CERTIFICADORA COLOMBIANA S.A.
Misión: Certificadora Colombiana S.A. es una empresa dedicada a la certificación de Contadores Públicos a nivel de conocimientos básicos con habilidades y destrezas, garantizando a las empresas profesionales idóneos en la aplicación de la norma ISO 17024 con las herramientas necesarias para el fortalecimiento del mercado, alcanzando el grado de satisfacción del cliente.
Visión: Ser en el año 2015 la organización líder en la certificación de los contadores públicos, manteniendo un alto nivel de permanencia, para ser identificados como símbolo de excelencia no solo a nivel regional sino obteniendo reconocimientos a nivel internacional, enmarcando la organización como una de las principales compañías de certificación a nivel latinoamericano con la convicción de satisfacer plenamente las necesidades de nuestros clientes.
Distribución De La Planta Física
Área Informática
La institución cuenta con un área específica de informática localizada en la oficina de sistemas, dispone de una red de tipo estrella centralizada en esta oficina y esta constituida por 9 computadoras Pentium IV, un servidor Dell Power Edge 600Sc (datos), un servidor Dell Power Edge 2400Sc (Internet) y una PC portátil (Laptop) Dell Inspiron 1420.
PROYECTOS O PRODUCTOS INFORMÁTICOS ÚLTIMOS AÑOS
Entre los proyectos informáticos implementados en los últimos años, se puede mencionar el alquiler del software Avansis, que es un programa diseñado para manejar la contabilidad.
TENDENCIA INFORMÁTICA EN HARDWARE Y SOFTWARE
Hardware
Respecto al hardware, actualmente la empresa cuenta con 11 equipos de cómputo, 1 en la oficina del directos, 1 en recursos humanos, 1 en calidad, 1 en financiera, 1 en la oficina del asistente contable, 2 en certificación, 3 equipos en la oficina de sistemas (1 escritorio y dos servidores), 1 equipo portátil para presentaciones. No se tiene presupuestado realizar nuevas inversiones en el área de hardware de la empresa.
Software
La tendencia de la empresa, esta del lado del software propietario de Microsoft, por lo que la empresa cuenta con el sistema operativo Windows 2000 server, Windows XP y windows 98, además, todas las computadoras cuentan con el software Microsoft Office XP completo.
INTERNET
El acceso a Internet que utiliza la empresa es de UNE de 1024 kbps, servicio de conexión permanente a Internet a través de conexión ADSL.
MANUAL DE PROCEDIMIENTOS ADMINISTRATIVOS INFORMÁTICOS
Se pudo verificar que Actualmente la empresa “Certificadora Colombiana S.A.” No cuenta con dicho documento.
DOCUMENTOS DE GESTIÓN QUE POSEEN EN INFORMÁTICA
La empresa Certificadora Colombiana S.A. tampoco dispone de la documentación requerida como son: Un Plan de Contingencias, Aplicación de técnicas de Intranet, Gestión óptima de software adquirido o desarrollado, Mantenimiento de equipos de computación, Seguridad de programas, datos y equipos de cómputo
ANTECEDENTES
Como Entidad Privada, “Certificadora Colombiana S.A.”, no ha sido auditada con anterioridad.
PLAN DE AUDITORÍA EN INFORMÁTICA
Para el Plan para el desarrollo de este proyecto Se cuenta con el apoyo de la alta dirección de la empresa, ésta fue la primera acción que se realizó, solicitando la participación de los principales trabajadores de la empresa y en donde se realizaran las siguientes acciones.
TÉCNICAS
Observación, Entrevistas, Cuestionarios, Digitalización de Imágenes (Fotografías)
HERRAMIENTAS
Cuaderno de Campo, Cámara Digital (Creative PC-CAM 350), Papel, Lapicero, Scanner (hp scanjet 2400), Microsoft Office XP
AUDITORÍA FÍSICA
ALCANCE
Esta auditoria fue aplicada en todas las áreas que se encuentran en relacionadas en el organigrama, puesto que en ellas se encuentran los equipos de cómputo de los que dispone la empresa, y en donde se evaluará:
- Organización y calificación del personal operativo y de Seguridad.
- Planes y procedimientos de Seguridad y Protección
- Sistemas técnicos de Seguridad y Protección.
OBJETIVOS
- Verificar la ubicación y seguridad de las instalaciones.
- Determinar y evaluar la política de mantenimiento y distribución de los equipos.
- Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
- Verificar la seguridad del personal, datos, hardware, software e instalaciones
- Revisión de políticas y normas sobre seguridad Física de los medios, como son: Edificio, Instalaciones, Equipamiento y Telecomunicaciones, Datos y Personas.
- Verificar si la selección de equipos y Sistemas de computación es adecuada.
