trabajo de auditoria de sistemas

UNIVERSIDAD LUTERANA SALVADOREÑA

FACULTAD DE CIENCIAS DEL HOMBRE Y LA NATURALEZA

LIC. ANA LISSETT GIRÓN BERMÚDEZ

AUDITORÍA DE SISTEMAS

TEMA:

AUDITORÍA DE SISTEMA EN LA EMPRESA XXXXX

ALUMNOS

N° CARNET NOMBRES CARRERA

HP01121473 HERNÁNDEZ PACAS, MARTA ESMERALDA LIC. COMPUTACIÓN

PN01121384 PEÑA NAVARRO, SARA OLINDA LIC. COMPUTACIÓN

San Salvador, 30 de mayo 2015

Auditoria de Sistemas 1

Índice de contenidoFASE I: PLANEACIÓN DE LA AUDITORIA DE SISTEMASFASE I: PLANEACIÓN DE LA AUDITORIA DE SISTEMAS............................................................................................................................44INTRODUCCIÓNINTRODUCCIÓN..........................................................................................................................................................................................................................................................................44OBJETIVOS DEL DOCUMENTOOBJETIVOS DEL DOCUMENTO......................................................................................................................................................................................................................55GENERALGENERAL..................................................................................................................................................................................................................................................................................................55ESPECÍFICOSESPECÍFICOS......................................................................................................................................................................................................................................................................................55ANTECEDENTES DE LA EMPRESAANTECEDENTES DE LA EMPRESA..........................................................................................................................................................................................................66ORGANIGRAMA DE LA EMPRESAORGANIGRAMA DE LA EMPRESA............................................................................................................................................................................................................77DETALLE DE LOS DEPARTAMENTOS Y LAS ACTIVIDADES QUE SE AUDITARÁNDETALLE DE LOS DEPARTAMENTOS Y LAS ACTIVIDADES QUE SE AUDITARÁN..................................88ANTECEDENTES Y DESCRIPCIÓN DE LAS APLICACIONES UTILIZADAS (SOFTWARE)ANTECEDENTES Y DESCRIPCIÓN DE LAS APLICACIONES UTILIZADAS (SOFTWARE)..........1111IDENTIFICACIÓN DE ÁREAS CRÍTICASIDENTIFICACIÓN DE ÁREAS CRÍTICAS....................................................................................................................................................................................1414JUSTIFICACIÓN Y PONDERACIÓN DE ÁREAS CRÍTICASJUSTIFICACIÓN Y PONDERACIÓN DE ÁREAS CRÍTICAS......................................................................................................................1515ALCANCE DE LA AUDITORIA INFORMÁTICAALCANCE DE LA AUDITORIA INFORMÁTICA..............................................................................................................................................................1818OBJETIVO DE LA AUDITORIAOBJETIVO DE LA AUDITORIA......................................................................................................................................................................................................................1919GENERALGENERAL..............................................................................................................................................................................................................................................................................................1919ESPECÍFICOSESPECÍFICOS..................................................................................................................................................................................................................................................................................1919DETERMIANCIÓN DE LOS RECURSOS NECESARIOS PARA REALIZAR LA AUDITORIA.DETERMIANCIÓN DE LOS RECURSOS NECESARIOS PARA REALIZAR LA AUDITORIA.........1919PRESUPUESTO FINANCIEROPRESUPUESTO FINANCIERO..........................................................................................................................................................................................................................2020CRONOGRAMA DE ACTIVIDADESCRONOGRAMA DE ACTIVIDADES......................................................................................................................................................................................................2121 PROGRAMA DE AUDITORIA PROGRAMA DE AUDITORIA..........................................................................................................................................................................................................................2121ANEXOSANEXOS..................................................................................................................................................................................................................................................................................................3535CARTA DE OFERTACARTA DE OFERTA..............................................................................................................................................................................................................................................................3535CUESTIONARIO DE CONTROL INTERNOCUESTIONARIO DE CONTROL INTERNO................................................................................................................................................................................3636FASE II: EJECUCIÓN DE LA AUDITORIA DE SISTEMASFASE II: EJECUCIÓN DE LA AUDITORIA DE SISTEMAS..............................................................................................................................4747INTRODUCCIÓNINTRODUCCIÓN......................................................................................................................................................................................................................................................................4747 OBJETIVOS DEL DOCUMENTO OBJETIVOS DEL DOCUMENTO................................................................................................................................................................................................................4848GENERALGENERAL..............................................................................................................................................................................................................................................................................................4848 ESPECÍFICOS ESPECÍFICOS................................................................................................................................................................................................................................................................................4848PRESENTACIÓN DE POLÍTICAS DE SEGURIDADPRESENTACIÓN DE POLÍTICAS DE SEGURIDAD....................................................................................................................................................4949TÉCNICAS DE EVALUACIÓN APLICABLES A UNA AUDITORIA DE SISTEMASTÉCNICAS DE EVALUACIÓN APLICABLES A UNA AUDITORIA DE SISTEMAS............................................5555PRESENTACIÓN DE PAPELES DE TRABAJOSPRESENTACIÓN DE PAPELES DE TRABAJOS..................................................................................................................................................................5858 ALCANCE DE LA ADITORIA INFORMÁTICA ALCANCE DE LA ADITORIA INFORMÁTICA..................................................................................................................................................................5959 OBJETIVO DE AUDITORIA OBJETIVO DE AUDITORIA................................................................................................................................................................................................................................6060GENERALGENERAL..............................................................................................................................................................................................................................................................................................6060ESPECÍFICOSESPECÍFICOS..................................................................................................................................................................................................................................................................................6060CRONOGRAMA DE ACTIVIDADES DE LA EJECUCIÓN DE LA AUDITORIACRONOGRAMA DE ACTIVIDADES DE LA EJECUCIÓN DE LA AUDITORIA......................................................6060 PROGRAMA DE AUDITORIA PROGRAMA DE AUDITORIA..........................................................................................................................................................................................................................6161ANEXOSANEXOS..................................................................................................................................................................................................................................................................................................8383GLOSARIO GLOSARIO ........................................................................................................................................................................................................................................................................................8383BIBLIOGRAFÍABIBLIOGRAFÍA..........................................................................................................................................................................................................................................................................8686FASE III: INFORME DE LA AUDITORIA DE SISTEMASFASE III: INFORME DE LA AUDITORIA DE SISTEMAS..................................................................................................................................8787INTRODUCCIÓNINTRODUCCIÓN......................................................................................................................................................................................................................................................................8787OBJETIVOS DEL DOCUMENTOOBJETIVOS DEL DOCUMENTO..................................................................................................................................................................................................................8888GENERAL:GENERAL:............................................................................................................................................................................................................................................................................................8888 ESPECÍFICOS: ESPECÍFICOS:..............................................................................................................................................................................................................................................................................8888


ALCANCE DE LA ADITORIA INFORMÁTICA ALCANCE DE LA ADITORIA INFORMÁTICA..................................................................................................................................................................8989OBJETIVOS DE AUDITORIAOBJETIVOS DE AUDITORIA............................................................................................................................................................................................................................9090GENERALGENERAL..............................................................................................................................................................................................................................................................................................9090ESPECÍFICOSESPECÍFICOS..................................................................................................................................................................................................................................................................................9090CROMOGRAMA DE ACTIVIDADESCROMOGRAMA DE ACTIVIDADES....................................................................................................................................................................................................9191PRESENTACIÓN DE INFORMEPRESENTACIÓN DE INFORME......................................................................................................................................................................................................................9191ANEXOSANEXOS..............................................................................................................................................................................................................................................................................................100100CARTA DE FINALIZACIÓNCARTA DE FINALIZACIÓN..............................................................................................................................................................................................................................100100


FASE I: PLANEACIÓN DE LA AUDITORIA DE SISTEMAS

INTRODUCCIÓN

El documento tiene como fín , mostrar la Planificación realizada previamente a la auditoría

informática, que se llevará a cabo en la Empresa xxxxxx

En está primera etapa del proyecto se describen, los antecedentes de la Empresa xxxxxx en

donde se muestra su estructura organizativa, la actividad económica, los principales

productos y servicios que ofrece, el segmento de mercado, sus principales proveedores,

entre otras.

Támbien se detallan los antecedentes y descripciones de las diferentes aplicaciones de

software utilizadas en la Empresa. En donde se especifican los nombres de las aplicaciones,

si poseen licencias, desde cuando las utilizán, etc.

Seguidamente se identifican las áreas críticas, estas fue obtenidas con las entrevistas, el

material del cuestionario y visitas a la Empresa. Se seleccionan cinco áreas críticas, a las

cuales se les dá una ponderación y una justificación del porque su selección.


OBJETIVOS DEL DOCUMENTO

GENERAL

➢ Planificar la Auditoría de Sistema Informática, que se realizará en la Empresa

xxxxxxxxxxx.

ESPECÍFICOS

✔ Identificar las áreas críticas, que representan mayor riesgo dentro de la Empresa

xxxxxxxxxxxxxxxxx.

✔ Elaborar Programas de Auditoría, en donde se detallen los procedimientos a ejecutar.


ANTECEDENTES DE LA EMPRESA

Reseña Histórica.

xxxxxxxxxxxxxxx, es una Empresa salvadoreña subsidiaria de xxxxxxxxxxxxxxxx, que se

constituyo de acuerdo con las Leyes de El Salvador el 19 de Septiembre de 2000, bajo el

nombre de xxxxxxxxxxxxxxxx

El 1 de diciembre de 2011, de acuerdo a la estructura de constitución la razon social de la

Compañia cambio axxxxxxxxxxxxxxxx, que hasta hoy en día es conocida con este nombre.

Visión

Ser un socio de elección en los Servicios de Suministro de ropa de diseño hasta la

distribución.

Misión

Desarrollar y fabricar productos y servicios innovadores y competitivos. Impulsados por

personas apasionadas y con talento que se rigen por normas estrictas en cuanto a fiabilidad

y flexibilidad.

Pasión

Nuestra búsqueda es innovar y ser el mejor en todas las áreas; productos, servicios,

procesos y contribución individual y asi mejoran la competitividad de nuestros clientes.

Trabajo en Equipo

Animamos a la participación y la implicación de los trabajadores, y respetamos la

contribución individual para nuestro éxito.

Responsabilidad Social

Nuestras acciones como individuo y como ciudadano corporativo, es estimular la calidad de

vida y proteger el medio ambiente de las comunidades en las que hacemos nuestro negocio.


ORGANIGRAMA DE LA EMPRESA

Estructura Organizativa de la Empresa xxxxxxxxxxxxxx

Cantidad de Empleados.

El número de empleados con la que cuenta la Empresa es de: 1250 empleados.

El área de informática cuenta con 3 empleados, y el área de contabilidad con 6 empleados.


DETALLE DE LOS DEPARTAMENTOS Y LAS ACTIVIDADES QUE SE AUDITARÁN

Departamento de Informática.

Para llevar a cabo la auditoría informática, se necesitara información de área de IT, ya que es

el departamento encargado de realizar los mantenimientos pertinentes de los Sistemas

Informáticos y velar que el Hardware se encuentren en buen estado para que los demás

departamentos de la Empresa realicen eficientemente su trabajo.

Actividades a Auditar

1. Software.

2. Comunicaciones y Redes.

3. Planes Contingenciales .

4. Dirección Informática.

5. Seguridad Física y Lógica.

Personal que atenderá la Auditoría

Nombre: xxxxxxxxxxxxxxxxxxxxxxx

Cargo: Tecnloogías de la Información.

Teléfono:

Empleados Claves de los Departamentos.

✔ xxxxxxxxxxxxxxxxxxx ( Jefé de IT).

✔ xxxxxxxxxxxxxxxxxxxx (Técnico de IT).

✔ xxxxxxxxxxxxxxxxxxxxx. (Contador).

✔ xxxxxxxxxxxxxxxxxxxxxxx( Asistente de Contabilidad).

Actividad Económica.

Su actividad principal es el establecimiento, desarrollo y la operación de la industria

maquiladora en el Salvador.


Su Ubicación.

xxxxxxxxxxx xxxxxxxxxxxxxxx xxxx, en el Departamento de La Paz. Cabe mencionar que no

cuenta con sucursales.

Productos y Servicios.

Productos:

Productos que ofrece xxxxxxxxxxxx. Son productos confeccionados, como:

✔ Pants, Short., Blusas, Ropa para bebes, Bestidos, Faldas, Chaquetas, Vestidos, Batas

de Baño, Suéter, Entre otros (La Empresa confecciona multiestilos)

Servicios:

La Empresa brinda sus servicios a otras Empresas dentro del mismo rubro, como por ejemplo:

✔ Corte de Prendas, Confección de Prendas, Bordado de prendas, Lavado de Prendas.

Segmento de Mercado.

Los Clientes de la Empresa, que solicitan productos a xxxxxxxxxxxxxxxxxxxxx Son:


La Empresa sigue en constante desarrollo expandiendo sus servicios y calidad a más paises

y logrando obtener más clientes de tramos altamente prestigiosos. Todos sus productos son

exportados a otros paises, donde las marcas realizán la distribución de sus prendas en

tiendas de prestigios.

Pricipales Proveedores.

✔ Accesorios Textiles S.A de C.V: Guatemala.

✔ Avery Dennison: El Salvador, China, Mexico, Honduras, Hong Kong, Taiwan, Korea.

✔ Fabrica de Botones Del Valle: Guatemala.

✔ Finotex S.A de C.V : El SAlvador.

✔ Mayotex, S.A : Guatemala.

✔ Textufil S.A de C.V : El Salvador.

✔ Coats S.A de C.V: El Salvador.

✔ Jovida

✔ Bordados Rivas S.A de C.V: El salvador.

✔ Caisa S.A de C.v: El Salvador.

✔ Carolina Cotton Works, Inc: Estados Unidos

✔ Clotex Labels Co. LTD : Hong Kong, China.

✔ E.C.I Elastic CO., LTD : Taiwan

A parte de estos proveedores hay otros, los proveedores pueden ser nacionale o

internacionales, la adquisición de parte de la Empresa dependerá de la calidad y precios que

ofrecen los proveedores.


