Anda di halaman 1dari 9

EJERCICIO PRACTICO.

El Comit de Direccin de la Empresa XYZ, ha considerado necesario conocer cual es la situacin


actual en la que se encuentran los ordenadores personales pertenecientes a la Empresa, tanto en lo
referente al hardware y software como a la seguridad establecida.
Para ello contacta con el Departamento de Auditora Interna, o bien con una Compaa de Auditora
Externa.
Los auditores preparan una carta conjuntamente con la Direccin de la Empresa, solicitando a los
distintos departamentos que proporcionen informacin sobre los ordenadores personales que estn
utilizando para la realizacin de su trabajo, indicando si estn conectados al ordenador central (Host).
Para la realizacin de esta Auditora se supone que no existen redes locales y se solicita al AuditorAlumno lo siguiente:
- Preparar la carta solicitando la mencionada informacin.
- Realizar las tareas previas de auditoria, adecuadas para esta compaa.
- Evaluar los riesgos potenciales que puedan existir en la compaa y despus, disear
el alcance de la Auditoria.
Para la realizacin de estas tareas se deber considerar:
- El equipo de Auditoria esta formado por tres personas.
- La complejidad y ubicacin de los ordenadores, Departamentos a los que
pertenecen, segn la informacin recibida.
- El tiempo mximo para la realizacin de la Auditora ser de un mes.
FASES Y PLANIFICACIN DE LAS ACTIVIDADES.
1.- DEFINICIN DEL ALCANCE.
La Auditoria se realizar sobre el rea de procesos informticos soportados en ordenadores
personales, (PC,s).
Su finalidad es dar una opinin sobre el estado de la seguridad fsica de los ordenadores, la
normativa existente en cuanto a su utilizacin y la seguridad de los programas y datos procesados en
dichos ordenadores, poniendo de manifiesto los riesgos que pudiesen existir.
No se incluirn en esta revisin los ordenadores personales que estn conectados al ordenador
central.
2.- RECURSOS Y TIEMPO.
El equipo de Auditoria Informtica estar compuesto por tres personas y el tiempo mximo para realizar la
Auditora ser de un mes,
3.- RECOPILACIN DE INFORMACIN BSICA.
En la quincena anterior al comienzo de la Auditora se ha enviado un cuestionario, a los jefes de cada uno de los
Departamentos de la Empresa, que hacen uso normalmente de los ordenadores personales, con objeto de conocer los
equipos informticos que utilizan y los procesos que se realizan en ellos.
El 95% de los destinatarios ha contestado al cuestionario.
De la documentacin recibida se deduce la existencia de un responsable de Microinformtica que depende
del Director de Informtica.
Existe otra persona dependiente del responsable de Microinformtica que se ocupa del mantenimiento de los
ordenadores personales.
4.- PROGRAMA DE TRABAJO.
Para completar las informaciones necesarias para la realizacin de la Auditoria se realizarn las siguientes
entrevistas.
- Director de Informtica.
- Responsable de Microinformtica.
- Responsable del Departamento A.
- Responsable del Departamento B.
5.- IDENTIFICACIN DE RIESGOS POTENCIALES.
6.- DETERMINAR LOS OBJETIVOS DE CONTROL.

7.- DETERMINAR LAS TCNICAS DE CONTROL.


8.- PRUEBAS A REALIZAR.
9.- OBTENCIN DE RESULTADOS. 10.- CONCLUSIONES Y COMENTARIOS. 11.REDACCIN DEL BORRADOR DEL INFORME.
12.- PRESENTACIN DEL BORRADOR DEL INFORME, AL RESPONSABLE DE MICROINFORMTICA.
13.- REDACCIN DEL INFORME RESUMEN Y CONCLUSIONES.
14.- ENTREGA DEL INFORME RESUMEN AL COMIT DE DIRECCIN DE LA EMPRESA.

RESUMEN DE LAS ENTREVISTAS REALIZADAS.


