NOTAS FINALES ACTUALIZADAS

NOTAS UNIREMINGTON MÓDULO AUDITORÍA INFORMÁTICA

NOTA DEFINITIVA

NOMBRES Y APELLIDOS

• ALEXANDER BETANCOURTH MONCADA 3.5 TRABAJO CON CORRECCIONES VIA CORREO ELECTRÓNICO
• ANA MARIA VALENCIA ISAZA 5.0
• ANA SILVIA PACHON MEJIA 4.0
• BEATRIZ PELAEZ DUQUE 4.0
• CARLOS ALBERTO FERNANDEZ CORREA 4.0
• CARLOS AUGUSTO JIMENEZ 4.0
• DIANA PATRICIA GIRALDO GUTIERREZ 4.0
• DORA LUCIA VALDES 4.4
• EDDIE LIVINGTON SEGURA CABEZAS NO ASISTIO
• ESPERANZA DEL SOCORRO PULGARIN OSORIO 4.0
• FANOR IVAN CORDOBA ORDOÑEZ 3.9
• GERMAN ALONSO OCAMPO MESA 5.0
• GLORIA ISABEL VILLEGAS MEJIA 4.0
• HAROLD ORLANDO PENA BETANCOURT 4.0
• JAIME ANTONIO SUAREZ 4.0
• JAVIER MONTES GARCIA 4.0
• JESUS DAVID GONZALEZ 4.0
• JHON JAIRO JIMENEZ GIRALDO 4.0
• JORGE HUMBERTO MARTINEZ TASCON 4.0
• JORGE IVAN LUGO CASTRO 4.0
• JOSE FERNANDO AGUDELO HINCAPIE 5.0
• JOSE HERNANDO OROZCO JARAMILLO 5.0
• JOSE LUBIAN RAMIREZ MUÑOZ 3.5
• LADY ARANGO BOTERO 3.9
• LILIANA MERCEDES SANCHEZ JIMENEZ 3.5
• LILIANA MERCEDES GARZON 3.9
• LUZ MARINA YEPEZ GALLEGO 4.4
• MARIA BEATRIZ SALGADO MARTINEZ 5.0
• MARIA CRISTINA OSPINA MARIN 3.5
• MARIA ENITH LADINO RIOS 4.0
• MARIA EUGENIA YEPES GALLEGO 4.4
• MARIA LILIANA OSORIO GARZON 5.0
• MARIA NYDIA ARAMENDIZ URIBE 3.5
• MILLERLANDIA MUNERA RIVERA 4.0
• NATALIA GUTIERREZ GARCIA 3.5
• NOHELIA SEPULVEDA MOSQUERA 4.0
• RICARDO DE LA CRUZ OSPINA RIVERA 5.0
• SAMUEL FERNANDO PERDOMO PADILLA NO ASISTIO
• TERESA INES ARIZA PABON 5.0
• ALBA LUCIA HURTADO AGUIRRE
• ALBA LUCIA MOLINA GALLEGO 3.8
• ALFREDO CASTAÑEDA RODAS 3.8
• AMPARO BALLESTEROS MONTES 3.8
• ANGELA ZULUAGA GARCIA 3.8
• AURA STELLA ECHEVERRY 3.8
• BEATRIZ GARCIA MORA 3.7 no hay trabajo escrito
• BLANCA MERY CORTES GASPAR 3.8
• DANAE MOSQUERA MENA 3.7 no hay trabajo escrito
• ELISEO CAICEDO MATURANA 3.8
• ELIZABETH GARCIA LOPEZ 3.8
• FANNY DUQUE DUQUE 4.1
• GLORIA ENSUEÑO GIRALDO SANCHEZ 4.1
• IMILSE MOSQUERA RIOS 3.8
• JORGE ELIECER DE LOS RIOS CARDENAS 3.7 no hay trabajo escrito
• JOSE VICENTE VILLADA CARVAJAL 3.8
• LORENA TORRES MONSALVE 4.0
• LUZ ALEYDA HENAO RAMIREZ 4.0
• LUZ MARINA GIRALDO MARQUEZ 4.3
• MARIA BEATRIZ LOPEZ 3.8
• MARIA CECILIA RIVERA LOPEZ 4.0
• MARIA CONSUELO BEDOYA 4.3
• MARIA ELENA ACEVEDO 3.7 no hay trabajo escrito
• MARIA ESPERANZA GIRALDO RESTREPO
• MARIA LUZ ANGELA SALAZAR FLOREZ 3.7 no hay trabajo escrito
• MARIA NURIS PALOMINO MORENO 3.7 no hay trabajo escrito
• MARIELA DE JESUS LOAIZA OBANDO 4.3
• MARTHA CECELIA CARVAJAL AGUDELO 4.3
• NAFFY OROZCO VINASCO 3.8
• NELCY FRANCO LLANOS 3.8
• NOHORA LUCIA BUITRAGO 4.3
• OFELIA MOLINA GALLEGO 3.8
• ONEY DE JESUS BEDOYA ORTIZ 3.8
• SANDRA CORTES OROZCO 4.1
• VICTOR ALBERTO ALVAREZ MEJIA 4.1
• YINETH CARVAJAL VALLEJO 3.8

