UNIVERSIDAD NACIONAL “PEDRO RUIZ GALLO” FACULTAD DE CIENCIAS FÍSICAS Y MATEMÁTICA ESCUELA PROFESIONAL DE COMPUTACION E INFORMÁTICA
“AUDITORIA DE LOS SISTEMAS INFORMÁTICOS DE LA ESCUELA DE POSTGRADO DE LA UNIVERSIDAD NACIONAL PEDRO RUIZ GALLO”
TESIS presentado para optar el titulo profesional
INGENIERO EN COMPUTACION E INFORMATICA
AUTOR BACHILLER VICTOR CARLOS QUIÑONES RADO.
ASESOR ING. Mg. SC. PEDRO FIESTAS RODRIGUEZ.
LAMBAYEQUE – PERÚ 2008
1
INTRODUCCION Mediante la presente investigación he intentado determinar los diferentes problemas que se presentan en la Unidad de Informática de la Escuela de Postgrado de la Universidad Nacional "Pedro Ruiz Gallo", ese trabajo lo he realizado aplicando una Auditoria Informática.
La importancia de nuestro trabajo estriba en que al haber observado que la Escuela de Postgrado de la Universidad Nacional "Pedro Ruiz Gallo" ha ido incrementado sus Sistemas informáticos, lo cual es una necesidad y exigencia de los tiempos de Globalización, para conseguir más eficiencia y eficacia en los procesos de Gestión.
Al hacer el estudio se ha detectado una serie de problemas por falta de control en los Sistemas Informáticos, así tenemos:
1. Existencia de pérdida de información confidencial existente en la Escuela de Postgrado por falta de control de acceso a la Unidad de Informática de la Escuela de Postgrado.
2. Se producen deterioros de los equipos informáticos a manos de los usuarios, debido a que desconocen el reglamento de uso de equipo informáticos dentro de la Unidad de Informática de la Escuela de Postgrado.
3. No existen medidas de prevención de catástrofes, dentro de la Unidad de Informática de la Escuela de Postgrado, por ejemplo, faltan equipos contra incendios
4. He constatado la desactualización del personal encargado de la conducción de la Unidad de Informática de la Escuela de Postgrado;
2
acarreando un deficiente servicio y no detectar a tiempo fallas producidas en los equipos informáticos.
5. El MOF (Manual de Organización y Funciones) no contempla en forma detallada las responsabilidades del personal que labora en la Unidad de Informática de la Escuela de Postgrado, ello genera irresponsabilidad en la conducción de la Unidad de Informática, como dar acceso a la información a personas ajenas a la Unidad de Informática.
6. Retrazo en la gestión de soluciones que ocasionan pérdidas económicas por transacciones inconclusas, pérdida o deterioro de los archivos de inventario o de otra información.
Frente a esta problemática es que planteamos algunas recomendaciones como las siguientes:
1. Establecer en el Manual de Organización y Funciones de la Escuela de Postgrado las funciones que le compete a la Unidad de Informática y que se instruya adecuadamente al personal a cargo de esta Unidad de Informática.
2. Hacer convenio con la Escuela de Ing. Computación e Informática y la Escuela de Ing. Sistemas de la Universidad Nacional Pedro Ruiz Gallo para la capacitación y actualización permanente del personal y mejorar el servicio que brinda la Unidad de Informática de la Escuela de Postgrado.
3. La Escuela de Postgrado debe invertir en mejorar su sistema informático y utilizarlo en toda su capacidad ofreciendo mejores servicios a sus alumnos.
3
4. Implementar un plan de medidas de contingencia ante posibles desastres en su Sistema Informático y respaldarlos con la adquisición de seguros contra todo riesgo (incendios, robos, etc.).
5. Realización de un inventario de la totalidad del Hardware y Software existentes en la Unidad de Informática y organizándolo por necesidades.
6. Adquirir las licencias de uso de Software.
7. Elaborar, con participación activa de los involucrados en el manejo de la Unidad de Informática, de un Plan Estratégico para el funcionamiento y uso eficiente y eficaz del Sistema Informático de la Unidad de Informática de la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo.
4
II.
PLAN DE INVESTIGACION 2.0. 2.1.
SITUACION PROBLEMATICA PLANTEAMIENTO DEL PROBLEMA
Al inicio de la década de los 90, comienza a difundirse de manera persistente la versión actual de un mundo global. Los cambios ocurridos en la estructura y las sociedades mundiales durante esa década, impactadas por los avances tecnológicos y los nuevos materiales, obliga a revisar los paradigmas imperantes del papel de la educación en general y de la educación superior en particular, en el progreso de las naciones. Dentro de este contexto el gran desafío que debe enfrentar nuestro país es cómo insertarse de manera competitiva en un mundo cada vez más globalizado, se trata de una nueva etapa del desarrollo, sustentado en el conocimiento y
hacia
dónde
deben
orientarse
nuestros
esfuerzos
académicos e investigativos en el campo de la Informática.
El enfoque y el impacto de la globalización han trastocado la visión del mundo, han obligado a entrar en un inusual espiral de cambios, los cuales se refieren sobre todo al ritmo del uso adecuado del conocimiento acelerado a partir de la Revolución Industrial del siglo XVII, la Revolución de la Productividad del siglo
XIX
y
la
Revolución
de
la
Administración
del
conocimiento. Aceptamos el cambio en nombre del desarrollo del progreso, pero no podemos evitar un sentimiento de temor (Flores, 1998).
La globalización ha afectado para bien o para mal a las culturas dependientes que lenta pero sostenidamente van perdiendo su identidad, al asumir patrones de comportamiento socio cultural a imagen y semejanza de las naciones más desarrolladas. 5
Como reflexión podemos decir, que la globalización no es de lejos la panacea de los males que aquejan al mundo contemporáneo, pero tampoco es la causa única de los mismos, no es más que una etapa en el largo proceso de la internacionalización cultural (Romero,2001).
La
informática
es,
hoy
por
hoy,
un
elemento
imprescindible en la acumulación de conocimiento, la cual ya no sólo es cerebral, obviamente, sino a través del computador. Está tan penetrada en la actividad productiva y social de los habitantes de las regiones más pobladas de la tierra, es decir, en las grandes ciudades, que se ha constituido en una nueva cultura en el mundo modernamente tecnificado de hoy.
Según lo manifiesta Lara Figueroa: “La informática, a través de las supercarreteras de información y de Internet, homologan el sentir del hombre, lo de culturan. Pero si el hombre utiliza estos mismos canales para dar a conocer sus propios logros culturales, como hombre y sociedad, logrará reafirmar su identidad social y cultural y le permitirá compartir con otros hombres de cualquier parte del orbe y del planeta, sus especificidades culturales y su capacidad creadora”. De tal manera, que en estos momentos finales del siglo XX, las tradiciones populares y la cultura popular heredada por el proceso histórico, es la única fuente confiable de identidad social e identidad individual; la que cohesiona a individuos alrededor de logros comunes. Utilizar la informática, pues, en el afán de afianzar la identidad social de un país como Perú, es válido y necesario, pues es el vehículo que permite afianzar las raíces de nacionalidad y pertenencia. El concepto de información es muy reciente y además sumamente sencillo. Fue desarrollado en la década de los 40's por el matemático norteamericano Claude Shannon, para 6
referirse a todo aquello que está presente en un mensaje o señal cuando se establece un proceso de comunicación entre un emisor y un receptor. Así, cuando dos personas hablan, intercambian información; cuando ves una película, recibes información; es más, al probar una galleta tu sentido del gusto recaba información sobre el sabor y la consistencia del bocado. La información puede entonces encontrarse y enviarse en muchas formas, a condición de que quien la reciba pueda interpretarla.
Procesar información implica el almacenamiento, la organización y, muy importante, la transmisión de la misma. Para ello, en la informática intervienen varias tecnologías; en términos generales, podemos decir que son dos sus pilares: la computación y la comunicación; es decir, en lo que hoy conocemos como informática confluyen muchas de las técnicas y de las máquinas que el hombre ha desarrollado a lo largo de la historia para apoyar y potenciar sus capacidades de memoria, de pensamiento y de comunicación.
Sintetizando, la informática es el producto del encuentro de dos líneas tecnológicas: el de las máquinas de comunicar y el de las computadoras. Si bien el término Informática surgió hace poco más de medio siglo, cuando el propio Shannon desarrolló la Teoría de la Información, apostado en los terrenos de la lógica matemática y los albores de la computación moderna. Más adelante veremos como sus orígenes se remontan a los de la humanidad.
A finales del siglo XX, los Sistemas Informáticos se han constituido
en
las
herramientas
más
poderosas
para
materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa. 7
La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el “management” o gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática.
El término de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase “Tiene Auditoria” como sinónimo de que, en dicha entidad, antes de realizarse la auditoria, ya se habían detectado fallas.
El concepto de auditoria es mucho más que esto. Es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc.
La palabra auditoria proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír.
Por otra parte, “En un principio esta definición carece de la explicación del objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia”.
Si consultamos el Boletín de Normas de auditoria del Instituto mexicano de contadores nos dice: “La auditoria no es una actividad meramente mecánica que implique la aplicación 8
de ciertos procedimientos cuyos resultados, una vez llevado a cabo son de carácter indudable”.
De todo esto sacamos como deducción que la auditoria es un examen crítico pero no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo.
Los principales objetivos que constituyen a la auditoria Informática son el control de la función informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta, la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos.
El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. Claro está, que para la realización de una auditoria informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad Anónima o empresa Pública. Todos utilizan la informática para gestionar sus “negocios” de forma rápida y eficiente con el fin de obtener beneficios económicos y de costes.
9
2.2. FORMULACION Y DELIMITACION DEL PROBLEMA 2.2.1 FORMULACIÓN: ¿En qué medida una Auditoria de los Sistemas Informáticos instalados en la Escuela de Postgrado de
la
Universidad Nacional
Pedro Ruiz Gallo
mejorará el uso de estos Sistemas Informáticos en beneficio de sus usuarios y de la institución? 2.2.2 DELIMITACIÓN DEL PROBLEMA: ¿En qué medida la aplicación de una Auditoria Informática de los Sistemas Informáticos de la Unidad de Informática de la Escuela de Postgrado de la Universidad Nacional “Pedro Ruiz Gallo” mejorará el servicio que dan a sus alumnos?
2.3. JUSTIFICACION E IMPORTANCIA DEL ESTUDIO Al haber observado que la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo ha ido incrementando sus Sistemas Informáticos, que es una necesidad y exigencia de los tiempos de globalización, para conseguir mas Eficiencia y Eficacia en los procesos de Gestión; pero para ello se tiene que tener en cuenta el uso adecuado y en toda su capacidad de estos sistemas.
10
2.4 OBJETIVOS
2.4.1 OBJETIVO GENERAL Aplicación de una Auditoria Informática de los Sistemas Informáticos de la Unidad de Informática de la Escuela de Postgrado de la Universidad Nacional “Pedro Ruiz Gallo”
2.4.2. OBJETIVOS ESPECIFICOS El presente proyecto de investigación persigue los siguientes objetivos:
Determinar la capacidad de los Sistemas Informáticos de la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo.
Delinear los elementos de la Auditoria de los Sistemas Informáticos.
Aplicar los lineamientos de Auditoria a los Sistemas Informáticos de la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo.
Elaborar la propuesta para el mejor
uso de la
capacidad instalada de los Sistemas Informáticos de la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo.
11
III. MARCO DE REFERENCIA DEL PROBLEMA
3.1 MARCO TEÓRICO
3.1.1 SISTEMA INFORMÁTICO
En términos genéricos se puede afirmar que el sistema informático es un conjunto de elementos interrelacionados entre sí y relacionados a su vez con el sistema global en que se encuentra, que pretende conseguir unos fines determinados. Los elementos constitutivos de un sistema informático serán físicos, lógicos y humanos. Estructuralmente un sistema se puede dividir en partes pero, funcionalmente es indivisible, ya que si se dividiera perdería alguna de sus propiedades esenciales. Así, un sistema informático sin
alguno
de
sus
componentes,
no
funcionaría.
Como
características globales de un sistema informático podríamos señalar las siguientes:
Las propiedades o comportamiento de cada uno de los elementos del sistema influyen en las propiedades y funcionamiento del sistema completo.
El tipo de influencia que ejerce cada elemento del sistema depende, al menos, del comportamiento de otro elemento.
Cada sistema informático se compone, a su vez, de subsistemas que son sistemas informáticos por sí mismo. Al final de la descomposición se llegará al sistema informático elemental (un ordenador y su equipo lógico). Habrá que determinar en que sentido y nivel de descomposición estamos hablando cuando nos referimos a un sistema informático.
12
Normalmente, el rendimiento de un sistema informático depende más de la relación y coordinación entre sus componentes que del funcionamiento de cada uno de ellos individualmente. Por eso, a veces, el funcionamiento de un sistema informático no se mejora usando los mejores componentes físicos, lógicos y humanos sino armonizando y coordinando efectivamente sus relaciones.
3.1.1.1 COMPONENTES Y FUNCIONAMIENTO GENERAL DE UN SISTEMA INFORMÁTICO.
Un sistema informático está compuesto por:
a) Componente físico: que constituye el hardware del sistema informático que lo conforman, básicamente, los ordenadores,
los
periféricos
y
el
sistema
de
comunicaciones. Los componentes físicos proporcionan la capacidad y la potencia de cálculo del sistema informático.
b) Componente lógico: que constituye el software del sistema informático y lo conforman, básicamente, tos programas, las estructuras de datos y la documentación asociada El software se encuentra distribuido en el hardware y lleva a cabo el proceso lógico que requieren los datos.
c) Componente humano: constituido por todas las personas participantes en todas las fases de la vida de un
sistema
informático
(diseño,
desarrollo,
implantación, explotación). Este componente humano es sumamente importante
ya
que
los sistemas
informáticos están desarrollados por humanos y para uso de humanos. 13
Veamos, gráficamente. la estructura de un sistema informático genérico: El sistema informático ha evolucionado desde una primera situación en que todos los componentes del sistema (físicos, lógicos y humanos) se encontraban centralizados en una sala de ordenadores a la situación actual en que los componentes del sistema se encuentran, normalmente, ampliamente distribuidos en diferentes lugares físicos. Este camino hacia la implantación progresiva de sistemas distribuidos ha pasado por diferentes fases y se puede considerar que aún no ha finalizado. Veamos estas fases más detenidamente:
En una primera fase, al inicio de la informatización de las organizaciones, los recursos están totalmente centralizados.
En una segunda fase, se distribuyen los componentes físicos (y, en ocasiones, los humanos) del sistema. La capacidad de proceso y almacenamiento sigue estando centralizada pero las entradas y salidas de datos se han
distribuido
físicamente
conectados a un equipo central).
14
(terminales
"tontos"
En una tercera fase se distribuyen, además, los componentes lógicos del sistema Las capacidades de proceso también se empiezan a distribuir pero no totalmente (terminales con cierta capacidad de proceso conectados a un equipo central).
Por último, se llega al modelo más avanzado de informática distribuida en que tanto la capacidad de proceso como la capacidad de almacenamiento sé encuentran distribuidas en diferentes lugares.
Los sistemas distribuidos pueden organizarse de forma vertical o jerárquica y de forma horizontal.
En una organización horizontal todos los equipos tienen la misma "categoría", es decir, no existe un equipo central sino un conjunto de equipos interconectados que cooperan entre sí.
Por contra, en una organización vertical nos encontramos con varios niveles jerárquicos, entre los que podemos destacar:
-
El nivel más alto de la jerarquía lo forman tos equipos más potentes, del tipo de los mainframes y realiza los trabajos de la organización que necesiten mayores recursos. Este es el nivel de la Informática Corporativa, que soporta el Sistema General de Información de la organización.
-
El segundo nivel en importancia es el de la Informática Departamental, en el que nos encontramos con ordenadores
menos
potentes,
del
tipo
de
los
miniordenadores, que interaccionan con los mainframes 15
del nivel superior y con los ordenadores del nivel inferior. Actualmente, los miniordenadores de este nivel son sustituidos, cada vez con más frecuencia, por redes locales de ordenadores.
-
El último nivel de la jerarquía es el de la informática Personal, constituido por los microordenadores o estaciones
de
trabajo
que
interactúan
con
los
ordenadores de los niveles superiores a través de redes de comunicaciones. Los ordenadores de este nivel suelen disponer de herramientas especializadas para el trabajo personal.
16
3.1.1.2.
TIPOS DE ARQUITECTURAS DE LOS SISTEMAS INFORMÁTICOS
Es un conjunto determinado de reglas, normas y procedimientos que especifican las interrelaciones que deben existir entre los componentes de un sistema informático y las características que deben cumplir cada uno de estos componentes.
No se tratarán las distintas arquitecturas de un ordenador sino sólo cómo los distintos tipos de ordenadores
que
pueden
existir
en
un
sistema
informático pueden ser dispuestos para satisfacer las necesidades de una organización.
