Auditoria Final Imprimir

A&J
AUDITORA PARA EL LABORATORIO EL INGENIO

-PG. 0-

A&J | Auditoria de Sistemas | 12 de julio de 2014
Auditora para el laboratorio
El Ingenio
INFORME FINAL
A&J

-PG. 1-
Contenido
INTRODUCCIN ..................................................................................................................................... 4
PRESENTACIN DE LA EMPRESA...................................................................................................... 5
DESARROLLO DE LA AUDITORA FSICA ........................................................................................ 7
1.1. TTULO DE LA AUDITORA ............................................................................................... 7
1.2. IDENTIFICACIN DEL CLIENTE ......................................................................................... 7
1.3. IDENTIFICACIN DE LA ENTIDAD AUDITADA ............................................................... 7
1.4. ALCANCE DE LA AUDITORA ............................................................................................ 7
1.5. OBJETIVOS DE LA AUDITORA ........................................................................................ 7
1.5.1. Objetivo General ............................................................................................................. 7
1.5.2. Objetivos Especficos ..................................................................................................... 8
1.6. EVALUACIN......................................................................................................................... 9
1.7. RESULTADOS ........................................................................................................................ 0
1.8. CONCLUSIONES: .................................................................................................................. 0
1.9. FECHA DE INFORME ........................................................................................................... 0
1.10. IDENTIFICACIN Y FIRMA DEL AUDITOR........................................................................1
1.11. DISTRIBUCIN DEL INFORME ............................................................................................1
DESARROLLO DE LA AUDITORA OFIMTICA .................................................................................1
2.1. TTULO DE LA AUDITORA.....................................................................................................1
2.2. IDENTIFICACIN DEL CLIENTE ...............................................................................................1
2.3. IDENTIFICACIN DE LA ENTIDAD AUDITADA.....................................................................1
2.4. OBJETIVOS DE LA AUDITORA .............................................................................................1
2.5. ALCANCE DE LA AUDITORA ................................................................................................ 2
2.6. EVALUACIN ............................................................................................................................. 2
2.7. RESULTADOS ............................................................................................................................ 4
2.8. CONCLUSIONES: ...................................................................................................................... 0
2.9. FECHA DE INFORME ............................................................................................................... 0
2.10. IDENTIFICACIN Y FIRMA DEL AUDITOR ............................................................................1
2.11. DISTRIBUCIN DEL INFORME ................................................................................................1
DESARROLLO DE LA AUDITORA DE DESARROLLO .....................................................................1
3.1. TTULO DE LA AUDITORIA.....................................................................................................1
3.2. IDENTIFICACIN DEL CLIENTE ...............................................................................................1
A&J

-PG. 2-
3.3. IDENTIFICACIN DE LA ENTIDAD AUDITADA.....................................................................1
3.4. OBJETIVOS DE LA AUDITORA .............................................................................................1
3.4.1. Objetivo General ..................................................................................................................1
3.4.2. Objetivos Especficos ..........................................................................................................1
3.5. ALCANCE DE LA AUDITORA ................................................................................................ 2
3.6. EVALUACION ............................................................................................................................. 2
3.7. RESULTADOS ............................................................................................................................ 0
3.8. CONCLUSIONES ....................................................................................................................... 0
2.12. FECHA DE INFORME ............................................................................................................... 0
2.13. IDENTIFICACIN Y FIRMA DEL AUDITOR ............................................................................1
DESARROLLO DE LA AUDITORA DE BASE DE DATOS .............................................................. 0
4.1. TTULO DE LA AUDITORA.................................................................................................... 0
4.2. IDENTIFICACIN DEL CLIENTE .............................................................................................. 0
4.3. IDENTIFICACIN DE LA ENTIDAD AUDITADA.................................................................... 0
4.4. OBJETIVOS DE LA AUDITORA ............................................................................................ 0
4.1.1. Objetivo General ................................................................................................................. 0
4.1.2. Objetivos Especficos ......................................................................................................... 0
4.5. ALCANCE DE LA AUDITORA .................................................................................................1
4.6. EVALUACIN ..............................................................................................................................1
4.7. RESULTADOS ............................................................................................................................ 0
4.8. CONCLUSIONES: ...................................................................................................................... 0
4.9. FECHA DE INFORME ................................................................................................................1
DESARROLLO DE LA AUDITORA DE APLICACIONES .................................................................. 3
5.1. TTULO DE LA AUDITORIA.................................................................................................... 3
5.2. IDENTIFICACIN DEL CLIENTE .............................................................................................. 3
5.3. IDENTIFICACIN DE LA ENTIDAD AUDITADA.................................................................... 3
5.4. OBJETIVOS DE LA AUDITORA ............................................................................................ 3
5.4.1. Objetivo General ................................................................................................................. 3
5.4.2. Objetivos Especficos ......................................................................................................... 3
5.5. ALCANCE.................................................................................................................................... 4
A&J

-PG. 3-
5.6. EVALUACION ............................................................................................................................. 4
5.7. RESULTADOS ............................................................................................................................ 5
4.11. FECHA DE INFORME ............................................................................................................... 9
4.12. DISTRIBUCIN DEL INFORME ............................................................................................... 9
DESARROLLO DE LA AUDITORA DE REDES ................................................................................ 11
5.1. TTULO DE LA AUDITORA .............................................................................................. 11
5.2. IDENTIFICACIN DEL CLIENTE ........................................................................................ 11
5.3. IDENTIFICACIN DE LA ENTIDAD AUDITADA .............................................................. 11
5.4. OBJETIVOS DE LA AUDITORIA ....................................................................................... 11
5.5. ALCANCE DE LA AUDITORA ........................................................................................... 12
5.6. EVALUACION........................................................................................................................ 12
5.7. RESULTADOS ....................................................................................................................... 12
5.8. CONCLUSIONES ................................................................................................................... 0
5.9. FECHA DEL INFORME ..........................................................................................................1
5.10. DISTRIBUCIN DEL INFORME ............................................................................................1
CONCLUSIONES DEL TRABAJO ........................................................................................................ 2
RECOMENDACIONES GENERALES...................................................................................................... 3
BIBLIOGRAFIA ......................................................................................................................................... 5
INTEGRANTES DEL GRUPO AUDITOR .............................................................................................. 5

A&J

-PG. 4-
INTRODUCCIN

Se puede afirmar que desde los tiempos ms remotos ha existido la
figura del revisor, que hoy conocemos con el nombre de Auditor. Estos
revisores de sistemas de informacin han venido utilizando normas y mtodos
ajustados al nivel de desarrollo tecnolgico de su momento.
Como consecuencia de la continua evolucin, o mejor dicho revolucin
del mundo informtico (cada da se consiguen ordenadores ms pequeos,
ms rpidos y ms baratos), el auditor debe estar al da tanto en los avances
de las nuevas tecnologas como en los nuevos riesgos inherentes a estas
tecnologas. EI auditor adems debe cubrir los objetivos tradicionales de la
auditora cuando una empresa requiera de sus servicios.
En el estado actual de la tecnologa el papel del auditor es triple: En
primer lugar debe poner de manifiesto a la direccin de la empresa los
importantes cambios que se estn produciendo, y los riesgos asociados que
se han de tener en cuenta (aconsejar). En segundo lugar, con anterioridad a
la puesta en funcionamiento de estas nuevas tecnologas, el auditor debe
asegurarse de que los controles que se hayan implementado, o se vayan a
implementar, son los adecuados. En tercer lugar el auditor debe evaluar la
efectividad de los nuevos controles como consecuencia de la utilizacin de
estas tecnologas (comprobar). Para que los auditores puedan cumplir con su
nuevo papel necesitan nuevos conocimientos, nuevas normas y nuevos mtodos
de trabajo.

A&J

-PG. 5-
PRESENTACIN DE LA EMPRESA

El laboratorio El Ingenio fue creado, pensando en cubrir las necesidades
de las Instituciones de Salud dedicadas principalmente a la atencin de
grandes o medianos grupos poblacionales, buscando optimizar los recursos
tecnolgicos y administrativos, para trasladar al usuario una gran calidad en
todo lo relacionado con el Diagnstico Clnico. Cuenta con un Laboratorio con
esquemas de tecnologa para el anlisis en todas las lneas de diagnstico
como de un manejo sistematizado de la informacin.
Este Laboratorio est en capacidad de suplir sus requerimientos sujetos
a programas de control de calidad y apoyos externos con Laboratorios
Referencia en la ciudad.
El Laboratorio puede proveer garanta y respaldo a sus resultados
Adems de una reduccin de los costos, los riesgos y problemas de manejo
que implica un Laboratorio anexo a su institucin. As, podemos garantizar un
servicio integral, una atencin gil y eficiente, junto con una ptima calidad
en los anlisis de diagnstico, para la total satisfaccin de su empresa, sus
colaboradores y los usuarios.
Es una empresa lder a nivel regional en el campo de los anlisis
clnicos y formamos parte del prestigioso consorcio de salud Los Fresnos de
la ciudad de Cajamarca. Se caracteriza por realizar una gran variedad de
exmenes clnicos, empleando los ms avanzados procedimientos de control
de calidad con la finalidad de ofrecer resultados confiables, oportunos y
seguros a los pacientes, clientes y empresas que nos entregan su confianza.