ANTECEDENTES Y DESCRIPCIÓN DE LAS APLICACIONES UTILIZADAS (SOFTWARE)

Sistema Operativo

Nombre:

✔ Windows Server 2008.

Forma de adquisición.

✔ Licencia Pagada.

Fecha deAdquisición.

✔ Año 2012

Sistema Contable Quickbooks

Nombre.

Quickbooks

Idioma.

✔ El idioma en que esta desarrollo Quickbooks es en Inglés.

Descripción.

✔ Las estaciones de trabajo cliente bajo Quickbooks Enterprise 13 requieren un

procesador de 2 GHz, con 1 GB de RAM para un usuario individual.

Múltiples usuarios, o estaciones de trabajo con la versión de 64 bits de Windows 8,

requieren 2 GB de RAM. El servidor también requiere un procesador de 2 GHz,

aunque se recomienda 2,4 GHz.

Base de Datos

✔ PPMSVR (Esta BD la provee Quickbooks)

Modulos

✔ Ventas

✔ Compras


✔ Registro Y Control De Inventario

✔ Control De Depósitos

✔ Conciliaciones Bancarias

✔ Partidas De Diario.

Sistema Operativo y Compatibilidad de Sotftware de Quickbooks

Para el Cliente:

✔ Quickbooks Enterprise, pueden ser instaladas sobre versiones de Windows, partiendo

con Windows XP (Service Pack 2). Windows Vista (SP2), Windows 7 y Windows 8 son

soportados tanto en sus versiones de 32 bits como en las de 64 bits.

Para el Servidor:

✔ El software servidor para Quickbooks Enterprise se ejecutará sobre versiones de

Windows Server, partiendo con Server 2003 y continuando con Windows 8.

Tipos de Usuarios

✔ Usuario Normal

✔ Super Usuario

✔ Consulta

Forma de adquisición

✔ Licencia Pagada.

Fecha de Implementación

✔ Año 2012

Antivirus Karsperky

Nombre:

✔ Karsperky


Forma de Adquisición

✔ Licencia Pagada por dos años.

Fecha de Implementación

✔ 30 de Junio de 2014.

Decripción

Hasta la fechar 30 de Junio de 2014, los equipos informáticos estabán protegidos por el

Antivirus Panda, pero la Empresa decidió ya no utilizar Panda, por que ya no tenía soporte

técnico en El Salvador.

Debido a eso, la Empresa tomo la decisión de hacer una nueva adquisición del Antivirus

Karsperky.

Lo que llevo a la Empresa decidirce por el Antivirus Karsperky fue:

1. Por que consume menos memoria.

2. Es más barato (fue adquirido en base de cotizaciones).

3. Por que Panda ya no tenía soporte técnico en El Salvador.


IDENTIFICACIÓN DE ÁREAS CRÍTICAS

Ponderación de Todas las Áreas.

ÁREAS PONDERACIÓN

1. Hardware. 5%

2. Software. 22%

3. Comunicaciones y Redes. 20%

4. Planes Contingenciales . 10%

5. Dirección Informática. 15%

6. Seguridad Física y Lógica. 15%

7. Basé de Datos. 10%

8. Outsourcing. 3%

PONDERACIÓN TOTAL 100%

Poderación de las Áreas Críticas Identificadas

ÁREAS PONDERACIÓN

1. Software. 28%

2. Comunicaciones y Redes. 25%

3. Planes Contingenciales . 5%

4. Dirección Informática. 22%

5. Seguridad Física y Lógica. 20%

PONDERACIÓN TOTAL 100%


JUSTIFICACIÓN Y PONDERACIÓN DE ÁREAS CRÍTICAS

ÁREAS A EVALUARPESO POR FACTOR %

JUSTIFICACIÓN

Hardware5%

La Empresa cuenta con equipo en buen estado,

se realizán sus mantenimientos, se notificán las

fallas y se les da el seguimiento respectivo al

equipo. Realizán sus respaldo diariamente y es

automatizado y revisado por IT, y para su

servidores su mantenimiento es frecuente, es

decir que no se la mantenimiento sólo cuando

se notifica algún problema. Debido a esto no

será parte de nuestra auditoría.

Software 22%

Se auditará el Software de Contabilidad

Quickbooks utilizado por la Empresa para llevar

su contabilidad.

Quickbooks es un sistema creado en Ingles. Y la

ley de El Salvador estipula que: Toda

contabilidad en una Empresa en El Salvador,

debe ser llevada en idioma Español.

Comunicaciones y Redes 20%

Mediante una visita a la Empresa, observamos

que en algunas oficinas NO utilizan ningun tipo

de topología establecidas por la normas de

cableado. Logramos observar que las

instalaciones de cableado se realizan de

acuerdo a la ubicación de los escritorios y el

espacio disponoble.

En la entrevista se cuestionó al Téncio de IT, a


que se debía el hecho que las instalaciones de

los cables de red no seguián nigún tipo de

topología establecida; y su respuesta fue, que

en algunos casos era el jéfe del área quién

asignaba las ubicaciones de los escritoris dentro

de la oficina.

Planes Contingenciales 15%

El entrevistado manifiesta, están obligados por

los auditores de parte de sus clientes a realizar

cada tres meses simulacros. Y son realizados

con todo el personal de la Empresa sin previo

aviso. Manifiestan que sus planes de

contingencias son efectivos y que estan

debidamente documentados.

Pero la Empresa no capacita a personal de

diferentes áreas para el uso de los extintores de

fuego.

Dirección Informática 10%

De acuerdo a la entrevista realizada al técnico

de IT, se nos dijo que los colaboradores del área

de informática no reciben capacitaciones

frecuentes.

Tambien manifesto, no poseen ningún tipo de

manual por escrito en el área de IT.

Seguridad Física y Lógica 10%

Respecto a la seguridad física dentro de la

Empresa, el entrevistado manifiesta que

cuentan con sistemas de alarmas, extintores en

las diferentes áreas, con pólizas de seguros, las

diferentes áreas cuentan con salidas de


emergencias, la iluminación en las diferentes

oficinas es la adecuada.

Mientras que con la seguridad Lógica, algunos

usuarios nos manifestarón que el antivirus

instalado no protege su equipo en un 100%. Y

se nos dijo que no hay un control en el equipo

de los usuarios para que no introduzcan

dispositivos de entradas de su propiedad, es

decir ajenos a la Empresa.

Base de Datos15%

No se evaluará ya que no poseen

conocimientos suficientes, tanto de parte del

área de IT como contabilidad. Y por que cuenta

con niveles de seguridad para el acceso a la

base de datos.

Outsourcing 3%

La Empresa tiene un contarto vigente con una

Empresa de Seguridad encargada para la

vigilancia interna y externa de las instalaciones.

Pero no reciviremos ningún tipo de información

de las actividades que la Empresa de Seguridad

realiza. Debido a eso, esta área no se tomará

en cuenta para ser auditada.


ALCANCE DE LA AUDITORIA INFORMÁTICA

El alcance de la auditoria informática se realizará de acuerdo a las áreas críticas

identificadas:

ALCANCE

Software. Lo que auditaremos en Software es:

• Software de Contabilidad Quickbooks utilizado por la

Empresa para llevar su contabilidad.

Comunicaciones

y Redes.

En esta área lo principal a auditar será:

• Topología correcta de los cableados de redes en

todas las oficinas.

Planes

Contingenciales .

En el área de Planes de Contingencias, se evaluará

primoldialmente:

• Qué tan frecuentes son las capacitaciones que recive

el personal de las diferentes áreas de la Empresa,

para el uso y dominio de los extintores en caso de

emergencia.

Dirección Informática. Ya que no poseen ningún tipo de manuales se auditará:

• Medios que utilizán y en que se basan, al no poseer

manuales (no poseen manuales de usuarios, ni de

sistemas informáticos).

Seguridad Física y Lógica.

En esta área se auditará principalmente:

• El antivirus utilizado por la Empresa.

• Cúal es el control de uso de dispositivos que

introducen en los equipos de los ususarios.


OBJETIVO DE LA AUDITORIA

GENERAL

✔ Identificar las áreas críticas y los diferentes riesgos que estas con llevan, al no ser

solucionadas por parte de la Empresa xxxxxx, aplicando los procedimientos, técnicas

y métodos, con la finalidad de determinar la efectividad y efeciencia del departamento

de IT.

ESPECÍFICOS

✔ Evaluar los riesgos que contienen las diferentes áreas críticas identificadas.

✔ Aplicar los procedimientos, técnicas y métodos para el desarrollo eficiente de la

auditoria.

✔ Verificar la capacidad de respuesta de la Empresa ante los riesgos detectados.

✔ Observar el nivel de respuesta del depratemento de IT ante los riesgos identificados.

DETERMIANCIÓN DE LOS RECURSOS NECESARIOS PARA REALIZAR LA AUDITORIA.

Para la realización de la auditoria, se requiere de los siguientes elementos:

Recursos Humanos

✔ 1 Auditores.

✔ 1 Especialista en informática.

Recursos Materiales

✔ 2 PC

✔ Papeleria y útiles.

✔ Equipo tecnológico para la presentación del informe final.

Otros

✔ Viáticos.


PRESUPUESTO FINANCIERO

DESCRIPCIÓN CANTIDAD VALOR TOTAL

Recurso Humano

Auditores 2 $ 700 $ 4,800.00

Especialista Informático 1 $ 800 $ 3,200.00

Recurso Materiales

Papeleria y útiles.

• Papel Bond 1 Resma $ 4.00 $ 4.00

• Fastener 1 Caja $ 2.00 $ 2.00

• Folders 12 Folders $ 0.20 $ 2.40

• Lápiceros 10 $ 0.15 $ 1.50

• Engrapadora 1 $ 4.00 $ 4.00

• Perforadora 1 $ 3.50 $ 3.50

• Tinta para impresor 2 $ 20.00 $ 20.00

Elemento Técnico

• Computadoras (Mantenimiento por uso) 2 $ 25.00 $ 25.00

• Impresora (Mantenimiento por uso) 1 $ 20.00 $ 20.00

• Proyector (Manteniemiento Por uso) 1 $ 35.00 $ 35.00

Otros

Viáticos 2 personas $ 35.00 $ 70.00

SUB-TOTAL $ 8,187.40

Imprevistos (10%) (10%) $ 818.74

TOTAL $ 9,006.14


CRONOGRAMA DE ACTIVIDADES

PROGRAMA DE AUDITORIA

Empresa: xxxxxxx Hecho por: S/P

Periodo Auditado: Revisado por: E/H

Área Auditada: Software Fecha:

Persona que Atendio: Xxxx

xxxxx

Cargo: Técnico IT

Contador

SOFTWARE

N°Actividad a

EvaluarProcedimiento de Auditoria Herramientas Observación

1.

Verificar el

licenciameinto de

Quickbooks.

Revisas si la Empresa posee

licencia del sistema contable

Quickbooks.Testimonial

2. Modulos con que

cuenta

Quickbooks.

Verificar con qué modulos cuenta

Quickbooks.

Física.


3.

Observar el

idioma en el que

esta desarrollado

Quickbooks.

Investigar según la ley de El

Salvador, en que idiomas debe

llevarse la contabilidad en El

Salvador.

Física.

4.

Evaluar si

Quickbooks

cumple con las

leyes de

contabilidad

Salvadoreña.

Investigar bajo que leyes debe

llevarse la contabilidad en las

Empresas. Y si Quickbooks cumple

con la leyes impuestas en El

Salvador.

Física.

5.

Verificar medidas

de seguridad de

Quickbooks .

Evaluar las diferentes medidas que

Quickbooks tiene como medidas de

seguridad.

Testimonial

6.

Evaluar el

soporte técnico.

Verificar los soportes técnicos con

que cuenta Quickbooks. Testimonial

7.

Encargados de

soporte Técnico.

Verificar quienes son los

responsables del soporte técnico. Testimonial

8.

Evaluar los

requeri-mientos.

Verificar cuales son los

requerimientos que los equipos

deben poseer para instalar

Quickbooks.

Física.

Documental.

9.

Plataforma en

que esta

instalado

Quickbooks.

Verificar en que plataforma trabajan

Quickbooks en la Empresa. Física.


10.

Verificar el

control de acceso

a Quickbooks.

Verificar el control de acceso a

Quickbooks si la realizan mediante

contraseñas.

Física.

11.

Principales

usuarios.

Verificar quienes son los principales

usuarios con acceso a Quickbooks. Física.

Testimonial.

12Entrevistar al

contador.

Preguntar al contador, en que le

facilta el trabajo Quickbooks. Testimonial.

13.

Capacitación a

los usuarios.

Verificar si al personal de nuevo

ingreso en el área de contabilidad

es capacitado antes por un experto

para el uso de Quickbooks.

Testimonial.

14.

Verificar si

realizan copias

de seguridad.

Verificar si Quickbooks realiza

copias de seguridad y archivos

como medida de seguridad.

Testimonial.

15.

Evaluar los casos

de

actualizaciones.

Mediante una entrevista, preguntar

que hacen en caso de actualizanes

de Quickbooks.

Testimonial.

Empresa: xxxxxxxxx Hecho por: S/P


Área Auditada: Comunicaciones y Redes Fecha:

Persona que Atendio: xxxxxxxxxxxx Cargo: Técnico IT

COMUNICACIONES Y REDES

N°Actividad a

EvaluarProcedimiento de Auditoria Herramientas Observación

1. Revisar la

topología de la

red.

Examinar si el cableado de la

Empresa cumple con los estandares

de la industria y si se encuentran

Física.

Análitica.


debidamente protegidos.

2.

Cuenta con

intranet ó

internet.

Preguntar al área de It si cuenta con

intranet ó internet. Testimonial.

3.

Verficar si el tipo

de cable esta

diseñado para el

ancho de banda.

Si envia los datos a una velocidad

adecuada y sin interferencias. Física.

4.

Evaluar la

rápides de envio

de información.

Realizar pruebas para verificar la

rápidez de envio de datos. Física.

Testimonial.

5.

Medir la

velocidad del

internet.

Verificar la velocidad de conexión a

internet. Física.

