METODOLOGÍA PARA REALIZAR AUDITORÍA

PRESUPUESTO

Ítem Valor
Útiles y Papelería $ 20.000.oo
Equipos de Oficina como computadoras $ 80.000.oo
Medios de almacenamiento magnético como: 1 caja de CD, 1 usb. $ 20.000.oo
Gastos generales: Cafetería, imprevistos, transporte, etc. $300.000.oo
Pago de Honorarios (1 millon mensual x c/au) $4.000.000
Total presupuesto $4.420.000

CONOLOGIA

Mes 1 Mes 2 Mes 3

Actividad
1 2 3 4 1 2 3 4 1 2 3 4
Estudio Preliminar
Planificar la
auditoría Determinación de Áreas
Críticas de Auditoria
Elaboración de Programa
Aplicar el de Auditoria
modelo de Evaluación de Riesgos
auditoria Ejecución de Pruebas y
Obtención de Evidencias
Construir los Elaboración de Informe
planes de
mejoramiento Sustentación de Informe

FASE ACTIVIDADES
Conocimiento 1.
del sistema o2. Identificar el origen de la auditoria.
3.
área auditada
 Administrar los recursos humanos.
 Seguridad de sistemas.
 Asegurar continuidad de servicio.
 Administrar la información.
 Administrar la operación.

2. Realizar visitas para conocer procesos informáticos, procesos y

organización del área auditada.

3. Determinar las vulnerabilidades, y amenazas informáticas a que está

expuesta la organización.

4. Determinar el objetivo de la auditoría de acuerdo a las vulnerabilidades,

y amenazas informáticas encontradas.
 1. Elaborar el plan de auditoría
2. Seleccionar los estándares a utilizar de acuerdo al objetivo (CobIT,
MAGERIT, ISO/IEC 27001, ISO/IEC 27002, otro)

4. De acuerdo al estándar elegido, seleccionar los ítems que serán

evaluados que estén en relación directa con el objetivo y alcances
definidos en el plan.
Planeación
5.
de la
4. Seleccionar el equipo de trabajo y asignar tareas específicas
Auditoria de
5.
Sistemas
Determinar las actividades que se llevarán a cabo y los tiempos en que
serán llevadas a cabo en cada ítem evaluado. (Programa de auditoría)

6. Diseñar instrumentos para recolección de información (formatos de

entrevistas, formatos de listas de chequeo, formatos de cuestionarios)
7.
7. Diseñar el plan de pruebas (formato pruebas)
1. Aplicar los instrumentos de recolección de información diseñados
2. Ejecutar las pruebas del plan de pruebas
3. Levantar la información de procesos informáticos y otros de la
organización auditada

4. Determinar las vulnerabilidades y amenazas informáticas aplicando una

Ejecución de
metodología según marco de referencia
la Auditoria
de Sistemas
5. Realizar la valoración de las amenazas y vulnerabilidades encontradas
y probadas

6. Realizar el proceso de evaluación de riesgos

7. Determinar el tratamiento de los riesgos

1. Determinar las soluciones para los hallazgos encontrados (controles)

2.
3. Elaborar el Dictamen para cada uno de los procesos evaluados.
Resultados 4.
de la 3. Elaborar el informe final de auditoría para su presentación y
Auditoria de sustentación
Sistemas
4. Integrar y organizar los papeles de trabajo de la auditoria
5. Diseñar las políticas y procedimientos integrando los controles
definidos
dministrar los recursos humanos

Para la realización de la auditoria en materia de recursos humanos ha sido

necesaria, entre otras cosas, la realización de entrevistas al responsable de
Recursos Humanos y a un empleado de la empresa escogido de forma aleatoria.

Como norma general, la empresa prefiere contratar a personal con experiencia

frente a personal con la carrera recién terminada, siendo la gran mayoría de las
ofertas de empleo, que ofrecen y publican, exclusivamente para personal con
experiencia. No obstante y en épocas de más trabajo, la empresa ofrece y publica
ofertas de puestos para personal sin experiencia. (Anexo 1.2).

