U N I V E R S I D A D SEOR DE SIPN

FACULTAD DE INGENIERA, ARQUITECTURA Y URBANISMO

ESCUELA PROFESIONAL DE INGENIERA DE SISTEMAS

INFORME FINAL: AUDITORIA INFORMATICA DESARROLLADA EN LA DIRECCION REGIONAL DE AGRICULTURA - LAMBAYEQUE POR LA EMPRESA AUDITA CONSULTING, EN EL PERIODO DE MAYO JULIO DEL 2011

EMPRESA AUDITORIA:
AUDITA CONSULTING

INTEGRANTES:
a) c) Mara Violeta Bances Santamara Sara Maricel Villafuerte Cornejo

b) Gino Paul Gonzales Custodio

COMIT DE AUDITORIA: Ing. Edward Crdenas del guila

PIMENTEL, MAYO DE 2011

PRESENTACION En la Actualidad los Sistemas Informticos constituyen una herramienta bastante poderosa para la mejora de rendimiento de toda organizacin empresarial. Del mismo modo, no solo se trata de adquirir tecnologa, sino que tambin es necesario saber darle el uso adecuado de acuerdo a los Requerimientos particulares de un determinado usuario o grupos usuarios. La Auditora Informtica, es un punto clave en este sentido, debido a que, si bien es cierto, ayuda a detectar errores y sealar fallas en determinadas reas o procesos, su objetivo est orientado a brindar soluciones, planteando mtodos y procedimientos de control de los sistemas de informacin que son validos para cualquier empresa u organizacin por pequea que esta sea. El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de informacin. Cabe resaltar que para la realizacin de una auditoria informtica eficaz, es necesario entender a la empresa en su ms amplio sentido, El presente Informe Final, realizado por la empresa AUDITA CONSULTING, plantea un estudio profesional de los diversos factores que pueden estar influyendo en las operaciones de la empresa auditada Direccin Regional de Agricultura -. Lambayeque, a fin de brindar las soluciones y recomendaciones pertinentes.

INTRODUCCION La empresa AUDITA CONSULTING, para realizar el presente informe final,

obtuvo conocimiento acerca de las actividades que realiza la Institucin, con lo cual se observo los procesos que realizan y quienes lo hacen. Tomando como referencia la gua de Auditoria de COBIT se realizo varias pruebas de las cuales se tienen documentos para determinar la situacin de la empresa, especficamente del Centro de Sistemas Informticos. Para facilitar la comprensin de los interesados de la institucin Direccin Regional de Agricultura - Lambayeque se elaboraron informes que contienen observaciones de las partes y para el informe final se incluyen conclusiones y sus respectivas recomendaciones para la organizacin, las cuales le servirn de apoyo para un mejor uso de sus tecnologas de informacin, logrando de esta manera cumplir con los objetivos Institucionales.

INDICE

Paginas PRESENTACION INTRODUCCION CONTENIDOS: 1.0 IDENTIFICACION DEL INFORME 2.0 IDENTIFICACION DE LA ENTIDAD AUDITADA 2.1 ORGANIGRAMA 2.2 ESTRUCTURA ORGANICA 2.3 Misin 2.4 Visin 2.5 Objetivo 3.0 IDENTIFICACIN DE LA AUDITORIA 4.0 OBJETIVOS DE LA AUDITORIA INFORMATICA 5.0 NORMATIVA APLICADA Y EXCEPCIONES 6.0 ASPECTOS FORMALES DE LA AUDITORIA 7.0 EL AREA DE INFORMATICA 8.0 DESARROLLO DE AUDITORIAS ESPECIFICAS 6 6 7 8 12 4 4 1 2

SARITA TERMINA EL INDICE

1.0 IDENTIFICACION DEL INFORME INFORME FINAL DE AUDITORIA INFORMATICA EJECUTADA POR LA EMPRESA AUDITA CONSULTING, A LA DIRECCION 2011 2.0. IDENTIFICACION DE LA ENTIDAD AUDITADA 2.1. DENOMINACIN DIRECCION REGIONAL DE AGRICULTURA LAMBAYEQUE 2.2. MISIN Somos una Direccin Regional que promueve el Desarrollo de los productores agrarios de la Regin Lambayeque, organizndolos en cadenas productivas, en el marco de la cuenca como unidad de gestin de los recursos naturales para lograr una agricultura competitiva, desarrollada en trminos de sostenibilidad econmica, social y ambiental. 2.3. VISIN La Direccin Regional de Agricultura conduce el desarrollo agrario en Lambayeque siendo una regin lder en produccin agropecuaria tanto para el mercado interno como externo sustentado en productos de calidad, orientados al mercado que generan rentabilidad para el productor. Los productores agrarios de la Regin Lambayeque estamos organizados, somos competitivos, rentables y sostenibles econmica, social y ambientalmente en un entorno democrtico, participativo y de igualdad de oportunidades. 2.4. OBJETIVOS INSTITUCIONALES a) Incrementar la oferta educativa intercultural y mejorar la calidad de la educacin en todos los niveles y modalidades educativas. b) Promover la competitividad y sostenibilidad de la actividad agraria, bsicamente la Agroindustria y la Agro exportacin. REGIONAL DE AGRICULTURA - LAMBAYEQUE EN EL PERIODO DE MAYO JULIO DE

c) Mejorar el acceso a la atencin integral de la Salud con servicios de calidad y criterio de equidad. d) Incrementar la cobertura de los servicios de saneamientos bsicos en reas urbanos marginales y rurales. e) Mejorar y ampliar la infraestructura vial regional as como garantizar el adecuado funcionamiento del transporte terrestre y las comunicaciones. f) Incrementar la frontera elctrica en el ara rural, as como promocionar el desarrollo de la pequea minera, minera artesanal y de las actividades de hidrocarburo. g) Impulsar la mejora de la productividad de las unidades econmicas industriales e identificar oportunidades de inversin que promuevan la iniciativa privada. h) Promover de manera sostenible la pesca artesanal, la maricultura y acuicultura, continentales. i) Apoyar la ejecucin de pequeas obras de inters social, as como desarrollar programas de prevencin frente a desastres producidos por fenmenos naturales y promover la proteccin y conservacin del medio ambiente. j) Orientar la organizacin, el desarrollo equilibrado y sostenido de los centros poblados urbano y rural y promoviendo la ejecucin de programas de vivienda. aprovechando los recursos hidrobiologicos, marinos

2.5. ESTRUCTURA ORGNICA DE LA DIRECCION REGIONAL DE AGRICULTURA - LAMBAYEQUE a) Direccin Regional de Agricultura a. Oficina de control institucional b. Consejo de coordinacin del sector publico agrario b) Oficina de administracin

c) Direccin forestal y fauna silvestre d) Direccin de informacin agraria e) Direccin de promocin agraria f) Agencia agraria Chiclayo a. Sede agraria Chiclayo b. Sede agraria Zaa c. Sede agraria Oyotun d. Sede agraria Chongoyape g) Agencia agraria Lambayeque a. Sede agraria Mochumi b. Sede agraria Motupe c. Sede agraria Morrope d. Sede agraria Jayanca e. Sede agraria Lambayeque f. Sede agraria Olmos h) Agencia agraria Ferreafe a. Sede agraria Ferreafe b. Sede agraria Laquipampa c. Sede agraria Caars d. Sede agraria Inkahuasi

