Auditoría Informática en “Laboratorios ISNAYA” Web viewJosé Manuel...

Auditoría Informática en “Laboratorios ISNAYA” / 2012

0

Carrera: Ingeniería de Sistemas

Grupo: 5S1 IS

Docente: Ing. José Manuel Poveda.

Elaborado Por:

Janacely González Dávila Meybell Janixia Zeledón Arteta Alicia Almendares Tania Carrillo.

Universidad Nacional de Ingeniería

UNI-RUACS

Auditoría Informática en “Laboratorios ISNAYA”

11/06/2012


ContenidoIntroducción.................................................................................................................................2

Objetivos......................................................................................................................................3

Objetivo General del Trabajo...................................................................................................3

Objetivos específicos................................................................................................................3

Justificación..................................................................................................................................4

Objetivos de la Auditoría..............................................................................................................5

Objetivo General......................................................................................................................5

Alcance de la Auditoría.............................................................................................................5

Objetivo Especifico...................................................................................................................5

Hallazgos y recomendaciones......................................................................................................6

Metodología de Trabajo.............................................................................................................10

Conclusiones:.............................................................................................................................11

Recomendaciones:.....................................................................................................................12

Anexos........................................................................................................................................13

Levantamiento de activos......................................................................................................13

Matriz de Riesgo.................................................................................................................13

Plan de contingencia..............................................................................................................15

Cuestionarios..........................................................................................................................19

Revisión de Control Interno General..................................................................................19

Cuestionario sobre Planes generales..................................................................................20

Cuestionario para la evaluación del diseño y prueba de los sistemas................................21

Cuestionario sobre controles de salida..............................................................................26

Cuestionario de control de medios de almacenamiento masivo........................................27

SEMESTRAL ( ) OTRA ( )......................................................................................................29

Cuestionario de Control de mantenimiento.......................................................................30

Cuestionario Sobre el orden y cuidado del centro de cómputo.........................................30

Cuestionario para la Evaluación de la configuración del sistema de cómputo...................31

Cuestionario de Evaluación de la Seguridad física..............................................................31

Seguridad de la Información...............................................................................................37

Políticas y Procedimientos de Seguridad............................................................................37

Seguridad Lógica................................................................................................................37

Entrevista al Gerente..........................................................................................................40

1


CONTRATO.........................................................................................................................41

Introducción.

En la actualidad se aplica auditoria informática como un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de la infraestructura informática de una empresas y si la inversión que se ha hecho en la misma cumple con los propósitos para lo cual fe desarrollada.

Para los negocios es importante evaluar en forma constante cada factor externo que predomine o los afecte de manera trascendente, con la finalidad de instituir las acciones necesarias para minimizar su impacto negativo o extraer ventaja estratégica del mismo.

La auditoria informática debe respaldarse por un proceso formal que asegure su previo entendimiento por cada uno de los responsables de llevar a la práctica dicho proceso de la empresa. La auditoría en informática efectúa sus tareas y actividades mediante a una metodología; este proceso metodológico cuenta con seis etapas: Preliminar, Diagnóstico, Justificación, Adecuación, Formalización, Desarrollo e Implantación.

Este proceso metodológico se implementó en la empresa Laboratorio ISNAYA Estelí, dedicada a la elaboración y comercialización de productos medicinales naturales y cuenta con su software con un software llamado SIC-PROD LAB.

Para poder realizar este trabajo se tomó como referencia SIBOIF, MAG y NAGUN.

Hacer toda la Introducción de nuevo

2

Poveda, 13/06/12,

Esto es puro chagüite, no dicen nada de lo que deben decir.

Poveda, 13/06/12,

No solo es asi.

Poveda, 13/06/12,

Redacten mejor


Objetivos.

Objetivo General del Trabajo.

Desarrollar un auditoria informática en, que nos proporcione información para poder de esta manera materializar los conocimientos aprendidos en el curso.

Objetivos específicos.

Realizar un estudio preliminar del funcionamiento informático de la empresa a estudiar.

Obtener información por medio de la observación y toma de notas, para identificar las debilidades al nivel institucional.

Presentar un informe que proponga el planteamiento de mejoras al uso y rendimiento de los activos informáticos.

3

Poveda, 13/06/12,

Esto no es objetivo.

Poveda, 13/06/12,

Esto se incluye en el primer obj.

