Professional Documents
Culture Documents
APURÍMAC
CURSO
TEMA
"AUDITORIA A LA UNIDAD DE INFORMÁTICA DE LA ONPE"
AUTORES
AÑO 2014
INDICE
INTRODUCCION ............................................................................................................................. 7
CAPÍTULO I .................................................................................................................................... 8
AUDITORIA INFORMATICA ...................................................................................................... 8
1.1. ALCANCE DE LA AUDITORIA............................................................................................. 8
1.2. OBJETIVO ESPECIFICO ......................................................................................................... 8
1.3. OBJETIVOS DETALLADOS .................................................................................................. 8
CAPÍTULO II .................................................................................................................................. 9
ENTENDIMIENTO DE LA ORGANIZACIÓN .......................................................................... 9
2.1. ANTECEDENTES .................................................................................................................... 9
2.2. MISION ..................................................................................................................................... 9
2.3. VISION ..................................................................................................................................... 9
2.4. ESTRUCTURA ORGANIZACIONAL DE LA ONPE .......................................................... 10
CAPÍTULO IV ............................................................................................................................... 10
PLAN DE AUDITORIA ................................................................................................................ 11
3.1. ALCANCE DEL PROYECTO ............................................................................................... 11
3.2. PERIODO DE EVALUACIÓN .............................................................................................. 11
3.3. RECURSOS ............................................................................................................................ 11
3.4. PLAN DE TRABAJO ............................................................................................................. 12
3.5. FUENTES DE INFORMACIÓN ............................................................................................ 13
CAPÍTULO IV ............................................................................................................................... 14
ADMINISTRACIÓN DE LA SEGURIDAD FÍSICA ................................................................ 14
4.1. OBJETIVO .............................................................................................................................. 14
4.2. CONTROL DE ACCESO FÍSICO AL CENTRO DE CÓMPUTO ........................................ 14
4.3. AMBIENTE DEL CENTRO DE CÓMPUTO ........................................................................ 14
4.4. CONTROL DE ACCESO A EQUIPOS.................................................................................. 15
4.5. DEBILIDADES Y RECOMENDACIONES .......................................................................... 17
4.6. CONCLUSIONES ................................................................................................................... 22
CAPÍTULO V ................................................................................................................................ 23
ADMINISTRACIÓN DE LA SEGURIDAD LÓGICA .............................................................. 23
5.1. OBJETIVO .............................................................................................................................. 23
5.2. ADMINISTRACIÓN DE CUENTAS ..................................................................................... 23
5.3. AUTENTICACION ................................................................................................................ 24
5.4. ADMINISTRACIÓN DE CONTRASEÑAS .......................................................................... 24
5.5. REGISTROS DE AUDITORIA .............................................................................................. 25
5.6. DEBILIDADES Y RECOMENDACIONES .......................................................................... 25
5.7. CONCLUSIONES ................................................................................................................... 31
CAPÍTULO VI ............................................................................................................................... 32
ADMINISTRACIÓN DE REDES ................................................................................................ 32
6.1. OBJETIVO .............................................................................................................................. 32
6.2. CONFIGURACIÓN Y DIAGRAMA DE RED ...................................................................... 32
6.3. POLÍTICAS DE MANTENIMIENTO Y SOPORTE DE RED .............................................. 33
6.4. FIREWALL ............................................................................................................................. 33
6.5. ANTIVIRUS............................................................................................................................ 33
6.6. MONITOREO DE LA RED.................................................................................................... 33
6.7. DEBILIDADES Y RECOMENDACIONES .......................................................................... 34
6.7. CONCLUSIONES ................................................................................................................... 37
ANEXO A: ENTREVISTAS REALIZADAS ADMINISTRACION Y ORGANIZACIÓN DE TI
ADMINISTRACION DE LA SEGURIDAD
INTRODUCCION
La información de las instituciones públicas es uno de los activos más importantes que
posee. Las organizaciones tienen que desarrollar mecanismos que les permitan asegurar la
disponibilidad, integridad y confidencialidad en el manejo de la información debido a que
está sujeta a muchas amenazas internas como externa.
Para el desarrollo de la auditoría, se tiene que conocer y comprender cuáles son sus
principales procesos, políticas o normativas que se maneja para resguardar la seguridad de
la información, los objetivos de la organización y del área de TI.
