Auditoría Sistema XXXXX

•

6 recomendaciones•5,996 vistas

S

Informe de Elaboración de Auditoria de Sistemas, Planeación, Ejecución y Elaboración del Informe Final de la Auditoria de Sistemas.

UNIVERSIDAD LUTERANA SALVADOREÑA
FACULTAD DE CIENCIAS DEL HOMBRE Y LA NATURALEZA
LIC. ANA LISSETT GIRÓN BERMÚDEZ
AUDITORÍA DE SISTEMAS
TEMA:
AUDITORÍA DE SISTEMA EN LA EMPRESA XXXXX
ALUMNOS
N° CARNET NOMBRES CARRERA
HP01121473 HERNÁNDEZ PACAS, MARTA ESMERALDA LIC. COMPUTACIÓN
PN01121384 PEÑA NAVARRO, SARA OLINDA LIC. COMPUTACIÓN
San Salvador, 30 de mayo 2015
Auditoria de Sistemas 1

Índice de contenido
FASE I: PLANEACIÓN DE LAAUDITORIA DE SISTEMASFASE I: PLANEACIÓN DE LAAUDITORIA DE SISTEMAS............................................................................................................................44
INTRODUCCIÓNINTRODUCCIÓN..........................................................................................................................................................................................................................................................................44
OBJETIVOS DEL DOCUMENTOOBJETIVOS DEL DOCUMENTO......................................................................................................................................................................................................................55
GENERALGENERAL..................................................................................................................................................................................................................................................................................................55
ESPECÍFICOSESPECÍFICOS......................................................................................................................................................................................................................................................................................55
ANTECEDENTES DE LA EMPRESAANTECEDENTES DE LA EMPRESA..........................................................................................................................................................................................................66
ORGANIGRAMA DE LA EMPRESAORGANIGRAMA DE LA EMPRESA............................................................................................................................................................................................................77
DETALLE DE LOS DEPARTAMENTOS Y LAS ACTIVIDADES QUE SE AUDITARÁNDETALLE DE LOS DEPARTAMENTOS Y LAS ACTIVIDADES QUE SE AUDITARÁN..................................88
ANTECEDENTES Y DESCRIPCIÓN DE LAS APLICACIONES UTILIZADAS (SOFTWARE)ANTECEDENTES Y DESCRIPCIÓN DE LAS APLICACIONES UTILIZADAS (SOFTWARE)..........1111
IDENTIFICACIÓN DE ÁREAS CRÍTICASIDENTIFICACIÓN DE ÁREAS CRÍTICAS....................................................................................................................................................................................1414
JUSTIFICACIÓN Y PONDERACIÓN DE ÁREAS CRÍTICASJUSTIFICACIÓN Y PONDERACIÓN DE ÁREAS CRÍTICAS......................................................................................................................1515
ALCANCE DE LAAUDITORIA INFORMÁTICAALCANCE DE LAAUDITORIA INFORMÁTICA..............................................................................................................................................................1818
OBJETIVO DE LAAUDITORIAOBJETIVO DE LAAUDITORIA......................................................................................................................................................................................................................1919
GENERALGENERAL..............................................................................................................................................................................................................................................................................................1919
ESPECÍFICOSESPECÍFICOS..................................................................................................................................................................................................................................................................................1919
DETERMIANCIÓN DE LOS RECURSOS NECESARIOS PARA REALIZAR LAAUDITORIA.DETERMIANCIÓN DE LOS RECURSOS NECESARIOS PARA REALIZAR LAAUDITORIA.........1919
PRESUPUESTO FINANCIEROPRESUPUESTO FINANCIERO..........................................................................................................................................................................................................................2020
CRONOGRAMA DE ACTIVIDADESCRONOGRAMA DE ACTIVIDADES......................................................................................................................................................................................................2121
PROGRAMA DE AUDITORIAPROGRAMA DE AUDITORIA..........................................................................................................................................................................................................................2121
ANEXOSANEXOS..................................................................................................................................................................................................................................................................................................3535
CARTA DE OFERTACARTA DE OFERTA..............................................................................................................................................................................................................................................................3535
CUESTIONARIO DE CONTROL INTERNOCUESTIONARIO DE CONTROL INTERNO................................................................................................................................................................................3636
FASE II: EJECUCIÓN DE LAAUDITORIA DE SISTEMASFASE II: EJECUCIÓN DE LAAUDITORIA DE SISTEMAS..............................................................................................................................4747
INTRODUCCIÓNINTRODUCCIÓN......................................................................................................................................................................................................................................................................4747
OBJETIVOS DEL DOCUMENTOOBJETIVOS DEL DOCUMENTO................................................................................................................................................................................................................4848
GENERALGENERAL..............................................................................................................................................................................................................................................................................................4848
ESPECÍFICOSESPECÍFICOS................................................................................................................................................................................................................................................................................4848
PRESENTACIÓN DE POLÍTICAS DE SEGURIDADPRESENTACIÓN DE POLÍTICAS DE SEGURIDAD....................................................................................................................................................4949
TÉCNICAS DE EVALUACIÓN APLICABLES A UNAAUDITORIA DE SISTEMASTÉCNICAS DE EVALUACIÓN APLICABLES A UNAAUDITORIA DE SISTEMAS............................................5555
PRESENTACIÓN DE PAPELES DE TRABAJOSPRESENTACIÓN DE PAPELES DE TRABAJOS..................................................................................................................................................................5858
ALCANCE DE LAADITORIA INFORMÁTICAALCANCE DE LAADITORIA INFORMÁTICA..................................................................................................................................................................5959
OBJETIVO DE AUDITORIAOBJETIVO DE AUDITORIA................................................................................................................................................................................................................................6060
GENERALGENERAL..............................................................................................................................................................................................................................................................................................6060
ESPECÍFICOSESPECÍFICOS..................................................................................................................................................................................................................................................................................6060
CRONOGRAMA DE ACTIVIDADES DE LA EJECUCIÓN DE LAAUDITORIACRONOGRAMA DE ACTIVIDADES DE LA EJECUCIÓN DE LAAUDITORIA......................................................6060
PROGRAMA DE AUDITORIAPROGRAMA DE AUDITORIA..........................................................................................................................................................................................................................6161
ANEXOSANEXOS..................................................................................................................................................................................................................................................................................................8383
GLOSARIOGLOSARIO ........................................................................................................................................................................................................................................................................................8383
BIBLIOGRAFÍABIBLIOGRAFÍA..........................................................................................................................................................................................................................................................................8686
FASE III: INFORME DE LAAUDITORIA DE SISTEMASFASE III: INFORME DE LAAUDITORIA DE SISTEMAS..................................................................................................................................8787
INTRODUCCIÓNINTRODUCCIÓN......................................................................................................................................................................................................................................................................8787
OBJETIVOS DEL DOCUMENTOOBJETIVOS DEL DOCUMENTO..................................................................................................................................................................................................................8888
GENERAL:GENERAL:............................................................................................................................................................................................................................................................................................8888
ESPECÍFICOS:ESPECÍFICOS:..............................................................................................................................................................................................................................................................................8888
Auditoria de Sistemas 2

ALCANCE DE LAADITORIA INFORMÁTICAALCANCE DE LAADITORIA INFORMÁTICA..................................................................................................................................................................8989
OBJETIVOS DE AUDITORIAOBJETIVOS DE AUDITORIA............................................................................................................................................................................................................................9090
GENERALGENERAL..............................................................................................................................................................................................................................................................................................9090
ESPECÍFICOSESPECÍFICOS..................................................................................................................................................................................................................................................................................9090
CROMOGRAMA DE ACTIVIDADESCROMOGRAMA DE ACTIVIDADES....................................................................................................................................................................................................9191
PRESENTACIÓN DE INFORMEPRESENTACIÓN DE INFORME......................................................................................................................................................................................................................9191
ANEXOSANEXOS..............................................................................................................................................................................................................................................................................................100100
CARTA DE FINALIZACIÓNCARTA DE FINALIZACIÓN..............................................................................................................................................................................................................................100100
Auditoria de Sistemas 3

FASE I: PLANEACIÓN DE LA AUDITORIA DE SISTEMAS
INTRODUCCIÓN
El documento tiene como fín , mostrar la Planificación realizada previamente a la auditoría
informática, que se llevará a cabo en la Empresa xxxxxx
En está primera etapa del proyecto se describen, los antecedentes de la Empresa xxxxxx en
donde se muestra su estructura organizativa, la actividad económica, los principales
productos y servicios que ofrece, el segmento de mercado, sus principales proveedores,
entre otras.
Támbien se detallan los antecedentes y descripciones de las diferentes aplicaciones de
software utilizadas en la Empresa. En donde se especifican los nombres de las aplicaciones,
si poseen licencias, desde cuando las utilizán, etc.
Seguidamente se identifican las áreas críticas, estas fue obtenidas con las entrevistas, el
material del cuestionario y visitas a la Empresa. Se seleccionan cinco áreas críticas, a las
cuales se les dá una ponderación y una justificación del porque su selección.
Auditoria de Sistemas 4

OBJETIVOS DEL DOCUMENTO
GENERAL
➢ Planificar la Auditoría de Sistema Informática, que se realizará en la Empresa
xxxxxxxxxxx.
ESPECÍFICOS
✔ Identificar las áreas críticas, que representan mayor riesgo dentro de la Empresa
xxxxxxxxxxxxxxxxx.
✔ Elaborar Programas de Auditoría, en donde se detallen los procedimientos a ejecutar.
Auditoria de Sistemas 5

ANTECEDENTES DE LA EMPRESA
Reseña Histórica.
xxxxxxxxxxxxxxx, es una Empresa salvadoreña subsidiaria de xxxxxxxxxxxxxxxx, que se
constituyo de acuerdo con las Leyes de El Salvador el 19 de Septiembre de 2000, bajo el
nombre de xxxxxxxxxxxxxxxx
El 1 de diciembre de 2011, de acuerdo a la estructura de constitución la razon social de la
Compañia cambio axxxxxxxxxxxxxxxx, que hasta hoy en día es conocida con este nombre.
Visión
Ser un socio de elección en los Servicios de Suministro de ropa de diseño hasta la
distribución.
Misión
Desarrollar y fabricar productos y servicios innovadores y competitivos. Impulsados por
personas apasionadas y con talento que se rigen por normas estrictas en cuanto a fiabilidad
y flexibilidad.
Pasión
Nuestra búsqueda es innovar y ser el mejor en todas las áreas; productos, servicios,
procesos y contribución individual y asi mejoran la competitividad de nuestros clientes.
Trabajo en Equipo
Animamos a la participación y la implicación de los trabajadores, y respetamos la
contribución individual para nuestro éxito.
Responsabilidad Social
Nuestras acciones como individuo y como ciudadano corporativo, es estimular la calidad de
vida y proteger el medio ambiente de las comunidades en las que hacemos nuestro negocio.
Auditoria de Sistemas 6

ORGANIGRAMA DE LA EMPRESA
Estructura Organizativa de la Empresa xxxxxxxxxxxxxx
Cantidad de Empleados.
El número de empleados con la que cuenta la Empresa es de: 1250 empleados.
El área de informática cuenta con 3 empleados, y el área de contabilidad con 6 empleados.
Auditoria de Sistemas 7

DETALLE DE LOS DEPARTAMENTOS Y LAS ACTIVIDADES QUE SE AUDITARÁN
Departamento de Informática.
Para llevar a cabo la auditoría informática, se necesitara información de área de IT, ya que es
el departamento encargado de realizar los mantenimientos pertinentes de los Sistemas
Informáticos y velar que el Hardware se encuentren en buen estado para que los demás
departamentos de la Empresa realicen eficientemente su trabajo.
Actividades a Auditar
1. Software.
2. Comunicaciones y Redes.
3. Planes Contingenciales .
4. Dirección Informática.
5. Seguridad Física y Lógica.
Personal que atenderá la Auditoría
Nombre: xxxxxxxxxxxxxxxxxxxxxxx
Cargo: Tecnloogías de la Información.
Teléfono:
Empleados Claves de los Departamentos.
✔ xxxxxxxxxxxxxxxxxxx ( Jefé de IT).
✔ xxxxxxxxxxxxxxxxxxxx (Técnico de IT).
✔ xxxxxxxxxxxxxxxxxxxxx. (Contador).
✔ xxxxxxxxxxxxxxxxxxxxxxx( Asistente de Contabilidad).
Actividad Económica.
Su actividad principal es el establecimiento, desarrollo y la operación de la industria
maquiladora en el Salvador.
Auditoria de Sistemas 8

Su Ubicación.
xxxxxxxxxxx xxxxxxxxxxxxxxx xxxx, en el Departamento de La Paz. Cabe mencionar que no
cuenta con sucursales.
Productos y Servicios.
Productos:
Productos que ofrece xxxxxxxxxxxx. Son productos confeccionados, como:
✔ Pants, Short., Blusas, Ropa para bebes, Bestidos, Faldas, Chaquetas, Vestidos, Batas
de Baño, Suéter, Entre otros (La Empresa confecciona multiestilos)
Servicios:
La Empresa brinda sus servicios a otras Empresas dentro del mismo rubro, como por
ejemplo:
✔ Corte de Prendas, Confección de Prendas, Bordado de prendas, Lavado de Prendas.
Segmento de Mercado.
Los Clientes de la Empresa, que solicitan productos a xxxxxxxxxxxxxxxxxxxxx Son:
Auditoria de Sistemas 9

La Empresa sigue en constante desarrollo expandiendo sus servicios y calidad a más paises
y logrando obtener más clientes de tramos altamente prestigiosos. Todos sus productos son
exportados a otros paises, donde las marcas realizán la distribución de sus prendas en
tiendas de prestigios.
Pricipales Proveedores.
✔ Accesorios Textiles S.A de C.V: Guatemala.
✔ Avery Dennison: El Salvador, China, Mexico, Honduras, Hong Kong, Taiwan, Korea.
✔ Fabrica de Botones Del Valle: Guatemala.
✔ Finotex S.A de C.V : El SAlvador.
✔ Mayotex, S.A : Guatemala.
✔ Textufil S.A de C.V : El Salvador.
✔ Coats S.A de C.V: El Salvador.
✔ Jovida
✔ Bordados Rivas S.A de C.V: El salvador.
✔ Caisa S.A de C.v: El Salvador.
✔ Carolina Cotton Works, Inc: Estados Unidos
✔ Clotex Labels Co. LTD : Hong Kong, China.
✔ E.C.I Elastic CO., LTD : Taiwan
A parte de estos proveedores hay otros, los proveedores pueden ser nacionale o
internacionales, la adquisición de parte de la Empresa dependerá de la calidad y precios que
ofrecen los proveedores.
Auditoria de Sistemas 10

ANTECEDENTES Y DESCRIPCIÓN DE LAS APLICACIONES UTILIZADAS (SOFTWARE)
Sistema Operativo
Nombre:
✔ Windows Server 2008.
Forma de adquisición.
✔ Licencia Pagada.
Fecha deAdquisición.
✔ Año 2012
Sistema Contable Quickbooks
Nombre.
Quickbooks
Idioma.
✔ El idioma en que esta desarrollo Quickbooks es en Inglés.
Descripción.
✔ Las estaciones de trabajo cliente bajo Quickbooks Enterprise 13 requieren un
procesador de 2 GHz, con 1 GB de RAM para un usuario individual.
Múltiples usuarios, o estaciones de trabajo con la versión de 64 bits de Windows 8,
requieren 2 GB de RAM. El servidor también requiere un procesador de 2 GHz,
aunque se recomienda 2,4 GHz.
Base de Datos
✔ PPMSVR (Esta BD la provee Quickbooks)
Modulos
✔ Ventas
✔ Compras
Auditoria de Sistemas 11

✔ Registro Y Control De Inventario
✔ Control De Depósitos
✔ Conciliaciones Bancarias
✔ Partidas De Diario.
Sistema Operativo y Compatibilidad de Sotftware de Quickbooks
Para el Cliente:
✔ Quickbooks Enterprise, pueden ser instaladas sobre versiones de Windows, partiendo
con Windows XP (Service Pack 2). Windows Vista (SP2), Windows 7 y Windows 8 son
soportados tanto en sus versiones de 32 bits como en las de 64 bits.
Para el Servidor:
✔ El software servidor para Quickbooks Enterprise se ejecutará sobre versiones de
Windows Server, partiendo con Server 2003 y continuando con Windows 8.
Tipos de Usuarios
✔ Usuario Normal
✔ Super Usuario
✔ Consulta
Forma de adquisición
✔ Licencia Pagada.
Fecha de Implementación
✔ Año 2012
Antivirus Karsperky
Nombre:
✔ Karsperky
Auditoria de Sistemas 12

Forma de Adquisición
✔ Licencia Pagada por dos años.
Fecha de Implementación
✔ 30 de Junio de 2014.
Decripción
Hasta la fechar 30 de Junio de 2014, los equipos informáticos estabán protegidos por el
Antivirus Panda, pero la Empresa decidió ya no utilizar Panda, por que ya no tenía soporte
técnico en El Salvador.
Debido a eso, la Empresa tomo la decisión de hacer una nueva adquisición del Antivirus
Karsperky.
Lo que llevo a la Empresa decidirce por el Antivirus Karsperky fue:
1. Por que consume menos memoria.
2. Es más barato (fue adquirido en base de cotizaciones).
3. Por que Panda ya no tenía soporte técnico en El Salvador.
Auditoria de Sistemas 13

IDENTIFICACIÓN DE ÁREAS CRÍTICAS
Ponderación de Todas las Áreas.
ÁREAS PONDERACIÓN
1. Hardware. 5%
2. Software. 22%
3. Comunicaciones y Redes. 20%
4. Planes Contingenciales . 10%
5. Dirección Informática. 15%
6. Seguridad Física y Lógica. 15%
7. Basé de Datos. 10%
8. Outsourcing. 3%
PONDERACIÓN TOTAL 100%
Poderación de las Áreas Críticas Identificadas
ÁREAS PONDERACIÓN
1. Software. 28%
2. Comunicaciones y Redes. 25%
3. Planes Contingenciales . 5%
4. Dirección Informática. 22%
5. Seguridad Física y Lógica. 20%
PONDERACIÓN TOTAL 100%
Auditoria de Sistemas 14

JUSTIFICACIÓN Y PONDERACIÓN DE ÁREAS CRÍTICAS
ÁREAS A EVALUAR
PESO POR
FACTOR % JUSTIFICACIÓN
Hardware
5%
La Empresa cuenta con equipo en buen estado,
se realizán sus mantenimientos, se notificán las
fallas y se les da el seguimiento respectivo al
equipo. Realizán sus respaldo diariamente y es
automatizado y revisado por IT, y para su
servidores su mantenimiento es frecuente, es
decir que no se la mantenimiento sólo cuando
se notifica algún problema. Debido a esto no
será parte de nuestra auditoría.
Software 22%
Se auditará el Software de Contabilidad
Quickbooks utilizado por la Empresa para llevar
su contabilidad.
Quickbooks es un sistema creado en Ingles. Y la
ley de El Salvador estipula que: Toda
contabilidad en una Empresa en El Salvador,
debe ser llevada en idioma Español.
Comunicaciones
y Redes 20%
Mediante una visita a la Empresa, observamos
que en algunas oficinas NO utilizan ningun tipo
de topología establecidas por la normas de
cableado. Logramos observar que las
instalaciones de cableado se realizan de
acuerdo a la ubicación de los escritorios y el
espacio disponoble.
En la entrevista se cuestionó al Téncio de IT, a
Auditoria de Sistemas 15

que se debía el hecho que las instalaciones de
los cables de red no seguián nigún tipo de
topología establecida; y su respuesta fue, que
en algunos casos era el jéfe del área quién
asignaba las ubicaciones de los escritoris dentro
de la oficina.
Planes
Contingenciales 15%
El entrevistado manifiesta, están obligados por
los auditores de parte de sus clientes a realizar
cada tres meses simulacros. Y son realizados
con todo el personal de la Empresa sin previo
aviso. Manifiestan que sus planes de
contingencias son efectivos y que estan
debidamente documentados.
Pero la Empresa no capacita a personal de
diferentes áreas para el uso de los extintores de
fuego.
Dirección
Informática 10%
De acuerdo a la entrevista realizada al técnico
de IT, se nos dijo que los colaboradores del área
de informática no reciben capacitaciones
frecuentes.
Tambien manifesto, no poseen ningún tipo de
manual por escrito en el área de IT.
Seguridad Física y
Lógica 10%
Respecto a la seguridad física dentro de la
Empresa, el entrevistado manifiesta que
cuentan con sistemas de alarmas, extintores en
las diferentes áreas, con pólizas de seguros, las
diferentes áreas cuentan con salidas de
Auditoria de Sistemas 16

emergencias, la iluminación en las diferentes
oficinas es la adecuada.
Mientras que con la seguridad Lógica, algunos
usuarios nos manifestarón que el antivirus
instalado no protege su equipo en un 100%. Y
se nos dijo que no hay un control en el equipo
de los usuarios para que no introduzcan
dispositivos de entradas de su propiedad, es
decir ajenos a la Empresa.
Base de Datos
15%
No se evaluará ya que no poseen
conocimientos suficientes, tanto de parte del
área de IT como contabilidad. Y por que cuenta
con niveles de seguridad para el acceso a la
base de datos.
Outsourcing 3%
La Empresa tiene un contarto vigente con una
Empresa de Seguridad encargada para la
vigilancia interna y externa de las instalaciones.
Pero no reciviremos ningún tipo de información
de las actividades que la Empresa de Seguridad
realiza. Debido a eso, esta área no se tomará
en cuenta para ser auditada.
Auditoria de Sistemas 17

ALCANCE DE LA AUDITORIA INFORMÁTICA
El alcance de la auditoria informática se realizará de acuerdo a las áreas críticas
identificadas:
ALCANCE
Software. Lo que auditaremos en Software es:
• Software de Contabilidad Quickbooks utilizado por la
Empresa para llevar su contabilidad.
Comunicaciones
y Redes.
En esta área lo principal a auditar será:
• Topología correcta de los cableados de redes en
todas las oficinas.
Planes
Contingenciales .
En el área de Planes de Contingencias, se evaluará
primoldialmente:
• Qué tan frecuentes son las capacitaciones que recive
el personal de las diferentes áreas de la Empresa,
para el uso y dominio de los extintores en caso de
emergencia.
Dirección Informática. Ya que no poseen ningún tipo de manuales se auditará:
• Medios que utilizán y en que se basan, al no poseer
manuales (no poseen manuales de usuarios, ni de
sistemas informáticos).
Seguridad Física
y Lógica.
En esta área se auditará principalmente:
• El antivirus utilizado por la Empresa.
• Cúal es el control de uso de dispositivos que
introducen en los equipos de los ususarios.
Auditoria de Sistemas 18

OBJETIVO DE LA AUDITORIA
GENERAL
✔ Identificar las áreas críticas y los diferentes riesgos que estas con llevan, al no ser
solucionadas por parte de la Empresa xxxxxx, aplicando los procedimientos, técnicas
y métodos, con la finalidad de determinar la efectividad y efeciencia del departamento
de IT.
ESPECÍFICOS
✔ Evaluar los riesgos que contienen las diferentes áreas críticas identificadas.
✔ Aplicar los procedimientos, técnicas y métodos para el desarrollo eficiente de la
auditoria.
✔ Verificar la capacidad de respuesta de la Empresa ante los riesgos detectados.
✔ Observar el nivel de respuesta del depratemento de IT ante los riesgos identificados.
DETERMIANCIÓN DE LOS RECURSOS NECESARIOS PARA REALIZAR LA AUDITORIA.
Para la realización de la auditoria, se requiere de los siguientes elementos:
Recursos Humanos
✔ 1 Auditores.
✔ 1 Especialista en informática.
Recursos Materiales
✔ 2 PC
✔ Papeleria y útiles.
✔ Equipo tecnológico para la presentación del informe final.
Otros
✔ Viáticos.
Auditoria de Sistemas 19

PRESUPUESTO FINANCIERO
DESCRIPCIÓN CANTIDAD VALOR TOTAL
Recurso Humano
Auditores 2 $ 700 $ 4,800.00
Especialista Informático 1 $ 800 $ 3,200.00
Recurso Materiales
Papeleria y útiles.
• Papel Bond 1 Resma $ 4.00 $ 4.00
• Fastener 1 Caja $ 2.00 $ 2.00
• Folders 12 Folders $ 0.20 $ 2.40
• Lápiceros 10 $ 0.15 $ 1.50
• Engrapadora 1 $ 4.00 $ 4.00
• Perforadora 1 $ 3.50 $ 3.50
• Tinta para impresor 2 $ 20.00 $ 20.00
Elemento Técnico
• Computadoras (Mantenimiento por uso) 2 $ 25.00 $ 25.00
• Impresora (Mantenimiento por uso) 1 $ 20.00 $ 20.00
• Proyector (Manteniemiento Por uso) 1 $ 35.00 $ 35.00
Otros
Viáticos 2 personas $ 35.00 $ 70.00
SUB-TOTAL $ 8,187.40
Imprevistos (10%) (10%) $ 818.74
TOTAL $ 9,006.14
Auditoria de Sistemas 20

CRONOGRAMA DE ACTIVIDADES
PROGRAMA DE AUDITORIA
Empresa: xxxxxxx Hecho por: S/P
Periodo Auditado: Revisado por: E/H
Área Auditada: Software Fecha:
Persona que Atendio: Xxxx
xxxxx
Cargo: Técnico IT
Contador
SOFTWARE
N°
Actividad a
Evaluar
Procedimiento de Auditoria Herramientas Observación
1.
Verificar el
licenciameinto de
Quickbooks.
Revisas si la Empresa posee
licencia del sistema contable
Quickbooks.
Testimonial
2. Modulos con que
cuenta
Quickbooks.
Verificar con qué modulos cuenta
Quickbooks.
Física.
Auditoria de Sistemas 21

