Auditoria Informatica

FACULTAD DE CIENCIAS DEL HOMBRE Y LA NATURALEZA
LICENCIATURA EN CIENCIAS DE LA COMPUTACIN
ASIGNATURA: AUDITORA DE SISTEMAS.

TEMA DEL PROYECTO: AUDITORA AL DEPARTAMENTO DE REGISTRO
DEL ESTADO FAMILIAR DE LA ALCALDA MUNICIPAL DE JIQUILISCO.
DOCENTE: LICDA. ANA LISSETTE GIRON
N
1
APELLIDO
NOMBRES
CARNET
PARTICIPACIN
FUNES
NORMA
FR02110904
100%
RIVERA
MAGDALENA
JIMNEZ
VERNICA
JV01121165
100%
VALLADARES
MARLENE
SAN SALVADOR, 30 DE MAYO DE 2015
NDICE
Contenido
FASE DE PLANEACIN ......................................................................................................................... 4
INTRODUCCIN ................................................................................................................................... 5
OBJETIVOS DEL DOCUMENTO ............................................................................................................. 6
Objetivo general .............................................................................................................................. 6
Objetivos especficos ....................................................................................................................... 6
ANTECEDENTES DE LA EMPRESA ........................................................................................................ 7
ORGANIGRAMA DEL DEPARTAMENTO DE REGISTRO DEL ESTADO FAMILIAR ............................... 9
Antecedentes y descripcin de las aplicaciones utilizadas ........................................................... 11
IDENTIFICACIN DE REAS CRTICAS ............................................................................................ 13
ALCANCE DE LA AUDITORIA .............................................................................................................. 14
OBJETIVOS DE LA AUDITORA............................................................................................................ 15
Objetivo General ........................................................................................................................... 15
Objetivos Especficos ..................................................................................................................... 15
DETERMINACIN DE LOS RECURSOS NECESARIOS PARA REALIZAR LA AUDITORA......................... 16
PRESUPUESTO FINANCIERO .......................................................................................................... 17
CRONOGRAMA DE ACTIVIDADES .................................................................................................. 18
PROGRAMAS ................................................................................................................................. 19
CARTA OFERTA DE AUDITORIA DE SISTEMAS ................................................................................... 30
FASE DE EJECUCIN.................................................................................................................. 33
INTRODUCCIN ................................................................................................................................. 34
OBJETIVOS DEL DOCUMENTO ........................................................................................................... 35
Objetivo general ............................................................................................................................ 35
Objetivos especficos ..................................................................................................................... 35
PRESENTACIN DE POLTICAS DE SEGURIDAD ................................................................................. 36
TECNICAS DE EVALUACIN APLICABLES A UNA AUDITORIA DE SISTEMAS ...................................... 37
PRESENTACIN DE PAPELES DE TRABAJO......................................................................................... 37
Entrevista ...................................................................................................................................... 37
Cuestionario .................................................................................................................................. 38
ALCANCE DE LA AUDITORIA INFORMTICA ...................................................................................... 39
OBJETIVOS DE LA AUDITORIA............................................................................................................ 40
Objetivo General ........................................................................................................................... 40
Objetivos Especficos ..................................................................................................................... 40
CRONOGRAMA DE ACTIVIDADES DE LA EJECUCIN DE AUDITORIA ................................................ 41
PROGRAMAS DE AUDITORIA ............................................................................................................. 42
ANEXOS ............................................................................................................................................. 53
Cuestionarios................................................................................................................................. 53
PROGRAMAS DE AUDITORIA EJECUTADOS ....................................................................................... 54
EVIDENCIAS DETALLADAS POR REAS EVALUADAS .......................................................................... 89
INFORME FINAL DE LA AUDITORIA ................................................................................................... 92
INTRODUCCIN ................................................................................................................................. 93
OBJETIVOS DEL DOCUMENTO ........................................................................................................... 94
ALCANCES DE LA AUDITORA INFORMTICA .................................................................................... 95
OBJETIVOS DE LA AUDITORIA............................................................................................................ 96
CRONOGRAMA DE ACTIVIDADES ...................................................................................................... 97
PRESENTACIN DE INFORME ............................................................................................................ 98
ANEXOS ........................................................................................................................................... 103
GLOSARIO DE TRMINOS ................................................................................................................ 105
FUENTES DE INFORMACIN............................................................................................................ 117
FASE DE PLANEACIN
INTRODUCCIN
En el presente trabajo tiene como objetivo mostrar la planeacin de la auditoria

informtica que se realizara al sistema de administracin Municipal para la cual se
llevara a cabo una serie de pasos los cuales permitirn conocer ms acerca de la
institucin, determinar las reas a auditar, es decir determinar hasta donde se
pretende llegar con esta auditoria tomando en cuenta los alcances y partiendo de
los objetivos de la auditoria.
En esta primera etapa se encuentran los objetivos que se tiene como equipo de
trabajo hasta esta fase de planeacin de la auditoria de sistemas, los
antecedentes de la empresa en los que se describe una resea histrica de la
institucin, cantidad de empleados detalle del departamento y actividades a
auditar entre otros, tambin se encuentran los antecedentes y descripcin de las
aplicaciones auditadas, la identificacin de reas crticas, los alcances que se
tendrn, los objetivos de la planeacin del proceso de auditora, la determinacin
de recursos necesarios para llevar a cabo la auditoria, un presupuesto financiero,
cronograma de actividades,
anexos.
programas de auditoria y como finalizacin los
OBJETIVOS DEL DOCUMENTO
Objetivo general
Desarrollar las actividades de auditoria necesarias del departamento de
Registro del Estado Familiar de la Alcalda Municipal de Jiquilisco al que se
le realizar la auditoria informtica, para su respectivo proceso de
planeacin.
Objetivos especficos
Identificar reas crticas y actividades que se van a auditar.
Planificar actividades para realizar el proceso de auditora.
Elaborar programas de auditoria.
ANTECEDENTES DE LA EMPRESA
Resea historia de la empresa
Jiquilisco es un municipio del departamento de Usulutn, segn el censo oficial
tiene una poblacin de 47,784 habitantes, el poblado de Jiquilisco es de origen
lenca. Para 1550 era un asentamiento, importante, pues tena unos 1000
residentes. En el siglo VXLLL, de acuerdo a pedro Cortez y a Larraz, existen unas
451 personas, pertenecan a ese tiempo al partido de Usulutn.
En la poca republicana de Jiquilisco, octavo el ttulo de villa 1874, y para 1890 su
poblacin ascendi a 1640 habitantes. El ttulo de ciudad le fue otorgado en 1828,
el municipio cubre un rea de 429,99km y la cabecera tienen una altitud de
400msnm. El topnimo lenca xiquilisco significa hombre de ail o pueblo que
cultiva el ail la fiesta patronal se celebra en agosto en honor a la virgen del
Trnsito.
La Alcalda Municipal de Jiquilisco en toda su trayectoria como institucin ha sido
gobernada por 12 alcaldes, logrando su total desarrollo con la administracin de
David Barahona Marroqun.
Visin:
Somos un gobierno Municipal dedicado al desarrollo local a travs de la gestin
democrtica
honesta,
trasparente,
con
equidad
de
gnero,
generando
oportunidades colectivas con dimensiones espirituales, desarrollo econmico

concentracin, salud, apoyo a la educacin, turismo, deportes, prevencin de la
violencia, conservacin del medio ambiente y hacemos nuestras las necesidades
de la poblacin donde la juventud y las mujeres encuentran oportunidades
polticas que faciliten su participacin que contribuyen a su desarrollo.
Misin:
Ser la municipalidad mejor organizada y capacitada que permita atender y resolver
las necesidades bsicas de la poblacin en un ambiente de prosperidad, equidad
de gnero justicia social, solidaridad y en armona con el medio ambiente
orientada a identificar proyecto en beneficio social cultural econmico con la
participacin ciudadana para un desarrollo integral.
Objetivo general:
Formular el plan estratgico participativo del municipio, de Jiquilisco de acuerdo a
los tiempos establecidos en los TDR estableciendo una gua a seguir durante el
proceso de la consultora que incluyen el establecimiento de un sistema
de
seguimiento y evaluacin, para mejorar la conduccin planificada parte del

gobierno municipal.
Objetivos especficos:
Desarrollar capacidades en las personas y en las instituciones para que hagan uso
eficiente de los recursos naturales y patrimoniales.
Identificar las potencialidades del municipio y concertar estrategias para dinamizar
el desarrollo econmico del municipio de Jiquilisco, potenciando la competitividad,
estimulando el desarrollo la inversin y la produccin, constituyendo con ello la
generacin de logro y empleo.
Potenciar la amplia participacin de la poblacin en la elaboracin de plan
generando una forma de mecanismo de participacin permanente que contribuir
al impulso y seguimiento del plan, dndole continuidad al proceso de desarrollo.
Propiciar el desarrollo de capacidades de las personas y de las instituciones
durante el proceso donde se establece la confianza y el clima adecuado para el
dialogo y la coordinacin entre los diferentes actores.
ORGANIGRAMA DEL DEPARTAMENTO DE REGISTRO DEL ESTADO

FAMILIAR
Jefe
Subjefe
Jefe interno
Auxiliar p.
nacimiento
Auxiliar p
.matrimonio
Auxiliar p.
reposiciones.
Auxiliar p.
defuncin.
Auxiliar
ventanilla 1
Auxiliar
ventanilla 2
Cantidad de empleados:
La municipalidad cuenta con 350 empleados distribuidos en los diferentes
departamentos, en el departamento del estado de registro familiar tiene un total de
9 empleados.
Detalle de departamento y actividades que se auditaran:
El registro del estado familiar:
Es la dependencia encargada por mandato de ley y dentro de su competencia
territorial y jurisdiccional de registrar los diferentes actos y hechos jurdicos
relacionados con personas naturales desde su nacimiento hasta su muerte.
Actividades que se van a auditar:
1- Evaluacin de hardware.
2- Evaluacin de software
3- Evaluacin de red
4- Evaluacin de recursos humanos del rea de sistema.
5- Evaluacin de la seguridad fsica y lgica
Personal involucrado que atender la auditoria.
Nombre: Licda.: Margarita del Carmen Lobo Orellana.
Cargo: jefa del departamento
Telfono: oficina: 26284708
Celular: 76255258
Actividad econmica:
El departamento de registro de estado familiar como se explica anteriormente
presta el servicio a los pobladores de entrega de partidas de nacimiento,
defuncin, matrimonio y divorcio, por tanto la actividad econmica de este
departamento gira alrededor de esos servicios.
Ubicacin:
Departamento: Usulutn
Municipio: Jiquilisco.
Direccin: calle Fabio guerrero # 1.
El departamento de estado de registro familiar ofrece los servicios de:
Asentamiento de partida recin nacido.
Asentamiento de partida de defuncin.
Partidas de matrimonio
Partida de divorcio
Reparacin de partidas.
Principales proveedores: Jpiter netWorks.
Antecedentes y descripcin de las aplicaciones utilizadas

Nombre del sistema: sistema de administracin municipal.
Sistema operativo: Windows 7
Antivirus: nod 32
Gestor de base de datos: sql server.
Forma de adquisicin del sistema: creado por Jpiter Networks.
Desde cuando se utiliza: desde el 06 de junio de 2008.
Opciones del sistema:
Login:
Usuario
Contrasea.
Tipo de usuario:
Administrador o cliente.
Configuracin:
Datos de la alcalda municipal de Jiquilisco.
Crear encabezado.
Bitcora de sistema.
Definir contrasea.
Leyes:
Ley del nombre de la persona natural.
Ley de transitoria del registro del estado familiar y del rgimen patrimonial
del matrimonio.
Ley de reposicin de libros y partida de registro civil

Decreto que establece el libro de marginaciones del registro civil.
Bsqueda de partida:
Nombre y fecha.
Estadsticas:
Registro ingresado.
Estadsticas por ao.
Estadstica por ao y mes.
Estadstica por ao y fecha.
Estadstica por ao mes y fecha.
Opciones de formulario de partida:

