorama de auditoria$ 'l #epartamento de centro de cómputo presenta de(iciencias sobre todo en el debido cumplimiento de Normas de seuridad$
8. R!/%'!$*/#%!& Reubicación del local .mplantación de e+uipos de ultima eneración .mplantar e+uipos de %entilación .mplantar salidas de emerencia$ 'laborar un calendario de mantenimiento de rutina periódico $ Capacitar al personal$
9. F!/* D!" I=%)'!
PLAN'A.'N69 'CDA> 0"O"0O04 al "5O"004
'@'C:C.9N
.N9R'
"G"0O04 al 20O""04
23O""O04 al 21O""04
1. I$!,#=#/*/#- Y F#)'* D!" A$#,%) AP'LL.#9> F N9R'> AAN. C:6.PA Q.LF
AUDITORIA DE SISTEMAS
CAR!9
A:#.69R >:P'R.9R
28
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
AUDITORIA DE LA OFIMATI ATICA 1. A"/*/! $! "* A$#,%)#*. Planes & procedimientos Políticas de antenimiento .n%entarios 9(imaticos Capacitación del Personal
2. O(!,#0%& $! "* A$#,%)#*. Realizar un in(orme de Auditoria con el ob7eto de %eri(icar la e=istencia de controles pre%enti%os, detecti%os & correcti%os, así como el cumplimiento de los mismos por los usuarios$
PREGUNTAS
SI
NO
NA
"$ '=iste un in(orme t?cnico en el +ue se 7usti(i+ue la ad+uisición del e+uipo, so(tEare & ser%icios de comput computació ación, n,
inclu&en inclu&endo do
un
estudio estudio
costo costo
bene(icioS 2$ '=iste
un
comit?
+ue
coordine
&
se
responsabilice de todo el proceso de ad+uisición e instalaciónS 3$ Dan elaborado un instructi%o con procedimientos a seuir para la selección & ad+uisición de e+uipos, proramas & ser%icios computacionalesS 4$ se cuenta con so(tEare de o(icinaS
5$ >e ;an e(ectuado las acciones necesarias para una ma&or participación de pro%eedoresS
AUDITORIA DE SISTEMAS
29
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
G$ >e ;a aseurado un respaldo de mantenimiento mantenimiento & asistencia t?cnicaS $ 'l acceso al centro de cómputo cuenta con las seuridades necesarias para reser%ar el inreso al personal autorizadoS 1$ >e ;an implantado cla%es o passEord para arantizar operación de consola & e+uipo central 8main(rame<, a personal autorizadoS $ >e ;an (ormulado políticas respecto a seuridad, pri%acidad pri%acidad & protección protección de las (acilidades de procesam procesamient iento o ante e%entos e%entos como como incendi incendio, o, %andalismo, %andalismo, robo & uso indebido, intentos de %iolaciónS "0$ >e mantiene un reistro permanente 8bit)cora< de todos todos los procesos procesos realizados realizados,, de7ando de7ando constancia constancia de suspensiones suspensiones o cancelaciones cancelaciones de procesosS ""$ Los operadores del e+uipo central est)n entrenados para recuperar o restaurar in(ormación en caso de destrucción de arc;i%osS "2$ Los bacTups son ma&ores de dos d os 8padres 8padr es e ;i7os ;i7os<< & se uard uardan an en luar luares es seur seuros os & adecuado adecuados, s, pre(er pre(erent entemen emente te en bó%edas bó%edas de bancosS "3$ >e ;an implantado calendarios de operación a (in de establecer prioridades de procesoS "4$ 6odas las acti%idades del Centro de Computo est)n normadas mediante manuales, instructi%os, normas, relamentos, etc$S "5$ L Las instalaciones cuentan con sistema de alarma por presencia de (ueo, ;umo, así como e=tintores de incendio, cone=iones el?ctricas
AUDITORIA DE SISTEMAS
30
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
seuras, entre otrasS "G$ >e ;an instalado e+uipos +ue prote7an la in(ormación & los dispositi%os en caso de %ariación de
%olta %olta7e 7e
como como
reul reulado adore ress
de
%olt %olta7e a7e,,
supresores pico, :P>, eneradores de eneríaS "$ >e ;an ;a n contratado pólizas póliza s de seuros para proteer la in(ormación, e+uipos, personal & todo rieso +ue se produzca por casos (ortuitos o mala operaciónS "1$ >e ;an Ad+uirido e+uipos de protección como supresores de pico, reuladores de %olta7e & de ser posible :P> pre%io a la ad+uisición del e+uipoS "$ >i se %ence la arantía de mantenimiento del pro%eedor se contrata mantenimiento pre%enti%o & correcti%oS 20$ >e establecen procedimientos para obtención de bacTups de pa+uetes & de arc;i%os de datosS 2"$ >e ;acen re%isiones periódicas & sorpresi%as del contenido del disco para %eri(icar la instalación de aplicaciones aplicaciones no relacionadas a la estión de la empresaS 22$ >e mantiene mantien e proramas pro ramas & procedimientos de detección e inmunización de %irus en copias no autorizadas o datos procesados en otros e+uiposS 23$ >e propende a la estandarización del >istema 9perati%o, 9perati%o, so(tEare utilizado utilizado como procesadores procesadores de palabras, palabras, ;o7as electrónicas, mane7adores mane7adores de base de datos & se mantienen actualizadas actualizadas las %ersiones %ersiones & la capacitación capacitación sobre modi(icaciones modi(icaciones incluidasS
AUDITORIA DE SISTEMAS
31
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
24$ e=isten licencias
A$%&' () &* O+&<'&* .= P*)* /*00*) 0 SI 24 15
100' (
62.5 P*)* /*00*) 0 NO 24 7
100' (
18.1
AUDITORIA DE SISTEMAS
32
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
INFORME DE AUDITORIA 1. I$!,#=#/*/#- $!" #=%)'! Auditoria de la 9(im)tica
2. I$!,#=#/*/#- $!" C"#!,! 'l )rea de .n(orm)tica
3. I$!,#=#/*/#- $! "* E,#$*$ A$#,*$* unicipalidad Pro%incial ariscal Nieto
4. O(!,#0%& /eri(icar si el ;ardEare & so(tEare se ad+uieren siempre & cuando tenan la seuridad de +ue los sistemas computarizados proporcionaran ma&ores bene(icios +ue cual+uier otra alternati%a$ /eri(icar si la selección de e+uipos & sistemas de computación es adecuada /eri(icar la e=istencia de un plan de acti%idades pre%io a la instalación /eri(icar +ue los procesos de compra de 6ecnoloía de .n(ormación, deben estar sustentados en Políticas, Procedimientos, Relamentos & Normati%ida d en !eneral, +ue aseuren +ue todo el proceso se realiza en un marco de lealidad & cumpliendo con las %erdaderas necesidades de la oranizació n para ;o& & el (uturo, sin caer en omisiones, e=cesos o incumplimientos$ /eri(icar /eri(icar si e=isten e=isten arantías para proteer la interidad interidad de los recursos in(orm)ticos$ /eri(icar la utilización adecuada de e+uipos acorde a planes & ob7eti%os$
5. >*""*+%& P%,!/#*"!& alta de licencias de so(tEare$ alta de so(tEare de aplicaciones actualizados No e=iste un calendario de mantenimiento o(imatico$ altan material o(im)tica$
AUDITORIA DE SISTEMAS
33
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
Carece de seuridad en Acceso restrinido de los e+uipos o(imaticos & so(tEare$
6. A"/*/! $! "* *$#,%)#* Nuestra auditoria, comprende el presente periodo 2004 & se ;a r ealizado especialmente al #epartamento de centro de cómputo de acuerdo a las normas & dem)s disposiciones aplicable al e(ecto$ 'l alcance ;a de de(inir con precisión el entorno & los límites en +ue %a a desarrollarse la auditoria 9(im)tica, se complementa con los ob7eti%os de ?sta$
7. C%/"%!&: Como resultado de la Auditoria podemos mani(estar +ue ;emos cumplido con e%aluar cada uno de los ob7eti%os contenidos en el prorama de auditoria$ 'l #epartamento de centro de cómputo presenta de(iciencias sobre el debido cumplimiento de Normas de seuridad$ La escasez de personal debidamente capacitado$ Cabe destacar +ue la sistema o(imatico pudiera ser%ir de ran apo&o a la oranización, oranización, el cual no es e=plotado en su totalidad por (alta de personal capacitado$
8. R!/%'!$*/#%!& >e recomienda contar con sellos & (irmas diitales :n de manual de (unciones para cada puesto de traba7o dentro del )rea$ Reactualizacion de datos$ .mplantación de e+uipos de ultima eneración
AUDITORIA DE SISTEMAS
34
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
'laborar un calendario de mantenimiento de rutina periódico $ Capacitar al personal$
9. F!/* D!" I=%)'!
PLAN'A.'N69 'CD 'CDA> A> 0"O" 0"O"0O 0O04 04 al "5O"0 5O"00 04 4
'@'C:C.9N
.N9R'
"G"0 G"0O0 O04 4 al 20O" 0O""04 04
23O" 23O"" "O04 O04 al al 21O" 21O"" "04 04
1:. 1:. I$!,#=#/*/#- Y F#)'* D!" A$#,%) AP'LL.#9> F N9R'> U:.V9N'H AF6A CAR'N
AUDITORIA DE SISTEMAS
CAR!9
A:#.69R >:P'R.9R
35
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
AUDITORIA DE LA DIRECCIO CCION 1. A"/*/! $! "* A$#,%)#*. 9ranización & cali(icación de la dirección de .n(orm)tica Plan 'strat?ico de >istemas de .n(ormación$ An)lisis de puestos Planes & Procedimientos Normati%a !estión 'conómica$
2. O(!,#0%& $! "* A$#,%)#*. Realizar un in(orme de Auditoria con el ob7eto de %eri(icar la adecuación de las medidas aplicadas aplicadas a las amenazas de(inidas, de(inidas, así como el cumplimiento cumplimiento de los re+uisitos e=iidos$
3. R!&",*$%& >e obtendr) .n(orme de Auditoria detectando riesos & de(iciencias en la #irección de .n(orm)tica$ Plan de recomendaciones a aplicar en (unción de o
Normati%a a cumplir
PREGUNTAS
SI
NO
NA
"$ La dirección de los ser%icios de in(ormación desarrollan reularmente planes a corto, medio & laro plazo +ue apo&en el loro de la misión & las metas enerales de la oranizaciónS 2$ #ispon #ispone e su inst institu itució ción n de un un plan plan 'strat 'strat?ic ?ico o de 6ecnoloía de .n(ormaciónS
AUDITORIA DE SISTEMAS
36
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
3$ #urante el proceso de plani(icación, se presta adecuada atención al plan estrat?ico de la empresaS 4$ Las tareas & acti%idades en el plan tiene la correspondiente & adecuada asinación de recursosS 5$ '=iste un comit? de in(orm)ticaS
G$ '=isten
est)ndares
de
(uncionamiento
&
procedimientos +ue obiernen la acti%idad del )rea de .n(orm)tica .n(orm)tica por un lado & sus relaciones con los departamentos usuarios por otroS $ '=isten
est)ndares
de
(uncionamiento
&
procedimientos & descripciones de puestos de traba7o adecuados & actualizadosS 1$ Los
est)ndares
&
procedimientos
e=istentes
promue%en una (iloso(ía adecuada de controlS $ Las descripciones de los puestos de traba7o re(le7an las acti%idades realizadas en la pr)cticaS "0$ La selección sele cción de personal se basa ba sa en criterios ob7eti%os & tiene en cuenta la (ormación, e=periencia & ni%eles de responsabilidadS ""$ ' 'l rendimiento de cada empleado se e%alJa reularmente en base a est)ndares establecidosS "2$ '=isten procesos para determinar las necesidades de (ormación de los empleados en base a su e=perienciaS "3$ '=isten controles +ue tienden a aseurar +ue el cambio de puesto de traba7o & la (inalización de los contratos laborales no a(ectan a los controles internos & a la seuridad in(orm)ticaS "4$ '=iste un presupuesto económicoS & ;a& un proceso para elaborarloS
AUDITORIA DE SISTEMAS
37
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
"5$ '=isten procedimientos para la ad+uisición de bienes & ser%iciosS "G$ '=iste un plan operati%o anualS
"$ '=iste un sistema de reparto de costes in(orm)ticos & +ue este sea 7ustoS "1$ Cuentan con pólizas de seurosS "$ '=isten procedimientos procedimien tos para %iilar & determinar d eterminar permanentemente la leislación aplicableS
OBJETIVOS #eterminación de la utilidad de políticas, planes & procedimientos, así como su ni%el de cumplimiento '=aminar el proceso de plani(icación de sistemas de in(ormación & e%aluar si cumplen los ob7eti%os de los mismos$ /eri(icar si el comit? de .n(orm)tica e=iste & cumple su papel adecuadamente$ Re%isar el emplazamiento del departamento de .n(orm)tica & e%aluar su dependencia (rente a otros$ '%aluar la e=istencia de est)ndares de (uncionamiento, procedimientos & descripciones de puestos de traba7o adecuados & actualizados$ '%aluar las características de la comunicación entre la #irección de .n(orm)tica & el personal del #epartamento$ /eri(icar la e=istencia de un sistema de reparto de costes in(orm)ticos & +ue este sea 7usto$
AUDITORIA DE SISTEMAS
38
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
A$%&'()&* D&)&( .= P*)* /*00*) 0 SI 17 12
100' (
7".58 P*)* /*00*) 0 NO 17 5
100' (
2.41
AUDITORIA DE SISTEMAS
39
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
AUDITORIA DE LA EXPLOTACION 1. A"/*/! $! "* A$#,%)#* '%aluación del personal & co;erencia de caros de la propia institución$ Normas & Procedimientos del )rea de in(orm)tica
2. O(!,#0%& Realizar un in(orme de Auditoria con el ob7eto de %eri(icar la adecuación de las (unciones +ue sir%en de apo&o a las tecnoloías de la in(ormación$
PREGUNTAS
SI
NO
NA
"$ e=iste personal con conocimiento & e=periencia su(iciente +ue oraniza el traba7o para +ue resulte lo mas e(icaz posible S 2$ e=isten procedimientos de sal%auardar, (uera de la instalación en relación con (ic;eros maestros manuales & proramas, +ue permitan construir las operaciones +ue sean necesariasS 3$ se aprueban por personal autorizado las solicitudes de nue%as aplicacionesS 4$ e=iste personal con autoridad su(iciente +ue es el +ue aprueba los cambios de unas aplicaciones por otrasS 5$ e=isten
procedimientos
adecuados
para
mantener
la
documentación al día S G$ tienen manuales todas las aplicaciones S $ e=isten controles +ue aranticen el uso adecuado de discos & cintasS 1$ e=isten
procedimientos
adecuados
para
conectarce
&
desconectarce de los e+uipos remotosS
AUDITORIA DE SISTEMAS
40
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
