1

Casos Prácticos

Ejemplos
Tarea No.5

PROCESOS INFORMÁTICOS: Un proceso es un programa en ejecución.

Formalmente un proceso es "una unidad de actividad que se caracteriza por la
ejecución de una secuencia de instrucciones, un estado actual, y un conjunto de
recursos del sistema asociados".

POLÍTICAS: Por lo general, un documento que ofrece un principio de alto nivel o

una estrategia a seguir. El propósito de una política es influenciar y guiar la toma
de decisiones presente y futura, haciendo que estén de acuerdo a la filosofía,
objetivos y planes estratégicos establecidos por los equipos gerenciales de la
empresa. Además del contenido de la política, esta debe describir las
consecuencias de la falta de cumplimiento de la misma, el mecanismo para
manejo de excepciones y la manera en que se verificará y medirá el cumplimiento
de la política.

PROCESO: Por lo general, un conjunto de procedimientos influenciados por las

políticas y estándares de la organización, que toma las entradas provenientes de
un número de fuentes, incluyendo otros procesos, manipula las entradas, y genera
salidas, incluyendo a otros procesos, para los clientes de los procesos.
Los procesos tienen razones claras de negocio para existir, dueños responsables,
roles claro y responsabilidades alrededor de la ejecución del proceso, así como los
medios para medir el desempeño.

PROCEDIMIENTO: Es un método de ejecutar una serie común de pasos definidos

que permite realizar un trabajo en forma correcta.

RIESGO: Es la vulnerabilidad de los bienes de una institución ante un posible o

potencial perjuicio o daño.

SEGURIDAD FÍSICA: Aplicación de barreras físicas y procedimientos de control,

como medidas de prevención y contramedidas ante amenazas a los recursos e
información confidencial.

SEGURIDAD LÓGICA: Aplicación de barreras y procedimientos que resguarden

el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas
para hacerlo.

María Geizzelez
 2

SERVICIOS: Función o prestación desempeñadas por organizaciones y su

personal.

TI: Tecnología de información, conjunto de técnicas que permiten la captura,

almacenamiento, transformación, transmisión y presentación de la información
generada o recibida a partir de procesos, de manera que pueda ser organizada y
utilizada en forma consistente y comprensible por los usuarios que estén
relacionados con ella. Incluye elementos de hardware, software,
telecomunicaciones y conectividad.

TCO: Empresa dedicada a la creación de soluciones integrales para distintas

áreas, una de ellas las agencias aduaneras, este sistema cuenta con el nombre
TCqO ue siginfica Tecnología, Consultoría, Outsorcing, este automatiza el ciclo
de operaciones de la agencia de aduana, desde el ingreso de la factura del cliente
hasta la elaboración de la póliza y su envío a la aduana central mediante la
interface del Sidunea World.

TECNOLOGÍA: Conjunto de teorías y de técnicas que permiten el

aprovechamiento práctico del conocimiento científico.

TERCEROS: Persona que no es ninguna de dos o más de quienes se trata o que

intervienen en un negocio de cualquier género.

TIC: Son el conjunto de tecnologías desarrolladas para gestionar información y

enviarla de un lugar a otro. Abarcan un abanico de soluciones muy amplio.
Incluyen las tecnologías para almacenar información y recuperarla después, enviar
y recibir información de un sitio a otro, o procesar información para poder calcular
resultados y elaborar informes.

OBJETIVO GENERAL

 Ejecutar un plan de auditoría informática lógica y física de los sistemas de

información y tecnologías de comunicación de la empresa Almacenes
Americanos S.A
María Geizzelez
 3

OBJETIVOS ESPECÍFICOS

 Evaluar los términos de referencia de la empresa Almacenes Americanos

S.A. para determinar los puntos a valorar en la auditoría.

 Comprobar la existencia de controles internos en la empresa Almacenes

Americanos S.A.

 Aplicar técnicas de auditoría informática para la evaluación de controles

enfocados en los riesgos de procesos informáticos.

 Comprobar la seguridad en los recursos (tecnología, instalaciones.

personal, comunicaciones y aplicaciones) para conocer si cumplen con los
objetivos del negocio.

 Presentar informe de hallazgos y recomendaciones obtenidos de la

ejecución del plan de auditoría.

Control interno y auditoría informática

Este es el seguimiento a las recomendaciones emitidas en la auditoría, es revisar

si se están cumpliendo a cabalidad lo que se implementó con el fin de reducir los
errores y que estos no persistan o estén apareciendo y desapareciendo.

Estos están estrechamente ligados con el control interno de la empresa que es el

plan de organización de todos los métodos y procedimientos que son relativos y
que están directamente relacionados con salvaguardar los activos y la
confiabilidad de los registros financieros.

Además del control interno, también existe el control interno informático que es el
que controla diariamente que todas las actividades de sistemas de información
sean realizadas cumpliendo los procedimientos, estándares y normas fijadas por
María Geizzelez
 4

la dirección de la organización y la dirección de informática.

Tipos de controles internos

Los controles informáticos se dividen en las siguientes categorías:

 Controles preventivos: para tratar de evitar el hecho, como por ejemplo
que un software de seguridad impida los accesos no autorizados al sistema.
 Controles defectivos: cuando fallan los preventivos para tratar de conocer
cuanto antes el evento.
 Controles correctivos: facilitan la vuelta a la normalidad cuando se han
producido incidencias.

Principales pruebas y herramientas para efectuar una auditoría

informática

Al elaborar una auditoría informática el auditor puede realizar las siguientes

pruebas:
 Pruebas clásicas: Consiste en probar las aplicaciones/sistemas con datos
de prueba, observando la entrada, la salida esperada, y la salida obtenida.
Existen paquetes que permiten la realización de estas pruebas.

 Pruebas sustantivas: Aportan al auditor informático las suficientes

evidencias y que se pueda formar un juicio. Se suelen obtener mediante
observación, cálculos, muestreos, entrevistas, técnicas de examen
analítico, revisiones y conciliaciones. Verifican así mismo la exactitud,
integridad y validez de la información.

 Pruebas de cumplimiento: Determinan si un sistema de control interno

funciona adecuadamente según la documentación, según declaran los
auditados y según las políticas y procedimientos de la organización.

María Geizzelez
 5

La estructura de COBIT se fundamenta en la idea de que los recursos de TI deben

ser utilizados en forma adecuada mediante la ejecución de procesos de trabajo
para satisfacer los requerimientos de (información del) negocio que existen en las
organizaciones.

Figura 1. Esquema de estructura del estándar COBIT 4.1

a) Recursos de TI

La clasificación que propone COBIT sobre los recursos de tecnología de

información es la siguiente:

Datos: Incluye a los objetos de información en su sentido más amplio,

considerando información interna y externa, estructurada y no estructurada,
gráfica, sonidos, etc.

