Propuesta de Servicio

OBJETIVOS Y ALCANCE
OBJETIVO GENERAL
Revisar y Evaluar los controles, sistemas, procedimientos de informtica; de los
equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin
que participan en el procesamiento de la informacin, a fin de que por medio
del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y
segura de la informacin que servir para una adecuada toma de decisiones.
OBJETIVOS ESPECIFICOS

Evaluar el diseo y prueba de los sistemas del rea de Informtica

Determinar la veracidad de la informacin del rea de Informtica
Evaluar los procedimientos de control de operacin, analizar
estandarizacin y evaluar el cumplimiento de los mismos.
Evaluar la forma como se administran los dispositivos
almacenamiento bsico del rea de Informtica
Evaluar el control que se tiene sobre el mantenimiento y las fallas de
Piezas.
Verificar las disposiciones y reglamentos que coadyuven
mantenimiento del orden dentro del departamento de cmputo.

su
de
las
al

ENFOQUE A UTILIZAR
La presente accin de control, se realiza de acuerdo con el organismo central y
rector de los Sistemas Nacionales de Estadstica e Informtica, responsable de
normar, supervisar y evaluar los mtodos, procedimientos y tcnicas
estadsticas e informticas utilizados por los rganos del Sistema INEI (Instituto
Nacional de Estadstica e Informtica), Normas Internacionales de Auditoria
(NIA); habindose aplicado procedimientos de Auditoria que se consideraron
necesarios de acuerdo a las circunstancias.
La presente Auditoria Informtica se realizara a la Sociedad Educacional
COMPUMAT S.A., ubicada en la ciudad de Santiago, siendo el rea a examinarse
la de Informtica.
RELACION DE FUNCIONARIOS O PERSONAL A CARGO DEL AREA A
EXAMINAR
Nombres y Apellidos Cargo Periodo de Gestin:
Victoria Marshall FALTA RUT
CRONOGRAMA DE TRABAJO
PROGRAMA DE AUDITORIA EMPRESA:
Sociedad Educacional COMPUMAT S.A.

FASE ACTIVIDAD HORAS ESTIMADA ENCARGADOS

I VISITA PRELIMINAR
Solicitud de Manuales y Documentaciones.
Elaboracin de los cuestionarios.
Recopilacin de la informacin organizacional: estructura orgnica,
recursos humanos, presupuestos. 8 HRS
II DESARROLLO DE LA AUDITORIA
Aplicacin del cuestionario al personal.
Entrevistas a lderes y usuarios ms relevantes de la direccin.
Anlisis de las claves de acceso, control, seguridad, confiabilidad y
respaldos.
Evaluacin de la estructura orgnica: departamentos, puestos,
funciones, autoridad y responsabilidades.
Evaluacin de los Recursos Humanos y de la situacin Presupuestal y
Financiera: desempeo, capacitacin, condiciones de trabajo, recursos
en materiales y financieros mobiliario y equipos.
Evaluacin de los sistemas: relevamiento de Hardware y Software,
evaluacin del diseo lgico y del desarrollo del sistema.
Evaluacin del Proceso de Datos y de los Equipos de Cmputos:
seguridad de los datos, control de operacin, seguridad fsica y
procedimientos de respaldo. 32 HRS
III REVISION Y PRE-INFORME
Revisin de los papeles de trabajo.
Determinacin del Diagnostico e Implicancias.
Elaboracin de la Carta de Gerencia.
Elaboracin del Borrador 16 HRS
IV INFORME FINAL
Elaboracin y presentacin del Informe. 4 HRS
DOCUMENTOS A SOLICITAR
Polticas, estndares, normas y procedimientos.
Plan de sistemas.
Planes de seguridad y continuidad
Contratos, plizas de seguros.
Organigrama y manual de funciones.
Manuales de sistemas.
Registros
Entrevistas
Archivos
Requerimientos de Usuarios

PLAN DE AUDITORIA
Para la evaluacin del rea de Informtica se llevarn a cabo las siguientes
actividades:
Solicitud de los estndares utilizados y programa de trabajo
Aplicacin del cuestionario al personal
Anlisis y evaluacin del a informacin
Elaboracin del informe
Para la evaluacin de los sistemas tanto en operacin como en
desarrollo se llevarn a cabo las siguientes actividades:
Solicitud del anlisis y diseo del os sistemas en desarrollo y en
operacin
Solicitud de la documentacin de los sistemas en operacin (manuales
tcnicos, de operacin del usuario, diseo de archivos y programas)
Recopilacin y anlisis de los procedimientos administrativos de cada
sistema (flujo de informacin, formatos, reportes y consultas)
Anlisis de llaves, redundancia, control, seguridad, confidencial y
respaldos
Anlisis del avance de los proyectos en desarrollo, prioridades y personal
asignado
Entrevista con los usuarios de los sistemas
Evaluacin directa de la informacin obtenida contra las necesidades y
requerimientos del usuario
Anlisis objetivo de la estructuracin y flujo de los programas
Anlisis y evaluacin de la informacin recopilada
Elaboracin del informe

CONTRATO
Contrato de prestacin de servicios profesionales de auditora en informtica que
celebran por una parte
Sociedad Educacional COMPUMAT S.A.
, representada
por
Victoria Marshall
, en su carcter de
Gerente General
, y en lo
sucesivo se denominar el cliente, por otra parte
AUDIT S.A.
,
representada por
Geovanni Alcaino
, a quin se denominar el auditor,
de conformidad con las declaraciones y clusulas siguientes:

DECLARACIONES
I.

II.

III.

El cliente declara:
a. Que
es
una
Institucin
Privada________________________________________________
,
b. Que est representado para este acto por
Victoria Marshall
, y tiene
como su domicilio
Brown Norte 262, uoa Santiago
,
c. Que requiere obtener servicios de auditora en informtica, por lo que ha
decidido contratar los servicios del auditor.
Declara el auditor:
a. Que es una sociedad annima, constituida y existente de acuerdo con las leyes
y que dentro de sus objetivos primordiales est el de prestar auditora en
informtica.
b. Que est constituida legalmente segn escritura nmero
050
, de
fecha
16 de marzo de 2010, ante el notario pblico don(a)
Daniel
Fuentes.
c. Que seala su domicilio
Brown Norte 262, Departamento F404, uoa
Santiago
,.
Declaran ambas partes:
a. Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo formalizan
otorgando el presente contrato que se contiene en las siguientes:

CLAUSULAS
PRIMERA. OBJETO
El auditor se obliga a prestar al cliente los servicios de auditora en informtica
para llevarla a cabo la evaluacin de la direccin de informtica del cliente, que se
detallan en la propuesta de servicios anexa que, firmada por las partes, forma parte
integrante del contrato.

SEGUNDA. ALCANCE DEL TRABAJO

El alcance de los trabajos que llevar a cabo el auditor dentro de este contrato
son:
a) Evaluaciones de la direccin de informtica en lo que corresponde a:
- Su organizacin
- Estructura
- Recursos Humanos
- Normas y polticas
- Capacitacin Planes de trabajo
- Controles
- Estndares
b) Evaluacin de los sistemas
- Evaluacin de los diferentes sistemas en operacin, (flujo de informacin,
procedimientos, documentacin, redundancia, organizacin de archivos,
estndares de programacin, controles, utilizacin de los sistemas, opinin
de los usuarios sobre los diferentes sistemas.
- Evaluacin de avance de los sistemas en desarrollo y congruencia con el
diseo general.
- Evaluacin de prioridades y recursos asignados (humanos y equipos de
cmputo).
- Seguridad fsica y lgica de los sistemas, su confidencialidad y respaldos.
c) Evaluacin de los equipos
- Capacidades
- Utilizacin
- Nuevos proyectos
- Seguridad fsica y lgica
- Respaldos de equipos
- Seguros
- Contratos
- Proyecciones
d) Elaboracin de informes que contengan conclusiones y recomendaciones por cada
uno de los trabajos sealados en los incisos a, b y c de esta clusula.

TERCERA. PROGRAMA DE TRABAJO

El cliente y el auditor convienen en desarrollar en forma conjunta un programa
de trabajo en el que se determinen con precisin las actividades a realizar por cada
una de las partes, los responsables de llevarlas a cabo y las fechas de realizacin.