3.
Observar el
idioma en el que
esta desarrollado
Quickbooks.
Investigar según la ley de El
Salvador, en que idiomas debe
llevarse la contabilidad en El
Salvador.
Física.
4.
Evaluar si
Quickbooks
cumple con las
leyes de
contabilidad
Salvadoreña.
Investigar bajo que leyes debe
llevarse la contabilidad en las
Empresas. Y si Quickbooks cumple
con la leyes impuestas en El
Salvador.
Física.
5.
Verificar medidas
de seguridad de
Quickbooks .
Evaluar las diferentes medidas que
Quickbooks tiene como medidas de
seguridad.
Testimonial
6.
Evaluar el
soporte técnico.
Verificar los soportes técnicos con
que cuenta Quickbooks. Testimonial
7.
Encargados de
soporte Técnico.
Verificar quienes son los
responsables del soporte técnico. Testimonial
8.
Evaluar los
requeri-mientos.
Verificar cuales son los
requerimientos que los equipos
deben poseer para instalar
Quickbooks.
Física.
Documental.
9.
Plataforma en
que esta
instalado
Quickbooks.
Verificar en que plataforma trabajan
Quickbooks en la Empresa.
Física.
Auditoria de Sistemas 22

10.
Verificar el
control de acceso
a Quickbooks.
Verificar el control de acceso a
Quickbooks si la realizan mediante
contraseñas.
Física.
11.
Principales
usuarios.
Verificar quienes son los principales
usuarios con acceso a Quickbooks.
Física.
Testimonial.
12
Entrevistar al
contador.
Preguntar al contador, en que le
facilta el trabajo Quickbooks.
Testimonial.
13.
Capacitación a
los usuarios.
Verificar si al personal de nuevo
ingreso en el área de contabilidad
es capacitado antes por un experto
para el uso de Quickbooks.
Testimonial.
14.
Verificar si
realizan copias
de seguridad.
Verificar si Quickbooks realiza
copias de seguridad y archivos
como medida de seguridad.
Testimonial.
15.
Evaluar los casos
de
actualizaciones.
Mediante una entrevista, preguntar
que hacen en caso de actualizanes
de Quickbooks.
Testimonial.
Empresa: xxxxxxxxx Hecho por: S/P
Periodo Auditado: Revisado por: E/H
Área Auditada: Comunicaciones y Redes Fecha:
Persona que Atendio: xxxxxxxxxxxx Cargo: Técnico IT
COMUNICACIONES Y REDES
N°
Actividad a
Evaluar
Procedimiento de Auditoria Herramientas Observación
1. Revisar la
topología de la
red.
Examinar si el cableado de la
Empresa cumple con los estandares
de la industria y si se encuentran
Física.
Análitica.
Auditoria de Sistemas 23

debidamente protegidos.
2.
Cuenta con
intranet ó
internet.
Preguntar al área de It si cuenta con
intranet ó internet. Testimonial.
3.
Verficar si el tipo
de cable esta
diseñado para el
ancho de banda.
Si envia los datos a una velocidad
adecuada y sin interferencias.
Física.
4.
Evaluar la
rápides de envio
de información.
Realizar pruebas para verificar la
rápidez de envio de datos.
Física.
Testimonial.
5.
Medir la
velocidad del
internet.
Verificar la velocidad de conexión a
internet. Física.
6.
Plataforma de
software en que
funciona el
servidor de
correo.
Verificar la plataforma que utiliza el
servidor de correo de la Empresa,
por el cual se transmiten los
mensajes.
Testimonial.
7.
Asignación de
cuentas y
cobtraseñas a
las PC de los
usuarios.
Verifcar en que se basan los del
Área de IT para asignarles el
usuario y la contraseña.
Testimonial.
8.
Con qué
frecuencia
cambian las
contraseña a los
usuarios.
Chequear con qué frecuencia, el
área de IT cambia las contraseña a
los usuarios.
Testimonial.
Auditoria de Sistemas 24

9.
Revisar el
bloqueo de
algunas
computadoras a
internet.
Identificar que computadoras de
diferentes departamentos tienen
acceso a internet.
Física.
Testimonial.
10.
Manejo de
firewall.
Verificar si el firewall implementado
detecta y protege:
• Ataque de IP falsas.
• Ataque de denegación del
servicio.
Física.
Testimonial.
11.
Configuración de
firewall.
Reivisar si existe un firewall
debidamente configurado Testimonial.
12
Verificar los
privilegios a
usuarios.
Evaluar en que se basan para dar
privilegios a usuarios de los
diferentes departamentos.
Testimonial.
13.
Elementos que
utilizan para la
comunicación.
Revisar los medios que utilizan para
comunicarse entre los diferentes
departamentos.
Testimonial.
Física
14.
Revisión de la
red física.
Evaluar con que frecuencias se
realizán revisiones de los cables de
redes.
Testimonial.
15.
Bloqueo de
aplicaciones
Verificar que la Empresa tenga
políticas de seguridad y de controles
de acceso a aplicaciones basadas
en la web. Documental
Auditoria de Sistemas 25

Empresa: xxxxxxxxxxx Hecho por: S/P
Periodo Auditado: Revisado por: E/H
Área Auditada: Planes Contingenciales Fecha:
Persona que Atendio: xxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxx
Cargo: Técnico IT
Jefe IT
PLANES CONTINGENCIALES
N° Actividad a Evaluar Procedimiento de Auditoria Herramientas Observación
1.
Evaluar si existen
políticas por
escrito sobre los
planes que ellos
realizan en las
diferentes áreas
de la Empresa.
Pedir manuales donde se
encuentren reflejadas las políticas
sobre los planes contingenciales, ya
que los manuales, deben estar
documentos.
Documental
2.
Evaluar los
planes de
contingencias que
se están
desarrollando
actualmente.
Observar los diferentes planes que
se están realizando, los cuales
están enfocados para evitar
cualquier eventualidad que pueda
suceder en el futuro
Testimonial.
3. Evaluar la
aplicación de
simulacros, asi
como el plan
contingenciales
durante la
ocurrencia de una
falla grave en el
Realizar una serie de simulacros
para verficar si los planes de
contingencias que se tienen están
respondiendo satisfactoriamente
haciendo pruebas de back up y
revisar dichos archivos.
Testimonial
Auditoria de Sistemas 26

sistema.
4.
Evaluar si los
empleados
conocen sobre los
planes
contingenciales.
Preguntar a los empleados si ellos
conocen los planes en dado caso
que exista una catástrofe, entre
otras cosas. Y si alguna ves han
hecho un simulacro.
Testimonial
5.
Evaluar la
confiabilidad en la
aplicación en las
medidas del plan
de contingencias.
Examinar si las medidas que se
tiene en caso de una eventualidad,
la aplicación de los
planes de contingencias sea rápida
y dé una respuesta satisfactoria.
Testimonial
Analítica
7.
Evaluar si
cuentan con sus
respectivas
medidas de
seguridad.
Observar si cuentan con salidas de
seguridad en los diferentes áreas. Y
si los extintores se encuentrán en
una buena ubicación.
Física.
8.
Evaluar si
cuentan con
planes para
prevenir daños en
los recursos.
Observar y pedir manuales para
conocer que hacen para prevenir y
minimizar daños en sus recursos
informáticos, equipos de oficinas y
otros materiales.
Testimonial
9. Evaluar quienes
son las personas
involucradas al
momento de
efectuar los
planes
Preguntar quién ó quiénes, son las
personas responsables a la hora
de efectuar los planes
contingenciales.
Testimonial
Auditoria de Sistemas 27

contingenciales.
10.
Evaluar Planes
Correctivos.
Revisar y preguntar sobre los
planes correctivos, que hacen para
solucionar sus problemas en el
momento que se presenten.
Testimonial
11.
Evaluar planes
cuando hay
saturación de
información.
Preguntar y verificar si se envia
información masiva a las oficinas, y
que sucede cuando el trafico de
datos se vuelve lento.
Testimonial
12.
Evaluar seguridad
elétrica.
Realizar pruebas de un apagón de
luz para saber si funciona
correctamente la planta de energía
eléctrica.
Testimonial
13.
Auditoría de
Planes
Contingenciales
Evaluar plan
cuando se cae la
conexión de
proveedor de
internet.
Realizar pruebas y verificar si ellos
cuentan con otro proveedor de
internet, para poder evaluar que
pasa si la red de un proveedor de
internt se cae.
Testimonial
14.
Evaluación de
reanudación de
actividades.
Investigar si existe un equipo de
dirección de reanudación y un
responsable del mismo, para dirigir
y coordinar las distintas actividades
durante la contingencia o desástre.
Testimonial
Auditoria de Sistemas 28

Empresa: xxxxxxxxx Hecho por: S/P
Periodo Auditado: Revisado por: E/H
Área Auditada: Dirección Informática Fecha:
Persona que Atendio:
xxxxxxxx
Cargo: Técnico IT
Contador
DIRECCIÓN INFORMÁTICA
N° Actividad a Evaluar Procedimiento de Auditoria Herramientas Observación
1.
Evaluar el perfil
de los empleados
del área de
informática,
mediante la
revisión de los
manuales de
función y de
usuario.
Revisar los manuales de funciones
de empleados de infomática.
Revisar los manuales de usuarios
de sistemas.
Testimonial
2.
Capacita-ciones
del personal IT.
Realizar una entrevista al director
del área de IT, que tan frecuentas
son las capacitaciones de sus
colaboradores.
Testimonial
3.
Evaluar la
existencia y
cumplimiento de
los objetivos de la
institución dentro
del departamento
de informática.
Entrevistar a los empleados de
informática y preguntarles si tienen
claros los objetivos de su
departamento y de la institución.
Testimonial
Auditoria de Sistemas 29

4.
Nivel en el que se
encuentra
jerarquico en el
departamento de
IT.
Realizar una análisis del
organigrama de la Empresa y ver en
que nivel se encuentra el
departamento de informática.
Análitica.
5.
Verificar, cúal es
el perfil para la
selección y
promoción del
área de
informática.
Revisar los requisitos para la
selección de un nuevo colaborador
en el área de IT. Análitica.
Testimonial
6.
Evaluar la
administración de
los recursos
humanos
asignados al área
de informática, en
cuanto a
capacitación y
adiestra-miento.
Análizar si los empleados están
sobrecargados de actividades.
Análitica.
Testimonial
7.
Identificar los
planes de
capacitación.
Revisar los planes de
capacitaciones para los empleados
de informática.
Testimonial
8.
Identificar el perfil
de los nuevos
empleados a
contratar.
Verificar si existe algo por escrito,
donde se detallen las características
del nuevo personal a contratar.
Testimonial
Análitica.
9. Verficar el tiempo
del personal de IT
Preguntar el tiempo que han
laborado en la Empresa el personal
Testimonial
Auditoria de Sistemas 30

en la Empresa. de IT.
10.
Verificar que
exista una
persona que se
encargue de crear
perfiles.
Observar si hay una persona
encargadad de crear los perfiles de
los usuarios.
Testimonial
11.
Verificar que tan
frecuentes son las
capacita-ciones.
Preguntar al personal que tan
frecuentes son las capacitaciones
que reciven.
Testimonial
12
Verificar personal
existente en IT.
Observar cuantos empleados están
en área de informática.
Testimonial
Física.
13.
Verificar si existen
manuales por
escrito de
actividades a
realizar en el área
de IT.
Indagar si el personal lleva a cabo lo
estipulado en el manual de IT.
Testimonial
14.
Evaluar si los
empleados
cumplen sus
funciones.
Verificar que el departamento de IT
cumplen sus funciones, en los
demás departamentos que hayan
solicitado su colaboración.
Testimonial
15.
Evaluar si IT en
todo su conjunto,
hace las
actualiza-ciones
correspon-
dientes.
Entrevistar al departamento de IT, si
hace las actualizaciones respectivas
en los diferentes pc.
Testimonial
Física.
Auditoria de Sistemas 31

Empresa: xxxxxxx Hecho por: S/P
Periodo Auditado: Revisado por: E/H
Área Auditada: Seguridad Física y Lógica Fecha:
Persona que Atendio: xxxxx Cargo: Técnico IT
Contador
SEGURIDAD FÍSICA Y LÓGICA
N° Actividad a Evaluar Procedimiento de Auditoria Herramientas Observación
1.
Identificar si
existen alarmas.
Verficar las alarmas por presencia
de fuego, humo; asi como la
existencia de extintores de
incendios.
Física.
2.
Investigar si hay
personal
capacitados para
el uso de
extintores.
Verificar si la Empresa envia a
capacitaciones a personal de
diferentes departamentos para la
manipulación y uso de los exintores
ante cualquier incidente.
Testimonial
3.
Medidas de
protección de
conexiones
eléctricas
Conocer las medidas que la
Empresa toma para la seguridad de
las conéxiones eléctricas.
Testimonial
4.
Identificar la
autorización y
administra-ción de
las claves.
Verificar los mecanismos
establecidos para controlar la
asignación de acceso a las
computadoras centrales.
Testimonial
Auditoria de Sistemas 32

5.
Capacitación en
procedimietos de
seguridad.
Verificar que los procedimientos
operacionales para incendio y
sistemas de alarma esten al alcance
de todo el personal de operaciones.
Testimonial
Física.
6.
Rotulación de
escapes y salidas
de emergencias.
Observar si las vías de escape y
acceso de emergencias esten
debidamente rotuladas.
Física.
7.
Evaluar
autentifica-ción de
usuarios y
controles de
acceso.
Asegurarse que las políticas de
asignación de cuentas sean
adecuadas y apropiadas.
Testimonial
Física.
8.
Evaluar el
cableado.
Verificar que el cableado este
debidamente protegido, en dado
caso que el cable este cruzado.
Física.
9.
Identificar firewall. Verificar que el firewall esta
configurado para limitar el acceso a
datos autorizados para usuarios
internos.
Testimonial
10. Prevensión de
virus.
Verificar que antivirus posee, y que
el antivirus actúe en los equipos de
los diferentes departamentos con
eficiencia. Sin poner en riesgo la
información de los usuarios,
investigar con que frecuencia se
actualizán y verificar que cada
Física.
Testimonial
Auditoria de Sistemas 33

equipo cuente con el
licencionamiento adecuado.
11.
Entrevistar a los
usuarios.
Preguntar a los usuarios si el
antivirus es confiable, o si existe
con frecuencia el colado de virus.
Testimonial
Anáitica
12
Evaluar puertos
habilitados.
Verificar si los usuarios tienen
habilitados los puertos USB de los
equipos, para evitar poner en riesgo
la información.
Física.
Testimonial
13.
Asignación de
contraseñas
Verificar si cada equipo posee su
respectivo usuario y contraseña
para denegar el permiso a otra
persona, que las contraseñas no
sean mostradas en pantalla cuando
se ingrese, que no sea menor a 8
digitos y que contenga símbolos,
numeos y letras.
Física.
Testimonial
14.
Registro de
accesos.
Investigar si el sistema genera
registro de acceso.
Testimonial
Física.
15.
Evaluar las
políticas de la
Empresa a la
información.
Verificar si existen políticas dentro
de la Empresa para proteger su
información y la de cada usuario.
Testimonial
Física.
Auditoria de Sistemas 34

ANEXOS
CARTA DE OFERTA
Auditoria de Sistemas 35

CUESTIONARIO DE CONTROL INTERNO
GENERALIDADES DE LA EMPRESA
Nombre de la Empresa: xxxxxxx Fecha:
Entrevistado: xxxxxxx Cargo: Dept. IT
Entrevistado:xxxxxxx Cargo: Contador
Pregunta Si No Comentarios
¿Cúal es el nombre de la Empresa? xxxxxxxxx
¿Cúal es la actividad económica la Empresa? Fabricación de prendas de vestir
¿Cuántos años tiene la Empresa de estar en el
mercado?
14 Años
¿La Empresa cuenta con una estructura
organizada?
x
¿Existen objetivos establecidos en la Empresa? x
¿Cuenta la Empresa con misión, visión y
valores?
x
¿Quiénes son sus principales proveedores?
¿Cuentan con presupuestos y manuales? Si pero no por escrito
¿Los proveedores son nacionales o
internacionales?
Ambos
¿Quiénes son sus principales clientes?
¿Cuentan con planes de negocios? Si pero no por escrito
¿Cuentan con políticas de trabajo establecidas? x
Auditoria de Sistemas 36

¿Posee la Empresa un manual de funciones
específicas para cada area de trabajo?
Si pero no por escrito
¿Existe un control de ingresos y egresos? x
¿Están obligados a que les realicen auditorías? x
Software de Contabilidad Quickbooks
Pregunta Si No N/A Comentarios
¿Desde cúando adquirió la Empresa Quickbooks? Desde el año 2012
¿Qué tan frecuentes son las actualizaciones? No hay actualizaciones
¿Capacita a los empleados para trabajar en
Quickbooks?
x
¿Qué modulos tiene Quickbooks?
Módulo de: Ventas,
compras, registro y
control de inventario,
control de depósitos,
conciliaciones
bancarias, partidas de
diario.
¿En qué idioma esta creado Quickbooks? ingles
¿Está bajo la ley el uso de Quickbooks en El
Salvador?
x No cumple con algunos
requerimientos
establecidos por la ley
salvadoreña
¿Quiénes son sus principales usuarios dentro de la El departamento de
Auditoria de Sistemas 37

Empresa? Contabilidad
¿Poseen la licencia? x
¿Tiene soporte técnico? x
¿Quién es el responsable del soporte técnico? En algunos casos el
departamento de
informática
¿Está Quickbooks conectada a una base de datos? x
HARDWARE
Pregunta Si No N/A Comentarios
¿Cuenta con servidores locales o nube? x Servidor local
¿Cantidad de servidores posee? Ocho
¿Es frecuente el mantenimiento? x
¿Cuentan con un plan anual de mantenimiento? x
¿Cúal es la cantidad de equipo que posee
actualmente?
120 pc
¿Existe un plan de mantenimiento preventivo? x
¿Se notifican las fallas? x
¿Se les da seguimiento? x
Auditoria de Sistemas 38

¿Existen políiticas definidas por escrita a la hora de
adquirir nuevos equipos?
x
¿Realizan Back up? x
¿Qué tan fecuente hacer el Back up? Diario
¿Dondé se guarda el Back up? Discoduro extraible
¿Quien hace el back up?
Automatico, y es
revisado por el
departento de
informatica
¿Utilizan IDś y contraseñas para restringir el acceso
a determinadas funciones atraves d ella terminal o
estación de trabajo?
x
¿El cableado se encuentra correctamente instalado? x
¿Se cuenta con equipo ininterrumpible (SAI)? x
¿Se tiene Switch de apagado en caso de
emergencia en algún lugar visible?
x
SOFTWARE
Pregunta Si No N/A Comentarios
¿Qué tipo de ERP utiliza? X
Quién es el proveedor de dicho ERP? x
¿Cuánto tiempo tiene de usar dicho ERP? x
¿Hacen capacitaciones a los usuarios y técnicos x
Auditoria de Sistemas 39

informáticos del ERP?
¿Poseen manuales de uso? x
¿Los manuales están actualizados? x
SISTEMAS OPERATIVOS
¿Qué sistemas opertativos utilizan en las oficionas? XP, Window 7, MaC,
Windoe 8
¿Cuál es el sistema operativo que utilizan los
servidores?
Window server 2008
¿Poseen las licencias de los sitemas operativos? x
¿Qué tan frecuentes son las actualizaciones de los
sitemas operativos?
Mensuales
¿Han habido cambios recientes en los sitemas
operativos?
x
¿Los usuarios estan capacitados para el buen uso
de los sistemas operativos?
x
COMUNICACIONES Y REDES
Pregunta Si No N/A Comentarios
¿Quienes son los proveedores de
comunicaciones y redes?
Salnet
¿Que tipo de servicio posee? internet
¿Qué ancho de banda posee? 2M
Auditoria de Sistemas 40

¿Cuenta con internet o intranet? Internet
¿Posee internet inalámbrico? x
¿Qué tipo de topología utilizan? De todo tipo: U estrella.
Dependiendo el espacio.
¿Qué tipos de dispositivos utilizan para la
comunicación?
Teléfono, celulares
¿El tipo de cable está diseñado para el ancho de
banda?
x
¿Cuentan con correo Empresarial? x
¿En qué plataforma de software funciona el
servidor de correo?
No se utiliza plataforma. Se
utiliza fortimail
¿Quién asigna las contraseñas? El departamento de IT
¿Las cuentas de correos son personales o por
áreas?
Son personales
VIDEOVIGILANCIA
¿Cuenta con video vigilancia la Empresa? x
¿Desde cuándo cuenta con video vigilancai? 10 años
¿Qué tipo de dispositivo utiliza? Cámara de video
infrarrojas
¿Quiénes son los proveedores de la video
vigilancia?
Vigilancia interna
¿Quién es la persona encargada de la video
vigilancia?
El departamento de IT
¿Existe alguna política para la revisión de la
cinta?
x
Auditoria de Sistemas 41

PLANES CONTINGENCIALES
Pregunta Si No N/A Comentarios
¿Cuenta la Empresa con planes contingenciales
para minimizar riesgos que amenacen el área IT?
x
¿Los planes contingenliales estan por escrito? x
¿Poseen manuales de acción que ayuden al
personal de IT en eventos inesperados?
x
¿Los usuarios concen los planes de
contingencias?
x
¿Sabe el personal que hacer en caso de
emergencia?
x
¿Son efectivos los planes contingeciales? x
DIRECCIÓN INFORMÁTICA
Pregunta Si No N/A Comentarios
¿Existe dirección informática? x
¿Cuánto personal posee? 3 tres
¿Qué requisitos debe cumplir una persona para
ser contratado en el área de IT?
Como mínimo técnico en el
área de informática
¿Reciben capacitaciones frecuentes el personal
del área d IT?
x
¿En IT se encuentrán los manuales disponibles y x
Auditoria de Sistemas 42

actualizados?
¿Existen manuales de usuarios, técnicos de
sistemas de información?
x
¿En el área de IT tiene definidos políticas, planes
y estrategías?
x
¿Existe una persona que se encargue de la
creación de perfiles de usuarios de los sistemas
de información?
x
SEGURIDAD FÍSICA Y LÓGICA
FÍSICA
Pregunta Si No N/A Comentarios
¿Las instalaciones cuentan con sistema de alarma
por presencia de fuego, humo, asi como con
extintores de incendio, conexiones eléctricas, entre
otras?
x
¿Tienen contratos de pólizas de seguros para
proteger la información, equipos, personal yo todo
riesgo que se produzca por diferentes casos?
x
¿La temperatura a la que trabajan los equipos es la
adecuada de acuerdo a las normas bajo las cuales
se rige?
x
¿El Cableado se encuentra correctamente instalado? x
Auditoria de Sistemas 43

¿Los interruptores de energía están debidamente
protegidos y sin obstáculos para alcanzarlos?
x
¿Con qué periodo se les da mantenimiento a las
instalaciones y suministros de energía?
Se verifica cada
semana, y cuando sea
necesario.
¿Se cuenta con una salida de emergencia? x
¿Es adecuada la iluminación del de las diferentes
oficinas donde hay equipo?
x
LÓGICA
¿Posee firewall? x
¿Cuenta con ativirus? x
¿Cúal es el nombre del antivirus? Karsperky
¿Posee las licencias de los antivirus? x
¿Qué tan frecuentre son las actualizaciones de los
antivirus?
Diarias
¿Se manejan permisos de usuarios? x
¿Existen procedimientos formales sobre la emisión y
el control de las contraseñas?
x
¿El sistema genera registros de acceso? x
Auditoria de Sistemas 44

¿Se utilizan tablas de autorización de software para
restringir el acceso a distintas aplicaciones de
software?
x
¿Existen políticas dentro de la Empresa para
proteger su información y la de cada usuario?
x
¿El acceso al código fuente está restringido al
personal autorizado (a través de una contraseña) o
no está provisto por el proveedor del software?
x
BASE DE DATOS
Pregunta Si No N/A Comentarios
¿Cual es el nombre de la base de datos? PPMSVR. Este es el
nombre de la que ocupa
Quickbooks.
¿Quien es el proveedor? El mismo que provee
Quickbooks
¿Que tan frecuentes son las actualizaciones de
esta base de datos?
X
¿IT sabe como darle mantenimiento a la base de
datos?
X
¿Los usuarios saben de la existencia de la base
de datos?
X
¿Existe un administrador de la base de datos? El contador de la Empresa.
¿Existe un diseño y físico y lógico de la base de X
Auditoria de Sistemas 45

datos?
¿Quienes son los usuarios de la base de datos? Los colaboradores de
contbailidad
¿Existe algún tipo de documentación referida a
la estructura y contenidos de la base de datos?
x
¿Se cuenta con niveles de seguridad para el
acceso a la base de datos?
x
¿Qué nivel de confidencialidad tiene la
información almacenada en la base de datos?
El contador es el que tiene
acceso tota a la base de
datos.
OUTSOURCING
Pregunta Si No N/A Comentarios
¿Cuenta con outsourcing?
x
¿Quién es el proveedor?
¿Cual es el plazo del contrato de outsourcing?
x
¿Se actualizan los contratos?
x
Auditoria de Sistemas 46

FASE II: EJECUCIÓN DE LA AUDITORIA DE SISTEMAS
INTRODUCCIÓN
En la Etapa de la Ejecución, se presentan: Las Políticas de Seguridad que la Empresa realiza
para salvaguardar la seguridad Informática: También se describen las Técnicas y
Procedimientos que utilizamos para la Ejecución de la Auditoría, que son fuentes importantes
para la obtención de evidencias dentro del proceso de la Auditoría. Se presentan los papeles
de trabajo para cada una de las áreas señaladas como críticas.
Se describe el Alcance de la Auditoría, donde se reflejan las cinco áreas identificadas como
críticas, los objetivos de la auditoría y también se establecen las actividades que se
realizarón para la Ejecución de la Auditoría, reflejadas en el Cronograma de Actividades.
Auditoria de Sistemas 47

