La evolucion de la especie humana-primero de secundaria
Auditoría Sistema XXXXX
1. UNIVERSIDAD LUTERANA SALVADOREÑA
FACULTAD DE CIENCIAS DEL HOMBRE Y LA NATURALEZA
LIC. ANA LISSETT GIRÓN BERMÚDEZ
AUDITORÍA DE SISTEMAS
TEMA:
AUDITORÍA DE SISTEMA EN LA EMPRESA XXXXX
ALUMNOS
N° CARNET NOMBRES CARRERA
HP01121473 HERNÁNDEZ PACAS, MARTA ESMERALDA LIC. COMPUTACIÓN
PN01121384 PEÑA NAVARRO, SARA OLINDA LIC. COMPUTACIÓN
San Salvador, 30 de mayo 2015
Auditoria de Sistemas 1
2. Índice de contenido
FASE I: PLANEACIÓN DE LAAUDITORIA DE SISTEMASFASE I: PLANEACIÓN DE LAAUDITORIA DE SISTEMAS............................................................................................................................44
INTRODUCCIÓNINTRODUCCIÓN..........................................................................................................................................................................................................................................................................44
OBJETIVOS DEL DOCUMENTOOBJETIVOS DEL DOCUMENTO......................................................................................................................................................................................................................55
GENERALGENERAL..................................................................................................................................................................................................................................................................................................55
ESPECÍFICOSESPECÍFICOS......................................................................................................................................................................................................................................................................................55
ANTECEDENTES DE LA EMPRESAANTECEDENTES DE LA EMPRESA..........................................................................................................................................................................................................66
ORGANIGRAMA DE LA EMPRESAORGANIGRAMA DE LA EMPRESA............................................................................................................................................................................................................77
DETALLE DE LOS DEPARTAMENTOS Y LAS ACTIVIDADES QUE SE AUDITARÁNDETALLE DE LOS DEPARTAMENTOS Y LAS ACTIVIDADES QUE SE AUDITARÁN..................................88
ANTECEDENTES Y DESCRIPCIÓN DE LAS APLICACIONES UTILIZADAS (SOFTWARE)ANTECEDENTES Y DESCRIPCIÓN DE LAS APLICACIONES UTILIZADAS (SOFTWARE)..........1111
IDENTIFICACIÓN DE ÁREAS CRÍTICASIDENTIFICACIÓN DE ÁREAS CRÍTICAS....................................................................................................................................................................................1414
JUSTIFICACIÓN Y PONDERACIÓN DE ÁREAS CRÍTICASJUSTIFICACIÓN Y PONDERACIÓN DE ÁREAS CRÍTICAS......................................................................................................................1515
ALCANCE DE LAAUDITORIA INFORMÁTICAALCANCE DE LAAUDITORIA INFORMÁTICA..............................................................................................................................................................1818
OBJETIVO DE LAAUDITORIAOBJETIVO DE LAAUDITORIA......................................................................................................................................................................................................................1919
GENERALGENERAL..............................................................................................................................................................................................................................................................................................1919
ESPECÍFICOSESPECÍFICOS..................................................................................................................................................................................................................................................................................1919
DETERMIANCIÓN DE LOS RECURSOS NECESARIOS PARA REALIZAR LAAUDITORIA.DETERMIANCIÓN DE LOS RECURSOS NECESARIOS PARA REALIZAR LAAUDITORIA.........1919
PRESUPUESTO FINANCIEROPRESUPUESTO FINANCIERO..........................................................................................................................................................................................................................2020
CRONOGRAMA DE ACTIVIDADESCRONOGRAMA DE ACTIVIDADES......................................................................................................................................................................................................2121
PROGRAMA DE AUDITORIAPROGRAMA DE AUDITORIA..........................................................................................................................................................................................................................2121
ANEXOSANEXOS..................................................................................................................................................................................................................................................................................................3535
CARTA DE OFERTACARTA DE OFERTA..............................................................................................................................................................................................................................................................3535
CUESTIONARIO DE CONTROL INTERNOCUESTIONARIO DE CONTROL INTERNO................................................................................................................................................................................3636
FASE II: EJECUCIÓN DE LAAUDITORIA DE SISTEMASFASE II: EJECUCIÓN DE LAAUDITORIA DE SISTEMAS..............................................................................................................................4747
INTRODUCCIÓNINTRODUCCIÓN......................................................................................................................................................................................................................................................................4747
OBJETIVOS DEL DOCUMENTOOBJETIVOS DEL DOCUMENTO................................................................................................................................................................................................................4848
GENERALGENERAL..............................................................................................................................................................................................................................................................................................4848
ESPECÍFICOSESPECÍFICOS................................................................................................................................................................................................................................................................................4848
PRESENTACIÓN DE POLÍTICAS DE SEGURIDADPRESENTACIÓN DE POLÍTICAS DE SEGURIDAD....................................................................................................................................................4949
TÉCNICAS DE EVALUACIÓN APLICABLES A UNAAUDITORIA DE SISTEMASTÉCNICAS DE EVALUACIÓN APLICABLES A UNAAUDITORIA DE SISTEMAS............................................5555
PRESENTACIÓN DE PAPELES DE TRABAJOSPRESENTACIÓN DE PAPELES DE TRABAJOS..................................................................................................................................................................5858
ALCANCE DE LAADITORIA INFORMÁTICAALCANCE DE LAADITORIA INFORMÁTICA..................................................................................................................................................................5959
OBJETIVO DE AUDITORIAOBJETIVO DE AUDITORIA................................................................................................................................................................................................................................6060
GENERALGENERAL..............................................................................................................................................................................................................................................................................................6060
ESPECÍFICOSESPECÍFICOS..................................................................................................................................................................................................................................................................................6060
CRONOGRAMA DE ACTIVIDADES DE LA EJECUCIÓN DE LAAUDITORIACRONOGRAMA DE ACTIVIDADES DE LA EJECUCIÓN DE LAAUDITORIA......................................................6060
PROGRAMA DE AUDITORIAPROGRAMA DE AUDITORIA..........................................................................................................................................................................................................................6161
ANEXOSANEXOS..................................................................................................................................................................................................................................................................................................8383
GLOSARIOGLOSARIO ........................................................................................................................................................................................................................................................................................8383
BIBLIOGRAFÍABIBLIOGRAFÍA..........................................................................................................................................................................................................................................................................8686
FASE III: INFORME DE LAAUDITORIA DE SISTEMASFASE III: INFORME DE LAAUDITORIA DE SISTEMAS..................................................................................................................................8787
INTRODUCCIÓNINTRODUCCIÓN......................................................................................................................................................................................................................................................................8787
OBJETIVOS DEL DOCUMENTOOBJETIVOS DEL DOCUMENTO..................................................................................................................................................................................................................8888
GENERAL:GENERAL:............................................................................................................................................................................................................................................................................................8888
ESPECÍFICOS:ESPECÍFICOS:..............................................................................................................................................................................................................................................................................8888
Auditoria de Sistemas 2
3. ALCANCE DE LAADITORIA INFORMÁTICAALCANCE DE LAADITORIA INFORMÁTICA..................................................................................................................................................................8989
OBJETIVOS DE AUDITORIAOBJETIVOS DE AUDITORIA............................................................................................................................................................................................................................9090
GENERALGENERAL..............................................................................................................................................................................................................................................................................................9090
ESPECÍFICOSESPECÍFICOS..................................................................................................................................................................................................................................................................................9090
CROMOGRAMA DE ACTIVIDADESCROMOGRAMA DE ACTIVIDADES....................................................................................................................................................................................................9191
PRESENTACIÓN DE INFORMEPRESENTACIÓN DE INFORME......................................................................................................................................................................................................................9191
ANEXOSANEXOS..............................................................................................................................................................................................................................................................................................100100
CARTA DE FINALIZACIÓNCARTA DE FINALIZACIÓN..............................................................................................................................................................................................................................100100
Auditoria de Sistemas 3
4. FASE I: PLANEACIÓN DE LA AUDITORIA DE SISTEMAS
INTRODUCCIÓN
El documento tiene como fín , mostrar la Planificación realizada previamente a la auditoría
informática, que se llevará a cabo en la Empresa xxxxxx
En está primera etapa del proyecto se describen, los antecedentes de la Empresa xxxxxx en
donde se muestra su estructura organizativa, la actividad económica, los principales
productos y servicios que ofrece, el segmento de mercado, sus principales proveedores,
entre otras.
Támbien se detallan los antecedentes y descripciones de las diferentes aplicaciones de
software utilizadas en la Empresa. En donde se especifican los nombres de las aplicaciones,
si poseen licencias, desde cuando las utilizán, etc.
Seguidamente se identifican las áreas críticas, estas fue obtenidas con las entrevistas, el
material del cuestionario y visitas a la Empresa. Se seleccionan cinco áreas críticas, a las
cuales se les dá una ponderación y una justificación del porque su selección.
Auditoria de Sistemas 4
5. OBJETIVOS DEL DOCUMENTO
GENERAL
➢ Planificar la Auditoría de Sistema Informática, que se realizará en la Empresa
xxxxxxxxxxx.
ESPECÍFICOS
✔ Identificar las áreas críticas, que representan mayor riesgo dentro de la Empresa
xxxxxxxxxxxxxxxxx.
✔ Elaborar Programas de Auditoría, en donde se detallen los procedimientos a ejecutar.
Auditoria de Sistemas 5
6. ANTECEDENTES DE LA EMPRESA
Reseña Histórica.
xxxxxxxxxxxxxxx, es una Empresa salvadoreña subsidiaria de xxxxxxxxxxxxxxxx, que se
constituyo de acuerdo con las Leyes de El Salvador el 19 de Septiembre de 2000, bajo el
nombre de xxxxxxxxxxxxxxxx
El 1 de diciembre de 2011, de acuerdo a la estructura de constitución la razon social de la
Compañia cambio axxxxxxxxxxxxxxxx, que hasta hoy en día es conocida con este nombre.
Visión
Ser un socio de elección en los Servicios de Suministro de ropa de diseño hasta la
distribución.
Misión
Desarrollar y fabricar productos y servicios innovadores y competitivos. Impulsados por
personas apasionadas y con talento que se rigen por normas estrictas en cuanto a fiabilidad
y flexibilidad.
Pasión
Nuestra búsqueda es innovar y ser el mejor en todas las áreas; productos, servicios,
procesos y contribución individual y asi mejoran la competitividad de nuestros clientes.
Trabajo en Equipo
Animamos a la participación y la implicación de los trabajadores, y respetamos la
contribución individual para nuestro éxito.
Responsabilidad Social
Nuestras acciones como individuo y como ciudadano corporativo, es estimular la calidad de
vida y proteger el medio ambiente de las comunidades en las que hacemos nuestro negocio.
Auditoria de Sistemas 6
7. ORGANIGRAMA DE LA EMPRESA
Estructura Organizativa de la Empresa xxxxxxxxxxxxxx
Cantidad de Empleados.
El número de empleados con la que cuenta la Empresa es de: 1250 empleados.
El área de informática cuenta con 3 empleados, y el área de contabilidad con 6 empleados.
Auditoria de Sistemas 7
8. DETALLE DE LOS DEPARTAMENTOS Y LAS ACTIVIDADES QUE SE AUDITARÁN
Departamento de Informática.
Para llevar a cabo la auditoría informática, se necesitara información de área de IT, ya que es
el departamento encargado de realizar los mantenimientos pertinentes de los Sistemas
Informáticos y velar que el Hardware se encuentren en buen estado para que los demás
departamentos de la Empresa realicen eficientemente su trabajo.
Actividades a Auditar
1. Software.
2. Comunicaciones y Redes.
3. Planes Contingenciales .
4. Dirección Informática.
5. Seguridad Física y Lógica.
Personal que atenderá la Auditoría
Nombre: xxxxxxxxxxxxxxxxxxxxxxx
Cargo: Tecnloogías de la Información.
Teléfono:
Empleados Claves de los Departamentos.
✔ xxxxxxxxxxxxxxxxxxx ( Jefé de IT).
✔ xxxxxxxxxxxxxxxxxxxx (Técnico de IT).
✔ xxxxxxxxxxxxxxxxxxxxx. (Contador).
✔ xxxxxxxxxxxxxxxxxxxxxxx( Asistente de Contabilidad).
Actividad Económica.
Su actividad principal es el establecimiento, desarrollo y la operación de la industria
maquiladora en el Salvador.