El Responsable de Microinformtica es el encargado de facilitar las passwords de entrada a los
ordenadores personales.
Las passwords no estn autorizadas por el Responsable del Departamento aunque si hay una peticin
verbal.
No hay ninguna norma que obligue a modificar las passwords.
En cada Departamento se adquieren los PC,s y los productos de software que se necesitan para la
realizacin de su trabajo.
En el Departamento de Informtica existe un servicio que est gestionado por la Secretaria del
Departamento, que se ocupa de fectar copias de manuales. Para obtener copias de los programas es
necesaria una autorizacin del responsable de Microinformtica.
Los programas que facilita el Departamento de Informtica, han sido adquiridos en Empresas de
Desarrollo de Software y se mantiene un registro de las facturas, contratos y documentacin de los
mismos.
En el Departamento de Informtica, se mantiene un inventario, en el cual figuran todos los PC,s
existentes en cada Departamento, con asignacin de un responsable. Se archivan los contratos de compra
y estn numerados.
Esta establecido un sistema de back-up semanal, para los datos mas relevantes.
RIESGOS POTENCIALES EXISTENTES.
Los Jefes de los Departamentos, pueden adquirir los ordenadores personales y los productos de software
sin ninguna autorizacin.
Para realizar adquisiciones, tanto de ordenadores personales, como de productos de software, no
es necesario ningn estudio previo.
No existe una normativa clara y completa, para la utilizacin de los ordenadores personales.
Se pueden producir riesgos de seguridad de todo tipo.
OBJETIVOS DE CONTROL.
1.- Debe existir una poltica de adquisicin y uso de los ordenadores personales.
2.- Deben estar establecidos los criterios adecuados, para la correcta adquisicin de los ordenadores
personales y determinar si estn soportados, por el anlisis Costo / Beneficio.
3.- Debe existir una normativa interna en la Empresa, sobre i adecuada utilizaron de los ordenadores
personales.
4.- Debe existir en la Empresa un programa de seguridad, para la evaluacin de los riesgos que puedan
existir, respecto a la seguridad del mantenimiento de los equipos, programas y datos.

TCNICAS DE CONTROL.
OBJETIVO DE CONTROL N 1.
1.1.- Debe existir una normativa, sobre la adquisicin y uso de PC,s.
Prueba de Cumplimiento:
Peticin de la normativa sobre el tema a la Direccin de la Empresa
Comentario: Existe una normativa pero esta muy incompleta.
1.2.- En la normativa anteriormente citada, deben estar establecidos, los adecuados procedimientos para la
adquisicin y uso de los PC,s.
Comentario: Revisada la normativa, se han encontrado algunas normas, para e! uso de los PC,s y algunos