Ejemplo 2 Auditoría de Sistemas

1.- OBJETIVO DE LA AUDITORIA

a. Evaluar el cumplimiento la gestión institucional para todos sus procesos.

b. Evaluar la eficacia de las disposiciones planificadas en la gestión institucional para todos sus procesos.

c. Hacer Seguimiento a los procedimientos implementados en el Primer semestre de 2010

2.- ALCANCE DE LA AUDITORIA

a. Decanatura NTIC’S

3.- EQUIPO AUDITOR

AREA/FUNCIONARIO LIDER ACOMPAÑANTES


4.- AUDITADO: ________________________________________

5.- LUGAR Y FECHA: ___Oficina de 20/05/2010___

6.- HALLAZGOS

1. El departamento de sistemas y tecnología no esta garantizando la entrega de información confiable, se encontró que el estudiante ERMENEGILDO ZAMUDIO – Código 6166123543 ya no se encuentra en la universidad. Incumpliendo el numeral 6 del procedimiento GREG-P01
2. Se tiene un calendario de sistemas que no cuenta con lo especificado por el formato GREGA-P01-F01 incumpliendo el procedimiento PGRO-P01 numeral 7.1.
3. No se evidencia la documentación que respalde la solicitud y posterior actualización de la base de datos del personal incumpliendo con el numeral 17.1 del procedimiento PRPR-P01.
4. No se diligencia el formato de evaluación de equipos PR-P01-F01 que tiene fecha de vigencia 22/07/2009. Incumpliendo el numeral 7.2 del procedimiento PR-P01.
5. No se ha llevado a cabo el diligenciamiento del formato PR-P01-F02 Tabulación Evaluación Personal incumpliendo el numeral 7.2 del procedimiento PR-P01
6. No se diligencia el formato de auto evaluación estudiante PR-P01-F05 con vigencia 22/07/2009 incumpliendo el procedimiento PR-P01 numeral 7.2
7. No se tiene registro de capacitaciones en el formato PR-P02-F01 incumpliendo el procedimiento PR-P02 numeral 7.1.
8. Se evidencio que el curso Habilidades Comunicativas orientado por la personal Ángela Patricia Mosquera con fecha de inicio 09/03/2010 no cuenta con las condiciones de certificación. Incumpliendo el numeral 7.2 del procedimiento PR-P02.
9. No se evidencian manual o instructivos que orienten a los funcionarios en el modo de uso del sistema KYARA para el ingreso de la carga académica de cada uno de los personal contratados numeral 7.1 procedimiento PR-P03.
10. No se diligencia el formato PR-P03-F01 Control por parte del departamento de sistemas y tecnología incumpliendo el numeral 7.1 del procedimiento PR-P03.
11. No se diligencia el formato PR-P03-F02 Novedad de control incumpliendo el numeral 7.2 del procedimiento PR-P03.
12. No se tiene registro de la política de inclusión y las estrategias educativas que se han consolidado a partir de la pedagogía social. Incumpliendo el numeral 4.2.1 del procedimiento PR-P04.
13. No se encontró evidencia de los paz y salvos expedidos en el semestre II de 2009 para los personal de tiempo completo, se inspeccionó la hoja de vida del personal Acevedo Losada Carlos Alberto. Incumpliendo el numeral 4.3.6 del procedimiento PR-P04.
14. No se diligencia el formato PR-P04-F02 Horario Carga Académica, que tiene fecha de vigencia 22/07/2009. incumpliendo el Numeral 7.1 el procedimiento PR-P04.



