2015

AUDITORIA DE
SOFTWARE Y
HARDWARE
EJECUCIÓN

ALEJANDRA GAMBA
FRAIMAN PIÑEROS
 A-DVE INGENIERIA S.A.S
NIT 900.580.913 -1

ALCANCE

La auditoria se realizará sobre los sistemas informaticos en computadoras personales y

corporativas que estén conectados a la red interna de la empresa.

OBJETIVO

Tener un panorama actualizado de los sistemas de información de la compañía A-DVE

INGENIERIA S.A.S , en cuanto a la seguridad fisica, las politicas de utilizacion,
transferencia de datos y seguridad de los activos.Para ello se busca revisar y Evaluar los
controles, sistemas, procedimientos de informática; de los equipos de cómputo, su
utilización, eficiencia y seguridad, de la organización que participan en el procesamiento
de la información, a fin de que por medio del señalamiento de cursos alternativos se logre
una utilización más eficiente y segura de la información que servirá para una adecuada
toma de decisiones

 OBJETIVOS ESPECIFICOS
 Evaluar el diseño y prueba de los sistemas del área de Informática
 Determinar la veracidad de la información del área de Informática
 Evaluar los procedimientos de control de operación, analizar su parametrización y
evaluar el cumplimiento de los mismos.
 Evaluar la forma como se administran los dispositivos de almacenamiento básico del
área de Informática
 Evaluar el control que se tiene sobre el mantenimiento y las fallas de los
computadores.
 Verificar las disposiciones y reglamentos que intervienen en el mantenimiento del
orden dentro del departamento de cómputo.

ANTECEDENTES

La empresa A-DVE INGENIERIA S.A.S del sector privado, situada en la ciudad de

BOGOTA DISTRITO CAPITAL en las instalaciones situadas en la CARRERA 13 N° 38-
86, Representada por la Sr Martha Lucia Carrillo Bonilla identificada con cedula de
ciudadanía N° 53.014.113.

ENFOQUE A UTILIZAR

La presente auditoria se realiza de acuerdo con la gerencia de la compañía y el ingeniero

de Sistemas de tecnología e Informática, responsable de normar, supervisar y evaluar los
métodos, procedimientos y técnicas informáticas utilizados por cada uno de los
departamentos de la empresa, Normas Internacionales de Auditoria (NIA); habiéndose
aplicado procedimientos de Auditoria que se consideraron necesarios de acuerdo a las
circunstancias.

RECURSOS

El numero de personas que integraran el equipo de auditoria sera de tres, con un tiempo
maximo de ejecucion de 3 a 4 semanas.A continuacion el personal de la empresa que
apoyara al auditori en la revision.

EMPLEADO CARGO
Danny Steven Cordinador HSE
Zuluaga
Andres Felipe Galan Director deproyectos

Ana Maria Sierra Ingeniera de sistemas

Jimmy Almeida Asistente contable

ETAPAS DE TRABAJO

 Recopilacion de informacion básica

Una semana antes del comienzo de la auditoria se envio un cuestionario a los gerentes o
responsables de las distintas areas de la empresa. El objetivo de este cuestionario fue
saber los equipos que usan y los procesos que realizan en ellos.

Los gerentes se encargaron de distribuir este cuestionario a los distintos empleados con
acceso a los computadores, para que tambien lo completen. De esta manera, se obtuvo
una vision mas global del sistema.

Es importante tambien que conocimos y entrevistamos a los responsables del area de

sistemas de la empresa para conocer con mayor profundidad el hardware y el software
utilizado.

 En las entrevistas se obtuvo la siguiente informacion:

 Director / Gerente de Informatica

 Subgerentes de informatica

 Asistentes de informatica

 Tecnicos de soporte externo

 Ademmas de esto se obtuvo informacion importante para el copnocimiento y revision
de el software y hardware utilizado po la compañía.

• Solicitud de Manuales y Documentaciones.

• Elaboración de los cuestionarios.

• Recopilación de la información organizacional: estructura orgánica, recursos

humanos, presupuestos.

• Aplicación del cuestionario al personal.

• Entrevistas a líderes y usuarios más relevantes de la dirección.

• Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos.

• Evaluación de la estructura orgánica: departamentos, puestos, funciones, autoridad y

responsabilidades.

• Evaluación de los Recursos Humanos y de la situación Presupuestal y Financiera:

desempeño, capacitación, condiciones de trabajo, recursos en materiales y financieros
mobiliario y equipos.

