Auditoría Informática en “Laboratorios ISNAYA” Web viewJosé Manuel...
Transcript of Auditoría Informática en “Laboratorios ISNAYA” Web viewJosé Manuel...
Auditoría Informática en “Laboratorios ISNAYA” / 2012
0
Carrera: Ingeniería de Sistemas
Grupo: 5S1 IS
Docente: Ing. José Manuel Poveda.
Elaborado Por:
Janacely González Dávila Meybell Janixia Zeledón Arteta Alicia Almendares Tania Carrillo.
Universidad Nacional de Ingeniería
UNI-RUACS
Auditoría Informática en “Laboratorios ISNAYA”
11/06/2012
Auditoría Informática en “Laboratorios ISNAYA” / 2012
ContenidoIntroducción.................................................................................................................................2
Objetivos......................................................................................................................................3
Objetivo General del Trabajo...................................................................................................3
Objetivos específicos................................................................................................................3
Justificación..................................................................................................................................4
Objetivos de la Auditoría..............................................................................................................5
Objetivo General......................................................................................................................5
Alcance de la Auditoría.............................................................................................................5
Objetivo Especifico...................................................................................................................5
Hallazgos y recomendaciones......................................................................................................6
Metodología de Trabajo.............................................................................................................10
Conclusiones:.............................................................................................................................11
Recomendaciones:.....................................................................................................................12
Anexos........................................................................................................................................13
Levantamiento de activos......................................................................................................13
Matriz de Riesgo.................................................................................................................13
Plan de contingencia..............................................................................................................15
Cuestionarios..........................................................................................................................19
Revisión de Control Interno General..................................................................................19
Cuestionario sobre Planes generales..................................................................................20
Cuestionario para la evaluación del diseño y prueba de los sistemas................................21
Cuestionario sobre controles de salida..............................................................................26
Cuestionario de control de medios de almacenamiento masivo........................................27
SEMESTRAL ( ) OTRA ( )......................................................................................................29
Cuestionario de Control de mantenimiento.......................................................................30
Cuestionario Sobre el orden y cuidado del centro de cómputo.........................................30
Cuestionario para la Evaluación de la configuración del sistema de cómputo...................31
Cuestionario de Evaluación de la Seguridad física..............................................................31
Seguridad de la Información...............................................................................................37
Políticas y Procedimientos de Seguridad............................................................................37
Seguridad Lógica................................................................................................................37
Entrevista al Gerente..........................................................................................................40
1
Auditoría Informática en “Laboratorios ISNAYA” / 2012
CONTRATO.........................................................................................................................41
Introducción.
En la actualidad se aplica auditoria informática como un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de la infraestructura informática de una empresas y si la inversión que se ha hecho en la misma cumple con los propósitos para lo cual fe desarrollada.
Para los negocios es importante evaluar en forma constante cada factor externo que predomine o los afecte de manera trascendente, con la finalidad de instituir las acciones necesarias para minimizar su impacto negativo o extraer ventaja estratégica del mismo.
La auditoria informática debe respaldarse por un proceso formal que asegure su previo entendimiento por cada uno de los responsables de llevar a la práctica dicho proceso de la empresa. La auditoría en informática efectúa sus tareas y actividades mediante a una metodología; este proceso metodológico cuenta con seis etapas: Preliminar, Diagnóstico, Justificación, Adecuación, Formalización, Desarrollo e Implantación.
Este proceso metodológico se implementó en la empresa Laboratorio ISNAYA Estelí, dedicada a la elaboración y comercialización de productos medicinales naturales y cuenta con su software con un software llamado SIC-PROD LAB.
Para poder realizar este trabajo se tomó como referencia SIBOIF, MAG y NAGUN.
Hacer toda la Introducción de nuevo
2
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Objetivos.
Objetivo General del Trabajo.
Desarrollar un auditoria informática en, que nos proporcione información para poder de esta manera materializar los conocimientos aprendidos en el curso.
Objetivos específicos.
Realizar un estudio preliminar del funcionamiento informático de la empresa a estudiar.
Obtener información por medio de la observación y toma de notas, para identificar las debilidades al nivel institucional.
Presentar un informe que proponga el planteamiento de mejoras al uso y rendimiento de los activos informáticos.
3
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Justificación.
Laboratorios ISNAYA, es una empresa que brinda productos medicinales a base de plantas. Se considera que el manejo correcto de los activos informáticos es relevante en el ámbito de la economía puesto que si se produce algún fallo este puede tener graves consecuencias monetarias durante el fallo e incluyendo en el tiempo de recuperación, se realiza esta auditoría con el propósito de evaluar, verificar factores que afectan y amenazan con el buen funcionamiento de los activos informáticos.
Dar por finalizada esta auditoría trae beneficios que impactan positivamente en el sistema y los procedimientos, otra de sus ayudas son las recomendaciones para mejorar las políticas, procedimientos y sistemas, la verificación continua de la efectividad de los controles establecidos.
Los beneficiarios de esta auditoría es la junta directiva de la fundación ISNAYA, así como sus trabajadores. La información que se proporciona en este documento sirve para corregir, optimizar los procesos. Y para los cambios que la gerencia disponga conveniente, en base a los resultados de esta.
4
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Objetivos de la Auditoría
Objetivo General. Efectuar una Evaluación de las medidas y revisiones para caracterizar los
riesgos y pérdidas que se podrían ocasionar, a efecto de ayudar en la toma de decisiones y mejora de los procesos en la “Laboratorio ISNAYA, Estelí”
Alcance de la Auditoría. Se evaluara las áreas de la empresa en las que se cuenta con activo informático.
Gerencia Control de calidad (Laboratorio Físico químico /
microbiológico. Farmacia / Contabilidad. Producción (abarcamos esta área porque la responsable de
producción manipula activos informáticos).
Objetivo Especifico. Evaluar la integridad y confidencialidad del software SIC-PROD LAB, para dar
recomendaciones sobre una mejor funcionalidad. Valorar la seguridad de los activos físicos informáticos, amenazas y riesgos que se
pueden presentar en ellos. Valuar la manera de cómo se administran los dispositivos de almacenamiento masivo. Realizar matriz de riesgos y plan de contingencia y recomendaciones a los hallazgos.
