You are on page 1of 36

.

AUDITORIA DE LA CALIDAD Objetivo general Garantizar la calidad de los servicios prestados para un mayor grado de satisfacción de los clientes. Objetivos específicos Evaluar calidad de software dependiendo las características y requerimientos de la norma ISO 9126. Valorar las características del software como son la funcionalidad, eficiencia, fiabilidad, portatibilidad.

Hallazgos

Se encuentra un sistema integrado de gestión de nombre HELISA lo cual cumple con todos los requisitos mínimos de software como lo son la visualización, ingreso, consulta de datos y el agradable ambiente para los usuarios del sistema. Recomendaciones Evaluar el software HELISA según la norma ISO 27002 si está cumpliendo con los requerimientos mínimos de software de gestión, seguridad de la información, riesgos de seguridad y tipos de controles.

Opinión -De acuerdo a los resultados arrojados por las listas de chequeo se obtiene un resultado favorable. -Se realiza con éxito esta auditoría con la cual se estuvo libre de salvedades analizando cada uno de los puntos más importantes de un software de gestión y contando con la gran certeza que se cuenta con uno de los beneficios más completos para una empresa que es tener a la mano una herramienta tan completa como el HELISA.

AUDITORIA DE LA EXPLOTACIÓN

Objetivo general -Asegurar las funciones que sirven de apoyo a las tecnologías de la información se realicen con regularidad, de forma ordenada y satisfaga los requisitos de la empresa. Objetivos específicos -Garantizar que los empleados estén familiarizados con los procesos que están funcionando. -Evaluar la existencia y funciones del comité informático y a la vez también la calidad de los productos del departamento informático

Hallazgos -No aplica plan estratégico y tampoco cuenta con un comité informático. -El plan que desarrollan ellos son de estrategias de ventas y mercadeo más no de creación de nuevas tecnologías para la empresa.

Recomendaciones -La creación de una zona de control de sistemas o llamado sala de informática es necesaria para evitar plagios o daños de la información tanto de amenazas internas y externas. -Implementar factores claves para una empresa u organización que quiere planear y llevar a cabo ideas para en pro a la creación de software de calidad y generando ambientes de trabajo eficiente en todos los ámbitos que se involucre seguridad, confianza, fiabilidad y éxitos en los procesos necesitados.

Opinión -De acuerdo a los resultados obtenidos por las listas de chequeo, se establece como desfavorable. -Se realiza la auditoria donde se tienen grandes falencias en cuanto a la seguridad de la información, seguridad de los equipos, por falta de un comité y de una sala informática. -Los planes de la empresa no se encuentran concisos, ni claros para los empleados.

AUDITORIA DE LA SEGURIDAD FÍSICA

Objetivo General

-Establecer e identificar los aspectos y falencias de la organización, con respecto a la seguridad física ya que es un área de gran importancia para el buen funcionamiento de una organización.

Objetivos Específicos
-Auditar los procedimientos generales de la seguridad física. -Realizar registro fotográfico de las aéreas correspondientes. -Analizar y calificar la ubicación, el estado y la seguridad del edificio -Analizar y calificar los controles de acceso con los que cuenta la empresa. -Analizar y calificar la organización y planificación con la que cuenta la organización en caso de incendio. -Analizar y calificar, los manejos y prevenciones adquiridas por la compañía con respecto a posibles desastres producidos por el agua. -Verificar la organización y el uso que la organización al suministro eléctrico. -Auditar y orientar al personal de la organización, sobre el buen uso de hardware y software, como punto fundamental para un mejor desempeño en la organización. -Calificar los puntos principales obtenidos en la auditoria, con busca de solución para mejorar los procesos en la organización.

Hallazgos
Procedimientos generales -No existe una política de seguridad física -No existen planes de contingencia -No se dictan conferencias sobre seguridad física los empleados. -No se ha realizado un análisis de riesgos de seguridad física. -No se realizan simulacros de emergencia. -La organización carece de seguros para las tecnologías de la información. -No hay un estudio realizado sobre el estado del edificio. -El edificio no cuenta con un pararrayos.

Control de acceso

-No hay un estudio de intrusión del edificio. -No hay un análisis de riesgos de acceso al CPD, no se le dio buena ubicación (está en riesgo ya que cualquier persona que se encuentre en las oficinas puede manipular el servidor). -El personal ajeno a la empresa no se identifica (no se le asigna carnet) al ingresar, justificando así la inexistencia de un procedimiento de acceso de personal. -La organización no cuenta con vigilancia externa. -No se ha verificado la resistencia de puertas y ventanas en caso de intrusión. -No existe un control de grabaciones diarias, tampoco cuentan con vigilantes de seguridad, se omite el procedimiento de rondas de verificación.

