UNIVERSIDAD NACIONAL DEL SANTA

FACULTAD DE INGENIERA
E.A.P. INGENIERA DE SISTEMAS E INFORMTICA

TRABAJO DE AUDITORIA N 09

CURSO :
Auditoria de Sistemas

PROFESOR :
Diana Casanova Muoz

INTEGRANTES :
Amaranto Villegas Edwin
Chero Llontop David
Guzman Comesaa Juan
Snchez Revolledo Jimmy
 AUDITORIA PRACTICA

1. Qu otros departamentos o reas se pueden considerar en cada una de estas

direcciones?

Direccin Desarrollo Anlisis de Sistemas Direccin de Produccin

Especialista Planeamiento
Administrador Base de Datos

Especialista
Administrador de Red
Gestin

Especialista Estadstica
Tcnico Soporte

Tcnico Telecomunicaciones

2. Describe el ROF de que se encarga cada uno?

A. Funciones de la Direccin de Tecnologas de Informacin

Definir los objetivos de TI en funcin a los objetivos del negocio.
Proponer los diferentes planes de TI para aprobacin de la Alta Direccin y
posteriormente desarrollar su implementacin, elevando a la Alta Direccin
su cumplimiento.
Direccin, seguimiento y control del accionar de la Direccin de TI.
Monitoreo peridicos sobre el desarrollo de la Direccin
Supervisar y coordinar la evolucin y crecimiento tecnolgico informtico
de la Empresa auditada.
 Proporcionar a la gerencia, medidas operacionales y nuevos proyectos
orientados a ser ms eficientes los sistemas.

Garantizar la previsin, operacin, mantenimiento y administracin de la

infraestructura de los sistemas de informacin y base de datos funcionales y
corporativas.

Coordinar y dirigir el proceso de elaboracin del Plan Anual de Necesidades

de Recursos de Informtica.

Otras funciones que la Alta Direccin le encargue.

Funciones de la Subdireccin de Desarrollo y Soluciones

Gestin de la Atencin de Requerimientos para nuevos desarrollos y mantenimiento de
aplicaciones de negocio y administrativos.
Direccin de proyectos bajo su responsabilidad.
Proponer nuevas herramientas para la mejora continua
Proponer metodologas, procedimientos, procesos, estndares entre otras para su
accionar, respetando el cumplimiento de lo normado.
Planificar, Organizar, dirigir y controlar los esfuerzos, actividades y recursos de las
reas, sistemas de informtica y desarrollo tecnolgico.
Apoyar la gestin de las autoridades a travs de una eficiente asesora en materia de
Anlisis, diseo, desarrollo y control de calidad de los sistemas informticos.
Definir criterios y velar por el cumplimiento de los mecanismos de disponibilidad,
seguridad y acceso a la informacin de los sistemas informticos que se desarrollan en
la Direccin.
Velar por el sistema de apoyo al usuario, as como el desarrollo y/o administracin de
nuevas aplicaciones.
Dirigir el desarrollo y administracin de la seguridad de la informacin, incluyendo
polticas, estndares y guas.
Orientar la investigacin, evaluacin y puesta en marcha de nuevos recursos
tecnolgicos que aseguren la integridad de la informacin.
Desarrollar profesionalmente al personal de Informtica, a travs de cursos con
proveedores o centros especializados.
Definir, conjuntamente con el Director, las acciones de administracin de personal en
coordinacin con la Direccin de Recursos Humanos.
Evaluar el desempeo del personal de la Direccin para tomar las medidas necesarias.
Participar en la planeacin estratgica y elaboracin de manuales de la direccin.
Realizar las labores administrativas que se derivan de su funcin.
Asistir a reuniones en representacin de la Direccin, cuando le sea requerido.
Sustituir al Director en caso de ausencia temporal.
Otras funciones que la Direccin de Tecnologas de Informacin le encargue.

