Propuesta Tecnica
Propuesta Tecnica
Propuesta Tecnica
OBJETIVOS ESPECIFICOS
Identificar las reas crticas, con respecto a la seguridad del equipo del rea de informtica. Disear los procedimientos a efectuar en el desarrollo de la auditora del rea de informtica. Establecer el alcance en cuanto a los procedimientos, de tal manera que conduzcan a la
formulacion del informe de la auditoria de sistemas.
GESTION ADMINISTRATIVA: 1- Conocer y analizar las operaciones a las cuales se dedica la Institucin y la forma en que est
estructurado tanto desde del punto de vista organizacional y administrativo, as como el organigrama, nmero y distribucin de empleados, sistema interno de autorizaciones, firmas, formularios utilizados, secuencia de operaciones y otros aspectos similares que se realizan con la utilizacin del sistema informtico. 2- Verificar si se ha diseado un manual de organizacin y funciones a ser aplicado a los y por los usuarios del rea de informtica. 3- Verificar si las contrataciones del personal del rea de informtica se han realizado con base a los criterios establecidos en el manual de funciones y cumplen el perfil del puesto. 4- Verificar si la administracin provee oportunamente los recursos necesarios para la adquisicin del software actualizado para la proteccin de los sistemas informticos. 5- Verificar si la administracin promueve la capacitacin y adiestramiento constante del personal del rea de informtica.
6- Verificar si la administracin ha establecido polticas claras con respecto a la adjudicacin de claves de acceso a las bases de datos. 7- Verificar que las instalaciones donde labora el personal del rea de informtica estn adecuadas a las necesidades y no representen peligro para los empleados. GESTION INFORMATICA: 1) Examinar la informacin preliminar correspondiente al rea de informtica, la cual puede ser: a) Interna: conocer los procesos que se realizan dentro de la empresa para los cuales es utilizado el equipo informtico. Se verificar si se lleva un control de las operaciones realizadas y si queda un registro de los usuarios del rea de informtica y los horarios en los cuales, han utilizado el equipo del centro. Tambin se solicitar informacin correspondiente a si se ha realizado en otras ocasiones auditoras al sistema informtico. b) Externa: Conocimiento e identificacin de los usuarios del rea de informtica, as como de los proveedores de materiales y accesorios y otros clientes. 2) Conocimiento de las instalaciones fsicas del negocio, materiales, mobiliario, inmuebles, equipos, inventarios y otros que tienen relacin al rea de informtica. 3) Verificar si los programas utilizados dentro de la entidad han sido diseados especficamente para la empresa y hasta que punto estos programas son operativos y satisfacen las necesidades de la entidad. 4) Naturaleza y tratamiento de las operaciones realizadas por medio de los sistemas informticos. 5) Cualquier otro punto de conocimiento general, que contribuya a orientar adecuadamente la auditoria de sistemas informticos. 6) Verificar si todo el equipo o hardware se encuentra debidamente inventariado y se ha elaborado la respectiva tarjeta de depreciacin del mismo, a fin de que en el momento en que se vuelvan obsoletos se puedan dar de baja. 7) Verificar por medio de pruebas si los sistemas funcionan correctamente, para ello ser necesario contratar a un perito programador, para que efectue las pruebas correspondientes. 8) Verificar si el software tiene las licencias correspondientes. 9) Verificar quienes estn autorizados para realizar modificaciones a los sistemas informticos y quien autoriza cada una de estas modificaciones. 10) En el caso de que haya alguien de nivel superior que autorice los cambios y modificaciones a los sistemas informticos, verificar si existe algn documento escrito por medio del cual se autoricen dichas modificaciones o si las ordenes se efectuan solamente de manera verbal. 11) En el caso de que exista el registo de las solicitudes de cambios mencionados en el punto anterior,
realizar pruebas en el sistema para verificar que se hayan realizado correctamente y que respondan a la solicitud de la gerencia o de quien lo haya autorizado. 12) Verificar quien es el responsable de autorizar los niveles de jerarqua y niveles de acceso a utilizar dentro del sistema y si existe algn registro escrito por medio del cual se hayan emitido dichas autorizaciones. 13) Verificar si en la entidad se han establecido polticas con respecto a la creacin de respaldos de la informacin ms importante, cuyo dao pudiera afectar el funcionamiento general de la entidad en el caso de darse situaciones anmalas dentro del sistema informtico. 14) Verificar si existen procedimientos y polticas en cuanto a la seguridad y proteccin del personal que trabaja como usuario de los sistemas informticos de la entidad. 15) Verificar si las claves no permiten el acceso de los usuarios a niveles superiores, a los cuales no deberan acceder.