NUMERO DE NO CONFORMIDADES REALES
NUMERO DE NO CONFORMIDADES POTENCIALES

NUMERO DE OBSERVACIONES DE AUDITORIA

13 1 18






7.- OBSERVACIONES

1. El numeral 5 del procedimiento PR-P01 no define de manera clara la manera en que deben ser utilizado los elementos listados.
2. Se recomienda establecer manuales de funciones para los monitores de las salas de sistemas, que aseguren el cumplimiento del numeral 5 del procedimiento PR-P01.
3. Se recomienda establecer controles internos que garanticen la permanencia del A-Z que contiene las actas de reuniones y comités disponibles en todo momento.
4. Se recomienda establecer un software que permita una correcta interpretación de los resultados arrojados por KYARA de las evaluaciones de los personal, y poder dar cumplimiento al numeral 7.2 del procedimiento PR-P01.
5. Cuando por directivas nacionales la documentación del sistema de gestión de calidad llegue en fechas posteriores a la fecha de su vigencia, se recomienda enviar comunicación a las directivas nacionales de tal manera que se respalde la no aplicación de los documentos a partir de la fecha de vigencia.
6. Se recomienda tener a una copia del reglamento para la formación y capacitación del personal personal y administrativo de tal manera que cuando se lleve a cabo un proceso de formación y el personal diligencie el acta de compromiso PR-P02-F03 pueda dar fe de conocer dicho reglamento.
7. Se recomienda realizar evaluaciones a los proveedores de los servicios de capacitación apoyados en los resultados obtenidos a estos por parte de los asistentes a la capacitación.
8. Se recomienda la creación de un manual o instructivo de uso del software que se encarga del registro de asistencia personal para dar cumplimiento a los numerales 7.1 y 7.2 del procedimiento PR-P03.
9. Se recomienda establecer planes de contingencia para el evento en el que el equipo de cómputo que se encarga de hacer el registro de la asistencia personal se encuentre fuera de servicio.
10. Se recomienda establecer un plan de mantenimientos preventivos periódicos al equipo de cómputo que se encarga de realizar el registro de asistencia de personal.
11. Se recomienda anexar el nombre del personal al formato PR-P01-F01.
12. Se recomienda cambiar el titulo “vigencia” en los formatos del sistema de gestión por el de “Fecha de edición”. Vigencia = Periodo durante el cual surte efecto algo”, por tanto “Fecha de edición” permite identificar claramente a partir de que momento se encuentra vigente el documento.
13. Organizar el párrafo a justificación plena en el formato PR-P01-F05.
14. Organizar las viñetas del procedimiento PR-P04 numeral 3.
15. El cronograma de postulación no tiene convenciones.
16. EL procedimiento PR-P04 en el numeral 4.1.2 dice Familia Gran Colombiana.
17. Tener en cuenta que el numeral 4.3.5 del procedimiento PR-P04 es aplicable solo para la vigencia 2009 y debería de ser aplicable a todas las vigencias.
18. Los numerales 4.3.5 y 4.3.6 del procedimiento PR-P04 se encuentran mal numerados.

8.- CONCLUSIONES DE LA AUDITORÍA

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


FIRMA AUDITADO: _______________________________

FIRMA AUDITOR: _______________________________

Ejemplo informe de auditoría

INFORME DE AUDITORIA

1. Identificación del informe

Auditoria de la Ofimática

2. Identificación del Cliente

El área de Informática

3. Identificación de la Entidad Auditada

Municipalidad Provincial Mariscal Nieto

4. Objetivos

· Verificar si el hardware y software se adquieren siempre y cuando tengan la

seguridad de que los sistemas computarizados proporcionaran mayores beneficios

que cualquier otra alternativa.

· Verificar si la selección de equipos y sistemas de computación es adecuada

· Verificar la existencia de un plan de actividades previo a la instalación

· Verificar que los procesos de compra de Tecnología de Información, deben estar

sustentados en Políticas, Procedimientos, Reglamentos y Normatividad en

General, que aseguren que todo el proceso se realiza en un marco de legalidad y

cumpliendo con las verdaderas necesidades de la organización para hoy y el

futuro, sin caer en omisiones, excesos o incumplimientos.

· Verificar si existen garantías para proteger la integridad de los recursos

informáticos.

· Verificar la utilización adecuada de equipos acorde a planes y objetivos.

5. Hallazgos Potenciales

_ Falta de licencias de software.

_ Falta de software de aplicaciones actualizados

_ No existe un calendario de mantenimiento ofimatico.

_ Faltan material ofimática.

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

34

AUDITORIA DE SISTEMAS

_ Carece de seguridad en Acceso restringido de los equipos ofimaticos

y software.

6. Alcance de la auditoria

Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado

especialmente al Departamento de centro de cómputo de acuerdo a las

normas y demás disposiciones aplicable al efecto.

El alcance ha de definir con precisión el entorno y los límites en que va a

desarrollarse la auditoria Ofimática, se complementa con los objetivos de

ésta.

7. Conclusiones:

· Como resultado de la Auditoria podemos manifestar que hemos

cumplido con evaluar cada uno de los objetivos contenidos en el

programa de auditoria.