CUARTA. SUPERVISIN
El cliente o quien designe tendr derecho a supervisar los trabajos que se le han
encomendado al auditor dentro de este contrato y a dar por escrito las instrucciones
que estime convenientes.

QUINTO. COORDINACION DE LOS TRABAJOS

El cliente designar por parte de la organizacin a un coordinador del proyecto
quien ser el responsable de coordinar la recopilacin de la informacin que solicite el
auditor y de que las reuniones y entrevistas establecidas en el programa de trabajo se
lleven a cabo en las fechas establecidas.

SEXTA. HORARIO DE TRABAJO

El personal del auditor dedicar el tiempo necesario para cumplir
satisfactoriamente con los trabajos materia de la celebracin de este contrato, de
acuerdo al programa de trabajo convenido por ambas partes y gozarn de libertad
fuera del tiempo destinado al cumplimiento de las actividades, por lo que no estarn
sujetos a horarios y jornadas determinadas.

SEPTIMA. PERSONAL ASIGNADO

El auditor designar para el desarrollo de los trabajos objeto de este contrato a
socios del despacho quienes, cuando consideren necesario incorporarn personal
tcnico capacitado de que dispone la firma, en el nmero que se requieran de acuerdo
a los trabajos a realizar.

OCTAVA. RELACIN LABORAL

El personal del auditor no tendr ninguna relacin laboral con el cliente y queda
expresamente estipulado que este contrato se suscribe en atencin a que el auditor en
ningn momento se considera intermediario del cliente respecto al personal que ocupe
para dar cumplimiento de las obligaciones que se deriven de las relaciones entre l y
su personal, y exime al cliente de cualquier responsabilidad que a este respecto
existiere.

NOVENA. PLAZO DE TRABAJO

El auditor se obliga a terminar los trabajos sealados en la clusula segunda de
este contrato en __45___ das hbiles despus de la fecha en que se firme el contrato y
sea cobrado el anticipo correspondiente. El tiempo estimado para la terminacin de los
trabajos est en relacin a la oportunidad en que el cliente entregue los documentos
requeridos por el auditor y por el cumplimiento de las fechas estipuladas en el
programa de trabajo aprobado por las partes, por lo que cualquier retraso ocasionado
por parte del personal del cliente o de usuarios de los sistemas repercutir en el plazo
estipulado, el cual deber incrementarse de acuerdo a las nuevas fechas establecidas
en el programa de trabajo, sin perjuicio alguno para el auditor.

DCIMA. HONORARIOS
El cliente pagar al auditor por los trabajos objeto del presente contrato,
honorarios por la cantidad de
Dos millones de pesos
, ms los impuestos
correspondientes a la forma de pago. La forma de pago ser la siguiente:
a) 30 % a la firma del contrato
b) 30 % a los 15 das hbiles despus de iniciados los trabajos.
c) 40 % a la terminacin de los trabajos y presentacin del informe final.

DECIMOPRIMERA. ALCANCE DE LOS HONORARIOS

El importe sealado en la clusula dcima compensar al auditor por sueldos,
honorarios, organizacin y direccin tcnica propia de los servicios de auditora,
prestaciones sociales y labores de su personal.

DECIMOSEGUNDA. INCREMENTO DE HONORARIOS

En caso de que se tenga un retraso debido a falta de entrega de informacin,
demora o cancelacin de las reuniones, o cualquier otra causa imputable al cliente,
este contrato se incrementar en forma proporcional al retraso y se sealar el
incremento de comn acuerdo.

DECIMOTERCERA. TRABAJOS ADICIONALES

De ser necesaria alguna adicin a los alcances o productos del presente
contrato, las partes celebrarn por separado un convenio que formar parte integrante
de este instrumento y en forma conjunta se acordar el nuevo costo.

DECIMOCUARTA. VITICOS Y PASAJES

El importe de los viticos y pasajes en que incurra el auditor en el traslado,
hospedaje y alimentacin que requieran durante su permanencia en la ciudad de
Santiago
, Como consecuencia de los trabajos objeto de este contrato, ser por
cuenta del cliente.

DECIMOQUINTA. GASTOS GENERALES

Los gastos de fotocopiado y dibujo que se produzcan con motivo de este
contrato corrern por cuenta del cliente.

DECIMOSEXTA. CAUSAS DE RESCISIN

Sern causas de rescisin del presente contrato la violacin o incumplimiento de
cualquiera de las clusulas de este contrato.

DECIMOSPTIMA. JURISDICCIN
Todo lo no previsto en este contrato se regir por las disposiciones relativas,
contenidas en el cdigo civil y, en caso de controversia para su interpretacin y
cumplimiento, las partes se someten a la jurisdiccin de los tribunales de justicia de la
provincia de
Santiago
, renunciando al fuero que les pueda corresponder en razn
de su domicilio presente o futuro.
Enteradas las partes del contenido y alcance legal de este contrato, lo rubrican
y firman de conformidad en original y tres copias, en la ciudad de
Santiago
, el
da
Quince de Diciembre del ao dos mil trece.

EL CLIENTE

EL AUDITOR

INFORME DE AUDITORIA
1. Identificacin del informe

Auditoria de la Ofimtica

2. Identificacin del Cliente

El rea de Informtica

3. Identificacin de la Entidad Auditada

Municipalidad Provincial Mariscal Nieto

4. Objetivos

Verificar si el hardware y software se adquieren siempre y cuando

tengan la seguridad de que los sistemas computarizados proporcionaran
mayores beneficios que cualquier otra alternativa.
Verificar si la seleccin de equipos y sistemas de computacin es
adecuada
Verificar la existencia de un plan de actividades previo a la instalacin
Verificar que los procesos de compra de Tecnologa de Informacin,
deben estar sustentados en
Polticas, Procedimientos, Reglamentos y
Normatividad en General, que aseguren que todo el proceso se realiza
en un marco de legalidad y cumpliendo con las verdaderas necesidades
de la organizacin para hoy y el futuro, sin caer en omisiones, excesos o
incumplimientos.
Verificar si existen garantas para proteger la integridad de los recursos
informticos.
Verificar la utilizacin adecuada de equipos acorde a planes y objetivos.

5. Hallazgos Potenciales

Falta de licencias de software.

Falta de software de aplicaciones actualizados
No existe un calendario de mantenimiento ofimatico.
Faltan material ofimtica.

Carece de seguridad en Acceso restringido de los equipos ofimticos y

software.
6. Alcance de la auditoria

Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado

especialmente al Departamento de centro de cmputo de acuerdo a las
normas y dems disposiciones aplicable al efecto.
El alcance ha de definir con precisin el entorno y los lmites en que va a
desarrollarse la auditoria Ofimtica, se complementa con los objetivos de esta.
7. Conclusiones:

Como resultado de la Auditoria podemos manifestar que hemos

cumplido con evaluar cada uno de los objetivos contenidos en el
programa de auditoria.
El Departamento de centro de cmputo presenta deficiencias sobre el
debido cumplimiento de Normas de seguridad.
La escasez de personal debidamente capacitado.
Cabe destacar que el sistema ofimatico pudiera servir de gran apoyo a la
organizacin,
el cual no
es explotado en su totalidad por falta de
personal capacitado.

8. Recomendaciones

Se recomienda contar con sellos y firmas digitales

Un de manual de funciones para cada puesto de trabajo dentro del rea.
Reactualizacin de datos.
Implantacin de equipos de ltima generacin.
Elaborar un calendario de mantenimiento de rutina peridico.
Capacitar al personal.

AUDITORIA DE LA DIRECCION
1. Alcance de la Auditoria.

Organizacin y calificacin de la direccin de Informtica

Plan Estratgico de Sistemas de Informacin.
Anlisis de puestos
Planes y Procedimientos
Normativa
Gestin Econmica.

2. Objetivos de la Auditoria.Realizar un informe de

Auditoria con el objeto de verificar la adecuacin de
las medidas aplicadas a las amenazas definidas, as como el cumplimiento de
los requisitos exigidos.
3. Resultados: Se obtendr:

Informe de Auditoria detectando riesgos y deficiencias en la Direccin de

Informtica.
Plan de recomendaciones a aplicar en funcin de:
o Normativa a cumplir

PREGUNTAS
1. La

SI

direccin de los servicios de informacin

Desarrollan regularmente planes a corto, medio y

largo

plazo que apoyen el logro de la misin y las

metas generales de la organizacin?

