Imprimir Sistemas

Descargar como docx, pdf o txt
Descargar como docx, pdf o txt
Está en la página 1de 18

Hecho por..

Fecha.
Supervisado por.
Fecha.
.
EMPRESA GO WORK S.R.L.
MEMORANDUM DE PLANIFICACION DE AUDITORIA
AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA DEL SISTEMA DE
INFORMACIN
El presente Memorndum de Planificacin de Auditoria, fue elaborado, revisado,
aprobado, ledo y emitido por:
FIRMA FECHA
NOMBRES CARGO

Elaborado por:

Lic.Lizeth Zanga Lpez


Auditora Snior ..
Revisado por:

Lic. Escarlem Lamas Salazar


Auditor .
Aprobado por:

Lic. Roxana Pucho Noa


Auditor Junior ..
Ledo por:

Lic. Sandra Taricayo


Supervisor ..
Emitido por:

Lic.Yoselin Daniela Terrazas Romero


Asistente ..
Hecho por..
Fecha.
Supervisado por.
Fecha.
.
EMPRESA GO WORK S.R.L.
MEMORANDUM DE PLANIFICACION DE AUDITORIA
AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA DEL SISTEMA DE
INFORMACIN

ANTECEDENTES

Durante la historia de las seguridades el concepto de seguridad ha incrementado su


importancia, ya que da con da abarca diferentes aspectos de las actividades
cotidianas y sin duda alguna, su influencia en las instituciones es de suma importancia
debido a los altos ndices de vulnerabilidad y daos ocasionados por la falta de cultura
al tema de la seguridad la que provoca un aumento en los niveles de riesgo, la
seguridad de la informacin tiene un efecto significativo respecto a su privacidad, su
evolucin ha sido considerable en el campo de la informacin, organizaciones y para el
hombre y la informacin constituye un activo ms de las organizaciones y en muchos
casos, un elemento ms de ventajas competitivas, por lo que debe de protegerse
mediante las polticas, procedimientos y planes adecuados de seguridad.
La seguridad fsica son los mecanismos generalmente de prevencin y deteccin
destinados a proteger fsicamente cualquier recurso del sistema que abarcan desde un
simple teclado hasta una cinta de backup con toda la informacin que hay en el sistema
pasando por la propia CPU de la mquina.
La seguridad lgica se refiere a la seguridad en el uso del software y los sistemas de
proteccin de los datos, procesos y programas, as como la del acceso ordenado y
autorizado de los usuarios de la informacin involucrando todas aquellas medidas
establecidas por la administracin para minimizar los riesgos de seguridad asociados
con sus operaciones cotidianas llevadas a cabo utilizando la tecnologa de la
informacin.
Hecho por..
Fecha.
Supervisado por.
Fecha.
.
OBJETIVO GENERAL
Verificar y evaluar el uso y las buenas prcticas de las tecnologas de las la informacin
para la comodidad del cliente la Auditoria pretende identificar si cumple con los
procesos de certificacin de la ISO 2000 de la empresa GO WORK
- Gestin de la continuidad y disponibilidad de servicio.
- Gestin de incidencias y peticiones de servicios.
- Gestin de la seguridad de la informacin.

OBJETIVOS

Usuario
Mejorar y gestionar la calidad de los servicios para satisfacer las necesidades
de los usuarios mediante el uso de la tecnologa de la informacin (Tics).

Base de datos
Resguardar la informacin obtenida de la empresa a travs de contraseas y
otros procedimientos para limitar y detectar cualquier intento de acceso no
autorizado a la informacin de la empresa.

Redes y telecomunicaciones
Obtener conocimientos cientficos y tecnolgicos de comunicacin entre
computadoras que nos permiten compartir la informacin en las dems
computadoras brindndonos informacin a los usuarios. Donde con la
telecomunicacin proporcionremos la capacidad y los elementos necesarios
para obtener intercambio de informacin ya sea en forma voz, datos, vdeos, etc.
Buscando satisfaccin del cliente.

Hardware
Verificar si la empresa cuenta con mecanismos de proteccin, tanto como
seguridad fsica y lgica del computador.

