Professional Documents
Culture Documents
TCNICAS DE CONTROL.
OBJETIVO DE CONTROL N 1.
1.1.- Debe existir una normativa, sobre la adquisicin y uso de PC,s.
Prueba de Cumplimiento:
Peticin de la normativa sobre el tema a la Direccin de la Empresa
Comentario: Existe una normativa pero esta muy incompleta.
1.2.- En la normativa anteriormente citada, deben estar establecidos, los adecuados procedimientos para la
adquisicin y uso de los PC,s.
Comentario: Revisada la normativa, se han encontrado algunas normas, para e! uso de los PC,s y algunos
formularios, para ia adquisicin de los ordenadores personales, pero todo muy incompleto.
OBJETIVO DE CONTROL N 2.
2.1.- Deben existir criterios por escrito, para la adquisicin de equipos y productos de software, en la normativa
revisada anteriormente. Prueba de Cumplimiento: Comprobar el cumplimiento de dicha normativa.
2,2.- Deben existir todo tipo de formularios y documentos, para fecffitar el proceso de aprobacin.
Prueba de Cumplimiento: Peticin de los formularios que deben rellenarse para realizar una adquisicin y
comprobar su cumplimiento.
Prueba Sustantiva: Solicitar toda la documentacin existente, sobre las himas adquisiciones que se han
realizado y comprobar el debido cumplimiento.
2.3.- La adquisicin de equipos y productos debe realizarse basndose en un anlisis Coste / Beneficio.
Prueba de Cumplimiento: Peticin de los estudios, que apoyaron la decisin de compra de los ltimos
productos. Comentario: No se realiza el anlisis Coste / Beneficio.
OBJETIVO DE CONTROL N 3.
3.1.- El acceso a los ordenadores debe estar limitado al personal autorizado.
Prueba de Cumplimiento: Intentar el acceso a un PC sin proporcionar la password correspondiente.
Comprobar que las personas que estn trabajando pertenecen al Departamento y estn en un PC, para el
que tienen autorizacin de uso.
Comentario: Se puede acceder preguntando la password a cualquier usuario ya que todos-tienen la
misma. Se han encontrado usuarios trabajando en PC,s asignados a otros Departamentos.
3.2.- Los datos deben estar respaldados por copias de seguridad.
Prueba de Cumplimiento: Solicitar las copias de seguridad y comprobar las fechas y contenido de los
volcados con los ficheros actuales. Verificar el lugar fsico de almacenamiento de las copias de seguridad.
Comentario: Las copias de seguridad estn incompletas y algunas son muy antiguas. No estn en un
lugar separado y seguro.
3.3.- La documentacin de los programas, debe ser completa y estar actualizada
Prueba de Cumplimiento: Solicitar las normas de documentacin de los programas al usuario
responsable de cada Departamento y comprobar la documentacin de programas existente.
Prueba Sustantiva: Tomando la documentacin completa de una aplicacin, realizar una cuantificacin de
Tiempo / Costo empleado en poder continuar con el tratamiento de los datos si faltara el programador que
conoce la aplicacin. Comentario: No existe ninguna normativa para la documentacin de los
programas. Las revisiones realizadas que no existe control para la documentacin
encontrndose un...% de programas sin documentar. El estudio realizado indica que la ausencia del
programador que conoce la aplicacin supondra emplear un tiempo en horas/hombre, segn la aplicacin.
Asimismo la falta de documentacin producira graves problemas en el mantenimiento de las
aplicaciones.
OBJETIVO DE CONTROL N 4.
4.1.- El mantenimiento de los ordenadores debe estar respaldado por contratos adecuados y comprobar su
cumplimiento.
Prueba de Cumplimiento: Solicitar los contratos que se realizaron en su da, tanto de Compra como de
Mantenimiento y revisar el grado de cumplimiento.
4.2.- El software debe estar respaldado por contratos o documentos que acrediten su legalidad.
Prueba de Cumplimiento: Obtener un listado de los Productos instalados y verificar que todos ellos tienen
sus correspondientes contratos y documentos que justifiquen su compra.
Comentario: No se detectan copias legales, pero tampoco existen procedimientos de control, que
aseguren que no se van a incluir en el futuro.
4.3.- Deben existir copias de las libreras principales del sistema, fuera de las instalaciones de la Empresa.
Prueba de Cumplimiento: Verificar el lugar de almacenamiento de las copias de las libreras del sistema.
Comentario: Se ha comprobado que las copias se almacenan en el mismo lugar en que se encuentran los
ordenadores.
4.4.- Deben existir sistemas de proteccin contra fallos de suministro de energa elctrica.
