AUDITORA DE SISTEMAS:

Asesora y auditora de cmputo

Caete 26 de mayo del 2017

Sr. Director, Benjamn Daz Nuila:

Me permito remitir a usted el informe de resultados de la auditora practicada en las

instalaciones de la universidad alas peruanas. Que se realiz desde el da primero al treinta
y uno de mayo del ao en curso.

La revisin realizada fue de carcter integral y comprendi la evaluacin y comprendi la

evaluacin, de la estructura de la organizacin, la operacin del sistema, el cumplimiento
de las actividades y funciones asignadas al personal y la revisin a los resultados de la
gestin informtica.

En el citado informe encontrar el dictamen y las condiciones a las cuales se lleg despus
de la aplicacin de las tcnicas y procedimientos de la auditora de sistemas de tipo integral.

Quedo a sus rdenes por cualquier consulta o aclaracin al respecto.

F:____________________________

Yajaira malasques egas

Responsable.

1
 AUDITORIA INFORMTICA

Universidad alas peruanas

Caete 26 de mayo 2017

Profesor Benjamn Daz Nuila

Director, presente:

De acuerdo con las instrucciones giradas de la administracin de la institucin a su digno

cargo me permito remitir a usted el dictamen de la auditora practicada en el centro de
cmputo con especialidad en la administracin, funcionamiento y operacin del sistema de
red de esa institucin.

De los resultados obtenidos durante la evaluacin me permito informarle a usted lo

siguiente:

a) Seguridad ususarios
b) Seguridad del personal
c) Seguridad del Software y hardware
d) Seguridad de organizacion
e) Seguridad de los datos.

De acuerdo con las pruebas realizadas a la administracin, funcionamiento y operacin y

de acuerdo con los criterios de evaluacin recomiendo me permito dictaminar y recordar.

Atentamente:

Yajaira malasquez egas

2
 AUDITORIA INFORMTICA

SEGURIDAD FISICA:

OBJETIVO GENERAL:

Poder determinar las debilidades y fortalezas en la seguridad fsica del equipo y el edificio
donde se encuentra instalado el sistema de informacin y sus polticas sobre la seguridad,
y luego poder hacer algunos sealamientos que contribuirn con las mejoras de esta.

OBJETIVOS ESPECIFICOS:

1. Revisin de las polticas y Normas sobre seguridad Fsica de los equipos.

2. Verificar la estructura de la distribucin de los equipos y la correcta utilizacin.
3. Verificar la condicin del centro de cmputo y evaluar si existe un manual donde
explique los procedimientos para efectuar el mantenimiento.

ALCANCES:

La auditora se realizar haciendo una constatacin de las diferentes aplicaciones

tcnicas de Seguridad y Proteccin que tienen que existir en el equipo del centro de
cmputo.

HALLAZGOS EN CONTRADOS:

INSTITUCIN: Complejo educativo Prof. Carlos Lobato.

AREA AUDITADA: Seguridad Fsica.
FECHA: 25 de mayo del 2012
REF CONDICIN CRITERIO CAUSA EFECTO RECOMENDACIN
No existe un Art. 139.- La Direccin Dice que no le El problema es Se les recomienda
manual de de Informtica deber han entregado que en un poder elaborar una
planes de elaborar la Poltica y de parte de sus momento manual de
mitigacin de Plan de Contingencia lderes dicho Pueda ocurrir un contingencias.
1 riesgos. de los sistemas de manual. siniestro y no
informacin que habr forma de
permita continuar poder restablecer
operando en casos de el sistema.
siniestros, fallas etc.
No se Art. 150. La Direccin No lo han Lo que esto Se recomienda
encuentran de Informtica, a elaborado puede ocasionar elaborar lo antes
2
manuales de travs de la Gerencia todava. es que se pierda posible este manual
fsicos de de Soporte Tcnico,

3
 AUDITORIA INFORMTICA

procesos para tendr la el control del de soporte para un

mantenimiento responsabilidad de mantenimiento. buen de control.
garantizar el
mantenimiento
preventivo y correctivo
del equipo informtico
y Manual de Soporte
de Sistemas
Descentralizados.