Como resultado se generará una opinión técnica objetiva con respecto al nivel de seguridad
de la información dentro de la organización, adicional a esto se detallará las debilidades
encontradas y se emitirá las recomendaciones que contribuyan a mejorar los controles
generales.
CAPÍTULO I
AUDITORIA DE INFORMÁTICA
2.1. ANTECEDENTES
La ONPE se crea con la Constitución Política del Perú (artículo 177) vigente desde el
31 de diciembre de 1993. La Ley Orgánica de la ONPE, Ley N° 26487, es publicada el
21 de junio de 199.
Desde su creación, la ONPE ha realizado 52 procesos electorales y ha tenido 3 jefes. El
primero de ellos fue el Dr. José Portillo Campbell, en cuya gestión se realizó el primer
proceso electoral organizado y ejecutado por la ONPE: las Elecciones Municipales de
1995. En total, se realizaron 10 procesos electorales durante esta primera gestión.
El segundo jefe de la ONPE fue el Dr. Fernando Tuesta Soldevilla, quien asumió la
jefatura el 04 de diciembre del 2000, realizando un total de 9 procesos electorales.
En enero de 2005, tras un concurso público convocado por el CNM, la Dra. Magdalena
Chú Villanueva, fue nombrada jefa de la ONPE para el período 2005-2009. Durante
esta primera gestión se realizaron 16 procesos electorales. En diciembre de 2008, el
mandato de la Dra. Magdalena Chú fue ratificado por el CNM, para el periodo 2009-
2013. Durante esta segunda gestión se realizaron 17 procesos electorales. En Enero de
2013 concluyó la gestión de la doctora Chú.
El 25 de enero de 2013 asumió la Jefatura de la Oficina Nacional de Procesos
Electorales, el doctor Mariano Cucho Espinoza, para el periodo 2013 – 2017.
2.2. MISION
Ser una institución de excelencia que cuenta con la confianza de la población,
promoviendo una cultura de valores democráticos mediante el uso de tecnología e
innovación.
2.3. VISION
Garantizar la obtención de la genuina y libre expresión de la voluntad popular para
fortalecer la institucionalidad democrática.
2.4. ESTRUCTURA ORGANIZACIONAL DE LA ONPE
La organización está estructurada de la siguiente manera:
CAPITULO III
PLAN DE AUDITORIA
3.1. ALCANCE DEL PROYECTO
La presente auditoria comprende fundamentalmente en la planificación, ejecución y
evaluación de los controles generales implementados de los siguientes aspectos:
■ Administración de Redes
■ Configuración y Diagrama de la Red
■ Políticas y procedimientos de mantenimiento y soporte de la red
■ Antivirus
■ Firewall
■ Monitoreo de la Red
3.3. RECURSOS
El personal involucrado en el desarrollo de la auditoria es de cuatro personas, las mismas
que se comprometen a resguardar la información sensible de la organización.
El centro de cómputo cuenta con un aire acondicionado central apropiado para los
servidores.
Sistema
Servidor Ubicación Información
Operativo
Servidor de Ubutu Centro de Todas las aplicaciones
Aplicaciones y Base (Linux) Cómputo (Matriz) utilizadas en la organización y
de Datos base de datos.
No se tiene el diseño del diagrama físico y eléctrico de la red del centro de cómputo ubicado
en la matriz y en la sucursal, motivo por el cual al instalar o colocar un equipo compartido
se lo realiza de forma empírica sin un estudio previo.
Los servidores no se encuentran en un gabinete cerrado con llave, tampoco los equipos de
red instalados, por este motivo cualquier persona no autorizada puede tener acceso a ellos.
Se tiene un inventario de los equipos informáticos que tiene la organización pero no están
detallados y actualizados, se puede desconocer en algunas ocasiones la ubicación, estado y
responsable de algún equipo.
Adicional no existen contratos de seguros de equipos en especial para equipos que soportan
un proceso crítico de la organización como son los servidores.
FALLAS
Si el equipo ha sido dañado, perdido, robado o no está disponible por algún motivo para las
actividades normales de la organización, el usuario debe informar al departamento de TI
para la habilitación del equipo.
EQUIPOS DE BAJA
No existen procesos para manipular o dar de baja un equipo o periférico.
DISPOSITIVOS EXTERNOS
Para el manejo de dispositivos externos no existen políticas para el uso y manipulación de
estos dispositivos, debido a que los computadores tienen sellado con silicón los puertos
USB para que no puedan colocar ningún dispositivo externo y no tienen habilitadas las
disqueteras, ni CD o DVD.
