INSTITUTO TECNOLGICO SUPERIOR CORDILLERA

AUDITORA EN SISTEMA: EJERCICIO PRCTICO DE AUDITORA

INTEGRANTES: JOS CAMPOVERDE WILLIAM PILLAGA ANDRS RICAURTE ANA SUREZ CARLOS SUREZ

QUITO-ECUADOR 2012

NDICE GENERAL 1. 2. 3. 4. 5. 6. REDEFINIR EL PROBLEMA COMO AUDITAR QUE AUDITAR PLAN DE AUDITORA REDEFINIR FORTALEZAS Y DEBILIDADES INFORME DE AUDITORA

 REDEFINIR EL PROBLEMA En la Empresa PROCESAR encargada de la administracin de la base de datos nacional del sistema de ahorros la principal problemtica encontrada es la migracin de sistemas informticos. Este problemtica surge debido a que en las diversas empresas donde se ha aplicado este cambio como consecuencia ha provocado prdidas e incumplimiento con los objetivos que tienes dichas entidades pblicas, debido a que ningn cambio est exento de errores. Cabe resaltar que las principales causas por las que se genera este conflicto son: CAUSAS Problemas en el manejo de flujo de informacin Competencia entre empresas Lentitud en los procesos Falta de actualizacin tecnolgica CONSECUENCIAS Congestiones en el sistema, perdida y duplicidad de la informacin Prdida de Clientes por falta de un mejor servicio Demoras en respuestas, congestiones, incomodidad Genera que la Empresa no sea competitiva ante las dems

En base a estos problemas se hace indispensable realizar un estudio y una auditora a todo el sistema informtico que posee la Empresa Procesar, para poder brindar soluciones que conlleven tener una mejora tanto en lo administrativo como en lo tecnolgico dentro de dicha entidad pblica. NOTA: La principal problemtica encontrada en esta empresa segn lo descrito anteriormente es la MIGRACIN DE SISTEMAS debido al gran manejo de informacin generada por los diversos procesos que en ella se encuentran y que lo nico que se busca a la larga es realizar una auditora que permita controlar, mejorar y dar solucin a todos los problemas en los que se ve inmersos la Empresa debido a este suceso.

 CMO AUDITAR? Nosotros creemos que para realizar la auditora a esta empresa se debe seguir los siguientes procesos: Antes de realizar la auditora completa a todo el sistema y la problemtica en si que acarrea la migracin de tecnologa (sistemas), se debera plantear objetivos que vayan a la par del problema de estudio que se est realizando, una vez planteado los objetivos deberamos poner metas, alcances que delimiten el problema y que nos lleven a atacar uno de los puntos Generales del Problema, para que de esta manera busquemos la mejor solucin. Segundo deberamos conocer los diversos procesos que tienen o genera la Empresa PROCESAR para poder sacar conclusiones que conlleven a la mejor migracin de sistemas. Tercero deberamos evaluar todos los riesgos y controles que va a tener realizar un cambio de estas magnitudes para que de esta manera poder dar solucin a esta problemtica. Deberamos considerar las posibles pruebas que realizar el auditor interno de la Empresa para evitar posibles fallos a la hora de implementar un cambio de gran magnitud. Esta pregunta a su vez est enfocada a nuestro parecer en determinar qu tipo de auditora es la recomendada realizar en base a la problemtica suscitada por la misma, para lo cual: Una vez analizado toda la problemtica en general y en base a los diversos estudios de campo realizado, deberamos comenzar explicando la fundamentacin de la empresa sus objetivos, alcances y funcionabilidad de la empresa para en base a esto generar las soluciones que necesita la Empresa para brindar una mayor rentabilidad. COMO AUDITAR? Plantendose el problema con las Causas y Consecuencias que acarrea la Migracin de Sistemas Informticos Analizando los objetivos principales que va a tener la auditora y a que est enfocada Plantearse un alcance que vaya acorde con la problemtica, permitiendo que de esta manera ataquemos a uno de los puntos que engloba la Migracin de Sistemas Analizando y realizando un plan global de auditora exponiendo detalladamente lo que se va a realizar con tiempos y fechas

2 3

5 6 7 6

Definir las etapas que va a tener nuestra auditora y en cuanto tiempo se las realizar Analizamos que Tcnicas y documentos a utilizar Analizamos que Metodologa vamos a Emplear Entrega del informe global de la auditora realizada a la empresa