6.

Plataforma de

software en que

funciona el

servidor de

correo.

Verificar la plataforma que utiliza el

servidor de correo de la Empresa,

por el cual se transmiten los

mensajes.

Testimonial.

7.

Asignación de

cuentas y

cobtraseñas a

las PC de los

usuarios.

Verifcar en que se basan los del

Área de IT para asignarles el

usuario y la contraseña.Testimonial.

8.

Con qué

frecuencia

cambian las

contraseña a los

usuarios.

Chequear con qué frecuencia, el

área de IT cambia las contraseña a

los usuarios.Testimonial.


9.

Revisar el

bloqueo de

algunas

computadoras a

internet.

Identificar que computadoras de

diferentes departamentos tienen

acceso a internet. Física.

Testimonial.

10.

Manejo de

firewall.

Verificar si el firewall implementado

detecta y protege:

• Ataque de IP falsas.

• Ataque de denegación del servicio.

Física.

Testimonial.

11.

Configuración de

firewall.

Reivisar si existe un firewall

debidamente configurado Testimonial.

12

Verificar los

privilegios a

usuarios.

Evaluar en que se basan para dar

privilegios a usuarios de los

diferentes departamentos. Testimonial.

13.

Elementos que

utilizan para la

comunicación.

Revisar los medios que utilizan para

comunicarse entre los diferentes

departamentos.

Testimonial.

Física

14.

Revisión de la

red física.

Evaluar con que frecuencias se

realizán revisiones de los cables de

redes.

Testimonial.

15.

Bloqueo de aplicaciones

Verificar que la Empresa tenga

políticas de seguridad y de controles

de acceso a aplicaciones basadas

en la web. Documental


Empresa: xxxxxxxxxxx Hecho por: S/P


Área Auditada: Planes Contingenciales Fecha:

Persona que Atendio: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Cargo: Técnico IT

Jefe IT

PLANES CONTINGENCIALES

N° Actividad a Evaluar Procedimiento de Auditoria Herramientas Observación

1.

Evaluar si existen

políticas por

escrito sobre los

planes que ellos

realizan en las

diferentes áreas

de la Empresa.

Pedir manuales donde se

encuentren reflejadas las políticas

sobre los planes contingenciales, ya

que los manuales, deben estar

documentos.Documental

2.

Evaluar los

planes de

contingencias que

se están

desarrollando

actualmente.

Observar los diferentes planes que

se están realizando, los cuales

están enfocados para evitar

cualquier eventualidad que pueda

suceder en el futuro

Testimonial.

3. Evaluar la

aplicación de

simulacros, asi

como el plan

contingenciales

durante la

ocurrencia de una

falla grave en el

Realizar una serie de simulacros

para verficar si los planes de

contingencias que se tienen están

respondiendo satisfactoriamente

haciendo pruebas de back up y

revisar dichos archivos.

Testimonial


sistema.

4.

Evaluar si los

empleados

conocen sobre los

planes

contingenciales.

Preguntar a los empleados si ellos

conocen los planes en dado caso

que exista una catástrofe, entre

otras cosas. Y si alguna ves han

hecho un simulacro.

Testimonial

5.

Evaluar la

confiabilidad en la

aplicación en las

medidas del plan

de contingencias.

Examinar si las medidas que se

tiene en caso de una eventualidad,

la aplicación de los

planes de contingencias sea rápida

y dé una respuesta satisfactoria.

Testimonial

Analítica

7.

Evaluar si

cuentan con sus

respectivas

medidas de

seguridad.

Observar si cuentan con salidas de

seguridad en los diferentes áreas. Y

si los extintores se encuentrán en

una buena ubicación.

Física.

8.

Evaluar si

cuentan con

planes para

prevenir daños en

los recursos.

Observar y pedir manuales para

conocer que hacen para prevenir y

minimizar daños en sus recursos

informáticos, equipos de oficinas y

otros materiales.

Testimonial

9. Evaluar quienes

son las personas

involucradas al

momento de

efectuar los

planes

Preguntar quién ó quiénes, son las

personas responsables a la hora

de efectuar los planes

contingenciales.

Testimonial


contingenciales.

10.

Evaluar Planes

Correctivos.

Revisar y preguntar sobre los

planes correctivos, que hacen para

solucionar sus problemas en el

momento que se presenten.

Testimonial

11.

Evaluar planes

cuando hay

saturación de

información.

Preguntar y verificar si se envia

información masiva a las oficinas, y

que sucede cuando el trafico de

datos se vuelve lento.

Testimonial

12.

Evaluar seguridad

elétrica.

Realizar pruebas de un apagón de

luz para saber si funciona

correctamente la planta de energía

eléctrica.

Testimonial

13.

Auditoría de

Planes

Contingenciales

Evaluar plan

cuando se cae la

conexión de

proveedor de

internet.

Realizar pruebas y verificar si ellos

cuentan con otro proveedor de

internet, para poder evaluar que

pasa si la red de un proveedor de

internt se cae.Testimonial

14.

Evaluación de reanudación de actividades.

Investigar si existe un equipo de

dirección de reanudación y un

responsable del mismo, para dirigir

y coordinar las distintas actividades

durante la contingencia o desástre.

Testimonial


Empresa: xxxxxxxxx Hecho por: S/P


Área Auditada: Dirección Informática Fecha:

Persona que Atendio:xxxxxxxx

Cargo: Técnico IT

Contador

DIRECCIÓN INFORMÁTICA


1.

Evaluar el perfil

de los empleados

del área de

informática,

mediante la

revisión de los

manuales de

función y de

usuario.

Revisar los manuales de funciones

de empleados de infomática.

Revisar los manuales de usuarios

de sistemas.

Testimonial

2.Capacita-ciones

del personal IT.

Realizar una entrevista al director

del área de IT, que tan frecuentas

son las capacitaciones de sus

colaboradores.

Testimonial

3.

Evaluar la

existencia y

cumplimiento de

los objetivos de la

institución dentro

del departamento

de informática.

Entrevistar a los empleados de

informática y preguntarles si tienen

claros los objetivos de su

departamento y de la institución.Testimonial


4.

Nivel en el que se

encuentra

jerarquico en el

departamento de

IT.

Realizar una análisis del

organigrama de la Empresa y ver en

que nivel se encuentra el

departamento de informática.

Análitica.

5.

Verificar, cúal es

el perfil para la

selección y

promoción del

área de

informática.

Revisar los requisitos para la

selección de un nuevo colaborador

en el área de IT. Análitica.

Testimonial

6.

Evaluar la

administración de

los recursos

humanos

asignados al área

de informática, en

cuanto a

capacitación y

adiestra-miento.

Análizar si los empleados están

sobrecargados de actividades.

Análitica.

Testimonial

7.

Identificar los

planes de

capacitación.

Revisar los planes de

capacitaciones para los empleados

de informática.Testimonial

8.

Identificar el perfil

de los nuevos

empleados a

contratar.

Verificar si existe algo por escrito,

donde se detallen las características

del nuevo personal a contratar.

Testimonial

Análitica.

9. Verficar el tiempo

del personal de IT

Preguntar el tiempo que han

laborado en la Empresa el personal

Testimonial


en la Empresa. de IT.

10.

Verificar que

exista una

persona que se

encargue de crear

perfiles.

Observar si hay una persona

encargadad de crear los perfiles de

los usuarios.Testimonial

11.

Verificar que tan

frecuentes son las

capacita-ciones.

Preguntar al personal que tan

frecuentes son las capacitaciones

que reciven.Testimonial

12

Verificar personal

existente en IT.

Observar cuantos empleados están

en área de informática.Testimonial

Física.

13.

Verificar si existen

manuales por

escrito de

actividades a

realizar en el área

de IT.

Indagar si el personal lleva a cabo lo

estipulado en el manual de IT.

Testimonial

14.

Evaluar si los

empleados

cumplen sus

funciones.

Verificar que el departamento de IT

cumplen sus funciones, en los

demás departamentos que hayan

solicitado su colaboración.

Testimonial

15.

Evaluar si IT en

todo su conjunto,

hace las

actualiza-ciones

correspon-

dientes.

Entrevistar al departamento de IT, si

hace las actualizaciones respectivas

en los diferentes pc. Testimonial

Física.




Área Auditada: Seguridad Física y Lógica Fecha:

Persona que Atendio: xxxxx Cargo: Técnico IT

Contador

SEGURIDAD FÍSICA Y LÓGICA


1.

Identificar si

existen alarmas.

Verficar las alarmas por presencia

de fuego, humo; asi como la

existencia de extintores de

incendios.

Física.

2.

Investigar si hay

personal

capacitados para

el uso de

extintores.

Verificar si la Empresa envia a

capacitaciones a personal de

diferentes departamentos para la

manipulación y uso de los exintores

ante cualquier incidente.

Testimonial

3.

Medidas de

protección de

conexiones

eléctricas

Conocer las medidas que la

Empresa toma para la seguridad de

las conéxiones eléctricas. Testimonial

4.

Identificar la

autorización y

administra-ción de

las claves.

Verificar los mecanismos

establecidos para controlar la

asignación de acceso a las

computadoras centrales.

Testimonial


5.

Capacitación en

procedimietos de

seguridad.

Verificar que los procedimientos

operacionales para incendio y

sistemas de alarma esten al alcance

de todo el personal de operaciones.

Testimonial

Física.

6.

Rotulación de

escapes y salidas

de emergencias.

Observar si las vías de escape y

acceso de emergencias esten

debidamente rotuladas.Física.

7.

Evaluar

autentifica-ción de

usuarios y

controles de

acceso.

Asegurarse que las políticas de

asignación de cuentas sean

adecuadas y apropiadas. Testimonial

Física.

8.

Evaluar el

cableado.

Verificar que el cableado este

debidamente protegido, en dado

caso que el cable este cruzado. Física.

9.

Identificar firewall. Verificar que el firewall esta

configurado para limitar el acceso a

datos autorizados para usuarios

internos.

Testimonial

10. Prevensión de

virus.

Verificar que antivirus posee, y que

el antivirus actúe en los equipos de

los diferentes departamentos con

eficiencia. Sin poner en riesgo la

información de los usuarios,

investigar con que frecuencia se

actualizán y verificar que cada

Física.

Testimonial


equipo cuente con el

licencionamiento adecuado.

11.

Entrevistar a los

usuarios.

Preguntar a los usuarios si el

antivirus es confiable, o si existe

con frecuencia el colado de virus.

Testimonial

Anáitica

12

Evaluar puertos

habilitados.

Verificar si los usuarios tienen

habilitados los puertos USB de los

equipos, para evitar poner en riesgo

la información.

Física.

Testimonial

13.

Asignación de

contraseñas

Verificar si cada equipo posee su

respectivo usuario y contraseña

para denegar el permiso a otra

persona, que las contraseñas no

sean mostradas en pantalla cuando

se ingrese, que no sea menor a 8

digitos y que contenga símbolos,

numeos y letras.

Física.

Testimonial

14.Registro de

accesos.

Investigar si el sistema genera

registro de acceso.Testimonial

Física.

15.

Evaluar las

políticas de la

Empresa a la

información.

Verificar si existen políticas dentro

de la Empresa para proteger su

información y la de cada usuario.

Testimonial

Física.


ANEXOS

CARTA DE OFERTA


CUESTIONARIO DE CONTROL INTERNO

GENERALIDADES DE LA EMPRESA

Nombre de la Empresa: xxxxxxx Fecha:

Entrevistado: xxxxxxx Cargo: Dept. IT

Entrevistado:xxxxxxx Cargo: Contador

Pregunta Si No Comentarios

¿Cúal es el nombre de la Empresa? xxxxxxxxx

¿Cúal es la actividad económica la Empresa? Fabricación de prendas de vestir

¿Cuántos años tiene la Empresa de estar en el

mercado?

14 Años

¿La Empresa cuenta con una estructura

organizada?

x

¿Existen objetivos establecidos en la Empresa? x

¿Cuenta la Empresa con misión, visión y

valores?

x

¿Quiénes son sus principales proveedores?

¿Cuentan con presupuestos y manuales? Si pero no por escrito

¿Los proveedores son nacionales o

internacionales?

Ambos

¿Quiénes son sus principales clientes?

¿Cuentan con planes de negocios? Si pero no por escrito

¿Cuentan con políticas de trabajo establecidas? x


¿Posee la Empresa un manual de funciones

específicas para cada area de trabajo?

Si pero no por escrito

¿Existe un control de ingresos y egresos? x

¿Están obligados a que les realicen auditorías? x

Software de Contabilidad Quickbooks

Pregunta Si No N/A Comentarios

¿Desde cúando adquirió la Empresa Quickbooks? Desde el año 2012

¿Qué tan frecuentes son las actualizaciones? No hay actualizaciones

¿Capacita a los empleados para trabajar en

Quickbooks?

x

¿Qué modulos tiene Quickbooks?

Módulo de: Ventas,

compras, registro y

control de inventario,

control de depósitos,

conciliaciones

bancarias, partidas de

diario.

¿En qué idioma esta creado Quickbooks? ingles

¿Está bajo la ley el uso de Quickbooks en El

Salvador?

x No cumple con algunos

requerimientos

establecidos por la ley

salvadoreña

¿Quiénes son sus principales usuarios dentro de la El departamento de


Empresa? Contabilidad

¿Poseen la licencia? x

¿Tiene soporte técnico? x

¿Quién es el responsable del soporte técnico? En algunos casos el

departamento de

informática

¿Está Quickbooks conectada a una base de datos? x

HARDWARE


¿Cuenta con servidores locales o nube? x Servidor local

¿Cantidad de servidores posee? Ocho

¿Es frecuente el mantenimiento? x

¿Cuentan con un plan anual de mantenimiento? x

¿Cúal es la cantidad de equipo que posee

actualmente?

120 pc

¿Existe un plan de mantenimiento preventivo? x

¿Se notifican las fallas? x

¿Se les da seguimiento? x


¿Existen políiticas definidas por escrita a la hora de

adquirir nuevos equipos?

x

¿Realizan Back up? x

¿Qué tan fecuente hacer el Back up? Diario

¿Dondé se guarda el Back up? Discoduro extraible

¿Quien hace el back up?

