Auditorc3ada Informc3a1tica Isnaya

Auditora Informtica en Laboratorios ISNAYA / 2012
Universidad
Nacional de
Ingeniera
UNI-RUACS
Auditora Informtica en
Laboratorios ISNAYA
Carrera: Ingeniera de Sistemas
Grupo: 5S1 IS
Docente: Ing. Jos Manuel Poveda.
Elaborado Por:
Janacely Gonzlez Dvila

Meybell Janixia Zeledn Arteta
Alicia Almendares
Tania Carrillo.
11/06/2012
0
Contenido
Introduccin. ................................................................................................................................. 2
Objetivos. ...................................................................................................................................... 3
Objetivo General del Trabajo. ................................................................................................... 3
Objetivos especficos. ................................................................................................................ 3
Justificacin. .................................................................................................................................. 4
Objetivos de la Auditora............................................................................................................... 5
Objetivo General. ...................................................................................................................... 5
Alcance de la Auditora. ............................................................................................................ 5
Objetivo Especifico. ................................................................................................................... 5
Hallazgos y recomendaciones. ...................................................................................................... 6
Metodologa de Trabajo. ............................................................................................................. 10
Conclusiones: .............................................................................................................................. 11
Recomendaciones: ...................................................................................................................... 12
Anexos. ........................................................................................................................................ 13
Levantamiento de activos. ...................................................................................................... 13
Matriz de Riesgo .................................................................................................................. 13
Plan de contingencia ............................................................................................................... 15
Cuestionarios........................................................................................................................... 19
Revisin de Control Interno General................................................................................... 19
Cuestionario sobre Planes generales .................................................................................. 20
Cuestionario para la evaluacin del diseo y prueba de los sistemas ................................ 21
Cuestionario sobre controles de salida ............................................................................... 26
Cuestionario de control de medios de almacenamiento masivo........................................ 27
SEMESTRAL ( ) OTRA ( ) ....................................................................................................... 29
Cuestionario de Control de mantenimiento ....................................................................... 30
Cuestionario Sobre el orden y cuidado del centro de cmputo ......................................... 30
Cuestionario para la Evaluacin de la configuracin del sistema de cmputo................... 31
Cuestionario de Evaluacin de la Seguridad fsica .............................................................. 31
Seguridad de la Informacin ............................................................................................... 37
Polticas y Procedimientos de Seguridad ............................................................................ 37
Seguridad Lgica ................................................................................................................. 37
Entrevista al Gerente........................................................................................................... 40
CONTRATO .......................................................................................................................... 41
1
Introduccin.
En la actualidad se aplica auditoria informtica como un examen crtico que se realiza

con el fin de evaluar la eficacia y eficiencia de la infraestructura informtica de una
empresas y si la inversin que se ha hecho en la misma cumple con los propsitos para
lo cual fe desarrollada.
Para los negocios es importante evaluar en forma constante cada factor externo que
predomine o los afecte de manera trascendente, con la finalidad de instituir las
acciones necesarias para minimizar su impacto negativo o extraer ventaja estratgica
del mismo.
La auditoria informtica debe respaldarse por un proceso formal que asegure su previo
entendimiento por cada uno de los responsables de llevar a la prctica dicho proceso
de la empresa. La auditora en informtica efecta sus tareas y actividades mediante a
una metodologa; este proceso metodolgico cuenta con seis etapas: Preliminar,
Diagnstico, Justificacin, Adecuacin, Formalizacin, Desarrollo e Implantacin. Commented [P1]: Esto es puro chagite, no dicen nada de lo
que deben decir.
Este proceso metodolgico se implement en la empresa Laboratorio ISNAYA Estel,

dedicada a la elaboracin y comercializacin de productos medicinales naturales y
cuenta con su software con un software llamado SIC-PROD LAB. Commented [P2]: Redacten mejor
Para poder realizar este trabajo se tom como referencia SIBOIF, MAG y NAGUN. Commented [P3]: No solo es asi.
Hacer toda la Introduccin de nuevo
2
Objetivos.
Objetivo General del Trabajo.
Desarrollar un auditoria informtica en, que nos proporcione informacin para

poder de esta manera materializar los conocimientos aprendidos en el curso. Commented [P4]: NO. QUE BARBARAS. LO PRIMERO QUE UNO
LES DICE QUE NO HAGAN, ES LO PRIMERO QUE HACEN. PLANTEAR
DE NUEVO. ADEMAS ESTA MAL REDACTADO.
Objetivos especficos.
Realizar un estudio preliminar del funcionamiento informtico de la empresa a

estudiar. Commented [P5]: Incompleto.
Obtener informacin por medio de la observacin y toma de notas, para

identificar las debilidades al nivel institucional. Commented [P6]: Esto se incluye en el primer obj.
Presentar un informe que proponga el planteamiento de mejoras al uso

y rendimiento de los activos informticos. Commented [P7]: Esto no es objetivo.
3
Justificacin.
Laboratorios ISNAYA, es una empresa que brinda productos medicinales a base de

plantas. Se considera que el manejo correcto de los activos informticos es relevante
en el mbito de la economa puesto que si se produce algn fallo este puede tener
graves consecuencias monetarias durante el fallo e incluyendo en el tiempo de
recuperacin, se realiza esta auditora con el propsito de evaluar, verificar factores
que afectan y amenazan con el buen funcionamiento de los activos informticos.
Dar por finalizada esta auditora trae beneficios que impactan positivamente en el
sistema y los procedimientos, otra de sus ayudas son las recomendaciones para
mejorar las polticas, procedimientos y sistemas, la verificacin continua de la
efectividad de los controles establecidos. Commented [P8]: No amorcito, esto no es justificacin.
Los beneficiarios de esta auditora es la junta directiva de la fundacin ISNAYA, as Commented [P9]: Que es esto?
como sus trabajadores. La informacin que se proporciona en este documento sirve

para corregir, optimizar los procesos. Y para los cambios que la gerencia disponga
conveniente, en base a los resultados de esta. Commented [P10]: Malo, malo, malsimo.
4
Objetivos de la Auditora
Objetivo General.
Efectuar una Evaluacin de las medidas y revisiones para caracterizar los
riesgos y prdidas que se podran ocasionar, a efecto de ayudar en la toma de
decisiones y mejora de los procesos en la Laboratorio ISNAYA, Estel
Alcance de la Auditora.
Se evaluara las reas de la empresa en las que se cuenta con activo informtico.
Gerencia
Control de calidad (Laboratorio Fsico qumico /
microbiolgico.
Farmacia / Contabilidad.
Produccin (abarcamos esta rea porque la responsable de
produccin manipula activos informticos). Commented [P11]: Estas son las reas, esta bien, pero los tipos
de auditoria? Es decir, en cada rea que evaluara?
Objetivo Especifico.
Evaluar la integridad y confidencialidad del software SIC-PROD LAB, para dar
recomendaciones sobre una mejor funcionalidad.
Valorar la seguridad de los activos fsicos informticos, amenazas y riesgos que se
pueden presentar en ellos.
Valuar la manera de cmo se administran los dispositivos de almacenamiento masivo. Commented [P12]: Incompletos
Realizar matriz de riesgos y plan de contingencia y recomendaciones a los hallazgos. Commented [P13]: Esto es actividad, no obj.
5
Hallazgos y recomendaciones. Commented [P14]: Le faltan fundamentos, no hay explicacin