2.

Dispone su institucin de un plan Estratgico de

Tecnologa de Informacin?

3. Durante el proceso de planificacin, se presta

adecuada atencin al plan estratgico de la empresa?
4. Las tareas y actividades en el plan tiene la
correspondiente y adecuada asignacin de recursos?

NO

N/A

5. Existe un comit de informtica?

6. Existen

estndares

de

funcionamiento

procedimientos que gobiernen la actividad del rea de

Informtica por un lado y sus relaciones con los
departamentos usuarios por otro?
7. Existen

estndares

de

funcionamiento

procedimientos y descripciones de puestos de trabajo

adecuados y actualizados?
8. Los

estndares

procedimientos

existentes

promueven una filosofa adecuada de control?

9. Las descripciones de los puestos de trabajo reflejan
las actividades realizadas en la prctica?
10. La seleccin de personal se basa en criterios
objetivos y tiene en cuenta la formacin, experiencia y
niveles de responsabilidad?
11. El rendimiento de cada empleado se eval
a
regularmente en base a estndares establecidos?
12. Existen procesos para determinar las necesidades
de formacin de los empleados en base a su experiencia?

13. Existen controles que tienden a asegurar que el

cambio de puesto de trabajo y la finalizacin de los
contratos laborales no afectan a los controles internos y a
la seguridad informtica?

14. Existe un presupuesto econmico? y hay un

proceso para elaborarlo?
15. Existen procedimientos para la adquisicin de
Bienes y servicios?
16. Existe un plan operativo anual?

17. Existe un sistema de reparto de costes informticos

y que este sea justo?
18. Cuentan con plizas de seguros?
19. Existen procedimientos para vigilar y determinar
permanentemente la legislacin aplicable?

OBJETIVOS

Determinacin de la utilidad de polticas, planes y procedimientos, as

como su nivel de cumplimiento
Examinar el proceso de planificacin de sistemas de informacin y
evaluar si cumplen los objetivos de los mismos.
Verificar si el comit de Informtica existe y cumple su papel
adecuadamente.
Revisar emplazamiento departamento Informtica evaluar dependencia
frente a otros.
Evaluar
existencia
estndares
funcionamiento,
procedimientos
descripciones de puestos de trabajo adecuados y actualizados.
Evaluar las caractersticas de la comunicacin entre la Direccin de
Informtica y el personal del Departamento.
Verificar la existencia de un sistema de reparto de costes informticos y
que este sea justo.

Auditoria Direccin
Para hallar el SI
17 -> 100%
12 ->X
X = 70.58
Para hallar el NO
17 -> 100%
5 -> X
X = 29.41

AUDITORIA DE LA EXPLOTACION
1. Alcance de la Auditoria
Evaluacin del personal y coherencia de cargos de la propia institucin.
Normas y Procedimientos del rea de informtica
2. Objetivos
Realizar un informe de Auditoria con el
objeto de verificar la adecuacin
de las funciones que sirven de apoyo a las tecnologas de la informacin.
1. Se restringe el acceso a los lugares asignados para guardar los
dispositivos de almacenamiento, al personal autorizado?
2. Se tiene relacin del personal autorizado para firmar la salida de
archivos confidenciales?
3. Existe un procedimiento para registrar los archivos que se prestan
y la fecha en que se devolvern?
4. Se lleva control sobre los archivos prestados por la instalacin?
5. Se conserva la cinta maestra anterior hasta despus de la nueva
cinta?
6. El cintotecario controla la cinta maestra anterior previendo su uso
incorrecto o su eliminacin prematura?
7. La operacin de reemplazo es controlada por el cintotecario?

8. Se utiliza la poltica de conservacin de archivos hijo-padreabuelo?

9. En los procesos que manejan archivos en lnea, Existen
procedimientos para recuperar los archivos?
10. Estos procedimientos los conocen los operadores?
11. Existe un responsable en caso de falla?
12. Explique qu polticas se siguen para la obtencin de archivos de
Respaldo?
13. Existe
informacin

un
de

procedimiento
la cintoteca

para

el

manejo de la

14. Lo conoce y lo sigue el cintotecario?

15. Existe un programa de trabajo de captacin de datos?
16. se controla las entradas de documentos fuente?
17. Que cifras de control se obtienen? sistema Cifras que se
Observaciones Obtienen
18. existen

documento

de

entrada

se

tienen?

Sistemas Documentos Dpto. que periodicidad Observaciones

proporciona el documento
19. Se anota que persona recibe la informacin y su volumen?
20. Se anota a que capturista se entrega la informacin, el volumen y
la hora?
21. Se verifica la cantidad de la informacin recibida para su captura?
22. Se revisan las cifras de control antes de enviarlas a captura?
23. Para aquellos procesos que no traigan cifras de control se ha
establecido criterios a fin de asegurar que la informacin es
completa y valida?

24. Existe un procedimiento escrito que indique como tratar la

informacin invlida (sin firma ilegible, no corresponden las cifras de
control)?
25. En caso de resguardo de informacin de entrada en sistemas, Se
custodian en un lugar seguro?
26. Si se queda en el departamento de sistemas, Por cunto tiempo se
guarda?
27. Existe un registro de anomalas en la informacin debido a mala
codificacin?
28. Existe una relacin completa de distribucin de listados, en la cual se
indiquen personas, secuencia y sistemas a los que pertenecen?
29. Se verifica que las cifras de las validaciones concuerden con los
documentos de entrada?
Se hace una relacin de cuando y a quin fueron distribuidos los
listados?
30. Se controlan separadamente los documentos confidenciales?
31. Se aprovecha adecuadamente el papel de los listados inservibles?
32. Existe un registro de los documentos que entran a capturar?
33. Se lleva un control de la produccin por persona?
34. existe parmetros de control?

Auditoria Explotacin:
Para hallar el SI
40 -> 100%
26 -> X
X = 65
Para hallar el NO
40 -> 100%
14 -> X
X = 35

AUDITORIA DEL DESARROLLO

1. Alcance de la Auditoria

Conexiones
Cifrado
Salidas gateway y routers
Correo Electrnico
Pginas WEB
Firewalls

2. Objetivos

Revisar el cumplimiento del proceso completo de desarrollo de proyectos

verificar las metodologas utilizadas
Verificar el control interno de las aplicaciones, satisfaccin de los
usuarios y control de procesos y ejecuciones de programas crticos.
Revisar el ciclo de desarrollo del software.
PREGUNTAS

SI

1. Existe el documento que contiene las funciones que son

competencia del rea de desarrollo, esta aprobado por la
direccin de informtica y se respeta?
2. se comprueban los resultados con datos reales?

3. Existe un organigrama con la estructura de organizacin del

rea?
4. Existe un manual de organizacin que regula las relaciones
entre puestos?
5. Existe la relacin de personal
incluyendo el
6. El plan existe, es claro y realista?
7. Estn

adscrito

al

rea,

establecidos los procedimientos de promocin

personal a puestos superiores, teniendo en cuenta la experiencia

NO

N/A

y formacin?
8. El rea de desarrollo lleva su propio control presupuestario?
9. Se hace un presupuesto por ejercicio y se cumple?
10. El presupuesto esta en concordancia con los objetivos a
cumplir?
11. El personal de rea de desarrollo cuenta con la formacin
adecuada y son motivados para la realizacin de su trabajo?
12. Existen procedimientos de contratacin?
13. Las personas seleccionadas cumplen los requisitos del puesto
al que acceden?
14. Las ofertas de puestos del rea se difunden de forma suficiente
fuera de la organizacin y las selecciones se hacen de forma
objetiva?
15. Existe un plan de formacin que este en consonancia con los
objetivos tecnolgicos que se tenga en el rea?
16. El plan de trabajo del rea tiene en cuenta los tiempos de
formacin?
17. Existe un protocolo de recepcin / abandono para las personas
que se incorporan o dejan el rea?
18. Existe un protocolo y se respeta para cada incorporacin /
abandono?
19. En los abandonos del personal se garantiza la proteccin del
rea?
20. Existe
accesibles

una
por

biblioteca
y
una
el personal del rea?

hemeroteca

21. Est disponible un nmero suficiente de libros, publicaciones

peridicas, monografas, de reconocido prestigio y el personal tiene
acceso a ellos?
22. El personal est motivado en la realizacin de su trabajo?