Automatico, y es

revisado por el

departento de

informatica

¿Utilizan IDś y contraseñas para restringir el acceso

a determinadas funciones atraves d ella terminal o

estación de trabajo?

x

¿El cableado se encuentra correctamente instalado? x

¿Se cuenta con equipo ininterrumpible (SAI)? x

¿Se tiene Switch de apagado en caso de

emergencia en algún lugar visible?

x

SOFTWARE


¿Qué tipo de ERP utiliza? X

Quién es el proveedor de dicho ERP? x

¿Cuánto tiempo tiene de usar dicho ERP? x

¿Hacen capacitaciones a los usuarios y técnicos x


informáticos del ERP?

¿Poseen manuales de uso? x

¿Los manuales están actualizados? x

SISTEMAS OPERATIVOS

¿Qué sistemas opertativos utilizan en las oficionas? XP, Window 7, MaC,

Windoe 8

¿Cuál es el sistema operativo que utilizan los

servidores?

Window server 2008

¿Poseen las licencias de los sitemas operativos? x

¿Qué tan frecuentes son las actualizaciones de los

sitemas operativos?

Mensuales

¿Han habido cambios recientes en los sitemas

operativos?

x

¿Los usuarios estan capacitados para el buen uso

de los sistemas operativos?

x



¿Quienes son los proveedores de

comunicaciones y redes?

Salnet

¿Que tipo de servicio posee? internet

¿Qué ancho de banda posee? 2M


¿Cuenta con internet o intranet? Internet

¿Posee internet inalámbrico? x

¿Qué tipo de topología utilizan? De todo tipo: U estrella.

Dependiendo el espacio.

¿Qué tipos de dispositivos utilizan para la

comunicación?

Teléfono, celulares

¿El tipo de cable está diseñado para el ancho de

banda?

x

¿Cuentan con correo Empresarial? x

¿En qué plataforma de software funciona el

servidor de correo?

No se utiliza plataforma. Se

utiliza fortimail

¿Quién asigna las contraseñas? El departamento de IT

¿Las cuentas de correos son personales o por

áreas?

Son personales

VIDEOVIGILANCIA

¿Cuenta con video vigilancia la Empresa? x

¿Desde cuándo cuenta con video vigilancai? 10 años

¿Qué tipo de dispositivo utiliza? Cámara de video

infrarrojas

¿Quiénes son los proveedores de la video

vigilancia?

Vigilancia interna

¿Quién es la persona encargada de la video

vigilancia?

El departamento de IT

¿Existe alguna política para la revisión de la

cinta?

x




¿Cuenta la Empresa con planes contingenciales

para minimizar riesgos que amenacen el área IT?

x

¿Los planes contingenliales estan por escrito? x

¿Poseen manuales de acción que ayuden al

personal de IT en eventos inesperados?

x

¿Los usuarios concen los planes de

contingencias?

x

¿Sabe el personal que hacer en caso de

emergencia?

x

¿Son efectivos los planes contingeciales? x



¿Existe dirección informática? x

¿Cuánto personal posee? 3 tres

¿Qué requisitos debe cumplir una persona para

ser contratado en el área de IT?

Como mínimo técnico en el

área de informática

¿Reciben capacitaciones frecuentes el personal

del área d IT?

x

¿En IT se encuentrán los manuales disponibles y x


actualizados?

¿Existen manuales de usuarios, técnicos de

sistemas de información?

x

¿En el área de IT tiene definidos políticas, planes

y estrategías?

x

¿Existe una persona que se encargue de la

creación de perfiles de usuarios de los sistemas

de información?

x


FÍSICA


¿Las instalaciones cuentan con sistema de alarma

por presencia de fuego, humo, asi como con

extintores de incendio, conexiones eléctricas, entre

otras?

x

¿Tienen contratos de pólizas de seguros para

proteger la información, equipos, personal yo todo

riesgo que se produzca por diferentes casos?

x

¿La temperatura a la que trabajan los equipos es la

adecuada de acuerdo a las normas bajo las cuales

se rige?

x

¿El Cableado se encuentra correctamente instalado? x


¿Los interruptores de energía están debidamente

protegidos y sin obstáculos para alcanzarlos?

x

¿Con qué periodo se les da mantenimiento a las

instalaciones y suministros de energía?

Se verifica cada

semana, y cuando sea

necesario.

¿Se cuenta con una salida de emergencia? x

¿Es adecuada la iluminación del de las diferentes

oficinas donde hay equipo?

x

LÓGICA

¿Posee firewall? x

¿Cuenta con ativirus? x

¿Cúal es el nombre del antivirus? Karsperky

¿Posee las licencias de los antivirus? x

¿Qué tan frecuentre son las actualizaciones de los

antivirus?

Diarias

¿Se manejan permisos de usuarios? x

¿Existen procedimientos formales sobre la emisión y

el control de las contraseñas?

x

¿El sistema genera registros de acceso? x


¿Se utilizan tablas de autorización de software para

restringir el acceso a distintas aplicaciones de

software?

x

¿Existen políticas dentro de la Empresa para

proteger su información y la de cada usuario?

x

¿El acceso al código fuente está restringido al

personal autorizado (a través de una contraseña) o

no está provisto por el proveedor del software?

x

BASE DE DATOS


¿Cual es el nombre de la base de datos? PPMSVR. Este es el

nombre de la que ocupa

Quickbooks.

¿Quien es el proveedor? El mismo que provee

Quickbooks

¿Que tan frecuentes son las actualizaciones de

esta base de datos?

X

¿IT sabe como darle mantenimiento a la base de

datos?

X

¿Los usuarios saben de la existencia de la base

de datos?

X

¿Existe un administrador de la base de datos? El contador de la Empresa.

¿Existe un diseño y físico y lógico de la base de X


datos?

¿Quienes son los usuarios de la base de datos? Los colaboradores de

contbailidad

¿Existe algún tipo de documentación referida a

la estructura y contenidos de la base de datos?

x

¿Se cuenta con niveles de seguridad para el

acceso a la base de datos?

x

¿Qué nivel de confidencialidad tiene la

información almacenada en la base de datos?

El contador es el que tiene

acceso tota a la base de

datos.

OUTSOURCING


¿Cuenta con outsourcing?x

¿Quién es el proveedor?

¿Cual es el plazo del contrato de outsourcing?x

¿Se actualizan los contratos?x


FASE II: EJECUCIÓN DE LA AUDITORIA DE SISTEMAS

INTRODUCCIÓN

En la Etapa de la Ejecución, se presentan: Las Políticas de Seguridad que la Empresa realiza

para salvaguardar la seguridad Informática: También se describen las Técnicas y

Procedimientos que utilizamos para la Ejecución de la Auditoría, que son fuentes importantes

para la obtención de evidencias dentro del proceso de la Auditoría. Se presentan los papeles

de trabajo para cada una de las áreas señaladas como críticas.

Se describe el Alcance de la Auditoría, donde se reflejan las cinco áreas identificadas como

críticas, los objetivos de la auditoría y también se establecen las actividades que se

realizarón para la Ejecución de la Auditoría, reflejadas en el Cronograma de Actividades.



GENERAL

✔ Ejecutar la Auditoria de Sistemas, en la Empresa xxxxxx, desarrollando los programa

de audioria, utilizando las diferente técnica y procedimientos de audioria.

ESPECÍFICOS

✔ Aplicar las técnicas y procedimientos , para la obtención de evidencia.

✔ Realizar la Auditoria de acuerdo a las área identificadas.

✔ Presentar las Políticas de Seguridad para salvaguardar la seguridad informática dentro

de la empresa.


PRESENTACIÓN DE POLÍTICAS DE SEGURIDAD

Logo

Responsables:

Gerencia General, Departamento de IT, Recursos

Humanos, Cumplimiento.

Fechas de Revisión:

Enero 2014

Objetivo: Establecer normas, procedimientos para salvaguardar la seguridad informática

dentro de la empresa.

Las siguientes normas y procedimientos están sujetos a cambios siempre y cuando se

garanticen los objetivos de seguridad. Se detallan a continuación los principales criterios:

1.0 PRINCIPIOS/PROCEDIMIENTOS:

1.1 Hardware

✔ Todos los Servidores se almacenan en una sala especial.

✔ Sólo personal autorizado tiene acceso a la sala de servidores

✔ El departamento de IT es responsable de mantener etiquetado e inventariados,

todos los CPU’S, Monitores, impresoras y UPS. para tener registro de todos los

equipos de IT en la empresa

✔ La instalación deberá ser realizada solo por el personal de IT o al menos

supervisado por dicho personal.

✔ Solo el personal de IT está autorizado a reparar y dar el respectivo

mantenimiento a un equipo si se es necesario.

✔ El departamento de IT velará por el buen funcionamiento y estado de todos los


equipos informáticos, previendo revisiones de rutina y limpieza, coordinado con

el jefe del departamento para no afectar las labores diarias del departamento al

que se le está dando soporte técnico.

1.2 Cualquier reasignación de hardware de la empresa deberá de ser estrictamente

realizada por el personal de IT, además se supervisará la nueva ubicación, y se

actualizará en los respectivos registros. Nadie deberá realizar cambios de

ubicación de hardware sin la aprobación del departamento IT. Se coordinará con la

gerencia para tomar las medidas disciplinarias respectivas, en el caso que un

empleado(a) incumpla dicho lineamientos.

1.3 Asignación de Desktop (computadora de escritorio) o Laptop (Computadora

portátil)

✔ El Departamento de IT es el responsable de asignar una Desktop o Laptop al

personal evaluando previamente con la aprobación de la gerencia, cual es la

ideal para su Desempeño laboral, Responsabilidad y Movilidad.

✔ Los usuarios tendrán que firmar un Formulario de Préstamo en el cual explica la

Asignación de “Laptop”. El Departamento IT conservará la copia impresa

(original) y una copia se entregara al Departamento de Recursos Humanos

para el archivo personal del empleado en el caso que el usuario renuncie

deberá entregar la Laptop en su buen estado.

2.0 SOFTWARE

2.1 Software estándar para ser instalado en las PC’s

✔ Sistema Operativo (Win XP, Pro o Win 7)

✔ Karsperky (Anti Virus)

✔ MS Office

✔ Adobe Reader


✔ Drivers de Impresoras

✔ xxxxxxxx

✔ Software instalado de acuerdo a la necesidad del departamento.

2.2 Sólo el personal del departamento de IT pueden desinstalar o modificar

instalaciones de software.

2.3 En caso sea necesario instalar un software no aprobado o no autorizado tendrá

que ser consultado con el Jefe de Departamento y posteriormente el personal de

IT procederá con la instalación.

2.4 No se permite instalar software pirata en las PC’s. Se tomarán las medidas

disciplinarias por la gerencia al detectarse cualquier incumplimiento.

3.0 CORREOS ELECTRONICOS Y ACCESO A INTERNET.

3.1 Toda cuenta de inicio de sesión y la cuenta de correo electrónico tiene que ser

solicitada a través de correo electrónico por el Jefe de Departamento y aprobado

por la gerencia.

3.2 Uso del correo electrónico

✔ El correo electrónico puede sobrecargar los recursos del sistema y de banda

ancha. Por lo tanto debe ser utilizado con fines de trabajo únicamente.

✔ Los usuarios de correo electrónico no deben tomarse el tiempo o la molestia

para responder a los correos electrónicos no deseados/solicitados, ya que

podría confirmar al remitente quien puede ser un hacker potencial, que la

dirección es real (y está siendo leído por una persona real). Por lo tanto dicha

acción posiblemente podría abrir la puerta a un virus o un ataque de

denegación de servicio.

✔ Los archivos grandes con peso de 10.0 MB pueden ser enviados o recibidos a

través de correos electrónicos. En caso que el archivo pesara más, deberá

comunicarle al departamento de IT para que le habilite a utilizar el sitio ftp de la


empresa.

3.3 Uso de Internet

✔ El Acceso a Internet para cada miembro del personal tiene que ser decidido por

el jefe del departamento y aprobado por la gerencia.

✔ El Internet debe ser utilizado sólo con fines de trabajo.

✔ Descarga de software, música y videos no está permitido en internet sin la

aprobación del personal de IT.

Notas explicativas:

- En el proceso de descarga de aplicaciones (programas) de Internet a su PC,

puede recibir un virus u otro código malicioso que infecta el sistema. Esto

puede tener consecuencias muy graves.

- Los empleados no deben de utilizar el correo de la empresa para cualquier

sitio web de registro no corporativo.

- La información en Internet puede ser inexacta, no válida, o deliberadamente

engañosa, y cualquier decisión sobre una descarga puede ser fatal para el

sistema y para la seguridad de la información.

- Por lo tanto se recomienda a los usuarios no seguir las indicaciones que

puedan aparecer en la red de Internet que puedan resultar dudosas y/o

peligrosas, más bien consulte inmediatamente con el personal de IT.

4.0 Seguridad de Internet

4.1 Fortinet en puesto, este nos permite que los usuarios no puedan ingresar a sitios

web bloqueados en función de los sitios a los que accede. Los siguientes sitios se

clasifican como sitios no autorizados.

✔ Páginas Pornográficas / sexo explícito

✔ Juegos


✔ Haking

✔ Hate

✔ Sitios Web Personales (Facebook y otros)

✔ Páginas de Video

✔ Descarga de música

✔ Páginas de Violencia

5.0 Respaldo (Backup) y recuperación

5.1 Para cada uno de los Departamento, nos aseguraremos de que sus

procedimientos de copia de seguridad permitan una restauración eficaz de la

última copia de seguridad del estado.

5.2 El departamento que necesite realizar una copia de seguridad que no se encuentre

en las carpetas compartidas, deberá informar al Departamento de IT para realizar

las respectivas copias.

5.3 Todo el personal o usuario de todas las computadoras debe ser personalmente

responsable de guardar la información en sus respectivas carpetas para que se

realice las respectivas copias de seguridad de datos.

5.4 El departamento de IT hará revisiones periódicas para asegurar que estos

procedimientos continúen apoyando una recuperación oportuna.