DESARROLLO DE LA AUDITORÍA
SEGURIDAD FÍSICA
Ubicación de la Oficina Central/Oficina administrativa
- La oficina se encuentra ubicada en un lote sobre la avenida sur de su propiedad, continuo a una quebrada y limitando al norte con la cruz roja, la parte trasera de la edificación es terreno baldío.
- En dicho ambiente se llevan a cabo operaciones de Coordinación, Administración y prestación de servicios.
- Además, allí se encuentra almacenada toda la documentación concerniente a la empresa, en grandes folios apilados en estanterías y almacenadas en discos duros dentro del servidor de datos.
- De igual forma, todos los equipos de cómputo con los que cuenta la empresa, se encuentran en este ambiente.
- Las ventanas superiores no poseen ninguna estructura metálica (Malla o enrejado) que proteja el acceso a personas no autorizadas y malintencionadas, ocasionalmente y en fuertes aguaceros el agua se filtra por las ventanas a las oficinas.
Seguridad General
- De acuerdo a las observaciones realizadas en la oficina Administrativa, la ubicación de los equipos de computo no constituyen un inconveniente para los accesos y salidas de la misma, sin embargo, cabe resaltar que el servidor se encuentra en un lugar vulnerable.
- En lo referente a la seguridad eléctrica, se pudo verificar que cables no están debidamente colocados, pues están a la vista de todos de forma desorganizada, además, cerca de la puerta de ingreso, existen varios cables sueltos, los cuales constituyen un riesgo y puede ocasionar desastres mayores.
- Lo mismo ocurre con el cableado de red, para el cual no se ha previsto el uso de canaletas ni de caja toma datos.
- Los equipos no reciben el mantenimiento debido; lo cual incrementa el riesgo e posible pérdida de información por averías serias en el equipo.
- Existen documentos apilados en forma inadecuada que en un futuro podrían obstruir la salida del ambiente.
- No disponen de un equipo contra incendios y no se tiene la capacitación adecuada para el manejo de estos.
Control de accesos
Puesto que se trata de un ambiente relativamente pequeño, no es imprescindible contar con un sistema para ello; todos los accesos son verificados en la entrada principal de la sede por la empresa de vigilancia.
Selección de personal
El personal que labora en la empresa cuenta con los conocimientos indispensables para su labor, los cuales han sido seleccionados de una manera adecuada.
Seguridad de datos
Actualmente la duplicación y preservación de la información depende de cada usuario, quien es responsable de proteger su información contra pérdidas, modificación de las mismas y accesos a personal no autorizado, solo se centraliza la información una vez por semana, llevando copia de los datos al servidor de datos.
MANTENIMIENTO DE EQUIPOS
Mantenimiento de los equipos informáticos
Se cuenta con personal adecuado y capacitado para solucionar problemas de mal funcionamiento del hardware. Según la información obtenida, no se tiene plan o cronograma para el mantenimiento de equipos, por lo que el mismo se da esporádicamente para lo cual se hace uso de servicios técnicos externos.
| PREGUNTAS | SI | NO |
| 1. ¿Se han adoptado medidas de seguridad en el departamento de Sistemas de información? |
| X |
| 2. ¿Existe una persona responsable de la seguridad? |
| X |
| 3. ¿Se ha dividido la responsabilidad para tener un mejor control de la Seguridad? |
| X |
| 4. ¿Existe personal de vigilancia en la institución? | X |
|
| 5. ¿Existe una clara definición de funciones entre los puestos clave? |
| X |
| 6. ¿Se investiga a los vigilantes cuando son contratados directamente? |
| X |
| 7. ¿Se controla el trabajo fuera de horario? |
| X |
| 8. ¿Se registran las acciones de los operadores para evitar que realicen tareas que puedan dañar los sistemas? | X |
|
| 9. ¿Existe vigilancia en el departamento de cómputo las 24 horas? | X |
|
| 10. ¿Se permite el acceso a los archivos y programas por parte de los programadores, analistas y operadores? |
| X |
| 11. ¿Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda entrar sin autorización? |
| X |
| 12. ¿El centro de cómputo tiene salida al exterior? |
| X |
| 13. ¿Son controladas las visitas y demostraciones en el centro de cómputo? | X |
|
| 14. ¿Se registra el acceso al departamento de cómputo de personas ajenas a la dirección de informática? | X |
|
| 15. ¿Se vigilan la moral y comportamiento del personal de la dirección de informática con el fin de mantener una buena imagen y evitar un posible fraude? |
| X |
| 16. ¿Se ha adiestrado el personal en el manejo de los extintores? |
| X |
| 17. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? |
| X |
| 18. ¿Si es que existen extintores automáticos son activador por detectores automáticos de fuego? |
| X |
| 19. ¿Los interruptores de energía están debidamente protegidos, etiquetados y sin obstáculos para alcanzarlos? |
| X |
| 20. ¿Saben que hacer los operadores del departamento de cómputo, en caso de que ocurra una emergencia ocasionado por fuego? | X |
|
| 21. ¿El personal ajeno a operación sabe que hacer en el caso de una emergencia (incendio)? |
| X |
| 22. ¿Existe salida de emergencia? |
| X |
| 23. ¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de esta puerta y de las ventanas, si es que existen? |
|
|
| 24. ¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? |
| X |
| 25. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del departamento de cómputo para evitar daños al equipo? | X |
|
| 26. ¿Se limpia con frecuencia el polvo acumulado en las estaciones de trabajo? |
| X |
| 27. ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora? |
| X |
| 28. ¿Se tienen establecidos procedimientos de actualización a estas copias? |
| X |
| 29. ¿Existe departamento de auditoria interna en la institución? | X |
|
| 30. ¿Este departamento de auditoria interna conoce todos los aspectos de los sistemas? |
| X |
| 31. ¿Se auditan los sistemas utilizados en los equipos de cómputo? |
| X |
| 35.¿se ha establecido procedimientos de operación a las terminales conectadas a la red? |
| X |
| 37. ¿Se ha establecido que información puede ser accedida y por qué persona? |
| X |
LISTADO DE VERIFICACIÓN DE AUDITORÍA FÍSICA
Gestión física de seguridad.