PLANEACION DETALLADA
Cuyo lema se basa en la individualizacin tcnica de los procedimientos a ejecutar as como las consideraciones y los objetivos a corto plazo que se espera producir en cada uno; comprende los siguientes apartados:
1)
Objetivos: Al obtener una clara comprensin de la institucin, se fijan las metas tanto a corto plazo como la general que se espera alcanzar al ejecutar la auditora; se establece el eje sobre el cual deben girar todos los procedimientos y fases de que consta para llevarse a cabo de forma eficaz y efectiva. 2) Rubros a Examinar: Consiste en descomponer las partes integrantes del Sistema Informtico, en secciones manejables, facilitando con ello el anlisis integral y exhaustivo, con el propsito de obtener resultados correctos y claros en cada uno de sus niveles operativos del sistema informtico. a. Primera descomposicin: Hardware, software, personal, instalaciones elctricas,
seguridad.
b.
Segunda descomposicin o detalle: Computadores, perifricos, software de uso general, software de uso especfico, personal del rea de informtica, usuarios del sistema informtico, red elctrica, seguridad fsica de los sitemas informticos, seguridad lgica del sistema, seguridad del personal, seguridad de la informacin y las bases de datos, seguridad en el acceso y uso del software, seguridad en la operacin del harware, seguridad en las telecomunicaciones. c. Tercera descomposicin: Las reas de mayor riesgo, son descompuestas en sus subdivisiones ms significativas, por lo cual se debe validar el funcionamiento de ellos mediante un examen operativo y el respectivo cumplimiento de las polticas institucionales en cuanto a su uso y aplicacin. d. Cuarta descomposicin: Esta ltima se refiere al examen propio de cada una de las reas especficas, con el fin de asegurar el buen funcionamiento de cada uno de los componentes del sistema informtico, estos casos requerirn su validacin. 3) Comparaciones: Se establecern comparaciones sobre el actual funcionamiento de los sistemas informticos y las especificaciones de sobre como deberan funcionar, para establecer si se les est dando el uso adecuado y si se est obteniendo los mximos resultados de la aplicacin de dichos sistemas. 4) Generacin de detalles peridicos: Algunas reas sern analizadas por perodos, con el fin de verificar su desarrollo a travs del tiempo, en cambio, habr otros que por su naturaleza, se pueden analizar en un momento fijo y que pueden generalizarse a diversos perodos, para ello, en el caso de que se encuentre situaciones en las cuales sea necesaria la actuacin inmediata, se generarn reportes intermedios hacia la gerencia, con el fin de que sean buscados los correctivos correspondientes de manera inmediata. 5) Examen documental: se consolida como la base de la auditora y el enlace entre la investigacin y la emisin de una opinin e informe, la inspeccin de los documentos anexos a cada operacin del sistema informtico, cuando por la naturaleza de las mismas exista un documento que ampare las operaciones. 6) Margen de Importancia: Dentro de este apartado, se deben analizar y sealar aquellos conceptos cuyo impacto de su inclusin, exclusin o revelacin textual pueda modificar la opinin sobre ellas. Ello requiere de parte del auditor, la capacidad de generar opiniones similares a la suya, entre los usuarios de los sistemas informticos. 7) Riesgos: Toda auditora se encuentra impregnada por la posibilidad de que los aspectos a evaluar contengan errores o irregularidades de importancia no detectados, cuyo conocimiento haga cambiar la opinin sobre ellos. (entindase como error, la ocurrencia u omisin de datos originados en circunstancias no voluntarias por parte de los encargados del funcionamiento de los sistemas informticos; y las irregularidades, son las circunstancias voluntarias por parte del mismo). Estos riesgos se clasifican de la siguiente manera: a. Riesgo Inherente: Asociado con la generacin de estimaciones sobre la existencia de hechos, lo anterior es de criterio potencial por parte del auditor, y pueden ser identificados como eventos presuntos, su anlisis parte de la naturaleza del negocio, naturaleza de los sistemas de control de informacin, de los mismos sistemas informticos y otros.