$ se aprueban los proramas nue%os & los +ue se re%isan antes de ponerlos en (uncionamientoS "0$ re%izan & e%aluan los deparatamentop de usuario los resultados de las prue%as (inales dando su aprobación antes de poner en (uncionamiento las aplicaciones S ""$ al poner pone r en (uncionamiento nue%as aplicaciones o %ersiones actualizada (uncionan en paralelo las e=istentes durante un cierto tiempoS "$ >e restrine el acceso a los luares asinados para uardar los dispositi%os de almacenamiento, al personal autorizadoS 2$ >e tiene tiene relación del personal autorizado para (irmar la salida de arc;i%os con(idencialesS 3$ '=iste un procedimiento para reistrar los arc;i%os arc;i%os +ue se prestan & la (ec;a en +ue se de%ol%er)nS 4$ >e lle%a control sobre los arc;i%os prestados por la instalaciónS 5$ >e conser%a la cinta maestra anterior ;asta despu?s de la nue%a cintaS G$ 'l cintotecario controla la cinta maestra anterior pre%iendo su uso incorrecto o su eliminación prematuraS $ La operación de reemplazo es controlada controlada por el cintotecarioS 1$ >e utiliza la política de conser%ación de arc;i%os ;i7opadre abueloS $ 'n los procesos +ue mane7an arc;i%os en línea, '=isten procedimientos para recuperar los arc;i%osS "0$ 'stos procedimientos los conocen los operadoresS ""$ '=iste un responsable en caso de (allaS
AUDITORIA DE SISTEMAS
41
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
"2$ '=pli+ue +ue políticas se siuen para la obtención de arc;i%os de respaldoS "3$ '=iste un procedimiento para el mane7o de la in(ormación de la cintotecaS "4$ Lo conoce & lo siue el cintotecarioS "5$ '=iste un prorama de traba7o de captación de datosS "G$ se controla las entradas de documentos (uenteS "$ Uue ci(ras de control se obtienenS >istema Ci(ras +ue se 9bser%aciones 9btienen "1$ e=isten
documento
de
entrada
se
tienenS
>istemas #ocumentos #pto$ +ue periodicidad 9bser%aciones proporciona el documento "$ >e anota +ue persona recibe la in(ormación & su %olumenS 20$ >e anota a +ue capturista se entrea la in(ormación, el %olumen & la ;oraS 2"$ >e %eri(ica la cantidad de la in(ormación recibida para su capturaS 22$ >e re%isan las ci(ras de control antes de en%iarlas a capturaS 23$ Para a+uellos procesos +ue no traian ci(ras ci (ras de control se ;a establecido criterios a (in de aseurar +ue la in(ormación es completa & %alidaS 24$ '=iste un procedimiento escrito +ue indi+ue como tratar la in(ormación in%)lida 8sin (irma ileible, no corresponden las ci(ras de controle custodian en un luar seuroS 2G$ >i se +ueda en el departamento de sistemas, Por cuanto tiempo se uardaS
AUDITORIA DE SISTEMAS
42
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
2$ '=iste un reistro de anomalías en la in(ormación debido a mala codi(icaciónS 21$ '=iste una relación completa de distribución de listados, en la cual se indi+uen personas, secuencia & sistemas a los +ue pertenecenS 2$ >e %eri(ica +ue las ci(ras de las %alidaciones concuerden con los documentos de entradaS >e ;ace una relación de cuando & a +ui?n (ueron distribuidos los listadosS 30$ >e controlan separadamente los documentos con(idencialesS 3"$ >e apro%ec;a adecuadamente el papel de los listados inser%iblesS 32$ '=iste un reistro de los documentos +ue entran a capturarS 33$ >e lle%a un control de la producción por personaS 34$ e=iste par)metros de controlS
A$%&' ()&* E90 ('*& ;: P*)* /*00*) 0 SI 40 26
100' (
65 P*)* /*00*) 0 NO 40 14
100' (
35
INFORME DE AUDITORIA AUDITORIA DE SISTEMAS
43
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
1. I$!,#=#/*/#- $!" #=%)'! Auditoria de la '=plotación
2. I$!,#=#/*/#- $!" C"#!,! 'l )rea de .n(orm)tica
3. I$!,#=#/*/#- $! "* E,#$*$ A$#,*$* unicipalidad Pro%incial ariscal Nieto
4. O(!,#0%& /eri(icar el cumplimiento de plazos & calendarios de tratamientos & entrea de datos* la correcta transmisión de datos entre entornos di(erentes$ /eri(icar la e=istencia de normas enerales escritas para el personal de e=plotación en lo +ue se re(iere a sus (unciones /eri(icar la realización de muestreos selecti%os de la #ocumentación de las Aplicaciones e=plotadas$ /eri(icar /eri(icar cómo se prepara, se lanza & se siue la producción producción diaria$ )sicamente, la e=plotación .n(orm)tica e7ecuta procesos por cadenas o lotes suce su cesi si%o %oss 8 atc; tc ;W<, W< , o en tiem ti empo po real re al 86ie mpo Real ea lW<$ W< $ '%aluar las relaciones personales & la co;erencia de caros & salarios, así como la e+uidad en la asinación de turnos de traba7o$ /eri(icar la e=istencia de un responsable de >ala en cada turno de traba7o$ Re%isar la adecuación de los locales en +ue se almacenan cintas & discos, así como la per(ecta & %isible identi(icación de estos medios
5. >*""*+%& P%,!/#*"!& .ncumplimiento de plazos & calendarios de tratamientos & entrea de datos .ne=istencia & (alta de uso de los anuales de 9peración alta de planes de (ormación No e=iste proramas de capacitación & actualización al personal
6. A"/*/! $! "* *$#,%)#*
AUDITORIA DE SISTEMAS
44
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
Nuestra Nuestra auditoria, comprende comprende el presente presente periodo 2004 & se ;a realizado realizado especialmente especialmente al )rea de .n(orm)tica .n(orm)tica de acuerdo a las normas & dem)s disposiciones aplicable al e(ecto$
7. C%/"%!&: Como resultado de la Auditoria de la >euridad realizada al unicipio, por el período comprendido entre el 0" de >etiembre al 24 de #iciembre del 2004, podemos mani(estar mani(estar +ue ;emos cumplido con e%aluar cada uno de los ob7eti%os contenidos en el prorama de auditoria$ 'l )rea de .n(orm)tica presenta de(iciencias sobre todo en el debido cumplimiento de sus (unciones & por la (alta de ellos$
8. R!/%'!$*/#%!& #eber)n realizarse muestreos selecti%os de la #ocumentación de las Aplicaciones e=plotadas Asinar un responsable del Centro de Cómputos en cada turno de traba7o$ Crear & ;acer uso de manuales de operación$ Re%isar los monta7es diarios & por ;oras de cintas o cartuc;os, así como los tiempos transcurridos entre la petición de monta7e por parte del >istema ;asta el monta7e real$ Realizar (unciones de operación, proramación & dise-o de sistemas deben estar claramente delimitadas$ Crear mecanismos necesarios a (in de aseurar +ue los proramadores & analistas no tenan acceso a la operación del computador & los operadores a su %ez no conozcan la documentación de proramas & sistemas
9. F!/* D!" I=%)'!
AUDITORIA DE SISTEMAS
45
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
PLANEAMIENTO 'CDA>
EJECUCION
INFORME
0"O"0O04 al "5O"0 "G"0O04 al 20O"" 23O""O04 al 21O 04
04
""04
1. I$!,#=#/*/#- Y F#)'* D!" A$#,%)
APELLIDOS Y NOMBRES AR9D:ANCA AN6AD:ANAC9 .CD'LLA
AUDITORIA DE SISTEMAS
CARGO A:#.69R >:P'R.9R
46
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
AUDITORI DITORIA DEL DESARRO ESARROLLO 1. A"/*/! $! "* A$#,%)#* Cone=iones Ci(rado >alidas ateEa& & routers Correo 'lectrónico P)inas Q' ireEalls
2. O(!,#0%& re%isar el cumplimiento del proceso completo de desarrollo de pro&ectos %eri(icar las metodoloías utilizadas %eri(icar el control interno de las aplicaciones, satis(acción de los usuarios & control de procesos & e7ecuciones de proramas críticos$ Re%isar el ciclo de desarrollo del so(tEare$
PREGUNTAS
SI
NO
NA
"$ '=iste el documento +ue contiene las (unciones +ue son competencia del )rea de desarrollo, esta aprobado por la dirección de in(orm)tica & se respetaS 2$ se comprueban los resultados con datos realesS
3$ '=iste un oranirama con la estructura estructura de oranización del )reaS 4$ '=iste un manual de oranización +ue reula las relaciones
AUDITORIA DE SISTEMAS
47
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
entre puestosS 5$ '=iste la relación de personal adscrito al )rea, inclu&endo el puesto ocupado por cada personaS G$ 'l plan e=iste, es claro & realistaS $ 'st)n establecidos los procedimientos de promoción de personal a puestos superiores, teniendo en cuenta la e=periencia & (ormaciónS 1$ 'l )rea de desarrollo lle%a su propio control presupuestarioS $ >e ;ace un presupuesto por e7ercicio & se cumpleS "0$ 'l presupuesto presupues to esta en concordancia con los ob7eti%os o b7eti%os a cumplirS ""$ 'l personal de )rea de desarrollo desarrol lo cuenta con la (ormación adecuada & son moti%ados para la realización de su traba7oS "2$ '=isten procedimientos de contrataciónS "3$ Las personas seleccionadas cumplen los re+uisitos del puesto al +ue accedenS "4$ Las o(ertas de puestos del )rea se di(unden de (orma su(iciente (uera de la oranización & las selecciones se ;acen de (orma ob7eti%aS "5$ '=iste un plan de (ormación +ue este en consonancia con los ob7eti%os tecnolóicos +ue se tena en el )reaS "G$ 'l plan de traba7o del )rea tiene en cuenta cuen ta los tiempos de (ormaciónS "$ '=iste un protocolo de recepción abandono para las personas +ue se incorporan o de7an el )reaS "1$ '=iste un protocolo & se respeta para cada incorporación abandonoS "$ 'n los abandonos del personal se arantiza la protección del
AUDITORIA DE SISTEMAS
48
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
)reaS 20$ '=iste una biblioteca & una ;emeroteca ;e meroteca accesibles por el personal del )reaS 2"$ 'sta disponible un numero su(iciente de libros, publicaciones periódicas, periódicas, monora(ías, monora(ías, de reconocido reconocido prestiio & el personal tiene acceso a ellosS 22$ 'l personal esta moti%ado en la realización de su traba7oS 23$ '=iste alJn mecanismo +ue permita a los empleados ;acer suerencias sobre me7oras en la oranización del )reaS 24$ '=iste rotación de personal & e=iste e =iste un buen ambiente de traba7oS 25$ La realización de nue%os pro&ectos se basa en el plan de sistemas en cuanto a ob7eti%osS 2G$ Las (ec;as de realización reali zación coinciden con los del plan pl an de sistemasS 2$ 'l plan de sistemas se actualiza con la in(ormación +ue se enera a lo laro de un procesoS 21$ Los cambios en los planes de los pro&ectos se comunican al responsable de mantenimiento del plan de sistemasS 2$ '=iste un procedimiento para la propuesta de realización de nue%os pro&ectosS 30$ '=iste un mecanismo para reistrar necesidades de desarrollo de nue%os sistemasS 3"$ >e respeta este mecanismo en todas las propuestasS 32$ '=iste un procedimiento de aprobación de nue%os pro&ectosS 33$ '=iste un procedimiento para asinar director di rector & e+uipo de de desarrollo a cada nue%o pro&ectoS 34$ >e tiene en cuenta a todas las personas disponibles cu&o per(il sea adecuado a los riesos de cada pro&ecto & +ue tena
AUDITORIA DE SISTEMAS
49
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
disponibilidad para participarS 35$ '=iste un protocolo p rotocolo para solicitar al resto de las )reas la participación participación del personal en el pro&ecto pro&ecto & se aplica dic;o protocoloS 3G$ '=iste un procedimiento para conseuir los recursos materiales necesarios para cada pro&ectoS 3$ >e tiene implantada una metodoloía de desarrollo de sistemas de in(ormación soportada por ;erramientas de a&udaS 31$ La metodoloía metodolo ía cubre todas las (ases del desarrollo desarroll o & es adaptable a distintos tipos de pro&ectosS 3$ La metodoloía metodolo ía & las t?cnicas asociadas a la misma est)n adaptadas al entorno tecnolóico & a la oranización del )rea de desarrolloS 40$ '=iste un cataloo de las aplicaciones disponible en el )reaS 4"$ '=iste un reistro de problemas +ue se producen prod ucen en los pro&ectos del )reaS 42$ '=iste un cataloo de problemasS 43$ 'l cataloo es accesible para todos los miembros del )reaS 44$ >e reistran & controlan todos los pro&ectos (racasadosS
A$%&' ()&* D-*))(00(: P*)* /*00*) 0 SI 37 27
100' (
72.7
AUDITORIA DE SISTEMAS
50
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
P*)* /*00*) 0 NO 37 10
100' (
27."2
INFORME DE AUDITORIA 1. I$!,#=#/*/#- $!" #=%)'! Auditoria de #esarrollo
2. I$!,#=#/*/#- $!" C"#!,! 'l )rea de .n(orm)tica
3. I$!,#=#/*/#- $! "* E,#$*$ A$#,*$* unicipalidad Pro%incial ariscal Nieto
4. O(!,#0%& /eri(icar el cumplimiento de los pro&ectos en proceso$ Re%isar el cumplimiento de la normas enerales Re%isar los recursos de la oranización /eri(icar los a%ances tecnolóicos$
5. >*""*+%& P%,!/#*"!& .ncumplimiento de plazos & calendarios de tratamientos & entrea de datos .ne=istencia & (alta de uso de los anuales de 9peración alta de planes de (ormación No e=iste proramas de capacitación & actualización al personal
6. A"/*/! $! "* *$#,%)#*
AUDITORIA DE SISTEMAS
51
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
Nuestra Nuestra auditoria, comprende comprende el presente presente periodo 2004 & se ;a realizado realizado especialmente especialmente al )rea de .n(orm)tica .n(orm)tica de acuerdo a las normas & dem)s disposiciones aplicable al e(ecto$
7. C%/"%!&: La municipalidad no desarrolla so(tEare de paliación si no la ad+uiere$ $se cali(icado el ciclo de desarrollo de los procesos de la entidad en su )mbito de traba7o
8. R!/%'!$*/#%!& Asinar un responsable un responsable para todos los procesos del Centro de Cómputos$ >e debe asinar un rupo para el desarrollo de so(Eare$ Crear & ;acer uso de manuales de operación$ Realizar (unciones de operación, dise-o de sistemas$