OBJETIVOS DEL DOCUMENTO
GENERAL
✔ Ejecutar la Auditoria de Sistemas, en la Empresa xxxxxx, desarrollando los programa
de audioria, utilizando las diferente técnica y procedimientos de audioria.
ESPECÍFICOS
✔ Aplicar las técnicas y procedimientos , para la obtención de evidencia.
✔ Realizar la Auditoria de acuerdo a las área identificadas.
✔ Presentar las Políticas de Seguridad para salvaguardar la seguridad informática dentro
de la empresa.
Auditoria de Sistemas 48

equipos informáticos, previendo revisiones de rutina y limpieza, coordinado con
el jefe del departamento para no afectar las labores diarias del departamento al
que se le está dando soporte técnico.
1.2 Cualquier reasignación de hardware de la empresa deberá de ser estrictamente
realizada por el personal de IT, además se supervisará la nueva ubicación, y se
actualizará en los respectivos registros. Nadie deberá realizar cambios de
ubicación de hardware sin la aprobación del departamento IT. Se coordinará con la
gerencia para tomar las medidas disciplinarias respectivas, en el caso que un
empleado(a) incumpla dicho lineamientos.
1.3 Asignación de Desktop (computadora de escritorio) o Laptop (Computadora
portátil)
✔ El Departamento de IT es el responsable de asignar una Desktop o Laptop al
personal evaluando previamente con la aprobación de la gerencia, cual es la
ideal para su Desempeño laboral, Responsabilidad y Movilidad.
✔ Los usuarios tendrán que firmar un Formulario de Préstamo en el cual explica la
Asignación de “Laptop”. El Departamento IT conservará la copia impresa
(original) y una copia se entregara al Departamento de Recursos Humanos
para el archivo personal del empleado en el caso que el usuario renuncie
deberá entregar la Laptop en su buen estado.
2.0 SOFTWARE
2.1 Software estándar para ser instalado en las PC’s
✔ Sistema Operativo (Win XP, Pro o Win 7)
✔ Karsperky (Anti Virus)
✔ MS Office
✔ Adobe Reader
Auditoria de Sistemas 50

✔ Drivers de Impresoras
✔ xxxxxxxx
✔ Software instalado de acuerdo a la necesidad del departamento.
2.2 Sólo el personal del departamento de IT pueden desinstalar o modificar
instalaciones de software.
2.3 En caso sea necesario instalar un software no aprobado o no autorizado tendrá
que ser consultado con el Jefe de Departamento y posteriormente el personal de
IT procederá con la instalación.
2.4 No se permite instalar software pirata en las PC’s. Se tomarán las medidas
disciplinarias por la gerencia al detectarse cualquier incumplimiento.
3.0 CORREOS ELECTRONICOS Y ACCESO A INTERNET.
3.1 Toda cuenta de inicio de sesión y la cuenta de correo electrónico tiene que ser
solicitada a través de correo electrónico por el Jefe de Departamento y aprobado
por la gerencia.
3.2 Uso del correo electrónico
✔ El correo electrónico puede sobrecargar los recursos del sistema y de banda
ancha. Por lo tanto debe ser utilizado con fines de trabajo únicamente.
✔ Los usuarios de correo electrónico no deben tomarse el tiempo o la molestia
para responder a los correos electrónicos no deseados/solicitados, ya que
podría confirmar al remitente quien puede ser un hacker potencial, que la
dirección es real (y está siendo leído por una persona real). Por lo tanto dicha
acción posiblemente podría abrir la puerta a un virus o un ataque de
denegación de servicio.
✔ Los archivos grandes con peso de 10.0 MB pueden ser enviados o recibidos a
través de correos electrónicos. En caso que el archivo pesara más, deberá
comunicarle al departamento de IT para que le habilite a utilizar el sitio ftp de la
Auditoria de Sistemas 51

empresa.
3.3 Uso de Internet
✔ El Acceso a Internet para cada miembro del personal tiene que ser decidido por
el jefe del departamento y aprobado por la gerencia.
✔ El Internet debe ser utilizado sólo con fines de trabajo.
✔ Descarga de software, música y videos no está permitido en internet sin la
aprobación del personal de IT.
Notas explicativas:
- En el proceso de descarga de aplicaciones (programas) de Internet a su PC,
puede recibir un virus u otro código malicioso que infecta el sistema. Esto
puede tener consecuencias muy graves.
- Los empleados no deben de utilizar el correo de la empresa para cualquier
sitio web de registro no corporativo.
- La información en Internet puede ser inexacta, no válida, o deliberadamente
engañosa, y cualquier decisión sobre una descarga puede ser fatal para el
sistema y para la seguridad de la información.
- Por lo tanto se recomienda a los usuarios no seguir las indicaciones que
puedan aparecer en la red de Internet que puedan resultar dudosas y/o
peligrosas, más bien consulte inmediatamente con el personal de IT.
4.0 Seguridad de Internet
4.1 Fortinet en puesto, este nos permite que los usuarios no puedan ingresar a sitios
web bloqueados en función de los sitios a los que accede. Los siguientes sitios se
clasifican como sitios no autorizados.
✔ Páginas Pornográficas / sexo explícito
✔ Juegos
Auditoria de Sistemas 52

✔ Haking
✔ Hate
✔ Sitios Web Personales (Facebook y otros)
✔ Páginas de Video
✔ Descarga de música
✔ Páginas de Violencia
5.0 Respaldo (Backup) y recuperación
5.1 Para cada uno de los Departamento, nos aseguraremos de que sus
procedimientos de copia de seguridad permitan una restauración eficaz de la
última copia de seguridad del estado.
5.2 El departamento que necesite realizar una copia de seguridad que no se encuentre
en las carpetas compartidas, deberá informar al Departamento de IT para realizar
las respectivas copias.
5.3 Todo el personal o usuario de todas las computadoras debe ser personalmente
responsable de guardar la información en sus respectivas carpetas para que se
realice las respectivas copias de seguridad de datos.
5.4 El departamento de IT hará revisiones periódicas para asegurar que estos
procedimientos continúen apoyando una recuperación oportuna.
5.5 Sólo el personal IT puede realizar la restauración de cualquier documento o
restauración del sistema.
6.0 Protección y seguridad
6.1 Todos los usuarios deberán bloquear su computadora al levantarse de su sitio de
trabajo ya que cuando la pantalla se deja sin bloquear en su ausencia, otros
pueden tener la oportunidad de eliminar los archivos de forma accidental.
✔ Todas las PC, ordenadores portátiles y estaciones de trabajo deben estar
Auditoria de Sistemas 53

asegurados con un protector de pantalla protegido por contraseña con la
función de activación automática fijada cada 60 segundos.
✔ Después de ingresar erróneamente cuatro veces la contraseña de seguridad la
computadora por seguridad se bloqueará, en este caso deberá informar al
personal de IT.
✔ Ningún usuario está permitiendo compartir la contraseña. A menos que se
hubiera autorizado, por el jefe del departamento.
✔ La contraseña de usuario debe ser mínimo de 8 caracteres no más de 12.
✔ Es responsabilidad de todos los usuarios ayudar en el ahorro de costos a la
empresa y aumentar la vida útil de la PC tomando muy en cuenta la seguridad
ocupacional de todos.
✔ La acción disciplinaria se aplicará a los usuarios que persistan en no apagar su
PC y su batería después de la jornada de trabajo.
6.2 No se permite el acceso a la sala de servidores sin autorización de IT. Sólo el
personal de IT tienen acceso a la sala de servidores.
____________________
xxxxxxxxxxxxxxxxxxx
Jefe de Tecnologías de la Información (IT)
Auditoria de Sistemas 54

TÉCNICAS DE EVALUACIÓN APLICABLES A UNA AUDITORIA DE SISTEMAS
Ejecución de la Auditoria Informática
Etapa que consiste en el desarrollo de los procedimientos contenidos en los programas de
auditoria através de técnicas de auditoría.
Técnicas de Recopilación de Evidencias
Para la recopilación de información, el auditor toma y adapta las técnicas, procedimientos y
herramientas tradicionales del análisis de sistemas de información.
Al utilizar estas herramientas en la auditoría, lo que hace es sacar el mejor provecho de ellas
para adecuarlas a las necesidades específicas de evaluación requeridas en el ambiente de
sistemas.
Estos métodos no solo se utilizan en la evaluación del área de informática, sino también en la
evaluación de cualquier área ajena al ambiente de sistemas. Es por ello que el auditor debe
saber cómo utilizarlas.
Entrevistas
La entrevista es una de las actividades más importantes del auditor; en ellas, éste recoge
más información, y mejor matizada, que es proporcionada por medios propios puramente
técnicos o por las respuestas escritas a cuestionarios, Es decir la entrevista es la recopilación
de información que se realiza en forma directa, cara a cara y a través de algún medio de
capturas de datos.
Cuestionarios
Los cuestionarios son una técnica de recopilación de infromación. Es un trabajo de campo,
que permite al auditor lograr obtener toda la información necesaria para la emisón de un
juicio global y objetivo, siempre amparado en hechos demostrables, llamados tambien
evidencias.
El cuestionario, permite estudiar y analizar la documentación recibida, de modo que tal
análisis determine asu vez la información que deberá elaborar el propio auditor. Se
Auditoria de Sistemas 55

recomienda solo hacer preguntas necesarias, que permitan alcanzar los objetivos; preguntas
sencillas.
Mediante el uso de cuestionarios el analista puede estar buscando cuantificar lo que ha
encontrado en las entrevistas. Adicionalmente, los cuestionarios pueden ser usados para
determinar que tan amplio o limitado es en realidad un sentimiento expresado en una
entrevista. En forma inversa los cuestionarios pueden ser usados para investigar una gran
muestra de usuarios de sistemas, para tratar de encontrar problemas o recoger cosas
importantes antes de que las entrevistas sean realizadas.
Encuestas
Las encuestas constituyen otra de las técnicas más populares y de mayor uso en una
auditoría de sistemas computacionales, y son útiles principalmente para averiguar opiniones
sobre aspectos de la Informática tales como el servicio, el comportamiento y utilidad del
equipo, la actuación del personal y los usuarios, la oportunidad de la presentación de los
resultados, entre otros juicios sobre la función informática. Podemos definir una encuesta de
la siguiente manera:
Es la recopilación de datos concretos sobre un tema específico, mediante el uso de
cuestionarios o entrevistas diseñados con preguntas precisas para obtener las opiniones de
los encuestados, las cuales permiten, después de hacer una rápida tabulación, análisis e
interpretación de esa información, conocer su punto de vista y sentimientos hacia un tópico
específico.
Observación
Una de las técnicas más populares, de mayor impacto y más utilizados para examinar los
diferentes aspectos que repercuten en el funcionamiento del área de Informática o del propio
sistema, es la aplicación de diversas técnicas y métodos de observación que permiten
recolectar directamente la información necesaria sobre el comportamiento del sistema, del
área de sistemas, de las funciones, actividades y operaciones del equipo procesador o de
cualquier otro hecho, acción o fenómeno del ámbito de sistemas.
Auditoria de Sistemas 56

La observación se puede hacer desde diferentes puntos de vista y con diversas
técnicas y métodos que se mencionan a continuación:
✔ Observacion Directa
✔ Observacion Indirecta
✔ Observacion Oculta
✔ Observacion Participativa
✔ Observacion No Participativa
Evidencia de Auditoria
El Auditor deberá tener evidencia que sea suficiente, competente y pertinente, como
fundamento de sus opiniones, comentarios y recomendaciones.
La evidencia adecuada es la información que cuantitativamente es suficiente y apropiada
para lograr los resusltados de la auditoria y que cualitativamente, tiene la imparcialidad para
inspirar confianza y fiabilidad.
✔ la evidencia será suficiente, cuando el alcance de los planes sea adecuado.
Solo una evidencia encontrada, no podría ser suficiente para demostrar un hecho.
✔ La evidencia será pertinente, si el hecho se relaciona con el objetivo de la auditoria.
✔ La evidencia será competente, si guarda relación con el alcance de la auditoria y
además es creible y confiable.
Auditoria de Sistemas 57

PRESENTACIÓN DE PAPELES DE TRABAJOS
El formulario utilizado para la Ejecución de la Auditoría, esta dividido en dos partes:
1. Encabezado
Muestra el nombre de la Empresa, el periodo en que se desarrollo la auditoría, El auditor que
realizó la auditoría (Hecho por), el auditor quien lo revisó (Revisado Por), fecha en que se
ejecutó la auditoría y el nombre de la persona que atendio la auditoría.
Empresa: xxxxxxx Hecho por: S/P
Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H
Área Auditada: Área a Auditar Fecha: 21/04/2015
Persona que Atendio: Persona que atiende la
auditoría.
Cargo: Cargo en la Empresa
1. Cuerpo
N°
Actividad a
Evaluar
Procedimiento de
Auditoria
Herramientas Observación
Describen las
Actividades a
desarrollar en
la Ejecucuión
de la Audioría.
Presenta el
procediemiento que
se realizará obtener
el hallazgo.
Tipo de
herramienta
utilizada
para la
obtención de
la evidencia.
Descripciones de los hallazgos
encontrados.
Auditoria de Sistemas 58

ALCANCE DE LA ADITORIA INFORMÁTICA
El alcance de la auditoria informática se realizará de acuerdo a las áreas críticas
identificadas:
ALCANCE DE LA AUDITORIA
Software. Lo que auditaremos en Software es:
• Software de Contabilidad Quickbooks utilizado por la
Empresa para llevar su contabilidad.
Comunicaciones
y Redes.
En esta área lo principal a auditar será:
• Topología correcta de los cableados de redes en
todas las oficinas.
Planes
Contingenciales .
En el área de Planes de Contingencias, se evaluará
primoldialmente:
• Qué tan frecuentes son las capacitaciones que recive
el personal de las diferentes áreas de la Empresa,
para el uso y dominio de los extintores en caso de
emergencia.
Dirección
Informática.
Ya que no poseen ningún tipo de manuales se auditará:
• Medios que utilizán y en que se basan, al no poseer
manuales (no poseen manuales de usuarios, ni de
sistemas informáticos).
Seguridad Física
y Lógica.
En esta área se auditará principalmente:
• El antivirus utilizado por la Empresa.
• Cúal es el control de uso de dispositivos que
introducen en los equipos de los ususarios.
Auditoria de Sistemas 59

OBJETIVO DE AUDITORIA
GENERAL
✔ Identificar las áreas críticas y los diferentes riesgos que estas conllevan, al no ser
solucionadas por parte de la Empresa xxxxxx , aplicando los procedimientos, técnicas
y métodos, con la finalidad de determinar la efectividad y efeciencia del departamento
de IT.
ESPECÍFICOS
✔ Evaluar los riesgos que contienen las diferentes áreas críticas identificadas.
✔ Aplicar los procedimientos, técnicas y métodos para el desarrollo eficiente de la
auditoria.
✔ Verificar la capacidad de respuesta de la Empresa ante los riesgos detectados.
✔ Observar el nivel de respuesta del departamento de IT ante los riesgos identificados.
CRONOGRAMA DE ACTIVIDADES DE LA EJECUCIÓN DE LA AUDITORIA
Auditoria de Sistemas 60

PROGRAMA DE AUDITORIA
Empresa: xxxxxxxxxxxx Hecho por: S/P
Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H
Área Auditada: Software Fecha: 21/04/2015
Persona que Atendio: xxxxxxxxxxxxx Cargo: Técnico IT
Contador
SOFTWARE
N°
Actividad a
Evaluar
Procedimiento de
Auditoria
Herramientas Observación
1.
Verificar el
licenciameinto
de
Quickbooks.
Revisas si la
Empresa posee
licencia del sistema
contable
Quickbooks.
Testimonial
Quickbooks fue comprado para
otra Empresa del mismo dueño
de xxxxx.
2.
Modulos con
que cuenta
Quickbooks.
Verificar con qué
modulos cuenta
Quickbooks.
Física.
Los Modulos con los que
cuenta son: Ventas, Compras,
Registro Y Control De
Inventario, Control De
Depósitos, Conciliaciones
Bancarias y Partidas De Diario.
3.
Observar el
idioma en el
que esta
desarrollado
Quickbooks.
Investigar según la
ley de El Salvador,
en que idiomas debe
llevarse la
contabilidad en El
Salvador.
Física.
Las computadoras del área de
Contabilidad, realiza todos sus
registros en idioma Ingles en
Quickbooks.
Auditoria de Sistemas 61

4.
Evaluar si
Quickbooks
cumple con
las leyes de
contabilidad
Salvadoreña.
Investigar bajo que
leyes debe llevarse
la contabilidad en
las Empresas. Y si
Quickbooks cumple
con la leyes
impuestas en El
Salvador.
Física.
Quickbooks, no cumple con
aspectos Legales de la
Contabilidad en El Salvador (la
Ley determina: Art. 436.- Los
registros deben llevarse en
castellano).
5.
Verificar
medidas de
seguridad de
Quickbooks .
Evaluar las
diferentes medidas
que Quickbooks
tiene como medidas
de seguridad.
Testimonial
El contador, nos dijo que
Quickbooks realiza Back up de
seguridad todos los días y es
un Sistema Contable confiable
para la Contabilidad de la
Empresa.
6.
Evaluar el
soporte
técnico.
Verificar los soportes
técnicos con que
cuenta Quickbooks.
Testimonial
Quickbooks. no tiene soporte
técnico en el País.
7.
Encargados
de soporte
Técnico.
Verificar quienes son
los responsables del
soporte técnico.
Testimonial
Se nos dijo que el encargado
en algunos casos del sopote
técnico son los del área de
informática. Pero que no suele
presentar mayor problema
Quickbooks.
8. Evaluar los
requeri-
mientos.
Verificar cuales son
los requerimientos
que los equipos
deben poseer para
Física.
Documental.
De acuerdo a lo revisión y
teniendo en cuenta cúales son
los requerimientos que pide
Quickbooks para su
Auditoria de Sistemas 62

instalar Quickbooks. instalación, las computadoras
de trabajo cliente y servidor
cumplen con los
requeriemientos establecidos.
9.
Plataforma en
que esta
instalado
Quickbooks.
Verificar en que
plataforma trabajan
Quickbooks en la
Empresa.
Física.
Se trabaja bajo Windows 8.
10.
Verificar el
control de
acceso a
Quickbooks.
Verificar el control
de acceso a
Quickbooks si la
realizan mediante
contraseñas.
Física.
Todas la computadoras del
área Contable en las que esta
instalado Quickbooks, poseen
usuarios y contraseñas.
11.
Principales
usuarios.
Verificar quienes son
los principales
usuarios con acceso
a Quickbooks.
Física.
Testimonial.
Los principales usarios son los
del departamento de
Contabilidad.
12
Entrevistar al
contador.
Preguntar al
contador, en que le
facilta el trabajo
Quickbooks.
Testimonial.
EL contador manifiesta lo
siguiente: “En el país la
mayoría de empresas tienen
sistemas contables deficientes.
El Quickbooks proporciona
muchos reportes.Genera
información rápida y confiable”.
13. Capacitación Verificar si al Testimonial. No es capacitado, al momento
Auditoria de Sistemas 63

a los
usuarios.
personal de nuevo
ingreso en el área
de contabilidad es
capacitado antes por
un experto para el
uso de Quickbooks.
que ingresa a laborar al área
de Contabilidad, uno de los del
área que ya conoce el uso de
Quickbooks le enseña como se
trabaja en el programa de
Contabilidad.
14.
Verificar si
realizan
copias de
seguridad.
Verificar si
Quickbooks realiza
copias de seguridad
y archivos como
medida de
seguridad.
Testimonial. Todos los días realizan back
up.
15.
Evaluar los
casos de
actualizacione
s.
Mediante una
entrevista, preguntar
que hacen en caso
de actualizanes de
Quickbooks.
Testimonial. No hay actualizaciones.
Empresa: xxxxx Hecho por: S/P
Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H
Área Auditada: Comunicaciones y Redes Fecha: 21/04/2015
Persona que Atendio: xxxxxx Cargo: Técnico IT
PROGRAMA DE AUDITORIACOMUNICACIONES Y REDES
N°
Actividad a
Evaluar
Procedimiento de
Auditoria
Herramientas Observación
1. Revisar la
topología de
la red.
Examinar si el
cableado de la
Física.
Análitica.
Se Observó que utilizán
topologías como: Estrella y U.
Auditoria de Sistemas 64

Empresa cumple
con los estandares
de la industria y si
se encuentran
debidamente
protegidos.
La Empresa realiza las
conexiónes de red de acuerdo
al espacio de las oficinas.
Con respecto a la protección
de los cables, se observo, que
en algunas oficinas no cuenta
con la protección debida, solo
están cubiertas con Cinta
transparente para que no se
levante.
2.
Cuenta con
intranet ó
internet.
Preguntar al área de
It si cuenta con
intranet ó internet.
Testimonial.
Cuenta solo con internet.
3.
Verficar si el
tipo de cable
esta diseñado
para el ancho
de banda.
Si envia los datos a
una velocidad
adecuada y sin
interferencias.
Física.
La revisión de algunos cables
de red, nos permite determinar
que el cableado categoria 3 es
el adecuado. Y es el que posee
la Empresa.
4.
Evaluar la
rápides de
envio de
información.
Realizar pruebas
para verificar la
rápidez de envio de
datos. Física.
Testimonial.
Luego de la evaluación se
determinó, que el tiempo que
tarda la información de ser
enviado/recivida, esta a corde
del ancho de banda, por lo que
no afecta el rendimiento ni el
desempeño de la red.
Auditoria de Sistemas 65

5.
Medir la
velocidad del
internet.
Verificar la velocidad
de conexión a
internet.
Física.
Después de una prueba
realizada de un envio de un
correo electrónico, se logro
determinar que la transferencia
de información tiene un
comportamiento normal de
envio y entrega de información.
6.
Plataforma de
software en
que funciona
el servidor de
correo.
Verificar la
plataforma que
utiliza el servidor de
correo de la
Empresa, por el cual
se transmiten los
mensajes.
Testimonial.
La plataforma de correo que
utiliza la Empresa es
“Fortimail”, por que brinda
seguridad y protección ante
amenazas mixtas que se
ocultan en el correo electrónico
mensajes, formadas por spam,
virus, gusanos, phishing
(suplantación de identidad, que
intentar adquirir información
confidencial de forma
fraudulenta )y spyware (la
lentitud de los Sistemas
Operativos y en la ejecución de
programas, porque consumen
recursos de la máquina,
impidiendo que funcione
normalmente).
7. Asignación
de cuentas y
cobtraseñas a
las PC de los
Verifcar en que se
basan los del Área
de IT para
asignarles el usuario
Testimonial. La asiganación de cuentas y
usuarios a los colaboradores
no es un método seguro,
entrevistando a un usuario, nos
Auditoria de Sistemas 66

usuarios. y la contraseña. dijo que las cuentas eran
asignadas de acuerdo a los
nombre del usuario. El usuario
de la computadora es el Primer
Nombre y Primer Apellido, y la
contraseña la inicial del Primer
Nombre y la inicial del Primer
Apellido, seguido de oa123
8.
Con qué
frecuencia
cambian las
contraseña a
los usuarios.
Chequear con qué
frecuencia, el área
de IT cambia las
contraseña a los
usuarios.
Testimonial.
No son frecuentes los cambios
de usuarios y contraseñas.
9.
Revisar el
bloqueo de
algunas
computadoras
a internet.
Identificar que
computadoras de
diferentes
departamentos
tienen acceso a
internet.
Física.
Testimonial.
El área de IT, tiene permitido
dar acceso a internet a ciertas
personas, como lo son: A Jefes
de los diferentes
Departamentos, a todos los
usuarios de Mercadeo,
Recursos Humanos y a del
área de IT.
10. Manejo de
firewall.
Verificar si el firewall
implementado
detecta y protege:
• Ataque de IP
falsas.
• Ataque de
denegación
del servicio.
Física.
Testimonial.
De acuerdo a la entrevista al
técnico de IT el firewall
implementado detecta y
protege. Al intentar entrar
desde una computadora que
no tiene permitido el acceso a
internet, mostró la pagína de
Auditoria de Sistemas 67

acceso denegado.
11.
Configuración
de firewall.
Reivisar si existe un
firewall debidamente
configurado
Testimonial.
El firewall esta debidamente
configurado, al intentar entrar
desde una computadora que
tiene denegado el acceso a
internet.
12
Verificar los
privilegios a
usuarios.
Evaluar en que se
basan para dar
privilegios a
usuarios de los
diferentes
departamentos.
Testimonial.
Solo a Jefes y colaboradores
de áreas claves son los
privilegiados, por que realizan
diferentes actividades
sumamente importantes para
la empresa.
13.
Elementos
que utilizan
para la
comunicación
.
Revisar los medios
que utilizan para
comunicarse entre
los diferentes
departamentos.
Testimonial.
Física
Utilizan celulares, correos
eléctronicos y teléfonos de
líneas fijas.
14.
Revisión de la
red física.
Evaluar con que
frecuencias se
realizán revisiones
de los cables de
redes.
Testimonial.
En la entrevista, el técnico de
IT manifiesta que no tienen un
tiempo establecido para la
revisión de la red física.
15. Bloqueo de
aplicaciones
Verificar que la
Empresa tenga
políticas de
seguridad y de
Documental
Posee políticas de Seguridad,
que restringen el aceeso a
aplicaciones, las cuales se
detallan en las Políticas de
Auditoria de Sistemas 68

controles de acceso
a aplicaciones
basadas en la web.
Seguridad Informática de la
Empresa.
Empresa: xxxxxx Hecho por: S/P
Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H
Área Auditada: Planes Contingenciales Fecha: 21/04/2015
Persona que Atendio: Xxxxxxx
xxxxx
Cargo: Técnico IT
Jefe IT
PLANES CONTINGENCIALES
N°
Actividad a
Evaluar
Procedimiento de
Auditoria
Herramientas Observación
1.
Evaluar si
existen
políticas por
escrito sobre
los planes
que ellos
realizan en
las diferentes
áreas de la
Empresa.
Pedir manuales
donde se
encuentren
reflejadas las
políticas sobre los
planes
contingenciales, ya
que los manuales,
deben estar
documentos.
Documental
Pedimos ver los manuales
donde estan documentados los
diferentes planes de
contingencia que la Empresa
realiza. Estos planes si estan
docuementados.
2. Evaluar los
planes de
contingencias
que se están
desarrollando
actualmente.
Observar los
diferentes planes
que se están
realizando, los
cuales están
enfocados para
evitar cualquier
eventualidad que
Testimonial. Los planes contingenciales,
que la Empresa realizan con
mayor frecuencias son:
Simulacros de Sismos e
Incendios.
Auditoria de Sistemas 69