Partida de nacimiento.
Partida de defuncin.
Partida de matrimonio.
Partida de divorcio.
Tipo de usuario:
Usuario administrador.
Usuario cliente.
Comunicacin: la comunicacin que se tiene es a travs de la red cableada.
Mantenimiento:
La empresa Jpiter Networks le da mantenimiento cada 6 meses.
IDENTIFICACIN DE REAS CRTICAS

Factores primarios Ponderacin
que
Argumento
sern
ponderados.
Hardware
30%
Equipos
en
mal
mantenimiento
lo
estado,
que
por
falta
representa
de
una
ineficiencia en el manejo del sistema y sus

operaciones
Software
15%
Identificar y conocer el sistema operativo que

maneja la institucin
Recursos
humanos 30%
El nivel de conocimiento del sistema es bajo.
del rea de sistemas
Red
10%
Evaluacin de los dispositivos fsicos que

conforman la red.
Seguridad
fsica
y 20%
lgica.
Verificar la seguridad y proteccin del sistema

en cuanto a acceso y utilizacin del mismo,
copias de seguridad de las instalaciones,
personal y usuarios del sistema.
Peso
total
ponderacin.
de
la 100%
ALCANCE DE LA AUDITORIA
La auditora informtica se realizar al sistema de registro de partidas el cual se
encuentra en el departamento de registro del estado familiar de la Alcalda
Municipal de Jiquilisco, ubicada en la calle Fabio Guerrero #1, del Municipio de
Jiquilisco, Departamento de Usulutn.
Las reas que se evaluarn son las siguientes:
Hardware
Software
Recursos Humanos del rea informtica
Redes
Seguridad fsica y lgica
OBJETIVOS DE LA AUDITORA
Objetivo General
Evaluar el rea de hardware, software, recursos humanos del rea informtica,
redes y seguridad fsica y lgica del
departamento de registro familiar de la
Alcalda Municipal de Jiquilisco, para poder realizar su respectivo informe en el

cual se sealarn todas las debilidades encontradas en dicha auditora, si acaso
hubieran.
Objetivos Especficos
Determinar si el hardware se utiliza eficientemente
Revisar la seguridad fsica de los componentes de la red de teleproceso
Verificar los procedimientos de seguridad fsica
Revisar si el equipo se utiliza por el personal autorizado
Comprobar los procedimientos de prevencin, deteccin, correccin frente a
cualquier tipo de desastre
DETERMINACIN DE LOS RECURSOS NECESARIOS PARA REALIZAR

LA AUDITORA
Humanos
Dos auditores
Materiales
Papel bond
Folders
fasteners
Lpices
Lapiceros
Engrapador
Perforador
Computadora
Impresora
Viticos
Alimentacin
Financieros
Dinero en efectivo por la cantidad de $300.00
PRESUPUESTO FINANCIERO
RECURSO
(2) Auditores
CANTIDAD
50 horas
VALOR TOTAL
$ 10.00
TOTAL RUBRO
VALOR TOTAL
RUBRO
$
500.00
500.00
MATERIALES
Papel bond
1 resma
5.00
5.00
foders
1 paquete
3.00
3.00
Fasteners
1 caja
2.00
2.00
Lpices
0.15
0.60
Lapiceros
0.25
1.50
Engrapador
2.50
2.50
Perforador
2.00
2.00
Computadoras
$500.00
$ 1000.00
Impresora
$ 50.00
50.00
Viticos
2 personas
$ 12.00
24.00
Alimentacin
2 personas
$ 20.00
40.00
TOTAL RUBRO
$ 1130.60
TOTAL NETO
$ 1630.60
CRONOGRAMA DE ACTIVIDADES
Actividades
Duracin en Meses
marzo
1
SEMANAS
conocimiento y comprensin de la
empresa
objetivos de la auditoria
identificacin de reas criticas
inicio de auditoria
Tcnicas
hallazgos de auditoria
elaboracin de informe
entrega final
Abril
3
mayo
3
PROGRAMAS
Cliente: Alcalda de Jiquilisco
auditoria
rea a auditar: HARDWARE
Actividad
evaluada
Evaluar el
hardware
5
6
que
ser Procedimiento
auditoria
de Hecho por
estado del observar

si
el
hardware con el que
Cuenta
el
departamento es el
indicado.
Evaluar el mantenimiento Verificar
si
al
hardware con el que
cuenta la institucin
se
le
da
mantenimiento.
Evaluar si se da el Observar en qu
mantenimiento preventivo. momento se realiza
este mantenimiento.
Evaluar el mantenimiento Verificar que tan
correctivo.
eficaz
es
el
mantenimiento
correctivo en los
equipos.
Evaluar los planes de Verificar si el equipo
seguridad del equipo.
cuenta con seguridad.
Evaluar el estado de los Verificar
si
los
equipos.
equipos se encuentran
en buen estado
Evaluar si los equipos Verificar si el equipo
realizan el proceso como realiza correctamente
se debe.
el proceso de datos.
Evaluar si el hardware es Verificar
si
el
el indicado para las hardware cumple con
aplicaciones
que
se los requerimientos de
requieren.
los
Sistemas
Evaluar los manuales de Verificar
si
la
seguridad
institucin cuenta con
manuales
de
seguridad
para
Fecha
10
11
Evaluar si la regulacin de
voltajes que llegan al
equipo es controlada.
Evaluar la vigilancia de
los equipos.
proteger el hardware
Verificar con pruebas
si el equipo regula
los voltajes.
Observar la vigilancia
con lo que cuentas los
equipos.
Ejemplos
cmaras de vigilancia
etc.
Verificar
si
las
condiciones de medio
ambiente son las
indicadas para el
hardware. si cuenta
con
aire
acondicionado
12
Evaluar el ambiente en el
que
se
maneja
el
hardware.
13
Evaluar las caractersticas Examinar

los
de los equipos informticos principales
componentes
del
hardware; es decir
RAM, disco duro,
procesador entre otros
14
Solicitar el inventario del

equipo informtico con el
que cuenta la Institucin
Preguntar a los
empleados si cuentan
con un inventario
actualizado del equipo
informtico
15
Verificar que el inventario

descrito coincida con el
inventario existente
Pedir al responsable
del rea de sistema los
archivos de inventario
de equipo informtico
y verificar si cumple
con el existente
auditoria
rea a auditar: SOFTWARE

N
Actividad que ser evaluada
Evaluar
los
sistemas Verificar
el
operativos, Con los que funcionamiento de
funciona el equipo.
cada uno de los
programas.
Evaluar la licencia de Pedir
a
la
software.
institucin que nos
brinde
la
informacin
necesaria
para
verificar que todo
est en su total
legalidad.
Evaluar como protegen el Verificar si se
sistema.
cuenta con algn
antivirus instalado
en las pc.
Evaluar si el sistema realiza Realizacin
de
lo que se espera.
pruebas, en el
sistema.
Evaluar cmo se manejan Verificar si la
los sistemas.
persona encargada
del uso de los
sistemas lo hace de
la manera correcta
Evaluar si la institucin Pedir
a
la
cuenta con manuales para el institucin que nos
uso de los sistemas.
facilite
estos
manuales si los
hubiera.
Evaluar el estado de las Verificar que estas
aplicaciones del sistema.
se
encuentran
vigentes.
Procedimiento
auditoria
de Hecho por
evaluar la seguridad en el Verificar si la

software
informacin que se
maneja
es
confidencial.
Evaluar si
el software Pedir recibos o
utilizado
se
le
da estados de pago a
mantenimiento las fechas la empresa que lo
fecha
10
11
12
que nos dijo

Evaluar si el sistema que se
utiliza le funciona correcta
mente cada una de sus
aplicaciones.
Evaluar los planes de
manejo del sistema.
realiza.
Realizacin
de
pruebas por cada
aplicacin.
Verificar cmo se
maneja el sistema
internamente.
Evaluar si los recursos son Verificar si todas
explotados
como
se las aplicaciones del
deberan.
sistema
estn
siendo utilizadas.
13 Verificar si existen planes de

capacitacin para el uso y
manejo de las diferentes
aplicaciones
Preguntar a los
empleados si
reciben
capacitaciones para
poder usar el
sistema
Solicitar un listado del

14 personal que acceden al
software con su respectivo rol
y verificar con los permisos
que cuenta cada uno
del rea informtica
un listado de los
usuarios con acceso
al sistema y cuales
son los permisos
que tienen segn el
rol de cada uno
15 Verificar que criterios

tcnicos se utilizan para
seleccionar al proveedor del
software
Preguntar al
responsable del
sistema, los criterios
que toman en cuenta
para seleccionar al
proveedor
auditoria
rea a auditar: RECURSOS HUMANOS

N
Procedimiento
auditoria
Evaluar si las personas

encargadas conocen del
sistema.
Evaluar
el
nivel
de
conocimiento de hardware
por parte de los empleados
que manejan el sistema
Evaluar el conocimiento del
proceso del sistema.
Pedir una muestra

de cmo funciona
10
de Hecho por
Observar como se
reacciona ante una
dificultad
del
mismo
Observar si la
persona
conoce
como el sistema
funciona
internamente.
Medir el grado de
conocimiento que
la persona tiene en
cuanto al sistema
Evaluar si la institucin
cuenta con una persona que
tenga los conocimientos
necesarios para reparar el
sistema.
Evaluar que tan eficaz es el Verificar la ayuda
sistema.
que tienen los
empleados con el
sistema. Como les
facilita su trabajo.
Evaluar cmo est siendo Verificar como es
utilizado.
el uso que se le da
al sistema.
Evaluar cuantas personas Observar
por
conocen del manejo de este. quienes
es
utilizado el sistema
y el manejo que
estos tienen de el.
Evaluar si en verdad no hay Verificar que en
fuga de informacin.
realidad solo es el
departamento, el
que cuenta con el
sistema.
Evaluar si el sistema es Verificar que solo
protegido
por
su el
administrador
administrador.
tenga la entrada
como
administrador.
Evaluar el conocimiento de Evaluar que tanto
fecha
este administrador.
11
12
conoce
el
administrador de
este
sistema,
mediante
observacin
y
preguntas sobre el
mismo.
Evaluar los manuales de Pedir
a
la
usuario.
institucin que nos
facilite manuales
de usuarios para el
uso del sistema.
Evaluar el proceso de Verificar que el
registro de datos
sistema en realidad
registra lo que el
cliente me dice que
registra mediante
pruebas y el acceso
a la base de datos.
13 Evaluar si los empleados

conocen sobre los planes
contingenciales de la
Institucin
Preguntar a los
empleados si ellos
conocen sobre sus
planes
contingenciales en
caso de un desastre
natural
14 Evaluar quienes son las

personas involucradas, al
momento de elaborar los
planes con los que ellos
cuentan
Preguntar quienes
son las personas
responsables
de
realizar
los
diferentes planes de
contingencia
15
Evaluar si el personal ha sido

capacitado para poner en
practica medidas de
seguridad
Preguntar a los
empleados si han
recibido
capacitaciones para
poner en prctica
todas las medidas
de seguridad
auditoria
rea a auditar: RED
Actividad que ser evaluada Procedimiento

auditoria
Evaluacin de la estructura Examinar si el

de la red.
cableado
de
la
empresa cumple con
los estndares de la
industria y si se
encuentra
debidamente
protegido..
Revisar que solo en el Examinar si en
departamento sea utilizado otros departamentos
el sistema.
de la municipalidad
est siendo filtrada
la red.
Evaluar la ubicacin de los Observar si los
diferentes dispositivos de dispositivos
de
red.
interconexin
(Switches, routers
estn en ubicaciones
adecuadas
y
seguras.
Evaluar los manuales de Examinar si la red
seguridad con que cuenta la es de forma local o
empresa.
funciona
por
internet.
Evaluar si la informacin de Realizar
pruebas
este sistema es totalmente para verificar la
confidencial.
rapidez de envo de
informacin
Evaluar los formatos de Comprobar si existe
seguridad
un
proceso
establecido con el
cual, transcurrido
un
periodo
de
tiempo
de
de Hecho por
fecha
Examinar cuantas copias de

seguridad existen
Evaluar la seguridad fsica

del sistema.
Evaluar el funcionamiento
de los servidores.
10
Evaluar la seguridad que

tienen los dispositivos de
red.
11
Evaluar con que tipo de

servidor se cuenta.
12
Evaluar la seguridad de la
red.
inactividad,
la
sesin de un usuario
se
cierra
o
automticamente se
salga.
Verificar que el
servidor
se
encuentre en un
lugar seguro.
Verificar
que
personas
poseen
privilegios en sus
computadoras
y
quienes
se
les
restringen accesos a
diferentes
aplicaciones.
Verificar mediante
pruebas
el
funcionamiento de
los servidores.
Observar si la red se
ha instalado en
cuanto a sus cables
cumplen con los
requerimientos
establecidos
Verificar con que
tipo de servidor
cuenta la red.
Conocer que tan
segura es la red con
la que trabaja el
departamento.
13 Evaluar plan cuando se cae

conexin de proveedor de
internet
Preguntar que tan

frecuente son las
veces con las que se
cae la red de internet
y que medidas se
toman
14 Controles de acceso a la red
Comprobar si existe
un
proceso
establecido con el
cual, transcurrido un
tiempo
de
inactividad la sesin
de un usuario se
cierra.
15 Evaluar la rapidez de envo Realizar
pruebas
de la informacin
para
evaluar
la
rapidez de envo de
la informacin
auditoria
rea a auditar: SEGURIDAD FISICA Y LOGICA