9. F!/* D!" I=%)'!
PLANEAMIENTO 'CDA>
EJECUCION
INFORME
0"O"0O04 al "5O"0 "G"0O04 al 20O"" 23O""O04 al 21O 04
04
""04
1. I$!,#=#/*/#- Y F#)'* D!" A$#,%)
APELLIDOS Y NOMBRES
AUDITORIA DE SISTEMAS
CARGO
52
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
:V9H 9R 9R6'!A, A A#'L'.N'$
A:#.69R >: >:P'R.9R
AUDITORIA DEL MANT ENIMIENTO 1. A"/*/! $! "* A$#,%)#*. Planes & procedimientos de antenimiento Normati%a
2. O(!,#0%& $! "* A$#,%)#*. Realizar un in(orme de Auditoria con el ob7eto de e%aluar el mantenimiento correcti%o & pre%enti%o del so(tEare$
3. R!=!)!/#* L!+*" X 'st)ndares O .>9.'C "220 O .''' "04 O .''' "2" O .>9.'C "4G4
PREGUNTAS
SI
NO
NA
"$ '=iste un contrato de mantenimiento$ 2$ '=iste un prorama de mantenimiento pre%enti%o para cada dispositi%o del sistema de cómputoS 3$ >e lle%a a cabo tal proramaS 4$ ' '=isten tiempos de respuesta
&
de
compostura
estipulados en los contratosS
AUDITORIA DE SISTEMAS
53
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
5$ >i los tiempos de reparación son superiores a los estipulados en el contrato, Uu? acciones correcti%as se toman para a7ustarlos a lo con%enidoS G$ '=iste plan de mantenimiento pre%enti%o$ S $ 'ste plan es proporcionado por el pro%eedorS pro%eedorS 1$ >e noti(ican las (allasS $ >e les da seuimientoS "0$ 6iene un plan loístico lo ístico para dar soporte al producto so(tEareS ""$ Los re+uerimientos de mantenibilidad se inclu&en en la Acti%idad de .niciación durante el Proceso de Ad+uisición 8.>9 "220< & se e%alJa durante el Proceso de #esarrolloS "2$ Las %ariaciones en el dise-o son super%isadas durante el desarrollo
p ar a
establecer
su
impacto
sobre
la
mantenibilidadS "3$ >e realizan %arios tipos de medidas para poder estimar la calidad del so(tEareS "4$ La mantenibilidad se tiene en cuenta antes de empezar a desarrollarS "5$ 'l desarrollador prepara un Plan de antenibilidad +ue establece pr)cticas especí(icas de mantenibilidad, así como recursos & secuencias rele%antes de acti%idadesS "G$ #urante el an)lisis de re+uerimientos, los siuientes aspectos +ue a(ectan a la mantenibilidad, son tomados en cuentaS .denti(icación & de(inición de (unciones, especialmente las opcionales$ '=actitud & oranización lóica de los datos$ Los .nter(aces 8de m)+uina & de usuario<$ Re+uerimientos de rendimiento$
AUDITORIA DE SISTEMAS
54
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
Re+uerimientos
impuestos
po r
el
entorno
8presupuesto<$ !ranularidad 8detalle< de los re+uerimientos & su impacto sobre la trazabilidad$ Yn(asis del Plan de Aseuramiento de Calidad del >o(tEare 8>UAP< en el cumplimiento de las normas de documentación "$ La transición del so(tEare consiste con siste en una secuencia secuenc ia controlada controlada & coordinada coordinada de acciones acciones para trasladar trasladar un producto so(tEare desde la oranización +ue inicialmente ;a
realiza realizado do
el
desarro desarrollo llo
a
la
encarad encarada a
del
mantenimientoS "1$ La responsabilidad del mantenimiento se trans(iere a una oranización distinta, se elabora un Plan de 6ransiciónS +ue es lo +ue inclu&e este planS La trans(erencia de ;ardEare, so(tEare, datos & e=periencia desde el desarrollador al mantenedor$ Las tareas necesarias para +ue el mantenedor pueda implementar implementar una estrateia estrateia de mantenimiento mantenimiento del so(tEare$ "$ 'l mantenedor a menudo se encuentra con un producto so(tEare con documentaciónS 20$ >i no ;a& documentación, el mantenedor deber) crearlaS Realiza lo siuienteS a$ Comprender el dominio del problema & operar con el producto so(tEare$ b$ Aprender la estructura & oranización del producto so(tEare$ c$ #eterm #eterminar inar +u? +u? ;ace ;ace el product producto o so(tEa so(tEare$ re$ Re%i Re%isar sar las las especi(icaciones 8si las ;ubiera< 2"$ #ocumentos como
especi(icaciones,
manuales
de
mantenimiento para proramadores, manuales de usuario o uías de instalación pueden ser modi(icados o creados,
AUDITORIA DE SISTEMAS
55
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
si (uese necesarioS 22$ 'l Plan de antenimiento es preparado por el mantenedor durante el desarrollo del so(tEare$ 23$ Los elementos ele mentos so(tEare re(le7a n la documentación de dise-oS 24$ Los productos so(tEare (ueron su(icientemente probados & sus especi(icaciones cumplidasS 25$ Los in(ormes
de
pruebas
son
correctos
&
las
discrepancias entre resultados actuales & esperados ;an sido resueltasS 2G$ La documentación docu mentación de usuario cumple c umple los est)ndares especi(icadosS 2$ Los costes & calendarios calend arios se a7ustan a los l os planes establecidosS
A$%&'()&* M*'&&'(: P*)* /*00*) 0 SI 25 18
100' (
72 P*)* /*00*) 0 NO 25 7
100' (
28
AUDITORIA DE SISTEMAS
56
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
INFORME DE AUDITORIA 1. I$!,#=#/*/#- $!" #=%)'! Auditoria del antenimiento
2. I$!,#=#/*/#- $!" C"#!,! 'l )rea de .n(orm)tica
3. I$!,#=#/*/#- $! "* E,#$*$ A$#,*$* unicipalidad Pro%incial ariscal Nieto
4. O(!,#0%& Re%isar los contratos & las cl)usulas +ue est?n per(ectamente de(inidas en las cuales se elimine toda la sub7eti%idad & con penalización en caso de incumplimiento, para e%itar contratos +ue sean parciales$ /eri(icar el cumplimiento del contrato sobre el control de (allas, (recuencia, & el tiempo de reparación$ #ianóstico del sistema actual de mantenimiento$ /eri(icar el monta7e de m?todos de recopilación de in(ormación en )reas especí(icas$ /eri(icar la e=istencia de de planes estrat?icos de desarrollo$ /eri(icación de la e(ecti%idad del mantenimiento actual & los desarrollos & proramas pro&ectados$ /eri(icar la optimización de almacenes & repuestos$
5. >*""*+%& P%,!/#*"!& P?rdida de control P?rdida de una (uente de aprendiza7e, por+ue una acti%idad interna pasa a ser e=terna$ #ependencias del suministrador$
AUDITORIA DE SISTEMAS
57
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
/ariaciones en la calidad del producto entreado al usuario (inal$ Problemas entre el personal$ :so de metodoloías para nue%os desarrollos, pero ausencia de ellas para el mantenimiento$ 6endencia a la desestructuración #i(icultad proresi%a de modi(icación alta de presupuesto alta de personal alta de apo&o de la #irección
6. A"/*/! $! "* *$#,%)#* Nuestra Nuestra auditoria, comprende comprende el presente presente periodo 2004 & se ;a realizado realizado especialmente especialmente al )rea de .n(orm)tica .n(orm)tica de acuerdo a las normas & dem)s disposiciones aplicable al e(ecto$
7. C%/"%!&: Como resultado de la Auditoria del antenimiento realizada al unicipio, por el período comprendido entre el 0" de >etiembre al 24 de #iciembre del 2004, podemos mani(estar mani(estar +ue ;emos cumplido con e%aluar cada uno de los ob7eti%os contenidos en el prorama de auditoria$ 'l )rea de .n(orm)tica presenta de(iciencias sobre todo en el debido cumplimiento de sus (unciones & por la (alta de ellos$
8. R!/%'!$*/#%!& odi(icación de un producto so(tEare, o de ciertos componentes, usando para el an)lisis del sistema e=istente t?cnicas de .neniería .n%ersa &, para la etapa de reconstrucción, ;erramientas de .neniería #irecta, de tal manera +ue se oriente oriente este este cambio cambio ;acia ma&ores ma&ores ni%eles ni%eles de (acilid (acilidad ad en cuanto cuanto a mantenimiento, reutilización, comprensión o e%olución$
AUDITORIA DE SISTEMAS
58
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
Cateorizar los tipos de mantenimiento del so(tEare & para cada tipo plani(icar las acti%idades & tareas a realizar$ 'laborar un procedimiento oranizado para realizar la miración de un producto so(tEare desde un entorno operati%o antiuo a otro nue%o$ 'stablecer un acuerdo o contrato de mantenimiento entre el mantenedor & el cliente & las obliaciones de cada uno estos$ 'laborar un plan de mantenimiento +ue inclu&a el alcance del mantenimiento, +ui?n lo realizar), una estimación de los costes & un an)lisis de los recursos necesarios$
9. F!/* D!" I=%)'!
PLANEAMIENTO FEC>AS
EJECUCION
INFORME
0"O"0O04 al "5O"0 "G"0O04 al 20O"" 23O""O04 al 21O 04
04
"204
1. I$!,#=#/*/#- Y F#)'* D!" A$#,%)
APELLIDOS Y NOMBRES
CARGO
U:.V9N'H AF6A, CAR'N
A:#.69R >:P'R.9R
AUDITORIA DE SISTEMAS
59
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
AUDITORIA DE BASE DE DE DATOS 1. A"/*/! $! "* *$#,%)#*: 'sta auditoria comprende solamente al )rea de cetro de computo de la municipalidad de mariscal mariscal nieto, con respecto respecto al cumplimiento cumplimiento del proceso Z#e !estión administración de la ase de #atos Z de la de manera +ue abar ca la e=plotación, mantenimiento, dise-o cara, post implementación, Los sistemas de estión de base de datos 8>!#<, 8>!#<, so(tEare de auditoria auditoria , sistema sistema operati%o protocolos protocolos & sistemas sistemas distribuidos$
2. O(!,#0%& M/eri(icar la responsabilidad para la plani(icación de planillas & control de los acti%os de datos de la oranizaciónM 8administrador de datos< /eri(icar la responsabilidad de la administración del entorno de la base de datosM 8administrador de la base de datos< Proporcionar ser%icios de apo&o en aspectos de oranización & m?todos, mediante la de(inición, implantación & actualización de ase de #atos &o procedimientos administrati%os con la (inalidad de contribuir a la e(iciencia
PREGUNTAS "$ '=iste e+uipos o so(tEare de >!#
SI
NO
NA
2$ La oranización tiene un sistema de estión de base de datos 8>!#< 3$ Los datos son carados correctamente en la inter(az ra(ica 4$ >e %eri(icar) +ue los controles & relaciones de datos se realizan de acuerdo a Normalización libre de error 5$ '=iste personal restrinido +ue tena acceso a la # G$ 'l >!# es dependiente de los ser%icios +ue o(rece el >istema 9perati%o
AUDITORIA DE SISTEMAS
60
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
$ La inter(az +ue e=iste entre el >!# & el >9 es el adecuado 1$ '=isten procedimientos (ormales para la operación del >!#S $ 'st)n actualizados los procedimientos de >!#S "0$ La periodicidad de la actualización de los procedimientos es Anual S ""$ >on su(icientemente claras las operaciones +ue realiza la #S "2$ '=iste un control +ue aseure la 7usti(icación de los procesos en el computadorS 8Uue los procesos +ue est)n autorizados tenan una razón de ser procesados< "3$ >e procesa las operaciones dentro del departamento de cómputoS "4$ >e %eri(ican con (recuencia la %alidez de los in%entarios de los arc;i%os man?ticosS "5$ '=iste un control estricto de las copias de estos arc;i%osS "G$ >e borran los arc;i%os de los dispositi%os almacenamiento, cuando se desec;an estosS
de
"$ >e reistran como parte del in%entario las nue%as cintas man?ticas +ue recibe el centro de computoS "1$ >e tiene un responsable del >!#S "$ >e realizan auditorias periódicas a los medios de almacenamientoS 20$ >e tiene relación del personal autorizado para manipular la #S 2"$ >e lle%a control sobre los arc;i%os trasmitidos por el sistemaS 22$ '=iste un prorama de mantenimiento pre%enti%o para el dispositi%o del >!#S 23$ '=isten interidad de los componentes & de seuridad de datosS
AUDITORIA DE SISTEMAS
61
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
24$ #e acuerdo acue rdo con los tiempos de utilización de cada dispositi%o del sistema de cómputo, e=iste e+uipo capaces +ue soportar el traba7oS 25$ 'l >!# tiene capacidad de teleprocesoS 2G$ >e ;a in%estiado si ese tiempo de respuesta satis(ace a los usuariosS 2$ La capaci capacidad dad de almacena almacenamie miento nto m)=i m)=imo mo de la # es su(iciente para atender el proceso por lotes & el proceso remotoS
A$%&' ()&* E90 ('*& ;: P*)* /*00*) 0 SI 24 19
100' (
7.16 P*)* /*00*) 0 NO 24 100' 5 ( 2".83
AUDITORIA DE SISTEMAS
62
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
INFORME DE AUDITORIA 1. I$!,#=#/*/#- $!" #=%)'! Auditoria de ase de #atos$
2. I$!,#=#/*/#- $!" C"#!,! 'l )rea de .n(orm)tica
3. I$!,#=#/*/#- $! "* E,#$*$ A$#,*$* unicipalidad Pro%incial de o+ueua$
4. O(!,#0%& '%aluar el tipo de ase de #atos, relaciones,
plata(orma o sistema
operati%o +ue traba7a, lla%es, administración administrac ión & dem)s aspectos +ue repercuten en su traba7o$ Re%isar del so(tEare institucional para la administración de la ase de #atos$
/eri(icar la actualización de la ase de #atos$ /eri(icar la optimización de almacenes de los ase de #atos Re%isar +ue el e+uipo utilizado tiene su(iciente poder de procesamiento & %elocidad en red para optimizar el desempe-o de la base de datos$
5. >*""*+%& P%,!/#*"!& No est)n de(inidos los par)metros o normas de calidad$ alta de presupuesto alta de personal
AUDITORIA DE SISTEMAS
63
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
La erencia de ase de datos no tiene un plan +ue permite modi(icar en (orma oportuna el plan a laro plazo de tecnoloía, teniendo en cuenta los posibles cambios tecnolóicos & el incremento de la base de datos$$ No e=iste un calendario de mantenimiento de rutina periódico del so(tEare de(inido por la ase de datos$
6. A"/*/! $! "* *$#,%)#* Nuestra Nuestra auditoria, comprende comprende el presente presente periodo 2004 & se ;a realizado realizado especialmente al #epartamento de centro de cómputo de acuerdo a las normas & dem)s disposiciones aplicable al e(ecto$
7. C%/"%!&: Como resultado de la Auditoria podemos mani(estar +ue ;emos cumplido con e%aluar cada uno de los ob7eti%os contenidos en el prorama de auditoria$ 'l #epartamento de centro de cómputo presenta de(iciencias sobre todo en el debido cumplimiento de Normas de seuridad de datos & administración de la ase de #atos$
8. R!/%'!$*/#%!& 'laborar toda la documentación lóica correspondiente a los sistemas de administración de la #$ '%aluar e implementar un so(tEare +ue permita mantener el resuardo de acceso de los arc;i%os de proramas & aJn de los proramadores$ .mplementar la relaciones con las di(erentes )reas en cuanto al compartimiento de arc;i%os permitidos por las normas 'laborar un calendario de mantenimiento de rutina periódico $ Capacitar al personal al mane7o de la #$ #ar a conocer la importancia del >!# al usuario