Auditoria de Sistemas 8
9. Su Ubicación.
xxxxxxxxxxx xxxxxxxxxxxxxxx xxxx, en el Departamento de La Paz. Cabe mencionar que no
cuenta con sucursales.
Productos y Servicios.
Productos:
Productos que ofrece xxxxxxxxxxxx. Son productos confeccionados, como:
✔ Pants, Short., Blusas, Ropa para bebes, Bestidos, Faldas, Chaquetas, Vestidos, Batas
de Baño, Suéter, Entre otros (La Empresa confecciona multiestilos)
Servicios:
La Empresa brinda sus servicios a otras Empresas dentro del mismo rubro, como por
ejemplo:
✔ Corte de Prendas, Confección de Prendas, Bordado de prendas, Lavado de Prendas.
Segmento de Mercado.
Los Clientes de la Empresa, que solicitan productos a xxxxxxxxxxxxxxxxxxxxx Son:
Auditoria de Sistemas 9
10. La Empresa sigue en constante desarrollo expandiendo sus servicios y calidad a más paises
y logrando obtener más clientes de tramos altamente prestigiosos. Todos sus productos son
exportados a otros paises, donde las marcas realizán la distribución de sus prendas en
tiendas de prestigios.
Pricipales Proveedores.
✔ Accesorios Textiles S.A de C.V: Guatemala.
✔ Avery Dennison: El Salvador, China, Mexico, Honduras, Hong Kong, Taiwan, Korea.
✔ Fabrica de Botones Del Valle: Guatemala.
✔ Finotex S.A de C.V : El SAlvador.
✔ Mayotex, S.A : Guatemala.
✔ Textufil S.A de C.V : El Salvador.
✔ Coats S.A de C.V: El Salvador.
✔ Jovida
✔ Bordados Rivas S.A de C.V: El salvador.
✔ Caisa S.A de C.v: El Salvador.
✔ Carolina Cotton Works, Inc: Estados Unidos
✔ Clotex Labels Co. LTD : Hong Kong, China.
✔ E.C.I Elastic CO., LTD : Taiwan
A parte de estos proveedores hay otros, los proveedores pueden ser nacionale o
internacionales, la adquisición de parte de la Empresa dependerá de la calidad y precios que
ofrecen los proveedores.
Auditoria de Sistemas 10
11. ANTECEDENTES Y DESCRIPCIÓN DE LAS APLICACIONES UTILIZADAS (SOFTWARE)
Sistema Operativo
Nombre:
✔ Windows Server 2008.
Forma de adquisición.
✔ Licencia Pagada.
Fecha deAdquisición.
✔ Año 2012
Sistema Contable Quickbooks
Nombre.
Quickbooks
Idioma.
✔ El idioma en que esta desarrollo Quickbooks es en Inglés.
Descripción.
✔ Las estaciones de trabajo cliente bajo Quickbooks Enterprise 13 requieren un
procesador de 2 GHz, con 1 GB de RAM para un usuario individual.
Múltiples usuarios, o estaciones de trabajo con la versión de 64 bits de Windows 8,
requieren 2 GB de RAM. El servidor también requiere un procesador de 2 GHz,
aunque se recomienda 2,4 GHz.
Base de Datos
✔ PPMSVR (Esta BD la provee Quickbooks)
Modulos
✔ Ventas
✔ Compras
Auditoria de Sistemas 11
12. ✔ Registro Y Control De Inventario
✔ Control De Depósitos
✔ Conciliaciones Bancarias
✔ Partidas De Diario.
Sistema Operativo y Compatibilidad de Sotftware de Quickbooks
Para el Cliente:
✔ Quickbooks Enterprise, pueden ser instaladas sobre versiones de Windows, partiendo
con Windows XP (Service Pack 2). Windows Vista (SP2), Windows 7 y Windows 8 son
soportados tanto en sus versiones de 32 bits como en las de 64 bits.
Para el Servidor:
✔ El software servidor para Quickbooks Enterprise se ejecutará sobre versiones de
Windows Server, partiendo con Server 2003 y continuando con Windows 8.
Tipos de Usuarios
✔ Usuario Normal
✔ Super Usuario
✔ Consulta
Forma de adquisición
✔ Licencia Pagada.
Fecha de Implementación
✔ Año 2012
Antivirus Karsperky
Nombre:
✔ Karsperky
Auditoria de Sistemas 12
13. Forma de Adquisición
✔ Licencia Pagada por dos años.
Fecha de Implementación
✔ 30 de Junio de 2014.
Decripción
Hasta la fechar 30 de Junio de 2014, los equipos informáticos estabán protegidos por el
Antivirus Panda, pero la Empresa decidió ya no utilizar Panda, por que ya no tenía soporte
técnico en El Salvador.
Debido a eso, la Empresa tomo la decisión de hacer una nueva adquisición del Antivirus
Karsperky.
Lo que llevo a la Empresa decidirce por el Antivirus Karsperky fue:
1. Por que consume menos memoria.
2. Es más barato (fue adquirido en base de cotizaciones).
3. Por que Panda ya no tenía soporte técnico en El Salvador.
Auditoria de Sistemas 13
14. IDENTIFICACIÓN DE ÁREAS CRÍTICAS
Ponderación de Todas las Áreas.
ÁREAS PONDERACIÓN
1. Hardware. 5%
2. Software. 22%
3. Comunicaciones y Redes. 20%
4. Planes Contingenciales . 10%
5. Dirección Informática. 15%
6. Seguridad Física y Lógica. 15%
7. Basé de Datos. 10%
8. Outsourcing. 3%
PONDERACIÓN TOTAL 100%
Poderación de las Áreas Críticas Identificadas
ÁREAS PONDERACIÓN
1. Software. 28%
2. Comunicaciones y Redes. 25%
3. Planes Contingenciales . 5%
4. Dirección Informática. 22%
5. Seguridad Física y Lógica. 20%
PONDERACIÓN TOTAL 100%
Auditoria de Sistemas 14
15. JUSTIFICACIÓN Y PONDERACIÓN DE ÁREAS CRÍTICAS
ÁREAS A EVALUAR
PESO POR
FACTOR % JUSTIFICACIÓN
Hardware
5%
La Empresa cuenta con equipo en buen estado,
se realizán sus mantenimientos, se notificán las
fallas y se les da el seguimiento respectivo al
equipo. Realizán sus respaldo diariamente y es
automatizado y revisado por IT, y para su
servidores su mantenimiento es frecuente, es
decir que no se la mantenimiento sólo cuando
se notifica algún problema. Debido a esto no
será parte de nuestra auditoría.
Software 22%
Se auditará el Software de Contabilidad
Quickbooks utilizado por la Empresa para llevar
su contabilidad.
Quickbooks es un sistema creado en Ingles. Y la
ley de El Salvador estipula que: Toda
contabilidad en una Empresa en El Salvador,
debe ser llevada en idioma Español.
Comunicaciones
y Redes 20%
Mediante una visita a la Empresa, observamos
que en algunas oficinas NO utilizan ningun tipo
de topología establecidas por la normas de
cableado. Logramos observar que las
instalaciones de cableado se realizan de
acuerdo a la ubicación de los escritorios y el
espacio disponoble.
En la entrevista se cuestionó al Téncio de IT, a
Auditoria de Sistemas 15
16. que se debía el hecho que las instalaciones de
los cables de red no seguián nigún tipo de
topología establecida; y su respuesta fue, que
en algunos casos era el jéfe del área quién
asignaba las ubicaciones de los escritoris dentro
de la oficina.
Planes
Contingenciales 15%
El entrevistado manifiesta, están obligados por
los auditores de parte de sus clientes a realizar
cada tres meses simulacros. Y son realizados
con todo el personal de la Empresa sin previo
aviso. Manifiestan que sus planes de
contingencias son efectivos y que estan
debidamente documentados.
Pero la Empresa no capacita a personal de
diferentes áreas para el uso de los extintores de
fuego.
Dirección
Informática 10%
De acuerdo a la entrevista realizada al técnico
de IT, se nos dijo que los colaboradores del área
de informática no reciben capacitaciones
frecuentes.
Tambien manifesto, no poseen ningún tipo de
manual por escrito en el área de IT.
Seguridad Física y
Lógica 10%
Respecto a la seguridad física dentro de la
Empresa, el entrevistado manifiesta que
cuentan con sistemas de alarmas, extintores en
las diferentes áreas, con pólizas de seguros, las
diferentes áreas cuentan con salidas de
Auditoria de Sistemas 16
17. emergencias, la iluminación en las diferentes
oficinas es la adecuada.
Mientras que con la seguridad Lógica, algunos
usuarios nos manifestarón que el antivirus
instalado no protege su equipo en un 100%. Y
se nos dijo que no hay un control en el equipo
de los usuarios para que no introduzcan
dispositivos de entradas de su propiedad, es
decir ajenos a la Empresa.
Base de Datos
15%
No se evaluará ya que no poseen
conocimientos suficientes, tanto de parte del
área de IT como contabilidad. Y por que cuenta
con niveles de seguridad para el acceso a la
base de datos.
Outsourcing 3%
La Empresa tiene un contarto vigente con una
Empresa de Seguridad encargada para la
vigilancia interna y externa de las instalaciones.
Pero no reciviremos ningún tipo de información
de las actividades que la Empresa de Seguridad
realiza. Debido a eso, esta área no se tomará
en cuenta para ser auditada.
Auditoria de Sistemas 17
18. ALCANCE DE LA AUDITORIA INFORMÁTICA
El alcance de la auditoria informática se realizará de acuerdo a las áreas críticas
identificadas:
ALCANCE
Software. Lo que auditaremos en Software es:
• Software de Contabilidad Quickbooks utilizado por la
Empresa para llevar su contabilidad.
Comunicaciones
y Redes.
En esta área lo principal a auditar será:
• Topología correcta de los cableados de redes en
todas las oficinas.
Planes
Contingenciales .
En el área de Planes de Contingencias, se evaluará
primoldialmente:
• Qué tan frecuentes son las capacitaciones que recive
el personal de las diferentes áreas de la Empresa,
para el uso y dominio de los extintores en caso de
emergencia.
Dirección Informática. Ya que no poseen ningún tipo de manuales se auditará:
• Medios que utilizán y en que se basan, al no poseer
manuales (no poseen manuales de usuarios, ni de
sistemas informáticos).
Seguridad Física
y Lógica.
En esta área se auditará principalmente:
• El antivirus utilizado por la Empresa.
• Cúal es el control de uso de dispositivos que
introducen en los equipos de los ususarios.
Auditoria de Sistemas 18
19. OBJETIVO DE LA AUDITORIA
GENERAL
✔ Identificar las áreas críticas y los diferentes riesgos que estas con llevan, al no ser
solucionadas por parte de la Empresa xxxxxx, aplicando los procedimientos, técnicas
y métodos, con la finalidad de determinar la efectividad y efeciencia del departamento
de IT.
ESPECÍFICOS
✔ Evaluar los riesgos que contienen las diferentes áreas críticas identificadas.
✔ Aplicar los procedimientos, técnicas y métodos para el desarrollo eficiente de la
auditoria.
✔ Verificar la capacidad de respuesta de la Empresa ante los riesgos detectados.
✔ Observar el nivel de respuesta del depratemento de IT ante los riesgos identificados.
DETERMIANCIÓN DE LOS RECURSOS NECESARIOS PARA REALIZAR LA AUDITORIA.
Para la realización de la auditoria, se requiere de los siguientes elementos:
Recursos Humanos
✔ 1 Auditores.
✔ 1 Especialista en informática.
Recursos Materiales
✔ 2 PC
✔ Papeleria y útiles.
✔ Equipo tecnológico para la presentación del informe final.
Otros
✔ Viáticos.
Auditoria de Sistemas 19
21. CRONOGRAMA DE ACTIVIDADES
PROGRAMA DE AUDITORIA
Empresa: xxxxxxx Hecho por: S/P
Periodo Auditado: Revisado por: E/H
Área Auditada: Software Fecha:
Persona que Atendio: Xxxx
xxxxx
Cargo: Técnico IT
Contador
SOFTWARE
N°
Actividad a
Evaluar
Procedimiento de Auditoria Herramientas Observación
1.
Verificar el
licenciameinto de
Quickbooks.
Revisas si la Empresa posee
licencia del sistema contable
Quickbooks.
Testimonial
2. Modulos con que
cuenta
Quickbooks.
