tesis unprg
TRANSCRIPT
1
UNIVERSIDAD NACIONAL
“PEDRO RUIZ GALLO”
FACULTAD DE CIENCIAS FÍSICAS Y MATEMÁTICA ESCUELA
PROFESIONAL DE COMPUTACION E INFORMÁTICA
“AUDITORIA DE LOS SISTEMAS INFORMÁTICOS DE LA ESCUELA DE
POSTGRADO DE LA UNIVERSIDAD NACIONAL PEDRO RUIZ GALLO”
TESIS
presentado para optar el titulo profesional
INGENIERO EN COMPUTACION E INFORMATICA
AUTOR
BACHILLER VICTOR CARLOS QUIÑONES RADO.
ASESOR
ING. Mg. SC. PEDRO FIESTAS RODRIGUEZ.
LAMBAYEQUE – PERÚ
2008
2
INTRODUCCIONMediante la presente investigación he intentado determinar los diferentesproblemas que se presentan en la Unidad de Informática de la Escuela dePostgrado de la Universidad Nacional "Pedro Ruiz Gallo", ese trabajo lohe realizado aplicando una Auditoria Informática.
La importancia de nuestro trabajo estriba en que al haber observado quela Escuela de Postgrado de la Universidad Nacional "Pedro Ruiz Gallo" haido incrementado sus Sistemas informáticos, lo cual es una necesidad yexigencia de los tiempos de Globalización, para conseguir más eficienciay eficacia en los procesos de Gestión.
Al hacer el estudio se ha detectado una serie de problemas por falta decontrol en los Sistemas Informáticos, así tenemos:
1. Existencia de pérdida de información confidencial existente en laEscuela de Postgrado por falta de control de acceso a la Unidad deInformática de la Escuela de Postgrado.
2. Se producen deterioros de los equipos informáticos a manos de losusuarios, debido a que desconocen el reglamento de uso de equipoinformáticos dentro de la Unidad de Informática de la Escuela dePostgrado.
3. No existen medidas de prevención de catástrofes, dentro de laUnidad de Informática de la Escuela de Postgrado, por ejemplo,faltan equipos contra incendios
4. He constatado la desactualización del personal encargado de laconducción de la Unidad de Informática de la Escuela de Postgrado;
3
acarreando un deficiente servicio y no detectar a tiempo fallasproducidas en los equipos informáticos.
5. El MOF (Manual de Organización y Funciones) no contempla enforma detallada las responsabilidades del personal que labora en laUnidad de Informática de la Escuela de Postgrado, ello generairresponsabilidad en la conducción de la Unidad de Informática,como dar acceso a la información a personas ajenas a la Unidad deInformática.
6. Retrazo en la gestión de soluciones que ocasionan pérdidaseconómicas por transacciones inconclusas, pérdida o deterioro delos archivos de inventario o de otra información.
Frente a esta problemática es que planteamos algunas recomendacionescomo las siguientes:
1. Establecer en el Manual de Organización y Funciones de la Escuelade Postgrado las funciones que le compete a la Unidad deInformática y que se instruya adecuadamente al personal a cargo deesta Unidad de Informática.
2. Hacer convenio con la Escuela de Ing. Computación e Informática yla Escuela de Ing. Sistemas de la Universidad Nacional Pedro RuizGallo para la capacitación y actualización permanente del personaly mejorar el servicio que brinda la Unidad de Informática de laEscuela de Postgrado.
3. La Escuela de Postgrado debe invertir en mejorar su sistemainformático y utilizarlo en toda su capacidad ofreciendo mejoresservicios a sus alumnos.
4
4. Implementar un plan de medidas de contingencia ante posiblesdesastres en su Sistema Informático y respaldarlos con laadquisición de seguros contra todo riesgo (incendios, robos, etc.).
5. Realización de un inventario de la totalidad del Hardware y Softwareexistentes en la Unidad de Informática y organizándolo pornecesidades.
6. Adquirir las licencias de uso de Software.
7. Elaborar, con participación activa de los involucrados en el manejode la Unidad de Informática, de un Plan Estratégico para elfuncionamiento y uso eficiente y eficaz del Sistema Informático dela Unidad de Informática de la Escuela de Postgrado de laUniversidad Nacional Pedro Ruiz Gallo.
5
II. PLAN DE INVESTIGACION
2.0. SITUACION PROBLEMATICA
2.1. PLANTEAMIENTO DEL PROBLEMA
Al inicio de la década de los 90, comienza a difundirse de
manera persistente la versión actual de un mundo global. Los
cambios ocurridos en la estructura y las sociedades mundiales
durante esa década, impactadas por los avances tecnológicos
y los nuevos materiales, obliga a revisar los paradigmas
imperantes del papel de la educación en general y de la
educación superior en particular, en el progreso de las
naciones. Dentro de este contexto el gran desafío que debe
enfrentar nuestro país es cómo insertarse de manera
competitiva en un mundo cada vez más globalizado, se trata de
una nueva etapa del desarrollo, sustentado en el conocimiento
y hacia dónde deben orientarse nuestros esfuerzos
académicos e investigativos en el campo de la Informática.
El enfoque y el impacto de la globalización han trastocado
la visión del mundo, han obligado a entrar en un inusual espiral
de cambios, los cuales se refieren sobre todo al ritmo del uso
adecuado del conocimiento acelerado a partir de la Revolución
Industrial del siglo XVII, la Revolución de la Productividad del
siglo XIX y la Revolución de la Administración del
conocimiento. Aceptamos el cambio en nombre del desarrollo
del progreso, pero no podemos evitar un sentimiento de temor
(Flores, 1998).
La globalización ha afectado para bien o para mal a las
culturas dependientes que lenta pero sostenidamente van
perdiendo su identidad, al asumir patrones de comportamiento
socio cultural a imagen y semejanza de las naciones más
desarrolladas.
6
Como reflexión podemos decir, que la globalización no es
de lejos la panacea de los males que aquejan al mundo
contemporáneo, pero tampoco es la causa única de los
mismos, no es más que una etapa en el largo proceso de la
internacionalización cultural (Romero,2001).
La informática es, hoy por hoy, un elemento
imprescindible en la acumulación de conocimiento, la cual ya
no sólo es cerebral, obviamente, sino a través del computador.
Está tan penetrada en la actividad productiva y social de los
habitantes de las regiones más pobladas de la tierra, es decir,
en las grandes ciudades, que se ha constituido en una nueva
cultura en el mundo modernamente tecnificado de hoy.
Según lo manifiesta Lara Figueroa: “La informática, a
través de las supercarreteras de información y de Internet,
homologan el sentir del hombre, lo de culturan. Pero si el
hombre utiliza estos mismos canales para dar a conocer sus
propios logros culturales, como hombre y sociedad, logrará
reafirmar su identidad social y cultural y le permitirá compartir
con otros hombres de cualquier parte del orbe y del planeta,
sus especificidades culturales y su capacidad creadora”. De tal
manera, que en estos momentos finales del siglo XX, las
tradiciones populares y la cultura popular heredada por el
proceso histórico, es la única fuente confiable de identidad
social e identidad individual; la que cohesiona a individuos
alrededor de logros comunes. Utilizar la informática, pues, en el
afán de afianzar la identidad social de un país como Perú, es
válido y necesario, pues es el vehículo que permite afianzar las
raíces de nacionalidad y pertenencia.
El concepto de información es muy reciente y además
sumamente sencillo. Fue desarrollado en la década de los 40's
por el matemático norteamericano Claude Shannon, para
7
referirse a todo aquello que está presente en un mensaje o
señal cuando se establece un proceso de comunicación entre
un emisor y un receptor. Así, cuando dos personas hablan,
intercambian información; cuando ves una película, recibes
información; es más, al probar una galleta tu sentido del gusto
recaba información sobre el sabor y la consistencia del bocado.
La información puede entonces encontrarse y enviarse en
muchas formas, a condición de que quien la reciba pueda
interpretarla.
Procesar información implica el almacenamiento, la
organización y, muy importante, la transmisión de la misma.
Para ello, en la informática intervienen varias tecnologías; en
términos generales, podemos decir que son dos sus pilares: la
computación y la comunicación; es decir, en lo que hoy
conocemos como informática confluyen muchas de las técnicas
y de las máquinas que el hombre ha desarrollado a lo largo de
la historia para apoyar y potenciar sus capacidades de
memoria, de pensamiento y de comunicación.
Sintetizando, la informática es el producto del encuentro
de dos líneas tecnológicas: el de las máquinas de comunicar y
el de las computadoras. Si bien el término Informática surgió
hace poco más de medio siglo, cuando el propio Shannon
desarrolló la Teoría de la Información, apostado en los terrenos
de la lógica matemática y los albores de la computación
moderna. Más adelante veremos como sus orígenes se
remontan a los de la humanidad.
A finales del siglo XX, los Sistemas Informáticos se han
constituido en las herramientas más poderosas para
materializar uno de los conceptos más vitales y necesarios
para cualquier organización empresarial, los Sistemas de
Información de la empresa.
8
La Informática hoy, está subsumida en la gestión integral
de la empresa, y por eso las normas y estándares propiamente
informáticos deben estar, por lo tanto, sometidos a los
generales de la misma. En consecuencia, las organizaciones
informáticas forman parte de lo que se ha denominado el
“management” o gestión de la empresa. Cabe aclarar que la
Informática no gestiona propiamente la empresa, ayuda a la
toma de decisiones, pero no decide por sí misma. Por ende,
debido a su importancia en el funcionamiento de una empresa,
existe la Auditoria Informática.
El término de Auditoria se ha empleado incorrectamente
con frecuencia ya que se ha considerado como una evaluación
cuyo único fin es detectar errores y señalar fallas. A causa de
esto, se ha tomado la frase “Tiene Auditoria” como sinónimo de
que, en dicha entidad, antes de realizarse la auditoria, ya se
habían detectado fallas.
El concepto de auditoria es mucho más que esto. Es un
examen crítico que se realiza con el fin de evaluar la eficacia y
eficiencia de una sección, un organismo, una entidad, etc.
La palabra auditoria proviene del latín auditorius, y de esta
proviene la palabra auditor, que se refiere a todo aquel que
tiene la virtud de oír.
Por otra parte, “En un principio esta definición carece de
la explicación del objetivo fundamental que persigue todo
auditor: evaluar la eficiencia y eficacia”.
Si consultamos el Boletín de Normas de auditoria del
Instituto mexicano de contadores nos dice: “La auditoria no es
una actividad meramente mecánica que implique la aplicación
9
de ciertos procedimientos cuyos resultados, una vez llevado a
cabo son de carácter indudable”.
De todo esto sacamos como deducción que la auditoria es
un examen crítico pero no mecánico, que no implica la
preexistencia de fallas en la entidad auditada y que persigue el
fin de evaluar y mejorar la eficacia y eficiencia de una sección o
de un organismo.
Los principales objetivos que constituyen a la auditoria
Informática son el control de la función informática, el análisis
de la eficiencia de los Sistemas Informáticos que comporta, la
verificación del cumplimiento de la Normativa general de la
empresa en este ámbito y la revisión de la eficaz gestión de los
recursos materiales y humanos informáticos.
El auditor informático ha de velar por la correcta utilización
de los amplios recursos que la empresa pone en juego para
disponer de un eficiente y eficaz Sistema de Información. Claro
está, que para la realización de una auditoria informática eficaz,
se debe entender a la empresa en su más amplio sentido, ya
que una Universidad, un Ministerio o un Hospital son tan
empresas como una Sociedad Anónima o empresa Pública.
Todos utilizan la informática para gestionar sus “negocios” de
forma rápida y eficiente con el fin de obtener beneficios
económicos y de costes.
10
2.2. FORMULACION Y DELIMITACION DEL PROBLEMA
2.2.1 FORMULACIÓN:
¿En qué medida una Auditoria de los SistemasInformáticos instalados en la Escuela de Postgradode la Universidad Nacional Pedro Ruiz Gallomejorará el uso de estos Sistemas Informáticos enbeneficio de sus usuarios y de la institución?
2.2.2 DELIMITACIÓN DEL PROBLEMA:
¿En qué medida la aplicación de una AuditoriaInformática de los Sistemas Informáticos de laUnidad de Informática de la Escuela de Postgrado dela Universidad Nacional “Pedro Ruiz Gallo” mejoraráel servicio que dan a sus alumnos?
2.3. JUSTIFICACION E IMPORTANCIA DEL ESTUDIO
Al haber observado que la Escuela de Postgrado de la
Universidad Nacional Pedro Ruiz Gallo ha ido incrementando
sus Sistemas Informáticos, que es una necesidad y exigencia
de los tiempos de globalización, para conseguir mas Eficiencia
y Eficacia en los procesos de Gestión; pero para ello se tiene
que tener en cuenta el uso adecuado y en toda su capacidad
de estos sistemas.
11
2.4 OBJETIVOS
2.4.1 OBJETIVO GENERALAplicación de una Auditoria Informática de los Sistemas
Informáticos de la Unidad de Informática de la Escuela de
Postgrado de la Universidad Nacional “Pedro Ruiz Gallo”
2.4.2. OBJETIVOS ESPECIFICOS
El presente proyecto de investigación persigue los
siguientes objetivos:
Determinar la capacidad de los Sistemas Informáticos
de la Escuela de Postgrado de la Universidad Nacional
Pedro Ruiz Gallo.
Delinear los elementos de la Auditoria de los Sistemas
Informáticos.
Aplicar los lineamientos de Auditoria a los Sistemas
Informáticos de la Escuela de Postgrado de la
Universidad Nacional Pedro Ruiz Gallo.
Elaborar la propuesta para el mejor uso de la
capacidad instalada de los Sistemas Informáticos de la
Escuela de Postgrado de la Universidad Nacional
Pedro Ruiz Gallo.
12
III. MARCO DE REFERENCIA DEL PROBLEMA
3.1 MARCO TEÓRICO
3.1.1 SISTEMA INFORMÁTICO
En términos genéricos se puede afirmar que el sistema informático
es un conjunto de elementos interrelacionados entre sí y
relacionados a su vez con el sistema global en que se encuentra,
que pretende conseguir unos fines determinados. Los elementos
constitutivos de un sistema informático serán físicos, lógicos y
humanos.
Estructuralmente un sistema se puede dividir en partes pero,
funcionalmente es indivisible, ya que si se dividiera perdería
alguna de sus propiedades esenciales. Así, un sistema informático
sin alguno de sus componentes, no funcionaría. Como
características globales de un sistema informático podríamos
señalar las siguientes:
Las propiedades o comportamiento de cada uno de los
elementos del sistema influyen en las propiedades y
funcionamiento del sistema completo.
El tipo de influencia que ejerce cada elemento del sistema
depende, al menos, del comportamiento de otro elemento.
Cada sistema informático se compone, a su vez, de
subsistemas que son sistemas informáticos por sí mismo. Al
final de la descomposición se llegará al sistema informático
elemental (un ordenador y su equipo lógico). Habrá que
determinar en que sentido y nivel de descomposición estamos
hablando cuando nos referimos a un sistema informático.
13
Normalmente, el rendimiento de un sistema informático
depende más de la relación y coordinación entre sus
componentes que del funcionamiento de cada uno de ellos
individualmente. Por eso, a veces, el funcionamiento de un
sistema informático no se mejora usando los mejores
componentes físicos, lógicos y humanos sino armonizando y
coordinando efectivamente sus relaciones.
3.1.1.1 COMPONENTES Y FUNCIONAMIENTO GENERAL DEUN SISTEMA INFORMÁTICO.
Un sistema informático está compuesto por:
a) Componente físico: que constituye el hardware del
sistema informático que lo conforman, básicamente, los
ordenadores, los periféricos y el sistema de
comunicaciones. Los componentes físicos proporcionan
la capacidad y la potencia de cálculo del sistema
informático.
b) Componente lógico: que constituye el software del
sistema informático y lo conforman, básicamente, tos
programas, las estructuras de datos y la documentación
asociada El software se encuentra distribuido en el
hardware y lleva a cabo el proceso lógico que requieren
los datos.
c) Componente humano: constituido por todas las
personas participantes en todas las fases de la vida de
un sistema informático (diseño, desarrollo,
implantación, explotación). Este componente humano
es sumamente importante ya que los sistemas
informáticos están desarrollados por humanos y para
uso de humanos.
14
Veamos, gráficamente. la estructura de un sistema
informático genérico:
El sistema informático ha evolucionado desde una
primera situación en que todos los componentes del
sistema (físicos, lógicos y humanos) se encontraban
centralizados en una sala de ordenadores a la situación
actual en que los componentes del sistema se
encuentran, normalmente, ampliamente distribuidos en
diferentes lugares físicos.
Este camino hacia la implantación progresiva de
sistemas distribuidos ha pasado por diferentes fases y
se puede considerar que aún no ha finalizado. Veamos
estas fases más detenidamente:
En una primera fase, al inicio de la informatización de
las organizaciones, los recursos están totalmente
centralizados.
En una segunda fase, se distribuyen los componentes
físicos (y, en ocasiones, los humanos) del sistema. La
capacidad de proceso y almacenamiento sigue estando
centralizada pero las entradas y salidas de datos se
han distribuido físicamente (terminales "tontos"
conectados a un equipo central).
15
En una tercera fase se distribuyen, además, los
componentes lógicos del sistema Las capacidades de
proceso también se empiezan a distribuir pero no
totalmente (terminales con cierta capacidad de proceso
conectados a un equipo central).
Por último, se llega al modelo más avanzado de
informática distribuida en que tanto la capacidad de
proceso como la capacidad de almacenamiento sé
encuentran distribuidas en diferentes lugares.
Los sistemas distribuidos pueden organizarse deforma vertical o jerárquica y de forma horizontal.
En una organización horizontal todos los equipos tienen la
misma "categoría", es decir, no existe un equipo central
sino un conjunto de equipos interconectados que cooperan
entre sí.