Sistemas de información: Este concepto se entiende como los sistemas de

información (aplicaciones) que integran tanto procedimientos manuales como
procedimientos programados (basados en tecnología)

Tecnología: Incluye hardware, sistemas operativos, sistemas de administración

de base de datos, equipos de redes y telecomunicaciones, video conferencia, etc.
María Geizzelez
 6

Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los
sistemas de información.

Recursos Humanos: Este concepto incluye, habilidades, conciencia y

productividad del personal para planear, adquirir, prestar servicios, proporcionar
soporte y monitorear los sistemas y servicios de información.

Procesos de Trabajo

COBIT clasifica los procesos de trabajo en tres niveles jerárquicos, dominios,

procesos y actividades o tareas. Los cuatro dominios definidos se estructuran de
acuerdo con el esquema que se utiliza para representar el ciclo de vida de
administración de recursos:

Planeación y organización: Planning and organization (PO)

Adquisición e implementación: Acquisition and implementation (AI)

Entrega de servicios y soporte: Delivery and support (DS)

Monitoreo: Monitoring (M).

Estos dominios a su vez se subdividen en procesos:

1) Planeación y Organización (PO)

PO1: Definir un plan estratégico de sistemas.
PO2: Definir la arquitectura de información.

PO3: Determinar la dirección tecnológica.

PO4: Definir la organización y sus relaciones.

PO5: Administrar las inversiones en TI.

PO6: Comunicar la dirección y objetivos de la gerencia.

PO7: Administrar los recursos humanos.

PO8: Asegurar el apego a disposiciones externas.

PO9: Evaluar riesgos.

PO10: Administrar proyectos.

María Geizzelez
 7

PO11: Administrar calidad.

2) Adquisición e Implementación (AI)

AI1: Identificar soluciones de automatización.

AI2: Adquirir y mantener software de aplicaciones.
AI3: Adquirir y mantener la arquitectura tecnológica.
AI4: Desarrollar y mantener procedimientos.
AI5: Instalar y acreditar sistemas de información.
AI6: Administrar cambios.

3) Prestación de Servicios y Soporte (DS)

DS1: Definir niveles de servicio.

DS2: Administrar servicios de terceros.
DS3: Administrar desempeño y capacidad.
DS4: Asegurar la continuidad de servicio.
DS5: Garantizar la seguridad de sistemas.
DS6: Identificar y asignar costos.
DS7: Educar y capacitar usuarios.
DS8: Apoyar y orientar a clientes.
DS9: Administrar la configuración.
DS10: Administrar problemas e incidentes.
DS11: Administrar la información.
DS12: Administrar las instalaciones.
DS13: Administrar la operación.

4) Monitoreo (M)

M1: Monitorear el proceso.

M2: Evaluar lo adecuado del control interno.
M3: Obtener aseguramiento independiente.
M4: Proporcionar auditoría independiente.

María Geizzelez
 8

Posteriormente y como producto de un análisis más profundo, COBIT define las

actividades o tareas en que se descompone cada uno de los 34 procesos e
identifica los objetivos de control que deben existir en cada uno de ellos, tal como
se muestra en el siguiente ejemplo:

DS. Prestación de servicios y soporte (dominio)

DS2. Administrar servicios de terceros (proceso)
Contrato con terceros (actividad o tarea)

Objetivo de control: “La Gerencia debe definir procedimientos específicos para

asegurar que un contrato formal es definido y acordado para cada relación de
servicios con un proveedor”.

Requerimientos de negocio

Por lo que respecta a requerimientos de negocio COBIT, se orienta en forma

exclusiva a requisitos relacionados con la información. En un primer análisis
presenta la siguiente clasificación:

Requerimientos de calidad:
 Calidad.
 Costo
 Prestación de servicio.

Requerimientos de confianza:
 Efectividad y eficiencia de operaciones.

 Confiabilidad de la información.

 Cumplimiento de leyes y regulaciones.

Requerimientos de seguridad de la información:

 Confidencialidad.

 Integridad.

 Disponibilidad.

María Geizzelez
 9

De acuerdo con esta clasificación preliminar y mediante un análisis de los

conceptos que integra y de las áreas comunes de interés que se presentan entre
los mismos, COBIT resume los requerimientos (de información) del negocio en las
siguientes siete categorías:

Efectividad: Se refiere a que la información debe ser relevante y pertinente para

los procesos de negocio así como ser proporcionada en forma oportuna, correcta,
consistente y utilizable.

Eficiencia: Se refiere a proveer la información mediante el empleo óptimo (la

forma más productiva y económica impuestas en forma externa) de los recursos.

Confidencialidad: Se refiere a la protección de la información sensitiva contra la

divulgación no autorizada.

Integridad: Se refiere a lo exacto y completo de la información así como a su

validez de acuerdo a los valores y expectativas de la organización.

Disponibilidad: Se refiere a la accesibilidad de la información cuando sea

requerida por los procesos de negocio ahora y en el futuro. También se relaciona
con la salvaguarda de los recursos necesarios y las capacidades asociadas a los
mismos.

Cumplimiento: Se refiere al cumplimiento de leyes, regulaciones y compromisos

contractuales a los cuales está comprometida la organización, por ejemplo;
criterios de negocio.

Confiabilidad de la información: Se refiere a proveer la información apropiada

para que la administración opere la organización y cumpla con sus
responsabilidades de informes financieros y de cumplimiento normativo.

Desarrollo

El proceso de auditoría aplicado a la empresa Almacenes Americanos S.A, se

desarrolló empleando la metodología MAI, la cual provee una serie de fases como
guía para la realización de todo el proceso de auditoría, para seleccionar el área a
auditar, se evaluó los diferentes departamentos de la empresa, seleccionándose el
María Geizzelez
 10

área donde se manejan los procesos informáticos.

A continuación se describe el desarrollo de la auditoría a la empresa Almacenes

Americanos S.A, a través de la metodología MAI:

PRELIMINAR

La empresa Almacenes Americanos S.A es una empresa de giro aduanero, los

servicios que estos ofrecen son:

 Liquidación de pólizas
 Desaduanaje de mercancías
 Gestión aduanera de importaciones y exportaciones
 Gestión de exoneraciones
 Asesoría técnica aduanera

La empresa cuenta con dos áreas principales que son el área de almacén fiscal y
el área de agencia aduanera, siendo esta última donde se manejan las
operaciones esenciales de los procesos informáticos, aquí se manipulan los dos
sistemas utilizados para la gestión de los distintos servicios que la empresa brinda,
de esta área se alimentan las demás áreas, a través de la red interna que les
brinda conexión a Internet e intercomunicación entre los sistemas.

Esta área cuenta con cinco empleados, quienes hacen uso de los equipos que se
encuentran en el departamento, entre ellos se encuentra el jefe de operaciones
quien está a encargo del control de uso de equipos y software.

