UNIVERSIDAD NACIONAL “PEDRO RUIZ GALLO”

FACULTAD DE CIENCIAS FÍSICAS Y MATEMÁTICA ESCUELA PROFESIONAL DE COMPUTACION E INFORMÁTICA

“AUDITORIA DE LOS SISTEMAS INFORMÁTICOS DE LA ESCUELA DE POSTGRADO DE LA UNIVERSIDAD NACIONAL PEDRO RUIZ GALLO”

TESIS
presentado para optar el titulo profesional

INGENIERO EN COMPUTACION E INFORMATICA

AUTOR BACHILLER VICTOR CARLOS QUIÑONES RADO.

ASESOR ING. Mg. SC. PEDRO FIESTAS RODRIGUEZ.

LAMBAYEQUE – PERÚ 2008

1

INTRODUCCION
Mediante la presente investigación he intentado determinar los diferentes problemas que se presentan en la Unidad de Informática de la Escuela de Postgrado de la Universidad Nacional "Pedro Ruiz Gallo", ese trabajo lo he realizado aplicando una Auditoria Informática.

La importancia de nuestro trabajo estriba en que al haber observado que la Escuela de Postgrado de la Universidad Nacional "Pedro Ruiz Gallo" ha ido incrementado sus Sistemas informáticos, lo cual es una necesidad y exigencia de los tiempos de Globalización, para conseguir más eficiencia y eficacia en los procesos de Gestión.

Al hacer el estudio se ha detectado una serie de problemas por falta de control en los Sistemas Informáticos, así tenemos:

1. Existencia de pérdida de información confidencial existente en la Escuela de Postgrado por falta de control de acceso a la Unidad de Informática de la Escuela de Postgrado.

2. Se producen deterioros de los equipos informáticos a manos de los usuarios, debido a que desconocen el reglamento de uso de equipo informáticos dentro de la Unidad de Informática de la Escuela de Postgrado.

3. No existen medidas de prevención de catástrofes, dentro de la Unidad de Informática de la Escuela de Postgrado, por ejemplo, faltan equipos contra incendios

4. He constatado la desactualización del personal encargado de la conducción de la Unidad de Informática de la Escuela de Postgrado;

2

acarreando un deficiente servicio y no detectar a tiempo fallas producidas en los equipos informáticos.

5. El MOF (Manual de Organización y Funciones) no contempla en forma detallada las responsabilidades del personal que labora en la Unidad de Informática de la Escuela de Postgrado, ello genera irresponsabilidad en la conducción de la Unidad de Informática, como dar acceso a la información a personas ajenas a la Unidad de Informática.

6. Retrazo en la gestión de soluciones que ocasionan pérdidas económicas por transacciones inconclusas, pérdida o deterioro de los archivos de inventario o de otra información.

Frente a esta problemática es que planteamos algunas recomendaciones como las siguientes:

1. Establecer en el Manual de Organización y Funciones de la Escuela de Postgrado las funciones que le compete a la Unidad de Informática y que se instruya adecuadamente al personal a cargo de esta Unidad de Informática.

2. Hacer convenio con la Escuela de Ing. Computación e Informática y la Escuela de Ing. Sistemas de la Universidad Nacional Pedro Ruiz Gallo para la capacitación y actualización permanente del personal y mejorar el servicio que brinda la Unidad de Informática de la Escuela de Postgrado.

3. La Escuela de Postgrado debe invertir en mejorar su sistema informático y utilizarlo en toda su capacidad ofreciendo mejores servicios a sus alumnos.

3

). 4 . Elaborar. Adquirir las licencias de uso de Software. robos. Implementar un plan de medidas de contingencia ante posibles desastres en su Sistema Informático y respaldarlos con la adquisición de seguros contra todo riesgo (incendios. 7.4. 6. etc. con participación activa de los involucrados en el manejo de la Unidad de Informática. de un Plan Estratégico para el funcionamiento y uso eficiente y eficaz del Sistema Informático de la Unidad de Informática de la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo. Realización de un inventario de la totalidad del Hardware y Software existentes en la Unidad de Informática y organizándolo por necesidades. 5.

PLAN DE INVESTIGACION 2. Aceptamos el cambio en nombre del desarrollo del progreso. comienza a difundirse de manera persistente la versión actual de un mundo global. obliga a revisar los paradigmas imperantes del papel de la educación en general y de la educación superior en particular. en el progreso de las naciones. Dentro de este contexto el gran desafío que debe enfrentar nuestro país es cómo insertarse de manera competitiva en un mundo cada vez más globalizado. SITUACION PROBLEMATICA PLANTEAMIENTO DEL PROBLEMA Al inicio de la década de los 90. los cuales se refieren sobre todo al ritmo del uso adecuado del conocimiento acelerado a partir de la Revolución Industrial del siglo XVII. pero no podemos evitar un sentimiento de temor (Flores.0.1. impactadas por los avances tecnológicos y los nuevos materiales.II. 2. El enfoque y el impacto de la globalización han trastocado la visión del mundo. sustentado en el conocimiento y hacia dónde deben orientarse nuestros esfuerzos académicos e investigativos en el campo de la Informática. la Revolución de la Productividad del siglo XIX y la Revolución de la Administración del conocimiento. 1998). al asumir patrones de comportamiento socio cultural a imagen y semejanza de las naciones más desarrolladas. 5 . se trata de una nueva etapa del desarrollo. han obligado a entrar en un inusual espiral de cambios. Los cambios ocurridos en la estructura y las sociedades mundiales durante esa década. La globalización ha afectado para bien o para mal a las culturas dependientes que lenta pero sostenidamente van perdiendo su identidad.

la que cohesiona a individuos alrededor de logros comunes. un elemento imprescindible en la acumulación de conocimiento. Está tan penetrada en la actividad productiva y social de los habitantes de las regiones más pobladas de la tierra. Fue desarrollado en la década de los 40's por el matemático norteamericano Claude Shannon. Según lo manifiesta Lara Figueroa: “La informática. Utilizar la informática. logrará reafirmar su identidad social y cultural y le permitirá compartir con otros hombres de cualquier parte del orbe y del planeta. que en estos momentos finales del siglo XX. lo de culturan. en las grandes ciudades. para 6 . Pero si el hombre utiliza estos mismos canales para dar a conocer sus propios logros culturales. la cual ya no sólo es cerebral. La informática es. no es más que una etapa en el largo proceso de la internacionalización cultural (Romero. pues es el vehículo que permite afianzar las raíces de nacionalidad y pertenencia. a través de las supercarreteras de información y de Internet. es válido y necesario. las tradiciones populares y la cultura popular heredada por el proceso histórico. hoy por hoy. obviamente. en el afán de afianzar la identidad social de un país como Perú. como hombre y sociedad. sino a través del computador.Como reflexión podemos decir. que se ha constituido en una nueva cultura en el mundo modernamente tecnificado de hoy.2001). De tal manera. homologan el sentir del hombre. pero tampoco es la causa única de los mismos. que la globalización no es de lejos la panacea de los males que aquejan al mundo contemporáneo. pues. sus especificidades culturales y su capacidad creadora”. El concepto de información es muy reciente y además sumamente sencillo. es la única fuente confiable de identidad social e identidad individual. es decir.

A finales del siglo XX. muy importante. a condición de que quien la reciba pueda interpretarla. Procesar información implica el almacenamiento. la organización y. Así. Más adelante veremos como sus orígenes se remontan a los de la humanidad. La información puede entonces encontrarse y enviarse en muchas formas. en términos generales. los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial. podemos decir que son dos sus pilares: la computación y la comunicación. la informática es el producto del encuentro de dos líneas tecnológicas: el de las máquinas de comunicar y el de las computadoras. Para ello. Si bien el término Informática surgió hace poco más de medio siglo. los Sistemas de Información de la empresa. 7 . cuando ves una película. en lo que hoy conocemos como informática confluyen muchas de las técnicas y de las máquinas que el hombre ha desarrollado a lo largo de la historia para apoyar y potenciar sus capacidades de memoria. intercambian información. de pensamiento y de comunicación. cuando el propio Shannon desarrolló la Teoría de la Información. cuando dos personas hablan.referirse a todo aquello que está presente en un mensaje o señal cuando se establece un proceso de comunicación entre un emisor y un receptor. la transmisión de la misma. Sintetizando. es más. apostado en los terrenos de la lógica matemática y los albores de la computación moderna. en la informática intervienen varias tecnologías. es decir. recibes información. al probar una galleta tu sentido del gusto recaba información sobre el sabor y la consistencia del bocado.

El término de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. debido a su importancia en el funcionamiento de una empresa. Es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección. pero no decide por sí misma. ya se habían detectado fallas. En consecuencia. A causa de esto. por lo tanto. Si consultamos el Boletín de Normas de auditoria del Instituto mexicano de contadores nos dice: “La auditoria no es una actividad meramente mecánica que implique la aplicación 8 . ayuda a la toma de decisiones. existe la Auditoria Informática. las organizaciones informáticas forman parte de lo que se ha denominado el “management” o gestión de la empresa. “En un principio esta definición carece de la explicación del objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia”. una entidad. antes de realizarse la auditoria. y por eso las normas y estándares propiamente informáticos deben estar. un organismo. sometidos a los generales de la misma. Cabe aclarar que la Informática no gestiona propiamente la empresa.La Informática hoy. Por ende. El concepto de auditoria es mucho más que esto. se ha tomado la frase “Tiene Auditoria” como sinónimo de que. que se refiere a todo aquel que tiene la virtud de oír. La palabra auditoria proviene del latín auditorius. Por otra parte. y de esta proviene la palabra auditor. en dicha entidad. está subsumida en la gestión integral de la empresa. etc.

ya que una Universidad. que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo. El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos. una vez llevado a cabo son de carácter indudable”.de ciertos procedimientos cuyos resultados. De todo esto sacamos como deducción que la auditoria es un examen crítico pero no mecánico. se debe entender a la empresa en su más amplio sentido. Claro está. 9 . Los principales objetivos que constituyen a la auditoria Informática son el control de la función informática. que para la realización de una auditoria informática eficaz. un Ministerio o un Hospital son tan empresas como una Sociedad Anónima o empresa Pública. el análisis de la eficiencia de los Sistemas Informáticos que comporta. Todos utilizan la informática para gestionar sus “negocios” de forma rápida y eficiente con el fin de obtener beneficios económicos y de costes.

10 . que es una necesidad y exigencia de los tiempos de globalización.3. para conseguir mas Eficiencia y Eficacia en los procesos de Gestión.2.2. pero para ello se tiene que tener en cuenta el uso adecuado y en toda su capacidad de estos sistemas. FORMULACION Y DELIMITACION DEL PROBLEMA 2.2.1 FORMULACIÓN: ¿En qué medida una Auditoria de los Sistemas Informáticos instalados en la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo mejorará el uso de estos Sistemas Informáticos en beneficio de sus usuarios y de la institución? 2.2 DELIMITACIÓN DEL PROBLEMA: ¿En qué medida la aplicación de una Auditoria Informática de los Sistemas Informáticos de la Unidad de Informática de la Escuela de Postgrado de la Universidad Nacional “Pedro Ruiz Gallo” mejorará el servicio que dan a sus alumnos? 2. JUSTIFICACION E IMPORTANCIA DEL ESTUDIO Al haber observado que la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo ha ido incrementando sus Sistemas Informáticos.2.

4 OBJETIVOS 2.4.  Elaborar la propuesta para el mejor uso de la capacidad instalada de los Sistemas Informáticos de la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo.2.  Delinear los elementos de la Auditoria de los Sistemas Informáticos. OBJETIVOS ESPECIFICOS El presente proyecto de investigación persigue los siguientes objetivos:  Determinar la capacidad de los Sistemas Informáticos de la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo.  Aplicar los lineamientos de Auditoria a los Sistemas Informáticos de la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo.1 OBJETIVO GENERAL Aplicación de una Auditoria Informática de los Sistemas Informáticos de la Unidad de Informática de la Escuela de Postgrado de la Universidad Nacional “Pedro Ruiz Gallo” 2.4. 11 .2.

1. no funcionaría. Como características globales de un sistema informático podríamos señalar las siguientes:  Las propiedades o comportamiento de cada uno de los elementos del sistema influyen en las propiedades y funcionamiento del sistema completo. Al final de la descomposición se llegará al sistema informático elemental (un ordenador y su equipo lógico).1 SISTEMA INFORMÁTICO En términos genéricos se puede afirmar que el sistema informático es un conjunto de elementos interrelacionados entre sí y relacionados a su vez con el sistema global en que se encuentra. ya que si se dividiera perdería alguna de sus propiedades esenciales. 12 . de subsistemas que son sistemas informáticos por sí mismo. Habrá que determinar en que sentido y nivel de descomposición estamos hablando cuando nos referimos a un sistema informático. Los elementos constitutivos de un sistema informático serán físicos. que pretende conseguir unos fines determinados. Estructuralmente un sistema se puede dividir en partes pero. lógicos y humanos. a su vez. al menos.  Cada sistema informático se compone. funcionalmente es indivisible.III.  El tipo de influencia que ejerce cada elemento del sistema depende. un sistema informático sin alguno de sus componentes. MARCO DE REFERENCIA DEL PROBLEMA 3.1 MARCO TEÓRICO 3. del comportamiento de otro elemento. Así.

los ordenadores. el funcionamiento de un sistema informático no se mejora usando los mejores componentes físicos. Un sistema informático está compuesto por: a) Componente físico: que constituye el hardware del sistema informático que lo conforman.1. los periféricos y el sistema de comunicaciones.1 COMPONENTES Y FUNCIONAMIENTO GENERAL DE UN SISTEMA INFORMÁTICO. b) Componente lógico: que constituye el software del sistema informático y lo conforman. 3. tos programas. Normalmente. Por eso. el rendimiento de un sistema informático depende más de la relación y coordinación entre sus componentes que del funcionamiento de cada uno de ellos individualmente. las estructuras de datos y la documentación asociada El software se encuentra distribuido en el hardware y lleva a cabo el proceso lógico que requieren los datos. explotación). lógicos y humanos sino armonizando y coordinando efectivamente sus relaciones. implantación. 13 . c) Componente humano: constituido por todas las personas participantes en todas las fases de la vida de un sistema informático (diseño.1. Los componentes físicos proporcionan la capacidad y la potencia de cálculo del sistema informático. desarrollo. a veces. Este componente humano es sumamente importante ya que los sistemas informáticos están desarrollados por humanos y para uso de humanos. básicamente. básicamente.

lógicos y humanos) se encontraban centralizados en una sala de ordenadores a la situación actual en que los componentes del sistema se encuentran. se distribuyen los componentes físicos (y. Veamos estas fases más detenidamente:  En una primera fase. los recursos están totalmente centralizados. la estructura de un sistema informático genérico: El sistema informático ha evolucionado desde una primera situación en que todos los componentes del sistema (físicos. 14 . los humanos) del sistema.Veamos. La capacidad de proceso y almacenamiento sigue estando centralizada pero las entradas y salidas de datos se han distribuido físicamente (terminales "tontos" conectados a un equipo central). en ocasiones. gráficamente.  En una segunda fase. Este camino hacia la implantación progresiva de sistemas distribuidos ha pasado por diferentes fases y se puede considerar que aún no ha finalizado. normalmente. ampliamente distribuidos en diferentes lugares físicos. al inicio de la informatización de las organizaciones.

 En una tercera fase se distribuyen. que interaccionan con los mainframes 15 . - El segundo nivel en importancia es el de la Informática Departamental. del tipo de los mainframes y realiza los trabajos de la organización que necesiten mayores recursos. los componentes lógicos del sistema Las capacidades de proceso también se empiezan a distribuir pero no totalmente (terminales con cierta capacidad de proceso conectados a un equipo central). es decir. no existe un equipo central sino un conjunto de equipos interconectados que cooperan entre sí. en una organización vertical nos encontramos con varios niveles jerárquicos.  Por último. que soporta el Sistema General de Información de la organización. Por contra. del tipo de los miniordenadores. Los sistemas distribuidos pueden organizarse de forma vertical o jerárquica y de forma horizontal. en el que nos encontramos con ordenadores menos potentes. se llega al modelo más avanzado de informática distribuida en que tanto la capacidad de proceso como la capacidad de almacenamiento sé encuentran distribuidas en diferentes lugares. además. Este es el nivel de la Informática Corporativa. En una organización horizontal todos los equipos tienen la misma "categoría". entre los que podemos destacar: - El nivel más alto de la jerarquía lo forman tos equipos más potentes.

por redes locales de ordenadores. Actualmente. constituido por los microordenadores o estaciones de trabajo que interactúan con los ordenadores de los niveles superiores a través de redes de comunicaciones. - El último nivel de la jerarquía es el de la informática Personal. los miniordenadores de este nivel son sustituidos. 16 . cada vez con más frecuencia. Los ordenadores de este nivel suelen disponer de herramientas especializadas para el trabajo personal.del nivel superior y con los ordenadores del nivel inferior.