b. Riesgo de Control: Este se disminuye a medida que se eleva la confianza en los mtodos de control interno adoptados, y se define como la posibilidad de que el control interno no detecte o evite oportunamente errores o irregularidades de importancia. c. Riesgo de Deteccin: Vinculado directamente con la funcin de auditora, y se conoce como la mayor o menor capacidad de efectividad de los procedimientos de la misma para descubrir errores o irregularidades que en condiciones normales deberan ser visualizadas. 8) Elaboracin de cuestionario de control interno: Para conocer el funcionamiento del departamento de informtica dentro de la entidad, se disear un cuestionario de control interno, en el cual se harn en su mayora preguntas cerradas, con en propsito de conocer las actividades a las cuales se dedica la institucin, quienes las efectan, en que momento se realizan los procesos y por quienes se realizan, con el fin de detectar posibles fallas y con base en ello, detectar la clase de riesgo que presenten cada una de las operaciones y procedimientos. Dichos datos servirn en su conjunto para la realizacin de la correspondiente planilla de decisiones preliminares y el programa de auditora. 9) Planilla de decisiones peliminares: En este documento, luego de obtener los resultados del cuestionario de control interno, se establecer el tipo de riesgo (alto, medio o bajo) que tiene cada una de las operaciones que se realizan a travs de los sistemas informticos, y con base en ellos se podr establecer la profundidad con la que se examinarn cada uno de los rubros que componen dicha rea. 10) Elaboracin del programa de auditora: Con posterioridad al conocimiento general del negocio y a la evaluacin del control interno adoptado, se dejar constancia documental de los pasos a seguir en las diferentes reas involucradas, las tareas programadas, quedan plasmadas en una gua de procedimientos, cuya mayor especificacin, facilita su ejecucin y comprobacin de la misma. Dentro de ellos se hace mencin a los pasos, enfoques, oportunidades, volmenes de muestra, y cualquier otra circunstancia que detalle el trabajo a efectuar. Es importante mencionar que este no se caracterizar por su naturaleza inflexible, por encontrarse sujeto a ampliaciones o reducciones necesarias, originadas en conclusiones parciales, nuevos eventos o diversas situaciones que pudiesen desviar los objetivos propios de la investigacin. 11) Verificacin de generalidades concernientes a los documentos emitidos.
12) Anlisis y validacin de los documentos anexados que soportan las adquisiciones de bienes y servicios a utilizarse por los diversos usuarios del sistema informtico. 13) Conocimiento sobre controles de inventarios o la ausencia de los mismos con respecto a los bienes del rea de informtica. 14) Verificacin documental y fsica de las adquisiciones de bienes del rea de informtica.
15) Elaboracin de cdulas narrativas por los procedimientos alternos efectuados cuya documentacin no se refiere a papeles de clculo, anexos proporcionados por el contribuyente o por terceros. 16) Documentacin adecuada de hallazgos.
17) Rendimiento de informes parciales o previos, ante la deteccin de errores cuyo impacto sea relevante, con firma y fecha de recibidos, como constancia de divulgacin oportuna.
18) Adicin de notas oportunas sobre la atencin u omisin de las observaciones a que se refiere el apartado anterior. 19) Preparacin del informe final de auditora, con copia para los encargados del sistema de informtico del negocio. Nota: Toda la metodologa y procedimientos detallados, no inhiben de sostener reuniones peridicas o eventuales con la administracin, a efectos de discutir, ampliar o sugerir sobre la forma de operar y aspectos que de manera inmediata sea necesario corregir, asimismo cualquier consulta o requerimiento se efectuar de forma escrita como constancia de realizado.
Existe dentro de la empresa un rea de informtica? SI LA RESPUESTA FUE SI: Ante quien rinden cuentas de su gestin? Se ha nombrado un gerente para esta rea?
4. Est identificada dicha rea dentro del organigrama general de la empresa? 5. Se tiene un organigrama especfico de dicha rea?
6. rea?
7. Estn delimitadas las funciones de cada integrante del rea de informtica? 8. Cada empleado del rea de informtica conoce la persona ante la que tiene que rendir cuentas de su labor? 9. Los gerentes y otros funcionarios de nivel superior pueden dar rdenes directas a cualquier empleado del rea de informtica? 10. Cada empleado del rea de informtica es especialista en aspectos distintos de programacin? ASPECTOS RELACIONADOS AL HARDWARE 11. En alguna ocasin se ha extraviado alguna laptop o algn proyector de can propiedad de la empresa?
12.