JUSTIFICACIÓN

Con la ejecución de la auditoría a la empresa ALMACENES AMERICANOS S.A

se evaluará la eficiencia del manejo de la información y los procesos de la
empresa, lo cual requiere vigilar los procesos de recopilación, proceso y
almacenamiento de la información dentro de la empresa, todo esto mediante el
uso de la tecnología informática; en toda entidad este proceso es vital para el buen

María Geizzelez
 11

funcionamiento de la misma.

Tomando en cuenta la evaluación preliminar en la empresa se definió como área

para la ejecución de auditoría, el área de agencia aduanera, que es donde se
manejan las operaciones referentes a los procesos informáticos de la entidad.
Plan de Auditoría

Área auditar Objetivos Componente Riesgo

1 - Acceso de los usuarios a Alto
sistemas, sistemas operativos y
bases de datos.

2 – Acceso de los usuarios a

Comprobar la existencia programas y archivos Alto
de normativas y
Seguridad procedimientos que 3 – Disposición de sistemas
Lógica resguarden el acceso a alternos en caso de fallos. Alto
los datos y los permisos
de acceso a personal 4- Existencia de software de
protección (antivirus, firewall.)
autorizado. Alto
5- Control de acceso de los
usuarios a los servicios de
Internet. Medio

María Geizzelez
 12

1 – Control de accesos de los Alto

usuarios a los equipos

Evaluar la protección 2- Informes de accesos y visitas Alto

física de datos, a las instalaciones.
programas, instalaciones,
equipos, red y personal, 3- Inventario de equipos y
de la empresa. software. Medio
Seguridad
Física 4- Revisión de la red (Factor
Ambiental, Físico y Humano) Alto

5- Controles para la instalación y

uso de dispositivos externos. Alto

Alto
Verificar la existencia de 1 - Respaldo de información
respaldos de la critica
información vital para el 2- Plan de Continuidad Alto
Respaldos y funcionamiento de la
plan de empresa, tanto físico 3- Plan de Contingencia Alto
contingencia como digital y que
cumplan los requisitos 4-Plan de Mantenimiento de Medio
adecuados. Hardware y Software

Corroborar la existencia 1. Disposición de manuales de Medio

de documentación de usuario y de instalación de los
todo lo adquirido por la sistemas.
Documentación empresa en materia de
de Hardware y informática: manuales, 2. Existencia de documentos de Alto
Software. facturas, contratos, adquisición de equipos y software
además de y contratos legal de proveedor de
documentación detallada Internet y red (ISP).
de los sistemas que la
empresa ha adquirido. 3- Documentación de los
sistemas utilizados para los Medio
servicios de la empresa.

María Geizzelez
 13

ADECUACIÓN

Para la realización de esta auditoría se utilizarán diversas técnicas, por medio de

las que se pretende recopilar la información necesaria para el desarrollo de la
misma, y posteriormente el procesamiento de esta información brindará resultados
para poder crear el informe final de la auditoría.

Entre estas técnicas están:

 Cuestionarios
 Entrevistas
 Observación
 Hoja de Procesamiento de Datos (Microsoft Word)

Las áreas a evaluar fueron analizadas mediante los procedimientos del Estándar
de COBIT 4.1 el cual establece cuatro dominios. Debido a que la empresa
Almacenes Americanos S.A está en proceso de desarrollo, el análisis de esta
auditoría se basará en los siguientes dominios: Adquisición e implementación
(Adquisition and implementation (AI)), Entrega de servicios y soporte
(Delivery and support (DS)), así mismo de estos dos dominios no se usarán
todos los subprocesos.
Guías de Auditorías

1. Componente: Acceso de los usuarios a sistemas, sistemas operativos y

bases de datos.

Guía de Auditoría
Dominio Prestación de Servicios y Soporte (DS)

Proceso DS5: Garantizar la seguridad de sistemas.

Objetivo de Control Verificar la implementación de controles adecuados

para los accesos de los usuarios.

María Geizzelez
 14

No. Procedimiento
1 Solicitar listado de usuarios que tienen acceso a los
sistemas usados en los equipos
2 Corroborar si existe en cada equipo una cuenta de
usuario en el sistema operativo para cada persona.
3 Verificar cuantos de los usuarios tiene login y
password para ingresar a sistemas de gestión de
aduanas y bases de datos.

2. Componente: Acceso de los usuarios a programas y archivos

Guía de Auditoría
Dominio Prestación de Servicios y Soporte (DS)

Proceso DS11: Administrar la información.

Objetivo de Control Verificar la aplicación de normas acceso de los

usuarios a la modificación de archivos y manipulación
de programas no propios del trabajo.
No. Procedimiento

1 Mediante la observación identificar si los usuarios

tienen acceso a la información almacenada en los
equipos sin ninguna restricción.

2 Comprobar la existencia de medidas de restricción a

los usuarios en el uso de archivos en las Pc’s y así
mismo de la manipulación y ejecución de programas
ajenos al giro de la empresa.

3. Componente: Disposición de sistemas alternos en caso de fallos.

Guía de Auditoría
Dominio Prestación de Servicios y Soporte (DS)
Proceso DS4: Asegurar la continuidad de servicio.

Objetivo de Control Obtener un plan de contingencia (Si es que existe), en

caso de que los sistemas principales fallaran.
No. Procedimiento

1 Aplicar entrevista al encargado del área para conocer

con que tipos de medidas cuentan, en caso de fallar

María Geizzelez
 15

uno de los sistemas.

2 Verificar la existencia de servidor alterno donde se

almacene la información de clientes y gestiones diarias.

4. Componente: Existencia de software de protección (antivirus, firewall.)

Guía de Auditoría
Dominio Prestación de Servicios y Soporte (DS)
Proceso DS3: Administrar desempeño y capacidad.

Objetivo de Control Evaluar el tipo de software y licencias obtenidas, su

desempeño y que sean acorde con el tipo de empresa.
No. Procedimiento

1 Asegurar mediante la observación directa la existencia

de software de protección en cada uno de los equipos.

2 Si existe el software verificar si se encuentra

actualizado.

5. Componente: Control de acceso de los usuarios a los servicios de Internet.

Guía de Auditoría
Dominio Prestación de Servicios y Soporte (DS)
Proceso DS9: Administrar la configuración.

Objetivo de Control Revisar la implementación de controles para el uso de

Internet.
No. Procedimiento

1 Mediante entrevista al encargado del área, se pretende

conocer si en la empresa hay un reglamento de uso del
servicio de Internet, para los usuarios que acceden a
los equipos.

2 En caso de que existan reglas para el uso, verificar

mediante la observación si dichas reglas son las
correctas para el óptimo uso de dicho servicio.