3. normas y procedimientos que especifican las interrelaciones que deben existir entre los componentes de un sistema informático y las características que deben cumplir cada uno de estos componentes. En la década de los 80 aparecieron los conceptos de máquina departamental y de ordenador personal y se desarrolló el concepto de proceso distribuido con una arquitectura en tres niveles: - Mainframes: ordenadores centrales donde se encontraban las aplicaciones corporativas. No se tratarán las distintas arquitecturas de un ordenador sino sólo cómo los distintos tipos de ordenadores que pueden existir en un sistema informático pueden ser dispuestos para satisfacer las necesidades de una organización. TIPOS DE ARQUITECTURAS DE LOS SISTEMAS INFORMÁTICOS Es un conjunto determinado de reglas. A finales de los 80 se avanza en tomo al concepto de proceso cooperativo. - Puestos de trabajo: conectados a los anteriores a través de una red (terminales inteligentes o tontos). la entrada de datos.2. . que trata de aprovechar el poder potencial de las estaciones de trabajo y de los PC sin 17 .Máquinas departamentales: donde se desarrollaban aplicaciones técnicas o científicas y.1.1. frecuentemente.

realizan funciones que pueden ser complejas.servidor. 3. en el que los elementos antes descritos trabajan como servidores. Atendiendo al criterio DE LOS SISTEMAS de las prestaciones que proporcionan los sistemas informáticos.1. A partir de este momento el mainframe aparece más como un nodo dentro de la red empresarial de información que como el núcleo central de todos los catos y aplicaciones y surge un nuevo concepto dé arquitectura que es el modelo cliente. tales como servidores de bases de datos o simples como servidores de impresión.Supercomputadores: equipos con gran capacidad de cálculo. éstos se pueden clasificar en: . Cada proceso esta formado por una pareja (petición y respuesta) donde la petición es el cliente y el servidor la respuesta. Suelen ser de tipo vectorial con varias CPU trabajando en paralelo.por ello sustituir los mainframes.3 CLASIFICACIONES INFORMÁTICOS. Se pretende hacerlos actuar no exclusivamente como terminales sino soportar parte del proceso que hasta ese momento era realizado por los ordenadores centrales y aprovechar de esa forma facilidades de edición y presentación de las herramientas de la estación de trabajo. es decir.1. Se utilizan frecuentemente en el entorno técnico científico y en 18 . Los equipos son conectados a través de una red por la que circulan procesos proporcionando la arquitectura las reglas por las que estos procesos son distribuidos.

Ordenadores profesionales.Ordenadores domésticos. mayores prestaciones. - Microordenadores: equipos monousuario con. miniordenadores y microordenadores es difícil de establecer. En este grupo podemos encontrar. - Sistemas grandes o mainframes: equipos caracterizados por dar soporte a grandes redes de comunicaciones con multitud de usuarios. Además. 19 . . - Sistemas medios o miniordenadores: equipos con capacidad para soportar cientos de usuarios pero a un coste inferior al de tos sistemas grandes. cada vez.Ordenadores personales. no existen límites claros entre los miniordenadores más potentes y los mainframes más pequeños y los criterios para clasificar un sistema en uno u otro tipo varían con el tiempo. - Estaciones de trabajo: equipos monousuarios muy potentes con gran Las velocidad de y elevadas más prestaciones.la realización de simulaciones. Se llega a elevadísimas prestaciones en la velocidad de proceso. . . así por ejemplo un microordenador muy potente trabajando en un entorno multiusuario puede convertirse en miniordenador. estaciones trabajo modernas suelen ser de tecnología RISC. Hay que tener presente que la diferencia entre los mainframes.

1. en Inglaterra durante el reinado de Eduardo I. que involucre los distintos procesos y propósitos que están presentes en las organizaciones.3. no obstante.1. 3. Antecedentes La auditoria es una de las aplicaciones de los principios científicos de la contabilidad.2 AUDITORIA En la teoría administrativa. el concepto de eficiencia ha sido heredado de la economía y se considera como un principio rector.1. todavía. Sin embargo al llevar a cabo una evaluación simplemente a partir de los criterios de eficiencia clásico. para observar su exactitud. La evaluación del desempeño organizacional es importante pues permite establecer en qué grado se han alcanzado los objetivos. pues la evaluación se reduce a ser un instrumento de control coercitivo de la dirección para el resto de los integrantes de la organización y solo mide los fines que para aquélla son relevantes. Por tanto se hace necesario una recuperación crítica de perspectivas y técnica que permiten una evaluación integral. se reduce el alcance y se sectoriza la concepción de la empresa. Acreditase. basada en la verificación de los registros patrimoniales de las haciendas. ello se logra con la auditoria. que casi siempre se identifican con los de la dirección.2. es decir. además se valora la capacidad y lo pertinente a la practica administrativa. teniéndose conocimientos de su existencia ya en las lejanas épocas de la civilización sumeria. que el termino auditor evidenciando el titulo del que practica esta técnica. 20 . Su importancia es reconocida desde los tiempos más remotos. apareció a finales del siglo XVIII. así como la potencialidad de la acción participativa humana. este no es su único objetivo.

pasando a atender las necesidades creadas por la aparición de las grandes empresas (donde la naturaleza es el servicio es prácticamente obligatorio). 1. de Venecia (Italia). imprimió nuevas direcciones a las técnicas contables. 21 . La revolución industrial llevada a cabo en la segunda mitad del siglo XVIII. una importante asociación cuida las normas de auditoria. El futuro de nuestro país se prevé para la profesión contable en el sector auditoria es realmente muy grande. en tanto otros consolidaron las diversas normas en diciembre de 1. También en los Estados Unidos de Norteamérica. marzo de 1. la cual publicó diversos reglamentos. poco después de penetrar la contabilidad de los dominios científicos y ya el "Railway Companies Consolidation Act" obligada la verificación anual de los balances que debían hacer los auditores.En diversos países de Europa.941. Se preanuncio en 1. en nuestro circulo de enseñanza cátedra para el estudio de la materia.581. Londinenses entre consejos (Inglaterra).310.939. durante la edad media. de ejecuta ellas funciones los de que se auditorias. en 1.939. el Colegio de Contadores. de los cuales el primero que conocemos data de octubre de 1. junio de 1942 y diciembre de 1. incentivando el aprendizaje y asimismo organizarse cursos similares a los que en otros países se realizan.845 o sea. especialmente a la auditoria. muchas eran encargaban destacándose las asociaciones profesionales.943. razón por la cual deben crearse.

2.1. la auditoria se limitó a las verificaciones de los registros contables. el campo de acción de la auditoria ha continuado extendiéndose.2. Es la revisión misma de los registros y fuentes de contabilidad para determinar la racionabilidad de las cifras que muestran los estados financieros emanados de ellos. Tomando en cuenta los criterios anteriores podemos decir que la auditoria es la actividad por la cual se verifica la corrección contable de las cifras de los estados financieros. El auditor observa la exactitud. la auditoria es el examen de las demostraciones y registros administrativos". registros y documentos. dedicándose a observar si los mismos eran exactos. 22 . escribe Holmes: ". Y. observar la veracidad y exactitud de los registros. o sea. no obstante son muchos los que todavía la juzgan como portadora exclusiva de aquel objeto remoto. esta era la forma primaria: Confrontar lo escrito con las pruebas de lo acontecido y las respectivas referencias de los registros. Definiciones Inicialmente. Con el tiempo. integridad y autenticidad de tales demostraciones..3.. En forma sencilla y clara. por lo tanto.

Para eilo la Auditoria les proporciona análisis. b. Prevenir los errores y fraudes. 5. asesoría e información concerniente a las actividades revisadas. Descubrir errores y fraudes. Estudios generales sobre casos especiales.2. 2. por si solos. 4. 23 . Podemos escribir los siguientes: 1. c. entre otros. 3. Exámenes de aspectos fiscales y legales. lndagaciones patrimonial. Examen para compra de una empresa patrimonial). evaluaciones.2. (cesión Los variadísimos fines de la auditoria muestran.3 Objetivo El objetivo de la Auditoria consiste en apoyar a los miembros de la empresa en el desempeño de sus actividades.1. y determinaciones sobre el estado y determinaciones sobre los estados 3. lndagaciones y determinaciones sobre el estado reditual. lndagaciones financieros. Finalidad Los fines de la auditoria son los aspectos bajo los cuales su objeto es observado. tales como: a.3. la utilidad de esta técnica. Examen para la determinación de bases de criterios de prorrateo. recomendaciones.1. 6.4.

que obliga a los mismos a tener plena credibilidad en la información examinada. el control interno del mismo y formular sugerencias para su mejoramiento. 24 . pero las empresas generalmente requieren de la evaluación de su sistema de información financiero en forma independiente para otorgarle validez ante los usuarios del producto de este. expedientes y documentos y toda aquella información producida por los sistemas de la organización.2. Auditoria Externa del Sistema de Información Administrativo. Auditoria Externa del Sistema de Información Automático etc. por lo cual tradicionalmente se ha asociado el término Auditoria Externa a Auditoria de Estados Financieros. El dictamen u opinión independiente tiene trascendencia a los terceros. Auditoria Externa Aplicando el concepto general. sistemático y detallado de un sistema de información de una unidad económica.1. La Auditoria Externa examina y evalúa cualquiera de los sistemas de información de una organización y emite una opinión independiente sobre los mismos. pues puede existir Auditoria Externa del Sistema de Información Tributario. pues da plena validez a la información generada por el sistema ya que se produce bajo la figura de la Fe Pública. realizado por un Contador Público sin vínculos laborales con la misma. integridad y autenticidad de los estados.5 Clasificación de la Auditoria a. se puede decir que la auditoria Externa es el examen crítico.3. La Auditoria Externa o Independiente tiene por objeto averiguar la razonabilidad. utilizando técnicas determinadas y con el objeto de emitir una opinión independiente sobre la forma como opera el sistema. lo cual como se observa no es totalmente equivalente.

utilizando técnicas determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma. b. Bajo cualquier circunstancia. realizado por un profesional con vínculos laborales con la misma. sistemático y detallado de un sistema de información de una unidad económica. Auditoria Interna La auditoria Interna es el examen crítico. basándose en el hecho de que su opinión ha de acompañar el informe presentado al término del examen y concediendo que pueda expresarse una opinión basada en la veracidad de los documentos y de los estados financieros y en que no se imponga restricciones al auditor en su trabajo de investigación. estudios profesionales adecuados y una receptividad mental imparcial y razonable. 25 . juicio certero. Esta persona o firma debe ser capaz de ofrecer una opinión imparcial y profesionalmente experta a cerca de los resultados de auditoria. Estos informes son de circulación interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Publica. un Contador profesional acertado se distingue por una combinación de un conocimiento completo de los principios y procedimientos contables. Una auditoria debe hacerla una persona o firma independiente de capacidad profesional reconocidas.Una Auditoria Externa se lleva a cabo cuando se tiene la intención de publicar el producto del sistema de información examinado con el fin de acompañar al mismo una opinión independiente que le dé autenticidad y permita a los usuarios de dicha información tomar decisiones confiando en las declaraciones del Auditor.

los acreedores y el Público. La auditoria interna solo interviene en las operaciones y decisiones propias de su oficina. puesto que no puede divorciarse completamente de la influencia de la alta administración. la opinión de un experto desinteresado e imparcial constituye una ventaja definida para la empresa y una garantía de protección para los intereses de los accionistas. sino parecerlo para así obtener la confianza del Público. Por esto se puede afirmar que el Auditor no solamente debe ser independiente.Las auditorias internas son realizadas por personal de la institución. La auditoria interna es un servicio que reporta al más alto nivel de la dirección de la organización y tiene características de función asesora de control. por tanto no puede ni debe tener autoridad de línea sobre ningún funcionario de la empresa. Un auditor interno tiene a su cargo el control permanente de las transacciones y operaciones y se preocupa en sugerir el mejoramiento de los métodos y procedimientos de control interno que redunden en una operación más eficiente y eficaz. pero nunca en las operaciones y decisiones de la organización a la cual 26 . y aunque mantenga una actitud independiente como debe ser. para que la alta dirección torna las medidas necesarias para su mejor funcionamiento. a excepción de los que forman parte de la plana de la oficina de auditoria interna. ni debe en modo alguno involucrarse o comprometerse con las operaciones de los sistemas de la empresa. Cuando la auditoria está dirigida por Contadores Públicos profesionales independientes. pues su función es evaluar y opinar sobre los mismos. esta puede ser cuestionada ante los ojos de los terceros. La imparcialidad e independencia absolutas no son posibles en el caso del auditor interno.

mientras que en la Auditoria Externa la relación es de tipo civil. debido a su vinculación contractual laboral. En la Auditoria Interna el diagnóstico del auditor. pues corno se dijo es una función asesora. algunas de las cuales se pueden detallar así: En la Auditoria Interna existe un vínculo laboral entre el auditor y la empresa. en el caso de la Auditoria Externa este dictamen se destina generalmente para terceras personas o sea ajena a la empresa. Diferencias entre auditoria interna y externa: Existen diferencias substanciales entre la Auditoria Interna y la Auditoria Externa. esta destinado para la empresa. 27 . c.presta sus servicios. La Auditoria Interna está inhabilitada para dar Fe Pública. mientras la Auditoria Externa tiene la facultad legal de dar Fe Pública.

misión. objetivos. el auditor cuenta con un una serie de funciones tendientes a estudiar. analizar y diagnosticar la estructura y funcionamiento general de una organización. 3.3. 28 .1. políticas.  Captar la información necesaria para evaluar la funcionalidad y efectividad de los procesos.1. Funciones generales Para ordenar e imprimir cohesión a su labor.2. estrategias. planes y programas de trabajo.3.  Recabar y revisar estadísticas sobre volúmenes y cargas de trabajo.3 EL AUDITOR 3. Las funciones tipo del auditor son:  Estudiar la normatividad.3. alcance y metodología para instrumentar una auditoria. que se dedica a trabajos de auditoria habitualmente con libre ejercicio de una ocupación técnica.1 Definición Es aquella persona profesional. Definir los objetivos. funciones y sistemas utilizados.  Diagnosticar sobre los métodos de operación y los sistemas de información.1.   Desarrollar el programa de trabajo de una auditoria.

 Detectar los hallazgos y evidencias e incorporarlos a los papeles de trabajo. globalizadoras.  Proponer los elementos de tecnología de punta requeridos para impulsar el cambio organizacional.  Diseñar y preparar los reportes de avance e informes de una auditoria.  Respetar las normas de actuación dictadas por los grupos de filiación.  Analizar la distribución del espacio y el empleo de equipos de oficina.   Evaluar los registros contables e información financiera. en su caso.  Analizar la estructura y funcionamiento de la organización en todos sus ámbitos y niveles. Mantener el nivel de actuación a través de una interacción y revisión continua de avances.  Proponer los sistemas administrativos y/o las modificaciones que permitan elevar la efectividad de la organización. corporativos. Considerar las variables ambientales y económicas que inciden en el funcionamiento de la organización. sectoriales e instancias normativas y. 29 .   Revisar el flujo de datos y formas.

Académica Estudios a nivel técnico. Adicionalmente. c. Conocimientos que debe poseer Es conveniente que el equipo auditor tenga una preparación acorde 'con los requerimientos de una auditoria administrativa. ingeniería industrial. 30 . pedagogía. obtenida a lo largo de la vida profesional. informática. seminarios. derecho. contabilidad.3. pueden contemplarse siempre y cuando hayan recibido una capacitación que les permita intervenir en el estudio. Empírica Conocimiento resultante de la implementación de auditorias en diferentes instituciones sin contar con un grado académico. entre otros.3.por medio de diplomados. comunicación. y dominar él ó los idiomas que sean parte de la dinámica de trabajo de la organización bajo examen. relaciones internacionales y diseño gráfico. ciencias políticas. matemáticas. ya que eso le permitirá interactuar de manera natural y congruente con los mecanismos de estudio que de una u otra manera se emplearán durante su desarrollo. administración pública. psicología. deberá saber operar equipos de cómputo y de oficina. Complementaria Instrucción en la materia. licenciatura o postgrado en administración.1. relaciones industriales. Atendiendo a éstas necesidades es recomendable apreciar los siguientes niveles de formación: a. Otras especialidades como actuaría. ingeniería en sistemas. foros y cursos. b. ingeniería y arquitectura.3.

sin embargo es conveniente que. sea poseedor de las siguientes características:  Actitud positiva.También tendrán que tener en cuenta y comprender el comportamiento organizacional cifrado en su cultura. 31 .  Creatividad.3. teórica y/o práctica.  Mente analítica.  Conciencia de los valores propios y de su entorno. referidas a recursos personales producto de su desenvolvimiento y dones intrínsecos a su carácter. La expresión de estos atributos puede variar de acuerdo con el modo de ser y el deber ser de cada caso en particular. 3.  Capacidad de negociación.  Capacidad de observación.  Respeto a las ideas de los demás. quien se dé a la tarea de cumplir con el papel de auditor. el equipo auditor demanda de otro tipo de cualidades que son determinantes en su trabajo.4 Habilidades y destrezas En forma complementaria a la formación profesional.  Estabilidad emocional.1.  Objetividad.  Imaginación.  Sentido institucional. Una actualización continua de los conocimientos permitirá al auditor adquirir la madurez de juicio necesaria para él ejercicio de su función en forma prudente y justa.  Saber escuchar.  Claridad de expresión verbal y escrita.  Iniciativa.

