trabajo de auditoria de sistemas
TRANSCRIPT
UNIVERSIDAD LUTERANA SALVADOREÑA
FACULTAD DE CIENCIAS DEL HOMBRE Y LA NATURALEZA
LIC. ANA LISSETT GIRÓN BERMÚDEZ
AUDITORÍA DE SISTEMAS
TEMA:
AUDITORÍA DE SISTEMA EN LA EMPRESA XXXXX
ALUMNOS
N° CARNET NOMBRES CARRERA
HP01121473 HERNÁNDEZ PACAS, MARTA ESMERALDA LIC. COMPUTACIÓN
PN01121384 PEÑA NAVARRO, SARA OLINDA LIC. COMPUTACIÓN
San Salvador, 30 de mayo 2015
Auditoria de Sistemas 1
Índice de contenidoFASE I: PLANEACIÓN DE LA AUDITORIA DE SISTEMASFASE I: PLANEACIÓN DE LA AUDITORIA DE SISTEMAS............................................................................................................................44INTRODUCCIÓNINTRODUCCIÓN..........................................................................................................................................................................................................................................................................44OBJETIVOS DEL DOCUMENTOOBJETIVOS DEL DOCUMENTO......................................................................................................................................................................................................................55GENERALGENERAL..................................................................................................................................................................................................................................................................................................55ESPECÍFICOSESPECÍFICOS......................................................................................................................................................................................................................................................................................55ANTECEDENTES DE LA EMPRESAANTECEDENTES DE LA EMPRESA..........................................................................................................................................................................................................66ORGANIGRAMA DE LA EMPRESAORGANIGRAMA DE LA EMPRESA............................................................................................................................................................................................................77DETALLE DE LOS DEPARTAMENTOS Y LAS ACTIVIDADES QUE SE AUDITARÁNDETALLE DE LOS DEPARTAMENTOS Y LAS ACTIVIDADES QUE SE AUDITARÁN..................................88ANTECEDENTES Y DESCRIPCIÓN DE LAS APLICACIONES UTILIZADAS (SOFTWARE)ANTECEDENTES Y DESCRIPCIÓN DE LAS APLICACIONES UTILIZADAS (SOFTWARE)..........1111IDENTIFICACIÓN DE ÁREAS CRÍTICASIDENTIFICACIÓN DE ÁREAS CRÍTICAS....................................................................................................................................................................................1414JUSTIFICACIÓN Y PONDERACIÓN DE ÁREAS CRÍTICASJUSTIFICACIÓN Y PONDERACIÓN DE ÁREAS CRÍTICAS......................................................................................................................1515ALCANCE DE LA AUDITORIA INFORMÁTICAALCANCE DE LA AUDITORIA INFORMÁTICA..............................................................................................................................................................1818OBJETIVO DE LA AUDITORIAOBJETIVO DE LA AUDITORIA......................................................................................................................................................................................................................1919GENERALGENERAL..............................................................................................................................................................................................................................................................................................1919ESPECÍFICOSESPECÍFICOS..................................................................................................................................................................................................................................................................................1919DETERMIANCIÓN DE LOS RECURSOS NECESARIOS PARA REALIZAR LA AUDITORIA.DETERMIANCIÓN DE LOS RECURSOS NECESARIOS PARA REALIZAR LA AUDITORIA.........1919PRESUPUESTO FINANCIEROPRESUPUESTO FINANCIERO..........................................................................................................................................................................................................................2020CRONOGRAMA DE ACTIVIDADESCRONOGRAMA DE ACTIVIDADES......................................................................................................................................................................................................2121 PROGRAMA DE AUDITORIA PROGRAMA DE AUDITORIA..........................................................................................................................................................................................................................2121ANEXOSANEXOS..................................................................................................................................................................................................................................................................................................3535CARTA DE OFERTACARTA DE OFERTA..............................................................................................................................................................................................................................................................3535CUESTIONARIO DE CONTROL INTERNOCUESTIONARIO DE CONTROL INTERNO................................................................................................................................................................................3636FASE II: EJECUCIÓN DE LA AUDITORIA DE SISTEMASFASE II: EJECUCIÓN DE LA AUDITORIA DE SISTEMAS..............................................................................................................................4747INTRODUCCIÓNINTRODUCCIÓN......................................................................................................................................................................................................................................................................4747 OBJETIVOS DEL DOCUMENTO OBJETIVOS DEL DOCUMENTO................................................................................................................................................................................................................4848GENERALGENERAL..............................................................................................................................................................................................................................................................................................4848 ESPECÍFICOS ESPECÍFICOS................................................................................................................................................................................................................................................................................4848PRESENTACIÓN DE POLÍTICAS DE SEGURIDADPRESENTACIÓN DE POLÍTICAS DE SEGURIDAD....................................................................................................................................................4949TÉCNICAS DE EVALUACIÓN APLICABLES A UNA AUDITORIA DE SISTEMASTÉCNICAS DE EVALUACIÓN APLICABLES A UNA AUDITORIA DE SISTEMAS............................................5555PRESENTACIÓN DE PAPELES DE TRABAJOSPRESENTACIÓN DE PAPELES DE TRABAJOS..................................................................................................................................................................5858 ALCANCE DE LA ADITORIA INFORMÁTICA ALCANCE DE LA ADITORIA INFORMÁTICA..................................................................................................................................................................5959 OBJETIVO DE AUDITORIA OBJETIVO DE AUDITORIA................................................................................................................................................................................................................................6060GENERALGENERAL..............................................................................................................................................................................................................................................................................................6060ESPECÍFICOSESPECÍFICOS..................................................................................................................................................................................................................................................................................6060CRONOGRAMA DE ACTIVIDADES DE LA EJECUCIÓN DE LA AUDITORIACRONOGRAMA DE ACTIVIDADES DE LA EJECUCIÓN DE LA AUDITORIA......................................................6060 PROGRAMA DE AUDITORIA PROGRAMA DE AUDITORIA..........................................................................................................................................................................................................................6161ANEXOSANEXOS..................................................................................................................................................................................................................................................................................................8383GLOSARIO GLOSARIO ........................................................................................................................................................................................................................................................................................8383BIBLIOGRAFÍABIBLIOGRAFÍA..........................................................................................................................................................................................................................................................................8686FASE III: INFORME DE LA AUDITORIA DE SISTEMASFASE III: INFORME DE LA AUDITORIA DE SISTEMAS..................................................................................................................................8787INTRODUCCIÓNINTRODUCCIÓN......................................................................................................................................................................................................................................................................8787OBJETIVOS DEL DOCUMENTOOBJETIVOS DEL DOCUMENTO..................................................................................................................................................................................................................8888GENERAL:GENERAL:............................................................................................................................................................................................................................................................................................8888 ESPECÍFICOS: ESPECÍFICOS:..............................................................................................................................................................................................................................................................................8888
Auditoria de Sistemas 2
ALCANCE DE LA ADITORIA INFORMÁTICA ALCANCE DE LA ADITORIA INFORMÁTICA..................................................................................................................................................................8989OBJETIVOS DE AUDITORIAOBJETIVOS DE AUDITORIA............................................................................................................................................................................................................................9090GENERALGENERAL..............................................................................................................................................................................................................................................................................................9090ESPECÍFICOSESPECÍFICOS..................................................................................................................................................................................................................................................................................9090CROMOGRAMA DE ACTIVIDADESCROMOGRAMA DE ACTIVIDADES....................................................................................................................................................................................................9191PRESENTACIÓN DE INFORMEPRESENTACIÓN DE INFORME......................................................................................................................................................................................................................9191ANEXOSANEXOS..............................................................................................................................................................................................................................................................................................100100CARTA DE FINALIZACIÓNCARTA DE FINALIZACIÓN..............................................................................................................................................................................................................................100100
Auditoria de Sistemas 3
FASE I: PLANEACIÓN DE LA AUDITORIA DE SISTEMAS
INTRODUCCIÓN
El documento tiene como fín , mostrar la Planificación realizada previamente a la auditoría
informática, que se llevará a cabo en la Empresa xxxxxx
En está primera etapa del proyecto se describen, los antecedentes de la Empresa xxxxxx en
donde se muestra su estructura organizativa, la actividad económica, los principales
productos y servicios que ofrece, el segmento de mercado, sus principales proveedores,
entre otras.
Támbien se detallan los antecedentes y descripciones de las diferentes aplicaciones de
software utilizadas en la Empresa. En donde se especifican los nombres de las aplicaciones,
si poseen licencias, desde cuando las utilizán, etc.
Seguidamente se identifican las áreas críticas, estas fue obtenidas con las entrevistas, el
material del cuestionario y visitas a la Empresa. Se seleccionan cinco áreas críticas, a las
cuales se les dá una ponderación y una justificación del porque su selección.
Auditoria de Sistemas 4
OBJETIVOS DEL DOCUMENTO
GENERAL
➢ Planificar la Auditoría de Sistema Informática, que se realizará en la Empresa
xxxxxxxxxxx.
ESPECÍFICOS
✔ Identificar las áreas críticas, que representan mayor riesgo dentro de la Empresa
xxxxxxxxxxxxxxxxx.
✔ Elaborar Programas de Auditoría, en donde se detallen los procedimientos a ejecutar.
Auditoria de Sistemas 5
ANTECEDENTES DE LA EMPRESA
Reseña Histórica.
xxxxxxxxxxxxxxx, es una Empresa salvadoreña subsidiaria de xxxxxxxxxxxxxxxx, que se
constituyo de acuerdo con las Leyes de El Salvador el 19 de Septiembre de 2000, bajo el
nombre de xxxxxxxxxxxxxxxx
El 1 de diciembre de 2011, de acuerdo a la estructura de constitución la razon social de la
Compañia cambio axxxxxxxxxxxxxxxx, que hasta hoy en día es conocida con este nombre.
Visión
Ser un socio de elección en los Servicios de Suministro de ropa de diseño hasta la
distribución.
Misión
Desarrollar y fabricar productos y servicios innovadores y competitivos. Impulsados por
personas apasionadas y con talento que se rigen por normas estrictas en cuanto a fiabilidad
y flexibilidad.
Pasión
Nuestra búsqueda es innovar y ser el mejor en todas las áreas; productos, servicios,
procesos y contribución individual y asi mejoran la competitividad de nuestros clientes.
Trabajo en Equipo
Animamos a la participación y la implicación de los trabajadores, y respetamos la
contribución individual para nuestro éxito.
Responsabilidad Social
Nuestras acciones como individuo y como ciudadano corporativo, es estimular la calidad de
vida y proteger el medio ambiente de las comunidades en las que hacemos nuestro negocio.
Auditoria de Sistemas 6
ORGANIGRAMA DE LA EMPRESA
Estructura Organizativa de la Empresa xxxxxxxxxxxxxx
Cantidad de Empleados.
El número de empleados con la que cuenta la Empresa es de: 1250 empleados.
El área de informática cuenta con 3 empleados, y el área de contabilidad con 6 empleados.
Auditoria de Sistemas 7
DETALLE DE LOS DEPARTAMENTOS Y LAS ACTIVIDADES QUE SE AUDITARÁN
Departamento de Informática.
Para llevar a cabo la auditoría informática, se necesitara información de área de IT, ya que es
el departamento encargado de realizar los mantenimientos pertinentes de los Sistemas
Informáticos y velar que el Hardware se encuentren en buen estado para que los demás
departamentos de la Empresa realicen eficientemente su trabajo.
Actividades a Auditar
1. Software.
2. Comunicaciones y Redes.
3. Planes Contingenciales .
4. Dirección Informática.
5. Seguridad Física y Lógica.
Personal que atenderá la Auditoría
Nombre: xxxxxxxxxxxxxxxxxxxxxxx
Cargo: Tecnloogías de la Información.
Teléfono:
Empleados Claves de los Departamentos.
✔ xxxxxxxxxxxxxxxxxxx ( Jefé de IT).
✔ xxxxxxxxxxxxxxxxxxxx (Técnico de IT).
✔ xxxxxxxxxxxxxxxxxxxxx. (Contador).
✔ xxxxxxxxxxxxxxxxxxxxxxx( Asistente de Contabilidad).
Actividad Económica.
Su actividad principal es el establecimiento, desarrollo y la operación de la industria
maquiladora en el Salvador.
Auditoria de Sistemas 8
Su Ubicación.
xxxxxxxxxxx xxxxxxxxxxxxxxx xxxx, en el Departamento de La Paz. Cabe mencionar que no
cuenta con sucursales.
Productos y Servicios.
Productos:
Productos que ofrece xxxxxxxxxxxx. Son productos confeccionados, como:
✔ Pants, Short., Blusas, Ropa para bebes, Bestidos, Faldas, Chaquetas, Vestidos, Batas
de Baño, Suéter, Entre otros (La Empresa confecciona multiestilos)
Servicios:
La Empresa brinda sus servicios a otras Empresas dentro del mismo rubro, como por ejemplo:
✔ Corte de Prendas, Confección de Prendas, Bordado de prendas, Lavado de Prendas.
Segmento de Mercado.
Los Clientes de la Empresa, que solicitan productos a xxxxxxxxxxxxxxxxxxxxx Son:
Auditoria de Sistemas 9
La Empresa sigue en constante desarrollo expandiendo sus servicios y calidad a más paises
y logrando obtener más clientes de tramos altamente prestigiosos. Todos sus productos son
exportados a otros paises, donde las marcas realizán la distribución de sus prendas en
tiendas de prestigios.
Pricipales Proveedores.
✔ Accesorios Textiles S.A de C.V: Guatemala.
✔ Avery Dennison: El Salvador, China, Mexico, Honduras, Hong Kong, Taiwan, Korea.
✔ Fabrica de Botones Del Valle: Guatemala.
✔ Finotex S.A de C.V : El SAlvador.
✔ Mayotex, S.A : Guatemala.
✔ Textufil S.A de C.V : El Salvador.
✔ Coats S.A de C.V: El Salvador.
✔ Jovida
✔ Bordados Rivas S.A de C.V: El salvador.
✔ Caisa S.A de C.v: El Salvador.
✔ Carolina Cotton Works, Inc: Estados Unidos
✔ Clotex Labels Co. LTD : Hong Kong, China.
✔ E.C.I Elastic CO., LTD : Taiwan
A parte de estos proveedores hay otros, los proveedores pueden ser nacionale o
internacionales, la adquisición de parte de la Empresa dependerá de la calidad y precios que
ofrecen los proveedores.
Auditoria de Sistemas 10
ANTECEDENTES Y DESCRIPCIÓN DE LAS APLICACIONES UTILIZADAS (SOFTWARE)
Sistema Operativo
Nombre:
✔ Windows Server 2008.
Forma de adquisición.
✔ Licencia Pagada.
