Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 1K vistas

    Propuesta de Auditoria en Sistemas en

    Cargado por

    Bibiana Andrea ALVARADO SANABRIA
    El documento propone servicios de auditoría en sistemas a Consorcio Regency S.A. por un período de 3 meses. La auditoría evaluará la seguridad física, políticas de uso y seguridad de activos de los sistemas conectados a la red interna. El equipo auditor estará conformado por 3 personas durante un máximo de 2 meses. Los honorarios serán de $25,000 por hora de trabajo, para un total estimado de $3,000,000 mensuales.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Propuesta de Auditoria en Sistemas en

    Cargado por

    Bibiana Andrea ALVARADO SANABRIA
    1K vistas5 páginas
    El documento propone servicios de auditoría en sistemas a Consorcio Regency S.A. por un período de 3 meses. La auditoría evaluará la seguridad física, políticas de uso y seguridad de activos de los sistemas conectados a la red interna. El equipo auditor estará conformado por 3 personas durante un máximo de 2 meses. Los honorarios serán de $25,000 por hora de trabajo, para un total estimado de $3,000,000 mensuales.

    Descripción original:

    Título original

    PROPUESTA DE AUDITORIA EN SISTEMAS EN

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El documento propone servicios de auditoría en sistemas a Consorcio Regency S.A. por un período de 3 meses. La auditoría evaluará la seguridad física, políticas de uso y seguridad de activos de los sistemas conectados a la red interna. El equipo auditor estará conformado por 3 personas durante un máximo de 2 meses. Los honorarios serán de $25,000 por hora de trabajo, para un total estimado de $3,000,000 mensuales.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    1K vistas5 páginas

    Propuesta de Auditoria en Sistemas en

    Cargado por

    Bibiana Andrea ALVARADO SANABRIA
    El documento propone servicios de auditoría en sistemas a Consorcio Regency S.A. por un período de 3 meses. La auditoría evaluará la seguridad física, políticas de uso y seguridad de activos de los sistemas conectados a la red interna. El equipo auditor estará conformado por 3 personas durante un máximo de 2 meses. Los honorarios serán de $25,000 por hora de trabajo, para un total estimado de $3,000,000 mensuales.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    de 5

    PROPUESTA DE AUDITORIA EN SISTEMAS CONSULTORES Y AUDITORES INTEGRALES FUTURO S.A.

    Puerto Boyacá, 28 demarzo de 2021

    Consorcio Regency S.A

    (Puerto Boyaca)

    Asunto: Hallazgos de servicios de Auditoria en Sistemas

    Atendiendo su amable invitación, me place presentar mi propuesta de servicios profesionales de la


    firma de auditor en sistemas, para el período (1 de abril/2021 al 30 de junio /2021), en los
    siguientes términos:

    Alcance La auditoría se realizará sobre los equipos de cómputo que estén conectados a la red
    interna de la empresa.

    Objetivo Tener un panorama actualizado de los sistemas de información en cuanto a la seguridad


    física, las políticas de utilización, transferencia de datos y seguridad de los activos.

    Recursos El número de personas que integraran el equipo de auditoria será de tres, con un tiempo
    máximo de ejecución de 2 meses.

    Requerimiento de información básica una semana antes del comienzo de la auditoria se envía un
    cuestionario a los responsables de las distintas áreas de la empresa. El objetivo de este
    cuestionario es saber los equipos que usan y los procesos que realizan en ellos. Este cuestionario
    se deberá distribuir a los distintos empleados con acceso a los computadores, para que también lo
    completen. Es importante también reconocer y entrevistarse con los responsables del área de
    sistemas de la empresa para conocer con mayor profundidad el hardware y el software utilizado.

    Se evaluará la forma de adquisición de nuevos equipos o aplicativos de software. Los


    procedimientos para adquirirlos deben estar regulados y aprobados en base a los estándares de la
    empresa y los requerimientos mínimos para ejecutar los programas base. Dentro de los riesgos
    posibles, también se contemplarán huecos de seguridad del propio software y la correcta
    configuración o actualización de los equipos críticos como el cortafuegos.

    Objetivos de control se evaluarán la existencia y la aplicación correcta de las políticas de


    seguridad, emergencia y disaster recovery de la empresa. Se hará una revisión de los manuales de
    política de la empresa, que los procedimientos de los mismos se encuentren actualizados y que
    sean claros. Debe existir en la Empresa un programa de seguridad, para la evaluación de los
    riesgos que puedan existir, respecto a la seguridad del mantenimiento de los equipos, programas y
    datos.
    Determinación de los procedimientos de control: Se determinarán los procedimientos adecuados
    para aplicar a cada uno de los objetivos definidos en el paso anterior.

    Objetivo N 1: Existencia de normativa de hardware.

     El hardware debe estar correctamente identificado y documentado.


     Se debe contar con todas las órdenes de compra y facturas con el fin de contar con el
    respaldo de las garantías ofrecidas por los fabricantes.
     El acceso a los componentes del hardware esté restringido.
     Se debe contar con un plan de mantenimiento y registro de fechas, problemas, soluciones
    y próximo mantenimiento propuesto.
     Inventario de equipos

    Objetivo N 2: Política de acceso a equipos.