Poveda, 13/06/12,

Incompleto.

Poveda, 13/06/12,

NO. QUE BARBARAS. LO PRIMERO QUE UNO LES DICE QUE NO HAGAN, ES LO PRIMERO QUE HACEN. PLANTEAR DE NUEVO. ADEMAS ESTA MAL REDACTADO.


Justificación.

Laboratorios ISNAYA, es una empresa que brinda productos medicinales a base de plantas. Se considera que el manejo correcto de los activos informáticos es relevante en el ámbito de la economía puesto que si se produce algún fallo este puede tener graves consecuencias monetarias durante el fallo e incluyendo en el tiempo de recuperación, se realiza esta auditoría con el propósito de evaluar, verificar factores que afectan y amenazan con el buen funcionamiento de los activos informáticos.

Dar por finalizada esta auditoría trae beneficios que impactan positivamente en el sistema y los procedimientos, otra de sus ayudas son las recomendaciones para mejorar las políticas, procedimientos y sistemas, la verificación continua de la efectividad de los controles establecidos.

Los beneficiarios de esta auditoría es la junta directiva de la fundación ISNAYA, así como sus trabajadores. La información que se proporciona en este documento sirve para corregir, optimizar los procesos. Y para los cambios que la gerencia disponga conveniente, en base a los resultados de esta.

4

Poveda, 13/06/12,

Malo, malo, malísimo.

Poveda, 13/06/12,

Que es esto?

Poveda, 13/06/12,

No amorcito, esto no es justificación.


Objetivos de la Auditoría

Objetivo General. Efectuar una Evaluación de las medidas y revisiones para caracterizar los

riesgos y pérdidas que se podrían ocasionar, a efecto de ayudar en la toma de decisiones y mejora de los procesos en la “Laboratorio ISNAYA, Estelí”

Alcance de la Auditoría. Se evaluara las áreas de la empresa en las que se cuenta con activo informático.

Gerencia Control de calidad (Laboratorio Físico químico /

microbiológico. Farmacia / Contabilidad. Producción (abarcamos esta área porque la responsable de

producción manipula activos informáticos).

Objetivo Especifico. Evaluar la integridad y confidencialidad del software SIC-PROD LAB, para dar

recomendaciones sobre una mejor funcionalidad. Valorar la seguridad de los activos físicos informáticos, amenazas y riesgos que se

pueden presentar en ellos. Valuar la manera de cómo se administran los dispositivos de almacenamiento masivo. Realizar matriz de riesgos y plan de contingencia y recomendaciones a los hallazgos.

5

Poveda, 13/06/12,

Esto es actividad, no obj.

Poveda, 13/06/12,

Incompletos

Poveda, 13/06/12,

Estas son las áreas, esta bien, pero los tipos de auditoria? Es decir, en cada área que evaluara?


Hallazgos y recomendaciones.

Condición 1

Uso de antivirus pirata y sin licencia.

Criterio

SIBOIF Capitulo #5 Administración de tecnología de información Artículo 15.

Causa

La empresa dispone de un antivirus crackeado.

Efecto

1-Mala imagen de la empresa

2-Poco soporte en línea

Recomendación

Adquirir un antivirus con licencia.

Condición 2

El cableado de datos no se encuentra bien distribuido.

Criterio

SIBOIF Capitulo# 5 Artículo 18 administraciones de hardware y comunicaciones Inciso “C”.

Causa

La empresa no cuenta con una buena distribución de red de datos.

Efecto

Caída de la red.

Cables dañados y posibles enredos entre los cables.

Mala presentación de la empresa

Recomendación

6

Poveda, 13/06/12,

Todo esto debe estar bien explicado.

Poveda, 13/06/12,

Esto no es causa, además debe fundamentar bien.

Poveda, 13/06/12,

Debe escribir lo que dice el criterio (además de la cita)

Poveda, 13/06/12,

Aquí no dice nada, no dice si lo tienen o no lo tienen. Ademas, esto debe estar asociado a la evidencia (lo cual debería estar en anexos) y de esta forma referenciar la condición.

Poveda, 13/06/12,

Le faltan fundamentos, no hay explicación de cada uno de los elementos que los componen.


Realizar un nuevo cableado de red de datos.

Dar mantenimiento a la red de datos

Condición 3

Manejo del software no oficial para uso ajenos de la empresa.