Fecha deAdquisición.
✔ Año 2012
Sistema Contable Quickbooks
Nombre.
Quickbooks
Idioma.
✔ El idioma en que esta desarrollo Quickbooks es en Inglés.
Descripción.
✔ Las estaciones de trabajo cliente bajo Quickbooks Enterprise 13 requieren un
procesador de 2 GHz, con 1 GB de RAM para un usuario individual.
Múltiples usuarios, o estaciones de trabajo con la versión de 64 bits de Windows 8,
requieren 2 GB de RAM. El servidor también requiere un procesador de 2 GHz,
aunque se recomienda 2,4 GHz.
Base de Datos
✔ PPMSVR (Esta BD la provee Quickbooks)
Modulos
✔ Ventas
✔ Compras
Auditoria de Sistemas 11
✔ Registro Y Control De Inventario
✔ Control De Depósitos
✔ Conciliaciones Bancarias
✔ Partidas De Diario.
Sistema Operativo y Compatibilidad de Sotftware de Quickbooks
Para el Cliente:
✔ Quickbooks Enterprise, pueden ser instaladas sobre versiones de Windows, partiendo
con Windows XP (Service Pack 2). Windows Vista (SP2), Windows 7 y Windows 8 son
soportados tanto en sus versiones de 32 bits como en las de 64 bits.
Para el Servidor:
✔ El software servidor para Quickbooks Enterprise se ejecutará sobre versiones de
Windows Server, partiendo con Server 2003 y continuando con Windows 8.
Tipos de Usuarios
✔ Usuario Normal
✔ Super Usuario
✔ Consulta
Forma de adquisición
✔ Licencia Pagada.
Fecha de Implementación
✔ Año 2012
Antivirus Karsperky
Nombre:
✔ Karsperky
Auditoria de Sistemas 12
Forma de Adquisición
✔ Licencia Pagada por dos años.
Fecha de Implementación
✔ 30 de Junio de 2014.
Decripción
Hasta la fechar 30 de Junio de 2014, los equipos informáticos estabán protegidos por el
Antivirus Panda, pero la Empresa decidió ya no utilizar Panda, por que ya no tenía soporte
técnico en El Salvador.
Debido a eso, la Empresa tomo la decisión de hacer una nueva adquisición del Antivirus
Karsperky.
Lo que llevo a la Empresa decidirce por el Antivirus Karsperky fue:
1. Por que consume menos memoria.
2. Es más barato (fue adquirido en base de cotizaciones).
3. Por que Panda ya no tenía soporte técnico en El Salvador.
Auditoria de Sistemas 13
IDENTIFICACIÓN DE ÁREAS CRÍTICAS
Ponderación de Todas las Áreas.
ÁREAS PONDERACIÓN
1. Hardware. 5%
2. Software. 22%
3. Comunicaciones y Redes. 20%
4. Planes Contingenciales . 10%
5. Dirección Informática. 15%
6. Seguridad Física y Lógica. 15%
7. Basé de Datos. 10%
8. Outsourcing. 3%
PONDERACIÓN TOTAL 100%
Poderación de las Áreas Críticas Identificadas
ÁREAS PONDERACIÓN
1. Software. 28%
2. Comunicaciones y Redes. 25%
3. Planes Contingenciales . 5%
4. Dirección Informática. 22%
5. Seguridad Física y Lógica. 20%
PONDERACIÓN TOTAL 100%
Auditoria de Sistemas 14
JUSTIFICACIÓN Y PONDERACIÓN DE ÁREAS CRÍTICAS
ÁREAS A EVALUARPESO POR FACTOR %
JUSTIFICACIÓN
Hardware5%
La Empresa cuenta con equipo en buen estado,
se realizán sus mantenimientos, se notificán las
fallas y se les da el seguimiento respectivo al
equipo. Realizán sus respaldo diariamente y es
automatizado y revisado por IT, y para su
servidores su mantenimiento es frecuente, es
decir que no se la mantenimiento sólo cuando
se notifica algún problema. Debido a esto no
será parte de nuestra auditoría.
Software 22%
Se auditará el Software de Contabilidad
Quickbooks utilizado por la Empresa para llevar
su contabilidad.
Quickbooks es un sistema creado en Ingles. Y la
ley de El Salvador estipula que: Toda
contabilidad en una Empresa en El Salvador,
debe ser llevada en idioma Español.
Comunicaciones y Redes 20%
Mediante una visita a la Empresa, observamos
que en algunas oficinas NO utilizan ningun tipo
de topología establecidas por la normas de
cableado. Logramos observar que las
instalaciones de cableado se realizan de
acuerdo a la ubicación de los escritorios y el
espacio disponoble.
En la entrevista se cuestionó al Téncio de IT, a
Auditoria de Sistemas 15
que se debía el hecho que las instalaciones de
los cables de red no seguián nigún tipo de
topología establecida; y su respuesta fue, que
en algunos casos era el jéfe del área quién
asignaba las ubicaciones de los escritoris dentro
de la oficina.
Planes Contingenciales 15%
El entrevistado manifiesta, están obligados por
los auditores de parte de sus clientes a realizar
cada tres meses simulacros. Y son realizados
con todo el personal de la Empresa sin previo
aviso. Manifiestan que sus planes de
contingencias son efectivos y que estan
debidamente documentados.
Pero la Empresa no capacita a personal de
diferentes áreas para el uso de los extintores de
fuego.
Dirección Informática 10%
De acuerdo a la entrevista realizada al técnico
de IT, se nos dijo que los colaboradores del área
de informática no reciben capacitaciones
frecuentes.
Tambien manifesto, no poseen ningún tipo de
manual por escrito en el área de IT.
Seguridad Física y Lógica 10%
Respecto a la seguridad física dentro de la
Empresa, el entrevistado manifiesta que
cuentan con sistemas de alarmas, extintores en
las diferentes áreas, con pólizas de seguros, las
diferentes áreas cuentan con salidas de
Auditoria de Sistemas 16
emergencias, la iluminación en las diferentes
oficinas es la adecuada.
Mientras que con la seguridad Lógica, algunos
usuarios nos manifestarón que el antivirus
instalado no protege su equipo en un 100%. Y
se nos dijo que no hay un control en el equipo
de los usuarios para que no introduzcan
dispositivos de entradas de su propiedad, es
decir ajenos a la Empresa.
Base de Datos15%
No se evaluará ya que no poseen
conocimientos suficientes, tanto de parte del
área de IT como contabilidad. Y por que cuenta
con niveles de seguridad para el acceso a la
base de datos.
Outsourcing 3%
La Empresa tiene un contarto vigente con una
Empresa de Seguridad encargada para la
vigilancia interna y externa de las instalaciones.
Pero no reciviremos ningún tipo de información
de las actividades que la Empresa de Seguridad
realiza. Debido a eso, esta área no se tomará
en cuenta para ser auditada.
Auditoria de Sistemas 17
ALCANCE DE LA AUDITORIA INFORMÁTICA
El alcance de la auditoria informática se realizará de acuerdo a las áreas críticas
identificadas:
ALCANCE
Software. Lo que auditaremos en Software es:
• Software de Contabilidad Quickbooks utilizado por la
Empresa para llevar su contabilidad.
Comunicaciones
y Redes.
En esta área lo principal a auditar será:
• Topología correcta de los cableados de redes en
todas las oficinas.
Planes
Contingenciales .
En el área de Planes de Contingencias, se evaluará
primoldialmente:
• Qué tan frecuentes son las capacitaciones que recive
el personal de las diferentes áreas de la Empresa,
para el uso y dominio de los extintores en caso de
emergencia.
Dirección Informática. Ya que no poseen ningún tipo de manuales se auditará:
• Medios que utilizán y en que se basan, al no poseer
manuales (no poseen manuales de usuarios, ni de
sistemas informáticos).
Seguridad Física y Lógica.
En esta área se auditará principalmente:
• El antivirus utilizado por la Empresa.
• Cúal es el control de uso de dispositivos que
introducen en los equipos de los ususarios.
Auditoria de Sistemas 18
OBJETIVO DE LA AUDITORIA
GENERAL
✔ Identificar las áreas críticas y los diferentes riesgos que estas con llevan, al no ser
solucionadas por parte de la Empresa xxxxxx, aplicando los procedimientos, técnicas
y métodos, con la finalidad de determinar la efectividad y efeciencia del departamento
de IT.
ESPECÍFICOS
✔ Evaluar los riesgos que contienen las diferentes áreas críticas identificadas.
✔ Aplicar los procedimientos, técnicas y métodos para el desarrollo eficiente de la
auditoria.
✔ Verificar la capacidad de respuesta de la Empresa ante los riesgos detectados.
✔ Observar el nivel de respuesta del depratemento de IT ante los riesgos identificados.
DETERMIANCIÓN DE LOS RECURSOS NECESARIOS PARA REALIZAR LA AUDITORIA.
Para la realización de la auditoria, se requiere de los siguientes elementos:
Recursos Humanos
✔ 1 Auditores.
✔ 1 Especialista en informática.
Recursos Materiales
✔ 2 PC
✔ Papeleria y útiles.
✔ Equipo tecnológico para la presentación del informe final.
Otros
✔ Viáticos.
Auditoria de Sistemas 19
PRESUPUESTO FINANCIERO
DESCRIPCIÓN CANTIDAD VALOR TOTAL
Recurso Humano
Auditores 2 $ 700 $ 4,800.00
Especialista Informático 1 $ 800 $ 3,200.00
Recurso Materiales
Papeleria y útiles.
• Papel Bond 1 Resma $ 4.00 $ 4.00
• Fastener 1 Caja $ 2.00 $ 2.00
• Folders 12 Folders $ 0.20 $ 2.40
• Lápiceros 10 $ 0.15 $ 1.50
• Engrapadora 1 $ 4.00 $ 4.00
• Perforadora 1 $ 3.50 $ 3.50
• Tinta para impresor 2 $ 20.00 $ 20.00
Elemento Técnico
• Computadoras (Mantenimiento por uso) 2 $ 25.00 $ 25.00
• Impresora (Mantenimiento por uso) 1 $ 20.00 $ 20.00
• Proyector (Manteniemiento Por uso) 1 $ 35.00 $ 35.00
Otros
Viáticos 2 personas $ 35.00 $ 70.00
SUB-TOTAL $ 8,187.40
Imprevistos (10%) (10%) $ 818.74
TOTAL $ 9,006.14
Auditoria de Sistemas 20
CRONOGRAMA DE ACTIVIDADES
PROGRAMA DE AUDITORIA
Empresa: xxxxxxx Hecho por: S/P
Periodo Auditado: Revisado por: E/H
Área Auditada: Software Fecha:
Persona que Atendio: Xxxx
xxxxx
Cargo: Técnico IT
Contador
SOFTWARE
N°Actividad a
EvaluarProcedimiento de Auditoria Herramientas Observación
1.
Verificar el
licenciameinto de
Quickbooks.
Revisas si la Empresa posee
licencia del sistema contable
Quickbooks.Testimonial
2. Modulos con que
cuenta
Quickbooks.
Verificar con qué modulos cuenta
Quickbooks.
Física.
Auditoria de Sistemas 21
3.
Observar el
idioma en el que
esta desarrollado
Quickbooks.
Investigar según la ley de El
Salvador, en que idiomas debe
llevarse la contabilidad en El
Salvador.
Física.
4.
Evaluar si
Quickbooks
cumple con las
leyes de
contabilidad
Salvadoreña.
Investigar bajo que leyes debe
llevarse la contabilidad en las
Empresas. Y si Quickbooks cumple
con la leyes impuestas en El
Salvador.
Física.
5.
Verificar medidas
de seguridad de
Quickbooks .
Evaluar las diferentes medidas que
Quickbooks tiene como medidas de
seguridad.
Testimonial
6.
Evaluar el
soporte técnico.
Verificar los soportes técnicos con
que cuenta Quickbooks. Testimonial
7.
Encargados de
soporte Técnico.
Verificar quienes son los
responsables del soporte técnico. Testimonial
8.
Evaluar los
requeri-mientos.
Verificar cuales son los
requerimientos que los equipos
deben poseer para instalar
Quickbooks.
Física.
Documental.
9.
Plataforma en
que esta
instalado
Quickbooks.
Verificar en que plataforma trabajan
Quickbooks en la Empresa. Física.
Auditoria de Sistemas 22
10.
Verificar el
control de acceso
a Quickbooks.
Verificar el control de acceso a
Quickbooks si la realizan mediante
contraseñas.
Física.
11.
Principales
usuarios.
Verificar quienes son los principales
usuarios con acceso a Quickbooks. Física.
Testimonial.
12Entrevistar al
contador.
Preguntar al contador, en que le
facilta el trabajo Quickbooks. Testimonial.
13.
Capacitación a
los usuarios.
Verificar si al personal de nuevo
ingreso en el área de contabilidad
es capacitado antes por un experto
para el uso de Quickbooks.
Testimonial.
14.
Verificar si
realizan copias
de seguridad.
Verificar si Quickbooks realiza
copias de seguridad y archivos
como medida de seguridad.
Testimonial.
15.
Evaluar los casos
de
actualizaciones.
Mediante una entrevista, preguntar
que hacen en caso de actualizanes
de Quickbooks.
Testimonial.
Empresa: xxxxxxxxx Hecho por: S/P
Periodo Auditado: Revisado por: E/H
Área Auditada: Comunicaciones y Redes Fecha:
Persona que Atendio: xxxxxxxxxxxx Cargo: Técnico IT
COMUNICACIONES Y REDES
N°Actividad a
EvaluarProcedimiento de Auditoria Herramientas Observación
1. Revisar la
topología de la
red.
Examinar si el cableado de la
Empresa cumple con los estandares
de la industria y si se encuentran
Física.
Análitica.
Auditoria de Sistemas 23
debidamente protegidos.
2.
Cuenta con
intranet ó
internet.
Preguntar al área de It si cuenta con
intranet ó internet. Testimonial.
3.
Verficar si el tipo
de cable esta
diseñado para el
ancho de banda.
Si envia los datos a una velocidad
adecuada y sin interferencias. Física.
4.
Evaluar la
rápides de envio
de información.
Realizar pruebas para verificar la
rápidez de envio de datos. Física.
Testimonial.
5.
Medir la
velocidad del
internet.
Verificar la velocidad de conexión a
internet. Física.
6.
Plataforma de
software en que
funciona el
servidor de
correo.
Verificar la plataforma que utiliza el
servidor de correo de la Empresa,
por el cual se transmiten los
mensajes.
Testimonial.
7.
Asignación de
cuentas y
cobtraseñas a
las PC de los
usuarios.
Verifcar en que se basan los del
Área de IT para asignarles el
usuario y la contraseña.Testimonial.