6. Componente: Control de accesos de los usuarios a los equipos

María Geizzelez
 16

Guía de Auditoría
Dominio Adquisición e Implementación (AI)
Proceso AI3: Adquirir y mantener la arquitectura
tecnológica.
Objetivo de Control Verificar los normativos de uso y acceso a los equipos.
No. Procedimiento

1 Solicitar al encargado del área la lista de equipos que

se usan, cuantos usuarios las usan y cuantas horas al
día son usados estos equipos.

7. Componente: Informes de accesos y visitas a las instalaciones.

Guía de Auditoría
Dominio Prestación de Servicios y Soporte (DS)
Proceso DS12: Administrar las instalaciones.

Objetivo de Control Revisar el control de visitas a las instalaciones de

informática (si existe).
No. Procedimiento

1 Verificación de los sistemas y mecanismos de

seguridad sobre el ingreso al área de operaciones
mediante el proceso de observación directa.

8. Componente: Inventario de equipos y software

Guía de Auditoría
Dominio Adquisición e Implementación (AI)
Proceso AI3: Adquirir y mantener la arquitectura
tecnológica.
Objetivo de Control Verificar si existe un inventario y corroborar la
información del inventario con lo existente en la
empresa.
No. Procedimiento

1 Aplicar entrevista al encargado del área para conocer la

existencia de inventario de equipos y software de
respaldo en caso de que un equipo o programa falle.

2 En caso de que exista un inventario, verificar su

existencia visitando el lugar de almacenamiento

María Geizzelez
 17

(Bodega).

9. Componente: Revisión de la red (Factor Ambiental, Físico y Humano)

Guía de Auditoría
Dominio Prestación de Servicios y Soporte (DS)
Proceso Protección contra Factores Ambientales

Objetivo de Control Examinar la red física, la disposición de los equipos

involucrados en esta y los usuarios que tiene contacto
directo con ella.
No. Procedimiento

1 Revisión mediante la observación directa de la

instalación de la red y los equipos para ver si esta
implementada de forma correcta.

10. Componente: Controles para la instalación y uso de dispositivos externos.

Guía de Auditoría
Dominio Prestación de Servicios y Soporte (DS)
Proceso DS9: Administrar la configuración.

Objetivo de Control Verificar si existe algún control para el uso de

periféricos, las restricciones y su alcance.
No. Procedimiento

1 Aplicar entrevista al encargado del área para

comprobar si utilizan algún método en los equipos para
restringir el acceso de dispositivos externos o bien si
existe un reglamento para el uso de estos.

María Geizzelez
 18

11.Componente: Respaldo de información crítica

Guía de Auditoría
Dominio Prestación de Servicios y Soporte (DS)
Proceso DS11: Administrar la información.

Objetivo de Control Verificar si existen respaldos en digital de la

información vital de clientes y procesos importantes
para la empresa.
No. Procedimiento

1 Aplicar entrevista para conocer la existencia de

respaldos de la información que usan en las gestiones
diarias.

2 Si existen respaldos, verificar que tipo de respaldos son

(digitales o físicos), si son digitales en que se
almacenan (servidor alterno, discos, memorias u otros
dispositivos externos).

12.Componente: Plan de Continuidad

Guía de Auditoría
Dominio Prestación de Servicios y Soporte (DS)
Proceso DS4: Asegurar la continuidad de servicio.

Objetivo de Comprobar la existencia de un plan de continuidad que se

Control use en casos de desastre naturales o accidentes provocados
por la naturaleza humana y que puedan detener totalmente
las operaciones de la empresa.
No. Procedimiento

1 Realizar entrevista a la encargada del área de mantenimiento

para conocer si existe un plan de continuidad para estar listos
ante un desastre natural o causado por la misma naturaleza
humana y que pueda detener totalmente las operaciones.

2 Si este plan existe, solicitar detalles del mismo y de los pasos

que se realizarían al momento de surgir un caso de estos que
pueda detener las operaciones totales de las operaciones.

María Geizzelez
 19

13.Componente: Plan de Contingencia

Guía de Auditoría
Dominio Prestación de Servicios y Soporte (DS)
Proceso DS4: Asegurar la continuidad de servicio.

Objetivo de Control Determinar si el plan de contingencia es lo

suficientemente específico o detallado para poder
continuar con las operaciones en la empresa y que
además, dicho plan este acorde a lo que la empresa
tiene en sus recursos (Si dicho plan existe).
No. Procedimiento

1 Realizar entrevista a la encargada del área de

mantenimiento, para conocer si existe un plan de
contingencia al momento de un fallo.

2 Si existe el plan de contingencia, solicitar detalles de lo

que se hace al momento de surgir un fallo que detenga
parcialmente las actividades en la empresa.

14.Componente: Plan de Mantenimiento de Hardware y Software

Guía de Auditoría
Dominio Adquisición e Implementación (AI)
Proceso AI3: Adquirir y mantener la arquitectura
tecnológica.

Objetivo de Control Revisar el plan de mantenimiento al software, si el

periodo entre cada mantenimiento es el adecuado y si
se hace el mantenimiento como se debe.

No. Procedimiento

1 Comprobar la existencia de un plan de mantenimiento

mediante entrevista a la encargada del área de
mantenimiento.

2 Si este plan existe, conocer qué tipo de plan se tiene, y

que detalles abarca el mismo para el mantenimiento de
equipos y software en general de la empresa.

María Geizzelez
 20

15.Componente: Disposición de manuales de usuario y de instalación de

los Sistemas

Guía de Auditoría
Dominio Adquisición e Implementación (AI)
Proceso AI2: Adquirir y mantener software de aplicaciones.

Objetivo de Control Revisar los manuales de usuarios de los programas

que están actualmente en uso y si estos manuales son
los más actuales.
No. Procedimiento

1 Solicitar los manuales de usuario de los sistemas que

utilizan para la gestión de servicios que la empresa
brinda.

2 Revisar los manuales para observar si son acordes a la

versión del software que se está usando.

16.Componente: Existencia de documentos de adquisición de equipos y

software y contratos legal de proveedor de Internet y red (ISP).

Guía de Auditoría
Dominio Adquisición e Implementación (AI)
Proceso AI3: Adquirir y mantener la arquitectura
tecnológica.

Objetivo de Control Verificar las compras de equipos mediante documentos

legales (facturas) y revisar el contrato de ISP (Internet
service provider) para determinar lo estipulado en el
contrato y verificar su correcto cumplimiento.

No. Procedimiento

1 Solicitar al encargado del área de mantenimiento el

registro o respaldo de facturas donde se demuestre la
adquisición de equipos, software y servicio de Internet.

María Geizzelez
 21

17.Componente: Documentación de los sistemas utilizados para los

servicios de la empresa.

Guía de Auditoría
Dominio Adquisición e Implementación (AI)
Proceso AI2: Adquirir y mantener software de aplicaciones.