Por contra, en una organización vertical nos encontramos
con varios niveles jerárquicos, entre los que podemos
destacar:
- El nivel más alto de la jerarquía lo forman tos equipos
más potentes, del tipo de los mainframes y realiza los
trabajos de la organización que necesiten mayores
recursos. Este es el nivel de la Informática Corporativa,
que soporta el Sistema General de Información de la
organización.
- El segundo nivel en importancia es el de la Informática
Departamental, en el que nos encontramos con
ordenadores menos potentes, del tipo de los
miniordenadores, que interaccionan con los mainframes
16
del nivel superior y con los ordenadores del nivel
inferior. Actualmente, los miniordenadores de este nivel
son sustituidos, cada vez con más frecuencia, por redes
locales de ordenadores.
- El último nivel de la jerarquía es el de la informática
Personal, constituido por los microordenadores o
estaciones de trabajo que interactúan con los
ordenadores de los niveles superiores a través de redes
de comunicaciones. Los ordenadores de este nivel
suelen disponer de herramientas especializadas para el
trabajo personal.
17
3.1.1.2. TIPOS DE ARQUITECTURAS DE LOS SISTEMASINFORMÁTICOS
Es un conjunto determinado de reglas, normas y
procedimientos que especifican las interrelaciones que
deben existir entre los componentes de un sistema
informático y las características que deben cumplir cada
uno de estos componentes.
No se tratarán las distintas arquitecturas de un
ordenador sino sólo cómo los distintos tipos de
ordenadores que pueden existir en un sistema
informático pueden ser dispuestos para satisfacer las
necesidades de una organización.
En la década de los 80 aparecieron los conceptos de
máquina departamental y de ordenador personal y se
desarrolló el concepto de proceso distribuido con una
arquitectura en tres niveles:
- Mainframes: ordenadores centrales donde se
encontraban las aplicaciones corporativas.
- Máquinas departamentales: donde se desarrollaban
aplicaciones técnicas o científicas y, frecuentemente,
la entrada de datos.
- Puestos de trabajo: conectados a los anteriores a
través de una red (terminales inteligentes o tontos).
A finales de los 80 se avanza en tomo al concepto de
proceso cooperativo, que trata de aprovechar el poder
potencial de las estaciones de trabajo y de los PC sin
18
por ello sustituir los mainframes. Se pretende hacerlos
actuar no exclusivamente como terminales sino soportar
parte del proceso que hasta ese momento era realizado
por los ordenadores centrales y aprovechar de esa
forma facilidades de edición y presentación de las
herramientas de la estación de trabajo.
A partir de este momento el mainframe aparece más
como un nodo dentro de la red empresarial de
información que como el núcleo central de todos los
catos y aplicaciones y surge un nuevo concepto dé
arquitectura que es el modelo cliente- servidor, en el que
los elementos antes descritos trabajan como servidores,
es decir, realizan funciones que pueden ser complejas,
tales como servidores de bases de datos o simples
como servidores de impresión. Los equipos son
conectados a través de una red por la que circulan
procesos proporcionando la arquitectura las reglas por
las que estos procesos son distribuidos. Cada proceso
esta formado por una pareja (petición y respuesta)
donde la petición es el cliente y el servidor la respuesta.
3.1.1.3 CLASIFICACIONES DE LOS SISTEMASINFORMÁTICOS.
Atendiendo al criterio de las prestaciones que
proporcionan los sistemas informáticos, éstos se
pueden clasificar en:
- Supercomputadores: equipos con gran capacidad
de cálculo. Suelen ser de tipo vectorial con varias
CPU trabajando en paralelo. Se utilizan
frecuentemente en el entorno técnico científico y en
19
la realización de simulaciones. Se llega a
elevadísimas prestaciones en la velocidad de
proceso.
- Sistemas grandes o mainframes: equipos
caracterizados por dar soporte a grandes redes de
comunicaciones con multitud de usuarios.
- Sistemas medios o miniordenadores: equipos con
capacidad para soportar cientos de usuarios pero a
un coste inferior al de tos sistemas grandes.
- Estaciones de trabajo: equipos monousuarios muy
potentes con gran velocidad y elevadas
prestaciones. Las estaciones de trabajo más
modernas suelen ser de tecnología RISC.
- Microordenadores: equipos monousuario con, cada
vez; mayores prestaciones. En este grupo podemos
encontrar.
- Ordenadores profesionales.
- Ordenadores personales.
- Ordenadores domésticos.
Hay que tener presente que la diferencia entre los
mainframes, miniordenadores y microordenadores es
difícil de establecer, así por ejemplo un microordenador
muy potente trabajando en un entorno multiusuario
puede convertirse en miniordenador. Además, no
existen límites claros entre los miniordenadores más
potentes y los mainframes más pequeños y los criterios
para clasificar un sistema en uno u otro tipo varían con
el tiempo.
20
3.1.2 AUDITORIA
En la teoría administrativa, el concepto de eficiencia ha sido
heredado de la economía y se considera como un principio rector. La
evaluación del desempeño organizacional es importante pues
permite establecer en qué grado se han alcanzado los objetivos, que
casi siempre se identifican con los de la dirección, además se valora
la capacidad y lo pertinente a la practica administrativa. Sin embargo
al llevar a cabo una evaluación simplemente a partir de los criterios
de eficiencia clásico, se reduce el alcance y se sectoriza la
concepción de la empresa, así como la potencialidad de la acción
participativa humana, pues la evaluación se reduce a ser un
instrumento de control coercitivo de la dirección para el resto de los
integrantes de la organización y solo mide los fines que para aquélla
son relevantes. Por tanto se hace necesario una recuperación crítica
de perspectivas y técnica que permiten una evaluación integral, es
decir, que involucre los distintos procesos y propósitos que están
presentes en las organizaciones, ello se logra con la auditoria.
3.1.2.1. Antecedentes
La auditoria es una de las aplicaciones de los principios
científicos de la contabilidad, basada en la verificación de los
registros patrimoniales de las haciendas, para observar su
exactitud; no obstante, este no es su único objetivo.
Su importancia es reconocida desde los tiempos más
remotos, teniéndose conocimientos de su existencia ya en las
lejanas épocas de la civilización sumeria.
Acreditase, todavía, que el termino auditor evidenciando el
titulo del que practica esta técnica, apareció a finales del siglo
XVIII, en Inglaterra durante el reinado de Eduardo I.
21
En diversos países de Europa, durante la edad media,
muchas eran las asociaciones profesionales, que se
encargaban de ejecuta funciones de auditorias,
destacándose entre ellas los consejos Londinenses
(Inglaterra), en 1.310, el Colegio de Contadores, de Venecia
(Italia), 1.581.
La revolución industrial llevada a cabo en la segunda mitad
del siglo XVIII, imprimió nuevas direcciones a las técnicas
contables, especialmente a la auditoria, pasando a atender
las necesidades creadas por la aparición de las grandes
empresas (donde la naturaleza es el servicio es
prácticamente obligatorio).
Se preanuncio en 1.845 o sea, poco después de penetrar la
contabilidad de los dominios científicos y ya el "Railway
Companies Consolidation Act" obligada la verificación anual
de los balances que debían hacer los auditores.
También en los Estados Unidos de Norteamérica, una
importante asociación cuida las normas de auditoria, la cual
publicó diversos reglamentos, de los cuales el primero que
conocemos data de octubre de 1.939, en tanto otros
consolidaron las diversas normas en diciembre de 1.939,
marzo de 1.941, junio de 1942 y diciembre de 1.943.
El futuro de nuestro país se prevé para la profesión contable
en el sector auditoria es realmente muy grande, razón por la
cual deben crearse, en nuestro circulo de enseñanza cátedra
para el estudio de la materia, incentivando el aprendizaje y
asimismo organizarse cursos similares a los que en otros
países se realizan.
22
3.1.2.2. Definiciones
Inicialmente, la auditoria se limitó a las verificaciones de los
registros contables, dedicándose a observar si los mismos
eran exactos.
Y, por lo tanto, esta era la forma primaria: Confrontar lo
escrito con las pruebas de lo acontecido y las respectivas
referencias de los registros.
Con el tiempo, el campo de acción de la auditoria ha
continuado extendiéndose; no obstante son muchos los que
todavía la juzgan como portadora exclusiva de aquel objeto
remoto, o sea, observar la veracidad y exactitud de los
registros.
En forma sencilla y clara, escribe Holmes:
"... la auditoria es el examen de las demostraciones y
registros administrativos".
El auditor observa la exactitud, integridad y autenticidad de
tales demostraciones, registros y documentos.
Tomando en cuenta los criterios anteriores podemos decir
que la auditoria es la actividad por la cual se verifica la
corrección contable de las cifras de los estados financieros;
Es la revisión misma de los registros y fuentes de
contabilidad para determinar la racionabilidad de las cifras
que muestran los estados financieros emanados de ellos.
23
3.1.2.3 Objetivo
El objetivo de la Auditoria consiste en apoyar a los miembros
de la empresa en el desempeño de sus actividades. Para eilo
la Auditoria les proporciona análisis, evaluaciones,
recomendaciones, asesoría e información concerniente a las
actividades revisadas.
3.1.2.4. Finalidad
Los fines de la auditoria son los aspectos bajo los cuales su
objeto es observado. Podemos escribir los siguientes:
1. lndagaciones y determinaciones sobre el estado
patrimonial.
2. lndagaciones y determinaciones sobre los estados
financieros.
3. lndagaciones y determinaciones sobre el estado reditual.
4. Descubrir errores y fraudes.
5. Prevenir los errores y fraudes.
6. Estudios generales sobre casos especiales, tales como:
a. Exámenes de aspectos fiscales y legales.
b. Examen para compra de una empresa (cesión
patrimonial).
c. Examen para la determinación de bases de criterios de
prorrateo, entre otros.
Los variadísimos fines de la auditoria muestran, por si solos,
la utilidad de esta técnica.
24
3.1.2.5 Clasificación de la Auditoria
a. Auditoria ExternaAplicando el concepto general, se puede decir que la
auditoria Externa es el examen crítico, sistemático y
detallado de un sistema de información de una unidad
económica, realizado por un Contador Público sin vínculos
laborales con la misma, utilizando técnicas determinadas y
con el objeto de emitir una opinión independiente sobre la
forma como opera el sistema, el control interno del mismo y
formular sugerencias para su mejoramiento. El dictamen u
opinión independiente tiene trascendencia a los terceros,
pues da plena validez a la información generada por el
sistema ya que se produce bajo la figura de la Fe Pública,
que obliga a los mismos a tener plena credibilidad en la
información examinada.
La Auditoria Externa examina y evalúa cualquiera de los
sistemas de información de una organización y emite una
opinión independiente sobre los mismos, pero las
empresas generalmente requieren de la evaluación de su
sistema de información financiero en forma independiente
para otorgarle validez ante los usuarios del producto de
este, por lo cual tradicionalmente se ha asociado el término
Auditoria Externa a Auditoria de Estados Financieros, lo
cual como se observa no es totalmente equivalente, pues
puede existir Auditoria Externa del Sistema de Información
Tributario, Auditoria Externa del Sistema de Información
Administrativo, Auditoria Externa del Sistema de
Información Automático etc.
La Auditoria Externa o Independiente tiene por objeto
averiguar la razonabilidad, integridad y autenticidad de los
estados, expedientes y documentos y toda aquella
información producida por los sistemas de la organización.
25
Una Auditoria Externa se lleva a cabo cuando se tiene la
intención de publicar el producto del sistema de
información examinado con el fin de acompañar al mismo
una opinión independiente que le dé autenticidad y permita
a los usuarios de dicha información tomar decisiones
confiando en las declaraciones del Auditor.
Una auditoria debe hacerla una persona o firma
independiente de capacidad profesional reconocidas.
Esta persona o firma debe ser capaz de ofrecer una
opinión imparcial y profesionalmente experta a cerca de los
resultados de auditoria, basándose en el hecho de que su
opinión ha de acompañar el informe presentado al término
del examen y concediendo que pueda expresarse una
opinión basada en la veracidad de los documentos y de los
estados financieros y en que no se imponga restricciones
al auditor en su trabajo de investigación.
Bajo cualquier circunstancia, un Contador profesional
acertado se distingue por una combinación de un
conocimiento completo de los principios y procedimientos
contables, juicio certero, estudios profesionales adecuados
y una receptividad mental imparcial y razonable.
b. Auditoria InternaLa auditoria Interna es el examen crítico, sistemático y
detallado de un sistema de información de una unidad
económica, realizado por un profesional con vínculos
laborales con la misma, utilizando técnicas determinadas y
con el objeto de emitir informes y formular sugerencias para
el mejoramiento de la misma. Estos informes son de
circulación interna y no tienen trascendencia a los terceros
pues no se producen bajo la figura de la Fe Publica.
26
Las auditorias internas son realizadas por personal de la
institución. Un auditor interno tiene a su cargo el control
permanente de las transacciones y operaciones y se
preocupa en sugerir el mejoramiento de los métodos y
procedimientos de control interno que redunden en una
operación más eficiente y eficaz.
Cuando la auditoria está dirigida por Contadores Públicos
profesionales independientes, la opinión de un experto
desinteresado e imparcial constituye una ventaja definida
para la empresa y una garantía de protección para los
intereses de los accionistas, los acreedores y el Público. La
imparcialidad e independencia absolutas no son posibles
en el caso del auditor interno, puesto que no puede
divorciarse completamente de la influencia de la alta
administración, y aunque mantenga una actitud
independiente como debe ser, esta puede ser cuestionada
ante los ojos de los terceros. Por esto se puede afirmar que
el Auditor no solamente debe ser independiente, sino
parecerlo para así obtener la confianza del Público.
La auditoria interna es un servicio que reporta al más alto
nivel de la dirección de la organización y tiene
características de función asesora de control, por tanto no
puede ni debe tener autoridad de línea sobre ningún
funcionario de la empresa, a excepción de los que forman
parte de la plana de la oficina de auditoria interna, ni debe
en modo alguno involucrarse o comprometerse con las
operaciones de los sistemas de la empresa, pues su
función es evaluar y opinar sobre los mismos, para que la
alta dirección torna las medidas necesarias para su mejor
funcionamiento. La auditoria interna solo interviene en las
operaciones y decisiones propias de su oficina, pero nunca
en las operaciones y decisiones de la organización a la cual
27
presta sus servicios, pues corno se dijo es una función
asesora.
c. Diferencias entre auditoria interna y externa:Existen diferencias substanciales entre la Auditoria Interna
y la Auditoria Externa, algunas de las cuales se pueden
detallar así:
En la Auditoria Interna existe un vínculo laboral entre el
auditor y la empresa, mientras que en la Auditoria
Externa la relación es de tipo civil.
En la Auditoria Interna el diagnóstico del auditor, esta
destinado para la empresa; en el caso de la Auditoria
Externa este dictamen se destina generalmente para
terceras personas o sea ajena a la empresa.
La Auditoria Interna está inhabilitada para dar Fe
Pública, debido a su vinculación contractual laboral,
mientras la Auditoria Externa tiene la facultad legal de
dar Fe Pública.
28
3.1.3 EL AUDITOR
3.1.3.1 Definición
Es aquella persona profesional, que se dedica a trabajos de
auditoria habitualmente con libre ejercicio de una ocupación
técnica.
3.1.3.2. Funciones generales
Para ordenar e imprimir cohesión a su labor, el auditor cuenta
con un una serie de funciones tendientes a estudiar, analizar y
diagnosticar la estructura y funcionamiento general de una
organización.
Las funciones tipo del auditor son:
Estudiar la normatividad, misión, objetivos, políticas,
estrategias, planes y programas de trabajo.
Desarrollar el programa de trabajo de una auditoria.
Definir los objetivos, alcance y metodología para
instrumentar una auditoria.
Captar la información necesaria para evaluar la
funcionalidad y efectividad de los procesos, funciones y
sistemas utilizados.
Recabar y revisar estadísticas sobre volúmenes y cargas
de trabajo.
Diagnosticar sobre los métodos de operación y los
sistemas de información.
29
Detectar los hallazgos y evidencias e incorporarlos a los
papeles de trabajo.
Respetar las normas de actuación dictadas por los grupos
de filiación, corporativos, sectoriales e instancias
normativas y, en su caso, globalizadoras.
Proponer los sistemas administrativos y/o las
modificaciones que permitan elevar la efectividad de la
organización.
Analizar la estructura y funcionamiento de la organización
en todos sus ámbitos y niveles.
Revisar el flujo de datos y formas.
Considerar las variables ambientales y económicas que
inciden en el funcionamiento de la organización.
Analizar la distribución del espacio y el empleo de equipos
de oficina.
Evaluar los registros contables e información financiera.
Mantener el nivel de actuación a través de una interacción
y revisión continua de avances.
Proponer los elementos de tecnología de punta requeridos
para impulsar el cambio organizacional.
Diseñar y preparar los reportes de avance e informes de
una auditoria.
30
3.1.3.3. Conocimientos que debe poseerEs conveniente que el equipo auditor tenga una preparación
acorde 'con los requerimientos de una auditoria administrativa,
ya que eso le permitirá interactuar de manera natural y
congruente con los mecanismos de estudio que de una u otra
manera se emplearán durante su desarrollo.
Atendiendo a éstas necesidades es recomendable apreciar
los siguientes niveles de formación:
a. AcadémicaEstudios a nivel técnico, licenciatura o postgrado en
administración, informática, comunicación, ciencias
políticas, administración pública, relaciones industriales,
ingeniería industrial, psicología, pedagogía, ingeniería en
sistemas, contabilidad, derecho, relaciones internacionales
y diseño gráfico.