8.
Con qué
frecuencia
cambian las
contraseña a los
usuarios.
Chequear con qué frecuencia, el
área de IT cambia las contraseña a
los usuarios.Testimonial.
Auditoria de Sistemas 24
9.
Revisar el
bloqueo de
algunas
computadoras a
internet.
Identificar que computadoras de
diferentes departamentos tienen
acceso a internet. Física.
Testimonial.
10.
Manejo de
firewall.
Verificar si el firewall implementado
detecta y protege:
• Ataque de IP falsas.
• Ataque de denegación del servicio.
Física.
Testimonial.
11.
Configuración de
firewall.
Reivisar si existe un firewall
debidamente configurado Testimonial.
12
Verificar los
privilegios a
usuarios.
Evaluar en que se basan para dar
privilegios a usuarios de los
diferentes departamentos. Testimonial.
13.
Elementos que
utilizan para la
comunicación.
Revisar los medios que utilizan para
comunicarse entre los diferentes
departamentos.
Testimonial.
Física
14.
Revisión de la
red física.
Evaluar con que frecuencias se
realizán revisiones de los cables de
redes.
Testimonial.
15.
Bloqueo de aplicaciones
Verificar que la Empresa tenga
políticas de seguridad y de controles
de acceso a aplicaciones basadas
en la web. Documental
Auditoria de Sistemas 25
Empresa: xxxxxxxxxxx Hecho por: S/P
Periodo Auditado: Revisado por: E/H
Área Auditada: Planes Contingenciales Fecha:
Persona que Atendio: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Cargo: Técnico IT
Jefe IT
PLANES CONTINGENCIALES
N° Actividad a Evaluar Procedimiento de Auditoria Herramientas Observación
1.
Evaluar si existen
políticas por
escrito sobre los
planes que ellos
realizan en las
diferentes áreas
de la Empresa.
Pedir manuales donde se
encuentren reflejadas las políticas
sobre los planes contingenciales, ya
que los manuales, deben estar
documentos.Documental
2.
Evaluar los
planes de
contingencias que
se están
desarrollando
actualmente.
Observar los diferentes planes que
se están realizando, los cuales
están enfocados para evitar
cualquier eventualidad que pueda
suceder en el futuro
Testimonial.
3. Evaluar la
aplicación de
simulacros, asi
como el plan
contingenciales
durante la
ocurrencia de una
falla grave en el
Realizar una serie de simulacros
para verficar si los planes de
contingencias que se tienen están
respondiendo satisfactoriamente
haciendo pruebas de back up y
revisar dichos archivos.
Testimonial
Auditoria de Sistemas 26
sistema.
4.
Evaluar si los
empleados
conocen sobre los
planes
contingenciales.
Preguntar a los empleados si ellos
conocen los planes en dado caso
que exista una catástrofe, entre
otras cosas. Y si alguna ves han
hecho un simulacro.
Testimonial
5.
Evaluar la
confiabilidad en la
aplicación en las
medidas del plan
de contingencias.
Examinar si las medidas que se
tiene en caso de una eventualidad,
la aplicación de los
planes de contingencias sea rápida
y dé una respuesta satisfactoria.
Testimonial
Analítica
7.
Evaluar si
cuentan con sus
respectivas
medidas de
seguridad.
Observar si cuentan con salidas de
seguridad en los diferentes áreas. Y
si los extintores se encuentrán en
una buena ubicación.
Física.
8.
Evaluar si
cuentan con
planes para
prevenir daños en
los recursos.
Observar y pedir manuales para
conocer que hacen para prevenir y
minimizar daños en sus recursos
informáticos, equipos de oficinas y
otros materiales.
Testimonial
9. Evaluar quienes
son las personas
involucradas al
momento de
efectuar los
planes
Preguntar quién ó quiénes, son las
personas responsables a la hora
de efectuar los planes
contingenciales.
Testimonial
Auditoria de Sistemas 27
contingenciales.
10.
Evaluar Planes
Correctivos.
Revisar y preguntar sobre los
planes correctivos, que hacen para
solucionar sus problemas en el
momento que se presenten.
Testimonial
11.
Evaluar planes
cuando hay
saturación de
información.
Preguntar y verificar si se envia
información masiva a las oficinas, y
que sucede cuando el trafico de
datos se vuelve lento.
Testimonial
12.
Evaluar seguridad
elétrica.
Realizar pruebas de un apagón de
luz para saber si funciona
correctamente la planta de energía
eléctrica.
Testimonial
13.
Auditoría de
Planes
Contingenciales
Evaluar plan
cuando se cae la
conexión de
proveedor de
internet.
Realizar pruebas y verificar si ellos
cuentan con otro proveedor de
internet, para poder evaluar que
pasa si la red de un proveedor de
internt se cae.Testimonial
14.
Evaluación de reanudación de actividades.
Investigar si existe un equipo de
dirección de reanudación y un
responsable del mismo, para dirigir
y coordinar las distintas actividades
durante la contingencia o desástre.
Testimonial
Auditoria de Sistemas 28
Empresa: xxxxxxxxx Hecho por: S/P
Periodo Auditado: Revisado por: E/H
Área Auditada: Dirección Informática Fecha:
Persona que Atendio:xxxxxxxx
Cargo: Técnico IT
Contador
DIRECCIÓN INFORMÁTICA
N° Actividad a Evaluar Procedimiento de Auditoria Herramientas Observación
1.
Evaluar el perfil
de los empleados
del área de
informática,
mediante la
revisión de los
manuales de
función y de
usuario.
Revisar los manuales de funciones
de empleados de infomática.
Revisar los manuales de usuarios
de sistemas.
Testimonial
2.Capacita-ciones
del personal IT.
Realizar una entrevista al director
del área de IT, que tan frecuentas
son las capacitaciones de sus
colaboradores.
Testimonial
3.
Evaluar la
existencia y
cumplimiento de
los objetivos de la
institución dentro
del departamento
de informática.
Entrevistar a los empleados de
informática y preguntarles si tienen
claros los objetivos de su
departamento y de la institución.Testimonial
Auditoria de Sistemas 29
4.
Nivel en el que se
encuentra
jerarquico en el
departamento de
IT.
Realizar una análisis del
organigrama de la Empresa y ver en
que nivel se encuentra el
departamento de informática.
Análitica.
5.
Verificar, cúal es
el perfil para la
selección y
promoción del
área de
informática.
Revisar los requisitos para la
selección de un nuevo colaborador
en el área de IT. Análitica.
Testimonial
6.
Evaluar la
administración de
los recursos
humanos
asignados al área
de informática, en
cuanto a
capacitación y
adiestra-miento.
Análizar si los empleados están
sobrecargados de actividades.
Análitica.
Testimonial
7.
Identificar los
planes de
capacitación.
Revisar los planes de
capacitaciones para los empleados
de informática.Testimonial
8.
Identificar el perfil
de los nuevos
empleados a
contratar.
Verificar si existe algo por escrito,
donde se detallen las características
del nuevo personal a contratar.
Testimonial
Análitica.
9. Verficar el tiempo
del personal de IT
Preguntar el tiempo que han
laborado en la Empresa el personal
Testimonial
Auditoria de Sistemas 30
en la Empresa. de IT.
10.
Verificar que
exista una
persona que se
encargue de crear
perfiles.
Observar si hay una persona
encargadad de crear los perfiles de
los usuarios.Testimonial
11.
Verificar que tan
frecuentes son las
capacita-ciones.
Preguntar al personal que tan
frecuentes son las capacitaciones
que reciven.Testimonial
12
Verificar personal
existente en IT.
Observar cuantos empleados están
en área de informática.Testimonial
Física.
13.
Verificar si existen
manuales por
escrito de
actividades a
realizar en el área
de IT.
Indagar si el personal lleva a cabo lo
estipulado en el manual de IT.
Testimonial
14.
Evaluar si los
empleados
cumplen sus
funciones.
Verificar que el departamento de IT
cumplen sus funciones, en los
demás departamentos que hayan
solicitado su colaboración.
Testimonial
15.
Evaluar si IT en
todo su conjunto,
hace las
actualiza-ciones
correspon-
dientes.
Entrevistar al departamento de IT, si
hace las actualizaciones respectivas
en los diferentes pc. Testimonial
Física.
Auditoria de Sistemas 31
Empresa: xxxxxxx Hecho por: S/P
Periodo Auditado: Revisado por: E/H
Área Auditada: Seguridad Física y Lógica Fecha:
Persona que Atendio: xxxxx Cargo: Técnico IT
Contador
SEGURIDAD FÍSICA Y LÓGICA
N° Actividad a Evaluar Procedimiento de Auditoria Herramientas Observación
1.
Identificar si
existen alarmas.
Verficar las alarmas por presencia
de fuego, humo; asi como la
existencia de extintores de
incendios.
Física.
2.
Investigar si hay
personal
capacitados para
el uso de
extintores.
Verificar si la Empresa envia a
capacitaciones a personal de
diferentes departamentos para la
manipulación y uso de los exintores
ante cualquier incidente.
Testimonial
3.
Medidas de
protección de
conexiones
eléctricas
Conocer las medidas que la
Empresa toma para la seguridad de
las conéxiones eléctricas. Testimonial
4.
Identificar la
autorización y
administra-ción de
las claves.
Verificar los mecanismos
establecidos para controlar la
asignación de acceso a las
computadoras centrales.
Testimonial
Auditoria de Sistemas 32
5.
Capacitación en
procedimietos de
seguridad.
Verificar que los procedimientos
operacionales para incendio y
sistemas de alarma esten al alcance
de todo el personal de operaciones.
Testimonial
Física.
6.
Rotulación de
escapes y salidas
de emergencias.
Observar si las vías de escape y
acceso de emergencias esten
debidamente rotuladas.Física.
7.
Evaluar
autentifica-ción de
usuarios y
controles de
acceso.
Asegurarse que las políticas de
asignación de cuentas sean
adecuadas y apropiadas. Testimonial
Física.
8.
Evaluar el
cableado.
Verificar que el cableado este
debidamente protegido, en dado
caso que el cable este cruzado. Física.
9.
Identificar firewall. Verificar que el firewall esta
configurado para limitar el acceso a
datos autorizados para usuarios
internos.
Testimonial
10. Prevensión de
virus.
Verificar que antivirus posee, y que
el antivirus actúe en los equipos de
los diferentes departamentos con
eficiencia. Sin poner en riesgo la
información de los usuarios,
investigar con que frecuencia se
actualizán y verificar que cada
Física.
Testimonial
Auditoria de Sistemas 33
equipo cuente con el
licencionamiento adecuado.
11.
Entrevistar a los
usuarios.
Preguntar a los usuarios si el
antivirus es confiable, o si existe
con frecuencia el colado de virus.
Testimonial
Anáitica
12
Evaluar puertos
habilitados.
Verificar si los usuarios tienen
habilitados los puertos USB de los
equipos, para evitar poner en riesgo
la información.
Física.
Testimonial
13.
Asignación de
contraseñas
Verificar si cada equipo posee su
respectivo usuario y contraseña
para denegar el permiso a otra
persona, que las contraseñas no
sean mostradas en pantalla cuando
se ingrese, que no sea menor a 8
digitos y que contenga símbolos,
numeos y letras.
Física.
Testimonial
14.Registro de
accesos.
Investigar si el sistema genera
registro de acceso.Testimonial
Física.
15.
Evaluar las
políticas de la
Empresa a la
información.
Verificar si existen políticas dentro
de la Empresa para proteger su
información y la de cada usuario.
Testimonial
Física.
Auditoria de Sistemas 34
CUESTIONARIO DE CONTROL INTERNO
GENERALIDADES DE LA EMPRESA
Nombre de la Empresa: xxxxxxx Fecha:
Entrevistado: xxxxxxx Cargo: Dept. IT
Entrevistado:xxxxxxx Cargo: Contador
Pregunta Si No Comentarios
¿Cúal es el nombre de la Empresa? xxxxxxxxx
¿Cúal es la actividad económica la Empresa? Fabricación de prendas de vestir
¿Cuántos años tiene la Empresa de estar en el
mercado?
14 Años
¿La Empresa cuenta con una estructura
organizada?
x
¿Existen objetivos establecidos en la Empresa? x
¿Cuenta la Empresa con misión, visión y
valores?
x
¿Quiénes son sus principales proveedores?
¿Cuentan con presupuestos y manuales? Si pero no por escrito
¿Los proveedores son nacionales o
internacionales?
Ambos
¿Quiénes son sus principales clientes?
¿Cuentan con planes de negocios? Si pero no por escrito
¿Cuentan con políticas de trabajo establecidas? x
Auditoria de Sistemas 36
¿Posee la Empresa un manual de funciones
específicas para cada area de trabajo?
Si pero no por escrito
¿Existe un control de ingresos y egresos? x
¿Están obligados a que les realicen auditorías? x
Software de Contabilidad Quickbooks
Pregunta Si No N/A Comentarios
¿Desde cúando adquirió la Empresa Quickbooks? Desde el año 2012
¿Qué tan frecuentes son las actualizaciones? No hay actualizaciones
¿Capacita a los empleados para trabajar en
Quickbooks?
x
¿Qué modulos tiene Quickbooks?
Módulo de: Ventas,
compras, registro y
control de inventario,
control de depósitos,
conciliaciones
bancarias, partidas de
diario.
¿En qué idioma esta creado Quickbooks? ingles
¿Está bajo la ley el uso de Quickbooks en El
Salvador?
x No cumple con algunos
requerimientos
establecidos por la ley
salvadoreña
¿Quiénes son sus principales usuarios dentro de la El departamento de
Auditoria de Sistemas 37
Empresa? Contabilidad
¿Poseen la licencia? x
¿Tiene soporte técnico? x
¿Quién es el responsable del soporte técnico? En algunos casos el
departamento de
informática
¿Está Quickbooks conectada a una base de datos? x
HARDWARE
Pregunta Si No N/A Comentarios
¿Cuenta con servidores locales o nube? x Servidor local
¿Cantidad de servidores posee? Ocho
¿Es frecuente el mantenimiento? x
¿Cuentan con un plan anual de mantenimiento? x
¿Cúal es la cantidad de equipo que posee
actualmente?
120 pc
¿Existe un plan de mantenimiento preventivo? x
¿Se notifican las fallas? x
¿Se les da seguimiento? x
Auditoria de Sistemas 38
¿Existen políiticas definidas por escrita a la hora de
adquirir nuevos equipos?
x
¿Realizan Back up? x
¿Qué tan fecuente hacer el Back up? Diario
¿Dondé se guarda el Back up? Discoduro extraible
¿Quien hace el back up?