Verificar con qué modulos cuenta
Quickbooks.
Física.
Auditoria de Sistemas 21
22. 3.
Observar el
idioma en el que
esta desarrollado
Quickbooks.
Investigar según la ley de El
Salvador, en que idiomas debe
llevarse la contabilidad en El
Salvador.
Física.
4.
Evaluar si
Quickbooks
cumple con las
leyes de
contabilidad
Salvadoreña.
Investigar bajo que leyes debe
llevarse la contabilidad en las
Empresas. Y si Quickbooks cumple
con la leyes impuestas en El
Salvador.
Física.
5.
Verificar medidas
de seguridad de
Quickbooks .
Evaluar las diferentes medidas que
Quickbooks tiene como medidas de
seguridad.
Testimonial
6.
Evaluar el
soporte técnico.
Verificar los soportes técnicos con
que cuenta Quickbooks. Testimonial
7.
Encargados de
soporte Técnico.
Verificar quienes son los
responsables del soporte técnico. Testimonial
8.
Evaluar los
requeri-mientos.
Verificar cuales son los
requerimientos que los equipos
deben poseer para instalar
Quickbooks.
Física.
Documental.
9.
Plataforma en
que esta
instalado
Quickbooks.
Verificar en que plataforma trabajan
Quickbooks en la Empresa.
Física.
Auditoria de Sistemas 22
23. 10.
Verificar el
control de acceso
a Quickbooks.
Verificar el control de acceso a
Quickbooks si la realizan mediante
contraseñas.
Física.
11.
Principales
usuarios.
Verificar quienes son los principales
usuarios con acceso a Quickbooks.
Física.
Testimonial.
12
Entrevistar al
contador.
Preguntar al contador, en que le
facilta el trabajo Quickbooks.
Testimonial.
13.
Capacitación a
los usuarios.
Verificar si al personal de nuevo
ingreso en el área de contabilidad
es capacitado antes por un experto
para el uso de Quickbooks.
Testimonial.
14.
Verificar si
realizan copias
de seguridad.
Verificar si Quickbooks realiza
copias de seguridad y archivos
como medida de seguridad.
Testimonial.
15.
Evaluar los casos
de
actualizaciones.
Mediante una entrevista, preguntar
que hacen en caso de actualizanes
de Quickbooks.
Testimonial.
Empresa: xxxxxxxxx Hecho por: S/P
Periodo Auditado: Revisado por: E/H
Área Auditada: Comunicaciones y Redes Fecha:
Persona que Atendio: xxxxxxxxxxxx Cargo: Técnico IT
COMUNICACIONES Y REDES
N°
Actividad a
Evaluar
Procedimiento de Auditoria Herramientas Observación
1. Revisar la
topología de la
red.
Examinar si el cableado de la
Empresa cumple con los estandares
de la industria y si se encuentran
Física.
Análitica.
Auditoria de Sistemas 23
24. debidamente protegidos.
2.
Cuenta con
intranet ó
internet.
Preguntar al área de It si cuenta con
intranet ó internet. Testimonial.
3.
Verficar si el tipo
de cable esta
diseñado para el
ancho de banda.
Si envia los datos a una velocidad
adecuada y sin interferencias.
Física.
4.
Evaluar la
rápides de envio
de información.
Realizar pruebas para verificar la
rápidez de envio de datos.
Física.
Testimonial.
5.
Medir la
velocidad del
internet.
Verificar la velocidad de conexión a
internet. Física.
6.
Plataforma de
software en que
funciona el
servidor de
correo.
Verificar la plataforma que utiliza el
servidor de correo de la Empresa,
por el cual se transmiten los
mensajes.
Testimonial.
7.
Asignación de
cuentas y
cobtraseñas a
las PC de los
usuarios.
Verifcar en que se basan los del
Área de IT para asignarles el
usuario y la contraseña.
Testimonial.
8.
Con qué
frecuencia
cambian las
contraseña a los
usuarios.
Chequear con qué frecuencia, el
área de IT cambia las contraseña a
los usuarios.
Testimonial.
Auditoria de Sistemas 24
25. 9.
Revisar el
bloqueo de
algunas
computadoras a
internet.
Identificar que computadoras de
diferentes departamentos tienen
acceso a internet.
Física.
Testimonial.
10.
Manejo de
firewall.
Verificar si el firewall implementado
detecta y protege:
• Ataque de IP falsas.
• Ataque de denegación del
servicio.
Física.
Testimonial.
11.
Configuración de
firewall.
Reivisar si existe un firewall
debidamente configurado Testimonial.
12
Verificar los
privilegios a
usuarios.
Evaluar en que se basan para dar
privilegios a usuarios de los
diferentes departamentos.
Testimonial.
13.
Elementos que
utilizan para la
comunicación.
Revisar los medios que utilizan para
comunicarse entre los diferentes
departamentos.
Testimonial.
Física
14.
Revisión de la
red física.
Evaluar con que frecuencias se
realizán revisiones de los cables de
redes.
Testimonial.
15.
Bloqueo de
aplicaciones
Verificar que la Empresa tenga
políticas de seguridad y de controles
de acceso a aplicaciones basadas
en la web. Documental
Auditoria de Sistemas 25
26. Empresa: xxxxxxxxxxx Hecho por: S/P
Periodo Auditado: Revisado por: E/H
Área Auditada: Planes Contingenciales Fecha:
Persona que Atendio: xxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxx
Cargo: Técnico IT
Jefe IT
PLANES CONTINGENCIALES
N° Actividad a Evaluar Procedimiento de Auditoria Herramientas Observación
1.
Evaluar si existen
políticas por
escrito sobre los
planes que ellos
realizan en las
diferentes áreas
de la Empresa.
Pedir manuales donde se
encuentren reflejadas las políticas
sobre los planes contingenciales, ya
que los manuales, deben estar
documentos.
Documental
2.
Evaluar los
planes de
contingencias que
se están
desarrollando
actualmente.
Observar los diferentes planes que
se están realizando, los cuales
están enfocados para evitar
cualquier eventualidad que pueda
suceder en el futuro
Testimonial.
3. Evaluar la
aplicación de
simulacros, asi
como el plan
contingenciales
durante la
ocurrencia de una
falla grave en el
Realizar una serie de simulacros
para verficar si los planes de
contingencias que se tienen están
respondiendo satisfactoriamente
haciendo pruebas de back up y
revisar dichos archivos.
Testimonial
Auditoria de Sistemas 26
27. sistema.
4.
Evaluar si los
empleados
conocen sobre los
planes
contingenciales.
Preguntar a los empleados si ellos
conocen los planes en dado caso
que exista una catástrofe, entre
otras cosas. Y si alguna ves han
hecho un simulacro.
Testimonial
5.
Evaluar la
confiabilidad en la
aplicación en las
medidas del plan
de contingencias.
Examinar si las medidas que se
tiene en caso de una eventualidad,
la aplicación de los
planes de contingencias sea rápida
y dé una respuesta satisfactoria.
Testimonial
Analítica
7.
Evaluar si
cuentan con sus
respectivas
medidas de
seguridad.
Observar si cuentan con salidas de
seguridad en los diferentes áreas. Y
si los extintores se encuentrán en
una buena ubicación.
Física.
8.
Evaluar si
cuentan con
planes para
prevenir daños en
los recursos.
Observar y pedir manuales para
conocer que hacen para prevenir y
minimizar daños en sus recursos
informáticos, equipos de oficinas y
otros materiales.
Testimonial
9. Evaluar quienes
son las personas
involucradas al
momento de
efectuar los
planes
Preguntar quién ó quiénes, son las
personas responsables a la hora
de efectuar los planes
contingenciales.
Testimonial
Auditoria de Sistemas 27
28. contingenciales.
10.
Evaluar Planes
Correctivos.
Revisar y preguntar sobre los
planes correctivos, que hacen para
solucionar sus problemas en el
momento que se presenten.
Testimonial
11.
Evaluar planes
cuando hay
saturación de
información.
Preguntar y verificar si se envia
información masiva a las oficinas, y
que sucede cuando el trafico de
datos se vuelve lento.
Testimonial
12.
Evaluar seguridad
elétrica.
Realizar pruebas de un apagón de
luz para saber si funciona
correctamente la planta de energía
eléctrica.
Testimonial
13.
Auditoría de
Planes
Contingenciales
Evaluar plan
cuando se cae la
conexión de
proveedor de
internet.
Realizar pruebas y verificar si ellos
cuentan con otro proveedor de
internet, para poder evaluar que
pasa si la red de un proveedor de
internt se cae.
Testimonial
14.
Evaluación de
reanudación de
actividades.
Investigar si existe un equipo de
dirección de reanudación y un
responsable del mismo, para dirigir
y coordinar las distintas actividades
durante la contingencia o desástre.
Testimonial
Auditoria de Sistemas 28
29. Empresa: xxxxxxxxx Hecho por: S/P
Periodo Auditado: Revisado por: E/H
Área Auditada: Dirección Informática Fecha:
Persona que Atendio:
xxxxxxxx
Cargo: Técnico IT
Contador
DIRECCIÓN INFORMÁTICA
N° Actividad a Evaluar Procedimiento de Auditoria Herramientas Observación
1.
Evaluar el perfil
de los empleados
del área de
informática,
mediante la
revisión de los
manuales de
función y de
usuario.
Revisar los manuales de funciones
de empleados de infomática.
Revisar los manuales de usuarios
de sistemas.
Testimonial
2.
Capacita-ciones
del personal IT.
Realizar una entrevista al director
del área de IT, que tan frecuentas
son las capacitaciones de sus
colaboradores.
Testimonial
3.
Evaluar la
existencia y
cumplimiento de
los objetivos de la
institución dentro
del departamento
de informática.
Entrevistar a los empleados de
informática y preguntarles si tienen
claros los objetivos de su
departamento y de la institución.
Testimonial
Auditoria de Sistemas 29
30. 4.
Nivel en el que se
encuentra
jerarquico en el
departamento de
IT.
Realizar una análisis del
organigrama de la Empresa y ver en
que nivel se encuentra el
departamento de informática.
Análitica.
5.
Verificar, cúal es
el perfil para la
selección y
promoción del
área de
informática.
Revisar los requisitos para la
selección de un nuevo colaborador
en el área de IT. Análitica.
Testimonial
6.
Evaluar la
administración de
los recursos
humanos
asignados al área
de informática, en
cuanto a
capacitación y
adiestra-miento.
Análizar si los empleados están
sobrecargados de actividades.
Análitica.
Testimonial
7.
Identificar los
planes de
capacitación.
Revisar los planes de
capacitaciones para los empleados
de informática.
Testimonial
8.
Identificar el perfil
de los nuevos
empleados a
contratar.
Verificar si existe algo por escrito,
donde se detallen las características
del nuevo personal a contratar.
Testimonial
Análitica.
9. Verficar el tiempo
del personal de IT
Preguntar el tiempo que han
laborado en la Empresa el personal
Testimonial
Auditoria de Sistemas 30
31. en la Empresa. de IT.
10.
Verificar que
exista una
persona que se
encargue de crear
perfiles.
Observar si hay una persona
encargadad de crear los perfiles de
los usuarios.
Testimonial
11.
Verificar que tan
frecuentes son las
capacita-ciones.
Preguntar al personal que tan
frecuentes son las capacitaciones
que reciven.
Testimonial
12
Verificar personal
existente en IT.
Observar cuantos empleados están
en área de informática.
Testimonial
Física.
13.
Verificar si existen
manuales por
escrito de
actividades a
realizar en el área
de IT.
Indagar si el personal lleva a cabo lo
estipulado en el manual de IT.
Testimonial
14.
Evaluar si los
empleados
cumplen sus
funciones.
Verificar que el departamento de IT
cumplen sus funciones, en los
demás departamentos que hayan
solicitado su colaboración.
Testimonial
15.
Evaluar si IT en
todo su conjunto,
hace las
actualiza-ciones
correspon-
dientes.
Entrevistar al departamento de IT, si
hace las actualizaciones respectivas
en los diferentes pc.
Testimonial
Física.
Auditoria de Sistemas 31
32. Empresa: xxxxxxx Hecho por: S/P
Periodo Auditado: Revisado por: E/H
Área Auditada: Seguridad Física y Lógica Fecha:
Persona que Atendio: xxxxx Cargo: Técnico IT
Contador
SEGURIDAD FÍSICA Y LÓGICA
N° Actividad a Evaluar Procedimiento de Auditoria Herramientas Observación
1.
