Auditoria Informatica-Municipalidad Moquegua

AUDITORIA DE SISTEMAS DE LA UAD- MAJES
AREA FISICA
Alcance de la Auditoria
o
Organizacin de Seguridad de la aprte fisica del area de sistemas de la UAD Majes.
Planes y procedimientos.
Sistemas tcnicos de Seguridad y Proteccin.
Objetivos
o
Revisin de las polticas y Normas sobre seguridad Fsica de la UAD Majes.
Verificar la seguridad de personal, datos, hardware, software e instalaciones
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico
PREGUNTA
1.Se han adoptado medidas de seguridad
S en el departamento de sistemas de
informacin?
2.Existe una persona responsable de la seguridad?
S
IX
NO
3.Se ha dividido la responsabilidad para tener un mejor control de la seguridad?

4.Existe personal de vigilancia en la institucin?
5. Existe vigilancia en el departamento de cmputo las 24 horas?
6. El centro de cmputo tiene salida al exterior?
7. Son controladas las visitas y demostraciones en el centro de cmputo?
8. Se registra el acceso al departamento de cmputo de personas ajenas a la
direccin de informtica?
9. Se ha adiestrado el personal en el manejo de los extintores?
10. Se revisa de acuerdo con el proveedor el funcionamiento de los extintores.
11. Saben que hacer los operadores del departamento de cmputo, en caso de
que ocurra una emergencia ocasionado por fuego?
12. Existe salida de emergencia?
13. Se ha prohibido a los operadores el consumo de alimentos y bebidas en el
interior del departamento de cmputo para evitar daos al equipo?
14. Se limpia con frecuencia el polvo acumulado?
15. Existe departamento de auditoria interna en la institucin?
X
X
X
X
X
X
X
X
X
X
X
X
X
N/A
AREA FISICA
Para hallar el SI
15
6
100%
X
X = 40%
Para hallar el NO
15
9
100%
X
X = 60%
LISTADO DE VERIFICACIN DEL AREA FISICA
Gestin fsica de seguridad.
100%
Excele
Los objetivos
de la instalacin
fsica
De
computo
Las
caractersticas
fsicas de son
seguras
de
La conexiones
de los equipos
de
las
comunicaciones
La
infraestructura
es
El equipos es
La distribucin
de los quipos de
computo es
80
%
Bue
60%
Regu
40%
Mni
20%
No
Anlisis de la delimitacin la manera en que se cumplen:

100%
Excelente
80%
Bueno
60%
Regular
40%
Mnimo
20%
No cumple
La delimitacin espacial,
por las dimensiones
fsicas.
La delimitacin tecnolgica,
por los requerimientos y
conocimientos informticos.
Evaluacin del diseo segn el ambiente del centro de computo

100%
Excelen
80%
Bueno
60%
Regular
40%
Mnimo
20%
No cumple
60%
Regular
40%
Mnimo
20%
No cumple
Anlisis del ambiente

Evaluar el
funcionamiento de los
equipos
El local para el trabajo es
Los equipos cuentan con
ventilacin
La iluminacin
Anlisis de la seguridad fsica

100%
Excelente
La
seguridad
de los estado
El
centro
de
computo
Los
accesos de
80%
Bueno
INFORME DE AUDITORIA
1. Identificacin del informe
Auditoria de sistemas area fisica
2.
Identificacin del area

El rea de Informtica
3.
Identificacin de la Entidad Auditada

Universidad Alas Peruanas UAD Majes
4.
Objetivos
5.
6.
Verificar la estructura de distribucin de los equipos.
Revisar la correcta utilizacin de los equipos
Verificar la condicin del centro de cmputo.
Hallazgos Potenciales
o
Falta de un local mas amplio
No existe un calendario de mantenimiento
Faltan salida al exterior
No existe salidas de emergencia.

Alcance de la auditoria
Nuestra auditoria, comprende el presente periodo 2016 y se ha realizado especialmente al
Departamento de centro de cmputo de acuerdo a las Normas y dems disposiciones aplicable al
efecto.
7. Conclusiones:
Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar
cada uno de los objetivos contenidos en el programa de auditoria.
El Departamento de centro de cmputo presenta deficiencias sobre todo en el debido

cumplimiento de Normas de seguridad.
8.
Recomendaciones
Reubicacin del local
Implantar salidas de emergencia.
9.
Elaborar un calendario de mantenimiento de rutina peridico.
Capacitar al personal.
Fecha Del Informe

PLANEAMIENTO
EJECUCION
INFORME
FECHA
S
10. Identificacin Y Firma Del Auditor
APELLIDOS Y NOMBRES
CARGO
AUDITOR SUPERIOR
AREA OFIMATICA
Alcance de la Auditoria.o Planes y procedimientos
o Polticas de Mantenimiento
o Capacitacin del Personal
Objetivos de la Auditoria.Realizar un informe de Auditoria con el objeto de verificar la existencia de controles preventivos,
detectivos y correctivos, as como el cumplimiento de los mismos por los usuarios.
PREGUNT
AS
1. Existe un informe tcnico en el que se justifique la
adquisicin del equipo, software y servicios de
computacin,
incluyendo
un
estudio
costo-
beneficio?
2. Se ha asegurado un respaldo de mantenimiento y
asistencia tcnica?
3. El acceso al centro de cmputo cuenta con las
seguridades necesarias?
4. Todas las actividades del Centro de Computo asi
como el uso de sistemas estn normadas mediante
manuales, instructivos, normas, reglamentos, etc.?
5. Las instalaciones cuentan con sistema de alarma por
presencia de fuego, humo, as como extintores
incendio,
otras? han
6. Se
conexiones
instalado
de
elctricas seguras, entre

equipos
que
protejan
la
informacin y los dispositivos en caso de variacin

de voltaje como: reguladores de voltaje, supresores
pico, UPS, generadores de energa?
7. Se mantiene programas y procedimientos de
deteccin e inmunizacin de virus en copias no
autorizadas o datos procesados en otros equipos?
SI
NO
N/A
AREA DE OFIMTICA.Para hallar el SI

7
5
100%
X
X = 71.43%
Para hallar el NO
7
2
100%
X
X = 28.57%
1.
Identificacin del informe

Auditoria de sistemas de la UAD Majes
2.
Identificacin del Cliente

3.
Identificacin de la Entidad Auditada

4.
Objetivos
o
Verificar si el hardware y software se adquieren siempre y cuando tengan la seguridad de que

los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa.
Verificar si la seleccin de equipos y sistemas de computacin es adecuada
Verificar la existencia de un plan de actividades previo a la instalacin
Verificar que los procesos de compra de Tecnologa de Informacin, deben estar sustentados
en Polticas, Procedimientos, Reglamentos y Normatividad en General, que aseguren que todo
el proceso se realiza en un marco de legalidad y cumpliendo con las verdaderas necesidades de
la organizacin para hoy y el futuro, sin caer en omisiones, excesos o incumplimientos.
5.
Hallazgos Potenciales
o Falta de licencias de software.

o Falta de software de aplicaciones actualizados
o No existe un calendario de mantenimiento ofimatico.
6.
Alcance de la auditoria
Departamento de centro de cmputo de acuerdo a las normas y dems disposiciones aplicable al
efecto.
7.
Conclusiones:
o
Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada
uno de los objetivos contenidos en el programa de auditoria.
El Departamento de centro de cmputo presenta deficiencias sobre el debido cumplimiento de
Normas de seguridad.
La escasez de personal debidamente capacitado.
o
8.
9.
Recomendaciones
o
o
Un de manual de funciones para cada puesto de trabajo dentro del rea.

Elaborar un calendario de mantenimiento de rutina peridico .
Capacitar al personal.
Fecha Del Informe
PLANEAMIENTO
EJECUCION
INFORME
FECHA
S
APELLIDOS Y NOMBRES
CARGO
AUDITOR SUPERIOR
AREA DE PERSONAL
Alcance de la Auditoria
o
Evaluacin del personal y coherencia de cargos de la propia institucin.
Normas y Procedimientos del rea de informtica
Objetivos
Realizar un informe de Auditoria con el objeto de verificar la adecuacin de las funciones que sirven de
apoyo a las tecnologas de la informacin.
PREGUNTAS
1. existe personal capacitado para utilizer los sistemas de la Universidad
Alas Peruanas UAD Majes?
2. tienen manuales todas los sistemas utilizados?
3. Existe un responsible en caso de falla?
4. Existe un registro de anomalas en la informacin debido a mala
codificacin?
5. existe parmetros de control?
6. Reciben capacitaciones periodicas para el uso de sistemas de la
UAD- Majes?
Auditoria Explotacin:
Para hallar el SI
6
2
100%
X
X = 33.3%
Para hallar el NO
5
3
100%
X
X = 66.7%
SI
N
O
N/
A
Area de personal
2. Identificacin del Cliente
3. Identificacin de la Entidad Auditada
4. Objetivos
Verificar la existencia de normas generales escritas para el personal en lo que se refiere

a sus funciones
Verificar la existencia de un responsable de sala.