SEGURIDAD DEL PERSONAL:

OBJETIVO GENERAL:

Verificar si se han adoptado medidas de seguridad en los diferentes departamentos del rea
informtica con respecto al personal que labora en dicha institucin.

OBJETIVOS ESPECIFICOS:

1. Constatar si se ha instruido el personal sobre qu medidas tomar en caso de que

se encuentren en algn peligro ya sea por desastre natural o de otra ndole.
2. Verificar si existen polticas que reguarden la integridad fsica de las personas..
3. Constatar si las instalaciones cuentan salidas de emergencias, sistema de alarma
por presencia de fuego, humo, as como extintores de incendio en conexiones
elctricas.

ALCANCE:
Revisin de polticas y normas que dicten las acciones a tomar en caso de algn peligro o
alarma que vaya en perjuicio de la seguridad de los usuarios.
HALLAZGOS
INSTITUCIN: Complejo educativo Prof. Carlos Lobato.
AREA AUDITADA: Seguridad del personal.
FECHA: 25 de mayo del 2012
REF CONDICIN CRITERIO CAUSA EFECTO RECOMENDACIN
Pudimos No hay Ese es el Puede ver algn Es necesario crear
constatar que diseo que atascamiento de los una puerta de
1
no existe salida est usuarios a la hora de emergencia.
de emergencias. alguna emergencia

4
 AUDITORIA INFORMTICA

utilizando
el Mined.
No existen No encontramos No se los Puede ocurrir un Se recomienda
extintores de ha incendio y no habr comprar extintores lo
2
fuego. facilitado forma de extinguirlo. ms pronto posible.
el director.
Elaborado por: Juan Jos Flores
Aprobado por: Benjamn Daz Nuila.

SEGURIDAD DEL SOFTWARE Y HARDWARE:

OBJETIVO GENERAL:

Comprobar que la adecuacin de hardware, sistema operativo, versiones del software

utilizado, como tambin en los aspectos relativos a la programacin de las distintas
aplicaciones, prioridades de ejecucin, lenguaje utilizado y la documentacin necesaria
haga constar que existe una administracin adecuada que garantice la seguridad de la parte
tangible e intangible de los equipos de cmputo.

ESPECIFICOS:

1) Comprobar la existencia de un plan de actividades previo a la instalacin de equipos.

2) Ratificar si existen garantas para proteger la integridad de los recursos informticos.
3) Evaluar si existen planes e informes del mantenimiento de equipos y del software
tanto preventivo como correctivos.

ALCANCES:

Poder observar y evaluar la descripcin general de los equipos instalados para hacer una
valorizacin de la seguridad en todos sus aspectos tanto en el hardware como tambin en
el sistema operativo y programas.

INSTITUCIN: Complejo educativo Prof. Carlos Lobato.

AREA AUDITADA: Seguridad del hardware y software.
FECHA: 25 de mayo del 2012
RECOMENDACI
REF CONDICIN CRITERIO CAUSA EFECTO
N
No se Art. 147.- La Direccin de No se han Puede darse un Se recomienda
encontraron Informtica, a travs de la ido a traer problema con mantener toda la
las licencias de Gerencia de Soporte Tcnico al Mined. alguna auditora por legalidad
1 Microsoft deber controlar y mantener parte de los necesaria.
office. bajo custodia fsica los ministerios
originales de las licencias para encargados de velar
el uso del software. contra la piratera.
Elaborado por: Juan Jos Flores
Aprobado por: Benjamn Daz Nuila.

5
 AUDITORIA INFORMTICA

SEGURIDAD DE LOS DATOS:

OBJETIVO GENERAL:
1. Corroborar si existe integridad y seguridad en los sistemas de gestin de las bases
de datos o si se han formulado polticas respecto a su seguridad, privacidad y
proteccin de las facilidades de procesamiento ante eventos como: incendio,
vandalismo, robo y uso indebido, intentos de violacin etc.