Las personas que entran en la empresa de esta forma, se les hará contratos de 6
meses en la que será difícil la renovación y paso a plantilla ya que son contratados
para realizar tareas de documentación y labores de poca responsabilidad. (Anexo
1.1).

Referente a la selección de personal con experiencia, no existe realización de

examen técnico para demostrar los conocimientos que detallan en sus currículos,
sino que se selecciona en base a la información indicada en estos y a la entrevista
que mantienen con ellos. Además de la no realización del examen técnico, la
empresa no solicita al aspirante la entrega de documentación como copia de título
de estudios poseídos y cursos realizados. Esto genera un problema ya que en
algunas ocasiones, según nos contó el responsable de recursos humanos en la
entrevista realizada, han sido contratadas personas con un determinado perfil, que
finalmente no lo cumplían ya que habían incluido en sus curriculums información de
conocimientos que no tenían. (Anexo 1.3).

En cuanto a la evaluación del desempeño de los empleados, no existe baremo

alguno para realizar las valoraciones. Más bien se realiza de forma bastante
subjetiva dependiendo de la opinión que tenga el inmediato superior del trabajador.
Esto provoca que muchos empleados no puedan acceder a puestos superiores.
(Anexo 1.4)

En referencia a la formación que ofrece la empresa a los empleados, se ha

detectado que esta no es suficiente, ya que se basa en la facilitación de tutoriales
para consulta de dudas.

Esto provoca que el personal no tenga los suficientes conocimientos para el correcto
desempeño de su puesto de trabajo, ya que se forman mínimamente a través de los
tutoriales en cuestiones teóricas. Sería necesario la realización de cursos
específicos para cada puesto y sobretodo que fueran cursos prácticos. (Anexo 1.5)
(Anexo 1.6)

Cooperativa Maná de Producción Agrícola Limitada R/PT: C1

Guía de Pruebas P1
 Dominio Contratación de personal
Proceso Contratar personal con perfil adecuado y verídico
Objetivo de Control Evaluación de proceso de contratación
Riesgos Asociados 0 = Alto (acciones correctivas inmediatas)
1 = Alto (acciones preventivas inmediatas)
2 = Medio (acciones diferidas correctivas)
3 = Bajo (acciones diferidas preventivas)
No Evidencia Descripción
1 No hay En el área de Recursos Humanos no verifican
verificación de información del personal a contratar.
información de
CV
2 No hay En el área de Recursos Humanos no realizan
capacitación capacitación al personal, el único método que tiene los
adecuada al empleado son tutoriales descargados en internet
personal

Garantizar la seguridad de sistemas

El Departamento de Sistemas es el responsable de la seguridad en la empresa.

Entre otras cosas ha sido necesario entrevistarnos con él para llevar a cabo la
auditoria. También fue necesaria la entrevista a uno de los empleados escogido de
forma aleatoria.

Han sido detectados importantes problemas relativos a la administración de los

usuarios y contraseñas para acceso al sistema. La mayoría de los empleados
utilizan como contraseña la misma que ponen como nombre de usuario (Anexo 2.1).
Además no existe la posibilidad de que el sistema ofrezca el cambio de contraseña
de forma periódica, solo puede cambiarse cuando el usuario lo solicita. Se
recomendaría fuertemente que el sistema cada 3 meses obligara a realizar cambios
de nombre de usuario y contraseña (Anexo 2.2). Además el sistema debería evitar
la autenticación con un nombre de usuario y contraseña idénticos.

El responsable de Seguridad nos indicó en la entrevista mantenida que al finalizar

el contrato de un empleado, el nombre de usuario y la contraseña son
eliminados del sistema.