Funciones de la Jefatura de Aplicaciones de Negocio

Gestionar la implementacin de aplicaciones de negocio
 Desarrollo y mantenimiento de aplicaciones de negocio
Cumplimiento de normas implementadas
......................
......................
Otras que su jefe de asigne

Funciones de la Jefatura de Aplicaciones Administrativas

Gestionar la implementacin de aplicaciones administrativas
Desarrollo y mantenimiento de aplicaciones administrativas
Cumplimiento de normas implementadas
.........................
.........................
Otras que su jefe de asigne

Funciones de la Subdireccin de Aseguramiento de la Calidad

Formular y ejecutar el Plan de Aseguramiento de Calidad, verificando e informando su
cumplimiento.
Verificar el cumplimiento interno de las normas de TI y proponer mejoras en los casos
que se requiera.
Remitir permanente a la Direccin de TI el cumplimiento de la normas de TI.
Disear polticas, planes y programas para la implementacin y el mantenimiento del
sistema de aseguramiento de la calidad, as como establecer los estndares de
resultados que permitan evaluar la gestin de la Direccin General.
Vigilar por el cumplimiento de las normas y procedimientos sobre aseguramiento de la
calidad establecidos por la Direccin General.
Promover la capacitacin en las tcnicas y normas sobre aseguramiento de la calidad.
Promover la implementacin de proyectos de mejora continua del servicio.
Implementar programas que tiendan a desarrollar la comunicacin interna y externa.
Supervisar las funciones de las Unidades a su cargo.
Rendir informes peridicos de su gestin al Director General.
Cualquier otra que el Director General le designe especficamente.
Otras funciones que la Direccin de Tecnologas de Informacin le encargue.

Funciones de la Jefatura de Calidad

Ejecutar estrategias de mejora de calidad de servicios de TI.
Proponer herramientas para la mejora de procesos enfocada a la calidad de TI
Control el cumplimiento de las normas de calidad implementados.
Apoyar la gestin de las autoridades a travs de una eficiente asesora en
materia de control de calidad sobre el desarrollo, operacin y administracin de
Sistemas Informticos.
Supervisar, evaluar, asignar recursos tanto tcnicos como humanos del
Departamento para la prestacin de servicios a las diferentes dependencias de
la empresa.
 Atender y resolver las consultas planteadas por sus superiores, personal
subalterno, funcionarios, etc. brindndoles asesora.
Coordinar la implementacin de los sistemas desarrollados en la Direccin de
Tecnologas de la Informacin.
Validar la documentacin de los sistemas desarrollados en la Direccin de
Tecnologas de la Informacin.
Participar en la planeacin estratgica y elaboracin de los manuales de la
Direccin.
Dar respuesta a los oficios que ingresen al departamento.
Certificar la seguridad de los sistemas informticos.
Coordinar la realizacin de pruebas tcnicas y de funcionamiento de los
sistemas.
Coordinar la evaluacin de los sistemas y la normativa vigente.
Elaborar la planificacin de auditoras de sistemas.
Redactar y revisar informes, proyectos, instructivos, manuales, y otros
instrumentos tcnicos y documentos similares que surgen como consecuencia
de las actividades que realiza.
Realizar las labores administrativas que se derivan de su funcin.
Mantener control sobre diversos trabajos que realizan en la unidad y
dependencia y vela porque se cumplan de acuerdo con los programas, fechas y
plazos establecidos.
Evaluar al personal de su Departamento en el desempeo de sus funciones
Participar en adjudicacin de equipo computacional.
Cumplir con todas las polticas de la Direccin de Tecnologas de la Informacin.
Otras que su jefe de asigne

Funciones de la Jefatura de Certificacin

Velar el cumplimiento de las normas establecidas.
Proponer y desarrollar Planes de Pruebas, Casos de Pruebas, Script de Pruebas
entre otras y velar por su cumplimiento.
Informar peridicamente sobre el desarrollo de las pruebas de certificacin
proponiendo mejoras.
Participar en todas las pruebas de certificacin de aplicativos y soluciones que
sern puestas en produccin
Otras que su jefe de asigne