A&J

-PG. 6-

AUDITORA FSICA

A&J

-PG. 7-

DESARROLLO DE
LA AUDITORA FSICA

1.1. TTULO DE LA AUDITORA

Auditora fsica.

1.2. IDENTIFICACIN DEL CLIENTE

Tec. Lab. Carlos Ramn Valentn.

1.3. IDENTIFICACIN DE LA ENTIDAD AUDITADA

Laboratorio El Ingenio especficamente en el rea de Sistemas y
Mantenimiento de Equipos.

1.4. ALCANCE DE LA AUDITORA

Nuestra auditora se centrar en la sede central de la empresa y
abarca el rea de Sistemas y Mantenimiento de Equipos, as como tambin
otras subdivisiones que dependan de la supervisin del comit de calidad
de la organizacin, esta tiene por misin controlar los procesos de las
actividades de toda la empresa, por el hecho de ser la gestora de la
certificacin y cumplimiento de las buenas prcticas especificadas por el
ISO 9001.

1.5. OBJETIVOS DE LA AUDITORA
1.5.1. Objetivo General
Brindar una solucin o recomendacin a los riesgos
identificados con respecto a la seguridad fsica.
A&J

-PG. 8-
1.5.2. Objetivos Especficos

Planificar entrevistas con el personal que haya delegado la
encargada del comit de calidad para promover el desarrollo de
la auditora.
Realizar visitas a la empresa para analizar su infraestructura.
Revisin de las polticas y normas sobre seguridad fsica.
Verificar la seguridad de personal, datos, hardware, software e
instalaciones
Verificar la estructura de distribucin de los equipos.
Revisar la correcta utilizacin de los equipos.
Realizar las debidas recomendaciones de los riesgos y
vulnerabilidades que se pueda identificar con el desarrollo de la
auditora.

A&J

-PG. 9-

1.6. EVALUACIN
Se emple el mtodo de entrevista para la evaluacin de los
respectivos controles. A continuacin presentamos lo que se obtuvo:

tem a evaluar Cumple
No
Cumple
Observaciones
El edificio se ubica en una zona
segura?
X
La edificacin cumple con el
estndar de la legislacin impartida
por el municipio?
X
Cuenta con materiales de
construccin apropiados para la
seguridad de la informacin?
X El edificio es de material noble
Las reas de la organizacin se
encuentran protegidas de fenmenos
climatolgicos?
X
La organizacin en general est protegida
con techo a 2 aguas sobresaliente y una
pequea zona desprotegida para casos de
lluvias.
Cuenta con un sistema contra
incendios?
X
Posee control de accesos para las
oficinas.
X
Cmaras de video vigilancia en solo
puertas de acceso
La empresa tiene un distribucin del
cableada adecuada
X
Se evalan y controlan
permanentemente la seguridad fsica
de las instalaciones de cmputo y
del edificio donde funciona la
empresa?
X
No existe seguridad fsica en oficinas
donde se encuentran los CPD.
Los CPD (servidores) se encuentran
en una zona restringida de acceso?
X
solo es protegida por una llave de acceso
para esa oficina
Se tiene un plan de contingencia
frente a cualquier incidente?
X
No se tiene conocimiento sobre el
proceso de este plan por parte de los
empleados de la empresa.
Se realiza Backups en la empresa? X.
Los Backups se realizan de acuerdo a la
disponibilidad de tiempo. En algunos casos
se hace por da o en ltimas instancias se
hace mensual.
A&J

1.7. RESULTADOS

El rea de Sistemas y Mantenimiento de equipos del laboratorio El
ingenio, delega a su personal las actividades relacionadas con el soporte,
mantenimiento y otras actividades de competencia similar. Sin embargo
este no tiene un organigrama bien definido.

Para la labor de esta rea se cuenta con 2 personas, los cuales
desarrollan las actividades de soporte, mantenimiento y asistencia al
patrimonio informtico y otros equipos de la empresa.

La divisin de sistemas y mantenimiento de Equipos, tiene un
ambiente en el segundo piso, que es destinado para el servidor de base
de datos y los dems controles de cmaras de video vigilancia.

El desarrollo del anlisis en este punto identifica la mala
implementacin de los ambientes del rea que mencionamos en el alcance,
que relativamente se convierte en un grave riesgo para la empresa. La
carencia de gabinetes u otros equipos, que salvaguarden el patrimonio de
las reas involucradas y en general el de la empresa, dejan en grave
riesgo al correcto funcionamiento de las actividades de la entidad.

El funcionamiento de las actividades de la empresa no necesita de
muchos recursos informticos, sin embargo son necesarios. Las
computadoras estn interconectadas mediante red al igual que la
impresora matricial. Adems la empresa desarrolla las actividades de la
gestin de clientes mediante un sistema conectado a la base de datos
del servidor.

A&J

-PG. 1-
La sede central est vigilada por un sistema de cmaras de video
vigilancia, que enfocan algunos ambientes de la empresa. El diseo del
sistema tiene falencias, puesto que las cmaras estn mal ubicadas y
tienen un considerable nmero de puntos ciegos.

Con respecto a las medidas contingentes para salvaguardar el
patrimonio de la empresa, se observ que la empresa cuenta con extintores
(que no es el nmero recomendable).

Mencionamos tambin que la empresa no cuenta con una alarma
contra robos u otros incidentes; a eso le sumamos tambin que no cuentan
con un seguro que proteja sus activos.

Indistintamente de lo mencionado anteriormente, debemos acotar
tambin que la empresa no ha elaborado un plan de contingencia donde
se debe analizar los riesgos de sus sistemas crticos y establecer el perodo
crtico de recuperacin en caso de una incidencia de cualquier tipo, entre
otros puntos importantes.

Toda organizacin y/o empresa debera tener reglas para las
actividades de labor de sus empleados por lo que muchos especialistas
recomiendan establecer un ROF (Reglamento de operaciones y funciones),
y adems de tener un MOF (Manual de operaciones y funciones).

El laboratorio clnico El ingenio ha establecido normas y polticas
adecuadas para el normal funcionamiento de las operaciones diarias, pero
eso no deja de lado la mejora de estos.

Concluyendo sobre los resultados se ha elaborado el siguiente
cuadro donde especificamos los resultados ms importantes a tener en
cuenta as como su respectiva recomendacin y valoracin.
A&J

RESULTADO RIESGO C CONSECUENCIA ANLISIS RECOMENDACIONES
Las reas no se encuentran
protegidas contra
fenmenos climatolgicos
Inundaciones en
diversas reas de la
empresa.
Filtracin de humedad
principalmente en la zona
que tiene entrada hacia la
oficina principal afectando el
cableado, documentacin.
Vulnerabilidad
media
Mejorar la infraestructura para proteger
las zonas que se encuentran propensas a
filtraciones de agua, mediante una re-
ubicacin del rea.
Sistema contra incendios
incompleto
Propagacin del
fuego rpidamente
en la empresa
Prdida de recursos materiales,
humanos e informacin.

Vulnerabilidad
media
Disear un plano de ubicaciones de las
reas e Instalar extintores en zonas
estratgicas de la empresa.

Escasa seguridad fsica de
las instalaciones donde se
encuentran CPD (Centro
Procesador de Datos o
Servidor).
.
Fallos lgicos en los
componentes CPD

Averas Fsicas en el
CPD.
Prdida de informacin
importante de la empresa.
Vulnerabilidad
alta
Controlar el acceso a personas no
autorizadas con cmaras de seguridad.

Desarrollar polticas de seguridad para
el acceso al CPD.
Falta de control y
evaluacin permanente de
la seguridad fsica en el
rea donde se aloja el CPD
(Servidor)
Nuevas opciones de
perjuicios al CPD.
Prdida de informacin.

Gastos en Mantenimiento para el
soporte del CPD
Vulnerabilidad
alta
Elaborar un cronograma de revisin para
prevalecer la seguridad fsica donde se
encuentra el CPD.

Inadecuada ubicacin de
las instalaciones de
alojamiento de los CPD
(Servidores)
Fcil acceso del
personal, ajeno al
rea.
Sabotaje de los CPDs.
Robo de informacin.
Robo de equipos.
Vulnerabilidad
alta
Promover el acondicionamiento de un
ambiente exclusivo para los servidores,
donde solo tenga acceso el personal
inmerso con el rea, a fin de prevenir los
sabotajes.

A&J

1.8. CONCLUSIONES:

Habitualmente en la empresa el personal no tiene en consideracin
la seguridad cuando hacen uso de un sistema, ya que, frecuentemente se
ignoran los aspectos relacionados con la seguridad, ms aun si hablamos
de cuestiones fsicas. Pude que los usuarios a veces puedan tener una
imagen negativa de la seguridad, por considerarlo algo molesto y que
interrumpe su capacidad de realizacin de su trabajo. En un entorno seguro,
se limitan el acceso a los recursos que se consideren importantes.