Software
Verificar si la empresa cuenta con medidas de seguridad para sus sistemas,
adems de una persona encargada para su seguridad.
Hecho por..
Fecha.
Supervisado por.
Fecha.
.
ALCANCE DE LA AUDITORIA
Nuestro examen se efectuar de acuerdo a la Norma ISO 20000 y comprender del 1
de noviembre de 2017 al 21 de noviembre del 2017, en el que se tomara en cuenta el
proceso de gestin de seguridad de la informacin.

NORMAS Y PRINCIPIOS
Norma ISO 20000
Cdigo penal 1768
Ley 174 ley general de telecomunicaciones.

INFORMACION SOBRE LOS ANTECEDENTES, OPERACIONES DE LA EMPRESA Y


SU RIESGO INHERENTE.

NATURALEZA Y ACTIVIDAD DE LA EMPRESA

Go Work Smart Business abri en Santa Cruz la primera oficina compartida para el
trabajo colaborativo inteligente en Bolivia, un espacio de 100 % equipado que permite
ahorrar entre un 20 y 30 % en sus costos de operacin.
La compaa apuesta por revolucionar la forma de hacer negocios en el pas, desde el
predio de 600 metros cuadrado que posee en la zona de equipetrol de la ciudad de
Santa Cruz de la Sierra.
GO WORK trae a Bolivia una innovadora tendencia que est creciendo
exponencialmente en el mundo: el modelo de coworking, de oficinas compartidas,
afirmo Jos Luna, gerente general de dicha empresa.
Hecho por..
Fecha.
Supervisado por.
Fecha.
.
ESTRUCTURA ORGANICO-FUNCIONAL DEL AREA INFORMATICA

La estructura orgnico- funcional del rea informtica de la empresa es el cuerpo del


sistema y como est funcionando la empresa GO WORK en cuanto a las polticas
dentro de ella.

PRESUPUESTO DE TIEMPO
COMISION PLANIFICA EJECUTA INFORMA TOTAL
Jefe comisin 40 Horas 30 Horas 70 Horas
Supervisor 436 Horas 50 Horas 70 Horas 556 Horas
Asistente 1 150 Horas 150 Horas
Asistente 2 200 Horas 200 Horas
Asesor Legal 24 Horas 24 Horas

TOTAL 500 Horas 400 Horas 100 Horas 1000 Horas


Hecho por..
Fecha.
Supervisado por.
Fecha.
.
PROGRAMA DE AUDITORIA

OBJETIVO:
Verificar y evaluar el uso y las buenas prcticas de las tecnologas de la informacin
para la comodidad del cliente la Auditoria pretende identificar si cumple con los
procesos de certificacin de la ISO 2000 de la empresa GO WORK
- Gestin de la continuidad y disponibilidad de servicio.
- Gestin de incidencias y peticiones de servicios.
- Gestin de la seguridad de la informacin.

PROCEDIMIENTOS DE AUDITORIA REF P/T HECHO SUPERVISADO


POR POR
Solicite toda la informacin del proceso de
gestin de disponibilidad del servicio de la
empresa GO WORK.
Disee el cuestionario del control interno con
aplicacin de la Norma ISO 20000, obtenida
la respuesta seleccione las positivas y
negativas de las pruebas realizadas.
Elabore la planilla de deficiencia de las
evidencias negativas y verificar si fueron
corregidas.
Realice un informe de Auditoria en base a los
puntos anteriores.
Archivar los legajos respectivos.
Hecho por..
Fecha.
Supervisado por.
Fecha.
.
CUESTIONARIO
AREA AUDITADA: Garantizar el buen uso de las Tics
Nro. PREGUNTAS SI NO N/A OBSERVACIONES
1 La empresa posee sistemas informticos? X
2 Existe algn mtodo de valuacin para garantizar la
seguridad de los sistemas?
X
3 Existen Licencias de software actualizadas para todos La empresa cuenta
los sistemas informticos? con licencia, pero no
X
est actualizada.
4 Existen planes de capacitacin y evaluacin de los
equipos informticos contra incendios?
X
5 Existe una caja de seguridad para guardar la
informacin en caso de siniestro?
X
6 Existe restricciones de acceso al sistema y a la
informacin para evitar el ingreso de personas ajenas a
X
la empresa?
7 Existe una adecuada Administracin de llaves
criptogrficas para asegurar la proteccin de las
X
mismas?
8 Los usuarios poseen perfiles e identificacin
relacionada con la emisin y suspensin de cuentas de
X
usuario?
9 El sistema de la empresa cuenta con un plan de
contingencia?
X
10 Existe una persona encargada de la seguridad de la
base de datos?
X
11 Se monitorea el acceso a la base de datos de la
empresa, para evitar el ingreso de personas ajenas a la
X
empresa?
12 El sistema de la empresa cuenta con licencia del X
servidor?
13 Se hace el mantenimiento regularmente al hardware
de la empresa? X
14 La empresa cumple con los controles preventivos para
el departamento de sistemas?
X
15 Se ha prohibido a los operadores el consumo de Si se ha prohibido
alimentos y bebidas en el interior del departamento de pero no estn
X
cmputo para evitar daos en el equipo? cumpliendo con lo
acordado
Hecho por..
Fecha.
Supervisado por.
Fecha.
.