Funciones de la Subdireccin de Operaciones

Elaborar el diseo de despliegue
Verificar el soporte de la seguridad de la informacin
Plan de Control de Cambios
Dirigir la continuidad de la operatividad de TI
Supervisar las actividades que realizan las reas bajo su cargo...........
......................
Otras funciones que la Direccin de Tecnologas de Informacin le encargue.
 Funciones de la Jefatura de Data Center
Mantener los servidores de red operativos
Desarrollar el respaldo y restauracin de informacin del negocio establecido
Llevar un control de cambios, incidencias, control de pases de su mbito
Verificar el cumplimiento de la legalidad del software y llevar el control de las
licencias adquiridos y desplegados a nivel de servidores.
Otras que su jefe de asigne

Funciones de la Jefatura de Help Desk

Planificar y monitorear el cumplimiento del mantenimiento de los equipos
informativos para verificar su operatividad permanente.
Brindar el soporte tcnico a las reas del negocio en aplicativos, software base,
entre otros llevando un control de las mismas y reportando peridicamente
Verificar el cumplimiento de la legalidad del software y llevar el control de las
licencias adquiridos y desplegados a nivel de estaciones de trabajos.
Brinda apoyo a usuarios finales adems de atender a sus posibles dudas.
Permite el crecimiento y productividad de la empresa.
Otras que su jefe de asigne

Funciones de la Jefatura de Telecomunicaciones

Evaluar y proponer nuevas tecnologas de conectividad
Planificar el mantenimiento preventivo y predictivo de los recursos asignados
Proponer y asegurar el cumplimiento de estndares para garantizar la
disponibilidad de la conectividad
Programar los servicios y facilidades que brinda la Central Telefnica
Efectuar el mantenimiento correctivo de la Central Telefnica, as mismo la
instalacin, traslados y programacin de anexos.
Evaluar el reporte del trfico de comunicaciones emitida por la Central
Telefnica para el control de consumo.
Apoyar en la instruccin del manejo de los equipos terminales (radio, telfono,
fax, etc.)
Llevar el control preventivo de los sistemas de seguridad de circuito cerrado de
la Sede Central.
Otras que su jefe de asigne

Funciones de la Oficina de Direccin de Proyectos

Direccin, seguimiento y control de Proyectos y del Portafolio y Programas de
Proyectos
Evaluacin y control de riesgos en proyectos
Administracin de recursos de TI para proyectos
Alinear los objetivos de los proyectos a los resultados del negocio..
Establecer la metodologa a la Gestin de Proyectos
Gestin de Recursos y Riesgos
 Control y Soporte en el uso de Herramientas
Otras funciones que la Direccin de Tecnologas de Informacin le encargue.

Funciones de la Oficina de Seguridad de la Informacin

Establecer los objetivos, polticas, planes, mecanismos y estndares para la seguridad
de la informacin.
Realizar el monitorio, seguimiento y control de las normas y herramientas
implementadas para la seguridad de la informacin.
Proponer permanentemente nuevas soluciones para reforzar la seguridad de
informacin
Administracin del presupuesto de seguridad informtica por cada ao.
Deteccin de necesidades y vulnerabilidades de seguridad desde el punto de vista del
negocio y su solucin.
Otras funciones que la Direccin de Tecnologas de Informacin le encargue.

3. Podra incluirse o seria necesario que dicho organigrama cuente con PMO o Jefatura de la
seguridad de informacin.
Si es importante que este organigrama cuente con una Jefatura de la Seguridad de
Informacin, debido a que en la actualidad son muchos los factores a tener en cuenta en lo
relativo a la seguridad de la informacin, un rea que da a da va adquiriendo ms
protagonismo en los presupuestos e inversiones empresariales.

Los planes de contingencia y de continuidad de negocio cobran especial relevancia a la

hora de abordar cualquier proyecto TIC. Ya son muchos y muy frecuentes los escenarios
donde la prdida de informacin puede ocasionar daos importantes en los desarrollos
corporativos. A lo anterior se suman los ataques externos que vulneran el funcionamiento
correcto de los sistemas, incluso la interrupcin espordica de ciertos sistemas y servicios,
puede ocasionar importantes prdidas econmicas.