pueda suceder en el
futuro
3.
Evaluar la
aplicación de
simulacros,
asi como el
plan
contingenciale
s durante la
ocurrencia de
una falla
grave en el
sistema.
Realizar una serie
de simulacros para
verficar si los planes
de contingencias
que se tienen están
respondiendo
satisfactoriamente
haciendo pruebas de
back up y revisar
dichos archivos.
Testimonial
El entrevistado del área de IT ,
manifiesta que cuando la
Empresa realiza los simulacros
con los todos sus empleados,
su área también realiza back
up y son satisfactorios.
4.
Evaluar si los
empleados
conocen
sobre los
planes
contingenciale
s.
Preguntar a los
empleados si ellos
conocen los planes
en dado caso que
exista una
catástrofe, entre
otras cosas. Y si
alguna ves han
hecho un simulacro.
Testimonial
Los empleados entrevistados,
manifiestan si se les informan
de las medidas a tomar y que
hacer al presentarse cualquier
eventualidad.
5. Evaluar la
confiabilidad
en la
aplicación en
las medidas
del plan de
Examinar si las
medidas que se
tiene en caso de una
eventualidad, la
aplicación de los
planes de
Testimonial
Analítica
Con los simulacros que se
realizán, se ha ido mejorando
el tiempo y reacción. Y la forma
en que se realizan son
confiables y satisfactorias.
Auditoria de Sistemas 70

contingencias. contingencias sea
rápida y dé una
respuesta
satisfactoria.
7.
Evaluar si
cuentan con
sus
respectivas
medidas de
seguridad.
Observar si cuentan
con salidas de
seguridad en los
diferentes áreas. Y si
los extintores se
encuentrán en una
buena ubicación.
Física.
Las salidas de Emergencias,
están debidamente rotuladas,
la ubicación de los extintores
es visible ante todo el personal
de los diferentes áreas de la
Empresa.
8.
Evaluar si
cuentan con
planes para
prevenir
daños en los
recursos.
Observar y pedir
manuales para
conocer que hacen
para prevenir y
minimizar daños en
sus recursos
informáticos,
equipos de oficinas y
otros materiales.
Testimonial
El área de IT no cuenta con
manuales y lo unico que
realizan son back up de la
información.
9. Evaluar
quienes son
las personas
involucradas
al momento
de efectuar
los planes
contingenciale
Preguntar quién ó
quiénes, son las
personas
responsables a la
hora de efectuar los
planes
contingenciales.
Testimonial De cada área hay una persona
involucrada en el momento de
efectuar simulacros.
Auditoria de Sistemas 71

s.
10.
Evaluar
Planes
Correctivos.
Revisar y preguntar
sobre los planes
correctivos, que
hacen para
solucionar sus
problemas en el
momento que se
presenten.
Testimonial
Realizan lo que estiman
conveniente en el momento y
ante la emergencia.
11.
Evaluar
planes
cuando hay
saturación de
información.
Preguntar y verificar
si se envia
información masiva
a las oficinas, y que
sucede cuando el
trafico de datos se
vuelve lento.
Testimonial
El envio de información no es
masiva y no hay saturación de
tráfico.
12.
Evaluar
seguridad
elétrica.
Realizar pruebas de
un apagón de luz
para saber si
funciona
correctamente la
planta de energía
eléctrica.
Testimonial
La planta de energía eléctrica
funciona correctamente ante
cualquier apagón. Hay
personas encargadas.
13. Auditoría de
Planes
Contingencial
es Evaluar
Realizar pruebas y
verificar si ellos
cuentan con otro
proveedor de
Testimonial No cuentan con otro proveedor
de internet aparte de Salnet.
Auditoria de Sistemas 72

plan cuando
se cae la
conexión de
proveedor de
internet.
internet, para poder
evaluar que pasa si
la red de un
proveedor de internt
se cae.
14.
Evaluación de
reanudación
de
actividades.
Investigar si existe
un equipo de
dirección de
reanudación y un
responsable del
mismo, para dirigir y
coordinar las
distintas actividades
durante la
contingencia o
desástre.
Testimonial
Cada colaborador es el
encargado de reanudar su
actividad despues de un
simulacro.
Auditoria de Sistemas 73

Empresa: xxxxxx Hecho por: S/P
Auditoria de Sistemas 74

Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H
Área Auditada: Dirección Informática Fecha: 21/04/2015
Persona que Atendio:
xxxxxx
Cargo: Técnico IT
Contador
DIRECCIÓN INFORMÁTICA
N°
Actividad a
Evaluar
Procedimiento de
Auditoria
Herramientas Observación
1.
Evaluar el
perfil de los
empleados
del área de
informática,
mediante la
revisión de los
manuales de
función y de
usuario.
Revisar los
manuales de
funciones de
empleados de
infomática.
Revisar los
manuales de
usuarios de
sistemas.
Testimonial
No poseen manuales de
funciones, ni manuales de
usuarios de sistemas.
2.
Capacita-
ciones del
personal IT.
Realizar una
entrevista al director
del área de IT, que
tan frecuentas son
las capacitaciones
de sus
colaboradores.
Testimonial
De acuerdo al Jefé de área de
IT no reciben capacitaciones.
3. Evaluar la
existencia y
cumplimiento
de los
Entrevistar a los
empleados de
informática y
preguntarles si
Testimonial Los entrevistados aciertan que
saben los objetivos del
departamento, y que buscan
cumplirlos con eficiencia, y de
Auditoria de Sistemas 75

objetivos de la
institución
dentro del
departamento
de
informática.
tienen claros los
objetivos de su
departamento y de
la institución.
esa manera ayudar la Empresa
para que tambien logren sus
objetivos.
4.
Nivel en el
que se
encuentra
jerarquico en
el
departamento
de IT.
Realizar una análisis
del organigrama de
la Empresa y ver en
que nivel se
encuentra el
departamento de
informática.
Análitica.
En el Organigrama de la
Empresa no se especifica el
Departamento de IT.
5.
Verificar, cúal
es el perfil
para la
selección y
promoción del
área de
informática.
Revisar los
requisitos para la
selección de un
nuevo colaborador
en el área de IT.
Análitica.
Testimonial
No tiene por escrito los
requsitos que un colaborador
del área de IT debe cumplir.
6. Evaluar la
administració
n de los
recursos
humanos
asignados al
área de
informática,
Análizar si los
empleados están
sobrecargados de
actividades.
Análitica.
Testimonial
En el área de IT son 3 los
colaboradores. Y se reparten
las actividades. Asumen no
suele pasar que se recarguen
de trabajo.
Auditoria de Sistemas 76

en cuanto a
capacitación y
adiestra-
miento.
7.
Identificar los
planes de
capacitación.
Revisar los planes
de capacitaciones
para los empleados
de informática.
Testimonial
La Empresa no tiene planes de
capacitaciones para los
colaboradores de IT.
8.
Identificar el
perfil de los
nuevos
empleados a
contratar.
Verificar si existe
algo por escrito,
donde se detallen
las características
del nuevo personal a
contratar.
Testimonial
Análitica.
No tienen nada por escrito
donde detallen las habilidades
y conocimientos que debe
tener el nuevo colaborador de
IT.
9.
Verficar el
tiempo del
personal de IT
en la
Empresa.
Preguntar el tiempo
que han laborado en
la Empresa el
personal de IT.
Testimonial
El Jefe de IT, tiene 8 años de
laborar en la Empresa.
El técnico en Informática, tiene
15 años de laborar en la
Empresa
El Licenciado en Ciencias de la
Computación, tiene 2 años en
la Empresa.
10.
Verificar que
exista una
persona que
se encargue
de crear
perfiles.
Observar si hay una
persona encargadad
de crear los perfiles
de los usuarios. Testimonial
El técnico xxxx, que tiene 15
años de laborar en la Empresa
es el encargado de crear los
perfiles de los. usuarios.
Auditoria de Sistemas 77

11.
Verificar que
tan frecuentes
son las
capacita-
ciones.
Preguntar al
personal que tan
frecuentes son las
capacitaciones que
reciven.
Testimonial
No reciven capacitaciones.
12
Verificar
personal
existente en
IT.
Observar cuantos
empleados están en
área de informática. Testimonial
Física.
3 Empleados en todo el área
de IT.
1 Jefe del área.
1 Técnico en Informática
1 Licenciado en Ciencias de la
Computación.
13.
Verificar si
existen
manuales por
escrito de
actividades a
realizar en el
área de IT.
Indagar si el
personal lleva a
cabo lo estipulado
en el manual de IT.
Testimonial
No existen manuales por
escrito en el área de IT.
14.
Evaluar si los
empleados
cumplen sus
funciones.
Verificar que el
departamento de IT
cumplen sus
funciones, en los
demás
departamentos que
hayan solicitado su
colaboración.
Testimonial
Describen su deber es suplir
las necesidades de los
usuarios en cuanto al equipo
informático se refiere.
15. Evaluar si IT Entrevistar al Testimonial El entrevistado manifiesta, que
Auditoria de Sistemas 78

en todo su
conjunto,
hace las
actualiza-
ciones
correspon-
dientes.
departamento de IT,
si hace las
actualizaciones
respectivas en los
diferentes pc.
Física.
si realizan las actualizaciones.
Empresa: xxxxxxx Hecho por: S/P
Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H
Área Auditada: Seguridad Física y Lógica Fecha: 21/04/2015
Persona que Atendio: xxxxxx Cargo: Técnico IT
Contador
SEGURIDAD FÍSICA Y LÓGICA
N°
Actividad a
Evaluar
Procedimiento de
Auditoria
Herramientas Observación
1.
Identificar si
existen
alarmas.
Verficar las alarmas
por presencia de
fuego, humo; asi
como la existencia
de extintores de
incendios.
Física.
En las diferentes áreas de la
Empresa se encuentran
alarmas, y extintores contra
incendios.
2. Investigar si
hay personal
capacitados
para el uso de
extintores.
Verificar si la
Empresa envia a
capacitaciones a
personal de
diferentes
departamentos para
la manipulación y
Testimonial De acuerdo a la persona
entrevistada, hay personas
capacitadas para el uso de
extintores, y que son los
bomberos quienes dan las
capacitaciones.
Auditoria de Sistemas 79

uso de los exintores
ante cualquier
incidente.
3.
Medidas de
protección de
conexiones
eléctricas
Conocer las
medidas que la
Empresa toma para
la seguridad de las
conéxiones
eléctricas.
Testimonial
Los bomberos realizán
evaluaciones físicas
constantes de las conexiones
eléctricas de toda la Empresa,
y al final de la evaluación
brindan un informe.
4.
Identificar la
autorización y
administra-
ción de las
claves.
Verificar los
mecanismos
establecidos para
controlar la
asignación de
acceso a las
computadoras
centrales.
Testimonial
El departamento de IT, testifica
que el ingreso a las
computadoras centrales de la
Empresa, es de acceso
restringido y que solo los 3
miembros de IT pueden
ingresar.
5.
Capacitación
en
procedimietos
de seguridad.
Verificar que los
procedimientos
operacionales para
incendio y sistemas
de alarma esten al
alcance de todo el
personal de
operaciones.
Testimonial
Física.
Las capacitaciones se le dan a
personas seleccionadas, pero
hay instrucciones cercas de las
alarmas, de como hacerlas
sonar.
6. Rotulación de Observar si las vías Física. Con la revisión realizada en la
Auditoria de Sistemas 80

escapes y
salidas de
emergencias.
de escape y acceso
de emergencias
esten debidamente
rotuladas.
Empresa, se determino que
todas las salidas de
emergencias estan
debidamente rotuladas.
7.
Evaluar
autentifica-
ción de
usuarios y
controles de
acceso.
Asegurarse que las
políticas de
asignación de
cuentas sean
adecuadas y
apropiadas.
Testimonial
Física.
De acuerdo con el testimonio
de algunos usuarios, la
asignación de las cuentas no
es la debida. Y comprobandolo
determinamos no se sigue
ninguna política.
8.
Evaluar el
cableado.
Verificar que el
cableado este
debidamente
protegido, en dado
caso que el cable
este cruzado.
Física.
En la oficinas del área de
producción observamos habia
un cable de red cruzado entre
un escritorio y otro.
Preguntamos y dijo era algo
provisional. Pero en una
nueva visita a la Empresa
obsevamos el cable aun
estaba cruzado, y que no era
algo provisional.
En las demás oficinas el
cableado de red esta
correctamente instalado y
protegido.
9. Identificar
firewall.
Verificar que el
firewall esta
configurado para
limitar el acceso a
Testimonial Fortinet es quien garantiza a la
Empresa que los usuarios no
puedan ingresar a sitios web
bloqueados en función de los
Auditoria de Sistemas 81

datos autorizados
para usuarios
internos.
sitios a los que accede.
10.
Prevensión
de virus.
Verificar que
antivirus posee, y
que el antivirus
actúe en los equipos
de los diferentes
departamentos con
eficiencia. Sin poner
en riesgo la
información de los
usuarios, investigar
con que frecuencia
se actualizán y
verificar que cada
equipo cuente con el
licencionamiento
adecuado.
Física.
Testimonial
La Empresa cuenta con el
Antivirus Karsperky, se
actualiza cada día y la
seguridad que proporciona
según los usuarios y el Técnico
de IT no es la mejor, ya que se
cuelan virus que ponen en
riesgo su información.
El Antivirus tiene su licencia.
11.
Entrevistar a
los usuarios.
Preguntar a los
usuarios si el
antivirus es
confiable, o si existe
con frecuencia el
colado de virus.
Testimonial
Anáitica
De acuerdo con las entrevistas
realizada a unos usuarios el
Antivirus Karsperky no es
confiable y se cuelan algunos
virus.
12 Evaluar
puertos
habilitados.
Verificar si los
usuarios tienen
habilitados los
puertos USB de los
equipos, para evitar
poner en riesgo la
Física.
Testimonial
Se verifico los puertos de
algunas computadoras y los
puertos de USB no estan
habilitados.
Auditoria de Sistemas 82

información.
13.
Asignación de
contraseñas
Verificar si cada
equipo posee su
respectivo usuario y
contraseña para
denegar el permiso
a otra persona, que
las contraseñas no
sean mostradas en
pantalla cuando se
ingrese, que no sea
menor a 8 digitos y
que contenga
símbolos, numeos y
letras.
Física.
Testimonial
Con la revisión de algunas
computadoras, observamos
que todas poseen usuarios y
contraseñas, pero que no
contienen los medios de
seguridad.
14.
Registro de
accesos.
Investigar si el
sistema genera
registro de acceso.
Testimonial
Física.
De acuerdo al Técnico de IT el
sistema realiza registros de
acceso, modificación y
eliminación de algún
documento.
15.
Evaluar las
políticas de la
Empresa a la
información.
Verificar si existen
políticas dentro de la
Empresa para
proteger su
información y la de
cada usuario.
Testimonial
Física.
El técnico de IT manifiesta que
el ingreso a algunos archivos
en la red, solo pueden ser
vistos por personas
seleccionadas, y algunas solo
pueden ejecutarla pero no
realizar cambios ni eliminación.
Auditoria de Sistemas 83

ANEXOS
GLOSARIO
✔ Back up: Copia de seguridad de uno o más archivos informáticos, que se hace,
generalmente, para prevenir posibles pérdidas de información.
✔ Contingencia: Suceso que puede suceder o no, especialmente un problema que se
plantea de forma imprevista.
✔ Cronograma: Representación gráfica de un conjunto de hechos en función del
tiempo.
✔ Departamento IT: departamento de Tecnología de la Información.
✔ Dispositivos: aparato o mecanismo que desarrolla determinadas acciones.
✔ Estándares: Consiste en el establecimiento de normas a las que debe ajustarse la
información geográfica, los procesos de intercambio de ésta y la interoperación de los
sistemas que deben manejarla.
✔ Estipular: Establecer o determinar las condiciones de un trato, acuerdo, precio u otra
cosa.
✔ Extintores: Un extintor, extinguidor, extintor de fuego, o matafuego es un artefacto
que sirve para apagar fuegos.
✔ Fiabilidad: Probabilidad de que un sistema, aparato o dispositivo cumpla una
determinada función bajo ciertas condiciones durante un tiempo determinado.
✔ Firewall: Programa informático que controla el acceso de una computadora a la red y
de
Elementos de la red a la computadora, por motivos de seguridad.
✔ Fortinet: (NASDAQ: FTNT) es el proveedor mundial en dispositivos de seguridad de
Auditoria de Sistemas 84

red y líder en gestión unificada de amenazas (UTM). Sus productos y servicios ofrecen
una gran protección integrada y de alto rendimiento contra las dinámicas amenazas de
seguridad.
✔ Fortimail: es el sistema de seguridad para correo electrónico más flexible del mundo.
✔ Ftp: FTP en informática, es un protocolo de red para la transferencia de archivos entre
sistemas conectados a una red TCP, basado en la arquitectura cliente-servidor.
✔ Hacker: Persona con grandes conocimientos de informática que se dedica a acceder
ilegalmente a sistemas informáticos ajenos y a manipularlos.
✔ Malicioso: Que habla o actúa con intención encubierta para beneficiarse en algo o
perjudicar a alguien.
✔ Ordenadores portátiles: es un ordenador personal móvil o transportable, que pesa
normalmente entre 1 y 3 kg.1
✔ Pirata: Persona que se aprovecha del trabajo o de las obras de otros, especialmente
copiando programas informáticos u obras de literatura o de música sin estar
autorizado legalmente para hacerlo.
✔ Red física: Conjunto formado por dos o más nodos conectados a un mismo medio o
canal de comunicación.
✔ Servidores: es un nodo que forma parte de una red, provee servicios a otros nodos
denominados clientes. También se suele denominar con la palabra servidor a: ⁕Una
aplicación informática o programa que realiza algunas tareas en beneficio de otras
aplicaciones llamadas clientes.
✔ Tabulación: Expresión de valores, magnitudes, conceptos, etc., por medio de tablas o
cuadros, o conjunto de los topes del tabulador en las máquinas de escribir y en los
programas informáticos de edición de textos.
Auditoria de Sistemas 85

✔ Tópico: Que se usa y se repite con mucha frecuencia en determinadas
circunstancias.
✔ Topología: Ciencia que estudia los razonamientos matemáticos, prescindiendo de los
significados concretos.
✔ Virus: Programa de computadora confeccionado en el anonimato que tiene la
capacidad de reproducirse y transmitirse independientemente de la voluntad del
operador y que causa alteraciones más o menos graves en el funcionamiento de la
computadora.
Auditoria de Sistemas 86

BIBLIOGRAFÍA
Sitios Web.
✔ “Microsoft Word - Manual de Auditoria Version Ejemplar Definitivo Al 18-11-2011.doc -
Manualaud.pdf.” http://www.cgr.gob.ve/pdf/manuales/manualaud.pdf (May 5, 2015).
✔ “Untitled Document.”
http://www.sites.upiicsa.ipn.mx/polilibros/portal/Polilibros/P_proceso/Auditoria_Informat
ica_Nacira_Mendoza_Pinto/UNIDAD%201/HTML/1_4_4.HTM (May 5, 2015).
Fuentes de Información de la Empresa
✔ xxxxxx Contador de la Empresa xxxxxx
✔ xxxxxxx, Técnico Tecnologías de la Información.
✔ xxxxxxx, Lic. de Tecnologías de la Información.
✔ xxxxxxxx, Jefe de Tecnologías de la Información (IT).
Auditoria de Sistemas 87

Auditoría Sistema XXXXX

Auditoría Sistema XXXXX

Auditoría Sistema XXXXX

Auditoría Sistema XXXXX

Auditoría Sistema XXXXX

Auditoría Sistema XXXXX

Auditoría Sistema XXXXX

Auditoría Sistema XXXXX

Auditoría Sistema XXXXX

Auditoría Sistema XXXXX

Auditoría Sistema XXXXX

Auditoría Sistema XXXXX

Auditoría Sistema XXXXX

Auditoría Sistema XXXXX

Auditoría Sistema XXXXX

Auditoría Sistema XXXXX

Más contenido relacionado

La actualidad más candente

Ejemplo de-auditoria de sistemas

Ejemplo de-auditoria de sistemas

Ejemplo de-auditoria de sistemasRocio Saenz

Herramientas y Técnicas de Auditoria de Sistema For Ucc

Herramientas y Técnicas de Auditoria de Sistema For Ucc

Herramientas y Técnicas de Auditoria de Sistema For Uccoamz

Papeles de trabajo auditoria gubernamental

Papeles de trabajo auditoria gubernamental

Papeles de trabajo auditoria gubernamentalYubicsa Isabel Medina

Casos de estudio

Casos de estudio

Casos de estudioJonathan Imbaquingo Castillo

Auditoría Informática de Redes. Fase de Ejecución

Auditoría Informática de Redes. Fase de Ejecución

Auditoría Informática de Redes. Fase de Ejecucióng_quero

Marco referencia auditoria de sistemas informaticos

Marco referencia auditoria de sistemas informaticos

Marco referencia auditoria de sistemas informaticoscarlosskovar

ACLJuan Gabriel Polonia Guzman

NIA 550 PRESENTACION (1).pdf

NIA 550 PRESENTACION (1).pdf

NIA 550 PRESENTACION (1).pdfEDGARENRIQUEBARRERAG

AUDITORIA DE LAS TICS

AUDITORIA DE LAS TICS

AUDITORIA DE LAS TICSIván Rodríguez

5.memorandum de-planificacion (1)

5.memorandum de-planificacion (1)

5.memorandum de-planificacion (1)Julio Cësar Huillca Cano

Auditoria informatica

Auditoria informatica

Auditoria informaticaMonica Gallegos

Herramientas y técnicas para la auditoria informática

Herramientas y técnicas para la auditoria informática

Herramientas y técnicas para la auditoria informáticajoseaunefa

Auditoria De Redes

Auditoria De Redes

Auditoria De RedesCristian Paul

Curso Identificación, Formulación y Comunicación de Hallazgos de Auditoría y ...

Curso Identificación, Formulación y Comunicación de Hallazgos de Auditoría y ...

Curso Identificación, Formulación y Comunicación de Hallazgos de Auditoría y ...Miguel Aguilar

Auditoria de sistemas

Auditoria de sistemas

Auditoria de sistemasDocente Contaduría

Organigramas auditoria

Organigramas auditoria

Organigramas auditoriaAlexander Velasque Rimac

Nia 500 501 y 505

Nia 500 501 y 505

Nia 500 501 y 505MARIPAZMARIN

Auditoria Informatica al Departamento de TI

Auditoria Informatica al Departamento de TI

Auditoria Informatica al Departamento de TITabodiaz

Deontologia del auditor informático

Deontologia del auditor informático

Deontologia del auditor informáticoRonald Choca Juarez

FUNDAMENTOS DE AUDITORIA DE SISTEMAS

FUNDAMENTOS DE AUDITORIA DE SISTEMAS

FUNDAMENTOS DE AUDITORIA DE SISTEMASVictor Hugo Imbaquingo Dueñaas

La actualidad más candente (20)

Ejemplo de-auditoria de sistemas

Ejemplo de-auditoria de sistemas

Ejemplo de-auditoria de sistemas

Herramientas y Técnicas de Auditoria de Sistema For Ucc

Herramientas y Técnicas de Auditoria de Sistema For Ucc

Herramientas y Técnicas de Auditoria de Sistema For Ucc

Papeles de trabajo auditoria gubernamental

Papeles de trabajo auditoria gubernamental

Papeles de trabajo auditoria gubernamental

Casos de estudio

Casos de estudio

Casos de estudio

Auditoría Informática de Redes. Fase de Ejecución

Auditoría Informática de Redes. Fase de Ejecución

Auditoría Informática de Redes. Fase de Ejecución

Marco referencia auditoria de sistemas informaticos

Marco referencia auditoria de sistemas informaticos

Marco referencia auditoria de sistemas informaticos

ACL

NIA 550 PRESENTACION (1).pdf

NIA 550 PRESENTACION (1).pdf

NIA 550 PRESENTACION (1).pdf

AUDITORIA DE LAS TICS

AUDITORIA DE LAS TICS

AUDITORIA DE LAS TICS

5.memorandum de-planificacion (1)

5.memorandum de-planificacion (1)

5.memorandum de-planificacion (1)

Auditoria informatica

Auditoria informatica

Auditoria informatica

Herramientas y técnicas para la auditoria informática

Herramientas y técnicas para la auditoria informática

Herramientas y técnicas para la auditoria informática

Auditoria De Redes

Auditoria De Redes

Auditoria De Redes

Curso Identificación, Formulación y Comunicación de Hallazgos de Auditoría y ...

Curso Identificación, Formulación y Comunicación de Hallazgos de Auditoría y ...

Curso Identificación, Formulación y Comunicación de Hallazgos de Auditoría y ...