23. Existe
empleados
del rea?

algn mecanismo que

permita
a
los
hacer sugerencias sobre mejoras en la organizacin

24. Existe
trabajo?

rotacin de personal y existe un buen ambiente de

25. La realizacin de nuevos proyectos se basa en el plan de

sistemas en cuanto a objetivos?
26. Las fechas de realizacin coinciden con los del plan de
sistemas?
27. El plan de sistemas se actualiza con la informacin que se
genera a lo largo de un proceso?
28. Los cambios en los planes de los proyectos se comunican al
responsable de mantenimiento del plan de sistemas?
29. Existe un procedimiento para la propuesta de realizacin de
nuevos proyectos?
30. Existe un mecanismo para registrar necesidades de desarrollo
de nuevos sistemas?
31. Se respeta este mecanismo en todas las propuestas?
32. Existe un procedimiento de aprobacin de nuevos proyectos?
33. Existe un procedimiento para asignar director y equipo de
desarrollo a cada nuevo proyecto?
34. Se tiene en cuenta a todas las personas disponibles cuyo perfil
sea adecuado a los riesgos de cada proyecto y que tenga
disponibilidad para participar?
35. Existe un protocolo para solicitar al resto de las reas la
participacin del personal en el proyecto y se aplica dicho
Protocolo?
36. Existe un procedimiento para conseguir los recursos materiales
necesarios para cada proyecto?
37. Se tiene implantada una metodologa de desarrollo de sistemas
de informacin soportada por herramientas de ayuda?
38. La metodologa cubre todas las fases del desarrollo y es
adaptable a distintos tipos de proyectos?
39. La metodologa y las tcnicas asociadas a la misma estn
adaptadas al entorno tecnolgico y a la organizacin del rea de
desarrollo?

40. Existe un catlogo de las aplicaciones disponible en el rea?

41. Existe un registro de problemas que se producen en los
proyectos del rea?
42. Existe un catlogo de problemas?

43. El catalogo es accesible para todos los miembros del rea?

44. Se registran y controlan todos los proyectos fracasados?

Auditoria Desarrollo:
Para hallar el SI
40 -> 100%
26 -> X
X = 65
Para hallar el NO
40 -> 100%
14 -> X
X = 35

AUDITORIA DEL MANTENIMIENTO

1. Alcance de la Auditoria.

Planes y procedimientos de Mantenimiento

Normativa

2. Objetivos de la Auditoria.

Realizar un informe de Auditoria con el objeto

mantenimiento correctivo y preventivo del software.
PREGUNTAS

SI

1. Existe un contrato de mantenimiento.

2. Existe un programa de mantenimiento preventivo para
cada dispositivo del sistema de cmputo?
3. Se lleva a cabo tal programa?
4. Existen

tiempos

de

respuesta

de

compostura

estipulados en los contratos?

5. Si los tiempos de reparacin son superiores a

los

estipulados en el contrato, Qu acciones correctivas se

toman para ajustarlos a lo convenido?
6. Existe plan de mantenimiento preventivo. ?
7. Este plan es proporcionado por el proveedor?
8. Se notifican las fallas?
9. Se les da seguimiento?

de

evaluar

NO

el

N/A

10. Tiene un plan logstico para dar soporte al producto

software?
11. Los requerimientos de mantenibilidad se incluyen en la
Actividad de Iniciacin durante el Proceso de Adquisicin
(ISO 12207) y se evala durante el Proceso de Desarrollo?
12. Las variaciones en el diseo son supervisadas durante el
desarrollo

para

establecer

su

impacto

sobre

la

mantenibilidad?
13. Se realizan varios tipos de medidas para poder estimar la
calidad del software?
14. La mantenibilidad se tiene en cuenta antes de empezar a
desarrollar?
15. El desarrollador prepara un Plan de Mantenibilidad que
establece prcticas especficas de mantenibilidad, as
como recursos y secuencias relevantes de actividades?
16. Durante el anlisis de requerimientos, los siguientes
aspectos que afectan a la mantenibilidad, son tomados en
cuenta?
Identificacin y definicin de funciones, especialmente
las opcionales.
Exactitud y organizacin lgica de los datos.
Los Interfaces (de mquina y de usuario).
Requerimientos de rendimiento.
Requerimientos

impuestos

por

el

entorno

(presupuesto).
Granularidad (detalle) de los requerimientos y su
impacto sobre la trazabilidad.
nfasis del Plan de Aseguramiento de Calidad del
Software (SQAP) en el cumplimiento de las normas de
documentacin
17. La transicin del software consiste en una secuencia
controlada y coordinada de acciones para trasladar un
producto software desde la organizacin que inicialmente
ha

realizado

el

desarrollo

la

encargada

del

mantenimiento?
18. La responsabilidad del mantenimiento se transfiere a una
organizacin distinta, se elabora un Plan de Transicin?
que es lo que incluye este plan?
La

transferencia de hardware, software, datos

experiencia desde el desarrollador al mantenedor.

Las tareas necesarias para que el mantenedor pueda
implementar

una estrategia de mantenimiento

software.
19. El mantenedor a menudo se encuentra con un producto
software con documentacin?
20. Si no hay documentacin, el mantenedor deber crearla?
Realiza lo siguiente?
a.

Comprender el dominio del problema y operar con el

producto software.

b.

Aprender la estructura y organizacin del producto

software.

c.

Determinar qu hace el producto software. Revisar las

especificaciones (si las hubiera)

21. Documentos

como

especificaciones,

manuales

mantenimiento para programadores, manuales de usuario

o guas de instalacin pueden ser modificados o creados,
si fuese necesario?
22. El Plan de Mantenimiento es preparado por el mantenedor
23. Los
elementos
software
reflejan
la
documentacin
de
24. Los productos software fueron suficientemente probados
25. Los

informes

de

pruebas

son

correctos

las

discrepancias entre resultados actuales y esperados han

sido resueltas?
26. La documentacin de usuario cumple los estndares
especificados?
27. Los costes y calendarios se ajustan a los planes
establecidos?

del

Auditoria de Mantenimiento:
Para hallar el SI
40 -> 100%
26 -> X
X = 65
Para hallar el NO
40 -> 100%
14 -> X
X = 35
AUDITORIA DE BASE DE DATOS
1. Alcance de la auditoria:
Esta auditoria comprende solamente al rea de cetro de computo de la
municipalidad mariscal respecto cumplimiento proceso Gestin administracin
de la Base de Datos " de la de manera que abarca la explotacin,
mantenimiento, diseo carga, post implementacin, Los sistemas de gestin
de base de datos (SGBD), software de auditoria
,
sistema
operativo
protocolos y sistemas distribuidos.
2. Objetivos
Verificar la responsabilidad para la planificacin de planillas y control de los
activos de datos de la organizacin (administrador de datos)
Verificar la responsabilidad de la administracin del entorno de la base de
datos (administrador de la base de datos).
Proporcionar servicios de apoyo en aspectos de organizacin y mtodos,
mediante la definicin, implantacin y actualizacin de Base de Datos y/o
procedimientos administrativos con la finalidad de contribuir a la eficiencia.
PREGUNTAS
1. Existe equipos o software de SGBD
2. La organizacin tiene un sistema de gestin de base de
datos (SGBD)
3. Los datos son cargados correctamente en la interfaz grafica
4. Se verificar que los controles y relaciones de datos se
realizan de acuerdo a Normalizacin libre de error
5. Existe personal restringido que tenga acceso a la BD

SI

NO

N/A

6. El SGBD es dependiente de los servicios que ofrece el

7.
La
8. Existen procedimientos formales para la operacin del
9. Estn actualizados los procedimientos de SGBD?
10. La periodicidad de la actualizacin de los procedimientos
es Anual ?
11. Son suficientemente claras las operaciones que realiza la
BD?
12. Existe un control que asegure la justificacin de los
procesos en el computador? (Que los procesos que estn
13. Se procesa las operaciones dentro del departamento de
cmputo?
14. Se verifican con frecuencia la validez de los inventarios de
los archivos magnticos?
15. Existe un control estricto de las copias de estos archivos?
16. Se borran los archivos de los dispositivos
almacenamiento, cuando se desechan estos?

