SlideShare una empresa de Scribd logo

Auditoria de-sistemas

Descargar como DOCX, PDF
P
PatriciaNarvaez15

Auditoria de sistemas

Empresariales
1 de 20
AUDITORIA DE SISTEMAS
CAPÍTULO I
I. PLANIFICACIÓN 1.1.PLANIFICACIÓN PREVIA Alcance de trabajo La auditoría se realizará sobre los sistemas informáticos de computadoras que pertenecen a la red interna de la empresa. Objetivo general Verificar que los sistemas y procesos informáticos de las empresas funcionen adecuadamente para las funciones que han sido programados y sus activos digitales se encuentren debidamente protegidos, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. Objetivos específicos  Emitir opinión sobre la idoneidad del sistema de control de accesos de la aplicación.  Verificar el grado de fiabilidad de la información.  Llevar a cabo la revisión de los métodos utilizados para el desarrollo del sistema computacional de una empresa  Evaluación del Control Interno de las Aplicaciones, el cual debe permitir el diseño de nuevos programas desarrollados a la medida de la empresa.  Evaluación de todo sistema computacional, en cuanto a la funcionalidad y objetividad de este, dado que este debe ser aprobado por el usuario; quien será el responsable de su mantenimiento y desarrollo.  Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del departamento de cómputo.
Actividad de riesgo Se evaluará la forma de adquisición de nuevos aplicativos de software. Los procedimientos para adquirirlos deben estar regulados y aprobados en base a los estándares de la empresa y los requerimientos mínimos para ejecutar los programas base. Dentro de los riesgos posibles se contemplarán huecos de seguridad del propio software y la correcta configuración y/o actualización de los equipos críticos como el cortafuegos, la eficiencia del sistema informático y la gestión de los recursos informáticos Ambiente de control Agrícola San Blas fue constituida en la parroquia de San Blas que pertenece al Cantón Urcuquí, provincia de Imbabura ubicada al nor-occidente de la ciudad de Ibarra; el 1 de diciembre de 1998 por el Ing. Gustavo Moreta. Es una empresa que se dedica a la comercialización de productos agroquímicos; actualmente cuenta con cinco puntos de venta los cuales están ubicados en Ibarra, Otavalo, Atuntaqui y San Blas. Agrícola San Blas fundamenta su cultura organizacional en los siguientes valores:  Honestidad  Orden  Puntualidad  Responsabilidad  Cortesía  Capacitación  Comunicación
Estos valores son practicados desde la gerencia quien dentro de su filosofía tiene como eje fundamental satisfacer al cliente, ofrecer servicios y productos de calidad para lo cual cuenta con personal altamente calificado quien se va formando en los valores antes mencionados. Misión. “Somos una compañía dedicada a la comercialización de insumos agrícolas y pecuarios de calidad, buscando satisfacer las necesidades de nuestros clientes con una asesoría técnica y los servicios vinculados al manejo responsable de los mismos, que se sustenta en el desarrollo integral de nuestros colaboradores y la mejora continua de los procesos. Manteniendo siempre un ambiente de trabajo de equipo, limpio, ordenado, seguro y con un profundo sentido de respeto y de responsabilidad social”. Visión “En el 2020, seremos una compañía de reconocido prestigio y liderazgo en la provincia de Imbabura y del norte del país con excelencia en la oferta de servicios, e insumos agrícolas, comprometidos con el servicio a los productores y el medio ambiente con características administrativas y financieras de una compañía totalmente moderna que proyecta confianza del trabajo y aceptación del mercado”.
Estructura organizacional Políticas de la empresa  Cultura empresarial enfocada al buen trato hacia el cliente.  Practica de valores, puntualidad, seriedad, honradez, respeto hacia el cliente.  Ofrecer productos de calidad.  Compensaciones al buen desempeño para conseguir trabajadores comprometidos.  Adecuada selección del personal.  Capacitación constante al personal técnico. 1.2.INFORMACIÓN preliminar Se realizará una entrevista al Gerente para conocer de forma general el funcionamiento de la empresa. GERENTE GENERAL DEPARTAMENTO FINANCIERO CONTABILIDAD CARTERA DEPARTAMENTO DE COMERCIALIZACIÓN COMPRAS VENTAS MATRIZ SUCURSALES DEPARTAMENTO DE OPERACIONES MATRIZ SUCURSALES DEPARTAMENTO DE SISTEMAS DEPARTAMENTO DE TALENTO HUMANO SECRETARIA
Información general. Estructura del centro de cómputo En el departamento de sistemas existen puestos genéricos definidos los cuales son tomados por la organización y adaptados según sus necesidades. Se analizará la existencia de los siguientes perfiles: Profesión Actividades y conocimientos deseables Informático Generalista Con experiencia amplia en ramas distintas. Deseable que su labor se haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas. Técnico de Sistemas Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación. 1.3.COMPRENSIÓN DEL CONTROL INTERNO Objetivos del control  Se hará una revisión de los manuales de políticas de la empresa, que los procedimientos de estos se encuentren actualizados y que sean claros y que el personal los comprenda.  Debe existir en la Empresa un programa de seguridad, para la evaluación de los riesgos que puedan existir, respecto a la seguridad del mantenimiento de los equipos, programas y datos.
Procedimientos de control Se verificará la existencia de los siguientes controles:  El hardware debe estar correctamente identificado y documentado.  Se debe contar con todas las órdenes de compra y facturas con el fin de contar con el respaldo de las garantías ofrecidas por los fabricantes.  Se debe contar con un plan de mantenimiento y registro de fechas, problemas, soluciones y próximo mantenimiento propuesto.  Cada usuario deberá contar con su nombre de usuario y contraseña para acceder a los equipos.  Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y alternando mayúsculas y minúsculas).  Los usuarios se desloguearan después de 5 minutos sin actividad.  Los nuevos usuarios deberán ser autorizados mediante contratos de confidencialidad y deben mantenerse luego de finalizada la relación laboral.  Uso restringido de medios removibles (USB, CD-ROM, discos externos etc).
Cuestionarios de control interno FIRMA AUDITORA “AUDIPOL” CUESTIONARIO DE CONTROL INTERNO “APLICACIONES” Alcance: 01 de Enero al 31 de Diciembre del 2017 N° Pregunta Si No Observaciones 1 La empresa cuenta con un Departamento de Informática √ La empresa cuenta con un departamento de sistemas pero no está adecuadamente estructurado. 2 ¿Se efectúan respaldos de la información? √ ¿Se ejerce control del Sistema Informático? √ No existe una persona que realice Controles con regularidad. 3 ¿Cuenta el sistema con claves de seguridad? √ 4 ¿Se realiza un adecuado mantenimiento al Sistema Informático? √ No hay el personal en la empresa para realizar el mantenimiento, según lo informado se debe llamar a la empresa que proporciono el Sistema Contable. 5 ¿El Sistema puede ser actualizado de acuerdo con los avances que se producen? √ 6 ¿El sistema cuenta con personal técnico que ayude cuando se produzcan inconvenientes? √ Como ya se mencionó la empresa no cuenta con este tipo de personal para realizar este tipo de trabajo, por las instalaciones.
7 ¿Existe un instructivo para el uso del Software Informático? √ No se tiene conocimiento de algún instructivo por parte del personal que maneja el sistema. 8 ¿Existen políticas para la seguridad del Sistema Informático? √ 9 ¿El sistema Informático cuenta con licencia? √ El sistema fue proporcionado por la empresa creadora del Sistema Informático y el soporte técnico es dado por ellos de igual manera. 10 ¿Existe un organigrama con la estructura del área de Informática? √ No hay un área de Informática, es por ello que no se cuenta con tal estructura. Realizado por: Verónipa Peñafiel Fecha: 10/01/2018 Supervisado por: Esperanza Quimbiamba Fecha: 16/01/2018 1.4.EVALUACIÓN DE RIESGOS Amenazas  Poca restricción en el acceso a las diferentes aplicaciones y programas que posee la empresa.  Debido a la poca restricción que existe, los datos ingresados por los empleados en las aplicaciones o programas pueden ser incorrectos, incompletos, duplicados o no ingresado.  La estructura organizacional del departamento de sistemas y los procedimientos operativos no garantizan un ambiente de procesamiento de datos apropiado para preparar información confiable.  Los programadores pueden realizar cambios incorrectos o no autorizados en el software de aplicación  Posibles fallos en la conectividad de la red de datos e internet
 Inexistencia de las debidas barreras de seguridad en el software. Riesgos  Pérdida de datos  Información errónea  Daños en el hardware  Pérdidas económicas  Pérdida de credibilidad  Servidor fuera de servicio  Destrucción de información confidencial  Fuga de información  Incendio en el centro de cómputo  Falta de disponibilidad de aplicaciones críticas
Matriz de evaluación del riesgo N° Descripción Baja Media Alta Leve Moderado Catastrófico R1 Pérdida de datos X X R2 Información errónea X X R3 Daños en el hardware X X R4 Pérdidas económicas X X R5 Pérdida de credibilidad X X R6 Servidor fuera de servicio X X R7 Destrucción de información confidencial X X R8 Fuga de información X X R9 Incendio en el centro de cómputo X X R10 Falta de disponibilidad de aplicaciones críticas X X Probabilidad Impacto
