Proyecto para Imprimir Ing. Faviel PDF

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION
ING. JULIO CESAR FAVIEL DIAZ
PROYECTO :
AUDITORIA DE SISTEMAS DE INFORMACION
FACILITADOR : ING. JULIO CESAR FAVIEL DIAZ ALUMNOS : MARIO OVANDO MEZA JOANA ANAHI DIAZ SALVADOR ADRIANA HERNANDEZ MENDOZA
CARRERA : GRADO :
LIC. EN INFORMATICA ADMINISTRATIVA 7MO TETRA DOMINGOS.
TAPACHULA , CHIAPAS A 30 DE MARZO DEL 2014

1
INDICE CONCEPTO DE AUDITORIA. CONCEPTO DE APLICACIN A LA AUDITORIA METODOLOGIA. TECNICAS E INTRUMENTOS PARA REALIZAR AUDITORIA INFORMATICA Y SISTEMAS RECOLECION DE INFORMACION PARA LA AUDITORIA INFORMATICA Y SISTEMAS. DESARROLLO DE AUDITORIA MEMORANDO DE PLANEACION DE AUDITORIA. COBIT PROGRAMA DE AUDITORIA LISTA DE CHEQUEO PARA AREAS DE COMPUTO. GUIA DE AUDITORIA PARA LA APLICACIN DE INSTRUMENTOS GUIAS DE PRUEBAS GUIAS DE HALLAZGOS ANALISIS Y EVALUACION DE RIESGOS RESULTADOS DE LA AUDITORIA. CONCLUSION DEL PROYECTO
CONCEPTOS DE AUDITORA
Auditora informtica
Es la evaluacin y verificacin de las polticas, controles, procedimientos y la seguridad en general, correspondiente al uso de los recursos de informtica por el personal de la empresa (usuarios, informtica, alta direccin), a fin de que se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones.
Segn Jos A. Echenique, la auditora en informtica es la revisin y evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participa en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones.
La auditora en informtica deber comprender no slo la evaluacin de los equipos de cmputo o de un sistemas o procedimiento especifico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles archivos, seguridad y obtencin de informacin. Ello
debe incluir los equipos de computo como la herramienta que permite obtener la informacin adecuada y la organizacin especifica que har posible el uso de los equipos de cmputo
Segn Mario Piattini Velthuis, la auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos
Auditora de Sistemas
Desde el punto de vista administrativo, cuando se habla de auditora sistemas se refiere a los SISTEMAS DE INFORMACIN utilizados en las empresas pblicas o privadas, mas no al computador como tal, que en s es una herramienta de los sistemas de informacin. Se debe tener presente que la administracin es un sistema abierto y por tanto cambiante en sus conceptos, tcnicas y que est influenciada por lo que acontece en su alrededor.
La auditora de los sistemas de informacin se define como cualquier auditora que abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces
correspondientes; tambin se puede decir que es el examen y evaluacin de los procesos del rea de Procesamiento Electrnico de Datos (PED) y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas
CONCEPTOS APLICABLES A LA AUDITORA Control Es el conjunto de normas, tcnicas, acciones y procedimientos que
interrelacionados e interactuando entre s con los sistemas y subsistemas organizacionales y administrativos, permite evaluar, comparar y corregir aquellas actividades que se desarrollan en las organizaciones, garantizando la ejecucin de los objetivos y el logro de las metas institucionales Control interno Se ejerce con el fin de lograr el cumplimiento de los objetivos de la empresa, y es el proceso que se realiza al interior de ellas y es impulsado por las directivas y administradores quien designa para que lo ejerza a una persona que posee la suficiente tica, moral y formacin acadmica que le amerita credibilidad. Control externo Es aquel ejercido por personal externo a la empresa y su propsito es evaluar en qu proporcin las metas y objetivos trazados en las polticas, planes, programas por la administracin de la misma se estn cumpliendo.
Control Interno Informtico El establecimiento de controles internos en el rea informtica y los sistemas de informacin es muy importante y ayuda a la evaluacin de la eficiencia y eficacia de la gestin administrativa, dependiendo de los objetivos que se pretenda con dichos controles. Adems el control interno es indispensable en la proteccin de los bienes y el buen desarrollo de las actividades y operacin de los sistemas.
A travs del control interno se pretende la aplicacin de los siguientes objetivos especficos:
Establecer como prioridad la seguridad y proteccin de los bienes informticos, la informacin y los sistemas de informacin.
Promover la confiabilidad, oportunidad y veracidad de la captura de datos, su procesamiento y la emisin de reportes en la empresa.
Implementar los mtodos, tcnicas y procedimientos necesarios para contribuir al desarrollo eficiente de las funciones, actividades, y tareas de los servicios que presta el rea informtica para satisfacer las necesidades de la empresa.
Instaurar y hacer cumplir las normas, polticas y procedimientos que regulen las actividades de sistematizacin de la empresa.
Establecer acciones necesarias para el buen desarrollo del software, a fin de que presten un buen servicio en la empresa.
Papeles de trabajo Son la herramienta y soporte en la planeacin, organizacin y coordinacin del examen de auditora, y a su vez brindan respaldo a la opinin del auditor. Estos se preparan de acuerdo al criterio, experiencia y preferencia del auditor y se organizan teniendo en cuenta su uso y contenido. Segn Jos Dagoberto Pinilla Define los papeles de trabajo as: comprende el conjunto de cdulas preparadas por el auditor y/o personal colaborador, con motivo del desarrollo del programa de auditora para obtener evidencia comprobatoria suficiente y competente, que sirva como base objetiva para emitir una opinin independiente sobre el objeto auditado. Los papeles de trabajo son registros que mantiene el auditor de los procedimientos aplicados, pruebas desarrolladas, informacin obtenida y conclusiones pertinentes a que se lleg en el trabajo. Algunos ejemplos de papeles de trabajo son los programas de auditora, los anlisis, los memorandos, las cartas de confirmacin y declaracin, resmenes de documentos de la compaa y cdulas o comentarios preparados u obtenidos por el auditor. Los papeles de trabajo tambin
pueden obtener la forma de informacin almacenada en cintas, pelculas u otros medios.
Objetivos de los papeles de trabajo
Proporcionar la informacin bsica y fundamental necesaria para facilitar la planeacin, organizacin y desarrollo de todas las etapas del proceso de auditora.
Respaldar la opinin del auditor permitiendo realizar un examen de supervisin y proporcionando los informes suficientes y necesarios que sern incluidos en el informe de auditora, adems, sirve como evidencia en caso de presentarse alguna demanda.
Permiten demostrar si el trabajo del determinando su eficiencia y eficacia.
auditor fue debidamente planeado,
Permiten establecer un registro histrico disponible permanentemente en caso que se presente algn requerimiento.
Servir como punto de referencia para posteriores auditoras.
Servir de puente entre el informe de auditora y las reas auditadas.
Tipos de papeles de trabajo Archivo permanente: La informacin que aqu se almacena cubre varios perodos de la auditoria y son de utilidad en exmenes posteriores, representando inters para el administrador de la aplicacin y fuente de consulta de aspectos como la naturaleza y justificacin de la aplicacin, resea de la aplicacin, estructura organizacional respecto al manejo de la aplicacin, interaccin con otras aplicaciones, documentacin de entrada y salidas, diccionario de datos, programas, mens, diagramas del sistema, naturaleza y definicin de cada proceso.
Archivo corriente: Se almacena la informacin correspondiente al periodo auditado, constituyndose en evidencia del trabajo desarrollado por el auditor, mostrando todas sus fases y sirviendo como respaldo para presentar los informes respectivos., Como ejemplo se tiene: el programa de trabajo, utilizacin de datos de prueba, verificacin al contenido de archivos, utilizacin de programas de auditora, revisin lgica a los programas del rea auditada.
METODOLOGA PARA REALIZAR AUDITORA