· El Departamento de centro de cómputo presenta deficiencias sobre el

debido cumplimiento de Normas de seguridad.

· La escasez de personal debidamente capacitado.

· Cabe destacar que la sistema ofimatico pudiera servir de gran apoyo a

la organización, el cual no es explotado en su totalidad por falta de

personal capacitado.

8. Recomendaciones

· Se recomienda contar con sellos y firmas digitales

· Un de manual de funciones para cada puesto de trabajo dentro del área.

· Reactualizacion de datos.

· Implantación de equipos de ultima generación

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

35

AUDITORIA DE SISTEMAS

· Elaborar un calendario de mantenimiento de rutina periódico .

· Capacitar al personal.

9. Fecha Del Informe

PLANEAMIENTO EJECUCION INFORME

FECHAS 01–10–04 al 15–10-04 16-10–04 al 20–11-04 23–11–04 al 28–11-04

10. Identificación Y Firma Del Auditor

APELLIDOS Y NOMBRES CARGO

QUIÑONEZ MAYTA CARMEN AUDITOR SUPERIOR

PLANIFICACIÓN AUDITORÍA INFORMÁTICA

CERTIFICADORA COLOMBIANA S.A.

1. Existen procedimientos que intervengan en el otorgamiento de la certificación que utilicen dispositivos de información digital?
2. De que manera el organismo de certificación ofrece confianza en la integridad del manejo de los datos electrónicos?
3. Qué medios de seguridad emplea el organismo para asegurar que la información digital es manejada sin la intervención de personas ajenas a los puestos de trabajo?
4. Cual es el procedimiento que sigue el organismo de certificación que asegura que las aplicaciones informáticas relacionadas al área financiera son manipuladas por personal idóneo?
5. Qué mecanismos de protección de información tiene el organismo para garantizar la imparcialidad de las evaluaciones de certificación?
6. Las evaluaciones virtuales se encuentran procedimientadas?
7. Puede por favor indicarme el procedimiento para asignar una evaluación de certificación?
8. Que ocurre si se esta desarrollando una evaluación de certificación y se produce un fallo de energía eléctrica?
9. Qué mecanismos de copias de seguridad emplea la organización para salvaguardar la información financiera?
10. El software utilizado para registrar la información financiera es licenciado o arrendado?
11. Si es licenciado podría por favor mostrarme la licencia.
12. Si es arrendado podría por favor mostrarme el contrato con el proveedor?
13. Si es arrendado cómo se asegura el organismo que el arrendatario, una vez finalizado el contrato no tiene acceso a la información confidencial?
14. El organismo de certificación posee información publicada en internet? De ser así que tipo de servidores utilizan?
15. Si los servidores son propios, que mecanismos de seguridad tienen implementados para evitar el ataque de intrusos desde la red?
16. Tienen registro digital de las quejas y reclamos de la certificación?
17. Quién lleva a cabo esta función? Podría mostrarme el manual de funciones?
18. Puede mostrarme por favor la hoja de vida del personal encargado del mantenimiento de los equipos de procesamiento electrónico de datos?
19. Tienen trazado planes de mantenimiento del parque informático?
20. Podría enseñármelos por favor?
21. Cuáles son los equipos en los que se lleva a cabo el registro del personal certificado?
22. Que configuración tienen los equipos?
23. En términos de registros cuál es el volumen de información manejada en los equipos?
24. Tiene su red una arquitectura cliente – servidor?
25. La documentación de uso privado y restringido tiene políticas de uso tales como protección con contraseña para consultas? Evidéncielo por favor
26. Como asegura que los usuarios de la compañía no ingresan a información no autorizada.
27. Muéstreme por favor los planos de la red.
28. Seria tan amable de hacer un recorrido para conocer todo el cableado de la red.
29. Qué mecanismos de protección tienen para los cables, tales como protección contra animales, humedad, etc.
30. Tiene el software contable copias de seguridad?
31. Cuáles son?
32. Dónde se encuentran?
33. Quién los elabora?
34. Quién los consulta?
35. Dónde se elaboran?
36. Que procedimientos se utilizan para elaborarlos?
37. Con qué periodicidad?
38. Qué mecanismos establece el organismo para determinar la confiabilidad de sus sistemas informáticos?
39. Cómo garantiza el organismo la validez de la información consignada en el software contable?
40. Qué políticas de control de acceso a Internet tiene establecidas el organismo?
41. Tienen protección contra virus informáticos?
42. Es software licenciado?
43. Cada cuanto se actualiza la base de datos del antivirus?
44. Podría mostrarme la lista de las licencias con las que cuenta el organismo?
45. Sería tan amable de indicarme que software tiene instalado el equipo de RH
46. Cómo se asegura que los registros que se generan en todas las dependencias permaneces en el tiempo?
47. Existe registro de tamaños y cantidades de archivos generados entre cada copia de seguridad, que permitan ser utilizados como controles internos para detectar anomalías en las copias de seguridad?
48. Tienen sistemas de alerta en caso de fallos de energía eléctrica?
49. En caso de fallo eléctrico, cuenta la empresa con UPS que permitan un correcto apagado de los equipo?
50. Los equipos de computo cuentan con protecciones adicionales tales como supresores de picos y reguladores de voltaje?
51. Qué personas tienen acceso al área de sistemas?
52. Existen procedimientos establecidos para el ingreso de personal ajeno al departamento de sistemas?
53. Podría mostrarme las instrucciones documentadas del uso que deben hacer las personas de sus PC’s?
54. Existen programas de actualización de software?
55. Quién define los niveles de acceso de los usuarios a la red?
56. Tiene el organismo contemplados planes de verificación del funcionamiento óptimo de los sistemas operativos y aplicativos?
57. Cuenta el organismo con mecanismos de energía regulada?
58. Podría mostrarme la evaluación del proveedor que realizó la instalación?
59. Hace cuanto tiempo se llevo a cabo la última revisión?
60. Podría mostrarme los documentos de la última revisión?
61. Cada cuanto tiempo se llevan a cabo las copias de seguridad?
62. Si ocurriera un desastre tal como un terremoto, incendio e inundación, cómo se garantiza que la información de las copias de seguridad esta salvaguardada?
63. Existe un procedimiento que lo documente?
64. Existe un registro impreso o digital de todas las contraseñas de acceso a los sistemas informáticos?
65. Quién las almacena?