Matriz de probabilidad de impacto Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso Alto Zona de Riesgo Zona de riesgo Zona de riesgo Alto 61-100% Moderado Importante Inaceptable 61-100% Medio Zona de riesgo Zona de riesgo Zona de riesgo Medio 31-60% Tolerable Moderado Importante 31-60% Bajo Zona de riesgo Zona de riesgo Zona de riesgo Bajo 0-30% Aceptable Tolerable Moderado 0-30% Leve Moderado Catastrófico Leve ModeradoCatastrófico Escala de probabilidad: Frecuencia con la que se presenta el riesgo * Bajo: Cuando el riesgo se presenta esporádicamente 1 0 2 veces en el año Medio: Cuando el riesgos se presenta cada mes Alto: Cuando el riesgo se presenta todas las semanas Escala de impacto: Que puedan llegar a causar si llegara a concretarse. Leve: Cuando el riesgo afecta a una sola persona o dependencia de la organización Moderado: Cuando el riesgo afecta a un grupo de personas o a toda una dependencia Catastrófico: Cuando se paraliza completamente la actividad en la organización IMPACTO P R O B A B I L I D A D IMPACTO R1 R5, R7, R9 R4R10 R3 P R O B A B I L I D A D R2, R8 R6
1.5.DESARROLLO DE LA ESTRATEGIA DE LA AUDITORÍA Para la evaluación del Área de Informática se llevarán a cabo las siguientes actividades: • Solicitud de los estándares utilizados y programa de trabajo • Aplicación del cuestionario al personal • Análisis y evaluación de la información • Elaboración del informe para la evaluación de los sistemas en operación se llevarán a cabo las siguientes actividades: o Solicitud del análisis y diseño de los sistemas en desarrollo y en operación o Solicitud de la documentación de los sistemas en operación (manuales técnicos, de operación del usuario, diseño de archivos y programas) o Recopilación y análisis de los procedimientos administrativos de cada sistema (flujo de información, formatos, reportes y consultas) o Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos o Análisis del avance de los proyectos en desarrollo, prioridades y personal asignado o Entrevista con los usuarios de los sistemas o Evaluación directa de la información obtenida contra las necesidades y requerimientos del usuario o Análisis objetivo de la estructuración y flujo de los programas o Análisis y evaluación de la información recopilada o Elaboración del informe
1.6.ESTABLECIMIENTO DE TÉRMINOS DE REFERENCIA TERMINOS DE REFERENCIA CONTRATACION CONSULTORIA AUDIPOOL “Análisis de Vulnerabilidades de Seguridad Informática del Sistema de Expediente Digital Interinstitucional (SEDI)”. I. DATOS GENERALES 1. Nombre del Programa: Programa de Apoyo a la Modernización de la Administración de la COMPAÑÍA AGRICOLA SAN BLAS AGROSER CIA LTDA 2. Sub-Programa o Componente: Red Integrada De Información 3. Título de la Consultoría: Consultoría AUDIPOOL “Análisis de Vulnerabilidades de Seguridad Informática del Sistema de Expediente Digital Interinstitucional (SEDI)” Ejecutor: Componente Común Red Integrada de Información II. ANTECEDENTES Y ALCANCE DE LA CONSULTORÍA El objetivo del Programa de Apoyo a la Modernización de la Administración de la COMPAÑÍA AGRICOLA SAN BLAS AGROSER CIA LTDA, es el fortalecimiento de los sistemas informáticos y la protección a estos. III. OBJETIVO DE LA CONSULTORIA El objetivo principal de la presente consultoría es realizar un diagnóstico de su sistema de seguridad informática, para lo cual se deberá efectuar un análisis y evaluación de los diferentes elementos de la red tales como firewalls, servidores de datos, servidores de correo, servidores DNS, routers, switches, etc.; a fin de detectar las vulnerabilidades que pueden ser vistas y explotadas desde el Internet o accesando un punto de la red interna, ya sea por individuos no autorizados, hackers, agentes de información, antiguos empleados, etc. Esta evaluación debe proporcionar una visión clara y detallada de nuestro actual sistema de seguridad
incorporado en la estructura tecnológica y propondrá las mejoras necesarias a implementar con el fin de garantizar la confidencialidad, la integridad y la disponibilidad de la información. IV. ACTIVIDADES DEL CONSULTOR La evaluación deberá cubrir todos los elementos de la red a fin de identificar o determinar las debilidades que puedan poner en riesgo la información de las Instituciones. Derivado de estas evaluaciones el Consultor deberá proporcionar propuestas y recomendaciones para minimizar dichos riesgos y proponer, mejoras o cambios a las políticas de seguridad las cuales deberán quedar plasmadas en un plan de implantación. La evaluación en mención deberá cubrir al menos los siguientes elementos: • Análisis externo de la red interinstitucional (acceso por Internet). • Análisis del SEDI y el acceso a las bases de datos, así como cualquier aplicación que utilice la infraestructura del SEDI. • Servidores y puertos de acceso. • Análisis de las contraseñas. • Análisis de la red local. • Análisis de la red inalámbrica. V. CALIFICACIONES DEL CONSULTOR Para el desarrollo de la consultoría se ha definido el siguiente perfil del consultor: Estudios Profesional Universitario en materia de Computación o Sistemas de Información, con grado mínimo de Licenciatura. Experiencia a) Experiencia General, mínima diez años. b) Experiencia amplia, suficiente y comprobable, por lo menos 2 consultorías en proyectos similares en ambientes de más de 50 usuarios, cobertura nacional y con accesos Web, en la realización de pruebas de penetración, utilización de herramientas avanzadas para el análisis y evaluación de vulnerabilidades internas y externas de los sistemas
computacionales y la aplicación de metodologías y estándares internacionalmente reconocidos, por ejemplo los estándares ISO. c) Por lo menos 3 cursos en Seguridad Informática, Pruebas de Penetración, Hacking, Tráfico de datos, sistemas operativos; protocolos, arquitectura, topologías de red, estándares y/o políticas internacionales en materia de Seguridad Informática, Computación forense, Auditoria de Sistemas. d) Deberá tener por lo menos (1) certificación internacional en seguridad que lo acrediten, tales como CISSP, CISA, CISM, GIAC, entre otros. e) Experiencia en coordinación de proyectos de Tecnologías de Información entre 2 o más Instituciones. f) Experiencia en por lo menos 3 proyectos con fondos de cooperación internacional. VI. RESULTADOS O PRODUCTOS ESPERADOS Como mínimo deberán proporcionarse los siguientes productos: o Plan de Trabajo o Evaluación de las vulnerabilidades de los diferentes elementos de la red y/o sistemas, identificando debilidades de configuración que puedan ser explotadas. o Diagrama de la topología de la red en el cual se presenten las debilidades identificadas para cada uno de los componentes principales de la red. o Análisis, categorización y correlación de las debilidades explotables basadas en el impacto potencial y posibilidad de ocurrencia. o Informe ejecutivo que describa la situación encontrada, identificación de los riesgos a que se está expuesto priorizando las recomendaciones para mitigar y/o eliminar las debilidades detectadas. VII. PLAZO Y LUGAR DE TRABAJO Su sede será la ciudad de Ibarra, teniendo que movilizarse los cantones de San Blas, Otavalo y Atuntaqui la consultora será contratada por 26 días.
VIII. COORDINACION, SUPERVISION E INFORMES La supervisión de las actividades y la validación de los productos del Consultor será responsabilidad del Gerente del SEDI y del Comité Informático Interinstitucional. Los derechos de propiedad, derechos de autor y demás derechos de la naturaleza que fueren sobre cualquier material producido en el desarrollo de la consultoría, corresponden exclusivamente al contratante. 1.7.PROGRAMAS DE AUDITORÍA FASE ACTIVIDAD HORAS ESTIMADAS I VISITA PRELIMINAR 8 horas · Solicitud de Manuales y Documentaciones. · Elaboración de los cuestionarios. · Recopilación de la información organizacional: estructura orgánica, recursos humanos, presupuestos II DESARROLLO DE LA AUDITORIA 32 horas · Aplicación del cuestionario al personal. · Entrevistas a líderes y usuarios mas relevantes de la dirección. · Análisis de las claves de acceso,control, seguridad, confiabilidad y respaldos. · Evaluación de políticas y procedimientos. .Evaluación del diseño lógico de los sistemas .Evaluación de las medidas de seguridad. .Controles Manuales .Controles Automáticos .Controles Preventivos Controles Detectivos .Controles Correctivos III REVISION Y PRE-INFORME 15 horas · Revisión de los papeles de trabajo. · Determinación del Diagnostico e Implicancias. · Elaboración de la Carta de Gerencia. · Elaboración del Borrador. IV INFORME 4 horas · Elaboración y presentación del Informe
1.8.CRONOGRAMA ACTIVIDADES 02–enero 03-enero 04-enero 05-enero 08-enero 09-enero 10-enero 11-enero 12-enero 15-enero 16-enero 17-enero 18-enero 19-enero 22-enero 23-enero 24-enero 25-enero 26-enero Planeación e identificación de los riesgos Conocimiento del negocio Identificación aspectos relevantes Estrategias de Auditoria Estrategia y evaluación de riesgos Evaluar riesgos Realizar recorridos Diseñar procedimientos Ejecución Pruebas de control interno Riesgos en procesos y procedimientos Informes de control interno Conclusión y Reporte Revisión de aplicaciones Observación de auditoria Revisión final y reportes Gestión de la Auditoria Reuniones de avance Presentación al directorio o comité
Auditoria de-sistemas