En la década de los 80 aparecieron los conceptos de máquina departamental y de ordenador personal y se desarrolló el concepto de proceso distribuido con una arquitectura en tres niveles:
-
Mainframes:
ordenadores
centrales
donde
se
encontraban las aplicaciones corporativas.
- Máquinas departamentales: donde se desarrollaban aplicaciones técnicas o científicas y, frecuentemente, la entrada de datos.
-
Puestos de trabajo: conectados a los anteriores a través de una red (terminales inteligentes o tontos).
A finales de los 80 se avanza en tomo al concepto de proceso cooperativo, que trata de aprovechar el poder potencial de las estaciones de trabajo y de los PC sin
17
por ello sustituir los mainframes. Se pretende hacerlos actuar no exclusivamente como terminales sino soportar parte del proceso que hasta ese momento era realizado por los ordenadores centrales y aprovechar de esa forma facilidades de edición y presentación de las herramientas de la estación de trabajo.
A partir de este momento el mainframe aparece más como un nodo dentro de la red empresarial de información que como el núcleo central de todos los catos y aplicaciones y surge un nuevo concepto dé arquitectura que es el modelo cliente- servidor, en el que los elementos antes descritos trabajan como servidores, es decir, realizan funciones que pueden ser complejas, tales como servidores de bases de datos o simples como servidores de impresión. Los equipos son conectados a través de una red por la que circulan procesos proporcionando la arquitectura las reglas por las que estos procesos son distribuidos. Cada proceso esta formado por una pareja (petición y respuesta) donde la petición es el cliente y el servidor la respuesta.
3.1.1.3
CLASIFICACIONES
DE
LOS
SISTEMAS
INFORMÁTICOS. Atendiendo
al
criterio
de
las
prestaciones
que
proporcionan los sistemas informáticos, éstos se pueden clasificar en:
- Supercomputadores: equipos con gran capacidad de cálculo. Suelen ser de tipo vectorial con varias CPU
trabajando
en
paralelo.
Se
utilizan
frecuentemente en el entorno técnico científico y en
18
la
realización
de
simulaciones.
Se
llega
a
elevadísimas prestaciones en la velocidad de proceso.
-
Sistemas
grandes
o
mainframes:
equipos
caracterizados por dar soporte a grandes redes de comunicaciones con multitud de usuarios.
-
Sistemas medios o miniordenadores: equipos con capacidad para soportar cientos de usuarios pero a un coste inferior al de tos sistemas grandes.
-
Estaciones de trabajo: equipos monousuarios muy potentes
con
prestaciones.
gran Las
velocidad
estaciones
de
y
elevadas
trabajo
más
modernas suelen ser de tecnología RISC.
-
Microordenadores: equipos monousuario con, cada vez; mayores prestaciones. En este grupo podemos encontrar.
- Ordenadores profesionales. - Ordenadores personales. - Ordenadores domésticos.
Hay que tener presente que la diferencia entre los mainframes, miniordenadores y microordenadores es difícil de establecer, así por ejemplo un microordenador muy potente trabajando en un entorno multiusuario puede convertirse en miniordenador. Además, no existen límites claros entre los miniordenadores más potentes y los mainframes más pequeños y los criterios para clasificar un sistema en uno u otro tipo varían con el tiempo. 19
3.1.2 AUDITORIA
En la teoría administrativa, el concepto de eficiencia ha sido heredado de la economía y se considera como un principio rector. La evaluación del desempeño organizacional es importante pues permite establecer en qué grado se han alcanzado los objetivos, que casi siempre se identifican con los de la dirección, además se valora la capacidad y lo pertinente a la practica administrativa. Sin embargo al llevar a cabo una evaluación simplemente a partir de los criterios de eficiencia clásico, se reduce el alcance y se sectoriza la concepción de la empresa, así como la potencialidad de la acción participativa humana, pues la evaluación se reduce a ser un instrumento de control coercitivo de la dirección para el resto de los integrantes de la organización y solo mide los fines que para aquélla son relevantes. Por tanto se hace necesario una recuperación crítica de perspectivas y técnica que permiten una evaluación integral, es decir, que involucre los distintos procesos y propósitos que están presentes en las organizaciones, ello se logra con la auditoria.
3.1.2.1. Antecedentes
La auditoria es una de las aplicaciones de los principios científicos de la contabilidad, basada en la verificación de los registros patrimoniales de las haciendas, para observar su exactitud; no obstante, este no es su único objetivo.
Su importancia es reconocida desde los tiempos más remotos, teniéndose conocimientos de su existencia ya en las lejanas épocas de la civilización sumeria.
Acreditase, todavía, que el termino auditor evidenciando el titulo del que practica esta técnica, apareció a finales del siglo XVIII, en Inglaterra durante el reinado de Eduardo I.
20
En diversos países de Europa, durante la edad media, muchas eran encargaban
las asociaciones profesionales, de
destacándose
ejecuta
entre
ellas
funciones los
de
consejos
que
se
auditorias, Londinenses
(Inglaterra), en 1.310, el Colegio de Contadores, de Venecia (Italia), 1.581.
La revolución industrial llevada a cabo en la segunda mitad del siglo XVIII, imprimió nuevas direcciones a las técnicas contables, especialmente a la auditoria, pasando a atender las necesidades creadas por la aparición de las grandes empresas
(donde
la
naturaleza
es
el
servicio
es
prácticamente obligatorio).
Se preanuncio en 1.845 o sea, poco después de penetrar la contabilidad de los dominios científicos y ya el "Railway Companies Consolidation Act" obligada la verificación anual de los balances que debían hacer los auditores.
También en los Estados Unidos de Norteamérica, una importante asociación cuida las normas de auditoria, la cual publicó diversos reglamentos, de los cuales el primero que conocemos data de octubre de 1.939, en tanto otros consolidaron las diversas normas en diciembre de 1.939, marzo de 1.941, junio de 1942 y diciembre de 1.943.
El futuro de nuestro país se prevé para la profesión contable en el sector auditoria es realmente muy grande, razón por la cual deben crearse, en nuestro circulo de enseñanza cátedra para el estudio de la materia, incentivando el aprendizaje y asimismo organizarse cursos similares a los que en otros países se realizan.
21
3.1.2.2. Definiciones
Inicialmente, la auditoria se limitó a las verificaciones de los registros contables, dedicándose a observar si los mismos eran exactos.
Y, por lo tanto, esta era la forma primaria: Confrontar lo escrito con las pruebas de lo acontecido y las respectivas referencias de los registros.
Con el tiempo, el campo de acción de la auditoria ha continuado extendiéndose; no obstante son muchos los que todavía la juzgan como portadora exclusiva de aquel objeto remoto, o sea, observar la veracidad y exactitud de los registros.
En forma sencilla y clara, escribe Holmes: "... la auditoria es el examen de las demostraciones y registros administrativos". El auditor observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos. Tomando en cuenta los criterios anteriores podemos decir que la auditoria es la actividad por la cual se verifica la corrección contable de las cifras de los estados financieros; Es la revisión misma de los registros y fuentes de contabilidad para determinar la racionabilidad de las cifras que muestran los estados financieros emanados de ellos.
22
3.1.2.3 Objetivo
El objetivo de la Auditoria consiste en apoyar a los miembros de la empresa en el desempeño de sus actividades. Para eilo la
Auditoria
les
proporciona
análisis,
evaluaciones,
recomendaciones, asesoría e información concerniente a las actividades revisadas.
3.1.2.4. Finalidad
Los fines de la auditoria son los aspectos bajo los cuales su objeto es observado. Podemos escribir los siguientes:
1. lndagaciones
y
determinaciones
sobre
el
estado
patrimonial. 2. lndagaciones
y
determinaciones
sobre
los
estados
financieros. 3. lndagaciones y determinaciones sobre el estado reditual. 4. Descubrir errores y fraudes. 5. Prevenir los errores y fraudes. 6. Estudios generales sobre casos especiales, tales como:
a. Exámenes de aspectos fiscales y legales. b. Examen para compra de una empresa
(cesión
patrimonial). c. Examen para la determinación de bases de criterios de prorrateo, entre otros.
Los variadísimos fines de la auditoria muestran, por si solos, la utilidad de esta técnica.
23
3.1.2.5 Clasificación de la Auditoria
a. Auditoria Externa Aplicando el concepto general, se puede decir que la auditoria Externa es el examen crítico, sistemático y detallado de un sistema de información de una unidad económica, realizado por un Contador Público sin vínculos laborales con la misma, utilizando técnicas determinadas y con el objeto de emitir una opinión independiente sobre la forma como opera el sistema, el control interno del mismo y formular sugerencias para su mejoramiento. El dictamen u opinión independiente tiene trascendencia a los terceros, pues da plena validez a la información generada por el sistema ya que se produce bajo la figura de la Fe Pública, que obliga a los mismos a tener plena credibilidad en la información examinada.
La Auditoria Externa examina y evalúa cualquiera de los sistemas de información de una organización y emite una opinión
independiente
sobre
los
mismos,
pero
las
empresas generalmente requieren de la evaluación de su sistema de información financiero en forma independiente para otorgarle validez ante los usuarios del producto de este, por lo cual tradicionalmente se ha asociado el término Auditoria Externa a Auditoria de Estados Financieros, lo cual como se observa no es totalmente equivalente, pues puede existir Auditoria Externa del Sistema de Información Tributario, Auditoria Externa del Sistema de Información Administrativo,
Auditoria
Externa
del
Sistema
de
Información Automático etc. La Auditoria Externa o Independiente tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los estados, expedientes y documentos y toda aquella información producida por los sistemas de la organización. 24
Una Auditoria Externa se lleva a cabo cuando se tiene la intención
de
publicar
el
producto
del
sistema
de
información examinado con el fin de acompañar al mismo una opinión independiente que le dé autenticidad y permita a los usuarios de dicha información tomar decisiones confiando en las declaraciones del Auditor.
Una
auditoria
debe
hacerla
una
persona
o
firma
independiente de capacidad profesional reconocidas.
Esta persona o firma debe ser capaz de ofrecer una opinión imparcial y profesionalmente experta a cerca de los resultados de auditoria, basándose en el hecho de que su opinión ha de acompañar el informe presentado al término del examen y concediendo que pueda expresarse una opinión basada en la veracidad de los documentos y de los estados financieros y en que no se imponga restricciones al auditor en su trabajo de investigación.
Bajo cualquier circunstancia, un Contador profesional acertado se distingue por una combinación de un conocimiento completo de los principios y procedimientos contables, juicio certero, estudios profesionales adecuados y una receptividad mental imparcial y razonable.
b. Auditoria Interna La auditoria Interna es el examen crítico, sistemático y detallado de un sistema de información de una unidad económica, realizado por un profesional con vínculos laborales con la misma, utilizando técnicas determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma. Estos informes son de circulación interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Publica. 25
Las auditorias internas son realizadas por personal de la institución. Un auditor interno tiene a su cargo el control permanente de las transacciones y operaciones y se preocupa en sugerir el mejoramiento de los métodos y procedimientos de control interno que redunden en una operación más eficiente y eficaz.
Cuando la auditoria está dirigida por Contadores Públicos profesionales independientes, la opinión de un experto desinteresado e imparcial constituye una ventaja definida para la empresa y una garantía de protección para los intereses de los accionistas, los acreedores y el Público. La imparcialidad e independencia absolutas no son posibles en el caso del auditor interno, puesto que no puede divorciarse completamente de la influencia de la alta administración,
y
aunque
mantenga
una
actitud
independiente como debe ser, esta puede ser cuestionada ante los ojos de los terceros. Por esto se puede afirmar que el Auditor no solamente debe ser independiente, sino parecerlo para así obtener la confianza del Público.
La auditoria interna es un servicio que reporta al más alto nivel
de
la
dirección
de
la
organización
y
tiene
características de función asesora de control, por tanto no puede ni debe tener autoridad de línea sobre ningún funcionario de la empresa, a excepción de los que forman parte de la plana de la oficina de auditoria interna, ni debe en modo alguno involucrarse o comprometerse con las operaciones de los sistemas de la empresa, pues su función es evaluar y opinar sobre los mismos, para que la alta dirección torna las medidas necesarias para su mejor funcionamiento. La auditoria interna solo interviene en las operaciones y decisiones propias de su oficina, pero nunca en las operaciones y decisiones de la organización a la cual 26
presta sus servicios, pues corno se dijo es una función asesora.
c. Diferencias entre auditoria interna y externa: Existen diferencias substanciales entre la Auditoria Interna y la Auditoria Externa, algunas de las cuales se pueden detallar así:
En la Auditoria Interna existe un vínculo laboral entre el auditor y la empresa, mientras que en la Auditoria Externa la relación es de tipo civil.
En la Auditoria Interna el diagnóstico del auditor, esta destinado para la empresa; en el caso de la Auditoria Externa este dictamen se destina generalmente para terceras personas o sea ajena a la empresa.
La Auditoria Interna está inhabilitada para dar Fe Pública, debido a su vinculación contractual laboral, mientras la Auditoria Externa tiene la facultad legal de dar Fe Pública.
27
3.1.3 EL AUDITOR
3.1.3.1 Definición
Es aquella persona profesional, que se dedica a trabajos de auditoria habitualmente con libre ejercicio de una ocupación técnica.
3.1.3.2. Funciones generales
Para ordenar e imprimir cohesión a su labor, el auditor cuenta con un una serie de funciones tendientes a estudiar, analizar y diagnosticar la estructura y funcionamiento general de una organización.
Las funciones tipo del auditor son:
Estudiar la normatividad, misión, objetivos, políticas, estrategias, planes y programas de trabajo.
Desarrollar el programa de trabajo de una auditoria.
Definir
los
objetivos,
alcance
y
metodología
para
instrumentar una auditoria.
Captar
la
información
necesaria
para
evaluar
la
funcionalidad y efectividad de los procesos, funciones y sistemas utilizados.
Recabar y revisar estadísticas sobre volúmenes y cargas de trabajo.
Diagnosticar sobre los métodos de operación y los sistemas de información. 28
Detectar los hallazgos y evidencias e incorporarlos a los papeles de trabajo.
Respetar las normas de actuación dictadas por los grupos de
filiación,
corporativos,
sectoriales
e
instancias
normativas y, en su caso, globalizadoras.
Proponer
los
sistemas
administrativos
y/o
las
modificaciones que permitan elevar la efectividad de la organización.
Analizar la estructura y funcionamiento de la organización en todos sus ámbitos y niveles.
Revisar el flujo de datos y formas.
Considerar las variables ambientales y económicas que inciden en el funcionamiento de la organización.
Analizar la distribución del espacio y el empleo de equipos de oficina.
Evaluar los registros contables e información financiera.
Mantener el nivel de actuación a través de una interacción y revisión continua de avances.
Proponer los elementos de tecnología de punta requeridos para impulsar el cambio organizacional.
Diseñar y preparar los reportes de avance e informes de una auditoria.
29
3.1.3.3. Conocimientos que debe poseer Es conveniente que el equipo auditor tenga una preparación acorde 'con los requerimientos de una auditoria administrativa, ya que eso le permitirá interactuar de manera natural y congruente con los mecanismos de estudio que de una u otra manera se emplearán durante su desarrollo.
Atendiendo a éstas necesidades es recomendable apreciar los siguientes niveles de formación:
a. Académica Estudios a nivel técnico, licenciatura o postgrado en administración,
informática,
comunicación,
ciencias
políticas, administración pública, relaciones industriales, ingeniería industrial, psicología, pedagogía, ingeniería en sistemas, contabilidad, derecho, relaciones internacionales y diseño gráfico. Otras
especialidades
como
actuaría,
matemáticas,
ingeniería y arquitectura, pueden contemplarse siempre y cuando hayan recibido una capacitación que les permita intervenir en el estudio.
b. Complementaria Instrucción en la materia, obtenida a lo largo de la vida profesional- por medio de diplomados, seminarios, foros y cursos, entre otros.
c. Empírica Conocimiento resultante de la implementación de auditorias en diferentes instituciones sin contar con un grado académico. Adicionalmente, deberá saber operar equipos de cómputo y de oficina, y dominar él ó los idiomas que sean parte de la dinámica de trabajo de la organización bajo examen. 30
También tendrán que tener en cuenta y comprender el comportamiento organizacional cifrado en su cultura.
Una actualización continua de los conocimientos permitirá al auditor adquirir la madurez de juicio necesaria para él ejercicio de su función en forma prudente y justa.
3.1.3.4 Habilidades y destrezas
En forma complementaria a la formación profesional, teórica y/o práctica, el equipo auditor demanda de otro tipo de cualidades que son determinantes en su trabajo, referidas a recursos personales producto de su desenvolvimiento y dones intrínsecos a su carácter. La expresión de estos atributos puede variar de acuerdo con el modo de ser y el deber ser de cada caso en particular; sin embargo es conveniente que, quien se dé a la tarea de cumplir con el papel de auditor, sea poseedor de las siguientes características: Actitud positiva. Estabilidad emocional. Objetividad. Sentido institucional. Saber escuchar. Creatividad. Respeto a las ideas de los demás. Mente analítica. Conciencia de los valores propios y de su entorno. Capacidad de negociación. Imaginación. Claridad de expresión verbal y escrita. Capacidad de observación. Iniciativa. 31
Discreción. Facilidad para trabajar en grupo. Comportamiento ético.