5. Hallazgos Potenciales
Inexistencia y falta de uso de los Manuales de Operacin
Falta de planes de formacin
No existe programas de capacitacin y actualizacin al personal
6. Alcance de la auditoria
Nuestra auditoria, comprende el presente periodo 2016 y se ha realizado especialmente al rea de
Informtica de acuerdo a las normas y dems disposiciones aplicable al efecto.
7. Conclusiones:
Como resultado de la Auditoria de la Seguridad realizada al Municipio, por el perodo

comprendido entre el 01 de Setiembre al 24 de Diciembre del 2004, podemos
manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el
programa de auditoria.
El rea de Informtica presenta deficiencias sobre todo en el debido cumplimiento de

sus funciones y por la falta de ellos.
8. Recomendaciones
Debern realizarse muestreos selectivos de la Documentacin de las Aplicaciones

explotadas
Asignar un responsable del Centro de Cmputos en cada turno de trabajo.
Crear y hacer uso de manuales de operacin.
Realizar funciones de operacin, programacin y diseo de sistemas deben estar

claramente delimitadas.
9. Fecha Del Informe

PLANEAMIENTO
EJECUCION
FECHA
S
APELLIDOS Y NOMBRES
CARGO
INFORME
AUDITORIA DEL MANTENIMIENTO

Alcance de la Auditoria.Planes y procedimientos de Mantenimiento
Normativa
1. Objetivos de la Auditoria.-
Realizar un informe de Auditoria con el objeto de evaluar el mantenimiento correctivo y

preventivo del software.
2. Referencia Legal:
Estndares
ISO/IEC 12207
IEEE 1074
IEEE 1219
ISO/IEC 14764
PREGUNT
AS
1. Existe un contrato de mantenimiento.
SI
NO
N/A
2. Existe un programa de mantenimiento preventivo para cada

dispositivo del sistema de cmputo?
3. Se lleva a cabo tal programa?
4. Existen
tiempos
de
respuesta
de
compostura estipulados en los contratos?
AUDITORIA DE SISTEMAS
13
5. Si los tiempos de reparacin son superiores a los estipulados en

el contrato, Qu acciones correctivas se toman para ajustarlos
a lo convenido?
6. Existe plan de mantenimiento preventivo. ?
7. Este plan es proporcionado por el proveedor?
8. Se notifican las fallas?
9. Se les da seguimiento?
10. Tiene un plan logstico para dar soporte al producto software?
11. Los requerimientos de mantenibilidad se incluyen en la
Actividad de Iniciacin durante el Proceso de Adquisicin (ISO
12207) y se evala durante el Proceso de Desarrollo?
12. Las variaciones en el diseo son supervisadas durante el
desarrollo para establecer su impacto sobre la mantenibilidad?
13. Se realizan varios tipos de medidas para poder estimar la
calidad del software?
14. La mantenibilidad se tiene en cuenta antes de empezar a
desarrollar?
15. El desarrollador prepara un Plan de Mantenibilidad que
establece prcticas especficas de mantenibilidad, as como
recursos y secuencias relevantes de actividades?
16. Durante el anlisis de requerimientos, los siguientes aspectos
que afectan a la mantenibilidad, son tomados en cuenta?
Identificacin y definicin de funciones, especialmente
las opcionales.
Exactitud y organizacin lgica de los datos.
Los Interfaces (de mquina y de usuario).
Requerimientos de rendimiento.
Requerimientos
entorno
impuestos
por
el
(presupuesto).
Granularidad (detalle) de los requerimientos y su impacto
sobre la trazabilidad.
nfasis del Plan de Aseguramiento de Calidad
del
Software (SQAP) en el cumplimiento de las normas de

documentacin
17. La transicin del software consiste en una secuencia
controlada y coordinada de acciones para trasladar un producto
software desde la organizacin que inicialmente ha realizado el
desarrollo a la encargada del mantenimiento?
18. La responsabilidad del mantenimiento se transfiere a una
organizacin distinta, se elabora un Plan de Transicin?
que es lo que incluye este plan?
La transferencia de hardware, software, datos
y experiencia desde el desarrollador al mantenedor.
Las tareas necesarias para que el mantenedor
pueda
implementar una estrategia de mantenimiento del software.
19. El mantenedor a menudo se encuentra con un producto

software con documentacin?
20. Si no hay documentacin, el mantenedor deber crearla?
Realiza lo siguiente?
a. Comprender el dominio del problema y operar con el
producto software.
b. Aprender la estructura y organizacin del producto
software.
c.
Determinar qu hace el producto software. Revisar las

especificaciones (si las hubiera)
21.
Documentos
como
especificaciones,
manuales
de
mantenimiento para programadores, manuales de usuario o

guas de instalacin pueden ser modificados o
creados,
si fuese necesario?
22. El Plan de Mantenimiento es preparado por el mantenedor
durante el desarrollo del software.
23. Los elementos software reflejan la documentacin de diseo?
24. Los productos software fueron suficientemente probados y
sus especificaciones cumplidas?
25. Los informes de pruebas son correctos y las discrepancias
entre resultados actuales y esperados han sido resueltas?
26. La documentacin de usuario cumple los estndares
especificados?
y
27. Los costes

establecidos
calendario
s
?
Auditoria Mantenimiento:
Para hallar el SI
25
18
100%
X
X = 72
Para hallar el NO
25
7
X = 28
100%
X
s
e
ajusta
n
l
o
s
plane
s

Auditoria del Mantenimiento


Municipalidad Provincial Mariscal Nieto
4. Objetivos
Revisar los contratos y las clusulas que estn perfectamente definidas en las
cuales se elimine toda la subjetividad y con penalizacin en caso de
incumplimiento, para evitar contratos que sean parciales.
Verificar el cumplimiento del contrato sobre el control de fallas, frecuencia, y el
tiempo de reparacin.
Diagnstico del sistema actual de mantenimiento.
Verificar el montaje de mtodos de recopilacin de informacin en reas
especficas.
Verificar la existencia de de planes estratgicos de desarrollo.
Verificacin de la efectividad del mantenimiento actual y los desarrollos y
programas proyectados.
Verificar la optimizacin de almacenes y repuestos.
Prdida de control
Prdida de una fuente de aprendizaje, porque una actividad interna pasa a ser
externa.
Dependencias del suministrador.
Variaciones en la calidad del producto entregado al usuario final.

Problemas entre el personal.
Uso de metodologas para nuevos desarrollos, pero ausencia de ellas para el
mantenimiento.
Tendencia a la desestructuracin
Dificultad progresiva de modificacin
Falta de presupuesto
Falta de personal
Falta de apoyo de la Direccin

rea de Informtica de acuerdo a las normas y dems disposiciones aplicable al efecto.
7. Conclusiones:
Como resultado de la Auditoria del Mantenimiento realizada al Municipio, por el

perodo comprendido entre el 01 de Setiembre al 24 de Diciembre del 2004, podemos

8. Recomendaciones
Modificacin de un producto software, o de ciertos componentes, usando para el
anlisis del sistema existente tcnicas de Ingeniera Inversa y, para la etapa
de reconstruccin, herramientas de Ingeniera Directa, de tal manera que se oriente
este cambio hacia mayores niveles de facilidad en cuanto a mantenimiento,
reutilizacin, comprensin o evolucin.
Categorizar los tipos de mantenimiento del software y para cada tipo planificar las
actividades y tareas a realizar.
Elaborar un procedimiento organizado para realizar la migracin de
un
producto software desde un entorno operativo antiguo a otro nuevo.

Establecer un acuerdo o contrato de mantenimiento entre el mantenedor y el cliente
y las obligaciones de cada uno estos.
Elaborar un plan de mantenimiento que incluya el alcance del mantenimiento,
quin lo realizar, una estimacin de los costes y un anlisis de los recursos necesarios.
PLANEAMIENT
O
FECH
AS
EJECUCION
INFORME
011004 al 1510-
16-1004 al 2011-
231104 al 28
04
04
12-04
APELLIDOS Y NOMBRES
CARGO
QUIONEZ MAYTA,
CARMEN
AUDITOR
SUPERIOR
AUDITORIA DE BASE DE DATOS
1.
Alcance de la auditoria:
Esta auditoria comprende solamente al rea de cetro de computo de la municipalidad de

mariscal nieto, con respecto al cumplimiento del proceso "De Gestin administracin de la Base
de Datos " de la de manera que abarca la explotacin, mantenimiento, diseo carga, post
implementacin, Los sistemas de gestin de base de datos (SGBD), software de auditoria ,
sistema operativo protocolos y sistemas distribuidos.
2. Objetivos
Verificar la responsabilidad para la planificacin de planillas y control de los activos
de datos de la organizacin (administrador de datos)
Verificar la responsabilidad de la administracin del entorno de la base de datos
(administrador de la base de datos)
Proporcionar servicios de apoyo en aspectos de organizacin y mtodos,
mediante la definicin, implantacin y actualizacin de Base de Datos y/o
procedimientos administrativos con la finalidad de contribuir a la eficiencia
PREGUNT
ASSGBD
1. Existe equipos o software de
2. La organizacin tiene un sistema de gestin de base de datos
(SGBD)
3. Los datos son cargados correctamente en la interfaz grafica
4. Se verificar que los controles y relaciones de datos se realizan
de acuerdo a Normalizacin libre de error
5. Existe personal restringido que tenga acceso a la BD
6. El SGBD es dependiente de los servicios que ofrece el Sistema
Operativo
S
I
N
O
N/A
7. La interfaz que existe entre el SGBD y el SO es el adecuado

8. Existen procedimientos formales para la operacin del SGBD?
9. Estn actualizados los procedimientos de SGBD?
10. La periodicidad de la actualizacin de los procedimientos es
Anual ?
11. Son suficientemente claras las operaciones que realiza la BD?
12. Existe un control que asegure la justificacin de los procesos
en el computador? (Que los procesos que estn autorizados
tengan una razn de ser procesados)
13. Se procesa las operaciones dentro del departamento de
cmputo?
14. Se verifican con frecuencia la validez de los inventarios de los
archivos magnticos?
15. Existe un control estricto de las copias de estos archivos?
16. Se
borran los archivos

de los dispositivos
de almacenamiento, cuando se desechan estos?
17. Se registran como parte del inventario las nuevas cintas

magnticas que recibe el centro de computo?
18. Se tiene un responsable del SGBD?
19. Se realizan auditorias peridicas a los medios de
almacenamiento?
20. Se tiene relacin del personal autorizado para manipular la
BD?
21. Se lleva control sobre los archivos trasmitidos por el sistema?
22. Existe un programa de mantenimiento preventivo para el

dispositivo del SGBD?
23. Existen integridad de los componentes y de seguridad de
datos?
24. De acuerdo con los tiempos de utilizacin de cada dispositivo

del sistema de cmputo, existe equipo capaces que soportar el
trabajo?
25. El SGBD tiene capacidad de teleproceso?
26. Se ha investigado si ese tiempo de respuesta satisface a los
usuarios?
27. La capacidad de almacenamiento mximo de la BD es
suficiente para atender el proceso por lotes y el proceso remoto?
Auditoria Explotacin:
Para hallar el SI
24
19
100%
X
X = 79.16
Para hallar el NO
24
100%
5
X
X = 20.83

Auditoria de Base de Datos.


Municipalidad Provincial de Moquegua.
4. Objetivos
Evaluar el tipo de Base de Datos, relaciones,
plataforma o sistema
operativo que trabaja, llaves, administracin y dems aspectos que repercuten en su
trabajo.
Revisar del software institucional para la administracin de la Base de
Datos.
Verificar la actualizacin de la Base de Datos.
Verificar la optimizacin de almacenes de los Base de Datos
Revisar que el equipo utilizado tiene suficiente poder de procesamiento y velocidad
en red para optimizar el desempeo de la base de datos.
No estn definidos los parmetros o normas de calidad.