Automatico, y es
revisado por el
departento de
informatica
¿Utilizan IDś y contraseñas para restringir el acceso
a determinadas funciones atraves d ella terminal o
estación de trabajo?
x
¿El cableado se encuentra correctamente instalado? x
¿Se cuenta con equipo ininterrumpible (SAI)? x
¿Se tiene Switch de apagado en caso de
emergencia en algún lugar visible?
x
SOFTWARE
Pregunta Si No N/A Comentarios
¿Qué tipo de ERP utiliza? X
Quién es el proveedor de dicho ERP? x
¿Cuánto tiempo tiene de usar dicho ERP? x
¿Hacen capacitaciones a los usuarios y técnicos x
Auditoria de Sistemas 39
informáticos del ERP?
¿Poseen manuales de uso? x
¿Los manuales están actualizados? x
SISTEMAS OPERATIVOS
¿Qué sistemas opertativos utilizan en las oficionas? XP, Window 7, MaC,
Windoe 8
¿Cuál es el sistema operativo que utilizan los
servidores?
Window server 2008
¿Poseen las licencias de los sitemas operativos? x
¿Qué tan frecuentes son las actualizaciones de los
sitemas operativos?
Mensuales
¿Han habido cambios recientes en los sitemas
operativos?
x
¿Los usuarios estan capacitados para el buen uso
de los sistemas operativos?
x
COMUNICACIONES Y REDES
Pregunta Si No N/A Comentarios
¿Quienes son los proveedores de
comunicaciones y redes?
Salnet
¿Que tipo de servicio posee? internet
¿Qué ancho de banda posee? 2M
Auditoria de Sistemas 40
¿Cuenta con internet o intranet? Internet
¿Posee internet inalámbrico? x
¿Qué tipo de topología utilizan? De todo tipo: U estrella.
Dependiendo el espacio.
¿Qué tipos de dispositivos utilizan para la
comunicación?
Teléfono, celulares
¿El tipo de cable está diseñado para el ancho de
banda?
x
¿Cuentan con correo Empresarial? x
¿En qué plataforma de software funciona el
servidor de correo?
No se utiliza plataforma. Se
utiliza fortimail
¿Quién asigna las contraseñas? El departamento de IT
¿Las cuentas de correos son personales o por
áreas?
Son personales
VIDEOVIGILANCIA
¿Cuenta con video vigilancia la Empresa? x
¿Desde cuándo cuenta con video vigilancai? 10 años
¿Qué tipo de dispositivo utiliza? Cámara de video
infrarrojas
¿Quiénes son los proveedores de la video
vigilancia?
Vigilancia interna
¿Quién es la persona encargada de la video
vigilancia?
El departamento de IT
¿Existe alguna política para la revisión de la
cinta?
x
Auditoria de Sistemas 41
PLANES CONTINGENCIALES
Pregunta Si No N/A Comentarios
¿Cuenta la Empresa con planes contingenciales
para minimizar riesgos que amenacen el área IT?
x
¿Los planes contingenliales estan por escrito? x
¿Poseen manuales de acción que ayuden al
personal de IT en eventos inesperados?
x
¿Los usuarios concen los planes de
contingencias?
x
¿Sabe el personal que hacer en caso de
emergencia?
x
¿Son efectivos los planes contingeciales? x
DIRECCIÓN INFORMÁTICA
Pregunta Si No N/A Comentarios
¿Existe dirección informática? x
¿Cuánto personal posee? 3 tres
¿Qué requisitos debe cumplir una persona para
ser contratado en el área de IT?
Como mínimo técnico en el
área de informática
¿Reciben capacitaciones frecuentes el personal
del área d IT?
x
¿En IT se encuentrán los manuales disponibles y x
Auditoria de Sistemas 42
actualizados?
¿Existen manuales de usuarios, técnicos de
sistemas de información?
x
¿En el área de IT tiene definidos políticas, planes
y estrategías?
x
¿Existe una persona que se encargue de la
creación de perfiles de usuarios de los sistemas
de información?
x
SEGURIDAD FÍSICA Y LÓGICA
FÍSICA
Pregunta Si No N/A Comentarios
¿Las instalaciones cuentan con sistema de alarma
por presencia de fuego, humo, asi como con
extintores de incendio, conexiones eléctricas, entre
otras?
x
¿Tienen contratos de pólizas de seguros para
proteger la información, equipos, personal yo todo
riesgo que se produzca por diferentes casos?
x
¿La temperatura a la que trabajan los equipos es la
adecuada de acuerdo a las normas bajo las cuales
se rige?
x
¿El Cableado se encuentra correctamente instalado? x
Auditoria de Sistemas 43
¿Los interruptores de energía están debidamente
protegidos y sin obstáculos para alcanzarlos?
x
¿Con qué periodo se les da mantenimiento a las
instalaciones y suministros de energía?
Se verifica cada
semana, y cuando sea
necesario.
¿Se cuenta con una salida de emergencia? x
¿Es adecuada la iluminación del de las diferentes
oficinas donde hay equipo?
x
LÓGICA
¿Posee firewall? x
¿Cuenta con ativirus? x
¿Cúal es el nombre del antivirus? Karsperky
¿Posee las licencias de los antivirus? x
¿Qué tan frecuentre son las actualizaciones de los
antivirus?
Diarias
¿Se manejan permisos de usuarios? x
¿Existen procedimientos formales sobre la emisión y
el control de las contraseñas?
x
¿El sistema genera registros de acceso? x
Auditoria de Sistemas 44
¿Se utilizan tablas de autorización de software para
restringir el acceso a distintas aplicaciones de
software?
x
¿Existen políticas dentro de la Empresa para
proteger su información y la de cada usuario?
x
¿El acceso al código fuente está restringido al
personal autorizado (a través de una contraseña) o
no está provisto por el proveedor del software?
x
BASE DE DATOS
Pregunta Si No N/A Comentarios
¿Cual es el nombre de la base de datos? PPMSVR. Este es el
nombre de la que ocupa
Quickbooks.
¿Quien es el proveedor? El mismo que provee
Quickbooks
¿Que tan frecuentes son las actualizaciones de
esta base de datos?
X
¿IT sabe como darle mantenimiento a la base de
datos?
X
¿Los usuarios saben de la existencia de la base
de datos?
X
¿Existe un administrador de la base de datos? El contador de la Empresa.
¿Existe un diseño y físico y lógico de la base de X
Auditoria de Sistemas 45
datos?
¿Quienes son los usuarios de la base de datos? Los colaboradores de
contbailidad
¿Existe algún tipo de documentación referida a
la estructura y contenidos de la base de datos?
x
¿Se cuenta con niveles de seguridad para el
acceso a la base de datos?
x
¿Qué nivel de confidencialidad tiene la
información almacenada en la base de datos?
El contador es el que tiene
acceso tota a la base de
datos.
OUTSOURCING
Pregunta Si No N/A Comentarios
¿Cuenta con outsourcing?x
¿Quién es el proveedor?
¿Cual es el plazo del contrato de outsourcing?x
¿Se actualizan los contratos?x
Auditoria de Sistemas 46
FASE II: EJECUCIÓN DE LA AUDITORIA DE SISTEMAS
INTRODUCCIÓN
En la Etapa de la Ejecución, se presentan: Las Políticas de Seguridad que la Empresa realiza
para salvaguardar la seguridad Informática: También se describen las Técnicas y
Procedimientos que utilizamos para la Ejecución de la Auditoría, que son fuentes importantes
para la obtención de evidencias dentro del proceso de la Auditoría. Se presentan los papeles
de trabajo para cada una de las áreas señaladas como críticas.
Se describe el Alcance de la Auditoría, donde se reflejan las cinco áreas identificadas como
críticas, los objetivos de la auditoría y también se establecen las actividades que se
realizarón para la Ejecución de la Auditoría, reflejadas en el Cronograma de Actividades.
Auditoria de Sistemas 47
OBJETIVOS DEL DOCUMENTO
GENERAL
✔ Ejecutar la Auditoria de Sistemas, en la Empresa xxxxxx, desarrollando los programa
de audioria, utilizando las diferente técnica y procedimientos de audioria.
ESPECÍFICOS
✔ Aplicar las técnicas y procedimientos , para la obtención de evidencia.
✔ Realizar la Auditoria de acuerdo a las área identificadas.
✔ Presentar las Políticas de Seguridad para salvaguardar la seguridad informática dentro
de la empresa.
Auditoria de Sistemas 48
PRESENTACIÓN DE POLÍTICAS DE SEGURIDAD
Logo
Responsables:
Gerencia General, Departamento de IT, Recursos
Humanos, Cumplimiento.
Fechas de Revisión:
Enero 2014
Objetivo: Establecer normas, procedimientos para salvaguardar la seguridad informática
dentro de la empresa.
Las siguientes normas y procedimientos están sujetos a cambios siempre y cuando se
garanticen los objetivos de seguridad. Se detallan a continuación los principales criterios:
1.0 PRINCIPIOS/PROCEDIMIENTOS:
1.1 Hardware
✔ Todos los Servidores se almacenan en una sala especial.
✔ Sólo personal autorizado tiene acceso a la sala de servidores
✔ El departamento de IT es responsable de mantener etiquetado e inventariados,
todos los CPU’S, Monitores, impresoras y UPS. para tener registro de todos los
equipos de IT en la empresa
✔ La instalación deberá ser realizada solo por el personal de IT o al menos
supervisado por dicho personal.
✔ Solo el personal de IT está autorizado a reparar y dar el respectivo
mantenimiento a un equipo si se es necesario.
✔ El departamento de IT velará por el buen funcionamiento y estado de todos los
Auditoria de Sistemas 49
equipos informáticos, previendo revisiones de rutina y limpieza, coordinado con
el jefe del departamento para no afectar las labores diarias del departamento al
que se le está dando soporte técnico.
1.2 Cualquier reasignación de hardware de la empresa deberá de ser estrictamente
realizada por el personal de IT, además se supervisará la nueva ubicación, y se
actualizará en los respectivos registros. Nadie deberá realizar cambios de
ubicación de hardware sin la aprobación del departamento IT. Se coordinará con la
gerencia para tomar las medidas disciplinarias respectivas, en el caso que un
empleado(a) incumpla dicho lineamientos.
1.3 Asignación de Desktop (computadora de escritorio) o Laptop (Computadora
portátil)
✔ El Departamento de IT es el responsable de asignar una Desktop o Laptop al
personal evaluando previamente con la aprobación de la gerencia, cual es la
ideal para su Desempeño laboral, Responsabilidad y Movilidad.
✔ Los usuarios tendrán que firmar un Formulario de Préstamo en el cual explica la
Asignación de “Laptop”. El Departamento IT conservará la copia impresa
(original) y una copia se entregara al Departamento de Recursos Humanos
para el archivo personal del empleado en el caso que el usuario renuncie
deberá entregar la Laptop en su buen estado.
2.0 SOFTWARE
2.1 Software estándar para ser instalado en las PC’s
✔ Sistema Operativo (Win XP, Pro o Win 7)
✔ Karsperky (Anti Virus)
✔ MS Office
✔ Adobe Reader
Auditoria de Sistemas 50
✔ Drivers de Impresoras
✔ xxxxxxxx
✔ Software instalado de acuerdo a la necesidad del departamento.
2.2 Sólo el personal del departamento de IT pueden desinstalar o modificar
instalaciones de software.
2.3 En caso sea necesario instalar un software no aprobado o no autorizado tendrá
que ser consultado con el Jefe de Departamento y posteriormente el personal de
IT procederá con la instalación.
2.4 No se permite instalar software pirata en las PC’s. Se tomarán las medidas
disciplinarias por la gerencia al detectarse cualquier incumplimiento.
3.0 CORREOS ELECTRONICOS Y ACCESO A INTERNET.
3.1 Toda cuenta de inicio de sesión y la cuenta de correo electrónico tiene que ser
solicitada a través de correo electrónico por el Jefe de Departamento y aprobado
por la gerencia.
3.2 Uso del correo electrónico
✔ El correo electrónico puede sobrecargar los recursos del sistema y de banda
ancha. Por lo tanto debe ser utilizado con fines de trabajo únicamente.
✔ Los usuarios de correo electrónico no deben tomarse el tiempo o la molestia
para responder a los correos electrónicos no deseados/solicitados, ya que
podría confirmar al remitente quien puede ser un hacker potencial, que la
dirección es real (y está siendo leído por una persona real). Por lo tanto dicha
acción posiblemente podría abrir la puerta a un virus o un ataque de
denegación de servicio.
✔ Los archivos grandes con peso de 10.0 MB pueden ser enviados o recibidos a
través de correos electrónicos. En caso que el archivo pesara más, deberá
comunicarle al departamento de IT para que le habilite a utilizar el sitio ftp de la
Auditoria de Sistemas 51
empresa.
3.3 Uso de Internet
✔ El Acceso a Internet para cada miembro del personal tiene que ser decidido por
el jefe del departamento y aprobado por la gerencia.
✔ El Internet debe ser utilizado sólo con fines de trabajo.
✔ Descarga de software, música y videos no está permitido en internet sin la
aprobación del personal de IT.
Notas explicativas:
- En el proceso de descarga de aplicaciones (programas) de Internet a su PC,
puede recibir un virus u otro código malicioso que infecta el sistema. Esto
puede tener consecuencias muy graves.
- Los empleados no deben de utilizar el correo de la empresa para cualquier
sitio web de registro no corporativo.
- La información en Internet puede ser inexacta, no válida, o deliberadamente
engañosa, y cualquier decisión sobre una descarga puede ser fatal para el
sistema y para la seguridad de la información.
- Por lo tanto se recomienda a los usuarios no seguir las indicaciones que
puedan aparecer en la red de Internet que puedan resultar dudosas y/o
peligrosas, más bien consulte inmediatamente con el personal de IT.
4.0 Seguridad de Internet
4.1 Fortinet en puesto, este nos permite que los usuarios no puedan ingresar a sitios
web bloqueados en función de los sitios a los que accede. Los siguientes sitios se
clasifican como sitios no autorizados.
✔ Páginas Pornográficas / sexo explícito
✔ Juegos
Auditoria de Sistemas 52
✔ Haking
✔ Hate
✔ Sitios Web Personales (Facebook y otros)
✔ Páginas de Video
✔ Descarga de música
✔ Páginas de Violencia
5.0 Respaldo (Backup) y recuperación
5.1 Para cada uno de los Departamento, nos aseguraremos de que sus
procedimientos de copia de seguridad permitan una restauración eficaz de la
última copia de seguridad del estado.
5.2 El departamento que necesite realizar una copia de seguridad que no se encuentre
en las carpetas compartidas, deberá informar al Departamento de IT para realizar
las respectivas copias.
5.3 Todo el personal o usuario de todas las computadoras debe ser personalmente
responsable de guardar la información en sus respectivas carpetas para que se
realice las respectivas copias de seguridad de datos.