Recomendados

Auditoria en un Centro de Computo
Auditoria en un Centro de ComputoAuditoria en un Centro de Computo
Auditoria en un Centro de Computo1416nb
 
Business Case IT solution alternatives
Business Case IT solution alternativesBusiness Case IT solution alternatives
Business Case IT solution alternativestecnologia13579
 
Auditoria a un sistema de computo
Auditoria a un sistema de computoAuditoria a un sistema de computo
Auditoria a un sistema de computoDani Romero Cruz
 
Cuestionario, checklist, inspecccion, entrevista
Cuestionario, checklist, inspecccion, entrevistaCuestionario, checklist, inspecccion, entrevista
Cuestionario, checklist, inspecccion, entrevistaHildaMarroquin91
 
Gerencia de sistemas roxaca c.a.
Gerencia de sistemas roxaca c.a.Gerencia de sistemas roxaca c.a.
Gerencia de sistemas roxaca c.a.dianca
 
Propuestaproyecto
PropuestaproyectoPropuestaproyecto
Propuestaproyectoagca12
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaAmbar Lopez
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoriacesar209935
 

Recomendados

Auditoria en un Centro de Computo
Auditoria en un Centro de ComputoAuditoria en un Centro de Computo
Auditoria en un Centro de Computo1416nb
 
Business Case IT solution alternatives
Business Case IT solution alternativesBusiness Case IT solution alternatives
Business Case IT solution alternativestecnologia13579
 
Auditoria a un sistema de computo
Auditoria a un sistema de computoAuditoria a un sistema de computo
Auditoria a un sistema de computoDani Romero Cruz
 
Cuestionario, checklist, inspecccion, entrevista
Cuestionario, checklist, inspecccion, entrevistaCuestionario, checklist, inspecccion, entrevista
Cuestionario, checklist, inspecccion, entrevistaHildaMarroquin91
 
Gerencia de sistemas roxaca c.a.
Gerencia de sistemas roxaca c.a.Gerencia de sistemas roxaca c.a.
Gerencia de sistemas roxaca c.a.dianca
 
Propuestaproyecto
PropuestaproyectoPropuestaproyecto
Propuestaproyectoagca12
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaAmbar Lopez
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoriacesar209935
 
Propuesta de auditoria sistemas entrega
Propuesta de auditoria sistemas entregaPropuesta de auditoria sistemas entrega
Propuesta de auditoria sistemas entregaDahiana Londoño Montealegre
 
Auditoria informática
Auditoria informáticaAuditoria informática
Auditoria informáticaEdiwson Fernando Rodriguez Diaz
 