• Evaluación de los sistemas: relevamiento de Hardware y Software, evaluación del

diseño lógico y del desarrollo del sistema.

• Evaluación del Proceso de Datos y de los Equipos de Cómputos: seguridad de los

datos, control de operación, seguridad física y procedimientos de respaldo.

DOCUMENTO SOLICITADOS

- Políticas, estándares, normas y procedimientos.

- Plan de sistemas, Planes de seguridad y continuidad Contratos, pólizas de
seguros.
- Organigrama y manual de funciones.
- Manuales de sistemas.
- Registros
- Entrevistas
- Archivos
- requerimientos de Usuarios

Identificación de riesgos potenciales

Se evaluaron la forma de adquisicion de nuevos equipos o aplicativos de software, con

sus respectivas licencias legañles utiñlizadas. Los procedimientos para adquirirlos deben
estar regulados y aprobados en base a los estandares de la empresa y los requerimientos
minimos para ejecutar los programas base.
Dentro de los riesgos posibles, tambien se contemplaran huecos de seguridad del propio
software y la correcta configuracion y/o actualizacion de los equipos criticos como el
cortafuegos.Los riesgos potenciales se pueden presentar de la mas diversa variedad de
formas.

1. SISTEMAS Y CONTROLES IDENTIFICADOS

a) Control de Actividades y Operaciones. La empresa A-DVE INGENIERIA S.A.S ha

formulado el Reglamento de Organización y Funciones, Asimismo la entidad ha formulado
el Manual de Organización y Funciones.

b) Controles de Confiabilidad y Validez de la Información. Las funciones y

responsabilidades de cada funcionario y/o directivo están establecidas en el Reglamento
General Interno, Reglamento de Organización y Funciones.

AREA DE COMPUTO E INFORMATICA

SITUACION ACTUAL

Ubicación:

El área de cómputo e informática orgánicamente depende de la empresa contratista

YERAG TECNOLOGIA Y SERVICIOS con la que se tiene un contrato para el
mantenimiento y revisión de las redes, sistema de información y seguridad de toda la
información, asumiendo la responsabilidad de dirigir los procesos técnicos de informática.

Recursos Humanos:

Actualmente en el área de cómputo e informática labora una sola persona quien cumple
las funciones de administración, capacitación, soporte y procesamiento de datos.

Recursos informáticos existentes:

1 Equipo servidor (Windows profesional Server)

6 Computadoras Personales portátiles

2 Computadores de escritorio destinados para el área contable y administrativo

2 Impresoras

1 Software contable (WORLD OFFICE)

 OBJETIVOS DE CONTROL
- Se evaluaran la existencia y la aplicación correcta de las politicas de seguridad,
emergencia y disaster recovery de la empresa.
 - Se hara una revision de los manuales de politica de la empresa, que los
procedimientos de los mismos se encuentren actualizados y que sean claros y
que el personal los comprenda.
- Debe existir en la Empresa un programa de seguridad, para la evaluación de los
riesgos que puedan existir, respecto a la seguridad del mantenimiento de los
equipos, programas y datos.
-

DETERMINACION DE LOS PROCEDIMIENTOS DE CONTROL

Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos
definidos en el paso anterior.

Objetivo N° 1: Existencia de normativa de hardware.

 El hardware debe estar correctamente identificado y documentado.(Hojas de vida

de los equipos)

 Se debe contar con todas las órdenes de compra y facturas con el fin de contar con
el respaldo de las garantías ofrecidas por los fabricantes.(Soportes de compra)

 El acceso a los componentes del hardware esté restringido a la directo a las

personas que lo utilizan.(Contraseñas adecuadas)

 Se debe contar con un plan de mantenimiento y registro de fechas, problemas,

soluciones y próximo mantenimiento propuesto.(Contrato con un proveedor que
brinda el servicio de mantenimiento y revisión delos sistemas)

Objetivo N 2: Política de acceso a equipos.

 Cada usuario deberá contar con su nombre de usuario y contraseña para acceder a
los equipos.

 Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y alternando

mayúsculas y minúsculas).

 Los usuarios se bloquearan después de 5 minutos sin actividad.

 Los nuevos usuarios deberán ser autorizados mediante contratos de

confidencialidad y deben mantenerse luego de finalizada la relación laboral.

 Uso restringido de medios removibles (USB, CD-ROM, discos externos etc).