de

17. Se registran como parte del inventario las nuevas cintas

magnticas que recibe el centro de computo?
18. Se tiene un responsable del SGBD?
19. Se realizan auditorias peridicas a los medios de
almacenamiento?
20. Se tiene relacin del personal autorizado para manipular
la BD?
21. Se lleva control sobre los archivos trasmitidos por el
sistema?
22. Existe un programa de mantenimiento preventivo para el
dispositivo del SGBD?
23. Existen integridad de los componentes y de seguridad de

24. De acuerdo con los tiempos de utilizacin de cada

dispositivo del sistema de cmputo, existe equipo capaces
25. El SGBD tiene capacidad de teleproceso?
26. Se ha investigado si ese tiempo de respuesta satisface a
los usuarios?
27. La capacidad de almacenamiento mximo de la BD es
suficiente para atender el proceso por lotes y el proceso
remoto?
Auditoria de Explotacin:
Para hallar el SI
40 -> 100%
26 -> X
X = 65
Para hallar el NO
40 -> 100%
14 -> X
X = 35

INFORME DE AUDITORIA
1. Identificacin del informe

Auditoria de Base de Datos.

2. Identificacin del Cliente

El rea de Informtica

3. Identificacin de la Entidad Auditada

xnombrexxxxx.
4. Objetivos

Evaluar el tipo de Base de Datos, relaciones, plataforma o sistema

operativo que trabaja, llaves, administracin y dems aspectos que
repercuten en su trabajo.
Revisar del software institucional para la administracin de la Base de
Datos.
Verificar la actualizacin de la Base de Datos.
Verificar la optimizacin de almacenes de los Base de Datos
Revisar que el equipo utilizado tiene suficiente poder de procesamiento y
velocidad en red para optimizar el desempeo de la base de datos.

5. Hallazgos Potenciales

No estn definidos los parmetros o normas de calidad.

Falta de presupuesto
Falta de personal

La gerencia de Base de datos no tiene un plan que permite modificar en forma

oportuna el plan a largo plazo de tecnologa, teniendo en cuenta los posibles
cambios tecnolgicos y el incremento de la base de datos.
No existe un calendario de mantenimiento de rutina peridico del software
definido por la Base de datos.
6. Alcance de la auditoria
Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado
especialmente al Departamento de centro de cmputo de acuerdo a las
normas y dems disposiciones aplicable al efecto.

7. Conclusiones:
Como resultado de la Auditoria podemos manifestar que hemos cumplido con
evaluar cada uno de los objetivos contenidos en el programa de auditoria.
El Departamento de centro de cmputo presenta deficiencias sobre todo en el
debido cumplimiento de Normas de seguridad de datos y administracin de la
Base de Datos.
8. Recomendaciones

Elaborar toda la documentacin lgica correspondiente a los sistemas de

administracin de la BD.
Evaluar e implementar un software que permita mantener el resguardo
de acceso de los archivos de programas y an de los programadores.
Implementar la relaciones con las diferentes reas en cuanto al
compartimiento de archivos permitidos por las normas
Elaborar un calendario de mantenimiento de rutina peridico.
Capacitar al personal al manejo de la BD.
Dar a conocer la importancia del SGBD al usuario

AUDITORIA DE LA SEGURIDAD
1. Alcance de la Auditoria.

Organizacin y calificacin del personal

Planes y procedimientos
Sistemas tcnicos de deteccin y comunicacin
Anlisis de puestos
Mantenimiento
Normativa

2. Objetivos de la Auditoria.Realizar un informe de Auditoria con el

objeto de verificar la adecuacin
de las medidas aplicadas a las amenazas definidas, as como el cumplimiento
de los requisitos exigidos.
3. Resultados: Se obtendr:

Informe de Auditoria detectando riesgos y deficiencias en el Sistema de

Seguridad.
Plan de recomendaciones a aplicar en funcin de:
o
o
o

Riesgos
Normativa a cumplir
Costes estimados de las recomendaciones
PREGUNTAS

1. Existen

medidas,

controles,

SI

procedimientos,

normas

estndares de seguridad?
2. Existe un documento donde este especificado la relacin de las
funciones y obligaciones del personal?
3. Existen

procedimientos

de

notificacin

gestin

de

incidencias?
4. Existen procedimientos de realizacin de copias de seguridad y
de recuperacin de datos?
5. Existe una relacin del personal autorizado a conceder, alterar
o anular el acceso sobre datos y recursos?
6. Existe una relacin de controles peridicos a realizar para
verificar el cumplimiento del documento?

NO

N/A

7. Existen medidas a adoptar cuando un soporte vaya a ser

desechado o reutilizado?
8. Existe una relacin del personal autorizado a acceder a los
locales donde se encuentren ubicados los sistemas que tratan
datos personales?
9. Existe una relacin de personal autorizado a acceder a los
soportes de datos?
10. Existe un perodo mximo de vida de las contraseas?
11. Existe una relacin de usuarios autorizados a acceder a los
sistemas y que incluye los tipos de acceso permitidos?
12. Los derechos de acceso concedidos a los usuarios son los
necesarios y suficientes para el ejercicio de las funciones que
tienen encomendadas, las cuales a su vez se encuentran o
deben estar- documentadas en el Documento de Seguridad?
13. Hay dadas de alta en el sistema cuentas de usuario genricas,
es decir, utilizadas por ms de una persona, no permitiendo por
tanto la identificacin de la persona fsica que las ha utilizado?
14. En la prctica las personas que tienen atribuciones y privilegios
dentro del sistema para conceder derechos de acceso son las
autorizadas e incluidas en el Documento de Seguridad?
15. El sistema de autenticacin de usuarios guarda las contraseas
encriptadas?
16. En el sistema estn habilitadas para todas las cuentas de
usuario las opciones que permiten establecer:

Un nmero mximo de intentos de conexin.

Un perodo mximo de vigencia para la contrasea,

coincidente con el establecido en el Documento de
Seguridad.

17. Existen procedimientos de asignacin y distribucin de

contraseas?

Auditoria Fisica
PREGUNTAS

SI

NO

N/A

1. Existen procedimientos para la realizacin de las copias de

seguridad?
2. Existen procedimientos que aseguran que, de todos los
ficheros con datos de carcter personal, se realiza copia al
menos una vez cada semana?
3. Hay procedimientos que aseguran la realizacin de copias de
todos aquellos ficheros que han experimentado algn cambio en
su contenido?
4. Existen controles para la deteccin de incidencias en la
realizacin de las pruebas?
5. Existen controles sobre el acceso fsico a las copias de
seguridad?
6. Slo las personas con acceso autorizado en el documento de
seguridad tienen acceso a los soportes que contienen las copias
de seguridad?
7. Las copias de seguridad de ficheros de nivel alto incluyen los
ficheros cifrados, si estas copias se transportan fuera de las
instalaciones?
8. Las copias de seguridad de los ficheros de nivel alto se
almacenan en lugar diferente al de los equipos que las
procesan?
9. Existe un inventario de los soportes existentes?
10. Dicho inventario incluye las copias de seguridad?
11. Las

copias de seguridad, o cualquier otro soporte, se

almacenan fuera de la instalacin?

12. Existen procedimientos de actualizacin de dicho inventario?

13. Existen procedimientos de etiquetado e identificacin del
contenido de los soportes?
14. Existen procedimientos en relacin con la salida de soportes
fuera de su almacenamiento habitual?
15. Se evalan los estndares de distribucin y envo de estos
soportes?
16. Se Obtiene una relacin de los ficheros que se envan fuera de
la empresa, en la que se especifique el tipo de soporte, la forma
de envo, el estamento que realiza el envo y el destinatario?
17. Se Comprueba que todos los soportes incluidos en esa relacin
se encuentran tambin en el inventario de soportes mencionado
anteriormente?
18. Se Obtiene una copia del Registro de Entrada y Salida de
Soportes y se comprueba que en l se incluyen:

Los soportes incluidos en la relacin del punto

anterior (y
viceversa)

Los desplazamientos de soportes al

almacenamiento exterior (si existiera)

19. Se Verifica que el Registro de Entrada y Salida refleja la

informacin requerida por el Reglamento:
a) Fecha y hora
b) Emisor/Receptor
c)

N de soportes

d) Tipo de informacin contenida en el soporte.

e) Forma de envo

Persona fsica responsable de la

recepcin/entrega
20. Se Analiza los procedimientos de actualizacin del Registro de
f)

Entrada y Salida en relacin con el movimiento de soportes?