En alguna ocasin se ha extraviado algn perifrico (bocinas, audfonos, teclado, mouse, teclado numrico, etc.) de una computadora? 13. Si hay vigilante, Revisa ste que los empleados no lleven artculos que no son de su propiedad? 14. En alguna ocasin le han quemado discos o guardado informacin en los equipos de la entidad? 15. Cada componente de su computadora y perifricos tiene la numeracin respectiva del inventario? ASPECTOS RELACIONADOS AL SOFTWARE
16.
Se utilizan programas como el Office de Microsoft u otros programas para los que la empresa haya comprado las licencias correspondientes? 17. Los empleados pueden utilizar el equipo informtico de la entidad para elaborar documentos o diseos para uso personal? 18. Hay una persona nombrada como responsable de resguardar el software comprado por la empresa? 19. Para el resguardo de los diversos discos de programas, se tiene un archivadero adecuado? 20. El software comprado por la entidad le facilita su trabajo?
21. Los programas antes mencionados son justo lo que necesita para sus actividades laborales?
22. Existen programas diseados y elaborados por el rea de informtica, con los procedimientos especficos para las actividades que la entidad desarrolla? 23. Los programas fueron creados bajo estricta normas de seguridad para evitar que puedan ser revendidos a otras empresas que se dediquen a la misma actividad econmica? 24. Los diversos softwares se guardan en un lugar libre de humedad o con calor excesivo? 25. Los programas creados por los empleados del rea de informtica son funcionales y responden a las necesidades de la organizacin?
ASPECTOS RELACIONADOS AL PERSONAL (Ser conveniente que algunas preguntas sean resueltas por los empleados del rea de informtica)
26.
27.
Cuntos aos tiene de laborar para la empresa?____________ Se siente satisfecho de laborar para la empresa?
29.
Cules considera que fueron las razones de la renuncia? __________________________________________ 30. casa? 31. Se permite que el personal lleve trabajo y accesorios a su Han recibido capacitaciones en el ltimo ao?
32. Las capacitaciones recibidas, a que aspectos han sido enfocadas?_________________________________________ 33. Los usuarios de los diferentes departamentos manejan con eficiencia los programas utilizados. 34. Se ha capacitado en su momento a los usuarios de los sistemas informticos? 35. En alguna ocasin ha visto que algn empleado de la empresa est haciendo algun trabajo muy personal en el equipo provisto por la empresa y en horas laborales?
INSTALACIONES ELECTRICAS 36. Cada cuanto, personal idneo revisa las instalaciones elctricas?_________________________________________ 37. En el ltimo ao se han revisado todas las instalaciones elctricas? 38. En alguna ocasin se ha generado algn corto circuito dentro de las instalaciones? 39. 40. Los tomas en los que conectan los equipos estn polarizados? Tiene la empresa contratado un electricista?
41.
Considera usted que hay demasiada humedad o excesivo calor, lo cual pueda deteriorar los computadores? 42. En alguna ocasin usted ha estado trabajando en una aplicacin y de pronto cuando la est ejecutando se ha cambiado y le ha generado una cosa diferente a lo que esperaba? 43. En alguna ocasin un empleado se ha enfermado y le ha dicho el mdico que es resultado del uso de algn aparato elctrico? 44. Tiene la empresa en algn lugar diferente al negocio, copias de seguridad de los software y documentacin importante que al darse un siniestro pueda afectar a la organizacin? 45. Le han dado clave para ingresar al sistema?
46. La clave que ha recibido le da acceso a documentos y archivos con base en la autoridad que tiene dentro de la empresa? 47. Alguna vez su equipo no ha funcionado y al verificar algn accesorio ha estado desconectado? 48. El acceso a internet es para todos los empleados?
49. Alguna vez por casualidad ha abierto algn documento que solo debi ser abierto por funcionarios de nivel superior? 50. Alguna vez al insertar su contrasea el sistema le ha dado mensaje de error y aun cuando lo escribe correctamente, el mensaje se ha repetido?
Nombre:___________________________________________________________ Cargo:_____________________________________________________________
RUBRO
AREA
FACTORES DE RIESGO
EVALUACION DE RIESGOS
CONTROL DETECCIN
INHERENTE PLANILLA DE DECISIONES PRELIMINARES SANCHEZ PINEDA & COMPAIA. SOFTWAR SOFTWARE Que exista software comprado por
la entidad.