PRUEBAS A REALIZAR

Se realizar un cuestionario para corroborar si la empresa cumple con los requisitos

establecidos para un hardware y un software en A-DVE INGENIERIA S.A.S , de este
mismo modo se analizaran los estados en los que se encuentren dichos sistemas y
equipos, contando con la ayuda de un profesional en sistemas titulado, para tener un
mayor grado de confiabilidad, todo esto deberá estar debidamente soportado (facturas,
órdenes de compra, autorizaciones etc.)

 ENTREVISTA

Este cuestionario de entrevista se realizó al siguiente personal:

 Director / Gerente de Informatica

 Subgerentes de informatica

 Asistentes de informatica

 Tecnicos de soporte externo

Como la empresa tiene un contrato El área de cómputo con la empresa contratista

YERAG TECNOLOGIA Y SERVICIOS con la que se tiene un contrato para el
mantenimiento y revisión de las redes, sistema de información y seguridad de toda la
información, asumiendo la responsabilidad de dirigir los procesos técnicos de informática,
nos dirigimos al área contable que es donde se encuentra el software sin dejar de lado el
objetivo de esta auditoría de hardware y software.

Por consiguiente nos arrojo el siguiente resultado:

PREGUNTAS SI NO N/A

- ¿Existe un informe técnico en el que se X

justifique la adquisición del equipo,
HARDWARE y servicios de computación,
incluyendo un estudio costo-beneficio?

- ¿Existe un comité que coordine y se X

responsabilice de todo el proceso de
adquisición e instalación?

- ¿Han elaborado un instructivo con X

procedimientos a seguir para la selección y
adquisición de equipos, programas y
servicios computacionales?
- ¿Se ha asegurado un respaldo de X
mantenimiento y asistencia técnica?

- ¿Se han implantado claves o password para X

garantizar operación de consola y equipo
central, a personal autorizado?

- ¿Se mantiene un registro permanente X

(bitácora) de todos los procesos realizados,
dejando constancia de suspensiones o
cancelaciones de procesos?

- ¿Se han instalado equipos que protejan la X

Información y los dispositivos en caso de
variación de voltaje como: reguladores de
voltaje, supresores pico, UPS, generadores
de energía?

- ¿Se establecen procedimientos para X

obtención de backups de paquetes y de
archivos de datos?

- ¿Se hacen revisiones periódicas y X

sorpresivas del contenido del disco para
verificar la instalación de aplicaciones no
relacionadas a la gestión de la empresa?
- ¿Existen estándares de funcionamiento y X
procedimientos que gobiernen la actividad
del área de Informática por un lado y sus
relaciones con los departamentos usuarios
por otro?

- ¿Existen controles que tienden a asegurar X

que el cambio de puesto de trabajo y la
finalización de los contratos laborales no
afectan a los controles internos y a la
seguridad informática?

- ¿se aprueban por personal autorizado las X

solicitudes de nuevas aplicaciones?

- ¿tienen manuales todas las aplicaciones? X

- ¿existen controles que garanticen el uso X
 adecuado de discos ?

- ¿existen procedimientos adecuados para X

conectarse y desconectarse de los equipos
remotos?

- ¿se aprueban los programas nuevos x

referentes a la empresa y los que se revisan
antes de ponerlos en funcionamiento?

SOFTWARE

- ¿La responsabilidad del mantenimiento se X

transfiere a una organización distinta, se
elabora un Plan de Transición?

- El Plan de Mantenimiento es preparado por x

un ingeniero de sistemas debidamente
titulado durante el desarrollo del software.

- ¿Los elementos software reflejan la x

documentación de diseño?

- ¿Los productos software fueron probados y x

sus especificaciones cumplidas?

- ¿La documentación de usuario cumple los x

estándares especificados?

- existe software contable en la empresa x

- ¿Se realizan auditorias periódicas a los X

medios de almacenamiento?

- ¿Se tiene relación del personal autorizado X

para manipular El Word office?

- ¿Se cumplen las especificaciones de la X

documentación del usuario del software?

- ¿Los documentos de gestión administrativa X

se cumplen satisfactoriamente en el área de
cómputo?
 - ¿Los productos de software que utilizan en X
el área de informática está de acuerdo con
los estándares establecidos?

- ¿Existen procedimientos de realización de X

copias de seguridad y de recuperación de
datos?

- ¿Existen procedimientos de notificación y X

gestión de incidencias?

- ¿Existe un período máximo de vida de las X

contraseñas?

- ¿Hay dadas de alta en el sistema cuentas X

de usuario genéricas, es decir, utilizadas
por más de una persona, no permitiendo por
tanto la identificación de la persona física
que las ha utilizado?