Criterio

SIBOIF Capitulo# 5 articulo 16 Administración de software

Inciso “A”

Causa

Las computadoras están propensas a cualquier instalación y manipulación de la información.

Efecto

Tiempos ociosos de los trabajadores.

Desperdicio del los recursos de la Empresa.

Posibles infecciones de virus.

Recomendación

Restringir permisos de instalación

Restricción contra lectura

Prohibición de aplicaciones de óseos

Condición 4

La empresa no cuenta con un plan de contingencia.

Criterio

SIBOIF Capitulo #8 artos 36 Participación de tecnología de la información en la continuidad de negocio. Inciso “B”

Causa

7


La empresa no cuenta con la información necesaria a la hora de que ocurra un siniestro.

Efecto

El personal no cuenta con la capacitación necesaria a la hora que ocurra un siniestro.

Después de que ocurra un desastre en la empresa los trabajadores no van a saber cómo actuar.

Recomendación.

Elaborar un plan de contingencia

Realizar Simulacros para estar preparados en caso de cualquier desastre natural

Condición 5

La empresa no realiza una evaluación de riesgos.

Criterio

Capitulo #9 Arto 38. Evaluación de Riesgo tecnológico.

Causa

La empresa no realiza una autoevaluación en cuanto a la informática.

Efecto

Mala actualización de los Riesgos y plan de contingencia de la empresa.

Recomendaciones

Evaluación de riesgos al menos una vez al año.

Condición 6

En la Empresa no tiene un horario de respaldo o back up de la información. Se realiza pero de manera desordenada y en un disco externo que está dentro de la empresa y todos los trabajadores lo manipulanCriterio

8


Artículo 35), capítulo 8, Administración de problemas, planeación de contingencia y estrategia de recuperación. Causa No existen políticas, controles y ningún tipo de normativa, que aseguren que se realicen respaldos de la información. Efecto Probabilidades altas de pérdida de información.

En caso de la ocurrencia de cualquier incidente que involucre la perdida de información (incendios, robos, averías irreparables, etc.), sería muy difícil la restauración de los procesos.

Vulnerabilidad de pérdida de información en caso de hackeo.

Recomendación Implantar políticas y controles de realización de respaldo periódicamente.

Delegar responsabilidades a las personas que van a encargarse de la realización de este proceso.

Automatizar el proceso de back up.

9

Poveda, 13/06/12,

Igual que el primero.


Metodología de Trabajo.

PROCEDIMIENTO PARA LA RECOPILACIÓN DE LA INFORMACIÓN

INSTITUCIÓN: LABORATORIOS ISNAYA, ESTELÍ.

VISITA PRELIMINAR

Solicitud de información general de la

empresa (Misión, Visión, Objetivos,

organización; Plano de la Empresa, Manual

de funciones, Normas y políticas internas de

la institución, Planes de contingencia)

Recopilación de la información

(levantamiento de activos y observación)

HORAS

ESTIMADAS

ENCARGADOS

2 Horas Janacely

González

Meybell

Zeledón

Alicia A.

Tania

Morales

Anotación: la recolección de información se efectuó no en su totalidad, la empresa no proporciono la información completa que se, quien nos brindo la información expreso que no estaba autorizado a brindar los manuales del sistema, que no se permitía tomar fotos a las instalaciones ni planta de trabajo. A nivel de fundación se restringe el acceso a cierta información que se solicitó, se decidió recopilar información de forma informal, conversaciones con la recepcionista encargada de las ventas en la farmacia y demás trabajadores que se mostraron amables ante las preguntas que realizamos.

10

Poveda, 13/06/12,

Que es esto? Y el resto de las etapas? Usted e la introducción hablo que iba a seguir 6 etapas? Solo veo una en la metodología.

Poveda, 13/06/12,

Debe escribirla antes de los hallazgos.


Conclusiones:

Se pudo desarrollar la auditoria informática, con algunas limitantes pero no fueron un grave problema. Se realizo un estudio preliminar del funcionamiento informático de la empresas se encontraron lo que amenaza a los activos. Se obtuvo la información por medio de encuestas formales e informales, con la observación de las actividades cotidianas y se presenta este informe como una guía básica para la “Laboratorios ISNAYA”.