Auditoria de sistemas

Auditoria de sistemas

Auditoria de sistemas

Organigramas auditoria

Organigramas auditoria

Organigramas auditoria

Nia 500 501 y 505

Nia 500 501 y 505

Nia 500 501 y 505

Auditoria Informatica al Departamento de TI

Auditoria Informatica al Departamento de TI

Auditoria Informatica al Departamento de TI

Deontologia del auditor informático

Deontologia del auditor informático

Deontologia del auditor informático

FUNDAMENTOS DE AUDITORIA DE SISTEMAS

FUNDAMENTOS DE AUDITORIA DE SISTEMAS

FUNDAMENTOS DE AUDITORIA DE SISTEMAS

Destacado

Auditoria de sistemas

Auditoria de sistemas

Auditoria de sistemasZhane Raymundo Cruz

"Trabajando Juntos por el Bienestar" - Informe de Sustentabilidad 2013

"Trabajando Juntos por el Bienestar" - Informe de Sustentabilidad 2013

"Trabajando Juntos por el Bienestar" - Informe de Sustentabilidad 2013Coca-Cola de México

Fuentes de informacion de auditorias

Fuentes de informacion de auditorias

Fuentes de informacion de auditoriasOscar Albertp Jimenez

AUDITORÍA FINANCIERA A LA EMPRESA PRODUALBA CÍA. LTDA

AUDITORÍA FINANCIERA A LA EMPRESA PRODUALBA CÍA. LTDA

AUDITORÍA FINANCIERA A LA EMPRESA PRODUALBA CÍA. LTDAWILSON VELASTEGUI

6. estandares de certificación sgs

6. estandares de certificación sgs

6. estandares de certificación sgsEduardomeza1970

Auditoria de reclutamiento de personal

Auditoria de reclutamiento de personal

Auditoria de reclutamiento de personalHenry Salom

Proyecto Auditoria

Proyecto Auditoria

Proyecto Auditoriakaren figueroa hrderera

Informe de Auditoria - CURNE - UASD.ppsx

Informe de Auditoria - CURNE - UASD.ppsx

Informe de Auditoria - CURNE - UASD.ppsxRamón Alexander Paula Reynoso

Auditoria social

Auditoria social

Auditoria socialMario Al

01 programa de auditoria

01 programa de auditoria

01 programa de auditoriaSandra Maldonado

Programa de auditoria

Programa de auditoria

Programa de auditoriaIesatecVirtual

Auditoria interna'09

Auditoria interna'09

Auditoria interna'09josemto

2.5 informe de auditoria

2.5 informe de auditoria

2.5 informe de auditoriaMeztli Valeriano Orozco

Auditoria Informatica

Auditoria Informatica

Auditoria Informaticaxsercom

Auditoria De La Calidad

Auditoria De La Calidad

Auditoria De La CalidadUNIDEG

Ejemplo informe de auditoria ambiental

Ejemplo informe de auditoria ambiental

Ejemplo informe de auditoria ambientalRonald Paul Torrejon Infante

Libro auditoria informatica Jose Antonio Echenique

Libro auditoria informatica Jose Antonio Echenique

Libro auditoria informatica Jose Antonio EcheniqueAngel Hernández

Auditoria Administrativa

Auditoria Administrativa

Auditoria AdministrativaSandrita Sandoval

Auditoria en el ciclo de inventario y almacenaje

Auditoria en el ciclo de inventario y almacenaje

Auditoria en el ciclo de inventario y almacenajeDaianna Reyes

Clase 11. proceso de auditoría

Clase 11. proceso de auditoría

Clase 11. proceso de auditoríaoscarreyesnova

Destacado (20)

Auditoria de sistemas

Auditoria de sistemas

Auditoria de sistemas

"Trabajando Juntos por el Bienestar" - Informe de Sustentabilidad 2013

"Trabajando Juntos por el Bienestar" - Informe de Sustentabilidad 2013

"Trabajando Juntos por el Bienestar" - Informe de Sustentabilidad 2013

Fuentes de informacion de auditorias

Fuentes de informacion de auditorias

Fuentes de informacion de auditorias

AUDITORÍA FINANCIERA A LA EMPRESA PRODUALBA CÍA. LTDA

AUDITORÍA FINANCIERA A LA EMPRESA PRODUALBA CÍA. LTDA

AUDITORÍA FINANCIERA A LA EMPRESA PRODUALBA CÍA. LTDA

6. estandares de certificación sgs

6. estandares de certificación sgs

6. estandares de certificación sgs

Auditoria de reclutamiento de personal

Auditoria de reclutamiento de personal

Auditoria de reclutamiento de personal

Proyecto Auditoria

Proyecto Auditoria

Proyecto Auditoria

Informe de Auditoria - CURNE - UASD.ppsx

Informe de Auditoria - CURNE - UASD.ppsx

Informe de Auditoria - CURNE - UASD.ppsx

Auditoria social

Auditoria social

Auditoria social

01 programa de auditoria

01 programa de auditoria

01 programa de auditoria

Programa de auditoria

Programa de auditoria

Programa de auditoria

Auditoria interna'09

Auditoria interna'09

Auditoria interna'09

2.5 informe de auditoria

2.5 informe de auditoria

2.5 informe de auditoria

Auditoria Informatica

Auditoria Informatica

Auditoria Informatica

Auditoria De La Calidad

Auditoria De La Calidad

Auditoria De La Calidad

Ejemplo informe de auditoria ambiental

Ejemplo informe de auditoria ambiental

Ejemplo informe de auditoria ambiental

Libro auditoria informatica Jose Antonio Echenique

Libro auditoria informatica Jose Antonio Echenique

Libro auditoria informatica Jose Antonio Echenique

Auditoria Administrativa

Auditoria Administrativa

Auditoria Administrativa

Auditoria en el ciclo de inventario y almacenaje

Auditoria en el ciclo de inventario y almacenaje

Auditoria en el ciclo de inventario y almacenaje

Clase 11. proceso de auditoría

Clase 11. proceso de auditoría

Clase 11. proceso de auditoría

Similar a Auditoría Sistema XXXXX

Auditoria de Sistema de Notas

Auditoria de Sistema de Notas

Auditoria de Sistema de NotasElmer Alexander Granados Maradiaga

Manual de usuario segunda practica teoria de lenguajes

Manual de usuario segunda practica teoria de lenguajes

Manual de usuario segunda practica teoria de lenguajesJuan Perez

Documento estadistica Graficos Estaisticos

Documento estadistica Graficos Estaisticos

Documento estadistica Graficos Estaisticos Karen Jurado

1. manual teoria juridica delito

1. manual teoria juridica delito

1. manual teoria juridica delitoyoshiargueta

Laboratorio farmaceutico de honduras

Laboratorio farmaceutico de honduras

Laboratorio farmaceutico de hondurasRuben Zavala Jacome

Software de ataque

Software de ataque

Software de ataqueClara Mont

examen de computación

examen de computación

examen de computación cmartinez96

Proceso administrativo

Proceso administrativo

Proceso administrativoFercho López

Similar a Auditoría Sistema XXXXX (8)

Auditoria de Sistema de Notas

Auditoria de Sistema de Notas

Auditoria de Sistema de Notas

Manual de usuario segunda practica teoria de lenguajes

Manual de usuario segunda practica teoria de lenguajes

Manual de usuario segunda practica teoria de lenguajes

Documento estadistica Graficos Estaisticos

Documento estadistica Graficos Estaisticos

Documento estadistica Graficos Estaisticos

1. manual teoria juridica delito

1. manual teoria juridica delito

1. manual teoria juridica delito

Laboratorio farmaceutico de honduras

Laboratorio farmaceutico de honduras

Laboratorio farmaceutico de honduras

Software de ataque

Software de ataque

Software de ataque

examen de computación

examen de computación

examen de computación

Proceso administrativo

Proceso administrativo

Proceso administrativo

Último

DIA INTERNACIONAL DAS FLORESTAS .

DIA INTERNACIONAL DAS FLORESTAS .

DIA INTERNACIONAL DAS FLORESTAS .Colégio Santa Teresinha

periodico mural y sus partes y caracteristicas

periodico mural y sus partes y caracteristicas

periodico mural y sus partes y caracteristicas123yudy

BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf

BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf

BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdfCESARMALAGA4

Estrategia de Enseñanza y Aprendizaje.pdf

Estrategia de Enseñanza y Aprendizaje.pdf

Estrategia de Enseñanza y Aprendizaje.pdfromanmillans

DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO

DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO

DECÁGOLO DEL GENERAL ELOY ALFARO DELGADOJosé Luis Palma

FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU

FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU

FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUgustavorojas179704

Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf

Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf

Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfManuel Molina

Introducción:Los objetivos de Desarrollo Sostenible

Introducción:Los objetivos de Desarrollo Sostenible

Introducción:Los objetivos de Desarrollo SostenibleJonathanCovena1

Sesión La luz brilla en la oscuridad.pdf

Sesión La luz brilla en la oscuridad.pdf

Sesión La luz brilla en la oscuridad.pdfhttps://gramadal.wordpress.com/

Unidad II Doctrina de la Iglesia 1 parte

Unidad II Doctrina de la Iglesia 1 parte

Unidad II Doctrina de la Iglesia 1 parteJuan Hernandez

Plan Año Escolar Año Escolar 2023-2024. MPPE

Plan Año Escolar Año Escolar 2023-2024. MPPE

Plan Año Escolar Año Escolar 2023-2024. MPPELaura Chacón

Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf

Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf

Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdfDaniel Ángel Corral de la Mata, Ph.D.

TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIA

TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIA

TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIAAbelardoVelaAlbrecht1

Mapa Mental de estrategias de articulación de las areas curriculares.pdf

Mapa Mental de estrategias de articulación de las areas curriculares.pdf

Mapa Mental de estrategias de articulación de las areas curriculares.pdfvictorbeltuce

c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx

c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx

c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxMartín Ramírez

Metabolismo 3: Anabolismo y Fotosíntesis 2024

Metabolismo 3: Anabolismo y Fotosíntesis 2024

Metabolismo 3: Anabolismo y Fotosíntesis 2024IES Vicent Andres Estelles

NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO

NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO

NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFAROJosé Luis Palma

TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO

TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO

TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOweislaco

Los Nueve Principios del Desempeño de la Sostenibilidad

Los Nueve Principios del Desempeño de la Sostenibilidad

Los Nueve Principios del Desempeño de la SostenibilidadJonathanCovena1

La evolucion de la especie humana-primero de secundaria

La evolucion de la especie humana-primero de secundaria

La evolucion de la especie humana-primero de secundariamarco carlos cuyo

Último (20)

DIA INTERNACIONAL DAS FLORESTAS .

DIA INTERNACIONAL DAS FLORESTAS .

DIA INTERNACIONAL DAS FLORESTAS .

periodico mural y sus partes y caracteristicas

periodico mural y sus partes y caracteristicas

periodico mural y sus partes y caracteristicas

BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf

BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf

BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf

Estrategia de Enseñanza y Aprendizaje.pdf

Estrategia de Enseñanza y Aprendizaje.pdf

Estrategia de Enseñanza y Aprendizaje.pdf

DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO

DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO

DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO

FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU

FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU

FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU

Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf

Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf

Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf

Introducción:Los objetivos de Desarrollo Sostenible

Introducción:Los objetivos de Desarrollo Sostenible

Introducción:Los objetivos de Desarrollo Sostenible

Sesión La luz brilla en la oscuridad.pdf

Sesión La luz brilla en la oscuridad.pdf

Sesión La luz brilla en la oscuridad.pdf

Unidad II Doctrina de la Iglesia 1 parte

Unidad II Doctrina de la Iglesia 1 parte

Unidad II Doctrina de la Iglesia 1 parte

Plan Año Escolar Año Escolar 2023-2024. MPPE

Plan Año Escolar Año Escolar 2023-2024. MPPE

Plan Año Escolar Año Escolar 2023-2024. MPPE

Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf

Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf

Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf

TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIA

TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIA

TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIA

Mapa Mental de estrategias de articulación de las areas curriculares.pdf

Mapa Mental de estrategias de articulación de las areas curriculares.pdf

Mapa Mental de estrategias de articulación de las areas curriculares.pdf

c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx

c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx

c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx

Metabolismo 3: Anabolismo y Fotosíntesis 2024

Metabolismo 3: Anabolismo y Fotosíntesis 2024

Metabolismo 3: Anabolismo y Fotosíntesis 2024

NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO

NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO

NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO

TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO

TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO

TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO

Los Nueve Principios del Desempeño de la Sostenibilidad

Los Nueve Principios del Desempeño de la Sostenibilidad

Los Nueve Principios del Desempeño de la Sostenibilidad

La evolucion de la especie humana-primero de secundaria

La evolucion de la especie humana-primero de secundaria

La evolucion de la especie humana-primero de secundaria

Auditoría Sistema XXXXX

1. UNIVERSIDAD LUTERANA SALVADOREÑA FACULTAD DE CIENCIAS DEL HOMBRE Y LA NATURALEZA LIC. ANA LISSETT GIRÓN BERMÚDEZ AUDITORÍA DE SISTEMAS TEMA: AUDITORÍA DE SISTEMA EN LA EMPRESA XXXXX ALUMNOS N° CARNET NOMBRES CARRERA HP01121473 HERNÁNDEZ PACAS, MARTA ESMERALDA LIC. COMPUTACIÓN PN01121384 PEÑA NAVARRO, SARA OLINDA LIC. COMPUTACIÓN San Salvador, 30 de mayo 2015 Auditoria de Sistemas 1

2. Índice de contenido FASE I: PLANEACIÓN DE LAAUDITORIA DE SISTEMASFASE I: PLANEACIÓN DE LAAUDITORIA DE SISTEMAS............................................................................................................................44 INTRODUCCIÓNINTRODUCCIÓN..........................................................................................................................................................................................................................................................................44 OBJETIVOS DEL DOCUMENTOOBJETIVOS DEL DOCUMENTO......................................................................................................................................................................................................................55 GENERALGENERAL..................................................................................................................................................................................................................................................................................................55 ESPECÍFICOSESPECÍFICOS......................................................................................................................................................................................................................................................................................55 ANTECEDENTES DE LA EMPRESAANTECEDENTES DE LA EMPRESA..........................................................................................................................................................................................................66 ORGANIGRAMA DE LA EMPRESAORGANIGRAMA DE LA EMPRESA............................................................................................................................................................................................................77 DETALLE DE LOS DEPARTAMENTOS Y LAS ACTIVIDADES QUE SE AUDITARÁNDETALLE DE LOS DEPARTAMENTOS Y LAS ACTIVIDADES QUE SE AUDITARÁN..................................88 ANTECEDENTES Y DESCRIPCIÓN DE LAS APLICACIONES UTILIZADAS (SOFTWARE)ANTECEDENTES Y DESCRIPCIÓN DE LAS APLICACIONES UTILIZADAS (SOFTWARE)..........1111 IDENTIFICACIÓN DE ÁREAS CRÍTICASIDENTIFICACIÓN DE ÁREAS CRÍTICAS....................................................................................................................................................................................1414 JUSTIFICACIÓN Y PONDERACIÓN DE ÁREAS CRÍTICASJUSTIFICACIÓN Y PONDERACIÓN DE ÁREAS CRÍTICAS......................................................................................................................1515 ALCANCE DE LAAUDITORIA INFORMÁTICAALCANCE DE LAAUDITORIA INFORMÁTICA..............................................................................................................................................................1818 OBJETIVO DE LAAUDITORIAOBJETIVO DE LAAUDITORIA......................................................................................................................................................................................................................1919 GENERALGENERAL..............................................................................................................................................................................................................................................................................................1919 ESPECÍFICOSESPECÍFICOS..................................................................................................................................................................................................................................................................................1919 DETERMIANCIÓN DE LOS RECURSOS NECESARIOS PARA REALIZAR LAAUDITORIA.DETERMIANCIÓN DE LOS RECURSOS NECESARIOS PARA REALIZAR LAAUDITORIA.........1919 PRESUPUESTO FINANCIEROPRESUPUESTO FINANCIERO..........................................................................................................................................................................................................................2020 CRONOGRAMA DE ACTIVIDADESCRONOGRAMA DE ACTIVIDADES......................................................................................................................................................................................................2121 PROGRAMA DE AUDITORIAPROGRAMA DE AUDITORIA..........................................................................................................................................................................................................................2121 ANEXOSANEXOS..................................................................................................................................................................................................................................................................................................3535 CARTA DE OFERTACARTA DE OFERTA..............................................................................................................................................................................................................................................................3535 CUESTIONARIO DE CONTROL INTERNOCUESTIONARIO DE CONTROL INTERNO................................................................................................................................................................................3636 FASE II: EJECUCIÓN DE LAAUDITORIA DE SISTEMASFASE II: EJECUCIÓN DE LAAUDITORIA DE SISTEMAS..............................................................................................................................4747 INTRODUCCIÓNINTRODUCCIÓN......................................................................................................................................................................................................................................................................4747 OBJETIVOS DEL DOCUMENTOOBJETIVOS DEL DOCUMENTO................................................................................................................................................................................................................4848 GENERALGENERAL..............................................................................................................................................................................................................................................................................................4848 ESPECÍFICOSESPECÍFICOS................................................................................................................................................................................................................................................................................4848 PRESENTACIÓN DE POLÍTICAS DE SEGURIDADPRESENTACIÓN DE POLÍTICAS DE SEGURIDAD....................................................................................................................................................4949 TÉCNICAS DE EVALUACIÓN APLICABLES A UNAAUDITORIA DE SISTEMASTÉCNICAS DE EVALUACIÓN APLICABLES A UNAAUDITORIA DE SISTEMAS............................................5555 PRESENTACIÓN DE PAPELES DE TRABAJOSPRESENTACIÓN DE PAPELES DE TRABAJOS..................................................................................................................................................................5858 ALCANCE DE LAADITORIA INFORMÁTICAALCANCE DE LAADITORIA INFORMÁTICA..................................................................................................................................................................5959 OBJETIVO DE AUDITORIAOBJETIVO DE AUDITORIA................................................................................................................................................................................................................................6060 GENERALGENERAL..............................................................................................................................................................................................................................................................................................6060 ESPECÍFICOSESPECÍFICOS..................................................................................................................................................................................................................................................................................6060 CRONOGRAMA DE ACTIVIDADES DE LA EJECUCIÓN DE LAAUDITORIACRONOGRAMA DE ACTIVIDADES DE LA EJECUCIÓN DE LAAUDITORIA......................................................6060 PROGRAMA DE AUDITORIAPROGRAMA DE AUDITORIA..........................................................................................................................................................................................................................6161 ANEXOSANEXOS..................................................................................................................................................................................................................................................................................................8383 GLOSARIOGLOSARIO ........................................................................................................................................................................................................................................................................................8383 BIBLIOGRAFÍABIBLIOGRAFÍA..........................................................................................................................................................................................................................................................................8686 FASE III: INFORME DE LAAUDITORIA DE SISTEMASFASE III: INFORME DE LAAUDITORIA DE SISTEMAS..................................................................................................................................8787 INTRODUCCIÓNINTRODUCCIÓN......................................................................................................................................................................................................................................................................8787 OBJETIVOS DEL DOCUMENTOOBJETIVOS DEL DOCUMENTO..................................................................................................................................................................................................................8888 GENERAL:GENERAL:............................................................................................................................................................................................................................................................................................8888 ESPECÍFICOS:ESPECÍFICOS:..............................................................................................................................................................................................................................................................................8888 Auditoria de Sistemas 2

3. ALCANCE DE LAADITORIA INFORMÁTICAALCANCE DE LAADITORIA INFORMÁTICA..................................................................................................................................................................8989 OBJETIVOS DE AUDITORIAOBJETIVOS DE AUDITORIA............................................................................................................................................................................................................................9090 GENERALGENERAL..............................................................................................................................................................................................................................................................................................9090 ESPECÍFICOSESPECÍFICOS..................................................................................................................................................................................................................................................................................9090 CROMOGRAMA DE ACTIVIDADESCROMOGRAMA DE ACTIVIDADES....................................................................................................................................................................................................9191 PRESENTACIÓN DE INFORMEPRESENTACIÓN DE INFORME......................................................................................................................................................................................................................9191 ANEXOSANEXOS..............................................................................................................................................................................................................................................................................................100100 CARTA DE FINALIZACIÓNCARTA DE FINALIZACIÓN..............................................................................................................................................................................................................................100100 Auditoria de Sistemas 3

4. FASE I: PLANEACIÓN DE LA AUDITORIA DE SISTEMAS INTRODUCCIÓN El documento tiene como fín , mostrar la Planificación realizada previamente a la auditoría informática, que se llevará a cabo en la Empresa xxxxxx En está primera etapa del proyecto se describen, los antecedentes de la Empresa xxxxxx en donde se muestra su estructura organizativa, la actividad económica, los principales productos y servicios que ofrece, el segmento de mercado, sus principales proveedores, entre otras. Támbien se detallan los antecedentes y descripciones de las diferentes aplicaciones de software utilizadas en la Empresa. En donde se especifican los nombres de las aplicaciones, si poseen licencias, desde cuando las utilizán, etc. Seguidamente se identifican las áreas críticas, estas fue obtenidas con las entrevistas, el material del cuestionario y visitas a la Empresa. Se seleccionan cinco áreas críticas, a las cuales se les dá una ponderación y una justificación del porque su selección. Auditoria de Sistemas 4

5. OBJETIVOS DEL DOCUMENTO GENERAL ➢ Planificar la Auditoría de Sistema Informática, que se realizará en la Empresa xxxxxxxxxxx. ESPECÍFICOS ✔ Identificar las áreas críticas, que representan mayor riesgo dentro de la Empresa xxxxxxxxxxxxxxxxx. ✔ Elaborar Programas de Auditoría, en donde se detallen los procedimientos a ejecutar. Auditoria de Sistemas 5

6. ANTECEDENTES DE LA EMPRESA Reseña Histórica. xxxxxxxxxxxxxxx, es una Empresa salvadoreña subsidiaria de xxxxxxxxxxxxxxxx, que se constituyo de acuerdo con las Leyes de El Salvador el 19 de Septiembre de 2000, bajo el nombre de xxxxxxxxxxxxxxxx El 1 de diciembre de 2011, de acuerdo a la estructura de constitución la razon social de la Compañia cambio axxxxxxxxxxxxxxxx, que hasta hoy en día es conocida con este nombre. Visión Ser un socio de elección en los Servicios de Suministro de ropa de diseño hasta la distribución. Misión Desarrollar y fabricar productos y servicios innovadores y competitivos. Impulsados por personas apasionadas y con talento que se rigen por normas estrictas en cuanto a fiabilidad y flexibilidad. Pasión Nuestra búsqueda es innovar y ser el mejor en todas las áreas; productos, servicios, procesos y contribución individual y asi mejoran la competitividad de nuestros clientes. Trabajo en Equipo Animamos a la participación y la implicación de los trabajadores, y respetamos la contribución individual para nuestro éxito. Responsabilidad Social Nuestras acciones como individuo y como ciudadano corporativo, es estimular la calidad de vida y proteger el medio ambiente de las comunidades en las que hacemos nuestro negocio. Auditoria de Sistemas 6

7. ORGANIGRAMA DE LA EMPRESA Estructura Organizativa de la Empresa xxxxxxxxxxxxxx Cantidad de Empleados. El número de empleados con la que cuenta la Empresa es de: 1250 empleados. El área de informática cuenta con 3 empleados, y el área de contabilidad con 6 empleados. Auditoria de Sistemas 7

8. DETALLE DE LOS DEPARTAMENTOS Y LAS ACTIVIDADES QUE SE AUDITARÁN Departamento de Informática. Para llevar a cabo la auditoría informática, se necesitara información de área de IT, ya que es el departamento encargado de realizar los mantenimientos pertinentes de los Sistemas Informáticos y velar que el Hardware se encuentren en buen estado para que los demás departamentos de la Empresa realicen eficientemente su trabajo. Actividades a Auditar 1. Software. 2. Comunicaciones y Redes. 3. Planes Contingenciales . 4. Dirección Informática. 5. Seguridad Física y Lógica. Personal que atenderá la Auditoría Nombre: xxxxxxxxxxxxxxxxxxxxxxx Cargo: Tecnloogías de la Información. Teléfono: Empleados Claves de los Departamentos. ✔ xxxxxxxxxxxxxxxxxxx ( Jefé de IT). ✔ xxxxxxxxxxxxxxxxxxxx (Técnico de IT). ✔ xxxxxxxxxxxxxxxxxxxxx. (Contador). ✔ xxxxxxxxxxxxxxxxxxxxxxx( Asistente de Contabilidad). Actividad Económica. Su actividad principal es el establecimiento, desarrollo y la operación de la industria maquiladora en el Salvador. Auditoria de Sistemas 8

9. Su Ubicación. xxxxxxxxxxx xxxxxxxxxxxxxxx xxxx, en el Departamento de La Paz. Cabe mencionar que no cuenta con sucursales. Productos y Servicios. Productos: Productos que ofrece xxxxxxxxxxxx. Son productos confeccionados, como: ✔ Pants, Short., Blusas, Ropa para bebes, Bestidos, Faldas, Chaquetas, Vestidos, Batas de Baño, Suéter, Entre otros (La Empresa confecciona multiestilos) Servicios: La Empresa brinda sus servicios a otras Empresas dentro del mismo rubro, como por ejemplo: ✔ Corte de Prendas, Confección de Prendas, Bordado de prendas, Lavado de Prendas. Segmento de Mercado. Los Clientes de la Empresa, que solicitan productos a xxxxxxxxxxxxxxxxxxxxx Son: Auditoria de Sistemas 9

10. La Empresa sigue en constante desarrollo expandiendo sus servicios y calidad a más paises y logrando obtener más clientes de tramos altamente prestigiosos. Todos sus productos son exportados a otros paises, donde las marcas realizán la distribución de sus prendas en tiendas de prestigios. Pricipales Proveedores. ✔ Accesorios Textiles S.A de C.V: Guatemala. ✔ Avery Dennison: El Salvador, China, Mexico, Honduras, Hong Kong, Taiwan, Korea. ✔ Fabrica de Botones Del Valle: Guatemala. ✔ Finotex S.A de C.V : El SAlvador. ✔ Mayotex, S.A : Guatemala. ✔ Textufil S.A de C.V : El Salvador. ✔ Coats S.A de C.V: El Salvador. ✔ Jovida ✔ Bordados Rivas S.A de C.V: El salvador. ✔ Caisa S.A de C.v: El Salvador. ✔ Carolina Cotton Works, Inc: Estados Unidos ✔ Clotex Labels Co. LTD : Hong Kong, China. ✔ E.C.I Elastic CO., LTD : Taiwan A parte de estos proveedores hay otros, los proveedores pueden ser nacionale o internacionales, la adquisición de parte de la Empresa dependerá de la calidad y precios que ofrecen los proveedores. Auditoria de Sistemas 10