Preguntas de Auditoría

PREGUNTAS AUDITORÍA

1. Desde el punto de vista de la auditoria física quiénes son las personas que deben auditarse como responsables de la administración de la seguridad?
2. Cuáles de los siguiente elementos corresponden a una auditoria del área física?
1. Ubicación del edificio
2. Licencias de software
3. Elementos de Construcción
4. Potencia eléctrica
5. Inventario de equipos
3. Cuáles de los siguiente elementos corresponden a una auditoria del área Ofimática?
1. Ubicación del edificio
2. Licencias de software
3. Elementos de Construcción
4. Potencia eléctrica
5. Inventario de equipos
4. Cuáles de los siguientes elementos deben inspeccionarse en las instalaciones del CPD:
1. Sala de hosts
2. Sala de Impresoras
3. Oficinas
4. Almacenes
5. Sala de aparatos eléctricos
6. Áreas de descanso
5. Enuncie 4 fuentes básicas de la auditoria física
6. Teniendo en cuenta la auditoria física que elementos debemos tener en cuenta en cuanto a la seguridad del personal (enuncie al menos 2)
7. Verdadero o Falso, En la auditoria física es responsabilidad del auditor efectuar el seguimiento de las recomendaciones?
8. Para un correcto desarrollo de la auditoria física y la auditoria ofimática que técnicas y herramientas recomendaría (2 técnicas y 2 herramientas).
9. De acuerdo a su criterio para que un auditor del área física debe solicitar las auditorias internas anteriores?
10. Teniendo en cuenta la circular 5 de la dirección nacional de derechos de autor, si instalamos software pirata, violamos 2 derechos de autor, cuáles son?
11. Cual de las siguientes actividades son nombradas en la circular 5 de la dirección nacional de derechos de autor?
1. Copiar programas al interior de empresas sin estar autorizadas para ello
2. Venta de equipos de hardware con software preinstalado
3. Venta de copias ilícitas a particular en medios magnéticos.
12. Si usted fuera el representante legal de la empresa X como aseguraría que su empresa Adecua los informes de gestión y los informes financieros a la Ley 603 de 2000?
13. De acuerdo a la Ley 1273 de 5 de enero de 2009 la condena mínima por delitos cometidos violando la protección de la información y los datos en sistemas que utilicen tecnologías de información es de:
14. Qué debe tenerse en cuenta al momento de realizar una auditoria ofimática?
15. Si el auditor en este caso usted, evidencia que un producto de software de licencia free no tiene licencia, que informaría acerca del hallazgo y a que referencia bibliográfica se remitiría?
16. Cuáles de los siguientes son controles que permitan determinar si los usuarios cuentan con suficiente formación y documentación de apoyo para desarrollar sus tareas:
1. Determinar la existencia de una plan de formación
2. Evaluar la existencia de mecanismos para resolver dudas
3. Examinar la documentación existente en materia de seguridad

Presentación Auditoría de Sistemas 3 y 4

Para ver la presentación Número 3, por favor dar click aquí

Sobre el proyecto de investigación

Buenos días: En el enlace del grupo de google, encontrarán el documento del ICFES sobre los elementos constitutivos del Proyecto de Investigación.
Espero sea de ayuda.