de cada uno de los elementos que los componen.
Condicin 1
Uso de antivirus pirata y sin licencia. Commented [P15]: Aqu no dice nada, no dice si lo tienen o no
lo tienen. Ademas, esto debe estar asociado a la evidencia (lo cual
debera estar en anexos) y de esta forma referenciar la condicin.
Criterio
SIBOIF Capitulo #5 Administracin de tecnologa de informacin Artculo 15. Commented [P16]: Debe escribir lo que dice el criterio
(adems de la cita)
Causa
La empresa dispone de un antivirus crackeado. Commented [P17]: Esto no es causa, adems debe
fundamentar bien.
Efecto
1-Mala imagen de la empresa
2-Poco soporte en lnea
Recomendacin
Adquirir un antivirus con licencia. Commented [P18]: Todo esto debe estar bien explicado.
Condicin 2
El cableado de datos no se encuentra bien distribuido.
Criterio
SIBOIF Capitulo# 5 Artculo 18 administraciones de hardware y comunicaciones Inciso

C.
Causa
La empresa no cuenta con una buena distribucin de red de datos.
Efecto
Cada de la red.
Cables daados y posibles enredos entre los cables.
Mala presentacin de la empresa
Recomendacin
6
Realizar un nuevo cableado de red de datos.
Dar mantenimiento a la red de datos
Condicin 3
Manejo del software no oficial para uso ajenos de la empresa.
Criterio
SIBOIF Capitulo# 5 articulo 16 Administracin de software
Inciso A
Causa
Las computadoras estn propensas a cualquier instalacin y manipulacin de la

informacin.
Efecto
Tiempos ociosos de los trabajadores.
Desperdicio del los recursos de la Empresa.
Posibles infecciones de virus.
Recomendacin
Restringir permisos de instalacin
Restriccin contra lectura
Prohibicin de aplicaciones de seos
Condicin 4
La empresa no cuenta con un plan de contingencia.
Criterio
SIBOIF Capitulo #8 artos 36 Participacin de tecnologa de la informacin en la

continuidad de negocio. Inciso B
Causa
7
La empresa no cuenta con la informacin necesaria a la hora de que ocurra un

siniestro.
Efecto
El personal no cuenta con la capacitacin necesaria a la hora que ocurra un siniestro.
Despus de que ocurra un desastre en la empresa los trabajadores no van a saber

cmo actuar.
Recomendacin.
Elaborar un plan de contingencia
Realizar Simulacros para estar preparados en caso de cualquier desastre natural
Condicin 5
La empresa no realiza una evaluacin de riesgos.
Criterio
Capitulo #9 Arto 38. Evaluacin de Riesgo tecnolgico.
Causa
La empresa no realiza una autoevaluacin en cuanto a la informtica.
Efecto
Mala actualizacin de los Riesgos y plan de contingencia de la empresa.
Recomendaciones
Evaluacin de riesgos al menos una vez al ao.
Condicin 6
En la Empresa no tiene un horario de respaldo o back up de la informacin. Se realiza

pero de manera desordenada y en un disco externo que est dentro de la empresa y
todos los trabajadores lo manipulan
Criterio
8
Artculo 35), captulo 8, Administracin de problemas, planeacin de contingencia y

estrategia de recuperacin.
Causa
No existen polticas, controles y ningn tipo de normativa, que aseguren que se
realicen respaldos de la informacin.
Efecto
Probabilidades altas de prdida de informacin.
En caso de la ocurrencia de cualquier incidente que involucre la perdida de
informacin (incendios, robos, averas irreparables, etc.), sera muy difcil la
restauracin de los procesos.
Vulnerabilidad de prdida de informacin en caso de hackeo.
Recomendacin
Implantar polticas y controles de realizacin de respaldo peridicamente.
Delegar responsabilidades a las personas que van a encargarse de la realizacin
de este proceso.
Automatizar el proceso de back up.
Commented [P19]: Igual que el primero.
9
Metodologa de Trabajo. Commented [P20]: Debe escribirla antes de los hallazgos.
PROCEDIMIENTO PARA LA RECOPILACIN DE LA INFORMACIN
INSTITUCIN: LABORATORIOS ISNAYA, ESTEL.
HORAS ENCARGADOS
VISITA PRELIMINAR ESTIMADAS
Solicitud de informacin general de la 2 Horas Janacely

empresa (Misin, Visin, Objetivos,
Gonzlez
organizacin; Plano de la Empresa, Manual
Meybell
de funciones, Normas y polticas internas de
Zeledn
la institucin, Planes de contingencia)
Alicia A.
Recopilacin de la informacin Tania

(levantamiento de activos y observacin) Morales
Anotacin: la recoleccin de informacin se efectu no en su totalidad, la

empresa no proporciono la informacin completa que se, quien nos brindo la
informacin expreso que no estaba autorizado a brindar los manuales del
sistema, que no se permita tomar fotos a las instalaciones ni planta de trabajo.
A nivel de fundacin se restringe el acceso a cierta informacin que se
solicit, se decidi recopilar informacin de forma informal, conversaciones
con la recepcionista encargada de las ventas en la farmacia y dems
trabajadores que se mostraron amables ante las preguntas que realizamos. Commented [P21]: Que es esto? Y el resto de las etapas?
Usted e la introduccin hablo que iba a seguir 6 etapas? Solo veo
una en la metodologa.
10
Conclusiones:
Se pudo desarrollar la auditoria informtica, con algunas limitantes pero no fueron un grave
problema. Se realizo un estudio preliminar del funcionamiento informtico de la empresas se
encontraron lo que amenaza a los activos. Se obtuvo la informacin por medio de encuestas
formales e informales, con la observacin de las actividades cotidianas y se presenta este
informe como una gua bsica para la Laboratorios ISNAYA.
Se cumpli con el alcance de la auditoria y en cada una de las reas se evalu la integridad y
confidencialidad del software, se valoro la seguridad de los activos informticos tanto PCs,
como Servidor y se realizo la matriz de riesgos para estos y un plan de contingencia de acuerdo
a las amenazas que se definieron estn presentes en la institucin. Commented [P22]: Alinearla a los objetivos, hacerla de nuevo.
11
Recomendaciones:
Se recomienda la compra de software original para evitar las fallas de estos software,
distribuir el cableado para evitar accidentes y seal dbil del servidor a las PCs,
administrar las pginas web y los recursos de software SIC-PROD LAB que tiene acceso
los usuarios para evitar los accidentes de prdida de informacin.
Contratar a un ingeniero de sistemas que este fijo en la empresa y este se encargue de