11. ANTECEDENTES Y DESCRIPCIÓN DE LAS APLICACIONES UTILIZADAS (SOFTWARE) Sistema Operativo Nombre: ✔ Windows Server 2008. Forma de adquisición. ✔ Licencia Pagada. Fecha deAdquisición. ✔ Año 2012 Sistema Contable Quickbooks Nombre. Quickbooks Idioma. ✔ El idioma en que esta desarrollo Quickbooks es en Inglés. Descripción. ✔ Las estaciones de trabajo cliente bajo Quickbooks Enterprise 13 requieren un procesador de 2 GHz, con 1 GB de RAM para un usuario individual. Múltiples usuarios, o estaciones de trabajo con la versión de 64 bits de Windows 8, requieren 2 GB de RAM. El servidor también requiere un procesador de 2 GHz, aunque se recomienda 2,4 GHz. Base de Datos ✔ PPMSVR (Esta BD la provee Quickbooks) Modulos ✔ Ventas ✔ Compras Auditoria de Sistemas 11

12. ✔ Registro Y Control De Inventario ✔ Control De Depósitos ✔ Conciliaciones Bancarias ✔ Partidas De Diario. Sistema Operativo y Compatibilidad de Sotftware de Quickbooks Para el Cliente: ✔ Quickbooks Enterprise, pueden ser instaladas sobre versiones de Windows, partiendo con Windows XP (Service Pack 2). Windows Vista (SP2), Windows 7 y Windows 8 son soportados tanto en sus versiones de 32 bits como en las de 64 bits. Para el Servidor: ✔ El software servidor para Quickbooks Enterprise se ejecutará sobre versiones de Windows Server, partiendo con Server 2003 y continuando con Windows 8. Tipos de Usuarios ✔ Usuario Normal ✔ Super Usuario ✔ Consulta Forma de adquisición ✔ Licencia Pagada. Fecha de Implementación ✔ Año 2012 Antivirus Karsperky Nombre: ✔ Karsperky Auditoria de Sistemas 12

13. Forma de Adquisición ✔ Licencia Pagada por dos años. Fecha de Implementación ✔ 30 de Junio de 2014. Decripción Hasta la fechar 30 de Junio de 2014, los equipos informáticos estabán protegidos por el Antivirus Panda, pero la Empresa decidió ya no utilizar Panda, por que ya no tenía soporte técnico en El Salvador. Debido a eso, la Empresa tomo la decisión de hacer una nueva adquisición del Antivirus Karsperky. Lo que llevo a la Empresa decidirce por el Antivirus Karsperky fue: 1. Por que consume menos memoria. 2. Es más barato (fue adquirido en base de cotizaciones). 3. Por que Panda ya no tenía soporte técnico en El Salvador. Auditoria de Sistemas 13

14. IDENTIFICACIÓN DE ÁREAS CRÍTICAS Ponderación de Todas las Áreas. ÁREAS PONDERACIÓN 1. Hardware. 5% 2. Software. 22% 3. Comunicaciones y Redes. 20% 4. Planes Contingenciales . 10% 5. Dirección Informática. 15% 6. Seguridad Física y Lógica. 15% 7. Basé de Datos. 10% 8. Outsourcing. 3% PONDERACIÓN TOTAL 100% Poderación de las Áreas Críticas Identificadas ÁREAS PONDERACIÓN 1. Software. 28% 2. Comunicaciones y Redes. 25% 3. Planes Contingenciales . 5% 4. Dirección Informática. 22% 5. Seguridad Física y Lógica. 20% PONDERACIÓN TOTAL 100% Auditoria de Sistemas 14

15. JUSTIFICACIÓN Y PONDERACIÓN DE ÁREAS CRÍTICAS ÁREAS A EVALUAR PESO POR FACTOR % JUSTIFICACIÓN Hardware 5% La Empresa cuenta con equipo en buen estado, se realizán sus mantenimientos, se notificán las fallas y se les da el seguimiento respectivo al equipo. Realizán sus respaldo diariamente y es automatizado y revisado por IT, y para su servidores su mantenimiento es frecuente, es decir que no se la mantenimiento sólo cuando se notifica algún problema. Debido a esto no será parte de nuestra auditoría. Software 22% Se auditará el Software de Contabilidad Quickbooks utilizado por la Empresa para llevar su contabilidad. Quickbooks es un sistema creado en Ingles. Y la ley de El Salvador estipula que: Toda contabilidad en una Empresa en El Salvador, debe ser llevada en idioma Español. Comunicaciones y Redes 20% Mediante una visita a la Empresa, observamos que en algunas oficinas NO utilizan ningun tipo de topología establecidas por la normas de cableado. Logramos observar que las instalaciones de cableado se realizan de acuerdo a la ubicación de los escritorios y el espacio disponoble. En la entrevista se cuestionó al Téncio de IT, a Auditoria de Sistemas 15

16. que se debía el hecho que las instalaciones de los cables de red no seguián nigún tipo de topología establecida; y su respuesta fue, que en algunos casos era el jéfe del área quién asignaba las ubicaciones de los escritoris dentro de la oficina. Planes Contingenciales 15% El entrevistado manifiesta, están obligados por los auditores de parte de sus clientes a realizar cada tres meses simulacros. Y son realizados con todo el personal de la Empresa sin previo aviso. Manifiestan que sus planes de contingencias son efectivos y que estan debidamente documentados. Pero la Empresa no capacita a personal de diferentes áreas para el uso de los extintores de fuego. Dirección Informática 10% De acuerdo a la entrevista realizada al técnico de IT, se nos dijo que los colaboradores del área de informática no reciben capacitaciones frecuentes. Tambien manifesto, no poseen ningún tipo de manual por escrito en el área de IT. Seguridad Física y Lógica 10% Respecto a la seguridad física dentro de la Empresa, el entrevistado manifiesta que cuentan con sistemas de alarmas, extintores en las diferentes áreas, con pólizas de seguros, las diferentes áreas cuentan con salidas de Auditoria de Sistemas 16

17. emergencias, la iluminación en las diferentes oficinas es la adecuada. Mientras que con la seguridad Lógica, algunos usuarios nos manifestarón que el antivirus instalado no protege su equipo en un 100%. Y se nos dijo que no hay un control en el equipo de los usuarios para que no introduzcan dispositivos de entradas de su propiedad, es decir ajenos a la Empresa. Base de Datos 15% No se evaluará ya que no poseen conocimientos suficientes, tanto de parte del área de IT como contabilidad. Y por que cuenta con niveles de seguridad para el acceso a la base de datos. Outsourcing 3% La Empresa tiene un contarto vigente con una Empresa de Seguridad encargada para la vigilancia interna y externa de las instalaciones. Pero no reciviremos ningún tipo de información de las actividades que la Empresa de Seguridad realiza. Debido a eso, esta área no se tomará en cuenta para ser auditada. Auditoria de Sistemas 17

18. ALCANCE DE LA AUDITORIA INFORMÁTICA El alcance de la auditoria informática se realizará de acuerdo a las áreas críticas identificadas: ALCANCE Software. Lo que auditaremos en Software es: • Software de Contabilidad Quickbooks utilizado por la Empresa para llevar su contabilidad. Comunicaciones y Redes. En esta área lo principal a auditar será: • Topología correcta de los cableados de redes en todas las oficinas. Planes Contingenciales . En el área de Planes de Contingencias, se evaluará primoldialmente: • Qué tan frecuentes son las capacitaciones que recive el personal de las diferentes áreas de la Empresa, para el uso y dominio de los extintores en caso de emergencia. Dirección Informática. Ya que no poseen ningún tipo de manuales se auditará: • Medios que utilizán y en que se basan, al no poseer manuales (no poseen manuales de usuarios, ni de sistemas informáticos). Seguridad Física y Lógica. En esta área se auditará principalmente: • El antivirus utilizado por la Empresa. • Cúal es el control de uso de dispositivos que introducen en los equipos de los ususarios. Auditoria de Sistemas 18

19. OBJETIVO DE LA AUDITORIA GENERAL ✔ Identificar las áreas críticas y los diferentes riesgos que estas con llevan, al no ser solucionadas por parte de la Empresa xxxxxx, aplicando los procedimientos, técnicas y métodos, con la finalidad de determinar la efectividad y efeciencia del departamento de IT. ESPECÍFICOS ✔ Evaluar los riesgos que contienen las diferentes áreas críticas identificadas. ✔ Aplicar los procedimientos, técnicas y métodos para el desarrollo eficiente de la auditoria. ✔ Verificar la capacidad de respuesta de la Empresa ante los riesgos detectados. ✔ Observar el nivel de respuesta del depratemento de IT ante los riesgos identificados. DETERMIANCIÓN DE LOS RECURSOS NECESARIOS PARA REALIZAR LA AUDITORIA. Para la realización de la auditoria, se requiere de los siguientes elementos: Recursos Humanos ✔ 1 Auditores. ✔ 1 Especialista en informática. Recursos Materiales ✔ 2 PC ✔ Papeleria y útiles. ✔ Equipo tecnológico para la presentación del informe final. Otros ✔ Viáticos. Auditoria de Sistemas 19

20. PRESUPUESTO FINANCIERO DESCRIPCIÓN CANTIDAD VALOR TOTAL Recurso Humano Auditores 2 $ 700 $ 4,800.00 Especialista Informático 1 $ 800 $ 3,200.00 Recurso Materiales Papeleria y útiles. • Papel Bond 1 Resma $ 4.00 $ 4.00 • Fastener 1 Caja $ 2.00 $ 2.00 • Folders 12 Folders $ 0.20 $ 2.40 • Lápiceros 10 $ 0.15 $ 1.50 • Engrapadora 1 $ 4.00 $ 4.00 • Perforadora 1 $ 3.50 $ 3.50 • Tinta para impresor 2 $ 20.00 $ 20.00 Elemento Técnico • Computadoras (Mantenimiento por uso) 2 $ 25.00 $ 25.00 • Impresora (Mantenimiento por uso) 1 $ 20.00 $ 20.00 • Proyector (Manteniemiento Por uso) 1 $ 35.00 $ 35.00 Otros Viáticos 2 personas $ 35.00 $ 70.00 SUB-TOTAL $ 8,187.40 Imprevistos (10%) (10%) $ 818.74 TOTAL $ 9,006.14 Auditoria de Sistemas 20

21. CRONOGRAMA DE ACTIVIDADES PROGRAMA DE AUDITORIA Empresa: xxxxxxx Hecho por: S/P Periodo Auditado: Revisado por: E/H Área Auditada: Software Fecha: Persona que Atendio: Xxxx xxxxx Cargo: Técnico IT Contador SOFTWARE N° Actividad a Evaluar Procedimiento de Auditoria Herramientas Observación 1. Verificar el licenciameinto de Quickbooks. Revisas si la Empresa posee licencia del sistema contable Quickbooks. Testimonial 2. Modulos con que cuenta Quickbooks. Verificar con qué modulos cuenta Quickbooks. Física. Auditoria de Sistemas 21

22. 3. Observar el idioma en el que esta desarrollado Quickbooks. Investigar según la ley de El Salvador, en que idiomas debe llevarse la contabilidad en El Salvador. Física. 4. Evaluar si Quickbooks cumple con las leyes de contabilidad Salvadoreña. Investigar bajo que leyes debe llevarse la contabilidad en las Empresas. Y si Quickbooks cumple con la leyes impuestas en El Salvador. Física. 5. Verificar medidas de seguridad de Quickbooks . Evaluar las diferentes medidas que Quickbooks tiene como medidas de seguridad. Testimonial 6. Evaluar el soporte técnico. Verificar los soportes técnicos con que cuenta Quickbooks. Testimonial 7. Encargados de soporte Técnico. Verificar quienes son los responsables del soporte técnico. Testimonial 8. Evaluar los requeri-mientos. Verificar cuales son los requerimientos que los equipos deben poseer para instalar Quickbooks. Física. Documental. 9. Plataforma en que esta instalado Quickbooks. Verificar en que plataforma trabajan Quickbooks en la Empresa. Física. Auditoria de Sistemas 22

23. 10. Verificar el control de acceso a Quickbooks. Verificar el control de acceso a Quickbooks si la realizan mediante contraseñas. Física. 11. Principales usuarios. Verificar quienes son los principales usuarios con acceso a Quickbooks. Física. Testimonial. 12 Entrevistar al contador. Preguntar al contador, en que le facilta el trabajo Quickbooks. Testimonial. 13. Capacitación a los usuarios. Verificar si al personal de nuevo ingreso en el área de contabilidad es capacitado antes por un experto para el uso de Quickbooks. Testimonial. 14. Verificar si realizan copias de seguridad. Verificar si Quickbooks realiza copias de seguridad y archivos como medida de seguridad. Testimonial. 15. Evaluar los casos de actualizaciones. Mediante una entrevista, preguntar que hacen en caso de actualizanes de Quickbooks. Testimonial. Empresa: xxxxxxxxx Hecho por: S/P Periodo Auditado: Revisado por: E/H Área Auditada: Comunicaciones y Redes Fecha: Persona que Atendio: xxxxxxxxxxxx Cargo: Técnico IT COMUNICACIONES Y REDES N° Actividad a Evaluar Procedimiento de Auditoria Herramientas Observación 1. Revisar la topología de la red. Examinar si el cableado de la Empresa cumple con los estandares de la industria y si se encuentran Física. Análitica. Auditoria de Sistemas 23

24. debidamente protegidos. 2. Cuenta con intranet ó internet. Preguntar al área de It si cuenta con intranet ó internet. Testimonial. 3. Verficar si el tipo de cable esta diseñado para el ancho de banda. Si envia los datos a una velocidad adecuada y sin interferencias. Física. 4. Evaluar la rápides de envio de información. Realizar pruebas para verificar la rápidez de envio de datos. Física. Testimonial. 5. Medir la velocidad del internet. Verificar la velocidad de conexión a internet. Física. 6. Plataforma de software en que funciona el servidor de correo. Verificar la plataforma que utiliza el servidor de correo de la Empresa, por el cual se transmiten los mensajes. Testimonial. 7. Asignación de cuentas y cobtraseñas a las PC de los usuarios. Verifcar en que se basan los del Área de IT para asignarles el usuario y la contraseña. Testimonial. 8. Con qué frecuencia cambian las contraseña a los usuarios. Chequear con qué frecuencia, el área de IT cambia las contraseña a los usuarios. Testimonial. Auditoria de Sistemas 24

25. 9. Revisar el bloqueo de algunas computadoras a internet. Identificar que computadoras de diferentes departamentos tienen acceso a internet. Física. Testimonial. 10. Manejo de firewall. Verificar si el firewall implementado detecta y protege: • Ataque de IP falsas. • Ataque de denegación del servicio. Física. Testimonial. 11. Configuración de firewall. Reivisar si existe un firewall debidamente configurado Testimonial. 12 Verificar los privilegios a usuarios. Evaluar en que se basan para dar privilegios a usuarios de los diferentes departamentos. Testimonial. 13. Elementos que utilizan para la comunicación. Revisar los medios que utilizan para comunicarse entre los diferentes departamentos. Testimonial. Física 14. Revisión de la red física. Evaluar con que frecuencias se realizán revisiones de los cables de redes. Testimonial. 15. Bloqueo de aplicaciones Verificar que la Empresa tenga políticas de seguridad y de controles de acceso a aplicaciones basadas en la web. Documental Auditoria de Sistemas 25

26. Empresa: xxxxxxxxxxx Hecho por: S/P Periodo Auditado: Revisado por: E/H Área Auditada: Planes Contingenciales Fecha: Persona que Atendio: xxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxx Cargo: Técnico IT Jefe IT PLANES CONTINGENCIALES N° Actividad a Evaluar Procedimiento de Auditoria Herramientas Observación 1. Evaluar si existen políticas por escrito sobre los planes que ellos realizan en las diferentes áreas de la Empresa. Pedir manuales donde se encuentren reflejadas las políticas sobre los planes contingenciales, ya que los manuales, deben estar documentos. Documental 2. Evaluar los planes de contingencias que se están desarrollando actualmente. Observar los diferentes planes que se están realizando, los cuales están enfocados para evitar cualquier eventualidad que pueda suceder en el futuro Testimonial. 3. Evaluar la aplicación de simulacros, asi como el plan contingenciales durante la ocurrencia de una falla grave en el Realizar una serie de simulacros para verficar si los planes de contingencias que se tienen están respondiendo satisfactoriamente haciendo pruebas de back up y revisar dichos archivos. Testimonial Auditoria de Sistemas 26

27. sistema. 4. Evaluar si los empleados conocen sobre los planes contingenciales. Preguntar a los empleados si ellos conocen los planes en dado caso que exista una catástrofe, entre otras cosas. Y si alguna ves han hecho un simulacro. Testimonial 5. Evaluar la confiabilidad en la aplicación en las medidas del plan de contingencias. Examinar si las medidas que se tiene en caso de una eventualidad, la aplicación de los planes de contingencias sea rápida y dé una respuesta satisfactoria. Testimonial Analítica 7. Evaluar si cuentan con sus respectivas medidas de seguridad. Observar si cuentan con salidas de seguridad en los diferentes áreas. Y si los extintores se encuentrán en una buena ubicación. Física. 8. Evaluar si cuentan con planes para prevenir daños en los recursos. Observar y pedir manuales para conocer que hacen para prevenir y minimizar daños en sus recursos informáticos, equipos de oficinas y otros materiales. Testimonial 9. Evaluar quienes son las personas involucradas al momento de efectuar los planes Preguntar quién ó quiénes, son las personas responsables a la hora de efectuar los planes contingenciales. Testimonial Auditoria de Sistemas 27

28. contingenciales. 10. Evaluar Planes Correctivos. Revisar y preguntar sobre los planes correctivos, que hacen para solucionar sus problemas en el momento que se presenten. Testimonial 11. Evaluar planes cuando hay saturación de información. Preguntar y verificar si se envia información masiva a las oficinas, y que sucede cuando el trafico de datos se vuelve lento. Testimonial 12. Evaluar seguridad elétrica. Realizar pruebas de un apagón de luz para saber si funciona correctamente la planta de energía eléctrica. Testimonial 13. Auditoría de Planes Contingenciales Evaluar plan cuando se cae la conexión de proveedor de internet. Realizar pruebas y verificar si ellos cuentan con otro proveedor de internet, para poder evaluar que pasa si la red de un proveedor de internt se cae. Testimonial 14. Evaluación de reanudación de actividades. Investigar si existe un equipo de dirección de reanudación y un responsable del mismo, para dirigir y coordinar las distintas actividades durante la contingencia o desástre. Testimonial Auditoria de Sistemas 28

29. Empresa: xxxxxxxxx Hecho por: S/P Periodo Auditado: Revisado por: E/H Área Auditada: Dirección Informática Fecha: Persona que Atendio: xxxxxxxx Cargo: Técnico IT Contador DIRECCIÓN INFORMÁTICA N° Actividad a Evaluar Procedimiento de Auditoria Herramientas Observación 1. Evaluar el perfil de los empleados del área de informática, mediante la revisión de los manuales de función y de usuario. Revisar los manuales de funciones de empleados de infomática. Revisar los manuales de usuarios de sistemas. Testimonial 2. Capacita-ciones del personal IT. Realizar una entrevista al director del área de IT, que tan frecuentas son las capacitaciones de sus colaboradores. Testimonial 3. Evaluar la existencia y cumplimiento de los objetivos de la institución dentro del departamento de informática. Entrevistar a los empleados de informática y preguntarles si tienen claros los objetivos de su departamento y de la institución. Testimonial Auditoria de Sistemas 29

30. 4. Nivel en el que se encuentra jerarquico en el departamento de IT. Realizar una análisis del organigrama de la Empresa y ver en que nivel se encuentra el departamento de informática. Análitica. 5. Verificar, cúal es el perfil para la selección y promoción del área de informática. Revisar los requisitos para la selección de un nuevo colaborador en el área de IT. Análitica. Testimonial 6. Evaluar la administración de los recursos humanos asignados al área de informática, en cuanto a capacitación y adiestra-miento. Análizar si los empleados están sobrecargados de actividades. Análitica. Testimonial 7. Identificar los planes de capacitación. Revisar los planes de capacitaciones para los empleados de informática. Testimonial 8. Identificar el perfil de los nuevos empleados a contratar. Verificar si existe algo por escrito, donde se detallen las características del nuevo personal a contratar. Testimonial Análitica. 9. Verficar el tiempo del personal de IT Preguntar el tiempo que han laborado en la Empresa el personal Testimonial Auditoria de Sistemas 30

31. en la Empresa. de IT. 10. Verificar que exista una persona que se encargue de crear perfiles. Observar si hay una persona encargadad de crear los perfiles de los usuarios. Testimonial 11. Verificar que tan frecuentes son las capacita-ciones. Preguntar al personal que tan frecuentes son las capacitaciones que reciven. Testimonial 12 Verificar personal existente en IT. Observar cuantos empleados están en área de informática. Testimonial Física. 13. Verificar si existen manuales por escrito de actividades a realizar en el área de IT. Indagar si el personal lleva a cabo lo estipulado en el manual de IT. Testimonial 14. Evaluar si los empleados cumplen sus funciones. Verificar que el departamento de IT cumplen sus funciones, en los demás departamentos que hayan solicitado su colaboración. Testimonial 15. Evaluar si IT en todo su conjunto, hace las actualiza-ciones correspon- dientes. Entrevistar al departamento de IT, si hace las actualizaciones respectivas en los diferentes pc. Testimonial Física. Auditoria de Sistemas 31

32. Empresa: xxxxxxx Hecho por: S/P Periodo Auditado: Revisado por: E/H Área Auditada: Seguridad Física y Lógica Fecha: Persona que Atendio: xxxxx Cargo: Técnico IT Contador SEGURIDAD FÍSICA Y LÓGICA N° Actividad a Evaluar Procedimiento de Auditoria Herramientas Observación 1. Identificar si existen alarmas. Verficar las alarmas por presencia de fuego, humo; asi como la existencia de extintores de incendios. Física. 2. Investigar si hay personal capacitados para el uso de extintores. Verificar si la Empresa envia a capacitaciones a personal de diferentes departamentos para la manipulación y uso de los exintores ante cualquier incidente. Testimonial 3. Medidas de protección de conexiones eléctricas Conocer las medidas que la Empresa toma para la seguridad de las conéxiones eléctricas. Testimonial 4. Identificar la autorización y administra-ción de las claves. Verificar los mecanismos establecidos para controlar la asignación de acceso a las computadoras centrales. Testimonial Auditoria de Sistemas 32

33. 5. Capacitación en procedimietos de seguridad. Verificar que los procedimientos operacionales para incendio y sistemas de alarma esten al alcance de todo el personal de operaciones. Testimonial Física. 6. Rotulación de escapes y salidas de emergencias. Observar si las vías de escape y acceso de emergencias esten debidamente rotuladas. Física. 7. Evaluar autentifica-ción de usuarios y controles de acceso. Asegurarse que las políticas de asignación de cuentas sean adecuadas y apropiadas. Testimonial Física. 8. Evaluar el cableado. Verificar que el cableado este debidamente protegido, en dado caso que el cable este cruzado. Física. 9. Identificar firewall. Verificar que el firewall esta configurado para limitar el acceso a datos autorizados para usuarios internos. Testimonial 10. Prevensión de virus. Verificar que antivirus posee, y que el antivirus actúe en los equipos de los diferentes departamentos con eficiencia. Sin poner en riesgo la información de los usuarios, investigar con que frecuencia se actualizán y verificar que cada Física. Testimonial Auditoria de Sistemas 33

34. equipo cuente con el licencionamiento adecuado. 11. Entrevistar a los usuarios. Preguntar a los usuarios si el antivirus es confiable, o si existe con frecuencia el colado de virus. Testimonial Anáitica 12 Evaluar puertos habilitados. Verificar si los usuarios tienen habilitados los puertos USB de los equipos, para evitar poner en riesgo la información. Física. Testimonial 13. Asignación de contraseñas Verificar si cada equipo posee su respectivo usuario y contraseña para denegar el permiso a otra persona, que las contraseñas no sean mostradas en pantalla cuando se ingrese, que no sea menor a 8 digitos y que contenga símbolos, numeos y letras. Física. Testimonial 14. Registro de accesos. Investigar si el sistema genera registro de acceso. Testimonial Física. 15. Evaluar las políticas de la Empresa a la información. Verificar si existen políticas dentro de la Empresa para proteger su información y la de cada usuario. Testimonial Física. Auditoria de Sistemas 34

35. ANEXOS CARTA DE OFERTA Auditoria de Sistemas 35

36. CUESTIONARIO DE CONTROL INTERNO GENERALIDADES DE LA EMPRESA Nombre de la Empresa: xxxxxxx Fecha: Entrevistado: xxxxxxx Cargo: Dept. IT Entrevistado:xxxxxxx Cargo: Contador Pregunta Si No Comentarios ¿Cúal es el nombre de la Empresa? xxxxxxxxx ¿Cúal es la actividad económica la Empresa? Fabricación de prendas de vestir ¿Cuántos años tiene la Empresa de estar en el mercado? 14 Años ¿La Empresa cuenta con una estructura organizada? x ¿Existen objetivos establecidos en la Empresa? x ¿Cuenta la Empresa con misión, visión y valores? x ¿Quiénes son sus principales proveedores? ¿Cuentan con presupuestos y manuales? Si pero no por escrito ¿Los proveedores son nacionales o internacionales? Ambos ¿Quiénes son sus principales clientes? ¿Cuentan con planes de negocios? Si pero no por escrito ¿Cuentan con políticas de trabajo establecidas? x Auditoria de Sistemas 36

37. ¿Posee la Empresa un manual de funciones específicas para cada area de trabajo? Si pero no por escrito ¿Existe un control de ingresos y egresos? x ¿Están obligados a que les realicen auditorías? x Software de Contabilidad Quickbooks Pregunta Si No N/A Comentarios ¿Desde cúando adquirió la Empresa Quickbooks? Desde el año 2012 ¿Qué tan frecuentes son las actualizaciones? No hay actualizaciones ¿Capacita a los empleados para trabajar en Quickbooks? x ¿Qué modulos tiene Quickbooks? Módulo de: Ventas, compras, registro y control de inventario, control de depósitos, conciliaciones bancarias, partidas de diario. ¿En qué idioma esta creado Quickbooks? ingles ¿Está bajo la ley el uso de Quickbooks en El Salvador? x No cumple con algunos requerimientos establecidos por la ley salvadoreña ¿Quiénes son sus principales usuarios dentro de la El departamento de Auditoria de Sistemas 37