5.5 Sólo el personal IT puede realizar la restauración de cualquier documento o

restauración del sistema.

6.0 Protección y seguridad

6.1 Todos los usuarios deberán bloquear su computadora al levantarse de su sitio de

trabajo ya que cuando la pantalla se deja sin bloquear en su ausencia, otros

pueden tener la oportunidad de eliminar los archivos de forma accidental.

✔ Todas las PC, ordenadores portátiles y estaciones de trabajo deben estar


asegurados con un protector de pantalla protegido por contraseña con la

función de activación automática fijada cada 60 segundos.

✔ Después de ingresar erróneamente cuatro veces la contraseña de seguridad la

computadora por seguridad se bloqueará, en este caso deberá informar al

personal de IT.

✔ Ningún usuario está permitiendo compartir la contraseña. A menos que se

hubiera autorizado, por el jefe del departamento.

✔ La contraseña de usuario debe ser mínimo de 8 caracteres no más de 12.

✔ Es responsabilidad de todos los usuarios ayudar en el ahorro de costos a la

empresa y aumentar la vida útil de la PC tomando muy en cuenta la seguridad

ocupacional de todos.

✔ La acción disciplinaria se aplicará a los usuarios que persistan en no apagar su

PC y su batería después de la jornada de trabajo.

6.2 No se permite el acceso a la sala de servidores sin autorización de IT. Sólo el

personal de IT tienen acceso a la sala de servidores.

____________________

xxxxxxxxxxxxxxxxxxx

Jefe de Tecnologías de la Información (IT)


TÉCNICAS DE EVALUACIÓN APLICABLES A UNA AUDITORIA DE SISTEMAS

Ejecución de la Auditoria Informática

Etapa que consiste en el desarrollo de los procedimientos contenidos en los programas de

auditoria através de técnicas de auditoría.

Técnicas de Recopilación de Evidencias

Para la recopilación de información, el auditor toma y adapta las técnicas, procedimientos y

herramientas tradicionales del análisis de sistemas de información.

Al utilizar estas herramientas en la auditoría, lo que hace es sacar el mejor provecho de ellas

para adecuarlas a las necesidades específicas de evaluación requeridas en el ambiente de

sistemas.

Estos métodos no solo se utilizan en la evaluación del área de informática, sino también en la

evaluación de cualquier área ajena al ambiente de sistemas. Es por ello que el auditor debe

saber cómo utilizarlas.

Entrevistas

La entrevista es una de las actividades más importantes del auditor; en ellas, éste recoge

más información, y mejor matizada, que es proporcionada por medios propios puramente

técnicos o por las respuestas escritas a cuestionarios, Es decir la entrevista es la recopilación

de información que se realiza en forma directa, cara a cara y a través de algún medio de

capturas de datos.

Cuestionarios

Los cuestionarios son una técnica de recopilación de infromación. Es un trabajo de campo,

que permite al auditor lograr obtener toda la información necesaria para la emisón de un

juicio global y objetivo, siempre amparado en hechos demostrables, llamados tambien

evidencias.

El cuestionario, permite estudiar y analizar la documentación recibida, de modo que tal

análisis determine asu vez la información que deberá elaborar el propio auditor. Se


recomienda solo hacer preguntas necesarias, que permitan alcanzar los objetivos; preguntas

sencillas.

Mediante el uso de cuestionarios el analista puede estar buscando cuantificar lo que ha

encontrado en las entrevistas. Adicionalmente, los cuestionarios pueden ser usados para

determinar que tan amplio o limitado es en realidad un sentimiento expresado en una

entrevista. En forma inversa los cuestionarios pueden ser usados para investigar una gran

muestra de usuarios de sistemas, para tratar de encontrar problemas o recoger cosas

importantes antes de que las entrevistas sean realizadas.

Encuestas

Las encuestas constituyen otra de las técnicas más populares y de mayor uso en una

auditoría de sistemas computacionales, y son útiles principalmente para averiguar opiniones

sobre aspectos de la Informática tales como el servicio, el comportamiento y utilidad del

equipo, la actuación del personal y los usuarios, la oportunidad de la presentación de los

resultados, entre otros juicios sobre la función informática. Podemos definir una encuesta de

la siguiente manera:

Es la recopilación de datos concretos sobre un tema específico, mediante el uso de

cuestionarios o entrevistas diseñados con preguntas precisas para obtener las opiniones de

los encuestados, las cuales permiten, después de hacer una rápida tabulación, análisis e

interpretación de esa información, conocer su punto de vista y sentimientos hacia un tópico

específico.

Observación

Una de las técnicas más populares, de mayor impacto y más utilizados para examinar los

diferentes aspectos que repercuten en el funcionamiento del área de Informática o del propio

sistema, es la aplicación de diversas técnicas y métodos de observación que permiten

recolectar directamente la información necesaria sobre el comportamiento del sistema, del

área de sistemas, de las funciones, actividades y operaciones del equipo procesador o de

cualquier otro hecho, acción o fenómeno del ámbito de sistemas.


La observación se puede hacer desde diferentes puntos de vista y con diversas

técnicas y métodos que se mencionan a continuación:

✔ Observacion Directa

✔ Observacion Indirecta

✔ Observacion Oculta

✔ Observacion Participativa

✔ Observacion No Participativa

Evidencia de Auditoria

El Auditor deberá tener evidencia que sea suficiente, competente y pertinente, como

fundamento de sus opiniones, comentarios y recomendaciones.

La evidencia adecuada es la información que cuantitativamente es suficiente y apropiada

para lograr los resusltados de la auditoria y que cualitativamente, tiene la imparcialidad para

inspirar confianza y fiabilidad.

✔ la evidencia será suficiente, cuando el alcance de los planes sea adecuado.

Solo una evidencia encontrada, no podría ser suficiente para demostrar un hecho.

✔ La evidencia será pertinente, si el hecho se relaciona con el objetivo de la auditoria.

✔ La evidencia será competente, si guarda relación con el alcance de la auditoria y

además es creible y confiable.


PRESENTACIÓN DE PAPELES DE TRABAJOS

El formulario utilizado para la Ejecución de la Auditoría, esta dividido en dos partes:

1. Encabezado

Muestra el nombre de la Empresa, el periodo en que se desarrollo la auditoría, El auditor que

realizó la auditoría (Hecho por), el auditor quien lo revisó (Revisado Por), fecha en que se

ejecutó la auditoría y el nombre de la persona que atendio la auditoría.


Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H

Área Auditada: Área a Auditar Fecha: 21/04/2015

Persona que Atendio: Persona que atiende la

auditoría.

Cargo: Cargo en la Empresa

1. Cuerpo

N°Actividad a

Evaluar

Procedimiento de

AuditoriaHerramientas Observación

Describen las

Actividades a

desarrollar en

la Ejecucuión

de la Audioría.

Presenta el

procediemiento que

se realizará obtener

el hallazgo.

Tipo de

herramienta

utilizada

para la

obtención de

la evidencia.

Descripciones de los hallazgos

encontrados.


ALCANCE DE LA ADITORIA INFORMÁTICA

El alcance de la auditoria informática se realizará de acuerdo a las áreas críticas

identificadas:

ALCANCE DE LA AUDITORIA

Software. Lo que auditaremos en Software es:

• Software de Contabilidad Quickbooks utilizado por la

Empresa para llevar su contabilidad.

Comunicaciones

y Redes.

En esta área lo principal a auditar será:

• Topología correcta de los cableados de redes en

todas las oficinas.

Planes

Contingenciales .

En el área de Planes de Contingencias, se evaluará

primoldialmente:

• Qué tan frecuentes son las capacitaciones que recive

el personal de las diferentes áreas de la Empresa,

para el uso y dominio de los extintores en caso de

emergencia.

Dirección

Informática.

Ya que no poseen ningún tipo de manuales se auditará:

• Medios que utilizán y en que se basan, al no poseer

manuales (no poseen manuales de usuarios, ni de

sistemas informáticos).



• El antivirus utilizado por la Empresa.

• Cúal es el control de uso de dispositivos que

introducen en los equipos de los ususarios.


OBJETIVO DE AUDITORIA

GENERAL

✔ Identificar las áreas críticas y los diferentes riesgos que estas conllevan, al no ser

solucionadas por parte de la Empresa xxxxxx , aplicando los procedimientos, técnicas

y métodos, con la finalidad de determinar la efectividad y efeciencia del departamento

de IT.

ESPECÍFICOS

✔ Evaluar los riesgos que contienen las diferentes áreas críticas identificadas.

✔ Aplicar los procedimientos, técnicas y métodos para el desarrollo eficiente de la

auditoria.

✔ Verificar la capacidad de respuesta de la Empresa ante los riesgos detectados.

✔ Observar el nivel de respuesta del departamento de IT ante los riesgos identificados.

CRONOGRAMA DE ACTIVIDADES DE LA EJECUCIÓN DE LA AUDITORIA


PROGRAMA DE AUDITORIA

Empresa: xxxxxxxxxxxx Hecho por: S/P


Área Auditada: Software Fecha: 21/04/2015

Persona que Atendio: xxxxxxxxxxxxx Cargo: Técnico IT

Contador

SOFTWARE

N°Actividad a

Evaluar

Procedimiento de


1.

Verificar el

licenciameinto

de

Quickbooks.

Revisas si la

Empresa posee

licencia del sistema

contable

Quickbooks.

Testimonial

Quickbooks fue comprado para

otra Empresa del mismo dueño

de xxxxx.

2.

Modulos con

que cuenta

Quickbooks.

Verificar con qué

modulos cuenta

Quickbooks.

Física.

Los Modulos con los que

cuenta son: Ventas, Compras,

Registro Y Control De

Inventario, Control De

Depósitos, Conciliaciones

Bancarias y Partidas De Diario.

3.

Observar el

idioma en el

que esta

desarrollado

Quickbooks.

Investigar según la

ley de El Salvador,

en que idiomas debe

llevarse la

contabilidad en El

Salvador.

Física.

Las computadoras del área de

Contabilidad, realiza todos sus

registros en idioma Ingles en

Quickbooks.


4.

Evaluar si

Quickbooks

cumple con

las leyes de

contabilidad

Salvadoreña.

Investigar bajo que

leyes debe llevarse

la contabilidad en

las Empresas. Y si

Quickbooks cumple

con la leyes

impuestas en El

Salvador.

Física.

Quickbooks, no cumple con

aspectos Legales de la

Contabilidad en El Salvador (la

Ley determina: Art. 436.- Los

registros deben llevarse en

castellano).

5.

Verificar

medidas de

seguridad de

Quickbooks .

Evaluar las

diferentes medidas

que Quickbooks

tiene como medidas

de seguridad.

Testimonial

El contador, nos dijo que

Quickbooks realiza Back up de

seguridad todos los días y es

un Sistema Contable confiable

para la Contabilidad de la

Empresa.

6.

Evaluar el

soporte

técnico.

Verificar los soportes

técnicos con que

cuenta Quickbooks.Testimonial

Quickbooks. no tiene soporte

técnico en el País.

7.

Encargados

de soporte

Técnico.

Verificar quienes son

los responsables del

soporte técnico.

Testimonial

Se nos dijo que el encargado

en algunos casos del sopote

técnico son los del área de

informática. Pero que no suele

presentar mayor problema

Quickbooks.

8. Evaluar los

requeri-

mientos.

Verificar cuales son

los requerimientos

que los equipos

deben poseer para

Física.

Documental.

De acuerdo a lo revisión y

teniendo en cuenta cúales son

los requerimientos que pide

Quickbooks para su


instalar Quickbooks. instalación, las computadoras

de trabajo cliente y servidor

cumplen con los

requeriemientos establecidos.

9.

Plataforma en

que esta

instalado

Quickbooks.

Verificar en que

plataforma trabajan

Quickbooks en la

Empresa.

Física.Se trabaja bajo Windows 8.

10.

Verificar el

control de

acceso a

Quickbooks.

Verificar el control

de acceso a

Quickbooks si la

realizan mediante

contraseñas.

Física.

Todas la computadoras del

área Contable en las que esta

instalado Quickbooks, poseen

usuarios y contraseñas.

11.

Principales

usuarios.

Verificar quienes son

los principales

usuarios con acceso

a Quickbooks.

Física.

Testimonial.

Los principales usarios son los

del departamento de

Contabilidad.

12

Entrevistar al

contador.

Preguntar al

contador, en que le

facilta el trabajo

Quickbooks.

Testimonial.

EL contador manifiesta lo

siguiente: “En el país la

mayoría de empresas tienen

sistemas contables deficientes.

El Quickbooks proporciona

muchos reportes.Genera

información rápida y confiable”.

13. Capacitación Verificar si al Testimonial. No es capacitado, al momento


a los

usuarios.

personal de nuevo

ingreso en el área

de contabilidad es

capacitado antes por

un experto para el

uso de Quickbooks.

que ingresa a laborar al área

de Contabilidad, uno de los del

área que ya conoce el uso de

Quickbooks le enseña como se

trabaja en el programa de

Contabilidad.

14.

Verificar si

realizan

copias de

seguridad.

Verificar si

Quickbooks realiza

copias de seguridad

y archivos como

medida de

seguridad.

Testimonial. Todos los días realizan back

up.

15.

Evaluar los

casos de

actualizacione

s.

Mediante una

entrevista, preguntar

que hacen en caso

de actualizanes de

Quickbooks.

Testimonial. No hay actualizaciones.

Empresa: xxxxx Hecho por: S/P


Área Auditada: Comunicaciones y Redes Fecha: 21/04/2015

Persona que Atendio: xxxxxx Cargo: Técnico IT

PROGRAMA DE AUDITORIACOMUNICACIONES Y REDES

N°Actividad a

Evaluar

Procedimiento de


1. Revisar la

topología de

la red.

Examinar si el

cableado de la

Física.

Análitica.

Se Observó que utilizán

topologías como: Estrella y U.


Empresa cumple

con los estandares

de la industria y si

se encuentran

debidamente

protegidos.

La Empresa realiza las

conexiónes de red de acuerdo

al espacio de las oficinas.