dale el adecuado mantenimiento a los activos y que no sea un mantenimiento porque
se presento una falla o error en las aplicaciones, realizar horarios, polticas de respaldo
de seguridad de la base de datos e informacin de inters para la empresa.
Hacer un documento en el que se definan todas las operaciones de cada trabajador y

el acceso que estos deben de tener en las computadoras y los permisos de
manipulacin de estas. Commented [P23]: Las recomendaciones no deben ser las
mismas que las que ya escribi para los hallazgos, deben ser mas
integrales.
Ademas, todo lo que escribi aca debe explicarlo (redactar por que
debe llevarse a cabo).
12
Anexos.
Levantamiento de activos. Commented [P24]: Los anexos debe numerarlos de forma

especial
Tipo Descripcin Propietario Ubicacin
Tecnologa PC (servidor) Marvin Palma Gerencia
Tecnologa PC Porttil Marvin Palma Gerencia
Tecnologa PC Karla Salcedo Farmacia / recepcin
Tecnologa PC (contabilidad) Vernica Algaba Farmacia /

contabilidad
Tecnologa PC (produccin) Jamileth Serrato Produccin
Tecnologa PC Augusto Fernndez Laboratorio Fsico

Qumico /
Microbiolgico.
Valoracin de los activos
Descripcin Disponibilidad Integridad Confidencialidad
PC Servidor 5 (debe estar 5 (completo y al 4 (Daos muy altos)

disponible al 100%) correcto al menos
99%)
PCs 2 (Media baja) 1 (No es 2 (Media baja)

relevante)
Software SIC-PROD 5 (debe estar 5 (tiene que estar 4 (daos muy altos)
LAB disponible el 99%) correcto y completo
al
menos 99%)
Matriz de Riesgo Commented [P25]: numerar

Pcs
Amenazas Impactos probabilidad vulnerabilidad riesgo
Incendios 9 Alta Media 9
13
Virus 7 Baja Alta 8
Robo 9 Baja Media 7
Perdida de 7 Baja Alta 8

informacin
Total 32
PC Servidor
Amenazas Impactos probabilidad vulnerabilidad riesgo
Incendios 9 Meida Alta 8
Virus 9 Alta Media 9
Robo 9 Baja Media 7
Perdida de 9 Alta Media 9

informacin
Total 33
Segn el anlisis de riesgo que se realizo se determin que los activos que presenta mayor
riesgo es la PC Servidor, debido a la importancia de este. A los software que contiene y
aplicaciones fundamentales para el funcionamiento diario. El acceso fsico tiene poca
seguridad dado que est en la oficina del gerente y no se mantiene asegurada la perta de
entrada. No cuenta con las condiciones ambientales para la seguridad trmica de este.
Las PCs cuenta con una seguridad dbil, pero la informacin que se contiene en ellas no es tan
relevante. Es de importancia mencionar que el software es pirata, no tienen una proteccin
antivirus buena.
14
Plan de contingencia
15
Contramedida
Sub-plan Tcnica organizativa Humana Recursos Responsable Rol Procedimiento Commented [P26]: nombrar el plan y enumerar
La empresa Formacin para actuar 1. Viabilidad Marvin palma Se har una Hacer un estudio de
contara con un en caso de incendio. tcnica. planificacin de viabilidad Commented [P28]: ?
Aqu la seguro contra Gerente de los equipos se
empresa incendios Designacin de un laboratorios tienen que
tendra responsable de sala. ISNAYA Commented [P27]:
tambin se le 2. Especificacin comprar y del Solicitar compra del
Extintores darn una charla personal que se
contra Asignacin de roles y de equipo necesario
a los trabajadores responsabilidades para Requerimient debe contratar contra incendios.
incendios. en caso de que para que brinde
la copia de respaldo. os.
Detectores esto sucediera. las charlas para
de humo. la prevencin de
un incendio
Salidas de
emergencia.
Respaldo
Equipos
informticos
de respaldo
16
Al Se deben seguir El encargado Hacer en gerente Identificar Al momento de un

presentarse las medidas de determinado medidas de desastre se debe de
el desastre se emergencia ante Analizara el desarrollo y tiempo simulacros emergencia conservar la calma
debe cualquier el cumplimiento de las para que a la hora
asegurar en desastre que se prevenciones del plan. de un incendio el
primer lugar d en las personal este Indicar el buen Ayudar a los
la seguridad instalaciones de prevenido manejo de compaeros que se
de los la empresa extintores encuentren en mayor
Emergencia trabajadores peligro
si ha ocurrido Se deber Cada trabajador de la Impresora gerente Comenzar Principiar con

un desastre documentar empresa deber de Papel, realizando un evaluaciones de
lo que se todos los daos realizar una evaluacin Computadora estudio de los daos causados
tiene que de hardware, del de las prdidas que daos causados,
hacer es local y de hubieron durante el y posteriormente
Recuperacin verificar los informacin incendio a empezar a Recuperar la
daos perdida en el restablecer las Informacin Commented [P29]: OBVIO? PERO QUE ESTA PROTEGIENDO
USTED?
incendio. funciones de los respaldada.
equipos.
Realizar informes del

funcionamiento de la
medida de realizar
17
Reponer los equipos

que fueron daados.
Reanudacin de las
actividades normales
de la empresa.
18
Cuestionarios Commented [P30]: NUEMERAR
Revisin de Control Interno General

REF PREGUNTAS SI NO N/A OBSERVACIONES
1. Actualmente se cuenta con una *

grfica de la organizacin?
2. Tiene la compaa auditor *

interno? De quin depende?
Describir Brevemente el trabajo del
auditor interno.
3. Se usa un catlogo de equipo, *

software y funciones del personal?
4. Actualmente hay algn manual *

o instructivo de asignacin de
equipo, de software, de
mantenimiento, de operacin?
5. Se preparan y entregan a la alta *

gerencia mensualmente reportes de
los activos tangibles o intangibles
tecnolgicos de la empresa?
6. Se tiene control presupuestal de *

los costos y gastos?
7. Quin autoriza las compras de GERENTE

nuevos Equipos?
8.Se hacen estudios y se *

documenta todo aquello que sirve
para la determinacin de una
adquisicin?
9.Existe una revisin peridica de * Commented [P31]: Por que si todo esto es negativo, no se
encuentra en hallazgos?
los
Mantenimientos preventivos? En
el rea hay alguna persona
19
encargada de supervisarlos y
aprobarlos?
Cuestionario sobre Planes generales
REF PREGUNT A S SI NO N/ A OBSERV A