Otras especialidades como actuaría, matemáticas,
ingeniería y arquitectura, pueden contemplarse siempre y
cuando hayan recibido una capacitación que les permita
intervenir en el estudio.
b. ComplementariaInstrucción en la materia, obtenida a lo largo de la vida
profesional- por medio de diplomados, seminarios, foros y
cursos, entre otros.
c. EmpíricaConocimiento resultante de la implementación de auditorias
en diferentes instituciones sin contar con un grado
académico.
Adicionalmente, deberá saber operar equipos de cómputo y
de oficina, y dominar él ó los idiomas que sean parte de la
dinámica de trabajo de la organización bajo examen.
31
También tendrán que tener en cuenta y comprender el
comportamiento organizacional cifrado en su cultura.
Una actualización continua de los conocimientos permitirá al
auditor adquirir la madurez de juicio necesaria para él
ejercicio de su función en forma prudente y justa.
3.1.3.4 Habilidades y destrezas
En forma complementaria a la formación profesional, teórica
y/o práctica, el equipo auditor demanda de otro tipo de
cualidades que son determinantes en su trabajo, referidas a
recursos personales producto de su desenvolvimiento y dones
intrínsecos a su carácter.
La expresión de estos atributos puede variar de acuerdo con el
modo de ser y el deber ser de cada caso en particular; sin
embargo es conveniente que, quien se dé a la tarea de cumplir
con el papel de auditor, sea poseedor de las siguientes
características:
Actitud positiva.
Estabilidad emocional.
Objetividad.
Sentido institucional.
Saber escuchar.
Creatividad.
Respeto a las ideas de los demás.
Mente analítica.
Conciencia de los valores propios y de su entorno.
Capacidad de negociación.
Imaginación.
Claridad de expresión verbal y escrita.
Capacidad de observación.
Iniciativa.
32
Discreción.
Facilidad para trabajar en grupo.
Comportamiento ético.
3.1.3.5. ExperienciaUno de los elementos fundamentales que se tiene que
considerar en las características del equipo, es el relativo a su
experiencia personal de sus integrantes, ya que de ello
depende en gran medida el cuidado y diligencia profesionales
que se emplean para determinar el nivel de sus observaciones
y sugerencias.
Por la naturaleza de la función a desempeñar existen varios
campos que se tienen que dominar:
o Conocimiento de. las áreas sustantivas de la organización.
o Conocimiento de las áreas adjetivas de la organización.
o Conocimiento de esfuerzos anteriores · Conocimiento de
casos prácticos.
o Conocimiento derivado de la implementación de estudios
organizacionales de otra naturaleza.
o Conocimiento personal basado en elementos diversos.
3.1.3.6. Responsabilidad profesional
El equipo auditor debe realizar su trabajo utilizando toda su
capacidad, inteligencia y criterio para determinar el alcance,
estrategia y técnicas que habrá de aplicar en una auditoria, así
como evaluar los resultados y presentar los informes
correspondientes.
Para éste efecto, debe de poner especial cuidado en:
Preservar la independencia mental.
33
Realizar su trabajo sobre la base de conocimiento y
capacidad profesional adquiridos.
Cumplir con las normas o criterios que se le señalen.
Capacitarse en forma continua
También es necesario que se mantenga libre de impedimentos
que resten credibilidad a sus juicios, por que debe preservar
su autonomía e imparcialidad al participar en una auditoria.
Es conveniente señalar, que los impedimentos a los que
normalmente se puede enfrentar son: personales y externos.
Los primeros, corresponden a circunstancias que recaen
específicamente en el auditor y que por su naturaleza pueden
afectar su desempeño, destacando las siguientes:
Vínculos personales, profesionales, financieros u oficiales
con la organización que se va a auditar.
Interés económico personal en la auditoria.
Corresponsabilidad en condiciones de funcionamiento
incorrectas.
Relación con instituciones que interactúan con la
organización.
Ventajas previas obtenidas en forma ilícita o antiética.
Los segundos están relacionados con factores que limitan al
auditor a llevar a cabo su función de manera puntual y objetiva
como son:
Ingerencia externa en la selección o aplicación de técnicas
o metodología para la ejecución de la auditoria.
Interferencia con .los órganos internos de control.
34
Recursos limitados para desvirtuar el alcance de la
auditoria.
Presión injustificada para propiciar errores inducidos.
En estos casos, tiene el deber de informar a la organización
para que se tomen las providencias necesarias.
Finalmente, el equipo auditor no debe olvidar que la fortaleza
de su función está sujeta a la medida en que afronte su
compromiso con respeto y en apego a normas profesionales
tales como:
1.Objetividad.- Mantener una visión independiente de los
hechos, evitando formular juicios o caer en omisiones, que
alteren de alguna manera los resultados que obtenga.
2.Responsabilidad.- Observar una conducta profesional,
cumpliendo con sus encargos oportuna y eficientemente.
3. Integridad.- Preservar sus valores por encima de las
presiones.
4.Confidencialidad.- Conservar en secreto la información y
no utilizarla en beneficio propio o de intereses ajenos.
5.Compromiso.- Tener presente sus obligaciones para
consigo mismo y la organización para la que presta sus
servicios.
6.Equilibrio.- No perder la dimensión de la realidad y el
significado de los hechos.
7.Honestidad.- Aceptar su condición y tratar de dar su mejor
esfuerzo 'con sus propios recursos, evitando aceptar
compromisos o tratos de cualquier tipo.
35
8. Institucionalidad.- No olvidar que su ética profesional lo
obliga a respetar y obedecer a la organización a la que
pertenece.
9. Criterio.- Emplear su capacidad de discernimiento en
forma equilibrada.
10. Iniciativa.- Asumir una actitud y capacidad de respuesta
ágil y efectiva.
11. Imparcialidad.- No involucrarse en forma personal en los
hechos, conservando su objetividad al margen de
preferencias personales.
12. Creatividad.- Ser propositivo e innovador en el desarrollo
de su trabajo.
36
3.1.4 AUDITORIA DE SISTEMAS DE INFORMACIÓN
3.1.4.1 Definición de Auditoria
Se define como un proceso sistemático que consiste en
obtener y evaluar objetivamente, evidencias sobre las
afirmaciones relativas a los actos y eventos de carácter
económico, administrativo, operacional o de sistemas;
con el fin de determinar el grado de correspondencia entre
esas afirmaciones y los criterios establecidos, para luego
comunicar los resultados a las personas interesadas.
3.1.4.2 Clasificación de Auditoria
3.1.4.2.1 Auditoria Financiera
La Auditoria Financiera efectúa un examen
sistemático de los estados financieros, los registros y
las operaciones correspondientes, para determinar la
observancia de los principios de contabilidad
generalmente aceptados, de las políticas de la
administración y de la planificación.
3.1.4.2.2 Auditoria operativa"
"Un examen sistemático de las actividades de una
organización (ó de un segmento estipulado de las
mismas) en relación con objetivos específicos, a fin de
evaluar el comportamiento, señalar oportunidades de
mejorar y generar recomendaciones para el
mejoramiento o para potenciar el logro de objetivos ".
37
3.1.4.2.3 Auditoria de Sistemas Informáticos
Se encarga de llevar a cabo la evaluación de normas,
controles, técnicas y procedimientos que se tienen
establecidos en una institución para lograr confiabilidad,
oportunidad, seguridad y confidencialidad de la
información que se procesa a través de los sistemas
informáticos. La auditoria de sistemas Informáticos es una
rama especializada de la auditoria que promueve y aplica
conceptos de auditoria en el área de sistemas de
información.
La auditoria de los sistemas informáticos se define como
cualquier auditoría que abarca la revisión y evaluación de
todos los aspectos (o de cualquier porción de ellos) de los
sistemas automáticos de procesamiento de la
información, incluidos los procedimientos no automáticos
relacionados con ellos y las interfaces correspondientes.
El objetivo final que tiene el auditor de sistemas
informáticos es dar recomendaciones a la Dirección para
mejorar o lograr un adecuado control interno en
ambientes de tecnología informática con el fin de lograr
mayor eficiencia operacional y administrativa.
3.1.4.2.3.1 Objetivos Específicos de la Auditoria deSistemas Informáticos.
1. Participación en el desarrollo de nuevos
sistemas:
Evaluación de controles.
Cumplimiento de la metodología.
38
2. Evaluación de la seguridad en el área
informática.
3. Evaluación de suficiencia en los planes de
contingencia.
Respaldos, preveer qué va a pasar si se
presentan fallas.
4. Opinión de la utilización de los recursos
informáticos.
Resguardo y protección de activos.
5. Control de modificación a las aplicaciones
existentes.
Fraudes.
Control a las modificaciones de los
programas.
6. Participación en la negociación de
contratos con los proveedores.
7. Revisión de la utilización del sistema
operativo y los programas
Utilitarios.
Control sobre la utilización de los
sistemas operativos.
Programas utilitarios.
39
8. Auditoria de la base de datos.
Estructura sobre la cual se desarrollan
las aplicaciones.
9. Auditoria de la red de teleprocesos.
10. Desarrollo de software de auditoría.
Es el objetivo final de una auditoría de
sistemas bien implementada, desarrollar
software capaz de estar ejerciendo un control
continuo de las operaciones del área de
procesamiento de datos.
3.1.4.2.3.2 Fines de la Auditoria de SistemasInformáticos
1. Fundamentar la opinión del auditor
interno y/o externos sobre la
confiabilidad de los sistemas de
información.
2. Expresar la opinión sobre la eficiencia
de las operaciones en el área de las
Tecnologías de la Información.
3.1.4.2.3.3 Similitudes y diferencias con la auditoríatradicional
A. Similitudes:
No se requieren nuevas normas de
auditoría, son las mismas.
40
Los elementos básicos de un buen sistema
de control contable interno siguen siendo
los mismos; por ejemplo, la adecuada
segregación de funciones.
Los propósitos principales del estudio y la
evaluación del control contable interno son
la obtención de evidencia para respaldar
una opinión y determinar la base,
oportunidad y extensión de las pruebas
futuras de auditoría.
B. Diferencias:
Se establecen algunos nuevos
procedimientos de auditoría.
Hay diferencias en las técnicas destinadas
a mantener un adecuado control interno
contable.
Hay alguna diferencia en la manera de
estudiar y evaluar el control interno
contable. Una diferencia significativa es
que en algunos procesos se usan
programas.
El énfasis en la evaluación de los sistemas
manuales esta en la evaluación de
transacciones, mientras que el énfasis en
los sistemas informáticos, está en la
evaluación del control interno.
41
3.1.4.2.3.4 Aspectos del Medio Ambiente Informáticoque afectan el enfoque Procedimientos dela Auditoria y sus Complejidad de losSistemas.
Uso de lenguajes.
Metodologías, son aquellos procesos que
realizan las personas de acuerdo a su
experiencias.
Centralización.
Departamento de sistemas que coordina y
centraliza todas las operaciones
relaciones los usuarios son altamente
dependientes del área de sistemas.
Controles del computador.
3.1.4.2.3.5 La Automatización de los ControlesManuales
Confiabilidad electrónica.
Debilidades de las máquinas y tecnología.
Transmisión y registro de la información
en medios magnéticos, óptico y otros.
Almacenamiento en medios que deben
acceder a través del computador mismo.
Centros externos de procesamiento de
datos.
Dependencia externa.
42
3.1.4.2.3.6 Razones para la existencia de la Auditoriade Sistemas Informáticos.
1. La información es un recurso clave en la
empresa para:
Planear el futuro, controlar el presente y
evaluar el pasado.
2. Las operaciones de la empresa dependen
cada vez más de la sistematización
informática.
3. Los riesgos tienden a aumentar, debido a:
Pérdida de información.
Pérdida de activos.
Pérdida de servicios/ventas.
4. La sistematización representa un costo
significativo para
La empresa en cuanto a: hardware,
software y personal.
5. Los problemas se identifican sólo al final.
6. El permanente avance tecnológico.
43
3.1.4.2.3.7 Requerimientos del Auditor de SistemasInformáticos
1. Entendimiento global e integral del
negocio, de sus puntos claves, áreas
críticas, entorno económico, social y
político.
2. Entendimiento del efecto de los sistemas
en la organización.
3. Entendimiento de los objetivos de la
auditoría.
4. Conocimiento de los recursos de
computación de la empresa.
5. Conocimiento de los proyectos de
sistemas.
3.1.4.2.3.8 Riesgos asociados al área de los SistemasInformáticos
Hardware
Descuido o falta de protección:
Condiciones inapropiadas, mal manejo, no
observancia de las normas.
Destrucción.
Software: Uso o acceso.
Copia, Modificación, Destrucción, Hurto.
Errores u omisiones.
44
La Auditoria sobre el Software incide en
evaluar lo concerniente al adecuado uso o
acceso de los programas, la destrucción
del Software ya sea por distintas causas'
(golpe, incendio, etc.), Copias piratas,
Modificaciones, el hurto de programas por
personas ajenas a la Unidad de
Informática, errores que podría presentar el
software.
Archivos:
Usos o accesos.
Copia, Modificación, Destrucción, Hurto.
Organización:
Inadecuada: no funcional, sin división de
funciones.
Falta de seguridad.
Falta de políticas y planes.
Personal:
Deshonesto, Incompetente y descontento.
Usuarios:
Enmascaramiento, falta de autorización.
Falta de conocimiento de su función.
45
3.1.5 NORMAS GENERALES PARA LA AUDITORÍA DE LOS SISTEMASDE INFORMACIÓN
La naturaleza especializada de la auditoría a los sistemas de
información (SI), así como las destrezas necesarias para llevar a cabo
tales auditorias, requiere de estándares que aplican específicamente a
la auditoría de Sistema de Información. Uno de los objetivos de la
Asociación de Auditoría y Control de los Sistemas de Información(Information. Systems Audit and Control Association,www.isaca.org) es promover estándares aplicables
internacionalmente para cumplir con su visión. El desarrollo y difusión
de los Estándares de Auditoría de Sistemas Informáticos son una
piedra angular de la contribución profesional de ISACA a la
comunidad de auditoría. La estructura para los Estándares de
Auditoría de Sistemas de Información brinda múltiples niveles de
asesoramiento:
Los Estándares definen requisitos obligatorios para la auditoría y el
reporte de Sistemas Informáticos Informan a:
1. Los auditores de Sistemas de Información respecto al nivel
mínimo de desempeño aceptable requerido para cumplir conlas responsabilidades profesionales indicadas en el Código de
Ética Profesional de ISACA.
2. La dirección y otras partes interesadas en las expectativas de la
profesión con respecto al trabajo de sus profesionales.
3. Los poseedores de la designación de Auditor Certificado deSistemas de Información (Certified Information SystemsAuditor, CISA) respecto a los requisitos que deben cumplir. Elincumplimiento de estos estándares puede resultar en una
investigación de la conducta del poseedor del certificado CISApor parte de la Junta de Directores de ISACA o del comité
46
apropiado de ISACA y, en última instancia, en sanciones
disciplinarias.
Las Directrices proporcionan asesoramiento en la aplicación de los
Estándares de Auditoría de Sistemas de Información. El auditor de
Sistemas de Información debe considerarlas al determinar cómolograr la implementación de los estándares, utilizar un buen juicio
profesional en su aplicación y estar dispuesto a justificar cualquier
desviación de las mismas. El objetivo de las Directrices deAuditoría de Sistemas de Información es proporcionar mayor
información con respecto a cómo cumplir con los Estándares de
Auditoria de Sistemas de Información.
Los Procedimientos proporcionan ejemplos de procedimientos que
podría seguir un auditor de Sistemas de Información en el curso deun contrato de auditoría. Los documentos sobre procedimientos
proporcionan información sobre cómo cumplir con los estándares
al realizar trabajos de auditoría de SI, pero no establecen losrequisitos correspondientes. El objetivo de los Procedimientos de
Auditoría de SI es proporcionar mayor información con respecto a
cómo cumplir con los Estándares de Auditoría de Sistemas deInformación.
COBIT (Control Objectives for Information and relatedTechnology / Objetivos de Control para tecnología de lainformación y relacionada), es el modelo para el Gobierno de la
Tecnología de la Información (TI) desarrollado por la InformationSystems Audit and Control Association (ISACA) y el
Information and related Technology Governance Informationand related Technology.
47
Tiene 34 objetivos nivel altos que cubren 215 objetivos de control
clasificados en cuatro dominios:
a. El plan y Organiza.
b. Adquiere y Pone en práctica
c. Entrega y Apoya 1
d. Supervisa y Evalúa.
Enfatiza el cumplimiento normativo, ayuda a las organizaciones a
incrementar el valor de las Tecnologías de Información, apoya el
alineamiento con el negocio y simplifica la implantación del COBIT.
La misión COBIT es " para investigar, desarrollar, hacer públicoy promover un juego autoritario, actualizado, internacional deobjetivos de control de tecnología de informacióngeneralmente aceptados para el empleo cotidiano pordirectores comerciales e interventores. " Los gerentes,
interventores, y usuarios se benefician del desarrollo de COBIT
porque esto les ayuda a entender sus sistemas de Tecnologías de
la Información y decidir el nivel de seguridad (valor) y control que es
necesario para proteger el activo de sus empresas por el desarrollo
de un modelo de gobernación de Tecnologías de la Información.
Independientemente de la realidad tecnológica de cada caso
concreto, COBIT determina, con el respaldo de las principales
normas técnicas internacionales, un conjunto de mejores prácticas
para la seguridad, la calidad, la eficacia y la eficiencia en las
Tecnologías de Información que son necesarias para alinear las
Tecnologías de la Información con el negocio, identificar riesgos,
entregar valor al negocio, gestionar recursos y medir el desempeño,
48
el cumplimiento de metas y el nivel de madurez de los procesos de
la organización.