Prueba de Cumplimiento: verificacin de la instalacin, para comprobar los sistemas de seguridad
establecidos. Comentario: No se ha instalado un sistema de alimentacin interrumpida.
4.5.- El software y la informacin almacenada en el sistema debe estar debidamente protegida contra el robo o
la divulgacin sin autorizacin. Prueba de Cumplimiento: Verificacin de las medidas de proteccin.
Comentario: Los PC,s tienen una llave y el usuario es responsable de cerrarlos, pero se ha comprobado
que un 98% no lo hace y los equipos quedan con la llave puesta.
INFORME DE LA AUDITORA INFORMTICA.
ALCANCE DE LA AUDITORA.
La Auditora realizada en la Empresa XYZ, cubre el rea de procesos informticos, soportados en ordenadores
personales (PC,s) y su finalidad es dar una opinin sobre el estado de la seguridad fisica de los ordenadores, la
normativa existente en cuanto a su utilizacin,!a seguridad de los programas y datos procesados ea dichos
ordenadores, poniendo de manifiesto los riesgos que pudiesen existir.
Esta revisin se ha llevado a cabo siguiendo procedimientos generalmente aceptados en la realizacin de
Auditorias.
No se han incluido en esta revisin los ordenadores personales que estn conectados al
ordenador central.
RESUMEN Y CONCLUSIONES.
Las entrevistas y pruebas realizadas durante el desarrollo de la Auditoria en el rea de Microinformtica, han
revelado la existencia de riesgos potenciales elevados de adquisicin innecesaria de ordenadores personales, prdida
de informacin y manipulacin incorrecta de datos y programas.
Los aspectos detectados que han llevado a esta conclusin son los que se resumen a continuacin.
Normativa.
- La normativa empresarial sobre la utilizacin de ordenadores personales esta incompleta en cuanto a
numero, periodicidad y lugar de almacenamiento de las copias de seguridad de los datos y los programas.
- El acceso a los ordenadores debe ser restringido a personas autorizadas mediante palabras clave
(Passwords).
- Se ha comprobado que las normas no incluyen ninguna remitencia a este tipo de medidas de seguridad.
- Aunque existen normas y formularios para la adquisicin de ordenadores personales, se ha verificado
que no se realiza un anlisis de Costo/Beneficio previo a la autorizacin de compra. Las decisiones de
compra de ordenadores personales estn basadas en necesidades inmediatas de los Departamentos,
cuando podra existir un responsable, que conociera el estado de ocupacin de los equipos a nivel general, lo
cual le permitira utilizar ordenadores de otros Departamentos en casos de puntas de trabajo.
Organizacin.
- No se han designado personas responsables de la seguridad de los datos ni se controla que se
mantengan las copias de seguridad debidamente comprobadas y actualizadas.
- La revisin de las copias ha demostrado que estn incompletas, algunas son muy antiguas y siempre se
almacenan en el mismo lugar donde se encuentran los ordenadores.
- No mantener una adecuada normativa de acceso a los datos y programas puede producir que estos sean
manipulados incorrectamente.
- Se ha comprobado que una misma palabra clave (password), es utilizada por usuarios del mismo
Departamento y que usuarios de un Departamento utilizan ordenadores personales de otro.
- Esta situacin hace imposible deslindar responsabilidades en el caso de encontrar manipulacin fraudulenta o
accidental de un programa o unos datos.
Documentacin.
- La documentacin de los programas desarrollados en la Empresa, no esta sujeta a ninguna normativa, no
existen estndares y no se realiza ningn tipo de control sobre la documentacin de los programas.
- Las revisiones realizadas han demostrado que la existencia de manuales de usuario depende exclusivamente
del inters de la persona que haya realizado el programa, encontrndose un ...% de programas sin
documentar.
- El estudio efectuado indica que la ausencia del programador/usuario que conoce la aplicacin supondra
emplear desde ... a ... horas/hombre, segn el tipo de programa, para poder continuar el tratamiento de
los datos. Asimismo la falta de documentacin implicara graves problemas de mantenimiento de la
aplicaciones.
Seguridad Fsica.
- La continuidad de la actividad empresarial en caso de desastre, es decir un incendio o una inundacin, robo o
fallo de suministro, resultara seriamente afectada, al no existir copias actualizadas del contenido de los
discos, fuera de los locales de la Empresa, no existen sistemas de alimentacin interrumpida, ni medidas de
seguridad contra el robo de informacin o equipos.
- El mantenimiento de las copias de seguridad fuera de las instalaciones de la Empresa y la proteccin bajo'
llave de los ordenadores personales, serian unas medidas razonables econmicamente y podran
resolver algunas de las situaciones anteriormente expuestas.