3. ya que de ello depende en gran medida el cuidado y diligencia profesionales que se emplean para determinar el nivel de sus observaciones y sugerencias.6.5. Discreción.3. o Conocimiento derivado de la implementación de estudios organizacionales de otra naturaleza. debe de poner especial cuidado en:  Preservar la independencia mental.3. 3. Por la naturaleza de la función a desempeñar existen varios campos que se tienen que dominar: o Conocimiento de.1. o Conocimiento de las áreas adjetivas de la organización. inteligencia y criterio para determinar el alcance. así como evaluar los resultados y presentar los informes correspondientes.1. 32 . o Conocimiento personal basado en elementos diversos. Responsabilidad profesional El equipo auditor debe realizar su trabajo utilizando toda su capacidad. las áreas sustantivas de la organización.  Comportamiento ético.  Facilidad para trabajar en grupo. Para éste efecto. estrategia y técnicas que habrá de aplicar en una auditoria. o Conocimiento de esfuerzos anteriores · Conocimiento de casos prácticos. Experiencia Uno de los elementos fundamentales que se tiene que considerar en las características del equipo. es el relativo a su experiencia personal de sus integrantes.

Es conveniente señalar. 33 . Los segundos están relacionados con factores que limitan al auditor a llevar a cabo su función de manera puntual y objetiva como son:  Ingerencia externa en la selección o aplicación de técnicas o metodología para la ejecución de la auditoria. por que debe preservar su autonomía e imparcialidad al participar en una auditoria. financieros u oficiales con la organización que se va a auditar.  Ventajas previas obtenidas en forma ilícita o antiética. destacando las siguientes:  Vínculos personales.  Cumplir con las normas o criterios que se le señalen. corresponden a circunstancias que recaen específicamente en el auditor y que por su naturaleza pueden afectar su desempeño.  Relación con instituciones que interactúan con la organización.  Capacitarse en forma continua También es necesario que se mantenga libre de impedimentos que resten credibilidad a sus juicios.  Corresponsabilidad en condiciones de funcionamiento incorrectas. Los primeros. Realizar su trabajo sobre la base de conocimiento y capacidad profesional adquiridos.los órganos internos de control. que los impedimentos a los que normalmente se puede enfrentar son: personales y externos.  Interferencia con . profesionales.  Interés económico personal en la auditoria.

En estos casos. cumpliendo con sus encargos oportuna y eficientemente. Confidencialidad.. Recursos limitados para desvirtuar el alcance de la auditoria.. 5. Responsabilidad. Compromiso. Honestidad.No perder la dimensión de la realidad y el significado de los hechos. tiene el deber de informar a la organización para que se tomen las providencias necesarias.Observar una conducta profesional. el equipo auditor no debe olvidar que la fortaleza de su función está sujeta a la medida en que afronte su compromiso con respeto y en apego a normas profesionales tales como: 1.Aceptar su condición y tratar de dar su mejor esfuerzo 'con sus propios recursos. 7. 4. 6. evitando formular juicios o caer en omisiones. Finalmente. evitando aceptar compromisos o tratos de cualquier tipo. 2. Integridad. 34 .  Presión injustificada para propiciar errores inducidos.Preservar sus valores por encima de las presiones.. Equilibrio..Mantener una visión independiente de los hechos. Objetividad. que alteren de alguna manera los resultados que obtenga.Conservar en secreto la información y no utilizarla en beneficio propio o de intereses ajenos.. 3..Tener presente sus obligaciones para consigo mismo y la organización para la que presta sus servicios..

Criterio..... 12. Institucionalidad.No involucrarse en forma personal en los hechos.Ser propositivo e innovador en el desarrollo de su trabajo.. 35 . 11. 10. 9. Iniciativa. Creatividad.No olvidar que su ética profesional lo obliga a respetar y obedecer a la organización a la que pertenece.Asumir una actitud y capacidad de respuesta ágil y efectiva.8. Imparcialidad. conservando su objetividad al margen de preferencias personales.Emplear su capacidad de discernimiento en forma equilibrada.

2. con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos. a fin de evaluar el comportamiento. 3.1.4.4.1. los registros y las operaciones correspondientes.4 AUDITORIA DE SISTEMAS DE INFORMACIÓN 3.4.1.2. administrativo.1 Definición de Auditoria Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente. operacional o de sistemas. evidencias sobre las afirmaciones relativas a los actos y eventos de carácter económico. 36 . 3.1 Auditoria Financiera La Auditoria Financiera efectúa un examen sistemático de los estados financieros.1.4.2 Auditoria operativa" "Un examen sistemático de las actividades de una organización (ó de un segmento estipulado de las mismas) en relación con objetivos específicos.3. señalar oportunidades de mejorar y generar recomendaciones para el mejoramiento o para potenciar el logro de objetivos ". para determinar la observancia de los principios de contabilidad generalmente aceptados. para luego comunicar los resultados a las personas interesadas.1.2 Clasificación de Auditoria 3. de las políticas de la administración y de la planificación.

técnicas y procedimientos que se tienen establecidos en una institución para lograr confiabilidad. oportunidad. controles. 1.4. 3.3.1 Objetivos Específicos de la Auditoria de Sistemas Informáticos.2.  Cumplimiento de la metodología. La auditoria de los sistemas informáticos se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información.3 Auditoria de Sistemas Informáticos Se encarga de llevar a cabo la evaluación de normas. incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes. El objetivo final que tiene el auditor de sistemas informáticos es dar recomendaciones a la Dirección para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa. seguridad y confidencialidad de la información que se procesa a través de los sistemas informáticos. La auditoria de sistemas Informáticos es una rama especializada de la auditoria que promueve y aplica conceptos de auditoria en el área de sistemas de información. 37 .2. Participación en el desarrollo de nuevos sistemas:  Evaluación de controles.4.1.1.3.

preveer qué va a pasar si se presentan fallas. Opinión de la utilización de los recursos informáticos.2.  Programas utilitarios. 5. Evaluación de la seguridad en el área informática. Control de modificación a las aplicaciones existentes.  Control sobre la sistemas operativos.  Control a las modificaciones de los programas. 4. Evaluación de suficiencia en los planes de contingencia.  Respaldos. 3.  Fraudes. utilización de los 38 . Participación en la negociación de contratos con los proveedores.  Resguardo y protección de activos. 7. 6. Revisión de la utilización del sistema operativo y los programas  Utilitarios.

Auditoria de la red de teleprocesos.2.4.3. 3.1.3. 39 . Es el objetivo final de una auditoría de sistemas bien implementada.  Estructura sobre la cual se desarrollan las aplicaciones. Expresar la opinión sobre la eficiencia de las operaciones en el área de las Tecnologías de la Información. desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.2 Fines de la Auditoria de Sistemas Informáticos 1. son las mismas.8. 9. Fundamentar la opinión del auditor interno y/o externos de los sobre sistemas la de confiabilidad información.3 Similitudes y diferencias con la auditoría tradicional A. 2. Similitudes:  No se requieren nuevas normas de auditoría. 10.4. Desarrollo de software de auditoría. Auditoria de la base de datos. 3.1.2.

está en la evaluación del control interno. la adecuada segregación de funciones.  Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable. Diferencias:  Se establecen algunos nuevos procedimientos de auditoría. 40 . B.  Los propósitos principales del estudio y la evaluación del control contable interno son la obtención de evidencia para respaldar una opinión y determinar la base. Una diferencia significativa es que en algunos procesos se usan programas. mientras que el énfasis en los sistemas informáticos. Los elementos básicos de un buen sistema de control contable interno siguen siendo los mismos.  Hay diferencias en las técnicas destinadas a mantener un adecuado control interno contable. por ejemplo. oportunidad y extensión de las pruebas futuras de auditoría.  El énfasis en la evaluación de los sistemas manuales esta en la evaluación de transacciones.

3. son aquellos procesos que realizan las personas de acuerdo a su experiencias.5 Controles del computador.  Centros externos de procesamiento de datos. Metodologías.  3.  Transmisión y registro de la información en medios magnéticos.   Centralización.3.4. La Automatización de los Controles Manuales  Confiabilidad electrónica.  Almacenamiento en medios que deben acceder a través del computador mismo.  Dependencia externa. 41 .2.4 Aspectos del Medio Ambiente Informático que afectan el enfoque Procedimientos de la Auditoria y sus Complejidad de los Sistemas.4. Departamento de sistemas que coordina y centraliza todas las operaciones relaciones los usuarios son altamente dependientes del área de sistemas.   Uso de lenguajes.  Debilidades de las máquinas y tecnología. óptico y otros.1.3.2.1.

3.1.4.2.3.6 Razones para la existencia de la Auditoria de Sistemas Informáticos.

1. La información es un recurso clave en la empresa para:  Planear el futuro, controlar el presente y evaluar el pasado.

2. Las operaciones de la empresa dependen cada vez más de la sistematización

informática.

3. Los riesgos tienden a aumentar, debido a:  Pérdida de información.  Pérdida de activos.  Pérdida de servicios/ventas. 4. La sistematización representa un costo significativo para  La empresa en cuanto a: hardware, software y personal.

5. Los problemas se identifican sólo al final.

6. El permanente avance tecnológico.

42

3.1.4.2.3.7 Requerimientos del Auditor de Sistemas Informáticos

1. Entendimiento

global

e

integral

del

negocio, de sus puntos claves, áreas críticas, político. entorno económico, social y

2. Entendimiento del efecto de los sistemas en la organización.

3. Entendimiento de los objetivos de la auditoría.

4. Conocimiento

de

los

recursos

de

computación de la empresa.

5. Conocimiento sistemas.

de

los

proyectos

de

3.1.4.2.3.8 Riesgos asociados al área de los Sistemas Informáticos

Hardware  Descuido

o

falta

de

protección:

Condiciones inapropiadas, mal manejo, no observancia de las normas.  Destrucción.

Software:  Uso o acceso.  Copia, Modificación, Destrucción, Hurto.  Errores u omisiones.
43

 La Auditoria sobre el Software incide en evaluar lo concerniente al adecuado uso o acceso de los programas, la destrucción del Software ya sea por distintas causas' (golpe, incendio, etc.), Copias piratas, Modificaciones, el hurto de programas por personas ajenas a la Unidad de

Informática, errores que podría presentar el software.

Archivos:  Usos o accesos.  Copia, Modificación, Destrucción, Hurto.

Organización:  Inadecuada: no funcional, sin división de funciones.  Falta de seguridad.  Falta de políticas y planes.

Personal:  Deshonesto, Incompetente y descontento.

Usuarios:  Enmascaramiento, falta de autorización.  Falta de conocimiento de su función.

44

Los auditores de Sistemas de Información respecto al nivel mínimo de desempeño aceptable requerido para cumplir con las responsabilidades profesionales indicadas en el Código de Ética Profesional de ISACA. El desarrollo y difusión de los Estándares de Auditoría de Sistemas Informáticos son una piedra angular de la contribución profesional de ISACA a la comunidad de auditoría. 2.3. Los poseedores de la designación de Auditor Certificado de Sistemas de Información (Certified Information Systems Auditor. La estructura para los Estándares de Auditoría de Sistemas de Información brinda múltiples niveles de asesoramiento:  Los Estándares definen requisitos obligatorios para la auditoría y el reporte de Sistemas Informáticos Informan a: 1. La dirección y otras partes interesadas en las expectativas de la profesión con respecto al trabajo de sus profesionales.5 NORMAS GENERALES PARA LA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN La naturaleza especializada de la auditoría a los sistemas de información (SI).isaca.org) Systems es Audit and Control estándares Association. así como las destrezas necesarias para llevar a cabo tales auditorias. aplicables promover internacionalmente para cumplir con su visión. El incumplimiento de estos estándares puede resultar en una investigación de la conducta del poseedor del certificado CISA por parte de la Junta de Directores de ISACA o del comité 45 . Uno de los objetivos de la Asociación de Auditoría y Control de los Sistemas de Información (Information. www.1. requiere de estándares que aplican específicamente a la auditoría de Sistema de Información. 3. CISA) respecto a los requisitos que deben cumplir.

en última instancia.apropiado de ISACA y. 46 . El objetivo de los Procedimientos de Auditoría de SI es proporcionar mayor información con respecto a cómo cumplir con los Estándares de Auditoría de Sistemas de Información. pero no establecen los requisitos correspondientes. COBIT (Control Objectives for Information and related Technology / Objetivos de Control para tecnología de la información y relacionada). Los documentos sobre procedimientos proporcionan información sobre cómo cumplir con los estándares al realizar trabajos de auditoría de SI. es el modelo para el Gobierno de la Tecnología de la Información (TI) desarrollado por la Information Systems Audit and Control Association (ISACA) y el Information and related Technology Governance Information and related Technology. en sanciones disciplinarias. El objetivo de las Directrices de Auditoría de Sistemas de Información es proporcionar mayor información con respecto a cómo cumplir con los Estándares de Auditoria de Sistemas de Información. El auditor de Sistemas de Información debe considerarlas al determinar cómo lograr la implementación de los estándares. utilizar un buen juicio profesional en su aplicación y estar dispuesto a justificar cualquier desviación de las mismas.  Los Procedimientos proporcionan ejemplos de procedimientos que podría seguir un auditor de Sistemas de Información en el curso de un contrato de auditoría.  Las Directrices proporcionan asesoramiento en la aplicación de los Estándares de Auditoría de Sistemas de Información.

hacer público y promover un juego autoritario. Adquiere y Pone en práctica c. gestionar recursos y medir el desempeño. y usuarios se benefician del desarrollo de COBIT porque esto les ayuda a entender sus sistemas de Tecnologías de la Información y decidir el nivel de seguridad (valor) y control que es necesario para proteger el activo de sus empresas por el desarrollo de un modelo de gobernación de Tecnologías de la Información. desarrollar. apoya el alineamiento con el negocio y simplifica la implantación del COBIT. gerentes. b.Tiene 34 objetivos nivel altos que cubren 215 objetivos de control clasificados en cuatro dominios: a. entregar valor al negocio. Entrega y Apoya 1 d. identificar riesgos. Enfatiza el cumplimiento normativo. interventores. la eficacia y la eficiencia en las Tecnologías de Información que son necesarias para alinear las Tecnologías de la Información con el negocio. COBIT determina. Supervisa y Evalúa. Independientemente de la realidad tecnológica de cada caso concreto. internacional de objetivos de control aceptados e de tecnología el de información por generalmente directores para empleo " cotidiano Los comerciales interventores. ayuda a las organizaciones a incrementar el valor de las Tecnologías de Información. actualizado. 47 . un conjunto de mejores prácticas para la seguridad. la calidad. La misión COBIT es " para investigar. El plan y Organiza. con el respaldo de las principales normas técnicas internacionales.

así como para lograr sus expectativas. Prácticas de Control-Motivaciones prácticas y asesoramiento sobre "cómo implementar" los objetivos de control. COBIT incluye Objetivos de Control-Declaraciones genéricas tanto de alto nivel como detallado de un nivel mínimo de buen control. Tal como se define en el Marco Referencial de COBIT. "COBIT proporciona un conjunto detallado de controles y de técnicas de control para el entorno de administración/gestión de o sistemas de información. cada uno de los siguientes elementos está organizado de acuerdo con el proceso de administración/gestión de Tecnologías de la Información. por 10 tanto. la gerencia debe establecer un adecuado sistema de control interno. 48 . basándose en una referencia de estándares comúnmente comprendida y bien respetada. así como por los auditores de SI. la comunicación de las mejores prácticas y las recomendaciones que deben hacerse. COBIT está destinado para ser utilizado por la gerencia de la empresa y por la gerencia de Tecnologías de la Información. La selección del material más relevante en COBIT aplicable al alcance de la auditoria en particular se basa en la selección de procesos específicos de COBIT para Tecnologías de la Información. Los recursos de COBIT deben utilizarse como fuente de asesoramiento con respecto a las mejores prácticas. considerando además los criterios de información de COBIT. Para descargar esta responsabilidad.el cumplimiento de metas y el nivel de madurez de los procesos de la organización. El Marco Referencial de COBIT establece que: "Es responsabilidad de la gerencia salvaguardar todos los activos de la empresa. su utilización permite la comprensión de los objetivos del negocio.

métricas y factores críticos de éxito. enfocada específicamente en: a. Perfil del control de las Tecnologías de la Información ¿Cuáles procesos de las Tecnologías de la Información son importantes? ¿Cuáles son los factores críticos de éxito para el control? c. Medición del desempeño ¿Qué tan adecuadamente está apoyando la función de Tecnologías de la Información los requisitos del negocio? Las directrices gerenciales se pueden utilizar para apoyar talleres de autoevaluación. b. Benchmarking ¿Qué hacen los demás? ¿Cómo pueden medirse y compararse los resultados? 49 . como parte de un esquema de gobernabilidad de las Tecnologías de la Información. Directrices Gerenciales-Asesoramiento sobre cómo evaluar y mejorar el desempeño del proceso de Tecnologías de la Información. Proporcionan hacia un una marco continua de y referencia proactiva administrativo orientado autoevaluación del control. y también se pueden utilizar para apoyar a la gerencia en la implementación de procedimientos de monitoreo y mejora continuos. Concientización ¿Cuáles son los riesgos de no lograr los objetivos? d. evaluar cada control. evaluar el cumplimiento y sustanciar el riesgo de que los controles no se cumplan. utilizando modelos de madurez.Directrices de Auditoria-Asesoramiento para cada área de control sobre cómo obtener un entendimiento.