Los recursos de COBIT deben utilizarse como fuente de
asesoramiento con respecto a las mejores prácticas. El Marco
Referencial de COBIT establece que: "Es responsabilidad de la
gerencia salvaguardar todos los activos de la empresa. Para
descargar esta responsabilidad, así como para lograr sus
expectativas, la gerencia debe establecer un adecuado sistema de
control interno. "COBIT proporciona un conjunto detallado de
controles y de técnicas de control para el entorno de
administración/gestión de o sistemas de información. La selección
del material más relevante en COBIT aplicable al alcance de la
auditoria en particular se basa en la selección de procesos
específicos de COBIT para Tecnologías de la Información,
considerando además los criterios de información de COBIT.
Tal como se define en el Marco Referencial de COBIT, cada uno de
los siguientes elementos está organizado de acuerdo con el
proceso de administración/gestión de Tecnologías de la
Información. COBIT está destinado para ser utilizado por la
gerencia de la empresa y por la gerencia de Tecnologías de la
Información, así como por los auditores de SI; por 10 tanto, su
utilización permite la comprensión de los objetivos del negocio, la
comunicación de las mejores prácticas y las recomendaciones que
deben hacerse, basándose en una referencia de estándares
comúnmente comprendida y bien respetada. COBIT incluye
Objetivos de Control-Declaraciones genéricas tanto de alto nivel
como detallado de un nivel mínimo de buen control.
Prácticas de Control-Motivaciones prácticas y asesoramiento sobre
"cómo implementar" los objetivos de control.
49
Directrices de Auditoria-Asesoramiento para cada área de control
sobre cómo obtener un entendimiento, evaluar cada control,
evaluar el cumplimiento y sustanciar el riesgo de que los controles
no se cumplan.
Directrices Gerenciales-Asesoramiento sobre cómo evaluar y
mejorar el desempeño del proceso de Tecnologías de la
Información, utilizando modelos de madurez, métricas y factores
críticos de éxito. Proporcionan un marco de referencia
administrativo orientado hacia una continua y proactiva
autoevaluación del control, enfocada específicamente en:
a. Medición del desempeño
¿Qué tan adecuadamente está apoyando la función de
Tecnologías de la Información los requisitos del negocio? Las
directrices gerenciales se pueden utilizar para apoyar talleres de
autoevaluación, y también se pueden utilizar para apoyar a la
gerencia en la implementación de procedimientos de monitoreo y
mejora continuos, como parte de un esquema de gobernabilidad
de las Tecnologías de la Información.
b. Perfil del control de las Tecnologías de la Información
¿Cuáles procesos de las Tecnologías de la Información son
importantes?
¿Cuáles son los factores críticos de éxito para el control?
c. Concientización¿Cuáles son los riesgos de no lograr los objetivos?
d. Benchmarking¿Qué hacen los demás? ¿Cómo pueden medirse y
compararse los resultados?
50
Las directrices gerenciales proporcionan ejemplos de métricas
que permiten la evaluación del desempeño de de las
Tecnologías de la Información en términos del negocio. Los
indicadores "claves de resultados identifican y miden los
resultados de los procesos de las Tecnologías de la
Información, y los indicadores claves de desempeño evalúan
lo bien que están funcionando " los procesos, al medir los
facilitadores del proceso. Los modelos y los atributos de
madurez proporcionan evaluaciones de capacidad así corrió
benchmarking, ayudando a que la gerencia pueda medir la
capacidad de control y pueda identificar vacíos de control y
determinar estrategias para su mejora.
ISACA ha definido este asesoramiento como el nivel mínimo
de desempeño aceptable requerido para cumplir con las
responsabilidades profesionales indicadas en el Código de
Ética Profesional de ISACA. ISACA no hace declaración
alguna de que el uso de este producto garantizará un
resultado satisfactorio. La publicación no debe considerarse
como incluyente de cualquier procedimiento y prueba
apropiado, o excluyente de otros procedimientos y pruebas
que estén dirigidos razonablemente para la obtención de los
mismos resultados. Para determinar la aplicabilidad de
cualquier procedimiento o prueba específicos, el profesional de
control debe aplicar su buen juicio profesional a las
circunstancias de control específicas presentadas por el
entorno particular de sistemas o de la tecnología 'de
información.
La Junta de Estándares de ISACA tiene el compromiso de
realizar consultas extensas al preparar los Estándares, las
Directrices y los Procedimientos de Auditoría de Sistemas de
Informáticos. Antes de emitir cualquier documento, la Junta de
Estándares emite borradores de los mismos y los expone a
51
nivel internacional para recibir comentarios del público en
general. La Junta de Estándares también busca personas con
pericia o interés especial en el tema bajo consideración para
consultarlos, cuando esto sea necesario.
La Junta de Estándares tiene un programa de desarrollo
permanente y agradece los comentarios de los miembros de
ISACA y de otras partes interesadas para identificar temas
emergentes que requieran estándares nuevos. Toda
sugerencia se deberá enviar por correo electrónico a
([email protected]), por fax a (+1.847. 253.1443) o por
correo (dirección al final del documento) a la Sede
Internacional de ISACA, a la atención del director de
investigación de estándares y relaciones académicas. Este
material fue emitido el 15 de octubre de 2004.
Para la Auditoria de Sistemas Informáticos hay que tener en
cuenta:
A. Planeación
a. Los Estándares de Auditoría de SI de ISACA contienen
los principios básicos y procedimientos esenciales,
identificados en letras en negrita, los cuales son
obligatorios, junto con la documentación relacionada.
b. El propósito de esta Norma de Auditoria de SI es
establecer normas y brindar asesoría sobre la
planeación de una auditoría.
52
B. Estándar
a. El auditor de Sistemas Informáticos debe planear la
cobertura de la auditoría de sistemas de información
para cubrir los objetivos de la auditoria y cumplir con.
las leyes aplicables y las normas profesionales de
auditoría.
b. El auditor de SI debe desarrollar y documentar un
enfoque de auditoría basado en riesgos.
c. El auditor de SI debe desarrollar y documentar un plan
de auditoría que detalle la naturaleza y los objetivos de
la auditoría, los plazos y alcance, así como los recursos
requeridos.
d. El auditor de Sistemas Informáticos debe desarrollar un
programa y/o plan de auditoría detallando la naturaleza,
los plazos y el alcance de los procedimientos'
requeridos para completar la auditoría.
C. Comentario
a. Para una función de auditoria interna, debe
desarrollarse/actualizarse un plan, al menos una vez al
año, para las actividades permanentes. El plan debe
servir como marco de referencia para las actividades de
auditoría y servir para abordar las responsabilidades
establecidas por el estatuto de auditoría. El
nuevo/actualizado plan debe ser aprobado por el comité
de auditoría, en caso de que éste haya sido
establecido.
53
b. Para el caso de una auditoría externa de Sistemas
Información, normalmente debe prepararse un plan
para cada una de las tareas, sean o no de auditoría. El
plan debe documentar los objetivos de la auditoría.
c. El auditor de Sistemas Informáticos debe obtener un
entendimiento de la actividad que está siendo auditada.
El grado del conocimiento requerido debe ser
determinado por la naturaleza de la organización, su
entorno y riesgos, y por los objetivos de la auditoria.
d. El auditor de Sistemas Informáticos debe realizar una
evaluación de riesgos para brindar una garaf1tía
razonable de que todos los elementos materiales serán
cubiertos adecuadamente durante la auditoría. En este
momento, es posible establecer las estrategias de
auditoría, los niveles de materialidad y los recursos
necesarios.
e. El programa y/o plan de auditoría puede requerir
ajustes durante el desarrollo de la auditoría para
abordar las situaciones que surjan (nuevos riesgos,
suposiciones incorrectas o hallazgos en los
procedimientos ya realizados) durante la auditoria.
f. Debe consultarse la siguiente documentación para
obtener más información sobre la preparación de un
plan de auditoría.
D. Fecha operativa
a. Esta Norma de Auditoría de Sistemas Informáticos está en
vigencia para todas las auditorias de sistemas de
información que comiencen a partir del 1 de enero de 2005.
54
55
3.1.6 AUDITORIA FISICA
A) OBJETIVO
El objetivo general de la auditoria física es evaluar la funcionalidad,
racionalidad y seguridad de los medios físicos, así como también
comprobar la existencia de los mismos. Estos medios son: Edificio,
Instalaciones, Equipamiento y Telecomunicaciones Datos y
Personas.
B) ALCANCE
La Auditoria Física que se está realizando en la Escuela de
Postgrado perteneciente a la Universidad Nacional Pedro Ruiz
Gallo, involucra la Unidad de Informática como también al personal
que labora en ella.
El Alcance de esta auditoria son:
Revisar las disposiciones y reglamentos que conlleven al
mantenimiento orden dentro de la Unidad de Informática.
Verificar que el edificio e instalaciones de la Unidad de
Informática contemplen las situaciones de incendios, sabotajes,
robos, catástrofes naturales, etc.
Verificar el diseño arquitectónico de la edificación, así corno
también la distribución de los departamentos de la Unidad de
Informática.
Evaluar el equipo con el que se cuenta actualmente, sus
instalaciones eléctricas y el cableado de la red.
56
Analizar la existencia de medidas de evacuación, alarmas como
detección de incendios y salidas alternativas.
C) METODOLOGIA A UTILIZAR
Las acciones que hemos empleado para el desarrollo de la
auditoria física es:
1. Recopilación de la información.
Métodos:
a) Observación
Es un elemento fundamental de investigación que permite
comprobar la veracidad de los datos y las entrevistas y otras
implicancias relacionadas con la Auditoria Informática
b) EncuestaLa encuesta que se llevó a cabo nos proporcionó información
sobre la existencia del inventario del equipo informático, el
control que se realiza con éstos y una relación de productos
instalados en la unidad de informática. (VER ANEXO Nº 02)
o Definimos las preguntas que se iban a realizar en la encuesta
por medio de un cuestionario check - list.
o Este modelo de encuesta fue entregado a la persona
encargada de la Unidad con la finalidad de obtener la opinión.
57
c) Lectura de documentos fuentes
1. Para recopilar datos sobre los equipos existentes en la Unidad
de Informática como fue el Inventario de Hardware.
2. Tratamiento de la información recopilada que comprende el
análisis y evaluación de dicha información para detectar los
problemas habidos y por haber.
3. Consultar a técnicos' y personas de experiencia casos que
escapan a nuestro conocimiento.
4. Elaboración del informe de auditoria física en el cual se
reflejarán los problemas que atenten contra los daños físicos
tanto del equipo informático como del personal así corno la
seguridad de éstos, dentro de la Unidad de Informática de la
Escuela de Postgrado.
58
3.1.7 AUDITORIA OFIMÁTICA.
El término ofimática está definido como el sistema informático que se
genera, procesa, almacena, recupera, comunica y presenta datos
relacionados con el funcionamiento de la oficina.
El entorno ofimática, además de posibilitar la realización del trabajo
personal de cada empleado, debe permitir intercambiar la
información necesaria en los diversos procesos de la organización,
así como posibles interacciones con otras organizaciones.
Durante los últimos años se ha incrementado la oferta de
aplicaciones ofimática, debido principalmente al desarrollo de las
comunicaciones.
En esta parte del estudio recabaremos información escrita de la
empresa, en donde figuran todos los elementos físicos y lógicos de la
instalación. Es conveniente que en el inventario físico figuren
igualmente las líneas disponibles con los datos fundamentales de
cada una de ellas. El inventario de software debe contener todos los
productos lógicos del sistema desde el software básico hasta los
programas de utilidad adquiridos o desarrollados internamente. La
gestión de recursos humanos ya sea capacitaciones o nivel, de
conocimientos también se debe considerar.
a. Definición
Evaluación del sistema informático que Genera, Procesa,
Almacena y Presenta Datos relacionados con el funcionamiento de
la oficina con la finalidad de salvaguardar los activos, mantener la
integridad de los datos, llevar eficientemente los recursos y aplicar
adecuadamente los procedimientos y estándares establecidos.
59
b. Objetivo
El objetivo general dé la Auditoria Ofimática es evaluar la
funcionalidad, racionalidad y seguridad de las herramientas
informáticas utilizadas en la Unidad de Informática de la Escuela
de Postgrado:
c. Alcance
La auditoria de la ofimática realizada a la Escuela de Postgrado
Involucra a la Unidad de Informática.
El alcance de esta auditoria evalúa los siguientes aspectos:
o El Inventario de ofimática.
o Adquisición de equipos y aplicaciones.
o Política de mantenimiento de los equipos.
o Cambio de aplicaciones o versiones.
o Capacitación del personal y la documentación de apoyo.
o Revisar las medidas de seguridad adoptadas en cuanto a
aplicaciones se refiere.
o Evaluación de equipos y aplicaciones para ver si se ajustan a las
necesidades del estudio.
o Generación de copias de seguridad y la recuperación de la
información.
o Funcionamiento interrumpido de las aplicaciones.
o Infección de virus.
o Copias ilegales.
d. Documentos Fuentes:
Resumen de inventario del hardware con el que cuenta la Unidad de
Informática. (Anexo Nº 03).
60
e.Metodología a utilizar:
La metodología empleada que hemos utilizado para el desarrollo de
la auditoria ofimática es:
Recopilación de la Información.MétodosEntrevista:La entrevista se ha llevado a cabo para la recopilación de datos que
nos darán referencia de la situación ofimática actual de la Unidad de
Informática. (Anexo Nº 4).
- Definición con anterioridad de las preguntas para la entrevista.
- Solicitando la participación del Encargado de la Unidad de
Informática Durante La Entrevista.
Encuesta:La encuesta que se ha llevado a cabo nos proporcionó información
sobre la existencia del inventario, el control que se realiza con esta y
una relación de productos instalados en la Unidad de Informática.
(Anexo Nº 05).
Lectura de Documentos Fuentes:Para recopilar datos sobre los equipos existentes en la Unidad
Informática y Multimedia nos hemos guiado del Inventario de
Hardware.
61
3.1.8 AUDITORIA DE DIRECCION
Toda organización es el reflejo de las características de su dirección,
de allí que la auditoria de la dirección se entiende como la gestión de
la informática, abarcando las actividades básicas de todo proceso de
dirección: Planificar, Organizar, Coordinar y Controlar.
Planificar, cuando se trata de prever la utilización de las tecnologías
de la información en la Instrucción, elaborando para ello los planes
informáticos.
Organizar, cuando se estructuran los recursos, los flujos informáticos
y los controles que permitan alcanzar los objetivos trazados durante la
planificación.
Coordinar, involucra la comunicación y entendimiento para debatir los
grandes asuntos de la informática que afectan a toda la Institución y
permite a los usuarios conocer las necesidades del conjunto de la
organización y participar en las soluciones que planteen.
Controlar, consiste en controlar y efectuar un seguimiento
permanente de las actividades y vigilar el desarrollo de los planes
estratégicos, operativos y de los proyectos que se desarrollan, todo
ello dentro del respeto a la normativa legal aplicable.
a) Definición:Estudio de las funciones que realiza el personal directivo como son:
Planificar, organizar, coordinar y controlar las actividades propias
de] área en estudio con el fin de evaluar y brindar sugerencias para
alcanzar los objetivos y metas ti azadas por la organización.
b) ObjetivoEvaluar la gestión de la dirección de la institución, a través del
desarrollo y adecuación de los planes así como la adecuada
62
planificación de los Sistemas de Información para el procesamiento
de los datos.
c) Alcance:La auditoria de la dirección realizada en la Unidad de Informática de
la Escuela de Postgrado.
El alcance de esta auditoria involucra los siguientes aspectos:
Plan Estratégico de la Institución.
Tecnologías Informáticas desde le punto de vista de su contribución
de los fines de la Institución.
Asignación de recursos a las tareas y actividades presentes en el
plan.
Descripción de los puestos de trabajo.
Evaluar la comunicación entre el jefe de la Unidad y los empleados.
Planificar los requerimientos de tecnología de cada uno de los
usuarios.
Las pólizas de seguro y evaluar su cobertura existente.
Gestión de recursos humanos: selección, evaluación del
desempeño promoción del personal, contrato y finalización de un
empleado.
d) Documentos Fuentes: Manual de Organización y Funciones de la Escuela de Postgrado.
Actualmente la Unidad de Informática no cuenta con:
Manual de Organización y funciones
Pólizas de Seguro.
Metodología de planificación.
Normativa empresarial documentada.
Manual de Organización y funciones.
63
e) Metodología a Utilizar:La metodología empleada en el desarrollo de al auditoria de la
dirección es:
Recopilación de InformaciónMétodos
ENTREVISTA:La entrevista se ha llevado a cabo para la recopilación de datos que
nos darán referencias de la situación actual de gestión de dirección
de la Unidad de Informática (ANEXO Nº 06).
Tratamiento de la información recopilada, que comprende el análisis
y la evaluación de dicha información para detectar los problemas
habidos y por haber.
Elaboración del informe de auditoria de la dirección, en el cual se
reflejarán los problemas que atentan contra el normal
funcionamiento de la gestión de la dirección en la empresa.
Elaboración de un segundo informe de auditoria de dirección, en el
cual se solucionarán los problemas encontrados.
64
3.1.9 AUDITORIA DE DESARROLLO
Para tener una buena administración por proyectos se requiere que el
analista o el programador y su jefe inmediato elaboren un plan de
trabajo en el cual se especifiquen actividades, metas, personal
participante y tiempos. Este plan debe ser revisado periódicamente
(semanal, mensual, etc.) para evaluar el avance respecto a lo
programado. La estructura estándar de la planeación de proyectos
deberá incluir la facilidad de asignar fechas predefinidas de
terminación de cada tarea. Dentro de estas fechas debe estar el
calendario de reuniones de revisión, las cuales tendrán diferentes
niveles de detalle.
El objetivo del control de diseño de sistemas y programación es
asegurarse de que el sistema funcione conforme a las
especificaciones funcionales, a fin de que el usuario tenga la suficiente
información para su manejo, operación y aceptación. Las revisiones se
efectúan en forma paralela desde el análisis hasta la programación y
sus objetivos que son los siguientes:
ETAPA DE ANÁLISIS Identificar inexactitudes, ambigüedades y
omisiones en las especificaciones.