5
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Hallazgos y recomendaciones.
Condición 1
Uso de antivirus pirata y sin licencia.
Criterio
SIBOIF Capitulo #5 Administración de tecnología de información Artículo 15.
Causa
La empresa dispone de un antivirus crackeado.
Efecto
1-Mala imagen de la empresa
2-Poco soporte en línea
Recomendación
Adquirir un antivirus con licencia.
Condición 2
El cableado de datos no se encuentra bien distribuido.
Criterio
SIBOIF Capitulo# 5 Artículo 18 administraciones de hardware y comunicaciones Inciso “C”.
Causa
La empresa no cuenta con una buena distribución de red de datos.
Efecto
Caída de la red.
Cables dañados y posibles enredos entre los cables.
Mala presentación de la empresa
Recomendación
6
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Realizar un nuevo cableado de red de datos.
Dar mantenimiento a la red de datos
Condición 3
Manejo del software no oficial para uso ajenos de la empresa.
Criterio
SIBOIF Capitulo# 5 articulo 16 Administración de software
Inciso “A”
Causa
Las computadoras están propensas a cualquier instalación y manipulación de la información.
Efecto
Tiempos ociosos de los trabajadores.
Desperdicio del los recursos de la Empresa.
Posibles infecciones de virus.
Recomendación
Restringir permisos de instalación
Restricción contra lectura
Prohibición de aplicaciones de óseos
Condición 4
La empresa no cuenta con un plan de contingencia.
Criterio
SIBOIF Capitulo #8 artos 36 Participación de tecnología de la información en la continuidad de negocio. Inciso “B”
Causa
7
Auditoría Informática en “Laboratorios ISNAYA” / 2012
La empresa no cuenta con la información necesaria a la hora de que ocurra un siniestro.
Efecto
El personal no cuenta con la capacitación necesaria a la hora que ocurra un siniestro.
Después de que ocurra un desastre en la empresa los trabajadores no van a saber cómo actuar.
Recomendación.
Elaborar un plan de contingencia
Realizar Simulacros para estar preparados en caso de cualquier desastre natural
Condición 5
La empresa no realiza una evaluación de riesgos.
Criterio
Capitulo #9 Arto 38. Evaluación de Riesgo tecnológico.
Causa
La empresa no realiza una autoevaluación en cuanto a la informática.
Efecto
Mala actualización de los Riesgos y plan de contingencia de la empresa.
Recomendaciones
Evaluación de riesgos al menos una vez al año.
Condición 6
En la Empresa no tiene un horario de respaldo o back up de la información. Se realiza pero de manera desordenada y en un disco externo que está dentro de la empresa y todos los trabajadores lo manipulanCriterio
8
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Artículo 35), capítulo 8, Administración de problemas, planeación de contingencia y estrategia de recuperación. Causa No existen políticas, controles y ningún tipo de normativa, que aseguren que se realicen respaldos de la información. Efecto Probabilidades altas de pérdida de información.
En caso de la ocurrencia de cualquier incidente que involucre la perdida de información (incendios, robos, averías irreparables, etc.), sería muy difícil la restauración de los procesos.
Vulnerabilidad de pérdida de información en caso de hackeo.
Recomendación Implantar políticas y controles de realización de respaldo periódicamente.
Delegar responsabilidades a las personas que van a encargarse de la realización de este proceso.
Automatizar el proceso de back up.
9
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Metodología de Trabajo.
PROCEDIMIENTO PARA LA RECOPILACIÓN DE LA INFORMACIÓN
INSTITUCIÓN: LABORATORIOS ISNAYA, ESTELÍ.
VISITA PRELIMINAR
Solicitud de información general de la
empresa (Misión, Visión, Objetivos,
organización; Plano de la Empresa, Manual
de funciones, Normas y políticas internas de
la institución, Planes de contingencia)
Recopilación de la información
(levantamiento de activos y observación)
HORAS
ESTIMADAS
ENCARGADOS
2 Horas Janacely
González
Meybell
Zeledón
Alicia A.
Tania
Morales
Anotación: la recolección de información se efectuó no en su totalidad, la empresa no proporciono la información completa que se, quien nos brindo la información expreso que no estaba autorizado a brindar los manuales del sistema, que no se permitía tomar fotos a las instalaciones ni planta de trabajo. A nivel de fundación se restringe el acceso a cierta información que se solicitó, se decidió recopilar información de forma informal, conversaciones con la recepcionista encargada de las ventas en la farmacia y demás trabajadores que se mostraron amables ante las preguntas que realizamos.
10
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Conclusiones:
Se pudo desarrollar la auditoria informática, con algunas limitantes pero no fueron un grave problema. Se realizo un estudio preliminar del funcionamiento informático de la empresas se encontraron lo que amenaza a los activos. Se obtuvo la información por medio de encuestas formales e informales, con la observación de las actividades cotidianas y se presenta este informe como una guía básica para la “Laboratorios ISNAYA”.
Se cumplió con el alcance de la auditoria y en cada una de las áreas se evaluó la integridad y confidencialidad del software, se valoro la seguridad de los activos informáticos tanto PCs, como Servidor y se realizo la matriz de riesgos para estos y un plan de contingencia de acuerdo a las amenazas que se definieron están presentes en la institución.
11
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Recomendaciones:
Se recomienda la compra de software original para evitar las fallas de estos software, distribuir el cableado para evitar accidentes y señal débil del servidor a las PCs, administrar las páginas web y los recursos de software SIC-PROD LAB que tiene acceso los usuarios para evitar los accidentes de pérdida de información.
Contratar a un ingeniero de sistemas que este fijo en la empresa y este se encargue de dale el adecuado mantenimiento a los activos y que no sea un mantenimiento porque se presento una falla o error en las aplicaciones, realizar horarios, políticas de respaldo de seguridad de la base de datos e información de interés para la empresa.
Hacer un documento en el que se definan todas las operaciones de cada trabajador y el acceso que estos deben de tener en las computadoras y los permisos de manipulación de estas.
12
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Anexos.