Falta de presupuesto
Falta de personal
La gerencia de Base de datos no tiene un plan que permite modificar en forma

oportuna el plan a largo plazo de tecnologa, teniendo en cuenta los posibles
cambios tecnolgicos y el incremento de la base de datos..
No existe un calendario de mantenimiento de rutina peridico del software definido
por la Base de datos.

Departamento de centro de cmputo de acuerdo a las normas y dems disposiciones
aplicable al efecto.
7. Conclusiones:
Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar
cada uno de los objetivos contenidos en el programa de auditoria.

cumplimiento de Normas de seguridad de datos y administracin de la Base de Datos.
8. Recomendaciones
Elaborar toda la documentacin lgica correspondiente a los sistemas de administracin

de la BD. Evaluar e implementar un software que permita mantener el resguardo de
acceso de los archivos de programas y an de los programadores.
Implementar la relaciones con las diferentes reas en cuanto al compartimiento de

archivos permitidos por las normas
Elaborar un calendario de mantenimiento de rutina peridico .
Capacitar al personal al manejo de la BD.
Dar a conocer la importancia del SGBD al usuario
FECH
AS
PLANEAMIENTO
EJECUCION
INFORME
011004 al 1510-04
16-1004 al 2011-04
231104 al 2811-04
APELLIDOS Y NOMBRES
CARGO
MAMANI CUTIPA WILY
AUDITOR SUPERIOR
AUDITORIA DE CALIDAD
Objetivos:
Verificar los procesos aplicables del programa de la calidad han sido desarrollados y
documentados.
Evaluar la capacidad de realizar un trabajo especifico.
SI
Se reflejan el software codificado tal como en el diseo en la
documentacin?
Fueron probados con xito los productos de software usados en el
centro de computo?
Se cumplen las especificaciones de la documentacin del usuario del
software?
Los procesos de gestin administrativa aplicados en el rea de
informtica de la institucin son lo suficientemente ptimos?
El funcionamiento del software dentro del rea de trabajo
estn
acuerdo con los de
requerimientos
Los de documentos
gestin especficos?
administrativa
se
cumplen satisfactoriamente en el rea de computo?
Los productos de software que utilizan en el rea de informtica esta
de acuerdo con los estndares establecidos?
Los dispositivos de trabajo en el rea de informtica se les
N
O
X
X
X
X
X
X
X
X
N/A
realizan una revisin tcnica correcta?

Los costos fijados en la revisin tcnica se encuentran dentro de los
lmites fijados?
Auditoria Calidad:
Para hallar el SI
9
100%
5
X
X = 55.5
Para hallar el NO
9
100%
4
X
X = 44.4

Auditoria de Calidad


Municipalidad Provincial de Moquegua.
14. Objetivos
Verificar la calidad de servicio que ofrece el Software.
Evaluar el software institucional para la administracin.
Revisar que el equipo utilizado tiene suficiente poder de procesamiento y velocidad
en red para optimizar el desempeo de la organizacin.

Departamento de centro de cmputo de acuerdo a las normas y dems disposiciones
aplicable al efecto.
16. Conclusiones:

cumplimiento de Normas de seguridad de datos y administracin de la Base de Datos
con respecto a calidad.
FECH
AS
PLANEAMIENTO
EJECUCION
INFORME
011004 al 1510-04
16-1004 al 2011-04
231104 al 2811-04
APELLIDOS Y NOMBRES
CARGO
MAMANI CUTIPA WILY
AUDITOR SUPERIOR
AUDITORIA DE LA SEGURIDAD
1. Alcance de la Auditoria.-
Organizacin y calificacin del personal
Planes y procedimientos
Sistemas tcnicos de deteccin y comunicacin
Anlisis de puestos
Mantenimiento
Normativa
2. Objetivos de la Auditoria.-
Realizar un informe de Auditoria con el objeto de verificar la adecuacin de las medidas

aplicadas a las amenazas definidas, as como el cumplimiento de los requisitos exigidos.
3. Referencia Legal:
Manual de Autoproteccin aprobado por O.M. de 29/11/84, NBE-CPI 96 (RD 2177/96),
Normativa
de
las
Comunidades
Autnomas
Ordenanzas
Municipales,
CEPREVEN.
4. Resultados: Se obtendr:
Informe de Auditoria detectando riesgos y deficiencias en el Sistema de Seguridad.
Plan de recomendaciones a aplicar en funcin de:

o
Riesgos
Normativa a cumplir
Costes estimados de las recomendaciones
AUDITORIA LOGICA
1. Existen
medidas,
PREGUNT
AS
controles,
procedimientos,
normas
y estndares de seguridad?
2. Existe un documento donde este especificado la relacin de las
funciones y obligaciones del personal?
3. Existen
procedimientos
de
notificacin
gestin
de incidencias?
4. Existen procedimientos de realizacin de copias de seguridad y de
recuperacin de datos?
5. Existe una relacin del personal autorizado a conceder, alterar o
anular el acceso sobre datos y recursos?
6. Existe una relacin de controles peridicos a realizar para verificar el
cumplimiento del documento?
7. Existen medidas a adoptar cuando un soporte vaya a ser desechado o
reutilizado?
8. Existe una relacin del personal autorizado a acceder a los locales
donde se encuentren ubicados los sistemas que tratan datos
personales?
9. Existe una relacin de personal autorizado a acceder a los soportes de
datos?
10. Existe un perodo mximo de vida de las contraseas?
11. Existe una relacin de usuarios autorizados a acceder a los sistemas
y que incluye los tipos de acceso permitidos?
12. Los derechos de acceso concedidos a los usuarios son los necesarios
y suficientes para el ejercicio de las funciones que tienen
encomendadas, las cuales a su vez se encuentran o deben estardocumentadas en el Documento de Seguridad?
13. Hay dadas de alta en el sistema cuentas de usuario genricas, es
decir, utilizadas por ms de una persona, no permitiendo por
S
I
N
O
N/
A
tanto la identificacin de la persona fsica que las ha utilizado?

14. En la prctica las personas que tienen atribuciones y privilegios
dentro del sistema para conceder derechos de acceso son las
autorizadas e incluidas en el Documento de Seguridad?
15. El sistema de autenticacin de usuarios guarda las contraseas
encriptadas?
16. En el sistema estn habilitadas para todas las cuentas de usuario las
opciones que permiten establecer:
Un nmero mximo de intentos de conexin.
Un perodo mximo de vigencia para la contrasea, coincidente

con el establecido en el Documento de Seguridad.
17. Existen
d
e
asignaci
n
distribuci
n
d
e
procedimientos
AUDITORIA FISICA
PREGUNTA
S
1. Existen procedimientos para la realizacin de las copias de seguridad?
2. Existen procedimientos que aseguran que, de todos los ficheros con
datos de carcter personal, se realiza copia al menos una vez cada
semana?
3. Hay procedimientos que aseguran la realizacin de copias de todos
aquellos ficheros que han experimentado algn cambio en su
contenido?
4. Existen controles para la deteccin de incidencias en la realizacin de
las pruebas?
5. Existen controles sobre el acceso fsico a las copias de seguridad?
6. Slo las personas con acceso autorizado en el documento de
S
I
N
O
N/
A
seguridad tienen acceso a los soportes que contienen las copias de

seguridad?
7. Las copias de seguridad de ficheros de nivel alto incluyen los ficheros
cifrados, si estas copias se transportan fuera de las instalaciones?
8. Las copias de seguridad de los ficheros de nivel alto se almacenan en
lugar diferente al de los equipos que las procesan?
9. Existe un inventario de los soportes existentes?
10. Dicho inventario incluye las copias de seguridad?
11. Las copias de seguridad, o cualquier otro soporte, se almacenan
fuera de la instalacin?
12. Existen procedimientos de actualizacin de dicho inventario?
13. Existen procedimientos de etiquetado e identificacin del contenido
de los soportes?
14. Existen procedimientos en relacin con la salida de soportes fuera de
su almacenamiento habitual?
15. Se evalan los estndares de distribucin y envo de estos soportes?
16. Se Obtiene una relacin de los ficheros que se envan fuera de la
empresa, en la que se especifique el tipo de soporte, la forma de
envo, el estamento que realiza el envo y el destinatario?
17. Se Comprueba que todos los soportes incluidos en esa relacin se
encuentran tambin en el inventario de soportes mencionado
anteriormente?
18. Se Obtiene una copia del Registro de Entrada y Salida de Soportes y
se comprueba que en l se incluyen:
Los soportes incluidos en la relacin del punto anterior (y

viceversa)
Los desplazamientos de soportes al
almacenamiento
exterior (si existiera)

19. Se Verifica que el Registro de Entrada y Salida refleja la
informacin requerida por el Reglamento:
a)
Fecha y hora
b) Emisor/Receptor
c)
N de soportes
d) Tipo de informacin contenida en el soporte.

e)
Forma de envo
f)
Persona fsica responsable de la recepcin/entrega
20. Se Analiza los procedimientos de actualizacin del Registro de

Entrada y Salida en relacin con el movimiento de soportes?
21. Existen controles para detectar la existencia de soportes
recibidos/enviados que no se inscriben en el Registro de
Entrada/Salida?
22. Se Comprueba, en el caso de que el Inventario de Soportes y/o el
Registro de Entrada/Salida estn informatizados, que se realizan
copias de seguridad de ellos, al menos, una vez a la semana?
23. Se realiza una relacin de soportes enviados fuera de la empresa con
la relacin de ficheros de nivel alto?
24. Se Verifica que todos los soportes que contiene ficheros con datos de
nivel Alto van cifrados?
25. Se Comprobar la existencia, como parte del Documento de
Seguridad, de una relacin de usuarios con acceso autorizado a la
sala?
26. Se Verifica que la inclusin del personal en la relacin anterior es
coherente con las funciones que tienen encomendadas?
27. Se Comprueba que la relacin es lgica (personal de limpieza?
Vigilantes de seguridad?).
28. Existen polticas de la instalacin en relacin con los accesos
ocasionales a la sala
29. Se Determina que personas tienen llaves de acceso, tarjetas, etc. de
acceso a la sala?g.
30. Se Comprueba que estn activados los parmetros de activacin del Registro para to
31. Se Analizan los procedimientos de descarga a cinta de este Registro de Accesos y el per
32. Existen procedimientos de realizacin de copias de seguridad del Registro de Accesos y el
33. Se Verifica la asignacin de privilegios que permitan activar/desactivar el Registro de A
34. Se Comprueba que el Registro de Accesos se encuentra bajo el control directo del Respo
Auditoria Calidad:
Para hallar el SI
39
100%
15
X
X = 38.46
Para hallar el NO
39
100%
24
X
X = 61.53
AREAS CRTICAS DE LA AUDITORIA DE SEGURIDAD

Evaluacin de la seguridad en el acceso al Sistema
Preguntas
Evaluar los atributos de acceso al
100%
80%
60%
40%
20%
Excelent
e
Bue
no
Regul
ar
Mni
mo
No
cumple
sistema.
Evaluar los niveles de acceso al
sistema.
Evaluar
la
administracin
de contraseas al sistema
Evaluar el monitoreo en el acceso al
sistema.
Evaluar
las
funciones
del
administrador del acceso al sistema.