Binder1
Binder1Binder1
Binder1ANSWERSPT
 
Actividad itil caso estudio1
Actividad itil caso estudio1Actividad itil caso estudio1
Actividad itil caso estudio1Yimy Pérez Medina
 
Administracion De Centro De Computo 1196127040455242 4
Administracion De Centro De Computo 1196127040455242 4Administracion De Centro De Computo 1196127040455242 4
Administracion De Centro De Computo 1196127040455242 4yeseniasarango
 
Auditoria compumax
Auditoria compumaxAuditoria compumax
Auditoria compumaxEduardo S de Loera
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaAmbar Lopez
 
Sistemas y Soluciones Informe Tecnico
Sistemas y Soluciones Informe TecnicoSistemas y Soluciones Informe Tecnico
Sistemas y Soluciones Informe TecnicoGio Tabares
 
El Auditor y la Organización.pdf
El Auditor y la Organización.pdfEl Auditor y la Organización.pdf
El Auditor y la Organización.pdfPabloFloresJara1
 
Intelligence Consulting Group Portafolio de Servicios
Intelligence Consulting Group Portafolio de ServiciosIntelligence Consulting Group Portafolio de Servicios
Intelligence Consulting Group Portafolio de ServiciosCentro de Estudios Internacionales sas
 
Info@uditor S.R.L. Análisis FODA
Info@uditor S.R.L. Análisis FODAInfo@uditor S.R.L. Análisis FODA
Info@uditor S.R.L. Análisis FODAFausto Hilario
 
Info@uditor s.r.l Analisis.FODA
Info@uditor s.r.l Analisis.FODAInfo@uditor s.r.l Analisis.FODA
Info@uditor s.r.l Analisis.FODAFausto Hilario
 
Marina mallol.-auditoria de-sistemas_de_informacion-auditoria_informatica
Marina mallol.-auditoria de-sistemas_de_informacion-auditoria_informaticaMarina mallol.-auditoria de-sistemas_de_informacion-auditoria_informatica
Marina mallol.-auditoria de-sistemas_de_informacion-auditoria_informaticamarimallol
 
Auditoria informática
Auditoria informáticaAuditoria informática
Auditoria informáticaAlinaBoscan
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasAnthony Guevara
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasAnthony Guevara
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasBella Loor
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasAnthony Guevara
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasAnthony Guevara
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasAnthony Guevara
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasAnthony Guevara
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasAnthony Guevara
 

Más contenido relacionado

La actualidad más candente

Administracion De Centro De Computo 1196127040455242 4
Administracion De Centro De Computo 1196127040455242 4Administracion De Centro De Computo 1196127040455242 4
Administracion De Centro De Computo 1196127040455242 4yeseniasarango
 

La actualidad más candente (6)

Propuesta de auditoria sistemas entrega
Propuesta de auditoria sistemas entregaPropuesta de auditoria sistemas entrega
Propuesta de auditoria sistemas entrega
 
Auditoria informática
Auditoria informáticaAuditoria informática
Auditoria informática
 
Binder1
Binder1Binder1
Binder1
 
Actividad itil caso estudio1
Actividad itil caso estudio1Actividad itil caso estudio1
Actividad itil caso estudio1
 
Administracion De Centro De Computo 1196127040455242 4
Administracion De Centro De Computo 1196127040455242 4Administracion De Centro De Computo 1196127040455242 4
Administracion De Centro De Computo 1196127040455242 4
 
Auditoria compumax
Auditoria compumaxAuditoria compumax
Auditoria compumax
 

Similar a Auditoria de-sistemas

Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaAmbar Lopez
 
Sistemas y Soluciones Informe Tecnico
Sistemas y Soluciones Informe TecnicoSistemas y Soluciones Informe Tecnico
Sistemas y Soluciones Informe TecnicoGio Tabares
 
El Auditor y la Organización.pdf
El Auditor y la Organización.pdfEl Auditor y la Organización.pdf
El Auditor y la Organización.pdfPabloFloresJara1
 
Info@uditor S.R.L. Análisis FODA
Info@uditor S.R.L. Análisis FODAInfo@uditor S.R.L. Análisis FODA
Info@uditor S.R.L. Análisis FODAFausto Hilario
 
Info@uditor s.r.l Analisis.FODA
Info@uditor s.r.l Analisis.FODAInfo@uditor s.r.l Analisis.FODA
Info@uditor s.r.l Analisis.FODAFausto Hilario
 
Marina mallol.-auditoria de-sistemas_de_informacion-auditoria_informatica
Marina mallol.-auditoria de-sistemas_de_informacion-auditoria_informaticaMarina mallol.-auditoria de-sistemas_de_informacion-auditoria_informatica
Marina mallol.-auditoria de-sistemas_de_informacion-auditoria_informaticamarimallol
 
Auditoria informática
Auditoria informáticaAuditoria informática
Auditoria informáticaAlinaBoscan
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasBella Loor
 
presentación POWEPOINT SERGEN S.R.L ..pptx
presentación POWEPOINT SERGEN S.R.L ..pptxpresentación POWEPOINT SERGEN S.R.L ..pptx
presentación POWEPOINT SERGEN S.R.L ..pptxnancygonzalez108055
 
Auditoria De Sistemas Sesion 3
Auditoria De Sistemas Sesion 3Auditoria De Sistemas Sesion 3
Auditoria De Sistemas Sesion 3Teresa Cossio
 

Similar a Auditoria de-sistemas (20)

Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Sistemas y Soluciones Informe Tecnico
Sistemas y Soluciones Informe TecnicoSistemas y Soluciones Informe Tecnico
Sistemas y Soluciones Informe Tecnico
 
El Auditor y la Organización.pdf
El Auditor y la Organización.pdfEl Auditor y la Organización.pdf
El Auditor y la Organización.pdf
 
Intelligence Consulting Group Portafolio de Servicios
Intelligence Consulting Group Portafolio de ServiciosIntelligence Consulting Group Portafolio de Servicios
Intelligence Consulting Group Portafolio de Servicios
 
Info@uditor S.R.L. Análisis FODA
Info@uditor S.R.L. Análisis FODAInfo@uditor S.R.L. Análisis FODA
Info@uditor S.R.L. Análisis FODA
 
Info@uditor s.r.l Analisis.FODA
Info@uditor s.r.l Analisis.FODAInfo@uditor s.r.l Analisis.FODA
Info@uditor s.r.l Analisis.FODA
 
Marina mallol.-auditoria de-sistemas_de_informacion-auditoria_informatica
Marina mallol.-auditoria de-sistemas_de_informacion-auditoria_informaticaMarina mallol.-auditoria de-sistemas_de_informacion-auditoria_informatica
Marina mallol.-auditoria de-sistemas_de_informacion-auditoria_informatica
 
Auditoria informática
Auditoria informáticaAuditoria informática
Auditoria informática
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria informatica.luis-hernandez
Auditoria informatica.luis-hernandezAuditoria informatica.luis-hernandez
Auditoria informatica.luis-hernandez
 