3.1.3.5. Experiencia Uno de los elementos fundamentales que se tiene que considerar en las características del equipo, es el relativo a su experiencia personal de sus integrantes, ya que de ello depende en gran medida el cuidado y diligencia profesionales que se emplean para determinar el nivel de sus observaciones y sugerencias.
Por la naturaleza de la función a desempeñar existen varios campos que se tienen que dominar:
o Conocimiento de. las áreas sustantivas de la organización. o Conocimiento de las áreas adjetivas de la organización. o Conocimiento de esfuerzos anteriores · Conocimiento de casos prácticos. o Conocimiento derivado de la implementación de estudios organizacionales de otra naturaleza. o Conocimiento personal basado en elementos diversos.
3.1.3.6. Responsabilidad profesional
El equipo auditor debe realizar su trabajo utilizando toda su capacidad, inteligencia y criterio para determinar el alcance, estrategia y técnicas que habrá de aplicar en una auditoria, así como evaluar los resultados y presentar los informes correspondientes.
Para éste efecto, debe de poner especial cuidado en: Preservar la independencia mental. 32
Realizar su trabajo sobre la base de conocimiento y capacidad profesional adquiridos. Cumplir con las normas o criterios que se le señalen. Capacitarse en forma continua También es necesario que se mantenga libre de impedimentos que resten credibilidad a sus juicios, por que debe preservar su autonomía e imparcialidad al participar en una auditoria.
Es conveniente señalar, que los impedimentos a los que normalmente se puede enfrentar son: personales y externos.
Los primeros, corresponden a circunstancias que recaen específicamente en el auditor y que por su naturaleza pueden afectar su desempeño, destacando las siguientes: Vínculos personales, profesionales, financieros u oficiales con la organización que se va a auditar. Interés económico personal en la auditoria. Corresponsabilidad en condiciones de funcionamiento incorrectas. Relación
con
instituciones
que
interactúan
con
la
organización. Ventajas previas obtenidas en forma ilícita o antiética.
Los segundos están relacionados con factores que limitan al auditor a llevar a cabo su función de manera puntual y objetiva como son: Ingerencia externa en la selección o aplicación de técnicas o metodología para la ejecución de la auditoria. Interferencia con .los órganos internos de control.
33
Recursos limitados para desvirtuar el alcance de la auditoria. Presión injustificada para propiciar errores inducidos. En estos casos, tiene el deber de informar a la organización para que se tomen las providencias necesarias.
Finalmente, el equipo auditor no debe olvidar que la fortaleza de su función está sujeta a la medida en que afronte su compromiso con respeto y en apego a normas profesionales tales como:
1.Objetividad.- Mantener una visión independiente de los hechos, evitando formular juicios o caer en omisiones, que alteren de alguna manera los resultados que obtenga.
2.Responsabilidad.- Observar una conducta profesional, cumpliendo con sus encargos oportuna y eficientemente.
3.Integridad.- Preservar sus valores por encima de las presiones.
4.Confidencialidad.- Conservar en secreto la información y no utilizarla en beneficio propio o de intereses ajenos.
5.Compromiso.- Tener presente sus obligaciones para consigo mismo y la organización para la que presta sus servicios.
6.Equilibrio.- No perder la dimensión de la realidad y el significado de los hechos.
7.Honestidad.- Aceptar su condición y tratar de dar su mejor esfuerzo 'con sus propios recursos, evitando aceptar compromisos o tratos de cualquier tipo. 34
8.
Institucionalidad.- No olvidar que su ética profesional lo obliga a respetar y obedecer a la organización a la que pertenece.
9. Criterio.- Emplear su capacidad de discernimiento en forma equilibrada.
10. Iniciativa.- Asumir una actitud y capacidad de respuesta ágil y efectiva.
11. Imparcialidad.- No involucrarse en forma personal en los hechos, conservando su objetividad al margen de preferencias personales.
12. Creatividad.- Ser propositivo e innovador en el desarrollo de su trabajo.
35
3.1.4 AUDITORIA DE SISTEMAS DE INFORMACIÓN
3.1.4.1 Definición de Auditoria
Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente, evidencias sobre las afirmaciones relativas a los actos y eventos de carácter económico, administrativo, operacional o de sistemas; con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, para luego comunicar los resultados a las personas interesadas.
3.1.4.2 Clasificación de Auditoria
3.1.4.2.1 Auditoria Financiera
La
Auditoria
Financiera
efectúa
un
examen
sistemático de los estados financieros, los registros y las operaciones correspondientes, para determinar la observancia
de
los
principios
de
contabilidad
generalmente aceptados, de las políticas de la administración y de la planificación.
3.1.4.2.2 Auditoria operativa"
"Un examen sistemático de las actividades de una organización (ó de un segmento estipulado de las mismas) en relación con objetivos específicos, a fin de evaluar el comportamiento, señalar oportunidades de mejorar
y
generar
recomendaciones
para
mejoramiento o para potenciar el logro de objetivos ".
36
el
3.1.4.2.3 Auditoria de Sistemas Informáticos
Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una institución para lograr confiabilidad, oportunidad,
seguridad
y
confidencialidad
de
la
información que se procesa a través de los sistemas informáticos. La auditoria de sistemas Informáticos es una rama especializada de la auditoria que promueve y aplica conceptos de auditoria en el área de sistemas de información.
La auditoria de los sistemas informáticos se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas
automáticos
de
procesamiento
de
la
información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
El objetivo final que tiene el auditor de sistemas informáticos es dar recomendaciones a la Dirección para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa.
3.1.4.2.3.1 Objetivos Específicos de la Auditoria de Sistemas Informáticos.
1. Participación en el desarrollo de nuevos sistemas: Evaluación de controles. Cumplimiento de la metodología.
37
2. Evaluación de la seguridad en el área informática.
3. Evaluación de suficiencia en los planes de contingencia. Respaldos, preveer qué va a pasar si se presentan fallas.
4. Opinión de la utilización de los recursos informáticos. Resguardo y protección de activos. 5. Control de modificación a las aplicaciones existentes. Fraudes. Control a las modificaciones de los programas.
6.
Participación
en
la
negociación
de
contratos con los proveedores.
7. Revisión de la utilización del sistema operativo y los programas Utilitarios. Control sobre la sistemas operativos. Programas utilitarios.
38
utilización
de
los
8. Auditoria de la base de datos. Estructura sobre la cual se desarrollan las aplicaciones.
9. Auditoria de la red de teleprocesos.
10. Desarrollo de software de auditoría.
Es el objetivo final de una auditoría de sistemas
bien
implementada,
desarrollar
software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.
3.1.4.2.3.2
Fines
de
la
Auditoria
de
Sistemas
Informáticos
1.
Fundamentar la opinión del auditor interno
y/o
confiabilidad
externos de
los
sobre
la
sistemas
de
información.
2.
Expresar la opinión sobre la eficiencia de las operaciones en el área de las Tecnologías de la Información.
3.1.4.2.3.3 Similitudes y diferencias con la auditoría tradicional
A. Similitudes: No
se
requieren
nuevas
auditoría, son las mismas. 39
normas
de
Los elementos básicos de un buen sistema de control contable interno siguen siendo los mismos; por ejemplo, la adecuada segregación de funciones. Los propósitos principales del estudio y la evaluación del control contable interno son la obtención de evidencia para respaldar una
opinión
y
determinar
la
base,
oportunidad y extensión de las pruebas futuras de auditoría.
B. Diferencias: Se
establecen
algunos
nuevos
procedimientos de auditoría. Hay diferencias en las técnicas destinadas a mantener un adecuado control interno contable. Hay alguna diferencia en la manera de estudiar
y
evaluar
el
control
interno
contable. Una diferencia significativa es que
en
algunos
procesos
se
usan
programas. El énfasis en la evaluación de los sistemas manuales
esta
en
la
evaluación
de
transacciones, mientras que el énfasis en los sistemas informáticos, está en la evaluación del control interno.
40
3.1.4.2.3.4 Aspectos del Medio Ambiente Informático que afectan el enfoque Procedimientos de la Auditoria y sus Complejidad de los Sistemas.
Uso de lenguajes.
Metodologías, son aquellos procesos que realizan las personas de acuerdo a su experiencias.
Centralización.
Departamento de sistemas que coordina y centraliza
todas
las
operaciones
relaciones los usuarios son altamente dependientes del área de sistemas. 3.1.4.2.3.5
Controles del computador.
La
Automatización
de
los
Controles
Manuales Confiabilidad electrónica. Debilidades de las máquinas y tecnología. Transmisión y registro de la información en medios magnéticos, óptico y otros. Almacenamiento en medios que deben acceder a través del computador mismo. Centros externos de procesamiento de datos. Dependencia externa.
41
3.1.4.2.3.6 Razones para la existencia de la Auditoria de Sistemas Informáticos.
1. La información es un recurso clave en la empresa para: Planear el futuro, controlar el presente y evaluar el pasado.
2. Las operaciones de la empresa dependen cada
vez más de la
sistematización
informática.
3. Los riesgos tienden a aumentar, debido a: Pérdida de información. Pérdida de activos. Pérdida de servicios/ventas. 4. La sistematización representa un costo significativo para La empresa en cuanto a: hardware, software y personal.
5. Los problemas se identifican sólo al final.
6. El permanente avance tecnológico.
42
3.1.4.2.3.7 Requerimientos del Auditor de Sistemas Informáticos
1. Entendimiento
global
e
integral
del
negocio, de sus puntos claves, áreas críticas,
entorno
económico,
social
y
político.
2. Entendimiento del efecto de los sistemas en la organización.
3. Entendimiento de los objetivos de la auditoría.
4. Conocimiento
de
los
recursos
de
proyectos
de
computación de la empresa.
5. Conocimiento
de
los
sistemas.
3.1.4.2.3.8 Riesgos asociados al área de los Sistemas Informáticos
Hardware Descuido
o
falta
de
protección:
Condiciones inapropiadas, mal manejo, no observancia de las normas. Destrucción.
Software: Uso o acceso. Copia, Modificación, Destrucción, Hurto. Errores u omisiones. 43
La Auditoria sobre el Software incide en evaluar lo concerniente al adecuado uso o acceso de los programas, la destrucción del Software ya sea por distintas causas' (golpe, incendio, etc.), Copias piratas, Modificaciones, el hurto de programas por personas
ajenas
a
la
Unidad
de
Informática, errores que podría presentar el software.
Archivos: Usos o accesos. Copia, Modificación, Destrucción, Hurto.
Organización: Inadecuada: no funcional, sin división de funciones. Falta de seguridad. Falta de políticas y planes.
Personal: Deshonesto, Incompetente y descontento.
Usuarios: Enmascaramiento, falta de autorización. Falta de conocimiento de su función.
44
3.1.5 NORMAS GENERALES PARA LA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN La naturaleza especializada de la auditoría a los sistemas de información (SI), así como las destrezas necesarias para llevar a cabo tales auditorias, requiere de estándares que aplican específicamente a la auditoría de Sistema de Información. Uno de los objetivos de la Asociación de Auditoría y Control de los Sistemas de Información (Information. www.isaca.org)
Systems es
Audit
and
promover
Control estándares
Association, aplicables
internacionalmente para cumplir con su visión. El desarrollo y difusión de los Estándares de Auditoría de Sistemas Informáticos son una piedra angular de la contribución profesional de ISACA a la comunidad de auditoría. La estructura para los Estándares de Auditoría de Sistemas de Información brinda múltiples niveles de asesoramiento:
Los Estándares definen requisitos obligatorios para la auditoría y el reporte de Sistemas Informáticos Informan a: 1. Los auditores de Sistemas de Información respecto al nivel mínimo de desempeño aceptable requerido para cumplir con las responsabilidades profesionales indicadas en el Código de Ética Profesional de ISACA. 2. La dirección y otras partes interesadas en las expectativas de la profesión con respecto al trabajo de sus profesionales. 3. Los poseedores de la designación de Auditor Certificado de Sistemas de Información (Certified Information Systems Auditor, CISA) respecto a los requisitos que deben cumplir. El incumplimiento de estos estándares puede resultar en una investigación de la conducta del poseedor del certificado CISA por parte de la Junta de Directores de ISACA o del comité
45
apropiado de ISACA y, en última instancia, en sanciones disciplinarias. Las Directrices proporcionan asesoramiento en la aplicación de los Estándares de Auditoría de Sistemas de Información. El auditor de Sistemas de Información debe considerarlas al determinar cómo lograr la implementación de los estándares, utilizar un buen juicio profesional en su aplicación y estar dispuesto a justificar cualquier desviación de las mismas. El objetivo de las Directrices de Auditoría de Sistemas de Información es proporcionar mayor información con respecto a cómo cumplir con los Estándares de Auditoria de Sistemas de Información. Los Procedimientos proporcionan ejemplos de procedimientos que podría seguir un auditor de Sistemas de Información en el curso de un contrato de auditoría. Los documentos sobre procedimientos proporcionan información sobre cómo cumplir con los estándares al realizar trabajos de auditoría de SI, pero no establecen los requisitos correspondientes. El objetivo de los Procedimientos de Auditoría de SI es proporcionar mayor información con respecto a cómo cumplir con los Estándares de Auditoría de Sistemas de Información.
COBIT
(Control
Objectives
for
Information
and
related
Technology / Objetivos de Control para tecnología de la información y relacionada), es el modelo para el Gobierno de la Tecnología de la Información (TI) desarrollado por la Information Systems
Audit
and
Control
Association
(ISACA)
y
el
Information and related Technology Governance Information and related Technology.
46
Tiene 34 objetivos nivel altos que cubren 215 objetivos de control clasificados en cuatro dominios:
a. El plan y Organiza. b. Adquiere y Pone en práctica c. Entrega y Apoya 1 d. Supervisa y Evalúa.
Enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar el valor de las Tecnologías de Información, apoya el alineamiento con el negocio y simplifica la implantación del COBIT. La misión COBIT es " para investigar, desarrollar, hacer público y promover un juego autoritario, actualizado, internacional de objetivos
de
generalmente directores
control
de
aceptados
comerciales
tecnología
para e
el
de
empleo
interventores.
"
información
cotidiano Los
por
gerentes,
interventores, y usuarios se benefician del desarrollo de COBIT porque esto les ayuda a entender sus sistemas de Tecnologías de la Información y decidir el nivel de seguridad (valor) y control que es necesario para proteger el activo de sus empresas por el desarrollo de un modelo de gobernación de Tecnologías de la Información.
Independientemente de la realidad tecnológica de cada caso concreto, COBIT determina, con el respaldo de las principales normas técnicas internacionales, un conjunto de mejores prácticas para la seguridad, la calidad, la eficacia y la eficiencia en las Tecnologías de Información que son necesarias para alinear las Tecnologías de la Información con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeño,
47
el cumplimiento de metas y el nivel de madurez de los procesos de la organización.
Los recursos de COBIT deben utilizarse como fuente de asesoramiento con respecto a las mejores prácticas. El Marco Referencial de COBIT establece que: "Es responsabilidad de la gerencia salvaguardar todos los activos de la empresa. Para descargar esta responsabilidad, así como para lograr sus expectativas, la gerencia debe establecer un adecuado sistema de control interno. "COBIT proporciona un conjunto detallado de controles
y
de
técnicas
de
control
para
el
entorno
de
administración/gestión de o sistemas de información. La selección del material más relevante en COBIT aplicable al alcance de la auditoria en particular se basa en la selección de procesos específicos de COBIT para Tecnologías de la Información, considerando además los criterios de información de COBIT. Tal como se define en el Marco Referencial de COBIT, cada uno de los siguientes elementos está organizado de acuerdo con el proceso
de
administración/gestión
de
Tecnologías
de
la
Información. COBIT está destinado para ser utilizado por la gerencia de la empresa y por la gerencia de Tecnologías de la Información, así como por los auditores de SI; por 10 tanto, su utilización permite la comprensión de los objetivos del negocio, la comunicación de las mejores prácticas y las recomendaciones que deben hacerse, basándose en una referencia de estándares comúnmente comprendida y bien respetada. COBIT incluye Objetivos de Control-Declaraciones genéricas tanto de alto nivel como detallado de un nivel mínimo de buen control. Prácticas de Control-Motivaciones prácticas y asesoramiento sobre "cómo implementar" los objetivos de control.
48
Directrices de Auditoria-Asesoramiento para cada área de control sobre cómo obtener un entendimiento, evaluar cada control, evaluar el cumplimiento y sustanciar el riesgo de que los controles no se cumplan. Directrices Gerenciales-Asesoramiento sobre cómo evaluar y mejorar el desempeño del proceso de Tecnologías de la Información, utilizando modelos de madurez, métricas y factores críticos
de
administrativo
éxito.