38. Empresa? Contabilidad ¿Poseen la licencia? x ¿Tiene soporte técnico? x ¿Quién es el responsable del soporte técnico? En algunos casos el departamento de informática ¿Está Quickbooks conectada a una base de datos? x HARDWARE Pregunta Si No N/A Comentarios ¿Cuenta con servidores locales o nube? x Servidor local ¿Cantidad de servidores posee? Ocho ¿Es frecuente el mantenimiento? x ¿Cuentan con un plan anual de mantenimiento? x ¿Cúal es la cantidad de equipo que posee actualmente? 120 pc ¿Existe un plan de mantenimiento preventivo? x ¿Se notifican las fallas? x ¿Se les da seguimiento? x Auditoria de Sistemas 38

39. ¿Existen políiticas definidas por escrita a la hora de adquirir nuevos equipos? x ¿Realizan Back up? x ¿Qué tan fecuente hacer el Back up? Diario ¿Dondé se guarda el Back up? Discoduro extraible ¿Quien hace el back up? Automatico, y es revisado por el departento de informatica ¿Utilizan IDś y contraseñas para restringir el acceso a determinadas funciones atraves d ella terminal o estación de trabajo? x ¿El cableado se encuentra correctamente instalado? x ¿Se cuenta con equipo ininterrumpible (SAI)? x ¿Se tiene Switch de apagado en caso de emergencia en algún lugar visible? x SOFTWARE Pregunta Si No N/A Comentarios ¿Qué tipo de ERP utiliza? X Quién es el proveedor de dicho ERP? x ¿Cuánto tiempo tiene de usar dicho ERP? x ¿Hacen capacitaciones a los usuarios y técnicos x Auditoria de Sistemas 39

40. informáticos del ERP? ¿Poseen manuales de uso? x ¿Los manuales están actualizados? x SISTEMAS OPERATIVOS ¿Qué sistemas opertativos utilizan en las oficionas? XP, Window 7, MaC, Windoe 8 ¿Cuál es el sistema operativo que utilizan los servidores? Window server 2008 ¿Poseen las licencias de los sitemas operativos? x ¿Qué tan frecuentes son las actualizaciones de los sitemas operativos? Mensuales ¿Han habido cambios recientes en los sitemas operativos? x ¿Los usuarios estan capacitados para el buen uso de los sistemas operativos? x COMUNICACIONES Y REDES Pregunta Si No N/A Comentarios ¿Quienes son los proveedores de comunicaciones y redes? Salnet ¿Que tipo de servicio posee? internet ¿Qué ancho de banda posee? 2M Auditoria de Sistemas 40

41. ¿Cuenta con internet o intranet? Internet ¿Posee internet inalámbrico? x ¿Qué tipo de topología utilizan? De todo tipo: U estrella. Dependiendo el espacio. ¿Qué tipos de dispositivos utilizan para la comunicación? Teléfono, celulares ¿El tipo de cable está diseñado para el ancho de banda? x ¿Cuentan con correo Empresarial? x ¿En qué plataforma de software funciona el servidor de correo? No se utiliza plataforma. Se utiliza fortimail ¿Quién asigna las contraseñas? El departamento de IT ¿Las cuentas de correos son personales o por áreas? Son personales VIDEOVIGILANCIA ¿Cuenta con video vigilancia la Empresa? x ¿Desde cuándo cuenta con video vigilancai? 10 años ¿Qué tipo de dispositivo utiliza? Cámara de video infrarrojas ¿Quiénes son los proveedores de la video vigilancia? Vigilancia interna ¿Quién es la persona encargada de la video vigilancia? El departamento de IT ¿Existe alguna política para la revisión de la cinta? x Auditoria de Sistemas 41

42. PLANES CONTINGENCIALES Pregunta Si No N/A Comentarios ¿Cuenta la Empresa con planes contingenciales para minimizar riesgos que amenacen el área IT? x ¿Los planes contingenliales estan por escrito? x ¿Poseen manuales de acción que ayuden al personal de IT en eventos inesperados? x ¿Los usuarios concen los planes de contingencias? x ¿Sabe el personal que hacer en caso de emergencia? x ¿Son efectivos los planes contingeciales? x DIRECCIÓN INFORMÁTICA Pregunta Si No N/A Comentarios ¿Existe dirección informática? x ¿Cuánto personal posee? 3 tres ¿Qué requisitos debe cumplir una persona para ser contratado en el área de IT? Como mínimo técnico en el área de informática ¿Reciben capacitaciones frecuentes el personal del área d IT? x ¿En IT se encuentrán los manuales disponibles y x Auditoria de Sistemas 42

43. actualizados? ¿Existen manuales de usuarios, técnicos de sistemas de información? x ¿En el área de IT tiene definidos políticas, planes y estrategías? x ¿Existe una persona que se encargue de la creación de perfiles de usuarios de los sistemas de información? x SEGURIDAD FÍSICA Y LÓGICA FÍSICA Pregunta Si No N/A Comentarios ¿Las instalaciones cuentan con sistema de alarma por presencia de fuego, humo, asi como con extintores de incendio, conexiones eléctricas, entre otras? x ¿Tienen contratos de pólizas de seguros para proteger la información, equipos, personal yo todo riesgo que se produzca por diferentes casos? x ¿La temperatura a la que trabajan los equipos es la adecuada de acuerdo a las normas bajo las cuales se rige? x ¿El Cableado se encuentra correctamente instalado? x Auditoria de Sistemas 43

44. ¿Los interruptores de energía están debidamente protegidos y sin obstáculos para alcanzarlos? x ¿Con qué periodo se les da mantenimiento a las instalaciones y suministros de energía? Se verifica cada semana, y cuando sea necesario. ¿Se cuenta con una salida de emergencia? x ¿Es adecuada la iluminación del de las diferentes oficinas donde hay equipo? x LÓGICA ¿Posee firewall? x ¿Cuenta con ativirus? x ¿Cúal es el nombre del antivirus? Karsperky ¿Posee las licencias de los antivirus? x ¿Qué tan frecuentre son las actualizaciones de los antivirus? Diarias ¿Se manejan permisos de usuarios? x ¿Existen procedimientos formales sobre la emisión y el control de las contraseñas? x ¿El sistema genera registros de acceso? x Auditoria de Sistemas 44

45. ¿Se utilizan tablas de autorización de software para restringir el acceso a distintas aplicaciones de software? x ¿Existen políticas dentro de la Empresa para proteger su información y la de cada usuario? x ¿El acceso al código fuente está restringido al personal autorizado (a través de una contraseña) o no está provisto por el proveedor del software? x BASE DE DATOS Pregunta Si No N/A Comentarios ¿Cual es el nombre de la base de datos? PPMSVR. Este es el nombre de la que ocupa Quickbooks. ¿Quien es el proveedor? El mismo que provee Quickbooks ¿Que tan frecuentes son las actualizaciones de esta base de datos? X ¿IT sabe como darle mantenimiento a la base de datos? X ¿Los usuarios saben de la existencia de la base de datos? X ¿Existe un administrador de la base de datos? El contador de la Empresa. ¿Existe un diseño y físico y lógico de la base de X Auditoria de Sistemas 45

46. datos? ¿Quienes son los usuarios de la base de datos? Los colaboradores de contbailidad ¿Existe algún tipo de documentación referida a la estructura y contenidos de la base de datos? x ¿Se cuenta con niveles de seguridad para el acceso a la base de datos? x ¿Qué nivel de confidencialidad tiene la información almacenada en la base de datos? El contador es el que tiene acceso tota a la base de datos. OUTSOURCING Pregunta Si No N/A Comentarios ¿Cuenta con outsourcing? x ¿Quién es el proveedor? ¿Cual es el plazo del contrato de outsourcing? x ¿Se actualizan los contratos? x Auditoria de Sistemas 46

47. FASE II: EJECUCIÓN DE LA AUDITORIA DE SISTEMAS INTRODUCCIÓN En la Etapa de la Ejecución, se presentan: Las Políticas de Seguridad que la Empresa realiza para salvaguardar la seguridad Informática: También se describen las Técnicas y Procedimientos que utilizamos para la Ejecución de la Auditoría, que son fuentes importantes para la obtención de evidencias dentro del proceso de la Auditoría. Se presentan los papeles de trabajo para cada una de las áreas señaladas como críticas. Se describe el Alcance de la Auditoría, donde se reflejan las cinco áreas identificadas como críticas, los objetivos de la auditoría y también se establecen las actividades que se realizarón para la Ejecución de la Auditoría, reflejadas en el Cronograma de Actividades. Auditoria de Sistemas 47

48. OBJETIVOS DEL DOCUMENTO GENERAL ✔ Ejecutar la Auditoria de Sistemas, en la Empresa xxxxxx, desarrollando los programa de audioria, utilizando las diferente técnica y procedimientos de audioria. ESPECÍFICOS ✔ Aplicar las técnicas y procedimientos , para la obtención de evidencia. ✔ Realizar la Auditoria de acuerdo a las área identificadas. ✔ Presentar las Políticas de Seguridad para salvaguardar la seguridad informática dentro de la empresa. Auditoria de Sistemas 48

49. PRESENTACIÓN DE POLÍTICAS DE SEGURIDAD Logo Responsables: Gerencia General, Departamento de IT, Recursos Humanos, Cumplimiento. Fechas de Revisión: Enero 2014 Objetivo: Establecer normas, procedimientos para salvaguardar la seguridad informática dentro de la empresa. Las siguientes normas y procedimientos están sujetos a cambios siempre y cuando se garanticen los objetivos de seguridad. Se detallan a continuación los principales criterios: 1.0 PRINCIPIOS/PROCEDIMIENTOS: 1.1 Hardware ✔ Todos los Servidores se almacenan en una sala especial. ✔ Sólo personal autorizado tiene acceso a la sala de servidores ✔ El departamento de IT es responsable de mantener etiquetado e inventariados, todos los CPU’S, Monitores, impresoras y UPS. para tener registro de todos los equipos de IT en la empresa ✔ La instalación deberá ser realizada solo por el personal de IT o al menos supervisado por dicho personal. ✔ Solo el personal de IT está autorizado a reparar y dar el respectivo mantenimiento a un equipo si se es necesario. ✔ El departamento de IT velará por el buen funcionamiento y estado de todos los Auditoria de Sistemas 49

50. equipos informáticos, previendo revisiones de rutina y limpieza, coordinado con el jefe del departamento para no afectar las labores diarias del departamento al que se le está dando soporte técnico. 1.2 Cualquier reasignación de hardware de la empresa deberá de ser estrictamente realizada por el personal de IT, además se supervisará la nueva ubicación, y se actualizará en los respectivos registros. Nadie deberá realizar cambios de ubicación de hardware sin la aprobación del departamento IT. Se coordinará con la gerencia para tomar las medidas disciplinarias respectivas, en el caso que un empleado(a) incumpla dicho lineamientos. 1.3 Asignación de Desktop (computadora de escritorio) o Laptop (Computadora portátil) ✔ El Departamento de IT es el responsable de asignar una Desktop o Laptop al personal evaluando previamente con la aprobación de la gerencia, cual es la ideal para su Desempeño laboral, Responsabilidad y Movilidad. ✔ Los usuarios tendrán que firmar un Formulario de Préstamo en el cual explica la Asignación de “Laptop”. El Departamento IT conservará la copia impresa (original) y una copia se entregara al Departamento de Recursos Humanos para el archivo personal del empleado en el caso que el usuario renuncie deberá entregar la Laptop en su buen estado. 2.0 SOFTWARE 2.1 Software estándar para ser instalado en las PC’s ✔ Sistema Operativo (Win XP, Pro o Win 7) ✔ Karsperky (Anti Virus) ✔ MS Office ✔ Adobe Reader Auditoria de Sistemas 50

51. ✔ Drivers de Impresoras ✔ xxxxxxxx ✔ Software instalado de acuerdo a la necesidad del departamento. 2.2 Sólo el personal del departamento de IT pueden desinstalar o modificar instalaciones de software. 2.3 En caso sea necesario instalar un software no aprobado o no autorizado tendrá que ser consultado con el Jefe de Departamento y posteriormente el personal de IT procederá con la instalación. 2.4 No se permite instalar software pirata en las PC’s. Se tomarán las medidas disciplinarias por la gerencia al detectarse cualquier incumplimiento. 3.0 CORREOS ELECTRONICOS Y ACCESO A INTERNET. 3.1 Toda cuenta de inicio de sesión y la cuenta de correo electrónico tiene que ser solicitada a través de correo electrónico por el Jefe de Departamento y aprobado por la gerencia. 3.2 Uso del correo electrónico ✔ El correo electrónico puede sobrecargar los recursos del sistema y de banda ancha. Por lo tanto debe ser utilizado con fines de trabajo únicamente. ✔ Los usuarios de correo electrónico no deben tomarse el tiempo o la molestia para responder a los correos electrónicos no deseados/solicitados, ya que podría confirmar al remitente quien puede ser un hacker potencial, que la dirección es real (y está siendo leído por una persona real). Por lo tanto dicha acción posiblemente podría abrir la puerta a un virus o un ataque de denegación de servicio. ✔ Los archivos grandes con peso de 10.0 MB pueden ser enviados o recibidos a través de correos electrónicos. En caso que el archivo pesara más, deberá comunicarle al departamento de IT para que le habilite a utilizar el sitio ftp de la Auditoria de Sistemas 51

52. empresa. 3.3 Uso de Internet ✔ El Acceso a Internet para cada miembro del personal tiene que ser decidido por el jefe del departamento y aprobado por la gerencia. ✔ El Internet debe ser utilizado sólo con fines de trabajo. ✔ Descarga de software, música y videos no está permitido en internet sin la aprobación del personal de IT. Notas explicativas: - En el proceso de descarga de aplicaciones (programas) de Internet a su PC, puede recibir un virus u otro código malicioso que infecta el sistema. Esto puede tener consecuencias muy graves. - Los empleados no deben de utilizar el correo de la empresa para cualquier sitio web de registro no corporativo. - La información en Internet puede ser inexacta, no válida, o deliberadamente engañosa, y cualquier decisión sobre una descarga puede ser fatal para el sistema y para la seguridad de la información. - Por lo tanto se recomienda a los usuarios no seguir las indicaciones que puedan aparecer en la red de Internet que puedan resultar dudosas y/o peligrosas, más bien consulte inmediatamente con el personal de IT. 4.0 Seguridad de Internet 4.1 Fortinet en puesto, este nos permite que los usuarios no puedan ingresar a sitios web bloqueados en función de los sitios a los que accede. Los siguientes sitios se clasifican como sitios no autorizados. ✔ Páginas Pornográficas / sexo explícito ✔ Juegos Auditoria de Sistemas 52

53. ✔ Haking ✔ Hate ✔ Sitios Web Personales (Facebook y otros) ✔ Páginas de Video ✔ Descarga de música ✔ Páginas de Violencia 5.0 Respaldo (Backup) y recuperación 5.1 Para cada uno de los Departamento, nos aseguraremos de que sus procedimientos de copia de seguridad permitan una restauración eficaz de la última copia de seguridad del estado. 5.2 El departamento que necesite realizar una copia de seguridad que no se encuentre en las carpetas compartidas, deberá informar al Departamento de IT para realizar las respectivas copias. 5.3 Todo el personal o usuario de todas las computadoras debe ser personalmente responsable de guardar la información en sus respectivas carpetas para que se realice las respectivas copias de seguridad de datos. 5.4 El departamento de IT hará revisiones periódicas para asegurar que estos procedimientos continúen apoyando una recuperación oportuna. 5.5 Sólo el personal IT puede realizar la restauración de cualquier documento o restauración del sistema. 6.0 Protección y seguridad 6.1 Todos los usuarios deberán bloquear su computadora al levantarse de su sitio de trabajo ya que cuando la pantalla se deja sin bloquear en su ausencia, otros pueden tener la oportunidad de eliminar los archivos de forma accidental. ✔ Todas las PC, ordenadores portátiles y estaciones de trabajo deben estar Auditoria de Sistemas 53

54. asegurados con un protector de pantalla protegido por contraseña con la función de activación automática fijada cada 60 segundos. ✔ Después de ingresar erróneamente cuatro veces la contraseña de seguridad la computadora por seguridad se bloqueará, en este caso deberá informar al personal de IT. ✔ Ningún usuario está permitiendo compartir la contraseña. A menos que se hubiera autorizado, por el jefe del departamento. ✔ La contraseña de usuario debe ser mínimo de 8 caracteres no más de 12. ✔ Es responsabilidad de todos los usuarios ayudar en el ahorro de costos a la empresa y aumentar la vida útil de la PC tomando muy en cuenta la seguridad ocupacional de todos. ✔ La acción disciplinaria se aplicará a los usuarios que persistan en no apagar su PC y su batería después de la jornada de trabajo. 6.2 No se permite el acceso a la sala de servidores sin autorización de IT. Sólo el personal de IT tienen acceso a la sala de servidores. ____________________ xxxxxxxxxxxxxxxxxxx Jefe de Tecnologías de la Información (IT) Auditoria de Sistemas 54

55. TÉCNICAS DE EVALUACIÓN APLICABLES A UNA AUDITORIA DE SISTEMAS Ejecución de la Auditoria Informática Etapa que consiste en el desarrollo de los procedimientos contenidos en los programas de auditoria através de técnicas de auditoría. Técnicas de Recopilación de Evidencias Para la recopilación de información, el auditor toma y adapta las técnicas, procedimientos y herramientas tradicionales del análisis de sistemas de información. Al utilizar estas herramientas en la auditoría, lo que hace es sacar el mejor provecho de ellas para adecuarlas a las necesidades específicas de evaluación requeridas en el ambiente de sistemas. Estos métodos no solo se utilizan en la evaluación del área de informática, sino también en la evaluación de cualquier área ajena al ambiente de sistemas. Es por ello que el auditor debe saber cómo utilizarlas. Entrevistas La entrevista es una de las actividades más importantes del auditor; en ellas, éste recoge más información, y mejor matizada, que es proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios, Es decir la entrevista es la recopilación de información que se realiza en forma directa, cara a cara y a través de algún medio de capturas de datos. Cuestionarios Los cuestionarios son una técnica de recopilación de infromación. Es un trabajo de campo, que permite al auditor lograr obtener toda la información necesaria para la emisón de un juicio global y objetivo, siempre amparado en hechos demostrables, llamados tambien evidencias. El cuestionario, permite estudiar y analizar la documentación recibida, de modo que tal análisis determine asu vez la información que deberá elaborar el propio auditor. Se Auditoria de Sistemas 55

56. recomienda solo hacer preguntas necesarias, que permitan alcanzar los objetivos; preguntas sencillas. Mediante el uso de cuestionarios el analista puede estar buscando cuantificar lo que ha encontrado en las entrevistas. Adicionalmente, los cuestionarios pueden ser usados para determinar que tan amplio o limitado es en realidad un sentimiento expresado en una entrevista. En forma inversa los cuestionarios pueden ser usados para investigar una gran muestra de usuarios de sistemas, para tratar de encontrar problemas o recoger cosas importantes antes de que las entrevistas sean realizadas. Encuestas Las encuestas constituyen otra de las técnicas más populares y de mayor uso en una auditoría de sistemas computacionales, y son útiles principalmente para averiguar opiniones sobre aspectos de la Informática tales como el servicio, el comportamiento y utilidad del equipo, la actuación del personal y los usuarios, la oportunidad de la presentación de los resultados, entre otros juicios sobre la función informática. Podemos definir una encuesta de la siguiente manera: Es la recopilación de datos concretos sobre un tema específico, mediante el uso de cuestionarios o entrevistas diseñados con preguntas precisas para obtener las opiniones de los encuestados, las cuales permiten, después de hacer una rápida tabulación, análisis e interpretación de esa información, conocer su punto de vista y sentimientos hacia un tópico específico. Observación Una de las técnicas más populares, de mayor impacto y más utilizados para examinar los diferentes aspectos que repercuten en el funcionamiento del área de Informática o del propio sistema, es la aplicación de diversas técnicas y métodos de observación que permiten recolectar directamente la información necesaria sobre el comportamiento del sistema, del área de sistemas, de las funciones, actividades y operaciones del equipo procesador o de cualquier otro hecho, acción o fenómeno del ámbito de sistemas. Auditoria de Sistemas 56

57. La observación se puede hacer desde diferentes puntos de vista y con diversas técnicas y métodos que se mencionan a continuación: ✔ Observacion Directa ✔ Observacion Indirecta ✔ Observacion Oculta ✔ Observacion Participativa ✔ Observacion No Participativa Evidencia de Auditoria El Auditor deberá tener evidencia que sea suficiente, competente y pertinente, como fundamento de sus opiniones, comentarios y recomendaciones. La evidencia adecuada es la información que cuantitativamente es suficiente y apropiada para lograr los resusltados de la auditoria y que cualitativamente, tiene la imparcialidad para inspirar confianza y fiabilidad. ✔ la evidencia será suficiente, cuando el alcance de los planes sea adecuado. Solo una evidencia encontrada, no podría ser suficiente para demostrar un hecho. ✔ La evidencia será pertinente, si el hecho se relaciona con el objetivo de la auditoria. ✔ La evidencia será competente, si guarda relación con el alcance de la auditoria y además es creible y confiable. Auditoria de Sistemas 57

58. PRESENTACIÓN DE PAPELES DE TRABAJOS El formulario utilizado para la Ejecución de la Auditoría, esta dividido en dos partes: 1. Encabezado Muestra el nombre de la Empresa, el periodo en que se desarrollo la auditoría, El auditor que realizó la auditoría (Hecho por), el auditor quien lo revisó (Revisado Por), fecha en que se ejecutó la auditoría y el nombre de la persona que atendio la auditoría. Empresa: xxxxxxx Hecho por: S/P Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H Área Auditada: Área a Auditar Fecha: 21/04/2015 Persona que Atendio: Persona que atiende la auditoría. Cargo: Cargo en la Empresa 1. Cuerpo N° Actividad a Evaluar Procedimiento de Auditoria Herramientas Observación Describen las Actividades a desarrollar en la Ejecucuión de la Audioría. Presenta el procediemiento que se realizará obtener el hallazgo. Tipo de herramienta utilizada para la obtención de la evidencia. Descripciones de los hallazgos encontrados. Auditoria de Sistemas 58

59. ALCANCE DE LA ADITORIA INFORMÁTICA El alcance de la auditoria informática se realizará de acuerdo a las áreas críticas identificadas: ALCANCE DE LA AUDITORIA Software. Lo que auditaremos en Software es: • Software de Contabilidad Quickbooks utilizado por la Empresa para llevar su contabilidad. Comunicaciones y Redes. En esta área lo principal a auditar será: • Topología correcta de los cableados de redes en todas las oficinas. Planes Contingenciales . En el área de Planes de Contingencias, se evaluará primoldialmente: • Qué tan frecuentes son las capacitaciones que recive el personal de las diferentes áreas de la Empresa, para el uso y dominio de los extintores en caso de emergencia. Dirección Informática. Ya que no poseen ningún tipo de manuales se auditará: • Medios que utilizán y en que se basan, al no poseer manuales (no poseen manuales de usuarios, ni de sistemas informáticos). Seguridad Física y Lógica. En esta área se auditará principalmente: • El antivirus utilizado por la Empresa. • Cúal es el control de uso de dispositivos que introducen en los equipos de los ususarios. Auditoria de Sistemas 59

60. OBJETIVO DE AUDITORIA GENERAL ✔ Identificar las áreas críticas y los diferentes riesgos que estas conllevan, al no ser solucionadas por parte de la Empresa xxxxxx , aplicando los procedimientos, técnicas y métodos, con la finalidad de determinar la efectividad y efeciencia del departamento de IT. ESPECÍFICOS ✔ Evaluar los riesgos que contienen las diferentes áreas críticas identificadas. ✔ Aplicar los procedimientos, técnicas y métodos para el desarrollo eficiente de la auditoria. ✔ Verificar la capacidad de respuesta de la Empresa ante los riesgos detectados. ✔ Observar el nivel de respuesta del departamento de IT ante los riesgos identificados. CRONOGRAMA DE ACTIVIDADES DE LA EJECUCIÓN DE LA AUDITORIA Auditoria de Sistemas 60

61. PROGRAMA DE AUDITORIA Empresa: xxxxxxxxxxxx Hecho por: S/P Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H Área Auditada: Software Fecha: 21/04/2015 Persona que Atendio: xxxxxxxxxxxxx Cargo: Técnico IT Contador SOFTWARE N° Actividad a Evaluar Procedimiento de Auditoria Herramientas Observación 1. Verificar el licenciameinto de Quickbooks. Revisas si la Empresa posee licencia del sistema contable Quickbooks. Testimonial Quickbooks fue comprado para otra Empresa del mismo dueño de xxxxx. 2. Modulos con que cuenta Quickbooks. Verificar con qué modulos cuenta Quickbooks. Física. Los Modulos con los que cuenta son: Ventas, Compras, Registro Y Control De Inventario, Control De Depósitos, Conciliaciones Bancarias y Partidas De Diario. 3. Observar el idioma en el que esta desarrollado Quickbooks. Investigar según la ley de El Salvador, en que idiomas debe llevarse la contabilidad en El Salvador. Física. Las computadoras del área de Contabilidad, realiza todos sus registros en idioma Ingles en Quickbooks. Auditoria de Sistemas 61