Levantamiento de activos.Tipo Descripción Propietario Ubicación
Tecnología PC (servidor) Marvin Palma Gerencia
Tecnología PC – Portátil Marvin Palma Gerencia
Tecnología PC Karla Salcedo Farmacia / recepción
Tecnología PC (contabilidad) Verónica Algaba Farmacia / contabilidad
Tecnología PC – (producción) Jamileth Serrato Producción
Tecnología PC Augusto Fernández Laboratorio Físico Químico / Microbiológico.
Valoración de los activos
Descripción Disponibilidad Integridad Confidencialidad
PC Servidor 5 (debe estar disponible al 100%)
5 (completo y al correcto al menos 99%)
4 (Daños muy altos)
PCs 2 (Media baja) 1 (No es relevante)
2 (Media baja)
Software SIC-PROD LAB
5 (debe estar disponible el 99%)
5 (tiene que estar correcto y completo al
menos 99%)
4 (daños muy altos)
Matriz de RiesgoPcs
Amenazas Impactos probabilidad vulnerabilidad riesgo
Incendios 9 Alta Media 9
Virus 7 Baja Alta 8
13
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Robo 9 Baja Media 7
Perdida de información
7 Baja Alta 8
Total 32
PC Servidor
Amenazas Impactos probabilidad vulnerabilidad riesgo
Incendios 9 Meida Alta 8
Virus 9 Alta Media 9
Robo 9 Baja Media 7
Perdida de información
9 Alta Media 9
Total 33
Según el análisis de riesgo que se realizo se determinó que los activos que presenta mayor riesgo es la PC Servidor, debido a la importancia de este. A los software que contiene y aplicaciones fundamentales para el funcionamiento diario. El acceso físico tiene poca seguridad dado que está en la oficina del gerente y no se mantiene asegurada la perta de entrada. No cuenta con las condiciones ambientales para la seguridad térmica de este.
Las PCs cuenta con una seguridad débil, pero la información que se contiene en ellas no es tan relevante. Es de importancia mencionar que el software es pirata, no tienen una protección antivirus buena.
Plan de contingencia
14
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Sub-plan
Contramedida
Recursos Responsable Rol ProcedimientoTécnica organizativa Humana
Respaldo
Aquí la empresa tendría Extintores contra incendios.
Detectores de humo.
Salidas de emergencia.
Equipos informáticos de respaldo
La empresa contara con un seguro contra incendios también se le darán una charla a los trabajadores en caso de que esto sucediera.
Formación para actuar en caso de incendio.
Designación de un responsable de sala.
Asignación de roles y responsabilidades para la copia de respaldo.
1. Viabilidad técnica.
2. Especificación de Requerimientos.
Marvin palma
Gerente de laboratorios ISNAYA
Se hará una planificación de los equipos se tienen que comprar y del personal que se debe contratar para que brinde las charlas para la prevención de un incendio
Hacer un estudio de viabilidad
Solicitar compra del equipo necesario contra incendios.
15
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Emergencia
Al presentarse el desastre se debe asegurar en primer lugar la seguridad de los trabajadores
Se deben seguir las medidas de emergencia ante cualquier desastre que se dé en las instalaciones de la empresa
El encargado
Analizara el desarrollo y el cumplimiento de las prevenciones del plan.
Hacer en determinado tiempo simulacros para que a la hora de un incendio el personal este prevenido
gerente Identificar medidas de emergencia
Indicar el buen manejo de extintores
Al momento de un desastre se debe de conservar la calma
Ayudar a los compañeros que se encuentren en mayor peligro
Recuperación
si ha ocurrido un desastre lo que se tiene que hacer es verificar los daños
Se deberá documentar todos los daños de hardware, del local y de información perdida en el incendio.
Cada trabajador de la empresa deberá de realizar una evaluación de las pérdidas que hubieron durante el incendio
Impresora – Papel, Computadora
gerente Comenzar realizando un estudio de los daños causados, y posteriormente a empezar a restablecer las funciones de los equipos.
Principiar con evaluaciones de daños causados
Recuperar la Información respaldada.
Realizar informes del funcionamiento de la medida de realizar
16
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Reponer los equipos que fueron dañados.
Reanudación de las actividades normales de la empresa.
17
Cuestionarios
Revisión de Control Interno GeneralREF PREGUNTAS SI NO N/A OBSERVACIONES
1. ¿Actualmente se cuenta con una gráfica de la organización?
*
2. ¿Tiene la compañía auditor interno? ¿De quién depende? Describir Brevemente el trabajo del auditor interno.
*
3. ¿Se usa un catálogo de equipo, software y funciones del personal?
*
4. ¿Actualmente hay algún manual o instructivo de asignación de equipo, de software, de mantenimiento, de operación?
*
5. ¿Se preparan y entregan a la alta gerencia mensualmente reportes de los activos tangibles o intangibles tecnológicos de la empresa?
*
6. ¿Se tiene control presupuestal de los costos y gastos?
*
7. ¿Quién autoriza las compras de nuevos Equipos?
GERENTE
8.¿Se hacen estudios y se documenta todo aquello que sirve para la determinación de una adquisición?
*
9.¿Existe una revisión periódica de los
Mantenimientos preventivos? ¿En
*
Auditoría Informática en “Laboratorios ISNAYA” / 2012
el área hay alguna persona encargada de supervisarlos y aprobarlos?
Cuestionario sobre Planes generales
REF PREGUNT A S SI NO
N/ A OBSERV A CIONES
1. ¿Existe una lista de proyectos de sistema de procedimiento de información y fechas programadas de implantación que puedan ser considerados como plan maestro?
*
2. Escribir la lista de proyectos a corto plazo y largo plazo
*
3. ¿Quién autoriza los proyectos? Gerente
3. ¿Cómo se asignan los recursos? *
4. ¿Cómo se estiman los tiempos de duración? * El gerente y la junta directiva de la fundación se encargan de evaluar este aspecto
5.¿Quién interviene en la planeación de los proyectos?
junta directiva de la fundación
6.¿Cómo se calcula el presupuesto del
Proyecto?
junta directiva de la fundación
19
Auditoría Informática en “Laboratorios ISNAYA” / 2012
7.¿Qué técnicas se usan en el control de los proyectos?