Atentamente,
LINA MARÍA SUÁREZ V

Serie Aprender a Investigar, Módulo IV

http://groups.google.com/group/auditoria-de-sistemas-remington?hl=en

CERTIFICADORA COLOMBIANA

CERTIFICADORA COLOMBIANA S.A.

Misión: Certificadora Colombiana S.A. es una empresa dedicada a la certificación de Contadores Públicos a nivel de conocimientos básicos con habilidades y destrezas, garantizando a las empresas profesionales idóneos en la aplicación de la norma ISO 17024 con las herramientas necesarias para el fortalecimiento del mercado, alcanzando el grado de satisfacción del cliente.

Visión: Ser en el año 2015 la organización líder en la certificación de los contadores públicos, manteniendo un alto nivel de permanencia, para ser identificados como símbolo de excelencia no solo a nivel regional sino obteniendo reconocimientos a nivel internacional, enmarcando la organización como una de las principales compañías de certificación a nivel latinoamericano con la convicción de satisfacer plenamente las necesidades de nuestros clientes.

Distribución De La Planta Física

Área Informática

La institución cuenta con un área específica de informática localizada en la oficina de sistemas, dispone de una red de tipo estrella centralizada en esta oficina y esta constituida por 9 computadoras Pentium IV, un servidor Dell Power Edge 600Sc (datos), un servidor Dell Power Edge 2400Sc (Internet) y una PC portátil (Laptop) Dell Inspiron 1420.

PROYECTOS O PRODUCTOS INFORMÁTICOS ÚLTIMOS AÑOS

Entre los proyectos informáticos implementados en los últimos años, se puede mencionar el alquiler del software Avansis, que es un programa diseñado para manejar la contabilidad.

TENDENCIA INFORMÁTICA EN HARDWARE Y SOFTWARE

Hardware

Respecto al hardware, actualmente la empresa cuenta con 11 equipos de cómputo, 1 en la oficina del directos, 1 en recursos humanos, 1 en calidad, 1 en financiera, 1 en la oficina del asistente contable, 2 en certificación, 3 equipos en la oficina de sistemas (1 escritorio y dos servidores), 1 equipo portátil para presentaciones. No se tiene presupuestado realizar nuevas inversiones en el área de hardware de la empresa.

Software

La tendencia de la empresa, esta del lado del software propietario de Microsoft, por lo que la empresa cuenta con el sistema operativo Windows 2000 server, Windows XP y windows 98, además, todas las computadoras cuentan con el software Microsoft Office XP completo.

INTERNET

El acceso a Internet que utiliza la empresa es de UNE de 1024 kbps, servicio de conexión permanente a Internet a través de conexión ADSL.

MANUAL DE PROCEDIMIENTOS ADMINISTRATIVOS INFORMÁTICOS

Se pudo verificar que Actualmente la empresa “Certificadora Colombiana S.A.” No cuenta con dicho documento.

DOCUMENTOS DE GESTIÓN QUE POSEEN EN INFORMÁTICA

La empresa Certificadora Colombiana S.A. tampoco dispone de la documentación requerida como son: Un Plan de Contingencias, Aplicación de técnicas de Intranet, Gestión óptima de software adquirido o desarrollado, Mantenimiento de equipos de computación, Seguridad de programas, datos y equipos de cómputo

ANTECEDENTES

Como Entidad Privada, “Certificadora Colombiana S.A.”, no ha sido auditada con anterioridad.

PLAN DE AUDITORÍA EN INFORMÁTICA

Para el Plan para el desarrollo de este proyecto Se cuenta con el apoyo de la alta dirección de la empresa, ésta fue la primera acción que se realizó, solicitando la participación de los principales trabajadores de la empresa y en donde se realizaran las siguientes acciones.

TÉCNICAS

• Observación, Entrevistas, Cuestionarios, Digitalización de Imágenes (Fotografías)

HERRAMIENTAS

• Cuaderno de Campo, Cámara Digital (Creative PC-CAM 350), Papel, Lapicero, Scanner (hp scanjet 2400), Microsoft Office XP

AUDITORÍA FÍSICA

ALCANCE

Esta auditoria fue aplicada en todas las áreas que se encuentran en relacionadas en el organigrama, puesto que en ellas se encuentran los equipos de cómputo de los que dispone la empresa, y en donde se evaluará:

• Organización y calificación del personal operativo y de Seguridad.