Objetivo de Control Determinar si existe la documentación de los sistemas

adquiridos por la empresa y si esta posee todos los
aspectos necesarios para poder dar mantenimiento al
sistema en caso de ser necesario.

No. Procedimiento

1 Mediante la técnica de la entrevista conocer si la

empresa al adquirir un sistema obtiene la
documentación (diagramas, arquitectura, código) de
estos para poder ser modificados.

FORMALIZACIÓN

El proceso de realización de esta auditoría se acordó de manera formal con la alta

dirección de la empresa Almacenes Americanos S.A, en una reunión donde se
convino entre el gerente general y los auditores, el área a auditar, los límites y
alcances de la misma, visitas y tiempo de evaluación.

Como resultado de aplicar las técnicas y herramientas en la auditoría de TI, se

evidenciaron las siguientes situaciones:

Seguridad Lógica

Al evaluar los componentes descritos en seguridad lógica, se encontraron los

siguientes hallazgos los que se describen a continuación:

María Geizzelez
 22

Componentes:

Acceso de los usuarios a sistemas, sistemas operativos y bases de datos.

En el apartado de acceso de los usuarios a sistemas, sistemas operativos

y bases de datos, se pudo evidenciar que los usuarios tienen libre acceso
al sistema operativo de las computadoras a excepción de la computadora
del encargado, esta tiene contraseña para acceder al sistema operativo
windows y las demás no, aquí se evidenció que ninguna PC tiene
contraseña de arranque y basta con encenderla para cargar el sistema.

En cuanto al acceso de los usuarios a sistemas se encontró que en la

empresa se emplean dos sistemas de información, los que requieren
contraseña para poder acceder. El primero es el sistema proporcionado por
la Dirección General de Aduana Nicaragüense, que es el SIDUNEA
WORLD, este es un sistema online, el cual requiere obligatoriamente de
conexión a Internet para su uso, este sistema necesita de usuario y
contraseña para el acceso, los permisos de acceso son proporcionados por
la aduana a agentes aduaneros inscritos y con permiso legal otorgado por
la misma aduana.

En la empresa existen dos empleados que tienen contraseña propia para el

acceso a este sistema, los demás no tienen usuario ni contraseña y en
caso de que estos utilizaran el sistema uno de los dos usuarios que
cuentan con acceso ingresan al sistema para que ellos lo utilicen, sin
darles a ellos la contraseña y el usuario, cabe destacar que como este es
un sistema que no es de la empresa, solo se evaluó el resguardo de la
contraseña de acceso, así como la cantidad de usuarios que lo usan y las
actividades que se realizan en él, en lo cual se evidencio que este sistema
es usado por las cinco personas que laboran en el área, solamente dos de

María Geizzelez
 23

estas poseen acceso al sistema; este sistema se usa para poder registrar
hacia la Dirección General de Aduanas las declaraciones que se ingresan
en el sistema TCO que es el que la empresa utiliza para estas gestiones;
las contraseñas son manejadas exclusivamente por los agentes aduaneros
en el caso del SIDUNEA, para el TCO cada usuario tiene su contraseña y
solamente el jefe de operaciones tiene la contraseña y usuario de
administrador en el TCO.

El segundo sistema empleado es el TCO este es un sistema de gestión de

operaciones aduaneras, este sistema fue comprado a terceros, y es
administrado por el encargado de la división de operaciones. Para el
acceso a este sistema se necesita usuario y contraseña, según la
información obtenida cada empleado del área tiene su usuario y
contraseña para acceder al sistema, es decir que son cinco los usuarios
del sistema.

La aplicación correcta de los controles de acceso a los sistemas en una

empresa es vital porque aumenta la seguridad e integridad de la
información, se disminuye el riesgo de fraude y de filtración o alteración de
la información, limitando enormemente la cantidad de usuarios y
administradores de los puntos críticos de TI y mantener el control del flujo
de la información.

Acceso de los usuarios a programas y archivos

En este aspecto se obtuvo información mediante observación y entrevistas,

por lo que se pudo evidenciar que las políticas de la empresa establecen
que los trabajadores que utilizan las computadoras únicamente poseen la
potestad de hacer uso de los sistemas TCO, Sidunea World, la paquetería
de herramientas ofimáticas Office y Outlook para el uso del correo

María Geizzelez
 24

institucional. Tienen prohibido el uso de programas ajenos a la misión del

negocio.

Estas prohibiciones son informadas a los empleados de forma verbal, por

medio de la encargada de administración y del responsable del área de
operaciones, además de mantener en lugares visible rótulos con el
reglamento impreso.

Este control es sumamente importante ya que el empleador deja en claro a

los empleados cuales son responsabilidades, derechos y restricciones en la
empresa, este control mal empleado podría causar serios daños en los
equipos, software y demás elementos relacionados con TI.

Disposición de sistemas alternos en caso de fallos.

En cuanto a la disposición de sistemas alternos en caso de fallos, se

determinó que la empresa no cuenta con sistema alterno, tampoco tienen
plan de respaldo en caso de fallas en el sistema principal. Cuando existen
fallos en alguno de los sistemas de gestión aduanera recurren al proveedor
de Internet o al técnico de mantenimiento, pero esto se hace solo si existe
un fallo.

La utilización de sistemas alternos es vital para la prevención de caídas de

servicio por largos períodos de tiempo, si una empresa no tiene sistemas
alternos para funcionar en caso de que el sistema principal presente algún
inconveniente, la empresa podría detener parcial o totalmente sus
operaciones, lo que se traduce en pérdidas, las que pueden ser cuantiosas
para la empresa.

María Geizzelez
 25

Existencia de software de protección (antivirus, firewall.)

Al revisar la existencia de software de protección se encontró que el

antivirus utilizado en todos los equipos de la empresa es el Eset Nod 32
Versión 5.2.9 con licencia por un año, la licencia fue proporcionada por la
empresa subcontratada para el mantenimiento de las computadoras en la
empresa, también el firewall en uso es el firewall nativo del sistema
operativo Windows XP y en el caso de la computadora que actúa como
servidor Windows 7.

La existencia de software de protección actualizada es indispensable para

la integridad y manejo de la información de la empresa, informáticamente
hablando es importante contar con software que sea capaz de proteger la
información digital de la empresa, este software se encarga de que la
información no sea sustraída por terceros o dañada por algún software
malicioso.

Control de Acceso de los usuarios a los servicios de Internet.

Cuando se revisó el control de acceso de los usuarios a los servicios de

Internet se evidenció que solo las computadoras de los encargados de
áreas tienen acceso a Internet, las demás computadoras solo están
conectadas a la red de la empresa, pueden verse entre ellas, pero no
tienen acceso a Internet.