ETAPA DE DISEÑO Descubrir errores, debilidades, omisiones antes
de iniciar la codificación.
ETAPA DE PROGRAMACIQN Buscar la claridad, modularidad y
verificar con base en las especificaciones.
Esta actividad es muy importante ya que el costo de corregir errores
es directamente proporcional al momento que se detectan: si se
descubren en el momento de programación será más alto que si se
detecta en la etapa de análisis.
65
a) OBJETIVO:
Verificar la existencia y aplicación de procedimientos de control
adecuados que permitan garantizar el desarrollo de sistemas de
información y si se han llevado a cabo según los principios de
Ingeniería del Software, o por el contrario determinar las
deficiencias que existen al respecto y los riesgos asociados a estas
carencias de control.
b) ALCANCE
Evaluar los diferentes procedimientos y técnicas utilizadas para el
desarrollo de los sistemas de información de la escuela de
Postgrado.
c) METODOLOGÍA
Conocer las tareas que se realizan en el área de desarrollo,
algunas de las funciones son:
Planificación.
Desarrollo de sistemas.
Estudio de nuevos lenguajes, técnicas, metodologías,
estándares, herramientas, etc.
Establecimiento de un plan de capacitación
Establecimientos de normas y controles.
Se procede a la auditoria; la cual se subdivide en:
Auditoria de la organización y gestión del área de desarrollo
Auditoria de proyectos de desarrollo de sistemas de
información. (Anexo N° 07).
66
3.1.10 AUDITORIA DE BASE DE DATOS
Todo sistema de información manipula datos, los cuales pasan por
tres fases determinadas las cuales son: ingreso, proceso y salida.
Los datos ingresados al sistema son almacenados en la base de
datos previa validación, al realizar transacciones y/o operaciones se
accede a dicha base para manipularlos a través de los procesos
respectivos para luego actualizarlos o procesar la información que se
desea obtener a través de un medio de salida.
Esto nos demuestra que la base de datos es el corazón mismo del
sistema y los datos es el recurso fundamental de las empresas, para
los cuales se deben establecer ciertos controles que nos permitan
asegurar su integridad y seguridad.
a. OBJETIVO
El objetivo de esta auditoria consiste en verificar:
o La existencia y aplicación de procedimientos de control
adecuados para la integridad de la información de la base de
datos de la institución.
o La confidencialidad en la información almacenada en la base
de datos.
o La seguridad de la basé de datos existente.
b. ALCANCE DE LA AUDITORIA
La auditoria de la base de datos, ha sido realizada en Unidad de
Informática de la Escuela de Postgrado.
Las limitaciones del equipo auditor son:
Económicas, debido a la inversión que requiere el contrato de
personal especializado y mi condición de estudiante, el auditor
no ha podido, "realizar de forma satisfactoria' esta auditoria, ya
67
que la información de evaluar una Base de datos elaborado en
ACCESS no habría brindado mucha información.
Tiempo, debido a la carga académica de] auditor, así como el
tiempo que dispone la persona que elabora en dicha oficina, es
por ello que el auditor no pudo realizar las pruebas de
verificación y corroboración de la información recibida.
c. METODOLOGIA
La metodología empleada para el desarrollo de la auditoria de la
base de datos es:
1. Recopilación de la informaciónMétodos
ENTREVISTA:La entrevista se ha llevado a cabo para la extracción de
información que nos dará referencia de la situación actual del
manejo de la base de datos. (Anexo Nº 8).
ENCUESTA:Encuesta realizada a la personal encargado del desarrollo de la
base de datos de la Unidad. (Anexo Nº 9).
2. Tratamiento de la información recopilada
Comprende el análisis y la evaluación de dicha información
para detectar los problemas habidos y por haber.
3. Elaboración del Informe de auditoria de la Base de Datos
En el presente informe se reflejarán los problemas que atenten
contra el normal funcionamiento de la base da datos.
68
3.1.11. AUDITORIA DE RED
Red es un conjunto de computadoras y dispositivos que se
comunican entre si proporcionando entorno necesario para que los
usuarios desde diferentes ubicaciones tengan acceso en condiciones
similares a la Información.
a. OBJETIVOS:
Evaluar y Analizar la Red de la Unidad de Informática, de la
Escuela de Postgrado de la Universidad Pedro Ruiz Gallo, su
performance y funcionamiento.
Revisar y Verificar los procedimientos de manejo y administración
de esta red y proponerlos en caso no existan.
Definir que la función de gestión de redes y comunicaciones esta
claramente definida.
Evaluar los componentes físicos de la red.
Evaluar los controles de eficiencia y eficacia de la red.
b. ALCANCE:
Para llevar a cabo el estudio de la Red de la Unidad de
Informática, el alcance se ha dividido en las siguientes partes:
Diseño lógico de la red:
Evaluar el diseño lógico de la red existente y hacer
recomendaciones sobre los cambios necesarios para el
desempeño y/o confiabilidad, con base en las necesidades
actuales. y futuras.
69
Diseño físico de la red:
Evaluar toda la infraestructura de cableado para determinar la
fuente de los problemas de desempeño en tina red existente o
probar si la Infraestructura actual puede utilizarse con una nueva
tecnología de red.
Desempeño de la red:
Evaluar el desempeño de la red y hacer recomendaciones de
cómo mejorarlo.
Las limitaciones del Auditor son:
Económicas, Debido a nuestra condición de estudiantes
dependientes económicamente.
Tiempo, Debido a la carga académica del Equipo Auditor.
Confidencialidad institucional, Debido a las condiciones que la
Escuela de Postgrado impone.
70
IV. MARCO EMPÍRICO
4.1 TIPO DE INVESTIGACIÓN:
Diagnóstico - Propositiva.
Fue Diagnóstica porque ha permitido conocer la realidad del Sistema
Informático, mediante la aplicación de una Auditoria Especializada.
Es Propositiva en la medida que lo arrojado por el diagnóstico nos ha
permitido elaborar una propuesta para el mejor funcionamiento y uso del
sistema informático de la Escuela de Postgrado.
4.2 DISEÑO DE LA INVESTIGACIÓN:
El diseño ha sido Descriptivo Correlacional, que se representa así:
M O
Donde:M : Muestra de estudio.O : Observación de la variable: Sistema Informático
4.3 POBLACIÓN Y MUESTRA DE ESTUDIO
La población es todos los Sistemas Informáticos del área de la Unidad de
Informática de la Escuela de Postgrado de la Universidad Nacional
"Pedro Ruiz Gallo" que consta de equipos con el cual he trabajado por
ser pequeño.
71
4.4 RECOLECCIÓN DE LA INFORMACIÓN
Técnica de Gabinete: Permite la recolección del material
bibliográfico, mediante el fichaje, selección e interpretación del
mismo.
Técnica de Campo: Recolección de la Información, mediante la
aplicación de cuestionarios para los que trabajan en el área de
informática, entrevista a profesores expertos, alumnos y observación
de la realidad del proceso de uso de la red informática.
72
V. MATERIALES Y MÉTODOS
5.1. AREA DE ESTUDIO - UBICACION
El área comprendida como influencia del presente trabajo es la Escuela
de Postgrado de la ciudad de Lambayeque, ubicada en la Provincia de
Lambayeque, departamento de Lambayeque.
5.2. TIPO DE ESTUDIO
El tipo de estudio fue de Constatación, y la Auditoria del Sistema
Informático que se desarrolló fue muy confiable ya que me ha permitido
tener conocimiento exacto del funcionamiento del Sistema Informático
de la Unidad de Informática de la Escuela de Postgrado de la
Universidad Nacional "Pedro Ruiz Gallo".
5.3 POBLACIÓN DE ESTUDIO
Fue el conjunto del Sistema Informático que posee la Escuela de
Postgrado de la Universidad Nacional "Pedro Ruiz Gallo" de la Ciudad
de Lambayeque.
73
VI. ANÁLISIS DE LA INFORMACIÓN RECOGIDA
6.1. PROBLEMAS ENCONTRADOS EN LA AUDITORIA FÍSICA
A. Situación Actual
De acuerdo a la investigación realizada, se han observado las
siguientes situaciones:
1. Sobre Seguridad Física
El área auditada cuenta con un local propio en la Escuela de
Postgrado, donde está funcionando La Unidad de Informática e
Internet (ANEXO Nº 01).
Los ambientes son apropiados en cuanto a dimensión
ambientación, iluminación y ventilación.
Se verificó que el área cuenta con un su ambiente respectivo pero
supervisadas por el encargado de dicha Unidad.
El tendido de la red en el área es el adecuado ya que se
encuentra protegido, no exponiéndose a posibles cortos circuitos
y/o caída de la red.
No cuenta con servicio de vigilancia exclusiva para la Unidad
Existen prohibiciones para el consumo de alimentos bebidas y
cigarrillos dentro de la Unidad pero no se encuentra debidamente
señalizado mediante carteles de prohibición para los usuarios.
Las Salidas de Emergencia no están debidamente señalizadas.
El área cuenta con un extintor automático a Base de gas, el cual
no está debidamente señalizado.
La Escuela de Postgrado, no cuenta con un plan ante desastre,
por lo que se corre riesgos tanto el personal como para el equipo.
74
2. Sobre el Personal
En el Manual de Funciones no se especifican detalladamente de
las funciones por lo que el personal no sabe ciencia cierta hasta
que punto pueden llegar a desenvolverse.
No se brinda capacitación al personal para actuar en caso de
emergencias.
El personal que se encuentra laborando en la Unidad de
Informática no cuentan con seguros de respaldo.
El personal no cuenta con el control de acceso respectivo.
Existe la vigilancia adecuada del comportamiento del personal que
maneja el sistema de cómputo con el fin de mantener una buena
imagen y evitar un posible fraude.
3. Sobre los Equipos Informáticos
El servidor de red se encuentra en un lugar no visible y restringido
para los usuarios.
El mantenimiento es un gasto periódico.
No cuenta con ningún tipo de seguros en caso de provocarse
algún accidente en esta área.
El contrato de mantenimiento se realiza cuando el encargado de la
Unidad no pueda detectar o solucionar la falla del equipo.
No existe una empresa con la cual se realicen los contratos de
mantenimiento de manera fija.
El mantenimiento lo realiza el encargado de la Unidad.
4. Plan de Contingencia.
Actualmente la Unidad de Informática no cuenta con un plan de
contingencia el cual ayude a lograr la operatividad de la Unidad.
75
5. Sobre los Datos.
Los backups de la información existentes son realizados
semanalmente.
Sólo se almacenan información con relación a los documentos
enviados o recibidos en la Unidad.
La información con respecto al inventario del equipo de cómputo
se encuentra almacenada en archivos de Excel y Word.
No se cuenta con una base de datos respectiva que almacene la
información con respecto al personal y equipo respectivo de la
Unidad.
Si se cuenta con claves de acceso para la obtención de la
información por parte del personal.
6. Sobre los Contratos de Seguros
Actualmente el personal de la Unidad de Informática no cuenta
con ningún tipo de seguro.
No existe cobertura de seguro para los equipos (Hardware) en
caso de robo, fraude y otros.
B. Consecuencias
1. Sobre Seguridad Física
Perdida de la información confidencial de la Escuela por falta de
control de acceso a la Unidad.
Producirse deterioros en los equipos informáticos por el
desconocimiento de las prohibiciones dadas en la Unidad por
parte de los usuarios.
Producirse un incendio y no ser detectado o sofocado a tiempo por
falta de medidas contra este tipo de catástrofe.
76
2. Sobre el Personal
Desactualización del personal ante los avances tecnológicos de la
computación informática.
Incumplimiento en la realización de sus funciones designadas.
Desorientación del personal en el cumplimiento de sus funciones
ante la mala elaboración del Manual de Organización y Funciones.
3. Sobre los Equipos Informáticos.
Pérdida o robo de equipo informático por falta se seguridad
exclusiva a la Unidad.
Deterioro del equipo informático.
No detectar a tiempo fallas producidas en el equipo informático.
4. Plan de Contingencia.
No se puede hacer frente a algunos problemas que se presenten
en la institución.
Retraso en las gestiones de solución.
Pérdida económica por transacciones inconclusas.
5. Sobre los Datos.
Pérdida o deterioro de los archivos de inventario o de otra
información.
Acceso a la información por parte de personas ajenas a la Unidad.
6. Sobre los Contratos de Seguros
Pérdida considerable para la Escuela en caso de desastres, robo,
fraude y otros hechos.
77
C. Recomendaciones
1. Sobre Seguridad Física
Contar con personal de seguridad propio, asignándole la
responsabilidad a una persona confiable y responsable.
Se deben establecer medidas de seguridad en cuanto al control de
acceso de personas extrañas al recinto de la Unidad de
Informática.
Sugerir la adquisición de basureros, al menos dos para cada uno
de los ambientes.
Contar con registro de incidencias.
Colocar Carteles que prohíban el consumo de Alimentos, Bebidas
y Cigarrillos dentro de la Unidad.
Señalizar debidamente las salidas de Emergencia.
Ubicar el extintor en un lugar accesible, libre de toda clase de
obstáculos a 1.70 cm. del suelo y debidamente señalizado.
Adquirir dispositivos que detecten humo y fuego.
Contar con una agenda de números telefónicos en casos de
emergencia.
Tener una buena relación con las fuerzas del orden, bomberos u
otros, con el Fin de obtener sus beneficios como la realización de
actividades preventivas de simulacro, inspecciones, etc.
Establecerse señalización y megafonía de emergencia, tanto
externa como interna.
2. Sobre el Personal
Desarrollar cursos periódicos (como mínimo 3 veces por año)
sobre:
- Administración de redes informáticas.
- Ensamblaje de Microcomputadoras.
- Ética Profesional.
78
Coordinar con Defensa Civil y los Bomberos con el fin de que
capaciten al personal en casos de incendio, desastres,
inundaciones, etc.
Elaborar un Manual de Organización y Funciones con las
actualizaciones requeridas y difundirlo al personal.
Elaborar y Establecer políticas de evaluación del personal.
Establecer Mecanismos de selección de personal.
Solicitar antecedentes personales.
Solicitar recomendaciones.
Solicitar nivel de desempeño.
Solicitar experiencia Laboral.
Llevar acabo convenios con otras instituciones para capacitar a
su personal, mediante el desarrollo de cursos.
Hacer un seguimiento de la asistencia y desempeño del personal
capacitado.
La capacitación por parte de la Institución se dará al personal de
mejor desempeño.
El Personal capacitado esta facultado para enseñar lo aprendido
al resto del personal.
Brindárseles un seguro en caso de accidentes.
Brindar una buena atención a los usuarios como el apoyo en:
Consultas, Preguntas Frecuentes, Resolución de problemas,
Asesoramiento.
3. Sobre los Equipos Informáticos
Asesoria permanente, capacitación, conversión y prueba del
equipo, experiencia y el tiempo de garantía disponible por parte
del proveedor.
Contar con un almacén de piezas y dispositivos de reemplazo en
caso ocurriera una falla.
Realizar el mantenimiento de los Equipos Informáticos de la
Unidad de Informática de forma periódica por parte del Personal.
79
Disponer de un aporte Económico por parte de la Escuela de
Postgrado para la actualización de los Equipos en la Unidad de
Informática.
4. Plan de Contingencia
Realizar un plan de contingencia ante desastres y la difusión del
mismo.
Elaborar un plan de contingencia acorde con la realidad actual.
5. Sobre los Datos
Realizar backups periódicamente de los archivos almacenados en
el servidor.
Elaborar una base de datos para mantener la información en
forma ordenada y de rápida obtención.
Establecer un procedimiento de etiquetación de la información.
Utilizar métodos para la captura de los accesos a los documentos
y de las transacciones.
6. Sobre los Contratos de Seguros
Proponer al Director de la Escuela de Postgrado la adquisición de
seguros contra siniestros (sismo, incendio, robos, etc.) que cubran
de manera global a la Escuela de Postgrado y por consecuente a
la Unidad de Informática frente a cualquier siniestro.
80
6.2 PROBLEMAS ENCONTRADOS EN LA AUDITORIA OFIMÁTICA
Existe un resumen, de inventario de hardware hasta la 3° semana de
Julio del 2005 pero no es el adecuado sólo se detallan datos generales
(Anexo N° 03).
A. Situación Actual
No existe un inventario del Software
Posible sustracción de licencias de programas.
Actualización y borrado de las aplicaciones sin previa autorización.
Adquisición e instalación de aplicaciones existentes o con versiones
inferiores.
Ubicación de las aplicaciones en áreas no designadas. Pérdida de
recursos.
Reemplazo de recursos.
Insuficiente conocimiento de las utilidades y capacidades de los
equipos y aplicaciones no existen programas de capacitación para
que el personal se adapte a las nuevas tecnologías adquiridas.
No se realizan copias de seguridad ya que no existe información que
salvaguardar.
No se cuenta con manuales de usuario.
B. Consecuencias:
Pérdida de eficacia y eficiencia en su utilización.
Retrazo en ciertas actividades en caso de ausencia del personal
capacitado.
Manipulación incorrecta por desconocimiento o falta de
aprovechamiento de la información impartida.
La falta de programa de capacitación traer como consecuencia la
desactualización del personal tardándose más tiempo en la
actualización de los cambios.
81
La falta de disponibilidad de datos vitales para reanudar las
operaciones, generaría la paralización de los sistemas, causando
considerables pérdidas económicas.
Pérdida o alteración de datos.
Ante cualquier inconveniente los usuarios no tienen un medio de
consulta.
C. Recomendaciones:
Realizar un inventario de la totalidad del hardware y software
existentes en la unidad de informática y organizándolo por
necesidades.
Asignar a un responsable con conocimiento de computación para la
actualización del inventario de aplicaciones.