AUDITORIA DE SISTEMAS
64
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
9. F!/* D!" I=%)'!
PLANEAMIENTO 'CDA> 0"O"0O04 al "5O"004
EJECUCION
INFORME
"G"0O04 al 20O""04
23O""O04 al 21O""04
1. I$!,#=#/*/#- Y F#)'* D!" A$#,%) APELLIDOS Y NOMBRES
CARGO
AAN. C:6.PA Q.LF
A:#.69R >:P'R.9R
AUDITORIA DE SISTEMAS
65
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
AUDITORIA DE CALIDAD O(!,#0%&: /eri(icar los procesos aplicables del prorama de la calidad ;an sido desarrollados & documentados$ '%aluar la capacidad de realizar un traba7o especi(ico$
SI >e re(le7an el so(tEare codi(icado tal como en el dise-o en la documentaciónS ueron probados con ?=ito los productos de so(tEare usados en el centro de computoS >e cumplen las especi(icaciones de la documentación del usuario del so(tEareS Los procesos de estión administrati%a aplicados en el )rea de in(orm)tica de la institución son lo su(icientemente óptimosS 'l (unci (uncionam onamient iento o del so(tEa so(tEare re dentro dentro del del )rea de traba traba7o 7o est)n est)n de acuerdo con los re+uerimientos especí(icosS Los documentos de estión administrati%a se cumplen satis(actoriamente en el )rea de computoS Los productos de so(tEare +ue utilizan en el )rea de in(orm)tica esta de acuerdo con los est)ndares establecidosS Los dispositi%os de traba7o en el )rea de in(orm)tica se les
AUDITORIA DE SISTEMAS
NO
NA
X X X X X X X X
66
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
realizan una re%isión t?cnica correctaS Los costos (i7ados en la re%isión t?cnica se encuentran dentro de los límites (i7adosS
X
A$%&' ()&* C*0&%*%: P*)* /* /*00*) 0 SI SI 9 100' 5 ( 55.5
P*)* /*00*) 0 NO 9 100' 4 ( ( 44.4
INFORME DE AUDITORIA 11. I$!,#=#/*/#- $!" #=%)'! Auditoria de Calidad
12. I$!,#=#/*/#- $!" C"#!,! 'l )rea de .n(orm)tica
13. I$!,#=#/*/#- $! "* E,#$*$ A$#,*$* unicipalidad Pro%incial de o+ueua$
14. O(!,#0%& /eri(icar la calidad de ser%icio +ue o(rece el >o(tEare$ '%aluar el so(tEare institucional para la administración$ Re%isar +ue el e+uipo utilizado tiene su(iciente poder de procesamiento & %elocidad en red para optimizar el desempe-o de la oranización$
AUDITORIA DE SISTEMAS
67
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
15. A"/*/! $! "* *$#,%)#* Nuestra Nuestra auditoria, comprende comprende el presente presente periodo 2004 & se ;a realizado realizado especialmente al #epartamento de centro de cómputo de acuerdo a las normas & dem)s disposiciones aplicable al e(ecto$
16. C%/"%!&: 'l #epartamento de centro de cómputo presenta de(iciencias sobre todo en el debido cumplimiento de Normas de seuridad de datos & administración de la ase de #atos con respecto a calidad$
17. F!/* D!" I=%)'!
PLANEAMIENTO 'CDA> 0"O"0O04 al "5O"004
EJECUCION
INFORME
"G"0O04 al 20O""04
23O""O04 al 21O""04
18. I$!,#=#/*/#- Y F#)'* D!" A$#,%) APELLIDOS Y NOMBRES
CARGO
AAN. C:6.PA Q.LF
A:#.69R >:P'R.9R
AUDITORIA DE SISTEMAS
68
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
AUDITORIA DE LA SEGURIDAD 1. A"/*/! $! "* A$#,%)#*. 9ranización & cali(icación del personal Planes & procedimientos >istemas t?cnicos de detección & comunicación An)lisis de puestos antenimiento Normati%a
2. O(!,#0%& $! "* A$#,%)#*. Realizar un in(orme de Auditoria con el ob7eto de %eri(icar la adecuación de las medidas aplicadas aplicadas a las amenazas de(inidas, de(inidas, así como el cumplimiento cumplimiento de los re+uisitos e=iidos$
3. R!=!)!/#* L!+*" anual de Autoprotección aprobado por 9$$ de 2""14, N'CP. G 8R# 2"G<, Normati%a de las Comunidades Autónomas & 9rdenanzas unicipales, C'PR'/'N$
4. R!&",*$%& >e obtendr) .n(orme de Auditoria detectando riesos & de(iciencias en el >istema de >euridad$ Plan de recomendaciones a aplicar en (unción de o
Riesos
o
Normati%a a cumplir
o
Costes estimados de las recomendaciones
AUDITORIA DE SISTEMAS
69
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
AUDITORIA LOGICA PREGUNTAS "$ '=isten medidas, controles,
SI
procedimientos, normas
NO
NA
&
est)ndares de seuridadS 2$ '=iste un documento donde este especi(icado la relación de las (unciones & obliaciones del personalS 3$ '=isten
procedimientos
de
noti(icación
&
estión
de
incidenciasS 4$ '=isten procedimientos de realización de copias de seuridad & de recuperación de datosS 5$ '=iste una relación del personal autorizado a conceder, alterar o anular el acceso sobre datos & recursosS G$ '=iste una relación de controles periódicos a realizar para %eri(icar el cumplimiento del documentoS $ '=isten medidas a adoptar cuando un soporte %a&a a ser desec;ado o reutilizadoS 1$ '=iste una relación relación del personal autorizado a acceder a los locales donde se encuentren ubicados los sistemas +ue tratan datos personalesS $ '=iste una relación de personal autorizado a acceder a los soportes de datosS "0$ '=iste un período m)=imo de %ida de las contrase-asS ""$ '=iste una relación de usuarios autorizados a acceder a los sistemas & +ue inclu&e los tipos de acceso permitidosS "2$ Los derec;os de acceso concedidos a los usuarios son los necesarios & su(icientes para el e7ercicio de las (unciones +ue tienen encomendadas, las cuales a su %ez se encuentran o deben estar documentadas en el #ocumento de >euridadS "3$ Da& dadas de alta en el sistema cuentas de usuario en?ricas, es decir, utilizadas por m)s de una persona, no permitiendo por
AUDITORIA DE SISTEMAS
70
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
tanto la identi(icación de la persona (ísica +ue las ;a utilizadoS "4$ 'n la pr)ctica las personas +ue tienen atribuciones & pri%ileios dentro del sistema para conceder derec;os de acceso son las autorizadas e incluidas en el #ocumento de >euridadS "5$ 'l sistema de autenticación de usuarios uarda las contrase-as encriptadasS "G$ 'n el sistema est)n ;abili tadas para todas las cuentas de de usuario las opciones +ue permiten establecer :n nJmero m)=imo de intentos de cone=ión$
:n perío período do m)=im m)=imo o de %ien %iencia cia para para la contr contrase ase-a -a,, coin coinci ciden dente te con con el esta establ bleci ecido do en el #ocum #ocumen ento to de >euridad$ "$ ' '=isten procedimientos de asinación & distribución de contrase-asS
AUDITORIA FISICA PR'!:N6A>
>.
N9
NA
"$ '=isten procedimientos para la realización de las copias de seuridadS 2$ '=isten procedimientos +ue aseuran +ue, de todos los (ic;eros con datos de car)cter personal, se realiza copia al menos una %ez cada semanaS 3$ Da& procedimientos +ue aseuran la realización de copias de todos a+uellos (ic;eros +ue ;an e=perimentado alJn cambio en su contenidoS 4$ '=isten controles para la detección de incidencias en la realización de las pruebasS 5$ '=isten controles sobre el acceso (ísico a las copias de seuridadS G$ >ólo las personas con acceso autorizado en el documento de
AUDITORIA DE SISTEMAS
70
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
seuridad tienen acceso a los soportes +ue contienen las copias de seuridadS $ Las copias de seuridad de (ic;eros de ni%el alto inclu&en los (ic;eros ci(rados, si estas copias se transportan (uera de las instalacionesS 1$ Las copias de seuridad de los (ic;eros de ni%el alto se
almacenan en luar di(erente al de los e+uipos +ue las procesanS $ '=iste un in%entario de los soportes e=istentesS "0$ #ic;o in%entario inclu&e las copias de seuridadS ""$ Las copias de seuridad, o cual+uier otro soporte, se almacenan (uera de la instalaciónS "2$ '=isten procedimientos de actualización de dic;o in%entarioS "3$ '=isten procedimientos procedimien tos de eti+uetado e identi(icación del de l contenido de los soportesS "4$ '=isten procedimientos en relación con la salida de soportes (uera de su almacenamiento ;abitualS "5$ >e e%alJan los est)ndares de distribución & en%ío de estos soportesS "G$ >e 9btiene una relación de los (ic;eros +ue se en%ían (uera de la empresa, en la +ue se especi(i+ue el tipo de soporte, la (orma de en%ío, el estamento +ue realiza el en%ío & el destinatarioS "$ >e Comprueba +ue todos los soportes incluidos en esa relación se encuentran tambi?n en el in%entario de soportes mencionado anteriormenteS "1$ >e 9btiene una copia del Reistro de 'ntrada & >alida de >oportes & se comprueba +ue en ?l se inclu&en Los soportes incluidos en la relación del punto anterior 8& %ice%ersa< Los desplazamientos de soportes al almacenamiento
AUDITORIA DE SISTEMAS
71
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
e=terior 8si e=istiera< "$ >e /eri(ica +ue el Reistro de 'ntrada & >alida >alid a re(le7a la in(ormación re+uerida por el Relamento a< ec;a & ;ora b< 'misorReceptor c< NB de soportes d< 6ipo de in(ormación contenida en el soporte$ e< orma de en%ío (<
Persona (ísica responsable de la recepciónentrea
20$ >e Analiza los procedimientos de actualización del Reistro de 'ntrada & >alida en relación con el mo%imiento de soportesS 2"$ '=isten controles para detectar la e=istencia de soportes recibidosen%iados +ue no se inscriben en el Reistro de 'ntrada>alidaS 22$ >e Comprueba, en el caso de +ue el .n%entario de >oportes &o el Reistro Reistro de 'ntrada>alid 'ntrada>alida a est?n in(ormatizado in(ormatizados, s, +ue se realizan copias de seuridad de ellos, al menos, una %ez a la semanaS 23$ >e realiza una u na relación de soportes en%iados (uera de la empresa con la relación de (ic;eros de ni%el altoS 24$ >e /eri(ica +ue todos los soportes +ue contiene (ic;eros con datos de ni%el Alto %an ci(radosS 25$ >e Comprobar la e=istencia, como parte del #ocumento de >euridad, de una relación de usuarios con acceso autorizado a la salaS 2G$ >e /eri(ica +ue la inclusión del personal en la relación anterior es co;erente con las (unciones +ue tienen encomendadasS 2$ >e Comprueba +ue la relación es lóicaM 8personal 8per sonal de limpiezaS /iilantes de seuridadS<$ 21$ '=isten políticas de la instalación en relación con los accesos ocasionales a la sala[ 2$ >e #etermina +ue personas tienen lla%es de acceso, tar7etas, etc$ de acceso a la salaS$
AUDITORIA DE SISTEMAS
72
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
30$ >e Comprueba +ue + ue est)n acti%ados los lo s par)metros de acti%ación del Reistro para todos los (ic;eros de Ni%el AltoS 3"$ >e Analizan los procedimientos de descara a cinta de este Reistro de Accesos & el período de retención de este soporteS 32$ '=isten procedimientos de realización de copias de seuridad del Reistro de Accesos & el período de retención de las copiasS 33$ >e /eri(ica la asinación de pri%ileios +ue permitan acti%ardesacti%ar el Reistro de Accesos para uno o m)s (ic;erosS 34$ >e Comprueba +ue el Reistro de Accesos se encuentra ba7o el control directo del Responsable de >euridad pertinenteS
A$%&' ()&* C*0&%*%: P*)* /* /*00*) 0 SI SI 39 100' 15 ( 38.46
P*)* /*00*) 0 NO 39 100' 24 ( ( 61.53
AUDITORIA DE SISTEMAS
73
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
AREAS CRTICAS DE LA AUDITORIA DE SEGURIDAD E0*"*/#- $! "* &!+)#$*$ ! !" *//!&% *" S#&,!'* P)!+,*&
1
8
6
4
2
E@/!"!,!
B!%
R!+"*)
M#'%
N% /'"!
'%aluar los atributos de acceso al sistema$ '%aluar los ni%eles de acceso al sistema$ '%aluar
la
administración
de
contrase-as al sistema '%aluar el monitoreo en el acceso al sistema$ '%aluar
las
administrador
(unciones del
acceso
del al
sistema$ '%aluar las medidas pre%enti%as o correcti%as en caso de siniestros n el acceso$
E0*"*/#- $! "* &!+)#$*$ ! !" *//!&% *" H)!* F/* P)!+,*&
1
8
6
4
2
E@/!"!,!
B!%
R!+"*)
M#'%
N% /'"!
'%aluar el acceso del personal al centro de cómputo$ '%aluar el acceso de los usuarios & terceros al centro de cómputo$ '%aluar el control de entradas &
AUDITORIA DE SISTEMAS
74
salidas de bienes in(orm)ticos del centro de cómputo$ '%aluar la %iilancia del centro de cómputo$ '%aluar las medidas pre%enti%as o correcti%as en caso de siniestro en el centro de cómputo$ Analizar
las
políticas
de
la
instalación en relación con los accesos ocasionales a la sala$
E0*"*/#- $! "%& "*!& $! /%,#+!/#*& / %,#+!/#*& #=%)'?,#/%& P)!+,*&
1
8
6
4
2
E@/!"!,!
B!%
R!+"*)
M#'%
N% /'"!
'%aluar la e=istencia, di(usión, aplicación
&
uso
de
contra
continencias de sistemas$ '%aluar
la
aplicación
de
simulacros, así como el plan contra continencias$ '%aluar
la
con(idencialidad,
%erac %eracid idad ad & oportu oportunid nidad ad en la aplicación de las medidas del plan contra continencias$
E0*"*/#- $! "* &!+)#$*$ ! "%& &,!'*& /%',*/#%*"!& P)!+,*& '%aluar el rendimiento & uso del sistema computacional & de sus peri(?ricos asociados$ '%aluar la e=istencia, protección & periodicidad de los respaldos de
1
8
6
4
2
E@/!"!,!
B!%
R!+"*)
M#'%
N% /'"!
bases
de
datos,
in(ormación
so(tEare
importante
de
e la
oranización$ '%aluar
la
insta instalac lacion iones es
con(iuración, &
seur seurida idad d
del
e+uipo e+uipo de cómputo cómputo,, mobiliar mobiliario io & dem)s e+uipos$ '%aluar el rendimiento, aplicación & utilidad del e+uipo de cómputo, mobiliario & dem)s e+uipos$ '%aluar
la
seuridad
en
el
procesamiento de in(ormación$ '%aluar los procedimientos de captura, captura, procesamiento de datos & emisi emisión ón
de result resultado adoss
de
los los
sistemas computacionales$
E0*"*/#- $! "* )%,!//#- /%,)* "* #)*,!)* < )%(% $! #=%)'*/#- P)!+,*& edidas pre%enti%as$ Protección de arc;i%os$ Limitación de accesos$ Protección contra robos Protección ante copias ileales
1
8
6
4
2
E@/!"!,!