Proporcionan
orientado
hacia
un una
marco continua
de y
referencia proactiva
autoevaluación del control, enfocada específicamente en:
a. Medición del desempeño ¿Qué tan adecuadamente está apoyando la función de Tecnologías de la Información los requisitos del negocio? Las directrices gerenciales se pueden utilizar para apoyar talleres de autoevaluación, y también se pueden utilizar para apoyar a la gerencia en la implementación de procedimientos de monitoreo y mejora continuos, como parte de un esquema de gobernabilidad de las Tecnologías de la Información.
b. Perfil del control de las Tecnologías de la Información ¿Cuáles procesos de las Tecnologías de la Información son importantes? ¿Cuáles son los factores críticos de éxito para el control?
c. Concientización ¿Cuáles son los riesgos de no lograr los objetivos?
d. Benchmarking ¿Qué hacen los demás? ¿Cómo pueden medirse y compararse los resultados?
49
Las directrices gerenciales proporcionan ejemplos de métricas que permiten la evaluación del desempeño de de las Tecnologías de la Información en términos del negocio. Los indicadores "claves de resultados identifican y miden los resultados de los procesos de las Tecnologías de la Información, y los indicadores claves de desempeño evalúan lo bien que están funcionando " los procesos, al medir los facilitadores del proceso. Los modelos y los atributos de madurez proporcionan evaluaciones de capacidad así corrió benchmarking, ayudando a que la gerencia pueda medir la capacidad de control y pueda identificar vacíos de control y determinar estrategias para su mejora.
ISACA ha definido este asesoramiento como el nivel mínimo de desempeño aceptable requerido para cumplir con las responsabilidades profesionales indicadas en el Código de Ética Profesional de ISACA. ISACA no hace declaración alguna de que el uso de este producto garantizará un resultado satisfactorio. La publicación no debe considerarse como
incluyente
de cualquier procedimiento
y prueba
apropiado, o excluyente de otros procedimientos y pruebas que estén dirigidos razonablemente para la obtención de los mismos resultados. Para determinar la aplicabilidad de cualquier procedimiento o prueba específicos, el profesional de control debe aplicar su buen juicio profesional a las circunstancias de control específicas presentadas por el entorno particular de sistemas o de la tecnología 'de información.
La Junta de Estándares de ISACA tiene el compromiso de realizar consultas extensas al preparar los Estándares, las Directrices y los Procedimientos de Auditoría de Sistemas de Informáticos. Antes de emitir cualquier documento, la Junta de Estándares emite borradores de los mismos y los expone a 50
nivel internacional para recibir comentarios del público en general. La Junta de Estándares también busca personas con pericia o interés especial en el tema bajo consideración para consultarlos, cuando esto sea necesario.
La Junta de Estándares tiene un programa de desarrollo permanente y agradece los comentarios de los miembros de ISACA y de otras partes interesadas para identificar temas emergentes
que
requieran
estándares
nuevos.
Toda
sugerencia se deberá enviar por correo electrónico a (
[email protected]), por fax a (+1.847. 253.1443) o por correo (dirección al final del documento) a la Sede Internacional de ISACA, a la atención del director de investigación de estándares y relaciones académicas. Este material fue emitido el 15 de octubre de 2004.
Para la Auditoria de Sistemas Informáticos hay que tener en cuenta:
A. Planeación
a. Los Estándares de Auditoría de SI de ISACA contienen los principios básicos y procedimientos esenciales, identificados en letras en negrita, los cuales son obligatorios, junto con la documentación relacionada.
b. El propósito de esta Norma de Auditoria de SI es establecer
normas
y
brindar
planeación de una auditoría.
51
asesoría
sobre
la
B. Estándar
a.
El auditor de Sistemas Informáticos debe planear la cobertura de la auditoría de sistemas de información para cubrir los objetivos de la auditoria y cumplir con. las leyes aplicables y las normas profesionales de auditoría.
b.
El auditor de SI debe desarrollar y documentar un enfoque de auditoría basado en riesgos.
c.
El auditor de SI debe desarrollar y documentar un plan de auditoría que detalle la naturaleza y los objetivos de la auditoría, los plazos y alcance, así como los recursos requeridos.
d.
El auditor de Sistemas Informáticos debe desarrollar un programa y/o plan de auditoría detallando la naturaleza, los plazos y el alcance de los procedimientos' requeridos para completar la auditoría.
C. Comentario
a. Para
una
función
de
auditoria
interna,
debe
desarrollarse/actualizarse un plan, al menos una vez al año, para las actividades permanentes. El plan debe servir como marco de referencia para las actividades de auditoría y servir para abordar las responsabilidades establecidas
por
el
estatuto
de
auditoría.
El
nuevo/actualizado plan debe ser aprobado por el comité de auditoría, en caso de que éste haya sido establecido.
52
b. Para el caso de una auditoría externa de Sistemas Información, normalmente debe prepararse un plan para cada una de las tareas, sean o no de auditoría. El plan debe documentar los objetivos de la auditoría.
c. El auditor de Sistemas Informáticos debe obtener un entendimiento de la actividad que está siendo auditada. El
grado
del
conocimiento
requerido
debe
ser
determinado por la naturaleza de la organización, su entorno y riesgos, y por los objetivos de la auditoria.
d. El auditor de Sistemas Informáticos debe realizar una evaluación de riesgos para brindar una garaf1tía razonable de que todos los elementos materiales serán cubiertos adecuadamente durante la auditoría. En este momento, es posible establecer las estrategias de auditoría, los niveles de materialidad y los recursos necesarios.
e. El programa y/o plan de auditoría puede requerir ajustes durante el desarrollo de la auditoría para abordar las situaciones que surjan (nuevos riesgos, suposiciones
incorrectas
o
hallazgos
en
los
procedimientos ya realizados) durante la auditoria.
f.
Debe consultarse la siguiente documentación para obtener más información sobre la preparación de un plan de auditoría.
D. Fecha operativa
a. Esta Norma de Auditoría de Sistemas Informáticos está en vigencia
para
todas
las
auditorias
de
sistemas
de
información que comiencen a partir del 1 de enero de 2005.
53
54
3.1.6 AUDITORIA FISICA
A) OBJETIVO
El objetivo general de la auditoria física es evaluar la funcionalidad, racionalidad y seguridad de los medios físicos, así como también comprobar la existencia de los mismos. Estos medios son: Edificio, Instalaciones,
Equipamiento
y Telecomunicaciones
Datos y
Personas.
B) ALCANCE
La Auditoria Física que se está realizando en la Escuela de Postgrado perteneciente a la Universidad Nacional Pedro Ruiz Gallo, involucra la Unidad de Informática como también al personal que labora en ella.
El Alcance de esta auditoria son: Revisar las disposiciones y reglamentos que conlleven al mantenimiento orden dentro de la Unidad de Informática. Verificar que el edificio e instalaciones de la Unidad de Informática contemplen las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc. Verificar el diseño arquitectónico de la edificación, así corno también la distribución de los departamentos de la Unidad de Informática. Evaluar el equipo con el que se cuenta actualmente, sus instalaciones eléctricas y el cableado de la red.
55
Analizar la existencia de medidas de evacuación, alarmas como detección de incendios y salidas alternativas.
C) METODOLOGIA A UTILIZAR
Las acciones que hemos empleado para el desarrollo de la auditoria física es:
1. Recopilación de la información.
Métodos:
a) Observación
Es un elemento fundamental de investigación que permite comprobar la veracidad de los datos y las entrevistas y otras implicancias relacionadas con la Auditoria Informática
b) Encuesta La encuesta que se llevó a cabo nos proporcionó información sobre la existencia del inventario del equipo informático, el control que se realiza con éstos y una relación de productos instalados en la unidad de informática. (VER ANEXO Nº 02)
o Definimos las preguntas que se iban a realizar en la encuesta por medio de un cuestionario check - list.
o Este modelo de encuesta fue entregado a la persona encargada de la Unidad con la finalidad de obtener la opinión.
56
c) Lectura de documentos fuentes
1. Para recopilar datos sobre los equipos existentes en la Unidad de Informática como fue el Inventario de Hardware.
2. Tratamiento de la información recopilada que comprende el análisis y evaluación de dicha información para detectar los problemas habidos y por haber.
3. Consultar a técnicos' y personas de experiencia casos que escapan a nuestro conocimiento.
4. Elaboración del informe de auditoria física en el cual se reflejarán los problemas que atenten contra los daños físicos tanto del equipo informático como del personal así corno la seguridad de éstos, dentro de la Unidad de Informática de la Escuela de Postgrado.
57
3.1.7 AUDITORIA OFIMÁTICA.
El término ofimática está definido como el sistema informático que se genera, procesa, almacena, recupera, comunica y presenta datos relacionados con el funcionamiento de la oficina.
El entorno ofimática, además de posibilitar la realización del trabajo personal
de
cada
empleado,
debe
permitir
intercambiar
la
información necesaria en los diversos procesos de la organización, así como posibles interacciones con otras organizaciones.
Durante los últimos años se ha incrementado la oferta de aplicaciones ofimática, debido principalmente al desarrollo de las comunicaciones.
En esta parte del estudio recabaremos información escrita de la empresa, en donde figuran todos los elementos físicos y lógicos de la instalación. Es conveniente que en el inventario físico figuren igualmente las líneas disponibles con los datos fundamentales de cada una de ellas. El inventario de software debe contener todos los productos lógicos del sistema desde el software básico hasta los programas de utilidad adquiridos o desarrollados internamente. La gestión de recursos humanos ya sea capacitaciones o nivel, de conocimientos también se debe considerar.
a. Definición
Evaluación
del
sistema
informático
que
Genera,
Procesa,
Almacena y Presenta Datos relacionados con el funcionamiento de la oficina con la finalidad de salvaguardar los activos, mantener la integridad de los datos, llevar eficientemente los recursos y aplicar adecuadamente los procedimientos y estándares establecidos.
58
b. Objetivo
El objetivo general dé la Auditoria Ofimática es evaluar la funcionalidad, racionalidad y seguridad de las herramientas informáticas utilizadas en la Unidad de Informática de la Escuela de Postgrado:
c. Alcance
La auditoria de la ofimática realizada a la Escuela de Postgrado Involucra a la Unidad de Informática.
El alcance de esta auditoria evalúa los siguientes aspectos:
o El Inventario de ofimática. o Adquisición de equipos y aplicaciones. o Política de mantenimiento de los equipos. o Cambio de aplicaciones o versiones. o Capacitación del personal y la documentación de apoyo. o Revisar las medidas de seguridad adoptadas en cuanto a aplicaciones se refiere. o Evaluación de equipos y aplicaciones para ver si se ajustan a las necesidades del estudio. o Generación de copias de seguridad y la recuperación de la información. o Funcionamiento interrumpido de las aplicaciones. o Infección de virus. o Copias ilegales.
d. Documentos Fuentes:
Resumen de inventario del hardware con el que cuenta la Unidad de Informática. (Anexo Nº 03).
59
e.Metodología a utilizar:
La metodología empleada que hemos utilizado para el desarrollo de la auditoria ofimática es:
Recopilación de la Información. Métodos Entrevista: La entrevista se ha llevado a cabo para la recopilación de datos que nos darán referencia de la situación ofimática actual de la Unidad de Informática. (Anexo Nº 4).
- Definición con anterioridad de las preguntas para la entrevista.
- Solicitando la participación del Encargado de la Unidad de Informática Durante La Entrevista.
Encuesta: La encuesta que se ha llevado a cabo nos proporcionó información sobre la existencia del inventario, el control que se realiza con esta y una relación de productos instalados en la Unidad de Informática. (Anexo Nº 05).
Lectura de Documentos Fuentes: Para recopilar datos sobre los equipos existentes en la Unidad Informática y Multimedia nos hemos guiado del Inventario de Hardware.
60
3.1.8 AUDITORIA DE DIRECCION
Toda organización es el reflejo de las características de su dirección, de allí que la auditoria de la dirección se entiende como la gestión de la informática, abarcando las actividades básicas de todo proceso de dirección: Planificar, Organizar, Coordinar y Controlar.
Planificar, cuando se trata de prever la utilización de las tecnologías de la información en la Instrucción, elaborando para ello los planes informáticos.
Organizar, cuando se estructuran los recursos, los flujos informáticos y los controles que permitan alcanzar los objetivos trazados durante la planificación.
Coordinar, involucra la comunicación y entendimiento para debatir los grandes asuntos de la informática que afectan a toda la Institución y permite a los usuarios conocer las necesidades del conjunto de la organización y participar en las soluciones que planteen.
Controlar,
consiste
en
controlar
y
efectuar
un
seguimiento
permanente de las actividades y vigilar el desarrollo de los planes estratégicos, operativos y de los proyectos que se desarrollan, todo ello dentro del respeto a la normativa legal aplicable.
a) Definición: Estudio de las funciones que realiza el personal directivo como son: Planificar, organizar, coordinar y controlar las actividades propias de] área en estudio con el fin de evaluar y brindar sugerencias para alcanzar los objetivos y metas ti azadas por la organización.
b) Objetivo Evaluar la gestión de la dirección de la institución, a través del desarrollo y adecuación de los planes así como la adecuada 61
planificación de los Sistemas de Información para el procesamiento de los datos.
c) Alcance: La auditoria de la dirección realizada en la Unidad de Informática de la Escuela de Postgrado.
El alcance de esta auditoria involucra los siguientes aspectos:
Plan Estratégico de la Institución.
Tecnologías Informáticas desde le punto de vista de su contribución de los fines de la Institución.
Asignación de recursos a las tareas y actividades presentes en el plan.
Descripción de los puestos de trabajo.
Evaluar la comunicación entre el jefe de la Unidad y los empleados.
Planificar los requerimientos de tecnología de cada uno de los usuarios.
Las pólizas de seguro y evaluar su cobertura existente.
Gestión
de
recursos
humanos:
selección,
evaluación
del
desempeño promoción del personal, contrato y finalización de un empleado.
d) Documentos Fuentes:
Manual de Organización y Funciones de la Escuela de Postgrado.
Actualmente la Unidad de Informática no cuenta con:
Manual de Organización y funciones
Pólizas de Seguro.
Metodología de planificación.
Normativa empresarial documentada.
Manual de Organización y funciones.
62
e) Metodología a Utilizar: La metodología empleada en el desarrollo de al auditoria de la dirección es:
Recopilación de Información Métodos
ENTREVISTA: La entrevista se ha llevado a cabo para la recopilación de datos que nos darán referencias de la situación actual de gestión de dirección de la Unidad de Informática (ANEXO Nº 06).
Tratamiento de la información recopilada, que comprende el análisis y la evaluación de dicha información para detectar los problemas habidos y por haber.
Elaboración del informe de auditoria de la dirección, en el cual se reflejarán
los
problemas
que
atentan
contra
el
normal
funcionamiento de la gestión de la dirección en la empresa.
Elaboración de un segundo informe de auditoria de dirección, en el cual se solucionarán los problemas encontrados.
63
3.1.9 AUDITORIA DE DESARROLLO
Para tener una buena administración por proyectos se requiere que el analista o el programador y su jefe inmediato elaboren un plan de trabajo en el cual se especifiquen actividades, metas, personal participante y tiempos. Este plan debe ser revisado periódicamente (semanal, mensual, etc.) para evaluar el avance respecto a lo programado. La estructura estándar de la planeación de proyectos deberá incluir la facilidad de asignar fechas predefinidas de terminación de cada tarea. Dentro de estas fechas debe estar el calendario de reuniones de revisión, las cuales tendrán diferentes niveles de detalle.
El objetivo del control de diseño de sistemas y programación es asegurarse
de
que
el
sistema
funcione
conforme
a
las
especificaciones funcionales, a fin de que el usuario tenga la suficiente información para su manejo, operación y aceptación. Las revisiones se efectúan en forma paralela desde el análisis hasta la programación y sus objetivos que son los siguientes:
ETAPA DE ANÁLISIS Identificar inexactitudes, ambigüedades y omisiones en las especificaciones.
ETAPA DE DISEÑO Descubrir errores, debilidades, omisiones antes de iniciar la codificación.
ETAPA DE PROGRAMACIQN Buscar la claridad, modularidad y verificar con base en las especificaciones.
Esta actividad es muy importante ya que el costo de corregir errores es directamente proporcional al momento que se detectan: si se descubren en el momento de programación será más alto que si se detecta en la etapa de análisis.
64
a) OBJETIVO:
Verificar la existencia y aplicación de procedimientos de control adecuados que permitan garantizar el desarrollo de sistemas de información y si se han llevado a cabo según los principios de Ingeniería del Software, o por el contrario determinar las deficiencias que existen al respecto y los riesgos asociados a estas carencias de control.
b) ALCANCE
Evaluar los diferentes procedimientos y técnicas utilizadas para el desarrollo de los sistemas de información de la escuela de Postgrado.
c) METODOLOGÍA
Conocer las tareas que se realizan en el área de desarrollo, algunas de las funciones son: Planificación. Desarrollo de sistemas. Estudio
de
nuevos
lenguajes,
técnicas,
metodologías,
estándares, herramientas, etc. Establecimiento de un plan de capacitación Establecimientos de normas y controles. Se procede a la auditoria; la cual se subdivide en:
Auditoria de la organización y gestión del área de desarrollo
Auditoria
de
proyectos
información. (Anexo N° 07).