No se tienen políticas o procedimientos Personal no autorizado puede ingresar al M Se sugiere tener políticas de acceso para personal
formales para el acceso de personal área sin ninguna restricción atentando a interno o externo.
interno o externo al área de informática. la integridad, confiabilidad y
disponibilidad de la información
Se evidenció que los servidores y equipos Personal no autorizado puede ingresar a A Se sugiere destinar un área de la ONPE que sea
de red se encuentran ubicados en una la oficina del Gerente de TI y acceder a exclusiva para ubicar los servidores, el switch central
pequeña mesa en la oficina del Gerente de los servidores atentando a la integridad, y demás equipos de tecnología informática.
TI, si no está ninguna persona dentro de confiabilidad y disponibilidad de la
la oficina se cierra con llave la puerta y se información. Esta área debe de cumplir con las medidas
la deja en recepción. ambientales para el buen funcionamiento de los
equipos y sobre todo cumplir con las medidas de
seguridad necesarias para que personal no autorizado
no tenga acceso a esta área.
Durante la visita técnica se comprobó que Personal no autorizado puede ingresar al M Se sugiere implementar controles para el acceso de
se puede ingresar a la Oficina donde se área sin ninguna restricción. personal interno y externo no autorizado al area de
encuentra los servidores sin ninguna Informática
restricción, incluso durante la entrevista
el Gerente de TI tuvo que salir a atender
un llamado abandonando la oficina.
Nivel de
Hallazgo Impacto Riesgo Recomendación
Se evidenció que no se tiene instalado Al ser una ONPE que brinda servicios a A Se recomienda implementar planes o
extintores en el Área de Informática, se los habitantes de Abancay, existe la mecanismos para la prevención de
pudo observar que si hay extintores en el posibilidad de que se produzca un incendios.
primero y segundo piso. incendio pueden dañarse o perderse los
equipos informáticos y la información
que contienen.
Control de Acc
Se evidenció que los equipos dados de Al no tener precauciones al eliminar la B Se sugiere tener una política para limpiar
baja son enviados al área sin verificar que información de un equipo que se da de el disco de todo software o información
la información de ese equipo ha sido baja, puede quedar expuesto que se tenga de un equipo antes de darle
eliminada. información confidencial a personal no de baja o asignárselo a otra persona.
autorizado siendo un peligro para la
organización.
Hallazgo Impacto Nivel de Recomendación
Riesgo
Durante la entrevista al Gerente de TI se Se tiene el riesgo de no tener un control B Se sugiere realizar planos físicos o electrónicos de las
evidenció que no se tienen diagramas adecuado en servicios de hardware en un redes de datos, centro de cómputo para la matriz y
físicos de redes, electrónicos o planos del futuro crecimiento afectando el sucursal con un responsable en la actualización de
centro de cómputo. performance que se tiene en las redes o estos diagramas.
equipos compartidos.
Se evidenció que no se tiene un plan de Al levantar el ambiente de producción en M Se sugiere tener un plan de contingencia básico que
contingencia formal, en caso de haber forma empírica con un computador de no contemple lo siguiente:
una falla en los servidores, en caso de similares características se corre el riesgo • Plan de respaldo: contramedidas necesarias
haberla se utilizaría un computador de no tener las aplicaciones 100% durante la materialización de una amenaza.
común. operativa o dificultades en su ejecución. • Plan de emergencia. Contempla las
contramedidas necesarias durante la materialización
de una amenaza.
• Plan de recuperación. Contempla las medidas
necesarias después de materializada y controlada la
amenaza.
• Responsable/ Persona que lo reportó
No existe un inventario detallado de los No se tiene un control de las B Se recomienda tener un inventario detallado de los
equipos de equipos. características y estado de los equipos equipos, donde se incluya:
que se encuentran instalados en cada área • Hardware: dispositivos instalados en cada
de la organización. máquina, número de serie, y demás datos sobre
procesadores, tarjetas, teclados, estaciones de
trabajo, computadoras personales, impresoras,
unidades de disco, servidores, routers, bridges.
• Software en los equipos: programas fuente,
programas objeto, utilerías, programas de
diagnóstico, sistemas operativos, programas de
comunicaciones, números de licencias.
• Datos o principales archivos que contienen los
equipos.
• Configuración de los equipos (y sus archivos de
configuración).