*
8.¿Quién asigna las prioridades? * junta directiva de la fundación
9.¿Cómo se asignan las prioridades? *
10.¿Cómo se controla el avance del proyecto? *
11. ¿Con qué periodicidad se revisa el reporte de avance del proyecto?
*
12.¿Cómo se estima el rendimiento del
personal?
*
13.¿Con que frecuencia se estiman los costos del proyecto para compararlo con lo presupuestado?
*
14.¿Qué acciones correctivas se toman en caso de desviaciones?
* junta directiva de la fundación
Cuestionario para la evaluación del diseño y prueba de los sistemasREF PREGUNT A S SI NO N/ A OBSERV A
CIONES
1. ¿Quiénes intervienen al diseñar un sistema?
· Usuario.
· Analista.*
*
20
Auditoría Informática en “Laboratorios ISNAYA” / 2012
· Programadores.
· Gerente de departamento.
· Auditores internos.
· Asesores.
· Otros.
*
*
*
*
2. ¿Los analistas son también programadores? *
3. ¿Qué lenguaje o lenguajes conocen los analistas?
*
4. ¿Cuántos analistas hay y qué experiencia tienen?
*
5. ¿Qué lenguaje conocen los programadores? *
6. ¿Cómo se controla el trabajo de los analistas?
.
7. ¿Cómo se controla el trabajo de los programadores?
8. ¿Qué lenguaje o lenguajes conocen los analistas?
9. ¿Cuántos analistas hay y qué experiencia tienen?
10. Indique qué pasos siguen los
21
Auditoría Informática en “Laboratorios ISNAYA” / 2012
programadores en el desarrollo de un programa:
*
Son libres de hacerlo a su modo. Se trabaja por resultado
· Estudio de la definición *
· Discusión con el analista *
· Diagrama de bloques *
· Tabla de decisiones *
· Codificación
*
11.¿Es enviado a captura o los programadores capturan?
*
12.¿Quién los captura?
*
· Compilación ( ) *
22
Auditoría Informática en “Laboratorios ISNAYA” / 2012
· Elaborar datos de prueba
· Solicitar datos al analista
· Correr programas con datos
· Revisión de resultados
· Corrección del programa
· Documentar el programa
· Someter resultados de prueba
· Entrega del programa
*
*
*
*
*
*
*
*
9. ¿Qué documentación acompaña al programa cuando se entrega?
Manual de uso
23
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Cuestionario sobre controles de salida 1. ¿Se tienen copias de los archivos en otros locales?
No________________________________________________________________________
2. ¿Dónde se encuentran esos locales?
NA________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
3. ¿Que seguridad física se tiene en esos locales?
NA ________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
4. ¿Que confidencialidad se tiene en esos locales?
NA ________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
5. ¿Quién entrega los documentos de salida?
NA ________________________________________________________________________
________________________________________________________________________
6. ¿En qué forma se entregan?
24
Auditoría Informática en “Laboratorios ISNAYA” / 2012
NA ________________________________________________________________________
________________________________________________________________________
7. ¿Qué documentos?
NA ________________________________________________________________________
________________________________________________________________________
8. ¿Qué controles se tienen?
NA ________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
9. ¿Se tiene un responsable (usuario) de la información del sistema? ¿Cómo se atienden
Solicitudes de información a otros usuarios del mismo sistema?
No se cuenta con un gerente de sistemas, las reparaciones a los fallos las hace una persona ajena a la institución.
10. ¿Se destruye la información utilizada, o bien que se hace con ella?
Destruye ( ) Vende ( ) Tira (* ) Otro_________________________
Cuestionario de control de medios de almacenamiento masivo 1. Los locales asignados al servidor tienen:
· Aire acondicionado (NO )
· Protección contra el fuego (* ) (señalar que tipo de protección) Extintores
· Cerradura especial ( No)
3. ¿Qué información mínima contiene el inventario del servidor?
· Número o clave del usuario (*) · Número del archivo lógico __________________________________________________
· Nombre del sistema que lo genera (*)
25
Auditoría Informática en “Laboratorios ISNAYA” / 2012
· Fecha de expiración del archivo ______________________________________________
· Fecha de expiración del archivo______________________________________________
· Número de volumen _______________________________________________________
· Otros ___________________________________________________________________
4. ¿Se verifican con frecuencia la validez de los inventarios de los archivos magnéticos?
SI ( ) NO (* )
5. En caso de existir discrepancia entre las cintas o discos y su contenido, se resuelven y explican
satisfactoriamente las discrepancias? SI ( ) NO ( * )
6. ¿Que tan frecuentes son estas discrepancias?
_________________________________________________________________________
7. ¿Se tienen procedimientos que permitan la reconstrucción de un archivo inadvertidamente
destruido? SI ( ) NO ( * )
8. ¿Se tienen identificados los archivos con información confidencial y se cuenta con claves de
acceso? SI ( * ) NO ( )
¿Cómo? Existe un servidor dedicado a este tipo de archivos, al cual solo el gerente de sistemas tiene acceso. NO(*)
9. ¿Existe un control estricto de las copias de estos archivos? SI ( ) NO ( * )
10. ¿Que medio se utiliza para almacenarlos? Mueble con cerradura ( * ) Bóveda ( )
Otro (especifique)_______________________________________________________
12. ¿Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos?
SI (* ) NO ( )
13. ¿Se certifica la destrucción o baja de los archivos defectuosos? SI ( ) NO ( * )
14. ¿Se realizan auditorías periódicas a los medios de almacenamiento? SI ( ) NO (* )
15. ¿Qué medidas se toman en el caso de extravío de algún dispositivo de almacenamiento?
No están normadas
16 ¿Se restringe el acceso a los lugares asignados para guardar los dispositivos de
26
Auditoría Informática en “Laboratorios ISNAYA” / 2012
almacenamiento, al personal autorizado? SI (* ) NO ( )
17. ¿Se tiene relación del personal autorizado para firmar la salida de archivos confidenciales?