PERODO A AUDITAR :
RUBRO HARDWAR E
EVALUACION DE RIESGOS Que el software haya sido utilizado INHERENT CONTRO DETECCI para beneficios personales por FACTORES DE o se le haya sacado E L N algn usuario RIESGO copias piratas del mismo para fines particulares. Que haya extravo.
Que el software adquirido por la entidad est resguardado en un Que se estde humedadcon los lugar libre utilizando o de mucho fines para evitar que se deteriore y calor para los cuales fue adquirido. se convierta en inservible. Que el software funcione correctamente y responda a las necesidades institucionales. Que haya extravo de los accesorios y perifricos.
PERIFERICO S
Solamente se harn las PROCEDIMIENTOS SEGN algn preguntas pertinentes y ALCANCE DE LOS Se verificar si hay FACTORES DE RIESGO PROCEDIMIENTOS procedimiento de control un da se verificar si a la institucional que impida que las salida el vigilante revisa personas lleven artculos de la los artculos que los entidad a sus casas. empleados llevan en sus Revisar que el hardware que se encuentra bolsos. Se revisar el 100% de los bienes inventariado como adqusiciones de la inventariados como parte del entidad, se encuentre en el lugar hardware. correspondiente. La verificacin se hr Revisar las condiciones del por una sola vez y con la lugar en que se encuentra autorizacin de una resguardado el software persona de la alta Verificar que los diversos componentes gerencia. del hardware, estn siendo aprovechados almximo y se estn utilizando como Se har una prueba corresponde. Se contratar un perito, el cual selectiva a un 10% de los Solicitar el registro de los software, programas, verificando realizar pruebas al perifricos comprados el agregados ade verificar si que sea uno de los que con y propsito cada uno de los computadores y el lugar funcionando ms se utilizan el 100% de los en que deben Se verificar en la est estar correctamenteyquesu estn donde entidad. y verificar perifricos. si instalacin corresponden. con las condiciones de cumple la empresa fabricante. Se verificar que los componentes y perifricos sean utilizados con los fines para los cuales fueron solicitados y no para obtener beneficios personales.
Que se estn utilizando con los fines para los cuales fue adquirido.
RUBRO
AREA
FACTORES DE RIESGO
EVALUACIN DE RIESGOS
INHERENTE CONTROL DETECCIN
DE
Que exista software diseado por los empleados del rea de informtica de la entidad.
Revisar los documentos que muestran el inventario del software diseado por los encargados del rea de informtica y verificar que el software est bajo la custodia de una persona con la autoridad para resguardarlos. Se verificar si hay algn procedimiento de control institucional que impida que las personas lleven artculos de la entidad a sus casas.
Se confirmar que el 100% de los softwares diseados por los empleados de la entidad, se encuentren en poder de la persona responsable.
Que el software haya sido utilizado para beneficios personales por algn usuario o se le haya sacado copias piratas del mismo para fines particulares.
Solamente se harn las preguntas pertinentes y un da se verificar si a la salida el vigilante revisa los artculos que los empleados llevan en sus bolsos. La verificacin se har por una sola vez y con la autorizacin de una persona de la alta gerencia. Se har una prueba selectiva a un 10% de los programas, verificando que sea uno de los que ms se utilizan en la entidad.
Que el software diseado por la entidad est resguardado en un lugar libre de humedad o de mucho calor para evitar que se deteriore y se convierta en inservible. Que el software funcione correctamente y responda a las necesidades institucionales.
Se contratar un perito, el cual realizar pruebas al software, con el propsito de verificar si est funcionando correctamente y si su utilidad responde a las necesidades especficas de la institucin.
RUBRO
AREA
FACTORES DE RIESGO
EVALUACION DE RIESGOS
INHERENTE CONTROL DETECCIN
DE
PERSONA L
Que los empleados del rea de informtica no estn lo suficientemente comprometidos con la entidad.
Se colocarn en el cuestionario de control interno algunas preguntas con el propsito de establecer si los empleados del rea de informtica se sienten satisfechos con el trato dentro de la entidad y su grado de lealtad a la misma.
Solamente se har el cuestionario y se pasar a los empleados pues la lealtad no es una variable difcil de medir en trminos cuantitativos.
Que los empleados del rea de informtica vendan el software a otras organizaciones aun cuando su diseo fue pagado con recursos de la entidad.
Se verificar si los empleados del rea de informtica llevan bienes de la sociedad a sus casas.
Se verificar si a la salida el vigilante revisa los artculos que los empleados llevan en sus bolsos.