Evaluar las medidas preventivas o
correctivas en caso de siniestros n el
acceso.
Evaluacin de la seguridad en el acceso al rea Fsica

Preguntas
Evaluar el acceso del personal al
centro de cmputo.
Evaluar el acceso de los usuarios y
terceros al centro de cmputo.
Evaluar el control de entradas y
100%
80%
60%
40%
20%
Excelent
e
Bue
no
Regul
ar
Mni
mo
No
cumple
salidas de bienes informticos del

centro de cmputo.
Evaluar la vigilancia del centro de
cmputo.
Evaluar las medidas preventivas o
correctivas en caso de siniestro en el
centro de cmputo.
Analizar
las
polticas
de
la
instalacin en relacin con los

accesos ocasionales a la sala.
Evaluacin de los planes de contingencias informticos
Preguntas
Evaluar
la
existencia,
aplicacin
uso
de
difusin,
100%
80%
60%
40%
20%
Excelent
e
Bue
no
Regul
ar
Mni
mo
No
cumple
contra
contingencias de sistemas.
Evaluar
la
aplicacin
de
simulacros, as como el plan contra

contingencias.
Evaluar
veracidad
la
y
confidencialidad,
oportunidad
en
la
aplicacin de las medidas del plan

contra contingencias.
Evaluacin de la seguridad en los sistemas computacionales
Preguntas
100%
80%
60%
40%
20%
Evaluar el rendimiento y uso del
Excelent
e
Bue
no
Regul
ar
Mni
mo
No
cumple
sistema computacional y de sus

perifricos asociados.
Evaluar la existencia, proteccin y
periodicidad de los respaldos de
bases
de
datos,
informacin
software
importante
de
e
la
organizacin.
Evaluar
la
configuracin,
instalaciones y seguridad del equipo

de cmputo, mobiliario y dems
equipos.
Evaluar el rendimiento, aplicacin y
utilidad del equipo de cmputo,
mobiliario y dems equipos.
Evaluar
la
seguridad
en
el procesamiento de
informacin.
Evaluar los
procedimientos
de
captura, procesamiento de datos y

emisin de resultados de los sistemas
computacionales.
Evaluacin de la proteccin contra la piratera y robo de informacin

Preguntas
Medidas preventivas.
Proteccin de archivos.
Limitacin de accesos.
Proteccin contra robos
Proteccin ante copias ilegales
100%
80%
60%
40%
20%
Excelent
e
Bue
no
Regul
ar
Mni
mo
No
cumple
Evaluacin de la proteccin contra virus informticos

100%
80%
60%
40%
20%
Excelent
e
Bue
no
Regul
ar
Mni
mo
No
cumple
100%
80%
60%
40%
20%
Excelent
e
Bue
no
Regul
ar
Mni
mo
No
cumple
100%
80%
60%
40%
20%
Excelent
e
Bue
no
Regul
ar
Mni
mo
No
cumple
Preguntas
Medidas preventivas y correctivas.
Uso de vacunas y buscadores de
virus.
Proteccin de archivos, programas e
informacin.
Evaluacin de la seguridad del hardware
Preguntas
Realizacin
hardware,
de
inventarios
equipos
de
perifricos
asociados.
Evaluar la configuracin del equipo
de computo (hardware).
sistema
computacional
sus
fsico
del
perifricos asociados.
Evaluar
el
hardware,
estado
perifricos
equipos
asociados
Evaluacin de la seguridad del Software

Preguntas
Realizacin
de
inventarios
de
software, paqueteras y desarrollos

empresariales.
Evaluar las licencias permisos y usos

de los sistemas computacionales.
software
de
los
sistemas
computacionales.
Verificar que la instalacin del
software, paqueteras y sistemas
desarrollados en la empresa sea la
adecuada para cubrir las necesidades
de esta ultima.

Auditoria de la Seguridad


Municipalidad Provincial
4. Objetivos
Hacer un estudio cuidadoso de los riesgos potenciales a los que est sometida el rea de
informtica.
Revisar tanto la seguridad fsica del Centro de Proceso de Datos en su sentido ms amplio,
como la seguridad lgica de datos, procesos y funciones informticas ms Importantes de
aqul.
No existe documentaciones tcnicas del sistema integrado de la Cooperativa y tampoco
no existe un control o registro formal de las modificaciones efectuadas.
No se cuenta con un Software que permita la seguridad de las libreras de los programas
y la restriccin y/o control del acceso de los mismos.
Las modificaciones a los programas son solicitadas generalmente sin notas internas, en
donde se describen los cambios o modificaciones que se requieren.
Falta de planes y Programas Informticos.
Poca identificacin del personal con la institucin
Inestabilidad laboral del personal
No existe programas de capacitacin y actualizacin al personal
rea de Informtica de acuerdo a las normas y dems disposiciones aplicable al efecto.
7. Conclusiones:
Como resultado de la Auditoria de la Seguridad realizada al Municipio, por el perodo
comprendido entre el 01 de Setiembre al 24 de Diciembre del 2004, podemos
8. Recomendaciones
Elaborar toda la documentacin tcnica correspondiente a los sistemas implementados y
establecer normas y procedimientos para los desarrollos y su actualizacin.
Evaluar e implementar un software que permita mantener el resguardo de acceso de los
archivos de programas y an de los programadores.
Implementar y conservar todas las documentaciones de prueba de los sistemas, como
as tambin las modificaciones y aprobaciones de programas realizadas por los usuarios
El coste de la seguridad debe considerarse como un coste ms entre todos los que son
necesarios para desempear la actividad que es el objeto de la existencia de la entidad,
sea sta la obtencin de un beneficio o la prestacin de un servicio pblico.
El coste de la seguridad, como el coste de la calidad, son los costes de funciones
imprescindibles para desarrollar la actividad adecuadamente. Y por "adecuadamente"
debe entenderse no slo un nivel de calidad y precio que haga competitivo el servicio o
producto suministrado, sino tambin un grado de garanta de que dichos productos o
servicios van a seguir llegando a los usuarios en cualquier circunstancia.
PLANEAMIENT
O
FECH
AS
EJECUCION
INFORME
011004 al 1510-
16-1004 al 2011-
231104 al 28
04
04
12-04
APELLIDOS Y NOMBRES
CARGO
QUIONEZ MAYTA,
CARMEN
AUDITOR
SUPERIOR
SI
NO
Fisica
31.1
Ofimatica
67.5
Direccion
70.58
68.
86
18.
91
29.
41
35
Auditoria
Explotacin
Desarrollo
65
72.97
Mantenimient
o
Base de Datos
72
79.16
Calidad
55.5
Seguridad
38.46
Redes
42.85
Aplicacion
54.54
22.
02
28
20.
83
44.
4
61.
53
57.
14
45.
45
CONCLUSIN
Al realizar el anterior trabajo se investigo acerca de todos los elementos que componen La
Municipalidad Provincial de Mariscal Nieto, tanto materiales como humanos, con lo anterior, se
puede dar uno cuenta auditar una institucin no es nada fcil, ya que si falla un elemento del que se
compone, trae consigo un efecto domino, que hace que los dems elementos bajen su rendimiento,
o en el peor de los casos sean causantes del fracaso de la institucin.
Es mentira que lo ms importante para una empresa sea el equipo informtico con el que se trabaja.
El factor humano es lo mas importante, ya que si se cuenta con tecnologa de punta, pero con
personal no calificado o en desacuerdo con el desarrollo del Centro de Computo optara por
renunciar, o bien por seguir rezagando al mismo Asimismo la capacitacin es importantsima, ya
que si no hay capacitacin permanente, el personal tcnico de la empresa decide abandonarla para
buscar nuevos horizontes y mayor oportunidad, aun sacrificando el aspecto econmico.
El aspecto organizativo tambin debe estar perfectamente estructurado, y las lneas de mando deben
estar bien definidas, evitando de esta manera la rotacin innecesaria de personal, la duplicidad de
funciones, las lneas alternas demando, etc. y que conllevan al desquiciamiento de la estructura
organizacional.
Hablando de seguridad, es indispensable el aseguramiento del equipo y de las instalaciones, as
como de la informacin, el control de los accesos tambin es punto fundamental para evitar las
fugas de informacin o manipulacin indebida de esta.
El Departamento de informtica es la parte medular de la empresa, es en donde los datos se
convierten en informacin til a las diferentes reas, es donde se guarda esta informacin y por
consecuencia, donde en la mayora de los casos se toman las decisiones importantes para la
empresa.
Adems al realizar la presente auditoria nos damos cuenta que dentro del ambiente empresarial es
de vital importancia contar con la informacin lo ms valiosa que sea, a tiempo, de forma oportuna,
clara, precisa y con cero errores para que se constituya en una herramienta poderosa para la toma de
decisiones, vindose reflejada en la obtencin de resultados benficos a los fines de la organizacin
y justificar el existir de toda la organizacin o empresa.
Como resultado de la Auditoria Informtica realizada a la Municipalidad Provincial de Mariscal
Nieto, por el perodo comprendido entre el 01 de Setiembre al 29 de Diciembre del 2004, podemos
manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de
auditoria.
El rea de Informtica presenta deficiencias en: En
su Seguridad
En el rea Fsica
En de Redes
Y en el debido cumplimiento de sus funciones.
Podremos estar tranquilos y seguros que nuestra funcin de auditores est funcionando como se
debe, y saber que cuando se siguen estos lineamientos se obtendrn sistemas que no van a necesitar
mantenimiento excesivo, que el cmputo va a ser parte de la solucin y no parte del problema,
como lo es hoy en da.
Informe Final de la Auditoria