SI ( ) NO (* )
18. ¿Existe un procedimiento para registrar los archivos que se prestan y la fecha en que se
devolverán? SI ( ) NO ( *)
20. ¿Se lleva control sobre los archivos prestados por la instalación? SI ( ) NO (*)
21. En caso de préstamo ¿Conque información se documentan?
· fecha de recepción (* )
· fecha en que se debe devolver (* )
· archivos que contiene ( *)
· formatos ( )
· cifras de control ( )
· código de grabación ( )
· nombre del responsable que los presto ( )
· otros ( )
22. ¿Se utiliza la política de conservación de archivos hijo-padre-abuelo? SI ( ) NO (* )
23. En los procesos que manejan archivos en línea, ¿Existen procedimientos para recuperar los
archivos? SI ( ) NO (*) NA(*)
24. ¿Estos procedimientos los conocen los operadores? SI ( ) NO ( )
25. ¿Con que periodicidad se revisan estos procedimientos? MENSUAL ( ) ANUAL ( )
27
Auditoría Informática en “Laboratorios ISNAYA” / 2012
SEMESTRAL ( ) OTRA ( ) 26. ¿Existe un responsable en caso de falla? SI ( ) NO (* )
27. ¿Explique que políticas se siguen para la obtención de archivos de respaldo?
28. ¿Existe un procedimiento para el manejo de la información? SI ( ) NO (* )
Cuestionario de Control de mantenimiento 1. Especifique el tipo de contrato de mantenimiento que se tiene (solicitar copia del contrato).
No se tiene contrato de mantenimiento, el mismo personal interno lo realiza cuando es necesario. Tampoco esta normado el tipo, ni el periodo entre cada mantenimiento.
2. ¿Existe un programa de mantenimiento preventivo para cada dispositivo del sistema de
computo? SI ( ) NO (* )
3. ¿Se lleva a cabo tal programa? SI ( ) NO ( )
4. ¿Existen tiempos de respuesta y de compostura estipulados en los contratos? SI ( ) NO ( )
5. Si los tiempos de reparación son superiores a los estipulados en el contrato, ¿Qué acciones
correctivas se toman para ajustarlos a lo convenido? SI ( ) NO ( )
5. Solicite el plan de mantenimiento preventivo que debe ser proporcionado por el proveedor.-
SI ( ) NO ( )
6. ¿Cómo se notifican las fallas?
Se llama por la línea telefónica interna al ingeniero de sistemas, el cual llega realiza el diagnostico, y de ser posible la reparación.
9. ¿Cómo se les da seguimiento?
28
Auditoría Informática en “Laboratorios ISNAYA” / 2012
No hay seguimiento.
Cuestionario Sobre el orden y cuidado del centro de cómputo 1. Indique la periodicidad con que se hace la limpieza del departamento de cómputo y de la
cámara de aire que se encuentra abajo del piso falso si existe y los ductos de aire:
Semanalmente ( ) Quincenalmente ( )
Mensualmente ( ) Bimestralmente ( )
No hay programa (* ) Otra (especifique) ( )
2. Existe un lugar asignado a las cintas y Archivos de discos? SI ( *) NO ( )
3. ¿Se tiene asignado un lugar especifico para papelería y utensilios de trabajo?
SI (* ) NO ( )
4. ¿Son funcionales los muebles asignados para el archivo de a cintas, discos y otros?
SI (* ) NO ( )
5. ¿Se tienen disposiciones para que se acomoden en su lugar correspondiente, después de su
uso, las cintas, los discos magnéticos, la papelería, etc.? SI (* ) NO ( )
6. ¿Existen prohibiciones para fumar, tomar alimentos y refrescos en el departamento de
cómputo? SI (* ) NO ( )
6. ¿Se cuenta con carteles en lugares visibles que recuerdan dicha prohibición? SI ( ) NO ( *)
Cuestionario para la Evaluación de la configuración del sistema de cómputo 1. De acuerdo con los tiempos de utilización de cada dispositivo del sistema de cómputo y diferentes áreas de la Entidad. ¿existe equipo?
¿Con poco uso? SI ( ) NO (* )
¿Ocioso? SI ( ) NO (* )
¿Con capacidad superior a la necesaria? SI ( ) NO (*)
Describa cual es ____________________________________________________
2. ¿El equipo mencionado en el inciso anterior puede reemplazarse por otro más lento y de menor
29
Auditoría Informática en “Laboratorios ISNAYA” / 2012
costo? SI ( ) NO ( )
3. Si la respuesta al inciso anterior es negativa, ¿el equipo puede ser cancelado? SI ( ) NO ( )
4. De ser negativa la respuesta al inciso anterior, explique las causas por las que no puede ser
cancelado o cambiado. _______________________________________________________
5. ¿La capacidad de memoria y de almacenamiento máximo del sistema de cómputo es suficiente para atender el proceso por lotes y el proceso remoto? SI (*) NO ( )
Cuestionario de Evaluación de la Seguridad física 1. ¿Se han adoptado medidas de seguridad en el sistemas de información?
SI (* ) NO ( )
2. ¿Existen una persona responsable de la seguridad? SI (* ) NO ( )
3. ¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad? SI ( ) NO (*)
4. ¿Existe personal de vigilancia en la institución? SI (*) NO ( )
5. ¿La vigilancia se contrata?
a) Directamente (* )
b) Por medio de empresas que venden ese servicio ( )
6. ¿Existe una clara definición de funciones entre los puestos clave? SI ( ) NO (*)
7. ¿Se investiga a los vigilantes cuando son contratados directamente? SI ( *) NO ( )
8. ¿Se controla el trabajo fuera de horario? SI ( ) NO ( *)
9. ¿Se registran las acciones de los operadores para evitar que realicen algunas pruebas que
puedan dañar los sistemas?. SI ( *) NO ( )
10. ¿Existe vigilancia en la empresa las 24 horas? SI ( ) NO (*)
11. ¿Existe vigilancia a la entrada de la empresa las 24 horas? a) Vigilante ? ( )
b) Recepcionista? ( ) c) Tarjeta de control de acceso ? ( ) d) Nadie? (*)
12. ¿Se permite el acceso a los archivos y programas a los programadores, analistas y
operadores? SI () NO (*)
13. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda
30
Auditoría Informática en “Laboratorios ISNAYA” / 2012
entrar sin autorización? SI ( ) NO ( *)
14. El edificio donde se encuentra la computadora está situado a salvo de:
a) Inundación? ( NO)
b) Terremoto? ( No )
c) Fuego? (No)
d) Sabotaje? ( SI)
15. ¿Existe control en el acceso a este cuarto?