Etapa de Planeacin de la Auditoria
El primer paso para realizar una auditora de sistemas es la planeacin de cmo se va a ejecutar la auditoria, donde se debe identificar de forma clara las razones por las que se va a realizar la auditoria, la determinacin del objetivo de la misma, el diseo de mtodos, tcnicas y procedimientos necesarios para llevarla a cabo y para la solicitud de documentos que servirn de apoyo para la ejecucin, terminando con la elaboracin de la documentacin de los planes, programas y presupuestos para llevarla a cabo.
Identificar el origen de la auditoria: Este es el primer paso para iniciar la planeacin de la auditoria, en esta se debe determinar por qu surge la necesidad o inquietud de realizar una auditora. Las preguntas que se deben contestar de dnde?, por qu?, Quin? o para qu? Se quiere hacer la evaluacin de algn aspecto de los sistemas de la empresa.
Visita Preliminar al rea informtica: Este es el segundo paso en la planeacin de la auditoria y consiste en realizar una visita preliminar al rea de informtica que ser auditada, luego de conocer el origen de la peticin de realizar la auditoria y antes de iniciarla formalmente; el propsito es el de tener un primer contacto con el personal asignado a dicha rea, conocer la distribucin de los sistemas y donde se localizan los servidores y equipos terminales en el centro de cmputo, sus caractersticas, las medidas de seguridad y otros aspectos sobre que problemticas que se presentan en el rea auditada.
10
Aqu se deben tener en cuenta aspectos tales como:
- La visita inicial para el arranque de la auditoria cuya finalidad es saber Cmo se encuentran distribuidos los equipos en el rea?, Cuntos, cules, cmo y de que tipo son los servidores y terminales que existen en el rea?, Qu caractersticas generales de los sistemas que sern auditados?, Qu tipo de instalaciones y conexiones fsicas existen en el rea?, Cul es la reaccin del personal frente al auditor?, Cules son las medidas de seguridad fsica existentes en el rea?, y Qu limitaciones se observan para realizar la auditoria?. Con esta informacin el auditor podr disear las medidas necesarias para una adecuada planeacin de la auditoria y establecer algunas acciones concretas que le ayuden al desarrollo de la evaluacin.
Establecer los Objetivos de la Auditoria: Los objetivos de la planeacin de la auditoria son:
- El objetivo general que es el fin global de lo que se pretende alcanzar con el desarrollo de la auditora informtica y de sistemas, en el se plantean todos los aspectos que se pretende evaluar.
- Los objetivos especficos que son los fines individuales que se pretenden para el logro del objetivo general, donde se seala especficamente los sistemas, componentes o elementos concretos que deben ser evaluados.
11
Determinar los Puntos que sern evaluados: Una vez determinados los objetivos de la auditoria se debe relacionar los aspectos que sern evaluados, y para esto se debe considerar aspectos especficos del rea informtica y de los sistemas computacionales tales como: la gestin administrativa del rea informtica y el centro de cmputo, el cumplimiento de las funciones del personal informtico y usuarios de los sistemas, los sistemas en desarrollo, la operacin de los sistemas en produccin, los programas de capacitacin para el personal del rea y usuarios de los sistemas, proteccin de las bases de datos, datos confidenciales y accesos a las mismas, proteccin de las copias de seguridad y la restauracin de la informacin, entre otros aspectos. Elaborar Planes, programas y Presupuestos para Realizar la auditoria: Para realizar la planeacin formal de la auditoria informtica y de sistemas, en la cual se concretan los planes, programas y presupuestos para llevarla a cabo se debe elaborar los documentos formales para el desarrollo de la auditoria, donde se delimiten las etapas, eventos y actividades y los tiempos de ejecucin para el cumplimiento del objetivo, anexando el presupuesto con los costos de los recursos que se utilizarn para llevarla a cabo. Algunos de los aspectos a tener en cuenta sern: Las actividades que se van a realizar, los responsables de realizarlas, los recursos materiales y los tiempos; El flujo de eventos que sirven de gua; la estimacin de los recursos humanos, materiales e informticos que sern utilizados; los tiempos estimados para las actividades y para la auditoria; los auditores responsables y participantes de las actividades; Otras especificaciones del programa de auditora.
12
Identificar y seleccionar los Mtodos, herramientas, Instrumentos y Procedimientos necesarios para la Auditoria: En este se determina la
documentacin y medios necesarios para llevar a cabo la revisin y evaluacin en la empresa, seleccionando o diseando los mtodos, procedimientos, herramientas, e instrumentos necesarios de acuerdo a los planes, presupuestos y programas establecidos anteriormente para la auditoria. Para ello se debe considerar los siguientes puntos: establecer la gua de ponderacin de cada uno de los puntos que se debe evaluar; Elaborar una gua de la auditoria; elaborar el documento formal de la gua de auditora; determinar las herramientas, mtodos y procedimientos para la auditoria de sistemas; Disear los sistemas, programas y mtodos de pruebas para la auditoria. Asignar los Recursos y Sistemas computacionales para la
auditoria: Finalmente se debe asignar los recursos que sern utilizados para realizar la auditoria. Con la asignacin de estos recursos humanos, informticos, tecnolgicos y de cualquier otro tipo se llevar a cabo la auditoria.
Etapa de Ejecucin de la Auditoria La siguiente etapa despus de la planeacin de la auditoria es la ejecucin de la misma, y est determinada por las caractersticas propias, los puntos elegidos y los requerimientos estimados en la planeacin. Etapa de Dictamen de la Auditoria La tercera etapa Lugo de la planeacin y ejecucin es emitir el dictamen, que es el resultado final de la auditoria, donde se presentan los siguientes puntos: la elaboracin del informe de las situaciones que se han detectado, la elaboracin del dictamen final y la presentacin del informe de auditora.
13
Analizar la informacin y elaborar un informe de las situaciones detectadas: Junto con la deteccin de las oportunidades de mejoramiento se debe realizar el anlisis de los papeles de trabajo y la elaboracin del borrador de las oportunidades detectadas, para ser discutidas con los auditados, despus se hacen las modificaciones necesarias y posteriormente el informe final de las situaciones detectadas. Elaborar el Dictamen Final: El auditor debe terminar la elaboracin del informe final de auditora y complementarlo con el dictamen final, para despus presentarlo a los directivos del rea auditada para que conozcan la situacin actual del rea, antes de presentarlo al representante o gerente de la empresa.
Una vez comentadas las desviaciones con los auditados, se elabora el informe final, lo cual es garanta de que los auditados ya aceptaron las desviaciones encontradas y que luego se llevan a documentos formales. Elaborar el Dictamen Formal: El ltimo paso de esta metodologa es presentar formalmente el informe y el dictamen de la auditoria al ms alto de los directivos de la empresa donde se informa de los resultados de la auditoria. Tanto el informe como el dictamen deben presentarse en forma resumida, correcta y profesional. La presentacin de la misma se hace en una reunin directiva y por eso es indispensable usar un lenguaje claro tanto en el informe como en la exposicin del mismo. El informe debe contener los siguientes puntos: la carta de presentacin, el dictamen de la auditoria, el informe de situaciones relevantes y los anexos y cuadros estadsticos.
14
Al elaborar el dictamen formal se hace tomando en cuenta el informe comentado a los directivos, junto al formato de hallazgos o desviaciones y los papeles de trabajo de cada uno de los auditores. La integracin del dictamen y el informe final de auditora deben ser elaborados con la mxima perfeccin, tratando de evitar errores. Tambin deben contener de manera clara y concreta, las desviaciones detectadas en la evaluacin.
ETAPAS
Planeacin de la Auditoria de Sistemas
PASOS A REALIZAR 1. Identificar el origen de la auditoria 2. Realizar una visita preliminar al rea que ser evaluada 3. Establecer los objetivos de la auditoria 4. Determinar los puntos que sern evaluados en la auditoria 5. Elaborar planes, programas y presupuestos para realizar la auditoria 6. Identificar y seleccionar los mtodos, herramientas, instrumentos y procedimientos necesarios para la auditoria 7. Asignar los recursos y sistemas computacionales para la auditoria
Ejecucin de la Auditoria de Sistemas
1. Realizar las acciones programadas para la Auditoria 2. aplicar los instrumentos y herramientas para la auditoria 3. Identificar y elaborar los documentos de oportunidades de mejoramiento encontradas 4. Elaborar el dictamen preliminar y presentarlo a discusin 5. Integrar el legajo de papeles de trabajo de la auditoria 1. Analizar la informacin y elaborar un informe de situaciones detectadas 2. Elaborar el Dictamen final 3. Presentar el informe de auditoria
Dictamen de la Auditoria de Sistemas
15
TCNICAS E INSTRUMENTOS PARA REALIZAR AUDITORIA INFORMTICA Y DE SISTEMAS Evaluacin Consiste en analizar mediante pruebas la calidad y cumplimiento de funciones, actividades y procedimientos que se realizan en una organizacin o rea. Las evaluaciones se utilizan para valorar registros, planes, presupuestos,
programas, controles y otros aspectos que afectan la administracin y control de una organizacin o las reas que la integran. La evaluacin se aplica para investigar algn hecho, comprobar alguna cosa, verificar la forma de realizar un proceso, evaluar la aplicacin de tcnicas, mtodos o procedimientos de trabajo, verificar el resultado de una transaccin, comprobar la operacin correcta de un sistema software entre otros muchos aspectos. Inspeccin
La inspeccin permite evaluar la eficiencia y eficacia del sistema, en cuanto a operacin y procesamiento de datos para reducir los riesgos y unificar el trabajo hasta finalizarlo. La inspeccin se realiza a cualquiera de las actividades, operaciones y componentes que rodean los sistemas.
Confirmacin El aspecto ms importante en la auditoria es la confirmacin de los hechos y la certificacin de los datos que se obtienen en la revisin, ya que el resultado final de la auditoria es la emisin de un dictamen donde el auditor expone sus opiniones, este informe es aceptado siempre y cuando los datos sean veraces y confiables. No se puede dar un dictamen en base a suposiciones o emitir juicios que no sean comprobables.
16
Comparacin Otra de las tcnicas utilizadas en la auditoria es la comparacin de los datos obtenidos en un rea o en toda la organizacin y cotejando esa informacin con los datos similares o iguales de otra organizacin con caractersticas semejantes. En auditoria a los sistemas software se realiza la comparacin de los resultados obtenidos con el sistema y los resultados con el procesamiento manual, el objetivo de dicha comparacin es comprobar si los resultados son iguales, o determinar las posibles desviaciones, y errores entre ellos. Revisin Documental Otra de las herramientas utilizadas en la auditoria es la revisin de documentos que soportan los registros de operaciones y actividades de una organizacin. Aqu se analiza el registro de actividades y operaciones plasmadas en documentos y archivos formales, con el fin de que el auditor sepa cmo fueron registrados las operaciones, resultados y otros aspectos inherentes al desarrollo de las funciones y actividades normales de la organizacin. En esta evaluacin se revisan manuales, instructivos, procedimientos, funciones y actividades. El registro de resultados, estadsticas, la interpretacin de acuerdos, memorandos, normas, polticas y todos los aspectos formales que se asientan por escrito para el cumplimiento de las funciones y actividades en la administracin de las organizaciones. Matriz de Evaluacin Es uno de los documentos de mayor utilidad para recopilar informacin relacionada con la actividad, operacin o funcin que se realiza en el rea informtica, as como tambin se puede observar anticipadamente su cumplimiento. La escala de valoracin puede ir desde la mnima con puntaje 1 (baja, deficiente) hasta la valoracin mxima de 5(superior, muy bueno, excelente). Cada una de estas valoraciones deber tener asociado la descripcin del criterio por el cual se da ese valor.
17
Esta matriz permite realizar la valoracin del cumplimiento de una funcin especfica de la administracin del centro de cmputo, en la verificacin de actividades de cualquier funcin del rea de informtica, del sistema software, del desarrollo de proyectos software, del servicio a los usuarios del sistema o cualquier otra actividad del rea de informtica en la organizacin.
Matriz DOFA Este es un mtodo de anlisis y diagnstico usado para la evaluacin de un centro de cmputo, que permite la evaluacin del desempeo de los sistemas software, aqu se evalan los factores internos y externos, para que el auditor puede evaluar el cumplimiento de la misin y objetivo general del rea de informtica de la organizacin.
18
RECOLECCIN DE INFORMACIN PARA AUDITORA INFORMTICA Y DE SISTEMAS
Observacin : Es una de las tcnicas ms utilizadas para examinar los diferentes aspectos que intervienen en el funcionamiento del rea informtica y los sistemas software, permite recolectar la informacin directamente sobre el comportamiento de los sistemas, del rea de informtica, de las funciones y actividades, los procedimientos y operacin de los sistemas, y de cualquier hecho que ocurra en el rea. En el caso especfico de la auditoria se aplica para observar todo lo relacionado con el rea informtica y los sistemas de una organizacin con el propsito de percibir, examinar, o analizar los eventos que se presentan en el desarrollo de las actividades del rea o de un sistema que permita evaluar el cumplimiento de las funciones, operaciones y procedimientos.
Entrevistas
Esta tcnica es la ms utilizada por los auditores ya que a travs de esta se obtiene informacin sobre lo que est auditando, adems de tips que permitirn conocer ms sobre los puntos a evaluar o analizar. La entrevista en general es un medio directo para la recoleccin de informacin para la captura de los datos informados por medio de grabadoras digitales o cualquier otro medio. En la entrevista, el auditor interroga, investiga y conforma directamente sobre los aspectos que se est auditando. En su aplicacin se utiliza una gua general de la entrevista, que contiene una serie de preguntas sobre los temas que se quiere tocar, y que a medida que avanza pueden irse adaptando para profundizar y preguntar sobre el tema.
19
Cuestionarios
Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado responde de acuerdo a su criterio, de esta manera el auditor obtiene informacin que posteriormente puede clasificar e interpretar por medio de la tabulacin y anlisis, para evaluar lo que se est auditando y emitir una opinin sobre el aspecto evaluado.
Encuestas
Las encuestas son utilizadas frecuentemente para recolectar informacin sobre aspectos como el servicio, el comportamiento y utilidad del equipo, la actuacin del personal y los usuarios, entre otros juicios de la funcin informtica. No existen reglas para el uso de las encuestas, solo los que regulan los aspectos tcnicos y estadsticos tales como la eleccin del universo y la muestra, que se contemplan dentro de la aplicacin de mtodos probabilsticas y estadsticos para hacer la mejor eleccin de las muestras y recoleccin de opiniones.
Inventarios
Consiste en hacer el recuento fsico de lo que se est auditando, con el fin de compararla con la que existe en los documentos en la misma fecha. Consiste en comparar las cantidades reales existentes con las que debera haber para comprobar que sean iguales, de lo contrario iniciar la investigacin de la diferencia para establecer las causas. Con la aplicacin de esta herramienta de la auditoria tradicional, el auditor de sistemas tambin puede examinar las existencias de los elementos disponibles para el funcionamiento del rea informtica o del sistema, contabilizando los equipos de cmputo, la informacin y los datos de la empresa, los programas, perifricos, consumibles, documentos, recursos informticos, y dems aspectos que se desee conocer, con el fin de comparar la cantidad real con las existencias que se registra en los documentos.
20
21
MEMORANDO DE PLANEACIN AUDITORIA
Antecedentes: En los departamentos con equipo de computo de la empresa se realiza anualmente un plan de seguimiento a todos los procesos tcnicos de la empresa, esto debido a que las empresa requieren la acreditacin de calidad en el manejo de sus procesos y para ello se hace necesario realizar auditoras internas permanentes y de tipo externo peridicamente para lograrlo.
Uno de los recursos tecnolgicos disponibles en la empresa es el de la red de datos que opera en las diferentes sedes y que generalmente se encuentra certificada bajo la normas de la IEEE\EIA\TIA, las cuales se deben cumplir estrictamente.
Objetivos
Objetivo general: Realizar la revisin y verificacin del cumplimiento de normas mediante una auditora a la infraestructura fsica de la red de datos de la empresa para un mejor funcionamiento.
Objetivos especficos:
Planificar la auditora que permita identificar las condiciones actuales de la red de datos de la empresa.
Aplicar los procesos de auditora teniendo en cuenta el modelo estndar de auditora COBIT como herramienta de apoyo en el proceso inspeccin de la red de datos de la empresa.
22
Identificar las soluciones para la construccin de los planes de mejoramiento a la red de la de la empresa de acuerdo a los resultados obtenidos en la etapa de aplicacin del modelo de auditora.
Alcance y delimitacin: La presente auditoria pretende identificar las condiciones actuales de la red de datos y elctrica de la empresa, con el fin de observar las instalaciones de la red en su conjunto para verificar el cumplimiento de normas y as optimizar el uso de los recursos y as brindar un buen servicio a los usuarios de la red.
Los puntos a evaluar sern los siguientes:
De las instalaciones fsicas se evaluar:
Instalaciones elctricas Instalacin cableado de la red de datos Sistemas de proteccin elctricos Sistemas contra incendios Control de accesos Diferentes departamentos de la empresa
De equipos o hardware se evaluar:
Seguridad fsica de los medios Actas e informes tcnicos Inventarios La existencia de hojas de vida de los equipos de computo La elaboracin correcta de bitcoras de los mantenimientos realizados.
23