LA MUNICIPALIDAD PROVINCIAL DE MARISCAL NIETO
Moquegua, 29 de Diciembre de 2.004
Seor Cervantes Games, Ivan
JEFE DEL REA DE INFORMTICA
De nuestra consideracin:
Tenemos el agrado de dirigirnos a Ud. a efectos de elevar a vuestra consideracin el alcance
del
trabajo de Auditora del rea de Informtica practicada los das 16 de Setiembre al 23 de
Diciembre, sobre la base del
anlisis y procedimientos detallados de todas las informaciones recopiladas y emitidos en el
presente
informe, que a nuestro criterio es razonable.
Sntesis de la revisin realizada, clasificado en las siguientes secciones:
1.
En su Seguridad
2.
En el rea Fsica
3.
En Redes
El contenido del informe ha sido dividido de la siguiente forma a efectos de facilitar su
anlisis.
a.
Situacin. Describe brevemente las debilidades resultantes de nuestro anlisis.
b. Efectos y/o implicancias probables. Enuncian los posibles riesgos a que se encuentran
expuestos las
operaciones realizadas por la Cooperativa.
c. ndice de importancia establecida. Indica con una calificacin del 0 al 3 el grado crtico del
problema y
la oportunidad en que se deben tomar las acciones correctivas del caso.
0 = Alto ( acciones correctivas inmediatas)
1 = Alto ( acciones preventivas inmediatas)
2 = Medio ( acciones diferidas correctivas)
3 = Bajo ( acciones diferidas preventivas)
Segn el anlisis realizado hemos encontrado falencias en que no existe un Comit y plan
informtico; falencias en la seguridad fsica y lgica; no existe auditoria de sistemas; falta de
respaldo a las operaciones; accesos de los usuarios.
El detalle de las deficiencias encontradas, como as tambin las sugerencias de solucin se
encuentran especificadas en el Anexo adjunto. La aprobacin y puesta en prctica de estas
sugerencias ayudarn a la empresa a brindar un servicio ms eficiente a los ciudadanos de la
Ciudad de Moquegua.
Agradecemos la colaboracin prestada durante nuestra visita por todo el personal de la
Municipalidad y quedamos a vuestra disposicin para cualquier aclaracin y/o ampliacin de
la presente que estime necesaria.
Atentamente.
ORLANDO JIMMY MAMANI POMA

MICHELLA AROHUANCA A.
WILLY MAMANI CUTIPA CARMEN
QUIONEZ MAYTA MADELEINE
MUOZ ORTEGA NELSSY
POCOHUANCA TURPO
A.
Organizacin y Administracin del rea

A.1. Comit y Plan Informtico
a.
Situacin
Con respecto al relevamiento efectuado, hemos notado lo siguiente:
No existe un Comit de Informtica o al menos no se encuentra formalmente

establecido.
No existe ninguna metodologa de planificacin, concepcin y/o seguimiento de proyectos.
b. Efectos y/o implicancias probables
Posibilidad de que las soluciones que se implementen para resolver problemas operativos
sean
parciales, tanto en Hardware como en Software.
c. Indice de importancia establecida 1
( uno )
d. Sugerencias
Establecer un Comit de Informtica integrado por representantes de las reas funcionales
claves ( Gerencia Administrativa, responsables de las reas Operativas, responsables de
Informtica y el responsable Contable).
Trazar los lineamientos de direccin del rea de Informtica.
Implementar normas y/o procedimientos que aseguren la eficaz administracin de los
recursos
informticos, y permitan el crecimiento coherente del rea conforme a la implementacin de
las
soluciones que se desarrollen y/o se requieran de terceros.
. Efectos y/o implicancias probables
La escasez de personal debidamente capacitado, aumenta el nivel de riesgo de errores al
disminuir la posibilidad de los controles internos en el procesamiento de la informacin; y
limita la
cantidad de soluciones que pueden implementarse en tiempo y forma oportuna a los efectos de
satisfacer los requerimientos de las reas funcionales.
B.
Seguridad Fsica Y Lgica

B.1. Entorno General
a.
Situacin
Durante nuestra revisin, hemos observado lo siguiente:
No existe una vigilancia estricta del rea de Informtica por personal de seguridad dedicado
a
este sector.
No existe detectores, ni extintores automticos.
Existe material altamente inflamable.
Carencia de un estudio de vulnerabilidad de la Cooperativa, frente a las riesgos fsicos o no
fsicos, incluyendo el riesgo Informtico.
No existe un puesto o cargo especifico para la funcin de seguridad Informtica.
Probable difusin de datos confidenciales.
Alta facilidad para cambios involuntarios o intencionales de datos, debido a la falta de
controles
internos.
Debido a la debilidad del servicio de mantenimiento del equipo central, la continuidad de las
actividades informticas podran verse seriamente afectadas ante eventuales roturas y/o
desperfectos de los sistemas.
c. ndice de importancia establecida
0 ( cero )
d. Sugerencias
A los efectos de minimizar los riesgos descriptos, se sugiere:
Establecer guardia de seguridad, durante horarios no habilitados para el ingreso al rea de
Informtica.
Colocar detectores y extintores de incendios automticos en los lugares necesarios.
Remover del Centro de Cmputos los materiales inflamables.
Determinar orgnicamente la funcin de seguridad.
Realizar peridicamente un estudio de vulnerabilidad, documentando efectivamente el
mismo, a
los efectos de implementar las acciones correctivas sobre los puntos dbiles que se detecten.
B.2. Auditora de Sistema
a.
Situacin
Hemos observado que la Municipalidad no cuenta con auditora Informtica , ni con
polticas
formales que establezcan responsables, frecuencias y metodologa a seguir para efectuar
revisiones de los archivos de auditora.
Cabe destacar que el sistema integrado posee un archivo que pudiera servir de auditoria
Informtica, el cual no es habilitado por falta de espacio en el disco duro.

Posibilidad de que adulteraciones voluntarias o involuntarias sean realizadas a los elementos
componentes del procesamiento de datos (programas, archivos de datos, definiciones de
seguridad de acceso, etc ) o bien accesos a datos confidenciales por personas no autorizadas
que no sean detectadas oportunamente.
0 ( cero )
d. Sugerencias
Establecer normas y procedimientos en los que se fijen responsables, periodicidad y
metodologa de control de todos los archivos de auditoria que pudieran existir como asimismo,
de
todos los elementos componentes de los sistemas de aplicacin.
B.3. Operaciones de Respaldo
a.
Situacin
Durante nuestra revisin hemos observado que:
Existe una rutina de trabajo de tomar una copia de respaldo de datos en Disckett, que se
encuentra en el recinto del centro de cmputos, en poder del auxiliar de informtica.
Si bien existen la copia de seguridad, no se poseen normas y/o procedimientos que exijan la
prueba sistemtica de las mismas a efectos de establecer los mnimos niveles de confiabilidad.
La Cooperativa est expuesta a la perdida de informacin por no poseer un chequeo
sistemtico
peridico de los back-up's, y que los mismas se exponen a riesgo por encontrarse en poder del
auxiliar de informtica.
0 ( cero )
d. Sugerencias
Minimizar los efectos, ser posible a travs de:
Desarrollar normas y procedimientos generales que permitan la toma de respaldo
necesarios,
utilitario a utilizar.
Realizar 3 copias de respaldos de datos en Zip de las cuales, una se encuentre en el recinto
del
rea de informtica, otra en la sucursal ms cercana y la ltima en poder del Jefe de rea.
Implementar pruebas sistemticas semanales de las copias y distribucin de las mismas.
B.4. Acceso a usuarios
a.
Situacin
De acuerdo a lo relevado hemos constatado que:
Existen niveles de acceso permitidos, los cuales son establecidos conforme a la funcin que
cumple cada uno de los usuarios.
100
Los usuarios definidos al rotar o retirarse del local no son borrados de los perfiles de acceso.
Las terminales en uso y dado un cierto tipo de inactividad no salen del sistema.
El sistema informtico no solicita al usuario, el cambio del Password en forma mensual.
b. Efectos y/o implicancia probables
Existe la imposibilidad de establecer responsabilidades dado que esta se encuentra dividida
entre el rea de sistema y los usuarios finales.
La falta de seguridad en la utilizacin de los Password, podran ocasionar fraudes por
terceros.
2 ( dos )
d. Sugerencia
Implementar algn software de seguridad y auditoria existente en el mercado o desarrollar
uno
propio.
Establecer una metodologa que permita ejercer un control efectivo sobre el uso o
modificacin
de los programas o archivos por el personal autorizado.
B.5. Plan de Contingencias

a.
Situacin
En el transcurso de nuestro trabajo hemos observado lo siguiente:
Ausencia de un Plan de Contingencia debidamente formalizado en el rea de Informtica.
No existen normas y procedimientos que indiquen las tareas manuales e informticas que
son
necesarias para realizar y recuperar la capacidad de procesamiento ante una eventual
contingencia ( desperfectos de equipos, incendios, cortes de energa con ms de una hora ), y
que determinen los niveles de participacin y responsabilidades del rea de sistemas y de los
usuarios.
No existen acuerdos formalizados de Centro de Cmputos paralelos con otras empresas o
proveedores que permitan la restauracin inmediata de los servicios informticos de la
Cooperativa en tiempo oportuno, en caso de contingencia.
b. Efectos y/o implicancia probable
Prdida de informacin vital.
Prdida de la capacidad de procesamiento.
c. ndice de Importancia relativa
1 ( uno )
d. Sugerencias
Establecer un plan de contingencia escrito, en donde se establezcan los procedimientos
manuales e informticos para restablecer la operatoria normal de la Cooperativa y establecer
los
responsables de cada sistema.