2.6 ORGANIGRAMA DE LA DIRECCION REGIONAL DE AGRICULTURA - LAMBAYEQUE

GRAFICO N 01

2.7 ESTRUCTURA ORGNICA DEL CENTRO DE SISTEMAS E INFORMTICA  Coordinador del CSI.  Personal de Soporte Tcnico. 2.8 RAZN SOCIAL La Direccin Regional de Agricultura Lambayeque (DRA-LAMBAYEQUE). Es un rgano de lnea de la Gerencia Regional de Desarrollo Econmico del Gobierno Regional Lambayeque con el que tiene Relacin Tcnico Normativa, Administrativa y Presupuestal. La Direccin Regional de Agricultura Promueve las actividades Productivas Agrarias y Constituye la instancia principal de coordinacin a nivel Regional de las Actividades, Proyectos y Organismos Pblicos Descentralizados del Sector Agrario. 3.0. IDENTIFICACIN DE LA AUDITORIA Empresa Auditora AUDITA CONSULTING 4.0. OBJETIVOS DE LA AUDITORIA INFORMATICA a) Evaluar las funciones y responsabilidades de cada miembro del Centro de Sistemas e Informtica. b) Revisar y evaluar el Plan Operativo para determinar si las tareas programadas para el Centro de Sistemas e Informtica cumplen con los objetivos que persigue la Direccin Regional de Agricultura. c) Verificar el cumplimiento de polticas y planes sobre seguridad fsica y sobre los sistemas informticos y controlar de que estos sean ejecutados de la forma en que fueron planificados d) Verificar la seguridad y estado del ambiente en donde se encuentra ubicado el Centro de Sistemas e Informtica, de los equipos de TI, medios de comunicacin, as como de la informacin que es el intangible ms importante de la empresa.

e) Revisar y evaluar el Plan de Contingencias que facilite conocer el mecanismo para determinar los pasos a seguir ante cualquier falla que se presente en el quehacer cotidiano. f) Revisar y evaluar el cronograma de capacitaciones para el personal que trabaja dentro de Centro de Sistemas e Informtica. g) Verificar el control Interno o el marco de trabajo de la organizacin para asegurar la exactitud de la informacin como resultado de las operaciones que se realizan dentro de la Direccin Regional de Agricultura. h) Verificar la seguridad existente en los sistemas informticos, para evitar el despilfarro, el fraude o el uso indeficiente de los recursos.

5.0 NORMATIVA APLICADA Y EXCEPCIONES a) Norma General para las Actividades de Control Gerencial N 320-2006CG.- Es compatible con los principios del control interno, principios de administracin y las normas de auditora gubernamental emitidas por la CGR. b) Norma COBIT 6.0 ASPECTOS FORMALES DE LA AUDITORIA 6.1. ORIGEN DE LA AUDITORIA Se inicia como consecuencia de un Contrato firmado entre la Institucin auditada Direccin Regional de Agricultura Lambayeque y la empresa auditora AUDITA CONSULTING, siendo de carcter experimental aplicado en el curso de Auditoria de Tecnologas de Informacin. 6.2. ALCANCE DE LA AUDITORIA Nuestra auditoria se enfoca especialmente en el Centro de Sistemas e Informtica de la Direccin Regional de Agricultura Lambayeque, de acuerdo a las normas y dems disposiciones aplicables al efecto. Las auditorias que comprende el presente informe son las siguientes:

10

a) Auditoria Fsica Enfocada no solo a evaluar la existencia de los medios fsicos existentes dentro del Centro de Sistemas e Informtica, sino tambin su funcionalidad, racionalidad y seguridad de los mismos. b) Auditoria de Sistemas Enfocada en la verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a Gerencia. Tambin se evala el Procesamiento de los Datos y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados existentes en la empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas. 6.3. CRONOGRAMA DE TRABAJO Periodo DESDE 25/03/2011 30/03/2011 6/04/ 2011 14/04/ 2011 19/04/ 2011 19/04/ 2011 HACIA 25/03/2011 30/03/2011 6/04/ 2011 14/04/ 2011 19/04/ 2011 19/04/ 2011

Actividades Identificacin de la empresa Dialogo con el contacto interno de la Empresa Elaboracin de Contrato de Auditoria. (VER ANEXO 02) Firma o Aprobacin del Contrato Confirmacin de la visita Reconocimiento de la Empresa (1era visita)

11

Verificacin de CSI Elaboracin del primer informe Aplicacin de Cuestionario para la Auditoria Fsica (2da Visita). (VER ANEXO N 04) Aplicacin de cuestionario para la Auditoria de Sistemas (3era Visita). (VER ANEXO N 05) Elaboracin de Informe Final

21/04/ 2011 25/04/2011

21/04/ 2011 25/04/2011

15/06/2011

15/06/2011

24/06/2011

24/06/2011

27/06/2011

02/07/2011

6.4. DOCUMENTOS SOLICITADOS a) Plan Operativo Informtico. b) Archivos sobre Estructura Organizacional de la Institucin. c) Requerimientos de Usuarios. 6.5. JUSTIFICACIN DE LA AUDITORIA Se justifica la presente auditoria porque la empresa auditada Direccin Regional de Agricultura Lambayeque tiene la necesidad de llevar un mejor control de sus Tecnologas de Informacin para poder apoyar de mejor manera en el logro de los objetivos institucionales; y para la empresa auditora AUDITA CONSULTING es necesario para cumplir con los objetivos de la asignatura. 6.6. ADECUACIN DE LA AUDITORIA 6.6.1. TCNICAS  Observacin  Entrevistas 12

 Cuestionarios  Fotografas 6.6.2. HERRAMIENTAS  Cuaderno de campo  Cmara Digital  Papel  Lapiceros 6.7. FORMALIZACIN DE LA AUDITORIA. De acuerdo al Contrato de Auditoria Informtica, el equipo de AUDITA CONSULTING, es la encargada de realizar la Auditoria Informtica y se compromete a entregar el Informe Final sobre la presente Auditoria a la Direccin Regional de Agricultura. El Equipo Auditor est conformado por los siguientes profesionales: NOMBRE Y APELLIDOS Violeta Bances Santamara Gonzales Custodio, Gino Villafuerte Cornejo, Sara Especialista Especialista CARGO Gerente de AUDITA CONSULTING

Para tratar temas de Auditoria Fsica y de Sistemas en la empresa en mencin. (Ver Anexo N01) 7.0 EL AREA DE INFORMATICA 7.1 ORGANIZACIN INTERNA. A. Soporte Tcnico

13

7.2 FUNCIONES POR CARGO. 7.2.1 DESCRIPCIN DE FUNCIONES ESPECFICAS A NIVEL DE CARGOS. Segn las visitas realizada por el equipo Auditor AUDITA CONSULTING a la Empresa Auditada DIRECCION REGIONAL DE AGRICULTURA LAMBAYEQUE, no cuenta con el Manual de Organizacin y Funciones; dado a que como nos sealaba el Coordinador del CSI, que solo sali una propuesta de las posibles funciones para cada trabajador del CSI, pero que no se sigui con todo el proceso de aprobacin por los Directivos de la DIRECCION REGIONAL DE AGRICULTURA - LAMBAYEQUE. A continuacin se muestra solo el Cuadro Orgnico de Cargos del CSIDIRECCION REGIONAL DE AGRICULTURA - LAMBAYEQUE Analista de Sistemas PAD IVCoordinador Analista de Sistemas PAD II.Responsable Produccin Programador de Sistemas PAD I.Responsable Desarrollo de Sistemas Operador de Equipo Electrnico II..Responsable Soporte Tcnico Operador PAD III.Asistente Administrativo Con la aclaracin que de que el Centro de Sistemas e Informtica en la actualidad slo cuenta con un Coordinador y Jefe de Soporte. 7.3 DOCUMENTOS DE GESTIN Y DOCUMENTOS TCNICO NORMATIVOS DEL REA DE INFORMTICA: 7.3 1 DOFA El Centro de Sistemas e Informtica no cuenta con el anlisis DOFA, esto se llego a determinar cundo se solicito al Coordinador de esta rea el Documento que contenga tanto sus Oportunidades, Fortalezas, Amenazas y debilidades, y nos menciono que no contaba con dicha informacin, debido a que el CSI recin se ha formalizado.