N
Evaluar la seguridad de los Verificar si los

sistemas
sistemas cuentan
con sistemas de
seguridad.
a
la
cuenta con copias de los institucin que nos
archivos.
muestre las copias
con las que cuenta.
Examinar los folios de Verificar si estos
registro del estado familiar.
folios pertenecen a
los datos que estn
en el sistema.
Evaluar en qu tipo de Comprobar
los
dispositivos se guardan estas dispositivos USB,
copias.
CD,DVD etc.
Evaluar cmo se manejan los Evaluar como las
sistemas.
personas manejan
el sistema para
protegerlo.
Evaluar si la institucin Verificar si la
cuenta con manuales para el institucin cuenta
con manuales para
proteger
el
sistema. de los
malos usos de los
usuarios
Verificar si se inhabilita
Observacin
Procedimiento de Hecho por

auditoria
fecha
al usuario despus de
ingresar la contrasea
despus de un nmero
determinado de
Intentos fallidos.
Verificar que el sistema
operativo obliga a
cambiar la contrasea
peridicamente
durante el proceso
Verificar los procedimientos

en la seguridad y acceso
fsico al rea de sistemas
Examinar si existen
los procedimientos
adecuados, para
prevenir que
personas no
autorizadas entren
al rea de sistemas
Observacin.
10 Identificar si existen cmaras En caso de entrar

de vigilancia
personas no
autorizadas, o en
caso de manipular
el sistema personas
ajenas al rea
informtica
11 Determinar la proteccin
contra incendios y humedad
Investigar si se
cuenta con
extintores de fuego
y si el personal ha
sido capacitado en
el uso de equipo
contra incendios e
inundacin
Identificar autenticacin de Verificar que

12 usuarios y controles de acceso existan polticas
que restrinjan
acceso al personal
13
Evaluacin de BACKUP
del rea de sistemas
que muestre las
copias con las que
cuenta
14 Verificar si no existe algn
Examinar el rea de
filtro de agua o de humedad
cmputo para
que pueda daar los equipos comprobar que el
equipo informtico
est seguro y libre
de cualquier peligro
15 Identificar todas las posibles
Verificar que tan
entradas al rea de cmputo y seguras son estas
si existen medidas pertinentes entradas y quienes
en cada una de ellas
cuentan con las
llaves
CARTA OFERTA DE AUDITORIA DE SISTEMAS
Jiquilisco, 25 de marzo de 2015.

Seores
Alcalda municipal de Jiquilisco.
Presente.
Estimados Seores:
Somos estudiantes de la Universidad Luterana Salvadorea que cursamos la
asignatura de auditoria de sistemas.
Durante el transcurso del proceso de la asignatura queremos adquirir la
experiencia necesaria para el fortalecer nuestros conocimientos de la teora
llevarlos a la prctica.
Comprometidas a brindar un trabajo eficiente y de acuerdo a los requisitos que
sean establecidos.
Deseamos brindarles nuestros servicios de auditora con el objetivo de evaluar,
diagnosticar los procesos, equipos, aplicaciones y uso de los sistemas
informticos dentro del departamento antes mencionado
de tal manera que
dentro del corto plazo podamos proponer soluciones y mejores prcticas en lo que
a tecnologa de informacin se refiere. La auditora que realizaremos estar
orientada analizar las reas que anteriormente se han identificado como reas
crticas dentro de las cuales encontramos.
Hardware
Software
Recursos humanos del rea de sistemas
Red
Cordialmente:
Fnes Rivera
Norma Magdalena
Jimnez Valladares Vernica Marlene
Alcances de oferta.
Evaluacin de los equipos su seguridad, estado, mantenimiento.
Evaluacin de seguridad fsica y lgica
evaluacin de los procesos de
seguridad con los que cuenta la institucin.

Evaluacin del software, que los sistemas funcionen correctamente y
verificacin de las licencias y modo de adquisicin
Evaluacin de las copias de seguridad con las que cuenta la empresa.
Metodologa:
Solicitud de manuales de uso de los sistemas.
Verificacin de las copias de seguridad de los sistemas.
Verificacin del estado de los equipos.
Elaboracin de un cuestionario para evaluar el conocimiento para el
uso del sistema.
Solicitud de contratos de seguros, contratos de mantenimiento.
Solicitud del contrato de la empresa que brindo el sistema a la
institucin.
Resultados: Se proporcionar un informe detallado de los hallazgos

encontrados durante el proceso de auditora.
Duracin y Costo del servicio:
Duracin: 12 semanas
Costo: 1630.60
Atentamente:
Funes rivera Norma Magdalena F_________________________
Jimnez Valladares Vernica Marlene F__________________
FASE DE EJECUCIN
INTRODUCCIN
El presente trabajo tiene como objetivo mostrar la etapa de
ejecucin de la
auditoria informtica que se realiz al departamento de registro del estado familiar

de la Alcalda Municipal de Jiquilisco, para lo que se llev a cabo una serie de
actividades; lo que permiti desarrollar y presentar cada uno de los programas
descritos en la fase de planeacin.
En esta segunda etapa se encuentran los objetivos propuestos como equipo de

trabajo en la fase de ejecucin de la auditoria de sistema, presentacin de las
polticas de seguridad con los que cuenta el departamento de registro del estado
familiar de la Alcalda Municipal de Jiquilisco, as tambin las tcnicas de
evaluacin aplicables,
donde se demuestra mecanismos de recoleccin de
evidencias dentro del proceso de auditora, se detallan la presentacin de papeles

de trabajo, los alcances de la auditoria, objetivos de la auditoria, cronograma de
actividades de la ejecucin de auditoria, y los programas ejecutados de la auditoria
informtica.
Objetivo general
Desarrollar la ejecucin de auditoria
del departamento de registro de
estado familiar de la Alcalda Municipal de Jiquilisco en el periodo de

febrero a mayo de 2015.
Establecer los mecanismos de recoleccin de evidencias de la ejecucin en

el departamento de registro del estado familiar.
Presentar las polticas de seguridad con las que cuenta el departamento de

registro familiar de la Alcalda Municipal de Jiquilisco.
PRESENTACIN DE POLTICAS DE SEGURIDAD

Polticas de seguridad en el departamento de registro del estado familiar de la
Alcalda Municipal de Jiquilisco presentado en las 5 reas crticas encontradas.
El equipo est siempre en temperatura adecuada para que no se dae.
A la salida cada empleado del departamento es registrado por los
vigilantes.
En caso de incendios el departamento cuenta con extintores.
Todos los programas cuentan con una copia de seguridad fsica
almacenada en (unidad de CD).
Los programas estn protegidos por claves de seguridad.
Solo el administrador tiene acceso al sistema completo.
Los empleados que no pertenecen al departamento no pueden tener
acceso a los sistemas.
Los sistemas estn protegidos con el antivirus Nod 32
Los datos almacenados en el sistema estn registrados en libros como
copia de seguridad.
El servidor por seguridad se encuentra en un lugar aparte.
En el lugar donde se encuentra el servidor cuenta con dos cmaras de
vigilancia.
En caso de falla de la red la institucin cuenta con un tcnico en el rea.
TECNICAS DE EVALUACIN APLICABLES A UNA AUDITORIA DE

SISTEMAS.
Para llevar a cabo la ejecucin de la auditoria se hizo uso de las siguientes
tcnicas.
Entrevista
Observacin
Cuestionario.
PRESENTACIN DE PAPELES DE TRABAJO

Entrevista
Entrevistado:
Nombre: Margarita del Carmen
Apellido: Lobo Orellana
Cargo: jefa del departamento de registro del estado familiar de la alcalda
municipal de Jiquilisco.
Telfono: 26284708.
A travs de la entrevista realizada, se llega a la conclusin que el personal del
departamento de registro del estado familiar muestra una ausencia de
conocimientos bsicos en cuanto al manejo de sistemas, redes y hardware; es
decir el departamento no cuenta con personal capacitado en estas reas, la
entrevistada manifest que se tienen planes a futuro de tener a una persona
experta en el rea.
Adems con la entrevista se logr conocer que en ausencia del administrador del
sistema existe otro usuario que tiene acceso al mismo.
Observacin
A travs de la observacin se pudo determinar:
Que se realizan
copias de seguridad de los programas y de los datos
almacenados en el sistema.
Que se cuenta con manuales de usuarios, adems de otros que aspectos que
sern tratados en el informe final.
Cuestionario
Cuestionario de control interno
Entrevistado
Margarita lobo
Hardware
Cuenta con pc de escritorio.
Cuenta con laptops
Se cuenta con servidores
Ups
Impresoras
Escner
Existe un contrato de mantenimiento?
Existe un plan de mantenimiento
Preventivo?
Este plan es proporcionado por el
Proveedor?
Se notifican las fallas
Se les da seguimiento?
Software
Cuenta con sistema operativo
Es comprado
Se tienen sus respectivas licencias
Cuenta con antivirus que protejan el sistema
Red
Se cuenta con una red
La red es cableada
Utilizan el internet para el uso del sistema
Considera usted que funciona la red correctamente
Sistemas de seguridad
Si
X
No
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Cuenta con seguridad