Incendio

-En el edificio ciertos elementos como revestimientos y techos no están construidos con materiales infugos. -No hay un sistema automático para corte de energía en caso de emergencia -Ciertos elementos necesarios en caso de emergencia a excepción de detectores de humo y extintores, no son utilizados en la empresa.

Agua

-No hay un estudio de posibles inundaciones en la zona -No hay planos de la red de tuberías y alcantarillado -No se da un buen chequeo al estado de las tuberías y las llaves de paso -No hay sistemas de detección de fallos.

Suministro eléctrico

-No hay un control necesario para el manejo del suministro eléctrico, esto incluye la falta de vigilancia, cortes automáticos, restricción a cuadros de alimentación, etc. Comunicaciones -No hay sistemas de comunicación alternativa en caso de fallos. -No hay planos de cableado del edificio, y no se realizan pruebas periódicas de funcionamiento. -No se inspeccionan las actividades de las personas de mantenimiento, al momento de intervenir o realizar labores

Hardware / Software -No existe un plan de mantenimiento ni registro de entrada y salida de software. -No hay un procedimiento físico de identificación de software. -No hay procedimientos de registros y verificación de la integridad de soportes.

Recomendaciones

De acuerdo a la norma ISO 27002 la cual básicamente trata de la seguridad de la información se define en el estándar como "la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)".Se dan las siguientes recomendaciones:

-La planeación y ejecución de procedimientos en la organización, ya que es una base de gran importancia sirviendo como guía y estableciendo ciertos parámetros, permitiendo así la fluidez de los procesos en la organización, garantizando la calidad y satisfacción hacia el cliente por los productos y servicios requeridos. -Implementación de análisis de posibles riesgos en la organización, ya que proporcionan una defensa por omitir eventos que pueden ser desastrosos. -Planear y ejecutar labores acordes al mejoramiento del edificio, entre ellos incluidos: pararrayos, pruebas de materiales, redes eléctricas y de comunicaciones, puertas y ventanas. -Implementar sistemas alternos eléctricos y de comunicación, para evitar problemas en los procesos. -Planificar y delegar cronogramas de actividades y control de mantenimiento de hardware y software.

Opinión

-De acuerdo a los resultados arrojados, se califica como desfavorable la seguridad física. -En la ejecución de la auditoria se hacen evidentes factores importantes, ya que pueden afectar en un momento dado la integridad de la organización. -Puntos importantes como la falta de procedimientos, planes de contingencia, evaluaciones de riesgo, sistemas alternos, la falta de documentación de la edificación, y sistemas automáticos. Que en la actualidad son muy útiles, no simple mente facilitan tareas, además de la confiabilidad proporcionan la calidad, resultados favorables, que permitirán fácilmente la expansión de la organización.

AUDITORIA DE LA OFIMÁTICA Objetivo General
-Establecer si la organización ofimática de la compañía cumple con las normas, y hacen buen uso de las herramientas ofimáticas para que los procesos generados en la oficina fluyan eficazmente. . Objetivos Específicos -Evaluar el inventario ofimático, que cumpla con lo que ahí este plasmado. -Verificar y evaluar los procedimientos y documentación de la adquisición de los equipos informáticos. -Determinar si la organización ejecuta los procesos de tal forma que garantice la seguridad y el control de accesos a la información. -Determinar si los elementos que componen el sistema ofimático de las oficinas cumple con los requerimientos, y se rijan de acuerdo a las normas.

Hallazgos
-No está definida la responsabilidad del empleado para realizar copias de seguridad. -No se realizan las tres copias de seguridad, y el sitio de almacenamiento es el mismo. -La empresa no cuenta con políticas de calidad para los mantenimientos de software y hardware. -Los empleados no tienen conocimiento de las garantías que brindan los proveedores. -No hay procedimientos para la adquisición de nuevas versiones. -No hay documentación que especifique ni que ayude a las labores de los empleados. -No hay garantías suficientes para proteger los accesos no deseados a la información. -No hay políticas de accesos de los visitantes.