• Planes y procedimientos de Seguridad y Protección

• Sistemas técnicos de Seguridad y Protección.

OBJETIVOS

• Verificar la ubicación y seguridad de las instalaciones.

• Determinar y evaluar la política de mantenimiento y distribución de los equipos.

• Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente

• Verificar la seguridad del personal, datos, hardware, software e instalaciones

• Revisión de políticas y normas sobre seguridad Física de los medios, como son: Edificio, Instalaciones, Equipamiento y Telecomunicaciones, Datos y Personas.

• Verificar si la selección de equipos y Sistemas de computación es adecuada.

DESARROLLO DE LA AUDITORÍA

SEGURIDAD FÍSICA

Ubicación de la Oficina Central/Oficina administrativa

• La oficina se encuentra ubicada en un lote sobre la avenida sur de su propiedad, continuo a una quebrada y limitando al norte con la cruz roja, la parte trasera de la edificación es terreno baldío.

• En dicho ambiente se llevan a cabo operaciones de Coordinación, Administración y prestación de servicios.

• Además, allí se encuentra almacenada toda la documentación concerniente a la empresa, en grandes folios apilados en estanterías y almacenadas en discos duros dentro del servidor de datos.

• De igual forma, todos los equipos de cómputo con los que cuenta la empresa, se encuentran en este ambiente.

• Las ventanas superiores no poseen ninguna estructura metálica (Malla o enrejado) que proteja el acceso a personas no autorizadas y malintencionadas, ocasionalmente y en fuertes aguaceros el agua se filtra por las ventanas a las oficinas.

Seguridad General

• De acuerdo a las observaciones realizadas en la oficina Administrativa, la ubicación de los equipos de computo no constituyen un inconveniente para los accesos y salidas de la misma, sin embargo, cabe resaltar que el servidor se encuentra en un lugar vulnerable.

• En lo referente a la seguridad eléctrica, se pudo verificar que cables no están debidamente colocados, pues están a la vista de todos de forma desorganizada, además, cerca de la puerta de ingreso, existen varios cables sueltos, los cuales constituyen un riesgo y puede ocasionar desastres mayores.

• Lo mismo ocurre con el cableado de red, para el cual no se ha previsto el uso de canaletas ni de caja toma datos.

• Los equipos no reciben el mantenimiento debido; lo cual incrementa el riesgo e posible pérdida de información por averías serias en el equipo.

• Existen documentos apilados en forma inadecuada que en un futuro podrían obstruir la salida del ambiente.

• No disponen de un equipo contra incendios y no se tiene la capacitación adecuada para el manejo de estos.

Control de accesos

Puesto que se trata de un ambiente relativamente pequeño, no es imprescindible contar con un sistema para ello; todos los accesos son verificados en la entrada principal de la sede por la empresa de vigilancia.

Selección de personal

El personal que labora en la empresa cuenta con los conocimientos indispensables para su labor, los cuales han sido seleccionados de una manera adecuada.

Seguridad de datos

Actualmente la duplicación y preservación de la información depende de cada usuario, quien es responsable de proteger su información contra pérdidas, modificación de las mismas y accesos a personal no autorizado, solo se centraliza la información una vez por semana, llevando copia de los datos al servidor de datos.

MANTENIMIENTO DE EQUIPOS

Mantenimiento de los equipos informáticos

Se cuenta con personal adecuado y capacitado para solucionar problemas de mal funcionamiento del hardware. Según la información obtenida, no se tiene plan o cronograma para el mantenimiento de equipos, por lo que el mismo se da esporádicamente para lo cual se hace uso de servicios técnicos externos.