Metodologa: Para el cumplimiento de los objetivos planteados en la auditora, se realizaran las siguientes actividades:
Investigacin preliminar:
Determinar la estructura organizacional de la empresa para determinar responsables en la vigilancia de la red de datos instalada.
Evaluar la importancia de la red y el soporte que estos recursos de cmputo dan a los procesos de negocio de la empresa.
Conocer de manera global el sistema operativo instalado y configurado para el manejo de los servicios de red, identificando los elementos que apoyan la seguridad y administracin de la misma.
Identificacin y agrupacin de riesgos: Identificar y clasificar los riesgos a los que est expuesto la red, ya sean propios o generados por entidades externas (personas, procedimientos, bases de datos, redes, etc.) que interactan con la red.
Diseo del programa de auditora:
Definir los dominios, procesos y objetivos de control de COBIT, que tienen relacin con el proceso de auditora.
Realizar los procedimientos que permitan recolectar la evidencia que apoye los hallazgos y recomendaciones.
Ejecucin de las pruebas de auditora:
Obtener evidencia sobre los controles establecidos, su utilizacin, y el entendimiento y ejecucin de los mismos por parte de las personas.
24
Anlisis del Efecto de las debilidades de seguridad y configuracin de la red:
Identificar las causas de las debilidades.
Determinar la probabilidad y el impacto que tendr cada debilidad en el sistema de red.
Diseo de controles:
Identificar los posibles controles de tipo preventivo y correctivo de las debilidades encontradas.
Identificar los recursos afectados por las debilidades encontradas
Elaboracin y envo del informe de Auditora:
Comunicar a las personas o entes involucrados en la vigilancia y administracin de la red de datos de la empresa, los resultados de la auditoria, para que ellos hagan la gestin necesaria para implementar los controles que cubran aquellas situaciones de riesgo de mayor relevancia, y mantengan y optimicen la red.
Servir de apoyo en la toma de decisiones, gracias a la informacin que poseen.
Hacer parte de la documentacin para futuras auditoras.
25
Recursos:
Humanos: La auditora se llevar a cabo por el grupo de auditores especializados en redes de datos egresados de la IUDEM con la asesora metodolgica de un Ingeniero Auditor.
Fsicos: Instalaciones de la empresa , departamentos con equipo de cmputo y dispositivos de red.
Tecnolgicos: equipos de cmputo, software instalado para la red, cmara digital.
Presupuesto: Para la ejecucin de la auditoria se ha establecido el siguiente presupuesto.
tem tiles y Papelera Equipos de Oficina como calculadoras.
Valor $ 20.000.oo $ 80.000.oo
Medios de almacenamiento magntico como: 1 caja de CD, 1 caja $ 20.000.oo Diskettes. Gastos generales: Cafetera, imprevistos, transporte, etc. Pago de Honorarios (1 millon mensual x c/au) Total presupuesto $300.000.oo $4.000.000 $4.420.000
26
Cronograma
Actividad Estudio Preliminar Planificar auditora la Determinacin reas Auditoria Elaboracin de Crticas de de
Mes 1 1 2 3 4
Mes 2 1 2 3 4
Mes 3 1 2 3 4
Programa de Auditoria Aplicar modelo auditoria el Evaluacin de Riesgos Ejecucin de Pruebas y Obtencin de de
Evidencias Construir los planes de Elaboracin Informe Sustentacin Informe de de
mejoramiento
27
COBIT (Objetivos de Control para la informacin y Tecnologas relacionadas)
Las mejores prcticas en auditoria recomiendan Cobit como la herramienta estndar para tecnologas de informacin ms utilizada en la ejecucin de auditoras; a continuacin se explica detalladamente algunos conceptos manejados por sta y los dominios, procesos y actividades que lo conforman:
Efectividad.
Se refiere a que la informacin relevante sea pertinente para el
proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable.
Eficiencia. Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos.
Confidencialidad. Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada.
Integridad. Se refiere a la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio.
Disponibilidad. Se refiere a la disponibilidad de la informacin cuando sta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.
Cumplimiento. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente.
Confiabilidad de la informacin. Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.
28
Datos. Los elementos de datos en su ms amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, grficos, sonido, etc.
Aplicaciones. Se entiende como sistemas de aplicacin la suma de procedimientos manuales y programados.
Tecnologa.
La tecnologa cubre hardware, software, sistemas operativos,
sistemas de administracin de bases de datos, redes, multimedia, etc.
Instalaciones. Recursos para alojar y dar soporte a los sistemas de informacin.
Personal. Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de informacin.
Niveles de Cobit: La estructura del estndar Cobit se divide en dominios que son agrupaciones de procesos que corresponden a una responsabilidad personal, procesos que son una serie de actividades unidas con delimitacin o cortes de control y objetivos de control o actividades requeridas para lograr un resultado medible.
29
3.1.1 Distribucin de los dominios y procesos de COBIT
DOMINIOS PLANEACIN ORGANIZACIN (PO)
PROCESOS Y PO1 Definir un Plan Estratgico de TI.
PO2 Definir la Arquitectura de Informacin.
PO3 Determinar la direccin tecnolgica.
PO4 Definir la Organizacin y Relaciones de TI.
PO5 Manejar la Inversin en TI.
PO6 Comunicar las directrices gerenciales.
PO7 Administrar Recursos Humanos.
PO8 Asegurar el cumplir Requerimientos Externos.
PO9 Evaluar Riesgos.
PO10 Administrar proyectos.
PO11 Administrar Calidad. ADQUISICIN IMPLEMENTACIN (AI) AI2 Adquisicin y Mantener Software de Aplicacin. E AI1 Identificar Soluciones.
AI3 Adquirir y Mantener Arquitectura de TI.
30
AI4
Desarrollar
Mantener
Procedimientos
relacionados con TI.
AI5 Instalar y Acreditar Sistemas.
AI6 Administrar Cambios SERVICIOS Y SOPORTE DS1 Definir niveles de servicio. (DS) DS2 Administrar Servicios de Terceros.
DS3 Administrar Desempeo y Calidad.
DS4 Asegurar Servicio Continuo.
DS5 Garantizar la Seguridad de Sistemas.
DS6 Identificar y Asignar Costos.
DS7 Capacitar Usuarios.
DS8 Asistir a los Clientes de TI.
DS9 Administrar la Configuracin.
DS10 Administrar Problemas e Incidentes.
DS11 Administrar Datos.
DS12 Administrar Instalaciones.
31
DS13 Administrar Operaciones MONITOREO (M) M1 Monitorear los procesos.
M2 Evaluar lo adecuado del control Interno.
M3 Obtener aseguramiento independiente.
M4 Proveer auditora independiente.
Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos procesos estn agrupados en cuatro grandes dominios que se describen a continuacin junto con sus procesos y una descripcin general de las actividades de cada uno:
Dominio: Planificacin y Organizacin Cubre la estrategia y las tcticas, se refiere a la identificacin de la forma en que la tecnologa informacin puede contribuir de la mejor manera al logro de los objetivos de la organizacin. La consecucin de la visin estratgica debe ser planeada, comunicada y administrada desde diferentes perspectivas y debe establecerse una organizacin y una infraestructura tecnolgica apropiadas.
Procesos:
PO1 Definicin de un plan Estratgico : El objetivo es lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los requerimientos de TI de negocio, para asegurar sus logros futuros.
32
PO2 Definicin de la arquitectura de Informacin : El objetivo es satisfacer los requerimientos de la organizacin, en cuanto al manejo y gestin de los sistemas de informacin, a travs de la creacin y mantenimiento de un modelo de informacin de la organizacin.
PO3 Determinacin de la direccin tecnolgica: El objetivo es aprovechar al mximo de la tecnologa disponible o tecnologa emergente, satisfaciendo los requerimientos de la organizacin, a travs de la creacin y mantenimiento de un plan de infraestructura tecnolgica.
PO4 Definicin de la organizacin y de las relaciones de TI: El objetivo es la prestacin de servicios de TI, por medio de una organizacin conveniente en nmero y habilidades, con tareas y responsabilidades definidas y comunicadas.
PO5 Manejo de la inversin: El objetivo es la satisfaccin de los requerimientos de la organizacin, asegurando el financiamiento y el control de desembolsos de recursos financieros.
PO6 Comunicacin de la direccin y aspiraciones de la gerencia: El objetivo es asegurar el conocimiento y comprensin de los usuarios sobre las aspiraciones de la gerencia, a travs de polticas establecidas y transmitidas a la comunidad de usuarios, necesitndose para esto estndares para traducir las opciones estratgicas en reglas de usuario prcticas y utilizables. PO7 Administracin de recursos humanos: El objetivo es maximizar las contribuciones del personal a los procesos de TI, satisfaciendo as los requerimientos de negocio, a travs de tcnicas slidas para administracin de personal.
33
PO8 Asegurar el cumplimiento con los requerimientos Externos: El objetivo es cumplir con obligaciones legales, regulatorias y contractuales, para ello se realiza una identificacin y anlisis de los requerimientos externos en cuanto a su impacto en TI, llevando a cabo las medidas apropiadas para cumplir con ellos.
PO9 Evaluacin de riesgos: El objetivo es asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisin de servicios de TI, mediante la participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisis de impacto, tomando medidas econmicas para mitigar los riesgos.
PO10 Administracin de proyectos: El objetivo es establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversin, para ello se realiza una identificacin y priorizacin de los proyectos en lnea con el plan operacional por parte de la misma organizacin. Adems, la organizacin deber adoptar y aplicar slidas tcnicas de administracin de proyectos para cada proyecto emprendido.
PO11 Administracin de calidad: El objetivo es satisfacer los requerimientos del cliente. Mediante una planeacin, implementacin y mantenimiento de estndares y sistemas de administracin de calidad por parte de la organizacin.
Dominio: Adquisicin e implementacin
Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
34
Procesos:
AI1 Identificacin de Soluciones Automatizadas: El objetivo es asegurar el mejor enfoque para cumplir con los requerimientos del usuario, mediante un anlisis claro de las oportunidades alternativas comparadas contra los requerimientos de los usuarios.
AI2 Adquisicin y mantenimiento del software aplicativo: El objetivo es proporcionar funciones automatizadas que soporten efectivamente la organizacin mediante declaraciones especficas sobre requerimientos funcionales y
operacionales y una implementacin estructurada con entregables claros.
AI3 Adquisicin y mantenimiento de la infraestructura tecnolgica: El objetivo es proporcionar las plataformas apropiadas para soportar aplicaciones de negocios mediante la realizacin de una evaluacin del desempeo del hardware y software, la provisin de mantenimiento preventivo de hardware y la instalacin, seguridad y control del software del sistema.
AI4 Desarrollo y mantenimiento de procedimientos: El objetivo es asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas, mediante la realizacin de un enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para usuarios, requerimientos de servicio y material de entrenamiento.
AI5 Instalacin y aceptacin de los sistemas: El objetivo es verificar y confirmar que la solucin sea adecuada para el propsito deseado mediante la realizacin de una migracin de instalacin, conversin y plan de aceptaciones adecuadamente formalizadas.
35
AI6 Administracin de los cambios: El objetivo es minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores, mediante un sistema de administracin que permita el anlisis, implementacin y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual.
Dominio: Servicios y soporte
En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin.
Procesos
DS1 Definicin de niveles de servicio: El objetivo es establecer una comprensin comn del nivel de servicio requerido, mediante el establecimiento de convenios de niveles de servicio que formalicen los criterios de desempeo contra los cuales se medir la cantidad y la calidad del servicio. DS2 Administracin de servicios prestados por terceros: El objetivo es asegurar que las tareas y responsabilidades de las terceras partes estn claramente definidas, que cumplan y continen satisfaciendo los requerimientos, mediante el establecimiento de medidas de control dirigidas a la revisin y monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las polticas de la organizacin.
36
DS3 Administracin de desempeo y capacidad: El objetivo es asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor uso de ella para alcanzar el desempeo deseado, realizando controles de manejo de capacidad y desempeo que recopilen datos y reporten acerca del manejo de cargas de trabajo, tamao de aplicaciones, manejo y demanda de recursos.
DS4 Asegurar el Servicio Continuo: El objetivo es mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisin en caso de interrupciones, mediante un plan de continuidad probado y funcional, que est alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio.
DS5 Garantizar la seguridad de sistemas: El objetivo es salvaguardar la informacin contra uso no autorizados, divulgacin, modificacin, dao o prdida, realizando controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas est restringido a usuarios autorizados.
DS6 Educacin y entrenamiento de usuarios: El objetivo es asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y estn conscientes de los riesgos y responsabilidades involucrados realizando un plan completo de entrenamiento y desarrollo.
DS7 Identificacin y asignacin de costos: El objetivo es asegurar un conocimiento correcto atribuido a los servicios de TI realizando un sistema de contabilidad de costos asegure que stos sean registrados, calculados y asignados a los niveles de detalle requeridos.
DS8 Apoyo y asistencia a los clientes de TI: El objetivo es asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente realizando una mesa de ayuda que proporcione soporte y asesora de primera lnea.
37
DS9 Administracin de la configuracin: El objetivo es dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcionar una base para el sano manejo de cambios realizando controles que identifiquen y registren todos los activos de TI as como su localizacin fsica y un programa regular de verificacin que confirme su existencia.
DS10 Administracin de Problemas: El objetivo es asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder implementando un sistema de manejo de problemas que registre y haga seguimiento a todos los incidentes.
DS11 Administracin de Datos: El objetivo es asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin, salida y almacenamiento, a travs de una combinacin efectiva de controles generales y de aplicacin sobre las operaciones de TI.
DS12 Administracin de las instalaciones: El objetivo es proporcionar un ambiente fsico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad fsica.
DS13 Administracin de la operacin: El objetivo es asegurar que las funciones importantes de soporte de TI estn siendo llevadas a cabo regularmente y de una manera ordenada a travs de una calendarizacin de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades.
38
Dominio: Monitoreo
Todos los procesos de una organizacin necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad.
Procesos
M1 Monitoreo del Proceso: El objetivo es asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeo gerenciales y la implementacin de sistemas de soporte as como la atencin regular a los reportes emitidos.
M2 Evaluar lo adecuado del Control Interno: El objetivo es asegurar el logro de los objetivos de control interno establecidos para los procesos de TI.
M3 Obtencin de Aseguramiento Independiente: El objetivo es incrementar los niveles de confianza entre la organizacin, clientes y proveedores externos. Este proceso se lleva a cabo a intervalos regulares de tiempo.
M4 Proveer Auditoria Independiente: El objetivo es incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prcticas de su implementacin, lo que se logra con el uso de auditoras independientes desarrolladas a intervalos regulares de tiempo.
39
PROGRAMA DE AUDITORIA COBIT
PROCESO: EVALUACIN DE NUEVO HARDWARE.
Objetivo de Control: Debern establecerse procedimientos para evaluar el impacto de nuevo hardware y software sobre el rendimiento del sistema en general. Proceso: Mantenimiento Preventivo para Hardware. Objetivo de Control: La Gerencia de la funcin de servicios de informacin deber calendarizar el mantenimiento rutinario y peridico del hardware con el fin de reducir la frecuencia y el impacto de fallas de rendimiento. Proceso: Administracin de Instalaciones.
Objetivo de Control: Debern establecerse apropiadas medidas de seguridad fsica y control de acceso para las instalaciones de tecnologa de informacin de acuerdo con la poltica de seguridad general, incluyendo el uso de dispositivos de informacin fuera de las instalaciones. El acceso deber restringirse a las personas que hayan sido autorizadas a contar con dicho acceso. Proceso: Discrecin de las Instalaciones de Tecnologa de Informacin. Objetivo de Control: La Gerencia de la funcin de servicios de informacin deber asegurar que se lleve un bajo perfil discrecin y que la identificacin fsica de las instalaciones relacionadas con sus operaciones de tecnologa de informacin sea limitada. Proceso: Escolta de Visitantes. Objetivo de Control: Debern establecerse procedimientos apropiados que aseguren que las personas que no formen parte del grupo de operaciones de la funcin de servicios de informacin sean escoltadas por algn miembro de ese grupo cuando deban entrar a las instalaciones de cmputo. Deber mantenerse y revisarse regularmente una bitcora de visitantes. Proceso: Proteccin contra Factores Ambientales. Objetivo de Control: La Gerencia de la funcin de servicios de informacin deber asegurar que se establezcan y mantengan las suficientes medidas para la proteccin contra los factores ambientales (por ejemplo, fuego, polvo, electricidad, calor o humedad excesivos). Debern instalarse equipo y dispositivos especializados para monitorear y controlar el ambiente.
40
Proceso: Suministro Ininterrumpido de Energa. Objetivo de Control: La Gerencia deber evaluar regularmente la necesidad de generadores y bateras de suministro ininterrumpido de energa para las aplicaciones crticas de tecnologa de informacin, con el fin de asegurarse contra fallas y fluctuaciones de energa. Cuando sea justificable, deber instalarse el equipo ms apropiado.
41
LISTAS DE CHEQUEO O CHECKLIST PARA REAS DE CMPUTO