Se comprobó que en el sistema aún constaban nombres de usuarios y

contraseñas de antiguos trabajadores, cuyas cuentas estaban aún operativas y
se podía acceder perfectamente, por lo que demuestra que a pesar de lo que indicó
el responsable en cuanto a la eliminación de datos, esto es realizado de forma muy
poco rigurosa. (Anexo 2.3)
Otro problema grave del acceso al sistema es que la contraseña es visible cuando
se introduce, no se esconde tras un carácter *, como sería lo más aconsejable.
(Anexo 2.4)

El sistema además no controla el número de intentos fallidos de acceso al

sistema, siendo este ilimitado y como consecuencia siendo relativamente sencillo
poder acceder a la cuenta de otro empleado sin su consentimiento. Se debería
poder controlar esto y limitando el número de accesos fallidos a un número
razonablemente bajo, por ejemplo 3. (Anexo 2.5)

El acceso concurrente con el mismo usuario y contraseña no tiene tampoco

limitación alguna, siendo posible el acceso ilimitado de forma simultánea a la
cuenta de un empleado. También sería necesaria la limitación a un número
razonablemente bajo de posibles accesos concurrentes a una misma cuenta, por
ejemplo 3. (Anexo 2.6)

Otra anomalía observada es que no existe bloqueo automático de cuenta tras

un periodo de inactividad, por ejemplo si a un empleado se le olvida cerrar su
sesión al ir a una reunión o atender el teléfono, cualquiera podría acceder a su
equipo. Se recomienda pues introducir la posibilidad de bloqueo de sistema tras
algunos minutos de inactividad, siendo estos minutos un número que tampoco sea
tan pequeño que entorpezca al trabajador. Podrían ser 5 minutos. (Anexo 2.7)

Respecto a la formación en materia de seguridad a los empleados, la empresa no

los forma adecuadamente no inculcándoles el conocimiento y conciencia necesaria
para que se tomen la seguridad como un tema serio. Se pudo comprobar lo anterior
de forma obvia ya que se encontró en la papelera de un trabajador unos papeles
sin destruir en los que podía verse escrito su nombre de usuario y contraseña.
Sería necesario pasar por la destructora de papeles este tipo de documentación
antes de tirarlos a la papelera. Además ha sido relativamente frecuente ver post-it
pegados al monitor de los equipos con los datos de usuario y contraseña. (Anexo
2.8)
Otro aspecto grave es que se han detectado algunos casos en los que los usuarios
tienen instalados en sus ordenadores programas P2P, sometiendo a sus equipos
a una gran exposición a virus o software malintencionado. Además el acceso
a internet es totalmente libre, es decir, no existe ningún proxy que bloquee páginas
que supongan un riesgo, por lo que los empleados pueden acceder a las páginas
web que les apetezca. (Anexo 2.9)
En cuanto a la instalación de antivirus, pudo comprobarse que no existe acuerdo
por parte del responsable de Seguridad de cual utilizar, los empleados instalan y
desinstalan el que quieren en cada momento. Además ante la presencia de un
virus, los empleados lo resuelven ellos mismos, llegando a realizar incluso
formateos de equipo. Se recomienda encarecidamente que sea responsabilidad
única del responsable de Seguridad, la instalación de un antivirus que sea común a
todos los equipos de la empresa, siendo gestionado por el las acciones a realizar
en caso de presencia de virus o mal funcionamiento del antivirus. (Anexo 2.10)
Se ha encontrado bastantes programas piratas instalados en los equipos de los
empleados, así como cds de software pirata encima y en los cajones de los
escritorios de los empleados. (Anexo 2.11)

Cooperativa Maná de Producción Agrícola Limitada R/PT: C2

Guía de Pruebas P2
Dominio Seguridad de sistemas
Proceso Fortaleza en la seguridad del sistema
Objetivo de Control Seguridad en el sistema
Riesgos Asociados 0 = Alto (acciones correctivas inmediatas)
1 = Alto (acciones preventivas inmediatas)
2 = Medio (acciones diferidas correctivas)
3 = Bajo (acciones diferidas preventivas)
No Evidencia Descripción
1 Los usuarios y contraseñas para acceso al sistema.
No hay existen La mayoría de los empleados utilizan como
Contraseñas contraseña la misma que ponen como nombre de
adecuadas usuario