Ello, contrastado con nuestra opinin, es favorable con salvedades,
puesto que, la empresa cumple algunos tems de control que hemos
evaluado, sin embargo muchos de ellos son desfavorables en la evaluacin.
Por tanto debera reforzar los puntos dbiles para salvaguardar la
informacin y no tener gastos innecesarios en caso de producirse
incidentes en la empresa.

Eso implica tambin reforzar la seguridad en cuanto a las
instalaciones donde se encuentran los equipos de cmputo.

1.9. FECHA DE INFORME
El desarrollo de esta auditoria inicio el 27de mayo del 2014,
estableciendo las actividades necesarias para el cumplimiento de los
objetivos trazados al inicio del informe de esta auditora.
Esta se desarroll conforme a lo planificado, con una entrevista con
Marcos Antonio Mendoza Campos. No sucedi ningn tipo de percance,
por lo que la fecha de culminacin, Como lo previsto, fue el 31 de mayo
2014.

A&J

-PG. 1-
1.10. IDENTIFICACIN Y FIRMA DEL AUDITOR
Grupo A&J
1.11. DISTRIBUCIN DEL INFORME

Representante rea
Carlos Ramn Valentn
Gerencia

A&J

AUDITORA OFIMTICA

A&J

-PG. 1-

DESARROLLO DE
LA AUDITORA OFIMTICA


Auditora Ofimtica.





La auditora se centrar en la sede central de la empresa y
abarca el rea de Sistemas y Mantenimiento de Equipos.
encargada del comit para promover el desarrollo de la Auditora.
Verificar si el hardware y software se adquieren siempre y cuando
proporcionen costo/beneficio.
Verificar los procesos de compra de tecnologa de informacin
sustentados con procedimientos, normas, polticas para el marco
de legalidad.
Verificar la existencia de un plan de actividades previo a la
instalacin.
A&J

-PG. 2-
Verificar si existen garantas para proteger la integridad de los
recursos informticos.
auditora.


El alcance est delimitado con el anlisis de los planes y
procedimientos, polticas de mantenimiento, inventarios ofimticos,
capacitacin del personal que tengan competencia con el rea de Sistemas
y Mantenimiento de Equipos.

2.6. EVALUACIN
La evaluacin de los controles que respectan a esta auditoria se
resume en el siguiente cuadro:
tem a evaluar Cumple No
Cumple
Observaciones
Existe un informe tcnico en el que se justifique la
adquisicin del equipo, software y servicios de computacin,
incluyendo un estudio costo-beneficio
X

Existe un responsable que coordine todo el proceso de
adquisicin e instalacin?
X

Han elaborado un instructivo con procedimientos a seguir
para la seleccin y adquisicin de equipos adems de
programas?
X

Se cuenta con software licenciado requerido para el
cumplimiento de las actividades?
X

Se ha asegurado un respaldo de mantenimiento y
asistencia tcnica?
X

Se han implantado claves o password para garantizar
operacin de equipos a personal autorizado?
X

Se han formulado completamente polticas respecto a
seguridad, privacidad y proteccin de las facilidades de
procesamiento ante eventos como incendios, robos, etc.,
que perjudiquen la informacin?
X
Existe pero no
son las
necesarias.
A&J

-PG. 3-
Se mantiene un registro permanente de todos los procesos
realizados, dejando constancia de suspensiones o
cancelaciones de procesos?
X
An no se tiene
la suficiente
informacin
para definir una
respuesta real.
Los operadores del equipo central estn entrenados para
recuperar o restaurar informacin en caso de destruccin
de archivos?
X

Los backups se guardan en lugares seguros y adecuados,
preferentemente en bvedas u otros lugares externos?
X

Se establecen procedimientos para obtencin de backups
de paquetes y de archivos de datos?
X

Todas las actividades del rea Informtica estn normadas
mediante manuales, instructivos, normas, reglamentos?
X

Se han instalado equipos que protejan la informacin y
los dispositivos en caso de variacin de voltaje como:
reguladores de voltaje, supresores pico, UPS, generadores
de energa?
X

Se han contratado plizas de seguros para proteger la
informacin, equipos, personal y todo riesgo que se
produzca por casos fortuitos o mala operacin?
X

Se hacen revisiones peridicas y sorpresivas del contenido
del disco para verificar la instalacin de aplicaciones no
relacionadas a la gestin de la empresa?
X

Se mantiene programas y procedimientos de deteccin e
inmunizacin de virus en copias no autorizadas o datos
procesados en otros equipos?
X

Mantienen una estandarizacin del sistema operativo en
los equipos de la organizacin?
X

Se pretende a la estandarizacin del Sistema Operativo,
software utilizado y se mantienen actualizadas las versiones
y la capacitacin sobre modificaciones incluidas?
X

Cada rea de la organizacin responde por los equipos a
su cargo?
X

Estn actualizadas las adquisiciones de equipos realizadas
por la organizacin?
X

El mantenimiento de los equipos informticos lo realiza el
responsable del rea de informtica?
X

Existe compatibilidad entre versiones de software
instalada?
X

Cuentan los usuarios con un manual de actividades a
realizar con relacin a la funcin que realiza?
X

El sistema cumple con los requerimientos del usuario final? X

A&J

-PG. 4-
El sistema es flexible a las necesidades de la organizacin? X

El manejo de claves est restringido y resguardado
adecuadamente?
X

La disponibilidad de datos de aquellos procedimientos
crticos est al alcance del responsable del rea de
informtica?
X

La informacin que es comunicada a otras reas est
compartida mediante archivos restringidos?
X

La manipulacin del contenido de los archivos es
restringida?
X

La informacin que se comparte se realiza por medio de
dispositivos extrables?
X

2.7. RESULTADOS
Para dar relevancia al excelente inventariado de los equipos que
estn a cargo del rea, mencionamos que esta labor se establece mediante
formatos elaborados donde se especifica puntos importantes como:
Nombre de equipo, rea de ubicacin, Fecha de mantenimiento y otras
descripciones. Adems adicionalmente se cuenta con un documento donde
se especifica el tiempo de vida del equipo. En cuanto a las facturas,
boletas y otros comprobantes de las compras de equipos o repuestos, el
rea hace llegar los comprobantes originales al rea de contabilidad y la
copia los archiva en la carpeta a su cargo. Aclaramos que la compra de
los equipos no se hacen en conjunto, si no de acuerdo a la necesidad
de estos. De ello tambin se destaca que cada compra siempre tendr
que estar avalada para un ao de garanta.
El mantenimiento y control de aplicaciones o software a los equipos
se hacen diariamente. La finalidad es mantener el estndar operativo de
los equipos, controlando los programas instalados, actualizaciones y los
fallos de estos.

A&J

-PG. 5-
Otro Punto importante es la compra de licencias para las
aplicaciones o software en los equipos computadores. Las licencias son
originales (ello no est corroborado) y se mantiene un contrato con ello
segn afirma el encargado del rea de sistemas y soporte. Especficamente
cada computador tiene instalado:
Sistema Operativo Windows XP, 7 y 8 (LICENCIA OM)
Paquete Microsoft Office 2007(Licencia estndar)
Sistema SIGLA (Software comprado con licencia de por vida)
Teamviewer V 9.0 (Licencia Free)
Adobe Reader PDF (Licencia Free)
Antivirus Eset Endpoint Security.(Licencia Standard)
Simbiosys.
Estos programas son comprados de acuerdo a la necesidad general
de la empresa. El cambio de versiones de las aplicaciones se actualiza
uniformemente, a modo de que los equipos mantengan un estndar.
Panormica general de la seguridad.- Habitualmente en la empresa
los usuarios nales no tienen en consideracin la seguridad cuando hacen
uso de un sistema, ya que, frecuentemente se ignoran los aspectos
relacionados con la seguridad. Los usuarios a veces puedan tener una
imagen negativa de la seguridad, por considerarlo algo molesto y que
interrumpe su capacidad de realizacin de su trabajo. En un entorno
seguro, un usuario se encuentra con tareas que le pueden resultar
incmodas (como por ejemplo, recordar contraseas, cambiarlas
peridicamente, etc.) y que pueden limitar las operaciones que puede
realizar as como los recursos a los que se le permite acceder.
Inconvenientes que generalmente no suceden dado que la totalidad de la
gestin de contraseas, esta manejada por Marcos Mendoza Campos quien
tiene inventariado manualmente todas las contraseas en un cuaderno.
Probablemente el gran riesgo es la falta de copia de respaldo y la falta
A&J

-PG. 6-
de proteccin de ste, donde su prdida implicara importantes
consecuencias a la empresa.
La comunicacin est centralizada por un servidor con usuarios que
hacen uso de la misma red de comunicaciones. No sabemos a ciencia
cierta la totalidad de software que proteja al servidor, por lo tanto no
podemos dar un diagnstico certero, ya que el acceso a ello y otras
acciones importantes para la evaluacin de la auditora est sujeta de una
respuesta de permiso. Fsicamente el acceso al servidor est controlado
por cmaras y la supervisin del encargado del rea de sistemas.
La gestin de documentos est regulado por las polticas de la
empresa, con la prohibicin del uso de dispositivos de almacenamiento
extrable (USB, CD-s, DVD-s, etc.). Estos documentos estn almacenados
en el disco duro del servidor y su acceso se establece por comunicacin
de la red, porque cada rea tiene una carpeta especfica para el
almacenamiento de cada documento. Empero estos documentos no tienen
copias de respaldo y pueden ser accesibles para manipulacin del archivo
en general, mas no del contenido por estar protegidas por contraseas.
Mediante el siguiente cuadro damos relevancia a tems importantes
que se obtuvieron a partir de lo descrito anteriormente.