Definicin: Actualmente es difcil definir lo que es un centro de cmputo, puesto que en una organizacin pequea dos equipos PC son todo su centro de cmputo, en una escuela, su centro de cmputo lo conforman sus aulas y las oficinas administrativas, y en un corporativo, su centro de cmputo lo forman varios edificios o un sitio central y oficinas regionales.
Para poder englobar todos estos extremos, se definir al centro de cmputo no en funcin del nmero de equipos con que cuente, ni en funcin del espacio que ocupa, sino en cuanto al servicio que proporciona. En este entorno un centro de cmputo es la infraestructura necesaria para satisfacer todas las necesidades de procesamiento de informacin y brindar los servicios que la organizacin requiere, contando para ello con recursos humanos, tcnicos y materiales.
42

CUESTIONARIO DE CONTROL C1
Empresa de diseo y mantenimiento de tecnologas de R/PT comunicacin. Cuestionario de Control C1 Dominio Adquisicin e Implementacin Proceso AI3: Adquirir y mantener la arquitectura tecnolgica Objetivo de Control Evaluacin de Nuevo Hardware Cuestionario Pregunta SI NO Se cuenta con un inventario de todos los equipos que integran el x centro de cmputo? Con cuanta frecuencia se revisa el inventario? Se posee de bitcoras de fallas detectadas en los equipos? x Caractersticas de la bitcora (seale las opciones). La bitcora es llenada por personal especializado? Seala fecha de deteccin de la falla? Seala fecha de correccin de la falla y revisin de que el equipo funcione correctamente? Se poseen registros individuales de los equipos? La bitcora hace referencia a hojas de servicio, en donde se detalla la falla, y las causas que la originaron, as como las refacciones utilizadas? Se lleva un control de los equipos en garanta, para que a la x finalizacin de sta, se integren a algn programa de mantenimiento? Se cuenta con servicio de mantenimiento para todos los equipos? x Con cuanta frecuencia se realiza mantenimiento a los equipos? Se cuenta con procedimientos definidos para la adquisicin de x nuevos equipos? Se tienen criterios de evaluacin para determinar el rendimiento x de los equipos a adquirir y as elegir el mejor? Documentos probatorios presentados:
N/A
xx
43