Establecer un plan de capacitación con objetivos, metas y estrategias
claramente definidas y programadas.
Entregar la documentación de la operatividad del producto.
Tener fácil acceso a la documentación operativa del producto en caso
de necesidad.
Evaluación constante del personal en el uso correcto de la
operatividad del producto asignado.
Asignar la responsabilidad de la realización de copias de seguridad de
la información vital verificando su periocidad.
Verificar el adecuado almacenamiento y fiabilidad de las copias de
seguridad realizadas.
Realizar un inventario de los soportes que contienen las copias de
seguridad y de la información contenida en ella.
Cuando las aplicaciones se desarrollen por personal Interno a la
Escuela se debe definir una metodología dentro de la cual se tome en
cuenta la creación de dichos manuales.
Ubicación de los manuales de usuario de manera que se encuentren
accesible al personal de oficina e incentivar su uso.
82
6.3 PROBLEMAS ENCONTRADOS EN LA AUDITORIA DE DIRECCIÓN
A. Situación Actual
No se tiene una Planificación Estratégica documentada de la Unidad
de Informática.
La descripción de los puestos de trabajo de cada área no está
documentada.
B. Consecuencias
Contratación de personal que no está apta para el puesto al que
aspira.
Desconocimiento de las actividades, responsabilidades y autoridad
(Jefes de área) que comprenden cada puesto de trabajo.
Exceso de obligaciones a desempeñar por el personal.
C. Recomendaciones
Tener claros los objetivos de la Unidad de Informática para realizar la
planificación.
Los planes que se desarrollen, deben seguir los Iineamientos de los
objetivos de la Unidad de Informática.
Participación de los usuarios en el proceso de planificación.
Contar con un mecanismo de seguimiento y actualización de los
planes en relación con la evolución de la empresa.
Desarrollar aprobar, distribuir y actualizar la descripción de los
puestos de trabajo en cada área según la evaluación de la institución.
Tener en cuenta los conocimientos técnicos y/o experiencias
necesarias para cada puesto de la institución, especialmente con
conocimiento o especialista en el Área de Informática y Computación.
Desarrollar, aprobar, distribuir y actualizar la descripción de los
puestos de trabajo en cada área según la evaluación de la institución.
83
6.4 PROBLEMAS ENCONTRADOS EN LA AUDITORIA DEDESARROLLO
A. Situación Actual
En la Escuela de Postgrado, no existe un área de desarrollo definida.
Falta de procedimientos para la propuesta y aprobación de nuevos
proyectos informáticos, por parte de los directivos que conducen la
Escuela de Postgrado.
B. Consecuencias
No cuenta con la asesoría respectiva que garanticen la gestión
proyectos informáticos de calidad.
Las fases que involucran el desarrollo de sistemas deben estar
sometidas a un exigente control interno, caso contrario, además de la
elevación de los costes, podrá producirse la insatisfacción del usuario.
C. Recomendaciones
Se propone la creación de un área de desarrollo la cual formará parte
del Departamento de Informática, esta área contará con 4 personas
expertas, cuyas funciones estarán definidas en el Manual de
Organización y Funciones, las cuales abarcará el Análisis y la
Programación de Sistemas.
Evaluar los requerimientos de factibilidad tecnológica una vez
implementada el área de desarrollo.
Determinar la posibilidad de adquisición de nuevos equipos para el
área o una redistribución de los existentes.
Definir claramente, el procedimiento para la creación y presentación
de proyectos informáticos.
Documentar estos procedimientos en un Manual de Procedimientos.
84
6.5 PROBLEMAS ENCONTRADOS EN LA AUDITORIA DE BASE DEDATOS
A. Situación Actual
El manejador de base de datos no es el adecuado para cumplir con
las funciones asignadas.
No existe Manuales donde se definan las Entidades y Atributos de la
Base De Datos.
B. Consecuencias
No existe un soporte efectivo sobre el control de la integridad
referencial.
No se puede controlar la redundancia debido a que no cuenta con la
integridad referencial.
Dificulta el mantenimiento y actualización de las bases de datos.
Dificulta la migración a nuevas plataformas.
Dificulta la integración de los sistemas existentes.
Dificultad en la localización de errores y omisiones.
C. Recomendaciones
Realizar una consultaría de las OBMS (manejadores de base de
datos), existentes actualmente.
Migra a un sistema manejador de base de datos, más apropiado, y
que esta pueda contar con herramientas de diseño y administración de
bases de datos.
Capacitar al personal que van a realizar la administración de las bases
de datos.
Elaboración de un manual de diseño de base de datos.
Brindar capacitación sobre cursos de diseño de base de datos al
personal desarrollador de sistemas informáticos.
85
6.6 PROBLEMAS ENCONTRADOS EN LA AUDITORIA DE REDES
Actualmente se encuentra una Red concentrada en la Unidad de
Informática, donde se encuentran instalados los Sistemas
correspondientes a la Institución y presenta las siguientes
características:
- Sistema Operativo de Red Windows XP con Service Pack 2.- Estándar: Ethernet 802.11- Tarjeta de Red Intel® PRO/100 VE NETWORK CONNECTION.- Topología: Estrella- Tipos de Conectores: RJ-45- Número de Servidores: 1- Número de estaciones: 37- Cable utilizado: Par trenzado categoría 5.
Los equipos se ubican dentro de la Institución en una unidad, con las
siguientes características:
UNIDAD DE INFORMÁTICA
Se encuentra conformada por 37 computadoras interconectadas en red.
Esta Unidad es usada para el uso de Internet, dictado de clases para los
maestrantes, doctorantes y docentes de la Escuela de Postgrado.
Características de los equipos
37 Computadoras Pentium IV de Fabricación y Soporte de CompaqComputer Corporation.
Opera como: Estación.
Capacidad de Disco Duro SAMSUNG: 40 Gb.
Memoria RAM: 256 Mb Y 128 Mb.
86
Monitor COMPAQ 5500 de 14".
Tarjeta de Video Intel ® 82845G/GL Graphics Controller.
Lectora COMPAQ CD-ROM L TN 486S.
Diskettera 3 1/2 COMPAQ.
Teclado Estándar de 101/102 teclas o Microsoft Natural PS/2Keyboard.
Mouse COMPAQ LOGITECH.
Sound MAX Integrated Digital Audio.
Bus PCI.
Controladora de almacenamiento Ultra Ata Intel® 82801 DB - 24CB.
METODOLOGÍA A UTILIZAR
El procedimiento que se ha seguido para llevar a cabo este estudio ha
sido el siguiente:
Definir los puntos que se van a Investigar el estudio de la Red de la
Unidad de Informática.
Realizar una observación general de la Red de la Unidad de
Informática.
Definir las preguntas que se van a realizar en la encuesta. (Ver
Anexo Nº 10) Realizar las conclusiones y comentarios.
MÉTODOS Y HERRAMIENTAS UTILIZADAS
Se realizó encuestas para la realización de este estudio de la aplicación
informática, cuyo formato se encuentra en el (Anexo N° 10).
SEGURIDAD LÓGICA
Se sabe que la información que viaja por la red es importante y
confidencial, por lo que se debe tratar de evitar daños que puedan
causar alteración en la información.
87
Amenazas que puede presentarse:
Modificación o eliminación de la Información.
La supervisión no autorizada de la transmisión de datos.
Reemplazar a un usuario de la red por otro no autorizado.
SEGURIDAD FÍSICA
Amenazas que se pueden presentar:
Ubicación de los servidores en lugares donde existe mucho tráfico de
personas.
Problemas con la energía eléctrica que se pueden presentar en la
Unidad Informática.
Colocar cables en lugares por donde transitan las personas,
pudiendo ocasionar daños en el cableado que pueden dejar sin
funcionamiento alguna estación.
A. Situación Actual
Actualmente no cuentan con manuales que contengan lo siguientes
procedimientos para la utilización física y lógica de la red, para
realizar cambios de Hardware y Software, procedimientos de
autorización para conectar nuevo equipo en el área, procedimientos
de prueba que cubre la introducción de cualquier nuevo equipo o
cambio en la red de comunicaciones.
En cuanto al uso directo del Servidor, le correspondería a una sola
persona, el administrador de la red, hecho que no se cumple, ya que
es administrado por el Red Telemática.
No existe planes y/o procedimientos para el uso correcto de la red.
No se cuenta con diagramas de red que documenten las conexiones.
No existe un monitoreo de la secuencia de tramas.
88
B. Consecuencias
No se puede detectar la incorrecta secuencia de tramas.
No existe un constante mantenimiento del sistema de red, no se
aplican herramientas periódicas para la reparación mejorando su
rendimiento.
No se verifican constantemente las transacciones que se realizan en
la red y los elementos de información a los que hacen referencia.
No se tendrán cifras estadísticas de utilización, como la frecuencia de
consultas y transacciones y el número de accesos a la red.
C. Recomendaciones
En cuanto al uso de la red, sería conveniente un plan de utilización
de la misma detallándose también, los procedimientos para conectar
un nuevo equipamiento en la misma .
En el Anexo Nº 11 se agrega un formato para el inventario del equipo
de red.
Elaborar informes técnicos sobre ka operatividad, mantenimiento y
conservación de los equipo de computo, con una frecuencia de 15
días.
Realizar el monitoreo de la red en forma periódica para garantizar el
buen funcionamiento de la misma.
Los equipos deben contar con una etiquetación respectiva para su
reconocimiento.
Asignar claves a los usuarios para acceder a la red, a los servicios, a
las aplicaciones y a la base de datos, evitando de esta manera que
personas no autorizadas tenga acceso a la red. El encargado de
asignar estas claves es el administrador de la red, las cuales deben
de cambiarse de forma periódicas.
Disminuir el uso de Diskettes, para evitar el contagio de virus, los
cuales tienden a infiltrarse en la red y ocasionar daños a los
diferentes sistemas de la unidad.
89
Implementar normas de seguridad para el uso de Diskettes,
adquiriendo programas de antivirus con su respectiva licencia.
Instruir a los usuarios sobre la forma de trabajo en la red, impartiendo
conocimientos sobre la forma de inicializar y finalizar correctamente
sesiones en la red, evitando de esta manera posibles fallas en los
sistemas.
Realizar copia de seguridad, es el administrador de la red quien
determinará cada que tiempo y que parte de la base de debe de
guardar.
Llevar un registro de accesos diarios de usuarios.
Ubicar el Servidor Dedicado en un lugar apropiado, donde el acceso
sea restringido y alejado de personas extrañas a la Unidad.
Utilizar UPS(Reguladores de Energía) en el caso de que tenga algún
problema con los cortes de energía eléctrica, parpadeos y caídas de
voltaje. En dicho UPS se encontraría conectado el Servidor.
Ubicar los cables de energía en lugares por donde se sabe no
pasaran las personas, evitando de esta manera que alguna estación
de trabajo y hasta el propio Servidor deje de funcionar.
El administrador de la red debe realizar el manejo de fallas para
prevenir, diagnosticar y reparar posibles fallas en los diferentes
componentes de la red.
Realizar copias de seguridad de la información más importante.
Etiquetar los diferentes equipos electrónicos, que estén conectados a
la red.
Documentar la etiquetación de los equipos.
Proteger los cables de la red mediante canaletas y ordenándolos de
una manera segura para evitar la utilización de cable innecesario.
90
CONCLUSIONES1. No existe un manual de funciones adecuado para el buen
funcionamiento de la Unidad de Informática.
2. Falta adecuar el local donde funciona la Unidad de Informática, estáexpuesta a perdidas, desastres, incendios y otras accionesperjudiciales a la Unidad.
3. No existe un inventario de Software; peligro de multas por uso noautorizado de software. Puede llevar a la Perdida de informaciónconfidencial.
4. No cuenta con la asesoría respectiva que garantice proyectosinformáticos de calidad.
5. Dificultad para la integración de los sistemas existentes, migración anuevas plataformas.
6. No existe un constante mantenimiento del sistema de red; no seaplican herramientas periódicas para la reparación y mejorando surendimiento.
7. El uso del Software de informática permite una mayor eficiencia en larealización de la Auditoria, que se traduce en la reducción de lostiempos, para tomar adecuadas decisiones.
8. En la EPG – UNPRG no se ha realizado ningún tipo de Auditoria de susSistemas Informáticos, por lo que me he preocupado en efectuar esteestudio. He seguido buscando instrumentos de aplicación a una partede la Auditoria a los Sistemas Informáticos, (Ver anexo # 13)
91
RECOMENDACIONES1. Elaboración y puesta en práctica del manual de funciones de la
Unidad de informática.
2. Dotar al local donde funciona la Unidad de Informática de todas lasseguridades necesarias, en el acceso, equipos contra incendios.
3. Realizar un adecuado inventario y mantenimiento de los activos dela Unidad de Informática, tanto de hardware como de software.
4. Adquisición de Licencias para el uso de los diferentes softwares enla Unidad de Informática.
92
BIBLIOGRAFÍA
Arens A. Alvin -1996 - Auditoria Un enfoque Integra. Editorial Prentice Hall
Hispanoamérica S.A. – México.
Bernal, Rafael y Coltell, Óscar - 1999 - Auditoria de Sistemas Informáticos.
Editorial Univ. Politécnica de Valencia.
Auditoria – España.
Blanco Encinosa, Lázaro J. - 2001 - "Auditoria y Sistemas Informáticos"
Editorial TRIAS – España.
Cooper & Librand S.A. - 1992 - "Informe COSO", Instituto de Auditores
Internos de España - Madrid - Editorial Trias -
España.
Enciclopedia de la Auditoria - 1998 - Editorial Océano, 6ta edición -
Ciudad México.
Gómez R. Francisco - 2000 - Auditoria Administrativa - Editorial Prentice Hall
Hispanoamérica S.A. - México
Lázaro Víctor - 1995 - Sistemas y Procedimientos - Editorial Rama - Madrid
Li H. David - 1998 - Auditorias en centros de cómputo - Editorial Trias -
España.
López de SA Antonio - 1974 - Curso de Auditoria de los sistemas de
información - Editorial DESCO – Lima
Methoware - 2004 - "Guía de usuario del ProAudit/Advisor" - Nueva Zelanda.
93
Piatini, Mario y Del Peso, Emilio - 1999 - Auditoria Informática. Un enfoque
práctico - Editorial Rama – Madrid
Senn A. James – 1999 - Análisis y Diseño de sistemas de información.
Editorial Mc Graw Hill- España
Valencia R. Joaquín – 1997 - Sinopsis de Auditoria Administrativa - Editorial
Trias - España.
Vilchez I. César (CCI) – 1997 - Administración de centros de computo -
Editorial UNAC - Perú.
William P. Leonard - 1999 - Auditoria Administrativa - Editorial Prentice Hall
Hispanoamérica S.A. - México.
PAGINAS WEB:
Audinet: http://www,audinet.org
Sans Institute: http://www.sans.org
Sistema Informático: http://www.monografias.com/trabajos15/sistemas-informático
94
A N E X O S
95
ANEXO Nº 01UNIDAD DE INFORMÁTICA
96
ANEXO Nº 02
ENCUESTA PARA LA AUDITORÍA FÍSICA
NOMBRE:
CARGO:
FECHA:
1. ¿Se cuenta con un local propio?SI ( ) NO ( )
2. ¿Se cuenta con extintores para caso de incendio?SI ( ) NO ( )
3. ¿Están capacitados los trabajadores que laboran en la Unidad deInformática en el manejo de los extintores?SI ( ) NO ( )
4. ¿Los interruptores de energía están debidamente protegidos,etiquetados, y sin obstáculos para alcanzarlos?SI ( ) NO ( )
5. ¿El personal ajeno a operación sabe que hacer en el caso de unaemergencia (incendio)?SI ( ) NO ( )
6. ¿Existe salida de emergencia?SI ( ) NO ( )
97
7. ¿Se ha adiestrado a todo el personal en la forma en que se debendesalojar las instalaciones en caso de emergencia?SI ( ) NO ( )
8. ¿Se ha tornado medidas para minimizar la posibilidad de fuego:
a) Evitando artículos inflamables en todas las áreas de la UnidadSI ( ) NO ( )
b) Prohibiendo fumar a los operadores en el interiorSI ( ) NO ( )
c) Vigilando y manteniendo el sistema eléctricoSI ( ) NO ( )
d) No se ha previsto ( )
9. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidasen el interior de las diferentes áreas de la Facultad para evitar daños alos equipos existentes?SI ( ) NO ( )
98
ANEXO N° 03
1. INVENTARIO DE OFIMÁTICA.
Inventario de Hardware:No se cuenta con un formato estándar, sólo se cuenta con un resumen. No
existe un procedimiento de actualización de este inventario, este resumen de
inventario solo se ha aplicado al área de Informática. Este resumen de
inventario de Hardware no refleja la realidad, faltan dispositivos que
describir. Inventario de Software: No existe un formato estándar de este
inventario, ni un resumen de las aplicaciones, sólo existe conocimiento de
éste de manera general.
2. Cambio de aplicaciones o de versiones
Se hacen instalaciones temporales (mientras se requiera), las
instalaciones son ilegales.
No se realiza una evaluación con respecto al software es decir la
instalaciones de estas no se revisan las necesidades mínimas que
estas requieran.
3. Capacitación del personal y documentación de apoyo
No existe personal en esta Unidad que este debidamente capacitado.
No existen documentos o manuales de apoyo para el
desenvolvimiento del personal.
4. Generación de copias de seguridad
Podemos apreciar que no se realizan copias de seguridad ya que no
existe información que salvaguardar ya que no hay sistemas de
información.
99
5. Infección de virus
Si llegan a suceder por lo cual no hay control, solo existe técnicas de
eliminación con software antivirus.
6. Licencias de Uso
Sólo cuentan con licencias de uso para el Windows XP SERVICE PACK
2 y Office XP para las 37 máquinas existentes en esta unidad para el
resto de aplicaciones no cuentan con licencias de uso.