|
| 100% Excelente | 80% Buena | 60% Regular | 40% Mínimo | 20% No cumple |
| Los objetivos de la instalación física De computo |
|
|
|
| X |
| Las características físicas del centro son seguras |
|
|
| X |
|
| Los componentes físicos de computo |
| X |
|
|
|
| La conexiones de los equipos de las comunicaciones e Instalaciones físicas |
|
| X |
|
|
| La infraestructura es |
|
| X |
|
|
Evaluación de análisis físico de cómputo
|
| 100% Excelente | 80% Buena | 60% Regular | 40% Mínimo | 20% No cumple |
| Evaluación de la existencia y uso de normas, resolución base legal para el diseño del centro de computo. |
|
|
|
| X |
| El cumplimiento de los objetivos fundamentales de la organización para instalar del centro de cómputo. |
|
|
|
| X |
| La forma de repartir los recursos informáticos de la organización. |
|
|
|
| X |
| La confiabilidad y seguridades en el uso de la información institucional |
|
|
| X |
|
| La satisfacción de las necesidades de poder computacional de la organización. |
|
|
| X |
|
Análisis de la delimitación:
|
| 100% Excelente | 80% Buena | 60% Regular | 40% Mínimo | 20% No cumple |
| La delimitación espacial, por las dimensiones físicas. |
|
|
|
| X |
| La delimitación tecnológica, por los requerimientos y conocimientos informáticos. |
|
|
| X |
|
Análisis de la estabilidad y el aprovechamiento de los recursos para instalar el centro de cómputo.
|
| 100% Excelente | 80% Buena | 60% Regular | 40% Mínimo | 20% No cumple |
| Análisis de la transparencia del trabajo para los usuarios. |
|
| X |
|
|
| La ubicación del centro de computo |
| X |
|
|
|
| Los requerimientos de seguridad del centro de computo |
|
|
| X |
|
Evaluación del diseño según el ámbito
|
| 100% Excelente | 80% Buena | 60% Regular | 40% Mínimo | 20% No cumple |
| Análisis del ambiente de trabajo |
|
|
| X |
|
| Evaluar el funcionamiento de los equipos |
|
| X |
|
|
| El local para el trabajo es |
|
|
| X |
|
| Los equipos cuentan con ventilación |
| X |
|
|
|
| La iluminación |
| X |
|
|
|
Análisis de la seguridad física
|
| 100% Excelente | 80% Buena | 60% Regular | 40% Mínimo | 20% No cumple |
| La seguridad de los equipos. |
|
| X |
|
|
| El estado centro de computo esta en |
|
| X |
|
|
| Los accesos de salida son |
|
| X |
|
|
CUESTIONARIO
Basados en la información suministrada:
Identifique los motivos de realizar una auditoria física en la empresa Certificadora de Colombia S.A.
Las técnicas y herramientas propuestas para el desarrollo de la auditoria son las adecuadas, faltan o están de mas? Justifique la respuesta.
El alcance de auditoria cubre todos los aspectos de la auditoria física?. De no ser así, modifique el alcance para que sean cubiertos todos los elementos requeridos por la auditoria.
Con que preguntas esta de acuerdo y cuáles incluiría en la auditoria?
Qué tipo de soportes que evidencien claramente las respuestas deberían solicitarse? (Para cada pregunta).
Realice un análisis de la situación actual de la institución, de tal manera que le permita realizar recomendaciones basados en las respuestas consignadas en la auditoria realizada. (Listar las recomendaciones).