CONFIGURACIN DEL HARDWARE


La configuracin del hardware depende de 3 factores: cuanta capacidad de
procesamiento requiere la implementacin, cuanto rendimiento de entrega es necesario
y donde se est implementando la instancia. Si se trata de una aplicacin de
notificaciones pequea que se encuentran totalmente detrs de un firewall, podra
Hecho por..
Fecha.
Supervisado por.
Fecha.
.
decidir ejecutar Microsoft SQL Server Notification Services, las bases de datos y las
aplicaciones medianas o grandes se benefician de las configuraciones de varios
servidores. Si las aplicaciones son muy grandes, se pueden distribuir en varios
servidores, y aquellas que requieran una disponibilidad muy elevada pueden utilizar el
clster de conmutacin por error.

CONFIGURACIN DEL SOFTWARE


La instalacin de los programas computacionales (software) es el proceso fundamental
por el cual los nuevos programas son transferidos a un computador con el fin de ser
configurados, y preparados para ser desarrollados. Un programa recorre diferentes
fases de desarrollos durante su vida til.
Programador: esto sirve para poder programar:
Desarrollo: cada programador necesita el programa instalado, pero con las
herramientas, cdigo fuente, banco de datos, etc., para modificar el programa.
Prueba: antes de la entrega al usuario, el software debe ser sometido a pruebas.
Esto se hace en caso de software complejo, en una instalacin.
Produccin: para ser utilizado por el usuario final.
En cada una de esas fases la instalacin cumple diferentes objetivos. El programa sirve
para sealar un guion o un archivo ejecutable.

CONTROL INTERNO
Este proceso es ejecutado por el consejo de directores, la administracin y todo el
personal de la Empresa La Esperanza S.R.L. diseado para proporcionar una
seguridad razonable con miras a la consecucin de objetivos en las siguientes reas:
Efectividad y eficiencia en las operaciones
Confiablidad en la informacin
Cumplimiento de la leyes y regulaciones aplicables

El control interno tiene como objetivo:


Proteger los recursos de la empresa evitando perdidas por fraudes o negligencias.
Asegurar la exactitud y veracidad de los datos que se manejan en la empresa los
cuales son utilizados por la direccin para la toma de decisiones.
Hecho por..
Fecha.
Supervisado por.
Fecha.
.
Promover y evaluar la seguridad, la calidad y la mejora continua.
Garantizar la eficacia, eficiencia y economa en todas las operaciones.
Velar porque la empresa disponga de procesos de planeacin y mecanismos
adecuados para el diseo y desarrollo organizacional.

Metodologa

El examen ser ejecutado aplicando la metodologa establecida en las siguientes


etapas:

De planificacin.- En esta fase, obtuvimos conocimiento sobre las operaciones de los


sistemas, informacin y documentacin que ser objeto de la auditoria.

Sobre la base de dicha informacin obtenida se planificara la auditoria y se elaboraran


los correspondientes programas de trabajo para el cumplimiento de los objetivos de la
auditoria.

Ejecucin.- Etapa en la que, a partir de la aplicacin de los procedimientos descritos en


los programas de trabajo para verificar la seguridad de los sistemas de informacin, se
obtendr y evaluara la evidencia competente y suficiente, de tal forma que los hallazgos
de auditoria puedan estar debidamente sustentados.