A&J

RESULTADOS
RIESGOS CONSECUENCIAS ANLISIS RECOMENDACIONES
No cuentan con inventarios
de hardware y hojas de vida
de manera fsica que los
refleje fielmente.
Equipos no garantizados a
un plano de legalidad.
Robo (hurto fsico) de
informacin de equipos.
Equipos con mayor
posibilidad de desuso.
Vulnerabilidad
media.
Inventariado digital de la informacin
de los equipos.

Inadecuado mantenimiento
y control de aplicaciones o
software a los equipos.
Instalacin de software
malicioso que afecte la
proteccin de datos
privada.
Instalacin de virus que
ralenticen el funcionamiento
del equipo.
Vulnerabilidad
alta
Mantener un adecuado y repentino
control de los equipos.
Falta de conocimiento del
personal sobre riesgos de
seguridad.
Falta de induccin,
capacitacin y
sensibilizacin sobre
riesgos de seguridad.

Dao en equipos.
Interrupcin de las labores y
retardo en el tiempo de
repuesta al cliente.
Vulnerabilidad
media
Ampliar las polticas y/o normas que
regulen la privacidad, proteccin y
seguridad de la informacin ante
posibles incidentes.

Promover capacitaciones al personal
para el uso adecuado de la tecnologa
ofimtica y de la seguridad.
Falta de formulacin de
polticas respecto a
seguridad, privacidad y
proteccin de datos ante
incidentes como robos y
otros que perjudiquen o
alteren la informacin.

Personal curioso que
tenga acceso a ciertas
zonas que contengan
datos sensibles.

Prdida de informacin a
causa de un descuido.
Acceso a informacin sensible
en reas poco controladas.

Posible dao a la data por
causa de algn desperfecto.

Vulnerabilidad
media
Implementacin de polticas que
queden documentadas.
Realizar un plan de contingencia
frente a estos posibles incidentes.
Operadores de la sede
central estn entrenados
En ausencia del
responsable puede haber
un desperfecto o alguna
Retraso en las operaciones
que requieran la utilizacin de
Vulnerabilidad
media.
Establecer una documentacin en
simples pasos para que alguna
A&J

-PG. 1-
para recuperar o restaurar
informacin en caso de
destruccin de archivos.
falla que pueda retrasar las
operaciones normales.
reportes digitalizados y hacia
otras sedes.
persona autorizada pueda resolver el
incidente.
Falta de backups que se
guarden en lugares seguros
y adecuados.
Actualizaciones de
backups no muy
frecuentes con fcil
prdida de data
actualizada.
Prdida de datos actualizados
que permitan operar de
manera eficiente.
Vulnerabilidad
alta
Adecuar o extender ambientes fsicos
para salvaguardar los back-ups o
copias de respaldo de la informacin
de la organizacin. Segn el volumen
de data contenido.
Falta de procedimientos
para la obtencin de
backups de paquetes y de
archivos de datos.
Posibilidad de ocurrencia
de algn incidente con
prdida de datos y de
volver a incurrir en el
mismo problema.
Prdida de tiempo al
momento de volver a analizar
el problema y de requerir una
documentacin de ayuda
para dicha operacin.
Vulnerabilidad
media
Documentacin del procedimiento
con informes que sean aprobadas por
mecanismos estndar de evaluacin.

Planificar las fechas para la
generacin de back-ups y copias de
respaldo de la informacin de la
empresa.
Falta de instructivos de
actividades realizadas en el
rea de informtica
normadas mediante
manuales y/o reglamentos.
Ocurrencia de actividades
repetidas que pueden
suponer prdida
econmica a la
organizacin.
Prdida de tiempo en
actividades que son
repetitivas en el rea.
Vulnerabilidad
media
Realizar una documentacin de las
actividades realizadas en el rea.
No estn actualizadas las
adquisiciones de equipos
realizadas por la
organizacin.
Falta de informacin al
momento de entregar un
reporte al rea de
Contabilidad y Calidad
para su respectiva
documentacin y
posteriores resultados.
Informacin poco actualizada
de las adquisiciones, aunque
estas se den de forma
espordica.
Vulnerabilidad
media
Realizar el respectivo informe de
adquisicin de equipos apenas
realice la compra.
A&J

-PG. 2-
El manejo de claves de los
archivos de informacin no
est restringida y
resguardada
adecuadamente
Acceso a las claves de
usuario y con ello los
privilegios que resguarda.
Uso de informacin sensible
por parte de algunos usuarios
que puedan utilizar la
ingeniera social para el robo
de informacin.

Prdida de claves por
descuido y el reinicio de todo
el sistema generando
prdidas econmicas.
Vulnerabilidad
alta
Tener un uso adecuado de las
mejores prcticas en cuestin de
manejo de informacin.

Establecer medidas de proteccin
para salvaguardar la informacin
sensible de la empresa.

La disponibilidad de datos
de los procedimientos
crticos est al alcance del
responsable del rea de
informtica.
Desconocimiento del
sistema y menor apoyo en
los incidentes del sistema.
Disminucin del tiempo de
respuesta a posibles
incidentes ocurridos en el
sistema.
Vulnerabilidad
alta
Tener disponibilidad de recursos que
impliquen un mayor conocimiento
del funcionamiento del sistema en
todos sus mdulos.
No existe restriccin de
archivos compartidos que
es comunicada a otras reas.
El posible uso inadecuado
de la informacin por
parte de algunos usuarios
que tienen informacin
que no es de su
competencia.
El mal uso que pueden dar
algunos usuarios con esta
informacin y/o el robo de
esta informacin.
Vulnerabilidad
media
Realizar una comparticin de archivos
que est restringida por reas para
que la visualizacin de esta
informacin sea de competencia de la
respectiva rea implicada.
A&J

2.8. CONCLUSIONES:

Se tiene en cuenta de manera clara que la gestin de archivos y
documentacin por el uso de medios extrables est restringida segn la
poltica de la empresa, esto va en conformidad con los principios
establecidos y normas de la organizacin.

Existe una limitacin al alcance con respecto al alcance de la
documentacin se seala que cuenta con un manual de actividades
relativas al usuario de la organizacin donde el grupo acepta la opinin
dada por la organizacin a travs del encargado de sistemas, pero con la
salvedad que dicho documento no consta al grupo auditor de su existencia,
por lo que el grupo auditor no pudo continuar con los respectivos
procedimientos que concibe la auditora.

El 27 de mayo del 2014 se nos consign el desarrollo de esta
auditora, por lo que planificamos el apersonamiento y la entrevista
respectiva para recabar la informacin. Aunque desarrollamos gran parte
de lo planificado, quedo pendiente la tarea de auditar con una aplicacin
auditora (Software), el cual no se pudo desarrollar por falta de tiempo y
considerarse riesgoso para la empresa.
Sin embargo la auditoria obtuvo la suficiente informacin. Dando
hincapi para la elaboracin del informe con resultados satisfactorios.
La fecha de culminacin del informe fue el 31 de mayo del 2014,
quedando solo para revisin con la docente.

A&J

-PG. 1-
Grupo A&J

Representante rea
Carlos Ramn Valentn
Gerencia

A&J

AUDITORA DE DESARROLLO

A&J

-PG. 1-

DESARROLLO DE
LA AUDITORA DE DESARROLLO

3.1. TTULO DE LA AUDITORIA

Auditora de Desarrollo.




Laboratorio El Ingenio sede central.

Brindar una solucin o recomendacin a los riesgos identificados
con respecto al plano del desarrollo de la gestin organizacional
de proyectos y de los SI.
Evaluar los controles de seguridad.
Verificar los procedimientos de seguridad en la red interna.
Verificar la implementacin de su centro de red.
Planificacin de reunin para la entrevista y apersonamiento
correspondiente

A&J

-PG. 2-


El alcance est delimitado con el anlisis de acuerdo a las normas
aplicables a la existencia y aplicacin de procedimientos de control
adecuados que permitan garantizar el desarrollo de Sistemas de
Informacin as como tambin del plano de Desarrollo para la Gestin
Proyectos referente a la sede principal de la empresa en el rea de
Sistemas y Mantenimiento de Equipos.
3.6. EVALUACION
Como en cada auditoria, la evaluacin se hizo mediante el siguiente
cuadro:
No
Cumple
Observaciones
Existe un organigrama con la estructura de organizacin
del rea?
X
Existe un documento de la organizacin detallando las
funciones de las persona implicadas en una determinada
rea?
X
El Documento es claro y realista? X
Se cuenta con un plan Organizacional? X
Solo se toman
planes a nivel
Informativo
Se revisa y actualiza con periodicidad en funcin de las
nuevas situaciones.
X
Se difunde a todos los empleados para que se sientan
partcipes.
X
Cuentan con
documentos al
alcance de los
empleados
Estn establecidos los procedimientos de promocin de
personal a puestos superiores, teniendo en cuenta la
experiencia y formacin?
X
La Organizacin lleva su propio control presupuestario? X .
El presupuesto est en concordancia con los objetivos a
cumplir?
X
A&J

-PG. 3-
Existe procedimientos de contratacin? X
Las ofertas de puestos del rea se difunden
suficientemente fuera de la organizacin?
X
Las personas seleccionadas cumplen con requisitos del
puesto al que acceden.