La publicación no debe considerarse como incluyente de cualquier procedimiento y prueba apropiado. La Junta de Estándares de ISACA tiene el compromiso de realizar consultas extensas al preparar los Estándares. y los indicadores claves de desempeño evalúan lo bien que están funcionando " los procesos. ISACA no hace declaración alguna de que el uso de este producto garantizará un resultado satisfactorio. el profesional de control debe aplicar su buen juicio profesional a las circunstancias de control específicas presentadas por el entorno particular de sistemas o de la tecnología 'de información. o excluyente de otros procedimientos y pruebas que estén dirigidos razonablemente para la obtención de los mismos resultados. ISACA ha definido este asesoramiento como el nivel mínimo de desempeño aceptable requerido para cumplir con las responsabilidades profesionales indicadas en el Código de Ética Profesional de ISACA. al medir los facilitadores del proceso. ayudando a que la gerencia pueda medir la capacidad de control y pueda identificar vacíos de control y determinar estrategias para su mejora. Los modelos y los atributos de madurez proporcionan evaluaciones de capacidad así corrió benchmarking. Para determinar la aplicabilidad de cualquier procedimiento o prueba específicos. Antes de emitir cualquier documento.Las directrices gerenciales proporcionan ejemplos de métricas que permiten la evaluación del desempeño de de las Tecnologías de la Información en términos del negocio. Los indicadores "claves de resultados identifican y miden los resultados de los procesos de las Tecnologías de la Información. la Junta de Estándares emite borradores de los mismos y los expone a 50 . las Directrices y los Procedimientos de Auditoría de Sistemas de Informáticos.

b. La Junta de Estándares también busca personas con pericia o interés especial en el tema bajo consideración para consultarlos. Planeación a.1443) o por correo (dirección al final del documento) a la Sede Internacional de ISACA.847. La Junta de Estándares tiene un programa de desarrollo permanente y agradece los comentarios de los miembros de ISACA y de otras partes interesadas para identificar temas emergentes que requieran estándares nuevos. por fax a (+1. Este material fue emitido el 15 de octubre de 2004. junto con la documentación relacionada.nivel internacional para recibir comentarios del público en general. cuando esto sea necesario. Toda sugerencia se deberá enviar por correo electrónico a (standards@isaca. 253. El propósito de esta Norma de Auditoria de SI es establecer normas y brindar asesoría sobre la planeación de una auditoría. identificados en letras en negrita. Los Estándares de Auditoría de SI de ISACA contienen los principios básicos y procedimientos esenciales.org). los cuales son obligatorios. Para la Auditoria de Sistemas Informáticos hay que tener en cuenta: A. a la atención del director de investigación de estándares y relaciones académicas. 51 .

El plan debe servir como marco de referencia para las actividades de auditoría y servir para abordar las responsabilidades establecidas por el estatuto de auditoría. los plazos y el alcance de los procedimientos' requeridos para completar la auditoría. para las actividades permanentes. El auditor de Sistemas Informáticos debe desarrollar un programa y/o plan de auditoría detallando la naturaleza. Para una función de auditoria interna. al menos una vez al año. El auditor de SI debe desarrollar y documentar un enfoque de auditoría basado en riesgos.B. El auditor de SI debe desarrollar y documentar un plan de auditoría que detalle la naturaleza y los objetivos de la auditoría. b. Comentario a. Estándar a. así como los recursos requeridos. 52 . C. en caso de que éste haya sido establecido. d. c. los plazos y alcance. las leyes aplicables y las normas profesionales de auditoría. debe desarrollarse/actualizarse un plan. El nuevo/actualizado plan debe ser aprobado por el comité de auditoría. El auditor de Sistemas Informáticos debe planear la cobertura de la auditoría de sistemas de información para cubrir los objetivos de la auditoria y cumplir con.

Para el caso de una auditoría externa de Sistemas Información. D. 53 . Fecha operativa a. En este momento. suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoria. f. El grado del conocimiento requerido debe ser determinado por la naturaleza de la organización. c. Esta Norma de Auditoría de Sistemas Informáticos está en vigencia para todas las auditorias de sistemas de información que comiencen a partir del 1 de enero de 2005. d. es posible establecer las estrategias de auditoría. su entorno y riesgos. sean o no de auditoría. y por los objetivos de la auditoria. El auditor de Sistemas Informáticos debe obtener un entendimiento de la actividad que está siendo auditada. normalmente debe prepararse un plan para cada una de las tareas. El auditor de Sistemas Informáticos debe realizar una evaluación de riesgos para brindar una garaf1tía razonable de que todos los elementos materiales serán cubiertos adecuadamente durante la auditoría. los niveles de materialidad y los recursos necesarios. Debe consultarse la siguiente documentación para obtener más información sobre la preparación de un plan de auditoría.b. El plan debe documentar los objetivos de la auditoría. e. El programa y/o plan de auditoría puede requerir ajustes durante el desarrollo de la auditoría para abordar las situaciones que surjan (nuevos riesgos.

54 .

sus instalaciones eléctricas y el cableado de la red.1. El Alcance de esta auditoria son:  Revisar las disposiciones y reglamentos que conlleven al mantenimiento orden dentro de la Unidad de Informática. robos. involucra la Unidad de Informática como también al personal que labora en ella.  Evaluar el equipo con el que se cuenta actualmente. Personas.6 AUDITORIA FISICA A) OBJETIVO El objetivo general de la auditoria física es evaluar la funcionalidad. catástrofes naturales. racionalidad y seguridad de los medios físicos. Instalaciones. etc. 55 .  Verificar el diseño arquitectónico de la edificación.3. Equipamiento y Telecomunicaciones Datos y B) ALCANCE La Auditoria Física que se está realizando en la Escuela de Postgrado perteneciente a la Universidad Nacional Pedro Ruiz Gallo. así como también comprobar la existencia de los mismos. sabotajes.  Verificar que el edificio e instalaciones de la Unidad de Informática contemplen las situaciones de incendios. así corno también la distribución de los departamentos de la Unidad de Informática. Estos medios son: Edificio.

 Analizar la existencia de medidas de evacuación. alarmas como detección de incendios y salidas alternativas. C) METODOLOGIA A UTILIZAR Las acciones que hemos empleado para el desarrollo de la auditoria física es: 1. o Este modelo de encuesta fue entregado a la persona encargada de la Unidad con la finalidad de obtener la opinión. (VER ANEXO Nº 02) o Definimos las preguntas que se iban a realizar en la encuesta por medio de un cuestionario check . Métodos: a) Observación Es un elemento fundamental de investigación que permite comprobar la veracidad de los datos y las entrevistas y otras implicancias relacionadas con la Auditoria Informática b) Encuesta La encuesta que se llevó a cabo nos proporcionó información sobre la existencia del inventario del equipo informático.list. Recopilación de la información. 56 . el control que se realiza con éstos y una relación de productos instalados en la unidad de informática.

c) Lectura de documentos fuentes 1. Elaboración del informe de auditoria física en el cual se reflejarán los problemas que atenten contra los daños físicos tanto del equipo informático como del personal así corno la seguridad de éstos. 4. dentro de la Unidad de Informática de la Escuela de Postgrado. Para recopilar datos sobre los equipos existentes en la Unidad de Informática como fue el Inventario de Hardware. Tratamiento de la información recopilada que comprende el análisis y evaluación de dicha información para detectar los problemas habidos y por haber. 2. Consultar a técnicos' y personas de experiencia casos que escapan a nuestro conocimiento. 3. 57 .

El término ofimática está definido como el sistema informático que se genera. procesa.3. en donde figuran todos los elementos físicos y lógicos de la instalación.7 AUDITORIA OFIMÁTICA. a. 58 . llevar eficientemente los recursos y aplicar adecuadamente los procedimientos y estándares establecidos. recupera. comunica y presenta datos relacionados con el funcionamiento de la oficina. Procesa. de conocimientos también se debe considerar. así como posibles interacciones con otras organizaciones. Almacena y Presenta Datos relacionados con el funcionamiento de la oficina con la finalidad de salvaguardar los activos. La gestión de recursos humanos ya sea capacitaciones o nivel.1. debe permitir intercambiar la información necesaria en los diversos procesos de la organización. El inventario de software debe contener todos los productos lógicos del sistema desde el software básico hasta los programas de utilidad adquiridos o desarrollados internamente. Es conveniente que en el inventario físico figuren igualmente las líneas disponibles con los datos fundamentales de cada una de ellas. Definición Evaluación del sistema informático que Genera. Durante los últimos años se ha incrementado la oferta de aplicaciones ofimática. mantener la integridad de los datos. En esta parte del estudio recabaremos información escrita de la empresa. almacena. debido principalmente al desarrollo de las comunicaciones. además de posibilitar la realización del trabajo personal de cada empleado. El entorno ofimática.

o Cambio de aplicaciones o versiones. Alcance La auditoria de la ofimática realizada a la Escuela de Postgrado Involucra a la Unidad de Informática. o Generación de copias de seguridad y la recuperación de la información. 59 . o Funcionamiento interrumpido de las aplicaciones. (Anexo Nº 03). d. o Infección de virus. Documentos Fuentes: Resumen de inventario del hardware con el que cuenta la Unidad de Informática. Objetivo El objetivo general dé la Auditoria Ofimática es evaluar la funcionalidad. o Copias ilegales. o Adquisición de equipos y aplicaciones.b. racionalidad y seguridad de las herramientas informáticas utilizadas en la Unidad de Informática de la Escuela de Postgrado: c. o Capacitación del personal y la documentación de apoyo. o Política de mantenimiento de los equipos. o Evaluación de equipos y aplicaciones para ver si se ajustan a las necesidades del estudio. El alcance de esta auditoria evalúa los siguientes aspectos: o El Inventario de ofimática. o Revisar las medidas de seguridad adoptadas en cuanto a aplicaciones se refiere.

. el control que se realiza con esta y una relación de productos instalados en la Unidad de Informática. Métodos Entrevista: La entrevista se ha llevado a cabo para la recopilación de datos que nos darán referencia de la situación ofimática actual de la Unidad de Informática.Definición con anterioridad de las preguntas para la entrevista.Metodología a utilizar: La metodología empleada que hemos utilizado para el desarrollo de la auditoria ofimática es: Recopilación de la Información. (Anexo Nº 4).e. Encuesta: La encuesta que se ha llevado a cabo nos proporcionó información sobre la existencia del inventario. Lectura de Documentos Fuentes: Para recopilar datos sobre los equipos existentes en la Unidad Informática y Multimedia nos hemos guiado del Inventario de Hardware.Solicitando la participación del Encargado de la Unidad de Informática Durante La Entrevista. (Anexo Nº 05). 60 . .

cuando se estructuran los recursos. Coordinar y Controlar. operativos y de los proyectos que se desarrollan. elaborando para ello los planes informáticos. los flujos informáticos y los controles que permitan alcanzar los objetivos trazados durante la planificación. todo ello dentro del respeto a la normativa legal aplicable. organizar.1. a) Definición: Estudio de las funciones que realiza el personal directivo como son: Planificar. Controlar. consiste en controlar y efectuar un seguimiento permanente de las actividades y vigilar el desarrollo de los planes estratégicos. a través del desarrollo y adecuación de los planes así como la adecuada 61 . Coordinar. de allí que la auditoria de la dirección se entiende como la gestión de la informática.8 AUDITORIA DE DIRECCION Toda organización es el reflejo de las características de su dirección. involucra la comunicación y entendimiento para debatir los grandes asuntos de la informática que afectan a toda la Institución y permite a los usuarios conocer las necesidades del conjunto de la organización y participar en las soluciones que planteen. Organizar. b) Objetivo Evaluar la gestión de la dirección de la institución. coordinar y controlar las actividades propias de] área en estudio con el fin de evaluar y brindar sugerencias para alcanzar los objetivos y metas ti azadas por la organización. abarcando las actividades básicas de todo proceso de dirección: Planificar. Organizar.3. Planificar. cuando se trata de prever la utilización de las tecnologías de la información en la Instrucción.

d) Documentos Fuentes:  Manual de Organización y Funciones de la Escuela de Postgrado. Planificar los requerimientos de tecnología de cada uno de los usuarios. Evaluar la comunicación entre el jefe de la Unidad y los empleados. Metodología de planificación. Normativa empresarial documentada. c) Alcance: La auditoria de la dirección realizada en la Unidad de Informática de la Escuela de Postgrado. Manual de Organización y funciones. contrato y finalización de un empleado. 62 .planificación de los Sistemas de Información para el procesamiento de los datos. Gestión de recursos humanos: selección. El alcance de esta auditoria involucra los siguientes aspectos:   Plan Estratégico de la Institución.   Las pólizas de seguro y evaluar su cobertura existente. Actualmente la Unidad de Informática no cuenta con:      Manual de Organización y funciones Pólizas de Seguro.  Asignación de recursos a las tareas y actividades presentes en el plan.    Descripción de los puestos de trabajo. Tecnologías Informáticas desde le punto de vista de su contribución de los fines de la Institución. evaluación del desempeño promoción del personal.

en el cual se solucionarán los problemas encontrados. Tratamiento de la información recopilada.e) Metodología a Utilizar: La metodología empleada en el desarrollo de al auditoria de la dirección es: Recopilación de Información Métodos ENTREVISTA: La entrevista se ha llevado a cabo para la recopilación de datos que nos darán referencias de la situación actual de gestión de dirección de la Unidad de Informática (ANEXO Nº 06). en el cual se reflejarán los problemas que atentan contra el normal funcionamiento de la gestión de la dirección en la empresa. Elaboración de un segundo informe de auditoria de dirección. Elaboración del informe de auditoria de la dirección. que comprende el análisis y la evaluación de dicha información para detectar los problemas habidos y por haber. 63 .

La estructura estándar de la planeación de proyectos deberá incluir la facilidad de asignar fechas predefinidas de terminación de cada tarea. mensual. 64 . omisiones antes de iniciar la codificación. operación y aceptación. metas. etc. El objetivo del control de diseño de sistemas y programación es asegurarse de que el sistema funcione conforme a las especificaciones funcionales. personal participante y tiempos. ETAPA DE PROGRAMACIQN Buscar la claridad. ambigüedades y omisiones en las especificaciones. a fin de que el usuario tenga la suficiente información para su manejo.) para evaluar el avance respecto a lo programado. debilidades. ETAPA DE DISEÑO Descubrir errores.9 AUDITORIA DE DESARROLLO Para tener una buena administración por proyectos se requiere que el analista o el programador y su jefe inmediato elaboren un plan de trabajo en el cual se especifiquen actividades. Las revisiones se efectúan en forma paralela desde el análisis hasta la programación y sus objetivos que son los siguientes: ETAPA DE ANÁLISIS Identificar inexactitudes. Este plan debe ser revisado periódicamente (semanal.3. modularidad y verificar con base en las especificaciones.1. Esta actividad es muy importante ya que el costo de corregir errores es directamente proporcional al momento que se detectan: si se descubren en el momento de programación será más alto que si se detecta en la etapa de análisis. las cuales tendrán diferentes niveles de detalle. Dentro de estas fechas debe estar el calendario de reuniones de revisión.

técnicas. 65 . b) ALCANCE Evaluar los diferentes procedimientos y técnicas utilizadas para el desarrollo de los sistemas de información de la escuela de Postgrado.  Establecimiento de un plan de capacitación  Establecimientos de normas y controles. estándares.a) OBJETIVO: Verificar la existencia y aplicación de procedimientos de control adecuados que permitan garantizar el desarrollo de sistemas de información y si se han llevado a cabo según los principios de Ingeniería del Software. metodologías.  Estudio de nuevos lenguajes. herramientas. c) METODOLOGÍA Conocer las tareas que se realizan en el área de desarrollo. algunas de las funciones son:  Planificación. Se procede a la auditoria. (Anexo N° 07). etc. la cual se subdivide en:   Auditoria de la organización y gestión del área de desarrollo Auditoria de proyectos de desarrollo de sistemas de información. o por el contrario determinar las deficiencias que existen al respecto y los riesgos asociados a estas carencias de control.  Desarrollo de sistemas.

proceso y salida. Las limitaciones del equipo auditor son:  Económicas.10 AUDITORIA DE BASE DE DATOS Todo sistema de información manipula datos. ha sido realizada en Unidad de Informática de la Escuela de Postgrado. los cuales pasan por tres fases determinadas las cuales son: ingreso. Esto nos demuestra que la base de datos es el corazón mismo del sistema y los datos es el recurso fundamental de las empresas. b. a.3. OBJETIVO El objetivo de esta auditoria consiste en verificar: o La existencia y aplicación de procedimientos de control adecuados para la integridad de la información de la base de datos de la institución. Los datos ingresados al sistema son almacenados en la base de datos previa validación. o La confidencialidad en la información almacenada en la base de datos.1. el auditor no ha podido. para los cuales se deben establecer ciertos controles que nos permitan asegurar su integridad y seguridad. debido a la inversión que requiere el contrato de personal especializado y mi condición de estudiante. "realizar de forma satisfactoria' esta auditoria. al realizar transacciones y/o operaciones se accede a dicha base para manipularlos a través de los procesos respectivos para luego actualizarlos o procesar la información que se desea obtener a través de un medio de salida. o La seguridad de la basé de datos existente. ALCANCE DE LA AUDITORIA La auditoria de la base de datos. ya 66 .