Considera que se deberan de implementar sistemas de
seguridad
La institucin cuenta con sistema de vigilancia en otros
departamentos
El sistema es de vital importancia para el trabajo.
Si el sistema falla se para el trabajo en el departamento
Existen copias de seguridad
Considera necesario estas copias
Considera q en caso de falla el proveedor responde con
agilidad
Se le da el uso necesario al equipo
X
X
X
X
X
X
X
X
X
ALCANCE DE LA AUDITORIA INFORMTICA
La auditora informtica se realiz al sistema de registro de partidas el cual se

encuentra ubicado en el departamento de registro de estado familiar de la Alcalda
Municipal de Jiquilisco, ubicada en la calle Fabio Guerrero #1, del Municipio de
Jiquilisco, Departamento de Usulutn en el perodo comprendido del 21 de febrero
de 2015 al 30 de mayo del mismo ao y las reas que se evaluarn son las
siguientes:
Hardware
Software
Redes
Al finalizar la ejecucin de la auditoria se han encontrado hallazgos que sern

abordados en el informe final presentado a las autoridades competentes.
OBJETIVOS DE LA AUDITORIA
Objetivo General
Evaluar cada una de las reas crticas con sus respectivos procesos del
sistema del departamento de estado de
registro familiar de la Alcalda
Municipal de Jiquilisco.
Objetivos Especficos
Registrar cada uno de las fallas encontradas en la parte de hardware y

software a travs de evaluacin de equipos y sistemas informticos
realizados al departamento de estado de registro familiar de la Alcalda
Evaluar el grado de conocimiento en el rea de informtica a los

encargados del departamento del Estado de Registro Familiar.
Examinar si el sistema cuenta con la seguridad y proteccin necesaria en

cuanto a acceso y utilizacin del mismo.
CRONOGRAMA DE ACTIVIDADES DE LA EJECUCIN DE AUDITORIA
Fines de semana
Das de ejecucin de auditoria
PROGRAMAS DE AUDITORIA
Auditoria
rea a auditar: HARDWARE
Actividad
evaluada
Evaluar el
hardware
5
6
que
ser Procedimiento
auditoria
de Hecho por
estado del observar

si
el
hardware con el que
Cuenta
el
departamento es el
indicado.
Evaluar el mantenimiento Verificar
si
al
hardware con el que
cuenta la institucin
se
le
da
mantenimiento.
Evaluar si se da el Observar en qu
mantenimiento preventivo. momento se realiza
este mantenimiento.
Evaluar el mantenimiento Verificar que tan
correctivo.
eficaz
es
el
mantenimiento
correctivo en los
equipos.
Evaluar los planes de Verificar si el equipo
seguridad del equipo.
cuenta con seguridad.
Evaluar el estado de los Verificar
si
los
equipos.
equipos se encuentran
en buen estado
Evaluar si los equipos Verificar si el equipo
realizan el proceso como realiza correctamente
se debe.
el proceso de datos.
Evaluar si el hardware es Verificar
si
el
el indicado para las hardware cumple con
aplicaciones
que
se los requerimientos de
requieren.
los
Fecha
01/04/15
Magdalena
Funes
Magdalena
Funes
01/04/15
Magdalena
Funes
02/04/15
Magdalena
Funes
02/04/15
Magdalena
Funes
Magdalena
Funes
03/04/15
Magdalena
Funes
03/04/15
Magdalena
Funes
03/04//15
Sistemas
Evaluar los manuales de Verificar
si
la Magdalena
seguridad
institucin cuenta con Funes
manuales
de
03/04/15
06/04/15
10
11
Evaluar si la regulacin de
voltajes que llegan al
equipo es controlada.
Evaluar la vigilancia de
los equipos.
seguridad
para
Verificar con pruebas
si el equipo regula
los voltajes.
Observar la vigilancia
con lo que cuentas los
equipos.
Ejemplos
cmaras de vigilancia
etc.
Verificar
si
las
condiciones de medio
ambiente son las
indicadas para el
hardware. si cuenta
con
aire
acondicionado
Magdalena
Funes
06/04/15
Magdalena
Funes
06/04/15
12
Evaluar el ambiente en el
que
se
maneja
el
hardware.
Magdalena
Funes
07/04/15
13
Evaluar las caractersticas Examinar

los Magdalena
de los equipos informticos principales
Funes
componentes
del
hardware; es decir
RAM, disco duro,
procesador entre otros
07/04/15
14
Solicitar el inventario del

equipo informtico con el
que cuenta la Institucin
Preguntar a los
empleados si cuentan Magdalena
con un inventario
Funes
actualizado del equipo
informtico
Verificar que el inventario

descrito coincida con el
inventario existente
del rea de sistema los
archivos de inventario Magdalena
de equipo informtico Funes
y verificar si cumple
con el existente
15
08/04/15
08/04/15
Auditoria
rea a auditar: SOFTWARE

N
Evaluar
los
sistemas Verificar
el
operativos, Con los que funcionamiento de
funciona el equipo.
cada uno de los
programas.
Evaluar la licencia de Pedir
a
la
software.
institucin que nos
brinde
la
informacin
necesaria
para
verificar que todo
est en su total
legalidad.
Evaluar como protegen el Verificar si se
sistema.
cuenta con algn
antivirus instalado
en las pc.
Evaluar si el sistema realiza Realizacin
de
lo que se espera.
pruebas, en el
sistema.
Evaluar cmo se manejan Verificar si la
los sistemas.
persona encargada
del uso de los
sistemas lo hace de
la manera correcta
a
la
cuenta con manuales para el institucin que nos
facilite
estos
manuales si los
hubiera.
Evaluar el estado de las Verificar que estas
aplicaciones del sistema.
se
encuentran
vigentes.
Vernica
Jimnez
09/04/15
Vernica
Jimnez
09/04/15
Vernica
Jimnez
09/04/15
Vernica
Jimnez
10/04/15
Vernica
Jimnez
10/04/15
Vernica
Jimnez
10/04/15
Vernica
Jimnez
10/04/15
evaluar la seguridad en el Verificar si la

software
informacin que se
maneja
es
confidencial.
Evaluar si
el software Pedir recibos o
utilizado
se
le
da estados de pago a
mantenimiento las fechas la empresa que lo
Vernica
Jimnez
13/04/15
Vernica
Jimnez
13/04/15
Procedimiento
auditoria
de Hecho por
Fecha
10
11
12
que nos dijo

Evaluar si el sistema que se
utiliza le funciona correcta
mente cada una de sus
aplicaciones.
Evaluar los planes de
manejo del sistema.
realiza.
Realizacin
de Vernica
pruebas por cada Jimnez
aplicacin.
Verificar cmo se
maneja el sistema
internamente.
Evaluar si los recursos son Verificar si todas
explotados
como
se las aplicaciones del
deberan.
sistema
estn
siendo utilizadas.
Vernica
Jimnez
14/04/15
Vernica
Jimnez
14/04/15
Vernica
Jimnez
14/04/15
13 Verificar si existen planes de

capacitacin para el uso y
manejo de las diferentes
aplicaciones
Preguntar a los
empleados si
reciben
capacitaciones para
poder usar el
sistema
Solicitar un listado del

14 personal que acceden al
software con su respectivo rol
y verificar con los permisos
que cuenta cada uno
Pedir al responsable Vernica

del rea informtica Jimnez
un listado de los
usuarios con acceso
al sistema y cuales
son los permisos
que tienen segn el
rol de cada uno
15 Verificar que criterios

tcnicos se utilizan para
seleccionar al proveedor del
software
13/04/15
Preguntar al
Vernica
responsable del
Jimnez
sistema, los criterios
que toman en cuenta
para seleccionar al
proveedor
14/04/15
14/04/15
Auditoria
rea a auditar: RECURSOS HUMANOS

N
Procedimiento
auditoria
Evaluar si las personas

encargadas conocen del
sistema.
Evaluar
el
nivel
de
conocimiento de hardware
por parte de los empleados
que manejan el sistema
Evaluar el conocimiento del
proceso del sistema.
Pedir una muestra Magdalena

de cmo funciona
Funes
15/04/15
Observar como se
reacciona ante una
dificultad
del
mismo
Observar si la
persona
conoce
como el sistema
funciona
internamente.
Medir el grado de
conocimiento que
la persona tiene en
cuanto al sistema
Magdalena
Funes
15/04/15
Magdalena
Funes
15/04/15
Magdalena
Funes
16/04/15
Magdalena
Funes
16/04/15
Magdalena
Funes
16/04/15
Magdalena
Funes
17/04/15
Magdalena
Funes
17/04/15
Magdalena
Funes
20/04/15
Magdalena
21/04/15
10
de Hecho por
Evaluar si la institucin
cuenta con una persona que
tenga los conocimientos
necesarios para reparar el
sistema.
Evaluar que tan eficaz es el Verificar la ayuda
sistema.
que tienen los
empleados con el
sistema. Como les
facilita su trabajo.
Evaluar cmo est siendo Verificar como es
utilizado.
el uso que se le da
al sistema.
Evaluar cuantas personas Observar
por
conocen del manejo de este. quienes
es
utilizado el sistema
y el manejo que
estos tienen de el.
Evaluar si en verdad no hay Verificar que en
fuga de informacin.
realidad solo es el
departamento, el
que cuenta con el
sistema.
Evaluar si el sistema es Verificar que solo
protegido
por
su el
administrador
administrador.
tenga la entrada
como
administrador.
Evaluar el conocimiento de Evaluar que tanto
Fecha
este administrador.
11
12
conoce
el
administrador de
este
sistema,
mediante
observacin
y
preguntas sobre el
mismo.
Evaluar los manuales de Pedir
a
la
usuario.
institucin que nos
facilite manuales
de usuarios para el
uso del sistema.
Evaluar el proceso de Verificar que el
registro de datos
sistema en realidad
registra lo que el
cliente me dice que
registra mediante
pruebas y el acceso
a la base de datos.
13 Evaluar si los empleados

conocen sobre los planes
contingenciales de la
Institucin
14 Evaluar quienes son las

personas involucradas, al
momento de elaborar los
planes con los que ellos
cuentan
15
Evaluar si el personal ha sido

capacitado para poner en
practica medidas de
seguridad
Preguntar a los
empleados si ellos
conocen sobre sus
planes
contingenciales en
caso de un desastre
natural
Funes
Magdalena
Funes
21/04/15
Magdalena
Funes
22/04/15
22/04/15
Magdalena
Funes
Magdalena
Preguntar quienes Funes
son las personas
responsables
de
realizar
los
diferentes planes de
contingencia
Preguntar a los
empleados si han
recibido
Magdalena
capacitaciones para Funes
poner en prctica
todas las medidas
23/04/15
23/04/15
de seguridad
Auditoria
rea a auditar: RED
Actividad que ser evaluada Procedimiento

auditoria
Evaluacin de la estructura Examinar si el

de la red.
cableado
de
la
empresa cumple con
los estndares de la
industria y si se
encuentra
debidamente
protegido..
Revisar que solo en el Examinar si en
departamento sea utilizado otros departamentos
el sistema.
de la municipalidad
est siendo filtrada
la red.
Evaluar la ubicacin de los Observar si los
diferentes dispositivos de dispositivos
de
red.
interconexin
(Switches, routers
estn en ubicaciones
adecuadas
y
seguras.
Evaluar los manuales de Examinar si la red
seguridad con que cuenta la es de forma local o
empresa.
funciona
por
internet.
Evaluar si la informacin de Realizar
pruebas
este sistema es totalmente para verificar la
confidencial.
rapidez de envo de
informacin
Evaluar los formatos de Comprobar si existe
seguridad
un
proceso
establecido con el
cual, transcurrido
un
periodo
de
tiempo
de
de Hecho por
Fecha
Vernica
Jimnez
24/04/15
Vernica
Jimnez
24/04/15
Vernica
Jimnez
24/04/15
Vernica
Jimnez
24/04/15
Vernica
Jimnez
27/04/15
Examinar cuantas copias de

seguridad existen
Evaluar la seguridad fsica

del sistema.
Evaluar
funcionanamiento
servidores.
de
el
los
10
Evaluar la seguridad que

tienen los dispositivos de
red.
11
Evaluar con que tipo de

servidor se cuenta.
12
Evaluar la seguridad de la
red.
inactividad,
la
sesin de un usuario
se
cierra
o
automticamente se
salga.
Verificar que el
servidor
se
encuentre en un
lugar seguro.
Verificar
que
personas
poseen
privilegios en sus
computadoras
y
quienes
se
les
restringen accesos a
diferentes
aplicaciones.
Verificar mediante
pruebas
el
funcionamiento de
los servidores.
Observar si la red se
ha instalado en
cuanto a sus cables
cumplen con los
requerimientos
establecidos
Verificar con que
tipo de servidor
cuenta la red.
Conocer que tan
segura es la red con
la que trabaja el
departamento.
Vernica
Jimnez
27/04/015
Vernica
Jimnez
27/04/15
Vernica
Jimnez
28/04/015
Vernica
Jimnez
28/04/15
Vernica
Jimnez
28/04/15
Vernica
Jimnez
28/04/15
13 Evaluar plan cuando se cae

conexin de proveedor de
internet
Preguntar que tan

frecuente son las
Vernica
veces con las que se Jimnez
cae la red de internet
y que medidas se
toman
14 Controles de acceso a la red
Comprobar si existe Vernica

un
proceso Jimnez
establecido con el
28/04/15
28/04/015
cual, transcurrido un
tiempo
de
inactividad la sesin
de un usuario se
cierra.
15 Evaluar la rapidez de envo Realizar
pruebas Vernica
de la informacin
para
evaluar
la Jimnez
rapidez de envo de
la informacin
28/04/15
Auditoria
rea a auditar: SEGURIDAD FISICA Y LOGICA