•Ubicación de los equipos (departamento).
• Responsable
4.6. CONCLUSIONES
En el siguiente cuadro se muestra la evaluación por las secciones descritas acorde al
alcance definido:
Las cuentas de usuarios son creadas a cada usuario por cada área para brindar los servicios
a los habitantes de Abancay.
Se tienen deshabilitadas las cuentas genéricas para el acceso tanto para los sistemas
operativos, aplicaciones, redes y base de datos de la organización.
Existen cuentas de usuarios administradores con la cual la persona encargada puede ver
la información de todos los módulos que tiene el sistema y la base de datos, este usuario
puede ingresar desde cualquier computador y acceder a toda la información.
No existe en el sistema una lista de control de acceso que se pueda identificar los tipos de
usuarios a las aplicaciones y base de datos.
Las cuentas de usuarios que permanecen varios días sin actividad no pasan a un estado de
suspensión automática.
5.3. AUTENTICACION
Para la autenticación del usuario a nivel de aplicaciones y de red se realiza de la siguiente
manera:
1. Ingreso de Nombre de usuario (a completar por el usuario)
2. Ingreso de Contraseña (a completar por el usuario)
3. Verificación de la autenticidad de la identificación
4. Validación si las credenciales aportadas son suficientes para dar acceso al
usuario.
El gerente de TI crea la contraseña del usuario de manera directa a la base de datos con al
menos 7 caracteres en una combinación de números, caracteres especiales, letras
mayúsculas y minúsculas; adicional no se usa salvo que estén acompañados de caracteres
adicionales no relacionados los nombres propios, ubicación geográfica, número de
identificación, del seguro social y fechas de nacimiento.
A los servidores, equipos de red y base de datos se puede ingresar con una clave universal,
no se han cambiado las claves a pesar que se tiene conocimiento, por este motivo personal
no autorizado puede que acceda a programas no autorizados e incluso puede visualizar las
claves de los demás usuarios.
Durante la revisión se comprobó que el Al tener acceso todo el personal a A Se sugiere limitar los accesos al personal de TI,
personal de TI tiene activado el acceso a información confidencial o sensitiva de dejando activos solamente las opciones que son de su
todas las opciones del sistema principal. la ONPE existe la posibilidad de que competencia.
peligre la integridad de la información al Se recomienda tener un solo responsable usuario
aumentar el riesgo de un posible fraude o administrador tanto para los aplicativos como para la
cometer errores. base de datos.
Durante la revisión de cuentas de Se posibilita que por error o negligencia M El departamento de TI debe establecer políticas para
usuarios se comprobó: la cuenta o los permisos de algún usuario la creación de cuentas de usuario que incluyan:
• No se tiene políticas o sean modificados, permitiendo a usuarios • Perfil de Usuario
procedimientos formales para la no habilitados accedan a información • Modificaciones de cuentas
creación de cuentas de usuarios en los sensible. • Des-habilitación de cuentas.
aplicativos y base de datos. • Responsable de los cambios
• No se lleva a cabo una revisión
periódica ni control sobre las cuentas de Se recomienda realizar un control de las cuentas de
los usuarios o permisos que se tienen usuarios de manera periódica, que contenga:
asignados. • Se encuentren activas solo las cuentas en uso.
• Tipos de permisos que los usuarios poseen sobre
los mismos.
•Las contraseñas se cambien periódicamente.
No se tiene una lista de control de acceso Al tener una lista de usuarios a las A Se sugiere realizar una lista de acceso de los usuarios
de los usuarios a las aplicaciones. aplicaciones existe la posibilidad que que se tienen a nivel de aplicación, base de datos y
personal que ya no labore en la ONPE redes.
acceda a las aplicaciones atentando
contra la integridad de la información.
Hallazgo Impacto Nivel de Recomendación
Riesgo
El encargado de hardware puede ingresar El encargado de hardware puede dejar M Se recomienda que el encargado de hardware no
con su usuario desde cualquier equipo de una sesión abierta en cualquier tenga la posibilidad de tener más de una sesión
la ONPE tanto en la matriz como en la computador, lo que permite a cualquier abierta.
sucursal, además de tener la posibilidad usuario que acceda a esta terminal
de abrir varias sesiones del sistema al realizar cambios en los perfiles de
mismo tiempo. usuarios y sus permisos, entre otras
actividades.