Se cumplió con el alcance de la auditoria y en cada una de las áreas se evaluó la integridad y confidencialidad del software, se valoro la seguridad de los activos informáticos tanto PCs, como Servidor y se realizo la matriz de riesgos para estos y un plan de contingencia de acuerdo a las amenazas que se definieron están presentes en la institución.

11

Poveda, 13/06/12,

Alinearla a los objetivos, hacerla de nuevo.


Recomendaciones:

Se recomienda la compra de software original para evitar las fallas de estos software, distribuir el cableado para evitar accidentes y señal débil del servidor a las PCs, administrar las páginas web y los recursos de software SIC-PROD LAB que tiene acceso los usuarios para evitar los accidentes de pérdida de información.

Contratar a un ingeniero de sistemas que este fijo en la empresa y este se encargue de dale el adecuado mantenimiento a los activos y que no sea un mantenimiento porque se presento una falla o error en las aplicaciones, realizar horarios, políticas de respaldo de seguridad de la base de datos e información de interés para la empresa.

Hacer un documento en el que se definan todas las operaciones de cada trabajador y el acceso que estos deben de tener en las computadoras y los permisos de manipulación de estas.

12

Poveda, 13/06/12,

Las recomendaciones no deben ser las mismas que las que ya escribió para los hallazgos, deben ser mas integrales.Ademas, todo lo que escribió aca debe explicarlo (redactar por que debe llevarse a cabo).


Anexos.

Levantamiento de activos.Tipo Descripción Propietario Ubicación

Tecnología PC (servidor) Marvin Palma Gerencia

Tecnología PC – Portátil Marvin Palma Gerencia

Tecnología PC Karla Salcedo Farmacia / recepción

Tecnología PC (contabilidad) Verónica Algaba Farmacia / contabilidad

Tecnología PC – (producción) Jamileth Serrato Producción

Tecnología PC Augusto Fernández Laboratorio Físico Químico / Microbiológico.

Valoración de los activos

Descripción Disponibilidad Integridad Confidencialidad

PC Servidor 5 (debe estar disponible al 100%)

5 (completo y al correcto al menos 99%)

4 (Daños muy altos)

PCs 2 (Media baja) 1 (No es relevante)

2 (Media baja)

Software SIC-PROD LAB

5 (debe estar disponible el 99%)

5 (tiene que estar correcto y completo al

menos 99%)

4 (daños muy altos)

Matriz de RiesgoPcs

Amenazas Impactos probabilidad vulnerabilidad riesgo

Incendios 9 Alta Media 9

Virus 7 Baja Alta 8

13

Poveda, 13/06/12,

numerar

Poveda, 13/06/12,

Los anexos debe numerarlos de forma especial


Robo 9 Baja Media 7

Perdida de información

7 Baja Alta 8

Total 32

PC Servidor

Amenazas Impactos probabilidad vulnerabilidad riesgo

Incendios 9 Meida Alta 8

Virus 9 Alta Media 9

Robo 9 Baja Media 7

Perdida de información

9 Alta Media 9

Total 33

Según el análisis de riesgo que se realizo se determinó que los activos que presenta mayor riesgo es la PC Servidor, debido a la importancia de este. A los software que contiene y aplicaciones fundamentales para el funcionamiento diario. El acceso físico tiene poca seguridad dado que está en la oficina del gerente y no se mantiene asegurada la perta de entrada. No cuenta con las condiciones ambientales para la seguridad térmica de este.

Las PCs cuenta con una seguridad débil, pero la información que se contiene en ellas no es tan relevante. Es de importancia mencionar que el software es pirata, no tienen una protección antivirus buena.

Plan de contingencia

14


Sub-plan

Contramedida

Recursos Responsable Rol ProcedimientoTécnica organizativa Humana

Respaldo

Aquí la empresa tendría Extintores contra incendios.

Detectores de humo.

Salidas de emergencia.

Equipos informáticos de respaldo

La empresa contara con un seguro contra incendios también se le darán una charla a los trabajadores en caso de que esto sucediera.

Formación para actuar en caso de incendio.

Designación de un responsable de sala.

Asignación de roles y responsabilidades para la copia de respaldo.

1. Viabilidad técnica.

2. Especificación de Requerimientos.

Marvin palma

Gerente de laboratorios ISNAYA

Se hará una planificación de los equipos se tienen que comprar y del personal que se debe contratar para que brinde las charlas para la prevención de un incendio

Hacer un estudio de viabilidad

Solicitar compra del equipo necesario contra incendios.