Existe un protocolo de recepcin/abandono para las
personas que se incorporan o dejan el rea. Se debe
comprobar que:
X
El protocolo existe y se respeta para cada
incorporacin/abandono
X
En la incorporacin se incluye estndares definidos,
manual de organizacin del rea, definicin de puestos,
etc
X
En los abandonos de personal se garantiza la proteccin
del rea.
X
Existe una biblioteca y una hemeroteca accesibles al
personal del rea.
X
Existe un mecanismo que permita que los empleados
hagan sugerencias sobre las mejoras en la organizacin
del rea
X
No existe una gran rotacin de personal y hay un buen
ambiente de trabajo.
X
Hay gran
rotacin pero
en una
determinada
rea
Existe un procedimiento para la propuesta de realizacin
de nuevos proyectos.
X
Existe un plan de sistemas, los proyectos que se lleven a
cabo, y se lo mantiene actualizado?
X
Los nuevos proyectos se basan en el plan de sistemas en
cuanto a objetivos y en el marco general
X
Las fechas de realizacin coinciden con las del plan de
sistemas.
X
La documentacin relativa a cada proyecto contiene los
objetivos, los requisitos generales y un plan inicial
X
Solo se toman
planes a nivel
Informativo
El plan de sistemas se actualiza con la informacin que
se genera a lo largo del proceso de desarrollo
X
Cuentan con
documentos al
alcance de los
empleados

A&J

3.7. RESULTADOS
RESULTADO RIESGO CONSECUENCIA ANLISIS RECOMENDACIONES
No existe el rea
encargados para la
gestin de desarrollo del
el organigrama.
Disgregacin
Organizacional
a nivel tctico.

Crear desconocimiento al personal frente a los
responsables que lideran la gestin de
desarrollo de la organizacin.
Vulnerabilidad
media
Evaluar, Organizar y Re-estructurar el
Organigrama de acuerdo al actual nivel
organizacional y visin de la empresa
Se cuenta con un
documento ROF Y MOF
que carece claridad y
realismo
Crear Falsas
identidades en
la realizacin
de tareas en el
personal
Inestabilidad en el flujo de tareas en un
proceso determinado
Redundancia de tareas en el personal
Vulnerabilidad
media
Evaluar, analizar y corregir dichos
documentos de acuerdo a la estructura
organizativa, adems la aprobacin de
esta para garantizar la veracidad.
Falta de actualizacin y
revisin del plan
Organizacional
Falsa
Planificacin
de recursos.
Prdida de Recursos Humanos, econmicos
Incumplimiento de plazos y calendarios de
tratamientos y entrega de proyectos u otros.
Vulnerabilidad
Alta
Asignar a un responsable con
conocimiento a nivel estratgico para
actualizacin de acuerdo a las nuevas
situaciones de la organizacin.
No existe un mecanismo
de sugerencias para el
control de aplicaciones
por parte del personal
Incumplimiento o
prolongacin de
tareas
Usuarios insatisfechos en la labor de sus
actividades.

Retardo de la informacin en un cronograma
estipulado afectando el flujo de la
informacin.
Vulnerabilidad
media
Crear procedimientos documentados
para la mejora de tareas, procesos o
actividades para la satisfaccin del
personal.
No existe mecanismo
documentado para el
control de aplicaciones

Control de las aplicaciones de forma no
garantizada dejando algunos puntos sin
revisin.
Vulnerabilidad
media
Desarrollar un documento para el control
de aplicaciones de forma especfica para
cada problema de forma independiente.
Inexistencia de un plan
de sistemas y
tecnologas
Falsa
Planificacin
de recursos.
Mantenimiento constante de soporte a
tecnologas.
Prdida de recursos humanos y econmicos
Objetivos inconclusos a nivel estratgico.
Vulnerabilidad
Alta
Desarrollar un plan claro con
actualizacin peridica para dar soporte
a la gestin de tecnologas de la
organizacin con coste/beneficio de
acuerdo a nuevas tendencias.
A&J

3.8. CONCLUSIONES

El principal problema de la empresa en lo que respecta a desarrollo
es la carencia de un plan de desarrollo. No cuenta con un MOF y un ROF
especfico para esta rea.

Ello se contrasta en la falta de un plan de sistemas y tecnologas,
por lo que se infiere que el rea de sistemas no es valorada como tal.
Sin embargo, ser mejor valorada en la medida que la tecnologa de
informacin tome mayor importancia estratgicamente en la toma de
decisiones, puesto que hoy en da muchas empresas que encuentran la
clave del xito en ello.

Con estas lneas tratamos de que la empresa, en su integridad,
tome conciencia del tremendo potencial que tiene la tecnologa de
informacin tiene para brindar un servicio eficiente y de calidad a los
ciudadanos y a las empresas. De ser as podran dar pasos agigantados
en mejorar an ms la competitividad general en el mercado.

Si la empresa toma conciencia de lo que quiere alcanzar se dar
cuenta de que la planificacin es un punto importante. As como tambin
la buena administracin de sus recursos y las capacidades de su personal.


La planificacin del desarrollo del informe de esta auditora,
enmarcaba una reunin el 07 de junio del 2014, la cual se desarroll
como lo planificado. Empero, dado a que la informacin que se recogi
no fue la suficiente, se propuso la presentacin de un documento, donde
informbamos lo sucedido. La respuesta de este tardo unos cuantos das.
A&J

-PG. 1-

En fin luego de obtener la respuesta, el grupo empez la redaccin
del informe correspondiente. Dndole fin el 5 de julio (en paralelo con la
auditoria de aplicacin y la auditoria de base de datos) y quedando solo
para revisin.

Grupo A&J

Representante rea
Carlos Ramn Valentn
Gerencia
A&J

AUDITORA DE BASE DE DATOS

A&J

DESARROLLO DE
LA AUDITORA DE BASE DE DATOS


Auditora de Base de Datos





Garantizar la integridad y seguridad de los datos e
informacin que se generan y guardan en la Base de Datos
mediante la recopilacin y anlisis de todos los registros pertinentes
en el rea de sistemas y referentes a la base de Datos.
Recopilar informacin acerca de actividades especficas de la
BD.
Adquirir la informacin necesaria del SGBD y las actividades
que realiza el Administrador de Base de Datos.
Mitigar los riesgos asociados con el manejo inadecuado de los
datos.

A&J

-PG. 1-


Controlar la definicin y existencia de todos los objetos que son
necesarios en la BD y que son utilizados por los distintos sistemas de la
empresa.
El alcance est delimitado por la evaluacin del rea de Calidad
en lo que corresponde a:
Funciones.
Normas y Polticas.
Capacitacin.

4.6. EVALUACIN
No
Cumple
Observaciones
Se realiza copias de seguridad
(diariamente, semanalmente,
mensualmente, etc.)?
X
Que se encuentra un administrador de
sistemas en la empresa que lleve un
control de los usuarios?
X
Se renuevan las claves de los usuarios
de la Base de Datos?
X
Se encuentran listados de todos
aquellos intentos de accesos no
satisfactorios o denegados a estructuras,
tablas fsicas y lgicas del repositorio?
X
Mediante el manejo de usuarios
a la base de datos se puede
identificar quien modifico o
realizo algn cambio.
Posee la base de datos un diseo fsico
y lgico?
X
Posee documentacin del diseo fsico
y lgico?
X
La documentacin del ambos
diseos si existen pero las
posee el DBA siendo esta
persona externa a la empresa,
ubicado en la ciudad de Lima.
Los dispositivos que tienen las copias
de seguridad, son almacenados fuera del
edificio de la empresa?
X
No cuentan con un respaldo
solo tienen los servidores de
forma local.
A&J

-PG. 2-
Cundo se necesita restablecer la base
de datos, se le comunica al
administrador?
X

Se documentan los cambios efectuados? X
Se establecen procedimientos para
obtencin de backups de paquetes y de
archivos de datos?
X
Existe algn tipo de documentacin
referida a la estructura y contenidos de
la Base de Datos?
X
Existe algn plan de contingencia ante
alguna situacin no deseada en la Base
de Datos?
X
Toda la documentacin referida
a la SGDB la tiene el ingeniero
externo a la empresa.
Se notifican las acciones realizadas a
nivel de mantenimiento de software?
X
No se da el mantenimiento
necesario, porque no tienen
control total sobre la misma.
Desarrollar polticas de gestin de datos. X
Controlar la integridad y seguridad de lo
s datos
X
Hasta ahora no habido ningn
tipo de percance con
respecto a la vulnerabilidad
de los datos, pero si ha
ocurrido errores en cuanto
las actualizaciones.
A&J