El acceso a Internet se restringe mediante la configuración de cada PC, en

el centro de redes de Windows se cambia las configuraciones para decidir
qué dirección IP tiene acceso y cual no, esto lo aplica la empresa de
soporte Datatex, mediante indicaciones de la alta gerencia de la empresa,
quien decide los permisos de acceso a Internet, para lo cual se toma en

María Geizzelez
 26

cuenta el cargo y función de los empleados, siendo así los jefes de

departamentos los únicos con acceso a Internet, el resto de equipo solo
tiene acceso a la red local.

Mantener el control de los permisos de acceso a internet, disminuye los

riesgos que puedan afectar la integridad de la información, además que
garantiza que la comunicación a través de dicho enlace sea utilizado para
los fines y objetivos de la empresa.

Seguridad Física

Al evaluar los componentes descritos en seguridad física, se encontraron los

siguientes hallazgos, los que se describen a continuación:

Componentes:
Control de accesos de los usuarios a los equipos.

En el control de accesos de los usuarios a los equipos informáticos, se

evidenció que solo los usuarios que trabajan en el área de operaciones
tienen acceso a los equipos, exceptuando al personal que hace
mantenimiento a los equipos, que es personal externo a la empresa.

El uso de controles para el acceso a equipos, evita la exposición tanto de la

información como de los equipos a riesgos provocados por accidentes o
acciones mal intencionadas. Dando mayores garantías de la disponibilidad
e integridad de la información.

Informes de accesos y visitas a las instalaciones.

En los informes de accesos y visitas a las instalaciones, se encontró que la

empresa no lleva registro de control de ingreso al edificio, las notificaciones
para el ingreso se hacen de manera verbal y no hay ningún soporte.

María Geizzelez
 27

Además al ingresar a la empresa no se solicita ninguna identificación

únicamente preguntan hacia donde se dirige y a quien busca, en el caso de
las personas que llegan a la empresa a realizar mantenimiento a las PC
llegan debidamente identificados a la empresa y aunque no existe un plan
de mantenimiento, la encargada del área de administración lleva un control
de lo que los técnicos realizan en cada visita, así mismo se lleva un registro
de cambio de equipos y piezas, así como del Hardware descartado.

Mantener un control de visitas y control de presencia de personal externo

en una organización, es importante porque de esta manera se mantiene un
ambiente seguro para el personal que labora en la empresa; así también se
protegen los activos, la continuidad operacional y la propiedad intelectual.

Inventario de equipos y software

En el inventario de equipos y software, se evidenció que la empresa cuenta

con un almacén donde se encuentran las computadoras y equipos
electrónicos que ya no funcionan, tienen un inventario manual de estos
equipos con un diagnóstico donde se detallan piezas dañadas y piezas en
funcionamiento, entre estos están: Pc’s, impresoras, sistemas operativos
en uso, etc.

Existe una computadora utilizada por el jefe de operaciones que su

plataforma es Windows 7, esta actúa como servidor para el sistema
aduanero TCO, este tiene un arquitectura cliente-servidor, las demás
máquinas de esta área funcionan como cliente.

Es importante tener inventario de hardware y software al día, así la

empresa tiene control directo sobre sus activos de TI y sabe exactamente

María Geizzelez
 28

con lo que cuenta, lo que almacena y lo que tiene que adquirir en caso de
alguna modificación en TI.

Revisión de la red (factor ambiental, físico y humano)

La red está compuesta por cableado plano en su mayoría, el ISP que en

este caso es Datatex, les proporciona un nodo de conexión satelital, con
una antena ubicada en la parte este de la empresa, la cual se conecta a un
router ubicado en el área de operaciones mediante un cable UTP categoría
5e, de aquí la red se divide en cuatro subredes que son, operaciones,
administración, bodega y gerencia.

La auditoría se llevó a cabo en el edificio donde se encuentran las áreas de

operaciones y administración; en el área de operaciones se encuentra el
router de la empresa, ubicado en una repisa, fuera del alcance de los
empleados, cercano al router se encuentra un tomacorriente, la conexión de
la antena hacia el router es por el exterior; en esta conexión no existe
ningún dispositivo que logre fijar y mantener la conexión estable, esto
quiere decir que el medio por el que viajan los datos (Cable UTP cat. 5e) no
está asegurado por ninguno de sus lados. En la red LAN las conexiones
(cables UTP cat. 5e) van en canaletas y por encima del cielo falso de la
oficina hasta llegar a la cercanía de las máquinas, donde se conecta
directamente al puerto de red de las PC, ninguno posee un toma de datos,
se pudo observar que el único estándar para cableado estructurado que se
cumple en el proceso de transmisión de datos es EIA/TIA 569. También se
observó que los equipos de comunicación no cuentan con las condiciones
ambientales establecidas por los estándares.

Cabe destacar que en lo que respecta a la seguridad del área mediante

cámaras de seguridad y extintores, únicamente existe un extintor por área y

María Geizzelez
 29

no hay existencia de cámaras de seguridad para la protección de sus

activos, esto es una debilidad que muestran en este aspecto.

La seguridad de la red es un factor importantes que cualquier administrador

o instalador de red debe considerar, ya que se debe garantizar la máxima
seguridad de los datos que serán transmitidos a través de ella, así como la
capacidad de transmisión que la empresa requiera, así que se deber tomar
en cuenta todos estos aspectos al momento de una revisión, la cual debe
hacerse cada cierto período de tiempo según la empresa lo considere
necesario.

Controles para la instalación y uso de dispositivos externos

En lo que se refiere a los controles para la instalación y uso de dispositivos

externos, se descubrió que la empresa tiene una fuerte política de
restricciones de uso en lo que concierne a sus equipos de informática, los
puertos USB de las computadoras están bloqueados, no está permitido el
uso de ningún dispositivo externo y si un trabajador tratara de utilizarlos,
este sería sancionado por la empresa.

Los controles para instalación de hardware y software evitan que

empleados descontentos cometan fraude, llevándose información
confidencial o que instale software innecesario.

Respaldos y planes de contingencia

Al evaluar los componentes descritos en respaldos y plan de contingencia, se

encontraron los siguientes hallazgos los que se describen a continuación:

Componentes:

María Geizzelez
 30

Respaldo de información crítica

En los respaldos de información crítica, se encontró que se maneja un

respaldo de la información de los clientes únicamente en físico, y están
resguardados en las instalaciones de la empresa, no hay respaldo
digitalizado de la información, la empresa no posee redundancia en este
apartado.

El respaldo de la información crítica, es lo más importante de TI en una

empresa, se necesita salvaguardar la información que la empresa posea,
las empresas deben ser cautelosas con su información, para asegurar que
sus operaciones no sean afectadas por accidentes o desastres. La
existencia de respaldos actualizados puede ser la solución para una pronta
recuperación de sus actividades comerciales.