formularios, para ia adquisicin de los ordenadores personales, pero todo muy incompleto.
OBJETIVO DE CONTROL N 2.
2.1.- Deben existir criterios por escrito, para la adquisicin de equipos y productos de software, en la normativa
revisada anteriormente. Prueba de Cumplimiento: Comprobar el cumplimiento de dicha normativa.
2,2.- Deben existir todo tipo de formularios y documentos, para fecffitar el proceso de aprobacin.
Prueba de Cumplimiento: Peticin de los formularios que deben rellenarse para realizar una adquisicin y
comprobar su cumplimiento.
Prueba Sustantiva: Solicitar toda la documentacin existente, sobre las himas adquisiciones que se han
realizado y comprobar el debido cumplimiento.
2.3.- La adquisicin de equipos y productos debe realizarse basndose en un anlisis Coste / Beneficio.
Prueba de Cumplimiento: Peticin de los estudios, que apoyaron la decisin de compra de los ltimos
productos. Comentario: No se realiza el anlisis Coste / Beneficio.
OBJETIVO DE CONTROL N 3.
3.1.- El acceso a los ordenadores debe estar limitado al personal autorizado.
Prueba de Cumplimiento: Intentar el acceso a un PC sin proporcionar la password correspondiente.
Comprobar que las personas que estn trabajando pertenecen al Departamento y estn en un PC, para el
que tienen autorizacin de uso.
Comentario: Se puede acceder preguntando la password a cualquier usuario ya que todos-tienen la
misma. Se han encontrado usuarios trabajando en PC,s asignados a otros Departamentos.
3.2.- Los datos deben estar respaldados por copias de seguridad.
Prueba de Cumplimiento: Solicitar las copias de seguridad y comprobar las fechas y contenido de los
volcados con los ficheros actuales. Verificar el lugar fsico de almacenamiento de las copias de seguridad.
Comentario: Las copias de seguridad estn incompletas y algunas son muy antiguas. No estn en un
lugar separado y seguro.
3.3.- La documentacin de los programas, debe ser completa y estar actualizada
Prueba de Cumplimiento: Solicitar las normas de documentacin de los programas al usuario
responsable de cada Departamento y comprobar la documentacin de programas existente.
Prueba Sustantiva: Tomando la documentacin completa de una aplicacin, realizar una cuantificacin de
Tiempo / Costo empleado en poder continuar con el tratamiento de los datos si faltara el programador que
conoce la aplicacin. Comentario: No existe ninguna normativa para la documentacin de los
programas. Las revisiones realizadas que no existe control para la documentacin
encontrndose un...% de programas sin documentar. El estudio realizado indica que la ausencia del
programador que conoce la aplicacin supondra emplear un tiempo en horas/hombre, segn la aplicacin.
Asimismo la falta de documentacin producira graves problemas en el mantenimiento de las
aplicaciones.
OBJETIVO DE CONTROL N 4.
4.1.- El mantenimiento de los ordenadores debe estar respaldado por contratos adecuados y comprobar su
cumplimiento.
Prueba de Cumplimiento: Solicitar los contratos que se realizaron en su da, tanto de Compra como de
Mantenimiento y revisar el grado de cumplimiento.
4.2.- El software debe estar respaldado por contratos o documentos que acrediten su legalidad.
Prueba de Cumplimiento: Obtener un listado de los Productos instalados y verificar que todos ellos tienen
sus correspondientes contratos y documentos que justifiquen su compra.
Comentario: No se detectan copias legales, pero tampoco existen procedimientos de control, que
aseguren que no se van a incluir en el futuro.
4.3.- Deben existir copias de las libreras principales del sistema, fuera de las instalaciones de la Empresa.
Prueba de Cumplimiento: Verificar el lugar de almacenamiento de las copias de las libreras del sistema.
Comentario: Se ha comprobado que las copias se almacenan en el mismo lugar en que se encuentran los
ordenadores.
4.4.- Deben existir sistemas de proteccin contra fallos de suministro de energa elctrica.
Prueba de Cumplimiento: verificacin de la instalacin, para comprobar los sistemas de seguridad
establecidos. Comentario: No se ha instalado un sistema de alimentacin interrumpida.
4.5.- El software y la informacin almacenada en el sistema debe estar debidamente protegida contra el robo o
la divulgacin sin autorizacin. Prueba de Cumplimiento: Verificacin de las medidas de proteccin.
Comentario: Los PC,s tienen una llave y el usuario es responsable de cerrarlos, pero se ha comprobado
que un 98% no lo hace y los equipos quedan con la llave puesta.
INFORME DE LA AUDITORA INFORMTICA.
ALCANCE DE LA AUDITORA.