67 . 3. así como el tiempo que dispone la persona que elabora en dicha oficina. Recopilación de la información Métodos ENTREVISTA: La entrevista se ha llevado a cabo para la extracción de información que nos dará referencia de la situación actual del manejo de la base de datos. (Anexo Nº 9). ENCUESTA: Encuesta realizada a la personal encargado del desarrollo de la base de datos de la Unidad. Elaboración del Informe de auditoria de la Base de Datos En el presente informe se reflejarán los problemas que atenten contra el normal funcionamiento de la base da datos. es por ello que el auditor no pudo realizar las pruebas de verificación y corroboración de la información recibida.  Tiempo. Tratamiento de la información recopilada Comprende el análisis y la evaluación de dicha información para detectar los problemas habidos y por haber.que la información de evaluar una Base de datos elaborado en ACCESS no habría brindado mucha información. (Anexo Nº 8). c. 2. METODOLOGIA La metodología empleada para el desarrollo de la auditoria de la base de datos es: 1. debido a la carga académica de] auditor.

a. de la Escuela de Postgrado de la Universidad Pedro Ruiz Gallo. OBJETIVOS: Evaluar y Analizar la Red de la Unidad de Informática. y futuras. AUDITORIA DE RED Red es un conjunto de computadoras y dispositivos que se comunican entre si proporcionando entorno necesario para que los usuarios desde diferentes ubicaciones tengan acceso en condiciones similares a la Información. Revisar y Verificar los procedimientos de manejo y administración de esta red y proponerlos en caso no existan.11.3. Definir que la función de gestión de redes y comunicaciones esta claramente definida.1. con base en las necesidades actuales. Evaluar los controles de eficiencia y eficacia de la red. b. su performance y funcionamiento. 68 . Evaluar los componentes físicos de la red. ALCANCE: Para llevar a cabo el estudio de la Red de la Unidad de Informática. el alcance se ha dividido en las siguientes partes: Diseño lógico de la red: Evaluar el diseño lógico los de la red existente necesarios y hacer el recomendaciones sobre cambios para desempeño y/o confiabilidad.

Las limitaciones del Auditor son: Económicas. Confidencialidad institucional. 69 .Diseño físico de la red: Evaluar toda la infraestructura de cableado para determinar la fuente de los problemas de desempeño en tina red existente o probar si la Infraestructura actual puede utilizarse con una nueva tecnología de red. Debido a la carga académica del Equipo Auditor. Desempeño de la red: Evaluar el desempeño de la red y hacer recomendaciones de cómo mejorarlo. Debido a nuestra condición de estudiantes dependientes económicamente. Tiempo. Debido a las condiciones que la Escuela de Postgrado impone.

MARCO EMPÍRICO 4.Propositiva.IV. 4. Es Propositiva en la medida que lo arrojado por el diagnóstico nos ha permitido elaborar una propuesta para el mejor funcionamiento y uso del sistema informático de la Escuela de Postgrado. que se representa así: M O Donde: M : Muestra de estudio.2 DISEÑO DE LA INVESTIGACIÓN: El diseño ha sido Descriptivo Correlacional. Fue Diagnóstica porque ha permitido conocer la realidad del Sistema Informático.3 POBLACIÓN Y MUESTRA DE ESTUDIO La población es todos los Sistemas Informáticos del área de la Unidad de Informática de la Escuela de Postgrado de la Universidad Nacional "Pedro Ruiz Gallo" que consta de equipos con el cual he trabajado por ser pequeño. 70 . O : Observación de la variable: Sistema Informático 4.1 TIPO DE INVESTIGACIÓN: Diagnóstico . mediante la aplicación de una Auditoria Especializada.

 Técnica de Campo: Recolección de la Información. entrevista a profesores expertos. mediante la aplicación de cuestionarios para los que trabajan en el área de informática. alumnos y observación de la realidad del proceso de uso de la red informática.4 RECOLECCIÓN DE LA INFORMACIÓN  Técnica de Gabinete: Permite la recolección del material bibliográfico. mediante el fichaje. selección e interpretación del mismo.4. 71 .

5.UBICACION El área comprendida como influencia del presente trabajo es la Escuela de Postgrado de la ciudad de Lambayeque. TIPO DE ESTUDIO El tipo de estudio fue de Constatación. departamento de Lambayeque. AREA DE ESTUDIO . 72 .V. y la Auditoria del Sistema Informático que se desarrolló fue muy confiable ya que me ha permitido tener conocimiento exacto del funcionamiento del Sistema Informático de la Unidad de Informática de la Escuela de Postgrado de la Universidad Nacional "Pedro Ruiz Gallo". 5.3 POBLACIÓN DE ESTUDIO Fue el conjunto del Sistema Informático que posee la Escuela de Postgrado de la Universidad Nacional "Pedro Ruiz Gallo" de la Ciudad de Lambayeque.2. ubicada en la Provincia de Lambayeque. MATERIALES Y MÉTODOS 5.1.

 Se verificó que el área cuenta con un su ambiente respectivo pero supervisadas por el encargado de dicha Unidad. Sobre Seguridad Física  El área auditada cuenta con un local propio en la Escuela de Postgrado. el cual no está debidamente señalizado. se han observado las siguientes situaciones: 1.  No cuenta con servicio de vigilancia exclusiva para la Unidad  Existen prohibiciones para el consumo de alimentos bebidas y cigarrillos dentro de la Unidad pero no se encuentra debidamente señalizado mediante carteles de prohibición para los usuarios. ANÁLISIS DE LA INFORMACIÓN RECOGIDA 6.  La Escuela de Postgrado. 73 . Situación Actual De acuerdo a la investigación realizada. no cuenta con un plan ante desastre.1. no exponiéndose a posibles cortos circuitos y/o caída de la red. donde está funcionando La Unidad de Informática e Internet (ANEXO Nº 01).  Las Salidas de Emergencia no están debidamente señalizadas.  El área cuenta con un extintor automático a Base de gas. iluminación y ventilación.VI.  El tendido de la red en el área es el adecuado ya que se encuentra protegido.  Los ambientes son apropiados en cuanto a dimensión ambientación. por lo que se corre riesgos tanto el personal como para el equipo. PROBLEMAS ENCONTRADOS EN LA AUDITORIA FÍSICA A.

 No existe una empresa con la cual se realicen los contratos de mantenimiento de manera fija. 74 .  El contrato de mantenimiento se realiza cuando el encargado de la Unidad no pueda detectar o solucionar la falla del equipo. 4. 3.  El mantenimiento es un gasto periódico.  No cuenta con ningún tipo de seguros en caso de provocarse algún accidente en esta área.  Actualmente la Unidad de Informática no cuenta con un plan de contingencia el cual ayude a lograr la operatividad de la Unidad. Sobre el Personal  En el Manual de Funciones no se especifican detalladamente de las funciones por lo que el personal no sabe ciencia cierta hasta que punto pueden llegar a desenvolverse.  No se brinda capacitación al personal para actuar en caso de emergencias.  Existe la vigilancia adecuada del comportamiento del personal que maneja el sistema de cómputo con el fin de mantener una buena imagen y evitar un posible fraude.  El mantenimiento lo realiza el encargado de la Unidad. Plan de Contingencia.  El personal que se encuentra laborando en la Unidad de Informática no cuentan con seguros de respaldo. Sobre los Equipos Informáticos  El servidor de red se encuentra en un lugar no visible y restringido para los usuarios.  El personal no cuenta con el control de acceso respectivo.2.

B.5. fraude y otros. Sobre Seguridad Física  Perdida de la información confidencial de la Escuela por falta de control de acceso a la Unidad.  La información con respecto al inventario del equipo de cómputo se encuentra almacenada en archivos de Excel y Word. Consecuencias 1. 75 .  No existe cobertura de seguro para los equipos (Hardware) en caso de robo.  Sólo se almacenan información con relación a los documentos enviados o recibidos en la Unidad.  No se cuenta con una base de datos respectiva que almacene la información con respecto al personal y equipo respectivo de la Unidad.  Los backups de la información existentes son realizados semanalmente. Sobre los Datos.  Producirse deterioros en los equipos informáticos por el desconocimiento de las prohibiciones dadas en la Unidad por parte de los usuarios. 6.  Si se cuenta con claves de acceso para la obtención de la información por parte del personal.  Producirse un incendio y no ser detectado o sofocado a tiempo por falta de medidas contra este tipo de catástrofe. Sobre los Contratos de Seguros  Actualmente el personal de la Unidad de Informática no cuenta con ningún tipo de seguro.

robo.  Incumplimiento en la realización de sus funciones designadas.  Pérdida o robo de equipo informático por falta se seguridad exclusiva a la Unidad. 6. 3. 5.  Pérdida económica por transacciones inconclusas. Plan de Contingencia.  No se puede hacer frente a algunos problemas que se presenten en la institución.  Pérdida o deterioro de los archivos de inventario o de otra información. Sobre los Datos. fraude y otros hechos. Sobre los Equipos Informáticos. 4.  Retraso en las gestiones de solución.  Desorientación del personal en el cumplimiento de sus funciones ante la mala elaboración del Manual de Organización y Funciones. Sobre el Personal  Desactualización del personal ante los avances tecnológicos de la computación informática. 76 .  Deterioro del equipo informático. Sobre los Contratos de Seguros  Pérdida considerable para la Escuela en caso de desastres.  Acceso a la información por parte de personas ajenas a la Unidad.  No detectar a tiempo fallas producidas en el equipo informático.2.

Administración de redes informáticas.  Ubicar el extintor en un lugar accesible.  Tener una buena relación con las fuerzas del orden. del suelo y debidamente señalizado.  Sugerir la adquisición de basureros.Ensamblaje de Microcomputadoras. Sobre Seguridad Física  Contar con personal de seguridad propio. libre de toda clase de obstáculos a 1. etc. 77 . bomberos u otros.  Establecerse señalización y megafonía de emergencia.  Adquirir dispositivos que detecten humo y fuego. tanto externa como interna. Sobre el Personal  Desarrollar cursos periódicos (como mínimo 3 veces por año) sobre: . inspecciones.  Contar con registro de incidencias. asignándole responsabilidad a una persona confiable y responsable.  Se deben establecer medidas de seguridad en cuanto al control de acceso de personas extrañas al recinto de la Unidad de Informática. al menos dos para cada uno de los ambientes. Recomendaciones 1. la 2. . Bebidas y Cigarrillos dentro de la Unidad.  Colocar Carteles que prohíban el consumo de Alimentos.  Señalizar debidamente las salidas de Emergencia.Ética Profesional.C. . con el Fin de obtener sus beneficios como la realización de actividades preventivas de simulacro.  Contar con una agenda de números telefónicos en casos de emergencia.70 cm.

inundaciones. capacitación.  La capacitación por parte de la Institución se dará al personal de mejor desempeño.  Elaborar un Manual de Organización y Funciones con las actualizaciones requeridas y difundirlo al personal.  Hacer un seguimiento de la asistencia y desempeño del personal capacitado. mediante el desarrollo de cursos.  Solicitar experiencia Laboral.  Elaborar y Establecer políticas de evaluación del personal. etc.  El Personal capacitado esta facultado para enseñar lo aprendido al resto del personal.  Contar con un almacén de piezas y dispositivos de reemplazo en caso ocurriera una falla. conversión y prueba del equipo.  Establecer Mecanismos de selección de personal. Resolución de problemas.  Realizar el mantenimiento de los Equipos Informáticos de la Unidad de Informática de forma periódica por parte del Personal. desastres.  Solicitar antecedentes personales. Coordinar con Defensa Civil y los Bomberos con el fin de que capaciten al personal en casos de incendio. Preguntas Frecuentes.  Brindárseles un seguro en caso de accidentes.  Solicitar recomendaciones. 3. del proveedor. Sobre los Equipos Informáticos  Asesoria permanente. experiencia y el tiempo de garantía disponible por parte 78 .  Brindar una buena atención a los usuarios como el apoyo en: Consultas.  Llevar acabo convenios con otras instituciones para capacitar a su personal. Asesoramiento.  Solicitar nivel de desempeño.

 Disponer de un aporte Económico por parte de la Escuela de Postgrado para la actualización de los Equipos en la Unidad de Informática.

4. Plan de Contingencia  Realizar un plan de contingencia ante desastres y la difusión del mismo.  Elaborar un plan de contingencia acorde con la realidad actual. 5. Sobre los Datos  Realizar backups periódicamente de los archivos almacenados en el servidor.  Elaborar una base de datos para mantener la información en forma ordenada y de rápida obtención.  Establecer un procedimiento de etiquetación de la información.  Utilizar métodos para la captura de los accesos a los documentos y de las transacciones.

6. Sobre los Contratos de Seguros  Proponer al Director de la Escuela de Postgrado la adquisición de seguros contra siniestros (sismo, incendio, robos, etc.) que cubran de manera global a la Escuela de Postgrado y por consecuente a la Unidad de Informática frente a cualquier siniestro.

79

6.2 PROBLEMAS ENCONTRADOS EN LA AUDITORIA OFIMÁTICA

Existe un resumen, de inventario de hardware hasta la 3° semana de Julio del 2005 pero no es el adecuado sólo se detallan datos generales (Anexo N° 03).

A. Situación Actual
   

No existe un inventario del Software Posible sustracción de licencias de programas. Actualización y borrado de las aplicaciones sin previa autorización. Adquisición e instalación de aplicaciones existentes o con versiones inferiores.

Ubicación de las aplicaciones en áreas no designadas. Pérdida de recursos.

 

Reemplazo de recursos. Insuficiente conocimiento de las utilidades y capacidades de los equipos y aplicaciones no existen programas de capacitación para que el personal se adapte a las nuevas tecnologías adquiridas.

No se realizan copias de seguridad ya que no existe información que salvaguardar.

No se cuenta con manuales de usuario.

B. Consecuencias:
 

Pérdida de eficacia y eficiencia en su utilización. Retrazo en ciertas actividades en caso de ausencia del personal capacitado.

Manipulación

incorrecta

por

desconocimiento

o

falta

de

aprovechamiento de la información impartida.

La falta de programa de capacitación traer como consecuencia la desactualización del personal tardándose más tiempo en la actualización de los cambios.

80

La falta de disponibilidad de datos vitales para reanudar las operaciones, generaría la paralización de los sistemas, causando considerables pérdidas económicas.

 

Pérdida o alteración de datos. Ante cualquier inconveniente los usuarios no tienen un medio de consulta.

C. Recomendaciones:

Realizar un inventario de la totalidad del hardware y software existentes en la unidad de informática y organizándolo por necesidades.

Asignar a un responsable con conocimiento de computación para la actualización del inventario de aplicaciones.

Establecer un plan de capacitación con objetivos, metas y estrategias claramente definidas y programadas.

 

Entregar la documentación de la operatividad del producto. Tener fácil acceso a la documentación operativa del producto en caso de necesidad.

Evaluación constante del personal en el uso correcto de la operatividad del producto asignado.

Asignar la responsabilidad de la realización de copias de seguridad de la información vital verificando su periocidad.

Verificar el adecuado almacenamiento y fiabilidad de las copias de seguridad realizadas.

Realizar un inventario de los soportes que contienen las copias de seguridad y de la información contenida en ella.

Cuando las aplicaciones se desarrollen por personal Interno a la Escuela se debe definir una metodología dentro de la cual se tome en cuenta la creación de dichos manuales.

Ubicación de los manuales de usuario de manera que se encuentren accesible al personal de oficina e incentivar su uso.

81

6.3 PROBLEMAS ENCONTRADOS EN LA AUDITORIA DE DIRECCIÓN

A. Situación Actual  No se tiene una Planificación Estratégica documentada de la Unidad de Informática.  La descripción de los puestos de trabajo de cada área no está documentada.