15

Poveda, 13/06/12,

¿?

Poveda, 13/06/12,

¿

Poveda, 13/06/12,

nombrar el plan y enumerar


Emergencia

Al presentarse el desastre se debe asegurar en primer lugar la seguridad de los trabajadores

Se deben seguir las medidas de emergencia ante cualquier desastre que se dé en las instalaciones de la empresa

El encargado

Analizara el desarrollo y el cumplimiento de las prevenciones del plan.

Hacer en determinado tiempo simulacros para que a la hora de un incendio el personal este prevenido

gerente Identificar medidas de emergencia

Indicar el buen manejo de extintores

Al momento de un desastre se debe de conservar la calma

Ayudar a los compañeros que se encuentren en mayor peligro

Recuperación

si ha ocurrido un desastre lo que se tiene que hacer es verificar los daños

Se deberá documentar todos los daños de hardware, del local y de información perdida en el incendio.

Cada trabajador de la empresa deberá de realizar una evaluación de las pérdidas que hubieron durante el incendio

Impresora – Papel, Computadora

gerente Comenzar realizando un estudio de los daños causados, y posteriormente a empezar a restablecer las funciones de los equipos.

Principiar con evaluaciones de daños causados

Recuperar la Información respaldada.

Realizar informes del funcionamiento de la medida de realizar

16

Poveda, 13/06/12,

OBVIO? PERO QUE ESTA PROTEGIENDO USTED?


Reponer los equipos que fueron dañados.

Reanudación de las actividades normales de la empresa.

17

Cuestionarios

Revisión de Control Interno GeneralREF PREGUNTAS SI NO N/A OBSERVACIONES

1. ¿Actualmente se cuenta con una gráfica de la organización?

*

2. ¿Tiene la compañía auditor interno? ¿De quién depende? Describir Brevemente el trabajo del auditor interno.

*

3. ¿Se usa un catálogo de equipo, software y funciones del personal?

*

4. ¿Actualmente hay algún manual o instructivo de asignación de equipo, de software, de mantenimiento, de operación?

*

5. ¿Se preparan y entregan a la alta gerencia mensualmente reportes de los activos tangibles o intangibles tecnológicos de la empresa?

*

6. ¿Se tiene control presupuestal de los costos y gastos?

*

7. ¿Quién autoriza las compras de nuevos Equipos?

GERENTE

8.¿Se hacen estudios y se documenta todo aquello que sirve para la determinación de una adquisición?

*

9.¿Existe una revisión periódica de los

Mantenimientos preventivos? ¿En

*

Poveda, 13/06/12,

Por que si todo esto es negativo, no se encuentra en hallazgos?

Poveda, 13/06/12,

NUEMERAR


el área hay alguna persona encargada de supervisarlos y aprobarlos?

Cuestionario sobre Planes generales

REF PREGUNT A S SI NO

N/ A OBSERV A CIONES

1. ¿Existe una lista de proyectos de sistema de procedimiento de información y fechas programadas de implantación que puedan ser considerados como plan maestro?

*

2. Escribir la lista de proyectos a corto plazo y largo plazo

*

3. ¿Quién autoriza los proyectos? Gerente

3. ¿Cómo se asignan los recursos? *

4. ¿Cómo se estiman los tiempos de duración? * El gerente y la junta directiva de la fundación se encargan de evaluar este aspecto

5.¿Quién interviene en la planeación de los proyectos?

junta directiva de la fundación

6.¿Cómo se calcula el presupuesto del

Proyecto?

junta directiva de la fundación

19

Poveda, 13/06/12,

Lo mismo.Todo esto debería referirse a los hallazgos, esto sirve de evidencia.


7.¿Qué técnicas se usan en el control de los proyectos?

*

8.¿Quién asigna las prioridades? * junta directiva de la fundación

9.¿Cómo se asignan las prioridades? *

10.¿Cómo se controla el avance del proyecto? *

11. ¿Con qué periodicidad se revisa el reporte de avance del proyecto?

*

12.¿Cómo se estima el rendimiento del

personal?

*

13.¿Con que frecuencia se estiman los costos del proyecto para compararlo con lo presupuestado?

*

14.¿Qué acciones correctivas se toman en caso de desviaciones?