La Auditora realizada en la Empresa XYZ, cubre el rea de procesos informticos, soportados en ordenadores
personales (PC,s) y su finalidad es dar una opinin sobre el estado de la seguridad fisica de los ordenadores, la
normativa existente en cuanto a su utilizacin,!a seguridad de los programas y datos procesados ea dichos
ordenadores, poniendo de manifiesto los riesgos que pudiesen existir.
Esta revisin se ha llevado a cabo siguiendo procedimientos generalmente aceptados en la realizacin de
Auditorias.
No se han incluido en esta revisin los ordenadores personales que estn conectados al
ordenador central.
RESUMEN Y CONCLUSIONES.
Las entrevistas y pruebas realizadas durante el desarrollo de la Auditoria en el rea de Microinformtica, han
revelado la existencia de riesgos potenciales elevados de adquisicin innecesaria de ordenadores personales, prdida
de informacin y manipulacin incorrecta de datos y programas.
Los aspectos detectados que han llevado a esta conclusin son los que se resumen a continuacin.
Normativa.
- La normativa empresarial sobre la utilizacin de ordenadores personales esta incompleta en cuanto a
numero, periodicidad y lugar de almacenamiento de las copias de seguridad de los datos y los programas.
- El acceso a los ordenadores debe ser restringido a personas autorizadas mediante palabras clave
(Passwords).
- Se ha comprobado que las normas no incluyen ninguna remitencia a este tipo de medidas de seguridad.
- Aunque existen normas y formularios para la adquisicin de ordenadores personales, se ha verificado
que no se realiza un anlisis de Costo/Beneficio previo a la autorizacin de compra. Las decisiones de
compra de ordenadores personales estn basadas en necesidades inmediatas de los Departamentos,
cuando podra existir un responsable, que conociera el estado de ocupacin de los equipos a nivel general, lo
cual le permitira utilizar ordenadores de otros Departamentos en casos de puntas de trabajo.
Organizacin.
- No se han designado personas responsables de la seguridad de los datos ni se controla que se
mantengan las copias de seguridad debidamente comprobadas y actualizadas.
- La revisin de las copias ha demostrado que estn incompletas, algunas son muy antiguas y siempre se
almacenan en el mismo lugar donde se encuentran los ordenadores.
- No mantener una adecuada normativa de acceso a los datos y programas puede producir que estos sean
manipulados incorrectamente.
- Se ha comprobado que una misma palabra clave (password), es utilizada por usuarios del mismo
Departamento y que usuarios de un Departamento utilizan ordenadores personales de otro.
- Esta situacin hace imposible deslindar responsabilidades en el caso de encontrar manipulacin fraudulenta o
accidental de un programa o unos datos.
Documentacin.
- La documentacin de los programas desarrollados en la Empresa, no esta sujeta a ninguna normativa, no
existen estndares y no se realiza ningn tipo de control sobre la documentacin de los programas.
- Las revisiones realizadas han demostrado que la existencia de manuales de usuario depende exclusivamente
del inters de la persona que haya realizado el programa, encontrndose un ...% de programas sin
documentar.
- El estudio efectuado indica que la ausencia del programador/usuario que conoce la aplicacin supondra
emplear desde ... a ... horas/hombre, segn el tipo de programa, para poder continuar el tratamiento de
los datos. Asimismo la falta de documentacin implicara graves problemas de mantenimiento de la
aplicaciones.
Seguridad Fsica.
- La continuidad de la actividad empresarial en caso de desastre, es decir un incendio o una inundacin, robo o
fallo de suministro, resultara seriamente afectada, al no existir copias actualizadas del contenido de los
discos, fuera de los locales de la Empresa, no existen sistemas de alimentacin interrumpida, ni medidas de
seguridad contra el robo de informacin o equipos.
- El mantenimiento de las copias de seguridad fuera de las instalaciones de la Empresa y la proteccin bajo'
llave de los ordenadores personales, serian unas medidas razonables econmicamente y podran
resolver algunas de las situaciones anteriormente expuestas.
NORMAS PARA LA UTILIZACIN DE ORDENADORES PERSONALES.
Estas normas deben ser dirigidas a todos los usuarios de ordenadores personales.
Para cada actividad que involucre el uso de su ordenador personal se deber contestar a las siguientes
cuestiones, referentes al impacto que puedan tener en desarrollo del trabajo para la Empresa:

- Perdida de la posibilidad de funcionamiento de una aplicacin.


- Uso de datos incorrectos o incompletos.
- Proceso o comunicaciones inadecuados o fraudulentos.
Si la respuesta es afirmativa, consultar con el responsable para determinar cuando es asumile el riesgo y
cuando es necesario contestar a otras cuestiones relacionadas con el riesgo.
PROTECCIN DEL SOFTWARE.
El software debe ser propiedad de la Empresa o con derecho de uso por la Empresa (Licencia), por ello se
deben cumplir las siguientes normas:
- Guardar los disquetes y manuales que contengan programas o datos sensitivos o ' confidenciales, cuando
abandone su puesto de trabajo.
- Estar al da con las restricciones de uso y copia de software con proteccin de Copyright, de no ser as
preguntar al responsable.
- Registrar el software a nombre de la unidad cuando se compre.
- Adquirir solamente productos contenidos en la lista de productos que hayan sido recomendados por el
servicio de soporte tcnico.
PROTECCIN DE LA INFORMACIN.
La informacin almacenada en los PC,s de la Empresa, es un aspecto valorable corporativamente, debiendo
seguir las siguientes normas:
Realizar copias de seguridad de sus ficheros regularmente.
- Etiquetar las copias de infirmacin sensitiva o confidencial, cuando sean archivadas o se enven fuera del
centro
- Destruir completamente la informacin sensitiva o confidencial, antes de desecharla. Tomar precauciones
adicionales si trabaja con informacin sensitiva o confidencial, como son salarios e inform.icin de clientes.
- Cambiar las password en lis aplicaciones sensitivas o confidenciales al menos una vez cada seis meses.
- Proteger sus ficheros de ISJS no autorizados, especialmente si comparte su PC con otros usuarios.
UTILIZACIN FUERA DE LAS OFICINAS.
Cuando tenga que utilizar un PC o la informacin que contiene, fuera de la oficina se deben seguir:

- Los procedimientos y estndares establecidos en la unidad para retirar el equipo o la informacin de los locales.
- Los mismos esquemas y premisas que se utilicen dentro de la oficina, cuando use el equipo o la informacin.
PROTECCIN DEL HARDWARE.
El PC que esta utilizando es propiedad de la Empresa y le ha sido asignado para su adecuada utilizacin,
debiendo seguir las siguientes normas:
- Cerrar el PC si tiene llave cuando lo deje desatendido.
- Retirar la informacin sensitiva o confidencial, si es posible, antes de que vaya a ser
- No colocar en las proximidades lquidos ni alimentos.
COMUNICACIONES.
Siempre que utilice el PC para comunicarse con otros sistemas, debe proteger su Identificacin de usuario y
Passwords que utilice, de revelacin o uso no autorizado, no almacenarlos en el PC, salvo que sean de bajo riesgo y
estn protegidos frente accesos no autorizados, es decir encriptados.
APLJCAC1ONES DESARROLLADAS POR UNO MISMO.
Siempre que utilice un software, como por ejemplo Hojas de Calculo, paquetes de Bases de Datos, etc, para
procesar datos o informacin es necesario:
- Verificar la exactitud de los resultados cuando cree la aplicacin o la reciba de alguna persona, ya que es
claramente de su responsabilidad.
- No copiar software bajo licencia de uso o violar las clusulas de la licencia, cuando comparta dichas
aplicaciones con otros usuarios.

RESUMEN. DEBE:
Asegurar que esta usando los datos mas adecuados.
Asegurar que alguna otra persona revise sus propias aplicaciones.
Imprimir la fecha y hora en sus informes.
Documentar sus propias aplicaciones cuando las pase a otra persona o sean usadas de forma regular.
Guardar el software que esta utilizando, los manuales de consulta y cierre el PC cuando deje Ja oficina.
Limpiar la pantalla cuando deje desatendido su PC.
No usar el mismo disquete o cinta del backup anterior cuando realice uno nuevo.
Etiquetar y archivar de forma clara sus disquetes, usar siempre rotuladores de punta blanda, para escribir en
las etiquetas pegadas al disquete.
- Proteger su PC de posibles daos o fluctuaciones de corriente cuando sea necesario.
- Guardar los disquetes en sus fundas y protegerlos del polvo.
- Procurar facilitar la ventilacin del equipo en todo momento.
-

NO DEBE:
-

Copiar software si viola los acuerdos de licencia en ninguna ocasin.


No mostrar en pantalla los Ids de usuario, passwords o nmeros de telfono en su rea de trabajo.
No compartir su ID de usuario y password con otras personas.
No colocar bebidas ni alimentos en las cercanas de su PC o teclado.
No abrir o intentar reparar su PC mientras no este debidamente cualificado para ello.
No mover el Pe sin ver primero la forma de proteger el disco duro.
No tocar la abertura de los disquetes con los dedos.
No colocar los disquetes cerca de monitores o fuentes de campos magnticos.
No golpear el PC ni colocar objetos pesados encima del PC.
No violentar los dispositivos de apertura de los drives del Pe al abrirlos, tratarlos con suavidad.