B. Consecuencias  Contratación de personal que no está apta para el puesto al que aspira.  Desconocimiento de las actividades, responsabilidades y autoridad (Jefes de área) que comprenden cada puesto de trabajo.  Exceso de obligaciones a desempeñar por el personal. C. Recomendaciones  Tener claros los objetivos de la Unidad de Informática para realizar la planificación.  Los planes que se desarrollen, deben seguir los Iineamientos de los objetivos de la Unidad de Informática.  Participación de los usuarios en el proceso de planificación.  Contar con un mecanismo de seguimiento y actualización de los planes en relación con la evolución de la empresa.  Desarrollar aprobar, distribuir y actualizar la descripción de los puestos de trabajo en cada área según la evaluación de la institución.  Tener en cuenta los conocimientos técnicos y/o experiencias necesarias para cada puesto de la institución, especialmente con conocimiento o especialista en el Área de Informática y Computación.  Desarrollar, aprobar, distribuir y actualizar la descripción de los puestos de trabajo en cada área según la evaluación de la institución.

82

6.4

PROBLEMAS DESARROLLO

ENCONTRADOS

EN

LA

AUDITORIA

DE

A. Situación Actual  En la Escuela de Postgrado, no existe un área de desarrollo definida.  Falta de procedimientos para la propuesta y aprobación de nuevos proyectos informáticos, por parte de los directivos que conducen la Escuela de Postgrado.

B. Consecuencias  No cuenta con la asesoría respectiva que garanticen la gestión proyectos informáticos de calidad.  Las fases que involucran el desarrollo de sistemas deben estar sometidas a un exigente control interno, caso contrario, además de la elevación de los costes, podrá producirse la insatisfacción del usuario.

C. Recomendaciones  Se propone la creación de un área de desarrollo la cual formará parte del Departamento de Informática, esta área contará con 4 personas expertas, cuyas funciones estarán definidas en el Manual de Organización y Funciones, las cuales abarcará el Análisis y la Programación de Sistemas.  Evaluar los requerimientos de factibilidad tecnológica una vez implementada el área de desarrollo.  Determinar la posibilidad de adquisición de nuevos equipos para el área o una redistribución de los existentes.  Definir claramente, el procedimiento para la creación y presentación de proyectos informáticos.  Documentar estos procedimientos en un Manual de Procedimientos.

83

 No existe Manuales donde se definan las Entidades y Atributos de la Base De Datos. Recomendaciones  Realizar una consultaría de las OBMS (manejadores de base de datos).  Dificulta el mantenimiento y actualización de las bases de datos.  Migra a un sistema manejador de base de datos.  Capacitar al personal que van a realizar la administración de las bases de datos. Situación Actual  El manejador de base de datos no es el adecuado para cumplir con las funciones asignadas.  Dificulta la migración a nuevas plataformas.5 PROBLEMAS ENCONTRADOS EN LA AUDITORIA DE BASE DE DATOS A.  Dificultad en la localización de errores y omisiones.  No se puede controlar la redundancia debido a que no cuenta con la integridad referencial.  Elaboración de un manual de diseño de base de datos. Consecuencias  No existe un soporte efectivo sobre el control de la integridad referencial. más apropiado.6. existentes actualmente. B.  Dificulta la integración de los sistemas existentes.  Brindar capacitación sobre cursos de diseño de base de datos al personal desarrollador de sistemas informáticos. C. y que esta pueda contar con herramientas de diseño y administración de bases de datos. 84 .

Número de Servidores: 1 .Sistema Operativo de Red Windows XP con Service Pack 2. doctorantes y docentes de la Escuela de Postgrado. donde a se la encuentran Institución y instalados presenta los las Sistemas siguientes correspondientes características: . .Tarjeta de Red Intel® PRO/100 VE NETWORK CONNECTION.6.  Memoria RAM: 256 Mb Y 128 Mb.Cable utilizado: Par trenzado categoría 5.  Capacidad de Disco Duro SAMSUNG: 40 Gb.Tipos de Conectores: RJ-45 . .  Opera como: Estación.11 .Estándar: Ethernet 802. Los equipos se ubican dentro de la Institución en una unidad. Características de los equipos  37 Computadoras Pentium IV de Fabricación y Soporte de Compaq Computer Corporation. 85 .Número de estaciones: 37 . Esta Unidad es usada para el uso de Internet. dictado de clases para los maestrantes.Topología: Estrella .6 PROBLEMAS ENCONTRADOS EN LA AUDITORIA DE REDES Actualmente se encuentra una Red concentrada en la Unidad de Informática. con las siguientes características: UNIDAD DE INFORMÁTICA Se encuentra conformada por 37 computadoras interconectadas en red.

 Sound MAX Integrated Digital Audio. METODOLOGÍA A UTILIZAR El procedimiento que se ha seguido para llevar a cabo este estudio ha sido el siguiente:    Definir los puntos que se van a Investigar el estudio de la Red de la Unidad de Informática.  Mouse COMPAQ LOGITECH. 86 .24CB. cuyo formato se encuentra en el (Anexo N° 10).  Tarjeta de Video Intel ® 82845G/GL Graphics Controller. MÉTODOS Y HERRAMIENTAS UTILIZADAS Se realizó encuestas para la realización de este estudio de la aplicación informática. Monitor COMPAQ 5500 de 14". por lo que se debe tratar de evitar daños que puedan causar alteración en la información.  Teclado Estándar de 101/102 teclas o Microsoft Natural PS/2 Keyboard. Definir las preguntas que se van a realizar en la encuesta.  Lectora COMPAQ CD-ROM L TN 486S. Realizar una observación general de la Red de la Unidad de Informática.  Bus PCI.  Controladora de almacenamiento Ultra Ata Intel® 82801 DB .  Diskettera 3 1/2 COMPAQ. SEGURIDAD LÓGICA Se sabe que la información que viaja por la red es importante y confidencial. (Ver Anexo Nº 10) Realizar las conclusiones y comentarios.

Colocar cables en lugares por donde transitan las personas.Amenazas que puede presentarse:    Modificación o eliminación de la Información. A.  En cuanto al uso directo del Servidor. Problemas con la energía eléctrica que se pueden presentar en la Unidad Informática. Situación Actual  Actualmente no cuentan con manuales que contengan lo siguientes procedimientos para la utilización física y lógica de la red. el administrador de la red. pudiendo ocasionar daños en el cableado que pueden dejar sin funcionamiento alguna estación. le correspondería a una sola persona. No se cuenta con diagramas de red que documenten las conexiones. Reemplazar a un usuario de la red por otro no autorizado. procedimientos de prueba que cubre la introducción de cualquier nuevo equipo o cambio en la red de comunicaciones. No existe un monitoreo de la secuencia de tramas. 87 . procedimientos de autorización para conectar nuevo equipo en el área. hecho que no se cumple. para realizar cambios de Hardware y Software. SEGURIDAD FÍSICA Amenazas que se pueden presentar:    Ubicación de los servidores en lugares donde existe mucho tráfico de personas.    No existe planes y/o procedimientos para el uso correcto de la red. La supervisión no autorizada de la transmisión de datos. ya que es administrado por el Red Telemática.

como la frecuencia de consultas y transacciones y el número de accesos a la red. para evitar el contagio de virus. Consecuencias   No se puede detectar la incorrecta secuencia de tramas. Recomendaciones  En cuanto al uso de la red. 88 . C. los procedimientos para conectar un nuevo equipamiento en la misma . Asignar claves a los usuarios para acceder a la red. evitando de esta manera que personas no autorizadas tenga acceso a la red. con una frecuencia de 15 días. Elaborar informes técnicos sobre ka operatividad. no se aplican herramientas periódicas para la reparación mejorando su rendimiento. a las aplicaciones y a la base de datos. sería conveniente un plan de utilización de la misma detallándose también. El encargado de asignar estas claves es el administrador de la red.   No se verifican constantemente las transacciones que se realizan en la red y los elementos de información a los que hacen referencia. Los equipos deben contar con una etiquetación respectiva para su reconocimiento.   En el Anexo Nº 11 se agrega un formato para el inventario del equipo de red. los cuales tienden a infiltrarse en la red y ocasionar daños a los diferentes sistemas de la unidad. mantenimiento y conservación de los equipo de computo. a los servicios.B. No existe un constante mantenimiento del sistema de red. No se tendrán cifras estadísticas de utilización.  Disminuir el uso de Diskettes. las cuales deben de cambiarse de forma periódicas.    Realizar el monitoreo de la red en forma periódica para garantizar el buen funcionamiento de la misma.

    Realizar copias de seguridad de la información más importante. parpadeos y caídas de voltaje.    Llevar un registro de accesos diarios de usuarios. diagnosticar y reparar posibles fallas en los diferentes componentes de la red. evitando de esta manera que alguna estación de trabajo y hasta el propio Servidor deje de funcionar. Etiquetar los diferentes equipos electrónicos. impartiendo conocimientos sobre la forma de inicializar y finalizar correctamente sesiones en la red.  Ubicar los cables de energía en lugares por donde se sabe no pasaran las personas. donde el acceso sea restringido y alejado de personas extrañas a la Unidad. 89 . Proteger los cables de la red mediante canaletas y ordenándolos de una manera segura para evitar la utilización de cable innecesario. En dicho UPS se encontraría conectado el Servidor. Ubicar el Servidor Dedicado en un lugar apropiado. Utilizar UPS(Reguladores de Energía) en el caso de que tenga algún problema con los cortes de energía eléctrica. que estén conectados a la red. Instruir a los usuarios sobre la forma de trabajo en la red. adquiriendo programas de antivirus con su respectiva licencia. evitando de esta manera posibles fallas en los sistemas.  Implementar normas de seguridad para el uso de Diskettes.  El administrador de la red debe realizar el manejo de fallas para prevenir. es el administrador de la red quien determinará cada que tiempo y que parte de la base de debe de guardar.  Realizar copia de seguridad. Documentar la etiquetación de los equipos.

2. incendios y otras acciones perjudiciales a la Unidad. que se traduce en la reducción de los tiempos. Dificultad para la integración de los sistemas existentes. En la EPG – UNPRG no se ha realizado ningún tipo de Auditoria de sus Sistemas Informáticos. 3. 4. 7. para tomar adecuadas decisiones. No existe un constante mantenimiento del sistema de red. No cuenta con la asesoría respectiva que garantice proyectos informáticos de calidad. está expuesta a perdidas. por lo que me he preocupado en efectuar este estudio. No existe un inventario de Software. 5. 6. El uso del Software de informática permite una mayor eficiencia en la realización de la Auditoria. migración a nuevas plataformas. peligro de multas por uso no autorizado de software. He seguido buscando instrumentos de aplicación a una parte de la Auditoria a los Sistemas Informáticos. (Ver anexo # 13) 90 . Puede llevar a la Perdida de información confidencial. Falta adecuar el local donde funciona la Unidad de Informática. 8. desastres. No existe un manual de funciones adecuado para el buen funcionamiento de la Unidad de Informática. no se aplican herramientas periódicas para la reparación y mejorando su rendimiento.CONCLUSIONES 1.

tanto de hardware como de software. 2. equipos contra incendios. Elaboración y puesta en práctica del manual de funciones de la Unidad de informática. 91 . Realizar un adecuado inventario y mantenimiento de los activos de la Unidad de Informática. 4. en el acceso. 3. Dotar al local donde funciona la Unidad de Informática de todas las seguridades necesarias. Adquisición de Licencias para el uso de los diferentes softwares en la Unidad de Informática.RECOMENDACIONES 1.

Auditoria Administrativa .A. David . Gómez R.Madrid .Sistemas y Procedimientos .1998 . .Editorial Trias España.Editorial Rama . Francisco .México Lázaro Víctor . .Madrid Li H.Auditoria Un enfoque Integra.Editorial DESCO – Lima Methoware .BIBLIOGRAFÍA Arens A."Guía de usuario del ProAudit/Advisor" .1999 . .A. Enciclopedia de la Auditoria . Cooper & Librand S."Informe COSO". Auditoria – España. Lázaro J.1974 .Auditorias en centros de cómputo . Rafael y Coltell. López de SA Antonio . 92 . Editorial Univ. Politécnica de Valencia.Curso de Auditoria de los sistemas de información .2000 .Editorial Prentice Hall Hispanoamérica S."Auditoria y Sistemas Informáticos" Editorial TRIAS – España.Nueva Zelanda. Editorial Prentice Hall Hispanoamérica S.2004 .1995 . Alvin -1996 .1992 .A. Blanco Encinosa. Óscar . – México.Auditoria de Sistemas Informáticos.Editorial Trias España. Instituto de Auditores Internos de España . Bernal.1998 .Editorial Océano.2001 . 6ta edición Ciudad México.

PAGINAS WEB: Audinet: http://www. Un enfoque práctico .Administración de centros de computo Editorial UNAC . Mario y Del Peso.Editorial Rama – Madrid Senn A.com/trabajos15/sistemas- informático 93 .Piatini.monografias.audinet. James – 1999 Análisis y Diseño de sistemas de información.España Valencia R.Editorial Trias .org Sans Institute: http://www.Auditoria Administrativa .Editorial Prentice Hall Hispanoamérica S.España. William P. Vilchez I. .México.A. César (CCI) – 1997 .sans.org Sistema Informático: http://www. Leonard . Emilio . Joaquín – 1997 .Perú.Auditoria Informática.1999 .Sinopsis de Auditoria Administrativa .1999 . Editorial Mc Graw Hill.

ANEXOS 94 .

ANEXO Nº 01 UNIDAD DE INFORMÁTICA 95 .

¿Existe salida de emergencia? SI ( ) NO ( ) 96 . ¿El personal ajeno a operación sabe que hacer en el caso de una emergencia (incendio)? SI ( ) NO ( ) 6. ¿Están capacitados los trabajadores que laboran en la Unidad de Informática en el manejo de los extintores? SI ( ) NO ( ) 4. etiquetados. ¿Se cuenta con extintores para caso de incendio? SI ( ) NO ( ) 3. ¿Se cuenta con un local propio? SI ( ) NO ( ) 2. y sin obstáculos para alcanzarlos? SI ( ) NO ( ) 5. ¿Los interruptores de energía están debidamente protegidos.ANEXO Nº 02 ENCUESTA PARA LA AUDITORÍA FÍSICA NOMBRE: CARGO: FECHA: 1.

7. ¿Se ha tornado medidas para minimizar la posibilidad de fuego: a) Evitando artículos inflamables en todas las áreas de la Unidad SI ( ) NO ( ) b) Prohibiendo fumar a los operadores en el interior SI ( ) NO ( ) c) Vigilando y manteniendo el sistema eléctrico SI ( ) NO ( ) d) No se ha previsto ( ) 9. ¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? SI ( ) NO ( ) 8. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior de las diferentes áreas de la Facultad para evitar daños a los equipos existentes? SI ( ) NO ( ) 97 .

este resumen de inventario solo se ha aplicado al área de Informática. Inventario de Software: No existe un formato estándar de este inventario.  No se realiza una evaluación con respecto al software es decir la instalaciones de estas no se revisan las necesidades mínimas que estas requieran. Este resumen de inventario de Hardware no refleja la realidad. sólo existe conocimiento de éste de manera general. sólo se cuenta con un resumen. INVENTARIO DE OFIMÁTICA. Inventario de Hardware: No se cuenta con un formato estándar. 2. faltan dispositivos que describir. Generación de copias de seguridad  Podemos apreciar que no se realizan copias de seguridad ya que no existe información que salvaguardar ya que no hay sistemas de información. No existen documentos o manuales de apoyo para el desenvolvimiento del personal. 3. 4. No existe un procedimiento de actualización de este inventario. 98 . Cambio de aplicaciones o de versiones  Se hacen instalaciones temporales (mientras se requiera).ANEXO N° 03 1. ni un resumen de las aplicaciones. Capacitación del personal y documentación de apoyo   No existe personal en esta Unidad que este debidamente capacitado. las instalaciones son ilegales.

solo existe técnicas de eliminación con software antivirus. ETC. Relación de aplicaciones que no cuentan con licencias de uso: WINZIP. Licencias de Uso  Sólo cuentan con licencias de uso para el Windows XP SERVICE PACK 2 y Office XP para las 37 máquinas existentes en esta unidad para el resto de aplicaciones no cuentan con licencias de uso. ACROBAT READÉR. SPSS. 6.5. Infección de virus  Si llegan a suceder por lo cual no hay control. 99 .

¿Cuenta con normas o procedimientos para la realización de los cambios y versiones de las aplicaciones? 7. recepción y utilización de equipos y aplicaciones? 5. ¿En que modalidad se adquirió el software de la unidad informática? Cuentan con manuales? 100 . ¿Existe un responsable a cargo de la revisión constante de la autorización del inventario? 4.ANEXO N° 04 ENTREVISTA DE AUDITORIA OFIMATICA ENTIDAD: NOMBRE: FECHA: HORA: 1. ¿Cuenta con normas y procedimiento para la adquisición. ¿El inventario refleja con exactitud los equipos y aplicaciones existentes? 3. ¿Se cuenta con una persona capacitada para la adquisición de equipos y aplicaciones? 6. ¿Se capacita periódicamente al personal? Cuentan con documentación de apoyo para desarrollar sus tareas? 8. ¿Existe inventario de hardware y software en la Unidad de Informática? ¿Con qué frecuencia se realiza? ¿Están actualizados con la información? 2.