Con respecto a la protección

de los cables, se observo, que

en algunas oficinas no cuenta

con la protección debida, solo

están cubiertas con Cinta

transparente para que no se

levante.

2.

Cuenta con

intranet ó

internet.

Preguntar al área de

It si cuenta con

intranet ó internet.Testimonial.

Cuenta solo con internet.

3.

Verficar si el

tipo de cable

esta diseñado

para el ancho

de banda.

Si envia los datos a

una velocidad

adecuada y sin

interferencias. Física.

La revisión de algunos cables

de red, nos permite determinar

que el cableado categoria 3 es

el adecuado. Y es el que posee

la Empresa.

4.

Evaluar la

rápides de

envio de

información.

Realizar pruebas

para verificar la

rápidez de envio de

datos. Física.

Testimonial.

Luego de la evaluación se

determinó, que el tiempo que

tarda la información de ser

enviado/recivida, esta a corde

del ancho de banda, por lo que

no afecta el rendimiento ni el

desempeño de la red.


5.

Medir la

velocidad del

internet.

Verificar la velocidad

de conexión a

internet.

Física.

Después de una prueba

realizada de un envio de un

correo electrónico, se logro

determinar que la transferencia

de información tiene un

comportamiento normal de

envio y entrega de información.

6.

Plataforma de

software en

que funciona

el servidor de

correo.

Verificar la

plataforma que

utiliza el servidor de

correo de la

Empresa, por el cual

se transmiten los

mensajes.

Testimonial.

La plataforma de correo que

utiliza la Empresa es

“Fortimail”, por que brinda

seguridad y protección ante

amenazas mixtas que se

ocultan en el correo electrónico

mensajes, formadas por spam,

virus, gusanos, phishing

(suplantación de identidad, que

intentar adquirir información

confidencial de forma

fraudulenta )y spyware (la

lentitud de los Sistemas

Operativos y en la ejecución de

programas, porque consumen

recursos de la máquina,

impidiendo que funcione

normalmente).

7. Asignación

de cuentas y

cobtraseñas a

las PC de los

Verifcar en que se

basan los del Área

de IT para

asignarles el usuario

Testimonial. La asiganación de cuentas y

usuarios a los colaboradores

no es un método seguro,

entrevistando a un usuario, nos


usuarios. y la contraseña. dijo que las cuentas eran

asignadas de acuerdo a los

nombre del usuario. El usuario

de la computadora es el Primer

Nombre y Primer Apellido, y la

contraseña la inicial del Primer

Nombre y la inicial del Primer

Apellido, seguido de oa123

8.

Con qué

frecuencia

cambian las

contraseña a

los usuarios.

Chequear con qué

frecuencia, el área

de IT cambia las

contraseña a los

usuarios.

Testimonial.

No son frecuentes los cambios

de usuarios y contraseñas.

9.

Revisar el

bloqueo de

algunas

computadoras

a internet.

Identificar que

computadoras de

diferentes

departamentos

tienen acceso a

internet.

Física.

Testimonial.

El área de IT, tiene permitido

dar acceso a internet a ciertas

personas, como lo son: A Jefes

de los diferentes

Departamentos, a todos los

usuarios de Mercadeo,

Recursos Humanos y a del

área de IT.

10. Manejo de

firewall.

Verificar si el firewall

implementado

detecta y protege:

• Ataque de IP falsas.

• Ataque de denegación del servicio.

Física.

Testimonial.

De acuerdo a la entrevista al

técnico de IT el firewall

implementado detecta y

protege. Al intentar entrar

desde una computadora que

no tiene permitido el acceso a

internet, mostró la pagína de


acceso denegado.

11.

Configuración

de firewall.

Reivisar si existe un

firewall debidamente

configuradoTestimonial.

El firewall esta debidamente

configurado, al intentar entrar

desde una computadora que

tiene denegado el acceso a

internet.

12

Verificar los

privilegios a

usuarios.

Evaluar en que se

basan para dar

privilegios a

usuarios de los

diferentes

departamentos.

Testimonial.

Solo a Jefes y colaboradores

de áreas claves son los

privilegiados, por que realizan

diferentes actividades

sumamente importantes para

la empresa.

13.

Elementos

que utilizan

para la

comunicación

.

Revisar los medios

que utilizan para

comunicarse entre

los diferentes

departamentos.

Testimonial.

Física

Utilizan celulares, correos

eléctronicos y teléfonos de

líneas fijas.

14.

Revisión de la

red física.

Evaluar con que

frecuencias se

realizán revisiones

de los cables de

redes.

Testimonial.

En la entrevista, el técnico de

IT manifiesta que no tienen un

tiempo establecido para la

revisión de la red física.

15. Bloqueo de aplicaciones

Verificar que la

Empresa tenga

políticas de

seguridad y de Documental

Posee políticas de Seguridad,

que restringen el aceeso a

aplicaciones, las cuales se

detallan en las Políticas de


controles de acceso

a aplicaciones

basadas en la web.

Seguridad Informática de la

Empresa.

Empresa: xxxxxx Hecho por: S/P


Área Auditada: Planes Contingenciales Fecha: 21/04/2015

Persona que Atendio: Xxxxxxx

xxxxx

Cargo: Técnico IT

Jefe IT


N°Actividad a

Evaluar

Procedimiento de


1.

Evaluar si

existen

políticas por

escrito sobre

los planes

que ellos

realizan en

las diferentes

áreas de la

Empresa.

Pedir manuales

donde se

encuentren

reflejadas las

políticas sobre los

planes

contingenciales, ya

que los manuales,

deben estar

documentos.

Documental

Pedimos ver los manuales

donde estan documentados los

diferentes planes de

contingencia que la Empresa

realiza. Estos planes si estan

docuementados.

2. Evaluar los

planes de

contingencias

que se están

desarrollando

actualmente.

Observar los

diferentes planes

que se están

realizando, los

cuales están

enfocados para

evitar cualquier

eventualidad que

Testimonial. Los planes contingenciales,

que la Empresa realizan con

mayor frecuencias son:

Simulacros de Sismos e

Incendios.


pueda suceder en el

futuro

3.

Evaluar la

aplicación de

simulacros,

asi como el

plan

contingenciale

s durante la

ocurrencia de

una falla

grave en el

sistema.

Realizar una serie

de simulacros para

verficar si los planes

de contingencias

que se tienen están

respondiendo

satisfactoriamente

haciendo pruebas de

back up y revisar

dichos archivos.

Testimonial

El entrevistado del área de IT ,

manifiesta que cuando la

Empresa realiza los simulacros

con los todos sus empleados,

su área también realiza back

up y son satisfactorios.

4.

Evaluar si los

empleados

conocen

sobre los

planes

contingenciale

s.

Preguntar a los

empleados si ellos

conocen los planes

en dado caso que

exista una

catástrofe, entre

otras cosas. Y si

alguna ves han

hecho un simulacro.

Testimonial

Los empleados entrevistados,

manifiestan si se les informan

de las medidas a tomar y que

hacer al presentarse cualquier

eventualidad.

5. Evaluar la

confiabilidad

en la

aplicación en

las medidas

del plan de

Examinar si las

medidas que se

tiene en caso de una

eventualidad, la

aplicación de los

planes de

Testimonial

Analítica

Con los simulacros que se

realizán, se ha ido mejorando

el tiempo y reacción. Y la forma

en que se realizan son

confiables y satisfactorias.


contingencias. contingencias sea

rápida y dé una

respuesta

satisfactoria.

7.

Evaluar si

cuentan con

sus

respectivas

medidas de

seguridad.

Observar si cuentan

con salidas de

seguridad en los

diferentes áreas. Y si

los extintores se

encuentrán en una

buena ubicación.

Física.

Las salidas de Emergencias,

están debidamente rotuladas,

la ubicación de los extintores

es visible ante todo el personal

de los diferentes áreas de la

Empresa.

8.

Evaluar si

cuentan con

planes para

prevenir

daños en los

recursos.

Observar y pedir

manuales para

conocer que hacen

para prevenir y

minimizar daños en

sus recursos

informáticos,

equipos de oficinas y

otros materiales.

Testimonial

El área de IT no cuenta con

manuales y lo unico que

realizan son back up de la

información.

9. Evaluar

quienes son

las personas

involucradas

al momento

de efectuar

los planes

contingenciale

Preguntar quién ó

quiénes, son las

personas

responsables a la

hora de efectuar los

planes

contingenciales.

Testimonial De cada área hay una persona

involucrada en el momento de

efectuar simulacros.


s.

10.

Evaluar

Planes

Correctivos.

Revisar y preguntar

sobre los planes

correctivos, que

hacen para

solucionar sus

problemas en el

momento que se

presenten.

Testimonial

Realizan lo que estiman

conveniente en el momento y

ante la emergencia.

11.

Evaluar

planes

cuando hay

saturación de

información.

Preguntar y verificar

si se envia

información masiva

a las oficinas, y que

sucede cuando el

trafico de datos se

vuelve lento.

Testimonial

El envio de información no es

masiva y no hay saturación de

tráfico.

12.

Evaluar

seguridad

elétrica.

Realizar pruebas de

un apagón de luz

para saber si

funciona

correctamente la

planta de energía

eléctrica.

Testimonial

La planta de energía eléctrica

funciona correctamente ante

cualquier apagón. Hay

personas encargadas.

13. Auditoría de

Planes

Contingencial

es Evaluar

Realizar pruebas y

verificar si ellos

cuentan con otro

proveedor de

Testimonial No cuentan con otro proveedor

de internet aparte de Salnet.


plan cuando

se cae la

conexión de

proveedor de

internet.

internet, para poder

evaluar que pasa si

la red de un

proveedor de internt

se cae.

14.

Evaluación de reanudación de actividades.

Investigar si existe

un equipo de

dirección de

reanudación y un

responsable del

mismo, para dirigir y

coordinar las

distintas actividades

durante la

contingencia o

desástre.

Testimonial

Cada colaborador es el

encargado de reanudar su

actividad despues de un

simulacro.


Empresa: xxxxxx Hecho por: S/P



Área Auditada: Dirección Informática Fecha: 21/04/2015

Persona que Atendio:xxxxxx

Cargo: Técnico IT

Contador


N°Actividad a

Evaluar

Procedimiento de


1.

Evaluar el

perfil de los

empleados

del área de

informática,

mediante la

revisión de los

manuales de

función y de

usuario.

Revisar los

manuales de

funciones de

empleados de

infomática.

Revisar los

manuales de

usuarios de

sistemas.

Testimonial

No poseen manuales de

funciones, ni manuales de

usuarios de sistemas.

2.

Capacita-

ciones del

personal IT.

Realizar una

entrevista al director

del área de IT, que

tan frecuentas son

las capacitaciones

de sus

colaboradores.

Testimonial

De acuerdo al Jefé de área de

IT no reciben capacitaciones.

3. Evaluar la

existencia y

cumplimiento

de los

Entrevistar a los

empleados de

informática y

preguntarles si

Testimonial Los entrevistados aciertan que

saben los objetivos del

departamento, y que buscan

cumplirlos con eficiencia, y de


objetivos de la

institución

dentro del

departamento

de

informática.

tienen claros los

objetivos de su

departamento y de

la institución.

esa manera ayudar la Empresa

para que tambien logren sus

objetivos.

4.

Nivel en el

que se

encuentra

jerarquico en

el

departamento

de IT.

Realizar una análisis

del organigrama de

la Empresa y ver en

que nivel se

encuentra el

departamento de

informática.

Análitica.

En el Organigrama de la

Empresa no se especifica el

Departamento de IT.

5.

Verificar, cúal

es el perfil

para la

selección y

promoción del

área de

informática.

Revisar los

requisitos para la

selección de un

nuevo colaborador

en el área de IT.

Análitica.

Testimonial

No tiene por escrito los

requsitos que un colaborador

del área de IT debe cumplir.

6. Evaluar la

administració

n de los

recursos

humanos

asignados al

área de

informática,

Análizar si los

empleados están

sobrecargados de

actividades.

Análitica.

Testimonial

En el área de IT son 3 los

colaboradores. Y se reparten

las actividades. Asumen no

suele pasar que se recarguen

de trabajo.


en cuanto a

capacitación y

adiestra-

miento.

7.

Identificar los

planes de

capacitación.

Revisar los planes

de capacitaciones

para los empleados

de informática.

Testimonial

La Empresa no tiene planes de

capacitaciones para los

colaboradores de IT.

8.

Identificar el

perfil de los

nuevos

empleados a

contratar.

Verificar si existe

algo por escrito,

donde se detallen

las características

del nuevo personal a

contratar.

Testimonial

Análitica.

No tienen nada por escrito

donde detallen las habilidades

y conocimientos que debe

tener el nuevo colaborador de

IT.

9.

Verficar el

tiempo del

personal de IT

en la

Empresa.

Preguntar el tiempo

que han laborado en

la Empresa el

personal de IT.Testimonial

El Jefe de IT, tiene 8 años de

laborar en la Empresa.

El técnico en Informática, tiene

15 años de laborar en la

Empresa

El Licenciado en Ciencias de la

Computación, tiene 2 años en

la Empresa.

10.

Verificar que

exista una

persona que

se encargue

de crear

perfiles.

Observar si hay una

persona encargadad

de crear los perfiles

de los usuarios. Testimonial

El técnico xxxx, que tiene 15

años de laborar en la Empresa

es el encargado de crear los

perfiles de los. usuarios.


11.

Verificar que

tan frecuentes

son las

capacita-

ciones.

Preguntar al

personal que tan

frecuentes son las

capacitaciones que

reciven.

Testimonial

No reciven capacitaciones.

12

Verificar

personal

existente en

IT.

Observar cuantos

empleados están en

área de informática. Testimonial

Física.

3 Empleados en todo el área

de IT.

1 Jefe del área.

1 Técnico en Informática

1 Licenciado en Ciencias de la

Computación.

13.

Verificar si

existen

manuales por

escrito de

actividades a

realizar en el

área de IT.

Indagar si el

personal lleva a

cabo lo estipulado

en el manual de IT.Testimonial

No existen manuales por

escrito en el área de IT.

14.

Evaluar si los

empleados

cumplen sus

funciones.