4.7. RESULTADOS
Ausencia de documentacin
del diseo fsico y lgico
manejado por la
organizacin.
Incremento de la
dependencia del
servicio informtico
debido a la
concentracin de
datos.
Demoras en la solucin
de inconvenientes en la
DB.
Falta de seguridad y
confiabilidad en el
sistema.
Vulnerabilidad
alta
Disponer de dichos registros en las cuales se
encuentre la informacin para poder realizar
modificaciones al sistema que se ajusten a las
necesidades del sistema.
Es necesario considerar renovar el manual de
manejo de la base de datos.
Las copias de seguridad no
son almacenados fuera del
edificio de la empresa
(vaulting)
Incidentes que
puedan causar
prdidas como
incendios,
sobrecargas
elctricas.
Prdida de la
informacin.
Sobrecarga de data en
el CPD.
Vulnerabilidad
alta
Realizar copias de seguridad y mover de
localizacin la copia completa de los datos por
lo menos una vez al mes.
Tener en cuenta las polticas de restauracin
de datos.
Si la empresa lo cree conveniente, contratar un
servicio externo para almacenar su informacin.
Ausencia de un plan de
contingencia que reporte
una solucin ante una
situacin no deseada en la
Base de Datos.
Menor control del
sistema informtico.
Prdida de informacin.
Prdida econmica y de
tiempo.
Capacidad de respuesta
lenta y no pensada.
Vulnerabilidad
alta
Realizacin de un plan de contingencia que
permita prevenir y resolver situaciones no
deseadas, para solucionar de manera ms
rpida en caso ocurra nuevamente dichas
fallas.
Poca frecuencia de copias
de seguridad en distintos
tipos de soporte (discos,
nube)

Prdida de datos
actualizados.
Vulnerabilidad
alta
Manejo de herramientas simples que permitan
el backup programado como el fwbackup.
Copia en la nube es un servicio online que
puede resultar alternativa pero que depende
del volumen de informacin.
A&J

-PG. 1-

Las instalaciones donde se
encuentra el CPD son poco
resistentes a potenciales
daos causados por agua,
incendios, etc.
Posibilidad de
ocurrencia del
hecho.
Instalaciones
expuestas a tomas
elctricas cerca del
CPD.
del CPD.

Vulnerabilidad
alta
Tener extinguidores cercanos al procesador de
datos.
Capacitar al personal en el manejo adecuado
de estos dispositivos.
Guardar la informacin local y en remoto y en
soporte ptico para asegurar la permanencia
de los datos.
A&J

4.8. CONCLUSIONES:
Segn todos los tems especificados anteriormente podemos decir
que en la Auditora de Base de Datos Laboratorios El Ingenio E.I.R.L. nuestra
opinin es favorable con salvedades por los siguientes motivos:
La empresa no siente que sea necesario implementar el rea de
Sistemas, ya que no afecta a la organizacin en caso de ocurrir fallos,
porque pueden seguir trabajando sin la ayuda del sistema.
Hasta la actualidad como no le han tomado la debida importancia
al rea de sistemas este informe demuestra que si no existe un buen
manejo en esta rea podra generar prdidas de informacin, fallas en los
reportes emitidos, prdidas econmicas innecesarias.
Aun as el DBA cumple con las obligaciones a nivel medio teniendo
en cuenta los recursos a su alcance para ello es indispensable:
Seguir con el buen control de la base de datos e implementar la
configuracin de la replicacin para mayor seguridad de los datos.
Tener en cuenta que todos los procedimientos deberan estar
documentados.
Tener o implementar un manual de base de datos en caso de fallas,
para una rpida solucin ante un problema.
Se debern establecer los tipos de usuarios, perfiles y privilegios
necesarios para controlar en acceso a las bases de datos.
Principalmente, con la realizacin de este trabajo prctico, la
principal conclusin a la que hemos podido llegar, es que toda empresa,
pblica o privada, que posean Sistemas de Informacin medianamente
complejos, deben de someterse a un control estricto de evaluacin de
eficacia y eficiencia.
A&J

-PG. 1-
Como lo dicho en la auditoria previa a esta, esta auditoria se
desarroll el 05 de julio 2014, pero fue consignada el martes primero del
mes. Y se present para revisin el 07 de julio del 2014.

Representante
rea
Carlos Ramn Valentn
Gerencia

A&J

-PG. 2-

AUDITORA DE APLICACIONES

A&J

-PG. 3-

DESARROLLO DE
LA AUDITORA DE APLICACIONES

5.1. TTULO DE LA AUDITORIA

Auditora de Aplicaciones





Realizar un informe de Auditoria con el objeto de verificar la
adecuacin de los estndares de funcionamiento y procedimiento
del rea de informtica.
Informar sobre la fidelidad y razonabilidad de la situacin de la
empresa centrndonos, en lo que respecta a las aplicaciones
informticas dentro de la empresa.


encargada del rea para promover el desarrollo de la auditora.
auditora.
A&J

-PG. 4-
5.5. ALCANCE
Nuestra auditora est centrar en la sede central de la empresa y
abarca el rea de Sistemas y Mantenimiento de equipos, as como tambin
otras subdivisiones que dependan de la supervisin de esta, puesto que
el rea especificada tiene por misin ofrecer soluciones a los equipos y
aplicaciones que competan al rea.
5.6. EVALUACION

No
cumple
Observaciones
Se cuenta con documentacin
del software implementado en la
empresa?
X
La empresa cuenta con un manual de
usuario del sistema que ha sido
desarrollado por el encargado de
soporte.
Cuentan con un plan de
contingencia contra errores
accidentales o deliberados,
causados por el uso incorrecto
o no autorizado de los
programas?
X
La empresa debe considerar el contar
con un plan de contingencia en caso
de suceder incidentes o desastres.
Se realizan mantenimientos
preventivos peridicos todos los
equipos?
X
Control y autorizacin adecuada
en la implementacin de
sistemas y en las modificaciones
de los mismos.
X
Cuenta con listado de
programas instalados en los
equipos de la empresa?
X
Se Utilizan los equipos solo
con fin empresarial?
X
Cuentan en la empresa con
manuales de usuario de los
programas instalados en los
equipos?
X
Se restringe el ingreso a
pginas de msica, redes
sociales, etc.?
X
A&J

-PG. 5-

5.7. RESULTADOS
La auditora de aplicaciones informticas se centra en aquel
Software que permite automatizar los procesos de la empresa, por lo que
el desarrollo de esta se centr en el sistema SIGLA, por ser la nica
aplicacin existente de la empresa que cumpla con la tarea que se
describi anteriormente.
El Beneficios y operatividad de las Aplicaciones Informticas
actualmente, coloca a que el uso del ordenador en las empresas peruanas
asciende hasta el 96,2%, incrementando 4 puntos porcentuales respecto
a 2010. Establecindose como principal argumento, para la disposicin de
aplicaciones y tecnologas que permitan aprovechar al mximo los
ordenadores, a fin de facilitar el desarrollo de las actividades de la
empresa.
En la auditoria ofimtica, mencionamos genricamente que el
laboratorio El ingenio dispone del SIGLA. Por ello esta auditoria ahondar
ms en la evaluacin de ello (por ser la nica aplicacin) y no en
aplicaciones ofimticas como MS Office, TeamViewer, entre otras
aplicaciones de uso de la empresa y que estn establecidas para instalar
para operatividad de los ordenadores.
Decidimos iniciar la descripcin de los resultados analizando la
incidencia que se resume en la siguiente frase: El sistema no es lo
suficientemente flexible a nuestro modelo de negocio, por lo que se est
Se cuenta con respaldos de
informacin en caso de fallo de
SW?

X
Se debera considerar guardar copias
de respaldo uno en la institucin y
otra en otro local de los programas
fuente y aplicaciones de Software,
base de datos para as siniestros o
desastres que pudieran ocurrir
Los programas instalados en
los equipos son originales?
X
Si la empresa lo considera necesario
de debe comprar software original ya
que los programas libres no tienen
mucha seguridad en cuanto a
proteccin de informacin
Son flexibles las aplicaciones
que se utilizan en la empresa?
X
El sistema SIGLA por ser genrico, y
al depender su funcionamiento de un
ingeniero externo, produce gastos
innecesarios, lo que no sucedera al
implementar un software que se
ajuste a la empresa.
A&J