OBJETIVOS ESPECIFICOS:
1. Verificar si existen restricciones y control para accesar a la base de datos de la
institucin y si la interfaz que existe entre el SGBD y el SO es el adecuado.
2. Comprobar si las bases de datos guardan la informacin necesaria y adecuada para
la institucin educativa y si existe un control estricto de las copias de estos archivos,
la existen backups y su resguardo en lugares seguros.
3. Evaluar si se han implantado claves o password para garantizar operacin de
consola y equipo central (mainframe), a personal autorizado.

ALCANCES:
Revisin de manuales que contengan las polticas de seguridad de las bases de datos y
hacer un cheque de la funcin de los gestores de base de datos y su informacin
correspondiente.
HALLAZGOS:

INSTITUCIN: Complejo educativo Prof. Carlos Lobato.

AREA AUDITADA: Seguridad de los datos.
FECHA: 25 de mayo del 2012
REF
CONDICIN CRITERIO CAUSA EFECTO RECOMENDACIN
.
No se Art. 145.- La Direccin de El No existir un Se solicita crear
encontrarn Informtica ser la encargado control normas y polticas lo
normas y responsable de la no haba adecuado para ms pronto sea
polticas para administracin integral del ledo el el resguardo posible.
1 el resguardo modelo de datos lgico y control de la
de las bases fsico de la base de datos interno. informacin.
de datos. de los sistemas de
informacin de la
Institucin, para lo cual

6
 AUDITORIA INFORMTICA

debern elaborarse las

normas y polticas
respectivas.
.No se Art. 155.- La Direccin de Dice el En un incendio Comenzar lo ms
elaboran Informtica debe disear administra o cualquier pronto posible a crear
backups controles de aplicacin en dor que lo siniestro se backups.
2 la entrada, procesamiento haban har imposible
y salida de informacin pasado recuperar la
para prevenir que la por alto. informacin.
informacin se extrave.
Elaborado por: Juan Jos Flores
Aprobado por: Benjamn Daz Nuila.

7
 AUDITORIA INFORMTICA

ANEXOS:

CUESTIONARIO DE SEGURIDAD FISICA:

PREGUNTA SI NO
1. Se han adoptado medidas de seguridad en el departamento de
sistemas de informacin?
2. Se ha dividido la responsabilidad para tener un mejor control de
la seguridad?
3. Existe personal de vigilancia en la institucin?
4. Se investiga a los vigilantes cuando son contratados
directamente?
5. Existe una persona encargada de velar el equipo y accesorios
en el centro de cmputo de cmputo las 24 horas?
6. Se registra el acceso al centro de cmputo de personas ajenas
a la direccin de informtica?
7. Los interruptores de energa y cables de red estn debidamente
protegidos, etiquetados y sin obstculos para alcanzarlos?
8. Se revisa frecuentemente que no est abierta o descompuesta
la cerradura de esta puerta y de las ventanas, si es que existen?
9. Se ha prohibido a los operadores el consumo de alimentos y
bebidas en el interior del departamento de cmputo para evitar
daos al equipo?
10. Se limpia con frecuencia el polvo acumulado en el piso y los
equipos?
11. Se tiene una calendarizacin de mantenimiento preventivo para
el equipo?
12. Las caractersticas fsicas del centro de cmputo son seguras
13. La distribucin de los quipos de cmputo es adecuada?
14. Existen polticas de seguridad para el centro de cmputo?

8
 AUDITORIA INFORMTICA

CUESTIONARIO SEGURIDAD DEL PERSONAL:

N PREGUNTA SI NO
Se han adoptado medidas de seguridad para el personal y usuarios del
1
centro de cmputo?

Se ha instruido a estas personas sobre qu medidas tomar en caso de que

2
alguien pretenda entrar sin autorizacin?

El centro de cmputo tiene salida de emergencia?