Verificar que el

departamento de IT

cumplen sus

funciones, en los

demás

departamentos que

hayan solicitado su

colaboración.

Testimonial

Describen su deber es suplir

las necesidades de los

usuarios en cuanto al equipo

informático se refiere.

15. Evaluar si IT Entrevistar al Testimonial El entrevistado manifiesta, que


en todo su

conjunto,

hace las

actualiza-

ciones

correspon-

dientes.

departamento de IT,

si hace las

actualizaciones

respectivas en los

diferentes pc.

Física.

si realizan las actualizaciones.



Área Auditada: Seguridad Física y Lógica Fecha: 21/04/2015

Persona que Atendio: xxxxxx Cargo: Técnico IT

Contador


N°Actividad a

Evaluar

Procedimiento de


1.

Identificar si

existen

alarmas.

Verficar las alarmas

por presencia de

fuego, humo; asi

como la existencia

de extintores de

incendios.

Física.

En las diferentes áreas de la

Empresa se encuentran

alarmas, y extintores contra

incendios.

2. Investigar si

hay personal

capacitados

para el uso de

extintores.

Verificar si la

Empresa envia a

capacitaciones a

personal de

diferentes

departamentos para

la manipulación y

Testimonial De acuerdo a la persona

entrevistada, hay personas

capacitadas para el uso de

extintores, y que son los

bomberos quienes dan las

capacitaciones.


uso de los exintores

ante cualquier

incidente.

3.

Medidas de

protección de

conexiones

eléctricas

Conocer las

medidas que la

Empresa toma para

la seguridad de las

conéxiones

eléctricas.

Testimonial

Los bomberos realizán

evaluaciones físicas

constantes de las conexiones

eléctricas de toda la Empresa,

y al final de la evaluación

brindan un informe.

4.

Identificar la

autorización y

administra-

ción de las

claves.

Verificar los

mecanismos

establecidos para

controlar la

asignación de

acceso a las

computadoras

centrales.

Testimonial

El departamento de IT, testifica

que el ingreso a las

computadoras centrales de la

Empresa, es de acceso

restringido y que solo los 3

miembros de IT pueden

ingresar.

5.

Capacitación

en

procedimietos

de seguridad.

Verificar que los

procedimientos

operacionales para

incendio y sistemas

de alarma esten al

alcance de todo el

personal de

operaciones.

Testimonial

Física.

Las capacitaciones se le dan a

personas seleccionadas, pero

hay instrucciones cercas de las

alarmas, de como hacerlas

sonar.

6. Rotulación de Observar si las vías Física. Con la revisión realizada en la


escapes y

salidas de

emergencias.

de escape y acceso

de emergencias

esten debidamente

rotuladas.

Empresa, se determino que

todas las salidas de

emergencias estan

debidamente rotuladas.

7.

Evaluar

autentifica-

ción de

usuarios y

controles de

acceso.

Asegurarse que las

políticas de

asignación de

cuentas sean

adecuadas y

apropiadas.

Testimonial

Física.

De acuerdo con el testimonio

de algunos usuarios, la

asignación de las cuentas no

es la debida. Y comprobandolo

determinamos no se sigue

ninguna política.

8.

Evaluar el

cableado.

Verificar que el

cableado este

debidamente

protegido, en dado

caso que el cable

este cruzado.

Física.

En la oficinas del área de

producción observamos habia

un cable de red cruzado entre

un escritorio y otro.

Preguntamos y dijo era algo

provisional. Pero en una

nueva visita a la Empresa

obsevamos el cable aun

estaba cruzado, y que no era

algo provisional.

En las demás oficinas el

cableado de red esta

correctamente instalado y

protegido.9. Identificar

firewall.

Verificar que el

firewall esta

configurado para

limitar el acceso a

Testimonial Fortinet es quien garantiza a la

Empresa que los usuarios no

puedan ingresar a sitios web

bloqueados en función de los


datos autorizados

para usuarios

internos.

sitios a los que accede.

10.

Prevensión

de virus.

Verificar que

antivirus posee, y

que el antivirus

actúe en los equipos

de los diferentes

departamentos con

eficiencia. Sin poner

en riesgo la

información de los

usuarios, investigar

con que frecuencia

se actualizán y

verificar que cada

equipo cuente con el

licencionamiento

adecuado.

Física.

Testimonial

La Empresa cuenta con el

Antivirus Karsperky, se

actualiza cada día y la

seguridad que proporciona

según los usuarios y el Técnico

de IT no es la mejor, ya que se

cuelan virus que ponen en

riesgo su información.

El Antivirus tiene su licencia.

11.

Entrevistar a

los usuarios.

Preguntar a los

usuarios si el

antivirus es

confiable, o si existe

con frecuencia el

colado de virus.

Testimonial

Anáitica

De acuerdo con las entrevistas

realizada a unos usuarios el

Antivirus Karsperky no es

confiable y se cuelan algunos

virus.

12 Evaluar

puertos

habilitados.

Verificar si los

usuarios tienen

habilitados los

puertos USB de los

equipos, para evitar

poner en riesgo la

Física.

Testimonial

Se verifico los puertos de

algunas computadoras y los

puertos de USB no estan

habilitados.


información.

13.

Asignación de

contraseñas

Verificar si cada

equipo posee su

respectivo usuario y

contraseña para

denegar el permiso

a otra persona, que

las contraseñas no

sean mostradas en

pantalla cuando se

ingrese, que no sea

menor a 8 digitos y

que contenga

símbolos, numeos y

letras.

Física.

Testimonial

Con la revisión de algunas

computadoras, observamos

que todas poseen usuarios y

contraseñas, pero que no

contienen los medios de

seguridad.

14.Registro de

accesos.

Investigar si el

sistema genera

registro de acceso.

Testimonial

Física.

De acuerdo al Técnico de IT el

sistema realiza registros de

acceso, modificación y

eliminación de algún

documento.

15.

Evaluar las

políticas de la

Empresa a la

información.

Verificar si existen

políticas dentro de la

Empresa para

proteger su

información y la de

cada usuario.

Testimonial

Física.

El técnico de IT manifiesta que

el ingreso a algunos archivos

en la red, solo pueden ser

vistos por personas

seleccionadas, y algunas solo

pueden ejecutarla pero no

realizar cambios ni eliminación.


ANEXOS

GLOSARIO

✔ Back up: Copia de seguridad de uno o más archivos informáticos, que se hace,

generalmente, para prevenir posibles pérdidas de información.

✔ Contingencia: Suceso que puede suceder o no, especialmente un problema que se

plantea de forma imprevista.

✔ Cronograma: Representación gráfica de un conjunto de hechos en función del

tiempo.

✔ Departamento IT: departamento de Tecnología de la Información.

✔ Dispositivos: aparato o mecanismo que desarrolla determinadas acciones.

✔ Estándares: Consiste en el establecimiento de normas a las que debe ajustarse la

información geográfica, los procesos de intercambio de ésta y la interoperación de los

sistemas que deben manejarla.

✔ Estipular: Establecer o determinar las condiciones de un trato, acuerdo, precio u otra

cosa.

✔ Extintores: Un extintor, extinguidor, extintor de fuego, o matafuego es un artefacto

que sirve para apagar fuegos.

✔ Fiabilidad: Probabilidad de que un sistema, aparato o dispositivo cumpla una

determinada función bajo ciertas condiciones durante un tiempo determinado.

✔ Firewall: Programa informático que controla el acceso de una computadora a la red y

de

Elementos de la red a la computadora, por motivos de seguridad.

✔ Fortinet: (NASDAQ: FTNT) es el proveedor mundial en dispositivos de seguridad de


red y líder en gestión unificada de amenazas (UTM). Sus productos y servicios ofrecen

una gran protección integrada y de alto rendimiento contra las dinámicas amenazas de

seguridad.

✔ Fortimail: es el sistema de seguridad para correo electrónico más flexible del mundo.

✔ Ftp: FTP en informática, es un protocolo de red para la transferencia de archivos entre

sistemas conectados a una red TCP, basado en la arquitectura cliente-servidor.

✔ Hacker: Persona con grandes conocimientos de informática que se dedica a acceder

ilegalmente a sistemas informáticos ajenos y a manipularlos.

✔ Malicioso: Que habla o actúa con intención encubierta para beneficiarse en algo o

perjudicar a alguien.

✔ Ordenadores portátiles: es un ordenador personal móvil o transportable, que pesa

normalmente entre 1 y 3 kg.1

✔ Pirata: Persona que se aprovecha del trabajo o de las obras de otros, especialmente

copiando programas informáticos u obras de literatura o de música sin estar

autorizado legalmente para hacerlo.

✔ Red física: Conjunto formado por dos o más nodos conectados a un mismo medio o

canal de comunicación.

✔ Servidores: es un nodo que forma parte de una red, provee servicios a otros nodos

denominados clientes. También se suele denominar con la palabra servidor a: ⁕Una

aplicación informática o programa que realiza algunas tareas en beneficio de otras

aplicaciones llamadas clientes.

✔ Tabulación: Expresión de valores, magnitudes, conceptos, etc., por medio de tablas o

cuadros, o conjunto de los topes del tabulador en las máquinas de escribir y en los

programas informáticos de edición de textos.


✔ Tópico: Que se usa y se repite con mucha frecuencia en determinadas

circunstancias.

✔ Topología: Ciencia que estudia los razonamientos matemáticos, prescindiendo de los

significados concretos.

✔ Virus: Programa de computadora confeccionado en el anonimato que tiene la

capacidad de reproducirse y transmitirse independientemente de la voluntad del

operador y que causa alteraciones más o menos graves en el funcionamiento de la

computadora.


BIBLIOGRAFÍA

Sitios Web.

✔ “Microsoft Word - Manual de Auditoria Version Ejemplar Definitivo Al 18-11-2011.doc - Manualaud.pdf.” http://www.cgr.gob.ve/pdf/manuales/manualaud.pdf (May 5, 2015).

✔ “Untitled Document.” http://www.sites.upiicsa.ipn.mx/polilibros/portal/Polilibros/P_proceso/Auditoria_Informatica_Nacira_Mendoza_Pinto/UNIDAD%201/HTML/1_4_4.HTM (May 5, 2015).

Fuentes de Información de la Empresa

✔ xxxxxx Contador de la Empresa xxxxxx

✔ xxxxxxx, Técnico Tecnologías de la Información.

✔ xxxxxxx, Lic. de Tecnologías de la Información.

✔ xxxxxxxx, Jefe de Tecnologías de la Información (IT).


http://www.sites.upiicsa.ipn.mx/polilibros/portal/Polilibros/P_proceso/Auditoria_Informatica_Nacira_Mendoza_Pinto/UNIDAD%201/HTML/1_4_4.HTM

http://www.sites.upiicsa.ipn.mx/polilibros/portal/Polilibros/P_proceso/Auditoria_Informatica_Nacira_Mendoza_Pinto/UNIDAD%201/HTML/1_4_4.HTM

http://www.cgr.gob.ve/pdf/manuales/manualaud.pdf

FASE III: INFORME DE LA AUDITORIA DE SISTEMAS

INTRODUCCIÓN

La Etapa III corresponde a la presentación de informe y resultados final de la Auditoría de

Sistemas, realizada en la Empresa xxxxxxx. Para llegar hasta esta etapa, fuimos paso a paso

realizando diversas tareas, como observaciones y análisis de cada una de las áreas críticas

auditadas.

Se ha venido trabajando con fases del proyecto mes a mes. Teniendo hoy la fase final,

comenzamos por ordenar de manera correcta cada punto a presentar para nuestro informe ;

en donde se detallan la actividades realizadas en la auditoria, el hallazgo encontrado en la

ejecución de la auditoria y la recomendación que damos a la Empresa.

Este ha sido el resultado de nuestro trabajo, respaldado de la carta de finalización dirigida a

la Empresa.



GENERAL:

✔ Análizar cada hallazgo encontrado en la Ejecución de la Auditoria, para presentar el

informe final y los resultados obtenidos en la Auditoria de Sistemas realizada en la

Empresa xxxxxxxx.

ESPECÍFICOS:

✔ Análizar los hallazgos obtenidos en la Etapa de Ejecución de la Auditoria.

✔ Elaborar el informe final de auditoría realizada en la empresa xxxxxxxxxxx.

✔ Presentar Carta de Finalización de procesos y entrega de resultaods.


ALCANCE DE LA ADITORIA INFORMÁTICA

El alcance de la auditoria informática lse realizó de acuerdo a las áreas críticas auditadas

A continución se detalla cada uno de los alcances de cada aŕea.

ALCANCE DE LA AUDITORIA

Software. Lo que auditamos en Software es:

• Quickbooks cumple con las leyes de contabilidad

Salvadoreña.

• Soporte Técnico de Quickbooks.

• Si al personal de nuevo ingreso en el área de

contabilidad es capacitado antes por un experto para

el uso de Quickbooks.

Comunicaciones

y Redes.

En esta área lo que auditamos fue:

• En que se basan los del Área de IT para asignar el

usuario y la contraseña a los usuarios.

• Frecuencia con que cambian las contraseña a los

usuarios.

• Fecuencias con que realizán revisiones de los cables

de redes.

Planes

Contingenciales .

En el área de Planes de Contingencias, auditamos:

• Poseen manuales donde indiquen que hacen para

prevenir y minimizar daños en sus recursos

informáticos, equipos de oficinas y otros materiales.

Dirección

Informática.

En dirección Infoemática auditamos:

• Se encuentra el departamento de IT en el

Organigrama de la Empresa.


• Perfil que tiene la Empresa para la selección de un

nuevo colaborador en el área de IT. y las descripción

de las tareas a desarrollar en el puesto de trabajo.

• Planes de capacitación para los empleados de

informática.

• Verificar si existen manuales por escrito de

actividades y funciones a realizar en el área de IT.



• Evaluar el cableado de red.

• Prevensión de virus.

OBJETIVOS DE AUDITORIA

GENERAL

✔ Realizar el Informe Final, donde se detallen las observaciones que detectamos en

cada área crítica de la auditoria realizada en la Empresa xxxxxxxxx y emitir

recomendaciones de cada hallazgo encontrado.