B!%
R!+"*)
M#'%
N% /'"!
E0*"*/#- $! "* )%,!//#- /%,)* 0#)& 0 #)& #=%)'?,#/%& P)!+,*&
1
8
6
4
2
E@/!"!,!
B!%
R!+"*)
M#'%
N% /'"!
1
8
6
4
2
E@/!"!,!
B!%
R!+"*)
M#'%
N% /'"!
1
8
6
4
2
E@/!"!,!
B!%
R!+"*)
M#'%
N% /'"!
edidas pre%enti%as & correcti%as$ :so de %acunas & buscadores de %irus$ Protección de arc;i%os, proramas e in(ormación$
E0*"*/#- $! "* &!+)#$*$ $!" *)$*)! P)!+,*& Realización
de
in%entarios
de
;ardEare, e+uipos & peri(?ricos asociados$ '%aluar la con(iuración del e+uipo de computo 8;ardEare<$ '%aluar el rendimiento & uso del sistema
computacional
&
s us
(ísico
de l
peri(?ricos asociados$ '%aluar
el
estado
;ardEare, peri(?ricos & e+uipos asociados
E0*"*/#- $! "* &!+)#$*$ $!" S%=,*)! P)!+,*& Reali Realiza zaci ción ón
de
in%en in%enta tari rios os
de
so(tEare, pa+ueterías & desarrollos empresariales$
'%aluar las licencias permisos & usos
de
los
sistemas
computacionales$ '%aluar el rendimiento & uso del so(tEare
de
los
sistemas
computacionales$ /eri(icar +ue la instalación del so(tEare, so(tEare, pa+ueterías pa+ueterías & sistemas sistemas desarrollados en la empresa sea la adecuada
para
cubrir
necesidades de esta ultima$
las
INFORME DE AUDITORIA 1. I$!,#=#/*/#- $!" #=%)'! Auditoria de la >euridad
2. I$!,#=#/*/#- $!" C"#!,! 'l )rea de .n(orm)tica
3. I$!,#=#/*/#- $! "* E,#$*$ A$#,*$* unicipalidad Pro%incial
4. O(!,#0%& Dacer un estudio cuidadoso de los riesos potenciales a los +ue est) sometida el )rea de in(orm)tica$ Re%isar tanto la seuridad (ísica del Centro de Proceso de #atos en su sentido m)s amplio, como la seuridad lóica de datos, procesos & (unciones in(orm)ticas m)s .mportantes de a+u?l$
5. >*""*+%& P%,!/#*"!& No e=iste documentaciones t?cnicas del sistema interado de la Cooperati%a & tampoco no e=iste un control o reistro (ormal de las modi(icaciones e(ectuadas$ No se cuenta con un >o(tEare +ue permita la seuridad de las librerías de los proramas & la restricción &o control del acceso de los mismos$ Las modi(icaciones a los proramas son solicitadas eneralmente sin notas internas, en donde se describen los cambios o modi(icaciones +ue se re+uieren$ alta de planes & Proramas .n(orm)ticos$ Poca identi(icación del personal con la institución .nestabilidad laboral del personal No e=iste proramas de capacitación & actualización al personal
6. A"/*/! $! "* *$#,%)#* Nuestra Nuestra auditoria, comprende comprende el presente presente periodo 2004 & se ;a realizado realizado especialmente especialmente al )rea de .n(orm)tica .n(orm)tica de acuerdo a las normas & dem)s disposiciones aplicable al e(ecto$
7. C%/"%!&: Como resultado de la Auditoria de la >euridad realizada al unicipio, por el período comprendido entre el 0" de >etiembre al 24 de #iciembre del 2004, podemos mani(estar mani(estar +ue ;emos cumplido con e%aluar cada uno de los ob7eti%os contenidos en el prorama de auditoria$ 'l )rea de .n(orm)tica .n(orm)tica presenta presenta de(iciencias de(iciencias sobre todo en el debido cumplimiento de sus (unciones & por la (alta de ellos$
8. R!/%'!$*/#%!& 'laborar toda la documentación documen tación t?cnica correspondiente a los sistemas implementados & establecer normas & procedimientos para los desarrollos & su actualización$ '%aluar e implementar un so(tEare so(tEare +ue permita mantener mantener el resuardo resuardo de acceso de los arc;i%os de proramas & aJn de los proramadores$ .mplementar .mplementar & conser%ar conser%ar todas las documentaciones documentaciones de prueba de los sistemas, como así tambi?n las modi(icaciones & aprobaciones de proramas realizadas por los usuarios 'l coste de la seuridad debe considerarse como un coste m)s entre todos los +ue son necesarios para desempe-ar la acti%idad +ue es el ob7eto de la e=istencia de la entidad, sea ?sta la obtención de un bene(icio o la prestación de un ser%icio pJblico$ 'l coste de la seuridad, como el coste de la calidad, son los costes de (unciones imprescindibles para desarrollar la acti%idad adecuadamente$ F por ZadecuadamenteZ debe entenderse no sólo un ni%el de calidad & precio +ue ;aa competiti%o el ser%icio o producto suministrado, sino tambi?n un rado de arantía de +ue dic;os productos o ser%icios %an a seuir lleando a los usuarios en cual+uier circunstancia$
AUDITORIA DE SISTEMAS
80
9. F!/* D!" I=%)'!
PLANEAMIENTO FEC>AS
EJECUCION
INFORME
0"O"0O04 al "5O"0 "G"0O04 al 20O"" 23O""O04 al 21O 04
04
"204
1. I$!,#=#/*/#- Y F#)'* D!" A$#,%)
APELLIDOS Y NOMBRES
CARGO
U:.V9N'H AF6A, CAR'N
A:#.69R >:P'R.9R
AUDITORIA DE SISTEMAS
81
AUDITORIA A LOS LOS SISTEMA S DE REDES 1. A"/*/! $! "* A$#,%)#*. Cali(icación del personal >istemas t?cnicos de la red antenimiento de la Red
2. O(!,#0%& $! "* A$#,%)#*. Realizar un in(orme de Auditoria con el ob7eto de %eri(icar la adecuación de las medidas aplicadas a las amenazas de(inidas, así como el cumplimiento de los re+uisitos e=iidos$
3. R!=!)!/#* L!+*". Xanual de Autoprotección aprobado por 9$$ de 2""14, N'CP. G 8R# 2"G<, XNormati%a de las Comunidades Autónomas & 9rdenanzas unicipales, C'PR'/'N$
4. R!&",*$%&. >e obtendr) .n(orme de Auditoria detectando de(iciencias en el >istema de Redes$ Plan de recomendaciones a aplicar en (unción de o
Normati%a a cumplir
o
Recomendaciones PR'!:N6A>
>.
N9
NA
"$ L ))., ) ))* +,).) . =;+, )/,., )
=;.)<,).+ ) +).; ) )K ) K 2$ E*+ =;+, )* ) . ); =;. ) ;, ) ;
.,,-. 3$ L ))., ) ))* +,).) . =;. ?) =)<,+) <,/, ).
/< =+. ); =;. ; =; ) +).; ) ))* +).,). ). ).+ ;* =*,;)* <,* +).;-,* ). ; .,,-.K 4$ E>,*+) . ,.:).+, ) )?,=* @ */+) *,* ;*
AUDITORIA DE SISTEMAS
82
5$ ))* ) +*K G$ E>,*+) . =;. ) ,./)*++ ) ))*K $ 'l plan de compras compras de ;ardEare ;ardEare & so(tEare so(tEare para el sector sector redes est) de acuerdo con el plan de in(raestructura de redesS 1$ L )*=.*,;, =)+,: ) ;* ))* )*+ *)= ) ;*
) =),.)* ); <=+K $ E*+. )*+;),* .+;)* )*=),;)* = *;: ; ./,).,;, ) ,.+), ); =)*<,).+ ) ;* +* ?) =*. +:* ) ))* =;,* @ = =+)) ;* *,*+)<* .)+* 10# E>,*+). .+;)* )*=),;)* = <.+).) ; ,*=.,,;, ) ;* *):,,* ) ) @ <=+* .)+*K 11# E>,*+). .+;)* @ =),<,).+* ) )*+,-. = =+)) ); )* ;* .)>,.)* @ *):,,* ) )#K 12# E>,*+). =+;* ) <.,. )*+;), )*+;), 13# E>,*+) . +=; )*+., )*+., ). + ; .,,-.
"4$ E>,*+). .<* ?) )+;;. ?) )*+.)* ?) )).
<=;, ); H) @ ); */+) ) +).; ) ))*K "5$ La transmisión de la in(ormación en las redes es seuraS "G$ 'l acceso a la red tiene passEordS
A$%&'()&* % R%-: P*)* /* /*00*) 0 SI SI 14 100' 6 ( 42.85
AUDITORIA DE SISTEMAS
83
P*)* /*00*) 0 NO 14 100' 8 ( ( 57#14
AREA CRITICA REDES LISTADO LISTADO DE VERIFICACIN DE AUDITORIA AUDITORIA DE REDES G)*+,-. <,.,*++,: ) ; )# 1"" E0' L* )+,:* ) ; 6 )3 D) 7<=5+7
8" B$*
6" R$0*)
4" M,&(
2"
N( $90
L* 6 +) +)6 *+, * ) ; R) ) 7<=5+7 L* 7<=7.).+)* / *,7* ) ; ) 3) 7<=5+7 L .)+,:, @ ;* 7<5.,,7.)* ) ; ) 3) 7<=5+7 L* *):,,* ?5) =67=76 , ,7.. L ) ) 7<=5+7 L* ./,,.)* A +=;* +, =7* )+ ) ; * ))* ) 7<=5+7#
L* =+;* 3) 7<5.,,-. ,.+)6. ) ; 6 )3# L 3<,.,*+6 , ,-. ) ; ) 3) C7<=5+7#
AUDITORIA DE SISTEMAS
84
L *), ) ;* ))* ) <=+ #
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
E0'
B$(
R$0*)
M,&(
N( $90
L )+ ) ;* *):,,* 3) <.,,-. # L /))., . ?) ;* *,* )). ;* )** ) ; ) L ./,,;, @ *),)* ); 5*7 ) ; ,./<,-. , .*+,+5,7.; L ).+;,,-. <,.,*+,-. A =),-. *,.,-. @ ); .+; 3) ;* )** ,./<+,* ) ; 764.,,-. L ,*+,,-. )?,++,: ) ; 7* *+* ) ?,*,,-. @ ); .+; 3) ;* )** ,./<+,* ) ; .,,-. # L )*;,;, @ <,,-. ) ; 7* )** <=+,.;)* ) ; .,,-. # L *+,*/,-. ) ;* .))*,)* 3) =) <=+,.; ) ; .,,-. *) . ))* A;,).+)
AUDITORIA DE SISTEMAS
85
*):, <,./<) L *;,-. ;* =;)<* 3) <.,,-. ) ,./<,-. @ 3+7* ). ;* )* ) ; 764.,,-.#
A.;,*,* ) ;* )*+,* ) :,,;, @ /+,,;, /+,,;, ). ); ,*)B ) ,.*+;,-. ) ; ) ) -<=+ ). ; )<=)*
E*0$*) > *0&+&*) 0 $90&&'( % 0(- -&$&'- *-9'(-
E0'
B$(
R$0*)
M,&(
N( $90
E; )*+, ) /+,,;, +).;-, E; )*+, /+,,;, ).-<, E; )*+, ) /+,,;, <,.,*++,: E; )*+, ) /+,,;, =)+,:
E*0$*&; %0 %&-?( &90'*&; % 0* )% )% -@ 0 <&'( % ()'$)* E0'
B$(
R$0*)
M,&(
N( $90
B$(
R$0*)
M,&(
N( $90
A.;,*,* ) ;* ))* ) <;+,<=+* E:; ); /.,.<,).+ ) ; )+ ) =.+ =.+ E:; ); /.,.<,).+ ) ; +).; ?) *) * . . *; ;) ).+) ;* <?,.* .)+* E:; ); /.,.<,).+ ) ;* =;,,.)* ** @ )>=;+,-. ) ;* ))*
A<0&-&- % 0* )% % <)* 0(*0 L A N E:; ); * ) @ ./,;) ) ; +).;
E0'
AUDITORIA DE SISTEMAS
86
+,;, ,.+).<).+) = ; +.*<,*,-. ) +*# E:; ; )*+,,-. =+ = )*+;)) ); +<B ) ; ) E:; ; :);,#
INFORME DE AUDITORIA 1. I$!,#=#/*/#- $!" #=%)'! Auditoria del >istema de Redes
2. I$!,#=#/*/#- $!" C"#!,! 'l )rea de .n(orm)tica
3. I$!,#=#/*/#- $! "* E,#$*$ A$#,*$* unicipalidad Pro%incial de o+ueua$
4. O(!,#0%& '%aluar el tipo de red, r ed, ar+uitectura topoloía, protocolos de comunicación, las cone=iones, accesos pri%ileios, administración & dem)s aspectos +ue repercuten en su instalación$ Re%isión del so(tEare institucional para la administración de la red$
5. >*""*+%& P%,!/#*"!& No se cuenta con un >o(tEare +ue permita la seuridad de restricción &o control a la Red$
No e=iste un plan +ue aseure acciones correcti%as asociadas a la cone=ión con redes e=ternas$ No est)n de(inidos los par)metros o normas de calidad$ La erencia de redes no tiene un plan +ue permite modi(icar en (orma oportuna el plan a laro plazo de tecnoloía de redes , teniendo en cuenta los posibles cambios tecnolóicos$ No e=iste un calendario de mantenimiento de rutina periódico del ;ardEare de(inido por la erencia de redes$ No e=iste un plan proacti%o de tareas a (in de anticipar los problemas & solucionarlos antes de +ue los mismos a(ecten el desempe-o de la red
6. A"/*/! $! "* *$#,%)#* Nuestra auditoria, comprende el presente periodo 2004 & se ;a realizado especialmente al )rea de .n(orm)tica de acuerdo a las normas & dem)s disposiciones aplicable al e(ecto$
7. C%/"%!&: Como resultado de la Auditoria podemos mani(estar +ue ;emos cumplido con e%aluar cada uno de los ob7eti%os contenidos en el prorama de auditoria$ 'l )rea de .n(orm)tica presenta de(iciencias sobre todo en el debido cumplimiento de Normas de redes & (unciones$
8. R!/%'!$*/#%!& 'laborar toda la documentación t?cnica correspondiente a los sistemas de redes$ '%aluar e implementar un so(tEare +ue permita mantener el resuardo de acceso de los arc;i%os de proramas & aJn de los proramadores$ .mplementar un plan +ue permita modi(icar en (orma oportuna el plan a laro laro plazo de tecnoloía de redes$ 'laborar un calendario de mantenimiento de rutina periódico del ;ardEare$