QU AUDITAR? Nosotros como grupo creemos que lo que se debe auditar es todos y cada uno de los proceso tecnolgicos en los que se inmiscuye directa o indirectamente la Migracin de sistemas, para determinar las posibles causas y consecuencias que va a generar implementar un cambio de estas caractersticas. Para lo cual se debe tomar en cuenta los siguientes aspectos: METODOLOGAS La metodologa a aplicar en base a la informacin obtenida sera la observacin y la entrevista. La observacin Creemos que este documento es de suma importancia dentro de todo el proceso de auditora de sistemas ya que mediante la visualizacin directa de los diversos procedimientos, recursos tecnolgicos e informticos podemos sacar diversas conclusiones que ayuden a mejorar la problemtica en la que se ve inmersa la Empresa. Adems cabe resaltar que en este documento se analizar detenidamente las falencias existentes en la administracin de la base de datos debido al gran flujo de informacin existente por la misma, sus causas y posibles consecuencias que a futuro se puedan generar. La entrevista Este sera un documento importante dentro de todo el proceso a auditar ya que sera un complemento a toda la observacin de campo realizada y ayudara a tener una idea ms clara de toda la problemtica del sistema.

En este documento y con una entrevista directa generaremos preguntas que conlleven a tener las respuestas bsicas del manejo de la base de datos, que herramientas utilizan y como lo hacen. Nota: En nuestro caso de estudio nosotros vamos a auditar esencialmente la parte de equipos y tecnologa para conocer lo que posee la empresa, en que est fallando y tratar de dar solucin objetiva que ayude a mejorar el sistema existente. Qu Auditar? Auditar hardware y software dentro de las estaciones de trabajo Equipos que posee la empresa Estado de los equipos Hardware Que tecnologa fsica poseen para realizar el control de todos los procesos Manejo interno de los equipos Programas que maneja la empresa Manejo interno de programas Que tecnologa en software posee la Software empresa Rentabilidad de los programas Cuanto tiempo se demora en generar un proceso Eficiencia tecnolgica en software Analizar si el personal que maneja la tecnologa est en capacitacin Administrativo y operacin de constante equipos Analizar si el personal maneja a la perfeccin los programas y el equipo fsico de la empresa

 PLAN DE AUDITORIA Alcance La auditoria se realizar sobre los sistemas informticos en computadoras personales que estn conectados a la red interna de la empresa, para poder descubrir problemas internos que posee la empresa Procesar. Objetivo Tener un panorama actualizado de los sistemas de informacin en cuanto a la seguridad fsica, las polticas de utilizacin, transferencia de datos y seguridad de los activos. Recursos El nmero de personas que integraran el equipo de auditora ser de cinco, con un tiempo mximo de ejecucin de 3 a 4 semanas. Etapas de trabajo 1. Recopilacin de informacin bsica Una semana antes del comienzo de la auditoria se enva un cuestionario a los gerentes o responsables de las distintas reas de la empresa. El objetivo de este cuestionario es saber los equipos que usan y los procesos que realizan en ellos. Los gerentes se encargaran de distribuir este cuestionario a los distintos empleados con acceso a los computadores, para que tambin lo completen. De esta manera, se obtendr una visin ms global del sistema. Es importante tambin reconocer y entrevistarse con los responsables del rea de sistemas de la empresa para conocer con mayor profundidad el hardware y el software utilizado. En las entrevistas incluirn: Director / Gerente de Informtica Subgerentes de informtica Asistentes de informtica Tcnicos de soporte externo

2. Identificacin de riesgos potenciales Se evaluara la forma de adquisicin de nuevos equipos o aplicativos de software. Los procedimientos para adquirirlos deben estar regulados y aprobados en base a los estndares de la empresa y los requerimientos mnimos para ejecutar los programas base. Dentro de los riesgos posibles, tambin se contemplaran huecos de seguridad del propio software y la correcta configuracin y/o actualizacin de los equipos crticos como el cortafuego. Los riesgos potenciales se pueden presentar de la ms diversa variedad de formas. 3. Objetivos de control Se evaluaran la existencia y la aplicacin correcta de las polticas de seguridad, emergencia y planes de contingencia de la empresa PROCESAR. Se har una revisin de los manuales de poltica de la empresa PROCESAR, que los procedimientos de los mismos se encuentren actualizados y que sean claros y que el personal los comprenda. Debe existir en la Empresa un programa de seguridad, para la evaluacin de los riesgos que puedan existir, respecto a la seguridad del mantenimiento de los equipos, programas y datos. 4. Determinacin de los procedimientos de control Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos definidos en el paso anterior. Objetivo N 1: Existencia de normativa de hardware. El hardware debe estar correctamente identificado y documentado. Se debe contar con todas las rdenes de compra y facturas con el fin de contar con el respaldo de las garantas ofrecidas por los fabricantes. El acceso a los componentes del hardware est restringido a las personas que lo utilizan. Se debe contar con un plan de mantenimiento y registro de fechas, problemas, soluciones y prximo mantenimiento propuesto.