a) Por identificación personal? ( *)
b) Por tarjeta magnética? ( )
c) por claves verbales? ( )
d) Otras? ( )
16. ¿Son controladas las visitas y demostraciones en la empresa? SI ( *) NO ( )
17. ¿Se vigilan la moral y comportamiento del personal de la empresa con el fin
de mantener una buena imagen y evitar un posible fraude? SI ( ) NO ( * )
18. ¿Existe alarma para
a) Detectar fuego(calor o humo) en forma automática? ( No)
b) Avisar en forma manual la presencia del fuego? (No )
c) Detectar una fuga de agua? ( No)
d) Detectar magnéticos? (No)
e) No existe ( *)
19. ¿Estas alarmas están:
a) En el departamento de cómputo? ( )
b) En otro lugar? ( )
20. ¿Existe alarma para detectar condiciones anormales del ambiente?
a) En el departamento de cómputo? ( )
b) En otros lados ( )
31
Auditoría Informática en “Laboratorios ISNAYA” / 2012
21. ¿La alarma es perfectamente audible? SI ( ) NO ( )
22.¿Esta alarma también está conectada
a) Al puesto de vigilancia ? ( )
b) A la estación de Bomberos? ( )
c) A ningún otro lado? ( )
Otro_________________________________________
23. Existen extintores de fuego
a) Manuales? (*)
b) Automáticos? ( )
c) No existen ( )
24. ¿Se ha adiestrado el personal en el manejo de los extintores? SI ( ) NO ( *)
25. ¿Los extintores, manuales o automáticos a base de TIPO
a) Agua, SI ( )NO ( *)
b) Gas? ( *) ( )
c) Otros ( ) (* )
26. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? SI ( ) NO ( *)
27. ¿Si es que existen extintores automáticos son activador por detectores automáticos de fuego?
SI ( ) NO ( *)
28. ¿Si los extintores automáticos son a base de agua ¿Se han tomado medidas para evitar que el
agua cause más daño que el fuego? SI ( ) NO ( )
29. ¿Si los extintores automáticos son a base de gas, ¿Se ha tomado medidas para evitar que el
gas cause mas daño que el fuego? SI ( ) NO ( *)
30. ¿Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automáticos para
que el personal
a) Corte la acción de los extintores por tratarse de falsas alarmas? SI ( ) NO ( )
b) Pueda cortar la energía Eléctrica SI ( ) NO ( )
32
Auditoría Informática en “Laboratorios ISNAYA” / 2012
c) Pueda abandonar el local sin peligro de intoxicación SI ( ) NO ( )
d) Es inmediata su acción? SI ( ) NO ( )
31. ¿Los interruptores de energía están debidamente protegidos, etiquetados y sin obstáculos para alcanzarlos? SI ( ) NO (*)
32. ¿Saben que hacer los operadores del as computadoras , en caso de que ocurra una
emergencia ocasionado por fuego? SI ( ) NO (*)
33. ¿El personal ajeno a operación sabe que hacer en el caso de una emergencia (incendio)?
SI ( ) NO ( * )
34. ¿Existe salida de emergencia? SI (* ) NO ( )
35. ¿Esta puerta solo es posible abrirla:
a) Desde el interior ? ( )
b) Desde el exterior ? ( )
c) Ambos Lados ( *)
36. ¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de esta puerta y de las ventanas, si es que existen? SI ( ) NO (* )
37. ¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en
caso de emergencia? SI ( ) NO (* )
38. ¿Se ha tomado medidas para minimizar la posibilidad de fuego:
a) Evitando artículos inflamables en el departamento de cómputo? (* )
b) Prohibiendo fumar a los operadores en el interior? ( *)
c) Vigilando y manteniendo el sistema eléctrico? ( )
d) No se ha previsto ( )
39. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior de las oficinas de cómputo para evitar daños al equipo? SI ( * ) NO ( )
40. ¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe? SI ( ) NO ( )
41. ¿Se controla el acceso y préstamo en la
a) Servidor? ( * )
33
Auditoría Informática en “Laboratorios ISNAYA” / 2012
b) Programoteca? (* )
42. ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora? SI (*) NO ( )
43. Explique la forma en que están protegidas físicamente estas copias (bóveda, cajas de
seguridad etc.) que garantice su integridad en caso de incendio, inundación, terremotos, etc.
Se encuentran en HDD externos que están en posesión del gerente de sistemas, sin protección adicional.
44. ¿Se tienen establecidos procedimientos de actualización a estas copias? SI ( ) NO (*)
45. Indique el número de copias que se mantienen, de acuerdo con la forma en que se clasifique la información:
46. ¿Existe departamento de auditoria interna en la institución? SI ( ) NO ( *)
47. ¿Este departamento de auditoria interna conoce todos los aspectos de los sistemas?
SI ( ) NO ( )
48. ¿Que tipos de controles ha propuesto?
___________________________________________________________________________
___________________________________________________________________________
49. ¿Se cumplen? SI ( ) NO ( )
50. ¿Se auditan los sistemas en operación? SI ( ) NO ( )
51.¿Con que frecuencia?
a) Cada seis meses ( )
b) Cada año ( )
c) Otra (especifique) ( )
51.¿Cuándo se efectúan modificaciones a los programas, a iniciativa de quién es?
a) Usuario (*)
b) Director de informática ( )
c) Jefe de análisis y programación ()
d) Programador ( )
34
Auditoría Informática en “Laboratorios ISNAYA” / 2012
e) Otras ( especifique) ________________________________________________
52.¿La solicitud de modificaciones a los programas se hacen en forma?
a) Oral? (* )
b) Escrita? (* )
En caso de ser escrita solicite formatos
58.Una vez efectuadas las modificaciones, ¿se presentan las pruebas a los interesados? SI (* ) NO ( )
53.¿Existe control estricto en las modificaciones? SI ( ) NO ( *)
54.¿Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado? SI ( ) NO (*)
55.¿Si se tienen terminales conectadas, ¿se ha establecido procedimientos de operación?