Comunicacin de resultados.- Sobre la base de los resultados que se obtengan de la


aplicacin de los programas de trabajo, se elaborara el informe en el que se reportaran
los hallazgos de auditoria.

1.1. Principales responsabilidades con relacin a la emisin de informes


Hecho por..
Fecha.
Supervisado por.
Fecha.
.

Nuestra responsabilidad, es emitir una opinin independiente sobre la seguridad de los


sistemas de informacin de la Empresa LA ESPERANZA S.R.L., y en lo que respecta a
la confidencialidad, integridad y disponibilidad de la informacin que se maneja dentro
de la empresa y sus sistemas.

En caso de evidenciarse, la ausencia de polticas y controles en el rea de sistemas de


informacin, o el deficiente funcionamiento de controles en las operaciones
relacionadas con el objeto de auditora, emitiremos un informe que
incluya recomendaciones para mejorar el control interno existente en los procesos
mencionados.

1.2. Actividades y fecha de mayor importancia

A continuacin se detallan las fechas de mayor importancia, relacionadas con la


planificacin, ejecucin y finalizacin de nuestra auditora:

Auditora Especial
Actividades
Inicio Finalizacin
Inicio de la auditora 16/05/17 -
Planificacin (*) 16/05/17 17/05/17
Ejecucin (*) 18/05/17 27/05/17
Emisin de informe(s) (*) 27/05/17 28/05/17
(*) Las fechas establecidas son tentativas y han sido determinadas en base al desarrollo
de tareas en condiciones normales. Situaciones extraordinarias (motivadas interna o
externamente) pueden alterar el cronograma previsto precedentemente.

2. AMBIENTE DEL SISTEMA DE INFORMACION


Hecho por..
Fecha.
Supervisado por.
Fecha.
.
Con relacin al objeto de auditora de la Empresa LA ESPERANZA S.R.L.,
correspondiente a las gestin 2017 para el registro de sus movimientos contables,
presupuestarios y patrimoniales, cuenta con un Sistema de contabilidad llamado SIC
JAC, este sistema le permite emitir los estados financieros bsicos y complementarios
como ser:

Balance general
Estado de resultados
Estado de evolucin del patrimonio
Estado de flujo de efectivo

Con respecto a objeto de auditora en el rea de sistemas se cuenta tambin con los
comprobantes de egreso, comprobantes de traspaso, comprobantes diarios, informes
de inventario, control de personal, libro de compras y ventas, bancarizacin. As
tambin existe documentacin administrativa que tiene relacin con pagos o egresos,
comunicaciones internas, oficios de solicitud de pagos, informes, cheques, facturas y
otros.

3. AMBIENTE DE CONTROL

Tomando en cuenta la particularidad del examen que se trata de una auditora de


sistemas sobre la seguridad informtica fsica y lgica, la Empresa LA ESPERANZA
S.R.L. al no contar con Manual de Organizacin y Funciones y Manual de
procedimientos y ser una empresa relativamente nueva en el mercado, los
trabajadores no demostraron una actitud y compromiso positivo para facilitar la
informacin objeto de la auditora, pero es necesario efectuar la evaluacin del
ambiente de control, se evidencia que hay poco control respecto a la informacin
manejada por la empresa, en todo caso el sistema es abierto y permite modificaciones
por parte de los encargados del rea.
Hecho por..
Fecha.
Supervisado por.
Fecha.
.
4. ENFOQUE DE AUDITORIA ESPERADO

Considerando la naturaleza de las operaciones a examinar, los riesgos determinados y


los objetivos de la auditora, el enfoque de la misma ser de carcter sustantivo,
orientados bsicamente a emitir una opinin independiente sobre la seguridad de los
sistemas de informacin de la Empresa LA ESPERANZA S.R.L., durante la gestin
2017.