Identificar si
existen alarmas.
Verficar las alarmas por presencia
de fuego, humo; asi como la
existencia de extintores de
incendios.
Física.
2.
Investigar si hay
personal
capacitados para
el uso de
extintores.
Verificar si la Empresa envia a
capacitaciones a personal de
diferentes departamentos para la
manipulación y uso de los exintores
ante cualquier incidente.
Testimonial
3.
Medidas de
protección de
conexiones
eléctricas
Conocer las medidas que la
Empresa toma para la seguridad de
las conéxiones eléctricas.
Testimonial
4.
Identificar la
autorización y
administra-ción de
las claves.
Verificar los mecanismos
establecidos para controlar la
asignación de acceso a las
computadoras centrales.
Testimonial
Auditoria de Sistemas 32
33. 5.
Capacitación en
procedimietos de
seguridad.
Verificar que los procedimientos
operacionales para incendio y
sistemas de alarma esten al alcance
de todo el personal de operaciones.
Testimonial
Física.
6.
Rotulación de
escapes y salidas
de emergencias.
Observar si las vías de escape y
acceso de emergencias esten
debidamente rotuladas.
Física.
7.
Evaluar
autentifica-ción de
usuarios y
controles de
acceso.
Asegurarse que las políticas de
asignación de cuentas sean
adecuadas y apropiadas.
Testimonial
Física.
8.
Evaluar el
cableado.
Verificar que el cableado este
debidamente protegido, en dado
caso que el cable este cruzado.
Física.
9.
Identificar firewall. Verificar que el firewall esta
configurado para limitar el acceso a
datos autorizados para usuarios
internos.
Testimonial
10. Prevensión de
virus.
Verificar que antivirus posee, y que
el antivirus actúe en los equipos de
los diferentes departamentos con
eficiencia. Sin poner en riesgo la
información de los usuarios,
investigar con que frecuencia se
actualizán y verificar que cada
Física.
Testimonial
Auditoria de Sistemas 33
34. equipo cuente con el
licencionamiento adecuado.
11.
Entrevistar a los
usuarios.
Preguntar a los usuarios si el
antivirus es confiable, o si existe
con frecuencia el colado de virus.
Testimonial
Anáitica
12
Evaluar puertos
habilitados.
Verificar si los usuarios tienen
habilitados los puertos USB de los
equipos, para evitar poner en riesgo
la información.
Física.
Testimonial
13.
Asignación de
contraseñas
Verificar si cada equipo posee su
respectivo usuario y contraseña
para denegar el permiso a otra
persona, que las contraseñas no
sean mostradas en pantalla cuando
se ingrese, que no sea menor a 8
digitos y que contenga símbolos,
numeos y letras.
Física.
Testimonial
14.
Registro de
accesos.
Investigar si el sistema genera
registro de acceso.
Testimonial
Física.
15.
Evaluar las
políticas de la
Empresa a la
información.
Verificar si existen políticas dentro
de la Empresa para proteger su
información y la de cada usuario.
Testimonial
Física.
Auditoria de Sistemas 34
36. CUESTIONARIO DE CONTROL INTERNO
GENERALIDADES DE LA EMPRESA
Nombre de la Empresa: xxxxxxx Fecha:
Entrevistado: xxxxxxx Cargo: Dept. IT
Entrevistado:xxxxxxx Cargo: Contador
Pregunta Si No Comentarios
¿Cúal es el nombre de la Empresa? xxxxxxxxx
¿Cúal es la actividad económica la Empresa? Fabricación de prendas de vestir
¿Cuántos años tiene la Empresa de estar en el
mercado?
14 Años
¿La Empresa cuenta con una estructura
organizada?
x
¿Existen objetivos establecidos en la Empresa? x
¿Cuenta la Empresa con misión, visión y
valores?
x
¿Quiénes son sus principales proveedores?
¿Cuentan con presupuestos y manuales? Si pero no por escrito
¿Los proveedores son nacionales o
internacionales?
Ambos
¿Quiénes son sus principales clientes?
¿Cuentan con planes de negocios? Si pero no por escrito
¿Cuentan con políticas de trabajo establecidas? x
Auditoria de Sistemas 36
37. ¿Posee la Empresa un manual de funciones
específicas para cada area de trabajo?
Si pero no por escrito
¿Existe un control de ingresos y egresos? x
¿Están obligados a que les realicen auditorías? x
Software de Contabilidad Quickbooks
Pregunta Si No N/A Comentarios
¿Desde cúando adquirió la Empresa Quickbooks? Desde el año 2012
¿Qué tan frecuentes son las actualizaciones? No hay actualizaciones
¿Capacita a los empleados para trabajar en
Quickbooks?
x
¿Qué modulos tiene Quickbooks?
Módulo de: Ventas,
compras, registro y
control de inventario,
control de depósitos,
conciliaciones
bancarias, partidas de
diario.
¿En qué idioma esta creado Quickbooks? ingles
¿Está bajo la ley el uso de Quickbooks en El
Salvador?
x No cumple con algunos
requerimientos
establecidos por la ley
salvadoreña
¿Quiénes son sus principales usuarios dentro de la El departamento de
Auditoria de Sistemas 37
38. Empresa? Contabilidad
¿Poseen la licencia? x
¿Tiene soporte técnico? x
¿Quién es el responsable del soporte técnico? En algunos casos el
departamento de
informática
¿Está Quickbooks conectada a una base de datos? x
HARDWARE
Pregunta Si No N/A Comentarios
¿Cuenta con servidores locales o nube? x Servidor local
¿Cantidad de servidores posee? Ocho
¿Es frecuente el mantenimiento? x
¿Cuentan con un plan anual de mantenimiento? x
¿Cúal es la cantidad de equipo que posee
actualmente?
120 pc
¿Existe un plan de mantenimiento preventivo? x
¿Se notifican las fallas? x
¿Se les da seguimiento? x
Auditoria de Sistemas 38
39. ¿Existen políiticas definidas por escrita a la hora de
adquirir nuevos equipos?
x
¿Realizan Back up? x
¿Qué tan fecuente hacer el Back up? Diario
¿Dondé se guarda el Back up? Discoduro extraible
¿Quien hace el back up?
Automatico, y es
revisado por el
departento de
informatica
¿Utilizan IDś y contraseñas para restringir el acceso
a determinadas funciones atraves d ella terminal o
estación de trabajo?
x
¿El cableado se encuentra correctamente instalado? x
¿Se cuenta con equipo ininterrumpible (SAI)? x
¿Se tiene Switch de apagado en caso de
emergencia en algún lugar visible?
x
SOFTWARE
Pregunta Si No N/A Comentarios
¿Qué tipo de ERP utiliza? X
Quién es el proveedor de dicho ERP? x
¿Cuánto tiempo tiene de usar dicho ERP? x
¿Hacen capacitaciones a los usuarios y técnicos x
Auditoria de Sistemas 39
40. informáticos del ERP?
¿Poseen manuales de uso? x
¿Los manuales están actualizados? x
SISTEMAS OPERATIVOS
¿Qué sistemas opertativos utilizan en las oficionas? XP, Window 7, MaC,
Windoe 8
¿Cuál es el sistema operativo que utilizan los
servidores?
Window server 2008
¿Poseen las licencias de los sitemas operativos? x
¿Qué tan frecuentes son las actualizaciones de los
sitemas operativos?
Mensuales
¿Han habido cambios recientes en los sitemas
operativos?
x
¿Los usuarios estan capacitados para el buen uso
de los sistemas operativos?
x
COMUNICACIONES Y REDES
Pregunta Si No N/A Comentarios
¿Quienes son los proveedores de
comunicaciones y redes?
Salnet
¿Que tipo de servicio posee? internet
¿Qué ancho de banda posee? 2M
Auditoria de Sistemas 40
41. ¿Cuenta con internet o intranet? Internet
¿Posee internet inalámbrico? x
¿Qué tipo de topología utilizan? De todo tipo: U estrella.
Dependiendo el espacio.
¿Qué tipos de dispositivos utilizan para la
comunicación?
Teléfono, celulares
¿El tipo de cable está diseñado para el ancho de
banda?
x
¿Cuentan con correo Empresarial? x
¿En qué plataforma de software funciona el
servidor de correo?
No se utiliza plataforma. Se
utiliza fortimail
¿Quién asigna las contraseñas? El departamento de IT
¿Las cuentas de correos son personales o por
áreas?
Son personales
VIDEOVIGILANCIA
¿Cuenta con video vigilancia la Empresa? x
¿Desde cuándo cuenta con video vigilancai? 10 años
¿Qué tipo de dispositivo utiliza? Cámara de video
infrarrojas
¿Quiénes son los proveedores de la video
vigilancia?
Vigilancia interna
¿Quién es la persona encargada de la video
vigilancia?
El departamento de IT
¿Existe alguna política para la revisión de la
cinta?
x
Auditoria de Sistemas 41
42. PLANES CONTINGENCIALES
Pregunta Si No N/A Comentarios
¿Cuenta la Empresa con planes contingenciales
para minimizar riesgos que amenacen el área IT?
x
¿Los planes contingenliales estan por escrito? x
¿Poseen manuales de acción que ayuden al
personal de IT en eventos inesperados?
x
¿Los usuarios concen los planes de
contingencias?
x
¿Sabe el personal que hacer en caso de
emergencia?
x
¿Son efectivos los planes contingeciales? x
DIRECCIÓN INFORMÁTICA
Pregunta Si No N/A Comentarios
¿Existe dirección informática? x
¿Cuánto personal posee? 3 tres
¿Qué requisitos debe cumplir una persona para
ser contratado en el área de IT?
Como mínimo técnico en el
área de informática
¿Reciben capacitaciones frecuentes el personal
del área d IT?
x
¿En IT se encuentrán los manuales disponibles y x
Auditoria de Sistemas 42
43. actualizados?
¿Existen manuales de usuarios, técnicos de
sistemas de información?
x
¿En el área de IT tiene definidos políticas, planes
y estrategías?
x
¿Existe una persona que se encargue de la
creación de perfiles de usuarios de los sistemas
de información?
x
SEGURIDAD FÍSICA Y LÓGICA
FÍSICA
Pregunta Si No N/A Comentarios
¿Las instalaciones cuentan con sistema de alarma
por presencia de fuego, humo, asi como con
extintores de incendio, conexiones eléctricas, entre
otras?
x
¿Tienen contratos de pólizas de seguros para
proteger la información, equipos, personal yo todo
riesgo que se produzca por diferentes casos?
x
¿La temperatura a la que trabajan los equipos es la
adecuada de acuerdo a las normas bajo las cuales
se rige?
x
¿El Cableado se encuentra correctamente instalado? x
Auditoria de Sistemas 43
44. ¿Los interruptores de energía están debidamente
protegidos y sin obstáculos para alcanzarlos?
x
¿Con qué periodo se les da mantenimiento a las
instalaciones y suministros de energía?
Se verifica cada
semana, y cuando sea
necesario.
¿Se cuenta con una salida de emergencia? x
¿Es adecuada la iluminación del de las diferentes
oficinas donde hay equipo?
x
LÓGICA
¿Posee firewall? x
¿Cuenta con ativirus? x
¿Cúal es el nombre del antivirus? Karsperky
¿Posee las licencias de los antivirus? x
¿Qué tan frecuentre son las actualizaciones de los
antivirus?
Diarias
¿Se manejan permisos de usuarios? x
¿Existen procedimientos formales sobre la emisión y
el control de las contraseñas?
x
¿El sistema genera registros de acceso? x
Auditoria de Sistemas 44
45. ¿Se utilizan tablas de autorización de software para
restringir el acceso a distintas aplicaciones de
software?
x
¿Existen políticas dentro de la Empresa para
proteger su información y la de cada usuario?
x
¿El acceso al código fuente está restringido al
personal autorizado (a través de una contraseña) o
no está provisto por el proveedor del software?
x
BASE DE DATOS
Pregunta Si No N/A Comentarios
¿Cual es el nombre de la base de datos? PPMSVR. Este es el
nombre de la que ocupa
Quickbooks.
¿Quien es el proveedor? El mismo que provee
Quickbooks
¿Que tan frecuentes son las actualizaciones de
esta base de datos?
X
¿IT sabe como darle mantenimiento a la base de
datos?
X
¿Los usuarios saben de la existencia de la base
de datos?