14

7.3.2 DIAGNOSTICO DEL AREA DE INFORMATICA. a) El Centro de Sistemas e Informtica est ubicada en el segundo piso de la Direccin Regional de Agricultura, cuanta con 02 ambientes divididos de la siguiente manera; un ambiente de trabajo y la sala de servidores. b) El Centro de Sistemas e Informtica cuenta con un Coordinador y una persona a su cargo, responsable del Soporte Tcnico, ambos son los encargados de las funciones establecidas. c) El Centro de Sistemas e Informtica cuenta con equipos informticos tales como un servidor configurado con Centos 5.0 y que hasta la actualidad no est operativo debido a fallas de hardware que este presenta, equipos de cmputo y medios de comunicacin. d) Para acceder a la sala de servidores se debe contar con permiso autorizado por el Coordinador del CSI. e) No cuenta con un Plan Operativo Informtico Actualizado que permita conocer que actividades se realizaran durante el periodo del ao en curso. f) Falta de personal para abastecer los requerimientos de todos los usuarios tanto en la Direccin Regional de Agricultura como en sus Agencias que corresponden.

8.0 DESARROLLO DE AUDITORIAS ESPECIFICAS Los tipos de auditoras informticas que se desarrollaran dentro de este trabajo son las siguientes: AUDITORIA DE FISICAY AUDITORIA DE SISTEMAS. 8.1 AUDITORIA FISICA A. ALCANCE a) Administracin de la seguridad fsica de la red de la Direccin Regional de Agricultura Lambayeque.

15

b) Evaluar el ambiente fsico desde donde se brinda servicios relacionados con Tecnologas de Informacin, as como gestionar los riesgos ante fallas que puedan afectar el buen funcionamiento de la red. B. OBJETIVOS a) Revisar el cumplimiento de las Polticas y Normas sobre Seguridad Fsica. b) Verificar y evaluar la existencia y efectividad de un plan de contingencias, para asegurar la continuidad de los procesos y la recuperacin de los datos en caso de desastres. c) Verificar la seguridad de la informacin que provee el Centro de Sistemas e Informtica. C. DESARROLLO C.1 Elemento de Auditoria: Ubicacin del CSI C.1.1 Indicador COBIT: PO4.4 Ubicacin organizacional de la funcin de TI C.1.2 Acciones: A. Ubicar la funcin de TI dentro de la estructura organizacional C.1.3 Observaciones Hallazgos Los resultados que se obtuvieron luego de realizar la presente investigacin en la Direccin Regional de Agricultura Lambayeque, en el periodo Abril Julio del 2011, son: A. Existe una norma que recientemente ha sido aprobada sobre la formalizacin de la ubicacin del CSI dentro de la estructura organizacional de la Direccin Regional de Agricultura Lambayeque. B. El CSI solo cuenta con 2 personas encargadas, que son las nicas en realizar las actividades correspondientes; estas son el Coordinador del CSI y el Jefe de Soporte Tcnico.

16

C. El CSI no cuenta con el Manual de Organizacin y Funciones. D. Algunos trabajadores encargados de realizar las funciones de TI, no estn capacitados para garantizar la prestacin del servicio de forma eficiente. E. El CSI no tiene establecidos sus Fortalezas, Oportunidades, debilidades y amenazas. F. La mayora de trabajadores de la Direccin Regional de Agricultura Lambayeque desconocen sobre la ubicacin del CSI dentro de la estructura organizacional. C.1.4 Comentarios de la Entidad El Coordinador del CSI menciona que la norma que establece al CSI como parte de su estructura organizativa, ha sido realizada recientemente a la Institucin. C.1.5 Conclusiones A. La Direccin Regional de Agricultura Lambayeque si ha previsto de una norma que establece al CSI dentro de la estructura organizativa. B. Se ha determinado que la Direccin Regional de Agricultura Lambayeque, no ha hecho pblica la norma que establece al CSI como parte de su estructura organizativa tanto a nivel interno como externo. C. No existe el manual de Organizacin y Funciones, debido a que este documento solo sali como propuesta de las posibles funciones que deberan tener los encargados del CSI, pero no se aprob. D. Se ha determinado algunos de los trabajadores del CSI no estn lo debidamente capacitados para realizar el trabajo relacionado a brindar servicios de TI en la empresa. Lo que representa el incumplimiento del numeral 1.4.2 de las Normas tcnicas para la gestin y el control de las tecnologas de informacin (N-2-2007-CO-DFOE), cuyo contenido es el siguiente El personal de la organizacin debe conocer y estar

comprometido con las regulaciones sobre seguridad y confidencialidad,

17

con el fin de reducir los riesgos de error humano, robo, fraude o uso inadecuado de los recursos de TI. Para ello, el jerarca, debe:

a. Informar y capacitar a los empleados sobre sus responsabilidades en materia de seguridad, confidencialidad y riesgos asociados con el uso de las TI. b. Implementar mecanismos para vigilar el debido cumplimiento de dichas responsabilidades. c. Establecer, cuando corresponda, acuerdos de confidencialidad y medidas de seguridad especficas relacionadas con el manejo de la documentacin y rescisin de contratos. E. No se han establecido sus Fortalezas, Oportunidades, debilidades y amenazas; debido a que como nos mencionaron este Centro de Sistemas e Informacin lleva solo 5 aos en funcionamiento. F. Es necesario contratar ms personal para el CSI para que apoyen en todas las actividades que demandan tanto los usuarios de la Direccin Regional de Agricultura como de sus agencias descentralizadas que dependen de esta. C.1.6 Recomendaciones A. Se ha determinado que la Direccin Regional de Agricultura Lambayeque, debera hacer pblica la norma que establece al CSI como parte de su estructura organizacional tanto a nivel interno como externo. B. Elaborar y aprobar el manual de Organizacin y Funciones, esto porque sirve como gua a todo el personal que trabaja dentro del CSI en el cumplimiento de sus actividades asignadas de manera eficiente y responsable.

18

C. Es necesario realizar el documento que contenga el anlisis FODA del CSI de esta institucin para conocer hasta cuanto se puede llegar, teniendo en cuenta las fortalezas y Oportunidades, as como las debilidades y amenazas que se puedan presentar en el cumplimiento conjunto de los objetivos de la Institucin. D. Aprobar procedimientos para establezcan capacitaciones para el personal del Centro de Sistemas e Informtica en sus actividades que realiza.

C.2 Elemento de Auditoria: Elementos de Construccin C.2.1 Indicador COBIT: DS12.1 Seleccin y diseo del centro de datos y DS12.2 Medidas de Seguridad Fsica C.2.2 Acciones: A. Definir y seleccionar los centros de datos fsicos para el equipo de TI para soportar la estrategia de tecnologa ligada a la estrategia del negocio. B. Definir e implementar medidas de seguridad fsicas alineadas con los requerimientos del negocio. C.2.3 Observaciones Hallazgos Los resultados que se obtuvieron luego de realizar la presente investigacin en la Direccin Regional de Agricultura Lambayeque, en el periodo Abril Julio del 2011, son: A. El material con el que est construido el CSI no es confiable y seguro, esto dado porque el local se haba construido antes del establecimiento del CSI como tal. B. No existe lugar suficiente dentro del CSI que permita la libre distribucin de los equipos de TI.