3
Se ha adiestrado el personal en el manejo de los extintores?
4
Saben que hacer los operadores del departamento de cmputo, en caso de
5
que ocurra una emergencia ocasionado por fuego?

Se ha adiestrado a todo el personal en la forma en que se deben desalojar

6
las instalaciones en caso de emergencia?

Tienen manuales que contengan normas y polticas de seguridad del

7
personal?

Existen manuales y polticas de mitigacin de riesgos?

8

9
 AUDITORIA INFORMTICA

SEGURIDAD DE SOFTWARE Y HARDWARE:

N PREGUNTA SI NO
1 Se han instalado equipos que protejan la informacin y los
dispositivos en caso de variacin de voltaje como: reguladores de
voltaje, supresores pico, UPS, generadores de energa?
2 Se hacen revisiones peridicas y sorpresivas del contenido del disco
para verificar la instalacin de aplicaciones no relacionadas a la
gestin de La institucin?
3 Se mantiene programas y procedimientos de deteccin e
inmunizacin de virus en copias no autorizadas o datos procesados en
otros equipos?
4 Existen controles que garanticen el uso adecuado de discos y
accesorios de almacenamiento masivo?
5 Se aprueban los programas nuevos y se revisan antes de ponerlos
en funcionamiento?
6 Existe un programa de mantenimiento preventivo para cada
dispositivo del sistema de cmputo?
7 Existe legalidad de cada sistema operativo o programa.
8 Existe un plan de actividades previo a la instalacin?
9 Existe documentacin que garantice la proteccin e integridad de los
recursos informticos.

10 Existen normas o procesos que no permitan hacer Modificaciones en

la configuracin del equipo o intentarlo?
11 Existe un control que prohba Mover, desconectar y/o conectar equipo
de cmputo sin autorizacin.
12 Existen inventarios de hardware, equipos y perifricos asociados y del
software instalado.

10
 AUDITORIA INFORMTICA

13 Los sistemas de hardware se acoplan adecuadamente con la funcin

del software?
14 Existen revisiones peridicas del hardware y software

CUESTINARIO DE SEGURIDAD EN LOS DATOS:

N PREGUNTA SI NO
1 La organizacin tiene un sistema de gestin de base de datos
(SGBD)?
2 La interfaz que existe entre el SGBD y el SO es el adecuado?
3 Existe un control estricto de las copias de estos archivos?
4 Las bases de datos guardan la informacin necesaria y adecuada
para la institucin educativa?
5 Existe una persona responsable de la base de datos de la institucin?
6 Se mantiene un registro permanente (bitcora) de todos los procesos
realizados, dejando constancia de suspensiones o cancelaciones de
procesos?
7 Se han implantado claves o password para garantizar operacin de
consola y equipo central (mainframe), a personal autorizado.

8 Existen backups y se guardan en lugares seguros y adecuados?

9 Se realizan auditorias peridicas a los medios de almacenamiento?
10 Existe un programa de mantenimiento preventivo para el dispositivo
del SGBD?
11 Existen integridad de los componentes de seguridad de datos?
12 Existen procedimientos de realizacin de copias de seguridad y de
recuperacin de datos?
13 Existe un perodo mximo de vida de las contraseas?
14 En la prctica las personas que tienen atribuciones y privilegios
dentro del sistema para conceder derechos de acceso son las
autorizadas e incluidas en el Documento de Seguridad?
15 Existen procedimientos de asignacin y distribucin de contraseas?

11
 AUDITORIA INFORMTICA

16 Existen procedimientos para la realizacin de las copias de

seguridad?
17 Existen controles sobre el acceso fsico a las copias de seguridad?
18 Existen diferentes niveles de acceso al sistema de gestin de
contenidos?

BIBLIOGRAFA:

1. Auditora de Sistemas: SIS-303

Universidad Catlica Boliviana

Docente Ph.D. Indira Rita Guzmn de Glvez

2. Control interno del Mined.

3. Documentos del Licenciado Ral castillo.

12