NORMAS PARA LA UTILIZACIN DE ORDENADORES PERSONALES.
Estas normas deben ser dirigidas a todos los usuarios de ordenadores personales.
Para cada actividad que involucre el uso de su ordenador personal se deber contestar a las siguientes
cuestiones, referentes al impacto que puedan tener en desarrollo del trabajo para la Empresa:
- Los procedimientos y estndares establecidos en la unidad para retirar el equipo o la informacin de los locales.
- Los mismos esquemas y premisas que se utilicen dentro de la oficina, cuando use el equipo o la informacin.
PROTECCIN DEL HARDWARE.
El PC que esta utilizando es propiedad de la Empresa y le ha sido asignado para su adecuada utilizacin,
debiendo seguir las siguientes normas:
- Cerrar el PC si tiene llave cuando lo deje desatendido.
- Retirar la informacin sensitiva o confidencial, si es posible, antes de que vaya a ser
- No colocar en las proximidades lquidos ni alimentos.
COMUNICACIONES.
Siempre que utilice el PC para comunicarse con otros sistemas, debe proteger su Identificacin de usuario y
Passwords que utilice, de revelacin o uso no autorizado, no almacenarlos en el PC, salvo que sean de bajo riesgo y
estn protegidos frente accesos no autorizados, es decir encriptados.
APLJCAC1ONES DESARROLLADAS POR UNO MISMO.
Siempre que utilice un software, como por ejemplo Hojas de Calculo, paquetes de Bases de Datos, etc, para
procesar datos o informacin es necesario:
- Verificar la exactitud de los resultados cuando cree la aplicacin o la reciba de alguna persona, ya que es
claramente de su responsabilidad.
- No copiar software bajo licencia de uso o violar las clusulas de la licencia, cuando comparta dichas
aplicaciones con otros usuarios.
RESUMEN. DEBE:
Asegurar que esta usando los datos mas adecuados.
Asegurar que alguna otra persona revise sus propias aplicaciones.
Imprimir la fecha y hora en sus informes.
Documentar sus propias aplicaciones cuando las pase a otra persona o sean usadas de forma regular.
Guardar el software que esta utilizando, los manuales de consulta y cierre el PC cuando deje Ja oficina.
Limpiar la pantalla cuando deje desatendido su PC.
No usar el mismo disquete o cinta del backup anterior cuando realice uno nuevo.
Etiquetar y archivar de forma clara sus disquetes, usar siempre rotuladores de punta blanda, para escribir en
las etiquetas pegadas al disquete.
- Proteger su PC de posibles daos o fluctuaciones de corriente cuando sea necesario.
- Guardar los disquetes en sus fundas y protegerlos del polvo.
- Procurar facilitar la ventilacin del equipo en todo momento.
-
NO DEBE:
-
Fases que realizara en esta Auditora, teniendo en cuenta los recursos humanos/das. Nota:
Se dispone de tres auditores durante un 15 das.
2.-
3.-
P.C.: Comprobar si se puede actualizar la informacin del ordenador principal an en el caso de no estar autorizado.
La normativa dictada por el Director de ofimtica el pasado ao no est cumpliendo por la totalidad de los usuarios,
existiendo algu>;os que ni siquiera la conocen. Los principales defectos que se han dte: tado son los siguientes: . No
se bloquea el ordenador cuando el juario se retira. . No se retira la Informacin cuando el ordenador tiene que ser
reparado. . En ocasiones se colocan bebidas o alimentos en las proximidades del PC. . Algunos usuarios no guardan
los disquetes y manuales correspondientes al software que estn utilizando.
Los usuarios no conocen la normativa existente, tanto en to que se refiere a la utilizacin de los ordenadores personales
como a lo relacionado con el uso y la copia del software.
No se realizan copias de seguridad con la regularidad que se ha establecido.
- No se destruye la informacin confidencial antes de desecharla.
No se cambian las passwords con la regularidad que est establecida. Los ficheros no estn protegidos
adecuadamente.
Documentacin
Las revisiones realizadas han demostrado que existen documentos para solicitar la adquisicin del software
que se utiliza en la Red pero no se utilizan siempre.
Existe una normativa para controlar la adquisicin de aplicaciones externas y no se ha utilizado.
Existe una normativa para controlar el acceso al Host, pero no se est utilizando.
Se ha comprobado que se puede actualizar a informacin del Host aun en el caso de no estar autorizado.
El software esta debidamente respaldado por sus respectivos contratos de compra.
El sistema de la red de rea local est bien alimentado y no se han detectado fallos.