AUDITORIA DE SEGURIDAD

PREGUNTAS BUENO REGULAR MINIMO NO

CUMPLE
- Evaluar los atributos de acceso X
al sistema.

- Evaluar las funciones del X

administrador del acceso al
sistema.

- Evaluar las medidas X

preventivas o correctivas en
caso de siniestros.

- Evaluar el control de entradas X

y salidas de bienes
informáticos del
centro de cómputo.
- Analizar las políticas de la X
instalación en relación con los
accesos ocasionales a la sala.

- Evaluar los procedimientos de X

captura, procesamiento de
datos y
emisión de resultados de los
Sistemas computacionales.

- Medidas preventivas. X

- Protección de archivos. X

- Limitación de accesos. X

- Protección contra robos. X

- Protección ante copias ilegales. X

- Protección de archivos, X
programas
e información.
- Realización de inventarios de X
hardware, equipos y periféricos
asociados.

- Evaluar la configuración del x

equipo
de computo (hardware).
- Existe un inventario de equipos X
y software asociados a las
áreas de la empresa.

- Existe un plan de X
infraestructura de redes?

- Existen normas que detallan X

que estándares que deben
cumplir el hardware y el
software de tecnología de
redes?
 - ¿La transmisión de la X
información en las redes es
segura?

El resultado de esta entrevista nos arroja el siguiente resultado, cabe resaltar que esta
presentación es una ponderación de todos los encuestados.

Comentarios y observaciones:

Comentarios y observaciones

Hemos encontrado las siguientes deficiencias en el hardware, software de la empresa A-

DVE INGENIERIA S.A.S:

- Falta de licencias de software.

- Falta de software de aplicaciones actualizados
- No existe un calendario de mantenimiento exhaustivo del sistema.
- Inexistencia y falta de uso de los Manuales de Operación
- Falta de planes de formación
- No existe programas de capacitación y actualización al personal
- Pérdida de control
- Pérdida de una fuente de aprendizaje, porque una actividad interna pasa a ser
externa.
- Uso de metodologías para nuevos desarrollos, pero ausencia de ellas para el
mantenimiento.
- Tendencia a la desestructuración
- Falta de apoyo de la Dirección
- No están definidos los parámetros o normas de calidad.
- No existe documentaciones técnicas del sistema integrado de la Cooperativa y
tampoco no existe un control o registro formal de las modificaciones efectuadas.
- No se cuenta con un Software que permita la seguridad de las librerías de los
programas y la restricción y/o control del acceso de los mismos.
- Las modificaciones a los programas son solicitadas generalmente sin notas
internas, en donde se describen los cambios o modificaciones que se requieren.
- No existe programas de capacitación y actualización al personal
- No se cuenta con un Software que permita la seguridad de restricción y/o control a
la Red

En cuanto a esto la empresa debería adoptar sistemas de control especificando mas el

cargo del jefe de sistemas de una empresa, por más que el manteniendo lo tenga otra
empresa que esta como contratista deberá optar por tener un jefe de seguridad en cuanto
al sistema que se les hace entrega a la empresa.
CONCLUSIONES

 Podemos manifestar que la empresa no cuenta que el departamento de centro de

cómputo presenta deficiencias sobre el debido cumplimiento de Normas de seguridad,
tienen escasez de personal debidamente capacitado no cuenta con una Implantación
de equipos de última generación

 El área de Informática presenta deficiencias sobre todo en el debido cumplimiento de

sus funciones y por la falta de ellos, debería realizarse muestreos selectivos de la
documentación de las aplicaciones, asignando un responsable del Centro de
Cómputos en cada turno de trabajo, Crear y hacer uso de manuales de operación.

 No se implementa métodos para las relaciones con las diferentes áreas en cuanto al
compartimiento de archivos permitidos por las normas, por esto el departamento de
centro de cómputo presenta deficiencias sobre todo en el debido cumplimiento de
Normas de seguridad de datos y administración de la Base de Datos con respecto a
calidad.

 En cuanto al coste de la seguridad debe considerarse como un coste más entre todos
los que son necesarios para desempeñar la actividad que es el objeto de la existencia
de la entidad, sea ésta la obtención de un beneficio o la prestación de un servicio.

 Observamos que hay ineficacia e inseguridad del sistema de control de accesos

diseñado. Por falta de metodologías utilizadas que asegure la modularidad de las
posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de las mismas.