2 No Nombres de usuarios y contraseñas de antiguos

administración trabajadores, no son eliminados.
de contraseñas
Contraseña es visible cuando se introduce.
Se encontró en la papelera de un trabajador unos
papeles sin destruir en los que podía verse escrito
su nombre de usuario y contraseña.
3 No Hay control No controla el número de intentos fallidos de acceso
cuando utilizan al sistema.
las contraseñas
No tiene tampoco limitación alguna.
No existe bloqueo automático de cuenta tras un
periodo de inactividad.
Se encontró en la papelera de un trabajador unos
papeles sin destruir en los que podía verse escrito
su nombre de usuario y contraseña.
Cualquiera podría acceder a su equipo.
3 No hay los empleados instalan y desinstalan el que quieren
seguridad en en cada momento
los servidores
para bloquear sometiendo a sus equipos a una gran exposición a
un instalador. virus o software malintencionado
Asegurar continuidad de servicio

Para la realización de la auditoria de este proceso ha sido necesaria la realización

de una serie de entrevistas al director de la empresa.

Según nos contó, no existe ningún documento de plan de continuidad de

servicio por escrito, se va improvisando o se basan en alguna experiencia anterior,
lo que podría ocasionar grandes problemas en situación de emergencia y en
imprevistos, pues los empleados saben cómo actuar ante algunas emergencias,
pero podría darse el caso de situación de emergencia especial en la que no se
sabría cómo actuar para hacer frente al problema. (Anexo 3.1)

Algunos problemas detectados referentes a la continuidad del servicio en caso de

improvisto son los siguientes.

En caso de rotura de disco duro de un equipo, se perderían los datos

realizados durante el día ya que es solo durante la noche cuando se realizan
las copias de seguridad a un servidor. Sería necesario que los equipos tuvieran
instalado un programa de control de versiones (CVS) y se utilizara un servidor
auxiliar como repositorio. Se tiene en almacén (Anexo 3.2)

Algunas unidades muy escasas de componentes informáticos para sustituir

en caso de rotura, pero en la mayoría de los casos, es necesario hacer un pedido
a la empresa suministradora de material para reponer el componente roto. Aunque
tarda unas horas en servirse el pedido, esto supone una pérdida de tiempo
importante. Además, depositar la confianza en un único suministrador, hay un
riesgo grande de que se necesite material y la empresa tenga algún tipo de
dificultad en servir, por lo que afectaría directamente en la empresa.
Sería necesario tener pues varios suministradores de material para que esto no
pudiera ocurrir.

La empresa cuenta con un seguro (Anexo 3.3) de bienes materiales en caso de robo
o catástrofe natural. Este seguro no cubre ni hay existencia de otro tipo de
seguro, de lo referente a perdida de datos, lo que presupone que la empresa no
está del todo concienciada en la importancia del gran problema que esto supondría.

No existe edificio o local secundario si ocurriera un desastre en el actual edificio.

Al no existir plan de continuidad de servicio, no están detalladas las operaciones de
más relevancia de la empresa, ni tampoco una estimación temporal y económica de
las operaciones en caso de problema.

Ante una interrupción del suministro de luz, no existe una red de emergencia para
que los equipos se puedan apagar de forma correcta y se puedan guardar los datos
sin que haya corrupciones. (Anexo 3.4)
 Cooperativa Maná de Producción Agrícola Limitada R/PT: C3
Guía de Pruebas P3
Dominio Asegurar continuidad de servicio
Proceso Protección de hardware
Objetivo de Control Control en el uso hardware
Riesgos Asociados 0 = Alto (acciones correctivas inmediatas)
1 = Alto (acciones preventivas inmediatas)
2 = Medio (acciones diferidas correctivas)
3 = Bajo (acciones diferidas preventivas)
No Evidencia Descripción
1 No hay contrato no existe ningún documento de plan de continuidad de
para el servicio por escrito, prestado por el proveedor
mantenimiento informático
de licencias
2 No hay bacorde En caso de rotura de disco duro de un equipo, se
adecuado perderían los datos realizados durante el día ya que es
solo durante la noche cuando se realizan las copias de
seguridad a un servidor.
3 No hay Algunas unidades muy escasas de componentes
hardware informáticos para sustituir en caso de rotura
cuando se
necesite de
emergencia
4 No hay muchos depositar la confianza en un único suministrador, hay
proveedores un riesgo grande de que se necesite material y la
solo dependen empresa tenga algún tipo de dificultad en servir, Este
de uno. seguro no cubre ni hay existencia de otro tipo de
seguro,