Empresa de diseo y mantenimiento de tecnologas de R/PT comunicacin. Cuestionario de Control C2 Dominio Adquisicin e Implementacin Proceso AI3: Adquirir y mantener la arquitectura tecnolgica Objetivo de Control Mantenimiento Preventivo para Hardware Cuestionario Pregunta SI NO Se lleva un control de los equipos en garanta, para que a la x finalizacin de sta, se integren a algn programa de mantenimiento? Se cuenta con servicio de mantenimiento para todos los equipos? x Con cuanta frecuencia se realiza mantenimiento a los equipos? Se cuenta con procedimientos definidos para la adquisicin de x nuevos equipos? Se tienen criterios de evaluacin para determinar el rendimiento de x los equipos a adquirir y as elegir el mejor? Documentos probatorios presentados: x
N/A
44

Empresa de diseo y mantenimiento de tecnologas de comunicacin. Cuestionario de Control Dominio Entrega de Servicios y Soportes Proceso DS12: Administracin de Instalaciones. Objetivo de Control Escolta de Visitantes Cuestionario Pregunta Las instalaciones (departamentos y oficinas) fueron diseadas o adaptadas especficamente para funcionar como un centro de cmputo? Se tiene una distribucin del espacio adecuada, de forma tal que facilite el trabajo y no existan distracciones? Existe suficiente espacio dentro de las instalaciones de forma que permita una circulacin fluida? Existen lugares de acceso restringido? Se cuenta con sistemas de seguridad para impedir el paso a lugares de acceso restringido? Se cuenta con sistemas de emergencia como son detectores de humo, alarmas, u otro tipo de censores? Existen sealizaciones adecuadas en las salidas de emergencia y se tienen establecidas rutas de evacuacin? Se tienen medios adecuados para extincin de fuego en los departamentos? Se cuenta con iluminacin adecuada y con iluminacin de emergencia en casos de contingencia? Se tienen sistemas de seguridad para evitar que se sustraiga equipo de las instalaciones? Se tiene un lugar asignado para papelera y utensilios de trabajo? Son funcionales los muebles instalados dentro de los departamentso: archiveros, mesas de trabajo, etc? Existen prohibiciones para fumar, consumir alimentos y bebidas? Se cuenta con suficientes carteles en lugares visibles que recuerdan estas prohibiciones? Con cuanta frecuencia se limpian las instalaciones? Con cuanta frecuencia se limpian los ductos de aire y la cmara de aire que existe debajo del piso falso (si existe)? Documentos probatorios presentados:
R/PT C3
SI
NO x
N/A
x x x x x x x x x x x x x x x x
45

Empresa de diseo y mantenimiento de tecnologas de comunicacin. Cuestionario de Control Dominio Entrega de Servicios y Soportes Proceso Proteccin contra Factores Ambientales Objetivo de Control Controles Ambientales Cuestionario Pregunta Los departamentoso tiene alguna seccin con sistema de refrigeracin? Con cuanta frecuencia se revisan y calibran los controles ambientales? Se tiene contrato de mantenimiento para los equipos que proporcionan el control ambiental? Se tienen instalados y se limpian regularmente los filtros de aire? Con cuanta frecuencia se limpian los filtros de aire? Se tiene plan de contingencia en caso de que fallen los controles ambientales? Documentos probatorios presentados:
R/PT C4
SI
NO
N/A x x x
x x x x
46

Empresa de diseo y mantenimiento de tecnologas de comunicacin. Cuestionario de Control Dominio Proceso Objetivo de Control Entrega de Servicios y Soportes DS12 Administracin de Instalaciones. Suministro Ininterrumpido de Energa Cuestionario Pregunta Se cuenta con instalacin con tierra fsica para todos los equipos? La instalacin elctrica se realiz especficamente para los departamentos? Se cuenta con otra Instalacin dentro de los departamentos, diferente de la que alimenta a los equipos de cmputo? La acometida llega a un tablero de distribucin? El tablero de distribucin esta en la sala, visible y accesible? El tablero considera espacio para futuras ampliaciones de hasta de un 30 % (Considerando que se dispone de espacio fsico para la instalacin de ms equipos)? La Instalacin es independiente para cada computadora? La misma instalacin con tierra fsica se ocupa en otras partes del edificio? La iluminacin est alimentada de la misma acometida que los equipos? Las reactancias (balastros de las lmparas) estn ubicadas dentro de la sala? Los ventiladores y aire acondicionado estn conectados en la misma instalacin de los equipos a la planta de emergencia? Los ventiladores y aire acondicionado estn conectados en la misma instalacin de los equipos a los no-brake? Se cuenta con interruptores generales? Se cuenta con interruptores de emergencia en serie al interruptor general? Se cuenta con interruptores por secciones ? Se tienen los interruptores rotulados adecuadamente? Se tienen protecciones contra corto circuito? Se tiene implementado algn tipo de equipo de energa auxiliar? Se cuenta con Planta de emergencia? Se tienen conectadas algunas lmparas del centro de cmputo a la planta de emergencia?
R/PT C5
SI
NO x x x x x
N/A
x x x x x x x x x x x x x x
Qu porcentaje de lmparas: % estn conectadas a la planta de emergencia (recomendable el 25 %)? Documentos probatorios presentados:
47