5.4 El departamento de IT hará revisiones periódicas para asegurar que estos
procedimientos continúen apoyando una recuperación oportuna.
5.5 Sólo el personal IT puede realizar la restauración de cualquier documento o
restauración del sistema.
6.0 Protección y seguridad
6.1 Todos los usuarios deberán bloquear su computadora al levantarse de su sitio de
trabajo ya que cuando la pantalla se deja sin bloquear en su ausencia, otros
pueden tener la oportunidad de eliminar los archivos de forma accidental.
✔ Todas las PC, ordenadores portátiles y estaciones de trabajo deben estar
Auditoria de Sistemas 53
asegurados con un protector de pantalla protegido por contraseña con la
función de activación automática fijada cada 60 segundos.
✔ Después de ingresar erróneamente cuatro veces la contraseña de seguridad la
computadora por seguridad se bloqueará, en este caso deberá informar al
personal de IT.
✔ Ningún usuario está permitiendo compartir la contraseña. A menos que se
hubiera autorizado, por el jefe del departamento.
✔ La contraseña de usuario debe ser mínimo de 8 caracteres no más de 12.
✔ Es responsabilidad de todos los usuarios ayudar en el ahorro de costos a la
empresa y aumentar la vida útil de la PC tomando muy en cuenta la seguridad
ocupacional de todos.
✔ La acción disciplinaria se aplicará a los usuarios que persistan en no apagar su
PC y su batería después de la jornada de trabajo.
6.2 No se permite el acceso a la sala de servidores sin autorización de IT. Sólo el
personal de IT tienen acceso a la sala de servidores.
____________________
xxxxxxxxxxxxxxxxxxx
Jefe de Tecnologías de la Información (IT)
Auditoria de Sistemas 54
TÉCNICAS DE EVALUACIÓN APLICABLES A UNA AUDITORIA DE SISTEMAS
Ejecución de la Auditoria Informática
Etapa que consiste en el desarrollo de los procedimientos contenidos en los programas de
auditoria através de técnicas de auditoría.
Técnicas de Recopilación de Evidencias
Para la recopilación de información, el auditor toma y adapta las técnicas, procedimientos y
herramientas tradicionales del análisis de sistemas de información.
Al utilizar estas herramientas en la auditoría, lo que hace es sacar el mejor provecho de ellas
para adecuarlas a las necesidades específicas de evaluación requeridas en el ambiente de
sistemas.
Estos métodos no solo se utilizan en la evaluación del área de informática, sino también en la
evaluación de cualquier área ajena al ambiente de sistemas. Es por ello que el auditor debe
saber cómo utilizarlas.
Entrevistas
La entrevista es una de las actividades más importantes del auditor; en ellas, éste recoge
más información, y mejor matizada, que es proporcionada por medios propios puramente
técnicos o por las respuestas escritas a cuestionarios, Es decir la entrevista es la recopilación
de información que se realiza en forma directa, cara a cara y a través de algún medio de
capturas de datos.
Cuestionarios
Los cuestionarios son una técnica de recopilación de infromación. Es un trabajo de campo,
que permite al auditor lograr obtener toda la información necesaria para la emisón de un
juicio global y objetivo, siempre amparado en hechos demostrables, llamados tambien
evidencias.
El cuestionario, permite estudiar y analizar la documentación recibida, de modo que tal
análisis determine asu vez la información que deberá elaborar el propio auditor. Se
Auditoria de Sistemas 55
recomienda solo hacer preguntas necesarias, que permitan alcanzar los objetivos; preguntas
sencillas.
Mediante el uso de cuestionarios el analista puede estar buscando cuantificar lo que ha
encontrado en las entrevistas. Adicionalmente, los cuestionarios pueden ser usados para
determinar que tan amplio o limitado es en realidad un sentimiento expresado en una
entrevista. En forma inversa los cuestionarios pueden ser usados para investigar una gran
muestra de usuarios de sistemas, para tratar de encontrar problemas o recoger cosas
importantes antes de que las entrevistas sean realizadas.
Encuestas
Las encuestas constituyen otra de las técnicas más populares y de mayor uso en una
auditoría de sistemas computacionales, y son útiles principalmente para averiguar opiniones
sobre aspectos de la Informática tales como el servicio, el comportamiento y utilidad del
equipo, la actuación del personal y los usuarios, la oportunidad de la presentación de los
resultados, entre otros juicios sobre la función informática. Podemos definir una encuesta de
la siguiente manera:
Es la recopilación de datos concretos sobre un tema específico, mediante el uso de
cuestionarios o entrevistas diseñados con preguntas precisas para obtener las opiniones de
los encuestados, las cuales permiten, después de hacer una rápida tabulación, análisis e
interpretación de esa información, conocer su punto de vista y sentimientos hacia un tópico
específico.
Observación
Una de las técnicas más populares, de mayor impacto y más utilizados para examinar los
diferentes aspectos que repercuten en el funcionamiento del área de Informática o del propio
sistema, es la aplicación de diversas técnicas y métodos de observación que permiten
recolectar directamente la información necesaria sobre el comportamiento del sistema, del
área de sistemas, de las funciones, actividades y operaciones del equipo procesador o de
cualquier otro hecho, acción o fenómeno del ámbito de sistemas.
Auditoria de Sistemas 56
La observación se puede hacer desde diferentes puntos de vista y con diversas
técnicas y métodos que se mencionan a continuación:
✔ Observacion Directa
✔ Observacion Indirecta
✔ Observacion Oculta
✔ Observacion Participativa
✔ Observacion No Participativa
Evidencia de Auditoria
El Auditor deberá tener evidencia que sea suficiente, competente y pertinente, como
fundamento de sus opiniones, comentarios y recomendaciones.
La evidencia adecuada es la información que cuantitativamente es suficiente y apropiada
para lograr los resusltados de la auditoria y que cualitativamente, tiene la imparcialidad para
inspirar confianza y fiabilidad.
✔ la evidencia será suficiente, cuando el alcance de los planes sea adecuado.
Solo una evidencia encontrada, no podría ser suficiente para demostrar un hecho.
✔ La evidencia será pertinente, si el hecho se relaciona con el objetivo de la auditoria.
✔ La evidencia será competente, si guarda relación con el alcance de la auditoria y
además es creible y confiable.
Auditoria de Sistemas 57
PRESENTACIÓN DE PAPELES DE TRABAJOS
El formulario utilizado para la Ejecución de la Auditoría, esta dividido en dos partes:
1. Encabezado
Muestra el nombre de la Empresa, el periodo en que se desarrollo la auditoría, El auditor que
realizó la auditoría (Hecho por), el auditor quien lo revisó (Revisado Por), fecha en que se
ejecutó la auditoría y el nombre de la persona que atendio la auditoría.
Empresa: xxxxxxx Hecho por: S/P
Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H
Área Auditada: Área a Auditar Fecha: 21/04/2015
Persona que Atendio: Persona que atiende la
auditoría.
Cargo: Cargo en la Empresa
1. Cuerpo
N°Actividad a
Evaluar
Procedimiento de
AuditoriaHerramientas Observación
Describen las
Actividades a
desarrollar en
la Ejecucuión
de la Audioría.
Presenta el
procediemiento que
se realizará obtener
el hallazgo.
Tipo de
herramienta
utilizada
para la
obtención de
la evidencia.
Descripciones de los hallazgos
encontrados.
Auditoria de Sistemas 58
ALCANCE DE LA ADITORIA INFORMÁTICA
El alcance de la auditoria informática se realizará de acuerdo a las áreas críticas
identificadas:
ALCANCE DE LA AUDITORIA
Software. Lo que auditaremos en Software es:
• Software de Contabilidad Quickbooks utilizado por la
Empresa para llevar su contabilidad.
Comunicaciones
y Redes.
En esta área lo principal a auditar será:
• Topología correcta de los cableados de redes en
todas las oficinas.
Planes
Contingenciales .
En el área de Planes de Contingencias, se evaluará
primoldialmente:
• Qué tan frecuentes son las capacitaciones que recive
el personal de las diferentes áreas de la Empresa,
para el uso y dominio de los extintores en caso de
emergencia.
Dirección
Informática.
Ya que no poseen ningún tipo de manuales se auditará:
• Medios que utilizán y en que se basan, al no poseer
manuales (no poseen manuales de usuarios, ni de
sistemas informáticos).
Seguridad Física y Lógica.
En esta área se auditará principalmente:
• El antivirus utilizado por la Empresa.
• Cúal es el control de uso de dispositivos que
introducen en los equipos de los ususarios.
Auditoria de Sistemas 59
OBJETIVO DE AUDITORIA
GENERAL
✔ Identificar las áreas críticas y los diferentes riesgos que estas conllevan, al no ser
solucionadas por parte de la Empresa xxxxxx , aplicando los procedimientos, técnicas
y métodos, con la finalidad de determinar la efectividad y efeciencia del departamento
de IT.
ESPECÍFICOS
✔ Evaluar los riesgos que contienen las diferentes áreas críticas identificadas.
✔ Aplicar los procedimientos, técnicas y métodos para el desarrollo eficiente de la
auditoria.
✔ Verificar la capacidad de respuesta de la Empresa ante los riesgos detectados.
✔ Observar el nivel de respuesta del departamento de IT ante los riesgos identificados.
CRONOGRAMA DE ACTIVIDADES DE LA EJECUCIÓN DE LA AUDITORIA
Auditoria de Sistemas 60
PROGRAMA DE AUDITORIA
Empresa: xxxxxxxxxxxx Hecho por: S/P
Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H
Área Auditada: Software Fecha: 21/04/2015
Persona que Atendio: xxxxxxxxxxxxx Cargo: Técnico IT
Contador
SOFTWARE
N°Actividad a
Evaluar
Procedimiento de
AuditoriaHerramientas Observación
1.
Verificar el
licenciameinto
de
Quickbooks.
Revisas si la
Empresa posee
licencia del sistema
contable
Quickbooks.
Testimonial
Quickbooks fue comprado para
otra Empresa del mismo dueño
de xxxxx.
2.
Modulos con
que cuenta
Quickbooks.
Verificar con qué
modulos cuenta
Quickbooks.
Física.
Los Modulos con los que
cuenta son: Ventas, Compras,
Registro Y Control De
Inventario, Control De
Depósitos, Conciliaciones
Bancarias y Partidas De Diario.
3.
Observar el
idioma en el
que esta
desarrollado
Quickbooks.
Investigar según la
ley de El Salvador,
en que idiomas debe
llevarse la
contabilidad en El
Salvador.
Física.
Las computadoras del área de
Contabilidad, realiza todos sus
registros en idioma Ingles en
Quickbooks.
Auditoria de Sistemas 61
4.
Evaluar si
Quickbooks
cumple con
las leyes de
contabilidad
Salvadoreña.
Investigar bajo que
leyes debe llevarse
la contabilidad en
las Empresas. Y si
Quickbooks cumple
con la leyes
impuestas en El
Salvador.
Física.
Quickbooks, no cumple con
aspectos Legales de la
Contabilidad en El Salvador (la
Ley determina: Art. 436.- Los
registros deben llevarse en
castellano).
5.
Verificar
medidas de
seguridad de
Quickbooks .
Evaluar las
diferentes medidas
que Quickbooks
tiene como medidas
de seguridad.
Testimonial
El contador, nos dijo que
Quickbooks realiza Back up de
seguridad todos los días y es
un Sistema Contable confiable
para la Contabilidad de la
Empresa.
6.
Evaluar el
soporte
técnico.
Verificar los soportes
técnicos con que
cuenta Quickbooks.Testimonial
Quickbooks. no tiene soporte
técnico en el País.
7.
Encargados
de soporte
Técnico.
Verificar quienes son
los responsables del
soporte técnico.
Testimonial
Se nos dijo que el encargado
en algunos casos del sopote
técnico son los del área de
informática. Pero que no suele
presentar mayor problema
Quickbooks.
8. Evaluar los
requeri-
mientos.
Verificar cuales son
los requerimientos
que los equipos
deben poseer para
Física.
Documental.
De acuerdo a lo revisión y
teniendo en cuenta cúales son
los requerimientos que pide
Quickbooks para su
Auditoria de Sistemas 62
instalar Quickbooks. instalación, las computadoras
de trabajo cliente y servidor
cumplen con los
requeriemientos establecidos.
9.
Plataforma en
que esta
instalado
Quickbooks.
Verificar en que
plataforma trabajan
Quickbooks en la
Empresa.
Física.Se trabaja bajo Windows 8.
10.
Verificar el
control de
acceso a
Quickbooks.
Verificar el control
de acceso a
Quickbooks si la
realizan mediante
contraseñas.
Física.
Todas la computadoras del
área Contable en las que esta
instalado Quickbooks, poseen
usuarios y contraseñas.
11.
Principales
usuarios.
Verificar quienes son
los principales
usuarios con acceso
a Quickbooks.
Física.
Testimonial.
Los principales usarios son los
del departamento de
Contabilidad.
12
Entrevistar al
contador.
Preguntar al
contador, en que le
facilta el trabajo
Quickbooks.
Testimonial.
EL contador manifiesta lo
siguiente: “En el país la
mayoría de empresas tienen
sistemas contables deficientes.
El Quickbooks proporciona
muchos reportes.Genera
información rápida y confiable”.
13. Capacitación Verificar si al Testimonial. No es capacitado, al momento
Auditoria de Sistemas 63
a los
usuarios.
personal de nuevo
ingreso en el área
de contabilidad es
capacitado antes por
un experto para el
uso de Quickbooks.
que ingresa a laborar al área
de Contabilidad, uno de los del
área que ya conoce el uso de
Quickbooks le enseña como se
trabaja en el programa de
Contabilidad.
14.
Verificar si
realizan
copias de
seguridad.
Verificar si
Quickbooks realiza
copias de seguridad
y archivos como
medida de
seguridad.
Testimonial. Todos los días realizan back
up.
15.
Evaluar los
casos de
actualizacione
s.
Mediante una
entrevista, preguntar
que hacen en caso
de actualizanes de
Quickbooks.
Testimonial. No hay actualizaciones.
Empresa: xxxxx Hecho por: S/P
Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H
Área Auditada: Comunicaciones y Redes Fecha: 21/04/2015
Persona que Atendio: xxxxxx Cargo: Técnico IT
PROGRAMA DE AUDITORIACOMUNICACIONES Y REDES
N°Actividad a
Evaluar
Procedimiento de
AuditoriaHerramientas Observación
1. Revisar la
topología de
la red.
Examinar si el
cableado de la
Física.
Análitica.
Se Observó que utilizán
topologías como: Estrella y U.