Leblanc jose
Leblanc joseLeblanc jose
Leblanc jose
 
presentación POWEPOINT SERGEN S.R.L ..pptx
presentación POWEPOINT SERGEN S.R.L ..pptxpresentación POWEPOINT SERGEN S.R.L ..pptx
presentación POWEPOINT SERGEN S.R.L ..pptx
 
Auditoria De Sistemas Sesion 3
Auditoria De Sistemas Sesion 3Auditoria De Sistemas Sesion 3
Auditoria De Sistemas Sesion 3
 

Último

Mapa Conceptual relacionado con la Gerencia Industrial, su ámbito de aplicaci...
Mapa Conceptual relacionado con la Gerencia Industrial, su ámbito de aplicaci...Mapa Conceptual relacionado con la Gerencia Industrial, su ámbito de aplicaci...
Mapa Conceptual relacionado con la Gerencia Industrial, su ámbito de aplicaci...antonellamujica
 
Apuntadorkeurjeh4jj4by un 4hh4j4u4jj4h4y4jh4
Apuntadorkeurjeh4jj4by un 4hh4j4u4jj4h4y4jh4Apuntadorkeurjeh4jj4by un 4hh4j4u4jj4h4y4jh4
Apuntadorkeurjeh4jj4by un 4hh4j4u4jj4h4y4jh4hassanbadredun
 
PLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docx
PLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docxPLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docx
PLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docxwilliamzaveltab
 
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHMARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHkarlinda198328
 
TEMA N° 3.2 DISENO DE ESTRATEGIA y ANALISIS FODA
TEMA N° 3.2 DISENO DE ESTRATEGIA y ANALISIS FODATEMA N° 3.2 DISENO DE ESTRATEGIA y ANALISIS FODA
TEMA N° 3.2 DISENO DE ESTRATEGIA y ANALISIS FODACarmeloPrez1
 
LOS MODELOS DE LA COMUNICACIÓN HUMANA 1° ADM. DE EMPRESAS
LOS MODELOS DE LA COMUNICACIÓN HUMANA 1° ADM. DE EMPRESASLOS MODELOS DE LA COMUNICACIÓN HUMANA 1° ADM. DE EMPRESAS
LOS MODELOS DE LA COMUNICACIÓN HUMANA 1° ADM. DE EMPRESASemilyacurio2005
 
Trabajo de Sifilisn…………………………………………………..
Trabajo de Sifilisn…………………………………………………..Trabajo de Sifilisn…………………………………………………..
Trabajo de Sifilisn…………………………………………………..JoseRamirez247144
 
AUDITORIAS en enfermeria hospitalaria .pptx
AUDITORIAS en enfermeria hospitalaria .pptxAUDITORIAS en enfermeria hospitalaria .pptx
AUDITORIAS en enfermeria hospitalaria .pptxMatiasGodoy33
 
diseño de redes en la cadena de suministro.pptx
diseño de redes en la cadena de suministro.pptxdiseño de redes en la cadena de suministro.pptx
diseño de redes en la cadena de suministro.pptxjuanleivagdf
 
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESACOPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESADanielAndresBrand
 
ISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarizaciónISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarizaciónjesuscub33
 
AFILIACION CAJA NACIONAL DE SALUD WOM 1 .pdf
AFILIACION CAJA NACIONAL DE SALUD WOM 1 .pdfAFILIACION CAJA NACIONAL DE SALUD WOM 1 .pdf
AFILIACION CAJA NACIONAL DE SALUD WOM 1 .pdfOdallizLucanaJalja1
 
TEMA 6.- MAXIMIZACION DE LA CONDUCTA DEL PRODUCTOR.pptx
TEMA 6.- MAXIMIZACION DE LA CONDUCTA DEL PRODUCTOR.pptxTEMA 6.- MAXIMIZACION DE LA CONDUCTA DEL PRODUCTOR.pptx
TEMA 6.- MAXIMIZACION DE LA CONDUCTA DEL PRODUCTOR.pptxFrancoSGonzales
 
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsxINFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsxCORPORACIONJURIDICA
 
Continex para educación, Portafolio de servicios
Continex para educación, Portafolio de serviciosContinex para educación, Portafolio de servicios
Continex para educación, Portafolio de serviciosFundación YOD YOD
 
Teleconferencia Accionistas Q1 2024 . Primer Trimestre-
Teleconferencia Accionistas Q1 2024 . Primer Trimestre-Teleconferencia Accionistas Q1 2024 . Primer Trimestre-
Teleconferencia Accionistas Q1 2024 . Primer Trimestre-ComunicacionesIMSA
 
EGLA CORP - Honduras Abril 27 , 2024.pptx
EGLA CORP - Honduras Abril 27 , 2024.pptxEGLA CORP - Honduras Abril 27 , 2024.pptx
EGLA CORP - Honduras Abril 27 , 2024.pptxDr. Edwin Hernandez
 
Efectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptxEfectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptxCONSTRUCTORAEINVERSI3
 
IDENTIDAD Y MANUAL DE MARCA PARA BRANDING
IDENTIDAD Y MANUAL DE MARCA PARA BRANDINGIDENTIDAD Y MANUAL DE MARCA PARA BRANDING
IDENTIDAD Y MANUAL DE MARCA PARA BRANDINGAndresGEscobar
 

Último (20)

Mapa Conceptual relacionado con la Gerencia Industrial, su ámbito de aplicaci...
Mapa Conceptual relacionado con la Gerencia Industrial, su ámbito de aplicaci...Mapa Conceptual relacionado con la Gerencia Industrial, su ámbito de aplicaci...
Mapa Conceptual relacionado con la Gerencia Industrial, su ámbito de aplicaci...
 
Apuntadorkeurjeh4jj4by un 4hh4j4u4jj4h4y4jh4
Apuntadorkeurjeh4jj4by un 4hh4j4u4jj4h4y4jh4Apuntadorkeurjeh4jj4by un 4hh4j4u4jj4h4y4jh4
Apuntadorkeurjeh4jj4by un 4hh4j4u4jj4h4y4jh4
 
PLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docx
PLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docxPLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docx
PLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docx
 
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHMARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
 
Walmectratoresagricolas Trator NH TM7040.pdf
Walmectratoresagricolas Trator NH TM7040.pdfWalmectratoresagricolas Trator NH TM7040.pdf
Walmectratoresagricolas Trator NH TM7040.pdf
 
TEMA N° 3.2 DISENO DE ESTRATEGIA y ANALISIS FODA
TEMA N° 3.2 DISENO DE ESTRATEGIA y ANALISIS FODATEMA N° 3.2 DISENO DE ESTRATEGIA y ANALISIS FODA
TEMA N° 3.2 DISENO DE ESTRATEGIA y ANALISIS FODA
 
LOS MODELOS DE LA COMUNICACIÓN HUMANA 1° ADM. DE EMPRESAS
LOS MODELOS DE LA COMUNICACIÓN HUMANA 1° ADM. DE EMPRESASLOS MODELOS DE LA COMUNICACIÓN HUMANA 1° ADM. DE EMPRESAS
LOS MODELOS DE LA COMUNICACIÓN HUMANA 1° ADM. DE EMPRESAS
 
Trabajo de Sifilisn…………………………………………………..
Trabajo de Sifilisn…………………………………………………..Trabajo de Sifilisn…………………………………………………..
Trabajo de Sifilisn…………………………………………………..
 