Relación de aplicaciones que no cuentan con licencias de uso:
WINZIP, ACROBAT READÉR, SPSS, ETC.
100
ANEXO N° 04ENTREVISTA DE AUDITORIA OFIMATICA
ENTIDAD:
NOMBRE:
FECHA: HORA:
1. ¿Existe inventario de hardware y software en la Unidad de Informática?¿Con qué frecuencia se realiza? ¿Están actualizados con lainformación?
2. ¿El inventario refleja con exactitud los equipos y aplicacionesexistentes?
3. ¿Existe un responsable a cargo de la revisión constante de laautorización del inventario?
4. ¿Cuenta con normas y procedimiento para la adquisición, recepción yutilización de equipos y aplicaciones?
5. ¿Se cuenta con una persona capacitada para la adquisición de equiposy aplicaciones?
6. ¿Cuenta con normas o procedimientos para la realización de loscambios y versiones de las aplicaciones?
7. ¿Se capacita periódicamente al personal? Cuentan con documentaciónde apoyo para desarrollar sus tareas?
8. ¿En que modalidad se adquirió el software de la unidad informática?Cuentan con manuales?
101
9. ¿Existen planes de formación en nuevas tecnologías o productos depersonal encargado del mantenimiento de la empresa?
10. ¿Se controlan los accesos ala empresa en turnos u horarios fuera delregular?
11. ¿Existen normas que se sancionen al personal en caso de negligenciaen el uso de software o hardware?
102
ANEXO N° 05ENCUESTA DE AUDITORIA OFIMATICA
1. Para llevar a cabo un control sobre los equipos (hardware) que se tieney sobre los productos que ésta contiene (software) es preciso contar uninventario, lo cual proporcionara está información que es muy valiosapara la institución.
a) ¿Tiene Usted conocimiento de la existencia de este documento?
Si ( ) No ( )
b) Cómo habíamos mencionado este documento es muy vital para lainstitución por tal motivo es muy importante tenerlo actualizado¿Tiene Usted conocimiento de quien es la persona encargada de estafunción?
Área:______________________________Personal: __________________________Cargo: ____________________________
Área: ______________________________Personal: __________________________Cargo: _____________________________
i) ¿Podría Mencionar Usted con que frecuencia este documento seactualiza y/o que situaciones obligan a actualizar este documento?
- Tiempo: Selección una opciónDías: [ ] Semanas: [ ] Quincenas: [ ] Meses: [ ] Semestral: [ ]Anual: [ ] No Sabe: [ ] Es de forma irregular: [ ]
103
- Situaciones: Selección una o más opciones, o mencione algunas [ ]- Al realizar la adquisición de un nuevo equipo. [ ]- Al deteriorarse un equipo. [ ]- Al darse una nueva reubicación del equipo. [ ]- _________________________________________- _________________________________________- _________________________________________
ii) ¿Según lo mencionado podemos concluir que se realiza estáactualización Podría Usted mencionar como es-que se realiza unproceso de verificación y control en esta actualización si estaexiste?
2. En una organización como instituciones, no sólo es indispensabletener conocimiento de los equipos informáticos ya que estos nofuncionarían, sino tiene el software por lo que es indispensable suestudio a manera de no cumplir alguna irregularidad ya que estopodría ser perjudicial para la empresa.
a) En toda organización la información es de suma importancia por lacual esta llega a ser automatizada u organizada por diferentesproductos informáticos (software o programas). ¿Mencione Ustedque productos cuenta la organización para cumplir este propósito?
A manera de ejemplo podemos mencionarWord XP para procesar TextoExcel XP para mis hojas de cálculo
Software Versión Fin para su uso_______________ _______________ ___________________________________ _______________ ____________________
104
ANEXO N° 06ENTREVISTA DE AUDITORIA DE LA DIRECCIÓN
ENTIDAD:
NOMBRE:
FECHA:
HORA:
1. ¿Existen planes estratégicos a corto y largo plazo?
2. ¿Existe un proceso de planificación?
3. ¿Los planes se encuentran debidamente documentados?
4. ¿Tienen una metodología de planificación?
5. ¿Existe un mecanismo de seguimiento de los planes?
6. ¿Cuáles son las funciones y responsabilidades de los puestos detrabajo?
7. ¿Se encuentran documentadas las funciones y responsabilidades?
8. ¿Cuentan con estándares de funcionamiento, y procedimiento?
9.- ¿Existe una política de adquisición de bienes?
10. ¿Se encuentra documentada la descripción de cada puesto detrabajo?
11. ¿Existe una adecuada política de selección del personal?
105
12. ¿Existe una adecuada política de rendimiento del personal?
13. ¿Existe una adecuada política de promoción del personal?
14. ¿Existe una adecuada política de contrato y finalización depersonal?
15. ¿Como es la comunicación entre el gerente y el personal detrabajo?
16. ¿Cómo se maneja el presupuesto económico en las áreas?
17. ¿Tienen mecanismo de control y seguimiento de las actividades delas áreas?
18. ¿Cuentan con reglamentos internos?
19. ¿Los reglamentos están documentados?
20. ¿Se cuenta con mecanismos de control de la normativaempresarial en cada área?
106
ANEXO N° 07
1. Auditoria de la Organización y Gestión del Área de DesarrolloAunque cada proyecto de desarrollo tenga entidad propia y se gestione con
cierta autonomía, para poderse llevar a cabo necesita apoyarse en el
personal del área y en los procedimientos establecidos.
Objetivo 1.
Organizar y Planificar el Área de Desarrollo.
Debe establecerse de forma clara las funciones del área de desarrollo
dentro de la Unidad de informática.
Debe especificarse el organigrama con la relación de puestos del área así
como el personal adscrito y el puesto que ocupa cada persona.
Debe existir un procedimiento para la promoción del personal.
El área debe tener y difundir su, propio plan a corto, medio y largo plazo,
que será coherente con el plan de sistemas, si este existe.
El área de desarrollo llevará su propio control presupuestario.
Objetivo 2
Establecer medidas de seguridad ilógica y física.
Deben existir procedimientos de contratación de objetos.
Debe existir un plan de formación que este en concordancia con los objetos
tecnológicos que se tengan en el área.
Debe existir un protocolo de recepción I abandono para las personas que se
incorporan o abandonan el área.
Debe existir una biblioteca y una hemeroteca accesibles por el personal del
área.
El personal debe estar motivado en la realización de su trabajo. Este
aspecto es difícil de valorar y no es puramente técnico.
107
Objetivo 3
Alinear el Plan del Área de Desarrollo al Plan de Sistemas.
La realización de nuevos proyectos debe basarse en el plan de sistemas en
cuanto a objetivos, marco general y horizonte temporal.
El plan de sistemas debe actualizarse con la información que se genera a lo
largo de un proceso de desarrollo.
Objetivo 4
Regular la creación y aprobación de proyectos de sistemas de la Escuela de
Postgrado.
Debe existir un procedimiento de aprobación de nuevos proyectos.
Debe existir un procedimiento, de aprobación de nuevos proyectos que
dependerá de que exista o no plan de sistemas.
Objetivo 5
Gestionar los recursos humanos y materiales en el Área de Desarrollo.
Debe existir un procedimiento para asignar director y equipo de desarrollo a
cada nuevo proyecto.
Debe existir un procedimiento para conseguir os recursos materiales
necesarios para cada proyecto.
2. Auditoria de Proyectos de desarrollo de Sistemas de InformaciónLa auditoria de cada proyecto de desarrollo tendrá un plan distinto
dependiendo de los riesgos, la complejidad y los recursos disponibles para
realizar la auditoria.
Aprobación, Planificación y gestión de proyectos
La aprobación de un hecho previo al comienzo del mismo, mientras que la
gestión se realiza a lo largo del mismo.
108
La planificación se realiza antes de iniciarse, pero sufrirá cambios a medida
que el proyecto avanza en el tiempo.
Objetivo 1
Aprobar y planificar el desarrollo de proyectos informáticos.
Debe existir una orden de aprobación del proyecto que defina claramente los
objetivos, restricciones y las unidades afectadas.
Debe distinguirse un responsable o director del proyecto.
El proyecto debe ser catalogado y, en función de sus características, se
debe determinar el modelo dé ciclo de vida que seguirá.
Una vez determinado el ciclo de vida a seguir, se debe elegir el equipo
técnico que realizará el proyecto y se determinará el plan del proyecto.
Objetivo 2
Gestionar el desarrollo de proyectos informáticos.
Los responsables de las unidades o áreas afectadas por el proyecto deben
participar en las gestiones del proyecto.
Se debe establecer un mecanismo para la resolución de los problemas que
puedan plantearse a lo largo del proyecto.
Debe existir un control de cambios a lo largo del proyecto.
Cuando sea necesario reajustar el plan de proyecto, normalmente al finalizar
un módulo o fase, debe de hacerse en forma adecuada.
Debe hacerse un seguimiento de los tiempos empleados tanto por tarea
como a lo largo del proyecto.
Se debe controlar que se sigan las etapas del ciclo de vida adoptado para el
proyecto y que se generan todos los documentos asociados a la
metodología usada.
Cuando termina el proyecto se debe cerrar toda la documentación del
mismo, liberar los recursos empleados y hacer balance.
109
3. Auditoria de la Fase de Análisis.Se pretende obtener un conjunto de especificaciones formales que describan
las necesidades de información que deben ser cubiertas por el nuevo
sistema de una forma dependiente del entorno técnico.
Análisis de Requerimiento del Sistema (ARS)
Aquí se identifican los requisitos del nuevo sistema:
Objetivo 1
Determinar los requerimientos del sistema.
En el proyecto deben participar usuarios de todas las unidades a las que
afecte el nuevo sistema. Esta participación, que se hará normalmente a
través de entrevistas, tendrá especial importancia en la definición de
requisitos del sistema.
Se debe realizar un plan detallado de entrevistas con el grupo de usuarios
del proyecto y con los responsables de las unidades afectadas, que permita
conocer cómo valoran el sistema actual y lo que esperan del nuevo sistema.
A partir de la información obtenida en las entrevistas, se debe documentar el
sistema actual así como los problemas asociados al mismo. Se debe
obtener también un catálogo con los requisitos del nuevo sistema.
Objetivo 2
En el Proyecto de desarrollo se Utilizara la alternativa más favorable para
conseguir que el sistema cumpla los requisitos establecidos.
Dados los requisitos del nuevo sistema se deben definir las diferentes
alternativas de construcción con sus ventajas e inconvenientes. Se
evaluarán las alternativas y se seleccionará la más adecuada.
110
La actualización del plan de proyecto seguirá los criterios ya comentados.
Especificación Funcional del Sistema (EFS)
Una vez conocido el sistema actual, los requisitos del nuevo sistema y las
alternativas de desarrollo' más favorables, se elaborará una especificación
funcional del sistema.
Objetivo 1
El nuevo sistema debe especificarse de manera completa desde el punto de
vista funcional y debe ser aprobado por los usuarios.
Se debe realizar un modelo lógico del nuevo sistema, incluyendo Modelo
Lógico de Procesos (NW) y Modelo Lógico de Datos (MLD), ambos deben
ser consolidados para garantizar su coherencia, Debe existir el diccionario
de datos.
Debe definirse la forma en que el nuevo sistema interactuará con los
distintos usuarios. Esta es la parte más importante para el usuario porque
definirá su forma de trabajo con el sistema.
La especificación del nuevo sistemas incluirá los requisitos de seguridad,
rendimiento, copias de seguridad y recuperación, etc.
Se debe especificar las pruebas que el nuevo sistema debe superar para ser
aceptado.
La actualización del plan de proyecto seguirá los criterios ya comentados,
detallándose en este punto en mayor medida la entrega y transición al nuevo
sistema.
111
4. Auditoria de la Fase de Diseño.En esta fase se elaborará el conjunto de especificaciones físicas del nuevo
sistema que servirá de base para la construcción del mismo.
Diseño Técnico del Sistema
Objetivo 1
Elaborar un Diseño Lógico del sistema garantizando su Calidad.
El entorno tecnológico debe estar definido de forma clara y ser conforme a
los estándares del departamento de informática.
Se deben identificar todas las actividades físicas a realizar por el sistema y
descomponer las mismas de forma modular.
Se debe diseñar- la estructura física de datos adaptando las
especificaciones del sistema al entorno tecnológico.
Se debe diseñar un plan de pruebas que permita la verificación de los
distintos componentes del sistema por separado, así como el funcionamiento
de los distintos subsistemas y del sistema en conjunto.
5. Auditoria de la Fase de Construcción.En esta fase se programarán y probarán los distintos componentes y se
pondrán en marcha los procedimientos necesarios para que los usuarios
puedan trabajar con el nuevo sistema.
Desarrollo de los Componentes del sistema
Objetivo 1
Definir y desarrollar los componentes que formarán parte del sistema.
112
Se debe preparar adecuadamente el entorno de desarrollo y de pruebas, así
como los procedimientos de operación, antes de iniciar el desarrollo.
Se debe programar, probar y documentar cada uno de los componentes
identificados en el diseño del sistema.
Deben realizarse las pruebas de integración.
Desarrollo de los Procedimientos de Usuario.
Objetivo 1
o El desarrollo de los componentes de usuario debe estar planificado.
o Se deben especificar los perfiles de usuario requeridos para el nuevo
sistema.
o Se debe desarrollar todos los procedimientos de usuario con arreglo a los
estándares del área.
o A partir de los perfiles actuales de los usuarios, se deben definir los
procesos de formación o selección de personal necesario.
o Se deben definir los recursos materiales necesarios para el trabajo de los
usuarios con el nuevo sistema.
6. Auditoria de la Fase de Implementación
En esta fase se realizará la aceptación del sistema por parte de los usuarios,
además de las actividades necesarias para la puesta en marcha.
113
Pruebas, Implementación y Aceptación del Sistema
Objetivo 1
Garantiza la realización de las pruebas especificadas en la fase anterior.
Se debe realizar las pruebas del sistema que se especificaron en el diseño
del mismo.
El plan de implantación y aceptación se debe revisar para adaptarlo a la
situación final del proyecto.
El sistema debe ser aceptado por los usuarios antes de ponerse en
explotación.
Objetivo 2
Ejecutar los planes del establecimiento final del sistema en la organización.
Se debe instalar todos los procedimientos de explotación.
Si existe un sistema antiguo, el sistema nuevo se pondrá en explotación de
forma coordinada con la retirada del antiguo, migrando los datos si es
necesario.
Debe firmarse el final de la implantación. Se debe supervisar el trabajo de
los usuarios.
Para terminar el proyecto se pondrá en marcha el mecanismo de
mantenimiento.
114
ANEXO N° 8ENTREVISTA
Evaluación Sobre La Existencia, Manejo de un Sistema de Información
Personal:Cargo:
Sobre el manejo de información, y el software de gestión existente:
- Tiene usted conocimiento si existe o existió un sistema informático.
- Podría mencionar que tipo de información manejaba este sistema.
- Explique Brevemente el propósito por la cual fue creado este sistema.
- Actualmente el sistema esta en funcionamiento
a) Existe propuesta para el desarrollo de un nuevo sistema de información.
b) Está conforme con el desempeño del sistema existente.
- Mencione Usted quien esta a cargo de operar dicho sistema
a) Mencione quien es el encargado de realizar el mantenimiento de sistema.
b) Mencione brevemente que operaciones se realizan en el manejo de dicho
sistema
c) Mencione Usted. Quien es el encargado del mantenimiento de sistema de
Información.
d) El Sistema de información resguarda copias de seguridad.
e) Conque frecuencia se realiza esta tarea de resguardo de la información.
f) Explique brevemente los pasos o procedimiento que sé realizar para cumplir
esta tares de resguardo de información.
115
ANEXO N° 9
ENCUESTA
Sobre el desarrollo del sistema Informático, metodológicas, análisis e
implantación.
Esta encuesta se realiza a las siguientes personas, ya que poseen un
conocimiento de base de datos, y seguridad de la información.
Personal:Cargo:
- Sobre el sistema informático, su ambiente de trabajo
a) La elaboración del sistema informático mencione Usted si contaba conun área para su desarrolloSi ( )No ( )
- Actualmente esta situación se sigue reflejandoSi ( )No ( )
- Cuanto tiempo empleaba Usted diariamente para el desarrollo de estesistema
Días Número de Horas ______Semanas Número de Horas______
116
- Como se produjo la elaboración de este sistema
a) Quienes solicitaron dicha elaboraciónDirectivos___________________________________________________Nombre_____________________________________________________Cargo_______________________________________________________Iniciativa propia ______________________________________________
- Sobre el Entorno de trabajo de sistema
a) Sobre la plataforma de trabajo del sistema (marque una o másopciones)
- Windows [ ] Versión:__________________________- Windows NT [ ] Versión:__________________________- Novell [ ] Versión:__________________________-Otros______________________
- De esta selección mencione cual de esta cuenta con licencia para su uso
b) Sobre el manejador de base de datos del sistema informáticomencione el nombre de esteSoftware: _______Versión: ________
- Contaba con licencia de uso Si ( ) No ( )
117
ANEXO N° 10ENCUESTA PARA EL ESTUDIO DE REDES
NOMBRE:Cargo:Fecha:Hora:
1. ¿Se controla el acceso a la red? ¿Cómo?
2. ¿Existen procedimientos de seguridad Física y lógica de la red?
3. ¿Existe algún control para evitar la modificación de la configuración dela red?
4. ¿El cableado de la red está debidamente protegido?
5. ¿Existen procedimientos para el uso de la red?
6. ¿Que tipo de mantenimiento existen en él Centro de Computo?
7. ¿Cada cuanto tiempo se realiza el mantenimiento de la Red?