PREGUNTAS	SI	NO
1. ¿Se han adoptado medidas de seguridad en el departamento de Sistemas de información?		X
2. ¿Existe una persona responsable de la seguridad?		X
3. ¿Se ha dividido la responsabilidad para tener un mejor control de la Seguridad?		X
4. ¿Existe personal de vigilancia en la institución?	X
5. ¿Existe una clara definición de funciones entre los puestos clave?		X
6. ¿Se investiga a los vigilantes cuando son contratados directamente?		X
7. ¿Se controla el trabajo fuera de horario?		X
8. ¿Se registran las acciones de los operadores para evitar que realicen tareas que puedan dañar los sistemas?	X
9. ¿Existe vigilancia en el departamento de cómputo las 24 horas?	X
10. ¿Se permite el acceso a los archivos y programas por parte de los programadores, analistas y operadores?		X
11. ¿Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda entrar sin autorización?		X
12. ¿El centro de cómputo tiene salida al exterior?		X
13. ¿Son controladas las visitas y demostraciones en el centro de cómputo?	X
14. ¿Se registra el acceso al departamento de cómputo de personas ajenas a la dirección de informática?	X
15. ¿Se vigilan la moral y comportamiento del personal de la dirección de informática con el fin de mantener una buena imagen y evitar un posible fraude?		X
16. ¿Se ha adiestrado el personal en el manejo de los extintores?		X
17. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores?		X
18. ¿Si es que existen extintores automáticos son activador por detectores automáticos de fuego?		X
19. ¿Los interruptores de energía están debidamente protegidos, etiquetados y sin obstáculos para alcanzarlos?		X
20. ¿Saben que hacer los operadores del departamento de cómputo, en caso de que ocurra una emergencia ocasionado por fuego?	X
21. ¿El personal ajeno a operación sabe que hacer en el caso de una emergencia (incendio)?		X
22. ¿Existe salida de emergencia?		X
23. ¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de esta puerta y de las ventanas, si es que existen?
24. ¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia?		X
25. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del departamento de cómputo para evitar daños al equipo?	X
26. ¿Se limpia con frecuencia el polvo acumulado en las estaciones de trabajo?		X
27. ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora?		X
28. ¿Se tienen establecidos procedimientos de actualización a estas copias?		X
29. ¿Existe departamento de auditoria interna en la institución?	X
30. ¿Este departamento de auditoria interna conoce todos los aspectos de los sistemas?		X
31. ¿Se auditan los sistemas utilizados en los equipos de cómputo?		X
35.¿se ha establecido procedimientos de operación a las terminales conectadas a la red?		X
37. ¿Se ha establecido que información puede ser accedida y por qué persona?		X

LISTADO DE VERIFICACIÓN DE AUDITORÍA FÍSICA

Gestión física de seguridad.

	100% Excelente	80% Buena	60% Regular	40% Mínimo	20% No cumple
Los objetivos de la instalación física De computo					X
Las características físicas del centro son seguras				X
Los componentes físicos de computo		X
La conexiones de los equipos de las comunicaciones e Instalaciones físicas			X
La infraestructura es			X

Evaluación de análisis físico de cómputo

	100% Excelente	80% Buena	60% Regular	40% Mínimo	20% No cumple
Evaluación de la existencia y uso de normas, resolución base legal para el diseño del centro de computo.					X
El cumplimiento de los objetivos fundamentales de la organización para instalar del centro de cómputo.					X
La forma de repartir los recursos informáticos de la organización.					X
La confiabilidad y seguridades en el uso de la información institucional				X
La satisfacción de las necesidades de poder computacional de la organización.				X

Análisis de la delimitación:

	100% Excelente	80% Buena	60% Regular	40% Mínimo	20% No cumple
La delimitación espacial, por las dimensiones físicas.					X
La delimitación tecnológica, por los requerimientos y conocimientos informáticos.				X

Análisis de la estabilidad y el aprovechamiento de los recursos para instalar el centro de cómputo.

	100% Excelente	80% Buena	60% Regular	40% Mínimo	20% No cumple
Análisis de la transparencia del trabajo para los usuarios.			X
La ubicación del centro de computo		X
Los requerimientos de seguridad del centro de computo				X

Evaluación del diseño según el ámbito

	100% Excelente	80% Buena	60% Regular	40% Mínimo	20% No cumple
Análisis del ambiente de trabajo				X
Evaluar el funcionamiento de los equipos			X
El local para el trabajo es				X
Los equipos cuentan con ventilación		X
La iluminación		X

Análisis de la seguridad física

	100% Excelente	80% Buena	60% Regular	40% Mínimo	20% No cumple
La seguridad de los equipos.			X
El estado centro de computo esta en			X
Los accesos de salida son			X

CUESTIONARIO

Basados en la información suministrada:

1. Identifique los motivos de realizar una auditoria física en la empresa Certificadora de Colombia S.A.

2. Las técnicas y herramientas propuestas para el desarrollo de la auditoria son las adecuadas, faltan o están de mas? Justifique la respuesta.

3. El alcance de auditoria cubre todos los aspectos de la auditoria física?. De no ser así, modifique el alcance para que sean cubiertos todos los elementos requeridos por la auditoria.

4. Con que preguntas esta de acuerdo y cuáles incluiría en la auditoria?

5. Qué tipo de soportes que evidencien claramente las respuestas deberían solicitarse? (Para cada pregunta).

6. Realice un análisis de la situación actual de la institución, de tal manera que le permita realizar recomendaciones basados en las respuestas consignadas en la auditoria realizada. (Listar las recomendaciones).