Auditoria de Sistemas 64
Empresa cumple
con los estandares
de la industria y si
se encuentran
debidamente
protegidos.
La Empresa realiza las
conexiónes de red de acuerdo
al espacio de las oficinas.
Con respecto a la protección
de los cables, se observo, que
en algunas oficinas no cuenta
con la protección debida, solo
están cubiertas con Cinta
transparente para que no se
levante.
2.
Cuenta con
intranet ó
internet.
Preguntar al área de
It si cuenta con
intranet ó internet.Testimonial.
Cuenta solo con internet.
3.
Verficar si el
tipo de cable
esta diseñado
para el ancho
de banda.
Si envia los datos a
una velocidad
adecuada y sin
interferencias. Física.
La revisión de algunos cables
de red, nos permite determinar
que el cableado categoria 3 es
el adecuado. Y es el que posee
la Empresa.
4.
Evaluar la
rápides de
envio de
información.
Realizar pruebas
para verificar la
rápidez de envio de
datos. Física.
Testimonial.
Luego de la evaluación se
determinó, que el tiempo que
tarda la información de ser
enviado/recivida, esta a corde
del ancho de banda, por lo que
no afecta el rendimiento ni el
desempeño de la red.
Auditoria de Sistemas 65
5.
Medir la
velocidad del
internet.
Verificar la velocidad
de conexión a
internet.
Física.
Después de una prueba
realizada de un envio de un
correo electrónico, se logro
determinar que la transferencia
de información tiene un
comportamiento normal de
envio y entrega de información.
6.
Plataforma de
software en
que funciona
el servidor de
correo.
Verificar la
plataforma que
utiliza el servidor de
correo de la
Empresa, por el cual
se transmiten los
mensajes.
Testimonial.
La plataforma de correo que
utiliza la Empresa es
“Fortimail”, por que brinda
seguridad y protección ante
amenazas mixtas que se
ocultan en el correo electrónico
mensajes, formadas por spam,
virus, gusanos, phishing
(suplantación de identidad, que
intentar adquirir información
confidencial de forma
fraudulenta )y spyware (la
lentitud de los Sistemas
Operativos y en la ejecución de
programas, porque consumen
recursos de la máquina,
impidiendo que funcione
normalmente).
7. Asignación
de cuentas y
cobtraseñas a
las PC de los
Verifcar en que se
basan los del Área
de IT para
asignarles el usuario
Testimonial. La asiganación de cuentas y
usuarios a los colaboradores
no es un método seguro,
entrevistando a un usuario, nos
Auditoria de Sistemas 66
usuarios. y la contraseña. dijo que las cuentas eran
asignadas de acuerdo a los
nombre del usuario. El usuario
de la computadora es el Primer
Nombre y Primer Apellido, y la
contraseña la inicial del Primer
Nombre y la inicial del Primer
Apellido, seguido de oa123
8.
Con qué
frecuencia
cambian las
contraseña a
los usuarios.
Chequear con qué
frecuencia, el área
de IT cambia las
contraseña a los
usuarios.
Testimonial.
No son frecuentes los cambios
de usuarios y contraseñas.
9.
Revisar el
bloqueo de
algunas
computadoras
a internet.
Identificar que
computadoras de
diferentes
departamentos
tienen acceso a
internet.
Física.
Testimonial.
El área de IT, tiene permitido
dar acceso a internet a ciertas
personas, como lo son: A Jefes
de los diferentes
Departamentos, a todos los
usuarios de Mercadeo,
Recursos Humanos y a del
área de IT.
10. Manejo de
firewall.
Verificar si el firewall
implementado
detecta y protege:
• Ataque de IP falsas.
• Ataque de denegación del servicio.
Física.
Testimonial.
De acuerdo a la entrevista al
técnico de IT el firewall
implementado detecta y
protege. Al intentar entrar
desde una computadora que
no tiene permitido el acceso a
internet, mostró la pagína de
Auditoria de Sistemas 67
acceso denegado.
11.
Configuración
de firewall.
Reivisar si existe un
firewall debidamente
configuradoTestimonial.
El firewall esta debidamente
configurado, al intentar entrar
desde una computadora que
tiene denegado el acceso a
internet.
12
Verificar los
privilegios a
usuarios.
Evaluar en que se
basan para dar
privilegios a
usuarios de los
diferentes
departamentos.
Testimonial.
Solo a Jefes y colaboradores
de áreas claves son los
privilegiados, por que realizan
diferentes actividades
sumamente importantes para
la empresa.
13.
Elementos
que utilizan
para la
comunicación
.
Revisar los medios
que utilizan para
comunicarse entre
los diferentes
departamentos.
Testimonial.
Física
Utilizan celulares, correos
eléctronicos y teléfonos de
líneas fijas.
14.
Revisión de la
red física.
Evaluar con que
frecuencias se
realizán revisiones
de los cables de
redes.
Testimonial.
En la entrevista, el técnico de
IT manifiesta que no tienen un
tiempo establecido para la
revisión de la red física.
15. Bloqueo de aplicaciones
Verificar que la
Empresa tenga
políticas de
seguridad y de Documental
Posee políticas de Seguridad,
que restringen el aceeso a
aplicaciones, las cuales se
detallan en las Políticas de
Auditoria de Sistemas 68
controles de acceso
a aplicaciones
basadas en la web.
Seguridad Informática de la
Empresa.
Empresa: xxxxxx Hecho por: S/P
Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H
Área Auditada: Planes Contingenciales Fecha: 21/04/2015
Persona que Atendio: Xxxxxxx
xxxxx
Cargo: Técnico IT
Jefe IT
PLANES CONTINGENCIALES
N°Actividad a
Evaluar
Procedimiento de
AuditoriaHerramientas Observación
1.
Evaluar si
existen
políticas por
escrito sobre
los planes
que ellos
realizan en
las diferentes
áreas de la
Empresa.
Pedir manuales
donde se
encuentren
reflejadas las
políticas sobre los
planes
contingenciales, ya
que los manuales,
deben estar
documentos.
Documental
Pedimos ver los manuales
donde estan documentados los
diferentes planes de
contingencia que la Empresa
realiza. Estos planes si estan
docuementados.
2. Evaluar los
planes de
contingencias
que se están
desarrollando
actualmente.
Observar los
diferentes planes
que se están
realizando, los
cuales están
enfocados para
evitar cualquier
eventualidad que
Testimonial. Los planes contingenciales,
que la Empresa realizan con
mayor frecuencias son:
Simulacros de Sismos e
Incendios.
Auditoria de Sistemas 69
pueda suceder en el
futuro
3.
Evaluar la
aplicación de
simulacros,
asi como el
plan
contingenciale
s durante la
ocurrencia de
una falla
grave en el
sistema.
Realizar una serie
de simulacros para
verficar si los planes
de contingencias
que se tienen están
respondiendo
satisfactoriamente
haciendo pruebas de
back up y revisar
dichos archivos.
Testimonial
El entrevistado del área de IT ,
manifiesta que cuando la
Empresa realiza los simulacros
con los todos sus empleados,
su área también realiza back
up y son satisfactorios.
4.
Evaluar si los
empleados
conocen
sobre los
planes
contingenciale
s.
Preguntar a los
empleados si ellos
conocen los planes
en dado caso que
exista una
catástrofe, entre
otras cosas. Y si
alguna ves han
hecho un simulacro.
Testimonial
Los empleados entrevistados,
manifiestan si se les informan
de las medidas a tomar y que
hacer al presentarse cualquier
eventualidad.
5. Evaluar la
confiabilidad
en la
aplicación en
las medidas
del plan de
Examinar si las
medidas que se
tiene en caso de una
eventualidad, la
aplicación de los
planes de
Testimonial
Analítica
Con los simulacros que se
realizán, se ha ido mejorando
el tiempo y reacción. Y la forma
en que se realizan son
confiables y satisfactorias.
Auditoria de Sistemas 70
contingencias. contingencias sea
rápida y dé una
respuesta
satisfactoria.
7.
Evaluar si
cuentan con
sus
respectivas
medidas de
seguridad.
Observar si cuentan
con salidas de
seguridad en los
diferentes áreas. Y si
los extintores se
encuentrán en una
buena ubicación.
Física.
Las salidas de Emergencias,
están debidamente rotuladas,
la ubicación de los extintores
es visible ante todo el personal
de los diferentes áreas de la
Empresa.
8.
Evaluar si
cuentan con
planes para
prevenir
daños en los
recursos.
Observar y pedir
manuales para
conocer que hacen
para prevenir y
minimizar daños en
sus recursos
informáticos,
equipos de oficinas y
otros materiales.
Testimonial
El área de IT no cuenta con
manuales y lo unico que
realizan son back up de la
información.
9. Evaluar
quienes son
las personas
involucradas
al momento
de efectuar
los planes
contingenciale
Preguntar quién ó
quiénes, son las
personas
responsables a la
hora de efectuar los
planes
contingenciales.
Testimonial De cada área hay una persona
involucrada en el momento de
efectuar simulacros.
Auditoria de Sistemas 71
s.
10.
Evaluar
Planes
Correctivos.
Revisar y preguntar
sobre los planes
correctivos, que
hacen para
solucionar sus
problemas en el
momento que se
presenten.
Testimonial
Realizan lo que estiman
conveniente en el momento y
ante la emergencia.
11.
Evaluar
planes
cuando hay
saturación de
información.
Preguntar y verificar
si se envia
información masiva
a las oficinas, y que
sucede cuando el
trafico de datos se
vuelve lento.
Testimonial
El envio de información no es
masiva y no hay saturación de
tráfico.
12.
Evaluar
seguridad
elétrica.
Realizar pruebas de
un apagón de luz
para saber si
funciona
correctamente la
planta de energía
eléctrica.
Testimonial
La planta de energía eléctrica
funciona correctamente ante
cualquier apagón. Hay
personas encargadas.
13. Auditoría de
Planes
Contingencial
es Evaluar
Realizar pruebas y
verificar si ellos
cuentan con otro
proveedor de
Testimonial No cuentan con otro proveedor
de internet aparte de Salnet.
Auditoria de Sistemas 72
plan cuando
se cae la
conexión de
proveedor de
internet.
internet, para poder
evaluar que pasa si
la red de un
proveedor de internt
se cae.
14.
Evaluación de reanudación de actividades.
Investigar si existe
un equipo de
dirección de
reanudación y un
responsable del
mismo, para dirigir y
coordinar las
distintas actividades
durante la
contingencia o
desástre.
Testimonial
Cada colaborador es el
encargado de reanudar su
actividad despues de un
simulacro.
Auditoria de Sistemas 73
Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H
Área Auditada: Dirección Informática Fecha: 21/04/2015
Persona que Atendio:xxxxxx
Cargo: Técnico IT
Contador
DIRECCIÓN INFORMÁTICA
N°Actividad a
Evaluar
Procedimiento de
AuditoriaHerramientas Observación
1.
Evaluar el
perfil de los
empleados
del área de
informática,
mediante la
revisión de los
manuales de
función y de
usuario.
Revisar los
manuales de
funciones de
empleados de
infomática.
Revisar los
manuales de
usuarios de
sistemas.
Testimonial
No poseen manuales de
funciones, ni manuales de
usuarios de sistemas.
2.
Capacita-
ciones del
personal IT.
Realizar una
entrevista al director
del área de IT, que
tan frecuentas son
las capacitaciones
de sus
colaboradores.
Testimonial
De acuerdo al Jefé de área de
IT no reciben capacitaciones.
3. Evaluar la
existencia y
cumplimiento
de los
Entrevistar a los
empleados de
informática y
preguntarles si
Testimonial Los entrevistados aciertan que
saben los objetivos del
departamento, y que buscan
cumplirlos con eficiencia, y de
Auditoria de Sistemas 75
objetivos de la
institución
dentro del
departamento
de
informática.
tienen claros los
objetivos de su
departamento y de
la institución.
esa manera ayudar la Empresa
para que tambien logren sus
objetivos.
4.
Nivel en el
que se
encuentra
jerarquico en
el
departamento
de IT.
Realizar una análisis
del organigrama de
la Empresa y ver en
que nivel se
encuentra el
departamento de
informática.
Análitica.
En el Organigrama de la
Empresa no se especifica el
Departamento de IT.
5.
Verificar, cúal
es el perfil
para la
selección y
promoción del
área de
informática.
Revisar los
requisitos para la
selección de un
nuevo colaborador
en el área de IT.
Análitica.
Testimonial
No tiene por escrito los
requsitos que un colaborador
del área de IT debe cumplir.
6. Evaluar la
administració
n de los
recursos
humanos
asignados al
área de
informática,
Análizar si los
empleados están
sobrecargados de
actividades.
Análitica.
Testimonial
En el área de IT son 3 los
colaboradores. Y se reparten
las actividades. Asumen no
suele pasar que se recarguen
de trabajo.
Auditoria de Sistemas 76
en cuanto a
capacitación y
adiestra-
miento.
7.
Identificar los
planes de
capacitación.
Revisar los planes
de capacitaciones
para los empleados
de informática.
Testimonial
La Empresa no tiene planes de
capacitaciones para los
colaboradores de IT.
8.
Identificar el
perfil de los
nuevos
empleados a
contratar.
Verificar si existe
algo por escrito,
donde se detallen
las características
del nuevo personal a
contratar.
Testimonial
Análitica.
No tienen nada por escrito
donde detallen las habilidades
y conocimientos que debe
tener el nuevo colaborador de
IT.
9.
Verficar el
tiempo del
personal de IT
en la
Empresa.
Preguntar el tiempo
que han laborado en
la Empresa el
personal de IT.Testimonial
El Jefe de IT, tiene 8 años de
laborar en la Empresa.
El técnico en Informática, tiene
15 años de laborar en la
Empresa
El Licenciado en Ciencias de la
Computación, tiene 2 años en
la Empresa.
10.
Verificar que
exista una
persona que
se encargue
de crear
perfiles.
Observar si hay una
persona encargadad
de crear los perfiles
de los usuarios. Testimonial
El técnico xxxx, que tiene 15
años de laborar en la Empresa
es el encargado de crear los
perfiles de los. usuarios.
Auditoria de Sistemas 77
11.
Verificar que
tan frecuentes
son las
capacita-
ciones.
Preguntar al
personal que tan
frecuentes son las
capacitaciones que
reciven.
Testimonial
No reciven capacitaciones.
12
Verificar
personal
existente en
IT.
Observar cuantos
empleados están en
área de informática. Testimonial
Física.
3 Empleados en todo el área
de IT.
1 Jefe del área.
1 Técnico en Informática
1 Licenciado en Ciencias de la
Computación.
13.
Verificar si
existen
manuales por
escrito de
actividades a
realizar en el
área de IT.