Administrar la información

Se han detectado varios fallos en la administración de la información por parte de la

empresa, sobre todo en el tratamiento de los datos de información de carácter
personal. (Anexo 4.1)
Para comprobar la calidad de este proceso, nos basamos en la existente Ley
Orgánica de Protección de Datos (L.O.P.D) que nos indica todos los posibles
tratamientos que debe tener los datos de carácter personal cuando es administrado
por una empresa privada. (Anexo 4.2)

En la recogida de datos, cuando un cliente introduce sus datos en el formulario, es

avisado de que sus datos van a ingresar en una base de datos de la cual la empresa
ejercerá un tratamiento, pero en ningún momento es avisado de que esa base
de datos podrá ser cedida a terceras empresas. (Anexo 4.2)

En cuanto a la modificación y cancelación de los datos, una vez el usuario ha sido

registrado, no tiene acceso a la modificación de sus datos, ni mediante un
formulario apropiado, ni poniéndose en contacto con la empresa. (Anexo 4.3)
Tampoco es posible para el cliente poder cancelar sus datos, puesto que
tampoco se da esa opción en el formulario. Además, cuando los datos dejan de ser
necesarios para la empresa, tampoco son cancelados y siguen constando en la
base de datos. (Anexo 4.2)

Finalmente, en cuanto a la cesión de datos, la base de datos con los datos

personales de los clientes es usada por otras empresas, sin el conocimiento
de los clientes y sin su aprobación (Anexo 4.1).

Además, las empresas utilizan estos datos con objetivos diferentes a los que tiene
la empresa que es dueña de esta base de datos. Las empresas que obtienen esta
base de datos utilizan esos datos para usos propios y sin el correspondiente
consentimiento de los afectados, quebrantando la Ley Orgánica de protección de
datos. Además, la empresa no obliga a las empresas a las que presta estos datos
a que cumplan la Ley Orgánica de Protección de Datos. (Anexo 4.1)

Cooperativa Maná de Producción Agrícola Limitada R/PT: C4

Guía de Pruebas P4
Dominio Administrar la información
Proceso Protección de información
Objetivo de Control Control de información
Riesgos Asociados 0 = Alto (acciones correctivas inmediatas)
1 = Alto (acciones preventivas inmediatas)
2 = Medio (acciones diferidas correctivas)
3 = Bajo (acciones diferidas preventivas)
No Evidencia Descripción
1 No hay El cliente no es avisado de que esa base de datos
información podrá ser cedida a terceras empresas.
adecuada al
cliente
2 No hay método Una vez el usuario ha sido registrado, no tiene acceso
de modificación a la modificación de sus datos, ni mediante un
de datos formulario apropiado, ni poniéndose en contacto con la
empresa.
3 No hay opción Tampoco es posible para el cliente poder cancelar sus
de borrar datos datos, puesto que tampoco se da esa opción en el
formulario.
 4 No hay la base de datos con los datos personales de los
confidencialidad clientes es usada por otras empresas, sin el
de la conocimiento de los clientes y sin su aprobación
información de
clientes

Seguridad en operación

Después de realizar algunas entrevistas (Anexos 5.1 y 5.2) se han llegado a algunas
conclusiones que repercuten gravemente en el funcionamiento diario.