19

C. El acceso hacia la sala de servidores no es controlado por los encargados del CSI. D. El CSI cuenta con una puerta extra aparte de la principal, segn declaraciones del coordinador del CSI, pero el equipo AUDITOR determino que dicha puerta sirve para ingresar a otra rea, ms no especficamente para cumplir con la funcin de salida extra en caso de emergencias. E. El CSI no da hacia el exterior, pero faltan las condiciones de seguridad en el ambiente para cumplir con las funciones que pretende. F. No se tiene de conocimiento si existen normas y procedimientos sobre seguridad fsica para la resolucin de posibles incidentes que se puedan presentar y que afecten el cumplimiento de las actividades a realizarse. C.2.4 Comentarios de la Entidad El Coordinador del CSI menciona que si se ha determinado un Centro de Sistemas e Informacin bajo normas establecidas. C.2.5 Conclusin A. La Direccin Regional de Agricultura Lambayeque no ha establecido un Centro de Sistemas e Informacin bajo normas y polticas de seguridad; esto se puede contrastar con los hallazgos antes mencionados. Lo que implica el incumplimiento del inciso b del numeral 1.4.3 de las Normas tcnicas para la gestin y el control de las tecnologas de informacin (N-2-2007-CO-DFOE), cuyo contenido es el siguiente La organizacin debe proteger los recursos de TI y polticas de seguridad

estableciendo un ambiente fsico seguro y controlado, con medidas de proteccin suficientemente fundamentadas en polticas vigentes y anlisis de riesgos. Como parte de esa proteccin debe considerar:

20

a. Los controles de acceso a las instalaciones: seguridad perimetral, mecanismos de control de acceso a recintos o reas de trabajo, proteccin de oficinas, separacin adecuada de reas. b. La ubicacin fsica segura de los recursos de TI. c. El ingreso y salida de equipos de la organizacin. d. El debido control de los servicios de mantenimiento. e. Los controles para el desecho y reutilizacin de recursos de TI. f. La continuidad, seguridad y control del suministro de energa elctrica, del cableado de datos y de las comunicaciones inalmbricas. g. El acceso de terceros. h. Los riesgos asociados con el ambiente. B. No se ha establecido normas y procedimientos para la formalizacin del ingreso de terceros al Centro de Sistemas e Informtica, lo que representa desconocer el inciso g del numeral tratado anteriormente de las Normas tcnicas para la gestin y el control de las tecnologas de informacin (N-2-2007-CO-DFOE) C.2.6 Recomendaciones A. Aprobar normas y procedimientos de seguridad fsica que permitan establecer un Centro de Sistemas e Informtica con toda la regularidad necesaria para su funcionamiento, asegurando los ambientes, equipos de TI e Instalaciones dependientes de este. B. Aprobar normas y procedimientos que permitan llevar un mejor control del ingreso de personas ajenas a los ambientes de trabajo y de la sala de servidores.

21

C.3 Elemento de Auditoria: Sistema contra Incendios C.3.1 Indicador COBIT: DS12.4 Proteccin contra factores ambientales C.3.2 Acciones: A. Disear e Implementar medidas de proteccin contra factores ambientales C.3.3 Observaciones Hallazgos Los resultados que se obtuvieron luego de realizar la presente investigacin en la Direccin Regional de Agricultura Lambayeque, en el periodo Abril Julio del 2011, son: A. El lugar donde se ubica el Centro de Sistemas e Informtica est seguro de inundaciones, robo o cualquier otra situacin que pueda poner en peligro los equipos. B. No se cuenta con alarma contra incendios dentro del Centro de Sistemas e Informtica. C. No se dispone de una salida de emergencia dentro del CSI D. El CSI de la empresa no se encuentra en un lugar altamente transitado. E. El CSI dispone de aire acondicionado para su Sala de Servidores y tanto su ubicacin como la temperatura a la que trabaja es la apropiada para cumplir su cometido. F. No existe algn otro medio de ventilacin aparte del aire acondicionado dentro de la Sala de Servidores. C.3.4 Comentarios de la Entidad El Coordinador del CSI menciona que es necesario contar con una alarma contra incendios, dado a que ni siquiera se cuenta con un extintor para proteger los equipos de TI ante cualquier circunstancia de fuego en la Sala de Servidores. C.3.5 Conclusin A. Se ha determinado que la Direccin Regional de Agricultura Lambayeque no ha puesto a disposicin de artefactos indispensables para la prevencin de incendios dentro del CSI, poniendo en riesgo los

22

equipos de TI, medios de comunicacin y lo que es ms importante la informacin de la Institucin. Lo que implica el incumplimiento de los incisos a, b y h del numeral 1.4.3 de las Normas tcnicas para la gestin y el control de las tecnologas de informacin (N-2-2007-CODFOE), cuyo contenido es el siguiente La proteger los recursos de TI estableciendo organizacin un ambiente debe fsico

seguro y controlado, con medidas de proteccin suficientemente fundamentadas en polticas vigentes y anlisis de riesgos. Como parte de esa proteccin debe considerar: a. Los controles de acceso a las instalaciones: seguridad perimetral, mecanismos de control de acceso a recintos o reas de trabajo, proteccin de oficinas, separacin adecuada de reas. b. La ubicacin fsica segura de los recursos de TI. c. El ingreso y salida de equipos de la organizacin. d. El debido control de los servicios de mantenimiento. e. Los controles para el desecho y reutilizacin de recursos de TI. f. La continuidad, seguridad y control del suministro de energa elctrica, del cableado de datos y de las comunicaciones inalmbricas. g. El acceso de terceros. h. Los riesgos asociados con el ambiente. B. No se ha establecido procedimientos que incluyan una salida de emergencia para la Sala de Servidores, as como la adquisicin de otros medios de ventilacin que garanticen seguridad ante cualquier problema ocasionado inesperadamente por la naturaleza o por factores internos; lo que representa desconocer los incisos a y h del numeral tratado anteriormente de las Normas tcnicas para la gestin y el control de las tecnologas de informacin (N-2-2007-CO-DFOE)

23

C.3.6 Recomendaciones A. Solicitar la inclusin de equipos para la Sala de Servidores a los Directivos de la Institucin para la prevencin de incendios y que acten en caso de suceder algn hecho no previsto. B. Aprobar procedimientos que permitan establecer un ambiente fsico apropiado y necesario para lo que exige un Centro de Sistemas e Informtica en caso de emergencias para la Sala de Servidores. CHICOS MANDEN SUS DOCUMENTO POR ELEMENTO CON SU

RESPECTIVA NUMERACION Y ALINEADOS. C.7 Elemento de Auditoria: Medios de proteccin C.7.1 Indicador COBIT: PO4.9 Propiedad de datos y de sistemas C.7.2 Acciones: a) Proporcionar al negocio los procedimientos y herramientas que le permitan enfrentar sus responsabilidades de propiedad sobre los datos y los sistemas de informacin. C.7.3 Observaciones Hallazgos En el resultado que se obtuvo en la investigacin en la Direccin Regional de Agricultura DRA, se ha determinado la siguiente observacin: a) Existe una rutina de trabajo de tomar una copia de respaldo de datos, que se encuentra en el recinto del centro de cmputos, en poder del auxiliar de informtica. b) Si bien existen la copia de seguridad, no se poseen normas y/o procedimientos que exijan la prueba sistemtica de las mismas a efectos de establecer los mnimos niveles de confiabilidad. c) Al momento de realizar el medio de proteccin se toman en cuenta la informacin necesario d los datos del sistema. C.7.4 Conclusiones

24

La Direccin Regional de Agricultura - DRA est expuesta a la perdida de informacin por no poseer un chequeo sistemtico peridico de los backup's, y que los mismas se exponen a riesgo por encontrarse en poder del auxiliar de informtica. C.7.5 Recomendaciones a) Desarrollar normas y procedimientos generales que permitan la toma de respaldo necesarios, utilitario a utilizar. b) Realizar ms de una copia de respaldo de datos de las cuales, una se encuentre en el Centro de Sistemas de informtica, otra en la sucursal ms cercana y la ltima en poder del Coordinador de area. c) Implementar pruebas sistemticas semanales de las copias y distribucin de las mismas.

C.7 Elemento de Auditoria: Plan de Contingencia. C.7.1 Indicador COBIT: DS4.2 Planes de continuidad de TI. DS4.3 Recursos crticos de TI. DS4.4 Mantenimiento del plan de continuidad de TI. DS4.5 Pruebas del plan de continuidad de TI. C.7.2 Acciones: A. Desarrollar planes de continuidad de TI con base en el marco de trabajo. B. Centrar la atencin en los puntos determinados como los ms crticos en el plan de continuidad de TIC. C. Definir y ejecutar procedimientos de control de cambios D. Probar el plan de continuidad de TI de forma regular para asegurar que los sistemas de TI pueden ser recuperados de forma efectiva.