Indagar si el
personal lleva a
cabo lo estipulado
en el manual de IT.Testimonial
No existen manuales por
escrito en el área de IT.
14.
Evaluar si los
empleados
cumplen sus
funciones.
Verificar que el
departamento de IT
cumplen sus
funciones, en los
demás
departamentos que
hayan solicitado su
colaboración.
Testimonial
Describen su deber es suplir
las necesidades de los
usuarios en cuanto al equipo
informático se refiere.
15. Evaluar si IT Entrevistar al Testimonial El entrevistado manifiesta, que
Auditoria de Sistemas 78
en todo su
conjunto,
hace las
actualiza-
ciones
correspon-
dientes.
departamento de IT,
si hace las
actualizaciones
respectivas en los
diferentes pc.
Física.
si realizan las actualizaciones.
Empresa: xxxxxxx Hecho por: S/P
Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H
Área Auditada: Seguridad Física y Lógica Fecha: 21/04/2015
Persona que Atendio: xxxxxx Cargo: Técnico IT
Contador
SEGURIDAD FÍSICA Y LÓGICA
N°Actividad a
Evaluar
Procedimiento de
AuditoriaHerramientas Observación
1.
Identificar si
existen
alarmas.
Verficar las alarmas
por presencia de
fuego, humo; asi
como la existencia
de extintores de
incendios.
Física.
En las diferentes áreas de la
Empresa se encuentran
alarmas, y extintores contra
incendios.
2. Investigar si
hay personal
capacitados
para el uso de
extintores.
Verificar si la
Empresa envia a
capacitaciones a
personal de
diferentes
departamentos para
la manipulación y
Testimonial De acuerdo a la persona
entrevistada, hay personas
capacitadas para el uso de
extintores, y que son los
bomberos quienes dan las
capacitaciones.
Auditoria de Sistemas 79
uso de los exintores
ante cualquier
incidente.
3.
Medidas de
protección de
conexiones
eléctricas
Conocer las
medidas que la
Empresa toma para
la seguridad de las
conéxiones
eléctricas.
Testimonial
Los bomberos realizán
evaluaciones físicas
constantes de las conexiones
eléctricas de toda la Empresa,
y al final de la evaluación
brindan un informe.
4.
Identificar la
autorización y
administra-
ción de las
claves.
Verificar los
mecanismos
establecidos para
controlar la
asignación de
acceso a las
computadoras
centrales.
Testimonial
El departamento de IT, testifica
que el ingreso a las
computadoras centrales de la
Empresa, es de acceso
restringido y que solo los 3
miembros de IT pueden
ingresar.
5.
Capacitación
en
procedimietos
de seguridad.
Verificar que los
procedimientos
operacionales para
incendio y sistemas
de alarma esten al
alcance de todo el
personal de
operaciones.
Testimonial
Física.
Las capacitaciones se le dan a
personas seleccionadas, pero
hay instrucciones cercas de las
alarmas, de como hacerlas
sonar.
6. Rotulación de Observar si las vías Física. Con la revisión realizada en la
Auditoria de Sistemas 80
escapes y
salidas de
emergencias.
de escape y acceso
de emergencias
esten debidamente
rotuladas.
Empresa, se determino que
todas las salidas de
emergencias estan
debidamente rotuladas.
7.
Evaluar
autentifica-
ción de
usuarios y
controles de
acceso.
Asegurarse que las
políticas de
asignación de
cuentas sean
adecuadas y
apropiadas.
Testimonial
Física.
De acuerdo con el testimonio
de algunos usuarios, la
asignación de las cuentas no
es la debida. Y comprobandolo
determinamos no se sigue
ninguna política.
8.
Evaluar el
cableado.
Verificar que el
cableado este
debidamente
protegido, en dado
caso que el cable
este cruzado.
Física.
En la oficinas del área de
producción observamos habia
un cable de red cruzado entre
un escritorio y otro.
Preguntamos y dijo era algo
provisional. Pero en una
nueva visita a la Empresa
obsevamos el cable aun
estaba cruzado, y que no era
algo provisional.
En las demás oficinas el
cableado de red esta
correctamente instalado y
protegido.9. Identificar
firewall.
Verificar que el
firewall esta
configurado para
limitar el acceso a
Testimonial Fortinet es quien garantiza a la
Empresa que los usuarios no
puedan ingresar a sitios web
bloqueados en función de los
Auditoria de Sistemas 81
datos autorizados
para usuarios
internos.
sitios a los que accede.
10.
Prevensión
de virus.
Verificar que
antivirus posee, y
que el antivirus
actúe en los equipos
de los diferentes
departamentos con
eficiencia. Sin poner
en riesgo la
información de los
usuarios, investigar
con que frecuencia
se actualizán y
verificar que cada
equipo cuente con el
licencionamiento
adecuado.
Física.
Testimonial
La Empresa cuenta con el
Antivirus Karsperky, se
actualiza cada día y la
seguridad que proporciona
según los usuarios y el Técnico
de IT no es la mejor, ya que se
cuelan virus que ponen en
riesgo su información.
El Antivirus tiene su licencia.
11.
Entrevistar a
los usuarios.
Preguntar a los
usuarios si el
antivirus es
confiable, o si existe
con frecuencia el
colado de virus.
Testimonial
Anáitica
De acuerdo con las entrevistas
realizada a unos usuarios el
Antivirus Karsperky no es
confiable y se cuelan algunos
virus.
12 Evaluar
puertos
habilitados.
Verificar si los
usuarios tienen
habilitados los
puertos USB de los
equipos, para evitar
poner en riesgo la
Física.
Testimonial
Se verifico los puertos de
algunas computadoras y los
puertos de USB no estan
habilitados.
Auditoria de Sistemas 82
información.
13.
Asignación de
contraseñas
Verificar si cada
equipo posee su
respectivo usuario y
contraseña para
denegar el permiso
a otra persona, que
las contraseñas no
sean mostradas en
pantalla cuando se
ingrese, que no sea
menor a 8 digitos y
que contenga
símbolos, numeos y
letras.
Física.
Testimonial
Con la revisión de algunas
computadoras, observamos
que todas poseen usuarios y
contraseñas, pero que no
contienen los medios de
seguridad.
14.Registro de
accesos.
Investigar si el
sistema genera
registro de acceso.
Testimonial
Física.
De acuerdo al Técnico de IT el
sistema realiza registros de
acceso, modificación y
eliminación de algún
documento.
15.
Evaluar las
políticas de la
Empresa a la
información.
Verificar si existen
políticas dentro de la
Empresa para
proteger su
información y la de
cada usuario.
Testimonial
Física.
El técnico de IT manifiesta que
el ingreso a algunos archivos
en la red, solo pueden ser
vistos por personas
seleccionadas, y algunas solo
pueden ejecutarla pero no
realizar cambios ni eliminación.
Auditoria de Sistemas 83
ANEXOS
GLOSARIO
✔ Back up: Copia de seguridad de uno o más archivos informáticos, que se hace,
generalmente, para prevenir posibles pérdidas de información.
✔ Contingencia: Suceso que puede suceder o no, especialmente un problema que se
plantea de forma imprevista.
✔ Cronograma: Representación gráfica de un conjunto de hechos en función del
tiempo.
✔ Departamento IT: departamento de Tecnología de la Información.
✔ Dispositivos: aparato o mecanismo que desarrolla determinadas acciones.
✔ Estándares: Consiste en el establecimiento de normas a las que debe ajustarse la
información geográfica, los procesos de intercambio de ésta y la interoperación de los
sistemas que deben manejarla.
✔ Estipular: Establecer o determinar las condiciones de un trato, acuerdo, precio u otra
cosa.
✔ Extintores: Un extintor, extinguidor, extintor de fuego, o matafuego es un artefacto
que sirve para apagar fuegos.
✔ Fiabilidad: Probabilidad de que un sistema, aparato o dispositivo cumpla una
determinada función bajo ciertas condiciones durante un tiempo determinado.
✔ Firewall: Programa informático que controla el acceso de una computadora a la red y
de
Elementos de la red a la computadora, por motivos de seguridad.
✔ Fortinet: (NASDAQ: FTNT) es el proveedor mundial en dispositivos de seguridad de
Auditoria de Sistemas 84
red y líder en gestión unificada de amenazas (UTM). Sus productos y servicios ofrecen
una gran protección integrada y de alto rendimiento contra las dinámicas amenazas de
seguridad.
✔ Fortimail: es el sistema de seguridad para correo electrónico más flexible del mundo.
✔ Ftp: FTP en informática, es un protocolo de red para la transferencia de archivos entre
sistemas conectados a una red TCP, basado en la arquitectura cliente-servidor.
✔ Hacker: Persona con grandes conocimientos de informática que se dedica a acceder
ilegalmente a sistemas informáticos ajenos y a manipularlos.
✔ Malicioso: Que habla o actúa con intención encubierta para beneficiarse en algo o
perjudicar a alguien.
✔ Ordenadores portátiles: es un ordenador personal móvil o transportable, que pesa
normalmente entre 1 y 3 kg.1
✔ Pirata: Persona que se aprovecha del trabajo o de las obras de otros, especialmente
copiando programas informáticos u obras de literatura o de música sin estar
autorizado legalmente para hacerlo.
✔ Red física: Conjunto formado por dos o más nodos conectados a un mismo medio o
canal de comunicación.
✔ Servidores: es un nodo que forma parte de una red, provee servicios a otros nodos
denominados clientes. También se suele denominar con la palabra servidor a: ⁕Una
aplicación informática o programa que realiza algunas tareas en beneficio de otras
aplicaciones llamadas clientes.
✔ Tabulación: Expresión de valores, magnitudes, conceptos, etc., por medio de tablas o
cuadros, o conjunto de los topes del tabulador en las máquinas de escribir y en los
programas informáticos de edición de textos.
Auditoria de Sistemas 85
✔ Tópico: Que se usa y se repite con mucha frecuencia en determinadas
circunstancias.
✔ Topología: Ciencia que estudia los razonamientos matemáticos, prescindiendo de los
significados concretos.
✔ Virus: Programa de computadora confeccionado en el anonimato que tiene la
capacidad de reproducirse y transmitirse independientemente de la voluntad del
operador y que causa alteraciones más o menos graves en el funcionamiento de la
computadora.
Auditoria de Sistemas 86
BIBLIOGRAFÍA
Sitios Web.
✔ “Microsoft Word - Manual de Auditoria Version Ejemplar Definitivo Al 18-11-2011.doc - Manualaud.pdf.” http://www.cgr.gob.ve/pdf/manuales/manualaud.pdf (May 5, 2015).
✔ “Untitled Document.” http://www.sites.upiicsa.ipn.mx/polilibros/portal/Polilibros/P_proceso/Auditoria_Informatica_Nacira_Mendoza_Pinto/UNIDAD%201/HTML/1_4_4.HTM (May 5, 2015).
Fuentes de Información de la Empresa
✔ xxxxxx Contador de la Empresa xxxxxx
✔ xxxxxxx, Técnico Tecnologías de la Información.
✔ xxxxxxx, Lic. de Tecnologías de la Información.
✔ xxxxxxxx, Jefe de Tecnologías de la Información (IT).
Auditoria de Sistemas 87
FASE III: INFORME DE LA AUDITORIA DE SISTEMAS
INTRODUCCIÓN
La Etapa III corresponde a la presentación de informe y resultados final de la Auditoría de
Sistemas, realizada en la Empresa xxxxxxx. Para llegar hasta esta etapa, fuimos paso a paso
realizando diversas tareas, como observaciones y análisis de cada una de las áreas críticas
auditadas.
Se ha venido trabajando con fases del proyecto mes a mes. Teniendo hoy la fase final,
comenzamos por ordenar de manera correcta cada punto a presentar para nuestro informe ;
en donde se detallan la actividades realizadas en la auditoria, el hallazgo encontrado en la
ejecución de la auditoria y la recomendación que damos a la Empresa.
Este ha sido el resultado de nuestro trabajo, respaldado de la carta de finalización dirigida a
la Empresa.
Auditoria de Sistemas 88
OBJETIVOS DEL DOCUMENTO
GENERAL:
✔ Análizar cada hallazgo encontrado en la Ejecución de la Auditoria, para presentar el
informe final y los resultados obtenidos en la Auditoria de Sistemas realizada en la
Empresa xxxxxxxx.
ESPECÍFICOS:
✔ Análizar los hallazgos obtenidos en la Etapa de Ejecución de la Auditoria.
✔ Elaborar el informe final de auditoría realizada en la empresa xxxxxxxxxxx.
✔ Presentar Carta de Finalización de procesos y entrega de resultaods.
Auditoria de Sistemas 89
ALCANCE DE LA ADITORIA INFORMÁTICA
El alcance de la auditoria informática lse realizó de acuerdo a las áreas críticas auditadas
A continución se detalla cada uno de los alcances de cada aŕea.
ALCANCE DE LA AUDITORIA
Software. Lo que auditamos en Software es:
• Quickbooks cumple con las leyes de contabilidad
Salvadoreña.
• Soporte Técnico de Quickbooks.
• Si al personal de nuevo ingreso en el área de
contabilidad es capacitado antes por un experto para
el uso de Quickbooks.
Comunicaciones
y Redes.
En esta área lo que auditamos fue:
• En que se basan los del Área de IT para asignar el
usuario y la contraseña a los usuarios.
• Frecuencia con que cambian las contraseña a los
usuarios.
• Fecuencias con que realizán revisiones de los cables
de redes.
Planes
Contingenciales .
En el área de Planes de Contingencias, auditamos:
• Poseen manuales donde indiquen que hacen para
prevenir y minimizar daños en sus recursos
informáticos, equipos de oficinas y otros materiales.
Dirección
Informática.
En dirección Infoemática auditamos:
• Se encuentra el departamento de IT en el
Organigrama de la Empresa.
Auditoria de Sistemas 90
• Perfil que tiene la Empresa para la selección de un
nuevo colaborador en el área de IT. y las descripción
de las tareas a desarrollar en el puesto de trabajo.
• Planes de capacitación para los empleados de
informática.
• Verificar si existen manuales por escrito de
actividades y funciones a realizar en el área de IT.
Seguridad Física y Lógica.
En esta área se auditará principalmente:
• Evaluar el cableado de red.
• Prevensión de virus.
OBJETIVOS DE AUDITORIA
GENERAL
✔ Realizar el Informe Final, donde se detallen las observaciones que detectamos en
cada área crítica de la auditoria realizada en la Empresa xxxxxxxxx y emitir
recomendaciones de cada hallazgo encontrado.
ESPECÍFICOS
✔ Identificar los hallazgos encontrados en la auditoria.
✔ Emitir recomendaciones a la Empresa xxxxxxxxxx.
✔ Presentar el informe y resultados finales de la Auditoria de Sistemas.