21. Existen controles para detectar la existencia de soportes
recibidos/enviados que no se inscriben en el Registro de
Entrada/Salida?

22. Se Comprueba, en el caso de que el Inventario de Soportes y/o

el Registro de Entrada/Salida estn informatizados, que se
realizan copias de seguridad de ellos, al menos, una vez a la
semana?
23. Se realiza una relacin de soportes enviados fuera de la
empresa con la relacin de ficheros de nivel alto?
24. Se Verifica que todos los soportes que contiene ficheros con
datos de nivel Alto van cifrados?
25. Se Comprobar la existencia, como parte del Documento de
Seguridad, de una relacin de usuarios con acceso autorizado a
la sala?
26. Se Verifica que la inclusin del personal en la relacin anterior
es coherente con las funciones que tienen encomendadas?
27. Se Comprueba que la relacin es lgica (personal de
limpieza? Vigilantes de seguridad?).
28. Existen polticas de la instalacin en relacin con los accesos
ocasionales a la sala
29. Se Determina que personas tienen llaves de acceso, tarjetas,
etc. de acceso a la sala?g.
30. Se Comprueba que estn activados los parmetros de
activacin del Registro para todos los ficheros de Nivel Alto?
31. Se Analizan los procedimientos de descarga a cinta de este
Registro de Accesos y el perodo de retencin de este soporte?
32. Existen procedimientos de realizacin de copias de seguridad
del Registro de Accesos y el perodo de retencin de las copias?
33. Se Verifica

la

asignacin

de

privilegios

que

permitan

activar/desactivar el Registro de Accesos para uno o ms

ficheros?
34. Se Comprueba que el Registro de Accesos se encuentra bajo
el control directo del Responsable de Seguridad pertinente?

Auditoria Calidad:
Para hallar el SI
40 -> 100%
26 -> X
X = 65
Para hallar el NO
40 -> 100%
14 -> X
X = 35
AREAS CRTICAS DE LA AUDITORIA DE SEGURIDAD
Evaluacin de la seguridad en el acceso al Sistema
100%
80%
Preguntas
Excelente

Bueno

Evaluar los atributos de acceso al

sistema.
Evaluar los niveles de acceso al
sistema.
Evaluar

la

administracin

de

contraseas al sistema
Evaluar el monitoreo en el acceso
al sistema.
Evaluar

las

administrador

funciones
del

acceso

del
al

sistema.
Evaluar las medidas preventivas o
correctivas en caso de siniestros n
el acceso.

Evaluacin de la seguridad en el acceso al rea Fsica

60%

40%

20%

Regular

Mnimo

No cumple

Preguntas

100%

80%

60%

40%

20%

Excelente

Bueno

Regular

Mnimo

No cumple

60%

40%

20%

Regular

Mnimo

No cumple

Evaluar el acceso del personal al

centro de cmputo.
Evaluar el acceso de los usuarios y
terceros al centro de cmputo.
Evaluar el control de entradas y
salidas de bienes informticos
del
Evaluar la vigilancia del centro de
Evaluar las medidas preventivas o
Analizar

las

polticas

de

la

instalacin en relacin con los

accesos ocasionales a la sala.

Evaluacin de los planes de contingencias informticos

100%
80%
Preguntas
Excelente

Evaluar
aplicacin

la

existencia,
y

uso

Bueno

difusin,

de

contra

contingencias de sistemas.
Evaluar

la

aplicacin

de

simulacros, as como el plan contra

contingencias.
Evaluar

la

confidencialidad,

veracidad y oportunidad en la
aplicacin de las medidas del plan
contra contingencias.

Evaluacin de la seguridad en los sistemas computacionales

Preguntas
Evaluar el rendimiento y uso del
sistema computacional y de sus
perifricos asociados.
Evaluar la existencia, proteccin y
periodicidad de los respaldos de
bases

de

informacin
organizacin.

datos,

software

importante

de

e
la

100%

80%

60%

40%

20%

Excelente

Bueno

Regular

Mnimo

No cumple

Evaluar

la

instalaciones

configuracin,
y

seguridad

del

equipo de cmputo, mobiliario y

dems equipos.
Evaluar el rendimiento, aplicacin y
utilidad del equipo de cmputo,
mobiliario y dems equipos.
Evaluar

la

seguridad

en

el

procesamiento de informacin.
Evaluar

los

procedimientos

de

captura, procesamiento de datos y

emisin

de

resultados

de

los

sistemas computacionales.

Evaluacin de la proteccin contra la piratera y robo de informacin

100%
80%
60%
40%
Preguntas
Excelente

Bueno

20%

Regular

Mnimo

No cumple

60%

40%

20%

Regular

Mnimo

No cumple

Medidas preventivas.
Proteccin de archivos.
Limitacin de accesos.
Proteccin contra robos
Proteccin ante copias ilegales
Evaluacin de la proteccin contra virus informticos
100%
80%
Preguntas
Excelente

Medidas preventivas y correctivas.

Uso de vacunas y buscadores de
virus.
Proteccin de archivos, programas
e informacin.

Evaluacin de la seguridad del hardware

Bueno

Preguntas
Realizacin

de

inventarios

100%

80%

60%

40%

20%

Excelente

Bueno

Regular

Mnimo

No cumple

80%

60%

40%

20%

Bueno

Regular

Mnimo

No cumple

de

hardware, equipos y perifricos

asociados.
Evaluar la configuracin del equipo
de computo (hardware).
Evaluar el rendimiento y uso del
sistema

computacional

sus

fsico

del

perifricos asociados.
Evaluar

el

estado

hardware, perifricos y equipos

asociados

Evaluacin de la seguridad del Software

100%
Preguntas
Excelente

Realizacin

de

inventarios

de

software, paqueteras y desarrollos

empresariales.
Evaluar las licencias permisos y
usos de los sistemas
computacionales.
Evaluar el rendimiento y uso del
software

de

los

sistemas

computacionales.
Verificar que la instalacin del
software, paqueteras y sistemas
desarrollados en la empresa sea la
adecuada

para

cubrir

necesidades de esta ultima.

las

INFORME DE AUDITORIA
1. Identificacin del informe

Auditoria de la Seguridad

2. Identificacin del Cliente

El rea de Informtica

3. Identificacin de la Entidad Auditada

Nombrexxxxx
4. Objetivos

Hacer un estudio cuidadoso de los riesgos potenciales a los que est

sometida el rea de informtica.
Revisar tanto la seguridad fsica del Centro de Proceso de Datos en su
sentido ms amplio, como la seguridad lgica de datos, procesos y
funciones informticas ms Importantes de aqul.