25

C.7.3 Observaciones Hallazgos Como resultado de la investigacin en la Direccin Regional de Agricultura, se ha determinado la siguiente observacin: A. La institucin cuenta un Plan de contingencia que est formalizado por escrito y aprobado por la Direccin. B. La poltica de seguridad de la Empresa contempla la elaboracin y el mantenimiento de un Plan, as como las medidas de salvaguarda que aseguran la fiabilidad, integridad y disponibilidad de la informacin. C. Estn razonablemente contemplados y definidos los posibles sucesos que pudieran ocurrir y las situaciones diferentes de la de normalidad que se pudiesen dar. D. Se ha realizado un anlisis de riesgos y se ha determinado la prioridad a los recursos y funciones ms crticos para la organizacin. E. Estn contempladas las actuaciones de respuesta para recuperar la informacin y definidas segn un orden de prioridades. F. Estn definidas unas normas sobre copias de seguridad de ficheros, que estn aprobadas, actualizadas pero no se cumplen en su totalidad. G. Ante cambios significativos en los recursos de la empresa o en el entorno en el que se encuentra, se realiza una actualizacin del Plan de Contingencia el cul se hace anualmente. SE HACE A DESTIEMPO H. Existen contratos con proveedores y personal de manteniendo para compensar la prdida ante un fallo del CSI.

26

C.7.4 Conclusiones A. Se ha determinado, que la Institucin auditada cuenta con un plan de contingencias para determinar los procedimientos a realizar ante un eventual fallo en el CSI, lo que representa conocer el numeral 6.3.2 de la Directiva N 016-2002-INEI/DTNP, de la Resolucin Jefatural N 386-2002INEI, cuyo contenido es el siguiente La Oficina de Informtica especificar y documentar, en el Plan de Contingencias institucional, los procedimientos utilizados en el respaldo de la informacin. B. Se ha determinado, que en el Centro de Sistemas e Informtica, est encargado de realizar las acciones de respaldo y restauracin de la informacin contenida en los sistemas de informacin, lo que representa el conocimiento del numeral 6.3.1 de la Directiva N 0162002-INEI/DTNP, de la Resolucin Jefatural N 386-2002-INEI, cuyo contenido es el siguiente La Oficina de Informtica (o la que haga sus veces) planificar y organizar el proceso del respaldo de la informacin de la institucin, teniendo en cuenta el nivel de importancia de la informacin. El procedimiento formar parte del Plan de Seguridad de la Informacin institucional. PERO NO LO HACE C. Se ha determinado, que la Institucin auditada no cumple con las medidas de seguridad fsica en lo que se refiere a los ambientes en donde se encuentra los medios de almacenamiento, lo que representa que desconoce del numeral 6.2.3 de la Directiva N 016-2002-INEI/DTNP, de la Resolucin Jefatural N 386-2002- INEI, cuyo contenido es el siguiente Los ambientes donde se depositan los medios de almacenamiento de la informacin contarn con adecuadas condiciones de temperatura, humedad, entre otras. Estos ambientes dispondrn de medidas de seguridad complementarias, como por ejemplo, cmaras de vdeo, puertas

27

con dispositivos de acceso, de acuerdo a la disponibilidad presupuestal de cada institucin. C.7.5 Recomendaciones A. Establecer o planificar pruebas del Plan de Contingencia con el fin de estar preparados ante un fallo y adems de brindar mayor seguridad a la informacin. B. Mejorar los ambientes donde se depositan los medios de almacenamiento de informacin ya que de esta manera se asegura que la informacin no sufra perdidas. C. Establecer un periodo de respaldo de la informacin para as mantener la informacin actualizada y segura.
D. El Plan de contingencia debe recoger la ubicacin, caractersticas y

necesidades de un centro alternativo de respaldo (Centro Backup) en caso de destruccin o inhabilitacin del CSI.

C.8 Elemento de Auditoria: Seguros. C.8.1 Indicador COBIT: DS5.1 Administracin de la seguridad de TI. C.8.2 Acciones: A. Administrar la seguridad de TI al nivel ms apropiado dentro de la organizacin. C.8.3 Observaciones Hallazgos

28

A. Se han establecido el tipo de seguros ante una eventual prdida que tenga el CSI. B. Existen contratos con proveedores y personal de manteniendo para compensar la prdida ante un fallo del CSI. C.8.4 Conclusiones A. Se ha determinado, que la Institucin auditada cumple en lo que se refiere al respaldo de los equipos que utiliza como medios de almacenamiento de la informacin de la institucin, lo que representa que conoce del numeral 7.3 de la Directiva N 016-2002-INEI/DTNP, de la Resolucin Jefatural N 386-2002- INEI, cuyo contenido es el siguiente Dependiendo de la importancia de la informacin y su impacto al no disponer de ella ante una eventual contingencia, las entidades de la administracin pblica, podrn realizar convenios con otras entidades pblicas o contratar estos servicios al sector privado, con la finalidad de garantizar la continuidad de sus operaciones C.8.4 Recomendaciones

9.1 AUDITORIA DE SISTEMAS D. ALCANCE E. OBJETIVOS EL SISTEMA BASICO SE UNE EN UNO SOLO Y LOS INDICADORES SE COLOCAN DENTRO DE UN SOLO EL SISTEMA BASICO C.2 Elemento de Auditoria: SISTEMA BASICO C.2.1 Indicador COBIT: AI2.5 Configuracin e implantacin de software aplicativo adquirido C.2.2 Acciones:

29

a) Personalizar e implantar la funcionalidad automatizada adquirida con el uso de procedimientos de configuraciones, aceptacin y prueba. C.2.3 Observaciones Hallazgos En el resultado que se obtuvo en la investigacin en la Direccin Regional de Agricultura DRA, se ha determinado la siguiente observacin: a) Las modificaciones a los programas son solicitadas generalmente sin notas internas, en donde se describen los cambios o modificaciones que se requieren. b) Se consideran aspectos que incluyen la validacin de las aplicaciones existentes. C.2.4 Conclusiones La Direccin Regional de Agricultura - DRA personaliza e implanta la funcionalidad de aplicaciones con el uso de procedimientos y configuraciones. C.2.5 Recomendaciones a) Desarrollar mediante documento la actualizacin de los programas en donde se describan los cambios o modificaciones que se dieron. b) Aplicar un mtodo el cual permita evaluar que aplicaciones deberan estar instaladas, para el uso del usuario.

C.3 Elemento de Auditoria: SISTEMA BASICO C.3.1 Indicador COBIT: AI2.3 Control y auditabilidad de las aplicaciones C.3.2 Acciones: a) Asegurar que los controles del negocio se traduzcan correctamente en controles de
aplicacin.

C.3.3 Observaciones Hallazgos En el resultado que se obtuvo en la investigacin en la Direccin Regional de Agricultura DRA, se ha determinado la siguiente observacin: 30

a) Se consideran mecanismos de autorizacin, y control de acceso. b) Se consideran aspectos de consideracin en el control de las aplicaciones. C.3.4 Conclusiones La Direccin Regional de Agricultura - DRA cuenta que las medidas necesarias para las autorizaciones, integridad de la informacin y para el control de acceso a las aplicaciones.

31

ACTA SOBRE AUDITORIA FISICA En los ambientes de la Institucin de Direccin Regional de Agricultura Lambayeque, siendo las once de la maana del da jueves treinta del mes de junio y del ao dos mil once. Los suscritos en ocasin de participar de la Auditoria Informtica en la Institucin de Direccin Regional de Agricultura Lambayeque. Se ha evidenciado lo siguiente: a) Existe una norma que recientemente ha sido aprobada sobre la formalizacin de la ubicacin del CSI dentro de la estructura organizacional de la Direccin Regional de Agricultura Lambayeque. b) El CSI solo cuenta con 2 personas encargadas, que son las nicas en realizar las actividades correspondientes; estas son el Coordinador del CSI y el Jefe de Soporte Tcnico. c) El CSI no cuenta con el Manual de Organizacin y Funciones. d) El CSI no tiene establecidos sus Fortalezas, Oportunidades, debilidades y amenazas. e) El material con el que est construido el CSI no es confiable y seguro, esto dado porque el local se haba construido antes del establecimiento del CSI como tal. f) No existe lugar suficiente dentro del CSI que permita la libre distribucin de los equipos de TI. g) El CSI cuenta con una puerta extra aparte de la principal, segn declaraciones del coordinador del CSI, pero el equipo AUDITOR determino que dicha puerta sirve para ingresar a otra rea, ms no especficamente para cumplir con la funcin de salida extra en caso de emergencias.