No existe en la organización un Se corre el riesgo que puedan ingresar a B Se sugiere establecer políticas para la administración
procedimiento formal para efectuar las las aplicaciones con la clave de los de cuentas que incluya el procedimiento de
bajas de los empleados del sistema. empleados próximos a desvincularse de desvinculación de personal saliente.
la ONPE.
Se observó que no se tiene un control de Genera la posibilidad de que alguna B Se sugiere inhabilitar estas cuentas cuando entre a un
bloqueo automático en las aplicaciones persona no autorizada tenga acceso a una periodo de tiempo determinado o por vacaciones, con
para los usuarios que tienen varios días cuenta de usuario que no le corresponde, esta última previa coordinación con el jefe del área
de inactividad o se encuentran de permitiendo ver información sensible o de recursos humanos.
vacaciones. confidencial.
Se evidenció que en los servidores se Cualquier persona que consiga ingresar B Se recomienda usar el usuario administrador en caso
encuentran activadas las sesiones de al centro de cómputos podría acceder a que fuera necesario realizar una tarea específica.
administrador durante las 24 horas del los datos y a la configuración de los
día. servidores.
Hallazgo Impacto Nivel de Recomendación
Riesgo
Autenticación
Cuando un usuario quiere autenticarse en La información sensible puede no ser A Se recomienda modificar el aplicativo de manera que
la aplicación se presenta en el campo de íntegra ni confiable debido a que no puede revelarse la contraseña al dar click derecho.
contraseña el caracter asterisco, pero si personal puede ver la contraseñas de
se da click con el mouse el sistema revela otros y tener acceso a los aplicativos para
la contraseña ingresada. modificación de información o consultas
no autorizadas.
Administración de Contraseñas
Durante la revisión se comprobó que a Al no tener una clave universal para A Se sugiere cambiar las claves de todas las cuentas
pesar de tener una cuenta administrador cuentas administradores se tiene el riesgo administradores de manera periódica con un máximo
para la base de datos, servidores y redes que personal adivine la contraseña y 6 caracteres, incluyendo mayúsculas y símbolos
es una clave universal. pueda acceder a la información sensible. como @#$, a fin de no permitir tener una contraseña
universal para acceso a las aplicaciones.
Se evidenció que no se tiene Personal adivine la contraseña y pueda B Se sugiere implementar un procedimiento para el
procedimientos para cambios de acceder a la información sensible de la cambio de contraseña con lo siguiente:
contraseñas en un determinado periodo organización. • Expiración de Contraseñas: activación de la
de tiempo. configuración de cambio de contraseñas en un
periodo de tiempo determinado, en especial para
cuentas administradoras o privilegiadas.
• Historial de Contraseñas: implementar un
mecanismo para permitir un control histórico de
contraseñas a fin de impedir ingresar una contraseña
anteriormente usada.
Nivel de
Hallazgo Impacto Riesgo Recomendación
Se evidenció que la clave en la base de Personal adivine la contraseña y pueda A Se sugiere cumplir las políticas establecidas para la
datos del sistema no cumple con la acceder a la información sensible de la asignación e ingreso de contraseñas y documentarlas.
política establecida por el administrador. ONPE.
5.7. CONCLUSIONES
En el siguiente cuadro se muestra la evaluación por las secciones descritas acorde al alcance
definido:
ADMINISTRACIÓN DE NO CUMPLE
CONTRASEÑAS
REGISTROS DE AUDITORIA NO CUMPLE
6. ADMINISTRACIÓN DE REDES
6.1. OBJETIVO
Evaluar la red y comunicaciones que se encuentra implementada para que los programas,
datos y equipos estén conectados entre sí; así como el mantenimiento y soporte de la red.
La instalación del cableado fue realizada de forma práctica por la persona encargada de
hardware, adicional no se tiene diagrama de los puntos de red que se tienen en la unidad
informática. Al instalar los puntos de red se tomó en cuenta de no pasar por los cables de
corriente eléctrica para no provocar interferencias, daños o cortes.
Para la conexión de red entre los computadores utilizan una red de área local (LAN) se
tiene una arquitectura cliente servidor, de esta manera se comparten recursos.
Se utiliza una red Ethernet para proporcionar una velocidad mayor en la transferencia de
datos entre 10 y 100Mbps. El protocolo que se utiliza es el TCP/IP por medio de este se
asigna a los equipos la dirección IP en un rango de determinado.