La informacin tiene una importancia fundamental para el funcionamiento y quiz incluso

sea decisiva para la supervivencia de la organizacin. El hecho de disponer de la
certificacin segn ISO/IEC 27001 le ayuda a gestionar y proteger sus valiosos activos de
informacin.
ISO/IEC 27001 es la nica norma internacional auditable que define los requisitos para un
sistema de gestin de la seguridad de la informacin (SGSI). La norma se ha concebido para
garantizar la seleccin de controles de seguridad adecuados y proporcionales.

Ello ayuda a proteger los activos de informacin y otorga confianza a cualquiera de las
partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos
para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI.

Debemos tener en cuenta las siguientes razones:

Las medidas de seguridad

La informacin es uno de los principales activos de las empresas y por ello las nuevas
tecnologas de la informacin y la comunicacin se han convertido en una herramienta
imprescindible para desarrollar cualquier actividad econmica, as como en un factor
clave para mejorar la productividad.

Las medidas de seguridad se dividen en tres:

FSICO: Vela por la integridad de los equipos y por la continuidad de los suministros
que necesitan.

LGICO: Se encarga de la seguridad de los programas.

ORGANIZACIONAL: Asigna las funciones y responsabilidades en materia de seguridad

dentro de la empresa.

La seguridad fsica, Haga copias de seguridad (backup)

Es la primera y la ms importante de las medidas de seguridad. No deje ningn da de
hacer una copia de seguridad de la informacin de su empresa. Hay distintas formas de
organizar las copias, pero una bastante sencilla y eficiente es tener una cinta o disco
por cada da laborable de la semana, de este modo, si la copia ms reciente fallara,
puede utilizar otra hecha slo 24 horas antes. Guarde la cinta o disco del ltimo da de
la semana en un lugar distinto a la sede de su empresa, porque sino en caso de robo o
incendio puede perder toda la informacin.
 Hay programas que permiten programar las copias de seguridad para que se hagan de
forma automtica, por ejemplo, al medioda o por la noche. Entre ellos algunos son
gratuitos como Cobian Backup, mCopias o SyncBack.

Aunque pueda parecer increble, el incidente grave que se produce con ms frecuencia
es la prdida de informacin por no haber seguido una poltica correcta de copias de
seguridad.

Utilice sistemas de alimentacin ininterrumpida (SAI)

Para evitar que los procesos en curso se interrumpan bruscamente en caso de corte del
suministro elctrico y para filtrar los microcortes y picos de intensidad, que resultan
imperceptibles pero que pueden provocar averas en los equipos, es muy aconsejable
disponer de sistemas de alimentacin ininterrumpida, al menos para los servidores y
equipos ms importantes.

La autenticacin
Asigne nombres de usuario y contraseas a los empleados
Para identificar a las personas que acceden a sus sistemas es posible configurar los
ordenadores de forma que al arrancar soliciten al usuario su nombre y contrasea, y
otro tanto ocurre con muchos programas. Utilice estas opciones y no deje libre el
acceso a los ordenadores de su empresa, sino que proporcione a cada empleado un
nombre de usuario y una contrasea, y cuide de que mantengan esta en secreto.

Comience a utilizar la firma electrnica

Los certificados electrnicos permiten realizar numerosos trmites con las
Administraciones a travs de Internet as como firmar los documentos electrnicos de
forma que estos pueden sustituir al papel en documentos autnticos.