5. Hallazgos Potenciales

No existe documentaciones tcnicas del sistema integrado de la

Cooperativa y tampoco no existe un control o registro formal de las
modificaciones efectuadas.
No se cuenta con un Software que permita la seguridad de las libreras
de los programas y la restriccin y/o control del acceso de los mismos.
Las modificaciones a los programas son solicitadas generalmente sin
notas internas, en donde se describen los cambios o modificaciones que
se requieren.
Falta de planes y Programas Informticos.
Poca identificacin del personal con la institucin Inestabilidad laboral
del personal
No existe programas de capacitacin y actualizacin al personal

6. Alcance de la auditoria
Nuestra auditoria, comprende el presente periodo 2013 y se ha realizado
especialmente al rea de Informtica de acuerdo a las normas y dems
disposiciones aplicable al efecto.
7. Conclusiones:
Como resultado de la Auditoria de la Seguridad realizada nombrexxx, por el
perodo comprendido entre el 01 de Septiembre al 10 de Diciembre del 2013,
podemos manifestar que hemos cumplido con evaluar cada uno de los
objetivos contenidos en el programa de auditoria.
El rea
de Informtica presenta deficiencias sobre todo en el debido
cumplimiento de sus funciones y por la falta de ellos.
8. Recomendaciones

Elaborar toda la documentacin tcnica correspondiente a los sistemas

implementados y establecer normas y procedimientos para los
desarrollos y su actualizacin.
Evaluar e implementar un software que permita mantener el resguardo
de acceso de los archivos de programas y an de los programadores.
Implementar y conservar todas las documentaciones de prueba de los
sistemas, como as tambin las modificaciones y aprobaciones de
programas realizadas por los usuarios
El coste de la seguridad debe considerarse como un coste ms entre
todos los que son necesarios para desempear la actividad que es el

objeto de la existencia de la entidad, sea sta la obtencin de un

beneficio o la prestacin de un servicio pblico.
El coste de la seguridad, como el coste de la calidad, son los costes de
funciones imprescindibles para desarrollar la actividad adecuadamente.
Y por "adecuadamente" debe entenderse no slo un nivel de calidad y
precio que haga competitivo el servicio o producto suministrado, sino
tambin un grado de garanta de que dichos productos o servicios van a
seguir llegando a los usuarios en cualquier circunstancia.

CONCLUSIN
Al realizar el anterior trabajo se investigo acerca de todos los elementos que
componen Nombre xxx, tanto materiales como humanos, con lo anterior, se
puede dar uno cuenta auditar una institucin no es nada fcil, ya que si falla un
elemento
del que se compone, trae consigo un efecto domino, que hace que
los dems elementos bajen su rendimiento, o en el peor de los casos sean
causantes del fracaso de la institucin.

Es mentira que lo ms importante para una empresa sea el equipo informtico

con el que se trabaja. El factor humano es lo ms importante, ya que si se
cuenta con tecnologa de punta, pero con personal no calificado o en
desacuerdo con el desarrollo del Centro de Computo optara por renunciar, o
bien por seguir rezagando al mismo Asimismo la capacitacin es
importantsima, ya que si no hay capacitacin permanente, el personal tcnico
de la empresa decide abandonarla para buscar nuevos horizontes y
mayor oportunidad, aun sacrificando el aspecto econmico.
El aspecto organizativo tambin debe estar perfectamente estructurado, y las
lneas de mando deben estar bien definidas, evitando de esta manera la
rotacin innecesaria de personal, la duplicidad de funciones, las lneas alternas
demando, etc. y que conllevan al desquiciamiento de la estructura
organizacional.
Hablando de seguridad, es indispensable el aseguramiento del equipo
y
de las instalaciones, as como de la informacin, el control de los accesos
tambin es punto fundamental para evitar las fugas de informacin o
manipulacin indebida de esta.
El Departamento de informtica es la parte medular de la empresa, es en
donde los datos se convierten en informacin til a las diferentes reas, es
donde
se guarda esta informacin y por consecuencia, donde en la
mayora de los casos se toman las decisiones importantes para la empresa.
Adems al realizar la presente auditoria nos damos cuenta que dentro del
ambiente empresarial es de vital importancia contar con la informacin lo ms
valiosa que sea, a tiempo, de forma oportuna, clara, precisa y con cero errores
para que se constituya en una herramienta poderosa para la toma de
decisiones, vindose reflejada en la obtencin de resultados benficos a los
fines de la organizacin y justificar el existir de toda la organizacin o
empresa.
Como resultado de la Auditoria Informtica realizada a
la Nombrexxxx, por el
perodo comprendido entre el 01 de Setiembre al 10 de Diciembre del 2013,
podemos manifestar que hemos cumplido con evaluar cada uno de los
objetivos contenidos en el programa de auditoria.
El rea de Informtica presenta deficiencias en:
En su Seguridad
En el rea Fsica
Y en el debido cumplimiento de sus funciones.
Podremos estar tranquilos y seguros que nuestra funcin de auditores est
funcionando como se debe, y saber que cuando se siguen estos lineamientos
se obtendrn sistemas que no van a necesitar mantenimiento excesivo, que el
cmputo va a ser parte de la solucin y no parte del problema, como lo es hoy
en da.
Informe Final de la Auditoria

Nombrexxxx
Santiago, 15 de Diciembre de 2013
Seora xxxxxxxx
JEFE DEL REA DE INFORMTICA
De nuestra consideracin:
Tenemos
el agrado de dirigirnos a Ud. a efectos de elevar a vuestra
consideracin el alcance trabajo de Auditora del rea de Informtica
practicada los das 16 de Septiembre al 15 de Diciembre, sobre la base del
anlisis y procedimientos detallados de todas las informaciones recopiladas y
emitidos en el presente informe, que a nuestro criterio es razonable.
Sntesis de la revisin realizada, clasificado en las siguientes secciones:
1.- En su Seguridad
2.- En el rea Fsica
3.- En Redes
El contenido del informe ha sido dividido de la siguiente forma a efectos de
facilitar su anlisis.
a. Situacin. Describe brevemente las debilidades resultantes de nuestro
anlisis.
b. Efectos y/o implicancias probables. Enuncian los posibles riesgos a que se
encuentran expuestos las operaciones realizadas por la Cooperativa.
c. ndice de importancia establecida. Indica con una calificacin del 0 al 3 el
grado crtico del problema y la oportunidad en que se deben tomar las
acciones correctivas del caso.
0
1
2
3

=
=
=
=

Alto
Alto
Medio
Bajo

(acciones correctivas inmediatas)

(acciones preventivas inmediatas)
(acciones diferidas correctivas)
(acciones diferidas preventivas)

Segn el anlisis realizado hemos encontrado falencias en que no existe un

Comit y plan informtico; falencias en la seguridad fsica y lgica; no existe
auditoria de sistemas; falta de respaldo a las operaciones; accesos de los
usuarios.
El detalle de las deficiencias encontradas, como as tambin las sugerencias de
solucin se encuentran especificadas en el Anexo adjunto. La aprobacin y
puesta en prctica de estas sugerencias ayudarn a la empresa a brindar un
servicio ms eficiente a los ciudadanos de la
Ciudad de Santiago.

Agradecemos la colaboracin prestada durante nuestra visita por todo el

personal de la Nombrexxxx y quedamos a vuestra disposicin para cualquier
aclaracin y/o ampliacin de la presente que estime necesaria.
A. Organizacin y Administracin del rea
A.1. Comit y Plan Informtico
a. Situacin
Con respecto al relevamiento efectuado, hemos notado lo siguiente:
No existe un Comit de Informtica o al menos no se encuentra formalmente
establecido.
No existe ninguna metodologa de planificacin, concepcin y/o seguimiento
de proyectos.
b. Efectos y/o implicancias probables
Posibilidad de que las soluciones que se implementen para resolver
problemas operativos parciales, tanto en Hardware como en Software.
c. Indice de importancia establecida
1 ( uno )
d. Sugerencias
Establecer un Comit de Informtica integrado por representantes de las
reas funcionales claves (Gerencia Administrativa, responsables de las reas
Operativas, responsables de Informtica y el responsable Contable).
Trazar los lineamientos de direccin del rea de Informtica.
Implementar normas y/o procedimientos que aseguren la eficaz
administracin de los recursos informticos, y permitan el crecimiento
coherente del rea conforme a la implementacin de soluciones que se
desarrollen y/o se requieran de terceros.
Efectos y/o implicancias probables
La escasez de personal debidamente capacitado, aumenta el nivel de riesgo
de errores al disminuir la posibilidad de los controles internos en el
procesamiento de la informacin; y limita la cantidad de soluciones que pueden
implementarse en tiempo y forma oportuna a los efectos de satisfacer los
requerimientos de las reas funcionales.