X
¿Existe un administrador de la base de datos? El contador de la Empresa.
¿Existe un diseño y físico y lógico de la base de X
Auditoria de Sistemas 45
46. datos?
¿Quienes son los usuarios de la base de datos? Los colaboradores de
contbailidad
¿Existe algún tipo de documentación referida a
la estructura y contenidos de la base de datos?
x
¿Se cuenta con niveles de seguridad para el
acceso a la base de datos?
x
¿Qué nivel de confidencialidad tiene la
información almacenada en la base de datos?
El contador es el que tiene
acceso tota a la base de
datos.
OUTSOURCING
Pregunta Si No N/A Comentarios
¿Cuenta con outsourcing?
x
¿Quién es el proveedor?
¿Cual es el plazo del contrato de outsourcing?
x
¿Se actualizan los contratos?
x
Auditoria de Sistemas 46
47. FASE II: EJECUCIÓN DE LA AUDITORIA DE SISTEMAS
INTRODUCCIÓN
En la Etapa de la Ejecución, se presentan: Las Políticas de Seguridad que la Empresa realiza
para salvaguardar la seguridad Informática: También se describen las Técnicas y
Procedimientos que utilizamos para la Ejecución de la Auditoría, que son fuentes importantes
para la obtención de evidencias dentro del proceso de la Auditoría. Se presentan los papeles
de trabajo para cada una de las áreas señaladas como críticas.
Se describe el Alcance de la Auditoría, donde se reflejan las cinco áreas identificadas como
críticas, los objetivos de la auditoría y también se establecen las actividades que se
realizarón para la Ejecución de la Auditoría, reflejadas en el Cronograma de Actividades.
Auditoria de Sistemas 47
48. OBJETIVOS DEL DOCUMENTO
GENERAL
✔ Ejecutar la Auditoria de Sistemas, en la Empresa xxxxxx, desarrollando los programa
de audioria, utilizando las diferente técnica y procedimientos de audioria.
ESPECÍFICOS
✔ Aplicar las técnicas y procedimientos , para la obtención de evidencia.
✔ Realizar la Auditoria de acuerdo a las área identificadas.
✔ Presentar las Políticas de Seguridad para salvaguardar la seguridad informática dentro
de la empresa.
Auditoria de Sistemas 48
49. PRESENTACIÓN DE POLÍTICAS DE SEGURIDAD
Logo
Responsables:
Gerencia General, Departamento de IT, Recursos
Humanos, Cumplimiento.
Fechas de Revisión:
Enero 2014
Objetivo: Establecer normas, procedimientos para salvaguardar la seguridad informática
dentro de la empresa.
Las siguientes normas y procedimientos están sujetos a cambios siempre y cuando se
garanticen los objetivos de seguridad. Se detallan a continuación los principales criterios:
1.0 PRINCIPIOS/PROCEDIMIENTOS:
1.1 Hardware
✔ Todos los Servidores se almacenan en una sala especial.
✔ Sólo personal autorizado tiene acceso a la sala de servidores
✔ El departamento de IT es responsable de mantener etiquetado e inventariados,
todos los CPU’S, Monitores, impresoras y UPS. para tener registro de todos los
equipos de IT en la empresa
✔ La instalación deberá ser realizada solo por el personal de IT o al menos
supervisado por dicho personal.
✔ Solo el personal de IT está autorizado a reparar y dar el respectivo
mantenimiento a un equipo si se es necesario.
✔ El departamento de IT velará por el buen funcionamiento y estado de todos los
Auditoria de Sistemas 49
50. equipos informáticos, previendo revisiones de rutina y limpieza, coordinado con
el jefe del departamento para no afectar las labores diarias del departamento al
que se le está dando soporte técnico.
1.2 Cualquier reasignación de hardware de la empresa deberá de ser estrictamente
realizada por el personal de IT, además se supervisará la nueva ubicación, y se
actualizará en los respectivos registros. Nadie deberá realizar cambios de
ubicación de hardware sin la aprobación del departamento IT. Se coordinará con la
gerencia para tomar las medidas disciplinarias respectivas, en el caso que un
empleado(a) incumpla dicho lineamientos.
1.3 Asignación de Desktop (computadora de escritorio) o Laptop (Computadora
portátil)
✔ El Departamento de IT es el responsable de asignar una Desktop o Laptop al
personal evaluando previamente con la aprobación de la gerencia, cual es la
ideal para su Desempeño laboral, Responsabilidad y Movilidad.
✔ Los usuarios tendrán que firmar un Formulario de Préstamo en el cual explica la
Asignación de “Laptop”. El Departamento IT conservará la copia impresa
(original) y una copia se entregara al Departamento de Recursos Humanos
para el archivo personal del empleado en el caso que el usuario renuncie
deberá entregar la Laptop en su buen estado.
2.0 SOFTWARE
2.1 Software estándar para ser instalado en las PC’s
✔ Sistema Operativo (Win XP, Pro o Win 7)
✔ Karsperky (Anti Virus)
✔ MS Office
✔ Adobe Reader
Auditoria de Sistemas 50
51. ✔ Drivers de Impresoras
✔ xxxxxxxx
✔ Software instalado de acuerdo a la necesidad del departamento.
2.2 Sólo el personal del departamento de IT pueden desinstalar o modificar
instalaciones de software.
2.3 En caso sea necesario instalar un software no aprobado o no autorizado tendrá
que ser consultado con el Jefe de Departamento y posteriormente el personal de
IT procederá con la instalación.
2.4 No se permite instalar software pirata en las PC’s. Se tomarán las medidas
disciplinarias por la gerencia al detectarse cualquier incumplimiento.
3.0 CORREOS ELECTRONICOS Y ACCESO A INTERNET.
3.1 Toda cuenta de inicio de sesión y la cuenta de correo electrónico tiene que ser
solicitada a través de correo electrónico por el Jefe de Departamento y aprobado
por la gerencia.
3.2 Uso del correo electrónico
✔ El correo electrónico puede sobrecargar los recursos del sistema y de banda
ancha. Por lo tanto debe ser utilizado con fines de trabajo únicamente.
✔ Los usuarios de correo electrónico no deben tomarse el tiempo o la molestia
para responder a los correos electrónicos no deseados/solicitados, ya que
podría confirmar al remitente quien puede ser un hacker potencial, que la
dirección es real (y está siendo leído por una persona real). Por lo tanto dicha
acción posiblemente podría abrir la puerta a un virus o un ataque de
denegación de servicio.
✔ Los archivos grandes con peso de 10.0 MB pueden ser enviados o recibidos a
través de correos electrónicos. En caso que el archivo pesara más, deberá
comunicarle al departamento de IT para que le habilite a utilizar el sitio ftp de la
Auditoria de Sistemas 51
52. empresa.
3.3 Uso de Internet
✔ El Acceso a Internet para cada miembro del personal tiene que ser decidido por
el jefe del departamento y aprobado por la gerencia.
✔ El Internet debe ser utilizado sólo con fines de trabajo.
✔ Descarga de software, música y videos no está permitido en internet sin la
aprobación del personal de IT.
Notas explicativas:
- En el proceso de descarga de aplicaciones (programas) de Internet a su PC,
puede recibir un virus u otro código malicioso que infecta el sistema. Esto
puede tener consecuencias muy graves.
- Los empleados no deben de utilizar el correo de la empresa para cualquier
sitio web de registro no corporativo.
- La información en Internet puede ser inexacta, no válida, o deliberadamente
engañosa, y cualquier decisión sobre una descarga puede ser fatal para el
sistema y para la seguridad de la información.
- Por lo tanto se recomienda a los usuarios no seguir las indicaciones que
puedan aparecer en la red de Internet que puedan resultar dudosas y/o
peligrosas, más bien consulte inmediatamente con el personal de IT.
4.0 Seguridad de Internet
4.1 Fortinet en puesto, este nos permite que los usuarios no puedan ingresar a sitios
web bloqueados en función de los sitios a los que accede. Los siguientes sitios se
clasifican como sitios no autorizados.
✔ Páginas Pornográficas / sexo explícito
✔ Juegos
Auditoria de Sistemas 52
53. ✔ Haking
✔ Hate
✔ Sitios Web Personales (Facebook y otros)
✔ Páginas de Video
✔ Descarga de música
✔ Páginas de Violencia
5.0 Respaldo (Backup) y recuperación
5.1 Para cada uno de los Departamento, nos aseguraremos de que sus
procedimientos de copia de seguridad permitan una restauración eficaz de la
última copia de seguridad del estado.
5.2 El departamento que necesite realizar una copia de seguridad que no se encuentre
en las carpetas compartidas, deberá informar al Departamento de IT para realizar
las respectivas copias.
5.3 Todo el personal o usuario de todas las computadoras debe ser personalmente
responsable de guardar la información en sus respectivas carpetas para que se
realice las respectivas copias de seguridad de datos.
5.4 El departamento de IT hará revisiones periódicas para asegurar que estos
procedimientos continúen apoyando una recuperación oportuna.
5.5 Sólo el personal IT puede realizar la restauración de cualquier documento o
restauración del sistema.
6.0 Protección y seguridad
6.1 Todos los usuarios deberán bloquear su computadora al levantarse de su sitio de
trabajo ya que cuando la pantalla se deja sin bloquear en su ausencia, otros
pueden tener la oportunidad de eliminar los archivos de forma accidental.
✔ Todas las PC, ordenadores portátiles y estaciones de trabajo deben estar
Auditoria de Sistemas 53
54. asegurados con un protector de pantalla protegido por contraseña con la
función de activación automática fijada cada 60 segundos.
✔ Después de ingresar erróneamente cuatro veces la contraseña de seguridad la
computadora por seguridad se bloqueará, en este caso deberá informar al
personal de IT.
✔ Ningún usuario está permitiendo compartir la contraseña. A menos que se
hubiera autorizado, por el jefe del departamento.
✔ La contraseña de usuario debe ser mínimo de 8 caracteres no más de 12.
✔ Es responsabilidad de todos los usuarios ayudar en el ahorro de costos a la
empresa y aumentar la vida útil de la PC tomando muy en cuenta la seguridad
ocupacional de todos.
✔ La acción disciplinaria se aplicará a los usuarios que persistan en no apagar su
PC y su batería después de la jornada de trabajo.
6.2 No se permite el acceso a la sala de servidores sin autorización de IT. Sólo el
personal de IT tienen acceso a la sala de servidores.
____________________
xxxxxxxxxxxxxxxxxxx
Jefe de Tecnologías de la Información (IT)
Auditoria de Sistemas 54
55. TÉCNICAS DE EVALUACIÓN APLICABLES A UNA AUDITORIA DE SISTEMAS
Ejecución de la Auditoria Informática
Etapa que consiste en el desarrollo de los procedimientos contenidos en los programas de
auditoria através de técnicas de auditoría.
Técnicas de Recopilación de Evidencias
Para la recopilación de información, el auditor toma y adapta las técnicas, procedimientos y
herramientas tradicionales del análisis de sistemas de información.
Al utilizar estas herramientas en la auditoría, lo que hace es sacar el mejor provecho de ellas
para adecuarlas a las necesidades específicas de evaluación requeridas en el ambiente de
sistemas.
Estos métodos no solo se utilizan en la evaluación del área de informática, sino también en la
evaluación de cualquier área ajena al ambiente de sistemas. Es por ello que el auditor debe
saber cómo utilizarlas.
Entrevistas
La entrevista es una de las actividades más importantes del auditor; en ellas, éste recoge
más información, y mejor matizada, que es proporcionada por medios propios puramente
técnicos o por las respuestas escritas a cuestionarios, Es decir la entrevista es la recopilación
de información que se realiza en forma directa, cara a cara y a través de algún medio de
capturas de datos.
Cuestionarios
Los cuestionarios son una técnica de recopilación de infromación. Es un trabajo de campo,
que permite al auditor lograr obtener toda la información necesaria para la emisón de un
juicio global y objetivo, siempre amparado en hechos demostrables, llamados tambien
evidencias.
El cuestionario, permite estudiar y analizar la documentación recibida, de modo que tal
análisis determine asu vez la información que deberá elaborar el propio auditor. Se
Auditoria de Sistemas 55
56. recomienda solo hacer preguntas necesarias, que permitan alcanzar los objetivos; preguntas
sencillas.