32

h) La

Institucin

mediante

ciertos

procedimientos

brinda

una

identificacin de usuario por cada persona que cuenta con una maquina. i) Existen niveles de acceso permitidos, los cuales son establecidos conforme a la funcin que cumple cada uno de los usuarios. j) Los usuarios definidos al rotar o retirarse del local no son borrados de los perfiles de acceso. k) Existe una rutina de trabajo de tomar una copia de respaldo de datos, que se encuentra en el recinto del centro de cmputos, en poder del auxiliar de informtica. l) Al momento de realizar el medio de proteccin se toman en cuenta la informacin prioritaria de los datos del sistema. m) La institucin cuenta un Plan de contingencia que est formalizado por escrito y aprobado por la Direccin. n) Estn razonablemente contemplados y definidos los posibles sucesos que pudieran ocurrir y las situaciones, diferentes de la de normalidad, que se pudiesen dar. o) Estn contempladas las actuaciones de respuesta para recuperar la informacin y definidas segn un orden de prioridades. p) Existen contratos con proveedores y personal de manteniendo para compensar la prdida ante un fallo del CSI. q) Se han establecido el tipo de seguros ante una eventual prdida que tenga el CSI. r) Existen contratos con proveedores y personal de manteniendo para compensar la prdida ante un fallo del CSI. En seal de conformidad y amparados en la ley 27444, bajo el principio de la veracidad suscribimos la presenta acta como medio probatorio de los hechos antes indicados.

33

________________________________ Mara Violeta Bances Santamara DNI: 46448381 GERENTE DE AUDITA CONSULTING

________________________________ Sara Maricel Villafuerte Cornejo DNI: 42846722 ESPECIALISTA

________________________________ Gino Paul Gonzales Custodio DNI: 45937483 ESPECIALISTA

34

ACTA SOBRE AUDITORIA DE SISTEMAS En los ambientes de la Institucin de Direccin Regional de Agricultura Lambayeque, siendo las once de la maana del da jueves treinta del mes de junio y del ao dos mil once. Los suscritos en ocasin de participar de la Auditoria Informtica en la Institucin de Direccin Regional de Agricultura Lambayeque. Se ha evidenciado lo siguiente: a) El Software adquirido por la Institucin cumple con los intereses de esta. b) El Sistema Operativo instalado es el apropiado para las actividades que realiza la Institucin. c) Se han incluido los derechos de la propiedad intelectual, mantenimiento, garantas, procedimientos de arbitraje y condiciones para la actualizacin que incluyen la seguridad, custodia y derechos de acceso en la Institucin. d) Las modificaciones a los programas son solicitadas generalmente sin documentos que describan los cambios o modificaciones que se requieren. e) Se consideran mecanismos de autorizacin, y control de acceso. En seal de conformidad y amparados en la ley 27444, bajo el principio de la veracidad suscribimos la presenta acta como medio probatorio de los hechos antes indicados.

35

________________________________ Mara Violeta Bances Santamara DNI: 46448381 GERENTE DE AUDITA CONSULTING

________________________________ Sara Maricel Villafuerte Cornejo DNI: 42846722 ESPECIALISTA

________________________________ Gino Paul Gonzales Custodio DNI: 45937483 ESPECIALISTA

36

ANEXOS

37

ANEXO N 01: PLAN DE TRABAJO DE AUDITA CONSULTING Unidad N Accin Meta Identificar la Identificacin empresa en 1 de la empresa donde se va desarrollar la auditoria. Dialogo con 2 el contacto interno de la Empresa Lograr tener acceso a la empresa para poder obtener informacin. Tener una Elaboracin 3 de Contrato de Auditoria base legal que confiera el sustento de realizar la auditoria. Cerrar el Firma o 4 Aprobacin del Contrato contrato entre ambas partes, AUDITOR Y CLIENTE. Confirmar el 5 Confirmaci n de la visita ingreso de los auditores a la empresa 19/04/ 2011 19/04/ 2011 Violeta Bances Santamara 14/04/ 2011 Violeta 14/04/ 2011 Bances Santamara 6/04/ 2011 6/04/ 2011 Gonzales Custodio Gino Paul, Villafuerte Cornejo Sara 30/03/2011 30/03/2011 Violeta Bances Santamara 25/03/2011 25/03/2011 de Medida Comisin de Auditores Audita Consulting DESDE Periodo HACIA Responsable

38

Reconocimie 6 nto de la Empresa (1era visita)

Conocer ms la empresa, funciones y quienes lo realizan. Verificar si la empresa est en 19/04/ 2011 19/04/ 2011

Comisin de Auditores Audita Consulting

Gonzales 21/04/ 2011 Custodio 21/04/ 2011 Gino Paul, Villafuerte Cornejo Sara

Verificacin de CSI

condiciones de ser auditada. Es decir verificar la existencia del CSI Realizar un resumen para conocer lo que se ha avanzado hasta entonces en materia de la Auditoria en mencin

Gonzales Custodio 25/04/2011 25/04/2011 Gino Paul, Villafuerte Cornejo Sara

Elaboracin 8 del primer informe

Aplicacin de 9 Cuestionario para la Auditoria

Conocer mediante indicadores cual es la realidad del 15/06/2011 15/06/2011

Gonzales Custodio Gino Paul, Villafuerte Cornejo Sara

39

Fsica (2da Visita)

CSI. Conocer si el

Aplicacin de cuestionario 10 para la Auditoria de Sistemas (3era Visita)

Sistema operativo Base cumple con los requerimiento s institucionales . Plasmar todo 24/06/2011 24/06/2011

Bances Santamara Violeta, Gonzales Custodio Gino Paul, Villafuerte Cornejo Sara Bances Santamara Violeta. 27/06/2011 02/07/2011 Gonzales Custodio Gino Paul, Villafuerte Cornejo Sara

Elaboracin 11 del Informe Final

lo concerniente al desarrollo mismo de la auditoria.

El presente Plan de Trabajo es realizado por los especialistas Gonzales Custodio Gino Paul y Villafuerte Cornejo Sara y queda puesto a la disposicin de su conformidad. FECHA: 23/05/2011

________________________________ Mara Violeta Bances Santamara DNI: 46448381 GERENTE DE AUDITA CONSULTING

40

ANEXO N 02: CONTRATO DE AUDITORA INFORMTICA

CONTRATO DE AUDITORA EN INFORMTICA Contrato de prestacin de servicios profesionales de auditora informtica que celebran por una parte AUDITA CONSULTING dirigida hacia la DRAL institucin por auditar y que en lo sucesivo se denominar EL CLIENTE; por otra parte la empresa auditora AUDITA CONSULTING DECLARACIONES I.- EL CLIENTE DECLARA: Que requiere obtener servicios de auditora informtica, por lo que ha decidido contratar los servicios del AUDITOR. No s si va en maysculas tambin AUDITOR II.- EL AUDITOR DECLARA: Que es una sociedad annima, constituida y existente de acuerdo con las leyes y normas regulatorias del sistema de control interno regulados en el Per por la Contralora General de la Repblica del Per, por tanto la presente accin est configurada dentro de los objetivos del AUDITOR. III.- AMBAS PARTES DECLARAN: Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo formalizan otorgando el presente contrato que se contienen en las siguientes clusulas: CLAUSULAS PRIMERA: OBJETO EL AUDITOR se obliga a prestar al CLIENTE los servicios de auditora informtica para llevar a cabo la evaluacin de los tipos de auditora, que se detallan en la propuesta de servicios anexa que, firmada por las partes, forma parte integrante del contrato. SEGUNDA: ALCANCE DEL TRABAJO El alcance de los trabajos que llevar a cabo EL AUDITOR dentro de este a quien se le denominar EL AUDITOR, de conformidad con las declaraciones y clusulas siguientes:

41

contrato es la evaluacin: y y y Evaluacin de Auditoria Fsica Evaluacin de Auditoria de Sistemas Elaboracin de Informes que contengan conclusiones y recomendaciones.

