“AÑO DEL DIALOGO Y DE LA RECONCILIACION NACIONAL”

UNIVERSIDAD NACIONAL DEL CENTRO DEL PERU

AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE AUTENTICACION Y CONTROL DE ACCESOS EN LOS

SISTEMAS DE INFORMACION DEL GOBIERNO REGIONAL JUNIN

ELABORADO POR:

ASESOR:

ING. MAQUERA QUISPE HENRRY

HUANCAYO – PERU
2018
PLANEACION DE LA AUDITORIA DE S.I

ORIGEN DE LA AUDITORA:
La presente auditoria se realiza en cumplimiento de la solicitud de un trabajo del curso
de Auditoria Informática del noveno semestre de la Facultad de Ingeniería de Sistemas
de la Universidad Nacional del Centro del Perú, aprobada por asesor y el equipo auditor
en el primer semestre vigencia del 2018.

OBJETIVO DE LA AUDITORIA:
Objetivo general
Llevar a cabo una revisión y evaluación de normas establecidas, equipo de cómputo, la
seguridad física y del entorno, los controles con los que se trabaja; los cuales participan
en el procesamiento de la información, con el fin de conocer la situación actual en el
que se encuentra servicios de los sistemas de información, así también las actividades
que se realizan en la misma para lograr sus objetivos, los cuales apoyan a conseguir los
objetivos del gobierno regional. Para si asegurar una mayor integridad, confiabilidad y
confidencialidad de su información conforme a los requisitos de la norma ISO/IEC 27001
(criterio de auditoría).

Objetivos Específicos:
 Brindar una opinión sobre la utilización de los recursos informáticos, la
protección de activos y el resguardo de estos.
 Brindar recomendaciones adecuadas para tener una mayor eficiencia
operacional y administrativa en el gobierno regional.
 Evaluación de la capacidad de los planes de contingencia (si es que los tiene)
 Revisión de los equipos de cómputo y su uso adecuado.
 Evaluar la forma de cómo se administran los dispositivos de almacenamiento
Básico en el gobierno regional
 Realizar auditoria a la red de teleproceso por el cual se envía la información.
 Realizar auditoria de la base de datos.
 Evaluar qué tipo de control se tiene sobre el mantenimiento y las fallas de los
equipos de cómputo.

ALCANCE:
Las áreas a evaluar son todas las unidades del gobierno regional disponibles,
supervisadas por el ingeniero José Laymito Quispe de la unidad de control interno.
Misión
“Promover y Conducir el Desarrollo Integral Sostenible de la Región Junín, con
competitividad, Enfoque de Cambio Climático y Gestión de Riesgos, Derechos e Igualdad
de Oportunidad en el Marco de la Modernización del Estado”
Visión
“Junín al 2030 integrado, moderno, transparente y ordenado, tiene alto nivel de
desarrollo humano, ciudadanos emprendedores y exitosos, con acceso pleno a servicios
básicos y especializados de calidad, crecimiento económico, industrializado y
aprovechamiento sostenible de la biodiversidad y ecosistemas; vigoriza el proceso de
grandes cambios y lidera la región centro”.
METODOLOGIA
La metodología de investigación a utilizar en el proyecto se presenta a
continuación:
Para la evaluación se llevara a cabo las siguientes actividades:
 Solicitud de los estándares utilizados y programa de trabajo
 Aplicación del cuestionario al personal
 Análisis y evaluación de la información
 Elaboración del informe
 Evaluación de las tecnologías de información
Los sistemas tanto en operación como en desarrollo se llevarán a cabo las
siguientes actividades:
 Solicitud del análisis y diseño de los sistemas equipos en funcionamiento
 Solicitud de la documentación de los sistemas en operación (manuales
técnicos, de operación del usuario, diseño de archivos y programas)
 Recopilación y análisis de los procedimientos administrativos de cada sistema
(flujo de información, formatos, reportes y consultas)
 Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos
 Análisis del avance de los proyectos en desarrollo, prioridades y personal
 asignado
 Entrevista con los trabajadores y limpieza
 Análisis y evaluación de la información recopilada
 Elaboración del informe
 FORMULACION DEL EQUIPO AUDITOR

Apellidos y EQUIPOS DE
Nombres
Conocimientos HABILIDADES EXPERIENCIA
AUDITORES
Landeo FINANZAS Y ADMINISTRACION SINCERO HONESTO
AUDITOR EN
Antezana CONOCIMIENTOS EN TECNICO NO
SEGURO DE SI RAZONAMIENTO ENTRENAMIENTO
Alfredo EN IMFORMATICA MISMO LOGICO
EXPERIENCIA EN EL AREA DE
Rojas IMFORMATICA DIPLOMATICO SINCERO
Romero AREA DE MANTENIMIENTO DE
NO AUDITOR
Cristhian COMPUTADORAS OBSERVADOR FIRME