AUDITORIAS en enfermeria hospitalaria .pptx
AUDITORIAS en enfermeria hospitalaria .pptxAUDITORIAS en enfermeria hospitalaria .pptx
AUDITORIAS en enfermeria hospitalaria .pptx
 
diseño de redes en la cadena de suministro.pptx
diseño de redes en la cadena de suministro.pptxdiseño de redes en la cadena de suministro.pptx
diseño de redes en la cadena de suministro.pptx
 
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESACOPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
 
ISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarizaciónISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarización
 
AFILIACION CAJA NACIONAL DE SALUD WOM 1 .pdf
AFILIACION CAJA NACIONAL DE SALUD WOM 1 .pdfAFILIACION CAJA NACIONAL DE SALUD WOM 1 .pdf
AFILIACION CAJA NACIONAL DE SALUD WOM 1 .pdf
 
TEMA 6.- MAXIMIZACION DE LA CONDUCTA DEL PRODUCTOR.pptx
TEMA 6.- MAXIMIZACION DE LA CONDUCTA DEL PRODUCTOR.pptxTEMA 6.- MAXIMIZACION DE LA CONDUCTA DEL PRODUCTOR.pptx
TEMA 6.- MAXIMIZACION DE LA CONDUCTA DEL PRODUCTOR.pptx
 
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsxINFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
 
Continex para educación, Portafolio de servicios
Continex para educación, Portafolio de serviciosContinex para educación, Portafolio de servicios
Continex para educación, Portafolio de servicios
 
Teleconferencia Accionistas Q1 2024 . Primer Trimestre-
Teleconferencia Accionistas Q1 2024 . Primer Trimestre-Teleconferencia Accionistas Q1 2024 . Primer Trimestre-
Teleconferencia Accionistas Q1 2024 . Primer Trimestre-
 
EGLA CORP - Honduras Abril 27 , 2024.pptx
EGLA CORP - Honduras Abril 27 , 2024.pptxEGLA CORP - Honduras Abril 27 , 2024.pptx
EGLA CORP - Honduras Abril 27 , 2024.pptx
 
Efectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptxEfectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptx
 
IDENTIDAD Y MANUAL DE MARCA PARA BRANDING
IDENTIDAD Y MANUAL DE MARCA PARA BRANDINGIDENTIDAD Y MANUAL DE MARCA PARA BRANDING
IDENTIDAD Y MANUAL DE MARCA PARA BRANDING
 