¿Existen normas que se sancionen al personal en caso de negligencia en el uso de software o hardware? 101 .9. ¿Existen planes de formación en nuevas tecnologías o productos de personal encargado del mantenimiento de la empresa? 10. ¿Se controlan los accesos ala empresa en turnos u horarios fuera del regular? 11.

a) ¿Tiene Usted conocimiento de la existencia de este documento? Si ( ) No ( ) b) Cómo habíamos mencionado este documento es muy vital para la institución por tal motivo es muy importante tenerlo actualizado ¿Tiene Usted conocimiento de quien es la persona encargada de esta función? Área:______________________________ Personal: __________________________ Cargo: ____________________________ Área: ______________________________ Personal: __________________________ Cargo: _____________________________ i) ¿Podría Mencionar Usted con que frecuencia este documento se actualiza y/o que situaciones obligan a actualizar este documento? . lo cual proporcionara está información que es muy valiosa para la institución. Para llevar a cabo un control sobre los equipos (hardware) que se tiene y sobre los productos que ésta contiene (software) es preciso contar un inventario.ANEXO N° 05 ENCUESTA DE AUDITORIA OFIMATICA 1.Tiempo: Selección una opción Días: [ ] Semanas: [ ] Quincenas: [ ] Meses: [ ] Semestral: [ ] Anual: [ ] No Sabe: [ ] Es de forma irregular: [ ] 102 .

Al realizar la adquisición de un nuevo equipo.Al deteriorarse un equipo. sino tiene el software por lo que es indispensable su estudio a manera de no cumplir alguna irregularidad ya que esto podría ser perjudicial para la empresa. a) En toda organización la información es de suma importancia por la cual esta llega a ser automatizada u organizada por diferentes productos informáticos (software o programas). o mencione algunas [ ] ._________________________________________ ._________________________________________ ii) ¿Según lo mencionado podemos concluir que se realiza está actualización Podría Usted mencionar como es-que se realiza un proceso de verificación y control en esta actualización si esta existe? 2. no sólo es indispensable tener conocimiento de los equipos informáticos ya que estos no funcionarían._________________________________________ . [ ] . [ ] . ¿Mencione Usted que productos cuenta la organización para cumplir este propósito? A manera de ejemplo podemos mencionar Word XP para procesar Texto Excel XP para mis hojas de cálculo Software _______________ _______________ Versión _______________ _______________ Fin para su uso ____________________ ____________________ 103 .Situaciones: Selección una o más opciones.Al darse una nueva reubicación del equipo.. [ ] . En una organización como instituciones.

y procedimiento? 9. ¿Los planes se encuentran debidamente documentados? 4. ¿Se encuentra documentada la descripción de cada puesto de trabajo? 11.¿Existe una política de adquisición de bienes? 10. ¿Existen planes estratégicos a corto y largo plazo? 2.ANEXO N° 06 ENTREVISTA DE AUDITORIA DE LA DIRECCIÓN ENTIDAD: NOMBRE: FECHA: HORA: 1. ¿Se encuentran documentadas las funciones y responsabilidades? 8. ¿Existe un mecanismo de seguimiento de los planes? 6. ¿Existe un proceso de planificación? 3. ¿Cuáles son las funciones y responsabilidades de los puestos de trabajo? 7.. ¿Existe una adecuada política de selección del personal? 104 . ¿Cuentan con estándares de funcionamiento. ¿Tienen una metodología de planificación? 5.

¿Como es la comunicación entre el gerente y el personal de trabajo? 16. ¿Existe una adecuada política de promoción del personal? 14. ¿Existe una adecuada política de contrato y finalización de personal? 15. ¿Existe una adecuada política de rendimiento del personal? 13. ¿Se cuenta con mecanismos de control de la normativa empresarial en cada área? 105 .12. ¿Cómo se maneja el presupuesto económico en las áreas? 17. ¿Tienen mecanismo de control y seguimiento de las actividades de las áreas? 18. ¿Cuentan con reglamentos internos? 19. ¿Los reglamentos están documentados? 20.

 El personal debe estar motivado en la realización de su trabajo. propio plan a corto.  Debe existir un protocolo de recepción I abandono para las personas que se incorporan o abandonan el área. que será coherente con el plan de sistemas. Objetivo 1. Objetivo 2  Establecer medidas de seguridad ilógica y física.  Debe existir un procedimiento para la promoción del personal.  Debe especificarse el organigrama con la relación de puestos del área así como el personal adscrito y el puesto que ocupa cada persona.  Organizar y Planificar el Área de Desarrollo. si este existe. para poderse llevar a cabo necesita apoyarse en el personal del área y en los procedimientos establecidos. Auditoria de la Organización y Gestión del Área de Desarrollo Aunque cada proyecto de desarrollo tenga entidad propia y se gestione con cierta autonomía. 106 .ANEXO N° 07 1.  Deben existir procedimientos de contratación de objetos.  Debe existir un plan de formación que este en concordancia con los objetos tecnológicos que se tengan en el área. Este aspecto es difícil de valorar y no es puramente técnico.  Debe existir una biblioteca y una hemeroteca accesibles por el personal del área.  El área de desarrollo llevará su propio control presupuestario.  Debe establecerse de forma clara las funciones del área de desarrollo dentro de la Unidad de informática. medio y largo plazo.  El área debe tener y difundir su.

Auditoria de Proyectos de desarrollo de Sistemas de Información La auditoria de cada proyecto de desarrollo tendrá un plan distinto dependiendo de los riesgos.Objetivo 3  Alinear el Plan del Área de Desarrollo al Plan de Sistemas.  Debe existir un procedimiento. la complejidad y los recursos disponibles para realizar la auditoria. mientras que la gestión se realiza a lo largo del mismo. Aprobación.  El plan de sistemas debe actualizarse con la información que se genera a lo largo de un proceso de desarrollo. marco general y horizonte temporal.  La realización de nuevos proyectos debe basarse en el plan de sistemas en cuanto a objetivos.  Debe existir un procedimiento de aprobación de nuevos proyectos.  Debe existir un procedimiento para asignar director y equipo de desarrollo a cada nuevo proyecto. 2. de aprobación de nuevos proyectos que dependerá de que exista o no plan de sistemas. Objetivo 4  Regular la creación y aprobación de proyectos de sistemas de la Escuela de Postgrado. Objetivo 5  Gestionar los recursos humanos y materiales en el Área de Desarrollo. Planificación y gestión de proyectos La aprobación de un hecho previo al comienzo del mismo.  Debe existir un procedimiento para conseguir os recursos materiales necesarios para cada proyecto. 107 .

 Debe existir una orden de aprobación del proyecto que defina claramente los objetivos.  Se debe establecer un mecanismo para la resolución de los problemas que puedan plantearse a lo largo del proyecto.  Cuando termina el proyecto se debe cerrar toda la documentación del mismo. en función de sus características. Objetivo 2  Gestionar el desarrollo de proyectos informáticos.La planificación se realiza antes de iniciarse.  Debe hacerse un seguimiento de los tiempos empleados tanto por tarea como a lo largo del proyecto.  El proyecto debe ser catalogado y. se debe elegir el equipo técnico que realizará el proyecto y se determinará el plan del proyecto.  Debe distinguirse un responsable o director del proyecto.  Una vez determinado el ciclo de vida a seguir.  Debe existir un control de cambios a lo largo del proyecto. 108 .  Se debe controlar que se sigan las etapas del ciclo de vida adoptado para el proyecto y que se generan todos los documentos asociados a la metodología usada. pero sufrirá cambios a medida que el proyecto avanza en el tiempo. liberar los recursos empleados y hacer balance. restricciones y las unidades afectadas.  Los responsables de las unidades o áreas afectadas por el proyecto deben participar en las gestiones del proyecto. debe de hacerse en forma adecuada. Objetivo 1  Aprobar y planificar el desarrollo de proyectos informáticos. normalmente al finalizar un módulo o fase. se debe determinar el modelo dé ciclo de vida que seguirá.  Cuando sea necesario reajustar el plan de proyecto.

Se pretende obtener un conjunto de especificaciones formales que describan las necesidades de información que deben ser cubiertas por el nuevo sistema de una forma dependiente del entorno técnico. Esta participación. se debe documentar el sistema actual así como los problemas asociados al mismo. que permita conocer cómo valoran el sistema actual y lo que esperan del nuevo sistema.3. Objetivo 2 En el Proyecto de desarrollo se Utilizara la alternativa más favorable para conseguir que el sistema cumpla los requisitos establecidos. Análisis de Requerimiento del Sistema (ARS) Aquí se identifican los requisitos del nuevo sistema: Objetivo 1 Determinar los requerimientos del sistema. Se evaluarán las alternativas y se seleccionará la más adecuada. que se hará normalmente a través de entrevistas. tendrá especial importancia en la definición de requisitos del sistema. 109 . Auditoria de la Fase de Análisis. En el proyecto deben participar usuarios de todas las unidades a las que afecte el nuevo sistema. Se debe realizar un plan detallado de entrevistas con el grupo de usuarios del proyecto y con los responsables de las unidades afectadas. Dados los requisitos del nuevo sistema se deben definir las diferentes alternativas de construcción con sus ventajas e inconvenientes. A partir de la información obtenida en las entrevistas. Se debe obtener también un catálogo con los requisitos del nuevo sistema.

incluyendo Modelo Lógico de Procesos (NW) y Modelo Lógico de Datos (MLD). rendimiento. copias de seguridad y recuperación.  Se debe especificar las pruebas que el nuevo sistema debe superar para ser aceptado.  La actualización del plan de proyecto seguirá los criterios ya comentados. 110 .  Debe definirse la forma en que el nuevo sistema interactuará con los distintos usuarios. etc. detallándose en este punto en mayor medida la entrega y transición al nuevo sistema. Especificación Funcional del Sistema (EFS) Una vez conocido el sistema actual.La actualización del plan de proyecto seguirá los criterios ya comentados. Esta es la parte más importante para el usuario porque definirá su forma de trabajo con el sistema.  La especificación del nuevo sistemas incluirá los requisitos de seguridad.  Se debe realizar un modelo lógico del nuevo sistema. ambos deben ser consolidados para garantizar su coherencia. se elaborará una especificación funcional del sistema. Debe existir el diccionario de datos. los requisitos del nuevo sistema y las alternativas de desarrollo' más favorables. Objetivo 1  El nuevo sistema debe especificarse de manera completa desde el punto de vista funcional y debe ser aprobado por los usuarios.

 Se debe diseñar un plan de pruebas que permita la verificación de los distintos componentes del sistema por separado. Desarrollo de los Componentes del sistema Objetivo 1  Definir y desarrollar los componentes que formarán parte del sistema.  El entorno tecnológico debe estar definido de forma clara y ser conforme a los estándares del departamento de informática. así como el funcionamiento de los distintos subsistemas y del sistema en conjunto. Auditoria de la Fase de Diseño. En esta fase se programarán y probarán los distintos componentes y se pondrán en marcha los procedimientos necesarios para que los usuarios puedan trabajar con el nuevo sistema. 111 .  Se deben identificar todas las actividades físicas a realizar por el sistema y descomponer las mismas de forma modular.4. Diseño Técnico del Sistema Objetivo 1  Elaborar un Diseño Lógico del sistema garantizando su Calidad. Auditoria de la Fase de Construcción.  Se debe diseñar- la estructura física de datos adaptando las especificaciones del sistema al entorno tecnológico. 5. En esta fase se elaborará el conjunto de especificaciones físicas del nuevo sistema que servirá de base para la construcción del mismo.

 Se debe programar. se deben definir los procesos de formación o selección de personal necesario. 112 . antes de iniciar el desarrollo. probar y documentar cada uno de los componentes identificados en el diseño del sistema.  Deben realizarse las pruebas de integración. o A partir de los perfiles actuales de los usuarios. Se debe preparar adecuadamente el entorno de desarrollo y de pruebas. o Se deben definir los recursos materiales necesarios para el trabajo de los usuarios con el nuevo sistema. además de las actividades necesarias para la puesta en marcha. Auditoria de la Fase de Implementación En esta fase se realizará la aceptación del sistema por parte de los usuarios. Objetivo 1 o El desarrollo de los componentes de usuario debe estar planificado. así como los procedimientos de operación. o Se deben especificar los perfiles de usuario requeridos para el nuevo sistema. o Se debe desarrollar todos los procedimientos de usuario con arreglo a los estándares del área. 6. Desarrollo de los Procedimientos de Usuario.

Objetivo 2 Ejecutar los planes del establecimiento final del sistema en la organización. migrando los datos si es necesario. Si existe un sistema antiguo.  El plan de implantación y aceptación se debe revisar para adaptarlo a la situación final del proyecto. Se debe supervisar el trabajo de los usuarios.Pruebas. Para terminar el proyecto se pondrá en marcha el mecanismo de mantenimiento.  El sistema debe ser aceptado por los usuarios antes de ponerse en explotación. 113 . el sistema nuevo se pondrá en explotación de forma coordinada con la retirada del antiguo.  Se debe realizar las pruebas del sistema que se especificaron en el diseño del mismo. Implementación y Aceptación del Sistema Objetivo 1  Garantiza la realización de las pruebas especificadas en la fase anterior. Se debe instalar todos los procedimientos de explotación. Debe firmarse el final de la implantación.

. f) Explique brevemente los pasos o procedimiento que sé realizar para cumplir esta tares de resguardo de información. . .Tiene usted conocimiento si existe o existió un sistema informático. b) Está conforme con el desempeño del sistema existente. d) El Sistema de información resguarda copias de seguridad. 114 . y el software de gestión existente: . b) Mencione brevemente que operaciones se realizan en el manejo de dicho sistema c) Mencione Usted. Quien es el encargado del mantenimiento de sistema de Información.Explique Brevemente el propósito por la cual fue creado este sistema. .Podría mencionar que tipo de información manejaba este sistema.Actualmente el sistema esta en funcionamiento a) Existe propuesta para el desarrollo de un nuevo sistema de información.Mencione Usted quien esta a cargo de operar dicho sistema a) Mencione quien es el encargado de realizar el mantenimiento de sistema. e) Conque frecuencia se realiza esta tarea de resguardo de la información. Manejo de un Sistema de Información Personal: Cargo: Sobre el manejo de información.ANEXO N° 8 ENTREVISTA Evaluación Sobre La Existencia.

análisis e implantación. su ambiente de trabajo a) La elaboración del sistema informático mencione Usted si contaba con un área para su desarrollo Si ( ) No ( ) .Cuanto tiempo empleaba Usted diariamente para el desarrollo de este sistema Días Semanas Número de Horas ______ Número de Horas______ 115 .Actualmente esta situación se sigue reflejando Si ( ) No ( ) . ya que poseen un conocimiento de base de datos.Sobre el sistema informático. Personal: Cargo: . y seguridad de la información. metodológicas. Esta encuesta se realiza a las siguientes personas.ANEXO N° 9 ENCUESTA Sobre el desarrollo del sistema Informático.

Windows NT [ ] Versión:__________________________ .Windows [ ] Versión:__________________________ .De esta selección mencione cual de esta cuenta con licencia para su uso b) Sobre el manejador de base de datos del sistema informático mencione el nombre de este Software: _______ Versión: ________ .Contaba con licencia de uso Si ( ) No ( ) 116 .Novell [ ] Versión:__________________________ -Otros______________________ .Como se produjo la elaboración de este sistema a) Quienes solicitaron dicha elaboración Directivos___________________________________________________ Nombre_____________________________________________________ Cargo_______________________________________________________ Iniciativa propia ______________________________________________ ..Sobre el Entorno de trabajo de sistema a) Sobre la plataforma de trabajo del sistema (marque una o más opciones) .

¿Existen procedimientos de seguridad Física y lógica de la red? 3. ¿El cableado de la red está debidamente protegido? 5.ANEXO N° 10 ENCUESTA PARA EL ESTUDIO DE REDES NOMBRE: Cargo: Fecha: Hora: 1. ¿Existen procedimientos para el uso de la red? 6. ¿Que tipo de mantenimiento existen en él Centro de Computo? 7. ¿Se controla el acceso a la red? ¿Cómo? 2. ¿Existe algún control para evitar la modificación de la configuración de la red? 4. ¿Cada cuanto tiempo se realiza el mantenimiento de la Red? 117 .