Auditoria de Sistemas 91
CROMOGRAMA DE ACTIVIDADES
PRESENTACIÓN DE INFORME
SOFTWARE
Verificar soporte técnico de Quickbooks.
Hallazgo
✔ Quickbooks, no tiene soporte técnico en el País. Se nos dijo que el encargado en
algunos casos del sopote técnico son los del área de informática. El conatdor
manifiesta que cuando el área de IT no puede resolver el problema, llaman a Estados
Unidos para que desde haya solucionen el problema.
Auditoria de Sistemas 92
Riezgo
✔ El técnico al no conocer exáctamente el uso de Quickbooks, podría hacer más grande
el problema o peor aun dañar y hasta perder la información si no se ha hecho el Back
up.
Recomendación
✔ Contactar al proveedor y pedir soporte técnico de manera profesional, para no tener
inconvenientes que puedan incurrir a más gastos.
SOFTWARE
Verificar si al personal de nuevo ingreso en el área de contabilidad es capacitado antes
por un experto para el uso de Quickbooks.
Hallazgo
✔ No es capacitado, al momento que ingresa a laborar al área de Contabilidad, uno de
los del área que ya conoce el uso de Quickbooks le enseña como se trabaja en el
programa de Contabilidad.
Riezgo
✔ El nuevo colaborador, al no ser capacitado antes de ir a sentarse frente a su
computadora, puede llegar hasta frustrarse al no saber exactamente que hacer. Y
menos como trabajar en Quickbooks.
Recomendación
✔ Cada colaborador contrado por la Empresa para laborar en el área de Contabilidad,
debería ser capacitado por un experto de la misma área que conoce a su totalidad
QuickBooks . Al ser una experto quien capacite al nuevo colaborador en QuickBooks,
pueden ahorrar un montón de tiempo, dinero y frustración, tanto para el nuevo
colaborador y a la Empresa. Y asi el nuevo colaborador aprenderá verdaderamente y
evitará los errores en primer lugar.
Auditoria de Sistemas 93
SOFTWARE
Evaluar si Quickbooks cumple con las leyes de contabilidad Salvadoreña.
Hallazgo
✔ Quickbooks, es el Sistema que la Empresa xxxxxx utiliza para llevar su contabilidad.
Pero en la auditoría se determino que: Quickbooks, no cumple con aspectos Legales
de la Contabilidad en El Salvador, por que la Ley establece: El Idioma en que debe
llevarse los libros de contabilidad es el castellano.
✔ EL contador manifiesta lo siguiente: “En el país la mayoría de empresas tienen
sistemas contables deficientes. El Quickbooks proporciona muchos reportes, genera
información rápida y confiable”.
Riezgo
✔ La Ley determina: Art. 436 del Cod. Comercio: Los registros deben llevarse en
castellano. La contraversión será sancionada por la oficina que ejerce la vigilancia
del Estado de conformidad a su Ley. Toda autoridad que tenga conocimiento de la
infracción, está obligada a dar aviso inmediato.
Recomendación
✔ La Empresa para no caer en un proceso Legal y ser sanciona, debiría buscar o
implementar otra alternativa que como Quickbooks les ayude a facilitar el trabajo
contable.
COMUNICACIONES Y REDES
Verifcar en que se basan los del Área de IT para asignar el usuario y la contraseña a los
usuarios.
Hallazgo
✔ La asiganación de cuentas y usuarios a los colaboradores no es un método seguro,
entrevistando a un usuario, nos dijo que las cuentas eran asignadas de acuerdo a los
nombres del usuario. El usuario de la computadora es el Primer Nombre y Primer
Auditoria de Sistemas 94
Apellido, y la contraseña la inicial del Primer Nombre y la inicial del Primer Apellido,
seguido de oa123.
Riesgos
✔ De acuerdo a unas entrevistas realizadas a usuarios, todos coincidian cuál era la
forma de asignar usuarios y contraseñas a los equipos informáticos. Es decir que para
ingresar a una computadora que no les pertenece, solo hacia falta saber el primer
nombre y primer apellido y asi poder ingresar a la computadora. El riezgo es muy
grande ya que podrían incurrir a robo de información o simplemente buscar perjudicar
al compañero de labores.
Recomendación
✔ EL método de asignación de usuarios y contraseñas debería cambiar. Tomar nuevos
métodos y no divulgarlos a los usuarios. Establecer contraseñas fuertes y seguras
podría disminuir considerablemente los riesgos.
COMUNICACIONES Y REDES
Con qué frecuencia cambian las contraseña a los usuarios.
Hallazgo
✔ No son frecuentes los cambios de contraseñas.
Riesgos
✔ Al no cambiar las contraseñas, dá mayor facilidad a que los demás la descubran y
accedan a la información de sus compañeros.
Recomendación
✔ Tomar la precaución de cambiar asiduamente sus contraseñas, ya sea porque el
usuario sospeche que la contraseña actual ha (o ha sido) descubierto, o como medida
de precaución, para mantener la seguridad de sus datos.
Auditoria de Sistemas 95
COMUNICACIONES Y REDES
Evaluar con que frecuencias se realizán revisiones de los cables de redes.
Hallazgo
✔ En la entrevista, el técnico de IT manifiesta que no tienen un tiempo establecido para
la revisión de la red física.
Riezgo
✔ Al no tener un politica establecida para la revisión de los cables de red física
perjudica, ya que no podría detectar y corregir a tiempo problemas en las conexiones
de red cableadas.
Recomendación
✔ Establecer una política de revisón de cables de redes, para evitar daños y costos
elevados a la Empresa o provocando que algunos recursos como los archivos
compartidos se vuelvan inaccesibles hasta provocar a veces cortes de servicio.
PLANES CONTINGENCIALES
Poseen manuales donde indiquen que hacen para prevenir y minimizar daños en sus
recursos informáticos, equipos de oficinas y otros materiales.
Hallazgo
✔ El área de IT no cuenta con manuales y lo unico que realizan son back up de la
información. Y para la protección del equipo informático realizan lo que estiman
conveniente en el momento y ante la emergencia.
Riezgo
✔ Al no tener manuales, en caso de emergencia no tendrán una guía que les indique
que hacer para proteger sus equipos informáticos y demas recursos de la Empresa.
Auditoria de Sistemas 96
Recomendación
✔ Elaborar formal y por escrito un manual que indique que hacer ante una emergencia, y
que indique como proteger su equipo y demas recursos de la Empresa. Y asi sabrían
que planes correctivos aplicar para solucionar los problemas que se presenten.
DIRECCIÓN INFORMÁTICA
Se encuentra el departamento de IT en el Organigrama de la Empresa.
Hallazgo
✔ En el organigrama de la Empresa no toman en cuenta el Departamento de IT.
Riezgo
✔ Los del área de IT al no estar su departamento en el organigrama de la Empresa
podrían no sentirse parte vital y fundamental para la Empresa.
Recomendación
✔ El departamento de IT debería incluirse en el Organigrama de la Empresa, ya que es
una de las áreas muy importantes para el logro de los objetivos de la Empresa.
DIRECCIÓN INFORMÁTICA
Perfil que tiene la Empresa para la selección de un nuevo colaborador en el área de IT. y
las descripción de las tareas a desarrollar en el puesto de trabajo.
Hallazgo
✔ No tiene por escrito los requsitos que un colaborador del área de IT debe cumplir.
Riezgo
✔ Al no tener por escrito no sabrán las descripciones que buscan en un nuevo
colaborador.
Auditoria de Sistemas 97
Recomendación
✔ Es recomendable que partan de la descripción de las tareas a desarrollar en el puesto
de trabajo y a partir de ahí podrán definir el perfil de trabajador que les interesa entre
la cuales podrían estar: formación, experiencia, conocimientos, habilidades, etc.
DIRECCIÓN INFORMÁTICA
Planes de capacitación para los empleados de informática.
Hallazgo
✔ La Empresa no tiene planes de capacitaciones para los colaboradores de IT.
Riezgo
✔ La Empresa al no tener planes de capacitaciones para los del área de IT, puede
afectarse gracias a la desactualización y deficiencias de los conocimientos de sus
técnicos.
Recomendación
✔ Alguna de las recomendaciones que expertos en informática brindan es que la
Empresas brinden capacitaciones a los colaboradores de área de IT. La inversión en
capacitaciones pueden a ayudar, por ejemplo a : Disminución de riesgos informático,
otorga la posibilidad de contar con más y mejores herramientas y conociemientos,
entre otros beneficios.
DIRECCIÓN INFORMÁTICA
Verificar si existen manuales por escrito de actividades y funciones a realizar en el área de
IT.
Hallazgo
✔ No existen manuales por escritode actividades y funciones a realizar en el área de IT.
Auditoria de Sistemas 98
Riezgo
✔ Ya que no tienen política por escrito para seguir no hacen actividades como: revisión
de cableados, prevenciones en los equipos de las oficinas, etc.
Recomendación
✔ Elaborar formal y por escrito un manual que indique las diversas actividades
programadas para el departamento de IT, donde indique que tan periodicamente
realizar revisiones de cableado, prevensión en los equipos informáticos, etc.
SEGURIDAD FÍSICA Y LÓGICA
Evaluar el cableado de red y su Topoligía.
Hallazgo
✔ En la oficinas del área de producción observamos habia un cable de red cruzado
entre un escritorio y otro. Preguntamos y dijo era algo provisional. Pero en una nueva
visita a la Empresa obsevamos el cable aun estaba cruzado, y que no era algo
provisional.
✔ En las demás oficinas el cableado de red esta correctamente instalado y protegido.
Riezgo
✔ El cable que se encontró en la oficina del área de Producción, puede ser ocación de
accidente, ya que puede provocar resbalones, tropezones y caídas que pueden ser a
causa de un mantenimiento deficiente.
Recomendación
✔ La instalación del cableado de las diferentes oficinas debe seguir las normas del
cableado estructurado para prevenir accidentes en las oficinas.
Auditoria de Sistemas 99
SEGURIDAD FÍSICA Y LÓGICA
Prevensión de virus.
Hallazgo
✔ La Empresa cuenta con el Antivirus Karsperky, se actualiza cada día y la seguridad
que proporciona según los usuarios y el Técnico de IT no es la mejor, ya que se
cuelan virus que ponen en riesgo su información.
Riezgo
✔ Al no tener un Antivirus seguro, se corre el riesgo que los virus se cuelen a los equipos
informáticos y produzcan daños a los archivos, e incluso dañe el servidor, etc.
Recomendación
✔ De acuerdo a algunas encuesta en la internet el Antivirus Karsperky, es uno de los
antivirus mejor evaluados. El hecho que no sea seguro y confiable a los usuarios,
quiza se deba a que el antivirus tenga algun problema a la hora de actualizar su base
de datos. Recomendamos revisar la base de datos, y si se estan actalizando todos los
días.
Auditoria de Sistemas 100
ANEXOS
CARTA DE FINALIZACIÓN
Empresa: xxxxxxx xxxxxxx
Sr. xxxxxxxxxx
San Salvador, 29 de mayo de 2015
Cargo: Jefe de Tecnologías de la Información (IT)
Tenemos el agrado de dirigirnos a su persona a efectos de dar a conocer el alcance obtenido
del trabajo de auditoria de sistema en el área de desarrollo profesional, auditoria realizada en
el periodo entre el periodo del 07 de marzo al 29 de mayo de 2014. Se formula la siguiente
carta de finalización y reviso la documentación a dar presentada. Sobre la base del análisis y
procedimientos detallados de todas las informaciones recopiladas y emitidas en el presente
informe, que a nuestro criterio es razonable.
En síntesis de la revisión realizada encontramos cinco áreas. Y son las siguentes:
1. Software.
2. Comunicaciones y Redes.
3. PLanes Contingenciales.
4. Dirección Informática.
5. Seguridad Física y Lógica.
Teniendo como hallazgos los siguientes puntos:
Software:
✔ Quickbooks, es el Sistema que la Empresa xxxxxx utiliza para llevar su contabilidad.
Pero en la auditoría se determino que: Quickbooks, no cumple con aspectos Legales
de la Contabilidad en El Salvador, por que la Ley establece: El Idioma en que debe
llevarse los libros de contabilidad es el castellano.
✔ Quickbooks, no tiene soporte técnico en el País. Se nos dijo que el encargado en
algunos casos del soporte técnico son los del área de informática. El contador
manifiesta que cuando el área de IT no puede resolver el problema, llaman a Estados
Unidos para que desde haya solucionen el problema.
Auditoria de Sistemas 101
✔ No es capacitado, al momento que ingresa a laborar al área de Contabilidad, uno de
los del área que ya conoce el uso de Quickbooks le enseña como se trabaja en el
programa de Contabilidad.
Comunicaciones y Redes.
✔ La asiganación de cuentas y usuarios a los colaboradores no es un método seguro,
entrevistando a un usuario, nos dijo que las cuentas eran asignadas de acuerdo a los
nombres del usuario. El usuario de la computadora es el Primer Nombre y Primer
Apellido, y la contraseña la inicial del Primer Nombre y la inicial del Primer Apellido,
seguido de oa123.
✔ No son frecuentes los cambios de contraseñas.
✔ En la entrevista, el técnico de IT manifiesta que no tienen un tiempo establecido para
la revisión de la red física.
Planes Contingenciales .
✔ El área de IT no cuenta con manuales y lo unico que realizan son back up de la
información. Y para la protección del equipo informático realizan lo que estiman
conveniente en el momento y ante la emergencia.
Dirección Informática.
✔ En el organigrama de la Empresa no toman en cuenta el Departamento de IT.
✔ No tiene por escrito los requisitos que un colaborador del área de IT debe cumplir.
✔ La Empresa no tiene planes de capacitaciones para los colaboradores de IT.
✔ No existen manuales por escrito de actividades y funciones a realizar en el área de IT.
Seguridad Física y Lógica.
✔ En la oficinas del área de producción observamos habia un cable de red cruzado
entre un escritorio y otro. Preguntamos y dijo era algo provisional. Pero en una nueva
visita a la Empresa obsevamos el cable aun estaba cruzado, y que no era algo
provisional.
Auditoria de Sistemas 102
✔ La Empresa cuenta con el Antivirus Karsperky, se actualiza cada día y la seguridad
que proporciona según los usuarios y el Técnico de IT no es la mejor, ya que se
cuelan virus que ponen en riesgo su información.
Según el análisis realizado hemos encontrado falencias en las áreas auditadas.
Agradecemos la colaboración prestada durante nuestra visita a la Empresa, y quedamos a
disposición para cualquier aclaración de la presente que estime necesaria.
Atentamente:
Marta Esmeralda Hernández Pacas.
Sara Olinda Peña Navarro.
Auditoria de Sistemas 103