Los virus
Instale antivirus en los ordenadores
Tener un antivirus actualizado es una medida bsica de seguridad, instale uno en todos
los equipos y mantngalo actualizado. Tenga en cuenta, adems, que algunos virus
 aprovechan vulnerabilidades del sistema operativo y para protegerse de ellos hay que
instalar las actualizaciones que publica el fabricante (en el caso de Windows es
aconsejable activar la opcin de Actualizaciones Automticas). Tambin pueden llegar
virus en un correo electrnico, as que nunca abra mensajes de origen desconocido y
elimnelos lo antes posible de su ordenador. Tenga en cuenta que se suelen elegir
asuntos que despiertan la curiosidad del destinatario. Otro medio de infeccin es la
instalacin de plugins, conteste NO cuando el sistema le diga que se va a instalar un
programa si no conoce la procedencia del mismo.

Defindase de los programas espa (spyware)

Hay programas que se instalan de forma oculta en un ordenador y pueden enviar a
quien los controla la informacin contenida en el mismo e incluso las contraseas que
se tecleen en l, y tambin le permiten convertirlo en un zombie y utilizarlo para sus
propios fines.

Los programa anti-espas nos protegen de este software, pero desconfe de aquellos
que se le ofrezcan sin haberlos buscado expresamente, porque algunos programas
desinstalan los espas que encuentran en su equipo slo para instalar uno propio.
4. Mencionar normatividad legislativa.

NL19960424 Decreto Legislativo 822 Ley sobre el Derecho de Autor

NL20040720 Ley 28289 Ley de Lucha Contra La Piratera
NL20000717-Ley 27309 Ley que Incorpora los Delitos Informticos al Cdigo
Penal
NL20010207-Ley 27419 Ley Sobre Notificacin por Correo Electrnico
NL20050412 Ley 28493-Ley que regula el uso del correo electrnico comercial
no solicitado (SPAM)
 Caso 02
Evaluacin de Licenciamiento de Software

Durante el desarrollo de una labor de auditora de sistemas a la empresa ABC que tiene una
base de 10 servidores de red (SRV) y 200 estaciones de trabajo (PCs), el equipo de control, ha
podido indagar, verificar y contrastar que existen diferencias entre las licencias de software
adquiridas y utilizadas, la cual se puede reflejar en el cuadro siguiente:

Pregunta:
1. Cul(es) normas, se estara incumpliendo?
Segn la normatividad aplicada a la auditoria de sistemas, se encuentra que se infringen
tales normas:

NL19960424 Decreto Legislativo 822 Ley sobre el Derecho de Autor

NL20040720 Ley 28289 Ley de Lucha Contra La Piratera

NL20000717 Ley 27309 Ley que Incorpora los Delitos Informticos al Cdigo
Penal
 2. Cul o cules Jefes de la Direccin de Tecnologas de Informacin son responsables del
incumplimiento?

Recae sobre:
Director de T.I
Jefe de PMO
Subdirector de Desarrollo y Soluciones de T.I
Jefe de aplicaciones administrativas

D
JS
e i
u r
ff b
e
e
b
a d c
ti c r
u e i
r c
a n c
d i
d e

e T n
d I
e

Ejemplos de Aplicacin de los 4 Dominios de Cobit

Dominio 01: Planear y Organizar

El equipo de control durante su labor de auditora, pudo determinar la siguiente ocurrencia:

Carencia de documentacin del desarrollo de pruebas realizadas a los productos y

soluciones de TI implementadas

Durante el proceso de revisin se pudo apreciar la carencia de procedimientos y procesos

formales que permitan planificar, desarrollar y documentar adecuadamente la planificacin,
desarrollo y sustentacin de los planes de pruebas, metodologa, escenarios de pruebas, datos,
casos de pruebas, script de pruebas, resultados entre otros que hayan permitido determinar la
validacin de los productos y soluciones implementados por TI. As como de sus
modificaciones, mejoras y mediciones posteriores para las pruebas futuras.
Preguntas:

1. Cual o cuales procesos de COBIT se podran aplicar como criterio de control?

a. P01. Definir un Plan Estratgico de TI

b. P04. Definir los Procesos, Organizacin y Relaciones de TI
c. P08. Administrar la Calidad
d. P09. Evaluar y Administrar los Riesgos de TI.
e. P10. Administrar Proyectos