TERCERA: PROGRAMA DE TRABAJO EL AUDITOR conviene en elaborar los trminos de referencia de las auditorias requeridas, mientras que EL CLIENTE en desarrollar un programa de trabajo en el que se determinen con precisin un cronograma de actividades a realizar. CUARTA: SUPERVISIN EL CLIENTE o quien designe tendr derecho a supervisar los trabajos que se le han encomendado al AUDITOR dentro de este contrato. QUINTA: HORARIO DE TRABAJO EL AUDITOR dedicar el tiempo necesario para cumplir satisfactoriamente con los trabajos materia de la celebracin de este contrato, de acuerdo al programa de trabajo convenido por ambas partes. SEXTA: RELACIN LABORAL El personal del AUDITOR no tendr ninguna relacin laboral con EL CLIENTE y queda expresamente estipulado que este contrato se suscribe en atencin a que EL AUDITOR en ningn momento se considera intermediario del CLIENTE respecto al personal que ocupe para dar cumplimiento de las obligaciones que se deriven de las relaciones entre l y su personal, y exime al CLIENTE de cualquier responsabilidad que a este respeto existiere. SEPTIMA: PLAZO DE TRABAJO EL AUDITOR se obliga a terminar los trabajos sealados en la clusula segunda de este contrato en cuarenta y cinco (45) das hbiles despus de la fecha en que se firme el contrato y sea cobrado el anticipo correspondiente. El tiempo estimado para la terminacin de los trabajos est en relacin a la oportunidad en que EL CLIENTE entregue los documentos requeridos por EL AUDITOR y por el cumplimiento de las fechas estipuladas en el programa de

42

trabajo aprobado por las partes, por lo que cualquier retraso ocasionado por parte del personal del CLIENTE o de usuarios de los sistemas repercutir en el plazo estipulado, el cual deber incrementarse de acuerdo a las nuevas fechas establecidas en el programa de trabajo, sin perjuicio alguno para EL AUDITOR.

________________________________ Mara Violeta Bances Santamara DNI: 46448381

________________________________ Ing. David E. Tenorio Mora DNI:

43

ANEXO N 03: CUESTIONARIO SIMPLIFICADO DE ACCIONES

N 1

PREGUNTA COMPLEMENTARA SI Para el diseo y construccin del CSI de la empresa se ha tomado en cuenta normas y polticas de seguridad y salud en el trabajo?

NO

N/A

Existe una norma dentro de la empresa que apruebe al CSI dentro de la estructura organizacional? Se conoce de esta estructura organizacional empresa? cableado dentro de la la los X X X

El

permite de

organizacin servidores? 5 6

correcta

equipos dentro de la sala de

El CSI da hacia el exterior? El material con el que est

construido el CSI es confiable y seguro? 7 El Sistema Operativo est en funcin de los requerimientos de los usuarios? 8 Se cuenta con una salida extra a parte de la principal dentro del CSI? 9 Se han establecido normas y procedimientos de seguridad para X X

44

la

resolucin

de incidentes

de

seguridad fsica?

45

Cuenta 10

con

los

planos

de X

instalacin elctrica de la sala de Servidores? Se encuentra ubicado el CSI X dentro de la estructura de su empresa? El CSI Administra sus equipos y el suministro de energa de acuerdo a normas y reglamentos de seguridad y salud establecidos? Se ha determinado un CSI para el resguardo de los equipos de TI bajo normas y polticas de seguridad? Podemos identificar cules son cables positivos y negativos para una mejor identificacin de fallas de los equipos de TI dentro del CSI? Los cables de los equipos de TI estn dentro de canales elctricos en el CSI? La temperatura a la que trabajan los equipos de TI es la apropiada de acuerdo a los lineamientos de seguridad bajo los cuales se rige? Existe documentos para X establecer los derechos de acceso del usuario? Se han establecido el tipo de seguros ante una eventual prdida X X

11

12

13

14

15

16

17

18

46

que tenga el CSI? 19 Al tomar la decisin de respaldo, lo hacen inmediatamente? Se cuenta con una salida de emergencia dentro del CSI? Existen sealamientos que hagan 21 visibles a la salida de emergencia en el CSI? El 22 CSI de la empresa se X encuentra en un lugar altamente transitado? Se han incluido los derechos de la propiedad mantenimiento, 23 procedimientos de intelectual, garantas, arbitraje y X X X X

20

condiciones para la actualizacin que incluyen la seguridad, custodia y derechos de acceso? 24 Cuenta con aire acondicionado dentro del CSI? La 25 ubicacin es la del aire X acondicionado dentro del CSI? Usted cree que la temperatura a la 26 que trabaja el aire acondicionado es el apropiado dentro del CSI? Existe 27 algn otro medio del de aire X ventilacin aparte X adecuada X

acondicionado dentro del CSI?

47

Se han establecidos medidas de seguridad fsica para asegurar el 28 cumplimiento de las operaciones crticas de TI que se realizan dentro del CSI? Se determina con precisin el procedimiento a seguir antes de 29 declarar la situacin de emergencia, as como las personas que, en su caso, deben efectuar dicha declaracin? Estn contemplados 30 posibles de la y sucesos de razonablemente definidos que los X pudieran que se X X

ocurrir y las situaciones, diferentes normalidad, pudiesen dar? Se implementan y se mantienen actualizadas medidas tcnicas y procedimientos establecer usuario? Sea realizado un anlisis de la rentables, identificacin para del

31

32

riesgos y se ha determinado la prioridad a los recursos y funciones

48

ms crticos para la organizacin? Se determina con precisin el procedimiento a seguir antes de 33 declarar la situacin de emergencia, as como las personas que, en su caso, deben efectuar dicha declaracin? 34 La gerencia aprueba documentos del usuario para el acceso? Existe un equipo de direccin de la reanudacin y un responsable del 35 mismo para dirigir y coordinar las distintas actividades definidas copias que de durante la contingencia o desastre? Estn 36 sobre ficheros, unas normas de X seguridad X X X

estn

aprobadas,

actualizadas y se cumplen? El CSI garantiza que el Software 37 adquirido cumple con los intereses de la Organizacin? Existe actualizaciones del Plan si este lo requiere? Existe un registro de actualizaciones realizadas? Existen un establecimiento de X X

38

X X

39

40

plazos, motivo y responsables en lo

49

referente a las pruebas del plan?

Las 41

pruebas

se

realizan X

puntualmente dejando constancia documental y se corrigen los fallos detectados? Ante cambios significativos en los recursos de la empresa o en el

42

entorno en el que se encuentra, se realiza una actualizacin del Plan de Contingencia? Existen reconstruccin de medios de software ante una perdida? Existen contratos con proveedores y personal de manteniendo para compensar la prdida ante un fallo del CSI? La poltica de seguridad de la Empresa contempla la elaboracin y el mantenimiento de un Plan, as

43

44

45

como las medidas de salvaguarda que aseguran la fiabilidad, integridad y disponibilidad de la informacin? Se consideran aspectos en las aplicaciones existentes; como la eficiencia en el desempeo del sistema, la documentacin y los manuales de usuario?

46

50

Se toma en cuenta la informacin 47 necesaria de los datos de un sistema? Existe un Plan contingencia que 48 est formalizado por escrito y las para X X aprobado por la Direccin? Estn 49 actuaciones contempladas de respuesta X

recuperar la informacin y definidas segn un orden de prioridades? Al tomar la decisiones de proteger los datos de los sistemas se toman en cuenta la clasificacin de la informacin? El Sistema Operativo instalado es el apropiado para las actividades que realiza la empresa? Existe lugar suficiente en el CSI

50

51

52

que permite la libre distribucin de los equipos de TI? Se han planificado pruebas del

53

Plan

establecido y

los

plazos, de las

motivos mismas?

responsable

Se han definido e implementado 54 medidas de proteccin contra X factores ambientales?