Taype CONOCIMIENTOS EN SISTEMAS

OPERATIVOS Y BASE DE DATOS FIRME LIDERAZGO
Sanchez CONOCIMIENTOS EN
NO AUDITOR LIDER
max CONTADURIA IMPARCIAL CONSCIENTE
Huamán CONOCIMIENTO EN BASE DE SEGURA DE SI AUDITOR LIDER
Carranza DATOS COMPRENDEDORA MISMA NO EXAMINADOR
Ángel CONOCIMIENTO EN REDES MENTE ABIERTA LIDERAZGO
Jurado AUDITOR LIDER
Gutiérrez CONOCIMIENTO EN BASE DE SEGURA DE SI
NO EXAMINADOR
John DATOS COMPRENDEDORA MISMA

MARCO JURIDICO
La auditoría informática tiene tres categorías, las cuales son información jurídica de
gestión, documental y decisional.
El marco jurídico y las normativas que se tienen que seguir son los siguientes:
 Informática Jurídica de Gestión: Es un eficaz instrumento en la tramitación de
procedimientos judiciales.
 Informática Jurídica Documental: Facilita el almacenamiento de una gran cantidad de
datos
 Informática Jurídica Decisional: Uso de la informática para la toma de decisiones.

El derecho informático está encargado de la protección de datos personales, protección

jurídica de programas de computador, los delitos informáticos, el delito electrónico, el
comercio electrónico, etc.
ISO 27001:
Este ISO está basado en la seguridad informática y seguridad de la información.
Ello implica incrementar el campo de visión del marco de riesgos de negocio respectos
a la perspectiva tradicional de seguridad técnica, fundamentada en las vulnerabilidades.
En el entorno de la seguridad de la información los riesgos de negocio incluyen, no sólo
las vulnerabilidades y las amenazas, sino que incluyen también el conjunto de factores
que determinan los riesgos:
 Activos
 Vulnerabilidades
 Amenazas
ISO 31000:
El propósito de la norma ISO 31000:2009 es proporcionar principios y directrices para la
gestión de riesgos y el proceso implementado en el nivel estratégico y operativo
En este caso también se tomara en cuenta las normas legales de todos los órganos
autónomos del Perú.
 LEY DE DELITOS INFORMATICOS (Ley N 30096)
o ART 2. Acceso Ilícito
o ART3. Atentado contra la integridad de datos informáticos
o ART4. Atentado contra la integridad de sistemas de información
 DELITOS INFORMATICOS CONTRA LA INTIMIDAD Y EL SECRETO DE LAS
COMUNICACIONES
o ART6. Tráfico ilegal de datos
o ART7.Itercepcion de datos de información
 DELITOS INFORMATICOS CONTRA EL PATRIMONIO
o ART8. Fraude informático
 DELITOS INFORMATICOS CONTRA LA FE PUBLICA
o ART9. Suplantación de identidad
 Delito de falsificación de documentos informáticos Art. 19 del Decreto Legislativo 681
 Delito de fraude en la administración de personas jurídicas en la modalidad de uso de
bienes informáticos. Art. 198
 Delito contra los derechos de autor de Software Art. 217, 218, 219, 220.
 Delitos de daños aplicables al Hardware Art. 205

Normas de Control Interno N° 320-2006-CG

Las normas de control interno, constituyen lineamientos críticos, métodos y
disposiciones para la aplicación y regulación del control interno en las principales áreas
de la actividad administrativa u operativa de las entidades, incluidas las relativas a la
gestión financiera, logística, de personal, de obras, de sistemas de información y de
valores éticos, entre otras. Se dictan con el propósito de promover una administración
adecuada de los recursos públicos en las entidades del estado.
 OBJETIOS DE LAS NORMAS DE CONTROL INTERNO
o Fortalecimiento de los sistemas de control interno y mejorar la gestión pública
en relación a la protección del patrimonio público y al logro de los objetivos y
metas institucionales.
o Orientar y unificar la aplicación del control interno en las entidades.
o Orientar la formulación de normas específicas para el funcionamiento de los
procesos de gestión e información gerencial en las entidades.

CONTROLES
 ADMINISTRATIVOS
 TECNICOS
 FISICOS