Que los empleados del rea de informtica no estn recibiendo las capacitaciones necesarias con el propsito de actualizarlos y se vayan quedando desactualizados frente a la competencia.
Se verificarn los registros que la empresa tiene sobre las respectivas capacitaciones recibidas por los empleados del rea de informtica.
La revisin se har por una sola vez y se verificar si en las capacitaciones se ha incluido a todo el personal del rea.
Que los usuarios de la entidad no puedan utilizar con efectividad los diversos softwares que la entidad tenga en uso.
Se verificar si los usuarios han recibido el adiestramiento necesario en el uso del software y si al inicio recibieron la induccin correspondiente.
Que los usuarios del sistema informtico de la entidad, estn utilizando los recursos de la misma para sus usos personales, o abusen del uso del internet.
Se verificar si los empleados de la entidad utilicen el software y hardware para los fines establecidos por la entidad y siguiendo las polticas de la misma.
Se verificar en por lo menos 5 computadores si existen archivos basura o que no sean de uso de la entidad.
RED ELCTRICA
Verificar que los tomas a los cuales se encuentra conectado el equipo informtico estn debidamente polarizados con el fin de evitar sobrecargas elctricas.
Que las instalaciones elctricas ya no estn en ptimas condiciones de uso o ya sean obsoletas.
Se verificar con la ayuda de un electricista que las instalaciones elctricas cumplan con las condiciones mnimas de funcionamiento y que todava no sean obsoletas.
Se aplicar a un 15% de las instalaciones a las que est conectado el equipo del sistema informtico de la entidad.
RIESGOS
RUBRO
AREA
FACTORES DE RIESGO
DE
SEGURID AD
Que los componentes de los sistemas informticos estn ubicados en oficinas que no cumplen con las condiciones mnimas ambientales.
Verificar que los equipos no estn ubicados muy cerca de espacios hmedos o que el calor sea mucho.
Que los procesos realizados por el sistema, estn dando datos errneos y por ser automatizados, la empresa se est confiando de ellos.
Se pedir al perito en programacin que aplique algunos datos al sistema, los cuales tambin se realizarn de manera manual para ver que estos den resultados iguales, y de no serlos, se sugerirn los posibles correctivos. Se verificar que la ubicacin de las mquinas no est tan cercana a las personas y que tengan sus respectivos protectores de pantalla para minimizar el dao a los ojos.
Que por la ubicacin de los equipos del rea de informtica, los empleados vayan a padecer de enfermedades, como un efecto colateral de su uso.
DE
SEGURID AD
Que en caso de un siniestro, se pierda toda la informacin de la empresa y se destruyan las bases de datos.
Verificar si la empresa tiene fuera de su local un rea o local de seguridad para archivar discos y otros documentos de respaldo.
Se consultar gerencia.
con
la
Que empleados o usuarios puedan accesar a espacios del sistema para los cuales no cuenten con la respectiva autorizacin o no hayan recibido los password o claves de acceso para ello.
Se verificar que tan seguro es el sistema solicitando al programador que intente violar la seguridad del sistema, claro est que con la debida autorizacin y presencia de un administrador o representante de la administracin. Al finalizar se dejar constancia por escrito del proceso desarrollado.
Se har en una sola ocasin y trtando de accesar a un archivo utilizado por usuarios de nivel inferior.
RUBRO
AREA
FACTORES DE RIESGO
RIESGOS
INHERENTE CONTROL DETECCIN
DE
SEGURID AD
Que el equipo est mal conectado y en algn momento pueda originarse en l un corto circuito u otro siniestro.
Se verificar que los equipos estn correctamente conectados y que sean funcionales.
Se verificar si las mquinas se encuentran en red, si todas tienen acceso a internet y si se puede monitorear en algn momento lo que estn haciendo los usuarios
PROCEDIMIENTO HARDWARE:
COMPUTADORES: 1. Realizar cdulas narrativas en las cuales se exprese si el inventario de los hardwares que adquiri la entidad, se encuentre en el lugar correspondiente. 2. Plasmar en cdulas narrativas si los diversos componentes del hardware, estn siendo aprovechados al mximo y si se estn utilizando como corresponde. PERIFERICOS: 1. Efectuar cdulas narrativas en las que se constate si se han efectuado los registros de los perifricos comprados y agregados a cada uno de los computadores y el lugar en que deben estar y verificar que estn donde corresponden. 2. Plasmar en cdulas narrativas si los componentes y perifricos estn siendo utilizados con los fines para los cuales fueron solicitados y no para obtener beneficios personales.