-PG. 6-
pensando la implantacin de otro sistema para dejar en desuso al SIGLA,
se aduce internamente.
En realidad el problema radicara en el costo de recursos que
implica la dependencia de un agente externo (el mismo que implant el
sistema).
De acuerdo a la documentacin a la que hemos podido acceder
mediante investigacin externa, la flexibilidad del sistema depende de la
persona que este encargada de la adaptacin del sistema. Y que por ser
un software genrico su correcta operatividad depende estrictamente del
equipo gestor que designe la empresa para la implantacin.
Por ello, afirmamos que: El sistema de informacin Global del
laboratorio (SIGLA)1 es un sistema de alta disponibilidad autnomo e
independiente, con los elementos necesarios para la gestin de la actividad
de las distintas secciones del laboratorio El ingenio.
Indistintamente de lo expuesto anteriormente, mencionamos que la
empresa usa de este sistema, 5 mdulos, los cuales son: Modulo de
microbiologa, Modulo de estadstica, Modulo de urgencias, Mdulo de
Control y seguimiento de la actividad; y el Modulo contabilidad. Aunque
este ltimo est en etapa planificacin para la implantacin segn el Ing.
Alfredo Ramn (Consultor externo de la empresa).
El sistema est alojado en un servidor que est ubicado en un
ambiente del segundo piso de la empresa. El servidor cuenta con
caractersticas ptimas para su buen desempeo. La implantacin de los
mdulos usados por la empresa, se lleva a trmino, con el uso
exclusivamente conectividad Ethernet sobre medio de transmisin guiada
de cobre (Cable UTP coaxial). El sistema est ligado al gestor de base de
datos SQL SERVER 2008 V. EXPRESS.
Finalmente, hemos percibido que la empresa no cuenta con la
documentacin del software (manuales, guas, Ficha Tcnica, etc.). Adems
oportunamente mencionamos que la empresa no es totalmente dependiente
del sistema, ya que realizan un control manual de sus actividades en caso
de estas incidencias.
Mantenimiento de la aplicacin.- El mantenimiento correctivo debera
ser cada 4 meses, pero en la empresa el mantenimiento correctivo no se

1
Instituto Nacional de Gestion Sanitaria. (2010). Anexo B Sistema De Informacin Global Del
Laboratorio (Sigla) Para El Hospital Universitario De Ceuta: Documento para profesionales.
Recuperado de:
http://www.ingesa.msssi.gob.es/ciudadanos/licitaciones/archivos/PA%2004009%20Ceuta/PA%2004-09-
Ceuta-%20ANEXO%20B%20%20PPT.pdf
A&J

-PG. 7-
aplicada. La actividad relacionada a esta consistente en diagnosticar
incidencias de funcionamiento del Sistema de Informacin de Laboratorios
(SIGLA). Ello se hace cuando la incidencia se convierte en un problema
notorio.
Normalmente las incidencias son debidas a errores en el cdigo
fuente o en la interaccin de este software bsico (SGBD, servidor de
aplicaciones, sistemas operativos, etc.). La prioridad para la resolucin de
las incidencias se debe determinar a partir de la urgencia y el impacto
que supongan para el servicio. Todas las intervenciones de mantenimiento
correctivo, salvo emergencias, son ejecutadas con el conocimiento y
autorizacin previa del Gerente General. Esta se realiza atraves de un
informe.
La tabla que mostramos a continuacin indica la prioridad y los
tiempos de resolucin que estimamos:

Donde:
Urgencia, Indica la velocidad con la que debe ser resuelta la incidencia
de acuerdo con la importancia que tiene para el entorno de trabajo del
usuario. La urgencia debe establecerse en funcin de los siguientes
criterios:

A&J

-PG. 8-
Los parrafos anteriores nos permitieron obtener los siguientes tems
a evaluar:

Resultado
Riesgo Consecuencia Anlisis Recomendaciones
Documentacin
del software
implementado
incompleto
Inadecuado
uso del
sistema
SIGLA
Dependencia
de personal
externo en caso
de fallas del
sistema.

Gastos
innecesarios.

Vulnerabilidad
alta
Documentar el
manual del sistema
SIGLA de forma
completa y
aprobada por un
equipo especialista
externo.
Plan de
contingencia
inexistente para
el uso del
sistema SIGLA
El usuario
tiene poco
control del
sistema
frente a
problemas.
Perdida de
informacin
Gastos
innecesarios en
soporte del
sistema.
Retardo el flujo
de proceso de
las actividades
operacionales
Vulnerabilidad
Alta
Desarrollar un plan
de contingencia para
diferentes
problemas del mal
uso del sistema
No existe
flexibilidad en el
sistema SIGLA
El usuario es
dependiente
del sistema
Restriccin de
nuevas tareas
para la empresa
con el uso del
sistema
Vulnerabilidad
Alta
Desarrollar un
sistema o compra de
un nuevo software
que sea flexible para
la organizacin.
El sistema no
cumple con
algunos de los
requerimientos
del usuario final.
Inutilidad de
ciertos
mdulos de
informacin.
Prdida
econmica
respecto a la
compra del
sistema
implantado.
Vulnerabilidad
baja
Utilizar un software
a la medida.
A&J

-PG. 9-
Esta auditoria fue realizada en la misma fecha, de la anterior
auditoria y se manej de la misma forma.

Representante
rea
Carlos Ramn Valentn
Gerencia

A&J

-PG. 10-

AUDITORA DE REDES

A&J

-PG. 11-

DESARROLLO DE
LA AUDITORA DE REDES


Auditora de Redes.





5.4. OBJETIVOS DE LA AUDITORIA
Brindar una solucin o recomendacin a los riesgos
identificados con respecto a la seguridad fsica.

- Planificar entrevistas con el personal que haya delegado la
encargada del rea para promover el desarrollo de la auditora.
- Realizar visitas a la empresa para analizar su infraestructura.
- Realizar las debidas recomendaciones de los riesgos y
auditora.
- -Evaluar el tipo de red, arquitectura topologa, protocolos de
comunicacin, las conexiones, accesos privilegios, administracin
y dems aspectos que repercuten en su instalacin.
A&J

-PG. 12-
- -Revisin del software institucional para la administracin de la
red.

La auditora se centrar en la sede central de la empresa y abarca
el rea de Sistemas y Mantenimiento de Equipos.
5.6. EVALUACION

5.7. RESULTADOS
tem a evaluar Cumple No Cumple Observacin
La comunicacin de su red de
datos est protegida por un
firewall?
X El firewall con el que cuenta
la empresa es solo lgico
(firewall propio del SO), mas
no con firewall fisico
Se realiza una administracin
de redes?
X
La empresa mantiene un
procedimiento para la
proteccin de los cables de
red?
X No estn protegidos contra
el ruido elctrico mediante la
aislacin con canaletas.
Mantienen un procedimiento
para el control preventivo en la
deteccin de intrusos en la red
interna de la empresa?
X Estas no se realizan con una
periocidad pre-establecida.
Sin embargo se mantiene
polticas de la empresa que
controla esta funcin.
Existen medidas para separar
las funciones de personas que
realizan labores de electricistas
y personas encargadas de dar
soporte?
X Las labores concernientes a
este aspecto son realizadas
por el encargado del rea, en
casos especficos de
electricidad, el personal de
mantenimiento asiste a esas
incidencias.
A&J

-PG. 13-
Los resultados fueron obtenidos mediante entrevista y la auditora
mediante la aplicacin online de secureCheq. Los resultados obtenidos se
establecen mediante los riesgos que el grupo auditor pudo analizar, ello
se presenta a continuacin:

La comunicacin de
contraseas se encriptan?
X Esta funciones se consideran
innecesarias
Se registran las incidencias?
X
Los equipos base de la
comunicacin de la red interna
estn salvaguardadas en
ambientes adecuados?
X Estos Equipos estn alojados
junto a los servidores y solo
los contadores y el
encargado del rea de
Sistemas y mantenimiento de
equipos.
En las zonas Adyacentes al
ambiente del centro de datos,
Todas las lneas de
comunicacin estn fuere de
vista?
X No obstante estas lneas no
estn apropiadamente
aseguradas.
A&J

a) Fsico

No se cuenta con
mecanismos que restrinjan
el acceso externo a la red
interna.
-Infiltracin externa a la red
interna de la empresa.
-Ataques externos que vulneren
el sistema.
-Robo de
informacin.
-Cadas del
sistema.
Vulnerabilidad
Alta
Implementar o instalar un
firewall que permita ofrecer una
mayor seguridad de infiltracin
al a red.
No se tiene implementado
procedimiento para la
proteccin de cables.
-Fallas de comunicacin al
servidor y a la red interna.
-Alta probabilidad de sabotaje a
la empresa.
-Prdidas
econmicas para
la empresa.
-Multas impuestas
por Defensa Civil.
Vulnerabilidad
Media.
Estructurar, distribuir y
mantener su cableado de red
mediante canaletas.
No se realiza una correcta
administracin de la red.
-Alta probabilidad en la
generacin de vulnerabilidades.
-Congestin de tramas y
paquetes en el trfico de la red
interna.
-Vulneracin de la
red interna.
Vulnerabilidad
Media
Realizar una mejor
administracin de red, que
permita mayor fluidez del
trfico de datos de la red
interna de la empresa
A&J

-PG. 1-
a) Lgico
La cuenta Invitado en la
PC INGENIO9 tiene
permiso para escribir
datos en un recurso
compartido SMB.
-Facilidad en acceso de
remoto al contenido de los
dispositivos compartidos en
la red.
-Facilidad para los ataques
con xploits.
-Robo de
informacin.
-Cadas del sistema.
Vulnerabi
lidad Alta
-Asegurar recursos SMB (impresoras,
informacin, equipos conectados a la
red, etc.)
-Cambiar los privilegios del usuario
invitado en la pc INGENIO9.
Una parte de SMB permite
el acceso de escritura
annimo.
-Manipulacin remota anima
de dispositivos SMBS.
-Incidencias con los SMBS.
-Prdidas
econmicas para la
empresa.
-Multas impuestas
por Defensa Civil.
Vulnerabi
lidad
Alta.
Por defecto, las acciones de Windows
SMB permiten un control total a
cualquier usuario. Asegurar recursos
SMB mediante una lista de control de
acceso seguro.
Existe una vulnerabilidad
en SQL Server que podra
permitir a un atacante
-Un atacante que
aprovechara esta
vulnerabilidad podra
-Control total del
sistema por
personas extraas
Vulnerabi
lidad Alta
El vendedor ha proporcionado los
parches para esta vulnerabilidad. Hay
dos tipos de parches de componentes
A&J

-PG. 2-

autenticado a la base
datos obtener control
elevado de privilegios
sobre lo dems usuarios.
ejecutar cdigo y tomar el
control completo del
sistema.
a la organizacin
que filtren un
ataque.
de SQL Server: GDR y de QFE. La
eleccin del tipo de parche depende
de la versin del servidor. La versin
del servidor se puede determinar
mediante el uso de las instrucciones
de
http://support.microsoft.com/kb/3211
85.
El SSL (Secure Socket
Layer) del servidor tiene
un nivel bajo en la
encriptacin de
contraseas.
Fcil descifrado de
contraseas de la red y
servidor.