ANEXO N° 11 FORMATO DE INVENTARIO PARA EL EQUIPO DE REDES OFICINA: _______________________________________________________ INFORMACIÓN PROPORCIONADA POR: ____________________________ TELEFONO: _____________________________ FECHA: _______________ CÓDIGO PATRIMONIAL NOMBRE DEL EQUIPO MODELO FABRICANTE FECHA DE FABRICACIÓN DISTRIBUIDOR AL QUE SE LE COMPRÓ PRUEBAS DATOS INGRESADOS POR:_______________________________________ FIRMA 118 .

166 200 119 . 30 000 TOTAL S/. 3 600 Computadora Pentium IV de Fabricación y Soporte de Compaq Computer Corporation. Memoria RAM: 256 Mb Y 128 Mb. Sound MAX Integrated Digital Audio. Lectora COMPAO CD-ROM L TN 486S.ANEXO N° 12 ANÁLISIS DE COSTO Costo Unitario del Equipo S/. Monitor COMPAO 5500 de 14". Bus PCI Controladora de almacenamiento Ultra Ata Intel® 82801 DB-24CB Costo Total de los Equipos S/. Disco Duro SAMSUNG: 40 Gb. 3 000 Costo de Bienes Mueble para computadora Implementos de la Unidad de Informática S/. Diskettera 3 1/2 COMPAQ. Tarjeta de Video Intel ® 82845G/GL Graphics Controller.133 200 Costo de Software y Licencia S/. Teclado Estándar de 101/102 teclas o Microsoft Natural PS/2 Keyboard Mouse COMPAO LOGITECH.

ANEXO Nº 13 METODOLOGÍA INTEGRAL PARA LA GESTIÓN DE RIESGOS OPERATIVOS RELACIONADOS CON TÉCNOLOGIAS DE LA INFORMACIÓN Y SISTEMAS DE INFORMACIÓN MIGRO TI / SI INFORMACIÓN DE LA INSTITUCION Y EL RESPONSABLE DEL PROCESO DE GESTION DE RIESGO DATOS DE LA INSTITUCIÓN Razón Social: Dirección: Ruc: Gerente o Director: Representante de informática: Página Web: E-mail: DATOS DEL RESPONSABLE DEL PROCESO DE GESTIÓN DE RIESGOS Responsable: Líder del proyecto: Fecha inicio: Fecha de entrega: RELACIÓN DE ACTIVOS TOMADOS EN CUENTA POR MIGRO TI/SI 120 .

del activo 9 Ingresar prob. del activo 11 10 Hardware (teclado. unidades ) 11 Insumos (cartuchos de tinta. del activo 1 Ingresar prob. etc. niveles de acceso. Datos de usuarios Nivel de importancia 0 0 0 0 0 0 0 0 0 0 0 Ingresar prob. sistemas. etc.RELACIÓN DE ACTIVOS TOMADOS EN CUENTA POR MIGRO TI/SI Nº 1 2 3 4 5 6 7 8 9 Descripción del activo Servidores y concentradores Base de Datos Software del Sistema. del activo 7 Ingresar prob.) CÁLCULO DE LOS NIVELES DE VULNERABILIDAD DE CADA ACTIVO 121 .) Red Lógica (perfiles. del activo 3 Ingresar prob. Sistemas operativos. del activo 10 Ingresar prob. concentradores. manuales. del activo 4 Ingresar prob. del activo 8 Ingresar prob. del activo 5 Ingresar prob. monitor.) Usuarios Documentación de programas. del activo 2 Ingresar prob. tóner. hardware. procedimientos administrativos locales. patch cord. papel. etc. etc. Software de ofimática. del activo 6 Ingresar prob. Aplicativos Sistemas de Respaldo Red Física (cableado.

00 0.00 0.00 0.Nº de Activo Nombre del Activo Nivel de Importancia Factor de Riesgo Prob.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0. UPS descargado o variaciones de voltaje Destrucción de un componente Entrada sin autorización a la Sala de Comunicaciones Error de configuración Servidores y concentradore s Factores ambientales 0 Límite de vida útil – Máquinas obsoletas Inadecuada planificación organizacional Mantenimiento inadecuado o ausente Modificación no autorizada de datos Robo Sabotaje Virus Cantidad de Factores de riesgo = 0 0 0 0 0 0 0 0 0 0 0 0 0 0 14 0.00 0.00 0. de Ocurrencia % Prob.00 0.00 1 122 .00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0. de Riesgos Nivel de Vulnerabilidad Acceso no autorizado a datos Administración impropia del sistema de TI Corte de luz.00 0.00 0.00 0.00 0.00 0.

de Ocurrencia % Prob.00 0.00 0.00 Nivel de Vulnerabilida d 0.Nº de Activo Nombre del Activo Nivel de Importancia Factor de Riesgo Acceso no autorizado a los datos Prob.00 0.00 0.00 0 Base de Datos mal estructurada 0 Copia no autorizada de datos 0 Documentación deficiente 0 Errores de software 0 Falla de base de datos 0 Falta de confidencialidad 0 Falla en los medios externos 2 Bases de Datos 0 Falta de espacio de almacenamiento 0 Ingreso de datos con caracteres no válidos o datos duplicados 0 Pérdida de backups 0 Pérdida de confidencialidad en datos privados y de sistema 0 Impresoras o directorios compartidos 0 Robo 0 Sabotaje 0 Virus 0 0.00 0.00 0.00 0.00 0.00 0.00 123 .00 0 0. de Riesgos 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.

00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0. Software de ofimática.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0. etc.00 0. Sistemas operativos. de Riesgos 0.00 0.Cantidad de Factores de riesgo = 16 0.00 0.00 0.00 0.00 0.00 0.00 0.00 Nº de Activo Nombre del Activo Nivel de Importancia Factor de Riesgo Aplicaciones sin licencias Dependencia del proveedor Error de configuración Falla del sistema Falta de compatibilidad Falta de revisión de las actualizaciones del "CAUTIVO" Falta de Aplicaciones para la Toma de Decisiones Prob.00 Nivel de Vulnerabilid ad 0.) Pérdida de datos Inadecuada adaptación a cambios del sistema Software desactualizado Virus 124 .00 3 Software del Sistema. de Ocurrencia 0 0 0 0 0 0 0 0 0 0 0 0 0 0 % Prob. Aplicativos 0 Insuficiencia de cláusulas en el contrato de mantenimiento Insuficiencia de cláusulas en el contrato de Adquisición Mala Administración de control de acceso (salteo de login.00 0.

00 0.00 0.00 0.00 125 .00 Nivel de Vulnerabilidad 0.00 0.00 0. de Ocurrencia 14 0.00 0.00 % Prob. UPS descargado o variaciones de voltaje 0 Errores de software 0 Falla en medios externos 0 Falta de espacio de almacenamiento 0 4 Sistemas de Respaldo 0 Falta de integridad de los datos resguardados 0 Medios de datos no están disponibles cuando son necesarios 0 Pérdida de backups 0 Robo 0 Sabotaje 0 Virus 0 Cantidad de Factores de riesgo = 11 Factor de Riesgo Prob.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.Cantidad de Factores de riesgo = Nº de Activo Nombre del Activo Nivel de Importancia Copia no autorizada de datos 0 Corte de luz.00 0. de Riesgos 0.00 0.00 0.00 0.00 0.00 0.00 0.

) Factores ambientales 0 Límite de vida útil de equipos Longitud de cables de red excedida Mal mantenimiento Riesgo por el personal de limpieza o persona externa Cantidad de Factores de riesgo = 126 .00 0. Nivel de Ocurrenci de Vulnerabilida a Riesgos d 0 0 0 0 0 0 0 7 0.00 0.00 0.00 0.00 0. concentradores .00 0.00 0.Nº de Activo Nombre del Activo Nivel de Importanci a Factor de Riesgo Conexión de cables inadmisible Daño o destrucción de cables o equipamiento inadvertido Prob.00 5 Red Física (cableado. etc. de % Prob. patch cord.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.

00 0. de Riesgos 0.) Configuración inadecuada de componentes de red 0 Errores de configuración y operación Falta de autenticación Inadecuada administración para el acceso a Internet y correo electrónico Cantidad de Factores de riesgo = 127 . de Ocurrenci a 0 0 0 0 0 0 6 % Prob.00 0.00 0.00 0.00 0.00 0.00 6 Red Lógica (perfiles. etc.00 0.Nº de Activo Nombre del Nivel de Activo Importancia Factor de Riesgo Abuso de puertos para el mantenimiento remoto Ausencia o falta de segmentación Prob.00 0.00 0.00 Nivel de Vulnerabilidad 0.00 0.00 0. niveles de acceso.00 0.

00 0.00 0.00 0.00 0.00 0.00 0.00 Nivel de Vulnerabilidad 0.00 0.00 0.00 7 Usuarios 0 Entrenamiento de usuarios inadecuado Falta de auditorias Falta de cuidado en el manejo de la información (Ej.00 0.00 0.00 0.00 0.00 0.00 0.00 0. de Riesgos 0. De Ocurrencia 0 0 0 0 0 0 0 0 0 0 0 0 12 % Prob.00 0.00 0.00 0.00 0. Claves) No cumplimiento con las medidas de seguridad del sistema Perdida de confidencialidad o integridad de datos como resultado de un error humano Desvinculación del personal Cantidad de Factores de riesgo = 128 .00 0. modificación o revelación desautorizada o inadvertida de información Condiciones de trabajo adversas Destrucción negligente de datos Documentación deficiente Entrada sin autorización a habitaciones Prob.00 0.Nº de Activo Nombre del Activo Nivel de Importancia Factor de Riesgo Acceso no autorizado a datos Borrado.00 0.00 0.00 0.

00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0. Nivel de Ocurrenci de Vulnerabilida a Riesgos d 0 0 0 0 0 0 0 0 0 0 0 11 0.00 0. Destrucción negligente de datos 0 Documentación insuficiente o faltante.00 0.00 0.00 0. hardware. sistemas.00 0.00 0. de % Prob. modificación o revelación desautorizada de información Copia no autorizada de un medio de datos Descripción de archivos inadecuada Prob.00 0.Nº de Activo Nombre del Activo Nivel de Importancia Factor de Riesgo Acceso no autorizado a datos de documentación Borrado. procedimientos administrativos locales.00 0. etc. gusanos y caballos de Troya Cantidad de Factores de riesgo = 129 .00 0. manuales.00 0.00 0. funciones no documentadas Factores ambientales Mantenimiento inadecuado o ausente Robo Uso sin autorización Virus.00 0.00 0.00 8 Documentación de programas.

00 0.00 9 Datos de usuarios 0 Pérdida de confidencialidad en datos privados y de sistema Robo Sabotaje Cantidad de Factores de riesgo = 130 .00 0.00 0.00 0.00 0.00 0.00 0.00 0. de Riesgos 0. de Ocurrenci a 0 0 0 0 0 5 % Prob.00 Nivel de Vulnerabilida d 0.00 0.00 0.Nº de Activo Nombre del Activo Nivel de Importanci a Factor de Riesgo Falta de espacio de almacenamiento Pérdida de backups Prob.

00 Nivel de Vulnerabilida d 0. UPS descargado o variaciones de voltaje Destrucción o mal funcionamiento de un componente Prob.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0. de Riesgos 0. de Ocurrenci a 0 0 0 0 0 0 6 % Prob.Nº de Activo Nombre del Nivel de Activo Importancia Factor de Riesgo Corte de luz.00 10 Hardware (teclado.00 0.00 0.00 0. monitor.00 0. unidades) Factores ambientales 0 Límite de vida útil de equipos Mal mantenimiento Robo Cantidad de Factores de riesgo = 131 .

00 0.00 0. etc.00 0.00 0.) 0 Recursos escasos Uso descontrolado de recursos Robo Cantidad de Factores de riesgo = 132 .00 0.00 11 Insumos (cartuchos de tinta.00 0.00 0.00 0. Nivel de de Vulnerabilidad Riesgos 0.Nº de Activo Nombre del Activo Nivel de Importancia Factor de Riesgo Factores ambientales Límite de vida útil Prob. tóner.00 0. papel.00 0.00 0. de Ocurrencia 0 0 0 0 0 5 % Prob.

procedimientos administrativos locales. hardware. de % Dif.) 6 7 Red Lógica (perfiles. de Vulnerab. 9 10 Datos de usuarios Hardware (teclado.00 #¡DIV/0! 133 0 #¡DIV/0! #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0! 11 Insumos (cartuchos de tinta.00 #¡DIV/0! 0. niveles de acceso.00 #¡DIV/0! 0.00 #¡DIV/0! 0. Aplicativos 4 Sistemas de Respaldo Red Física (cableado.00 #¡DIV/0! 0. etc.00 #¡DIV/0! 0.00 #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0! Documentación de programas. Sistemas operativos. manuales. monitor. de Riesgos (Niv.Cálculo de importancia ideal de los activos Sum. etc.00 #¡DIV/0! 0.00 #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! 0 #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0! #¡DIV/0! 3 Software del Sistema. unidades ) 0. tóner. Importancia (Ideal) Nº Activos % % 1 2 Servidores y concentradores Base de Datos 0.) . 8 sistemas. patch 5 cord.00 #¡DIV/0! 0.) Importancia (actual) Dif. etc. Software de ofimática. de Imp.00 #¡DIV/0! 0.) Usuarios 0. papel. etc.00 #¡DIV/0! 0. concentradores.

papel.Niveles de vulnerabilidad teniendo en cuenta distintas escalas de importancia Nº Activos Imp.00 1430.07 13.08 143 144 186 136 100 117 142 145 100 117 100 10.51 6.58 6. (1 a 3) R% Imp.00 #¡DIV/0! 0.00 100. etc.18 9. hardware.99 0.00 #¡DIV/0! 0.14 6.93 10.26 17. patch cord. concentradores.60 3. Aplicativos 4 Sistemas de Respaldo 5 Red Física (cableado.) 0.00 10. (1 a 10) R% Imp.00 134 .00 #¡DIV/0! 0.00 #¡DIV/0! 0. etc.15 7. niveles de acceso.99 8. manuales. monitor.71 8. Sistemas operativos.01 9. etc 9 Datos de usuarios 10 Hardware (teclado.00 #¡DIV/0! 3250.99 8. tóner.00 #¡DIV/0! 0. unidades ) 11 Insumos (cartuchos de tinta.17 8.15 3.00 #¡DIV/0! 0.14 12. Software de ofimática.) 6 Red Lógica (perfiles.00 #¡DIV/0! 0.00 #¡DIV/0! 0. (1 ) R% 1 Servidores y concentradores 2 Base de Datos 3 Software del Sistema. etc.20 13.) 7 Usuarios Documentación de programas.95 6.00 #¡DIV/0! 0.18 6.00 #¡DIV/0! 0. sistemas.00 100.00 #¡DIV/0! 429 431 557 409 200 233 283 291 200 117 100 13. procedimientos 8 administrativos locales.

tóner.00 100. procedimientos administrativos locales.00 9. manuales.00 100.09 9.00 0.09 9.) Usuarios Documentación de programas.00 100.00 300.00 300.00 0. Aplicativos 300.09 100.00 100.00 0.09 100.09 100.00 0. niveles de acceso.00 0.) Red Lógica (perfiles. papel.09 9.00 300.09 100.00 100.00 9.00 100. monitor.Valores máximos y mínimos reales Nº Activos . etc.09 9.00 300. etc 8 9 10 11 Datos de usuarios Hardware (teclado.) 300.09 9. concentradores.00 100.00 9.09 9.00 3300.00 135 .00 0 0 117 0 117. unidades ) Insumos (cartuchos de tinta.00 0.09 9.00 300.00 100.00 9.09 9.00 100.09 9.09 9.00 100.00 300.00 0.09 0 0 0 0 0 0. Sistemas operativos. etc.09 9. etc.00 9.09 0 0 0.09 9.00 1100.00 300. hardware.09 9.00 300.09 9.00 3 4 5 6 7 Sistemas de Respaldo Red Física (cableado.09 9.00 9. Software de ofimática.00 100.00 300.00 0. sistemas.Riesgos totales (Sin ponderar la importancia) (333) % (111) % (123) % 1 2 Servidores y concentradores Base de Datos Software del Sistema.09 9. patch cord.

55 33.Porcentajes de riesgos cubiertos Porcentaje de Riesgos Descubiertos Porcentaje de Riesgos Mínimos Desviación 3.33 -29.79 136 .

55 33. 00 de enero de 1900 Porcentajes de riesgos cubiertos Porcentaje de Riesgos Descubiertos Porcentaje de Riesgos Mínimos Desviación 3.REPORTE FINAL MIGRO-TI/SI DATOS DE LA INSTITUCIÓN Razón Social: Dirección: Ruc: Gerente o Director: Representante de informática: Página Web: E-mail: 0 0 0 0 0 0 0 DATOS DEL RESPONSABLE DEL PROCESO DE GESTIÓN DE RIESGOS Responsable: Líder del proyecto: Fecha inicio: Fecha de entrega: 0 0 sábado.79 137 .33 -29. 00 de enero de 1900 sábado.

Master your semester with Scribd & The New York Times

Special offer for students: Only $4.99/month.

Master your semester with Scribd & The New York Times

Cancel anytime.