65
de
desarrollo
de
sistemas
de
3.1.10 AUDITORIA DE BASE DE DATOS
Todo sistema de información manipula datos, los cuales pasan por tres fases determinadas las cuales son: ingreso, proceso y salida. Los datos ingresados al sistema son almacenados en la base de datos previa validación, al realizar transacciones y/o operaciones se accede a dicha base para manipularlos a través de los procesos respectivos para luego actualizarlos o procesar la información que se desea obtener a través de un medio de salida. Esto nos demuestra que la base de datos es el corazón mismo del sistema y los datos es el recurso fundamental de las empresas, para los cuales se deben establecer ciertos controles que nos permitan asegurar su integridad y seguridad.
a. OBJETIVO
El objetivo de esta auditoria consiste en verificar: o
La existencia y aplicación de procedimientos de control adecuados para la integridad de la información de la base de datos de la institución.
o
La confidencialidad en la información almacenada en la base de datos.
o
La seguridad de la basé de datos existente.
b. ALCANCE DE LA AUDITORIA
La auditoria de la base de datos, ha sido realizada en Unidad de Informática de la Escuela de Postgrado.
Las limitaciones del equipo auditor son: Económicas, debido a la inversión que requiere el contrato de personal especializado y mi condición de estudiante, el auditor no ha podido, "realizar de forma satisfactoria' esta auditoria, ya 66
que la información de evaluar una Base de datos elaborado en ACCESS no habría brindado mucha información. Tiempo, debido a la carga académica de] auditor, así como el tiempo que dispone la persona que elabora en dicha oficina, es por ello que el auditor no pudo realizar las pruebas de verificación y corroboración de la información recibida.
c. METODOLOGIA
La metodología empleada para el desarrollo de la auditoria de la base de datos es:
1. Recopilación de la información Métodos
ENTREVISTA: La entrevista se ha llevado a cabo para la extracción de información que nos dará referencia de la situación actual del manejo de la base de datos. (Anexo Nº 8).
ENCUESTA: Encuesta realizada a la personal encargado del desarrollo de la base de datos de la Unidad. (Anexo Nº 9).
2. Tratamiento de la información recopilada
Comprende el análisis y la evaluación de dicha información para detectar los problemas habidos y por haber.
3. Elaboración del Informe de auditoria de la Base de Datos
En el presente informe se reflejarán los problemas que atenten contra el normal funcionamiento de la base da datos.
67
3.1.11. AUDITORIA DE RED
Red es un conjunto de computadoras y dispositivos que se comunican entre si proporcionando entorno necesario para que los usuarios desde diferentes ubicaciones tengan acceso en condiciones similares a la Información.
a. OBJETIVOS:
Evaluar y Analizar la Red de la Unidad de Informática, de la Escuela de Postgrado de la Universidad Pedro Ruiz Gallo, su performance y funcionamiento.
Revisar y Verificar los procedimientos de manejo y administración de esta red y proponerlos en caso no existan.
Definir que la función de gestión de redes y comunicaciones esta claramente definida.
Evaluar los componentes físicos de la red.
Evaluar los controles de eficiencia y eficacia de la red.
b. ALCANCE:
Para llevar a cabo el estudio de la Red de la Unidad de Informática, el alcance se ha dividido en las siguientes partes:
Diseño lógico de la red:
Evaluar
el
diseño
recomendaciones
lógico
sobre
los
de
la
red
cambios
existente necesarios
y
hacer
para
el
desempeño y/o confiabilidad, con base en las necesidades actuales. y futuras. 68
Diseño físico de la red:
Evaluar toda la infraestructura de cableado para determinar la fuente de los problemas de desempeño en tina red existente o probar si la Infraestructura actual puede utilizarse con una nueva tecnología de red.
Desempeño de la red:
Evaluar el desempeño de la red y hacer recomendaciones de cómo mejorarlo.
Las limitaciones del Auditor son:
Económicas,
Debido
a
nuestra
condición
de
estudiantes
dependientes económicamente.
Tiempo, Debido a la carga académica del Equipo Auditor.
Confidencialidad institucional, Debido a las condiciones que la Escuela de Postgrado impone.
69
IV. MARCO EMPÍRICO
4.1 TIPO DE INVESTIGACIÓN:
Diagnóstico - Propositiva.
Fue Diagnóstica porque ha permitido conocer la realidad del Sistema Informático, mediante la aplicación de una Auditoria Especializada.
Es Propositiva en la medida que lo arrojado por el diagnóstico nos ha permitido elaborar una propuesta para el mejor funcionamiento y uso del sistema informático de la Escuela de Postgrado.
4.2 DISEÑO DE LA INVESTIGACIÓN:
El diseño ha sido Descriptivo Correlacional, que se representa así:
M
O
Donde: M : Muestra de estudio. O : Observación de la variable: Sistema Informático
4.3 POBLACIÓN Y MUESTRA DE ESTUDIO
La población es todos los Sistemas Informáticos del área de la Unidad de Informática de la Escuela de Postgrado de la Universidad Nacional "Pedro Ruiz Gallo" que consta de equipos con el cual he trabajado por ser pequeño.
70
4.4 RECOLECCIÓN DE LA INFORMACIÓN
Técnica de Gabinete: Permite la recolección del material bibliográfico, mediante el fichaje, selección e interpretación del mismo.
Técnica de Campo: Recolección de la Información, mediante la aplicación de cuestionarios para los que trabajan en el área de informática, entrevista a profesores expertos, alumnos y observación de la realidad del proceso de uso de la red informática.
71
V. MATERIALES Y MÉTODOS
5.1. AREA DE ESTUDIO - UBICACION
El área comprendida como influencia del presente trabajo es la Escuela de Postgrado de la ciudad de Lambayeque, ubicada en la Provincia de Lambayeque, departamento de Lambayeque.
5.2. TIPO DE ESTUDIO
El tipo de estudio fue de Constatación, y la Auditoria del Sistema Informático que se desarrolló fue muy confiable ya que me ha permitido tener conocimiento exacto del funcionamiento del Sistema Informático de la Unidad de Informática de la Escuela de Postgrado de la Universidad Nacional "Pedro Ruiz Gallo".
5.3 POBLACIÓN DE ESTUDIO
Fue el conjunto del Sistema Informático que posee la Escuela de Postgrado de la Universidad Nacional "Pedro Ruiz Gallo" de la Ciudad de Lambayeque.
72
VI. ANÁLISIS DE LA INFORMACIÓN RECOGIDA 6.1. PROBLEMAS ENCONTRADOS EN LA AUDITORIA FÍSICA A. Situación Actual
De acuerdo a la investigación realizada, se han observado las siguientes situaciones:
1. Sobre Seguridad Física El área auditada cuenta con un local propio en la Escuela de Postgrado, donde está funcionando La Unidad de Informática e Internet (ANEXO Nº 01). Los
ambientes
son
apropiados
en
cuanto
a
dimensión
ambientación, iluminación y ventilación. Se verificó que el área cuenta con un su ambiente respectivo pero supervisadas por el encargado de dicha Unidad. El tendido de la red en el área es el adecuado ya que se encuentra protegido, no exponiéndose a posibles cortos circuitos y/o caída de la red. No cuenta con servicio de vigilancia exclusiva para la Unidad Existen prohibiciones para el consumo de alimentos bebidas y cigarrillos dentro de la Unidad pero no se encuentra debidamente señalizado mediante carteles de prohibición para los usuarios. Las Salidas de Emergencia no están debidamente señalizadas. El área cuenta con un extintor automático a Base de gas, el cual no está debidamente señalizado. La Escuela de Postgrado, no cuenta con un plan ante desastre, por lo que se corre riesgos tanto el personal como para el equipo.
73
2. Sobre el Personal En el Manual de Funciones no se especifican detalladamente de las funciones por lo que el personal no sabe ciencia cierta hasta que punto pueden llegar a desenvolverse. No se brinda capacitación al personal para actuar en caso de emergencias. El personal que se encuentra laborando en la Unidad de Informática no cuentan con seguros de respaldo. El personal no cuenta con el control de acceso respectivo. Existe la vigilancia adecuada del comportamiento del personal que maneja el sistema de cómputo con el fin de mantener una buena imagen y evitar un posible fraude.
3. Sobre los Equipos Informáticos El servidor de red se encuentra en un lugar no visible y restringido para los usuarios. El mantenimiento es un gasto periódico. No cuenta con ningún tipo de seguros en caso de provocarse algún accidente en esta área. El contrato de mantenimiento se realiza cuando el encargado de la Unidad no pueda detectar o solucionar la falla del equipo. No existe una empresa con la cual se realicen los contratos de mantenimiento de manera fija. El mantenimiento lo realiza el encargado de la Unidad. 4. Plan de Contingencia. Actualmente la Unidad de Informática no cuenta con un plan de contingencia el cual ayude a lograr la operatividad de la Unidad.
74
5. Sobre los Datos. Los backups de la información existentes son realizados semanalmente. Sólo se almacenan información con relación a los documentos enviados o recibidos en la Unidad. La información con respecto al inventario del equipo de cómputo se encuentra almacenada en archivos de Excel y Word. No se cuenta con una base de datos respectiva que almacene la información con respecto al personal y equipo respectivo de la Unidad. Si se cuenta con claves de acceso para la obtención de la información por parte del personal.
6. Sobre los Contratos de Seguros Actualmente el personal de la Unidad de Informática no cuenta con ningún tipo de seguro. No existe cobertura de seguro para los equipos (Hardware) en caso de robo, fraude y otros.
B. Consecuencias
1. Sobre Seguridad Física Perdida de la información confidencial de la Escuela por falta de control de acceso a la Unidad. Producirse
deterioros en
los equipos
informáticos por el
desconocimiento de las prohibiciones dadas en la Unidad por parte de los usuarios. Producirse un incendio y no ser detectado o sofocado a tiempo por falta de medidas contra este tipo de catástrofe.
75
2. Sobre el Personal Desactualización del personal ante los avances tecnológicos de la computación informática. Incumplimiento en la realización de sus funciones designadas. Desorientación del personal en el cumplimiento de sus funciones ante la mala elaboración del Manual de Organización y Funciones.
3. Sobre los Equipos Informáticos. Pérdida o robo de equipo informático por falta se seguridad exclusiva a la Unidad. Deterioro del equipo informático. No detectar a tiempo fallas producidas en el equipo informático. 4. Plan de Contingencia. No se puede hacer frente a algunos problemas que se presenten en la institución. Retraso en las gestiones de solución. Pérdida económica por transacciones inconclusas. 5. Sobre los Datos. Pérdida o deterioro de los archivos de inventario o de otra información. Acceso a la información por parte de personas ajenas a la Unidad. 6. Sobre los Contratos de Seguros Pérdida considerable para la Escuela en caso de desastres, robo, fraude y otros hechos.
76
C. Recomendaciones
1. Sobre Seguridad Física Contar con personal de seguridad propio, asignándole
la
responsabilidad a una persona confiable y responsable. Se deben establecer medidas de seguridad en cuanto al control de acceso de personas extrañas al recinto de la Unidad de Informática. Sugerir la adquisición de basureros, al menos dos para cada uno de los ambientes. Contar con registro de incidencias. Colocar Carteles que prohíban el consumo de Alimentos, Bebidas y Cigarrillos dentro de la Unidad. Señalizar debidamente las salidas de Emergencia. Ubicar el extintor en un lugar accesible, libre de toda clase de obstáculos a 1.70 cm. del suelo y debidamente señalizado. Adquirir dispositivos que detecten humo y fuego. Contar con una agenda de números telefónicos en casos de emergencia. Tener una buena relación con las fuerzas del orden, bomberos u otros, con el Fin de obtener sus beneficios como la realización de actividades preventivas de simulacro, inspecciones, etc. Establecerse señalización y megafonía de emergencia, tanto externa como interna.
2. Sobre el Personal Desarrollar cursos periódicos (como mínimo 3 veces por año) sobre: - Administración de redes informáticas. - Ensamblaje de Microcomputadoras. - Ética Profesional.
77
Coordinar con Defensa Civil y los Bomberos con el fin de que capaciten
al
personal
en
casos
de
incendio,
desastres,
inundaciones, etc. Elaborar un Manual de Organización y Funciones con las actualizaciones requeridas y difundirlo al personal. Elaborar y Establecer políticas de evaluación del personal. Establecer Mecanismos de selección de personal. Solicitar antecedentes personales. Solicitar recomendaciones. Solicitar nivel de desempeño. Solicitar experiencia Laboral. Llevar acabo convenios con otras instituciones para capacitar a su personal, mediante el desarrollo de cursos. Hacer un seguimiento de la asistencia y desempeño del personal capacitado. La capacitación por parte de la Institución se dará al personal de mejor desempeño. El Personal capacitado esta facultado para enseñar lo aprendido al resto del personal. Brindárseles un seguro en caso de accidentes. Brindar una buena atención a los usuarios como el apoyo en: Consultas, Preguntas Frecuentes, Resolución de problemas, Asesoramiento.
3. Sobre los Equipos Informáticos Asesoria permanente,
capacitación, conversión y prueba del
equipo, experiencia y el tiempo de garantía disponible por parte del proveedor. Contar con un almacén de piezas y dispositivos de reemplazo en caso ocurriera una falla. Realizar el mantenimiento de los Equipos Informáticos de la Unidad de Informática de forma periódica por parte del Personal.
78
Disponer de un aporte Económico por parte de la Escuela de Postgrado para la actualización de los Equipos en la Unidad de Informática.
4. Plan de Contingencia Realizar un plan de contingencia ante desastres y la difusión del mismo. Elaborar un plan de contingencia acorde con la realidad actual. 5. Sobre los Datos Realizar backups periódicamente de los archivos almacenados en el servidor. Elaborar una base de datos para mantener la información en forma ordenada y de rápida obtención. Establecer un procedimiento de etiquetación de la información. Utilizar métodos para la captura de los accesos a los documentos y de las transacciones.
6. Sobre los Contratos de Seguros Proponer al Director de la Escuela de Postgrado la adquisición de seguros contra siniestros (sismo, incendio, robos, etc.) que cubran de manera global a la Escuela de Postgrado y por consecuente a la Unidad de Informática frente a cualquier siniestro.
79
6.2 PROBLEMAS ENCONTRADOS EN LA AUDITORIA OFIMÁTICA
Existe un resumen, de inventario de hardware hasta la 3° semana de Julio del 2005 pero no es el adecuado sólo se detallan datos generales (Anexo N° 03).
A. Situación Actual
No existe un inventario del Software
Posible sustracción de licencias de programas.
Actualización y borrado de las aplicaciones sin previa autorización.
Adquisición e instalación de aplicaciones existentes o con versiones inferiores.
Ubicación de las aplicaciones en áreas no designadas. Pérdida de recursos.
Reemplazo de recursos.
Insuficiente conocimiento de las utilidades y capacidades de los equipos y aplicaciones no existen programas de capacitación para que el personal se adapte a las nuevas tecnologías adquiridas.
No se realizan copias de seguridad ya que no existe información que salvaguardar.
No se cuenta con manuales de usuario.
B. Consecuencias:
Pérdida de eficacia y eficiencia en su utilización.
Retrazo en ciertas actividades en caso de ausencia del personal capacitado.
Manipulación
incorrecta
por
desconocimiento
o
falta
de
aprovechamiento de la información impartida.
La falta de programa de capacitación traer como consecuencia la desactualización del personal tardándose más tiempo en la actualización de los cambios.
80
La falta de disponibilidad de datos vitales para reanudar las operaciones, generaría la paralización de los sistemas, causando considerables pérdidas económicas.
Pérdida o alteración de datos.
Ante cualquier inconveniente los usuarios no tienen un medio de consulta.
C. Recomendaciones:
Realizar un inventario de la totalidad del hardware y software existentes en la unidad de informática y organizándolo por necesidades.
Asignar a un responsable con conocimiento de computación para la actualización del inventario de aplicaciones.
Establecer un plan de capacitación con objetivos, metas y estrategias claramente definidas y programadas.
Entregar la documentación de la operatividad del producto.
Tener fácil acceso a la documentación operativa del producto en caso de necesidad.
Evaluación constante del personal en el uso correcto de la operatividad del producto asignado.
Asignar la responsabilidad de la realización de copias de seguridad de la información vital verificando su periocidad.
Verificar el adecuado almacenamiento y fiabilidad de las copias de seguridad realizadas.
Realizar un inventario de los soportes que contienen las copias de seguridad y de la información contenida en ella.
Cuando las aplicaciones se desarrollen por personal Interno a la Escuela se debe definir una metodología dentro de la cual se tome en cuenta la creación de dichos manuales.
Ubicación de los manuales de usuario de manera que se encuentren accesible al personal de oficina e incentivar su uso.
81
6.3 PROBLEMAS ENCONTRADOS EN LA AUDITORIA DE DIRECCIÓN
A. Situación Actual No se tiene una Planificación Estratégica documentada de la Unidad de Informática. La descripción de los puestos de trabajo de cada área no está documentada.