* junta directiva de la fundación

Cuestionario para la evaluación del diseño y prueba de los sistemasREF PREGUNT A S SI NO N/ A OBSERV A

CIONES

1. ¿Quiénes intervienen al diseñar un sistema?

· Usuario.

· Analista.*

*

20

Poveda, 13/06/12,

Todo esto es hallazgo.


· Programadores.

· Gerente de departamento.

· Auditores internos.

· Asesores.

· Otros.

*

*

*

*

2. ¿Los analistas son también programadores? *

3. ¿Qué lenguaje o lenguajes conocen los analistas?

*

4. ¿Cuántos analistas hay y qué experiencia tienen?

*

5. ¿Qué lenguaje conocen los programadores? *

6. ¿Cómo se controla el trabajo de los analistas?

.

7. ¿Cómo se controla el trabajo de los programadores?

8. ¿Qué lenguaje o lenguajes conocen los analistas?

9. ¿Cuántos analistas hay y qué experiencia tienen?

10. Indique qué pasos siguen los

21


programadores en el desarrollo de un programa:

*

Son libres de hacerlo a su modo. Se trabaja por resultado

· Estudio de la definición *

· Discusión con el analista *

· Diagrama de bloques *

· Tabla de decisiones *

· Codificación

*

11.¿Es enviado a captura o los programadores capturan?

*

12.¿Quién los captura?

*

· Compilación ( ) *

22


· Elaborar datos de prueba

· Solicitar datos al analista

· Correr programas con datos

· Revisión de resultados

· Corrección del programa

· Documentar el programa

· Someter resultados de prueba

· Entrega del programa

*

*

*

*

*

*

*

*

9. ¿Qué documentación acompaña al programa cuando se entrega?

Manual de uso

23


Cuestionario sobre controles de salida 1. ¿Se tienen copias de los archivos en otros locales?

No________________________________________________________________________

2. ¿Dónde se encuentran esos locales?

NA________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

3. ¿Que seguridad física se tiene en esos locales?

NA ________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

4. ¿Que confidencialidad se tiene en esos locales?

NA ________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

5. ¿Quién entrega los documentos de salida?

NA ________________________________________________________________________

________________________________________________________________________

6. ¿En qué forma se entregan?

24


NA ________________________________________________________________________

________________________________________________________________________

7. ¿Qué documentos?

NA ________________________________________________________________________

________________________________________________________________________

8. ¿Qué controles se tienen?

NA ________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

9. ¿Se tiene un responsable (usuario) de la información del sistema? ¿Cómo se atienden

Solicitudes de información a otros usuarios del mismo sistema?

No se cuenta con un gerente de sistemas, las reparaciones a los fallos las hace una persona ajena a la institución.

10. ¿Se destruye la información utilizada, o bien que se hace con ella?

Destruye ( ) Vende ( ) Tira (* ) Otro_________________________

Cuestionario de control de medios de almacenamiento masivo 1. Los locales asignados al servidor tienen:

· Aire acondicionado (NO )

· Protección contra el fuego (* ) (señalar que tipo de protección) Extintores

· Cerradura especial ( No)

3. ¿Qué información mínima contiene el inventario del servidor?

· Número o clave del usuario (*) · Número del archivo lógico __________________________________________________

· Nombre del sistema que lo genera (*)

25


· Fecha de expiración del archivo ______________________________________________

· Fecha de expiración del archivo______________________________________________

· Número de volumen _______________________________________________________

· Otros ___________________________________________________________________

4. ¿Se verifican con frecuencia la validez de los inventarios de los archivos magnéticos?

SI ( ) NO (* )

5. En caso de existir discrepancia entre las cintas o discos y su contenido, se resuelven y explican

satisfactoriamente las discrepancias? SI ( ) NO ( * )

6. ¿Que tan frecuentes son estas discrepancias?

_________________________________________________________________________

7. ¿Se tienen procedimientos que permitan la reconstrucción de un archivo inadvertidamente

destruido? SI ( ) NO ( * )

8. ¿Se tienen identificados los archivos con información confidencial y se cuenta con claves de

acceso? SI ( * ) NO ( )

¿Cómo? Existe un servidor dedicado a este tipo de archivos, al cual solo el gerente de sistemas tiene acceso. NO(*)

9. ¿Existe un control estricto de las copias de estos archivos? SI ( ) NO ( * )

10. ¿Que medio se utiliza para almacenarlos? Mueble con cerradura ( * ) Bóveda ( )

Otro (especifique)_______________________________________________________

12. ¿Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos?