Mediante el uso de cuestionarios el analista puede estar buscando cuantificar lo que ha
encontrado en las entrevistas. Adicionalmente, los cuestionarios pueden ser usados para
determinar que tan amplio o limitado es en realidad un sentimiento expresado en una
entrevista. En forma inversa los cuestionarios pueden ser usados para investigar una gran
muestra de usuarios de sistemas, para tratar de encontrar problemas o recoger cosas
importantes antes de que las entrevistas sean realizadas.
Encuestas
Las encuestas constituyen otra de las técnicas más populares y de mayor uso en una
auditoría de sistemas computacionales, y son útiles principalmente para averiguar opiniones
sobre aspectos de la Informática tales como el servicio, el comportamiento y utilidad del
equipo, la actuación del personal y los usuarios, la oportunidad de la presentación de los
resultados, entre otros juicios sobre la función informática. Podemos definir una encuesta de
la siguiente manera:
Es la recopilación de datos concretos sobre un tema específico, mediante el uso de
cuestionarios o entrevistas diseñados con preguntas precisas para obtener las opiniones de
los encuestados, las cuales permiten, después de hacer una rápida tabulación, análisis e
interpretación de esa información, conocer su punto de vista y sentimientos hacia un tópico
específico.
Observación
Una de las técnicas más populares, de mayor impacto y más utilizados para examinar los
diferentes aspectos que repercuten en el funcionamiento del área de Informática o del propio
sistema, es la aplicación de diversas técnicas y métodos de observación que permiten
recolectar directamente la información necesaria sobre el comportamiento del sistema, del
área de sistemas, de las funciones, actividades y operaciones del equipo procesador o de
cualquier otro hecho, acción o fenómeno del ámbito de sistemas.
Auditoria de Sistemas 56
57. La observación se puede hacer desde diferentes puntos de vista y con diversas
técnicas y métodos que se mencionan a continuación:
✔ Observacion Directa
✔ Observacion Indirecta
✔ Observacion Oculta
✔ Observacion Participativa
✔ Observacion No Participativa
Evidencia de Auditoria
El Auditor deberá tener evidencia que sea suficiente, competente y pertinente, como
fundamento de sus opiniones, comentarios y recomendaciones.
La evidencia adecuada es la información que cuantitativamente es suficiente y apropiada
para lograr los resusltados de la auditoria y que cualitativamente, tiene la imparcialidad para
inspirar confianza y fiabilidad.
✔ la evidencia será suficiente, cuando el alcance de los planes sea adecuado.
Solo una evidencia encontrada, no podría ser suficiente para demostrar un hecho.
✔ La evidencia será pertinente, si el hecho se relaciona con el objetivo de la auditoria.
✔ La evidencia será competente, si guarda relación con el alcance de la auditoria y
además es creible y confiable.
Auditoria de Sistemas 57
58. PRESENTACIÓN DE PAPELES DE TRABAJOS
El formulario utilizado para la Ejecución de la Auditoría, esta dividido en dos partes:
1. Encabezado
Muestra el nombre de la Empresa, el periodo en que se desarrollo la auditoría, El auditor que
realizó la auditoría (Hecho por), el auditor quien lo revisó (Revisado Por), fecha en que se
ejecutó la auditoría y el nombre de la persona que atendio la auditoría.
Empresa: xxxxxxx Hecho por: S/P
Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H
Área Auditada: Área a Auditar Fecha: 21/04/2015
Persona que Atendio: Persona que atiende la
auditoría.
Cargo: Cargo en la Empresa
1. Cuerpo
N°
Actividad a
Evaluar
Procedimiento de
Auditoria
Herramientas Observación
Describen las
Actividades a
desarrollar en
la Ejecucuión
de la Audioría.
Presenta el
procediemiento que
se realizará obtener
el hallazgo.
Tipo de
herramienta
utilizada
para la
obtención de
la evidencia.
Descripciones de los hallazgos
encontrados.
Auditoria de Sistemas 58
59. ALCANCE DE LA ADITORIA INFORMÁTICA
El alcance de la auditoria informática se realizará de acuerdo a las áreas críticas
identificadas:
ALCANCE DE LA AUDITORIA
Software. Lo que auditaremos en Software es:
• Software de Contabilidad Quickbooks utilizado por la
Empresa para llevar su contabilidad.
Comunicaciones
y Redes.
En esta área lo principal a auditar será:
• Topología correcta de los cableados de redes en
todas las oficinas.
Planes
Contingenciales .
En el área de Planes de Contingencias, se evaluará
primoldialmente:
• Qué tan frecuentes son las capacitaciones que recive
el personal de las diferentes áreas de la Empresa,
para el uso y dominio de los extintores en caso de
emergencia.
Dirección
Informática.
Ya que no poseen ningún tipo de manuales se auditará:
• Medios que utilizán y en que se basan, al no poseer
manuales (no poseen manuales de usuarios, ni de
sistemas informáticos).
Seguridad Física
y Lógica.
En esta área se auditará principalmente:
• El antivirus utilizado por la Empresa.
• Cúal es el control de uso de dispositivos que
introducen en los equipos de los ususarios.
Auditoria de Sistemas 59
60. OBJETIVO DE AUDITORIA
GENERAL
✔ Identificar las áreas críticas y los diferentes riesgos que estas conllevan, al no ser
solucionadas por parte de la Empresa xxxxxx , aplicando los procedimientos, técnicas
y métodos, con la finalidad de determinar la efectividad y efeciencia del departamento
de IT.
ESPECÍFICOS
✔ Evaluar los riesgos que contienen las diferentes áreas críticas identificadas.
✔ Aplicar los procedimientos, técnicas y métodos para el desarrollo eficiente de la
auditoria.
✔ Verificar la capacidad de respuesta de la Empresa ante los riesgos detectados.
✔ Observar el nivel de respuesta del departamento de IT ante los riesgos identificados.
CRONOGRAMA DE ACTIVIDADES DE LA EJECUCIÓN DE LA AUDITORIA
Auditoria de Sistemas 60
61. PROGRAMA DE AUDITORIA
Empresa: xxxxxxxxxxxx Hecho por: S/P
Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H
Área Auditada: Software Fecha: 21/04/2015
Persona que Atendio: xxxxxxxxxxxxx Cargo: Técnico IT
Contador
SOFTWARE
N°
Actividad a
Evaluar
Procedimiento de
Auditoria
Herramientas Observación
1.
Verificar el
licenciameinto
de
Quickbooks.
Revisas si la
Empresa posee
licencia del sistema
contable
Quickbooks.
Testimonial
Quickbooks fue comprado para
otra Empresa del mismo dueño
de xxxxx.
2.
Modulos con
que cuenta
Quickbooks.
Verificar con qué
modulos cuenta
Quickbooks.
Física.
Los Modulos con los que
cuenta son: Ventas, Compras,
Registro Y Control De
Inventario, Control De
Depósitos, Conciliaciones
Bancarias y Partidas De Diario.
3.
Observar el
idioma en el
que esta
desarrollado
Quickbooks.
Investigar según la
ley de El Salvador,
en que idiomas debe
llevarse la
contabilidad en El
Salvador.
Física.
Las computadoras del área de
Contabilidad, realiza todos sus
registros en idioma Ingles en
Quickbooks.
Auditoria de Sistemas 61
62. 4.
Evaluar si
Quickbooks
cumple con
las leyes de
contabilidad
Salvadoreña.
Investigar bajo que
leyes debe llevarse
la contabilidad en
las Empresas. Y si
Quickbooks cumple
con la leyes
impuestas en El
Salvador.
Física.
Quickbooks, no cumple con
aspectos Legales de la
Contabilidad en El Salvador (la
Ley determina: Art. 436.- Los
registros deben llevarse en
castellano).
5.
Verificar
medidas de
seguridad de
Quickbooks .
Evaluar las
diferentes medidas
que Quickbooks
tiene como medidas
de seguridad.
Testimonial
El contador, nos dijo que
Quickbooks realiza Back up de
seguridad todos los días y es
un Sistema Contable confiable
para la Contabilidad de la
Empresa.
6.
Evaluar el
soporte
técnico.
Verificar los soportes
técnicos con que
cuenta Quickbooks.
Testimonial
Quickbooks. no tiene soporte
técnico en el País.
7.
Encargados
de soporte
Técnico.
Verificar quienes son
los responsables del
soporte técnico.
Testimonial
Se nos dijo que el encargado
en algunos casos del sopote
técnico son los del área de
informática. Pero que no suele
presentar mayor problema
Quickbooks.
8. Evaluar los
requeri-
mientos.
Verificar cuales son
los requerimientos
que los equipos
deben poseer para
Física.
Documental.
De acuerdo a lo revisión y
teniendo en cuenta cúales son
los requerimientos que pide
Quickbooks para su
Auditoria de Sistemas 62
63. instalar Quickbooks. instalación, las computadoras
de trabajo cliente y servidor
cumplen con los
requeriemientos establecidos.
9.
Plataforma en
que esta
instalado
Quickbooks.
Verificar en que
plataforma trabajan
Quickbooks en la
Empresa.
Física.
Se trabaja bajo Windows 8.
10.
Verificar el
control de
acceso a
Quickbooks.
Verificar el control
de acceso a
Quickbooks si la
realizan mediante
contraseñas.
Física.
Todas la computadoras del
área Contable en las que esta
instalado Quickbooks, poseen
usuarios y contraseñas.
11.
Principales
usuarios.
Verificar quienes son
los principales
usuarios con acceso
a Quickbooks.
Física.
Testimonial.
Los principales usarios son los
del departamento de
Contabilidad.
12
Entrevistar al
contador.
Preguntar al
contador, en que le
facilta el trabajo
Quickbooks.
Testimonial.
EL contador manifiesta lo
siguiente: “En el país la
mayoría de empresas tienen
sistemas contables deficientes.
El Quickbooks proporciona
muchos reportes.Genera
información rápida y confiable”.
13. Capacitación Verificar si al Testimonial. No es capacitado, al momento
Auditoria de Sistemas 63
64. a los
usuarios.
personal de nuevo
ingreso en el área
de contabilidad es
capacitado antes por
un experto para el
uso de Quickbooks.
que ingresa a laborar al área
de Contabilidad, uno de los del
área que ya conoce el uso de
Quickbooks le enseña como se
trabaja en el programa de
Contabilidad.
14.
Verificar si
realizan
copias de
seguridad.
Verificar si
Quickbooks realiza
copias de seguridad
y archivos como
medida de
seguridad.
Testimonial. Todos los días realizan back
up.
15.
Evaluar los
casos de
actualizacione
s.
Mediante una
entrevista, preguntar
que hacen en caso
de actualizanes de
Quickbooks.
Testimonial. No hay actualizaciones.
Empresa: xxxxx Hecho por: S/P
Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H
Área Auditada: Comunicaciones y Redes Fecha: 21/04/2015
Persona que Atendio: xxxxxx Cargo: Técnico IT
PROGRAMA DE AUDITORIACOMUNICACIONES Y REDES
N°
Actividad a
Evaluar
Procedimiento de
Auditoria
Herramientas Observación
1. Revisar la
topología de
la red.
Examinar si el
cableado de la
Física.
Análitica.
Se Observó que utilizán
topologías como: Estrella y U.
Auditoria de Sistemas 64
65. Empresa cumple
con los estandares
de la industria y si
se encuentran
debidamente
protegidos.
La Empresa realiza las
conexiónes de red de acuerdo
al espacio de las oficinas.
Con respecto a la protección
de los cables, se observo, que
en algunas oficinas no cuenta
con la protección debida, solo
están cubiertas con Cinta
transparente para que no se
levante.
2.
Cuenta con
intranet ó
internet.
Preguntar al área de
It si cuenta con
intranet ó internet.
Testimonial.
Cuenta solo con internet.
3.
Verficar si el
tipo de cable
esta diseñado
para el ancho
de banda.
Si envia los datos a
una velocidad
adecuada y sin
interferencias.
Física.
La revisión de algunos cables
de red, nos permite determinar
que el cableado categoria 3 es
el adecuado. Y es el que posee
la Empresa.
4.
Evaluar la
rápides de
envio de
información.
Realizar pruebas
para verificar la
rápidez de envio de
datos. Física.
Testimonial.
Luego de la evaluación se
determinó, que el tiempo que
tarda la información de ser
enviado/recivida, esta a corde
del ancho de banda, por lo que
no afecta el rendimiento ni el
desempeño de la red.
Auditoria de Sistemas 65
66. 5.
Medir la
velocidad del
internet.