SI ( ) NO ( *)
56.Se verifica identificación:
a) De la terminal ( )
b) Del Usuario ( *)
c) No se pide identificación ( )
57.¿Se ha establecido que información puede ser acezada y por qué persona? SI ( ) NO ( *)
58.¿Se ha establecido un número máximo de violaciones en sucesión para que la computadora
cierre esa terminal y se de aviso al responsable de ella? SI ( ) NO ( *)
59.¿Se registra cada violación a los procedimientos con el fin de llevar estadísticas y frenar las tendencias mayores? SI ( ) NO ( *)
Seguridad de la Información
Políticas y Procedimientos de Seguridad Describa brevemente la naturaleza y alcance de las políticas y procedimientos de seguridad de la información:
No existen políticas normadas, la seguridad se maneja en base a buenas prácticas.
¿Están por escrito las políticas y procedimientos de seguridad de la información del cliente?
No
35
Auditoría Informática en “Laboratorios ISNAYA” / 2012
¿Tiene el cliente un programa para hacer del conocimiento del usuario las políticas, procedimientos y prácticas de seguridad
No
Seguridad LógicaEn la tabla siguiente, relacione los métodos que usa el cliente para restringir el acceso lógico a los siste mas de aplicación y a la información:
Método de Restricción de Acceso
¿Están centralizados o descentralizados el soporte y la administración de los métodos de restricción de acceso lógico?
Centralizado.
En la tabla siguiente, relacione las técnicas que el cliente usa para autentificar la identidad de los
usuarios que intentan acceder al sistema:
Técnicas de Autentificación
Cuenta de acceso (nombre de usuario y contraseña) única, con permisos pre-establecidos.
Describa brevemente los procesos del cliente para autorizar el acceso a la información y para asignar los privilegios de acceso a los usuarios:
Dentro del software de control interno de la empresa, existe una sección dedicada a la autorización y privilegios de usuario, en ella se puede gestionar con suma flexibilidad los
36
Auditoría Informática en “Laboratorios ISNAYA” / 2012
diferentes niveles de acceso que se le consederan a los usuarios. Para poder realizar estas modificaciones es necesario, disponer de una cuenta de administrador en el sistema.
¿Se ha definido explícitamente la propiedad de la información?
No.
¿Se ha clasificado la información para efectos de la autorización del acceso?
¿Quién es el responsable de autorizar el acceso a la información (es decir, de aprobar una solicitud para que se le otorgue a un individuo el acceso a información específica o tipos de información)?
El gerente de sistemas.
¿Quién es el responsable de asignar los privilegios de acceso a los usuarios (es decir, de fijar los parámetros de software que restringen o permiten ciertos tipos de acceso a cierta información)?
El gerente de sistemas, o cualquier administrador designado por el gerente.
¿A quién se le permite actualizar el acceso a los datos de producción?
El gerente de sistemas, o cualquier administrador designado por el gerente.
¿Permite el cliente el acceso de Internet a /desde sus sistemas de la computadora?
Si
Describa el acceso de Internet a/desde los sistemas de la computadora del cliente. Considere lo
siguiente:
- Usuarios internos y externos a quienes se les ha otorgado dicho acceso
- El propósito de tal acceso
Se les permite acceso libre a internet, a todas las maquinas.
¿Tiene el cliente una dirección World Wide Web (w.w.w.)? No
37
Auditoría Informática en “Laboratorios ISNAYA” / 2012
¿Tienen los usuarios acceso al software escritor de informes? Si
¿Tienen los usuarios la capacidad de recibir datos (to download) y manipular la información del sistema de aplicación? NO
¿Tienen los usuarios la capacidad de transmitir datos (to up load) a los sistemas de aplicación, fuera del sistema de aplicación normal de entrada de datos? No
Seguridad Física
¿Qué métodos usa el cliente para restringir el acceso físico a esta ubicación de procesamiento?
Solicitud de identificación de empleado.
En la tabla siguiente, relacione todos los grupos (internos y externos) cuyo acceso físico está permitido a este ambiente de procesamiento de la computadora. Por cada grupo, indique si se le ha otorgado acceso completo o restringido e indique la naturaleza de las restricciones.
Grupo Naturaleza de las Restricciones de Acceso Físico, Si las Hay
Informáticos Se tiene acceso físico a todo el área de cómputo.
Vendedores No tienen ningún permiso de acceso.
Gerentes No tienen ningún permiso de acceso.
Asistencia (externa) Tiene acceso a las instalaciones de computo, si está acompañado por alguien del departamento de sistemas.
¿Qué tipo de controles ambientales se tienen establecidos en esta ubicación de procesamiento para prevenir daños al equipo de la computadora?
Aire acondicionado.
38
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Entrevista al Gerente
¿Cuál es su nombre y cargo en la empresa?
¿Cuáles son sus funciones
¿Existen procedimientos normados sobre cómo debe realizar estas funciones?
¿Donde se encuentran establecidos?
¿Según su criterio estas normas son conocidas por los empleados?
¿Qué tan frecuentemente se rompen estas normas?
¿Cree usted necesario crear nuevas normas, mejorar las existentes, o dejarlas así como están?
39
Auditoría Informática en “Laboratorios ISNAYA” / 2012
CONTRATO Contrato de presentación de servicios profesionales de auditoría en informática que celebran por una parte LAVORATORIOS ISNAYA. Representado por Marvin Palma. En su carácter de Gerente General y que en lo sucesivo se denomina al cliente, por otra parte representada por Janacely González Dávila quien se denominara el auditor, de conformidad con las declaraciones y cláusulas siguientes:
Declaraciones
1. El cliente declara:
a) Que es una Empresa comercial
b) Que está representado para este acto por Marvin Palma y tiene como su domicilio Plaza de compras, Rotonda Centroamérica
c) Que requiere obtener servicios de auditoría en informática, por lo que ha decidido contratar los servicios del auditor
2. Declara el auditor:
a) Que es una sociedad anónima, constituida y existente de acuerdo con las leyes y que dentro de sus objetivos primordiales está el de prestar auditoría en informática
b) Que está constituida legalmente según escritura número 1814 de fecha 12/01/2000 ante el notario público nº 00154 Que señala como su domicilio BARIO ELIAS MONCADA .