A este efecto, en funcin del objetivo de la auditora, en el respectivo programa de


trabajo, se han diseado procedimientos considerando los siguientes problemas,
factores de riesgo y enfoque de auditora:

Relacin
Factores de Enfoque de
Problemas con el
Riesgo Auditoria
objetivo
1. Durante las gestiones1. Que la informacin1. Se verificaran los (1)
2016 - 2017 se ha extrada de la sistemas de
evidenciado que no Empresa no sean informacin para
existe una poltica de confidenciales para asegurar la
control de los sistemas personas a las que restriccin a
informticos. no compete cierta personal no
informacin. autorizado y se
pretender
implementar
polticas de
seguridad y manejo
de informacin.
.
Hecho por..
Fecha.
Supervisado por.
Fecha.
.
5. TRABAJO REALIZADO POR LA UNIDAD DE AUDITORIA INTERNA O FIRMAS DE
AUDITORIA EXTERNAS

La empresa LA ESPERANZA S.R.L. no cuenta con unidad de auditoria interna debido a


que es mediana y no requiere tener un rea especializada en auditoria interna tanto
general como de sistemas.

6. APOYO DE ESPECIALISTAS

Por la naturaleza y el objeto de la auditoria no es necesario el apoyo de especialistas,


por lo cual la auditoria ser efectuada por personal propio de la firma.

7. ADMINISTRACION DEL TRABAJO

El personal y presupuestos de tiempo asignado para cada etapa de la auditoria, es


el siguiente:

Nombres Cargo Planificacin Ejecucin Informe Horas


Victoria Tellez
Auditor 1 16 17
Gonzales

Supervisora de 4 2 6 12
Elizabeth
auditoria
Ignacio Vedia

Jefe de auditoria 14
Jisely Yoselin 4 2 8
Flores Cueto

Ana Belen auditora 1 16 17


Salvatierra
Hecho por..
Fecha.
Supervisado por.
Fecha.
.
Mayhua

Jose Luis Auditor senior 9 2 9 20


Arroyo Solar
Totales 19 38 23 80

8. PROGRAMA DE TRABAJO

Para alcanzar los objetivos de la auditora, se obtendr evidencia competente,


suficiente, necesaria y vlida, mediante la aplicacin de procedimientos que se detallan
en programas de trabajo desarrollados a la medida, los mismos que son parte del
presente Memorndum de Planificacin de Auditora.

9.- RESULTADO DE EXAMEN

Como resultado de la revisin de la documentacin relacionada con la auditoria de


seguridad fsica y lgica se evidencio lo siguiente
No existe un informe de mejoras para el manejo de los riesgos encontrados en la
auditoria de seguridad fsica y lgica
No cuenta con la licencia actualizada, respectiva para su funcionamiento.
No se capacita peridicamente al personal sobre el cuidado y el manejo de la seguridad
fsica y lgica

10.- CONCLUSION

De acuerdo con las pruebas realizadas se puede establecer que existen un


Riesgo Objetivo Tcnica o Pruebas de Pruebas conclusion
Hecho por..
Fecha.
Supervisado por.
Fecha.
.
potencial s de procedimient cumplimiento sustantivas
control os de control
Corte de Revisar Instalacin Si cumplen La empresa
energa la de con las cuenta con
elctrica correcta estabilizador instalaciones equipo
en la conexi es y correspondient correspondie
empresa n de los generadores es nte
equipos
Accidente Verificar Realizar La empresa Algunos Se debe
contra que la mantenimien cuenta con equipos no realizar el
incendio alarma to peridico equipos contra funcionan y mantenimient
y a los incendio necesitan o adecuado a
extintor equipos mantenimie los equipos
es contra nto daados
funcione incendio
n
Falta de Obtener Adquirir las Se ha La empresa
actualizaci la licencias comprobado no tiene
on de la licencia respectivas que la seguridad en
seguridad para los empresa no sus sistemas
fsica diferent cuenta con operativo
es la licencia actualizado
software

Porcentaje del 80% que cumplen con lo establecido pero hay un 20% que infringen lo
establecido en la empresa
Haciendo asi vulnerable a la seguridad fsica
Como resultado de la auditoria podemos manifestar que hemos cumplido con evaluar
cada uno de los objetivos contenidos en el programa de auditoria.
Hecho por..
Fecha.
Supervisado por.
Fecha.
.

TABLA DE RIESGOS
Matriz de riesgo

Corte de energa elctrica


B M A
Riesgo

Control
B

Accidente por incendios


B M A
Riesgo

Control
B

Falta de actualizazcion
B M A
Riesgo

Control
Hecho por..
Fecha.
Supervisado por.
Fecha.
.
B

También podría gustarte