9. F!/* D!" I=%)'!
PLANEAMIENTO FEC>AS 1K1K4 *" 15K14
EJECUCION
INFORME
161K4 *" 2K114
23K11K4 *" 28K114
1. I$!,#=#/*/#- Y F#)'* D!" A$#,%) APELLIDOS Y NOMBRES MAMANI POMA ORLANDO JIMMY
CARGO AUDITOR SUPERIOR
AUDITORIA RIA DE APLICACIO LICACIONES 1. A"/*/! $! "* A$#,%)#* >elección & e%aluación del personal de le propia institución$ 'st)ndares de uncionamiento & Procedimientos del )rea de in(orm)tica !estión 'conómica del )rea de .n(orm)tica 'st)ndares de (uncionamiento & procedimiento del )rea de in(orm)tica$
2. O(!,#0%& Realizar un in(orme de Auditoria con el ob7eto de %eri(icar la adecuación de los est)ndares de (uncionamiento & procedimiento del )rea de in(orm)tica$
PREGUNTAS
SI
NO
NA
"$ '=iste una lista de pro&ectos de sistema de procedimiento de in(ormación & (ec;as proramadas de implantación +ue puedan
\
ser considerados como plan maestroS 2$ 'st) relacionado el plan maestro con un plan eneral de
\
desarrollo de la dependenciaS 3$ 9(rece el plan maestro la atención de solicitudes urentes de
\
los usuariosS 4$ Asina el plan maestro un porcenta7e del tiempo total de
\
producción al reproceso o (allas de e+uipoS 5$ '=iste la lista de pro&ectos a corto plazo & laro plazo G$ '=iste una lista de sistemas en proceso periodicidad & usuarios
\ \
$ .ncluir el plazo estimado de acuerdo con los pro&ectos +ue se tienen en +ue el departamento de in(orm)tica podría satis(acer
\
las necesidades de la dependencia, seJn la situación actual 1$ Considera +ue el #epartamento de >istemas de .n(ormación de los resultados esperadosS $ '= '=ist isten (all (allas as de e=ac e=acti tittud en los los proc proces esos os de in(o in(orm rmac ació iónS nS "0$ >e cuenta con un manual de usuario por >istemaS
\ \ \
""$ 's claro & ob7eti%o el manual del usuarioS
\
"2$ Uue opinión tiene el manualS "3$ >e inter%iene de su departamento en el dise-o de sistemasS
\ \
A$%&'()&* % A90&*&(-:
AUDITORIA DE SISTEMAS
90
P*)* /* /*00*) 0 SI SI 11 100' 6 ( 54.54 P*)* /*00*) 0 NO 11 100' 5 ( 45.45
INFORME DE AUDITORIA 1. I$!,#=#/*/#- $!" #=%)'! Auditoria de Aplicaciones
2. I$!,#=#/*/#- $!" C"#!,! 'l )rea de .n(orm)tica
3. I$!,#=#/*/#- $! "* E,#$*$ A$#,*$* unicipalidad Pro%incial ariscal Nieto
4. O(!,#0%& '%aluar el papel del )rea de in(orm)tica en la .nstitución '%aluar el plan estrat?ico del )rea de .n(orm)tica$ '%aluar la seuridad de los proramas en el sentido de arantizar +ue los e7ecutados por la ma+uina sean e=actamente los pre%istos & no otros$ '%aluar la e=istencia del plan operati%o anual del )rea de .n(orm)tica /eri(icar el cumplimiento de los ob7eti%os, planes & presupuestos contenidos en el plan de sistemas de in(ormación$
AUDITORIA DE SISTEMAS
91
'%aluar el ni%el de satis(acción de los usuarios del sistema$ /eri(icar el rado de (iabilidad de la in(ormación$
5. >*""*+%& P%,!/#*"!& .ncumplimiento de los plazos pre%istos en cada una de las (ases del pro&ecto$ .ne(icacia e inseuridad del sistema de control de accesos dise-ado$ alta de metodoloías utilizadas +ue aseure la modularidad de las posibles (uturas ampliaciones de la Aplicación & el ()cil mantenimiento de las mismas$ .ncompatibilidad de las ;erramientas ;erramien tas t?cnicas utilizadas en los di%ersos proramas$ alta de sencillez, modularidad & economía de recursos del dise-o de proramas$
6. A"/*/! $! "* *$#,%)#* Nuestra Nuestra auditoria, comprende comprende el presente presente periodo 2004 & se ;a realizado realizado especialmente especialmente al )rea de .n(orm)tica .n(orm)tica de acuerdo a las normas & dem)s disposiciones aplicable al e(ecto$
7. C%/"%!&: Como resultado de la Auditoria de Aplicaciones realizada al unicipio, por el período comprendido entre el 0" de >etiembre al 24 de #iciembre del 2004, podemos mani(estar mani(estar +ue ;emos cumplido con e%aluar cada uno de los ob7eti%os contenidos en el prorama de auditoria$ 'l )rea de .n(orm)tica .n(orm)tica presenta presenta de(iciencias de(iciencias sobre todo en la (alta de metodoloías +ue son necesarias al realizar un pro&ecto$
8. R!/%'!$*/#%!&
AUDITORIA DE SISTEMAS
92
'mplear metodoloías +ue aseure la modularidad de las posibles (uturas ampliaciones de la Aplicación & el ()cil mantenimiento de las mismas$ Realizar un control .nterno de las Aplicaciones, %eri(icando +ue las mismas (ases se utilicen en el )rea correspondiente de #esarrollo Dacer un estudio de /ialidad de la Aplicación sobre todo para a+uellas +ue son laras comple7as & caras$ :tilizar ;erramientas t?cnicas compatibles Capacitar al personal para el dise-o de Proramas para realizarlos con la m)=ima sencillez, modularidad & economía de recursos
9. F!/* D!" I=%)'!
PLANEAMIENTO 'CDA>
EJECUCION
INFORME
0"O"0O04 al "5O"0 "G"0O04 al 20O"" 23O""O04 al 21O 04
04
""04
1. I$!,#=#/*/#- Y F#)'* D!" A$#,%)
APELLIDOS Y NOMBRES
CARGO
AAN. P9A 9RLAN#9
A:#.69R >:P'R.9R
AUDITORIA DE SISTEMAS
93
SI
NO
F# & /*
31 .1
68.86
O=# '* '* ,# / /*
67 .5
18.91
D#) !// #%
7:.58
29.41
E @ "%, */ #-
65
35
D !&* ))%""%
72.97
22.:2
M*,! ' #' #! ,%
72
28
B*&! $! D*,%&
79.16
2:.83
C*"#$*$
55 .5
44 .4
S!+)#$*$
38.46
61.53
R!$!&
42.85
57.14
A"# /*/ /*/ #% #%
54.54
45.45
A$#,%)#*
AUDITORIA DE SISTEMAS
94
CONCLUSI CONCLUSIN Al realizar el anterior traba7o se in%estio acerca de todos los elementos +ue componen La unicipalidad Pro%incial de ariscal NietoM, tanto materiales como ;umanos, con lo anterior, se puede dar uno cuenta auditar una institución no es nada ()cil, &a +ue si (alla un elemento del +ue se compone, trae consio un e(ecto domino, +ue ;ace +ue los dem)s elementos ba7en su rendimiento, o en el peor de los casos sean causantes del (racaso de la institución$ 's mentira +ue lo m)s importante para una empresa sea el e+uipo in(orm)tico con el +ue se traba7a$ 'l (actor ;umano es lo mas importante, &a +ue si se cuenta con tecnoloía de punta, pero con personal no cali(icado o en desacuerdo con el desarrollo del Centro de Computo optara optara por renunciar, renunciar, o bien por seuir rezaando al mismo Asimismo Asimismo la capacitación es importantísima, &a +ue si no ;a& capacitación permanente, el personal t?cnico de la empresa decide abandonarla para buscar nue%os ;orizontes & ma&or oportunidad, aun sacri(icando el aspecto económico$ 'l aspecto oranizati%o tambi?n debe estar per(ectamente estructurado, & las líneas de mando deben estar bien de(inidas, e%itando de esta manera la rotación innecesaria de personal, la duplicidad de (unciones, las líneas alternas demando, etc$ & +ue conlle%an al des+uiciamiento de la estructura oranizacional$ Dablando de seuridad, es indispensable indispensable el aseuramiento del e+uipo & de las instalaciones, así como de la in(ormación, el control de los accesos tambi?n es punto (undamental para e%itar las (uas de in(ormación o manipulación indebida de esta$ 'l #epartamento de in(orm)tica es la parte medular de la empresa, es en donde los datos se con%ierten en in(ormación Jtil a las di(erentes )reas, es donde se uarda esta in(ormación in(ormación & por consecuencia, consecuencia, donde donde en la ma&oría de los casos se toman las decisiones importantes para la empresa$ Adem)s al realizar la presente auditoria nos damos cuenta +ue dentro del ambiente empresarial es de %ital importancia contar con la in(ormación lo m)s %aliosa +ue sea, a tiempo, de (orma oportuna, clara, precisa & con cero errores para +ue se constitu&a en una ;erramienta poderosa para la toma de decisiones, %i?ndose re(le7ada en la obtención de resultados ben?(icos a los (ines de la oranización & 7usti(icar el e=istir de toda la oranización o empresa$ Como resultado de la Auditoria .n(orm)tica realizada a la unicipalidad Pro%incial de ariscal Nieto, por el período comprendido entre el 0" de >etiembre al 2 de #iciembre del 2004, podemos mani(estar +ue ;emos cumplido con e%aluar cada uno de los ob7eti%os contenidos en el prorama de auditoria$ 'l )rea de .n(orm)tica presenta de(iciencias en 'n su >euridad 'n el )rea ísica
AUDITORIA DE SISTEMAS
95
'n de Redes F en el debido cumplimiento de sus (unciones$ Podremos estar tran+uilos & seuros +ue nuestra (unción de auditores est) (uncionando como se debe, & saber +ue cuando se siuen estos lineamientos se obtendr)n sistemas +ue no %an a necesitar mantenimiento e=cesi%o, +ue el cómputo %a a ser parte de l a solución & no parte del problema, como lo es ;o& en día$
AUDITORIA DE SISTEMAS
96
I+() F&*0 % 0* A$%&'()&* LA MUNICIPALIDAD MUNICIPALIDAD PRO!INCIAL DE MARISCAL NIETO M($$* 2 % D&&) % 2.""4 S?() C)*'- G*- I* JEFE DEL REA DE INFORMTICA D $-')* (-&%)*&;: T(T(- 0 *)*%( % %&)&&)(- * U%. * +'(- % 0*) * $-')* (-&%)*&; 0 *0* %0 ')**( % A$%&'(),* %0 )* % I+()<'&* 9)*'&*%* 0(- %,*- 16 % S'&) S'&) *0 23 % D&&) -() 0* *- %0 *<0&-&- > 9)(%&&'(- %'*00*%(- % '(%*- 0*- &+()*&(- )(9&0*%*- > &'&%(- 0 9)-' &+() $ * $-')( )&')&( - )*H(*0. S,'-&- % 0* )&-&; )*0&H*%* 0*-&+&*%( 0*- -&$&'- -&(-: 1. E -$ S$)&%*% 2. E 0 <)* F,-&* 3. E R%E0 ('&%( %0 &+() /* -&%( -&%( %&&%&%( % 0* -&$&' -&$&' +()* * +'(- % +*&0&'*) -$ *<0&-&-. *. S&'$*&;. D-)& )' 0*- %&0&%*%- )-$0'*'- % $-')( *<0&-&-. . E+'(- >#( &90&*&*- 9)(*0-. E$&* 0(- 9(-&0- )&-(- * $ - $')* 9$-'(- 0*(9)*&(- )*0&H*%*- 9() 0* C((9)*'&*. . %& % &9()'*&* -'*0&%*. I%&* ( $* *0&+&*&; %0 " * 0 3 0 )*%( ),'&( %0 9)(0* > 0* (9()'$&%*% $ - % '(*) 0*- *&(- ())'&*())'&*- %0 *-(. " A0'( A0'( *& *&( (-- ()) ()) '& '&* *-- & &%& %&*' *'**- 1 A0' A0'(( *& *&( (-- 9) 9) '& '&**- & &%& %&*' *'**- 2 M%&( *&(- %&+)&%*- ())'&*- 3 B*( B*( *& *&( (- %&+ %&+) )&%* &%*-- 9) 9)' '& &**- S@ 0 *<0&-&- )*0&H*%( /(- (')*%( +*0&*- $ ( &-' $ C(&' > 90* &+()<'&(K +*0&*- 0* -$)&%*% +,-&* > 0;&*K ( &-' &-' *$%&'()&* % -&-'*-K +*0'* % )-9*0%( * 0*- (9)*&(-K *-(- % 0(- $-$*)&(-. E0 %'*00 % 0*- %+&&&*- (')*%*- (') *%*- (( *-, '*& 0*- -$)&*- % -(0$&; - $')* -9&+&*%*- 0 A( *%$'(. L* *9)(*&; > 9$-'* 9)<'&* % -'*-$)&*- *>$%*)< * 0* 9)-* * )&%*) $ -)&&( <<- +&&' * 0(- &$%*%*(- % 0* 0* C&$%*% % M($$*. A)*%(- 0* (0*()*&; 9)-'*%* 9)-'*%* %$)*' $-')* &-&'* 9() '(%( 0 9)-(*0 % 0* M$&&9*0&%*% > $%*(- * $-')* %&-9(-&&; 9*)* $*0$&) *0*)*&; >#( *90&*&; *90&*&; % 0* 9)-' 9)-' $ -'& -*)&*.
AUDITORIA DE SISTEMAS
97
A''*'.
ORLANDO JIMMY MAMANI POMA MICELLA AROUANCA A. ILLY MAMANI CUTIPA CARMEN UIONE MAYTA MADELEINE MUO ORTEGA NELSSY POCOUANCA TURPO
A. O)*&H*&; > A%&&-')*&; %0 )*
A.1. C(&' > P0* I+()<'&( *. S&'$*&;
C( )-9'( *0 )0*&'( +'$*%( /(- ('*%( 0( -&$&': Q N( &-' $ C(&' % I+()<'&* ( *0 (- ( - $')* $' )* +()*0' -'*0&%(. Q N( &-' &$* '(%(0(,* % 90*&+&*&; (9&; >#( -$&&'( % 9)(>'(-. . E+'(- >#( &90&*&*- 9)(*0Q P(-&&0&%*% % $ 0*- -(0$&(- $ - &90' 9*)* )-(0) 9)(0*- (9)*'&(-* 9*)&*0- '*'( *)%*) (( S(+'*). . I%& % &9()'*&* -'*0&%* 1 $( %. S$)&*Q E-'*0) $ C(&' % I+()<'&* &')*%( 9() )9)-'*'- % 0*- <)*- +$&(*00*- G)&* A%&&-')*'&* )-9(-*0- % 0*- )*- O9)*'&*- )-9(-*0- % I+()<'&* > 0 )-9(-*0 C('*0. Q T)*H*) 0(- 0&*&'(- % %&)&; %0 )* % I+()<'&*. Q I90'*) ()*- >#( 9)(%&&'(- $ $ *-$) 0* +&*H *%&&-')*&; % 0()$)-(&+()<'&(- > 9)&'* 0 )&&'( (/)' %0 <)* (+() * 0* &90'*&; % 0*-(0$&(- $ - %-*))(00 >#( - )$&)* % '))(-. ') )(-. . E+'(- >#( &90&*&*- 9)(*0Q L* -*-H % 9)-(*0 %&%*' *9*&'*%( *$'* 0 &0 % )&-( % ))()- *0 %&-&$&) 0* 9(-&&0&%*% % 0(- (')(0- &')(- 0 9)(-*&'( % 0* &+()*&;K > 0&&'* 0* *'&%*% % -(0$&(- $ 9$% &90'*)- '&9( > +()* (9()'$* * 0(- +'(- % -*'&-+*) 0(- )$)&&'(- % 0*- <)*- +$&(*0-.