     Software, no debe haber modificación a la base de datos


     Cada usuario deberá contar con su nombre de usuario y contraseña para acceder a los
    equipos.
     Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y alternando
    mayúsculas y minúsculas).
     Los usuarios bloquearan después de 5 minutos sin actividad.
     Los nuevos usuarios deberán ser autorizados mediante contratos de confidencialidad y
    deben mantenerse luego de finalizada la relación laboral.
     Uso restringido de medios removibles (USB, CD-ROM, discos externos, celulares
    personales).

    Pruebas a realizar. Son los procedimientos que se llevaran a cabo a fin de verificar el
    cumplimiento de los objetivos establecidos. Entre ellas podemos mencionar las siguientes
    técnicas:

     Tomar 3 equipos de cómputo al azar y evaluar la dificultad de acceso a las mismas.


     Intentar sacar datos con un dispositivo externo.
     Facilidad de accesos a información de confidencialidad (usuarios y claves).
     Verificación de contratos.
     Comprobar que luego de 5 minutos de inactividad los usuarios se bloqueen.

    Obtención de los resultados. En esta etapa se obtendrán los resultados de la aplicación de los
    procedimientos de control y las pruebas realizadas a fin de poder determinar si se cumple o no
    con los objetivos de control antes definidos. Los datos obtenidos se registrarán en planillas
    realizadas a medida para cada procedimiento a fin de tener catalogado perfectamente los
    resultados con el objetivo de facilitar la interpretación de los mismos y evitar interpretaciones
    erradas.
    Hallazgos

    Objetivo N 1: Existencia de normativa de hardware

     El hardware se encuentra correctamente identificado, documentado en libros como es el


    caso del libro de novedades del sistema donde los técnicos registran con fecha y hora
    cualquier eventualidad con los equipos.
     Se cuenta con todas las órdenes de compra y facturas y se verifican que los equipos
    tengan las garantías ofrecidas por los fabricantes.
     El acceso a los componentes del hardware esté restringido.
     Se cuenta con un con un plan de mantenimiento con su debido registro fotográfico,
    fechas, problemas, soluciones y próximo mantenimiento propuesto.
     El Inventario de equipos, con la novedad de una cámara del cuarto de sistemas fuera de
    funcionamiento la cual esta debidamente documentada el libro de novedades del sistema
    en el folio 103 tomo 23 del día 16/03/2021 y tiene un mantenimiento programado para el
    prox. 30/03/2021 por la empresa Montajes y Eléctricos JIRETH

    Pruebas realizadas.

     Se toman 3 equipos de cómputo al azar se evaluar la dificultad de acceso a las


    mismas, se evidencia que sin los usuarios no se puede acceder a los aplicativo.
     Se intenta sacar datos con un dispositivo externo pero los puertos USB se encuentran
    bloqueados.
     No hay acceso a información de confidencialidad. Se evidencia una funcionaria
    recaudadora que ingreso a laborar el día 26/03/2021 y no tiene clave ni usuario de
    acceso a los PC de casetas de recaudo y labora con el usuario de otra funcionaria. se
    recomienda hacer esta solicitud al área de soporte lo más pronto posible
     Luego de 5 minutos de inactividad los usuarios se bloqueen, se evidencia funcionarios
    que no cierras los aplicativos cualquiera puede acceder a la información antes de que
    se bloquee, se recomienda dar retroalimentación a los funcionarios sobre la
    importancia de proteger la información de la organización.
    Conclusiones y Comentarios:

    Respecto a los temas de los aplicativos objetos de nuestra evaluación, es muy favorable contar con
    sistemas de información que permiten a las claras cumplir con los objetivos de cada área y
    particularmente con aspectos de gestión documental dado el hecho que se cuenta con sistemas de
    gestión que organizan de buena manera las operaciones a nivel transversal en la entidad.

    Por otra parte, en temas que resultan transversales a la entidad y por la naturaleza de la misma, la
    información sensible que aquí se es fundamental seguir trabajando en los proyectos que
    involucren los aspectos reglamentarios y de cumplimiento como son la Ley de Protección de
    Datos, Ley de Transparencia, pero particularmente los aspectos de Seguridad de la Información
    SGSI. Aunque hay temas que deben generar planes de acción al corto plazo, no se pueden dejar de
    implementar, en particular temas relacionados con los accesos a las bases de datos, segregación
    de funciones, gestión del conocimiento, comprobación de la efectividad de las copias de respaldo,
    entre los más importantes.
    Honorarios profesionales y forma de pago

    Por nuestros servicios como firma de auditores la empresa pagará honorarios a la tarifa de
    (25.000$) por hora neta de trabajo. Calculando tres visitas a la semanal de (8) horas serían
    (3.000.000$) mensuales. El valor de esta cotización podría variar según la cantidad de horas de
    visita necesarias.

    Por tratarse de honorarios, esta remuneración no causará prestaciones sociales ni aportes


    parafiscales y de seguridad social a cargo de la empresa.

    El pago se hará dentro de los primeros cinco días calendario del mes siguiente al de la prestación
    de los servicios, previa presentación de la correspondiente cuenta de cobro.

    Con gusto atenderé sus observaciones.

    Adjunto hoja de vida.

    Atentamente,

    CONSULTORES Y AUDITORES INTEGRALES FUTURO S.A.


    Regina Malagón
    Contador Publico
    Tarjeta profesional n.° 2183952-T
    Puerto Boyaca, 26 de febrero de 2021
    Tel 321 576 3518 – 311 2511452

    También podría gustarte