SI (* ) NO ( )

13. ¿Se certifica la destrucción o baja de los archivos defectuosos? SI ( ) NO ( * )

14. ¿Se realizan auditorías periódicas a los medios de almacenamiento? SI ( ) NO (* )

15. ¿Qué medidas se toman en el caso de extravío de algún dispositivo de almacenamiento?

No están normadas

16 ¿Se restringe el acceso a los lugares asignados para guardar los dispositivos de

26


almacenamiento, al personal autorizado? SI (* ) NO ( )

17. ¿Se tiene relación del personal autorizado para firmar la salida de archivos confidenciales?

SI ( ) NO (* )

18. ¿Existe un procedimiento para registrar los archivos que se prestan y la fecha en que se

devolverán? SI ( ) NO ( *)

20. ¿Se lleva control sobre los archivos prestados por la instalación? SI ( ) NO (*)

21. En caso de préstamo ¿Conque información se documentan?

· fecha de recepción (* )

· fecha en que se debe devolver (* )

· archivos que contiene ( *)

· formatos ( )

· cifras de control ( )

· código de grabación ( )

· nombre del responsable que los presto ( )

· otros ( )

22. ¿Se utiliza la política de conservación de archivos hijo-padre-abuelo? SI ( ) NO (* )

23. En los procesos que manejan archivos en línea, ¿Existen procedimientos para recuperar los

archivos? SI ( ) NO (*) NA(*)

24. ¿Estos procedimientos los conocen los operadores? SI ( ) NO ( )

25. ¿Con que periodicidad se revisan estos procedimientos? MENSUAL ( ) ANUAL ( )

27


SEMESTRAL ( ) OTRA ( ) 26. ¿Existe un responsable en caso de falla? SI ( ) NO (* )

27. ¿Explique que políticas se siguen para la obtención de archivos de respaldo?

28. ¿Existe un procedimiento para el manejo de la información? SI ( ) NO (* )

Cuestionario de Control de mantenimiento 1. Especifique el tipo de contrato de mantenimiento que se tiene (solicitar copia del contrato).

No se tiene contrato de mantenimiento, el mismo personal interno lo realiza cuando es necesario. Tampoco esta normado el tipo, ni el periodo entre cada mantenimiento.

2. ¿Existe un programa de mantenimiento preventivo para cada dispositivo del sistema de

computo? SI ( ) NO (* )

3. ¿Se lleva a cabo tal programa? SI ( ) NO ( )

4. ¿Existen tiempos de respuesta y de compostura estipulados en los contratos? SI ( ) NO ( )

5. Si los tiempos de reparación son superiores a los estipulados en el contrato, ¿Qué acciones

correctivas se toman para ajustarlos a lo convenido? SI ( ) NO ( )

5. Solicite el plan de mantenimiento preventivo que debe ser proporcionado por el proveedor.-

SI ( ) NO ( )

6. ¿Cómo se notifican las fallas?

Se llama por la línea telefónica interna al ingeniero de sistemas, el cual llega realiza el diagnostico, y de ser posible la reparación.

9. ¿Cómo se les da seguimiento?

28


No hay seguimiento.

Cuestionario Sobre el orden y cuidado del centro de cómputo 1. Indique la periodicidad con que se hace la limpieza del departamento de cómputo y de la

cámara de aire que se encuentra abajo del piso falso si existe y los ductos de aire:

Semanalmente ( ) Quincenalmente ( )

Mensualmente ( ) Bimestralmente ( )

No hay programa (* ) Otra (especifique) ( )

2. Existe un lugar asignado a las cintas y Archivos de discos? SI ( *) NO ( )

3. ¿Se tiene asignado un lugar especifico para papelería y utensilios de trabajo?

SI (* ) NO ( )

4. ¿Son funcionales los muebles asignados para el archivo de a cintas, discos y otros?