Empresa de diseo y mantenimiento de tecnologas de comunicacin. Cuestionario de Control Dominio Entrega de Servicios y Soportes Proceso Proteccin contra Factores Ambientales Objetivo de Control Seguridad Fsica Cuestionario Pregunta Se tienen lugares de acceso restringido? Se poseen mecanismos de seguridad para el acceso a estos lugares? A este mecanismo de seguridad se le han detectado debilidades? Tiene medidas implementadas ante la falla del sistema de seguridad? Con cuanta frecuencia se actualizan las claves o credenciales de acceso? Se tiene un registro de las personas que ingresan a las instalaciones? Documentos probatorios presentados:
R/PT C6
SI
NO x x
N/A
x x x x x
48
GUAS DE AUDITORIA PARA APLICACIN INSTRUMENTOS

Para iniciar el proceso de verificacin de la auditoria se procede a realizar la planeacin de las visitas a las instalaciones de los departamentos con equipo de computo de la empresa de acuerdo a lo siguiente:
GUA DE AUDITORA G1.
Empresa con giro en diseo y mantenimiento de tecnologas de comunicacin. Gua de Auditoria Dominio Adquisicin e Implementacin Proceso AI3: Adquirir y mantener la arquitectura tecnolgica Objetivo de Control Evaluacin de Nuevo Hardware No Procedimiento Fecha 1 Entrevista al personal encargado de las administracin 15/04/2014 de los departamentos con equipo de computo para identificar las condiciones y procedimientos para realizar cambios de hardware 2 Identificacin de los documentos empleados para la 15/04/2014 realizacin de la reposicin de elementos de hardware
R/PT: C1 G1
R/PT
GUA DE AUDITORA G2.
Empresa con giro en diseo y mantenimiento de tecnologas de comunicacin. Gua de Auditoria Dominio Adquisicin e Implementacin Proceso AI3: Adquirir y mantener la arquitectura tecnolgica Objetivo de Control Mantenimiento Preventivo para Hardware No Procedimiento Fecha 1 Identificar la calendarizacin del mantenimiento rutinario 15/04/2014 y peridico del hardware
R/PT: C2 G2
R/PT
49

GUA DE AUDITORA G3.
Empresa con giro en diseo y mantenimiento de tecnologas de comunicacin. Gua de Auditoria Dominio Entrega de Servicios y Soportes Proceso DS12: Administracin de Instalaciones. Objetivo de Control Escolta de Visitantes No Procedimiento Fecha 1 Verificacin de los sistemas y mecanismos de seguridad 15/04/2014 sobre el ingreso a los departamentos con equipo de computo mediante el proceso de observacin directa 2 Aplicacin de cuestionarios al personal administrativo 15/04/2014
R/PT: C3 G3
R/PT
GUA DE AUDITORA G4.
Empresa con giro en diseo y mantenimiento de tecnologas de comunicacin. Gua de Auditoria Dominio Entrega de Servicios y Soportes Proceso Proteccin contra Factores Ambientales Objetivo de Control Controles Ambientales No Procedimiento Fecha 1 Visita a las instalaciones de los diferentes departamentos 15/04/2014 de la empresa para garantizar el buen funcionamiento.
R/PT: C4 G4
R/PT
50
GUA DE AUDITORA G5.
Empresa con giro en diseo y mantenimiento de tecnologas de comunicacin. Gua de Auditoria Dominio Entrega de Servicios y Soportes Proceso DS12: Administracin de Instalaciones. Objetivo de Control Suministro Ininterrumpido de Energa No Procedimiento Fecha 1 Visita a las instalaciones de los diferentes 15/04/2014 departamentos de la empresa con equipo de computo.
R/PT: C5 G5
R/PT
GUA DE AUDITORA G6.
Empresa con giro en diseo y mantenimiento de tecnologas de comunicacin. Gua de Auditoria Dominio Entrega de Servicios y Soportes Proceso DS12: Administracin de Instalaciones. Objetivo de Control Seguridad Fsica No Procedimiento Fecha 1 Visita a las instalaciones de la empresa 15/04/2014
R/PT: C6 G6
R/PT
51
GUA DE PRUEBAS
Realizadas las visitas y las entrevistas propuestas con anterioridad se han obtenido la siguiente coleccin de pruebas para los riesgos seleccionados previamente.
GUA DE PRUEBA P1. Empresa de diseo y mantenimiento de tecnologas de comunicacin. R/PT: C1 Gua de Pruebas P1 Dominio Adquisicin e Implementacin Proceso AI3: Adquirir y mantener la arquitectura tecnolgica Objetivo de Control Evaluacin de Hardware Riesgos Asociados R15, R16, R18, R19 No Evidencia Descripcin 1 No hay bitcoras En los departamentos no se lleva un registro de mantenimiento de mantenimiento y de cambios de hardware, por el personal encargado del mantenimiento.
GUA DE PRUEBA P2. Empresa de diseo y mantenimiento de tecnologas de comunicacin. R/PT: C2 Gua de Pruebas P2 Dominio Adquisicin e Implementacin Proceso AI3: Adquirir y mantener la arquitectura tecnolgica Objetivo de Control Mantenimiento Preventivo para Hardware Riesgos Asociados R15, R16, R18, R19 No Evidencia Descripcin 1 No se programan La empresa no tiene programados jornadas de mantenimiento mantenimientos 2 No se sugieren La empresa solamente da de baja equipos no funcionales, pero cambios de no hace solicitudes de cambio de nuevos equipos ya que el equipos o nuevo hardware est supeditado a los envos que realiza la sede solicitudes de central nuevos equipos
52

GUA DE PRUEBA P3.
Empresa de diseo y mantenimiento de tecnologas de comunicacin. R/PT: C3 Gua de Pruebas P3 Dominio Entrega de Servicios y Soportes Proceso DS12: Administracin de Instalaciones Objetivo de Control Escolta de Visitantes Riesgos Asociados R20,R21,R2 No Evidencia Descripcin 1 Img-01: Aula de No hay una buena identificacin de las areas de la Institucin informtica 1 educativa 2 Img-04: rea no No existen identificacin de reas restringidas dentro de los Restringida departamentos de la empresa y no existe identificacin por el personal de servicio social . 3 Img-05: No existen No existen ningn tipo de detectores de humo, temperatura ningn tipo de dentro de los departamentos de la empresa. detectores 4 Img-06: No hay Las sealizacin para salidas de emergencia no estn instaladas sealizacin o no existen 5 Img-11: Los interruptores de emergencia no estn debidamente Interruptores de identificados Emergencia 1 6 Img-12: Los interruptores de emergencia no estn debidamente Interruptores de identificados Emergencia 2
GUA DE PRUEBA P4. Empresa de diseo y mantenimiento de tecnologas de comunicacin. R/PT: C4 Gua de Pruebas P4 Dominio Entrega de Servicios y Soportes Proceso Proteccin contra Factores Ambientales Objetivo de Control Controles Ambientales Riesgos Asociados R17 No Evidencia Descripcin 1 Img-02: Solo una de los departamentos tiene ventilacin, la cual presenta Ventilacin ruido alto en su funcionamiento y balanceo
53

GUA DE PRUEBA P5.
Empresa de diseo y mantenimiento de tecnologas de comunicacin. R/PT: C5 Gua de Pruebas P5 Dominio Entrega de Servicios y Soportes Proceso DS12: Administracin de Instalaciones Objetivo de Control Suministro Ininterrumpido de Energa Riesgos Asociados R1,R2,R3,R4,R5,R6 No Evidencia Descripcin 1 Img-08: Existen cables en el suelo que estorban a los usuarios Instalaciones Elctricas 1 2 Img-09: Existen en el techo de las salas cables sueltos sin marcar Instalaciones Elctricas 2 3 Img-10: Existen conexiones de 220 voltios sin sellar junto a las fuentes Instalaciones reguladas Elctricas 3
GUA DE PRUEBA P6. Empresa de diseo y mantenimiento de tecnologas de comunicacin. R/PT: C6 Gua de Pruebas P6 Dominio Entrega de Servicios y Soportes Proceso DS12: Administracin de Instalaciones Objetivo de Control Seguridad Fsica Riesgos Asociados R12, R13 No Evidencia Descripcin 1 Img-17: Canales Cables de red de datos areos sin proteccin Redundantes 1 2 Img-19: Canales Canaletas plsticas sin proteccin Redundantes 3 3 Img-20: Estndar Existen cables de red de datos sin proteccin, sin gabinetes y sin de cableado normas apropiadas
54
GUAS DE HALLAZGOS Teniendo en cuenta la aplicacin de los instrumentos para recoleccin de informacin, los objetivos planteados con anterioridad y los riesgos definidos en la Matriz se obtienen las siguientes tablas de hallazgos para cada uno de ellos.
GUA DE HALLAZGOS H1.