N
Evaluar la seguridad de los Verificar si los

sistemas
sistemas cuentan
con sistemas de
seguridad.
a
la
cuenta con copias de los institucin que nos
archivos.
muestre las copias
con las que cuenta.
Examinar los folios de Verificar si estos
registro del estado familiar.
folios pertenecen a
los datos que estn
en el sistema.
Evaluar en qu tipo de Comprobar
los
dispositivos se guardan estas dispositivos USB,
copias.
CD,DVD etc.
Evaluar cmo se manejan los Evaluar como las
sistemas.
personas manejan
el sistema para
protegerlo.
Evaluar si la institucin Verificar si la
cuenta con manuales para el institucin cuenta
con manuales para
proteger
el
sistema. de los
malos usos de los
usuarios
Verificar si se inhabilita
Observacin
Procedimiento de Hecho por

auditoria
Fecha
Magdalena
Funes
28/04/15
Magdalena
Funes
28/04/15
Magdalena
Funes
28/04/15
Magdalena
Funes
28/04/15
Magdalena
Funes
28/04/15
Magdalena
Funes
28/04/15
Magdalena
29/04/15
al usuario despus de
ingresar la contrasea
despus de un nmero
determinado de
Intentos fallidos.
Verificar que el sistema
operativo obliga a
cambiar la contrasea
peridicamente
9
Verificar los procedimientos
en la seguridad y acceso
fsico al rea de sistemas
durante el proceso
Funes
Observacin.
Magdalena
Funes
Magdalena
Examinar si existen Funes
los procedimientos
adecuados, para
prevenir que
personas no
autorizadas entren
al rea de sistemas
10 Identificar si existen cmaras En caso de entrar

de vigilancia
personas no
Magdalena
autorizadas, o en
Funes
caso de manipular
el sistema personas
ajenas al rea
informtica
11 Determinar la proteccin
contra incendios y humedad
Investigar si se
cuenta con
extintores de fuego
y si el personal ha
sido capacitado en Magdalena
el uso de equipo
Funes
contra incendios e
inundacin
Identificar autenticacin de Verificar que

12 usuarios y controles de acceso existan polticas
que restrinjan
acceso al personal
Magdalena
Funes
29/04/15
29/04/15
29/04/15
29/04/15
29/04/15
13
Evaluacin de BACKUP
del rea de sistemas
que muestre las
copias con las que
cuenta
14 Verificar si no existe algn
Examinar el rea de
filtro de agua o de humedad
computo para
que pueda daar los equipos comprobar que el
equipo informtico
esta seguro y libre
de cualquier peligro
15 Identificar todas las posibles
Verificar que tan
entradas al rea de computo y seguras son estas
si existen medidas pertinentes entradas y quienes
en cada una de ellas
cuentan con las
llaves
Magdalena
Funes
29/04/15
Magdalena
Funes
29/04/15
Magdalena
Funes
29/04/15
ANEXOS
Cuestionarios
Cuestionario de control interno
Entrevistado
Margarita Lobo
Hardware
Cuenta con pc de escritorio.
Cuenta con laptops
Se cuenta con servidores
Ups
Impresoras
Escner
Existe un contrato de mantenimiento?
Existe un plan de mantenimiento
Preventivo?
Este plan es proporcionado por el
Proveedor?
Se notifican las fallas
Se les da seguimiento?
Software
Cuenta con sistema operativo
Es comprado
Se tienen sus respectivas licencias
Cuenta con antivirus que protejan el sistema
Red
Se cuenta con una red
La red es cableada
Utilizan el internet para el uso del sistema
Considera usted que funciona la red correctamente
Sistemas de seguridad
Cuenta con seguridad
Considera que se deberan de implementar sistemas de
seguridad
La institucin cuenta con sistema de vigilancia en otros
departamentos
El sistema es de vital importancia para el trabajo.
Si el sistema falla se para el trabajo en el departamento
Existen copias de seguridad
Considera necesario estas copias
Considera q en caso de falla el proveedor responde con
agilidad
Se le da el uso necesario al equipo
Si
X
No
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
x
X
x
X
X
X
x
X
X
X
X
PROGRAMAS DE AUDITORIA EJECUTADOS

Auditoria de Sistemas Informticos a la empresa:
Elaborado
MF
07/04/15
Alcalda Municipal de Jiquilisco

Periodo: de febrero a junio
Supervisado
VJ
08/04/15
20015.
rea auditada: HARDWARE
Evaluar el estado del hardware
Descripcin: observar si el hardware con el que cuenta el departamento de

registro de estado familiar es el indicado
Equipo Informtico
Cantidad
4
Descripcin
Windows 7
Microprocesador Intel core i7
Disco duro 1tb
Estado
la empresa que provee el sistema
recomienda la adquisicin de nuevos
equipos. Se puede observar
detalladamente en los papeles de
trabajo
Antivirus nod32
Conclusiones: el servidor actual sobrepaso su vida til adems los equipos

presentan una baja en su rendimiento.

Elaborado
MF
07/04/15
Supervisado
VJ
08/04/15
20015.
Evaluar el mantenimiento de los equipos informticos
Descripcin: Verificar si al hardware con el que cuenta la institucin se le da

mantenimiento preventivo y correctivo.
Conclusiones: la empresa Jpiter Network es la encargada de verificar el buen

funcionamiento del equipo cada 6 meses.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar los planes de seguridad del equipo.
Descripcin: Verificar si el equipo cuenta con seguridad.

Conclusiones: solamente en la oficina donde se encuentra el servidor se cuenta
con seguridad a travs de cmaras de vigilancia.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar el estado de los equipos
Descripcin: verificar si los equipos informticos se encuentran en buen estado

Conclusiones: se deberan adquirir nuevos equipos en este caso es critica la
compra de un servidor.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar si los equipos realizan el proceso como se debe.
Descripcin: verificar si el equipo realiza correctamente el proceso

Conclusiones: el proceso se realiza correctamente pero al momento de ejecutar
el sistema muestra bajo rendimiento.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar si el hardware es el indicado para las aplicaciones que se requieren.
Descripcin: Verificar si el hardware cumple con los requerimientos para la

instalacin y uso de las distintas aplicaciones de las cuales hace uso el
departamento de estado de registro familiar de la Alcalda Municipal de Jiquilisco
Conclusiones: se recomienda a la institucin cambiar el equipo informtico.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar los manuales de seguridad
Descripcin: Verificar si la institucin cuenta con manuales de seguridad para

Conclusiones. La institucin debera de llevar el registro de operaciones en

manuales pero no cuenta con ellos.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar si la regulacin de voltajes que llegan al equipo es controlada.
Descripcin: Verificar con pruebas si el equipo regula los voltajes.

Conclusiones: se realizaron pruebas y el equipo regula correctamente los
voltajes.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar la vigilancia de los equipos
Descripcin: Observar la vigilancia con lo que cuentas los equipos. Ejemplos

cmaras de vigilancia etc.
Conclusiones: el
nivel de seguridad es mnimo, solamente en la salida el
personal es registrado.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar el ambiente en el que se maneja el hardware.
Descripcin: Verificar si las condiciones de medio ambiente son las indicadas

para el hardware. si cuenta con aire acondicionado
Conclusiones: si cuenta con aire acondicionado el rea de registro del estado
familiar y los equipos se encuentran en condiciones ambientales adecuadas para
su cuido y manejo
Elaborado
MF
07/04/15

Supervisado
VJ
20015.
Solicitar el inventario del equipo informtico con el que cuenta la Institucin
08/04/15
Descripcin: Preguntar a los empleados si cuentan con un inventario actualizado

del equipo informtico
Conclusiones: se considera que la institucin debera de contar con dicho

inventario pero no cuenta con ello.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Verificar que el inventario descrito coincida con el inventario existente
Descripcin: Pedir al responsable del rea de sistema los archivos de inventario

de equipo informtico y verificar si cumple con el existente.
Conclusiones: la institucin no realiza inventarios.

Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
rea auditada: SOFTWARE
Evaluar los sistemas operativos, con los que funciona el sistema y sus respectivas
licencias
Descripcin: Verificar el funcionamiento de cada uno de los programas y verificar

que todo este en total legalidad.
Sistemas Operativos
Descripcin
Windows 7 Professional
Estado
Licencia
Funciona con normalidad
si
Conclusiones: la empresa si cuenta con las licencias del sistema solo que por
motivos de tiempo no se tienen pruebas de esto.
Elaborado
MF
07/04/15

Supervisado
VJ
20015.
Evaluar como protegen el sistema.
Descripcin: Verificar si se cuenta con algn antivirus instalado en las PCs.
08/04/15
Conclusiones: si cuentan con el antivirus nod32.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar si el sistema realiza lo que se espera.
Descripcin: Realizacin de pruebas en el sistema.

Conclusiones: el sistema realiza todo el proceso esperado por el cliente.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar cmo se manejan los sistemas.
Descripcin: Verificar si la persona encargada del uso de los sistemas lo hace de

la manera correcta
Conclusiones: la encargada del departamento conoce muy bien cmo funciona el
sistema.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar si la institucin cuenta con manuales para el uso de los sistemas.
Descripcin: Pedir a la institucin que nos facilite estos manuales si los hubiera.
Conclusiones: la institucin no cuenta con manuales de referencia para el uso de

los sistemas.
Elaborado
MF
07/04/15

Supervisado
VJ
20015.
Evaluar el estado de las aplicaciones del sistema.
Descripcin: Verificar que estas aplicaciones se encuentren vigentes.
08/04/15
Conclusiones: las aplicaciones se encuentran vigentes debido a la presencia de

la empresa proveedora actualizando el sistema cada cierto periodo.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar la seguridad en el software
Descripcin: Verificar si la informacin que se maneja es confidencial.