AUDITORIA DE SISTEMAS
98
B. S$)&%*% F,-&* Y L;&*
B.1. E'()( G)*0 *. S&'$*&;
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
AUDITORIA DE SISTEMAS
99
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
AUDITORIA DE SISTEMAS
100
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
AUDITORIA DE SISTEMAS
101
)-9(-*0- % *%* -&-'*. Q E+'$*) 9)$*- -&$0*%*- +()* 9)&;%&* * +'(- % (&'()*) 0 %-9?( % 0(+$&(*)&(- )-9(-*0- *' '$*0- %-*-')-. Q E-'*0) (&(- &0*')*0- ( 9)-*- ( 9)(%()- * 0(- +'(- % *-$)*) * -$)*) 0($&9(- -*)&(- 9*)* -$-''*) 0* ('&$&%*% %0 9)(-*&'(.
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
AUDITORIA DE SISTEMAS
102
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
AUDITORIA DE SISTEMAS
103
ANEXOS
AUDITORIA DE SISTEMAS
104
E/!&,* "$ 'l )rea cumple con las (unciones asinadas en el 9 de la .nstituciónS 2$ Cu)ntas personas laboran en el centro de cómputoS Laboran 4 Personas$ 3$ Considera +ue el )rea de traba7o es la adecuada o apropiada para el desempe-o de sus laboresS 4$ Considera +ue es adecuado el nJmero de personas +ue laboran en el )reaS 5$ >e de7a de realizar aluna acti%idad por (alta de personalS G$ 'sta el personal +ue utiliza el computador educado en las necesidades de seuridadS $ Con respecto a la parte (ísica de la 9C.* se cumple con las normas de seuridad establecidas para los e+uipos de cómputoS 1$ 'sta el )rea del computador libre de material combustible, como suministro de papel papel en e=ceso de las necesidades inmediatasS $ '=iste en la 9C. e=tinuidores de incendio claramente identi(icados para lo +ue uso se re(iereS "0$ >obre el mantenimiento del e+uipo* cuenta con las ;erramientas necesarias para brindar un buen ser%icio en el momento re+ueridoS ""$ 'l )rea cuenta con un respecti%o plan de continenciasS "2$ >i cuenta con un plan de continencias >e ;an identi(icado las aplicaciones %itales para operación del )reaS
AUDITORIA DE SISTEMAS
105
AUDITORIA DE SISTEMAS
106
CONSEJOS "$ :tiliza un buen anti%irus & actualízalo (recuentemente$ 2$ Comprueba +ue tu anti%irus inclu&e soporte t?cnico, resolución urente de nue%os %irus & ser%icios de alerta$ 3$ AseJrate de +ue tu anti%irus est? siempre acti%o$ 4$ /eri(ica, antes de abrir, cada nue%o mensa7e de correo electrónico recibido$ 5$ '%ita la descara de proramas de luares no seuros en .nternet$ G$ Rec;aza arc;i%os +ue no ;a&as solicitado cuando est?s en c;ats o rupos de noticias 8neEs< $ Analiza siempre con un buen anti%irus los dis+uetes +ue %a&as a usar en tu ordenador$ 1$ Retira los dis+uetes de las dis+ueteras al apaar o reiniciar tu ordenador$ $ Analiza el contenido de los arc;i%os comprimidos$ "0$ antente alerta ante acciones sospec;osas de posibles %irus$ ""$ A-ade las opciones de seuridad de las aplicaciones +ue usas normalmente a tu política de protección anti%irus$ "2$ Realiza periódicamente copias de seuridad$ "3$ antente in(ormado$ "4$ :tiliza siempre so(tEare leal$ "5$ '=ie a los (abricantes de so(tEare, pro%eedores de acceso a .nternet & editores de publicaciones, +ue se impli+uen en la luc;a contra los %irus$
AUDITORIA DE SISTEMAS
107
POLTICAS EN INFORMHTICA PROPUESTA TITULO I DISPOSICIONES GENERALES AR6.C:L9 "°$ 'l presente ordenamiento tiene por ob 7eto estandarizar & contribuir al desarrollo in(orm)tico de las di(erentes unidades administrati%as de la 'mpresa NN$ AR6.C:L9 2°$ Para los e(ectos de este instrumento se entender) por Comit? Al e+uipo interado por la #irección , >ubdirección, los @e(es departamentales & el personal administrati%o de las di(erentes unidades administrati%as 89casionalmente< con%ocado para (ines especí(icos como Ad+uisiciones de DardEare & so(tEare 'stablecimiento de est)ndares de la 'mpresa NN tanto de ;ardEare como de so(tEare 'stablecimiento de la Ar+uitectura tecnolóica de rupo$ 'stablecimiento de lineamientos para concursos de o(ertas
A$'##&,)*/#- $! I=%)'?,#/*: 'st) interada por la #irección, >ubdirección & @e(es #epartamentales, las cuales son responsables de /elar por el (uncionamiento de la tecnoloía in(orm)tica +ue se utilice en las di(erentes unidades administrati%as 'laborar & e(ectuar seuimiento del Plan aestro de .n(orm)tica #e(inir estrateias & ob7eti%os a corto, mediano & laro plazo antener la Ar+uitectura tecnolóica Controlar la calidad del ser%icio brindado antener el .n%entario actualizado de los recursos in(orm)ticos /elar por el cumplimiento de las Políticas & Procedimientos establecidos$ AR6.C:L9 3°$ Para los e(ectos de este documento, s e entiende por Políticas en .n(orm)tica, al con7unto de relas obliatorias, +ue deben obser%ar los @e(es de >istemas
AUDITORIA DE SISTEMAS
108
responsables del ;ardEare & so(tEare e=istente en la 'mpresa NN, siendo responsabilidad de la Administración de .n(orm)tica, %iilar su estricta obser%ancia en el
)mbito de su competencia, tomando las medidas pre%enti%as & correcti%as para +ue se cumplan$ AR6.C:L9 4°$ Las Políticas en .n(orm)tica son el con7unto de ordenamientos & lineamientos enmarcados en el )mbito 7urídico & administrati%o de la 'mpresa NN$ 'stas normas inciden en la ad+uisición & el uso de los ienes & >er%icios .n(orm)ticos en la 'mpresa NN, las cuales se deber)n de acatar in%ariablemente, por a+uellas instancias +ue inter%enan directa &o indirectamente en ello$ AR6.C:L9 5°$ La instancia rectora de los l os sistemas de in(orm)tica in (orm)tica de la 'mpresa NN es la Administración, & el oranismo competente para la aplicación de este ordenamiento, es el Comit?$ AR6.C:L9 G°$ Las presentes Políticas a+uí contenid as, son de obser%ancia para la ad+uisición ad+uisición & uso de bienes & ser%icios ser%icios in(orm)ticos, in(orm)ticos, en la 'mpresa NN, cu&o incumplimiento enerar) +ue se incurra en responsabilidad administrati%a* su7et)ndose a lo dispuesto en la sección Responsabilidades Administrati%as de >istemas$ AR6.C:L9 °$ Las empresas de la 'mpresa NN deber)n contar con un @e(e o responsable del Area de >istemas, en el +ue recaia la administración de los ienes & >er%icios, +ue %iilar) la correcta aplicación de los ordenamien tos establecidos por el Comit? & dem)s disposiciones aplicables$
TITULO II LINEAMIENTOS PARA LA ADQUISICION DE BIENES DE INFORMATICA AR6.C:L9 1°$ 6oda ad+uisición de tecnoloía in(orm )tica se e(ectJa a tra%?s del Comit?, +ue est) con(ormado por el personal de la Administración de .n(orm)tica & !erente Administrati%o de la unidad solicitante de bienes o ser%icios in(orm)ticos$ AR6.C:L9 °$ La ad+uisición de ienes de .n(orm)ti ca en la 'mpresa NN, +uedar) su7eta a los lineamientos establecidos en este documento$
AUDITORIA DE SISTEMAS
109
AR6.C:L9 "0°$ La Administración de .n(orm)tica, al planear las operaciones relati%as rel ati%as a la ad+uisición de ienes in(orm)ticos, establecer) prioridades & en su selección deber) tomar en cuenta estudio t?cnico, precio, calidad, e=periencia, desarrollo tecnolóico, est)ndares & capacidad, entendi?ndose por
Precio$ Costo inicial, costo de mantenimiento & consumibles por el período estimado de uso de los e+uipos* Calidad$ Par)metro cualitati%o +ue especi(ica las características t?cnicas de los recursos in(orm)ticos$ '=periencia$ Presencia en el mercado nacional e internacional, estructura de ser%icio, la con(iabilidad de los bienes & certi(icados de calidad con los +ue se cuente* #esarrollo 6ecnolóico$ >e deber) analizar su rado de obsolescencia, su ni%el tecnolóico con respecto a la o(erta e=istente & su permanencia en el mercado* 'st)ndares$ 6oda ad+uisición se basa en los est)ndares, es decir la ar+uitectura de rupo empresarial empresarial establecida establecida por el Comit?$ 'sta ar+uitectura tiene tiene una permanencia mínima de dos a cinco a-os$ Capacidades$ >e deber) analizar si satis(ace la demanda actual con un maren de ;olura & capacidad de crecimiento para soportar la cara de traba7o del )rea$ AR6.C:L9 ""°$ Para la ad+uisición de DardEare se o bser%ar) lo siuiente a< 'l e+uipo +ue se desee ad+uirir deber) estar dentro de las listas de %entas %ientes de los (abricantes &o distribuidores del mismo & dentro de los est)ndares de la 'mpresa NN$ b< #eber)n tener un a-o de arantía como mínimo c< #eber)n ser e+uipos interados de ()brica ()brica o ensamblados ensamblados con componentes pre%iamente e%aluados por el Comit?$ d< La marca de los e+uipos o componentes deber) contar con presencia & permanencia demostrada en el mercado nacional e internacional, así como con asistencia t?cnica & re(accionaria local$ e< 6rat)ndose de e+uipos microcomputadoras, a (in de mantene r actualizado la ar+uitectura ar+uitectura in(orm)tico in(orm)tico de la 'mpresa NN, el Comit? emitir) periódicamente periódicamente las especi(icaciones t?cnicas mínimas para su ad+uisición$
AUDITORIA DE SISTEMAS
110
(< Los dispositi%os de almacenamiento, así como las inter(aces de entradasalida, deber)n estar acordes con la tecnoloía de punta %iente, tanto en %elocidad de trans(erencia de datos, como en el ciclo del proceso$ < Las impresoras deber)n apearse a los est)ndares de DardEare & >o(tEare %ientes en el mercado & la 'mpresa NN, corroborando +ue los suministros 8cintas, papel, etc$< se consian ()cilmente en el mercado & no est?n su7etas a un solo pro%eedor$ ;< Con7untamente con los e+uipos, se deber) ad+uirir el e+uipo complementario adecuado para su correcto (uncionamiento de acuerdo con las especi(icaciones de los (abricantes, & +ue esta ad+uisición se mani(ieste en el costo de la partida inicial$ io(tEare %iente precarado con su licencia correspondiente correspon diente considerando las disposiciones del artículo siuiente$
AR6.C:L9 "3°$ Para la ad+uisición de >o(tEare base & utilitarios, el Comit? dar) a conocer periódicamente las tendencias con tecnoloía de punta %iente, siendo la lista de productos autorizados la siuiente a$ Plata(ormas de >istemas 9perati%os
AUDITORIA DE SISTEMAS
111
>#9>, > QindoEs 5 'spa-ol, QindoEs N6, No%ell NetEare, :ni=8Automotriz<$ b$ ases de #atos o=pro, .n(ormi= c$ ane7adores de bases de datos o=pro para #9>, /isualo=, Access d$ Lenua7es de proramación Los lenua7es de proramación +ue se utilicen deben ser compatibles con las plata(ormas enlistadas$ >UL QindoEs /isual asic /isualo= CenturaQeb Notes #esiner
e$ Do7as de c)lculo '=cel ($ Proc Proces esad ador ores es de de pala palabr bras as Qord $ #ise-o !r)(ico Pae aTer, Corel #raE ;$ Proramas anti%irus$ prot, Command Anti%irus, Norton Anti%irus i$ Corr Correo eo elec electr trón ónic ico o Notes ail 7$ roEser de .nternet Netscape
AUDITORIA DE SISTEMAS
112
'n la eneralidad de los casos, sólo se ad+uirir)n las Jltimas %ersiones liberadas de los productos seleccionados, sal%o situaciones especí(icas +ue se deber)n 7usti(icar ante el Comit?$ 6odos los productos de >o(tEare +ue se ad+uieran deber)n contar con su licencia de uso, documentación & arantía respecti%as$ AR6.C:L9 "4°$ 6odos 6odo s los productos de >o(tEare +ue se utilicen utilice n a partir de la (ec;a en +ue entre en %ior el presente ordenamiento, deber)n contar con su licencia de uso respecti%a* por lo +ue se promo%er) la reularización o eliminación de los productos &a instalados +ue no cuenten con la licencia respecti%a$ AR6.C:L9 "5°$ Para la operación del so(tEare de re d se debe tener en conside ración lo siuiente a< 6oda la in(ormación in (ormación institucional debe in%ariablemente ser operada a tra%?s de un mismo tipo de sistema mane7ador de base de datos para bene(iciarse de los mecanismos de interidad, seuridad & recuperación de in(ormación en caso de (alla del sistema de cómputo$ b< 'l acceso a los sistemas de in(ormación, debe contar con los pri%ileios ó ni%eles de seuridad de acceso su(icientes para arantizar la seuridad total de la in(ormación institucional$ Los ni%eles de seuridad de acceso deber)n controlarse por un administrador administrador Jnico & poder ser manipulado manipulado por so(tEare$ so(tEare$ >e deben delimitar las responsabilidades en cuanto a +ui?n est) autorizado a consultar &o modi(icar en cada caso la in(ormación, tomando las medidas de seuridad pertinentes para cada caso$ c< 'l titular de la unidad administrati%a responsable del sistema de in(ormación debe autorizar & solicitar la asinación de cla%e de acceso al titular de la :nidad de .n(orm)tica$ d< Los datos de los sistemas de in(ormación, deben ser respaldados de acuerdo a la (recuencia de actualización de sus datos, rotando los dispositi%os de respaldo & uardando respaldos ;istóricos periódicamente$ 's indispensable lle%ar una bit)cora o(icial de los respaldos realizados, asimismo, las cintas de respaldo deber)n uardarse en un luar de acceso restrinido con condiciones ambientales su(icientes para arantizar su conser%ación$ #etalle e=plicati%o se aprecia en la Política de respaldos en %iencia$ e< 'n cuanto a la in(ormación in(ormación de los e+uipos de cómputo personales, personales, la :nidad de .n(orm)tica recomienda a los usuarios +ue realicen sus propios respaldos en la red o en medios de almacenamiento alternos$
AUDITORIA DE SISTEMAS
113