B. Consecuencias Contratación de personal que no está apta para el puesto al que aspira. Desconocimiento de las actividades, responsabilidades y autoridad (Jefes de área) que comprenden cada puesto de trabajo. Exceso de obligaciones a desempeñar por el personal. C. Recomendaciones Tener claros los objetivos de la Unidad de Informática para realizar la planificación. Los planes que se desarrollen, deben seguir los Iineamientos de los objetivos de la Unidad de Informática. Participación de los usuarios en el proceso de planificación. Contar con un mecanismo de seguimiento y actualización de los planes en relación con la evolución de la empresa. Desarrollar aprobar, distribuir y actualizar la descripción de los puestos de trabajo en cada área según la evaluación de la institución. Tener en cuenta los conocimientos técnicos y/o experiencias necesarias para cada puesto de la institución, especialmente con conocimiento o especialista en el Área de Informática y Computación. Desarrollar, aprobar, distribuir y actualizar la descripción de los puestos de trabajo en cada área según la evaluación de la institución.
82
6.4
PROBLEMAS
ENCONTRADOS
EN
LA
AUDITORIA
DE
DESARROLLO
A. Situación Actual En la Escuela de Postgrado, no existe un área de desarrollo definida. Falta de procedimientos para la propuesta y aprobación de nuevos proyectos informáticos, por parte de los directivos que conducen la Escuela de Postgrado.
B. Consecuencias No cuenta con la asesoría respectiva que garanticen la gestión proyectos informáticos de calidad. Las fases que involucran el desarrollo de sistemas deben estar sometidas a un exigente control interno, caso contrario, además de la elevación de los costes, podrá producirse la insatisfacción del usuario.
C. Recomendaciones Se propone la creación de un área de desarrollo la cual formará parte del Departamento de Informática, esta área contará con 4 personas expertas, cuyas funciones estarán definidas en el Manual de Organización y Funciones, las cuales abarcará el Análisis y la Programación de Sistemas. Evaluar los requerimientos de factibilidad tecnológica una vez implementada el área de desarrollo. Determinar la posibilidad de adquisición de nuevos equipos para el área o una redistribución de los existentes. Definir claramente, el procedimiento para la creación y presentación de proyectos informáticos. Documentar estos procedimientos en un Manual de Procedimientos.
83
6.5 PROBLEMAS ENCONTRADOS EN LA AUDITORIA DE BASE DE DATOS
A. Situación Actual El manejador de base de datos no es el adecuado para cumplir con las funciones asignadas. No existe Manuales donde se definan las Entidades y Atributos de la Base De Datos.
B. Consecuencias No existe un soporte efectivo sobre el control de la integridad referencial. No se puede controlar la redundancia debido a que no cuenta con la integridad referencial. Dificulta el mantenimiento y actualización de las bases de datos. Dificulta la migración a nuevas plataformas. Dificulta la integración de los sistemas existentes. Dificultad en la localización de errores y omisiones. C. Recomendaciones Realizar una consultaría de las OBMS (manejadores de base de datos), existentes actualmente. Migra a un sistema manejador de base de datos, más apropiado, y que esta pueda contar con herramientas de diseño y administración de bases de datos. Capacitar al personal que van a realizar la administración de las bases de datos. Elaboración de un manual de diseño de base de datos. Brindar capacitación sobre cursos de diseño de base de datos al personal desarrollador de sistemas informáticos.
84
6.6 PROBLEMAS ENCONTRADOS EN LA AUDITORIA DE REDES
Actualmente se encuentra una Red concentrada en la Unidad de Informática,
donde
correspondientes
a
se la
encuentran Institución
instalados
los
Sistemas
presenta
las
siguientes
y
características:
- Sistema Operativo de Red Windows XP con Service Pack 2. - Estándar: Ethernet 802.11 - Tarjeta de Red Intel® PRO/100 VE NETWORK CONNECTION. - Topología: Estrella - Tipos de Conectores: RJ-45 - Número de Servidores: 1 - Número de estaciones: 37 - Cable utilizado: Par trenzado categoría 5.
Los equipos se ubican dentro de la Institución en una unidad, con las siguientes características:
UNIDAD DE INFORMÁTICA
Se encuentra conformada por 37 computadoras interconectadas en red.
Esta Unidad es usada para el uso de Internet, dictado de clases para los maestrantes, doctorantes y docentes de la Escuela de Postgrado.
Características de los equipos 37 Computadoras Pentium IV de Fabricación y Soporte de Compaq Computer Corporation. Opera como: Estación. Capacidad de Disco Duro SAMSUNG: 40 Gb. Memoria RAM: 256 Mb Y 128 Mb.
85
Monitor COMPAQ 5500 de 14". Tarjeta de Video Intel ® 82845G/GL Graphics Controller. Lectora COMPAQ CD-ROM L TN 486S. Diskettera 3 1/2 COMPAQ. Teclado Estándar de 101/102 teclas o Microsoft Natural PS/2 Keyboard. Mouse COMPAQ LOGITECH. Sound MAX Integrated Digital Audio. Bus PCI. Controladora de almacenamiento Ultra Ata Intel® 82801 DB - 24CB. METODOLOGÍA A UTILIZAR
El procedimiento que se ha seguido para llevar a cabo este estudio ha sido el siguiente:
Definir los puntos que se van a Investigar el estudio de la Red de la Unidad de Informática.
Realizar una observación general de la Red de la Unidad de Informática.
Definir las preguntas que se van a realizar en la encuesta. (Ver Anexo Nº 10) Realizar las conclusiones y comentarios.
MÉTODOS Y HERRAMIENTAS UTILIZADAS
Se realizó encuestas para la realización de este estudio de la aplicación informática, cuyo formato se encuentra en el (Anexo N° 10).
SEGURIDAD LÓGICA
Se sabe que la información que viaja por la red es importante y confidencial, por lo que se debe tratar de evitar daños que puedan causar alteración en la información.
86
Amenazas que puede presentarse:
Modificación o eliminación de la Información.
La supervisión no autorizada de la transmisión de datos.
Reemplazar a un usuario de la red por otro no autorizado.
SEGURIDAD FÍSICA
Amenazas que se pueden presentar:
Ubicación de los servidores en lugares donde existe mucho tráfico de personas.
Problemas con la energía eléctrica que se pueden presentar en la Unidad Informática.
Colocar cables en lugares por donde transitan las personas, pudiendo ocasionar daños en el cableado que pueden dejar sin funcionamiento alguna estación.
A. Situación Actual
Actualmente no cuentan con manuales que contengan lo siguientes procedimientos para la utilización física y lógica de la red, para realizar cambios de Hardware y Software, procedimientos de autorización para conectar nuevo equipo en el área, procedimientos de prueba que cubre la introducción de cualquier nuevo equipo o cambio en la red de comunicaciones.
En cuanto al uso directo del Servidor, le correspondería a una sola persona, el administrador de la red, hecho que no se cumple, ya que es administrado por el Red Telemática.
No existe planes y/o procedimientos para el uso correcto de la red.
No se cuenta con diagramas de red que documenten las conexiones.
No existe un monitoreo de la secuencia de tramas.
87
B. Consecuencias
No se puede detectar la incorrecta secuencia de tramas.
No existe un constante mantenimiento del sistema de red, no se aplican herramientas periódicas para la reparación mejorando su rendimiento.
No se verifican constantemente las transacciones que se realizan en la red y los elementos de información a los que hacen referencia.
No se tendrán cifras estadísticas de utilización, como la frecuencia de consultas y transacciones y el número de accesos a la red.
C. Recomendaciones
En cuanto al uso de la red, sería conveniente un plan de utilización de la misma detallándose también, los procedimientos para conectar un nuevo equipamiento en la misma
.
En el Anexo Nº 11 se agrega un formato para el inventario del equipo de red.
Elaborar informes técnicos sobre ka operatividad, mantenimiento y conservación de los equipo de computo, con una frecuencia de 15 días.
Realizar el monitoreo de la red en forma periódica para garantizar el buen funcionamiento de la misma.
Los equipos deben contar con una etiquetación respectiva para su reconocimiento.
Asignar claves a los usuarios para acceder a la red, a los servicios, a las aplicaciones y a la base de datos, evitando de esta manera que personas no autorizadas tenga acceso a la red. El encargado de asignar estas claves es el administrador de la red, las cuales deben de cambiarse de forma periódicas.
Disminuir el uso de Diskettes, para evitar el contagio de virus, los cuales tienden a infiltrarse en la red y ocasionar daños a los diferentes sistemas de la unidad.
88
Implementar normas de seguridad para el uso de Diskettes, adquiriendo programas de antivirus con su respectiva licencia.
Instruir a los usuarios sobre la forma de trabajo en la red, impartiendo conocimientos sobre la forma de inicializar y finalizar correctamente sesiones en la red, evitando de esta manera posibles fallas en los sistemas.
Realizar copia de seguridad, es el administrador de la red quien determinará cada que tiempo y que parte de la base de debe de guardar.
Llevar un registro de accesos diarios de usuarios.
Ubicar el Servidor Dedicado en un lugar apropiado, donde el acceso sea restringido y alejado de personas extrañas a la Unidad.
Utilizar UPS(Reguladores de Energía) en el caso de que tenga algún problema con los cortes de energía eléctrica, parpadeos y caídas de voltaje. En dicho UPS se encontraría conectado el Servidor.
Ubicar los cables de energía en lugares por donde se sabe no pasaran las personas, evitando de esta manera que alguna estación de trabajo y hasta el propio Servidor deje de funcionar.
El administrador de la red debe realizar el manejo de fallas para prevenir, diagnosticar y reparar posibles fallas en los diferentes componentes de la red.
Realizar copias de seguridad de la información más importante.
Etiquetar los diferentes equipos electrónicos, que estén conectados a la red.
Documentar la etiquetación de los equipos.
Proteger los cables de la red mediante canaletas y ordenándolos de una manera segura para evitar la utilización de cable innecesario.
89
CONCLUSIONES 1. No
existe
un
manual
de
funciones
adecuado
para
el
buen
funcionamiento de la Unidad de Informática.
2. Falta adecuar el local donde funciona la Unidad de Informática, está expuesta
a
perdidas,
desastres,
incendios
y
otras
acciones
perjudiciales a la Unidad.
3. No existe un inventario de Software; peligro de multas por uso no autorizado de software. Puede llevar a la Perdida de información confidencial.
4. No cuenta con la asesoría respectiva que garantice proyectos informáticos de calidad.
5. Dificultad para la integración de los sistemas existentes, migración a nuevas plataformas.
6. No existe un constante mantenimiento del sistema de red; no se aplican herramientas periódicas para la reparación y mejorando su rendimiento.
7. El uso del Software de informática permite una mayor eficiencia en la realización de la Auditoria, que se traduce en la reducción de los tiempos, para tomar adecuadas decisiones.
8. En la EPG – UNPRG no se ha realizado ningún tipo de Auditoria de sus Sistemas Informáticos, por lo que me he preocupado en efectuar este estudio. He seguido buscando instrumentos de aplicación a una parte de la Auditoria a los Sistemas Informáticos, (Ver anexo # 13)
90
RECOMENDACIONES 1. Elaboración y puesta en práctica del manual de funciones de la Unidad de informática.
2. Dotar al local donde funciona la Unidad de Informática de todas las seguridades necesarias, en el acceso, equipos contra incendios.
3. Realizar un adecuado inventario y mantenimiento de los activos de la Unidad de Informática, tanto de hardware como de software.
4. Adquisición de Licencias para el uso de los diferentes softwares en la Unidad de Informática.
91
BIBLIOGRAFÍA Arens A. Alvin -1996 - Auditoria Un enfoque Integra. Editorial Prentice Hall Hispanoamérica S.A. – México. Bernal, Rafael y Coltell, Óscar - 1999 - Auditoria de Sistemas Informáticos. Editorial
Univ.
Politécnica
de
Valencia.
Auditoria – España. Blanco Encinosa, Lázaro J. - 2001 - "Auditoria y Sistemas Informáticos" Editorial TRIAS – España. Cooper & Librand S.A. - 1992 - "Informe COSO", Instituto de Auditores Internos de España - Madrid - Editorial Trias España. Enciclopedia de la Auditoria - 1998 - Editorial Océano, 6ta edición Ciudad México. Gómez R. Francisco - 2000 - Auditoria Administrativa - Editorial Prentice Hall Hispanoamérica S.A. - México Lázaro Víctor - 1995 - Sistemas y Procedimientos - Editorial Rama - Madrid Li H. David - 1998 - Auditorias en centros de cómputo - Editorial Trias España. López de SA Antonio - 1974 - Curso de Auditoria de los sistemas de información - Editorial DESCO – Lima Methoware - 2004 - "Guía de usuario del ProAudit/Advisor" - Nueva Zelanda.
92
Piatini, Mario y Del Peso, Emilio - 1999 - Auditoria Informática. Un enfoque práctico - Editorial Rama – Madrid Senn A. James – 1999 -
Análisis y Diseño de sistemas de información.
Editorial Mc Graw Hill- España Valencia R. Joaquín – 1997 - Sinopsis de Auditoria Administrativa - Editorial Trias - España. Vilchez I. César (CCI) – 1997 - Administración de centros de computo Editorial UNAC - Perú. William P. Leonard - 1999 - Auditoria Administrativa - Editorial Prentice Hall Hispanoamérica S.A. - México.
PAGINAS WEB:
Audinet: http://www,audinet.org
Sans Institute: http://www.sans.org
Sistema
Informático:
http://www.monografias.com/trabajos15/sistemas-
informático
93
ANEXOS
94
ANEXO Nº 01 UNIDAD DE INFORMÁTICA
95
ANEXO Nº 02
ENCUESTA PARA LA AUDITORÍA FÍSICA
NOMBRE:
CARGO:
FECHA:
1. ¿Se cuenta con un local propio? SI ( ) NO ( )
2. ¿Se cuenta con extintores para caso de incendio? SI ( ) NO ( )
3. ¿Están capacitados los trabajadores que laboran en la Unidad de Informática en el manejo de los extintores? SI ( ) NO ( )
4.
¿Los
interruptores
de energía están
debidamente protegidos,
etiquetados, y sin obstáculos para alcanzarlos? SI ( ) NO ( )
5. ¿El personal ajeno a operación sabe que hacer en el caso de una emergencia (incendio)? SI ( ) NO ( )
6. ¿Existe salida de emergencia? SI ( ) NO ( )
96
7. ¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? SI ( ) NO ( )
8. ¿Se ha tornado medidas para minimizar la posibilidad de fuego:
a) Evitando artículos inflamables en todas las áreas de la Unidad SI ( ) NO ( )
b) Prohibiendo fumar a los operadores en el interior SI ( ) NO ( )
c) Vigilando y manteniendo el sistema eléctrico SI ( ) NO ( )
d) No se ha previsto ( )
9. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior de las diferentes áreas de la Facultad para evitar daños a los equipos existentes? SI ( ) NO ( )
97
ANEXO N° 03
1. INVENTARIO DE OFIMÁTICA.
Inventario de Hardware: No se cuenta con un formato estándar, sólo se cuenta con un resumen. No existe un procedimiento de actualización de este inventario, este resumen de inventario solo se ha aplicado al área de Informática. Este resumen de inventario de Hardware no refleja la realidad, faltan dispositivos que describir. Inventario de Software: No existe un formato estándar de este inventario, ni un resumen de las aplicaciones, sólo existe conocimiento de éste de manera general.
2. Cambio de aplicaciones o de versiones
Se hacen instalaciones temporales (mientras se requiera), las instalaciones son ilegales.
No se realiza una evaluación con respecto al software es decir la instalaciones de estas no se revisan las necesidades mínimas que estas requieran.
3. Capacitación del personal y documentación de apoyo
No existe personal en esta Unidad que este debidamente capacitado.
No
existen
documentos
o
manuales
de
apoyo
para
el
desenvolvimiento del personal.
4. Generación de copias de seguridad
Podemos apreciar que no se realizan copias de seguridad ya que no existe información que salvaguardar ya que no hay sistemas de información.
98
5. Infección de virus
Si llegan a suceder por lo cual no hay control, solo existe técnicas de eliminación con software antivirus.
6. Licencias de Uso
Sólo cuentan con licencias de uso para el Windows XP SERVICE PACK 2 y Office XP para las 37 máquinas existentes en esta unidad para el resto de aplicaciones no cuentan con licencias de uso.
Relación de aplicaciones que no cuentan con licencias de uso:
WINZIP, ACROBAT READÉR, SPSS, ETC.
99
ANEXO N° 04 ENTREVISTA DE AUDITORIA OFIMATICA
ENTIDAD:
NOMBRE:
FECHA:
HORA:
1. ¿Existe inventario de hardware y software en la Unidad de Informática? ¿Con
qué
frecuencia
se
realiza?
¿Están
actualizados
con
la
información?
2. ¿El inventario refleja con exactitud los equipos y aplicaciones existentes?