Efectuar pruebas simuladas en forma peridica, a efectos de monitorear el desempeo de los
funcionarios responsables ante eventuales desastres.
Establecer convenios bilaterales con empresas o proveedores a los efectos de asegurar los
equipos necesarios para sustentar la continuidad del procesamiento.
C. Desarrollo y mantenimiento de los sistemas de aplicaciones

C.1. Entorno de Desarrollo y mantenimiento de las aplicaciones
a.
Situacin
No existe documentaciones tcnicas del sistema integrado de la Cooperativa y tampoco no
existe un control o registro formal de las modificaciones efectuadas.
No se cuenta con un Software que permita la seguridad de las libreras de los programas y la
restriccin y/o control del acceso de los mismos.
Las modificaciones a los programas son solicitadas generalmente sin notas internas, en
donde
se describen los cambios o modificaciones que se requieren.
La escasa documentacin tcnica de cada sistema dificulta la compresin de las normas,
demandando tiempos considerables para su mantenimiento e imposibilitando la capacitacin
del
personal nuevo en el rea.
Se incrementa an ms la posibilidad de producir modificaciones errneas y/o no
autorizadas a
los programas o archivos y que las mismas no sean detectadas en forma oportuna.
1 ( uno )
d. Sugerencias
Para reducir el impacto sobre los resultados de los efectos y consecuencias probables
sugerimos:
Elaborar toda la documentacin tcnica correspondiente a los sistemas implementados y
establecer normas y procedimientos para los desarrollos y su actualizacin.
Evaluar e implementar un software que permita mantener el resguardo de acceso de los
archivos de programas y an de los programadores.
Implementar y conservar todas las documentaciones de prueba de los sistemas, como as
tambin las modificaciones y aprobaciones de programas realizadas por los usuarios
Hardware
Equipamiento Central
La cooperativa cuenta actualmente con un Equipo Central Pentium IV con las siguientes
caractersticas:
Procesador Intel Pentium IV de 1.600 mhz
Memoria: Ram 128 MB
Almacenamiento: 35 GB de 10 K RPM
Conexin: Ethernet 10/100
Es un equipamiento ideal para las funciones que cumple y su configuracin es aceptable.
Tiene
posibilidades de crecimiento y el fabricante cuenta con repuestos y mantenimientos que
garantizan la
buena utilizacin del mismo.
Equipamiento Perifrico
La cooperativa cuenta en su casa central con 30 PCs de las cuales el 50%(cincuenta por
ciento)
aproximadamente son Pentium III de 550Mhs con 64 MB de memoria y discos de 5 GB. El
resto son de
menor porte, pero el parque de computadoras personales es suficientemente apto para los
requerimientos actuales.
Las impresoras: de sistema (conectadas al equipo central) son de marca Epson 1170 y Epson
1200.
Adems cuentan con equipos de HP 560 de chorro de tintas conectadas a algunos equipos.
Equipamiento en Sucursales
Las sucursales cuentan con PCs AMD Athlon de 750 Mhz, 64 de memoria y discos de 5 GB.
Equipamiento holgadamente apto para las funciones que cumple.
Las sucursales tienen una impresora matricial del sistema y algunos usuarios cuentan con
impresoras a
chorro de tinta.
Cableado
El cableado es estructurado y con cables del tipo UTP categora 5, tanto en sucursales como
rea Informtica
Software
Software de Base
El sistema operativo con el que cuenta la Pentium IV es el de Windows Server 2000 que posee
una
importante estructura de seguridad.
Con sistema de red Windows 2000. Base de datos FOX .
ANEXOS
Encuesta
1. El rea cumple con las funciones asignadas en el MOF de la Institucin?
2. Cuntas personas laboran en el centro de cmputo?
Laboran 4 Personas.
3. Considera que el rea de trabajo es la adecuada o apropiada para el desempeo de sus labores?
4. Considera que es adecuado el nmero de personas que laboran en el rea?
5. Se deja de realizar alguna actividad por falta de personal?
6. Esta el personal que utiliza el computador educado en las necesidades de seguridad?
7. Con respecto a la parte fsica de la OCI; se cumple con las normas de seguridad establecidas
para los equipos de cmputo?
8. Esta el rea del computador libre de material combustible, como suministro de papel en exceso
de las necesidades inmediatas?
9. Existe en la OCI extinguidores de incendio claramente identificados para lo que uso se refiere?
10. Sobre el mantenimiento del equipo; cuenta con las herramientas necesarias para brindar un
buen servicio en el momento requerido?
11. El rea cuenta con un respectivo plan de contingencias?
12. Si cuenta con un plan de contingencias Se han identificado las aplicaciones vitales para
operacin del rea?
CONSEJOS
1. Utiliza un buen antivirus y actualzalo frecuentemente.
2. Comprueba que tu antivirus incluye soporte tcnico, resolucin urgente de nuevos virus y
servicios de alerta.
3. Asegrate de que tu antivirus est siempre activo.
4. Verifica, antes de abrir, cada nuevo mensaje de correo electrnico recibido.
5. Evita la descarga de programas de lugares no seguros en Internet.
6. Rechaza archivos que no hayas solicitado cuando ests en chats o grupos de noticias (news)
7. Analiza siempre con un buen antivirus los disquetes que vayas a usar en tu ordenador.
8. Retira los disquetes de las disqueteras al apagar o reiniciar tu ordenador.
9. Analiza el contenido de los archivos comprimidos.
10. Mantente alerta ante acciones sospechosas de posibles virus.
11. Aade las opciones de seguridad de las aplicaciones que usas normalmente a tu poltica de
proteccin antivirus.
12. Realiza peridicamente copias de seguridad.
13. Mantente informado.
14. Utiliza siempre software legal.
15. Exige a los fabricantes de software, proveedores de acceso a Internet y editores de
publicaciones, que se impliquen en la lucha contra los virus.
POLTICAS EN INFORMTICA PROPUESTA
TITULO I
DISPOSICIONES GENERALES
ARTICULO 1.- El presente ordenamiento tiene por ob jeto estandarizar y contribuir al desarrollo
informtico de las diferentes unidades administrativas de la Empresa NN. ARTICULO 2.- Para los
efectos de este instrumento se entender por:
Comit: Al equipo integrado por la Direccin , Subdireccin, los Jefes departamentales y el
personal administrativo de las diferentes unidades administrativas (Ocasionalmente) convocado
para fines especficos como:
Adquisiciones de Hardware y software
Establecimiento de estndares de la Empresa NN tanto de hardware como de software
Establecimiento de la Arquitectura tecnolgica de grupo.
Establecimiento de lineamientos para concursos de ofertas
Administracin de Informtica: Est integrada por la Direccin, Subdireccin y Jefes

Departamentales, las cuales son responsables de:
Velar por el funcionamiento de la tecnologa informtica que se utilice en las diferentes

unidades administrativas
Elaborar y efectuar seguimiento del Plan Maestro de Informtica
Definir estrategias y objetivos a corto, mediano y largo plazo
Mantener la Arquitectura tecnolgica
Controlar la calidad del servicio brindado
Mantener el Inventario actualizado de los recursos informticos
Velar por el cumplimiento de las Polticas y Procedimientos establecidos.
ARTICULO 3.- Para los efectos de este documento, s e entiende por Polticas en Informtica, al
conjunto de reglas obligatorias, que deben observar los Jefes de Sistemas
responsables del hardware y software existente en la Empresa NN, siendo responsabilidad de la

Administracin de Informtica, vigilar su estricta observancia en el
mbito de su competencia, tomando las medidas preventivas y correctivas para que se cumplan.
ARTICULO 4.- Las Polticas en Informtica son el conjunto de ordenamientos y lineamientos

enmarcados en el mbito jurdico y administrativo de la Empresa NN. Estas normas inciden en la
adquisicin y el uso de los Bienes y Servicios Informticos en la Empresa NN, las cuales se debern
de acatar invariablemente, por aquellas instancias que intervengan directa y/o indirectamente en
ello.
ARTICULO 5.- La instancia rectora de los sistemas de informtica de la Empresa NN es la
Administracin, y el organismo competente para la aplicacin de este ordenamiento, es el Comit.
ARTICULO 6.- Las presentes Polticas aqu contenid as, son de observancia para la adquisicin y
uso de bienes y servicios informticos, en la Empresa NN, cuyo incumplimiento generar que se
incurra en responsabilidad administrativa; sujetndose a lo dispuesto en la seccin
Responsabilidades Administrativas de Sistemas.
ARTICULO 7.- Las empresas de la Empresa NN debern contar con un Jefe o responsable del
Area de Sistemas, en el que recaiga la administracin de los Bienes y Servicios, que vigilar la
correcta aplicacin de los ordenamientos establecidos por el Comit y dems disposiciones
aplicables.
TITULO II
LINEAMIENTOS PARA LA ADQUISICION DE BIENES DE INFORMATICA
ARTICULO 8.- Toda adquisicin de tecnologa inform tica se efecta a travs del Comit, que
est conformado por el personal de la Administracin de Informtica y Gerente Administrativo de la
unidad solicitante de bienes o servicios informticos.
ARTICULO 9.- La adquisicin de Bienes de Informti ca en la Empresa NN, quedar sujeta a los
lineamientos establecidos en este documento.
ARTICULO 10.- La Administracin de Informtica, al planear las operaciones relativas a la

adquisicin de Bienes informticos, establecer prioridades y en su seleccin deber tomar en
cuenta: estudio tcnico, precio, calidad, experiencia, desarrollo tecnolgico, estndares y capacidad,
entendindose por:
Precio.- Costo inicial, costo de mantenimiento y consumibles por el perodo estimado de

uso de los equipos;
Calidad.- Parmetro cualitativo que especifica las caractersticas tcnicas de los recursos
informticos.
Experiencia.- Presencia en el mercado nacional e internacional, estructura de servicio, la

confiabilidad de los bienes y certificados de calidad con los que se cuente;
Desarrollo Tecnolgico.- Se deber analizar su grado de obsolescencia, su nivel tecnolgico

con respecto a la oferta existente y su permanencia en el mercado;
Estndares.- Toda adquisicin se basa en los estndares, es decir la arquitectura de grupo

empresarial establecida por el Comit. Esta arquitectura tiene una permanencia mnima de
dos a cinco aos.
Capacidades.- Se deber analizar si satisface la demanda actual con un margen de holgura y

capacidad de crecimiento para soportar la carga de trabajo del rea.
ARTICULO 11.- Para la adquisicin de Hardware se o bservar lo siguiente:

a) El equipo que se desee adquirir deber estar dentro de las listas de ventas vigentes de los fabricantes
y/o distribuidores del mismo y dentro de los estndares de la Empresa NN.
b) Debern tener un ao de garanta como mnimo
c) Debern ser equipos integrados de fbrica o ensamblados con componentes previamente evaluados
por el Comit.
d) La marca de los equipos o componentes deber contar con presencia y permanencia demostrada en
el mercado nacional e internacional, as como con asistencia tcnica y refaccionaria local.
e) Tratndose de equipos microcomputadoras, a fin de mantener actualizado la arquitectura
informtico de la Empresa NN, el Comit emitir peridicamente las especificaciones tcnicas
mnimas para su adquisicin.
110
f) Los dispositivos de almacenamiento, as como las interfaces de entrada/salida, debern estar acordes
con la tecnologa de punta vigente, tanto en velocidad de transferencia de datos, como en el ciclo
del proceso.
g) Las impresoras debern apegarse a los estndares de Hardware y Software vigentes en el mercado y
la Empresa NN, corroborando que los suministros (cintas, papel, etc.) se consigan fcilmente en el
mercado y no estn sujetas a un solo proveedor.
h) Conjuntamente con los equipos, se deber adquirir el equipo complementario adecuado para su
correcto funcionamiento de acuerdo con las especificaciones de los fabricantes, y que esta
adquisicin se manifieste en el costo de la partida inicial.
i)Los equipos complementarios debern tener una garanta mnima de un ao y debern contar con el
servicio tcnico correspondiente en el pas.
j)Los equipos adquiridos deben contar, de preferencia con asistencia tcnica durante la instalacin de
los mismos.
k) En lo que se refiere a los computadores denominados servidores, equipo de comunicaciones como
enrutadores y concentradores de medios, y otros que se justifiquen por ser de operacin crtica y/o
de alto costo; al vencer su perodo de garanta, deben de contar con un programa de mantenimiento
preventivo y correctivo que incluya el suministro de refacciones.
l)En lo que se refiere a los computadores denominados personales, al vencer su garanta por
adquisicin, deben de contar por lo menos con un programa de servicio de mantenimiento
correctivo que incluya el suministro de refacciones.
Todo proyecto de adquisicin de bienes de informtica, debe sujetarse al anlisis, aprobacin y
autorizacin del Comit.
ARTICULO 12: En la adquisicin de Equipo de cmput o se deber incluir el Software vigente
precargado con su licencia correspondiente considerando las disposiciones del artculo siguiente.
ARTICULO 13.- Para la adquisicin de Software base y utilitarios, el Comit dar a conocer
peridicamente las tendencias con tecnologa de punta vigente, siendo la lista de productos
autorizados la siguiente:
a. Plataformas de Sistemas Operativos:
MS-DOS, MS- Windows 95 Espaol, Windows NT, Novell Netware, Unix(Automotriz).

b. Bases de Datos:
Foxpro, Informix
c. Manejadores de bases de datos:
Foxpro para DOS, VisualFox, Access

d. Lenguajes de programacin:
Los lenguajes de programacin que se utilicen deben ser compatibles con las plataformas enlistadas.
SQL Windows
Visual Basic
VisualFox
CenturaWeb
Notes Designer
e. Hojas de clculo:
Excel
f.
Procesadores de palabras:
Word
g. Diseo Grfico:
Page Maker, Corel Draw

h. Programas antivirus.
F-prot, Command Antivirus, Norton Antivirus

i. Correo electrnico Notes
Mail
j.
Browser de Internet
Netscape
En la generalidad de los casos, slo se adquirirn las ltimas versiones liberadas de los productos
seleccionados, salvo situaciones especficas que se debern justificar ante el Comit. Todos los
productos de Software que se adquieran debern contar con su licencia de uso, documentacin y
garanta respectivas.
ARTICULO 14.- Todos los productos de Software que se utilicen a partir de la fecha en que entre
en vigor el presente ordenamiento, debern contar con su licencia de uso respectiva; por lo que se
promover la regularizacin o eliminacin de los productos ya instalados que no cuenten con la
licencia respectiva.
ARTICULO 15.- Para la operacin del software de re d se debe tener en consideracin lo siguiente:
a)Toda la informacin institucional debe invariablemente ser operada a travs de un mismo tipo de
sistema manejador de base de datos para beneficiarse de los mecanismos de integridad, seguridad y
recuperacin de informacin en caso de falla del sistema de cmputo.
b)El acceso a los sistemas de informacin, debe contar con los privilegios niveles de seguridad de
acceso suficientes para garantizar la seguridad total de la informacin institucional. Los niveles de
seguridad de acceso debern controlarse por un administrador nico y poder ser manipulado por
software. Se deben delimitar las responsabilidades en cuanto a quin est autorizado a consultar y/o
modificar en cada caso la informacin, tomando las medidas de seguridad pertinentes para cada
caso.
c)El titular de la unidad administrativa responsable del sistema de informacin debe autorizar y
solicitar la asignacin de clave de acceso al titular de la Unidad de Informtica.
d)Los datos de los sistemas de informacin, deben ser respaldados de acuerdo a la frecuencia de
actualizacin de sus datos, rotando los dispositivos de respaldo y guardando respaldos histricos
peridicamente. Es indispensable llevar una bitcora oficial de los respaldos realizados, asimismo,
las cintas de respaldo debern guardarse en un lugar de acceso restringido con condiciones
ambientales suficientes para garantizar su conservacin. Detalle explicativo se aprecia en la Poltica
de respaldos en vigencia.
e)En cuanto a la informacin de los equipos de cmputo personales, la Unidad de Informtica
recomienda a los usuarios que realicen sus propios respaldos en la red o en medios de
almacenamiento alternos.
f) Todos los sistemas de informacin que se tengan en operacin, deben contar con sus respectivos
manuales actualizados. Uno tcnico que describa la estructura interna del sistema as como los
programas,
catlogos y archivos que lo conforman y otro que describa a los usuarios del sistema, los
procedimientos para su utilizacin.
h) Los sistemas de informacin, deben contemplar el registro histrico de las transacciones sobre
datos relevantes, as como la clave del usuario y fecha en que se realiz (Normas Bsicas de
Auditora y Control).
i )Se deben implantar rutinas peridicas de auditora a la integridad de los datos y de los programas
de cmputo, para garantizar su confiabilidad.
ARTICULO 16.- Para la contratacin del servicio de desarrollo o construccin de Software

aplicativo se observar lo siguiente:
Todo proyecto de contratacin de desarrollo o construccin de software requiere de un estudio de
factibilidad que permita establecer la rentabilidad del proyecto as como los beneficios que se
obtendrn del mismo.
Todo proyecto deber ser aprobado por el Comit en base a un informe tcnico que contenga lo
siguiente:
Bases del concurso (Requerimientos claramente especificados)
Anlisis de ofertas (Tres oferentes como mnimo) y Seleccin de oferta ganadora
Bases del Concurso

Las bases del concurso especifican claramente los objetivos del trabajo, delimita las
responsabilidades de la empresa oferente y la contratante.
De las empresas oferentes:
Los requisitos que se deben solicitar a las empresas oferentes son:
a. Copia de la Cdula de Identidad del o los representantes de la compaa
b. Copia de los nombramientos actualizados de los representantes legales de la compaa
c. Copia de los Estatutos de la empresa, en que aparezca claramente definido el objeto de la
compaa, esto es para determinar si est o no facultada para realizar la obra
d. Copia del RUC de la compaa
e. Referencias de clientes (Mnimo 3)

f.
La carta con la oferta definitiva del contratista debe estar firmada por el representante legal
de la compaa oferente.
De la contratante
Las responsabilidades de la contratante son:
a. Delinear adecuadamente los objetivos y alcance del aplicativo.
b. Establecer los requerimientos del aplicativo
c. Definir responsabilidades de la contratista y contratante
d. Establecer campos de accin
Anlisis de ofertas y Seleccin de oferta ganadora:

Para definir la empresa oferente ganadora del concurso, el Comit establecer una reunin en la que
se debe considerar los siguientes factores:
a. Costo
b. Calidad
c. Tiempo de permanencia en el mercado de la empresa oferente
d. Experiencia en el desarrollo de aplicativos
e. Referencias comprobadas de Clientes
f.
Cumplimiento en la entrega de los requisitos
Aprobada la oferta se debe considerar los siguientes lineamientos en la elaboracin de contratos:

Todo contrato debe incluir lo siguiente:
Antecedentes, objeto del contrato, precio, forma de pago, plazo, obligaciones del contratista,
responsabilidades, fiscalizador de la obra, garantas, entrega recepcin de obra provisional y
definitiva, sanciones por incumplimientos, rescisin del contrato, disposiciones supletorias,
documentos incorporados, solucin de controversias, entre otros aspectos.
Las garantas necesarias para cada contrato deben ser includas en forma conjunta con el
Departamento Legal, quienes deben asesorar el tipo de garanta necesaria en la elaboracin de cada
contrato.
Las garantas que se deben aplicar de acuerdo al tipo de contrato son:
a. Una garanta bancaria o una pliza de seguros, incondicional, irrevocable y de cobro

inmediato por el 5% del monto total del contrato para asegurar su fiel cumplimiento, la cual
se mantendr vigente durante todo el tiempo que subsista la obligacin motivo de la
garanta.
b. Una garanta bancaria o una pliza de seguros, incondicional, irrevocable y de cobro

inmediato equivalente al 100 % (ciento por ciento) del anticipo. Esta garanta se devolver
en su integridad una vez que el anticipo se haya amortizado en la forma de pago estipulada
en el contrato.
c. Un fondo de garanta que ser retenido de cada planilla en un porcentaje del 5 %. Junto al
contrato se deber mantener la historia respectiva del mismo que se compone de la siguiente
documentacin soporte:
Estudio de factibilidad
Bases del concurso
Ofertas presentadas
Acta de aceptacin de oferta firmada por los integrantes del Comit
Informes de fiscalizacin
Acta de entrega provisional y definitiva
TITULO III
INSTALACIONES
ARTICULO 17.- La instalacin del equipo de cmputo , quedar sujeta a los siguientes
lineamientos:
a)Los equipos para uso interno se instalarn en lugares adecuados, lejos de polvo y trfico de personas.
En las reas de atencin directa al pblico los equipos se instalarn en lugares adecuados.
b) La Administracin de Informtica, as como las reas operativas debern contar con un croquis
actualizado de las instalaciones elctricas y de comunicaciones del equipo de cmputo en red.
c)Las instalaciones elctricas y de comunicaciones, estarn de preferencia fijas o en su defecto

resguardadas del paso de personas o mquinas, y libres de cualquier interferencia elctrica o
magntica.
d) Las instalaciones se apegarn estrictamente a los requerimientos de los equipos, cuidando las
especificaciones del cableado y de los circuitos de proteccin necesarios;
e) En ningn caso se permitirn instalaciones improvisadas o sobrecargadas.
f) Cuando en la instalacin se alimenten elevadores, motores y maquinaria pesada, se deber tener un
circuito independiente, exclusivo para el equipo y/o red de cmputo.
ARTICULO 18.- La supervisin y control de las inst alaciones se llevar a cabo en los plazos y
mediante los mecanismos que establezca el Comit.
TITULO IV
LINEAMIENTOS EN
INFORMATICA CAPITULO I
INFORMACION
ARTICULO 19.- Los archivos magnticos de informaci n se debern inventariar, anexando la