(< 6odos los sistemas de in(ormación +ue se tenan en operación, deben contar con sus respecti%os manuales actualizados$ :no t?cnico +ue describa la estructura interna del sistema así como los proramas, cat)loos & arc;i%os +ue lo con(orman & otro +ue describa a los usuarios del sistema, los procedimientos para su utilización$ ;< Los sistemas de in(ormación, deben contemplar contemplar el reistro reistro ;istórico de las transacciones sobre datos rele%antes, así como la cla%e del usuario & (ec;a en +ue se realizó 8Normas )sicas de Auditoría & Control<$ i <>e deben implantar rutinas periódicas de auditoría a la interidad de los datos & de los proramas de cómputo, para arantizar su con(iabilidad$ AR6.C:L9 "G°$ Para la contratación del ser%icio de desarrollo o construcción de >o(tEare aplicati%o se obser%ar) lo siuiente 6odo pro&ecto de contratación de desarrollo o construcción de so(tEare re+uiere de un estudio de (actibilidad +ue permita establecer la rentabilidad del pro&ecto así como los bene(icios +ue se obtendr)n del mismo$ 6odo pro&ecto deber) ser aprobado por el Comit? en base a un in(orme t?cnico +ue contena lo siuiente ases del concurso 8Re+uerimientos claramente especi(icados< An)lisis de o(ertas 86res o(erentes como mínimo< & >elección de o(erta anadora
B*&!& $!" C%/)&% Las bases del concurso especi(ican especi(ican claramente los ob7eti%os del traba7o, delimita delimita las responsabilidades de la empresa o(erente & la contratante$
D! "*& !')!&*& %=!)!,!&: Los re+uisitos +ue se deben solicitar a las empresas o(erentes son a$ Copia de la C?dula de .dentidad del o los representantes de la compa-ía b$ Copia de los nombramientos nombramientos actualiz actualizados ados de los representantes representantes leales de la compa-ía c$ Copia de los 'statutos de la empresa, en +ue aparezca claramente de(inido el ob7eto de la compa-ía, esto es para determinar si est) o no (acultada para realizar la obra d$ Copia del R:C R:C de la compa-ía
AUDITORIA DE SISTEMAS
114
e$ Re(erencias de clientes 8ínimo 3< ($ La carta carta con la o(erta o(erta de(initi%a de(initi%a del contratis contratista ta debe estar estar (irmada (irmada por el representante leal de la compa-ía o(erente$
D! "* "* /%,)*,*,! Las responsabilidades de la contratante son a$ #elinear adecuadamente los ob7eti%os & alcance del aplicati%o$ b$ 'stablecer los re+uerimientos del aplicati%o c$ #e(inir responsabilidades de la contratista & contratante d$ 'stablecer campos de acción
A?"#& $! %=!),*& < S!"!//#- $! %=!),* +**$%)*: Para de(inir la empresa o(erente anadora del concurso, el Comit? establecer) una reunión en la +ue se debe considerar los siuientes (actores a$ Costo b$ Calidad c$ 6iempo de permanencia en el mercado de la empresa o(erente d$ '=periencia en el desarrollo de aplicati%os e$ Re(erencias comprobadas de Clientes ($ Cumplim Cumplimien iento to en en la entrea entrea de los los re+ui re+uisito sitoss Aprobada la o(erta se debe considerar los siuientes lineamientos en la elaboración de contratos 6odo contrato debe incluir lo siuiente Antecedentes, ob7eto del contrato, precio, (orma de pao, plazo, obliaciones del contratista, responsabilidades, (iscalizador de la obra, arantías, entrea recepción de obra pro%isional & de(initi%a, sanciones por incu mplimientos, rescisión del contrato, disposiciones supletorias, documentos incorporados, solución de contro%ersias, entre otros aspectos$ Las arantías necesarias para cada contrato deben ser incluídas en (orma con7unta con el #epartamento #epartamento Leal, +uienes deben asesorar asesorar el tipo de arantía arantía necesaria en la elaboración de cada contrato$ Las arantías +ue se deben aplicar de acuerdo al tipo de contrato son
AUDITORIA DE SISTEMAS
115
a$ :na arantía arantía bancaria o una póliza de seuros, incondici incondicional, onal, irre%ocab irre%ocable le & de cobro inmediato inmediato por el 5] del monto total total del contrato contrato para aseurar su (iel cumplimiento, la cual se mantendr) %iente durante todo el tiempo +ue subsista la obliación moti%o de la arantía$ b$ :na arantía arantía bancaria o una póliza de seuros, incondici incondicional, onal, irre%ocab irre%ocable le & de cobro inmediato e+ui%alente al "00 ] 8ciento por ciento< del anticipo$ 'sta arantía se de%ol%er) en su interidad una %ez +ue el anticipo se ;a&a amortizado en la (orma de pao estipulada en el contrato$ c$ :n (ondo de arantía +ue ser) retenido de cada planilla en un porcenta7e del 5 ]$ @unto al contrato se deber) mantener la ;istoria respecti%a del mismo +ue se compone de la siuiente documentación soporte 'studio de (actibilidad ases del concurso 9(ertas presentadas Acta de aceptación de o(erta (irmada por los interantes del Comit? .n(ormes de (iscalización Acta de entrea pro%isional & de(initi%a
TITULO III INSTALACIONES AR6.C:L9 "°$ "° $ La instalación del e+uipo de cómputo , +uedar) su7eta a los siuientes lineamientos a< Los e+uipos para uso interno se instalar)n en luares adecuados, le7os de pol%o & tr)(ico de personas$ 'n las )reas de atención directa al pJblico los e+uipos se instalar)n en luares adecuados$ b< La Administración de .n(orm)tica, así como las )reas operati%as deber)n contar con un cro+uis actualizado de las instalaciones el?ctricas & de comunicaciones del e+uipo de cómputo en red$
AUDITORIA DE SISTEMAS
116
c< Las instalaciones el?ctricas & de comunicaciones, estar)n de pre(erencia (i7as o en su de(ecto resuardadas del paso de personas o m)+uinas, & libres de cual+uier inter(erencia el?ctrica o man?tica$ d< Las instalaciones instalacione s se apear)n estrictamente a los re+uerimientos de los e+uipos, e+uipos , cuidando las especi(icaciones del cableado & de los circuitos de protección necesarios* e< 'n ninJn caso se permitir)n instalaciones impro%isadas o sobrecaradas$ (< Cuando en la instalación se alimenten ele%adores, motores & ma+uinaria pesada, se deber) tener un circuito independiente, e=clusi%o para el e+uipo &o red de cómputo$ AR6.C:L9 "1°$ La super%isión & control de las inst alaciones se lle%ar) a cabo en los plazos & mediante los mecanismos +ue establezca el Comit?$
TITULO IV LINEAMIENTOS EN INFORMATICA CAPITULO I INFORMACION AR6.C:L9 "°$ Los arc;i%os man?ticos de in(ormaci ón se deber)n in%entariar, ane=ando la descripción & las especi(icaciones de los mismos, clasi(icando la in(ormación en tres cateorías "$ .n(ormación ;istórica para auditorías 2$ .n(ormación de inter?s de la 'mpresa NN 3$ .n(ormación de inter?s e=clusi%o de alJn )rea en particular$ AR6.C:L9 20°$ Los 7e(es de sistemas responsables d el e+uipo de cómputo & de la in(ormación in(ormación contenida en los centros centros de cómputo cómputo a su caro, delimitar)n las responsabilidades de sus subordinados & determinar)n +uien est) autorizado a e(ectuar operaciones operaciones emerentes con dic;a in(ormación in(ormación tomando las medidas de seuridad seuridad pertinentes$ AR6.C:L9 2"°$ >e establecen tres tipos de priorida d para la in(ormación "$ .n(ormación %ital %ital para el (uncionamiento de la unidad administrati%a* 2$ .n(ormación necesaria, pero no indispensable en la unidad administrati%a* 3$ .n(ormación ocasional o e%entual$
AUDITORIA DE SISTEMAS
117
AR6.C:L9 22°$ 'n caso de in(ormación %ital para el (uncionamiento de la unidad administrati%a, se deber)n tener procesos concomitantes, así como tener el respaldo diario de las modi(icaciones e(ectuadas, rotando los dispositi%os de respaldo & uardando respaldos ;istóricos semanalmente$ AR6.C:L9 23°$ La in(ormación necesaria pero no ind in d ispensable, deber) ser respaldada respald ada con una (recuencia mínima de una semana, rotando los dispositi%os de respaldo & uardando respaldos ;istóricos mensualmente$ AR6.C:L9 24°$ 'l respaldo de la in(ormación ocasio nal n al o e%entual +ueda a criterio de la unidad administrati%a$ AR6.C:L9 25°$ Los arc;i%os man?ticos de in(ormaci ón, de car)cter ;istórico +uedar)n documentados como acti%os de la unidad acad?mica & estar)n debidamente resuardados en su luar de almacenamiento$ 's obliación del responsable responsable del e+uipo de cómputo, cómputo, la entrea con%eniente con%eniente de los arc;i%os man?ticos de in(ormación, a +uien le suceda en el caro$ AR6.C:L9 2G°$ Los sistemas de in(ormación en opera ción, como lo s +ue se desarrollen desarrolle n deber)n contar con sus respecti%os manuales$ :n manual del usuario +ue describa los procedimientos de operación & el manual t?cnic o +ue describa su estructura interna, proramas, cat)loos & arc;i%os$
CAPITULO II FUNCIONAMIENTO AR6.C:L9 2°$ 2 °$ 's obliación de la Administración d e .n(orm)tica %iilar +ue el e+uipo de cómputo se use ba7o las condiciones especi(icadas por el pro%eedor & de acuerdo a las (unciones del )rea a la +ue se asine$ AR6.C:L9 21°$ Los colaboradores de la empresa al u sar el e+uipo de cómputo, se abstendr abstendr)n )n de consum consumir ir alimento alimentos, s, (umar (umar o realizar realizar actos +ue per7udi+ per7udi+uen uen el (uncionamiento del mismo o deterioren la in(ormación almacenada en medios man?ticos, ópticos, etc$ AR6.C:L9 2°$ Por seuridad de los recursos in(orm )ticos se deben establecer seuridades ísicas
AUDITORIA DE SISTEMAS
118
>istema 9perati%o >o(tEare Comunicaciones ase de #atos Proceso Aplicaciones Por ello se establecen los siuientes lineamientos antener cla%es de acceso +ue permitan el uso solamente al personal autorizado para ello$ /eri(icar la in(ormación +ue pro%ena de (uentes e=ternas a (in de corroborar +ue est?n libres de cual+uier aente e=terno +ue pueda contaminarla o per7udi+ue el (uncionamiento de los e+uipos$ antener pólizas de seuros de los recursos in(orm)ticos en (uncionamiento AR6.C:L9 30°$ 'n ninJn caso se autorizar) la util ización de dispositi%os a7enos a los procesos in(orm)ticos de la unidad administrati%a$ Por consiuiente, se pro;ibe el inreso &o instalación de ;ardEare & so(tEare particular, es decir +ue no sea propiedad de una unidad administrati%a de la 'mpresa NN, e=cepto en casos emerentes +ue la #irección autorice$
CAPITULO III PLAN DE CONTINGENCIAS CONTINGENCIAS AR6.C:L9 3"°$ La Administración de .n(orm)tica cre ar) para las empresas & departamentos un plan de continencias in(orm)ticas +ue inclu&a al menos los siuientes puntos a< Continuar con la operación de la unidad administrati%a con procedimientos in(orm)ticos alternos* b< 6ener los respaldos de in(ormación en un luar seuro, (uera del luar en el +ue se encuentran los e+uipos$ c< 6ener el apo&o por medios man?ticos o en (orma documental, de las operaciones necesarias para reconstruir los arc;i%os da-ados*
AUDITORIA DE SISTEMAS
119
d< Contar con un instructi%o de operación para la detección de posibles (allas, para +ue toda acción correcti%a se e(ectJe con la mínima deradación posible de los datos* e< Contar con un directorio del personal interno & del personal e=terno de soporte, al cual se pueda recurrir en el momento en +ue se detecte cual+uier anomalía* (< '7ecutar pruebas de la (uncionalidad del plan (< antener re%isiones del plan a (in de e(ectuar las actualizantes respecti%as
CAPITULO IV ESTRATEGIAS AR6.C:L9 32$ La estrateia in(orm)tica de la ##6 se consolida en e n el Plan aestro de .n(orm)tica & est) orientada ;acia los siuientes puntos a< Plata(orma de >istemas Abiertos* b< #escentralización del proceso de in(ormación c< 's+uemas de operación ba7o el concepto clienteser%idor d< 'standarización de ;ardEare, so(tEare base, utilitarios & estructuras de datos e< .ntercomunicación entre unidades & e+uipos mediante protocolos est)ndares (< .ntercambio de e=periencias entre #epartamentos de .n(orm)tica$ < ane7o de pro&ectos con7untos con las di(erentes unidades administrati%as$ ;< Prorama de capacitación permanente para los colaboradores de la empresa del )rea de in(orm)tica i< .nteración de sistemas & bases de datos de la 'mpresa NN, para tener como meta (inal un >istema .nteral de .n(ormación Corporati%o$ 7< Proramación con a&udas %isuales e interacti%as$ acilitando inter(ases amiables al usuario (inal$ T< .nteración de sistemas telein(orm)ticos 8.ntranet #e rupo empresarial<$ AR6.C:L9 33°$ Para la elaboración de los pro&ectos in(orm)ticos & para la presupuestación presupuestación de los mismos, se tomar)n en cuentan tanto las necesidades necesidades de ;ardEare & so(tEare so(tEare de la unidad administrati%a administrati%a solicitante, solicitante, como la disponibilidad disponibilidad de recursos con +ue ?stas cuenten$
AUDITORIA DE SISTEMAS
120
DISPOSICIONES TRANSITORIAS TRANSITORIAS AR6.C:L9 PR.'R9$ Las disposiciones a+uí a +uí enmarcadas, entrar)n en trar)n en %ior %io r a partir parti r del día siuiente de su di(usión$ AR6.C:L9 >'!:N#9$ Las normas & políticas ob7eto de este documento, podr)n ser modi(icadas modi(icadas o adecuadas con(orme con(orme a las necesidades +ue se %a&an presentando, presentando, mediante acuerdo del Comit? 6?cnico de .n(orm)tica de la 'mpresa NN 8C6.<* una %ez aprobadas dic;as modi(icaciones o adecuaciones, se establecer) su %iencia$ AR6.C:L9 6'RC'R9$ Las disposiciones a+uí descritas constan de (orma detallada en los manuales de políticas & procedimientos especí(icos e=istentes$ AR6.C:L9 C:AR69$ La (alta de desconocimiento de las normas a+uí descritas por parte de los colaboradores no los libera de la aplicación de sanciones &o penalidades por el incumplimiento de las mismas$
AUDITORIA DE SISTEMAS
121
B#("#%+)*= "#%+)*= * Audinet ;ttttp pEE EEE$ E$ au audinet$ o or >ans .nstitute ;tt p pE EEE$ EE$ sans sans $o r A:#.69R.A .N9RA6.CA$ :n en(o+ue pr)ctico ario Piatini O 'milio del Peso 'd$ Rama A:#.69R.A #' L9> >.>6'A> #' .N9RAC.IN .N9RAC.IN Ra(ael ernal & Iscar Coltell O :ni%$ Polit?cnica de /alencia
AUDITORIA DE SISTEMAS
122