Auditoria de-sistemas

  • 3. I. PLANIFICACIÓN 1.1.PLANIFICACIÓN PREVIA Alcance de trabajo La auditoría se realizará sobre los sistemas informáticos de computadoras que pertenecen a la red interna de la empresa. Objetivo general Verificar que los sistemas y procesos informáticos de las empresas funcionen adecuadamente para las funciones que han sido programados y sus activos digitales se encuentren debidamente protegidos, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. Objetivos específicos  Emitir opinión sobre la idoneidad del sistema de control de accesos de la aplicación.  Verificar el grado de fiabilidad de la información.  Llevar a cabo la revisión de los métodos utilizados para el desarrollo del sistema computacional de una empresa  Evaluación del Control Interno de las Aplicaciones, el cual debe permitir el diseño de nuevos programas desarrollados a la medida de la empresa.  Evaluación de todo sistema computacional, en cuanto a la funcionalidad y objetividad de este, dado que este debe ser aprobado por el usuario; quien será el responsable de su mantenimiento y desarrollo.  Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del departamento de cómputo.
  • 4. Actividad de riesgo Se evaluará la forma de adquisición de nuevos aplicativos de software. Los procedimientos para adquirirlos deben estar regulados y aprobados en base a los estándares de la empresa y los requerimientos mínimos para ejecutar los programas base. Dentro de los riesgos posibles se contemplarán huecos de seguridad del propio software y la correcta configuración y/o actualización de los equipos críticos como el cortafuegos, la eficiencia del sistema informático y la gestión de los recursos informáticos Ambiente de control Agrícola San Blas fue constituida en la parroquia de San Blas que pertenece al Cantón Urcuquí, provincia de Imbabura ubicada al nor-occidente de la ciudad de Ibarra; el 1 de diciembre de 1998 por el Ing. Gustavo Moreta. Es una empresa que se dedica a la comercialización de productos agroquímicos; actualmente cuenta con cinco puntos de venta los cuales están ubicados en Ibarra, Otavalo, Atuntaqui y San Blas. Agrícola San Blas fundamenta su cultura organizacional en los siguientes valores:  Honestidad  Orden  Puntualidad  Responsabilidad  Cortesía  Capacitación  Comunicación
  • 5. Estos valores son practicados desde la gerencia quien dentro de su filosofía tiene como eje fundamental satisfacer al cliente, ofrecer servicios y productos de calidad para lo cual cuenta con personal altamente calificado quien se va formando en los valores antes mencionados. Misión. “Somos una compañía dedicada a la comercialización de insumos agrícolas y pecuarios de calidad, buscando satisfacer las necesidades de nuestros clientes con una asesoría técnica y los servicios vinculados al manejo responsable de los mismos, que se sustenta en el desarrollo integral de nuestros colaboradores y la mejora continua de los procesos. Manteniendo siempre un ambiente de trabajo de equipo, limpio, ordenado, seguro y con un profundo sentido de respeto y de responsabilidad social”. Visión “En el 2020, seremos una compañía de reconocido prestigio y liderazgo en la provincia de Imbabura y del norte del país con excelencia en la oferta de servicios, e insumos agrícolas, comprometidos con el servicio a los productores y el medio ambiente con características administrativas y financieras de una compañía totalmente moderna que proyecta confianza del trabajo y aceptación del mercado”.
  • 6. Estructura organizacional Políticas de la empresa  Cultura empresarial enfocada al buen trato hacia el cliente.  Practica de valores, puntualidad, seriedad, honradez, respeto hacia el cliente.  Ofrecer productos de calidad.  Compensaciones al buen desempeño para conseguir trabajadores comprometidos.  Adecuada selección del personal.  Capacitación constante al personal técnico. 1.2.INFORMACIÓN preliminar Se realizará una entrevista al Gerente para conocer de forma general el funcionamiento de la empresa. GERENTE GENERAL DEPARTAMENTO FINANCIERO CONTABILIDAD CARTERA DEPARTAMENTO DE COMERCIALIZACIÓN COMPRAS VENTAS MATRIZ SUCURSALES DEPARTAMENTO DE OPERACIONES MATRIZ SUCURSALES DEPARTAMENTO DE SISTEMAS DEPARTAMENTO DE TALENTO HUMANO SECRETARIA
  • 7. Información general. Estructura del centro de cómputo En el departamento de sistemas existen puestos genéricos definidos los cuales son tomados por la organización y adaptados según sus necesidades. Se analizará la existencia de los siguientes perfiles: Profesión Actividades y conocimientos deseables Informático Generalista Con experiencia amplia en ramas distintas. Deseable que su labor se haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas. Técnico de Sistemas Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación. 1.3.COMPRENSIÓN DEL CONTROL INTERNO Objetivos del control  Se hará una revisión de los manuales de políticas de la empresa, que los procedimientos de estos se encuentren actualizados y que sean claros y que el personal los comprenda.  Debe existir en la Empresa un programa de seguridad, para la evaluación de los riesgos que puedan existir, respecto a la seguridad del mantenimiento de los equipos, programas y datos.
  • 8. Procedimientos de control Se verificará la existencia de los siguientes controles:  El hardware debe estar correctamente identificado y documentado.  Se debe contar con todas las órdenes de compra y facturas con el fin de contar con el respaldo de las garantías ofrecidas por los fabricantes.  Se debe contar con un plan de mantenimiento y registro de fechas, problemas, soluciones y próximo mantenimiento propuesto.  Cada usuario deberá contar con su nombre de usuario y contraseña para acceder a los equipos.  Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y alternando mayúsculas y minúsculas).  Los usuarios se desloguearan después de 5 minutos sin actividad.  Los nuevos usuarios deberán ser autorizados mediante contratos de confidencialidad y deben mantenerse luego de finalizada la relación laboral.  Uso restringido de medios removibles (USB, CD-ROM, discos externos etc).
  • 9. Cuestionarios de control interno FIRMA AUDITORA “AUDIPOL” CUESTIONARIO DE CONTROL INTERNO “APLICACIONES” Alcance: 01 de Enero al 31 de Diciembre del 2017 N° Pregunta Si No Observaciones 1 La empresa cuenta con un Departamento de Informática √ La empresa cuenta con un departamento de sistemas pero no está adecuadamente estructurado. 2 ¿Se efectúan respaldos de la información? √ ¿Se ejerce control del Sistema Informático? √ No existe una persona que realice Controles con regularidad. 3 ¿Cuenta el sistema con claves de seguridad? √ 4 ¿Se realiza un adecuado mantenimiento al Sistema Informático? √ No hay el personal en la empresa para realizar el mantenimiento, según lo informado se debe llamar a la empresa que proporciono el Sistema Contable. 5 ¿El Sistema puede ser actualizado de acuerdo con los avances que se producen? √ 6 ¿El sistema cuenta con personal técnico que ayude cuando se produzcan inconvenientes? √ Como ya se mencionó la empresa no cuenta con este tipo de personal para realizar este tipo de trabajo, por las instalaciones.
  • 10. 7 ¿Existe un instructivo para el uso del Software Informático? √ No se tiene conocimiento de algún instructivo por parte del personal que maneja el sistema. 8 ¿Existen políticas para la seguridad del Sistema Informático? √ 9 ¿El sistema Informático cuenta con licencia? √ El sistema fue proporcionado por la empresa creadora del Sistema Informático y el soporte técnico es dado por ellos de igual manera. 10 ¿Existe un organigrama con la estructura del área de Informática? √ No hay un área de Informática, es por ello que no se cuenta con tal estructura. Realizado por: Verónipa Peñafiel Fecha: 10/01/2018 Supervisado por: Esperanza Quimbiamba Fecha: 16/01/2018 1.4.EVALUACIÓN DE RIESGOS Amenazas  Poca restricción en el acceso a las diferentes aplicaciones y programas que posee la empresa.  Debido a la poca restricción que existe, los datos ingresados por los empleados en las aplicaciones o programas pueden ser incorrectos, incompletos, duplicados o no ingresado.  La estructura organizacional del departamento de sistemas y los procedimientos operativos no garantizan un ambiente de procesamiento de datos apropiado para preparar información confiable.  Los programadores pueden realizar cambios incorrectos o no autorizados en el software de aplicación  Posibles fallos en la conectividad de la red de datos e internet
  • 11.  Inexistencia de las debidas barreras de seguridad en el software. Riesgos  Pérdida de datos  Información errónea  Daños en el hardware  Pérdidas económicas  Pérdida de credibilidad  Servidor fuera de servicio  Destrucción de información confidencial  Fuga de información  Incendio en el centro de cómputo  Falta de disponibilidad de aplicaciones críticas
  • 12. Matriz de evaluación del riesgo N° Descripción Baja Media Alta Leve Moderado Catastrófico R1 Pérdida de datos X X R2 Información errónea X X R3 Daños en el hardware X X R4 Pérdidas económicas X X R5 Pérdida de credibilidad X X R6 Servidor fuera de servicio X X R7 Destrucción de información confidencial X X R8 Fuga de información X X R9 Incendio en el centro de cómputo X X R10 Falta de disponibilidad de aplicaciones críticas X X Probabilidad Impacto