FOLIO
PROCEDIMIENTO
HECHO POR
REF. PTS
FOLIO
SOFTWARE:
SOFTWARE DE USOS GENERALES: 1. Realizar cdulas narrativas en las cuales se exprese si los documentos muestran el inventario del software de la entidad y verificar si las licencias estn bajo la custodia de una persona con la autoridad para resguardarlos. 2. Plasmar en cdulas narrativas si hay algn procedimiento de control institucional que impida que las personas lleven artculos de la entidad a sus casas. 3. Efectuar cdulas narrativas en las que se exprese si las condiciones del lugar en que se encuentra resguardado el software es el adecuado. 4. Plasmar en cdulas narrativas si se contratar con un perito, para que realice las pruebas al software, con el propsito de verificar si est funcionando correctamente y si su instalacin cumple con las condiciones de la empresa fabricante. SOFTWARE DE USO ESPECIFICO: 1. Efectuar cdulas narrativas que expresen si los documentos que muestran el inventario del software diseado por los encargados del rea de informtica y verificar que el software est bajo la custodia de una persona con la autoridad para resguardarlos. 2. Realizar cdulas narrativas sobre si hay algn procedimiento de control institucional que impida que las personas lleven artculos de la entidad a sus casas.
3. Plasmar en cdulas narrativas si las condiciones del lugar en que se encuentra resguardado el software es el adecuado. 4. Expresar en cdulas narrativas si se contratar con un perito, para que realice las pruebas al software, con el propsito de verificar si est funcionando correctamente y si su utilidad responde a las necesidades especficas de la institucin.
PERSONAL:
PERSONAL DEL AREA DE INFORMATICA: 1. Efectuar cdulas narrativas que expresen si los empleados del rea de informtica se sienten satisfechos con el trato dentro de la entidad y su grado de lealtad a la misma. 2. Plasmar en cdulas narrativas si los empleados del rea de informtica llevan bienes de la sociedad a sus casas. 3. Realizar cdulas narrativas sobre los registros que la empresa tiene sobre las respectivas capacitaciones recibidas por los empleados del rea de informtica
4. Realizar cdulas narrativas sobre si hay algn procedimiento de control institucional que impida que las personas lleven artculos de la entidad a sus casas.
USUARIOS DEL SISTEMA INFORMATICO: 1. Efectuar cdulas narrativas que expresen si los usuarios han recibido el adiestramiento necesario en el uso del software y si al inicio recibieron la induccin correspondiente. 2. Plasmar en cdulas narrativas si los empleados de la entidad utilicen el software y hardware para los fines establecidos por la entidad y siguiendo las polticas de la misma.
INSTALACIONES ELCTRICAS:
RED ELCTRICA: 1. Efectuar cdulas narrativas sobre si los tomas a los cuales se encuentra conectado el equipo informtico estn debidamente polarizados con el fin de evitar sobrecargas elctricas. 2. Plasmar en cdulas narrativas si se contar con la ayuda de un electricista para que verifique si las instalaciones elctricas cumplen con las condiciones mnimas de funcionamiento y que todava no sean obsoletas.
SEGURIDAD:
SEGURIDAD FISICA DE LOS SISTEMAS INFORMATICOS: 1. Realizar cedulas narrativas acerca de los equipos que estn ubicados muy cerca de lugares hmedos para tomar las debidas precauciones, y que el calor sea mucho.
SEGURIDAD LOGICA DEL SISTEMA 1. Se llevara acabo una cedula narrativa y se le pedir al perito en programacin que aplique algunos datos del sistema los cuales tambin se realizarn los cuales tambin se realizarn de manera manual para ver que estos den resultados iguales, y de no serlo se sugerirn las posibles correcciones. SEGURIDAD DEL PERSONAL. 1. De acuerdo a la verificacin de la ubicacin de las mquinas que no est tan cercana a las personas y que tengan sus respectivos protectores de pantalla para minimizar el dao a los ojos se realizara una cedula narrativa de lo observado.