118
ANEXO N° 11FORMATO DE INVENTARIO PARA EL EQUIPO DE REDES
OFICINA: _______________________________________________________INFORMACIÓN PROPORCIONADA POR: ____________________________TELEFONO: _____________________________ FECHA: _______________
CÓDIGO
PATRIMONIAL
NOMBRE
DEL
EQUIPO
MODELO FABRICANTE FECHA DE
FABRICACIÓN
DISTRIBUIDOR
AL QUE SE LE
COMPRÓ
PRUEBAS
DATOS INGRESADOS POR:_______________________________________
FIRMA
119
ANEXO N° 12ANÁLISIS DE COSTO
Costo Unitario del Equipo S/. 3 600
Computadora Pentium IV de Fabricación y Soporte de Compaq ComputerCorporation.Disco Duro SAMSUNG: 40 Gb.Memoria RAM: 256 Mb Y 128 Mb.Monitor COMPAO 5500 de 14".Tarjeta de Video Intel ® 82845G/GL Graphics Controller.Lectora COMPAO CD-ROM L TN 486S.Diskettera 3 1/2 COMPAQ.Teclado Estándar de 101/102 teclas o Microsoft Natural PS/2 KeyboardMouse COMPAO LOGITECH.Sound MAX Integrated Digital Audio.Bus PCI Controladora de almacenamiento Ultra Ata Intel® 82801 DB-24CB
Costo Total de los Equipos S/.133 200
Costo de Software y Licencia S/. 3 000
Costo de Bienes S/. 30 000Mueble para computadoraImplementos de la Unidad de Informática
TOTAL S/.166 200
120
ANEXO Nº 13
METODOLOGÍA INTEGRAL PARA LA GESTIÓN DE RIESGOSOPERATIVOS RELACIONADOS CON TÉCNOLOGIAS DE LA
INFORMACIÓN Y SISTEMAS DE INFORMACIÓNMIGRO TI / SI
INFORMACIÓN DE LA INSTITUCION YEL RESPONSABLE DEL PROCESO DE GESTION DE RIESGO
DATOS DE LA INSTITUCIÓN
Razón Social:
Dirección:
Ruc:
Gerente o Director:
Representante de informática:
Página Web:
E-mail:
DATOS DEL RESPONSABLE DEL PROCESO DE GESTIÓN DE RIESGOS
Responsable:
Líder del proyecto:
Fecha inicio:
Fecha de entrega:
RELACIÓN DE ACTIVOS TOMADOS EN CUENTA POR MIGROTI/SI
121
RELACIÓN DE ACTIVOS TOMADOS EN CUENTA POR MIGRO TI/SI
Nº Descripción del activo Nivel deimportancia
1 Servidores y concentradores 0Ingresar prob. del
activo 1
2 Base de Datos 0Ingresar prob. del
activo 2
3 Software del Sistema, Software de ofimática, Sistemas operativos,Aplicativos 0
Ingresar prob. delactivo 3
4 Sistemas de Respaldo 0Ingresar prob. del
activo 4
5 Red Física (cableado, concentradores, patch cord, etc.) 0Ingresar prob. del
activo 5
6 Red Lógica (perfiles, niveles de acceso, etc.) 0Ingresar prob. del
activo 6
7 Usuarios 0Ingresar prob. del
activo 7
8 Documentación de programas, hardware, sistemas, procedimientosadministrativos locales, manuales, etc. 0
Ingresar prob. delactivo 8
9 Datos de usuarios 0Ingresar prob. del
activo 9
10 Hardware (teclado, monitor, unidades ) 0Ingresar prob. del
activo 10
11 Insumos (cartuchos de tinta, tóner, papel, etc.) 0Ingresar prob. del
activo 11
CÁLCULO DE LOS NIVELES DE VULNERABILIDAD DE CADA ACTIVO
122
Nº deActivo Nombre del Activo Nivel de
Importancia Factor de Riesgo Prob. deOcurrencia
% Prob. deRiesgos
Nivel deVulnerabilidad
1Servidores y
concentradores
0
Acceso no autorizado a datos 0 0,00 0,00
Administración impropia del sistema de TI 0 0,00 0,00
Corte de luz, UPS descargado o variaciones de voltaje 0 0,00 0,00
Destrucción de un componente 0 0,00 0,00
Entrada sin autorización a la Sala de Comunicaciones 0 0,00 0,00
Error de configuración 0 0,00 0,00
Factores ambientales 0 0,00 0,00
Límite de vida útil – Máquinas obsoletas 0 0,00 0,00
Inadecuada planificación organizacional 0 0,00 0,00
Mantenimiento inadecuado o ausente 0 0,00 0,00
Modificación no autorizada de datos 0 0,00 0,00
Robo 0 0,00 0,00
Sabotaje 0 0,00 0,00
Virus 0 0,00 0,00
Cantidad de Factores de riesgo = 14 0,00 0,00
123
Nº deActivo Nombre del Activo Nivel de
Importancia Factor de Riesgo Prob. deOcurrencia
% Prob. deRiesgos
Nivel deVulnerabilida
d
2 Bases de Datos 0
Acceso no autorizado a los datos0
0,00 0,00
Base de Datos mal estructurada0
0,00 0,00
Copia no autorizada de datos0
0,00 0,00
Documentación deficiente0
0,00 0,00
Errores de software0
0,00 0,00
Falla de base de datos0
0,00 0,00
Falta de confidencialidad0
0,00 0,00
Falla en los medios externos0
0,00 0,00
Falta de espacio de almacenamiento0
0,00 0,00
Ingreso de datos con caracteres no válidos o datos duplicados0
0,00 0,00
Pérdida de backups0
0,00 0,00
Pérdida de confidencialidad en datos privados y de sistema0
0,00 0,00
Impresoras o directorios compartidos0
0,00 0,00
Robo0
0,00 0,00
Sabotaje0
0,00 0,00
Virus0
0,00 0,00
124
Cantidad de Factores de riesgo = 16 0,00 0,00
Nº deActivo
Nombre delActivo
Nivel deImportancia Factor de Riesgo Prob. de
Ocurrencia% Prob.
deRiesgos
Nivel deVulnerabilid
ad
3
Software delSistema,
Software deofimática,Sistemas
operativos,Aplicativos
0
Aplicaciones sin licencias0
0,00 0,00
Dependencia del proveedor0
0,00 0,00
Error de configuración0
0,00 0,00
Falla del sistema0
0,00 0,00
Falta de compatibilidad0
0,00 0,00
Falta de revisión de las actualizaciones del "CAUTIVO"0
0,00 0,00
Falta de Aplicaciones para la Toma de Decisiones0
0,00 0,00
Insuficiencia de cláusulas en el contrato de mantenimiento0
0,00 0,00
Insuficiencia de cláusulas en el contrato de Adquisición0
0,00 0,00
Mala Administración de control de acceso (salteo de login, etc.)0
0,00 0,00
Pérdida de datos0
0,00 0,00
Inadecuada adaptación a cambios del sistema0
0,00 0,00
Software desactualizado0
0,00 0,00
Virus0
0,00 0,00
125
Cantidad de Factores de riesgo = 14 0,00 0,00Nº deActivo
Nombre delActivo
Nivel deImportancia Factor de Riesgo Prob. de
Ocurrencia% Prob. de
RiesgosNivel de
Vulnerabilidad
4 Sistemas deRespaldo 0
Copia no autorizada de datos0
0,00 0,00
Corte de luz, UPS descargado o variaciones de voltaje0
0,00 0,00
Errores de software0
0,00 0,00
Falla en medios externos0
0,00 0,00
Falta de espacio de almacenamiento0
0,00 0,00
Falta de integridad de los datos resguardados0
0,00 0,00
Medios de datos no están disponibles cuando son necesarios0
0,00 0,00
Pérdida de backups0
0,00 0,00
Robo0
0,00 0,00
Sabotaje0
0,00 0,00
Virus0
0,00 0,00
Cantidad de Factores de riesgo = 11 0,00 0,00
126
Nº deActivo
Nombre delActivo
Nivel deImportanci
aFactor de Riesgo
Prob. deOcurrenci
a
% Prob.de
Riesgos
Nivel deVulnerabilida
d
5
Red Física(cableado,
concentradores, patch cord,
etc.)
0
Conexión de cables inadmisible 0 0,00 0,00
Daño o destrucción de cables o equipamientoinadvertido 0 0,00 0,00
Factores ambientales 0 0,00 0,00
Límite de vida útil de equipos 0 0,00 0,00
Longitud de cables de red excedida 0 0,00 0,00
Mal mantenimiento 0 0,00 0,00
Riesgo por el personal de limpieza o persona externa 0 0,00 0,00
Cantidad de Factores de riesgo = 7 0,00 0,00
127
Nº deActivo
Nombre delActivo
Nivel deImportancia Factor de Riesgo
Prob. deOcurrenci
a
% Prob.de
Riesgos
Nivel deVulnerabilidad
6
Red Lógica(perfiles,
niveles deacceso,
etc.)
0
Abuso de puertos para el mantenimiento remoto 0 0,00 0,00
Ausencia o falta de segmentación 0 0,00 0,00
Configuración inadecuada de componentes de red 0 0,00 0,00
Errores de configuración y operación 0 0,00 0,00
Falta de autenticación 0 0,00 0,00
Inadecuada administración para el acceso a Internet ycorreo electrónico 0 0,00 0,00
Cantidad de Factores de riesgo = 6 0,00 0,00
128
Nº deActivo
Nombre delActivo
Nivel deImportancia Factor de Riesgo Prob. De
Ocurrencia% Prob.
deRiesgos
Nivel deVulnerabilidad
7 Usuarios 0
Acceso no autorizado a datos 0 0,00 0,00
Borrado, modificación o revelación desautorizada o inadvertidade información 0 0,00 0,00
Condiciones de trabajo adversas 0 0,00 0,00
Destrucción negligente de datos 0 0,00 0,00
Documentación deficiente 0 0,00 0,00
Entrada sin autorización a habitaciones 0 0,00 0,00
Entrenamiento de usuarios inadecuado 0 0,00 0,00
Falta de auditorias 0 0,00 0,00
Falta de cuidado en el manejo de la información (Ej. Claves) 0 0,00 0,00
No cumplimiento con las medidas de seguridad del sistema 0 0,00 0,00
Perdida de confidencialidad o integridad de datos comoresultado de un error humano 0 0,00 0,00
Desvinculación del personal 0 0,00 0,00
Cantidad de Factores de riesgo = 12 0,00 0,00
129
Nº deActivo
Nombre delActivo
Nivel deImportancia Factor de Riesgo
Prob. deOcurrenci
a
% Prob.de
Riesgos
Nivel deVulnerabilida
d
8
Documentaciónde programas,
hardware,sistemas,
procedimientosadministrativos
locales,manuales, etc.
0
Acceso no autorizado a datos de documentación 0 0,00 0,00
Borrado, modificación o revelación desautorizada deinformación 0 0,00 0,00
Copia no autorizada de un medio de datos 0 0,00 0,00
Descripción de archivos inadecuada 0 0,00 0,00
Destrucción negligente de datos 0 0,00 0,00
Documentación insuficiente o faltante, funciones nodocumentadas 0 0,00 0,00
Factores ambientales 0 0,00 0,00
Mantenimiento inadecuado o ausente 0 0,00 0,00
Robo 0 0,00 0,00
Uso sin autorización 0 0,00 0,00
Virus, gusanos y caballos de Troya 0 0,00 0,00
Cantidad de Factores de riesgo = 11 0,00 0,00
130
Nº deActivo
Nombre delActivo
Nivel deImportanci
aFactor de Riesgo
Prob. deOcurrenci
a
% Prob.de
Riesgos
Nivel deVulnerabilida
d
9 Datos deusuarios 0
Falta de espacio de almacenamiento 0 0,00 0,00
Pérdida de backups 0 0,00 0,00
Pérdida de confidencialidad en datos privados y desistema 0 0,00 0,00
Robo 0 0,00 0,00
Sabotaje 0 0,00 0,00
Cantidad de Factores de riesgo = 5 0,00 0,00
131
Nº deActivo
Nombre delActivo
Nivel deImportancia Factor de Riesgo
Prob. deOcurrenci
a
% Prob.de
Riesgos
Nivel deVulnerabilida
d
10Hardware(teclado,monitor,
unidades)0
Corte de luz, UPS descargado o variaciones de voltaje 0 0,00 0,00
Destrucción o mal funcionamiento de un componente 0 0,00 0,00
Factores ambientales 0 0,00 0,00
Límite de vida útil de equipos 0 0,00 0,00
Mal mantenimiento 0 0,00 0,00
Robo 0 0,00 0,00
Cantidad de Factores de riesgo = 6 0,00 0,00
132
Nº deActivo
Nombre delActivo
Nivel deImportancia Factor de Riesgo Prob. de
Ocurrencia% Prob.
deRiesgos
Nivel deVulnerabilidad
11Insumos
(cartuchos detinta, tóner,papel, etc.)
0
Factores ambientales 0 0,00 0,00
Límite de vida útil 0 0,00 0,00
Recursos escasos 0 0,00 0,00
Uso descontrolado de recursos 0 0,00 0,00
Robo 0 0,00 0,00
Cantidad de Factores de riesgo = 5 0,00 0,00
133
Cálculo de importancia ideal de los activos
Nº ActivosSum. deRiesgos(Niv. de
Vulnerab.)% Importancia
(actual) % Dif. de%
Dif. deImp.
Importancia(Ideal)
1 Servidores y concentradores 0,00 #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0!2 Base de Datos 0,00 #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0!
3 Software del Sistema, Software de ofimática,Sistemas operativos, Aplicativos 0,00 #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0!
4 Sistemas de Respaldo 0,00 #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0!
5 Red Física (cableado, concentradores, patchcord, etc.) 0,00 #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0!
6 Red Lógica (perfiles, niveles de acceso, etc.) 0,00 #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0!7 Usuarios 0,00 #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0!
8Documentación de programas, hardware,sistemas, procedimientos administrativoslocales, manuales, etc. 0,00 #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0!
9 Datos de usuarios 0,00 #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0!10 Hardware (teclado, monitor, unidades ) 0,00 #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0!11 Insumos (cartuchos de tinta, tóner, papel, etc.) 0,00 #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0!
0,00 #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0!
134
Niveles de vulnerabilidad teniendo en cuenta distintas escalas de importanciaNº Activos Imp. (1 a
10)R % Imp. (1
a 3)R % Imp. (1 ) R %
1 Servidores y concentradores 0,00 #¡DIV/0! 429 13,20 143 10,00
2 Base de Datos 0,00 #¡DIV/0! 431 13,26 144 10,07
3 Software del Sistema, Software de ofimática, Sistemas operativos, Aplicativos 0,00 #¡DIV/0! 557 17,14 186 13,01
4 Sistemas de Respaldo 0,00 #¡DIV/0! 409 12,58 136 9,51
5 Red Física (cableado, concentradores, patch cord, etc.) 0,00 #¡DIV/0! 200 6,15 100 6,99
6 Red Lógica (perfiles, niveles de acceso, etc.) 0,00 #¡DIV/0! 233 7,17 117 8,18
7 Usuarios 0,00 #¡DIV/0! 283 8,71 142 9,93
8Documentación de programas, hardware, sistemas, procedimientosadministrativos locales, manuales, etc 0,00 #¡DIV/0! 291 8,95 145 10,14
9 Datos de usuarios 0,00 #¡DIV/0! 200 6,15 100 6,99
10 Hardware (teclado, monitor, unidades ) 0,00 #¡DIV/0! 117 3,60 117 8,18
11 Insumos (cartuchos de tinta, tóner, papel, etc.) 0,00 #¡DIV/0! 100 3,08 100 6,99
0,00 #¡DIV/0! 3250,00 100,00 1430,00 100,00
135
Valores máximos y mínimos reales
Nº Activos - Riesgos totales (Sin ponderar la importancia) (333) % (111) % (123) %
1 Servidores y concentradores 300,00 9,09 100,00 9,09 0 0,00
2 Base de Datos 300,00 9,09 100,00 9,09 0 0,00
3
Software del Sistema, Software de ofimática, Sistemasoperativos, Aplicativos
300,00 9,09 100,00 9,09 0 0,00
4 Sistemas de Respaldo 300,00 9,09 100,00 9,09 0 0,00
5 Red Física (cableado, concentradores, patch cord, etc.) 300,00 9,09 100,00 9,09 0 0,00
6 Red Lógica (perfiles, niveles de acceso, etc.) 300,00 9,09 100,00 9,09 0 0,00
7 Usuarios 300,00 9,09 100,00 9,09 0 0,00
8
Documentación de programas, hardware, sistemas,procedimientos administrativos locales, manuales, etc
300,00 9,09 100,00 9,09 0 0,00
9 Datos de usuarios 300,00 9,09 100,00 9,09 0 0,00
10 Hardware (teclado, monitor, unidades ) 300,00 9,09 100,00 9,09 117 100,00
11 Insumos (cartuchos de tinta, tóner, papel, etc.) 300,00 9,09 100,00 9,09 0 0,00
3300,00 100,00 1100,00 100,00 117,00 100,00
136
Porcentajes de riesgos cubiertos
Porcentaje de Riesgos Descubiertos 3,55
Porcentaje de Riesgos Mínimos 33,33
Desviación -29,79
137
REPORTE FINAL MIGRO-TI/SI
DATOS DE LA INSTITUCIÓNRazón Social: 0
Dirección: 0
Ruc: 0
Gerente o Director: 0
Representante de informática: 0
Página Web: 0
E-mail: 0
DATOS DEL RESPONSABLE DEL PROCESO DE GESTIÓN DE RIESGOSResponsable: 0Líder del proyecto: 0Fecha inicio: sábado, 00 de enero de 1900Fecha de entrega: sábado, 00 de enero de 1900
Porcentajes de riesgos cubiertos
Porcentaje de Riesgos Descubiertos 3,55
Porcentaje de Riesgos Mínimos 33,33
Desviación -29,79