62. 4. Evaluar si Quickbooks cumple con las leyes de contabilidad Salvadoreña. Investigar bajo que leyes debe llevarse la contabilidad en las Empresas. Y si Quickbooks cumple con la leyes impuestas en El Salvador. Física. Quickbooks, no cumple con aspectos Legales de la Contabilidad en El Salvador (la Ley determina: Art. 436.- Los registros deben llevarse en castellano). 5. Verificar medidas de seguridad de Quickbooks . Evaluar las diferentes medidas que Quickbooks tiene como medidas de seguridad. Testimonial El contador, nos dijo que Quickbooks realiza Back up de seguridad todos los días y es un Sistema Contable confiable para la Contabilidad de la Empresa. 6. Evaluar el soporte técnico. Verificar los soportes técnicos con que cuenta Quickbooks. Testimonial Quickbooks. no tiene soporte técnico en el País. 7. Encargados de soporte Técnico. Verificar quienes son los responsables del soporte técnico. Testimonial Se nos dijo que el encargado en algunos casos del sopote técnico son los del área de informática. Pero que no suele presentar mayor problema Quickbooks. 8. Evaluar los requerimientos. Verificar cuales son los requerimientos que los equipos deben poseer para Física. Documental. De acuerdo a lo revisión y teniendo en cuenta cúales son los requerimientos que pide Quickbooks para su Auditoria de Sistemas 62

63. instalar Quickbooks. instalación, las computadoras de trabajo cliente y servidor cumplen con los requeriemientos establecidos. 9. Plataforma en que esta instalado Quickbooks. Verificar en que plataforma trabajan Quickbooks en la Empresa. Física. Se trabaja bajo Windows 8. 10. Verificar el control de acceso a Quickbooks. Verificar el control de acceso a Quickbooks si la realizan mediante contraseñas. Física. Todas la computadoras del área Contable en las que esta instalado Quickbooks, poseen usuarios y contraseñas. 11. Principales usuarios. Verificar quienes son los principales usuarios con acceso a Quickbooks. Física. Testimonial. Los principales usarios son los del departamento de Contabilidad. 12 Entrevistar al contador. Preguntar al contador, en que le facilta el trabajo Quickbooks. Testimonial. EL contador manifiesta lo siguiente: “En el país la mayoría de empresas tienen sistemas contables deficientes. El Quickbooks proporciona muchos reportes.Genera información rápida y confiable”. 13. Capacitación Verificar si al Testimonial. No es capacitado, al momento Auditoria de Sistemas 63

64. a los usuarios. personal de nuevo ingreso en el área de contabilidad es capacitado antes por un experto para el uso de Quickbooks. que ingresa a laborar al área de Contabilidad, uno de los del área que ya conoce el uso de Quickbooks le enseña como se trabaja en el programa de Contabilidad. 14. Verificar si realizan copias de seguridad. Verificar si Quickbooks realiza copias de seguridad y archivos como medida de seguridad. Testimonial. Todos los días realizan back up. 15. Evaluar los casos de actualizacione s. Mediante una entrevista, preguntar que hacen en caso de actualizanes de Quickbooks. Testimonial. No hay actualizaciones. Empresa: xxxxx Hecho por: S/P Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H Área Auditada: Comunicaciones y Redes Fecha: 21/04/2015 Persona que Atendio: xxxxxx Cargo: Técnico IT PROGRAMA DE AUDITORIACOMUNICACIONES Y REDES N° Actividad a Evaluar Procedimiento de Auditoria Herramientas Observación 1. Revisar la topología de la red. Examinar si el cableado de la Física. Análitica. Se Observó que utilizán topologías como: Estrella y U. Auditoria de Sistemas 64

65. Empresa cumple con los estandares de la industria y si se encuentran debidamente protegidos. La Empresa realiza las conexiónes de red de acuerdo al espacio de las oficinas. Con respecto a la protección de los cables, se observo, que en algunas oficinas no cuenta con la protección debida, solo están cubiertas con Cinta transparente para que no se levante. 2. Cuenta con intranet ó internet. Preguntar al área de It si cuenta con intranet ó internet. Testimonial. Cuenta solo con internet. 3. Verficar si el tipo de cable esta diseñado para el ancho de banda. Si envia los datos a una velocidad adecuada y sin interferencias. Física. La revisión de algunos cables de red, nos permite determinar que el cableado categoria 3 es el adecuado. Y es el que posee la Empresa. 4. Evaluar la rápides de envio de información. Realizar pruebas para verificar la rápidez de envio de datos. Física. Testimonial. Luego de la evaluación se determinó, que el tiempo que tarda la información de ser enviado/recivida, esta a corde del ancho de banda, por lo que no afecta el rendimiento ni el desempeño de la red. Auditoria de Sistemas 65

66. 5. Medir la velocidad del internet. Verificar la velocidad de conexión a internet. Física. Después de una prueba realizada de un envio de un correo electrónico, se logro determinar que la transferencia de información tiene un comportamiento normal de envio y entrega de información. 6. Plataforma de software en que funciona el servidor de correo. Verificar la plataforma que utiliza el servidor de correo de la Empresa, por el cual se transmiten los mensajes. Testimonial. La plataforma de correo que utiliza la Empresa es “Fortimail”, por que brinda seguridad y protección ante amenazas mixtas que se ocultan en el correo electrónico mensajes, formadas por spam, virus, gusanos, phishing (suplantación de identidad, que intentar adquirir información confidencial de forma fraudulenta )y spyware (la lentitud de los Sistemas Operativos y en la ejecución de programas, porque consumen recursos de la máquina, impidiendo que funcione normalmente). 7. Asignación de cuentas y cobtraseñas a las PC de los Verifcar en que se basan los del Área de IT para asignarles el usuario Testimonial. La asiganación de cuentas y usuarios a los colaboradores no es un método seguro, entrevistando a un usuario, nos Auditoria de Sistemas 66

67. usuarios. y la contraseña. dijo que las cuentas eran asignadas de acuerdo a los nombre del usuario. El usuario de la computadora es el Primer Nombre y Primer Apellido, y la contraseña la inicial del Primer Nombre y la inicial del Primer Apellido, seguido de oa123 8. Con qué frecuencia cambian las contraseña a los usuarios. Chequear con qué frecuencia, el área de IT cambia las contraseña a los usuarios. Testimonial. No son frecuentes los cambios de usuarios y contraseñas. 9. Revisar el bloqueo de algunas computadoras a internet. Identificar que computadoras de diferentes departamentos tienen acceso a internet. Física. Testimonial. El área de IT, tiene permitido dar acceso a internet a ciertas personas, como lo son: A Jefes de los diferentes Departamentos, a todos los usuarios de Mercadeo, Recursos Humanos y a del área de IT. 10. Manejo de firewall. Verificar si el firewall implementado detecta y protege: • Ataque de IP falsas. • Ataque de denegación del servicio. Física. Testimonial. De acuerdo a la entrevista al técnico de IT el firewall implementado detecta y protege. Al intentar entrar desde una computadora que no tiene permitido el acceso a internet, mostró la pagína de Auditoria de Sistemas 67

68. acceso denegado. 11. Configuración de firewall. Reivisar si existe un firewall debidamente configurado Testimonial. El firewall esta debidamente configurado, al intentar entrar desde una computadora que tiene denegado el acceso a internet. 12 Verificar los privilegios a usuarios. Evaluar en que se basan para dar privilegios a usuarios de los diferentes departamentos. Testimonial. Solo a Jefes y colaboradores de áreas claves son los privilegiados, por que realizan diferentes actividades sumamente importantes para la empresa. 13. Elementos que utilizan para la comunicación . Revisar los medios que utilizan para comunicarse entre los diferentes departamentos. Testimonial. Física Utilizan celulares, correos eléctronicos y teléfonos de líneas fijas. 14. Revisión de la red física. Evaluar con que frecuencias se realizán revisiones de los cables de redes. Testimonial. En la entrevista, el técnico de IT manifiesta que no tienen un tiempo establecido para la revisión de la red física. 15. Bloqueo de aplicaciones Verificar que la Empresa tenga políticas de seguridad y de Documental Posee políticas de Seguridad, que restringen el aceeso a aplicaciones, las cuales se detallan en las Políticas de Auditoria de Sistemas 68

69. controles de acceso a aplicaciones basadas en la web. Seguridad Informática de la Empresa. Empresa: xxxxxx Hecho por: S/P Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H Área Auditada: Planes Contingenciales Fecha: 21/04/2015 Persona que Atendio: Xxxxxxx xxxxx Cargo: Técnico IT Jefe IT PLANES CONTINGENCIALES N° Actividad a Evaluar Procedimiento de Auditoria Herramientas Observación 1. Evaluar si existen políticas por escrito sobre los planes que ellos realizan en las diferentes áreas de la Empresa. Pedir manuales donde se encuentren reflejadas las políticas sobre los planes contingenciales, ya que los manuales, deben estar documentos. Documental Pedimos ver los manuales donde estan documentados los diferentes planes de contingencia que la Empresa realiza. Estos planes si estan docuementados. 2. Evaluar los planes de contingencias que se están desarrollando actualmente. Observar los diferentes planes que se están realizando, los cuales están enfocados para evitar cualquier eventualidad que Testimonial. Los planes contingenciales, que la Empresa realizan con mayor frecuencias son: Simulacros de Sismos e Incendios. Auditoria de Sistemas 69

70. pueda suceder en el futuro 3. Evaluar la aplicación de simulacros, asi como el plan contingenciale s durante la ocurrencia de una falla grave en el sistema. Realizar una serie de simulacros para verficar si los planes de contingencias que se tienen están respondiendo satisfactoriamente haciendo pruebas de back up y revisar dichos archivos. Testimonial El entrevistado del área de IT , manifiesta que cuando la Empresa realiza los simulacros con los todos sus empleados, su área también realiza back up y son satisfactorios. 4. Evaluar si los empleados conocen sobre los planes contingenciale s. Preguntar a los empleados si ellos conocen los planes en dado caso que exista una catástrofe, entre otras cosas. Y si alguna ves han hecho un simulacro. Testimonial Los empleados entrevistados, manifiestan si se les informan de las medidas a tomar y que hacer al presentarse cualquier eventualidad. 5. Evaluar la confiabilidad en la aplicación en las medidas del plan de Examinar si las medidas que se tiene en caso de una eventualidad, la aplicación de los planes de Testimonial Analítica Con los simulacros que se realizán, se ha ido mejorando el tiempo y reacción. Y la forma en que se realizan son confiables y satisfactorias. Auditoria de Sistemas 70

71. contingencias. contingencias sea rápida y dé una respuesta satisfactoria. 7. Evaluar si cuentan con sus respectivas medidas de seguridad. Observar si cuentan con salidas de seguridad en los diferentes áreas. Y si los extintores se encuentrán en una buena ubicación. Física. Las salidas de Emergencias, están debidamente rotuladas, la ubicación de los extintores es visible ante todo el personal de los diferentes áreas de la Empresa. 8. Evaluar si cuentan con planes para prevenir daños en los recursos. Observar y pedir manuales para conocer que hacen para prevenir y minimizar daños en sus recursos informáticos, equipos de oficinas y otros materiales. Testimonial El área de IT no cuenta con manuales y lo unico que realizan son back up de la información. 9. Evaluar quienes son las personas involucradas al momento de efectuar los planes contingenciale Preguntar quién ó quiénes, son las personas responsables a la hora de efectuar los planes contingenciales. Testimonial De cada área hay una persona involucrada en el momento de efectuar simulacros. Auditoria de Sistemas 71

72. s. 10. Evaluar Planes Correctivos. Revisar y preguntar sobre los planes correctivos, que hacen para solucionar sus problemas en el momento que se presenten. Testimonial Realizan lo que estiman conveniente en el momento y ante la emergencia. 11. Evaluar planes cuando hay saturación de información. Preguntar y verificar si se envia información masiva a las oficinas, y que sucede cuando el trafico de datos se vuelve lento. Testimonial El envio de información no es masiva y no hay saturación de tráfico. 12. Evaluar seguridad elétrica. Realizar pruebas de un apagón de luz para saber si funciona correctamente la planta de energía eléctrica. Testimonial La planta de energía eléctrica funciona correctamente ante cualquier apagón. Hay personas encargadas. 13. Auditoría de Planes Contingencial es Evaluar Realizar pruebas y verificar si ellos cuentan con otro proveedor de Testimonial No cuentan con otro proveedor de internet aparte de Salnet. Auditoria de Sistemas 72

73. plan cuando se cae la conexión de proveedor de internet. internet, para poder evaluar que pasa si la red de un proveedor de internt se cae. 14. Evaluación de reanudación de actividades. Investigar si existe un equipo de dirección de reanudación y un responsable del mismo, para dirigir y coordinar las distintas actividades durante la contingencia o desástre. Testimonial Cada colaborador es el encargado de reanudar su actividad despues de un simulacro. Auditoria de Sistemas 73

74. Empresa: xxxxxx Hecho por: S/P Auditoria de Sistemas 74

75. Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H Área Auditada: Dirección Informática Fecha: 21/04/2015 Persona que Atendio: xxxxxx Cargo: Técnico IT Contador DIRECCIÓN INFORMÁTICA N° Actividad a Evaluar Procedimiento de Auditoria Herramientas Observación 1. Evaluar el perfil de los empleados del área de informática, mediante la revisión de los manuales de función y de usuario. Revisar los manuales de funciones de empleados de infomática. Revisar los manuales de usuarios de sistemas. Testimonial No poseen manuales de funciones, ni manuales de usuarios de sistemas. 2. Capacita- ciones del personal IT. Realizar una entrevista al director del área de IT, que tan frecuentas son las capacitaciones de sus colaboradores. Testimonial De acuerdo al Jefé de área de IT no reciben capacitaciones. 3. Evaluar la existencia y cumplimiento de los Entrevistar a los empleados de informática y preguntarles si Testimonial Los entrevistados aciertan que saben los objetivos del departamento, y que buscan cumplirlos con eficiencia, y de Auditoria de Sistemas 75

76. objetivos de la institución dentro del departamento de informática. tienen claros los objetivos de su departamento y de la institución. esa manera ayudar la Empresa para que tambien logren sus objetivos. 4. Nivel en el que se encuentra jerarquico en el departamento de IT. Realizar una análisis del organigrama de la Empresa y ver en que nivel se encuentra el departamento de informática. Análitica. En el Organigrama de la Empresa no se especifica el Departamento de IT. 5. Verificar, cúal es el perfil para la selección y promoción del área de informática. Revisar los requisitos para la selección de un nuevo colaborador en el área de IT. Análitica. Testimonial No tiene por escrito los requsitos que un colaborador del área de IT debe cumplir. 6. Evaluar la administració n de los recursos humanos asignados al área de informática, Análizar si los empleados están sobrecargados de actividades. Análitica. Testimonial En el área de IT son 3 los colaboradores. Y se reparten las actividades. Asumen no suele pasar que se recarguen de trabajo. Auditoria de Sistemas 76

77. en cuanto a capacitación y adiestra- miento. 7. Identificar los planes de capacitación. Revisar los planes de capacitaciones para los empleados de informática. Testimonial La Empresa no tiene planes de capacitaciones para los colaboradores de IT. 8. Identificar el perfil de los nuevos empleados a contratar. Verificar si existe algo por escrito, donde se detallen las características del nuevo personal a contratar. Testimonial Análitica. No tienen nada por escrito donde detallen las habilidades y conocimientos que debe tener el nuevo colaborador de IT. 9. Verficar el tiempo del personal de IT en la Empresa. Preguntar el tiempo que han laborado en la Empresa el personal de IT. Testimonial El Jefe de IT, tiene 8 años de laborar en la Empresa. El técnico en Informática, tiene 15 años de laborar en la Empresa El Licenciado en Ciencias de la Computación, tiene 2 años en la Empresa. 10. Verificar que exista una persona que se encargue de crear perfiles. Observar si hay una persona encargadad de crear los perfiles de los usuarios. Testimonial El técnico xxxx, que tiene 15 años de laborar en la Empresa es el encargado de crear los perfiles de los. usuarios. Auditoria de Sistemas 77

78. 11. Verificar que tan frecuentes son las capacitaciones. Preguntar al personal que tan frecuentes son las capacitaciones que reciven. Testimonial No reciven capacitaciones. 12 Verificar personal existente en IT. Observar cuantos empleados están en área de informática. Testimonial Física. 3 Empleados en todo el área de IT. 1 Jefe del área. 1 Técnico en Informática 1 Licenciado en Ciencias de la Computación. 13. Verificar si existen manuales por escrito de actividades a realizar en el área de IT. Indagar si el personal lleva a cabo lo estipulado en el manual de IT. Testimonial No existen manuales por escrito en el área de IT. 14. Evaluar si los empleados cumplen sus funciones. Verificar que el departamento de IT cumplen sus funciones, en los demás departamentos que hayan solicitado su colaboración. Testimonial Describen su deber es suplir las necesidades de los usuarios en cuanto al equipo informático se refiere. 15. Evaluar si IT Entrevistar al Testimonial El entrevistado manifiesta, que Auditoria de Sistemas 78

79. en todo su conjunto, hace las actualizaciones correspon- dientes. departamento de IT, si hace las actualizaciones respectivas en los diferentes pc. Física. si realizan las actualizaciones. Empresa: xxxxxxx Hecho por: S/P Periodo Auditado: Marzo a Abril 2015 Revisado por: E/H Área Auditada: Seguridad Física y Lógica Fecha: 21/04/2015 Persona que Atendio: xxxxxx Cargo: Técnico IT Contador SEGURIDAD FÍSICA Y LÓGICA N° Actividad a Evaluar Procedimiento de Auditoria Herramientas Observación 1. Identificar si existen alarmas. Verficar las alarmas por presencia de fuego, humo; asi como la existencia de extintores de incendios. Física. En las diferentes áreas de la Empresa se encuentran alarmas, y extintores contra incendios. 2. Investigar si hay personal capacitados para el uso de extintores. Verificar si la Empresa envia a capacitaciones a personal de diferentes departamentos para la manipulación y Testimonial De acuerdo a la persona entrevistada, hay personas capacitadas para el uso de extintores, y que son los bomberos quienes dan las capacitaciones. Auditoria de Sistemas 79

80. uso de los exintores ante cualquier incidente. 3. Medidas de protección de conexiones eléctricas Conocer las medidas que la Empresa toma para la seguridad de las conéxiones eléctricas. Testimonial Los bomberos realizán evaluaciones físicas constantes de las conexiones eléctricas de toda la Empresa, y al final de la evaluación brindan un informe. 4. Identificar la autorización y administra- ción de las claves. Verificar los mecanismos establecidos para controlar la asignación de acceso a las computadoras centrales. Testimonial El departamento de IT, testifica que el ingreso a las computadoras centrales de la Empresa, es de acceso restringido y que solo los 3 miembros de IT pueden ingresar. 5. Capacitación en procedimietos de seguridad. Verificar que los procedimientos operacionales para incendio y sistemas de alarma esten al alcance de todo el personal de operaciones. Testimonial Física. Las capacitaciones se le dan a personas seleccionadas, pero hay instrucciones cercas de las alarmas, de como hacerlas sonar. 6. Rotulación de Observar si las vías Física. Con la revisión realizada en la Auditoria de Sistemas 80

81. escapes y salidas de emergencias. de escape y acceso de emergencias esten debidamente rotuladas. Empresa, se determino que todas las salidas de emergencias estan debidamente rotuladas. 7. Evaluar autentifica- ción de usuarios y controles de acceso. Asegurarse que las políticas de asignación de cuentas sean adecuadas y apropiadas. Testimonial Física. De acuerdo con el testimonio de algunos usuarios, la asignación de las cuentas no es la debida. Y comprobandolo determinamos no se sigue ninguna política. 8. Evaluar el cableado. Verificar que el cableado este debidamente protegido, en dado caso que el cable este cruzado. Física. En la oficinas del área de producción observamos habia un cable de red cruzado entre un escritorio y otro. Preguntamos y dijo era algo provisional. Pero en una nueva visita a la Empresa obsevamos el cable aun estaba cruzado, y que no era algo provisional. En las demás oficinas el cableado de red esta correctamente instalado y protegido. 9. Identificar firewall. Verificar que el firewall esta configurado para limitar el acceso a Testimonial Fortinet es quien garantiza a la Empresa que los usuarios no puedan ingresar a sitios web bloqueados en función de los Auditoria de Sistemas 81

82. datos autorizados para usuarios internos. sitios a los que accede. 10. Prevensión de virus. Verificar que antivirus posee, y que el antivirus actúe en los equipos de los diferentes departamentos con eficiencia. Sin poner en riesgo la información de los usuarios, investigar con que frecuencia se actualizán y verificar que cada equipo cuente con el licencionamiento adecuado. Física. Testimonial La Empresa cuenta con el Antivirus Karsperky, se actualiza cada día y la seguridad que proporciona según los usuarios y el Técnico de IT no es la mejor, ya que se cuelan virus que ponen en riesgo su información. El Antivirus tiene su licencia. 11. Entrevistar a los usuarios. Preguntar a los usuarios si el antivirus es confiable, o si existe con frecuencia el colado de virus. Testimonial Anáitica De acuerdo con las entrevistas realizada a unos usuarios el Antivirus Karsperky no es confiable y se cuelan algunos virus. 12 Evaluar puertos habilitados. Verificar si los usuarios tienen habilitados los puertos USB de los equipos, para evitar poner en riesgo la Física. Testimonial Se verifico los puertos de algunas computadoras y los puertos de USB no estan habilitados. Auditoria de Sistemas 82

83. información. 13. Asignación de contraseñas Verificar si cada equipo posee su respectivo usuario y contraseña para denegar el permiso a otra persona, que las contraseñas no sean mostradas en pantalla cuando se ingrese, que no sea menor a 8 digitos y que contenga símbolos, numeos y letras. Física. Testimonial Con la revisión de algunas computadoras, observamos que todas poseen usuarios y contraseñas, pero que no contienen los medios de seguridad. 14. Registro de accesos. Investigar si el sistema genera registro de acceso. Testimonial Física. De acuerdo al Técnico de IT el sistema realiza registros de acceso, modificación y eliminación de algún documento. 15. Evaluar las políticas de la Empresa a la información. Verificar si existen políticas dentro de la Empresa para proteger su información y la de cada usuario. Testimonial Física. El técnico de IT manifiesta que el ingreso a algunos archivos en la red, solo pueden ser vistos por personas seleccionadas, y algunas solo pueden ejecutarla pero no realizar cambios ni eliminación. Auditoria de Sistemas 83

84. ANEXOS GLOSARIO ✔ Back up: Copia de seguridad de uno o más archivos informáticos, que se hace, generalmente, para prevenir posibles pérdidas de información. ✔ Contingencia: Suceso que puede suceder o no, especialmente un problema que se plantea de forma imprevista. ✔ Cronograma: Representación gráfica de un conjunto de hechos en función del tiempo. ✔ Departamento IT: departamento de Tecnología de la Información. ✔ Dispositivos: aparato o mecanismo que desarrolla determinadas acciones. ✔ Estándares: Consiste en el establecimiento de normas a las que debe ajustarse la información geográfica, los procesos de intercambio de ésta y la interoperación de los sistemas que deben manejarla. ✔ Estipular: Establecer o determinar las condiciones de un trato, acuerdo, precio u otra cosa. ✔ Extintores: Un extintor, extinguidor, extintor de fuego, o matafuego es un artefacto que sirve para apagar fuegos. ✔ Fiabilidad: Probabilidad de que un sistema, aparato o dispositivo cumpla una determinada función bajo ciertas condiciones durante un tiempo determinado. ✔ Firewall: Programa informático que controla el acceso de una computadora a la red y de Elementos de la red a la computadora, por motivos de seguridad. ✔ Fortinet: (NASDAQ: FTNT) es el proveedor mundial en dispositivos de seguridad de Auditoria de Sistemas 84

85. red y líder en gestión unificada de amenazas (UTM). Sus productos y servicios ofrecen una gran protección integrada y de alto rendimiento contra las dinámicas amenazas de seguridad. ✔ Fortimail: es el sistema de seguridad para correo electrónico más flexible del mundo. ✔ Ftp: FTP en informática, es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red TCP, basado en la arquitectura cliente-servidor. ✔ Hacker: Persona con grandes conocimientos de informática que se dedica a acceder ilegalmente a sistemas informáticos ajenos y a manipularlos. ✔ Malicioso: Que habla o actúa con intención encubierta para beneficiarse en algo o perjudicar a alguien. ✔ Ordenadores portátiles: es un ordenador personal móvil o transportable, que pesa normalmente entre 1 y 3 kg.1 ✔ Pirata: Persona que se aprovecha del trabajo o de las obras de otros, especialmente copiando programas informáticos u obras de literatura o de música sin estar autorizado legalmente para hacerlo. ✔ Red física: Conjunto formado por dos o más nodos conectados a un mismo medio o canal de comunicación. ✔ Servidores: es un nodo que forma parte de una red, provee servicios a otros nodos denominados clientes. También se suele denominar con la palabra servidor a: ⁕Una aplicación informática o programa que realiza algunas tareas en beneficio de otras aplicaciones llamadas clientes. ✔ Tabulación: Expresión de valores, magnitudes, conceptos, etc., por medio de tablas o cuadros, o conjunto de los topes del tabulador en las máquinas de escribir y en los programas informáticos de edición de textos. Auditoria de Sistemas 85

86. ✔ Tópico: Que se usa y se repite con mucha frecuencia en determinadas circunstancias. ✔ Topología: Ciencia que estudia los razonamientos matemáticos, prescindiendo de los significados concretos. ✔ Virus: Programa de computadora confeccionado en el anonimato que tiene la capacidad de reproducirse y transmitirse independientemente de la voluntad del operador y que causa alteraciones más o menos graves en el funcionamiento de la computadora. Auditoria de Sistemas 86

87. BIBLIOGRAFÍA Sitios Web. ✔ “Microsoft Word - Manual de Auditoria Version Ejemplar Definitivo Al 18-11-2011.doc - Manualaud.pdf.” http://www.cgr.gob.ve/pdf/manuales/manualaud.pdf (May 5, 2015). ✔ “Untitled Document.” http://www.sites.upiicsa.ipn.mx/polilibros/portal/Polilibros/P_proceso/Auditoria_Informat ica_Nacira_Mendoza_Pinto/UNIDAD%201/HTML/1_4_4.HTM (May 5, 2015). Fuentes de Información de la Empresa ✔ xxxxxx Contador de la Empresa xxxxxx ✔ xxxxxxx, Técnico Tecnologías de la Información. ✔ xxxxxxx, Lic. de Tecnologías de la Información. ✔ xxxxxxxx, Jefe de Tecnologías de la Información (IT). Auditoria de Sistemas 87