CIONES
1. Existe una lista de proyectos de sistema de *

procedimiento de informacin y fechas
programadas de implantacin que puedan ser
considerados como plan maestro?
2. Escribir la lista de proyectos a corto plazo y *

largo plazo
3. Quin autoriza los proyectos? Gerente
3. Cmo se asignan los recursos? *
4. Cmo se estiman los tiempos de duracin? * El gerente y la Commented [P32]: Lo mismo.

junta directiva Todo esto debera referirse a los hallazgos, esto sirve de evidencia.
de la
fundacin se
encargan de
evaluar este
aspecto
5.Quin interviene en la planeacin de los junta directiva

proyectos? de la
fundacin
6.Cmo se calcula el presupuesto del junta directiva

de la
Proyecto? fundacin
7.Qu tcnicas se usan en el control de los *
20
proyectos?
8.Quin asigna las prioridades? * junta directiva

de la
fundacin
9.Cmo se asignan las prioridades? *
10.Cmo se controla el avance del proyecto? *
11. Con qu periodicidad se revisa el reporte *

de avance del proyecto?
12.Cmo se estima el rendimiento del *
personal?
13.Con que frecuencia se estiman los costos *

del proyecto para compararlo con lo
presupuestado?
14.Qu acciones correctivas se toman en * junta directiva Commented [P33]: Todo esto es hallazgo.
caso de desviaciones? de la
fundacin
Cuestionario para la evaluacin del diseo y prueba de los sistemas

REF PREGUNT A S SI NO N/ A OBSERV A
CIONES
21
1. Quines intervienen al disear un

sistema?
Usuario.
*
Analista.
*
Programadores.
*
Gerente de departamento.
*
Auditores internos.
Asesores.
*
Otros.
*
2. Los analistas son tambin programadores? *
3. Qu lenguaje o lenguajes conocen los *

analistas?
4. Cuntos analistas hay y qu experiencia *

tienen?
5. Qu lenguaje conocen los programadores? *
22
6. Cmo se controla el trabajo de los .

analistas?
7. Cmo se controla el trabajo de los

programadores?
8. Qu lenguaje o lenguajes conocen los

analistas?
9. Cuntos analistas hay y qu experiencia

tienen?
10. Indique qu pasos siguen los programadores

en el desarrollo de un programa:
Son libres de
hacerlo a su
* modo. Se
trabaja por
resultado
Estudio de la definicin *
Discusin con el analista *
Diagrama de bloques *
Tabla de decisiones *
Codificacin
23
11.Es enviado a captura o los programadores

capturan?
*
12.Quin los captura?
Compilacin ( ) *
Elaborar datos de prueba *
Solicitar datos al analista *
Correr programas con datos *
Revisin de resultados *
Correccin del programa *
Documentar el programa *
Someter resultados de prueba *
Entrega del programa
24
9. Qu documentacin acompaa al Manual de

programa cuando se entrega? uso
25
Cuestionario sobre controles de salida

1. Se tienen copias de los archivos en otros locales?
No________________________________________________________________________
2. Dnde se encuentran esos locales?
NA________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
3. Que seguridad fsica se tiene en esos locales?
NA ________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
4. Que confidencialidad se tiene en esos locales?
NA ________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
5. Quin entrega los documentos de salida?
NA ________________________________________________________________________
________________________________________________________________________
6. En qu forma se entregan?
NA ________________________________________________________________________
________________________________________________________________________
7. Qu documentos?
NA ________________________________________________________________________
________________________________________________________________________
8. Qu controles se tienen?
26
NA ________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
9. Se tiene un responsable (usuario) de la informacin del sistema? Cmo se atienden
Solicitudes de informacin a otros usuarios del mismo sistema?
No se cuenta con un gerente de sistemas, las reparaciones a los fallos las hace una persona ajena a
la institucin.
10. Se destruye la informacin utilizada, o bien que se hace con ella?
Destruye ( ) Vende ( ) Tira (* ) Otro_________________________
Cuestionario de control de medios de almacenamiento masivo

1. Los locales asignados al servidor tienen:
Aire acondicionado (NO )
Proteccin contra el fuego (* ) (sealar que tipo de proteccin) Extintores
Cerradura especial ( No)
3. Qu informacin mnima contiene el inventario del servidor?
Nmero o clave del usuario (*) Nmero del archivo lgico

__________________________________________________
Nombre del sistema que lo genera (*)
Fecha de expiracin del archivo ______________________________________________
Fecha de expiracin del archivo______________________________________________
Nmero de volumen _______________________________________________________
Otros ___________________________________________________________________
4. Se verifican con frecuencia la validez de los inventarios de los archivos magnticos?
SI ( ) NO (* )
27
5. En caso de existir discrepancia entre las cintas o discos y su contenido, se resuelven y explican
satisfactoriamente las discrepancias? SI ( ) NO ( * )
6. Que tan frecuentes son estas discrepancias?
_________________________________________________________________________
7. Se tienen procedimientos que permitan la reconstruccin de un archivo inadvertidamente
destruido? SI ( ) NO ( * )
8. Se tienen identificados los archivos con informacin confidencial y se cuenta con claves de
acceso? SI ( * ) NO ( )
Cmo? Existe un servidor dedicado a este tipo de archivos, al cual solo el gerente de sistemas
tiene acceso. NO(*)
9. Existe un control estricto de las copias de estos archivos? SI ( ) NO ( * )
10. Que medio se utiliza para almacenarlos? Mueble con cerradura ( * ) Bveda ( )
Otro (especifique)_______________________________________________________
12. Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos?
SI (* ) NO ( )
13. Se certifica la destruccin o baja de los archivos defectuosos? SI ( ) NO ( * )
14. Se realizan auditoras peridicas a los medios de almacenamiento? SI ( ) NO (* )
15. Qu medidas se toman en el caso de extravo de algn dispositivo de almacenamiento?
No estn normadas
16 Se restringe el acceso a los lugares asignados para guardar los dispositivos de
almacenamiento, al personal autorizado? SI (* ) NO ( )
17. Se tiene relacin del personal autorizado para firmar la salida de archivos confidenciales?
SI ( ) NO (* )
18. Existe un procedimiento para registrar los archivos que se prestan y la fecha en que se
devolvern? SI ( ) NO ( *)
20. Se lleva control sobre los archivos prestados por la instalacin? SI ( ) NO (*)
28
21. En caso de prstamo Conque informacin se documentan?
fecha de recepcin (* )
fecha en que se debe devolver (* )
archivos que contiene ( *)
formatos ( )
cifras de control ( )
cdigo de grabacin ( )
nombre del responsable que los presto ( )
otros ( )
22. Se utiliza la poltica de conservacin de archivos hijo-padre-abuelo? SI ( ) NO (* )
23. En los procesos que manejan archivos en lnea, Existen procedimientos para recuperar los
archivos? SI ( ) NO (*) NA(*)
24. Estos procedimientos los conocen los operadores? SI ( ) NO ( )
25. Con que periodicidad se revisan estos procedimientos? MENSUAL ( ) ANUAL ( )
SEMESTRAL ( ) OTRA ( )
26. Existe un responsable en caso de falla? SI ( ) NO (* )
29
27. Explique que polticas se siguen para la obtencin de archivos de respaldo?
28. Existe un procedimiento para el manejo de la informacin? SI ( ) NO (* )
Cuestionario de Control de mantenimiento

1. Especifique el tipo de contrato de mantenimiento que se tiene (solicitar copia del contrato).
No se tiene contrato de mantenimiento, el mismo personal interno lo realiza cuando es necesario.