Verificar la velocidad
de conexión a
internet.
Física.
Después de una prueba
realizada de un envio de un
correo electrónico, se logro
determinar que la transferencia
de información tiene un
comportamiento normal de
envio y entrega de información.
6.
Plataforma de
software en
que funciona
el servidor de
correo.
Verificar la
plataforma que
utiliza el servidor de
correo de la
Empresa, por el cual
se transmiten los
mensajes.
Testimonial.
La plataforma de correo que
utiliza la Empresa es
“Fortimail”, por que brinda
seguridad y protección ante
amenazas mixtas que se
ocultan en el correo electrónico
mensajes, formadas por spam,
virus, gusanos, phishing
(suplantación de identidad, que
intentar adquirir información
confidencial de forma
fraudulenta )y spyware (la
lentitud de los Sistemas
Operativos y en la ejecución de
programas, porque consumen
recursos de la máquina,
impidiendo que funcione
normalmente).
7. Asignación
de cuentas y
cobtraseñas a
las PC de los
Verifcar en que se
basan los del Área
de IT para
asignarles el usuario
Testimonial. La asiganación de cuentas y
usuarios a los colaboradores
no es un método seguro,
entrevistando a un usuario, nos
Auditoria de Sistemas 66
67. usuarios. y la contraseña. dijo que las cuentas eran
asignadas de acuerdo a los
nombre del usuario. El usuario
de la computadora es el Primer
Nombre y Primer Apellido, y la
contraseña la inicial del Primer
Nombre y la inicial del Primer
Apellido, seguido de oa123
8.
Con qué
frecuencia
cambian las
contraseña a
los usuarios.
Chequear con qué
frecuencia, el área
de IT cambia las
contraseña a los
usuarios.
Testimonial.
No son frecuentes los cambios
de usuarios y contraseñas.
9.
Revisar el
bloqueo de
algunas
computadoras
a internet.
Identificar que
computadoras de
diferentes
departamentos
tienen acceso a
internet.
Física.
Testimonial.
El área de IT, tiene permitido
dar acceso a internet a ciertas
personas, como lo son: A Jefes
de los diferentes
Departamentos, a todos los
usuarios de Mercadeo,
Recursos Humanos y a del
área de IT.
10. Manejo de
firewall.
Verificar si el firewall
implementado
detecta y protege:
• Ataque de IP
falsas.
• Ataque de
denegación
del servicio.
Física.
Testimonial.
De acuerdo a la entrevista al
técnico de IT el firewall
implementado detecta y
protege. Al intentar entrar
desde una computadora que
no tiene permitido el acceso a
internet, mostró la pagína de
Auditoria de Sistemas 67
68. acceso denegado.
11.
Configuración
de firewall.
Reivisar si existe un
firewall debidamente
configurado
Testimonial.
El firewall esta debidamente
configurado, al intentar entrar
desde una computadora que
tiene denegado el acceso a
internet.
12
Verificar los
privilegios a
usuarios.
Evaluar en que se
basan para dar
privilegios a
usuarios de los
diferentes
departamentos.
Testimonial.
Solo a Jefes y colaboradores
de áreas claves son los
privilegiados, por que realizan
diferentes actividades
sumamente importantes para
la empresa.
13.
Elementos
que utilizan
para la
comunicación
.
Revisar los medios
que utilizan para
comunicarse entre
los diferentes
departamentos.
Testimonial.
Física
Utilizan celulares, correos
eléctronicos y teléfonos de
líneas fijas.
14.
Revisión de la
red física.
Evaluar con que
frecuencias se
realizán revisiones
de los cables de
redes.
Testimonial.
En la entrevista, el técnico de
IT manifiesta que no tienen un
tiempo establecido para la
revisión de la red física.
15. Bloqueo de
aplicaciones
Verificar que la
Empresa tenga
políticas de
seguridad y de
Documental
Posee políticas de Seguridad,
que restringen el aceeso a
aplicaciones, las cuales se
detallan en las Políticas de
Auditoria de Sistemas 68
69. controles de acceso
a aplicaciones
basadas en la web.
Seguridad Informática de la
Empresa.
Empresa: xxxxxx Hecho por: S/P
Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H
Área Auditada: Planes Contingenciales Fecha: 21/04/2015
Persona que Atendio: Xxxxxxx
xxxxx
Cargo: Técnico IT
Jefe IT
PLANES CONTINGENCIALES
N°
Actividad a
Evaluar
Procedimiento de
Auditoria
Herramientas Observación
1.
Evaluar si
existen
políticas por
escrito sobre
los planes
que ellos
realizan en
las diferentes
áreas de la
Empresa.
Pedir manuales
donde se
encuentren
reflejadas las
políticas sobre los
planes
contingenciales, ya
que los manuales,
deben estar
documentos.
Documental
Pedimos ver los manuales
donde estan documentados los
diferentes planes de
contingencia que la Empresa
realiza. Estos planes si estan
docuementados.
2. Evaluar los
planes de
contingencias
que se están
desarrollando
actualmente.
Observar los
diferentes planes
que se están
realizando, los
cuales están
enfocados para
evitar cualquier
eventualidad que
Testimonial. Los planes contingenciales,
que la Empresa realizan con
mayor frecuencias son:
Simulacros de Sismos e
Incendios.
Auditoria de Sistemas 69
70. pueda suceder en el
futuro
3.
Evaluar la
aplicación de
simulacros,
asi como el
plan
contingenciale
s durante la
ocurrencia de
una falla
grave en el
sistema.
Realizar una serie
de simulacros para
verficar si los planes
de contingencias
que se tienen están
respondiendo
satisfactoriamente
haciendo pruebas de
back up y revisar
dichos archivos.
Testimonial
El entrevistado del área de IT ,
manifiesta que cuando la
Empresa realiza los simulacros
con los todos sus empleados,
su área también realiza back
up y son satisfactorios.
4.
Evaluar si los
empleados
conocen
sobre los
planes
contingenciale
s.
Preguntar a los
empleados si ellos
conocen los planes
en dado caso que
exista una
catástrofe, entre
otras cosas. Y si
alguna ves han
hecho un simulacro.
Testimonial
Los empleados entrevistados,
manifiestan si se les informan
de las medidas a tomar y que
hacer al presentarse cualquier
eventualidad.
5. Evaluar la
confiabilidad
en la
aplicación en
las medidas
del plan de
Examinar si las
medidas que se
tiene en caso de una
eventualidad, la
aplicación de los
planes de
Testimonial
Analítica
Con los simulacros que se
realizán, se ha ido mejorando
el tiempo y reacción. Y la forma
en que se realizan son
confiables y satisfactorias.
Auditoria de Sistemas 70
71. contingencias. contingencias sea
rápida y dé una
respuesta
satisfactoria.
7.
Evaluar si
cuentan con
sus
respectivas
medidas de
seguridad.
Observar si cuentan
con salidas de
seguridad en los
diferentes áreas. Y si
los extintores se
encuentrán en una
buena ubicación.
Física.
Las salidas de Emergencias,
están debidamente rotuladas,
la ubicación de los extintores
es visible ante todo el personal
de los diferentes áreas de la
Empresa.
8.
Evaluar si
cuentan con
planes para
prevenir
daños en los
recursos.
Observar y pedir
manuales para
conocer que hacen
para prevenir y
minimizar daños en
sus recursos
informáticos,
equipos de oficinas y
otros materiales.
Testimonial
El área de IT no cuenta con
manuales y lo unico que
realizan son back up de la
información.
9. Evaluar
quienes son
las personas
involucradas
al momento
de efectuar
los planes
contingenciale
Preguntar quién ó
quiénes, son las
personas
responsables a la
hora de efectuar los
planes
contingenciales.
Testimonial De cada área hay una persona
involucrada en el momento de
efectuar simulacros.
Auditoria de Sistemas 71
72. s.
10.
Evaluar
Planes
Correctivos.
Revisar y preguntar
sobre los planes
correctivos, que
hacen para
solucionar sus
problemas en el
momento que se
presenten.
Testimonial
Realizan lo que estiman
conveniente en el momento y
ante la emergencia.
11.
Evaluar
planes
cuando hay
saturación de
información.
Preguntar y verificar
si se envia
información masiva
a las oficinas, y que
sucede cuando el
trafico de datos se
vuelve lento.
Testimonial
El envio de información no es
masiva y no hay saturación de
tráfico.
12.
Evaluar
seguridad
elétrica.
Realizar pruebas de
un apagón de luz
para saber si
funciona
correctamente la
planta de energía
eléctrica.
Testimonial
La planta de energía eléctrica
funciona correctamente ante
cualquier apagón. Hay
personas encargadas.
13. Auditoría de
Planes
Contingencial
es Evaluar
Realizar pruebas y
verificar si ellos
cuentan con otro
proveedor de
Testimonial No cuentan con otro proveedor
de internet aparte de Salnet.
Auditoria de Sistemas 72
73. plan cuando
se cae la
conexión de
proveedor de
internet.
internet, para poder
evaluar que pasa si
la red de un
proveedor de internt
se cae.
14.
Evaluación de
reanudación
de
actividades.
Investigar si existe
un equipo de
dirección de
reanudación y un
responsable del
mismo, para dirigir y
coordinar las
distintas actividades
durante la
contingencia o
desástre.
Testimonial
Cada colaborador es el
encargado de reanudar su
actividad despues de un
simulacro.
Auditoria de Sistemas 73
75. Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H
Área Auditada: Dirección Informática Fecha: 21/04/2015
Persona que Atendio:
xxxxxx
Cargo: Técnico IT
Contador
DIRECCIÓN INFORMÁTICA
N°
Actividad a
Evaluar
Procedimiento de
Auditoria
Herramientas Observación
1.
Evaluar el
perfil de los
empleados
del área de
informática,
mediante la
revisión de los
manuales de
función y de
usuario.
Revisar los
manuales de
funciones de
empleados de
infomática.
Revisar los
manuales de
usuarios de
sistemas.
Testimonial
No poseen manuales de
funciones, ni manuales de
usuarios de sistemas.
2.
Capacita-
ciones del
personal IT.
Realizar una
entrevista al director
del área de IT, que
tan frecuentas son
las capacitaciones
de sus
colaboradores.
Testimonial
De acuerdo al Jefé de área de
IT no reciben capacitaciones.
3. Evaluar la
existencia y
cumplimiento
de los
Entrevistar a los
empleados de
informática y
preguntarles si
Testimonial Los entrevistados aciertan que
saben los objetivos del
departamento, y que buscan
cumplirlos con eficiencia, y de
Auditoria de Sistemas 75
76. objetivos de la
institución
dentro del
departamento
de
informática.
tienen claros los
objetivos de su
departamento y de
la institución.
esa manera ayudar la Empresa
para que tambien logren sus
objetivos.
4.
Nivel en el
que se
encuentra
jerarquico en
el
departamento
de IT.
Realizar una análisis
del organigrama de
la Empresa y ver en
que nivel se
encuentra el
departamento de
informática.
Análitica.
En el Organigrama de la
Empresa no se especifica el
Departamento de IT.
5.
Verificar, cúal
es el perfil
para la
selección y
promoción del
área de
informática.
Revisar los
requisitos para la
selección de un
nuevo colaborador
en el área de IT.
Análitica.
Testimonial
No tiene por escrito los
requsitos que un colaborador
del área de IT debe cumplir.
6. Evaluar la
administració
n de los
recursos
humanos
asignados al
área de
informática,
Análizar si los
empleados están
sobrecargados de
actividades.
Análitica.
Testimonial
En el área de IT son 3 los
colaboradores. Y se reparten
las actividades. Asumen no
suele pasar que se recarguen
de trabajo.
Auditoria de Sistemas 76
77. en cuanto a
capacitación y
adiestra-
miento.
7.
Identificar los
planes de
capacitación.
Revisar los planes
de capacitaciones
para los empleados
de informática.
Testimonial
La Empresa no tiene planes de
capacitaciones para los
colaboradores de IT.
8.
Identificar el
perfil de los
nuevos
empleados a
contratar.
Verificar si existe
algo por escrito,
donde se detallen
las características
del nuevo personal a
contratar.
Testimonial
Análitica.
No tienen nada por escrito
donde detallen las habilidades
y conocimientos que debe
tener el nuevo colaborador de
IT.
9.
Verficar el
tiempo del
personal de IT
en la
Empresa.
Preguntar el tiempo
que han laborado en
la Empresa el
personal de IT.