Conclusiones: la informacin es manejada solo por el departamento de registro
del estado familiar.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar si el software utilizado se le da mantenimiento para confirmar si la informacin
proporcionada es verifica
Descripcin: Pedir recibos o estados de pago a la empresa que lo realiza.
Conclusiones: los recibos no se nos facilitaron porque se encuentran en el

departamento de tesorera.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar si los recursos son explotados como se deberan
Descripcin: Verificar si todas las aplicaciones del sistema estn siendo

utilizadas.
Conclusiones: mediante la observacin se determin que las aplicaciones del

sistema estn siendo utilizadas.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Verificar si existen planes de capacitacin para el uso y manejo de las diferentes
aplicaciones
Descripcin: Preguntar a los empleados si reciben capacitaciones para poder

usar el sistema
Conclusiones: los empleados no son capacitados para conocer el uso de los

sistemas y del equipo informtico.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Solicitar un listado del personal que accede al software con su respectivo rol y verificar
con los permisos que cuenta cada uno.
Descripcin: Pedir al responsable del rea informtica un listado de los usuarios

con acceso al sistema y cuales son los permisos que tienen segn el rol de cada
uno.
Conclusiones: se pudo observar que los niveles de seguridad se manejan a

travs de un usuario designado por el administrador.
Elaborado
MF
07/04/15

20015.
Supervisado
VJ
08/04/15
Verificar que criterios tcnicos se utilizan para seleccionar al proveedor del software
Descripcin: Preguntar al responsable del sistema, los criterios que toman en

cuenta para seleccionar al proveedor.
Conclusiones: se pudo observar que la institucin se encuentra complacida por

los servicios que su proveedor les ofrece.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
rea auditada: RECURSOS HUMANOS
Evaluar si las personas encargadas conocen del sistema.
Descripcin: Pedir una muestra de cmo funciona
Conclusiones: se verifico el funcionamiento del sistema y cada una de sus partes

incluyendo los datos que son almacenados en la base de datos, a su vez el buen
manejo por parte de los empleados.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar el nivel de conocimiento de hardware por parte de los empleados que manejan
el sistema
Descripcin: Observar como se reacciona ante una dificultad del mismo

Conclusiones: el personal del departamento de recursos humanos no cuenta con
el conocimiento necesario para resolver una falla presentada en los equipos.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar el conocimiento del proceso del sistema.
Descripcin: Observar si la persona conoce como el sistema funciona

internamente.
Conclusiones: la encargada nada ms conoce como el sistema se ejecuta en

cada uno de sus formularios, no sabe nada del sistema internamente. Por ejemplo
su base de datos.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar si la institucin cuenta con una persona que tenga los conocimientos
necesarios para reparar el sistema.
Descripcin: Medir el grado de conocimiento que la persona tiene en cuanto al

sistema.
Conclusiones: la jefa del departamento de registro del estado familiar conoce

muy bien cmo funciona el sistema, pero no cuenta con el conocimiento necesario
para repararlo en el momento que falla.
Elaborado
MF
07/04/15

20015.
Evaluar que tan eficaz es el sistema.
Supervisado
VJ
08/04/15
Descripcin: Verificar la ayuda que tienen los empleados con el sistema. Como
les facilita su trabajo.
Conclusiones: el sistema facilita las operaciones a los empleados del

departamento pues ya no tienen que estar editando tanto ni escribiendo en libros
pues el sistema cuenta con los formatos para ser modificados en cada caso.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar cmo est siendo utilizado el sistema.
Descripcin: Verificar como es el uso que se le da al sistema.
Conclusiones: el uso que se le da al sistema es el adecuado aunque que debera

de ser ms explorado por parte de sus empleados.
Elaborado
MF
07/04/15

20015.
Supervisado
VJ
08/04/15
Evaluar cuantas personas conocen del manejo del sistema.
Descripcin: Observar por quienes es utilizado el sistema y el manejo que estos

tienen de el.
Conclusiones
El sistema es utilizado por el administrador y un usuario que son los que tienen
acceso al sistema.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar si en verdad no hay fuga de informacin.
Descripcin: Verificar que en realidad solo es el departamento el que cuenta con

el sistema.
Conclusiones:
Segn lo observado durante la ejecucin de la auditoria solo el departamento de
registro del estado familiar es quien maneja el sistema.

Elaborado
MF
07/04/15
Supervisado
VJ
08/04/15
20015.
Evaluar si el sistema es protegido por su administrador.
Descripcin: Verificar que solo el administrador tenga la entrada
como
administrador.
Conclusiones: se observ durante el proceso de auditora que existen dos tipos

de usuarios administrador y cliente y se observ que solo el administrador tiene
acceso al sistema como administrador.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar el conocimiento de este administrador
Descripcin: Evaluar que tanto conoce el administrador de este sistema,

mediante observacin y preguntas sobre el mismo.
Conclusiones: el administrador conoce como se usa el sistema, pero no sabe

como este ejecuta los procesos internamente.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar los manuales de usuario.
Descripcin: Pedir a la institucin que nos facilite manuales de usuarios para el

uso del sistema.
Conclusiones: la institucin no cuenta con los manuales.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar el proceso de registro de datos
Descripcin: Verificar que el sistema en realidad registra lo que el cliente dice

que registra mediante pruebas y el acceso a la base de datos.
Conclusiones: se acceso a la base de datos para comprobar los registros y el

sistema almacena los dados que son ingresados.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar si los empleados conocen sobre los planes contingenciales de la Institucin
Descripcin: Preguntar a los empleados si ellos conocen sobre sus planes

contingenciales en caso de un desastre natural.
Conclusiones: los empleados del departamento del estado de registro familiar

manifiestan que si conocen los planes contingenciales y que adems la institucin
seala las salidas de emergencia.
Elaborado
MF
07/04/15

20015.
Supervisado
VJ
08/04/15
Evaluar quienes son las personas involucradas, al momento de elaborar los planes con
los que ellos cuentan
Descripcin: Preguntar quienes son las personas responsables de realizar los

diferentes planes de contingencia
Conclusiones: los encargados en la institucin es el departamento de Gestin de

Riesgos de la Alcalda Municipal.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar si el personal ha sido capacitado para poner en prctica medidas de seguridad
Descripcin: Preguntar a los empleados si han recibido capacitaciones para

poner en prctica todas las medidas de seguridad.
Conclusiones: se ha verificado que la institucin no invierte en capacitaciones

tcnicas del personal.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
rea auditada: RED
Evaluacin de la estructura de la red.
Descripcin: Examinar si el cableado de la empresa cumple con los estndares

de la industria y si se encuentra debidamente protegido
Conclusiones: si la red est debidamente protegida y adems sus cables estn

con seguridad.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
rea auditada: RED
Revisar que solo en el departamento sea utilizado el sistema.
Descripcin: Examinar si en otros departamentos de la municipalidad est siendo

filtrada la red.
Conclusiones: como es una red interna sea solo el departamento cuenta con
esa red pues es de uso exclusivo para el sistema, no se filtra informacin a otros
departamentos.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
rea auditada: RED
Evaluar la ubicacin de los diferentes dispositivos de red.
Descripcin: Observar si los dispositivos de interconexin (Switches, routers)

estn en ubicaciones adecuadas y seguras.
Conclusiones: su ubicacin es la adecuada.
Elaborado
MF
07/04/15

Supervisado
VJ
20015.
rea auditada: RED
Evaluar los manuales de seguridad con que cuenta la empresa.
Descripcin: Examinar si la red es de forma local o funciona por internet.
Conclusiones: la red del departamento de recursos humanos es local.
08/04/15
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
rea auditada: RED
Evaluar si la informacin de este sistema es totalmente confidencial.
Descripcin: Realizar pruebas para verificar la rapidez de envo de informacin.
Conclusiones: la informacin es enviada en un tiempo prolongado, la red no

presenta dificultad.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
rea auditada: RED
Evaluar los formatos de seguridad
Descripcin: Comprobar si existe un proceso establecido con el cual, transcurrido

un periodo de tiempo de inactividad, la sesin de un usuario se cierra o
automticamente se salga.
Conclusiones: se realizaron pruebas y efectivamente el sistema se cierra y pide

que se ingrese la contrasea.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
rea auditada: RED
Examinar la ubicacin y condiciones del servidor
Descripcin: Verificar que el servidor se encuentre en un lugar seguro.
Conclusiones: despus de la observacin se concluye que el servidor debera de

encontrarse en mejores condiciones.
Elaborado
MF
07/04/15

Supervisado
20015.
rea auditada: RED
Evaluar con que tipo de servidor cuenta el sistema.
Descripcin: Verificar con que tipo de servidor cuenta la red.
VJ
08/04/15
Conclusiones: un servidor local.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
rea auditada: RED
Evaluar la seguridad de la red.
Descripcin: Conocer que tan segura es la red con la que trabaja el

departamento de estado de registro familiar.
Conclusiones:
Los niveles de seguridad establecidos localmente permiten garantizar el acceso
restringido al sistema.
Elaborado
MF
07/04/15

Supervisado
20015.
rea auditada: RED
Evaluar plan cuando se cae conexin de proveedor de internet.
VJ
08/04/15
Descripcin: Preguntar que tan frecuente son las veces con las que se cae la red
de internet y qu medidas se toman.
Conclusiones: no existe conexin a internet ya que es una red local
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
rea auditada: RED
Evaluar la rapidez de envo de la informacin
Descripcin: Realizar pruebas para evaluar la rapidez de envo de la informacin
Conclusiones:
Los envos de informacin son algo ligeros aunque se deberan de mejorar.
Elaborado
MF
07/04/15

20015.
rea auditada: SEGURIDAD FSICA Y LGICA
Evaluar la seguridad de los sistemas
Supervisado
VJ
08/04/15
Descripcin: Verificar si los sistemas cuentan con sistemas de seguridad.

Conclusiones: si cuentan con sistemas de seguridad pues no cualquier usuario
puede accesar.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar si la Institucin cuenta con copias de los archivos.
Descripcin: Pedir a la Institucin que nos muestre las copias con las que cuenta.
Conclusiones: se pudo constatar que existen copias de seguridad y son

guardadas por la jefa del departamento.
Elaborado
MF
07/04/15

20015.
Examinar los folios de registro del estado familiar.
Supervisado
VJ
08/04/15
Descripcin: Verificar si estos folios pertenecen a los datos que estn en el

sistema.
Conclusiones: se tuvo acceso a un libro para realizar la comparacin de los folios
y los datos que el sistema registra y se comprob que los datos son los correctos.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar en qu tipo de dispositivos se guardan estas copias.
Descripcin: Comprobar los dispositivos USB, CD, DVD, etc.
Conclusiones: las copias de seguridad son almacenadas en unidad de CD.
Elaborado
MF
07/04/15

20015.
Evaluar cmo se manejan los sistemas.
Supervisado
VJ
08/04/15
Descripcin: Evaluar como las personas manejan el sistema para protegerlo.

Conclusiones: la encargada del departamento como usuaria del servidor es muy
cuidadosa con la seguridad del sistema y el equipo
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluar si la institucin cuenta con manuales para el uso de los sistemas.
Descripcin: Verificar si la institucin cuenta con manuales para proteger el

sistema de los malos usos de los usuarios.
Conclusiones: la institucin no cuenta con manuales.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Verificar que el Sistema Operativo obliga a cambiar la contrasea peridicamente
Descripcin: Observacin del proceso
Conclusiones: se comprob a travs de pruebas y observacin que el sistema al

haber intentado ingresar una cierta cantidad de veces se bloquea.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Verificar los procedimientos en la seguridad y acceso fsico al rea de sistemas
Descripcin: Examinar si existen los procedimientos adecuados, para prevenir

que personas no autorizadas entren al rea de sistemas.
Conclusiones: el acceso fsico al rea de sistemas se encuentra protegido en el

departamento de registro del estado familiar.
Elaborado
MF
07/04/15

20015.
Identificar si existen cmaras de video vigilancia
Supervisado
VJ
08/04/15
Descripcin: En caso de entrar personas no autorizadas, o en caso de manipular

el sistema personas ajenas al rea informtica.
Conclusiones: se observ que no se tiene mucho inters por reforzar la vigilancia

en el departamento.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Determinar la proteccin contra incendios y humedad
Descripcin: Investigar si se cuenta con extintores de fuego y si el personal ha

sido capacitado en el uso de equipo contra incendios e inundacin
Conclusiones: se cuenta con extintores y el personal esta capacitado para hacer

uso de l.
Elaborado
MF
07/04/15

20015.
Supervisado
VJ
08/04/15

Identificar autenticacin de usuarios y controles de acceso
Descripcin: Verificar que existan polticas que restrinjan acceso al personal
Conclusiones: las polticas que se tienen no estn documentadas pero en el

departamento cada uno respeta su rol de trabajo.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Evaluacin de BACKUP
Descripcin: Pedir al responsable del rea de sistemas que muestre las copias
con las que cuenta
Conclusiones: se cuenta con copias en seguridad almacenadas en unidad de CD
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Verificar si no existe algn filtro de agua o de humedad que pueda daar los equipos
Descripcin: Examinar el rea de computo para comprobar que el equipo

informtico esta seguro y libre de cualquier peligro
Conclusiones: segn lo observado no existe filtro de agua ni de humedad.
Elaborado
MF
07/04/15

Supervisado
VJ
08/04/15
20015.
Identificar todas las posibles entradas al rea de computo y si existen medidas
pertinentes en cada una de ellas
Descripcin: Verificar que tan seguras son estas entradas y quienes cuentan con
las llaves
Conclusiones: la jefa del departamento es la nica que cuenta con las llaves para
entrar a la oficina por tanto ella es la responsable de cualquier dao o extravo.
EVIDENCIAS DETALLADAS POR REAS EVALUADAS
INFORME FINAL DE LA AUDITORIA
INTRODUCCIN
El presente informe tiene como objetivo mostrar los resultados de la auditora
informtica realizada en el departamento de Registro del Estado Familiar de la
Alcalda Municipal de Jiquilisco, ubicada en el Municipio de Jiquilisco,
Departamento de Usulutn.
El informe contiene los objetivos de la auditoria, as tambin los alcances de la
auditoria; donde se toman en cuenta las cinco reas crticas que fueron evaluadas
durante la ejecucin y se presentan los riesgos en cada una de ellas, presentando
as un informe en el cual se demuestra con detalle las observaciones detectadas
en las reas evaluadas; dentro del informe se observan tambin las
recomendaciones tcnicas que pueden ser aplicadas en cada rea, el documento
adems contiene el desarrollo de la etapa de planeacin de la auditoria y la
ejecucin con las que se logr obtener la informacin para poder determinar cada
uno de los hallazgos encontrados.