3. ¿Existe un responsable a cargo de la revisión constante de la autorización del inventario?
4. ¿Cuenta con normas y procedimiento para la adquisición, recepción y utilización de equipos y aplicaciones?
5. ¿Se cuenta con una persona capacitada para la adquisición de equipos y aplicaciones?
6. ¿Cuenta con normas o procedimientos para la realización de los cambios y versiones de las aplicaciones?
7. ¿Se capacita periódicamente al personal? Cuentan con documentación de apoyo para desarrollar sus tareas?
8. ¿En que modalidad se adquirió el software de la unidad informática? Cuentan con manuales? 100
9. ¿Existen planes de formación en nuevas tecnologías o productos de personal encargado del mantenimiento de la empresa?
10. ¿Se controlan los accesos ala empresa en turnos u horarios fuera del regular?
11. ¿Existen normas que se sancionen al personal en caso de negligencia en el uso de software o hardware?
101
ANEXO N° 05 ENCUESTA DE AUDITORIA OFIMATICA
1. Para llevar a cabo un control sobre los equipos (hardware) que se tiene y sobre los productos que ésta contiene (software) es preciso contar un inventario, lo cual proporcionara está información que es muy valiosa para la institución.
a) ¿Tiene Usted conocimiento de la existencia de este documento?
Si ( ) No ( )
b) Cómo habíamos mencionado este documento es muy vital para la institución por tal motivo es muy importante tenerlo actualizado ¿Tiene Usted conocimiento de quien es la persona encargada de esta función?
Área:______________________________ Personal: __________________________ Cargo: ____________________________
Área: ______________________________ Personal: __________________________ Cargo: _____________________________
i) ¿Podría Mencionar Usted con que frecuencia este documento se actualiza y/o que situaciones obligan a actualizar este documento?
- Tiempo: Selección una opción Días: [ ] Semanas: [ ] Quincenas: [ ] Meses: [ ] Semestral: [ ] Anual: [ ] No Sabe: [ ] Es de forma irregular: [ ]
102
- Situaciones: Selección una o más opciones, o mencione algunas [ ] - Al realizar la adquisición de un nuevo equipo. [ ] - Al deteriorarse un equipo. [ ] - Al darse una nueva reubicación del equipo. [ ] - _________________________________________ - _________________________________________ - _________________________________________
ii) ¿Según lo mencionado podemos concluir que se realiza está actualización Podría Usted mencionar como es-que se realiza un proceso de verificación y control en esta actualización si esta existe?
2.
En una organización como instituciones, no sólo es indispensable tener conocimiento de los equipos informáticos ya que estos no funcionarían, sino tiene el software por lo que es indispensable su estudio a manera de no cumplir alguna irregularidad ya que esto podría ser perjudicial para la empresa.
a) En toda organización la información es de suma importancia por la cual esta llega a ser automatizada u organizada por diferentes productos informáticos (software o programas). ¿Mencione Usted que productos cuenta la organización para cumplir este propósito?
A manera de ejemplo podemos mencionar Word XP para procesar Texto Excel XP para mis hojas de cálculo
Software
Versión
Fin para su uso
_______________
_______________
____________________
_______________
_______________
____________________
103
ANEXO N° 06 ENTREVISTA DE AUDITORIA DE LA DIRECCIÓN
ENTIDAD:
NOMBRE:
FECHA:
HORA:
1. ¿Existen planes estratégicos a corto y largo plazo?
2. ¿Existe un proceso de planificación?
3. ¿Los planes se encuentran debidamente documentados?
4. ¿Tienen una metodología de planificación?
5. ¿Existe un mecanismo de seguimiento de los planes?
6. ¿Cuáles son las funciones y responsabilidades de los puestos de trabajo?
7. ¿Se encuentran documentadas las funciones y responsabilidades?
8. ¿Cuentan con estándares de funcionamiento, y procedimiento?
9.- ¿Existe una política de adquisición de bienes?
10. ¿Se encuentra documentada la descripción de cada puesto de trabajo?
11. ¿Existe una adecuada política de selección del personal? 104
12. ¿Existe una adecuada política de rendimiento del personal?
13. ¿Existe una adecuada política de promoción del personal?
14. ¿Existe una adecuada política de contrato y finalización de personal?
15. ¿Como es la comunicación entre el gerente y el personal de trabajo?
16. ¿Cómo se maneja el presupuesto económico en las áreas?
17. ¿Tienen mecanismo de control y seguimiento de las actividades de las áreas?
18. ¿Cuentan con reglamentos internos?
19. ¿Los reglamentos están documentados?
20. ¿Se cuenta con mecanismos de control de la normativa empresarial en cada área?
105
ANEXO N° 07
1. Auditoria de la Organización y Gestión del Área de Desarrollo Aunque cada proyecto de desarrollo tenga entidad propia y se gestione con cierta autonomía, para poderse llevar a cabo necesita apoyarse en el personal del área y en los procedimientos establecidos.
Objetivo 1. Organizar y Planificar el Área de Desarrollo. Debe establecerse de forma clara las funciones del área de desarrollo dentro de la Unidad de informática. Debe especificarse el organigrama con la relación de puestos del área así como el personal adscrito y el puesto que ocupa cada persona. Debe existir un procedimiento para la promoción del personal. El área debe tener y difundir su, propio plan a corto, medio y largo plazo, que será coherente con el plan de sistemas, si este existe. El área de desarrollo llevará su propio control presupuestario.
Objetivo 2 Establecer medidas de seguridad ilógica y física. Deben existir procedimientos de contratación de objetos. Debe existir un plan de formación que este en concordancia con los objetos tecnológicos que se tengan en el área. Debe existir un protocolo de recepción I abandono para las personas que se incorporan o abandonan el área. Debe existir una biblioteca y una hemeroteca accesibles por el personal del área. El personal debe estar motivado en la realización de su trabajo. Este aspecto es difícil de valorar y no es puramente técnico.
106
Objetivo 3 Alinear el Plan del Área de Desarrollo al Plan de Sistemas. La realización de nuevos proyectos debe basarse en el plan de sistemas en cuanto a objetivos, marco general y horizonte temporal. El plan de sistemas debe actualizarse con la información que se genera a lo largo de un proceso de desarrollo.
Objetivo 4 Regular la creación y aprobación de proyectos de sistemas de la Escuela de Postgrado. Debe existir un procedimiento de aprobación de nuevos proyectos. Debe existir un procedimiento, de aprobación de nuevos proyectos que dependerá de que exista o no plan de sistemas.
Objetivo 5 Gestionar los recursos humanos y materiales en el Área de Desarrollo. Debe existir un procedimiento para asignar director y equipo de desarrollo a cada nuevo proyecto. Debe existir un procedimiento para conseguir os recursos materiales necesarios para cada proyecto.
2. Auditoria de Proyectos de desarrollo de Sistemas de Información La auditoria de cada proyecto de desarrollo tendrá un plan distinto dependiendo de los riesgos, la complejidad y los recursos disponibles para realizar la auditoria.
Aprobación, Planificación y gestión de proyectos
La aprobación de un hecho previo al comienzo del mismo, mientras que la gestión se realiza a lo largo del mismo.
107
La planificación se realiza antes de iniciarse, pero sufrirá cambios a medida que el proyecto avanza en el tiempo.
Objetivo 1 Aprobar y planificar el desarrollo de proyectos informáticos. Debe existir una orden de aprobación del proyecto que defina claramente los objetivos, restricciones y las unidades afectadas. Debe distinguirse un responsable o director del proyecto. El proyecto debe ser catalogado y, en función de sus características, se debe determinar el modelo dé ciclo de vida que seguirá. Una vez determinado el ciclo de vida a seguir, se debe elegir el equipo técnico que realizará el proyecto y se determinará el plan del proyecto.
Objetivo 2 Gestionar el desarrollo de proyectos informáticos. Los responsables de las unidades o áreas afectadas por el proyecto deben participar en las gestiones del proyecto. Se debe establecer un mecanismo para la resolución de los problemas que puedan plantearse a lo largo del proyecto. Debe existir un control de cambios a lo largo del proyecto. Cuando sea necesario reajustar el plan de proyecto, normalmente al finalizar un módulo o fase, debe de hacerse en forma adecuada. Debe hacerse un seguimiento de los tiempos empleados tanto por tarea como a lo largo del proyecto. Se debe controlar que se sigan las etapas del ciclo de vida adoptado para el proyecto y que se generan todos los documentos asociados a la metodología usada. Cuando termina el proyecto se debe cerrar toda la documentación del mismo, liberar los recursos empleados y hacer balance.
108
3. Auditoria de la Fase de Análisis. Se pretende obtener un conjunto de especificaciones formales que describan las necesidades de información que deben ser cubiertas por el nuevo sistema de una forma dependiente del entorno técnico.
Análisis de Requerimiento del Sistema (ARS)
Aquí se identifican los requisitos del nuevo sistema:
Objetivo 1
Determinar los requerimientos del sistema.
En el proyecto deben participar usuarios de todas las unidades a las que afecte el nuevo sistema. Esta participación, que se hará normalmente a través de entrevistas, tendrá especial importancia en la definición de requisitos del sistema.
Se debe realizar un plan detallado de entrevistas con el grupo de usuarios del proyecto y con los responsables de las unidades afectadas, que permita conocer cómo valoran el sistema actual y lo que esperan del nuevo sistema.
A partir de la información obtenida en las entrevistas, se debe documentar el sistema actual así como los problemas asociados al mismo. Se debe obtener también un catálogo con los requisitos del nuevo sistema.
Objetivo 2
En el Proyecto de desarrollo se Utilizara la alternativa más favorable para conseguir que el sistema cumpla los requisitos establecidos.
Dados los requisitos del nuevo sistema se deben definir las diferentes alternativas de construcción con sus ventajas e inconvenientes. Se evaluarán las alternativas y se seleccionará la más adecuada. 109
La actualización del plan de proyecto seguirá los criterios ya comentados.
Especificación Funcional del Sistema (EFS)
Una vez conocido el sistema actual, los requisitos del nuevo sistema y las alternativas de desarrollo' más favorables, se elaborará una especificación funcional del sistema.
Objetivo 1 El nuevo sistema debe especificarse de manera completa desde el punto de vista funcional y debe ser aprobado por los usuarios. Se debe realizar un modelo lógico del nuevo sistema, incluyendo Modelo Lógico de Procesos (NW) y Modelo Lógico de Datos (MLD), ambos deben ser consolidados para garantizar su coherencia, Debe existir el diccionario de datos. Debe definirse la forma en que el nuevo sistema interactuará con los distintos usuarios. Esta es la parte más importante para el usuario porque definirá su forma de trabajo con el sistema. La especificación del nuevo sistemas incluirá los requisitos de seguridad, rendimiento, copias de seguridad y recuperación, etc. Se debe especificar las pruebas que el nuevo sistema debe superar para ser aceptado. La actualización del plan de proyecto seguirá los criterios ya comentados, detallándose en este punto en mayor medida la entrega y transición al nuevo sistema.
110
4. Auditoria de la Fase de Diseño. En esta fase se elaborará el conjunto de especificaciones físicas del nuevo sistema que servirá de base para la construcción del mismo.
Diseño Técnico del Sistema
Objetivo 1 Elaborar un Diseño Lógico del sistema garantizando su Calidad. El entorno tecnológico debe estar definido de forma clara y ser conforme a los estándares del departamento de informática. Se deben identificar todas las actividades físicas a realizar por el sistema y descomponer las mismas de forma modular. Se
debe
diseñar-
la
estructura
física
de
datos
adaptando
las
especificaciones del sistema al entorno tecnológico. Se debe diseñar un plan de pruebas que permita la verificación de los distintos componentes del sistema por separado, así como el funcionamiento de los distintos subsistemas y del sistema en conjunto.
5. Auditoria de la Fase de Construcción. En esta fase se programarán y probarán los distintos componentes y se pondrán en marcha los procedimientos necesarios para que los usuarios puedan trabajar con el nuevo sistema.
Desarrollo de los Componentes del sistema
Objetivo 1 Definir y desarrollar los componentes que formarán parte del sistema.
111
Se debe preparar adecuadamente el entorno de desarrollo y de pruebas, así como los procedimientos de operación, antes de iniciar el desarrollo. Se debe programar, probar y documentar cada uno de los componentes identificados en el diseño del sistema. Deben realizarse las pruebas de integración. Desarrollo de los Procedimientos de Usuario.
Objetivo 1
o El desarrollo de los componentes de usuario debe estar planificado.
o Se deben especificar los perfiles de usuario requeridos para el nuevo sistema.
o Se debe desarrollar todos los procedimientos de usuario con arreglo a los estándares del área.
o A partir de los perfiles actuales de los usuarios, se deben definir los procesos de formación o selección de personal necesario.
o Se deben definir los recursos materiales necesarios para el trabajo de los usuarios con el nuevo sistema.
6. Auditoria de la Fase de Implementación
En esta fase se realizará la aceptación del sistema por parte de los usuarios, además de las actividades necesarias para la puesta en marcha.
112
Pruebas, Implementación y Aceptación del Sistema
Objetivo 1 Garantiza la realización de las pruebas especificadas en la fase anterior. Se debe realizar las pruebas del sistema que se especificaron en el diseño del mismo. El plan de implantación y aceptación se debe revisar para adaptarlo a la situación final del proyecto. El sistema debe ser aceptado por los usuarios antes de ponerse en explotación.
Objetivo 2
Ejecutar los planes del establecimiento final del sistema en la organización.
Se debe instalar todos los procedimientos de explotación.
Si existe un sistema antiguo, el sistema nuevo se pondrá en explotación de forma coordinada con la retirada del antiguo, migrando los datos si es necesario.
Debe firmarse el final de la implantación. Se debe supervisar el trabajo de los usuarios.
Para terminar el proyecto se pondrá en marcha el mecanismo de mantenimiento.
113
ANEXO N° 8 ENTREVISTA
Evaluación Sobre La Existencia, Manejo de un Sistema de Información
Personal: Cargo:
Sobre el manejo de información, y el software de gestión existente:
- Tiene usted conocimiento si existe o existió un sistema informático.
- Podría mencionar que tipo de información manejaba este sistema.
- Explique Brevemente el propósito por la cual fue creado este sistema.
- Actualmente el sistema esta en funcionamiento
a) Existe propuesta para el desarrollo de un nuevo sistema de información. b) Está conforme con el desempeño del sistema existente.
- Mencione Usted quien esta a cargo de operar dicho sistema
a) Mencione quien es el encargado de realizar el mantenimiento de sistema. b) Mencione brevemente que operaciones se realizan en el manejo de dicho sistema c) Mencione Usted. Quien es el encargado del mantenimiento de sistema de Información. d) El Sistema de información resguarda copias de seguridad. e) Conque frecuencia se realiza esta tarea de resguardo de la información. f) Explique brevemente los pasos o procedimiento que sé realizar para cumplir esta tares de resguardo de información.
114
ANEXO N° 9
ENCUESTA
Sobre el desarrollo del sistema Informático, metodológicas, análisis e implantación.
Esta encuesta se realiza a las siguientes personas, ya que poseen un conocimiento de base de datos, y seguridad de la información.
Personal: Cargo:
- Sobre el sistema informático, su ambiente de trabajo
a) La elaboración del sistema informático mencione Usted si contaba con un área para su desarrollo Si ( ) No ( )
- Actualmente esta situación se sigue reflejando Si ( ) No ( )
- Cuanto tiempo empleaba Usted diariamente para el desarrollo de este sistema
Días
Número de Horas ______
Semanas
Número de Horas______
115
- Como se produjo la elaboración de este sistema
a) Quienes solicitaron dicha elaboración Directivos___________________________________________________ Nombre_____________________________________________________ Cargo_______________________________________________________ Iniciativa propia ______________________________________________
- Sobre el Entorno de trabajo de sistema
a) Sobre la plataforma de trabajo del sistema (marque una o más opciones)
- Windows [ ]
Versión:__________________________
- Windows NT [ ] Versión:__________________________ - Novell [ ]
Versión:__________________________
-Otros______________________
- De esta selección mencione cual de esta cuenta con licencia para su uso
b)
Sobre el manejador de base de datos del sistema informático mencione el nombre de este Software: _______ Versión: ________
- Contaba con licencia de uso Si ( ) No ( )
116
ANEXO N° 10 ENCUESTA PARA EL ESTUDIO DE REDES
NOMBRE: Cargo: Fecha: Hora:
1. ¿Se controla el acceso a la red? ¿Cómo?
2. ¿Existen procedimientos de seguridad Física y lógica de la red?
3. ¿Existe algún control para evitar la modificación de la configuración de la red?
4. ¿El cableado de la red está debidamente protegido?
5. ¿Existen procedimientos para el uso de la red?
6. ¿Que tipo de mantenimiento existen en él Centro de Computo?
7. ¿Cada cuanto tiempo se realiza el mantenimiento de la Red?