Testimonial
El Jefe de IT, tiene 8 años de
laborar en la Empresa.
El técnico en Informática, tiene
15 años de laborar en la
Empresa
El Licenciado en Ciencias de la
Computación, tiene 2 años en
la Empresa.
10.
Verificar que
exista una
persona que
se encargue
de crear
perfiles.
Observar si hay una
persona encargadad
de crear los perfiles
de los usuarios. Testimonial
El técnico xxxx, que tiene 15
años de laborar en la Empresa
es el encargado de crear los
perfiles de los. usuarios.
Auditoria de Sistemas 77
78. 11.
Verificar que
tan frecuentes
son las
capacita-
ciones.
Preguntar al
personal que tan
frecuentes son las
capacitaciones que
reciven.
Testimonial
No reciven capacitaciones.
12
Verificar
personal
existente en
IT.
Observar cuantos
empleados están en
área de informática. Testimonial
Física.
3 Empleados en todo el área
de IT.
1 Jefe del área.
1 Técnico en Informática
1 Licenciado en Ciencias de la
Computación.
13.
Verificar si
existen
manuales por
escrito de
actividades a
realizar en el
área de IT.
Indagar si el
personal lleva a
cabo lo estipulado
en el manual de IT.
Testimonial
No existen manuales por
escrito en el área de IT.
14.
Evaluar si los
empleados
cumplen sus
funciones.
Verificar que el
departamento de IT
cumplen sus
funciones, en los
demás
departamentos que
hayan solicitado su
colaboración.
Testimonial
Describen su deber es suplir
las necesidades de los
usuarios en cuanto al equipo
informático se refiere.
15. Evaluar si IT Entrevistar al Testimonial El entrevistado manifiesta, que
Auditoria de Sistemas 78
79. en todo su
conjunto,
hace las
actualiza-
ciones
correspon-
dientes.
departamento de IT,
si hace las
actualizaciones
respectivas en los
diferentes pc.
Física.
si realizan las actualizaciones.
Empresa: xxxxxxx Hecho por: S/P
Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H
Área Auditada: Seguridad Física y Lógica Fecha: 21/04/2015
Persona que Atendio: xxxxxx Cargo: Técnico IT
Contador
SEGURIDAD FÍSICA Y LÓGICA
N°
Actividad a
Evaluar
Procedimiento de
Auditoria
Herramientas Observación
1.
Identificar si
existen
alarmas.
Verficar las alarmas
por presencia de
fuego, humo; asi
como la existencia
de extintores de
incendios.
Física.
En las diferentes áreas de la
Empresa se encuentran
alarmas, y extintores contra
incendios.
2. Investigar si
hay personal
capacitados
para el uso de
extintores.
Verificar si la
Empresa envia a
capacitaciones a
personal de
diferentes
departamentos para
la manipulación y
Testimonial De acuerdo a la persona
entrevistada, hay personas
capacitadas para el uso de
extintores, y que son los
bomberos quienes dan las
capacitaciones.
Auditoria de Sistemas 79
80. uso de los exintores
ante cualquier
incidente.
3.
Medidas de
protección de
conexiones
eléctricas
Conocer las
medidas que la
Empresa toma para
la seguridad de las
conéxiones
eléctricas.
Testimonial
Los bomberos realizán
evaluaciones físicas
constantes de las conexiones
eléctricas de toda la Empresa,
y al final de la evaluación
brindan un informe.
4.
Identificar la
autorización y
administra-
ción de las
claves.
Verificar los
mecanismos
establecidos para
controlar la
asignación de
acceso a las
computadoras
centrales.
Testimonial
El departamento de IT, testifica
que el ingreso a las
computadoras centrales de la
Empresa, es de acceso
restringido y que solo los 3
miembros de IT pueden
ingresar.
5.
Capacitación
en
procedimietos
de seguridad.
Verificar que los
procedimientos
operacionales para
incendio y sistemas
de alarma esten al
alcance de todo el
personal de
operaciones.
Testimonial
Física.
Las capacitaciones se le dan a
personas seleccionadas, pero
hay instrucciones cercas de las
alarmas, de como hacerlas
sonar.
6. Rotulación de Observar si las vías Física. Con la revisión realizada en la
Auditoria de Sistemas 80
81. escapes y
salidas de
emergencias.
de escape y acceso
de emergencias
esten debidamente
rotuladas.
Empresa, se determino que
todas las salidas de
emergencias estan
debidamente rotuladas.
7.
Evaluar
autentifica-
ción de
usuarios y
controles de
acceso.
Asegurarse que las
políticas de
asignación de
cuentas sean
adecuadas y
apropiadas.
Testimonial
Física.
De acuerdo con el testimonio
de algunos usuarios, la
asignación de las cuentas no
es la debida. Y comprobandolo
determinamos no se sigue
ninguna política.
8.
Evaluar el
cableado.
Verificar que el
cableado este
debidamente
protegido, en dado
caso que el cable
este cruzado.
Física.
En la oficinas del área de
producción observamos habia
un cable de red cruzado entre
un escritorio y otro.
Preguntamos y dijo era algo
provisional. Pero en una
nueva visita a la Empresa
obsevamos el cable aun
estaba cruzado, y que no era
algo provisional.
En las demás oficinas el
cableado de red esta
correctamente instalado y
protegido.
9. Identificar
firewall.
Verificar que el
firewall esta
configurado para
limitar el acceso a
Testimonial Fortinet es quien garantiza a la
Empresa que los usuarios no
puedan ingresar a sitios web
bloqueados en función de los
Auditoria de Sistemas 81
82. datos autorizados
para usuarios
internos.
sitios a los que accede.
10.
Prevensión
de virus.
Verificar que
antivirus posee, y
que el antivirus
actúe en los equipos
de los diferentes
departamentos con
eficiencia. Sin poner
en riesgo la
información de los
usuarios, investigar
con que frecuencia
se actualizán y
verificar que cada
equipo cuente con el
licencionamiento
adecuado.
Física.
Testimonial
La Empresa cuenta con el
Antivirus Karsperky, se
actualiza cada día y la
seguridad que proporciona
según los usuarios y el Técnico
de IT no es la mejor, ya que se
cuelan virus que ponen en
riesgo su información.
El Antivirus tiene su licencia.
11.
Entrevistar a
los usuarios.
Preguntar a los
usuarios si el
antivirus es
confiable, o si existe
con frecuencia el
colado de virus.
Testimonial
Anáitica
De acuerdo con las entrevistas
realizada a unos usuarios el
Antivirus Karsperky no es
confiable y se cuelan algunos
virus.
12 Evaluar
puertos
habilitados.
Verificar si los
usuarios tienen
habilitados los
puertos USB de los
equipos, para evitar
poner en riesgo la
Física.
Testimonial
Se verifico los puertos de
algunas computadoras y los
puertos de USB no estan
habilitados.
Auditoria de Sistemas 82
83. información.
13.
Asignación de
contraseñas
Verificar si cada
equipo posee su
respectivo usuario y
contraseña para
denegar el permiso
a otra persona, que
las contraseñas no
sean mostradas en
pantalla cuando se
ingrese, que no sea
menor a 8 digitos y
que contenga
símbolos, numeos y
letras.
Física.
Testimonial
Con la revisión de algunas
computadoras, observamos
que todas poseen usuarios y
contraseñas, pero que no
contienen los medios de
seguridad.
14.
Registro de
accesos.
Investigar si el
sistema genera
registro de acceso.
Testimonial
Física.
De acuerdo al Técnico de IT el
sistema realiza registros de
acceso, modificación y
eliminación de algún
documento.
15.
Evaluar las
políticas de la
Empresa a la
información.
Verificar si existen
políticas dentro de la
Empresa para
proteger su
información y la de
cada usuario.
Testimonial
Física.
El técnico de IT manifiesta que
el ingreso a algunos archivos
en la red, solo pueden ser
vistos por personas
seleccionadas, y algunas solo
pueden ejecutarla pero no
realizar cambios ni eliminación.
Auditoria de Sistemas 83
84. ANEXOS
GLOSARIO
✔ Back up: Copia de seguridad de uno o más archivos informáticos, que se hace,
generalmente, para prevenir posibles pérdidas de información.
✔ Contingencia: Suceso que puede suceder o no, especialmente un problema que se
plantea de forma imprevista.
✔ Cronograma: Representación gráfica de un conjunto de hechos en función del
tiempo.
✔ Departamento IT: departamento de Tecnología de la Información.
✔ Dispositivos: aparato o mecanismo que desarrolla determinadas acciones.
✔ Estándares: Consiste en el establecimiento de normas a las que debe ajustarse la
información geográfica, los procesos de intercambio de ésta y la interoperación de los
sistemas que deben manejarla.
✔ Estipular: Establecer o determinar las condiciones de un trato, acuerdo, precio u otra
cosa.
✔ Extintores: Un extintor, extinguidor, extintor de fuego, o matafuego es un artefacto
que sirve para apagar fuegos.
✔ Fiabilidad: Probabilidad de que un sistema, aparato o dispositivo cumpla una
determinada función bajo ciertas condiciones durante un tiempo determinado.
✔ Firewall: Programa informático que controla el acceso de una computadora a la red y
de
Elementos de la red a la computadora, por motivos de seguridad.
✔ Fortinet: (NASDAQ: FTNT) es el proveedor mundial en dispositivos de seguridad de
Auditoria de Sistemas 84
85. red y líder en gestión unificada de amenazas (UTM). Sus productos y servicios ofrecen
una gran protección integrada y de alto rendimiento contra las dinámicas amenazas de
seguridad.
✔ Fortimail: es el sistema de seguridad para correo electrónico más flexible del mundo.
✔ Ftp: FTP en informática, es un protocolo de red para la transferencia de archivos entre
sistemas conectados a una red TCP, basado en la arquitectura cliente-servidor.
✔ Hacker: Persona con grandes conocimientos de informática que se dedica a acceder
ilegalmente a sistemas informáticos ajenos y a manipularlos.
✔ Malicioso: Que habla o actúa con intención encubierta para beneficiarse en algo o
perjudicar a alguien.
✔ Ordenadores portátiles: es un ordenador personal móvil o transportable, que pesa
normalmente entre 1 y 3 kg.1
✔ Pirata: Persona que se aprovecha del trabajo o de las obras de otros, especialmente
copiando programas informáticos u obras de literatura o de música sin estar
autorizado legalmente para hacerlo.
✔ Red física: Conjunto formado por dos o más nodos conectados a un mismo medio o
canal de comunicación.
✔ Servidores: es un nodo que forma parte de una red, provee servicios a otros nodos
denominados clientes. También se suele denominar con la palabra servidor a: ⁕Una
aplicación informática o programa que realiza algunas tareas en beneficio de otras
aplicaciones llamadas clientes.
✔ Tabulación: Expresión de valores, magnitudes, conceptos, etc., por medio de tablas o
cuadros, o conjunto de los topes del tabulador en las máquinas de escribir y en los
programas informáticos de edición de textos.
Auditoria de Sistemas 85
86. ✔ Tópico: Que se usa y se repite con mucha frecuencia en determinadas
circunstancias.
✔ Topología: Ciencia que estudia los razonamientos matemáticos, prescindiendo de los
significados concretos.
✔ Virus: Programa de computadora confeccionado en el anonimato que tiene la
capacidad de reproducirse y transmitirse independientemente de la voluntad del
operador y que causa alteraciones más o menos graves en el funcionamiento de la
computadora.
Auditoria de Sistemas 86
87. BIBLIOGRAFÍA
Sitios Web.
✔ “Microsoft Word - Manual de Auditoria Version Ejemplar Definitivo Al 18-11-2011.doc -
Manualaud.pdf.” http://www.cgr.gob.ve/pdf/manuales/manualaud.pdf (May 5, 2015).
✔ “Untitled Document.”
http://www.sites.upiicsa.ipn.mx/polilibros/portal/Polilibros/P_proceso/Auditoria_Informat
ica_Nacira_Mendoza_Pinto/UNIDAD%201/HTML/1_4_4.HTM (May 5, 2015).
Fuentes de Información de la Empresa
✔ xxxxxx Contador de la Empresa xxxxxx
✔ xxxxxxx, Técnico Tecnologías de la Información.
✔ xxxxxxx, Lic. de Tecnologías de la Información.
✔ xxxxxxxx, Jefe de Tecnologías de la Información (IT).
Auditoria de Sistemas 87