FALLAS EN LA RED
Cuando hay un corte de luz se deja de trabajar online, se enciende el generador de energía,
mientras tanto las cajas continúan facturando manualmente.
En caso de falla de red por los equipos, se tiene considerado de igual manera facturar de
forma manual y una vez restaurado el sistema las facturas o cobros realizados son ingresados.
Cuando un usuario por medio de la aplicación está realizando una operación y si se
desconecta o falla la red se pierde los paquetes de datos enviados, se debe realizar
nuevamente la operación una vez habilitada la red.
6.4. FIREWALL
El firewall utilizado en la ONPE es el que viene instalado en el sistema operativo Ubuntu. El
ufw está habilitado y configurado por defecto, aceptando todas las conexiones salientes y
rechazando todas las conexiones entrantes.
6.5. ANTIVIRUS
Los computadores personales tienen instalado la versión actual del software antivirus
instalado AVG gratuita; las actualizaciones del antivirus son bajadas de forma automática
por el internet y por control del departamento de TI, en el caso de los equipos que no tiene
acceso a internet el encargado de Hardware realiza las actualizaciones de manera manual.
No hay un control con respecto a la negación de servicios para el tráfico de la red, cantidad
de archivos abiertos y cantidad de usuarios conectados.
6.7. DEBILIDADES Y RECOMENDACIONES
De la evaluación realizada según la metodología surgen las debilidades encontradas y a
corregir y sugerencias a poder implementarse ante la ausencia o falta de los controles.
En la actualidad no se cuenta con un Crecimiento desordenado de la red. B Se debe de realizar un esquema del diagrama de
diagrama de configuración de redes ni configuración de red y como está diseñada
de cómo se encuentra diseñada. No se tiene una ubicación exacta de los
equipos en la red
No se tiene políticas o procedimientos Deterioro de equipos y canales de A Establecer un plan de mantenimiento y niveles de
formales para la planificación de los comunicación. soporte de la red, que contemple:
mantenimientos de la red. • Limpieza de los componentes.
• Ordenamiento de la red.
• Actualización de software de los dispositivos de
red.
• Reparaciones o cambios de elementos del canal de
comunicación.
• Responsable
• Periodicidad
No se tiene una lista de IP disponible de Al no tener una lista de IP el encargado de B Se recomienda realizar una lista de IP de la red y a
la red. la red no tiene conocimiento que equipo qué equipo se encuentra asignado.
tiene asignada una determinada IP o que
IP se encuentra disponible en la red.
Hallazgo Impacto Nivel de Recomendación
Riesgo
Monitoreo
No se tiene herramientas destinadas para Impacto de generación adecuada M Se recomienda realizar un monitoreo de la red donde se
el monitoreo de la red. contemple:
• Negación de Servicios
• Sniffing
• Responsable
Antivirus
se tiene procedimientos formales en caso Al tener un procedimiento para la M Establecer procedimientos a seguir en caso que se
de que los equipos se infecten de virus. eliminación de virus puede que no se encuentre un virus en el sistema, verificando:
elimine el virus completamente del equipo • Escaneo de Disco Duro.
y pueda contagiar a los demás por medio de • Dispositivos de entrada para saber fuente de virus.
la red. • Determinar la fuente.
• Comprobar si se eliminó completamente el virus.
Se evidenció que el antivirus instalado se Impacto de generación adecuada A Se recomienda tener una versión actualiza del antivirus
encuentra licenciado. para una protección del equipo y redes de manera
optima.
6.8. CONCLUSIONES
En el siguiente cuadro se muestra la evaluación por las secciones descritas acorde al alcance
definido:
ANTIVIRUS SI CUMPLE
MONITOREO NO CUMPLE
Como resultado de la auditoría se concluye que los controles internos SON ACEPTABLES a
un nivel no muy óptimo, la red implementada funcionan y se tiene un control de nivel estándar
en la configuración y mantenimiento de equipos conectados.
ADMINISTRACION Y ORGANIZACIÓN DE TI
F echa: 12 de Agosto 2011
Entrevistado: Gerente de TI
Item Pregunta SI NO N/A Observaciones
1 Existe una adecuada separación de X
funciones dentro de la organización?
Entrevistado: Gerente de TI
Mantenimiento de Software
Mantenimiento de Hardware
Item Pregunta SI N N/ Observaciones
O A
SEGURIDAD LOGICA
1 ¿Existen controles, procedimientos y Pero no de manera
X
estándares de seguridad de acceso? formal