Empresa de diseo y mantenimiento de tecnologas de comunicacin.
Hallazgos de la Auditora Dominio Adquisicin e Implementacin Proceso AI3 Adquirir y mantener la arquitectura tecnolgica Objetivo de Control Evaluacin de Hardware Riesgos Asociados R15, R16, R18, R19 Descripcin En los diferentes departamentos de la empresa , con equipo de computo no se lleva un registro de mantenimiento y de cambios de hardware, adems no existe personal de mantenimiento dedicado a este proceso, el mantenimiento est sujeto a las directrices de la empresa de acuerdo al presupuesto y el inventario no se actualiza peridicamente cuando se han realizado cambios Recomendacin El Encargado de la administracin debe sugerir calendarizacin de inventarios y mantenimientos de hardware Causa La falta de recursos econmicos y la falta de planeacin por parte del encargado de la administracin de la empresa. Nivel del Riesgo En cuanto a la probabilidad de ocurrencia est clasificado en medio alto, en cuanto al impacto es moderado
R/PT: P1 H1
55

Hallazgos de la Auditora Dominio Adquisicin e Implementacin Proceso AI3: Adquirir y mantener la arquitectura tecnolgica Objetivo de Control Mantenimiento Preventivo para Hardware Riesgos Asociados R15, R16, R18, R19 Descripcin La empresa tiene programadas jornadas de mantenimiento, estas estn sujetas a las programaciones que realiza el director general de la empresa, La Administracin solo da de baja equipos no funcionales, pero no hace solicitudes de cambio de nuevos equipos ya que el nuevo hardware est supeditado a los recursos de inversin y proyectos presentados. Recomendacin El Encargado de la administracin de los departamentos con equipo de computo debe programar los mantenimientos y cambios por lo menos dos veces al ao, las actualizaciones de cambio o repotenciacin de equipos se deben presupuestar para las vigencias futuras. Causa El director y el Encargado de la administracin de los departamentos deben realizar planes de actualizacin de equipos y de mantenimiento preventivo, asignando los recursos econmicos necesarios para vigencias futuras. Nivel del Riesgo En cuanto a la probabilidad de ocurrencia est clasificado en medio, en cuanto al impacto es moderado
R/PT: P2 H2
56

Hallazgos de la Auditora Dominio Entrega de Servicios y Soportes Proceso DS12: Administracin de Instalaciones Objetivo de Control Escolta de Visitantes Riesgos Asociados R20,R21,R2 Descripcin Las instalaciones de los diferentes departamentos con equipo de computo y la oficina del administrador de las empresa no son las adecuadas en cuanto a espacios, no hay una buena visibilidad de la identificacin de los departamentos , No existen identificacin de reas restringidas en la oficina del administrador, No existen ningn tipo de detectores de humo, temperatura dentro de los departamentos, Las sealizacin para salidas de emergencia no estn instaladas o no existen, la iluminacin solo cuenta con ventanales grandes e iluminacin artificial insuficiente, Los interruptores de emergencia no estn debidamente identificados, el personal de servicio social no esta identificado. Recomendacin El Administrador de los departamentos debe realizar identificacin adecuada de los departamentos, debe solicitar los recursos econmicos para el mejoramiento de los departamentos y de su propia oficina, identificar al personal de servicio social Causa La empresa no ha asignado recursos propios para la operacin y buen funcionamiento de la tecnologa de los departamentos de la empresa. Nivel del Riesgo En cuanto a la probabilidad de ocurrencia est clasificado en alto, en cuanto al impacto es catastrfico
R/PT: P3 H3
57

Hallazgos de la Auditora Dominio Entrega de Servicios y Soportes Proceso Proteccin contra Factores Ambientales Objetivo de Control Controles Ambientales Riesgos Asociados R17 Descripcin Solo una de los departamentos, tiene sistemas de ventilacin, la cual presenta ruido alto en su funcionamiento y balanceo. Recomendacin El Administrador de los departamentos debe realizar mantenimiento al ventilador del aula y gestionar recursos para adquirir los sistemas de ventilacin para los departamentos restantes Causa El Administrador de los departamentos no realiza adecuaciones locativas dentro de las funciones que le fueron asignadas Nivel del Riesgo En cuanto a la probabilidad de ocurrencia est clasificado en medio, en cuanto al impacto es leve
R/PT: P4 H4
58

Hallazgos de la Auditora Dominio Entrega de Servicios y Soportes Proceso DS12: Administracin de Instalaciones Objetivo de Control Suministro Ininterrumpido de Energa Riesgos Asociados R1,R2,R3,R4,R5,R6 Descripcin Existen cables de energa en el suelo que pueden ocasionar daos en las instalaciones elctricas afectando a uno o ms equipos, Existen en el techo de las reas cables sueltos sin marcar, Existen conexiones de 220 voltios sin sellar junto a las tomas reguladas, la UPS solo est disponible para el servidor, los equipos de la administracin. Recomendacin El Administrador de los departamenos debe realizar adecuaciones de instalaciones elctricas de acuerdo a las normas vigentes, y hacer la desinstalacin de las tomas de corriente con voltaje de 220 voltios AC para disminuir el riesgo de falla ocasionado por los usuarios. Causa El Administrador de los diferentes departamentos no realiza adecuaciones locativas dentro de las funciones que le fueron asignadas Nivel del Riesgo En cuanto a la probabilidad de ocurrencia est clasificado en alto, en cuanto al impacto es catastrfico
R/PT: P5 H5
59