117
ANEXO N° 11 FORMATO DE INVENTARIO PARA EL EQUIPO DE REDES
OFICINA: _______________________________________________________ INFORMACIÓN PROPORCIONADA POR: ____________________________ TELEFONO: _____________________________ FECHA: _______________
CÓDIGO
NOMBRE
PATRIMONIAL
DEL
MODELO
FABRICANTE
EQUIPO
FECHA DE
DISTRIBUIDOR
FABRICACIÓN
AL QUE SE LE COMPRÓ
DATOS INGRESADOS POR:_______________________________________
FIRMA
118
PRUEBAS
ANEXO N° 12 ANÁLISIS DE COSTO
Costo Unitario del Equipo
S/. 3 600
Computadora Pentium IV de Fabricación y Soporte de Compaq Computer Corporation. Disco Duro SAMSUNG: 40 Gb. Memoria RAM: 256 Mb Y 128 Mb. Monitor COMPAO 5500 de 14". Tarjeta de Video Intel ® 82845G/GL Graphics Controller. Lectora COMPAO CD-ROM L TN 486S. Diskettera 3 1/2 COMPAQ. Teclado Estándar de 101/102 teclas o Microsoft Natural PS/2 Keyboard Mouse COMPAO LOGITECH. Sound MAX Integrated Digital Audio. Bus PCI Controladora de almacenamiento Ultra Ata Intel® 82801 DB-24CB
Costo Total de los Equipos
S/.133 200
Costo de Software y Licencia
S/.
Costo de Bienes
S/. 30 000
3 000
Mueble para computadora Implementos de la Unidad de Informática
TOTAL
S/.166 200
119
ANEXO Nº 13
METODOLOGÍA INTEGRAL PARA LA GESTIÓN DE RIESGOS OPERATIVOS RELACIONADOS CON TÉCNOLOGIAS DE LA INFORMACIÓN Y SISTEMAS DE INFORMACIÓN MIGRO TI / SI
INFORMACIÓN DE LA INSTITUCION Y EL RESPONSABLE DEL PROCESO DE GESTION DE RIESGO
DATOS DE LA INSTITUCIÓN Razón Social: Dirección: Ruc: Gerente o Director: Representante de informática: Página Web: E-mail:
DATOS DEL RESPONSABLE DEL PROCESO DE GESTIÓN DE RIESGOS
Responsable:
Líder del proyecto:
Fecha inicio:
Fecha de entrega:
RELACIÓN DE ACTIVOS TOMADOS EN CUENTA POR MIGRO TI/SI 120
RELACIÓN DE ACTIVOS TOMADOS EN CUENTA POR MIGRO TI/SI
Nº
Descripción del activo
Nivel de importancia
1
Servidores y concentradores
2
Base de Datos
3
Software del Sistema, Software de ofimática, Sistemas operativos, Aplicativos
4
Sistemas de Respaldo
5
Red Física (cableado, concentradores, patch cord, etc.)
6
Red Lógica (perfiles, niveles de acceso, etc.)
7
Usuarios
8
Documentación de programas, hardware, sistemas, procedimientos administrativos locales, manuales, etc.
9
Datos de usuarios
0 0 0 0 0 0 0 0 0
10 Hardware (teclado, monitor, unidades )
0
11 Insumos (cartuchos de tinta, tóner, papel, etc.)
0
CÁLCULO DE LOS NIVELES DE VULNERABILIDAD DE CADA ACTIVO
121
Ingresar prob. del activo 1 Ingresar prob. del activo 2 Ingresar prob. del activo 3 Ingresar prob. del activo 4 Ingresar prob. del activo 5 Ingresar prob. del activo 6 Ingresar prob. del activo 7 Ingresar prob. del activo 8 Ingresar prob. del activo 9 Ingresar prob. del activo 10 Ingresar prob. del activo 11
Nº de Activo
Nombre del Activo
Nivel de Importancia
Factor de Riesgo
Nivel de Vulnerabilidad
0
0,00
0,00
Administración impropia del sistema de TI
0
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
Destrucción de un componente Entrada sin autorización a la Sala de Comunicaciones Error de configuración Servidores y concentradore s
% Prob. de Riesgos
Acceso no autorizado a datos
Corte de luz, UPS descargado o variaciones de voltaje
1
Prob. de Ocurrencia
0 0 0 0
Factores ambientales
0
0 Límite de vida útil – Máquinas obsoletas Inadecuada planificación organizacional Mantenimiento inadecuado o ausente Modificación no autorizada de datos Robo
0 0 0 0 0
Sabotaje
0
Virus
0
Cantidad de Factores de riesgo =
14
122
Nº de Activo
Nombre del Activo
Nivel de Importancia
Factor de Riesgo
Prob. de Ocurrencia
Acceso no autorizado a los datos
% Prob. de Riesgos
Nivel de Vulnerabilida d
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0 Base de Datos mal estructurada 0 Copia no autorizada de datos 0 Documentación deficiente 0 Errores de software 0 Falla de base de datos 0 Falta de confidencialidad 0 Falla en los medios externos 2
Bases de Datos
0
0 Falta de espacio de almacenamiento
0 Ingreso de datos con caracteres no válidos o datos duplicados 0 Pérdida de backups 0 Pérdida de confidencialidad en datos privados y de sistema 0 Impresoras o directorios compartidos 0 Robo 0 Sabotaje 0 Virus 0
123
Cantidad de Factores de riesgo =
Nº de Activo
Nombre del Activo
16
Nivel de Importancia
Factor de Riesgo Aplicaciones sin licencias
0
Dependencia del proveedor
0
Error de configuración
0
Falla del sistema
0
Falta de compatibilidad
3
Software del Sistema, Software de ofimática, Sistemas operativos, Aplicativos
Prob. de Ocurrencia
0
Falta de revisión de las actualizaciones del "CAUTIVO" Falta de Aplicaciones para la Toma de Decisiones 0 Insuficiencia de cláusulas en el contrato de mantenimiento Insuficiencia de cláusulas en el contrato de Adquisición Mala Administración de control de acceso (salteo de login, etc.) Pérdida de datos
0 0 0 0 0 0
Inadecuada adaptación a cambios del sistema Software desactualizado
0 0
Virus
0 124
0,00
% Prob. de Riesgos
0,00
Nivel de Vulnerabilid ad
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
Cantidad de Factores de riesgo = Nº de Activo
Nombre del Activo
14
Nivel de Importancia
Factor de Riesgo
Prob. de Ocurrencia
Copia no autorizada de datos
0,00
% Prob. de Riesgos
0,00 Nivel de Vulnerabilidad
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0 Corte de luz, UPS descargado o variaciones de voltaje 0 Errores de software 0 Falla en medios externos 0 Falta de espacio de almacenamiento 0 4
Sistemas de Respaldo
0
Falta de integridad de los datos resguardados 0 Medios de datos no están disponibles cuando son necesarios 0 Pérdida de backups 0 Robo 0 Sabotaje 0 Virus 0
Cantidad de Factores de riesgo =
11
125
Nº de Activo
Nombre del Activo
Nivel de Importanci a
Factor de Riesgo Conexión de cables inadmisible Daño o destrucción de cables o equipamiento inadvertido
5
Red Física (cableado, concentradores , patch cord, etc.)
Factores ambientales 0
Prob. de % Prob. Nivel de Ocurrenci de Vulnerabilida a Riesgos d 0 0 0
Límite de vida útil de equipos Longitud de cables de red excedida Mal mantenimiento
0 0 0
Riesgo por el personal de limpieza o persona externa Cantidad de Factores de riesgo =
0 7
126
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
Nº de Activo
Nombre del Nivel de Activo Importancia
Factor de Riesgo Abuso de puertos para el mantenimiento remoto Ausencia o falta de segmentación
6
Red Lógica (perfiles, niveles de acceso, etc.)
Configuración inadecuada de componentes de red 0 Errores de configuración y operación Falta de autenticación
Prob. de Ocurrenci a 0 0 0 0 0
Inadecuada administración para el acceso a Internet y correo electrónico Cantidad de Factores de riesgo =
0 6
127
% Prob. de Riesgos
Nivel de Vulnerabilidad
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
Nº de Activo
Nombre del Activo
Nivel de Importancia
Factor de Riesgo Acceso no autorizado a datos
0
Borrado, modificación o revelación desautorizada o inadvertida de información Condiciones de trabajo adversas Destrucción negligente de datos Documentación deficiente
Usuarios
0 0 0 0
Entrada sin autorización a habitaciones 7
Prob. De Ocurrencia
0 Entrenamiento de usuarios inadecuado Falta de auditorias
0 0 0
Falta de cuidado en el manejo de la información (Ej. Claves) No cumplimiento con las medidas de seguridad del sistema Perdida de confidencialidad o integridad de datos como resultado de un error humano Desvinculación del personal
0 0 0 0
Cantidad de Factores de riesgo =
12
128
% Prob. de Riesgos
Nivel de Vulnerabilidad
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
Nº de Activo
Nombre del Activo
Nivel de Importancia
Factor de Riesgo Acceso no autorizado a datos de documentación Borrado, modificación o revelación desautorizada de información Copia no autorizada de un medio de datos Descripción de archivos inadecuada
8
Documentación de programas, hardware, sistemas, procedimientos administrativos locales, manuales, etc.
Destrucción negligente de datos 0
Documentación insuficiente o faltante, funciones no documentadas Factores ambientales
Prob. de % Prob. Nivel de Ocurrenci de Vulnerabilida a Riesgos d 0 0 0 0 0 0 0
Mantenimiento inadecuado o ausente Robo
0 0
Uso sin autorización
0
Virus, gusanos y caballos de Troya Cantidad de Factores de riesgo =
0 11
129
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
Nº de Activo
Nombre del Activo
Nivel de Importanci a
Factor de Riesgo Falta de espacio de almacenamiento Pérdida de backups
9
Datos de usuarios
0
Prob. de Ocurrenci a 0 0
Pérdida de confidencialidad en datos privados y de sistema Robo
0 0
Sabotaje
0
Cantidad de Factores de riesgo =
5
130
% Prob. de Riesgos
Nivel de Vulnerabilida d
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
Nº de Activo
Nombre del Nivel de Activo Importancia
Factor de Riesgo Corte de luz, UPS descargado o variaciones de voltaje Destrucción o mal funcionamiento de un componente
10
Hardware (teclado, monitor, unidades)
Factores ambientales
Prob. de Ocurrenci a 0 0 0
0 Límite de vida útil de equipos Mal mantenimiento
0 0
Robo
0
Cantidad de Factores de riesgo =
6
131
% Prob. de Riesgos
Nivel de Vulnerabilida d
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
Nº de Activo
Nombre del Activo
Nivel de Importancia
Factor de Riesgo Factores ambientales
0
Límite de vida útil 11
Insumos (cartuchos de tinta, tóner, papel, etc.)
0
Prob. de Ocurrencia
0
Recursos escasos
0
Uso descontrolado de recursos Robo
0 0
Cantidad de Factores de riesgo =
5
132
% Prob. Nivel de de Vulnerabilidad Riesgos 0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
Cálculo de importancia ideal de los activos
Nº
1 2
Activos
Dif. de %
Dif. de Imp.
Importancia (Ideal)
#¡DIV/0!
#¡DIV/0!
Base de Datos
0,00 #¡DIV/0!
0 #¡DIV/0! #¡DIV/0!
#¡DIV/0!
#¡DIV/0!
0,00 #¡DIV/0!
0 #¡DIV/0! #¡DIV/0!
#¡DIV/0!
#¡DIV/0!
0,00 #¡DIV/0!
0 #¡DIV/0! #¡DIV/0!
#¡DIV/0!
#¡DIV/0!
0,00 #¡DIV/0!
0 #¡DIV/0! #¡DIV/0!
#¡DIV/0!
#¡DIV/0!
Red Lógica (perfiles, niveles de acceso, etc.)
0,00 #¡DIV/0!
0 #¡DIV/0! #¡DIV/0!
#¡DIV/0!
#¡DIV/0!
Usuarios
0,00 #¡DIV/0!
0 #¡DIV/0! #¡DIV/0!
#¡DIV/0!
#¡DIV/0!
0,00 #¡DIV/0!
0 #¡DIV/0! #¡DIV/0!
#¡DIV/0!
#¡DIV/0!
Datos de usuarios
0,00 #¡DIV/0!
0 #¡DIV/0! #¡DIV/0!
#¡DIV/0!
#¡DIV/0!
Hardware (teclado, monitor, unidades )
0,00 #¡DIV/0!
0 #¡DIV/0! #¡DIV/0!
#¡DIV/0!
#¡DIV/0!
0,00 #¡DIV/0!
0 #¡DIV/0! #¡DIV/0!
#¡DIV/0!
#¡DIV/0!
0,00 #¡DIV/0!
0 #¡DIV/0! #¡DIV/0!
#¡DIV/0!
#¡DIV/0!
Documentación de programas, hardware, 8 sistemas, procedimientos administrativos locales, manuales, etc.
10
%
0 #¡DIV/0! #¡DIV/0!
Sistemas de Respaldo Red Física (cableado, concentradores, patch 5 cord, etc.)
9
Importancia (actual)
0,00 #¡DIV/0!
4
7
%
Servidores y concentradores
3 Software del Sistema, Software de ofimática, Sistemas operativos, Aplicativos
6
Sum. de Riesgos (Niv. de Vulnerab.)
11 Insumos (cartuchos de tinta, tóner, papel, etc.)
133
Niveles de vulnerabilidad teniendo en cuenta distintas escalas de importancia Nº
Imp. (1 a 10)
Activos
R%
Imp. (1 a 3)
R%
Imp. (1 )
R%
1 Servidores y concentradores
0,00 #¡DIV/0!
429
13,20
143
10,00
2 Base de Datos
0,00 #¡DIV/0!
431
13,26
144
10,07
3 Software del Sistema, Software de ofimática, Sistemas operativos, Aplicativos
0,00 #¡DIV/0!
557
17,14
186
13,01
4 Sistemas de Respaldo
0,00 #¡DIV/0!
409
12,58
136
9,51
5 Red Física (cableado, concentradores, patch cord, etc.)
0,00 #¡DIV/0!
200
6,15
100
6,99
6 Red Lógica (perfiles, niveles de acceso, etc.)
0,00 #¡DIV/0!
233
7,17
117
8,18
7 Usuarios Documentación de programas, hardware, sistemas, procedimientos 8 administrativos locales, manuales, etc
0,00 #¡DIV/0!
283
8,71
142
9,93
0,00 #¡DIV/0!
291
8,95
145
10,14
9 Datos de usuarios
0,00 #¡DIV/0!
200
6,15
100
6,99
10 Hardware (teclado, monitor, unidades )
0,00 #¡DIV/0!
117
3,60
117
8,18
11 Insumos (cartuchos de tinta, tóner, papel, etc.)
0,00 #¡DIV/0!
100
3,08
100
6,99
0,00 #¡DIV/0! 3250,00 100,00 1430,00 100,00
134
Valores máximos y mínimos reales Nº
1 2
Activos - Riesgos totales (Sin ponderar la importancia)
Servidores y concentradores Base de Datos
(333)
%
(111)
%
(123)
%
300,00
9,09
100,00
9,09
0
0,00
300,00
9,09
100,00
9,09
0
0,00
300,00
9,09
100,00
9,09
0
0,00
300,00
9,09
100,00
9,09
0
0,00
300,00
9,09
100,00
9,09
0
0,00
300,00
9,09
100,00
9,09
0
0,00
300,00
9,09
100,00
9,09
0
0,00
300,00
9,09
100,00
9,09
0
0,00
300,00
9,09
100,00
9,09
0
0,00
300,00
9,09
100,00
9,09
117
100,00
300,00
9,09
100,00
9,09
0
0,00
3300,00
100,00
1100,00
100,00
117,00
100,00
Software del Sistema, Software de ofimática, Sistemas operativos, Aplicativos 3 4 5 6 7
Sistemas de Respaldo Red Física (cableado, concentradores, patch cord, etc.) Red Lógica (perfiles, niveles de acceso, etc.) Usuarios Documentación de programas, hardware, sistemas, procedimientos administrativos locales, manuales, etc
8 9 10 11
Datos de usuarios Hardware (teclado, monitor, unidades ) Insumos (cartuchos de tinta, tóner, papel, etc.)
135
Porcentajes de riesgos cubiertos Porcentaje de Riesgos Descubiertos Porcentaje de Riesgos Mínimos
3,55 33,33
Desviación
-29,79
136
REPORTE FINAL MIGRO-TI/SI
DATOS DE LA INSTITUCIÓN Razón Social:
0
Dirección:
0
Ruc:
0
Gerente o Director:
0
Representante de informática:
0
Página Web:
0
E-mail:
0
DATOS DEL RESPONSABLE DEL PROCESO DE GESTIÓN DE RIESGOS Responsable:
0
Líder del proyecto:
0
Fecha inicio:
sábado, 00 de enero de 1900
Fecha de entrega:
sábado, 00 de enero de 1900
Porcentajes de riesgos cubiertos Porcentaje de Riesgos Descubiertos
3,55
Porcentaje de Riesgos Mínimos
33,33
Desviación
-29,79
137