ESPECÍFICOS

✔ Identificar los hallazgos encontrados en la auditoria.

✔ Emitir recomendaciones a la Empresa xxxxxxxxxx.

✔ Presentar el informe y resultados finales de la Auditoria de Sistemas.


CROMOGRAMA DE ACTIVIDADES

PRESENTACIÓN DE INFORME

SOFTWARE

Verificar soporte técnico de Quickbooks.

Hallazgo

✔ Quickbooks, no tiene soporte técnico en el País. Se nos dijo que el encargado en

algunos casos del sopote técnico son los del área de informática. El conatdor

manifiesta que cuando el área de IT no puede resolver el problema, llaman a Estados

Unidos para que desde haya solucionen el problema.


Riezgo

✔ El técnico al no conocer exáctamente el uso de Quickbooks, podría hacer más grande

el problema o peor aun dañar y hasta perder la información si no se ha hecho el Back

up.

Recomendación

✔ Contactar al proveedor y pedir soporte técnico de manera profesional, para no tener

inconvenientes que puedan incurrir a más gastos.

SOFTWARE

Verificar si al personal de nuevo ingreso en el área de contabilidad es capacitado antes

por un experto para el uso de Quickbooks.

Hallazgo

✔ No es capacitado, al momento que ingresa a laborar al área de Contabilidad, uno de

los del área que ya conoce el uso de Quickbooks le enseña como se trabaja en el

programa de Contabilidad.

Riezgo

✔ El nuevo colaborador, al no ser capacitado antes de ir a sentarse frente a su

computadora, puede llegar hasta frustrarse al no saber exactamente que hacer. Y

menos como trabajar en Quickbooks.

Recomendación

✔ Cada colaborador contrado por la Empresa para laborar en el área de Contabilidad,

debería ser capacitado por un experto de la misma área que conoce a su totalidad

QuickBooks . Al ser una experto quien capacite al nuevo colaborador en QuickBooks,

pueden ahorrar un montón de tiempo, dinero y frustración, tanto para el nuevo

colaborador y a la Empresa. Y asi el nuevo colaborador aprenderá verdaderamente y

evitará los errores en primer lugar.


SOFTWARE

Evaluar si Quickbooks cumple con las leyes de contabilidad Salvadoreña.

Hallazgo

✔ Quickbooks, es el Sistema que la Empresa xxxxxx utiliza para llevar su contabilidad.

Pero en la auditoría se determino que: Quickbooks, no cumple con aspectos Legales

de la Contabilidad en El Salvador, por que la Ley establece: El Idioma en que debe

llevarse los libros de contabilidad es el castellano.

✔ EL contador manifiesta lo siguiente: “En el país la mayoría de empresas tienen

sistemas contables deficientes. El Quickbooks proporciona muchos reportes, genera

información rápida y confiable”.

Riezgo

✔ La Ley determina: Art. 436 del Cod. Comercio: Los registros deben llevarse en

castellano. La contraversión será sancionada por la oficina que ejerce la vigilancia

del Estado de conformidad a su Ley. Toda autoridad que tenga conocimiento de la

infracción, está obligada a dar aviso inmediato.

Recomendación

✔ La Empresa para no caer en un proceso Legal y ser sanciona, debiría buscar o

implementar otra alternativa que como Quickbooks les ayude a facilitar el trabajo

contable.


Verifcar en que se basan los del Área de IT para asignar el usuario y la contraseña a los

usuarios.

Hallazgo

✔ La asiganación de cuentas y usuarios a los colaboradores no es un método seguro,

entrevistando a un usuario, nos dijo que las cuentas eran asignadas de acuerdo a los

nombres del usuario. El usuario de la computadora es el Primer Nombre y Primer


Apellido, y la contraseña la inicial del Primer Nombre y la inicial del Primer Apellido,

seguido de oa123.

Riesgos

✔ De acuerdo a unas entrevistas realizadas a usuarios, todos coincidian cuál era la

forma de asignar usuarios y contraseñas a los equipos informáticos. Es decir que para

ingresar a una computadora que no les pertenece, solo hacia falta saber el primer

nombre y primer apellido y asi poder ingresar a la computadora. El riezgo es muy

grande ya que podrían incurrir a robo de información o simplemente buscar perjudicar

al compañero de labores.

Recomendación

✔ EL método de asignación de usuarios y contraseñas debería cambiar. Tomar nuevos

métodos y no divulgarlos a los usuarios. Establecer contraseñas fuertes y seguras

podría disminuir considerablemente los riesgos.


Con qué frecuencia cambian las contraseña a los usuarios.

Hallazgo

✔ No son frecuentes los cambios de contraseñas.

Riesgos

✔ Al no cambiar las contraseñas, dá mayor facilidad a que los demás la descubran y

accedan a la información de sus compañeros.

Recomendación

✔ Tomar la precaución de cambiar asiduamente sus contraseñas, ya sea porque el

usuario sospeche que la contraseña actual ha (o ha sido) descubierto, o como medida

de precaución, para mantener la seguridad de sus datos.



Evaluar con que frecuencias se realizán revisiones de los cables de redes.

Hallazgo

✔ En la entrevista, el técnico de IT manifiesta que no tienen un tiempo establecido para

la revisión de la red física.

Riezgo

✔ Al no tener un politica establecida para la revisión de los cables de red física

perjudica, ya que no podría detectar y corregir a tiempo problemas en las conexiones

de red cableadas.

Recomendación

✔ Establecer una política de revisón de cables de redes, para evitar daños y costos

elevados a la Empresa o provocando que algunos recursos como los archivos

compartidos se vuelvan inaccesibles hasta provocar a veces cortes de servicio.


Poseen manuales donde indiquen que hacen para prevenir y minimizar daños en sus

recursos informáticos, equipos de oficinas y otros materiales.

Hallazgo

✔ El área de IT no cuenta con manuales y lo unico que realizan son back up de la

información. Y para la protección del equipo informático realizan lo que estiman

conveniente en el momento y ante la emergencia.

Riezgo

✔ Al no tener manuales, en caso de emergencia no tendrán una guía que les indique

que hacer para proteger sus equipos informáticos y demas recursos de la Empresa.


Recomendación

✔ Elaborar formal y por escrito un manual que indique que hacer ante una emergencia, y

que indique como proteger su equipo y demas recursos de la Empresa. Y asi sabrían

que planes correctivos aplicar para solucionar los problemas que se presenten.


Se encuentra el departamento de IT en el Organigrama de la Empresa.

Hallazgo

✔ En el organigrama de la Empresa no toman en cuenta el Departamento de IT.

Riezgo

✔ Los del área de IT al no estar su departamento en el organigrama de la Empresa

podrían no sentirse parte vital y fundamental para la Empresa.

Recomendación

✔ El departamento de IT debería incluirse en el Organigrama de la Empresa, ya que es

una de las áreas muy importantes para el logro de los objetivos de la Empresa.


Perfil que tiene la Empresa para la selección de un nuevo colaborador en el área de IT. y

las descripción de las tareas a desarrollar en el puesto de trabajo.

Hallazgo

✔ No tiene por escrito los requsitos que un colaborador del área de IT debe cumplir.

Riezgo

✔ Al no tener por escrito no sabrán las descripciones que buscan en un nuevo

colaborador.


Recomendación

✔ Es recomendable que partan de la descripción de las tareas a desarrollar en el puesto

de trabajo y a partir de ahí podrán definir el perfil de trabajador que les interesa entre

la cuales podrían estar: formación, experiencia, conocimientos, habilidades, etc.


Planes de capacitación para los empleados de informática.

Hallazgo

✔ La Empresa no tiene planes de capacitaciones para los colaboradores de IT.

Riezgo

✔ La Empresa al no tener planes de capacitaciones para los del área de IT, puede

afectarse gracias a la desactualización y deficiencias de los conocimientos de sus

técnicos.

Recomendación

✔ Alguna de las recomendaciones que expertos en informática brindan es que la

Empresas brinden capacitaciones a los colaboradores de área de IT. La inversión en

capacitaciones pueden a ayudar, por ejemplo a : Disminución de riesgos informático,

otorga la posibilidad de contar con más y mejores herramientas y conociemientos,

entre otros beneficios.


Verificar si existen manuales por escrito de actividades y funciones a realizar en el área de

IT.

Hallazgo

✔ No existen manuales por escritode actividades y funciones a realizar en el área de IT.


Riezgo

✔ Ya que no tienen política por escrito para seguir no hacen actividades como: revisión

de cableados, prevenciones en los equipos de las oficinas, etc.

Recomendación

✔ Elaborar formal y por escrito un manual que indique las diversas actividades

programadas para el departamento de IT, donde indique que tan periodicamente

realizar revisiones de cableado, prevensión en los equipos informáticos, etc.


Evaluar el cableado de red y su Topoligía.

Hallazgo

✔ En la oficinas del área de producción observamos habia un cable de red cruzado

entre un escritorio y otro. Preguntamos y dijo era algo provisional. Pero en una nueva

visita a la Empresa obsevamos el cable aun estaba cruzado, y que no era algo

provisional.

✔ En las demás oficinas el cableado de red esta correctamente instalado y protegido.

Riezgo

✔ El cable que se encontró en la oficina del área de Producción, puede ser ocación de

accidente, ya que puede provocar resbalones, tropezones y caídas que pueden ser a

causa de un mantenimiento deficiente.

Recomendación

✔ La instalación del cableado de las diferentes oficinas debe seguir las normas del

cableado estructurado para prevenir accidentes en las oficinas.



Prevensión de virus.

Hallazgo

✔ La Empresa cuenta con el Antivirus Karsperky, se actualiza cada día y la seguridad

que proporciona según los usuarios y el Técnico de IT no es la mejor, ya que se

cuelan virus que ponen en riesgo su información.

Riezgo

✔ Al no tener un Antivirus seguro, se corre el riesgo que los virus se cuelen a los equipos

informáticos y produzcan daños a los archivos, e incluso dañe el servidor, etc.

Recomendación

✔ De acuerdo a algunas encuesta en la internet el Antivirus Karsperky, es uno de los

antivirus mejor evaluados. El hecho que no sea seguro y confiable a los usuarios,

quiza se deba a que el antivirus tenga algun problema a la hora de actualizar su base

de datos. Recomendamos revisar la base de datos, y si se estan actalizando todos los

días.


ANEXOS

CARTA DE FINALIZACIÓN

Empresa: xxxxxxx xxxxxxx

Sr. xxxxxxxxxx

San Salvador, 29 de mayo de 2015

Cargo: Jefe de Tecnologías de la Información (IT)

Tenemos el agrado de dirigirnos a su persona a efectos de dar a conocer el alcance obtenido

del trabajo de auditoria de sistema en el área de desarrollo profesional, auditoria realizada en

el periodo entre el periodo del 07 de marzo al 29 de mayo de 2014. Se formula la siguiente

carta de finalización y reviso la documentación a dar presentada. Sobre la base del análisis y

procedimientos detallados de todas las informaciones recopiladas y emitidas en el presente

informe, que a nuestro criterio es razonable.

En síntesis de la revisión realizada encontramos cinco áreas. Y son las siguentes:

1. Software.

2. Comunicaciones y Redes.

3. PLanes Contingenciales.

4. Dirección Informática.

5. Seguridad Física y Lógica.

Teniendo como hallazgos los siguientes puntos:

Software:

✔ Quickbooks, es el Sistema que la Empresa xxxxxx utiliza para llevar su contabilidad.

Pero en la auditoría se determino que: Quickbooks, no cumple con aspectos Legales

de la Contabilidad en El Salvador, por que la Ley establece: El Idioma en que debe

llevarse los libros de contabilidad es el castellano.

✔ Quickbooks, no tiene soporte técnico en el País. Se nos dijo que el encargado en

algunos casos del soporte técnico son los del área de informática. El contador

manifiesta que cuando el área de IT no puede resolver el problema, llaman a Estados

Unidos para que desde haya solucionen el problema.


✔ No es capacitado, al momento que ingresa a laborar al área de Contabilidad, uno de

los del área que ya conoce el uso de Quickbooks le enseña como se trabaja en el

programa de Contabilidad.

Comunicaciones y Redes.

✔ La asiganación de cuentas y usuarios a los colaboradores no es un método seguro,

entrevistando a un usuario, nos dijo que las cuentas eran asignadas de acuerdo a los

nombres del usuario. El usuario de la computadora es el Primer Nombre y Primer

Apellido, y la contraseña la inicial del Primer Nombre y la inicial del Primer Apellido,

seguido de oa123.

✔ No son frecuentes los cambios de contraseñas.

✔ En la entrevista, el técnico de IT manifiesta que no tienen un tiempo establecido para

la revisión de la red física.

Planes Contingenciales .

✔ El área de IT no cuenta con manuales y lo unico que realizan son back up de la

información. Y para la protección del equipo informático realizan lo que estiman

conveniente en el momento y ante la emergencia.

Dirección Informática.

✔ En el organigrama de la Empresa no toman en cuenta el Departamento de IT.

✔ No tiene por escrito los requisitos que un colaborador del área de IT debe cumplir.

✔ La Empresa no tiene planes de capacitaciones para los colaboradores de IT.

✔ No existen manuales por escrito de actividades y funciones a realizar en el área de IT.


✔ En la oficinas del área de producción observamos habia un cable de red cruzado

entre un escritorio y otro. Preguntamos y dijo era algo provisional. Pero en una nueva

visita a la Empresa obsevamos el cable aun estaba cruzado, y que no era algo

provisional.


✔ La Empresa cuenta con el Antivirus Karsperky, se actualiza cada día y la seguridad

que proporciona según los usuarios y el Técnico de IT no es la mejor, ya que se

cuelan virus que ponen en riesgo su información.

Según el análisis realizado hemos encontrado falencias en las áreas auditadas.

Agradecemos la colaboración prestada durante nuestra visita a la Empresa, y quedamos a

disposición para cualquier aclaración de la presente que estime necesaria.

Atentamente:

Marta Esmeralda Hernández Pacas.

Sara Olinda Peña Navarro.


trabajo de auditoria de sistemas

Education