Plan de Continuidad

En cuanto al plan de continuidad, la empresa no está preparada en caso de

que algún desastre natural llegara a interrumpir sus acciones, la empresa
no tiene contemplado que algo así pudiera interrumpir sus operaciones. Si
hay algún fallo general, la empresa quedaría deshabilitada, no existe un
plan de continuidad.

El plan de continuidad es necesario que sea funcional en una entidad ya

que si ocurriera algún contratiempo de fuerza mayor como un desastre
natural, la empresa no quedaría fuera de operaciones, por lo tanto no
tendría pérdidas.

María Geizzelez
 31

Plan de Contingencia

En casos de fallos de los sistemas de información el proceso que se lleva a

cabo en la empresa es: Si falla el acceso al SIDUNEA WORLD a causa de
la pérdida de conectividad a Internet, la empresa tiene convenios con
algunas empresas aduaneras a nivel nacional para poder continuar las
operaciones de la empresa, en el caso de que el TCO llegara a fallar, las
gestiones que se realizan en este sistema se realizarían manualmente.

El plan de contingencia es importante ya que si ocurriera algún fallo que

pueda interrumpir parcialmente las actividades de la empresa, la misma no
quedaría fuera de operaciones, por lo tanto no tendría perdidas.

Plan de Mantenimiento de Hardware y Software

En el plan de mantenimiento se encontró que la empresa tiene un contrato

de soporte que puede variar según la estación del año, en verano se
realiza cada 3 meses y en invierno cada 6 meses, lo que indica que el
mantenimiento se realiza 3 veces en el año, este mantenimiento se podría
considerar como un mantenimiento preventivo; el mantenimiento correctivo
solo se hace cuando alguna computadora presenta problemas; cabe
destacar que este mantenimiento lo hace una empresa subcontratada
como servicios profesionales, el mantenimiento del software solo es
correctivo, solo se hace cuando el software funciona mal, este
mantenimiento es realizado por personal externo que está contratado por la
empresa para realizar mantenimiento del software de facturación y el de
contabilidad. La empresa está clara que el mantenimiento preventivo es
esencial para el buen funcionamiento de los equipos informáticos.

Es importante conocer lo que los técnicos encargados de los

mantenimientos les hacen a las PC, para esto se necesita tener un plan de

María Geizzelez
 32

mantenimiento, así si se realiza algún cambio de técnico en la empresa,

tanto el técnico nuevo como los directivos de la empresa estarán al tanto
de lo que hacía el técnico anterior y no se tendrán futuros inconvenientes.

Documentación de Hardware y Software

Al evaluar los componentes descritos en la documentación de Hardware y

Software, se encontraron los siguientes hallazgos los que se describen a
continuación:

Componentes:

1- Disposición de manuales de usuario y de instalación de los sistemas

En la disposición de manuales de usuario y de instalación de los sistemas,

se encontró que en los dos sistemas que actualmente están en uso, que
son SIDUNEA WORLD y TCO, existe documentación. En el caso del
SIDUNEA WORLD que es un sistema gratuito que la aduana nicaragüense
proporciona, toda la documentación correspondiente a dicho sistema se
encuentra en la página gubernamental de la aduana nicaragüense, en
cuanto al sistema TCO de gestiones aduaneras, la empresa mantiene
documentación en cuanto al manual de usuario, pero no mantiene ni los
instaladores, ni el manual de instalación, esto se debe a que la adquisición
del software no ha sido concretada y por el momento el proveedor de dicho
software ha llegado a la empresa únicamente a instalar el software y a dejar
el manual de usuario.

Es importante para el administrador del sistemas como para los usuarios

tener documentación de los sistemas de información, porque así es más
fácil capacitar a los usuarios en el uso correcto y eficiente del software con
ayuda del manual de usuario, al igual que si se requiere de instalarlo
nuevamente se debe contar con un manual para que la instalación termine
con éxito.

María Geizzelez
 33

2- Existencia de documentos de adquisición de equipos y software y contratos

legal de proveedor de Internet y red (ISP).

Al comprobar la existencia de documentos de adquisición de equipos y

software y contratos legales de ISP, se encontró que la empresa cuenta
con la documentación, resguardados por el área contable, en cuanto al
contrato de ISP no fue mostrado solo se sabe que se contrató el ancho de
banda y que el proveedor es Datatex. En cuanto al proveedor de equipos
informáticos se conoció que la empresa trabaja siempre con la empresa
COMTECH.

La implementación de este control en la empresa es importante, porque es

necesario que la empresa posea los documentos legales de adquisición de
equipos, ya que si se presenta algún defecto en algún equipo nuevo se
debe tener la cobertura de la garantía, así como para posibles auditorías o
investigaciones, con lo cual se pueda corroborar la adquisición legal de los
equipos.

3- Documentación de los sistemas utilizados para los servicios de la empresa

En cuanto a la documentación de los sistemas utilizados para los servicios

de la empresa, se evidenció que la empresa no posee documentación, esto
se debe a que los sistemas utilizados por la empresa, son sistemas
enlatados, es decir sistemas comprados y desarrollados por terceros, cabe
destacar que la compra del sistema TCO aún no es total, solo se ha
comprado la utilización del software, no se ha comprado los derechos de
modificación del código del mismo, por lo tanto la empresa no posee la
documentación, diagramas y jerarquías del software.

María Geizzelez
 34

La falta de documentación de los sistemas en una empresa se podría

traducir como un manejo ineficiente de los sistemas, por lo tanto no se
podría explotar a toda su capacidad el software.

María Geizzelez
 35

Informe de Auditoría

OBJETIVO

Realizar valoración de los resultados obtenidos en el proceso de auditoría en

seguridad, aplicado a la empresa Almacenes Americanos S.A.

ALCANCE

La realización de esta auditoría se llevó a cabo en la empresa Almacenes

Americanos S.A, en un período de 60 días, en el cual se abordó la evaluación del
área de operaciones de la empresa, que como se explicó anteriormente es el área
donde se llevan a cabo los procesos informáticos de la entidad. Se evaluó
seguridad física, seguridad lógica, respaldos de datos, planes de mantenimiento,
contingencia y continuidad, así como la documentación general y específica sobre
equipos, sistemas y software utilizado en la empresa.

Debido al acuerdo entre la gerencia de la empresa y los auditores, no se evaluó

mediante pruebas sustantivas la seguridad de la red y los sistemas de
información, ya que para ellos, esto podría dar lugar a que los auditores tuvieran
acceso a información valiosa y confidencial de la empresa; por la razón antes
mencionada solamente se verificó el cumplimiento de las normativas
internacionales en seguridad, las que se comprobaron generalmente utilizando la
información obtenida en las entrevistas, cuestionarios y mediante la observación.