Recomendaciones -De acuerdo a la normatividad, en la organización se encuentran falencias que pueden afectarla. Se recomienda: -Establecer y realizar procedimientos y documentación que especifiquen políticas y actividades a realizar. Es de gran utilidad siempre tener una guía estándar a seguir, ya que los trabajos realizados se ejecutan sobre un nivel ya definido. -Se recomienda brindar mayor información a los empleados, sobre sus tareas, el manejo adecuado de la información, asignar personas encargadas para las copias de seguridad. -Establecer lugares de almacenamiento de las copias de seguridad. -Realizar las tres copias de seguridad, evitando así cualquier eventualidad en caso de desastre.

Opinión -De acuerdo a los resultados obtenidos, se establece como desfavorable, ya que hacen evidentes ciertos parámetros que pueden afectar la empresa. -Puntos clave como la falta de información hacia los empleados por parte de la empresa; documentación especificando labores, la falta de procedimientos de ingresos, mantenimientos, y algo muy importante al buen uso y almacenamiento de las copias de seguridad. Teniendo en cuenta que esos factores pueden afectar los procesos y la calidad de la compañía.

AUDITORIA DE LA ADMINISTRACIÓN Objetivo general -Establecer los principales parámetros que abarcan las actividades que la empresa realiza, basada en la calidad y el seguimiento de la normatividad. Objetivos específicos -Determinar si la compañía realiza las adecuadas relaciones con los ciudadanos. -Determinar si la compañía realiza labores evitando la complejidad de tareas internamente y con sus clientes. -Determinar si la compañía proporciona nuevas propuestas como informáticas. soluciones

-Determinar la confiablidad que proporciona la compañía y de que forma evita fraudes y o sabotajes.

Hallazgos -No frece la posibilidad de que los ciudadanos accedan a los servicios administrativos de manera electrónica, 24 horas al día, 7 días a la semana, para la obtención de información. -La organización no ofrece la posibilidad de efectuar trámites de manera electrónica con los ciudadanos, con otros órganos o Administraciones y con las empresas. -La información enviada o recibida en un proceso electrónico no se encuentra debidamente encriptado. -No se puede acceder a usar de los servicios electrónicos fácilmente desde cualquier computador.

Recomendaciones

-Se recomienda mejorar los servicios web, implementar un nuevo portal donde el cliente pueda realizar transacciones las 24 horas del día, y acceda a otros servicios sin limitaciones. -Se recomienda encriptar la información confidencial que se envía por correo electrónico, para evitar robos o ataques.

Opinión

-De acuerdo a los resultados arrojados por la lista de chequeo, se determina una opinión favorable con salvedades, ya que ciertos puntos importantes son tenidos en cuenta e implementados, por lo cual favorece y produce mayor eficacia en labores realizados por la compañía. -Aunque hay algunas falencias encontradas allí, se procedió a sugerir ciertas recomendaciones para un mejor desempeño.

AUDITORIA DE LA INTERNET
Objetivo principal Establecer y enunciar la efectividad que le da la compañía en cuanto al uso de internet, los posibles fallos y solución de problemas brindados Objetivos específicos -Establecer si la información brindada por parte de la empresa hacia los empleados es clara y especifica, respecto al buen uso de los servicios que proporciona la red. -Calificar la eficacia de los servicios proporcionados de red. -Calificar el manejo que la compañía le da a la administración en cuanto a la seguridad de la información. -Establecer la calidad del soporte técnico en los servicios de red. -Calificar la seguridad empleada por la empresa para evitar ataques, fraudes e intentos de sabotajes.

Hallazgos -Los empleados no tienen claro toda la información acerca de los servicios proporcionados de la red. -No se evalúa la existencia de uso de metodologías, normas, estándares y políticas para el análisis y diseño de la red de cómputo. -No evalúa las velocidades utilizadas normalmente en la transmisión. -Carece de análisis de diseño e implementación de los nodos de la red, y pruebas de dispositivos físicos de la red.

Recomendaciones

-Se recomienda brindar mayor información al personal sobre los servicios que están utilizando, los beneficios que existen y los posibles fallos, para tener más conocimientos y así poder solucionar problemas futuros. -Se recomienda realizar pruebas y soporte a la red en determinados periodos, con el fin de evitar fallos inesperados.

Opinión

-Los resultados obtenidos de acuerdo a la valoración de los listados, es desfavorable ya que se están omitiendo parámetros importantes para el buen funcionamiento y el uso adecuado de la red, en la que se puede ver comprometida la seguridad de la información.