EJERCICIO PRCTICO (CONTINUACIN)


El Departamento de Persona] de la Empresa XYZ, dispone de una red de rea local conectada al
ordenador principal de dicha Empresa, donde puede realizarse algn proceso muy general
En este Sistema de Red formada por un conjunto de ordenadores personales, se realizan la mayor
parte de tos procesos informticos correspondientes al Departamento, para lo cual, dispone de) software
adecuado, incluyendo algunas aplicaciones especificas realizadas por una Compaa externa de
Servicios.
El Director de ofimtica ha dictado el pasado ao, unas normas concretas sobre la utilizacin de
ordenadores personales.
El Comit de direccin de la Empresa, ha solicitado una Auditora Informtica de dicho
Departamento.
Se solicita al Auditor-Alumno, que resuelva los siguientes puntos:
1.-

Fases que realizara en esta Auditora, teniendo en cuenta los recursos humanos/das. Nota:
Se dispone de tres auditores durante un 15 das.

2.-

Establecer un EDR consistente en determinar:


-

3.-

Los Riesgos Potenciales existentes.


Los Objetivos de Control.
Tas Tcnicas de Control.
Las Pruebas de Cumplimiento.
Las Pruebas Sustantivas si fuesen necesarias.

Resumen y conclusiones. '

SOLUCIN DEL EJERCICIO PRACTICO- FASES Y PLANIFICACIN DE LAS


ACTIVIDADES. 1.- Definicin del alcance.
La Auditora se realizar sobre la red de rea bcal instalada en el Departamento de Personal y su finalidad es dar una
opinin sobre el grado de cumplimiento de las normas de utilizacin de los ordenadores, dadas por el Director de ofimtica
el pasado ao, examinar tas distintos tipos de software utilizados en el Departamento de Personal, la normativa para el
enlace con el HOST y la seguridad de la red de rea local,
2.- Recursos y Tiempo.
-

El equipo de auditora estar compuesto por ves personas.


El tiempo mximo para realizar la auditoria ser de 15 das.

3.- Recopilacin de informacin bsica.


-

Cuestionario previo a la Auditora para recoger informacin general.


Entrevista con el Director de Personal.
Entrevista con el Administrador de la red.
Entrevistas con los usuarios.

4.- Programa de Trabajo.


-

Realizar las entrevistas correspondientes y obtener un resumen de dichas entrevistas.


Identificar tos riesgos potenciales.
Determinar bs objetivos de control.
Determinar las tcnicas de control.
Pruebas a realizar.
Obtencin de resultados.
Conclusiones o comentarios.

5.- Redaccin del borrador del informe.


6.- Presentacin del borrador del informe al Director del Departamento de Personal.
7.- Redaccin del informe resumen y conclusiones.

H.- Entrega del informe resumen al Comit de Direccin de la Empresa.


OBJETIVOS DE CONTROL
1.- Deben existir unas normas sobre utilizacin de los ordenadores personales.
2.- Deben estar establecidos los criterios para la adquisicin y uso del software utilizado en los ordenadores personales,
que componen la Red
3.- Debe estar establecido un procedimiento de control para la utilizacin del ordenador principal (Host).
4.- Tiene que establecerse un programa de seguridad para la evaluacin de los riesgos que puedan existir, respecto a
la seguridad del mantenimiento de la red y de las aplicaciones y datos utilizados.
TCNICAS DE CONTROL
OBJETIVO Nt Tcnicas de control:
1.1.- Debe existir una normativa para la proteccin del hardware.
P.C.: Comprobar que se cumple b que la normativa dice, respecto a la proteccin del hardware.
Comentario: Un 50% de tos usuarios de los PC,s, no bbquea el ordenador cuando se retira. No se retira la informacin
cuando tiene que ser reparado. Se colocan bebidas o alimentos en las proximidades del PC.
1.2.- Debe existir una normativa para la proteccin del software.
P.C.: Comprobar que se cumple la normativa, respecto a la proteccin del software.
Comentario: Un 20% de usuarios no guardan los disquetes y manuales correspondientes al software que se est
utilizando.
Los usuarios no conocen la normativa existente, relacionada con el uso y la copia del software.
1.3.- Debe existir una normativa para la proteccin de la informacin.
P.C.: Comprobar que se cumple la normativa, respecto a la informacin almacenada en el PC.
Comentario: No se realizan copias de seguridad con la regularidad establecida. No se destruye la informacin
confidencia] antes de desecharla. No se cambian las passwords con la regularidad establecida. Los ficheros
no estn protegidos debidamente.