María Geizzelez
 36

SITUACIÓN OBSERVADA (HALLAZGOS) Y

RECOMENDACIONES

Área: Seguridad Lógica

Nombre del Componente: Acceso de los usuarios a sistemas, sistemas

operativos y bases de datos.
Hallazgo: No existe validación alguna para acceder al Sistema
Operativo o a los archivos de las Pc’s, a excepción de
la PC del encargado de Operaciones, la empresa no
cuenta con base de datos de ningún tipo.
Recomendación: Se recomienda poner contraseñas en el inicio del
sistema operativo y en el BIOS de cada PC,
actualmente no se cuenta con una base de datos en la
empresa, pero al implementarse lo recomendable es
tener un administrador que sea el responsable de la
contraseña de la BD.

Nombre del Componente: Acceso de los usuarios a programas y archivos.

Hallazgo: No existe ninguna validación de usuario en las PC, se
puede tener acceso a cualquier archivo sin necesidad
de usuario y contraseña, también cada PC es usada
por más de un usuario.
Recomendación: Se recomienda que los archivos estén cifrados para
los usuarios que no tienen acceso a ellos, poniendo
contraseña a carpetas en Pc’s donde se maneje
información delicada de la empresa.

María Geizzelez
 37

Nombre del Componente: Disposición de sistemas alternos en caso de fallos.

Hallazgo: Falta de un servidor para el sistema TCO, el que está
instalado en una PC con mayores requerimientos que
las demás Pc’s para poder funcionar como servidor.
Recomendación: Se recomienda mantener un sistema en caso de
fallos, un sistema menos potente pero que trabaje
similar al TCO ya que ese es el sistema de aforo.

Área: Seguridad Física

Nombre del Componente: Control de accesos de los usuarios a los equipos.

Hallazgo: Solo los trabajadores del área de operaciones tienen
acceso a los equipos de esta misma área.
Recomendación: Se recomienda mantener una lista para el control de
quien acceda a los equipos, así como tener una lista
de los usuarios autorizados de los equipos y el horario
en el que estos tienen derecho a ocupar los equipos,
en una mejor instancia mantener un control
electrónico por medio de tarjetas que identifiquen a los
empleados según cargo.

Nombre del Componente: Informes de accesos y visitas a las instalaciones.

Hallazgo: No existe un control tangible de quienes entran o
salen del área de operaciones, que es donde se
encuentran los procesos más críticos de la empresa,
para poder entrar se necesita la autorización del
gerente, pero el control es verbal, no se lleva registro o
documentación de visitas, para acceder al centro.
Recomendación: Se recomienda establecer un horario de visita a las
instalaciones y mantener un control de parte del
encargado para poder ingresar, así como revisión de

María Geizzelez
 38

las personas que quieran ingresar a las instalaciones,

además del permiso del gerente, para que exista
constancia física o digital de que personas entraron a
las instalaciones y a qué hora.

Nombre del Componente: Inventario de equipos y software

Hallazgo: Falta de automatización de algunos procesos que
podrían ser más rápidos y menos tediosos, como es el
inventario de los equipos dados de baja y puestos en
bodega, el control de estos se lleva a mano.
Recomendación: Se recomienda que el inventario se lleve de manera
digitalizada, actualmente se lleva de manera física,
pero es más eficiente de manera digital, alojando todo
el inventario en una pequeña BD en un servidor.

Nombre del Componente: Revisión de la red (Factor ambiental, Físico y

humano).
Hallazgo: El cableado proporcionado por el ISP (Internet Service
Provider) que en este caso es Datatex, que conforma
la red entera posee muy poca estandarización, el
cableado instalado es meramente plano compuesto
casi en su totalidad por cable UTP cat. 5e.
Recomendación: Se recomienda mejorar las condiciones del cable de
red que conecta la antena satelital al router de la
empresa, para que este no este suelto, se pretende
que esto se realice por medio de cintas de seguridad,
amarradas en la antena, también se recomienda
cumplir con la norma de la ISO y mantener las
conexiones y equipos de telecomunicaciones a más

María Geizzelez
 39

de 10 metros de distancia.

Área: Respaldos y Planes de Contingencia

Nombre del Componente: Respaldo de Información crítica.

Hallazgo: Falta de digitalización de sus documentos, existe
respaldo solo en físico, por lo tanto, no están
preparados para ninguna eventualidad.
Recomendación: Se recomienda comprar un servidor para poder
almacenar los datos críticos en una base de datos.

Nombre del Componente: Plan de continuidad.

Hallazgo: Carecen de planes de reanudación de operaciones y
planes en caso de desastres. Como se puede
observar esto es un punto de debilidad en la empresa
porque mediante estos se asegura que la empresa
seguirá ofreciendo su servicio sin importar las
condiciones.

Recomendación: Se recomienda crear planes en caso de fallas

parciales o totales de los sistemas de la empresa,
para poder garantizar el seguimiento de operaciones
para la misma. Además se recomienda contar con un
plan de contingencia para poder recuperar y reanudar
sus operaciones sin importar los acontecimientos.

Nombre del Componente: Plan de Contingencia.

Hallazgo: Carecen de planes de reanudación de operaciones y
planes en caso de fallo total o parcial de sus sistemas
Como se puede observar esto es un punto de

María Geizzelez
 40

debilidad en la empresa porque mediante estos se

asegura que la empresa seguirá ofreciendo su
servicio sin importar las condiciones.

Recomendación: Se recomienda tener un plan de mantenimiento, para

mantener informado al personal encargado las tareas
a realizar, para que tanto directivos como demás
gente involucrada en el mantenimiento esté enterada
de lo que se hace y se cercioren de que el
mantenimiento se realiza de manera adecuada y a
como establece el plan para mantener control y
orden.

Nombre del Componente: Plan de Mantenimiento de Hardware y Software.

Hallazgo: No se cuenta con un plan sólido de mantenimiento de
hardware, se realiza 3 veces durante el año, de dos
maneras preventivas y correctivas y el de software
solo de manera correctiva, ambos realizados por
terceros.
Recomendación: Se recomienda la creación formal de un plan de
mantenimiento y establecer los procedimientos de las
tareas a realizar. Planes y procedimientos que
deberán ser dados a conocer a todos los empleados,
a cerca del correcto uso de los equipos informáticos,
para optimizar los servicios de mantenimiento
contratados por la empresa, además se recomienda
llevar un registro detallado de las actividades que se
realizan en cada tarea.

María Geizzelez
 41

Área: Documentación de Hardware y Software

Nombre del Componente: Documentación de los sistemas utilizados para los

servicios utilizados para los servicios de la empresa.
Hallazgo: No existe ninguna documentación en cuanto a
diagramas y/o esquemas de los servicios utilizados por
la empresa, de red o de software.

Recomendación: Se recomienda a la empresa diagramar y

esquematizar el software que posea, así mismo
realizarlo con su red en uso.

María Geizzelez
 42

María Geizzelez