descripcin y las especificaciones de los mismos, clasificando la informacin en tres categoras:
1. Informacin histrica para auditoras
2. Informacin de inters de la Empresa NN
3. Informacin de inters exclusivo de algn rea en particular.
ARTICULO 20.- Los jefes de sistemas responsables d el equipo de cmputo y de la informacin
contenida en los centros de cmputo a su cargo, delimitarn las responsabilidades de sus
subordinados y determinarn quien est autorizado a efectuar operaciones emergentes con dicha
informacin tomando las medidas de seguridad pertinentes.
ARTICULO 21.- Se establecen tres tipos de priorida d para la informacin:
1. Informacin vital para el funcionamiento de la unidad administrativa;
2. Informacin necesaria, pero no indispensable en la unidad administrativa;
3. Informacin ocasional o eventual.
ARTICULO 22.- En caso de informacin vital para el funcionamiento de la unidad administrativa,

se debern tener procesos concomitantes, as como tener el respaldo diario de las modificaciones
efectuadas, rotando los dispositivos de respaldo y guardando respaldos histricos semanalmente.
ARTICULO 23.- La informacin necesaria pero no ind ispensable, deber ser respaldada con una
frecuencia mnima de una semana, rotando los dispositivos de respaldo y guardando respaldos
histricos mensualmente.
ARTICULO 24.- El respaldo de la informacin ocasio nal o eventual queda a criterio de la unidad
administrativa.
ARTICULO 25.- Los archivos magnticos de informaci n, de carcter histrico quedarn
documentados como activos de la unidad acadmica y estarn debidamente resguardados en su
lugar de almacenamiento.
Es obligacin del responsable del equipo de cmputo, la entrega conveniente de los archivos
magnticos de informacin, a quien le suceda en el cargo.
ARTICULO 26.- Los sistemas de informacin en opera cin, como los que se desarrollen debern
contar con sus respectivos manuales. Un manual del usuario que describa los procedimientos de
operacin y el manual tcnico que describa su estructura interna, programas, catlogos y archivos.
CAPITULO II
FUNCIONAMIENT
O
ARTICULO 27.- Es obligacin de la Administracin d e Informtica vigilar que el equipo de

cmputo se use bajo las condiciones especificadas por el proveedor y de acuerdo a las funciones del
rea a la que se asigne.
ARTICULO 28.- Los colaboradores de la empresa al u sar el equipo de cmputo, se abstendrn de
consumir alimentos, fumar o realizar actos que perjudiquen el funcionamiento del mismo o
deterioren la informacin almacenada en medios magnticos, pticos, etc.
ARTICULO 29.- Por seguridad de los recursos inform ticos se deben establecer seguridades:
Fsicas
Sistema Operativo
Software
Comunicaciones
Base de Datos
Proceso
Aplicaciones
Por ello se establecen los siguientes lineamientos:
Mantener claves de acceso que permitan el uso solamente al personal autorizado para ello.
Verificar la informacin que provenga de fuentes externas a fin de corroborar que estn
libres de cualquier agente externo que pueda contaminarla o perjudique el funcionamiento
de los equipos.
Mantener plizas de seguros de los recursos informticos en funcionamiento
ARTICULO 30.- En ningn caso se autorizar la util izacin de dispositivos ajenos a los procesos
informticos de la unidad administrativa.
Por consiguiente, se prohibe el ingreso y/o instalacin de hardware y software particular, es decir
que no sea propiedad de una unidad administrativa de la Empresa NN, excepto en casos emergentes
que la Direccin autorice.
CAPITULO III
PLAN DE CONTINGENCIAS
ARTICULO 31.- La Administracin de Informtica cre ar para las empresas y departamentos un

plan de contingencias informticas que incluya al menos los siguientes puntos:
a) Continuar con la operacin de la unidad administrativa con procedimientos informticos alternos;
b) Tener los respaldos de informacin en un lugar seguro, fuera del lugar en el que se encuentran los
equipos.
c) Tener el apoyo por medios magnticos o en forma documental, de las operaciones necesarias para
reconstruir los archivos daados;
d) Contar con un instructivo de operacin para la deteccin de posibles fallas, para que toda accin
correctiva se efecte con la mnima degradacin posible de los datos;
e) Contar con un directorio del personal interno y del personal externo de soporte, al cual se pueda
recurrir en el momento en que se detecte cualquier anomala;
f) Ejecutar pruebas de la funcionalidad del plan
f) Mantener revisiones del plan a fin de efectuar las actualizantes respectivas
CAPITULO IV
ESTRATEGIAS
ARTICULO 32.- La estrategia informtica de la DDT se consolida en el Plan Maestro de

Informtica y est orientada hacia los siguientes puntos:
a)
Plataforma de Sistemas Abiertos;
b) Descentralizacin del proceso de informacin

c) Esquemas de operacin bajo el concepto cliente/servidor
d) Estandarizacin de hardware, software base, utilitarios y estructuras de datos
e) Intercomunicacin entre unidades y equipos mediante protocolos estndares
f) Intercambio de experiencias entre Departamentos de Informtica.
g) Manejo de proyectos conjuntos con las diferentes unidades administrativas.
h) Programa de capacitacin permanente para los colaboradores de la empresa del rea de informtica
i)Integracin de sistemas y bases de datos de la Empresa NN, para tener como meta final un Sistema
Integral de Informacin Corporativo.
j)Programacin con ayudas visuales e interactivas. Facilitando interfases amigables al usuario final.
k) Integracin de sistemas teleinformticos (Intranet De grupo empresarial).
ARTICULO 33.- Para la elaboracin de los proyectos informticos y para la presupuestacin de los
mismos, se tomarn en cuentan tanto las necesidades de hardware y software de la unidad
administrativa solicitante, como la disponibilidad de recursos con que stas cuenten.
120
DISPOSICIONES TRANSITORIAS
ARTICULO PRIMERO.- Las disposiciones aqu enmarcadas, entrarn en vigor a partir del da
siguiente de su difusin.
ARTICULO SEGUNDO.- Las normas y polticas objeto de este documento, podrn ser modificadas
o adecuadas conforme a las necesidades que se vayan presentando, mediante acuerdo del Comit
Tcnico de Informtica de la Empresa NN (CTI); una vez aprobadas dichas modificaciones o
adecuaciones, se establecer su vigencia.
ARTICULO TERCERO.- Las disposiciones aqu descritas constan de forma detallada en los
manuales de polticas y procedimientos especficos existentes.
ARTICULO CUARTO.- La falta de desconocimiento de las normas aqu descritas por parte de los
colaboradores no los libera de la aplicacin de sanciones y/o penalidades por el incumplimiento de
las mismas.
Bibliografa
Audinet : http://www.audinet.org
Sans Institute : http://www.sans.org
AUDITORIA INFORMATICA. Un enfoque prctico

Mario Piatini Emilio del Peso Ed. Rama
AUDITORIA DE LOS SISTEMAS DE INFORMACIN Rafael

Bernal y scar Coltell Univ. Politcnica de Valencia

Auditoria Informatica-Municipalidad Moquegua

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Auditoria Informatica-Municipalidad Moquegua

Diunggah oleh

Hak Cipta:

Format Tersedia

AUDITORIA DE SISTEMAS DE LA UAD- MAJES

Organizacin de Seguridad de la aprte fisica del area de sistemas de la UAD Majes.

Sistemas tcnicos de Seguridad y Proteccin.

Revisin de las polticas y Normas sobre seguridad Fsica de la UAD Majes.

Verificar la seguridad de personal, datos, hardware, software e instalaciones

Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico

3.Se ha dividido la responsabilidad para tener un mejor control de la seguridad?

Anlisis de la delimitacin la manera en que se cumplen:

Evaluacin del diseo segn el ambiente del centro de computo

Anlisis del ambiente

Anlisis de la seguridad fsica

Identificacin del area

Identificacin de la Entidad Auditada

Verificar la estructura de distribucin de los equipos.

Revisar la correcta utilizacin de los equipos

Verificar la condicin del centro de cmputo.

Falta de un local mas amplio

No existe un calendario de mantenimiento

Faltan salida al exterior

No existe salidas de emergencia.

El Departamento de centro de cmputo presenta deficiencias sobre todo en el debido

Reubicacin del local

Implantar salidas de emergencia.

Elaborar un calendario de mantenimiento de rutina peridico.

Fecha Del Informe

elctricas seguras, entre

informacin y los dispositivos en caso de variacin

AREA DE OFIMTICA.Para hallar el SI

Identificacin del informe

Identificacin del Cliente

Identificacin de la Entidad Auditada

Verificar si el hardware y software se adquieren siempre y cuando tengan la seguridad de que

Verificar si la seleccin de equipos y sistemas de computacin es adecuada

Verificar la existencia de un plan de actividades previo a la instalacin

o Falta de licencias de software.

El Departamento de centro de cmputo presenta deficiencias sobre el debido cumplimiento de

Un de manual de funciones para cada puesto de trabajo dentro del rea.

Fecha Del Informe

Evaluacin del personal y coherencia de cargos de la propia institucin.

Normas y Procedimientos del rea de informtica

Verificar la existencia de normas generales escritas para el personal en lo que se refiere

Verificar la existencia de un responsable de sala.

Inexistencia y falta de uso de los Manuales de Operacin

Falta de planes de formacin

No existe programas de capacitacin y actualizacin al personal

Como resultado de la Auditoria de la Seguridad realizada al Municipio, por el perodo

El rea de Informtica presenta deficiencias sobre todo en el debido cumplimiento de

Debern realizarse muestreos selectivos de la Documentacin de las Aplicaciones

Asignar un responsable del Centro de Cmputos en cada turno de trabajo.

Crear y hacer uso de manuales de operacin.

Realizar funciones de operacin, programacin y diseo de sistemas deben estar

9. Fecha Del Informe

AUDITORIA DEL MANTENIMIENTO

Realizar un informe de Auditoria con el objeto de evaluar el mantenimiento correctivo y

2. Existe un programa de mantenimiento preventivo para cada

compostura estipulados en los contratos?

5. Si los tiempos de reparacin son superiores a los estipulados en

Software (SQAP) en el cumplimiento de las normas de

implementar una estrategia de mantenimiento del software.

19. El mantenedor a menudo se encuentra con un producto

Determinar qu hace el producto software. Revisar las

mantenimiento para programadores, manuales de usuario o

27. Los costes