Hallazgos de la Auditora Dominio Entrega de Servicios y Soportes Proceso DS12: Administracin de Instalaciones Objetivo de Control Seguridad Fsica Riesgos Asociados R12, R13 Descripcin Muchos cables de elctricos y de red sobre el piso que obstaculizan el paso a los usuarios, Existen puntos elctricos de 220 voltios juntos a tomas de 110 voltios sin identificacin adecuada, Cables de electricidad sueltos sin identificacin, Canaletas plsticas sin proteccin, Cables de red de datos areos sin proteccin Recomendacin El Administrador de los departamentos de la emrpesa debe realizar adecuar de manera correcta de acuerdo a las normas el tendido de red datos, cubrir, desinstalar las conexiones que generen riesgo a los usuarios Causa El Administrador de los departamentos no realiza adecuaciones locativas Nivel del Riesgo En cuanto a la probabilidad de ocurrencia est clasificado en medio, en cuanto al impacto es leve
R/PT: P6 H6
60
ANLISIS Y EVALUACIN DE RIESGOS
Para el listado de riesgos enumerados a continuacin se realizaron visitas a la empresa dedicada al diseo y mantenimiento de tecnologas de comunicacin, y especficamente a las instalaciones de los departamentos de la empresa, adems de la aplicacin de instrumentos como listas de chequeo o checklist de verificacin y cuestionarios al personal de la administracin de los recursos tecnolgicos.
LISTA DE RIESGOS ENCONTRADOS.
No existe caja de breakers de los circuitos en los diferentes departamentos de la empresa. El sistemas contra incendios es insuficiente. Los usuarios no son capacitados en el uso adecuado de extintores. No existen sistemas Extractores de calor. No existen sensores de Temperatura. No existen controles sobre el acceso de personal y de servicio social. No hay un control de asistencia sobre los responsables de los departamentos. No hay sistemas de vigilancia para detectar posibles movimientos fraudulentos a los equipos de cmputo. Faltan definir polticas para la asignacin de contraseas de los equipos de cmputo. No se lleva un registro detallado de los usuarios que hacen uso de los equipos. No hay una hoja de vida de la existencia de los equipos. No se llevan bitcoras para la realizacin de procesos de mantenimiento. No existe personal encargado del mantenimiento de los equipos. La ventilacin de las oficinas no es la adecuada. No se ha asignado un espacio locativo para el ejercicio del mantenimiento preventivo y correctivo. No se ha definido un protocolo para la organizacin de los equipos dependiendo que clase de mantenimiento se proceder a efectuar.
61
No se hace monitoreo sobre la prestacin de servicios de mantenimiento de hardware contratados por la empresa. No se hace inventario de existencias de equipos de cmputo. No se lleva monitoreo de la capacidad del hardware con el fin de asegurar que siempre exista una capacidad justificable para procesar las cargas de trabajo. No se realiza un escaneo para evitar intrusiones en la red. El rack no posee las medidas de seguridad necesarias. No se definen fechas para cambios del proveedor de servicios de internet.
62
VALORACIN DE RIESGOS De acuerdo a los riesgos citados, se realiza la valoracin de los riesgos teniendo en cuenta la probabilidad de ocurrencia y el impacto del riesgo dentro de la red de datos de los departamentos de la empresa, para ello se realiza la siguiente tabla 1 donde se valoran los riesgos para su posterior clasificacin.
Tabla 1. Valoracin de riesgos
Riesgos / Valoracin Elctricos No existe conexin de polo a tierra No existe instalacin de sistema elctrico regulado No existe sistema de proteccin en cadas de energa No hay medidores de voltaje elctrico en sus tres fases La fase neutra no se encuentra bien identificada No existe caja de breakers de los circuitos del aula Siniestros y Catstrofes R7 sistemas contra incendios insuficiente Los usuarios no son capacitados en el uso adecuado R8 de extintores R10 No existen sistemas Extractores de calor Manejo y Control de Personal No hay un control de asistencia sobre los responsables de los departamentos No hay sistemas de vigilancia para detectar posibles R12 movimientos fraudulentos a los equipos de cmputo. No se lleva un registro detallado de los usuarios que R13 hacen uso de los equipos R11
Probabilidad A M B x x x x x x
Impacto L x x x x x x M C
R1 R2 R3 R4 R5 R6
x x x x
x x x
x x x
63
Manejo y Control de Hardware R14 No hay una hoja de vida de la existencia de los equipos No se llevan bitcoras para la realizacin de procesos de R15 mantenimiento No existe personal encargado del mantenimiento de los R16 equipos x R17 La ventilacin de la oficinas no es la adecuada no se hace monitoreo sobre la prestacin de servicios de R18 mantenimiento de hardware contratados por la empresa no se hace inventario de existencias de equipos de R19 computo x no se lleva monitoreo de la capacidad del hardware con el R20 fin de asegurar que siempre exista una capacidad justificable para procesar las cargas de trabajo x Manejo y Control de Redes R21 No se realiza un escaneo para evitar intrusiones en la red R22 El rack no posee las medidas de seguridad necesarias x x x x x x x x x x x x X x
Probabilidad Alta: A Media: M Baja: B
Impacto Catastrfico: C Moderado: M Leve: L
MATRIZ DE RIESGOS De acuerdo a la valoracin que se hace a los riesgos encontrados en la visita que se realiza a la empresa y a las instalaciones , se puede clasificar los riesgos como se muestra en la tabla 2.
64
Tabla 2. Clasificacin de Riesgos
LEVE
MODERADO
CATASTROFICO R7,R9,R10,R17, R19, R20
ALTO
R16 R12,R13,R15, R21
MEDIO
R24,R8,R11
R22,
BAJO
R1,R2,R3,R4,R5,R6,R18 R14
65
RESULTADOS DE LA AUDITORIA
A continuacin se presentan los resultados definitivos de la auditoria y las recomendaciones de mejoramiento por cada proceso COBIT auditado, una vez revisadas las observaciones y aclaraciones hechas al grupo auditor.
Dominio: Adquisicin e implementacin. Proceso: AI3 Adquirir y mantener la arquitectura tecnolgica. Objetivo de Control: Evaluacin de Hardware. Dictamen: Nivel de madurez 1 INICIAL: Se aplican algunos procesos administrativos por el Administrador de los departamentos con equipo de computo pero estos son realizados de manera desorganizada y espontnea, no se hace calendarios de inventarios y mantenimientos de hardware.
Hallazgos que soportan el dictamen: En las departamentos no se lleva un registro de mantenimiento y de cambios de hardware, adems no existe personal de mantenimiento dedicado a este proceso, el mantenimiento est sujeto a los recursos econmicos disponibles, el inventario no se actualiza sino hasta cuando se solicita informes por el director de la empresa. Recomendacin: El Administrador de los departamentos calendarizacin de inventarios y mantenimientos de hardware. debe sugerir
Objetivo de Control: Mantenimiento Preventivo para Hardware Dictamen: Nivel de madurez 1 INICIAL: Se aplican algunos procesos administrativos por el Administrador de los departamentos de informtica pero estos son realizados de manera desorganizada y espontnea, no se hace calendarios de inventarios y mantenimientos de hardware.
66
Hallazgos que soportan el dictamen: La empresa de diseo y mantenimiento de tecnologa de comunicacin no tiene programadas jornadas de mantenimiento estas estn sujetas a las programaciones de acuerdo a los recursos econmicos para dicho fin, El Administrador de lo diferentes departamentos solamente da de baja equipos no funcionales, pero no hace solicitudes de cambio de nuevos equipos ya que el nuevo hardware est supeditado a los recursos destinados para la adquisicin de tecnologa.
Recomendacin:
El
Administrador
de
los
departamentos
debe
sugerir
calendarizacin de inventarios y mantenimientos de hardware, adems de solicitar recursos para realizar mantenimiento y adquisicin de tecnologa. Objetivo de Control: Mantenimiento Preventivo para Hardware. Dictamen: Nivel de madurez 1 INICIAL: Se aplican algunos procesos administrativos por el Administrador de los departamentos , pero estos son realizados de manera desorganizada y espontnea, no se hace calendarios de inventarios y mantenimientos de hardware. Hallazgos que soportan el dictamen: La empresa no tiene programadas jornadas de mantenimiento estas estn sujetas a las programaciones de acuerdo a los recursos econmicos para dicho fin, El Administrador de los departamentos solamente da de baja equipos no funcionales, pero no hace solicitudes de cambio de nuevos equipos ya que el nuevo hardware est supeditado a los recursos destinados para la adquisicin de tecnologa.
Recomendacin:
El
Administrador
de
los
departamentos
debe
sugerir
calendarizacin de inventarios y mantenimientos de hardware, adems de solicitar recursos para realizar mantenimiento y adquisicin de tecnologa.
67
Dominio: Entrega de servicios y soporte. Proceso: DS12 Administracin de Instalaciones. Objetivo de Control: Escolta de Visitantes. Dictamen: Nivel de madurez 0 NO EXISTENTE: No se aplican procesos administrativos en lo absoluto. Hallazgos que soportan el dictamen: Las instalaciones no son adecuadas para la oficina del Administrador de los departamentos, No hay una buena identificacin de los departamentos, No existe identificacin de reas restringidas dentro de los departamentos de trabajo, No se hace el seguimiento de personas que ingresan a la empresa, No se ha instalado cmaras de seguridad. Recomendacin: El Administrador de los departamentos debe realizar
identificacin adecuada de los departamentos, sugerir a las directivas gestionar los recursos necesarios para la adecuacin de cmaras de seguridad para seguimiento de visitantes.
Objetivo de Control: Suministro Ininterrumpido de Energa.
Dictamen: Nivel de Madurez 1-INICIAL: Los procesos son espontneos y desorganizados. No se ha implementado procesos estndar para el manejo de controles ambientales.
Hallazgos que soportan el dictamen: Solo una de los departamentos de empresa tiene ventilacin, la cual presenta ruido alto en su funcionamiento, No existen ningn tipo de detectores de humo, temperatura dentro de los departamentos, La iluminacin solo cuenta con ventanales grandes e iluminacin artificial insuficiente.
Recomendacin:
El
Administrador
de
los
departamentos
debe
realizar
mantenimiento al ventilador actual y gestionar recursos necesarios para adecuar las aulas restantes.
68
Proceso: Proteccin contra Factores Ambientales.
Objetivo de Control: Controles Ambientales.
Dictamen: Nivel de madurez 3 DEFINIDO: Los procesos estn estandarizados, se documentan, se comunican y se capacita al personal encargado; pero no se miden o se hacen mediciones parciales de las metas.
Hallazgos que soportan el dictamen: Existen cables en el suelo que estorban a los usuarios, Existen en el techo de las salas cables sueltos sin marcar, Existen conexiones de 220 voltios sin sellar junto a las fuentes reguladas, existe una UPS para el servidor pero es de baja capacidad.
Recomendacin: El Administrador de los departamentos debe realizar adecuar de manera correcta de acuerdo a las normas el tendido de red elctrica, cubrir, desinstalar las conexiones que generen riesgo a los usuarios, realizar la adquisicin de una UPS para el servidor y los equipos administrativos que necesiten estar en funcionamiento para atencin de usuarios.
Dominio: Entrega de servicios y soporte.
Proceso: Proteccin contra Factores Ambientales.
Objetivo de Control: Seguridad Fsica.
Dictamen: Nivel de madurez 2 REPETIBLE: Los procesos siguen un patrn regular o estndar; pero no se ha documentado suficientemente. Falta capacitacin del personal encargado. La eficiencia y eficacia depende en gran parte del
conocimiento y profesionalismo de los empleados y contratistas.
69
Hallazgos que soportan el dictamen: Muchos cables de elctricos y de red sobre el piso que obstaculizan el paso a los usuarios, Existen puntos elctricos de 220 voltios juntos a tomas de 110 voltios sin identificacin adecuada, Cables de
electricidad sueltos sin identificacin, Canaletas plsticas sin proteccin, Cables de red de datos areos sin proteccin, No existen ningn tipo de alarmas dentro de los departamentos, Las sealizacin para salidas de emergencia no existen, Los interruptores de emergencia no estn debidamente identificados.
Recomendacin: El Administrador de los departamentos debe realizar una adecuacin de las reas para restringir accesos al servidor y equipos de red, adems del diseo de un plan de seguridad que permita conseguir recursos para adquisicin de cmaras de seguridad e instalacin de alarmas y sensores para proteccin de personal y activos de la empresa.
70
Conclusin:
La Auditora de Sistemas , hoy en da es de vital importancia para las empresas modernas, sobre todo inmersas en el mundo globalizado, porque si no se prev los mecanismos de control, seguridad y respaldo de la informacin dentro de una empresa se ver sumida a riesgos lgicos, fsicos y humanos, que conlleven a fraudes no solamente econmicos sino de informacin, es decir, prdidas para la empresa. La auditoria de sistemas deber comprender no slo la evaluacin de los equipos de cmputo de un sistema o procedimiento especfico, sino que a dems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, En la mayora de empresas existe una constante preocupacin por la presencia ocasional de fraudes, sin embargo, muchos de estos podran prevenirse. fallas en el control interno y la falta de vigilancia adecuada en las operaciones, entonces las posibilidades de sufrir un fraude son grandes. es importante crear una cultura empresarial encaminada a minimizar el riesgo.
71

Proyecto para Imprimir Ing. Faviel PDF

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Proyecto para Imprimir Ing. Faviel PDF

Diunggah oleh

Hak Cipta:

Format Tersedia

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

AUDITORIA DE SISTEMAS DE INFORMACION

LIC. EN INFORMATICA ADMINISTRATIVA 7MO TETRA DOMINGOS.

TAPACHULA , CHIAPAS A 30 DE MARZO DEL 2014

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

pueden obtener la forma de informacin almacenada en cintas, pelculas u otros medios.

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

Objetivos de los papeles de trabajo

Permiten demostrar si el trabajo del determinando su eficiencia y eficacia.

auditor fue debidamente planeado,

Servir como punto de referencia para posteriores auditoras.

Servir de puente entre el informe de auditora y las reas auditadas.

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

METODOLOGA PARA REALIZAR AUDITORA

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

Aqu se deben tener en cuenta aspectos tales como:

Establecer los Objetivos de la Auditoria: Los objetivos de la planeacin de la auditoria son:

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

Planeacin de la Auditoria de Sistemas

Ejecucin de la Auditoria de Sistemas

Dictamen de la Auditoria de Sistemas

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

RECOLECCIN DE INFORMACIN PARA AUDITORA INFORMTICA Y DE SISTEMAS

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ

MEMORANDO DE PLANEACIN AUDITORIA

IUDEM AUDITORIA DE SISTEMAS DE INFORMACION

ING. JULIO CESAR FAVIEL DIAZ