3. Declaran ambas partes:
a) Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo formalizan otorgando el presente contrato que se contiene en las siguientes:
CLAUSULAS
Primera. Objetivo
40
Auditoría Informática en “Laboratorios ISNAYA” / 2012
El auditor se obliga a prestar al cliente los servicios de auditoría en informática para llevarla a cabo la evaluación de la dirección de informática del cliente, que se detalla en la propuesta de servicios anexa que, firmada por las partes, forma parte integrante del contrato.
Segunda. Alcance del trabajo
El alcance de los trabajos que llevara a cabo el auditor dentro de este contrato son:
a) evaluaciones de la dirección de informática en lo que corresponde a:
-su organización -capacitación
-estructura -planes de trabajo
-Recursos humanos -controles
-Normas y políticas -estándares
b) Evaluación de los sistemas
-evaluación de los diferentes sistemas en operación, (flujo de información, procedimientos, documentación, redundancia, organización de archivos, estándares de programación, controles, utilización de los sistemas).
-opinión de los usuarios de los diferentes sistemas
-evaluación de avance de los sistemas en desarrollo y congruencia con el diseño general
-evaluación de prioridades y recursos asignados (humanos y equipo de cómputo).
-seguridad física y lógica de los sistemas, su confidencialidad y respaldos.
c) Evaluación de equipos
-Capacidades -respaldos de equipo
-Utilización -seguros
-Nuevos proyectos -contratos
-seguridad física y lógica -proyecciones
d) Elaboraciones de informes que contengan conclusiones y recomendaciones por cada uno de los trabajos señalados en los incisos a, b y c de esta cláusula.
Tercera. Programa de trabajo
41
Auditoría Informática en “Laboratorios ISNAYA” / 2012
El cliente y el auditor convienen en desarrollar en forma conjunta un programa de trabajo en el que se determinen con precisión las actividades a realizar por cada una de las partes, los responsables de llevarlas a cabo y las fechas de realización.
Cuarta. Supervisión
El cliente o quien designe tendrá derecho a supervisar los trabajos que se le han encomendado al auditor dentro de este contrato y a dar por escrito las instrucciones que estimen convenientes.
Quinta. Coordinación de los trabajos
El cliente designara por parte de la organización a un coordinador del proyecto quien será el responsable de coordinar la recopilación de la información que solicite el auditor y de que las reuniones y entrevistas establecidas en el programa de trabajo se lleven a cabo en las fechas establecidas.
Sexta. Horario de trabajo
El personal del auditor declara el tiempo necesario para cumplir satisfactoriamente con los trabajos materia de la celebración de este contrato, de acuerdo al programa de trabajo convenido por ambas partes y gozaran de libertad fuera del tiempo destinado al cumplimiento de las actividades, por lo que no estarán sujetos a horarios y jornadas determinadas.
Séptima. Personal asignado
El auditor designara para el desarrollo de los trabajos objeto de este contrato a socios del despacho quienes, cuando consideren necesario incorporar personal técnico capacitado de que dispone la firma, en el número que se requieran de acuerdo a los trabajos a realizar.
Octava. Relación laboral
El personal del auditor no tendrá ninguna relación laboral con el cliente y queda expresamente estipulado que este contrato se suscribe en atención a que el auditor en ningún momento se considera intermediario del cliente respecto al personal que ocupe para dar cumplimiento de las obligaciones que se deriven de la relaciones entre él y su personal, y exime al cliente de cualquier responsabilidad que a este respecto existiré.
Novena. Plazo de trabajo
El auditor se obliga a terminar los trabajos señalados en la cláusula segunda de este contrato en 30 días hábiles después de la fecha en que se firme el contrato y sea cobrado el anticipo
correspondiente. El tiempo estimado para la terminación de los trabajos esta en relación a la oportunidad en que el cliente entregue los documentos requeridos por el auditor y por el cumplimiento de las fechas estipuladas en el programa de trabajo aprobado por las partes, por lo que cualquier retraso ocasionado por parte del personal del cliente o de usuarios de los sistemas
42
Auditoría Informática en “Laboratorios ISNAYA” / 2012
repercutirá en el plazo estipulado, el cual deberá incrementarse de acuerdo a las nuevas fechas establecidas en el programa de trabajo, sin perjuicio alguno para el auditor.
Décima. Honorarios
El cliente pagara al auditor por los trabajos objetos del presente contrato, honorarios por la cantidad de $2000 más el impuesto al valor agregado correspondiente. La forma de pago será la siguiente:
a) 50 % a la firma del contrato
b) 50 % a la terminación de los trabajos y presentación del informe final.
Décimaprimera. Alcance de los Honorarios
El importe señalado en la cláusula décima compensará al auditor por sueldos, honorarios, organización y dirección técnica propia de los servicios de auditaría, prestaciones sociales y laborales de su personal.
Décimasegunda. Incremento de Honorarios
En caso de que se tenga un retraso debido a la falta d entrega de información, demora o cancelación de las reuniones, o cualquier otra causa imputable al cliente, este contrato se incrementará en forma proporcional al retraso y se señalará el incremento como un acuerdo.
Décimotercera. Trabajos adicionales
De ser necesaria alguna adición a los alcances o productos del presente contrato, las partes celebraran por separado un convenio que formara parte integrante de este instrumento y en forma conjunta se acordara el nuevo costo.
Décimomocuarta. Viáticos Y Pasajes
El importe de los viáticos y pasajes en que incurra el auditor en el traslado, hospedaje y alimentación que requieren durante su permanencia en la ciudad de Managua. Como consecuencia de los trabajos objeto de este contrato, será por cuenta del cliente.
Décimoquinta. Gastos Generales
Los gastos de fotocopiado y dibujo que se produzcan con motivo de este contrato correrán por cuenta del cliente.
Décimosexta. Causas de Rescisión
Serán causas de rescisión del presente contrato la violación o incumplimiento de cualquiera de las cláusulas de este contrato.
43
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Enteradas las partes del contenido y alcance legal de este contrato, lo rubrican y firman de conformidad en original y tres copias, en la ciudad de Managua, el día Lunes 23 de abril de 2012.
_______________________ ____ __________________________
EL CLIENTE EL AUDITOR
44