Objetivo N 2: Poltica de acceso a equipos. Cada usuario deber contar con su nombre de usuario y contrasea para acceder a los equipos. Las claves debern ser seguras (mnimo 8 caracteres, alfanumricos y alternando maysculas y minsculas). Los usuarios cerraran sesiones despus de 5 minutos sin actividad. Los nuevos usuarios debern ser autorizados mediante contratos de confidencialidad y deben mantenerse luego de finalizada la relacin laboral. Uso restringido de medios removibles (USB, CD-ROM, discos externos etc.).

5. Pruebas a realizar. Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de los objetivos establecidos. Entre ellas podemos mencionar las siguientes tcnicas: Tomar 10 maquinas al azar y evaluar la dificultad de acceso a las mismas. Intentar sacar datos con un dispositivo externo. Facilidad para desarmar una PC. Facilidad de accesos a informacin de confidencialidad (usuarios y claves). Verificacin de contratos. Comprobar que luego de 5 minutos de inactividad los usuarios se cierren sesiones en cada uno de sus estaciones de trabajo

6. Obtencin de los resultados. En esta etapa se obtendrn los resultados que surjan de la aplicacin de los procedimientos de control y las pruebas realizadas a fin de poder determinar si se cumple o no con los objetivos de control antes definidos. Los datos obtenidos se registrarn en planillas realizadas a medida para cada procedimiento a fin de tener catalogado perfectamente los resultados con el objetivo de facilitar la interpretacin de los mismos y evitar interpretaciones errneas.

7. Conclusiones y Recomendaciones: En este paso se detallara el resumen de toda la informacin obtenida, as como lo que se deriva de esa informacin, sean fallas de seguridad, organizacin o estructura empresarial. Se expondrn las fallas encontradas, en la seguridad fsica sean en temas de resguardo de informacin (Casos de incendio, robo), manejo y obtencin de copias de seguridad, en las normativas de seguridad como por ejemplo normativas de uso de passwords, formularios de adquisicin de equipos, y estudios previos a las adquisiciones para comprobar el beneficio que los mismos aportaran. Finalmente se vern los temas de organizacin empresarial, como son partes responsables de seguridad, mantenimiento y supervisin de las otras reas. 8. Redaccin del borrador del informe Se detalla de manera concisa y clara un informe de todos los problemas encontrados, anotando los datos tcnicos de cada una de las maquinas auditadas: Marca Modelo Numero de Serie Problema encontrado Solucin recomendada

9. Presentacin del borrador del informe, al responsable de microinformtica Se le presentara el informe borrador a un responsable del rea informtica, como se aclaro en el punto anterior, con el mximo de detalle posible de todos los problemas y soluciones posibles recomendadas, este informe se pasara por escrito en original y copia firmando un documento de conformidad del mismo para adquirir un compromiso fuerte en la solucin de los mismos, de esta forma evitaremos posibles confusiones futuras. 10. Redaccin del Informe Resumen y Conclusiones. Es en este paso es donde se muestran los verdaderos resultados a los responsables de la empresa PROCESAR, el informe presentado dar a conocer todos los puntos evaluados durante la auditoria, resultados, conclusiones, puntaje y posibles soluciones. La conclusin tendr como temas los resultados, errores, puntos crticos y observaciones de los auditores. Mientras que en el resumen se vern las posibles soluciones de esos puntos crticos y fallas, as como recomendaciones para el buen uso y tambin recomendaciones sobre la forma incorrecta de realizar algunos procedimientos.

11. Entrega del informe a los directivos de la empresa. Esta es la ltima parte de la auditoria y en una reunin se formaliza la entrega del informe final con los resultados obtenidos en la auditoria. Tambin se fijan los parmetros si as se requieren para realizar el seguimientos de los puntos en los que el resultado no haya sido satisfactorio o simplemente se quiera verificar que los que los objetivos de control se sigan cumpliendo a lo largo del tiempo.

 FORTALEZAS Y DEBILIDADES DE LA EMPRESA FORTALEZAS DEBILIDADES

PARTE ADMINISTRATIVA Registro de todos los procesos de le empresa Control insuficiente de toda la informacin generada por todos los procesos generados por los usuarios Cumplimiento de los reglamentos impuestos La poca falta de organizacin funcional de la por la empresa hacia los empleados empresa Manejo de la base de datos del sistema de No existe estrategias que ayuden a mejorar la manera tica y profesional productividad de la empresa Poco manejo de la informacin en general FACTORES TECNOLGICOS Infraestructura tecnolgica adecuada para Competibilidad y actualizacin de los diversos solventar las necesidades bsicas del control de software de manejo del sistema en general una base de datos provocando que se tenga tecnologa en decadencia FACTORES DE ORGANIZACIN FUNCIONAL Se tiene bien definidos el alcance de la Debido a la gran cantidad de informacin empresa y hacia donde se quiere llegar. generada se ha creado conflictos por actualizaciones de tecnologa inexistentes.