Tampoco esta normado el tipo, ni el periodo entre cada mantenimiento.
2. Existe un programa de mantenimiento preventivo para cada dispositivo del sistema de
computo? SI ( ) NO (* )
3. Se lleva a cabo tal programa? SI ( ) NO ( )
4. Existen tiempos de respuesta y de compostura estipulados en los contratos? SI ( ) NO ( )
5. Si los tiempos de reparacin son superiores a los estipulados en el contrato, Qu acciones
correctivas se toman para ajustarlos a lo convenido? SI ( ) NO ( )
5. Solicite el plan de mantenimiento preventivo que debe ser proporcionado por el proveedor.-
SI ( ) NO ( )
6. Cmo se notifican las fallas?
Se llama por la lnea telefnica interna al ingeniero de sistemas, el cual llega realiza el diagnostico,
y de ser posible la reparacin.
9. Cmo se les da seguimiento?
No hay seguimiento.
Cuestionario Sobre el orden y cuidado del centro de cmputo

1. Indique la periodicidad con que se hace la limpieza del departamento de cmputo y de la
cmara de aire que se encuentra abajo del piso falso si existe y los ductos de aire:
Semanalmente ( ) Quincenalmente ( )
Mensualmente ( ) Bimestralmente ( )
No hay programa (* ) Otra (especifique) ( )
2. Existe un lugar asignado a las cintas y Archivos de discos? SI ( *) NO ( )
3. Se tiene asignado un lugar especifico para papelera y utensilios de trabajo?
30
SI (* ) NO ( )
4. Son funcionales los muebles asignados para el archivo de a cintas, discos y otros?
SI (* ) NO ( )
5. Se tienen disposiciones para que se acomoden en su lugar correspondiente, despus de su
uso, las cintas, los discos magnticos, la papelera, etc.? SI (* ) NO ( )
6. Existen prohibiciones para fumar, tomar alimentos y refrescos en el departamento de
cmputo? SI (* ) NO ( )
6. Se cuenta con carteles en lugares visibles que recuerdan dicha prohibicin? SI ( ) NO ( *)
Cuestionario para la Evaluacin de la configuracin del sistema de cmputo

1. De acuerdo con los tiempos de utilizacin de cada dispositivo del sistema de cmputo y
diferentes reas de la Entidad. existe equipo?
Con poco uso? SI ( ) NO (* )
Ocioso? SI ( ) NO (* )
Con capacidad superior a la necesaria? SI ( ) NO (*)
Describa cual es ____________________________________________________
2. El equipo mencionado en el inciso anterior puede reemplazarse por otro ms lento y de menor
costo? SI ( ) NO ( )
3. Si la respuesta al inciso anterior es negativa, el equipo puede ser cancelado? SI ( ) NO ( )
4. De ser negativa la respuesta al inciso anterior, explique las causas por las que no puede ser
cancelado o cambiado. _______________________________________________________
5. La capacidad de memoria y de almacenamiento mximo del sistema de cmputo es suficiente

para atender el proceso por lotes y el proceso remoto? SI (*) NO ( )
Cuestionario de Evaluacin de la Seguridad fsica

1. Se han adoptado medidas de seguridad en el sistemas de informacin?
SI (* ) NO ( )
31
2. Existen una persona responsable de la seguridad? SI (* ) NO ( )
3. Se ha dividido la responsabilidad para tener un mejor control de la seguridad? SI ( ) NO (*)
4. Existe personal de vigilancia en la institucin? SI (*) NO ( )
5. La vigilancia se contrata?
a) Directamente (* )
b) Por medio de empresas que venden ese servicio ( )
6. Existe una clara definicin de funciones entre los puestos clave? SI ( ) NO (*)
7. Se investiga a los vigilantes cuando son contratados directamente? SI ( *) NO ( )
8. Se controla el trabajo fuera de horario? SI ( ) NO ( *)
9. Se registran las acciones de los operadores para evitar que realicen algunas pruebas que
puedan daar los sistemas?. SI ( *) NO ( )
10. Existe vigilancia en la empresa las 24 horas? SI ( ) NO (*)
11. Existe vigilancia a la entrada de la empresa las 24 horas? a) Vigilante ? ( )
b) Recepcionista? ( ) c) Tarjeta de control de acceso ? ( ) d) Nadie? (*)
12. Se permite el acceso a los archivos y programas a los programadores, analistas y
operadores? SI () NO (*)
13. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda
entrar sin autorizacin? SI ( ) NO ( *)
14. El edificio donde se encuentra la computadora est situado a salvo de:
a) Inundacin? ( NO)
b) Terremoto? ( No )
c) Fuego? (No)
d) Sabotaje? ( SI)
15. Existe control en el acceso a este cuarto?
a) Por identificacin personal? ( *)
b) Por tarjeta magntica? ( )
32
c) por claves verbales? ( )
d) Otras? ( )
16. Son controladas las visitas y demostraciones en la empresa? SI ( *) NO ( )
17. Se vigilan la moral y comportamiento del personal de la empresa con el fin
de mantener una buena imagen y evitar un posible fraude? SI ( ) NO ( * )
18. Existe alarma para
a) Detectar fuego(calor o humo) en forma automtica? ( No)
b) Avisar en forma manual la presencia del fuego? (No )
c) Detectar una fuga de agua? ( No)
d) Detectar magnticos? (No)
e) No existe ( *)
19. Estas alarmas estn:
a) En el departamento de cmputo? ( )
b) En otro lugar? ( )
20. Existe alarma para detectar condiciones anormales del ambiente?
a) En el departamento de cmputo? ( )
b) En otros lados ( )
21. La alarma es perfectamente audible? SI ( ) NO ( )
22.Esta alarma tambin est conectada
a) Al puesto de vigilancia ? ( )
b) A la estacin de Bomberos? ( )
c) A ningn otro lado? ( )
Otro_________________________________________
23. Existen extintores de fuego
a) Manuales? (*)
b) Automticos? ( )
33
c) No existen ( )
24. Se ha adiestrado el personal en el manejo de los extintores? SI ( ) NO ( *)
25. Los extintores, manuales o automticos a base de TIPO
a) Agua, SI ( )NO ( *)
b) Gas? ( *) ( )
c) Otros ( ) (* )
26. Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? SI ( ) NO ( *)
27. Si es que existen extintores automticos son activador por detectores automticos de fuego?
SI ( ) NO ( *)
28. Si los extintores automticos son a base de agua Se han tomado medidas para evitar que el
agua cause ms dao que el fuego? SI ( ) NO ( )
29. Si los extintores automticos son a base de gas, Se ha tomado medidas para evitar que el
gas cause mas dao que el fuego? SI ( ) NO ( *)
30. Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automticos para
que el personal
a) Corte la accin de los extintores por tratarse de falsas alarmas? SI ( ) NO ( )
b) Pueda cortar la energa Elctrica SI ( ) NO ( )
c) Pueda abandonar el local sin peligro de intoxicacin SI ( ) NO ( )
d) Es inmediata su accin? SI ( ) NO ( )
31. Los interruptores de energa estn debidamente protegidos, etiquetados y sin obstculos
para alcanzarlos? SI ( ) NO (*)
32. Saben que hacer los operadores del as computadoras , en caso de que ocurra una
emergencia ocasionado por fuego? SI ( ) NO (*)
33. El personal ajeno a operacin sabe que hacer en el caso de una emergencia (incendio)?
SI ( ) NO ( * )
34. Existe salida de emergencia? SI (* ) NO ( )
34
35. Esta puerta solo es posible abrirla:
a) Desde el interior ? ( )
b) Desde el exterior ? ( )
c) Ambos Lados ( *)
36. Se revisa frecuentemente que no est abierta o descompuesta la cerradura de esta puerta y
de las ventanas, si es que existen? SI ( ) NO (* )
37. Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en
caso de emergencia? SI ( ) NO (* )
38. Se ha tomado medidas para minimizar la posibilidad de fuego:
a) Evitando artculos inflamables en el departamento de cmputo? (* )
b) Prohibiendo fumar a los operadores en el interior? ( *)
c) Vigilando y manteniendo el sistema elctrico? ( )
d) No se ha previsto ( )
39. Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior de las