B. Seguridad Fsica Y Lgica

B.1. Entorno General
a. Situacin
Durante nuestra revisin, hemos observado lo siguiente:
No existe una vigilancia estricta del rea de Informtica por personal de
seguridad dedicado este sector.
No existe detectores, ni extintores automticos.
Existe material altamente inflamable.
Carencia de un estudio de vulnerabilidad de la Cooperativa, frente a las
riesgos fsicos o no fsicos, incluyendo el riesgo Informtico.
No existe un puesto o cargo especifico para la funcin de seguridad
Informtica.
b. Efectos y/o implicancias probables
Probable difusin de datos confidenciales.
Alta facilidad para cambios involuntarios o intencionales de datos, debido a la
falta de controles internos.
Debido a la debilidad del servicio de mantenimiento del equipo central, la
continuidad de las actividades informticas podran verse seriamente
afectadas ante eventuales roturas y/o desperfectos de los sistemas.
c. ndice de importancia establecida
0 (cero)
d. Sugerencias
A los efectos de minimizar los riesgos descriptos, se sugiere:
Establecer guardia de seguridad, durante horarios no habilitados para el
ingreso al rea de
Informtica.
Colocar detectores y extintores de incendios automticos en los lugares
necesarios.
Remover del Centro de Cmputos los materiales inflamables.
Determinar orgnicamente la funcin de seguridad.
Realizar peridicamente un estudio de vulnerabilidad, documentando
efectivamente el mismo, a los efectos de implementar las acciones correctivas
sobre los puntos dbiles que se detecten.

B.2. Auditora de Sistema

a. Situacin
Hemos observado que la Municipalidad no cuenta con auditora Informtica,
ni con polticas formales que establezcan responsables, frecuencias y
metodologa a seguir para efectuar revisiones de los archivos de auditora.
Cabe destacar que el sistema integrado posee un archivo que pudiera servir
de auditoria
Informtica, el cual no es habilitado por falta de espacio en el disco duro.
b. Efectos y/o implicancias probables
Posibilidad de que adulteraciones voluntarias o involuntarias sean realizadas
a los elementos componentes del procesamiento de datos (programas,
archivos de datos, definiciones de seguridad de acceso, etc) o bien accesos a
datos confidenciales por personas no autorizadas que no sean detectadas
oportunamente.
c. ndice de importancia establecida
0 (cero)
d. Sugerencias
Establecer normas y procedimientos en los que se fijen responsables,
periodicidad y metodologa de control de todos los archivos de auditoria que
pudieran existir como asimismo, todos los elementos componentes de los
sistemas de aplicacin.
B.3. Operaciones de Respaldo
a. Situacin
Durante nuestra revisin hemos observado que:
Existe una rutina de trabajo de tomar una copia de respaldo de datos en CD,
que se encuentra en el recinto del centro de cmputos, en poder del auxiliar de
informtica.
Si bien existen la copia de seguridad, no se poseen normas y/o
procedimientos que exijan la prueba sistemtica de las mismas a efectos de
establecer los mnimos niveles de confiabilidad.
b. Efectos y/o implicancias probables
La Cooperativa est expuesta a la perdida de informacin por no poseer un
chequeo sistemtico peridico de los back-up's, y que los mismas se exponen a
riesgo por encontrarse en poder del auxiliar de informtica.

c. ndice de importancia establecida

0 (cero)
d. Sugerencias
Minimizar los efectos, ser posible a travs de:
Desarrollar normas y procedimientos generales que permitan la toma de
respaldo necesarios, utilitario a utilizar.
Realizar 3 copias de respaldos de datos en Zip de las cuales, una se
encuentre en el recinto rea de informtica, otra en la sucursal ms cercana y
la ltima en poder del Jefe de rea.
Implementar pruebas sistemticas semanales de las copias y distribucin de
las mismas.
B.4. Acceso a usuarios
a. Situacin
De acuerdo a lo relevado hemos constatado que:
Existen niveles de acceso permitidos, los cuales son establecidos conforme a
la funcin que cumple cada uno de los usuarios.
Los usuarios definidos al rotar o retirarse del local no son borrados de los
perfiles de acceso.
Las terminales en uso y dado un cierto tipo de inactividad no salen del
sistema.
El sistema informtico no solicita al usuario, el cambio del Password en forma
mensual.
b. Efectos y/o implicancia probables
Existe la imposibilidad de establecer responsabilidades dado que esta se
encuentra dividida entre el rea de sistema y los usuarios finales.
La falta de seguridad en la utilizacin de los Password, podran ocasionar
fraudes por terceros.
c. ndice de importancia establecida
2 (dos)
d. Sugerencia
Implementar algn software de seguridad y auditoria existente en el mercado
o desarrollar propio.
Establecer una metodologa que permita ejercer un control efectivo sobre el
uso o modificacin de los programas o archivos por el personal autorizado.

B.5. Plan de Contingencias

a. Situacin
En el transcurso de nuestro trabajo hemos observado lo siguiente:
Ausencia de un Plan de Contingencia debidamente formalizado en el rea de
Informtica.
No existen normas y procedimientos que indiquen las tareas manuales e
informticas que necesarias para realizar y recuperar la capacidad de
procesamiento ante una eventual contingencia ( desperfectos de equipos,
incendios, cortes de energa con ms de una hora ), y que determinen los
niveles de participacin y responsabilidades del rea de sistemas y de los
usuarios.
No existen acuerdos formalizados de Centro de Cmputos paralelos con otras
empresas o proveedores que permitan la restauracin inmediata de los
servicios informticos de la Cooperativa en tiempo oportuno, en caso de
contingencia.
b. Efectos y/o implicancia probable
Prdida de informacin vital.
Prdida de la capacidad de procesamiento.
c. ndice de Importancia relativa
1 (uno)
d. Sugerencias
Establecer un plan de contingencia escrito, en donde se establezcan los
procedimientos manuales e informticos para restablecer la operatoria normal
de la Cooperativa y establecer los responsables de cada sistema.
Efectuar pruebas simuladas en forma peridica, a efectos de monitorear el
desempeo de los funcionarios responsables ante eventuales desastres.
Establecer convenios bilaterales con empresas o proveedores a los efectos de
asegurar los equipos necesarios para sustentar la continuidad del
procesamiento.
C. Desarrollo y mantenimiento de los sistemas de aplicaciones
C.1. Entorno de Desarrollo y mantenimiento de las aplicaciones
a. Situacin
No existe documentaciones tcnicas del sistema integrado de la Cooperativa
y tampoco no existe un control o registro formal de las modificaciones
efectuadas.
No se cuenta con un Software que permita la seguridad de las libreras de los
programas y la restriccin y/o control del acceso de los mismos.

 Las modificaciones a los programas son solicitadas generalmente sin notas

internas, en se describen los cambios o modificaciones que se requieren.
b. Efectos y/o implicancias probables
La escasa documentacin tcnica de cada sistema dificulta la compresin de
las normas, demandando tiempos considerables para su mantenimiento e
imposibilitando la capacitacin personal nuevo en el rea.
Se incrementa an ms la posibilidad de producir modificaciones errneas y/o
no autorizadas a los programas o archivos y que las mismas no sean
detectadas en forma oportuna.
c. ndice de importancia establecida
1 (uno)
d. Sugerencias
Para reducir el impacto sobre los resultados de los efectos y consecuencias
probables sugerimos:
Elaborar toda la documentacin tcnica correspondiente a los sistemas
implementados y establecer normas y procedimientos para los desarrollos y su
actualizacin.
Evaluar e implementar un software que permita mantener el resguardo de
acceso de los archivos de programas y an de los programadores.
Implementar y conservar todas las documentaciones de prueba de los
sistemas, como as tambin las modificaciones y aprobaciones de programas
realizadas por los usuarios
Hardware
Equipamiento Central
La empresa cuenta actualmente con un Equipo Intel CORE 5 con las siguientes
caractersticas:

Procesador Intel Core V 1.700 mhz

Memoria: Ram 4 GB
Almacenamiento: 500 GB
Conexin: Ethernet 10/100

Es un equipamiento ideal para las funciones que cumple y su configuracin es

aceptable. Posibilidades de crecimiento y el fabricante cuenta con repuestos y
mantenimientos que garantizan la buena utilizacin del mismo.
Equipamiento Perifrico
La Empresa cuenta en su casa central con 10 PCs de las cuales el 50%
(cincuenta por ciento) aproximadamente son Intel Core V de 1700 mhz. El resto
son de menor porte, pero apto para los requerimientos actuales.

Las impresoras: de sistema (conectadas al equipo central) son de marca Epson

1170 y Epson
Adems cuentan con equipos de HP 560 de chorro de tintas conectadas a
algunos equipos.