OBJETIVO N" 2 Tcnicas de control:


2.1.- Deben existir una normativa para la adquisicin del software que se incorpora a la red.
P.C.: Pedir la normativa correspondiente.
2.2.- Tienen que existir documentos para facilitar el proceso de adquisicin de software.
P.C.: Solicitar los documentos correspondientes al software que se est utilizando.
2.3.- Debe existir una normativa para la adquisicin de aplicaciones especificas externas.
P.C.: Peticin de los estudios realizados para apoyar la decisin de compra de una aplicacin especfica.
Comentario: No existe ningn estudio que apoye esa decisin. Dicha aplicacin se poda haber realizado
internamente.
OBJETIVO N 3 Tcnicas de control:
3.1.- Debe existir una normativa para la utilizacin del software existente en el ordenador principal
P.C.: Solicitar la normativa correspondiente. 3.2.- El acceso al ordenador principal debe estar limitado al
personal autorizado.
P.C.: Comprobar que las personas autorizadas disponen de una password adecuada-Comentario: Cualquier usuario
de la red puede acceder preguntando la password al personal autorizado.
3.3- El acceso a la informacin almacenada en el ordenador principal deber ser solamente de lectura.

P.C.: Comprobar si se puede actualizar la informacin del ordenador principal an en el caso de no estar autorizado.

OBJETIVO N 4 Tcnicas de control:


4.1.- El mantenimiento de la red y los ordenadores que la componen, debe estar respaldado por contratos adecuados y
debe llevarse al da.
P.C.: Comprobar tos contratos de mantenimiento, revisando los contratos de compra/mantenimiento.
4.2.- El software debe estar respaldado por contratos que acrediten su legalidad.
P.C.: Sacar un inventario de los productos instalados en la red y comprobar que existen contratos de compra para
todos esos productos.
Comentario: No se detectan copias piratas, ya que todos los productos tienen su correspondiente contrato
de compra.
4.3.- Deben existir copias de todas las aplicaciones fuera del Departamento. P.C.: Comprobar el lugar de
almacenamiento.
4.4,- Debe existir un sistema de proteccin de la red contra fallos de suministro. P.C.: Verificacin de las instalacionesComentario: Existe un buen sistema de alimentacin interrumpidos y no se producen fallos. RESUMEN Y
CONCLUSIONES.
Las entrevistas y pruebas realizadas durante el desarrollo de la Auditora en el Departamento de Personal han
revelado que existen riesgos potenciales elevados de perdida de informacin, mala utilizacin de datos y programas,
adquisicin innecesaria de algn componente del Software y fallos en la seguridad de la Red.
Los aspectos que han llevado a estas conclusiones se resumen a continuacin:
Normativa
-

La normativa dictada por el Director de ofimtica el pasado ao no est cumpliendo por la totalidad de los usuarios,
existiendo algu>;os que ni siquiera la conocen. Los principales defectos que se han dte: tado son los siguientes: . No
se bloquea el ordenador cuando el juario se retira. . No se retira la Informacin cuando el ordenador tiene que ser
reparado. . En ocasiones se colocan bebidas o alimentos en las proximidades del PC. . Algunos usuarios no guardan
los disquetes y manuales correspondientes al software que estn utilizando.

Los usuarios no conocen la normativa existente, tanto en to que se refiere a la utilizacin de los ordenadores personales
como a lo relacionado con el uso y la copia del software.
No se realizan copias de seguridad con la regularidad que se ha establecido.
- No se destruye la informacin confidencial antes de desecharla.
No se cambian las passwords con la regularidad que est establecida. Los ficheros no estn protegidos
adecuadamente.

Documentacin
Las revisiones realizadas han demostrado que existen documentos para solicitar la adquisicin del software
que se utiliza en la Red pero no se utilizan siempre.
Existe una normativa para controlar la adquisicin de aplicaciones externas y no se ha utilizado.

Existe una normativa para controlar el acceso al Host, pero no se est utilizando.
Se ha comprobado que se puede actualizar a informacin del Host aun en el caso de no estar autorizado.
El software esta debidamente respaldado por sus respectivos contratos de compra.
El sistema de la red de rea local est bien alimentado y no se han detectado fallos.

Anda mungkin juga menyukai