SEGURIDAD DE LA INFORMACION Y LAS BASES DE DATOS 1. Efectuar una cedula narrativa con la verificacin si la empresa tiene fuera de su local un rea o local de seguridad para archivar discos y otros documentos de respaldo para su determinacin. SEGURIDAD EN EL ACCESO Y USO DEL SOFTWARE 1. Realizar una cedula narrativa con respecto a la verificacin de que tan seguro es el sistema solicitando al programador que intente violar la seguridad del sistema, claro est que con la debida autorizacin y presencia de un administrador o representante de la administracin. Para poder concluir la revisin y llevar acaba la culminacin de ello.
SEGURIDAD EN LA OPERACIN DEL HARDWARE 1. Efectuar una cedula narrativa sobre si los equipos estn correctamente conectados y que sean funcionales.
SEGURIDAD EN LAS TELECOMUNICACIONES 1. Plasmar en una cedula narrativa si las mquinas se encuentran en red, si todas tienen acceso a internet y si se puede monitorear en algn momento lo que estn haciendo los usuarios.
RECURSOS A UTILIZAR EN LA AUDITORIA HUMANOS Auditor Auditores auxiliares Programador analista Especialista en redes informticas
MATERIALES Folders Papel Bond Combustibles Lapiceros Computadoras TIEMPO Se espera realizar la auditora al sistema conformado de N computadoras conectadas en red en un tiempo probable de 10 das. FINANCIEROS Efectivo por $ 1,762.00
No. RECURSO HUMANOS Auditor (30 horas hombre) 1 2 Auditores Auxiliares (2 personas) 3 Programador analista 4 Especialista en redes 5 Electricista TOTAL RUBRO MATERIALES 1 Folders 2 Papel bond 3 Combustibles 4 Lapiceros 5 Computadoras TOTAL RUBRO TOTAL GENERAL
$ $ $ $ $
$ $ $ $ $
$ $ $ $ $
$ $ $ $ $
CRONOGRAMA DE ACTIVIDADES
No. 1 2 3 4 5 6 7 8 9 10
ACTIVIDAD O TAREA Realizacin de Visita preliminar Elaboracin de Plan de Auditora Elaboracin de Cuestionario de Control interno Visita para contestar el cuestionario de control interno Anlisis del cuestionario y elaboracin de Planilla de Decisiones Preliminares Ejecucin de las actividades presentadas en el Programa de Auditora Revisin de sistema de redes Revisin de la funcionalidad de los sistemas por el Programador Revisin de funcionalidad del sistema elctrico por el electricista Presentacin del informe de Auditora
No. 1 2 3 4 5 6 7 8 9 10 11 12 13 14
AREA A EVALUAR
Computadores Perifricos Software de uso general Software de uso especfico Personal del rea de informtica Usuarios del sistema informtico Red elctrica Seguridad fsica de los sitemas informticos Seguridad lgica del sistema Seguridad del personal Seguridad de la informacin y las bases de datos Seguridad en el acceso y uso del software Seguridad en la operacin del harware Seguridad en las telecomunicaciones
TOTAL
MTODOS DE PRUEBA
Se solicitar a los auditores junior que desarrollen los procedimientos expresados en el plan de auditora. En ellos se verificar que los peritos contratados para las diferentes reas pongan a prueba los sistemas de la organizacin, insertando claves falsas, para ver como reacciona el sistema. A continuacin se solicitar que un empleado autorizado de un nivel inferior, inserte su clave y luego el experto en infortica tratar de accesar a documentos que solo se deberan ver por funcionarios de nivel superior. Por lo tanto lo que se verificar es la seguridad que ofrezca el sistema. Se harn pruebas, por otro lado en lo concerniente a las instalaciones elctricas, con el fin de verificar que estn en buen estado y se tratar de provocar fallas al sistema elctrico, para verificar su vulnerabilidad. En cuanto a las redes, se tratar desde una mquina, accesar a otras que no se debiera tener acceso con el fin de verificar su vulnerabilidad.
SITUACIONES ALTERNAS
En el caso de que todos los equipos estn constantemente ocupados, se buscar la forma de que
se autorice, con la presencia de un funcionario o empleado de confianza, que algunos procedimientos se puedan realizar fuera de la jornada laboral, con el propsito de no entorpecer las labores cotidianas. En el caso de no haber vigilante, que pueda revisar los bienes de los empleados, se verificar si existe alguna forma alterna de asegurar que los empleados no retiren los bienes de la empresa. En el caso de que al momento de la auditora no se encuentren los funcionarios que nos hayan contratado, se les pedir que nombren a una persona, de preferencia del rea de informtica para que, d fe del trabajo que se est realizando y se mantenga la transparencia.