oficinas de cmputo para evitar daos al equipo? SI ( * ) NO ( )
40. Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe? SI ( ) NO ( )
41. Se controla el acceso y prstamo en la
a) Servidor? ( * )
b) Programoteca? (* )
42. Se cuenta con copias de los archivos en lugar distinto al de la computadora? SI (*) NO ( )
43. Explique la forma en que estn protegidas fsicamente estas copias (bveda, cajas de
seguridad etc.) que garantice su integridad en caso de incendio, inundacin, terremotos, etc.
Se encuentran en HDD externos que estn en posesin del gerente de sistemas, sin proteccin
adicional.
44. Se tienen establecidos procedimientos de actualizacin a estas copias? SI ( ) NO (*)
45. Indique el nmero de copias que se mantienen, de acuerdo con la forma en que se clasifique la
informacin:
35
46. Existe departamento de auditoria interna en la institucin? SI ( ) NO ( *)
47. Este departamento de auditoria interna conoce todos los aspectos de los sistemas?
SI ( ) NO ( )
48. Que tipos de controles ha propuesto?
___________________________________________________________________________
___________________________________________________________________________
49. Se cumplen? SI ( ) NO ( )
50. Se auditan los sistemas en operacin? SI ( ) NO ( )
51.Con que frecuencia?
a) Cada seis meses ( )
b) Cada ao ( )
c) Otra (especifique) ( )
51.Cundo se efectan modificaciones a los programas, a iniciativa de quin es?
a) Usuario (*)
b) Director de informtica ( )
c) Jefe de anlisis y programacin ()
d) Programador ( )
e) Otras ( especifique) ________________________________________________
52.La solicitud de modificaciones a los programas se hacen en forma?
a) Oral? (* )
b) Escrita? (* )
En caso de ser escrita solicite formatos
58.Una vez efectuadas las modificaciones, se presentan las pruebas a los interesados? SI (* ) NO (
)
53.Existe control estricto en las modificaciones? SI ( ) NO ( *)
54.Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado? SI ( ) NO (*)
36
55.Si se tienen terminales conectadas, se ha establecido procedimientos de operacin?
SI ( ) NO ( *)
56.Se verifica identificacin:
a) De la terminal ( )
b) Del Usuario ( *)
c) No se pide identificacin ( )
57.Se ha establecido que informacin puede ser acezada y por qu persona? SI ( ) NO ( *)
58.Se ha establecido un nmero mximo de violaciones en sucesin para que la computadora
cierre esa terminal y se de aviso al responsable de ella? SI ( ) NO ( *)
59.Se registra cada violacin a los procedimientos con el fin de llevar estadsticas y frenar las
tendencias mayores? SI ( ) NO ( *)
Seguridad de la Informacin
Polticas y Procedimientos de Seguridad

Describa brevemente la naturaleza y alcance de las polticas y procedimientos de seguridad de la
informacin:
No existen polticas normadas, la seguridad se maneja en base a buenas prcticas.
Estn por escrito las polticas y procedimientos de seguridad de la informacin del cliente?
No
Tiene el cliente un programa para hacer del conocimiento del usuario las polticas,
procedimientos y prcticas de seguridad
No
Seguridad Lgica
En la tabla siguiente, relacione los mtodos que usa el cliente para restringir el acceso lgico a los
siste mas de aplicacin y a la informacin:
Mtodo de Restriccin de Acceso
37
Estn centralizados o descentralizados el soporte y la administracin de los mtodos de

restriccin de acceso lgico?
Centralizado.
En la tabla siguiente, relacione las tcnicas que el cliente usa para autentificar la identidad de los
usuarios que intentan acceder al sistema:
Tcnicas de Autentificacin
Cuenta de acceso (nombre de usuario y contrasea) nica, con permisos

pre-establecidos.
Describa brevemente los procesos del cliente para autorizar el acceso a la informacin y para
asignar los privilegios de acceso a los usuarios:
Dentro del software de control interno de la empresa, existe una seccin dedicada a la
autorizacin y privilegios de usuario, en ella se puede gestionar con suma flexibilidad los
diferentes niveles de acceso que se le consederan a los usuarios. Para poder realizar estas
modificaciones es necesario, disponer de una cuenta de administrador en el sistema.
Se ha definido explcitamente la propiedad de la informacin?
No.
Se ha clasificado la informacin para efectos de la autorizacin del acceso?
Quin es el responsable de autorizar el acceso a la informacin (es decir, de

aprobar una solicitud para que se le otorgue a un individuo el acceso a
informacin especfica o tipos de informacin)?
38
El gerente de sistemas.
Quin es el responsable de asignar los privilegios de acceso a los usuarios (es

decir, de fijar los parmetros de software que restringen o permiten ciertos tipos
de acceso a cierta informacin)?
El gerente de sistemas, o cualquier administrador designado por el gerente.
A quin se le permite actualizar el acceso a los datos de produccin?
El gerente de sistemas, o cualquier administrador designado por el