  • 13. Matriz de probabilidad de impacto Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso Alto Zona de Riesgo Zona de riesgo Zona de riesgo Alto 61-100% Moderado Importante Inaceptable 61-100% Medio Zona de riesgo Zona de riesgo Zona de riesgo Medio 31-60% Tolerable Moderado Importante 31-60% Bajo Zona de riesgo Zona de riesgo Zona de riesgo Bajo 0-30% Aceptable Tolerable Moderado 0-30% Leve Moderado Catastrófico Leve ModeradoCatastrófico Escala de probabilidad: Frecuencia con la que se presenta el riesgo * Bajo: Cuando el riesgo se presenta esporádicamente 1 0 2 veces en el año Medio: Cuando el riesgos se presenta cada mes Alto: Cuando el riesgo se presenta todas las semanas Escala de impacto: Que puedan llegar a causar si llegara a concretarse. Leve: Cuando el riesgo afecta a una sola persona o dependencia de la organización Moderado: Cuando el riesgo afecta a un grupo de personas o a toda una dependencia Catastrófico: Cuando se paraliza completamente la actividad en la organización IMPACTO P R O B A B I L I D A D IMPACTO R1 R5, R7, R9 R4R10 R3 P R O B A B I L I D A D R2, R8 R6
  • 14. 1.5.DESARROLLO DE LA ESTRATEGIA DE LA AUDITORÍA Para la evaluación del Área de Informática se llevarán a cabo las siguientes actividades: • Solicitud de los estándares utilizados y programa de trabajo • Aplicación del cuestionario al personal • Análisis y evaluación de la información • Elaboración del informe para la evaluación de los sistemas en operación se llevarán a cabo las siguientes actividades: o Solicitud del análisis y diseño de los sistemas en desarrollo y en operación o Solicitud de la documentación de los sistemas en operación (manuales técnicos, de operación del usuario, diseño de archivos y programas) o Recopilación y análisis de los procedimientos administrativos de cada sistema (flujo de información, formatos, reportes y consultas) o Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos o Análisis del avance de los proyectos en desarrollo, prioridades y personal asignado o Entrevista con los usuarios de los sistemas o Evaluación directa de la información obtenida contra las necesidades y requerimientos del usuario o Análisis objetivo de la estructuración y flujo de los programas o Análisis y evaluación de la información recopilada o Elaboración del informe
  • 15. 1.6.ESTABLECIMIENTO DE TÉRMINOS DE REFERENCIA TERMINOS DE REFERENCIA CONTRATACION CONSULTORIA AUDIPOOL “Análisis de Vulnerabilidades de Seguridad Informática del Sistema de Expediente Digital Interinstitucional (SEDI)”. I. DATOS GENERALES 1. Nombre del Programa: Programa de Apoyo a la Modernización de la Administración de la COMPAÑÍA AGRICOLA SAN BLAS AGROSER CIA LTDA 2. Sub-Programa o Componente: Red Integrada De Información 3. Título de la Consultoría: Consultoría AUDIPOOL “Análisis de Vulnerabilidades de Seguridad Informática del Sistema de Expediente Digital Interinstitucional (SEDI)” Ejecutor: Componente Común Red Integrada de Información II. ANTECEDENTES Y ALCANCE DE LA CONSULTORÍA El objetivo del Programa de Apoyo a la Modernización de la Administración de la COMPAÑÍA AGRICOLA SAN BLAS AGROSER CIA LTDA, es el fortalecimiento de los sistemas informáticos y la protección a estos. III. OBJETIVO DE LA CONSULTORIA El objetivo principal de la presente consultoría es realizar un diagnóstico de su sistema de seguridad informática, para lo cual se deberá efectuar un análisis y evaluación de los diferentes elementos de la red tales como firewalls, servidores de datos, servidores de correo, servidores DNS, routers, switches, etc.; a fin de detectar las vulnerabilidades que pueden ser vistas y explotadas desde el Internet o accesando un punto de la red interna, ya sea por individuos no autorizados, hackers, agentes de información, antiguos empleados, etc. Esta evaluación debe proporcionar una visión clara y detallada de nuestro actual sistema de seguridad
  • 16. incorporado en la estructura tecnológica y propondrá las mejoras necesarias a implementar con el fin de garantizar la confidencialidad, la integridad y la disponibilidad de la información. IV. ACTIVIDADES DEL CONSULTOR La evaluación deberá cubrir todos los elementos de la red a fin de identificar o determinar las debilidades que puedan poner en riesgo la información de las Instituciones. Derivado de estas evaluaciones el Consultor deberá proporcionar propuestas y recomendaciones para minimizar dichos riesgos y proponer, mejoras o cambios a las políticas de seguridad las cuales deberán quedar plasmadas en un plan de implantación. La evaluación en mención deberá cubrir al menos los siguientes elementos: • Análisis externo de la red interinstitucional (acceso por Internet). • Análisis del SEDI y el acceso a las bases de datos, así como cualquier aplicación que utilice la infraestructura del SEDI. • Servidores y puertos de acceso. • Análisis de las contraseñas. • Análisis de la red local. • Análisis de la red inalámbrica. V. CALIFICACIONES DEL CONSULTOR Para el desarrollo de la consultoría se ha definido el siguiente perfil del consultor: Estudios Profesional Universitario en materia de Computación o Sistemas de Información, con grado mínimo de Licenciatura. Experiencia a) Experiencia General, mínima diez años. b) Experiencia amplia, suficiente y comprobable, por lo menos 2 consultorías en proyectos similares en ambientes de más de 50 usuarios, cobertura nacional y con accesos Web, en la realización de pruebas de penetración, utilización de herramientas avanzadas para el análisis y evaluación de vulnerabilidades internas y externas de los sistemas
  • 17. computacionales y la aplicación de metodologías y estándares internacionalmente reconocidos, por ejemplo los estándares ISO. c) Por lo menos 3 cursos en Seguridad Informática, Pruebas de Penetración, Hacking, Tráfico de datos, sistemas operativos; protocolos, arquitectura, topologías de red, estándares y/o políticas internacionales en materia de Seguridad Informática, Computación forense, Auditoria de Sistemas. d) Deberá tener por lo menos (1) certificación internacional en seguridad que lo acrediten, tales como CISSP, CISA, CISM, GIAC, entre otros. e) Experiencia en coordinación de proyectos de Tecnologías de Información entre 2 o más Instituciones. f) Experiencia en por lo menos 3 proyectos con fondos de cooperación internacional. VI. RESULTADOS O PRODUCTOS ESPERADOS Como mínimo deberán proporcionarse los siguientes productos: o Plan de Trabajo o Evaluación de las vulnerabilidades de los diferentes elementos de la red y/o sistemas, identificando debilidades de configuración que puedan ser explotadas. o Diagrama de la topología de la red en el cual se presenten las debilidades identificadas para cada uno de los componentes principales de la red. o Análisis, categorización y correlación de las debilidades explotables basadas en el impacto potencial y posibilidad de ocurrencia. o Informe ejecutivo que describa la situación encontrada, identificación de los riesgos a que se está expuesto priorizando las recomendaciones para mitigar y/o eliminar las debilidades detectadas. VII. PLAZO Y LUGAR DE TRABAJO Su sede será la ciudad de Ibarra, teniendo que movilizarse los cantones de San Blas, Otavalo y Atuntaqui la consultora será contratada por 26 días.
  • 18. VIII. COORDINACION, SUPERVISION E INFORMES La supervisión de las actividades y la validación de los productos del Consultor será responsabilidad del Gerente del SEDI y del Comité Informático Interinstitucional. Los derechos de propiedad, derechos de autor y demás derechos de la naturaleza que fueren sobre cualquier material producido en el desarrollo de la consultoría, corresponden exclusivamente al contratante. 1.7.PROGRAMAS DE AUDITORÍA FASE ACTIVIDAD HORAS ESTIMADAS I VISITA PRELIMINAR 8 horas · Solicitud de Manuales y Documentaciones. · Elaboración de los cuestionarios. · Recopilación de la información organizacional: estructura orgánica, recursos humanos, presupuestos II DESARROLLO DE LA AUDITORIA 32 horas · Aplicación del cuestionario al personal. · Entrevistas a líderes y usuarios mas relevantes de la dirección. · Análisis de las claves de acceso,control, seguridad, confiabilidad y respaldos. · Evaluación de políticas y procedimientos. .Evaluación del diseño lógico de los sistemas .Evaluación de las medidas de seguridad. .Controles Manuales .Controles Automáticos .Controles Preventivos Controles Detectivos .Controles Correctivos III REVISION Y PRE-INFORME 15 horas · Revisión de los papeles de trabajo. · Determinación del Diagnostico e Implicancias. · Elaboración de la Carta de Gerencia. · Elaboración del Borrador. IV INFORME 4 horas · Elaboración y presentación del Informe
  • 19. 1.8.CRONOGRAMA ACTIVIDADES 02–enero 03-enero 04-enero 05-enero 08-enero 09-enero 10-enero 11-enero 12-enero 15-enero 16-enero 17-enero 18-enero 19-enero 22-enero 23-enero 24-enero 25-enero 26-enero Planeación e identificación de los riesgos Conocimiento del negocio Identificación aspectos relevantes Estrategias de Auditoria Estrategia y evaluación de riesgos Evaluar riesgos Realizar recorridos Diseñar procedimientos Ejecución Pruebas de control interno Riesgos en procesos y procedimientos Informes de control interno Conclusión y Reporte Revisión de aplicaciones Observación de auditoria Revisión final y reportes Gestión de la Auditoria Reuniones de avance Presentación al directorio o comité