Objetivo general
Presentar el informe final de los hallazgos encontrados en la auditora que

se realiz al departamento de registro del estado familiar de la Alcalda
Desarrollo de
actividades necesarias del departamento de registro del
estado familiar al que se le realizo la auditoria informtica de la Alcalda

Municipal de Jiquilisco, para realizar el respectivo proceso de informe final.
Analizar la evidencia encontrada en cada una de las reas crticas,

tomando en cuenta la informacin encontrada en la fase de ejecucin de la
auditoria informtica realizada en el departamento de Estado de Registro
Familiar de la Alcalda Municipal de Jiquilisco.
94
ALCANCES DE LA AUDITORA INFORMTICA

La auditora informtica fue realizada al sistema de registro de partidas del
departamento de registro del estado familiar de la Alcalda Municipal de Jiquilisco,
ubicada en la calle Fabio Guerrero #1, del Municipio de Jiquilisco, Departamento
de Usulutn en el perodo comprendido del 21 de febrero de 2015 al 30 de mayo
del mismo ao y las reas que se evaluaron son las siguientes:
Hardware
Software
Redes
Con el proceso de auditoria se determinaron ciertos hallazgos de los cuales se

pretende detallar cada uno de ellos para darlos a conocer al responsable del
departamento de Registro del Estado Familiar de la Alcalda Municipal de
Jiquilisco, lo cual permitir a la institucin a hacer las mejoras respectivas de cada
una de las reas evaluadas, si se presentara la necesidad de hacerlas.
95
OBJETIVOS DE LA AUDITORIA
Objetivo general
Presentar el informe de los hallazgos encontrados al departamento de
registro del estado familiar de la alcalda municipal de Jiquilisco.
Analizar las evidencias encontradas para cada una de las reas crticas
evaluadas.
Determinar las recomendaciones que se emitirn durante la realizacin del

informe final.
Satisfacer a la institucin con los resultados emitidos en el proceso de

auditora.
96
CRONOGRAMA DE ACTIVIDADES
Fines de semana
Das de preparacin de informe final de auditoria
97
ALCALDA MUNICIPAL DE JIQUILISCO
PRESENTACIN DE INFORME
Resultado de la prctica de auditora informtica realizada del 10 de marzo al 30
de abril de 2015 al departamento de registro del estado familiar de la Alcalda
Municipal de Jiquilisco por Norma Magdalena Funes Rivera y Vernica Marlene
Jimnez Valladares, alumnas del noveno ciclo de la carrera de Licenciatura en
Ciencias de la Computacin de la Universidad Luterana Salvadorea.
reas que fueron evaluadas:

Hardware
Tomando en cuenta todos los hallazgos encontrados en el rea de hardware se
concluye lo siguiente:
Evaluando los resultados obtenidos en cada programa se recomienda al

responsable de dicho departamento la adquisicin de nuevos equipos
informticos los cuales procesan con normalidad los datos pero su
rendimiento es lento, lo que permitira mejorar el proceso de datos, de
manera especial es necesario reemplazar el servidor.
El mantenimiento de los equipos informticos por parte de la empresa

responsable debe ser constante y dejar documentado todos los resultados.
98
Ampliar la seguridad con cmaras de vigilancia para el bienestar de la

informacin, de los equipos y del departamento en general.
Se recomienda tambin a la institucin la elaboracin de manuales de

seguridad para proteger el equipo informtico.
Asegurarse que las condiciones ambientales del rea sean las adecuadas,
cuidando y dndole mantenimiento al aire acondicionado.
Se recomienda inventariar todos los equipos con los que cuenta el

departamento conteniendo sus caractersticas y su respectiva informacin
para tener documentado toda esa informacin.
SOFTWARE
En el rea de software se puede recomendar lo siguiente:
Debido a que la institucin si cuenta con las respectivas licencias de sus

sistemas operativos solo se les recomienda tener en un lugar disponible la
documentacin de esas licencias para mostrarlas con rapidez cuando esto
sea necesario.
Mantener el antivirus actualizado para evitar cualquier posible riesgo de

virus y por consiguiente prdida de la informacin.
Al igual que en el hardware tambin en el rea de software se carece de

manuales de uso y seguridad para el usuario por lo que se recomienda la
creacin de ellos para conocer de manera adecuada su uso y
funcionamiento.
99
No se pudo comprobar si se le da mantenimiento al software por lo que se

recomienda contar con la mayor disponibilidad de los documentos que
garanticen y demuestren su respectivo mantenimiento.
RECURSOS HUMANOS DEL AREA DE SISTEMAS

Las recomendaciones que se le pueden dar al encargado del departamento de
registro del estado familiar de la Alcalda Municipal de Jiquilisco en el rea crtica
de recursos humanos son las siguientes:
Se recomienda a la institucin dar a los empleados del departamento de

registro del estado familiar capacitaciones para el manejo del sistema y que
la jefa del departamento tenga los conocimientos necesarios de
computacin para cualquier emergencia que se presente.
contar con personal para soporte tcnico para reparar las fallas que
muestren los equipos o el sistema.
se recomienda a la institucin brindar a sus empleados capacitaciones

constantes por medio de charlas y simulacros para el uso de equipos de
emergencia, para conocer perfectamente las salidas que se deben usar en
cualquier eventualidad que se presente y de ser posible incluir primeros
auxilios a esas capacitaciones
RED
Despus de haber hecho las respectivas evaluaciones del rea de la red
informtica de la institucin se recomienda lo siguiente:
100
aunque se verific que la red informtica est debidamente protegida y

totalmente legal cumpliendo todas las normas y estndares de cableado no
se cuenta con la documentacin que respalde eso por lo que se pide tener
a la mano todo documento que garantice la legalidad del cableado.
El servidor debera estar ubicado en otro lugar ya que donde se encuentra

actualmente corre el riesgo de daarse con mayor facilidad.
Mejorar el envo de informacin a travs de la red ya que se logr

comprobar que es un poco lento.
SEGURIDAD FSICA Y LGICA

Las recomendaciones que se le dan a la institucin en cuanto a la seguridad fsica
y lgica son las siguientes:
Contar con las suficientes copias de seguridad en caso de extravo o dao

de alguna de ellas.
Como se mencion anteriormente la institucin debera capacitar a sus

empleados del rea de sistemas para que ellos cuenten con los
conocimientos necesarios que garanticen la seguridad tanto de los equipos
como de los sistemas.
Se recomienda a la institucin mejorar en cuanto a la seguridad del

departamento porque hasta la fecha presenta mucha debilidad en cuanto a
101
cmaras de vigilancia; lo que evitara posibles hurtos o extravos de la

informacin.
102
ANEXOS
103
Alcaldia municipal de jiquilisco
Nombre de la institucin: Alcalda Municipal de Jiquilisco.

Departamento: Registro del Estado Familiar.
Ubicacin fsica: calle Fabio guerrero # 1
Fecha de emisin de la carta: 28/05/15
rea auditada: departamento de Registro del Estado Familiar.
Sistema evaluado: Sistema de Administracin Municipal.
Receptor: Licda. Margarita Del Carmen Lobo Orellana.
Periodo de evaluacin:
Fecha de inicio de auditoria 10 de marzo de 2015
Fecha de finalizacin 30 de abril de 2015.
reas que fueron evaluadas en el proceso de auditoria:
1- Hardware.
Estado de los equipos, tipos de mantenimiento que se le dan al hardware,
2- Software
Licencia de los sistemas, aplicaciones que contiene el sistema evaluado,
funcionamiento de los programas utilizados.
3- Recursos humanos del rea de sistemas.
Nivel de conocimientos del personal encargado del manejo de los equipos,
eficiencia al momento de utilizar el sistema, conocimientos generales de los
equipos informticos.
4- Red
Dispositivos fsicos de la red, ubicacin de los cables, tipo de red con que el
departamento trabaja.
5- Seguridad fsica y lgica.
Proteccin de sistema en cuanto a acceso, copias de seguridad, seguridad de las
instalaciones, personal involucrado y los tipos de usuarios del sistema.
Responsables de la auditoria:
Funes Rivera Norma Magdalena.
Jimnez Valladares Vernica Marlene.
Firma________________________________
Licda. Margarita Del Carmen Lobo Orellana.
104
GLOSARIO DE TRMINOS
A
Anlisis Costo / Beneficio
Es aquel que da a la gerencia de SI un anlisis del costo de la
implementacin del software y los beneficios que surgen del software
propuesto.
reas de Oportunidad
Son aquellas que detectan todas las circunstancias que facilitarn la
implantacin de soluciones y que tendrn un impacto relevante en alguna
funcin del negocio.
Aseguramiento de la Calidad
Es aquello que asegura el cumplimiento de los estndares predefinidos y
los requerimientos corporativos.
Auditar
Es una actividad informtica que requiere un determinado desempeo
profesional para cumplir unos objetivos precisos.
Auditora
Es un control selectivo, efectuado por un grupo independiente del sistema a
auditar, con el objetivo de obtener informacin suficiente para evaluar el
funcionamiento del sistema bajo anlisis.
Auditora Contable
Est diseada para evaluar la exactitud de los estados o registros
contables.
105
Auditora del Desarrollo