Hackeo masivo de
la red.

Vulnerabi
lidad Alta
Modificar el archivo httpd.conf
agregando lneas para establecer el
cifrado para mayor consulta ingrese al
siguiente link:
https://securescan.tripwire.com/aspl
/837940/Eh1WfEbIKcCI8eMx2dZI5oGjhj
c/
A&J

-PG. 3-

SSLv2 (Transport Layer
Security) est habilitado
en el servidor y ha
quedado obsoleto.
Fallas de seguridad
generalizados.
Hackeo del sevidor.

Vulnerabi
lidad Alta
Desactivar SSLv2. Reemplace o vuelva
a configurar las aplicaciones que
utilizan SSLv2 utilizar SSLv3 o TLSv1.
El servidor est
ejecutando una versin
obsoleta de Microsoft
Windows. Esta versin ya
no tiene soporte por
Microsoft.
Desatencin de
actualizaciones y soporte a
SO
Fallas en el sistema
que no pueden ser
solucionadas.

Vulnerabi
lidad
Alta.
Actualizar a la versin admitida de
Microsoft Windows.
Microsoft SQL Server es
propenso a una
vulnerabilidad de
corrupcin de memoria
remota, ya que
proporcionados por
El usuario autenticado
atacantes puede aprovechar
este problema para ejecutar
cdigo arbitrario en el
contexto del servidor.
Saboteo del
servidor.
Cada del sistema.

Vulnerabi
lidad Alta
Instalar los parches para esta
vulnerabilidad que el fabricante
proporciona.
A&J

5.8. CONCLUSIONES

A lo largo del desarrollo de esta auditora, se ha demostrado las
diferentes falencias en seguridad que ofrecen en el acceso a las redes,
dispositivos, sistemas e informacin interna. Son numerosas las
vulnerabilidades que se pueden explotar.

El informe obtenido a travs de la aplicacin online de SecureCheq,
arrojan resultados positivos en cuanto al testeo lgico, puesto que los
porcentajes estadsticos arrojan un 12% de vulnerabilidades que se
consideren altas. No obstante es un porcentaje significativo que la empresa
debe tener en cuenta, dado que, la gran mayora de las vulnerabilidades
de este nivel son resumidas en Acceso de control. La explotacin de
estas puede ser consecuencia de los altos privilegios (innecesarios)
otorgados a los diferentes usuarios, y que sumado a la falta de
encriptacin de contraseas, logren causar un gran impacto en el rea y
ms an en la empresa.

Adems de lo anterior debemos acotar que la gran mayora de las
vulnerabilidades en general, se presentan en los dispositivos o equipos de
uso del personal de la empresa, y que sin la respectiva capacitacin y
concientizacin estas pueden ser explotadas incrementando el nmero de
riegos.

Por ltimo destacamos que de todos los test que realiz la
aplicacin para la deteccin de vulnerabilidades en su red, el 75% de
ellas pasaron con merito aprobatorio.

A&J

-PG. 1-
5.9. FECHA DEL INFORME

Se inici el desarrollo de las actividades correspondientes a esta
auditoria el 12 de julio del 2014.

Desarrollamos las actividades respectivas, de acuerdo a lo
especificado en los objetivos. Dndolo por concluido el 14 de julio.


Representante rea
Carlos Ramn Valentn
Gerencia

A&J

-PG. 2-
CONCLUSIONES DEL TRABAJO

La Auditora de Sistemas de Informacin, hoy en da es de vital
importancia para las empresas modernas con visin de futuro, sobre todo
inmersas en el mundo globalizado, porque si no se prev los mecanismos de
control, seguridad y respaldo de la informacin dentro de una institucin se
ver sumida a riesgos lgicos, fsicos y humanos, que conlleven a fraudes no
solamente econmicos sino de informacin, es decir, prdidas para la empresa.
La auditora de sistemas de informacin deber comprender no slo la
evaluacin de los equipos de cmputo de un sistema o procedimiento
especfico, sino que adems habr de evaluar los sistemas de informacin en
general desde sus entradas, procedimientos y controles.
El mercado de auditora de bases de datos est en una etapa inicial
de desarrollo. Esperar al producto ms nuevo y maduro probablemente slo
conduce a la decepcin. Su decisin debe basarse en los requisitos que
determinan qu es lo que necesita tener y a partir de ah puede buscar una
herramienta que cumpla con estos requisitos. Esa es la mejor manera de tener
lo que realmente necesita. No se distraiga con funcionalidades muy bonitas
que, sin darse cuenta, le pueden llevar a un falso beneficio.
Principalmente, con la realizacin de este trabajo prctico, la principal
conclusin a la que hemos podido llegar, es que toda empresa, pblica o
privada, que posean Sistemas de Informacin medianamente complejos, deben
de someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy
en da, el 90 por ciento de las empresas tienen toda su informacin
estructurada en sistemas informticos, de aqu, la vital importancia que los
sistemas de informacin funcionen correctamente. La empresa hoy, debe
informatizarse.
El xito de una empresa depende de la eficiencia de sus sistemas de
informacin. Una empresa puede tener un staff de gente de primera, pero
tiene un sistema informtico propenso a errores, lento, vulnerable e inestable;
si no hay un balance entre estas dos cosas, la empresa difcilmente tendr
xito. En cuanto al trabajo de la auditora en s, podemos remarcar que se
precisa de gran conocimiento de informtica, seriedad, capacidad, minuciosidad
y responsabilidad; la Auditora de Sistemas debe hacerse por gente altamente
capacitada, una Auditora mal hecha puede acarrear consecuencias drsticas
para la empresa auditada, principalmente econmicas

A&J

-PG. 3-
RECOMENDACIONES GENERALES

Se recomienda poner en marcha todo aquello que ha sido identificado
por el auditor para documentar las experiencias que se han adquirido en la
implementacin del Sistema SIGLA.
La auditora debe ampliar su enfoque no solo a la evaluacin de
controles sino tambin a la evaluacin de riesgos y de esta manera avanzar
hacia una auditoria preventiva.
Para contribuir en la prevencin de riesgos, es recomendable que las
polticas en materia de administracin de reservas sean conocidas en forma
oportuna por la auditoria interna y que se garanticen los mecanismos
institucionales necesarios para que ello ocurra, como podra ser el comit de
inversiones.
El personal de auditoria interna debera estar capacitado a un nivel que
le permita cumplir eficientemente sus tareas y contar con apoyo tecnolgico
e informacin actualizada.
Se deben fijar pautas que permitan la revisin de los instrumentos
legales utilizados en las operaciones de inversin as como para la evaluacin
de los contratos de delegacin de mandato en el manejo de reservas.
En vista del importante incremento en el nivel de reservas y la dinmica
evolucin de los mercados internacionales, el SIGLA debera propiciar estudios
encaminados a la recomendacin de programas de auditoria interna que
podran ser tomados en cuenta para el control de la administracin de reservas
internacionales.

A&J

-PG. 4-

ANEXOS

A&J

-PG. 5-
BIBLIOGRAFIA

http://www.scribd.com/doc/24994061/Conclusion-La-Auditoria-de-Sistemas-de-
Informacion
http://mundocontact.wordpress.com/2009/07/15/auditoria-de-bases-de-datos-
el-camino-hacia-la-solucion/
http://www.cemla.org/old/pdf/pub-di-aud-3ra.PDF

INTEGRANTES DEL GRUPO AUDITOR

Bautista Campos Ana Mara
Caldern Quispe, Ana Cristina
Correa Chvez, Alex.
Correa Chvez, Jonathan.
Gallardo Chicoma, Jonathan

Auditoria Final Imprimir

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Auditoria Final Imprimir

Diunggah oleh

Hak Cipta:

Format Tersedia

A&J

AUDITORA PARA EL LABORATORIO EL INGENIO

Anda mungkin juga menyukai