Hay una aplicación que gestiona a los clientes, la cual requiere un usuario y una
contraseña. Esta aplicación muestra los mensajes que han sido enviados y también
muestra la hora y día de la recepción. La herramienta también tiene almacenados
las promociones, las ofertas especiales y demás servicios adjuntos.
Hemos detectado que hay usuarios que tienen mayor acceso al sistema del
que debieran, y pueden llegar a manejar datos sensibles. (Anexo 5.2)

La sala de servidores, donde se encuentran físicamente todos los datos, está

protegida mediante un lector de tarjetas en la puerta, y los diferentes usuarios
tienen tarjetas que dan acceso a la sala. (Anexo 5.3)

El jefe de servicios es el que se encarga de la asignación de estas tarjetas y del

nivel de acceso, según el personal. (Anexo 5.1)

En principio en esta sala no hay un guardia de seguridad que custodie la información

ni evite las posibles incidencias que pudieran ocurrir. (Anexo 5.1)

Con estos datos, hemos detectado que las tarjetas no están bien repartidas,
puesto que hay usuarios con tarjetas de un nivel que no corresponde con su
rango, o incluso usuarios que tienen tarjetas maestras, que abren todas las salas
protegidas aunque no debieran tener acceso a ellas. (Anexos 5.1 y 5.2)

La ausencia de un guarda jurado, junto con el caso expuesto anteriormente, hace

que la sala quede insegura las 24 horas. Además no existen cámaras de seguridad
ni registro de los accesos diarios. (Anexos 5.1 y 5.2)

Las condiciones ambientales de la instalación también presentan problemas.

No hay una correcta ventilación (Anexos 5.4), lo que provoca que haya una
temperatura elevada y en algunos casos, hacen que los servidores tengan que ser
apagados para no ser sobrecalentados. (Anexos 5.1)
 Cooperativa Maná de Producción Agrícola Limitada R/PT: C5
Guía de Pruebas P5
Dominio Seguridad en operaciones
Proceso Administración de operación
Objetivo de Control Control de operaciones
Riesgos Asociados 0 = Alto (acciones correctivas inmediatas)
1 = Alto (acciones preventivas inmediatas)
2 = Medio (acciones diferidas correctivas)
3 = Bajo (acciones diferidas preventivas)
No Evidencia Descripción
1 No hay Hemos detectado que hay usuarios que tienen mayor
limitación de acceso al sistema del que debieran, y pueden llegar a
accesos al manejar datos sensibles
sistema
2 No hay La sala de servidores, donde se encuentran
limitación en la físicamente todos los datos, está protegida mediante
entrada de un lector de tarjetas en la puerta, y los diferentes
servidores usuarios tienen tarjetas que dan acceso a la sala.
3 No hay una Con estos datos, hemos detectado que las tarjetas no
buena están bien repartidas, puesto que hay usuarios con
administración tarjetas de un nivel que no corresponde con su rango
al dar los
accesos
4 No hay buenas Las condiciones ambientales de la instalación también
condiciones presentan problemas. No hay una correcta ventilación
para los
servidores

VULNERABILIDADES:

1. No existe recolección de información al personal a contratar

2. No existencia de inventario de hardware y redes
3. No se hace mantenimiento preventivo
4. Irregularidad en el servicio de internet por la ubicación de la empresa
5. Obsolescencia de tecnología de hardware de servidores, equipos y redes
6. Obsolescencia en el cableado estructurado

AMENAZA:

1. Personal irresponsable
2. Poca seguridad en el acceso físico al hardware
3. Virus a la hora de instalar programas piratas
4. Equipos de cómputo vulnerables a sustraer información
5. Existe peligro en la continuidad de los servicios
6. No existe sistema de protección en caídas de energía para protección de equipos
7. No existen sistemas adecuado para la confidencialidad

RIESGOS:

1. No existe restricciones para el acceso a personal.

2. Equipos con bajo rendimiento para las operaciones que se deben desarrollar
3. Daño en los equipos eléctrico
4. Usuarios irresponsables.
5. No se han levantado hojas de vida de los equipos existentes
6. La señal de los operadores de internet presenta fallas por la ubicación de la
empresa
7. Se presentan problemas con la información de los clientes
8. Se han presentado accesos a la información de los clientes, para terceras personal
9. No existen controles y responsables en los accesos a los servidores y a la
información.