Es aquella que tratar de verificar la existencia y aplicacin de
procedimientos de control adecuados que permitan garantizar que el
desarrollo de SI se ha llevado a cabo segn estos principios de ingeniera, o
por el contrario, determinar las deficiencias existentes en este sentido.
Auditora Externa
Es aquella que es realizada por personas ajenas a la empresa auditada.
Auditora Global
Es aquella que combina tanto pasos de auditora contables como
operativas.
Auditora Informtica
Es un proceso formal ejecutado por los especialistas del rea de auditora y
de informtica, el cual se orienta a la verificacin y aseguramiento de que
las polticas y procedimientos establecidos para el manejo y uso adecuado
de la TI en la organizacin se lleven a cabo de una manera oportuna y
eficiente.
Auditora Interna
Es aquella que es realizada con recursos materiales y personas que
pertenecen a la Empresa auditada.
Auditora Operativa
Est diseada para evaluar la estructura de control interno en un rea
determinada.
106
B
BACK UP
Copia de seguridad de uno o ms archivos informticos, que se hace,
generalmente, para prevenir posibles prdidas de informacin.
C
Calidad
Es la propiedad o conjunto de propiedades inherentes a una cosa que
permiten apreciarla como igual, mejor o peor que las restantes de su
especie.
Calidad de Software
Es la concordancia con los requerimientos funcionales y de
rendimiento explcitamente establecidos, con los estndares de
desarrollo explcitamente documentados y con las caractersticas
implcitas
que
se
esperan
de
todo
software
desarrollado
profesionalmente.
Confidencialidad
Es aquello que se cumple cuando slo las personas autorizadas
pueden conocer los datos o la informacin correspondiente.
Comit de Informtica
Es el lugar en que se debaten los grandes asuntos de la informtica
que afectan a toda la empresa y permite a los usuarios conocer las
necesidades del conjunto de la organizacin y participar en la fijacin
de prioridades.
107
Control de Calidad
Es aquello que asegura que las prestaciones son exactas y
apropiadas sobre el servicio o producto.
Controles Correctivos
Son aquellos que corrigen errores, omisiones o actos maliciosos una
vez detectados (pe. Verificacin de la fechas de las facturas)
Controles de Deteccin
Son aquellos que detectan que se ha producido un error, omisin o
acto malicioso e informan de su aparicin (pe. Impresin del registro
histrico (log))
Controles Generales
Son controles interdependientes vlidos para todas las reas de la
organizacin.
Controles Preventivos
Son aquellos controles diseados para evitar que se produzca un
error, omisin o acto malicioso. (pe. Software de control de acceso)
D
Disponibilidad
Es aquello que se alcanza si las personas autorizadas pueden
acceder a tiempo a la informacin a la que estn autorizadas.
Documentacin de Auditora de SI
Es el registro del trabajo de auditora realizado y la evidencia que
respalda los hallazgos y conclusiones del auditor.
E
108
Eficacia
Es aquello que permite que una cosa sea eficaz.
Eficiencia
Conjunto de atributos que se refieren a las relaciones entre el nivel
de rendimiento del software y la cantidad de recursos utilizados bajo
unas condiciones predefinidas.
Estndar
Es toda regla aprobada o prctica requerida para el control de la
performance tcnica y de los mtodos utilizados por el personal
involucrado en el Planeamiento y Anlisis de los Sistemas de
Informacin.
Evaluacin
Es el proceso de recoleccin y anlisis de informacin, y a partir de
ella presentar las recomendaciones que facilitarn la toma de
decisiones.
Elemento del modelo

Es un elemento que es una abstraccin destacada del sistema que
est siendo modelado.
Evaluacin de Riesgo
Es el proceso utilizado para identificar y evaluar riesgos y su impacto
potencial.
Evidencia
Es toda informacin que utiliza el AI para determinar si el ente o los
datos auditados siguen los criterios u objetivos de la auditora.
109
F
Fiabilidad
Es el conjunto de atributos que se refieren a la capacidad del
software de mantener su nivel de rendimiento bajo unas condiciones
especificadas durante un perodo definido.
Fiduciario
Es aquello que equivale a requerimientos de informacin.
Funcionalidad
Es el conjunto de atributos que se refieren a la existencia de un
conjunto de funciones y sus propiedades especficas.
H
Herramienta
Es el conjunto de elementos fsicos utilizados para llevar a cabo las
acciones y pasos definidos en la tcnica.
Herramienta de Control
Son elementos de software que permiten definir uno o varios
procedimientos de control para cumplir una normativa y un objetivo
de control.
Herramientas de Software de Auditora

Son programas computarizados que pueden utilizarse para brindar
informacin para uso de auditora.
110
I
Informe de Auditora
Es el producto final del Auditor de SI y un medio formal de comunicar
los objetivos de la auditora, el cuerpo de las normas de auditora
que se utilizan, el alcance de auditora, y los hallazgos y
conclusiones.
Integridad
Consiste en que slo los usuarios autorizados puedan variar los
datos.
Irregularidades
Son las violaciones intencionales a una poltica gerencial establecida
declaraciones falsas deliberadas u omisin de informacin del rea
auditada o la organizacin.
L
Legalidad
Es la calidad legal de la informacin existente.
M
Metodologa
Es un conjunto de etapas formalmente estructuradas, de manera que
brinden a los interesados los siguientes parmetros de accin en el
desarrollo de sus proyectos: plan general y detallado, tareas y
acciones, tiempos, aseguramiento de la calidad, involucrados,
etapas, revisiones de avance, responsables, recursos requeridos,
etc.
111
Muestreo Estadstico
Es un mtodo objetivo para determinar el tamao de la muestra y los
criterios de seleccin.
N
Normativa
Es aquello que debe definir de forma clara y precisa todo lo que debe
existir y ser cumplido, tanto desde el punto de vista conceptual, como
prctico, desde lo general a lo particular.
O
Objetivo de Control
Son declaraciones sobre el resultado final deseado o propsito a ser
alcanzado mediante las protecciones y los procedimientos de control.
Son los objetivos a cumplir en el control de procesos.
Ofimtica
Es el sistema informatizado que genera, procesa, almacena,
recupera,
comunica
presenta
datos
relacionados
con
el
funcionamiento de la oficina.
Outsourcing
Es un contrato a largo plazo de un sistema de informacin o proceso
de negocios a un proveedor de servicios externos.
P
Prioridad
Son las acciones que deben llevarse a cabo antes que las dems
sugeridas para el proyecto.
112
Procedimientos de Control
Son los procedimientos operativos de las distintas reas de la
empresa, obtenidos con una metodologa apropiada, para la
consecucin de uno o varios objetivos de control, y por tanto deben
estar documentados y aprobados por la Direccin.
Procedimientos Generales de Auditora

Son los pasos bsicos en la realizacin de una auditora.
Proceso de Desarrollo de Sistemas

Es el enfoque utilizado para planificar, disear, probar, documentar e
implantar un sistema de aplicacin.
Programa de Auditora
Es un conjunto documentado de procedimientos de auditora
diseados para alcanzar los objetivos de auditora planificados.
Pruebas de Cumplimiento
Son aquellas que proporcionan evidencia de que los controles claves
existen y que son aplicables efectiva y uniformente.
Pruebas Sustantivas
Son aquellas que implican el estudio y evaluacin de la informacin
por medio de comparaciones con otros datos relevantes.
113
Q
Quality Assurance
Son todas aquellas acciones planeadas, necesarias para poner la
confidencia adecuada o la seguridad, que un producto o servicio
cumplir con calidad los requerimientos dados.
Quality Control
Son las tcnicas y actividades operativas que se utilizan para
verificar la calidad de los requerimientos.
Quality System
Es
la
estructura
de
la
Organizacin,
responsabilidades,
procedimientos, procesos y recursos que implementan el manejo de

la calidad.
R
Restricciones
Son los hechos o circunstancias que estn ocurriendo o que pueden
ocurrir en el transcurso de la Auditora y que van a afectar directa o
indirectamente al proyecto.
Resumen Ejecutivo
Es un informe de fcil lectura, gramaticalmente correcto y breve que
presenta los hallazgos a la gerencia en forma comprensible.
Riesgo
Es la posibilidad de que ocurra un hecho o suceso que pueda tener
efecto adverso sobre la organizacin y sus sistemas de informacin.
114
Riesgo de Control
Es el riesgo que los sistemas de control en vigencia no puedan
detectar o evitar errores o irregularidades significativas en forma
oportuna.
Riesgo de Deteccin
Es el riesgo que a travs de la labor de auditora no se detecten
errores o irregularidades significativas en el caso que existiesen y no
hubiesen sido prevenidos o detectados por los sistemas de control.
Riesgo del Negocio

Son aquellos riesgos que pueden afectar la viabilidad a largo plazo
de un determinado negocio o de la empresa en su conjunto.
Riesgo Global de Auditora

Es la combinacin de categoras individuales de riesgos de auditora
evaluados para cada objetivo de control individual especfico.
Riesgo Inherente
Es la susceptibilidad a errores o irregularidades significativas, antes
de considerar la efectividad de los sistemas de control.
115
S
Sistema de Aplicacin
Es un conjunto integrado de programas de computacin diseados para
determinada funcin que tiene actividades especficas de entrada, procesamiento
y salida.
Software de Auditora
Son paquetes que pueden emplearse para facilitar la labor del
auditor.
T
Tcnica
Son el conjunto de pasos ordenados lgicamente para apoyarse en
la terminacin (cmo hacerlo) de todas las acciones o tareas
estimadas en el proyecto emanado de la metodologa.
Tcnica de Sistemas
Es la actividad a desempear para instalar y mantener en adecuado
orden de utilizacin la infraestructura informtica.
U
Usabilidad
Es el conjunto de atributos que se refieren al esfuerzo necesario para
usarlo, y sobre la valoracin individual de tal uso, por un conjunto de
usuarios de usuarios definidos o implcitos.
V
Vulnerabilidad
Es la situacin creada, por falta de uno o varios controles, con lo que
la amenaza pudiera acaecer y as afectar al entorno informtico.
116
FUENTES DE INFORMACIN
a. Bibliografa
1. Muoz Razo, Carlos. Auditoria en Sistemas computacionales. PERSON

educacin. 2002. Mxico.
2. Echenique Garca, Jos Antonio. Auditoria en informtica. Segunda edicin.

McGraw-Hill. Mxico
b. Sitios web
1. http://www.ub.edu.ar/catedras/ingenieria/auditoria/glosario.html Auditoria de
Sistemas. Argentina. 2015
2. http://www.uls.edu.sv Sitio informativo de la Universidad Luterana Salvadorea.

El Salvador. 2015
117

Auditoria Informatica

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Auditoria Informatica

Hochgeladen von

Copyright:

Verfügbare Formate

FACULTAD DE CIENCIAS DEL HOMBRE Y LA NATURALEZA

LICENCIATURA EN CIENCIAS DE LA COMPUTACIN

ASIGNATURA: AUDITORA DE SISTEMAS.

DOCENTE: LICDA. ANA LISSETTE GIRON

SAN SALVADOR, 30 DE MAYO DE 2015

En el presente trabajo tiene como objetivo mostrar la planeacin de la auditoria

programas de auditoria y como finalizacin los

OBJETIVOS DEL DOCUMENTO

Elaborar programas de auditoria.

oportunidades colectivas con dimensiones espirituales, desarrollo econmico

seguimiento y evaluacin, para mejorar la conduccin planificada parte del

ORGANIGRAMA DEL DEPARTAMENTO DE REGISTRO DEL ESTADO

Antecedentes y descripcin de las aplicaciones utilizadas

Ley de reposicin de libros y partida de registro civil

Opciones de formulario de partida:

IDENTIFICACIN DE REAS CRTICAS

ineficiencia en el manejo del sistema y sus

Identificar y conocer el sistema operativo que

El nivel de conocimiento del sistema es bajo.

del rea de sistemas

Evaluacin de los dispositivos fsicos que

Verificar la seguridad y proteccin del sistema

Recursos Humanos del rea informtica

Seguridad fsica y lgica

departamento de registro familiar de la

Alcalda Municipal de Jiquilisco, para poder realizar su respectivo informe en el

Determinar si el hardware se utiliza eficientemente

Revisar la seguridad fsica de los componentes de la red de teleproceso

Verificar los procedimientos de seguridad fsica

Revisar si el equipo se utiliza por el personal autorizado

Comprobar los procedimientos de prevencin, deteccin, correccin frente a

cualquier tipo de desastre

DETERMINACIN DE LOS RECURSOS NECESARIOS PARA REALIZAR

rea a auditar: HARDWARE

estado del observar

Evaluar las caractersticas Examinar

Solicitar el inventario del

Verificar que el inventario

Cliente: Alcalda de Jiquilisco

rea a auditar: SOFTWARE

Actividad que ser evaluada

evaluar la seguridad en el Verificar si la

que nos dijo

13 Verificar si existen planes de

Solicitar un listado del

15 Verificar que criterios

Cliente: Alcalda de Jiquilisco

rea a auditar: RECURSOS HUMANOS

Actividad que ser evaluada

Evaluar si las personas

Pedir una muestra

13 Evaluar si los empleados

14 Evaluar quienes son las

Evaluar si el personal ha sido

Cliente: Alcalda de Jiquilisco

Actividad que ser evaluada Procedimiento

Evaluacin de la estructura Examinar si el

Examinar cuantas copias de

Evaluar la seguridad fsica

Evaluar la seguridad que

Evaluar con que tipo de

13 Evaluar plan cuando se cae

Preguntar que tan