gerente.
Permite el cliente el acceso de Internet a /desde sus sistemas de la computadora?
Si
Describa el acceso de Internet a/desde los sistemas de la computadora del cliente. Considere lo
siguiente:
- Usuarios internos y externos a quienes se les ha otorgado dicho acceso
- El propsito de tal acceso
Se les permite acceso libre a internet, a todas las maquinas.
Tiene el cliente una direccin World Wide Web (w.w.w.)? No
Tienen los usuarios acceso al software escritor de informes? Si
Tienen los usuarios la capacidad de recibir datos (to download) y manipular la informacin del
sistema de aplicacin? NO
Tienen los usuarios la capacidad de transmitir datos (to up load) a los sistemas de aplicacin,
fuera del sistema de aplicacin normal de entrada de datos? No
Seguridad Fsica
Qu mtodos usa el cliente para restringir el acceso fsico a esta ubicacin

de procesamiento?
39
Solicitud de identificacin de empleado.
En la tabla siguiente, relacione todos los grupos (internos y externos) cuyo acceso fsico est
permitido a este ambiente de procesamiento de la computadora. Por cada grupo, indique si se le
ha otorgado acceso completo o restringido e indique la naturaleza de las restricciones.
Grupo Naturaleza de las Restricciones de

Acceso Fsico, Si las Hay
Informticos Se tiene acceso fsico a todo el rea de

cmputo.
Vendedores No tienen ningn permiso de acceso.
Gerentes No tienen ningn permiso de acceso.
Asistencia (externa) Tiene acceso a las instalaciones de

computo, si est acompaado por
alguien del departamento de sistemas.
Qu tipo de controles ambientales se tienen establecidos en esta ubicacin

de procesamiento para prevenir daos al equipo de la computadora?
Aire acondicionado.
Entrevista al Gerente
Cul es su nombre y cargo en la empresa? Commented [P34]: Que barbaridad ingenieras
Cules son sus funciones
Existen procedimientos normados sobre cmo debe realizar estas funciones?
40
Donde se encuentran establecidos?
Segn su criterio estas normas son conocidas por los empleados?
Qu tan frecuentemente se rompen estas normas?
Cree usted necesario crear nuevas normas, mejorar las existentes, o dejarlas as como estn?
Commented [P35]: Plantearla de nuevo. Psima.
CONTRATO
Contrato de presentacin de servicios profesionales de auditora en informtica que celebran por
una parte LAVORATORIOS ISNAYA. Representado por Marvin Palma. En su carcter de Gerente
General y que en lo sucesivo se denomina al cliente, por otra parte representada por Janacely
Gonzlez Dvila quien se denominara el auditor, de conformidad con las declaraciones y clusulas
siguientes:
Declaraciones
1. El cliente declara:
a) Que es una Empresa comercial
41
b) Que est representado para este acto por Marvin Palma y tiene como su domicilio Plaza de
compras, Rotonda Centroamrica
c) Que requiere obtener servicios de auditora en informtica, por lo que ha decidido contratar los
servicios del auditor
2. Declara el auditor:
a) Que es una sociedad annima, constituida y existente de acuerdo con las leyes y que dentro de
sus objetivos primordiales est el de prestar auditora en informtica
b) Que est constituida legalmente segn escritura nmero 1814 de fecha 12/01/2000 ante el
notario pblico n 00154 Que seala como su domicilio BARIO ELIAS MONCADA .
3. Declaran ambas partes:
a) Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo formalizan otorgando el

presente contrato que se contiene en las siguientes:
CLAUSULAS
Primera. Objetivo
El auditor se obliga a prestar al cliente los servicios de auditora en informtica para llevarla a cabo
la evaluacin de la direccin de informtica del cliente, que se detalla en la propuesta de servicios
anexa que, firmada por las partes, forma parte integrante del contrato.
Segunda. Alcance del trabajo
El alcance de los trabajos que llevara a cabo el auditor dentro de este contrato son:
a) evaluaciones de la direccin de informtica en lo que corresponde a:
-su organizacin -capacitacin
-estructura -planes de trabajo
-Recursos humanos -controles
-Normas y polticas -estndares
42
b) Evaluacin de los sistemas
-evaluacin de los diferentes sistemas en operacin, (flujo de informacin, procedimientos,

documentacin, redundancia, organizacin de archivos, estndares de programacin, controles,
utilizacin de los sistemas).
-opinin de los usuarios de los diferentes sistemas
-evaluacin de avance de los sistemas en desarrollo y congruencia con el diseo general
-evaluacin de prioridades y recursos asignados (humanos y equipo de cmputo).
-seguridad fsica y lgica de los sistemas, su confidencialidad y respaldos.
c) Evaluacin de equipos
-Capacidades -respaldos de equipo
-Utilizacin -seguros
-Nuevos proyectos -contratos
-seguridad fsica y lgica -proyecciones
d) Elaboraciones de informes que contengan conclusiones y recomendaciones por cada uno de los
trabajos sealados en los incisos a, b y c de esta clusula.
Tercera. Programa de trabajo
El cliente y el auditor convienen en desarrollar en forma conjunta un programa de trabajo en el

que se determinen con precisin las actividades a realizar por cada una de las partes, los
responsables de llevarlas a cabo y las fechas de realizacin.
Cuarta. Supervisin
El cliente o quien designe tendr derecho a supervisar los trabajos que se le han encomendado al
auditor dentro de este contrato y a dar por escrito las instrucciones que estimen convenientes.
Quinta. Coordinacin de los trabajos
El cliente designara por parte de la organizacin a un coordinador del proyecto quien ser el
responsable de coordinar la recopilacin de la informacin que solicite el auditor y de que las
reuniones y entrevistas establecidas en el programa de trabajo se lleven a cabo en las fechas
establecidas.
Sexta. Horario de trabajo
43
El personal del auditor declara el tiempo necesario para cumplir satisfactoriamente con los
trabajos materia de la celebracin de este contrato, de acuerdo al programa de trabajo convenido
por ambas partes y gozaran de libertad fuera del tiempo destinado al cumplimiento de las
actividades, por lo que no estarn sujetos a horarios y jornadas determinadas.
Sptima. Personal asignado
El auditor designara para el desarrollo de los trabajos objeto de este contrato a socios del
despacho quienes, cuando consideren necesario incorporar personal tcnico capacitado de que
dispone la firma, en el nmero que se requieran de acuerdo a los trabajos a realizar.
Octava. Relacin laboral
El personal del auditor no tendr ninguna relacin laboral con el cliente y queda expresamente
estipulado que este contrato se suscribe en atencin a que el auditor en ningn momento se
considera intermediario del cliente respecto al personal que ocupe para dar cumplimiento de las
obligaciones que se deriven de la relaciones entre l y su personal, y exime al cliente de cualquier
responsabilidad que a este respecto existir.
Novena. Plazo de trabajo
El auditor se obliga a terminar los trabajos sealados en la clusula segunda de este contrato en 30
das hbiles despus de la fecha en que se firme el contrato y sea cobrado el anticipo
correspondiente. El tiempo estimado para la terminacin de los trabajos esta en relacin a la