INFORME FINAL DE LA AUDITORIA

Guatemala, 03 de Junio de 2017

Señores
Cooperativa Maná de Producción Agrícola Limitada
Atte. Sr. Gerente Luís A. Peña

De nuestra consideración:
Tenemos el agrado de dirigirnos a Ud. a efectos de elevar a vuestra consideración
el alcance del trabajo de Auditoría de las siguientes áreas:

 ARH7 Administrar los recursos humanos.

 SS 5 Seguridad de sistemas.
 ACS4 Asegurar continuidad de servicio.
 AI 12 Administrar la información.
 AO13 Administrar la operación.

Practicada el 20 de Marzo al 30 del Mayo, sobre la base del análisis y

procedimientos detallados de todas las informaciones recopiladas y emitidos en el
presente informe, que a nuestro criterio no es razonable. Síntesis de la revisión
realizada, clasificado en las siguientes secciones:

A. Administrar los recursos humanos

B. Garantizar la seguridad de sistemas
 C. Asegurar continuidad de servicio
D. Administrar la información
E. Administrar la operación.

El Contenido del informe ha sido dividido de la siguiente forma a efectos de facilitar

su análisis:

 Observaciones: Describe brevemente las debilidades resultantes de

nuestro análisis.
 Efectos y/o implicancias probables: Enuncian los posibles riesgos a que
se encuentran expuestos las operaciones realizadas por la Cooperativa.
 Índice de importancia establecida: Indica con una calificación del 0 al 3 el
grado crítico del problema y la oportunidad en que se deben tomar las
acciones correctivas del caso.

 0 = Alto (acciones correctivas inmediatas)

 1 = Alto (acciones preventivas inmediatas)
 2 = Medio (acciones diferidas correctivas)
 3 = Bajo (acciones diferidas correctivas)

 Sugerencias: Indicamos a la Gerencia la adopción de las medidas

correctivas tendientes a subsanar las debilidades comentadas.

Según el análisis realizado hemos encontrado falencias en que no existe un Comité

y plan informático; falta de organización y administración del área; falencias en la
seguridad física y lógica; no existe auditoria de sistemas; falta de respaldo a las
operaciones; accesos de los usuarios; plan de contingencias; y entorno de
desarrollo y mantenimiento de las aplicaciones hardware.

El detalle de las deficiencias encontradas, como así también las sugerencias de

solución se encuentran especificadas en el Anexo adjunto. La aprobación y puesta
en práctica de estas sugerencias ayudarán a la empresa a brindar un servicio más
eficiente a todos sus clientes.

Agradecemos la colaboración prestada durante nuestra visita por todo el personal

de la Cooperativa y quedamos a vuestra disposición para cualquier aclaración y/o
ampliación de la presente que estime necesaria.

Atentamente.

MR&G ASOCIADOS
Empleado Usuario Contraseña
Miguel Hernandez Ruiz Miguel05 Miguel05
Angeles Gutierres Alvarez 290459 290459
Leticia Aguirre Galvez Leti04 Leti04
Román Acosta Jiménez Roaji Roaji
Cristina Aguilera Cris 964465
Ana García Madrid Ana325 Ana325
Leoncio Ortega 55633 55633
Laura Fernandez Laura32 665655
Auditoria y Seguridad de la Información - Curso 2008/09

Usuario Fecha Hora Inicio Hora Fin

Miguel05 10/11/2008 08:30 12:00
Miguel05 10/11/2008 09:00 17:00
Leti04 11/11/2008 08:00 18:30
Leti04 11/11/2008 09:00 11:28
Leti04 11/11/2008 08:25 14:56
Leti04 11/11/2008 08:00 11:30
Leti04 11/11/2008 08:35 14:47
Laura32 11/11/2008 11:36 14:51