51

Los incluyen 55

aspectos la

considerar de X

arquitectura

informacin de la organizacin y las aplicaciones existentes? Se consideran mecanismos de

56

autorizacin,

integridad

de

la

informacin y control de acceso para el control de las aplicaciones? Existe aspectos de consideracin en el control de las aplicaciones? El lugar donde se ubica el centro de cmputo que est pueda seguro poner de inundaciones, robo o cualquier otra situacin en peligro los equipos?

57

58

59

Se cuenta con alarma contra incendios dentro del CSI? Al tomar las decisiones de X proteger los datos de los sistemas se toman en cuenta la clasificacin de la informacin?

60

52

ANEXO N 04: CUESTIONARIO SIMPLIFICADO DE ACCIONES DE AUDITORIA FISICA

ELEMENTO DE AUDITORA INDICADOR ACCIN

PREGUNTA PRINCIPAL

PREGUNTA COMPLEMENTARA

SI

NO

N/A

Se ubicado dentro

encuentra el CSI de la X

estructura de su empresa?
Ubicacin del CSI PO4.4 Ubicacin Ubicar la funcin de TI organizacional de la dentro de la estructura funcin de TI

Existe una norma al CSI dentro de

dentro de la esta X X

organizacional

de la empresa que apruebe estructura organizacional? Se conoce estructura organizacional

dentro de la empresa? Definir y seleccionar Se

Elementos de Construccin DS12.1 Seleccin y los centros de datos determinado diseo del centro de fsicos para el equipo CSI datos

ha un el X para

de TI para soportar la resguardo de los estrategia de equipos de TI bajo 53

tecnologa ligada a la normas y polticas estrategia del negocio. de seguridad? el diseo y

Para

construccin del CSI de la empresa se ha tomado en cuenta trabajo? El material con el que est construido el CSI es X confiable y seguro? Existe lugar suficiente en el CSI que permite la libre distribucin de los equipos de TI? Se cuenta con una salida extra a parte de la principal dentro del CSI? X X normas y polticas de seguridad y salud en el X

54

El han de fsica de

CSI

da

hacia

el

exterior? Se establecidos medidas seguridad cumplimiento las

para asegurar el Definir e implementar

DS12.2 Medidas de medidas de seguridad Seguridad Fsica

operaciones

fsicas alineadas con los requerimientos del negocio.

crticas de TI que se realizan dentro del CSI? Se han establecido normas y procedimientos de seguridad para la resolucin de incidentes de seguridad fsica? X

Fluido Elctrico

DS12.5 Administracin instalaciones fsicas

Administrar
de instalaciones,

las El CSI Administra sus equipos y el de X

incluyendo el equipo suministro

55

de comunicaciones y energa de suministro

de

de acuerdo a normas

energa, de acuerdo y reglamentos de con las leyes y los seguridad y salud reglamentos, requerimientos tcnicos y del negocio, las especificaciones de del proveedor y los lineamientos seguridad y salud. El cableado permite la X organizacin correcta de los equipos dentro de la sala de servidores? Podemos identificar cules son cables positivos y X negativos para una mejor identificacin de fallas de los equipos de TI dentro del CSI? Los cables de los equipos de TI estn dentro en de el canales CSI? elctricos X los establecidos?

56

La temperatura a la que trabajan los equipos de TI es la apropiada de acuerdo a los lineamientos de X seguridad bajo los cuales se rige?

Cuenta con los planos de instalacin elctrica de la sala de Servidores? X

Se han definido e
Sistema Contra Incendios DS12.4 contra ambientales Proteccin Disear e Implementar implementado factores medidas de proteccin medidas

de contra

contra ambientales

factores proteccin factores

ambientales?

57

El lugar donde se ubica el Centro de Sistemas robo e o X Informtica est seguro de inundaciones, cualquier otra situacin que pueda poner en peligro los equipos? Se dispone de una alarma contra incendios dentro del CSI? Se cuenta con una salida de emergencia dentro del CSI? Existen sealamientos que hagan visibles a la salida X de emergencia en el CSI? El CSI de la empresa se encuentra en un lugar altamente transitado? con aire X X X X

Cuenta

58

acondicionado CSI? La ubicacin

dentro del es que

del aire la la X X

acondicionado cree

adecuada dentro del CSI? Usted temperatura a la que trabaja el aire acondicionado es el apropiado dentro del CSI? Existe algn otro medio de ventilacin aparte del aire acondicionado CSI? Los usuarios (internos, Se implementan externos y temporales) y
Control acceso de DS5.3 Administracin de identidad

dentro

del

se

mantienen X

deben identificables estar alineados

ser actualizadas de medidas tcnicas y con rentables, de establecer para la

manera nica y deben procedimientos necesidades

59

negocio

definidas

y identificacin de

del

documentadas y con usuario? requerimientos trabajo

Existe documentos para establecer los derechos de acceso del usuario? El Coordinador del CSI aprueba tomar las de documentos del X usuario para el acceso? Al X

Proporcionar negocio procedimientos

Medios proteccin de PO4.9 Propiedad de datos y de sistemas

al decisiones

los proteger los datos y de los sistemas se que le toman en cuenta la de informacin? los Al tomar la decisin de respaldo, lo hacen X inmediatamente? X

herramientas

permitan enfrentar sus clasificacin de la responsabilidades propiedad sobre

datos y los sistemas de informacin.

60

Se toma en cuenta la informacin Existe un Plan de contingencia est por escrito por que y la La poltica de seguridad de la Empresa contempla la elaboracin y el X mantenimiento de un Plan, as como las medidas de salvaguarda que aseguran la fiabilidad, integridad y disponibilidad informacin? de la X formalizado necesaria de X los datos de un sistema?

aprobado Direccin?
Plan de DS4.2 Planes continuidad de TI

Desarrollar planes de
de continuidad de TI con

Contingencia

base en el marco de trabajo

61

Estn razonablemente contemplados definidos posibles que ocurrir Centrar la atencin en

DS4.3 Recursos

y los

sucesos pudieran y las X

situaciones, diferentes de la de normalidad, que se pudiesen dar? Sea realizado un anlisis de riesgos y se ha determinado la prioridad a los recursos y funciones ms crticos para la organizacin? Se determina con precisin el procedimiento a seguir antes de declarar la situacin de emergencia, X X

los determinados

puntos como

crticos de TI

los ms crticos en el plan de continuidad de TI

62

as como las personas que, en su caso, deben efectuar dicha declaracin? Estn para segn contempladas las recuperar y un un orden equipo la de de

actuaciones de respuesta informacin prioridades? Existe direccin de la reanudacin y un responsable del mismo para dirigir y coordinar las distintas actividades durante la contingencia o desastre? Estn definidas unas X normas sobre copias de seguridad de ficheros, que estn aprobadas, actualizadas y se cumplen? X definidas X

63

Ante

cambios en

significativos

los recursos de la empresa o en el entorno en el que se encuentra, se

DS4.4 Mantenimiento Definir del plan continuidad de TI

ejecutar realiza de actualizacin Plan Contingencia?

una del de Existe actualizaciones del Plan si este lo requiere? Existe un registro de

de procedimientos

control de cambios

actualizaciones realizadas? Probar

DS4.5 de TI Pruebas del

el

plan

de Se

han

continuidad de TI de planificado forma regular que para pruebas del Plan y los establecido los asegurar ser X

plan de continuidad

sistemas de TI pueden plazos, motivos y recuperados de responsable de las

64

forma efectiva.

mismas?

Existen un establecimiento de plazos, motivo y X responsables en lo referente a las pruebas del plan? Las pruebas se realizan puntualmente corrigen detectados? Se Administrar
Seguros DS5.1 Administracin de la seguridad de TI

dejando X los fallos

constancia documental y se

han

la establecido el tipo de de TI al de seguros ante eventual X la prdida que tenga el CSI?

seguridad dentro

nivel ms apropiado una organizacin.

65

Existen reconstruccin de medios de software ante una perdida? Existen contratos con para X proveedores y personal de manteniendo un fallo del CSI? compensar la prdida ante

66