2. Qu otras normas internas y/o externas se han incumplido?

a. PETI: establece polticas requeridas para controlar la adquisicin, el uso y la

administracin de los recursos de TI.
b. Plan de Contingencia: contiene las medidas tcnicas, humanas y organizativas
necesarias para garantizar la continuidad del negocio.
c. Polticas: asegurar que los recursos del sistema de informacin (material
informtico o programas) de una organizacin sean utilizados de la manera que
se decidi.
d. Estndares: regula la realizacin de ciertos procesos o la fabricacin de
componentes para garantizar la interoperabilidad.
e. Metodologas
f. Procedimientos
g. Procesos
h. Guas

3. Qu Jefaturas de la Direccin de Tecnologas de Informacin no cumplieron sus

funciones (*)?
a. .Director de Tecnologas de Informacin (Ver en el ROF la funcin(es))
b. . Subdirector de Aseguramiento de la Calidad (Ver en el ROF la funcin(es))
c. .Jefe de Certificacin (Ver en el ROF la funcin(es))

4. .

(*) En caso de no estar en el ROF en las recomendaciones se debe proponer su actualizacin

 Dominio 02: Adquirir e Implementar

El equipo de control durante su labor de auditora, pudo determinar la siguiente ocurrencia:

Carencia de Herramientas de Modelamiento de Datos

Del inventario de licencias de software adquirido y de los verificados en trabajo de campo se ha

podido determinar que la Direccin de TI, no cuenta con herramientas de tecnologa de
informacin que permita realizar las actividades de Modelamiento de Datos que le permita
llevar una adecuada estructuras de datos de la base, validacin de restricciones de integridad,
una adecuada clasificacin de modelos de datos conceptuales, lgicos y fsicos entre otras.

Preguntas:

1. Cual o cuales procesos de COBIT se podran aplicar como criterio de control?

a. .
b. .

2. Qu otras normas internas y/o externas se han incumplido?

a. .
b. .
c. .

3. Qu Jefaturas de la Direccin de Tecnologas de Informacin no cumplieron sus

funciones?
a. .
b. .
c. .
 Dominio 03: Entregar y Dar Soporte

El equipo de control durante su labor de auditora, pudo determinar la siguiente ocurrencia:

Falta de UPSs para la Operatividad del Negocio

Se ha verificado que la organizacin cuenta con 30 servidores de red, de los cuales se han
identificado que existen 7 servidores crticos que deben estar al menos operativo 2hrs cuando
exista perdida de fluido elctrico en la zona que es muy frecuente. Para lo cual se pudo
identificar que del balance de carga realizada con los UPS actuales no cuentan con la suficiente
autonoma de carga para mantener al menos operativo 1hr.

Preguntas:

1. Cual o cuales procesos de COBIT se podran aplicar como criterio de control?

2. Qu otras normas internas y/o externas se han incumplido?

a. .
b. .

3. Qu Jefaturas de la Direccin de Tecnologas de Informacin no cumplieron sus

funciones?
a. .
b. .
c. .
 Dominio 04: Monitorear y Evaluar

El equipo de control durante su labor de auditora, pudo determinar la siguiente ocurrencia:

Uso excesivo de internet con fines ajenos a los objetivos institucionales

Del Log de navegaciones en internet registrados por el firewall y de los reportes e informes
emitidos por la SubDireccion de Procesos, se pudo determinar que los consumos de anchos de
banda se pudo apreciar que se vienen dando a pginas que no guardan relacin con las
actividades institucionales como:

- Paginas de juegos por web

- Msica y videos en lnea
- Paginas para adultos
- Uso de P2P
- Deportes

Preguntas:

1. Cual o cuales procesos de COBIT se podran aplicar como criterio de control?

a. .
b. .
c. .

2. Qu otras normas internas y/o externas se han incumplido?

a. .
b. .
c. .

3. Qu Jefaturas de la Direccin de Tecnologas de Informacin no cumplieron sus

funciones?
a. .
b. .
c. .