oportunidad en que el cliente entregue los documentos requeridos por el auditor y por el
cumplimiento de las fechas estipuladas en el programa de trabajo aprobado por las partes, por lo
que cualquier retraso ocasionado por parte del personal del cliente o de usuarios de los sistemas
repercutir en el plazo estipulado, el cual deber incrementarse de acuerdo a las nuevas fechas
establecidas en el programa de trabajo, sin perjuicio alguno para el auditor.
Dcima. Honorarios
El cliente pagara al auditor por los trabajos objetos del presente contrato, honorarios por la
cantidad de $2000 ms el impuesto al valor agregado correspondiente. La forma de pago ser la
siguiente:
a) 50 % a la firma del contrato
b) 50 % a la terminacin de los trabajos y presentacin del informe final.
Dcimaprimera. Alcance de los Honorarios
El importe sealado en la clusula dcima compensar al auditor por sueldos, honorarios,

organizacin y direccin tcnica propia de los servicios de auditara, prestaciones sociales y
laborales de su personal.
44
Dcimasegunda. Incremento de Honorarios
En caso de que se tenga un retraso debido a la falta d entrega de informacin, demora o

cancelacin de las reuniones, o cualquier otra causa imputable al cliente, este contrato se
incrementar en forma proporcional al retraso y se sealar el incremento como un acuerdo.
Dcimotercera. Trabajos adicionales
De ser necesaria alguna adicin a los alcances o productos del presente contrato, las partes
celebraran por separado un convenio que formara parte integrante de este instrumento y en
forma conjunta se acordara el nuevo costo.
Dcimomocuarta. Viticos Y Pasajes
El importe de los viticos y pasajes en que incurra el auditor en el traslado, hospedaje y

alimentacin que requieren durante su permanencia en la ciudad de Managua. Como
consecuencia de los trabajos objeto de este contrato, ser por cuenta del cliente.
Dcimoquinta. Gastos Generales
Los gastos de fotocopiado y dibujo que se produzcan con motivo de este contrato corrern por
cuenta del cliente.
Dcimosexta. Causas de Rescisin
Sern causas de rescisin del presente contrato la violacin o incumplimiento de cualquiera de las
clusulas de este contrato.
Enteradas las partes del contenido y alcance legal de este contrato, lo rubrican y firman de
conformidad en original y tres copias, en la ciudad de Managua, el da Lunes 23 de abril de 2012.
_______________________ ____ __________________________
EL CLIENTE EL AUDITOR
45

Auditorc3ada Informc3a1tica Isnaya

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Auditorc3ada Informc3a1tica Isnaya

Uploaded by

Copyright:

Available Formats

Auditora Informtica en Laboratorios ISNAYA / 2012

Docente: Ing. Jos Manuel Poveda.

Janacely Gonzlez Dvila

En la actualidad se aplica auditoria informtica como un examen crtico que se realiza

Este proceso metodolgico se implement en la empresa Laboratorio ISNAYA Estel,

Hacer toda la Introduccin de nuevo

Desarrollar un auditoria informtica en, que nos proporcione informacin para

Realizar un estudio preliminar del funcionamiento informtico de la empresa a

Obtener informacin por medio de la observacin y toma de notas, para

Presentar un informe que proponga el planteamiento de mejoras al uso

Laboratorios ISNAYA, es una empresa que brinda productos medicinales a base de

como sus trabajadores. La informacin que se proporciona en este documento sirve

Hallazgos y recomendaciones. Commented [P14]: Le faltan fundamentos, no hay explicacin

1-Mala imagen de la empresa

2-Poco soporte en lnea

El cableado de datos no se encuentra bien distribuido.

SIBOIF Capitulo# 5 Artculo 18 administraciones de hardware y comunicaciones Inciso

La empresa no cuenta con una buena distribucin de red de datos.

Cables daados y posibles enredos entre los cables.

Mala presentacin de la empresa

Realizar un nuevo cableado de red de datos.

Dar mantenimiento a la red de datos

Manejo del software no oficial para uso ajenos de la empresa.

SIBOIF Capitulo# 5 articulo 16 Administracin de software

Las computadoras estn propensas a cualquier instalacin y manipulacin de la

Tiempos ociosos de los trabajadores.

Desperdicio del los recursos de la Empresa.

Posibles infecciones de virus.

Restringir permisos de instalacin

Restriccin contra lectura

Prohibicin de aplicaciones de seos

La empresa no cuenta con un plan de contingencia.

SIBOIF Capitulo #8 artos 36 Participacin de tecnologa de la informacin en la

La empresa no cuenta con la informacin necesaria a la hora de que ocurra un

El personal no cuenta con la capacitacin necesaria a la hora que ocurra un siniestro.

Despus de que ocurra un desastre en la empresa los trabajadores no van a saber

Elaborar un plan de contingencia

Realizar Simulacros para estar preparados en caso de cualquier desastre natural

La empresa no realiza una evaluacin de riesgos.

Capitulo #9 Arto 38. Evaluacin de Riesgo tecnolgico.

La empresa no realiza una autoevaluacin en cuanto a la informtica.

Mala actualizacin de los Riesgos y plan de contingencia de la empresa.

Evaluacin de riesgos al menos una vez al ao.

En la Empresa no tiene un horario de respaldo o back up de la informacin. Se realiza

Artculo 35), captulo 8, Administracin de problemas, planeacin de contingencia y

Commented [P19]: Igual que el primero.

Metodologa de Trabajo. Commented [P20]: Debe escribirla antes de los hallazgos.

PROCEDIMIENTO PARA LA RECOPILACIN DE LA INFORMACIN

INSTITUCIN: LABORATORIOS ISNAYA, ESTEL.

Solicitud de informacin general de la 2 Horas Janacely

Recopilacin de la informacin Tania

Anotacin: la recoleccin de informacin se efectu no en su totalidad, la

Contratar a un ingeniero de sistemas que este fijo en la empresa y este se encargue de

Hacer un documento en el que se definan todas las operaciones de cada trabajador y

Levantamiento de activos. Commented [P24]: Los anexos debe numerarlos de forma

Tecnologa PC (servidor) Marvin Palma Gerencia

Tecnologa PC Porttil Marvin Palma Gerencia

Tecnologa PC Karla Salcedo Farmacia / recepcin

Tecnologa PC (contabilidad) Vernica Algaba Farmacia /

Tecnologa PC (produccin) Jamileth Serrato Produccin

Tecnologa PC Augusto Fernndez Laboratorio Fsico

Valoracin de los activos

Descripcin Disponibilidad Integridad Confidencialidad