SI (* ) NO ( )

5. ¿Se tienen disposiciones para que se acomoden en su lugar correspondiente, después de su

uso, las cintas, los discos magnéticos, la papelería, etc.? SI (* ) NO ( )

6. ¿Existen prohibiciones para fumar, tomar alimentos y refrescos en el departamento de

cómputo? SI (* ) NO ( )

6. ¿Se cuenta con carteles en lugares visibles que recuerdan dicha prohibición? SI ( ) NO ( *)

Cuestionario para la Evaluación de la configuración del sistema de cómputo 1. De acuerdo con los tiempos de utilización de cada dispositivo del sistema de cómputo y diferentes áreas de la Entidad. ¿existe equipo?

¿Con poco uso? SI ( ) NO (* )

¿Ocioso? SI ( ) NO (* )

¿Con capacidad superior a la necesaria? SI ( ) NO (*)

Describa cual es ____________________________________________________

2. ¿El equipo mencionado en el inciso anterior puede reemplazarse por otro más lento y de menor

29


costo? SI ( ) NO ( )

3. Si la respuesta al inciso anterior es negativa, ¿el equipo puede ser cancelado? SI ( ) NO ( )

4. De ser negativa la respuesta al inciso anterior, explique las causas por las que no puede ser

cancelado o cambiado. _______________________________________________________

5. ¿La capacidad de memoria y de almacenamiento máximo del sistema de cómputo es suficiente para atender el proceso por lotes y el proceso remoto? SI (*) NO ( )

Cuestionario de Evaluación de la Seguridad física 1. ¿Se han adoptado medidas de seguridad en el sistemas de información?

SI (* ) NO ( )

2. ¿Existen una persona responsable de la seguridad? SI (* ) NO ( )

3. ¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad? SI ( ) NO (*)

4. ¿Existe personal de vigilancia en la institución? SI (*) NO ( )

5. ¿La vigilancia se contrata?

a) Directamente (* )

b) Por medio de empresas que venden ese servicio ( )

6. ¿Existe una clara definición de funciones entre los puestos clave? SI ( ) NO (*)

7. ¿Se investiga a los vigilantes cuando son contratados directamente? SI ( *) NO ( )

8. ¿Se controla el trabajo fuera de horario? SI ( ) NO ( *)

9. ¿Se registran las acciones de los operadores para evitar que realicen algunas pruebas que

puedan dañar los sistemas?. SI ( *) NO ( )

10. ¿Existe vigilancia en la empresa las 24 horas? SI ( ) NO (*)

11. ¿Existe vigilancia a la entrada de la empresa las 24 horas? a) Vigilante ? ( )

b) Recepcionista? ( ) c) Tarjeta de control de acceso ? ( ) d) Nadie? (*)

12. ¿Se permite el acceso a los archivos y programas a los programadores, analistas y

operadores? SI () NO (*)

13. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda

30


entrar sin autorización? SI ( ) NO ( *)

14. El edificio donde se encuentra la computadora está situado a salvo de:

a) Inundación? ( NO)

b) Terremoto? ( No )

c) Fuego? (No)

d) Sabotaje? ( SI)

15. ¿Existe control en el acceso a este cuarto?

a) Por identificación personal? ( *)

b) Por tarjeta magnética? ( )

c) por claves verbales? ( )

d) Otras? ( )

16. ¿Son controladas las visitas y demostraciones en la empresa? SI ( *) NO ( )

17. ¿Se vigilan la moral y comportamiento del personal de la empresa con el fin

de mantener una buena imagen y evitar un posible fraude? SI ( ) NO ( * )

18. ¿Existe alarma para

a) Detectar fuego(calor o humo) en forma automática? ( No)

b) Avisar en forma manual la presencia del fuego? (No )

c) Detectar una fuga de agua? ( No)

d) Detectar magnéticos? (No)

e) No existe ( *)

19. ¿Estas alarmas están:

a) En el departamento de cómputo? ( )

b) En otro lugar? ( )

20. ¿Existe alarma para detectar condiciones anormales del ambiente?

a) En el departamento de cómputo? ( )

b) En otros lados ( )

31


21. ¿La alarma es perfectamente audible? SI ( ) NO ( )

22.¿Esta alarma también está conectada

a) Al puesto de vigilancia ? ( )

b) A la estación de Bomberos? ( )

c) A ningún otro lado? ( )

Otro_________________________________________

23. Existen extintores de fuego

a) Manuales? (*)

b) Automáticos? ( )

c) No existen ( )

24. ¿Se ha adiestrado el personal en el manejo de los extintores? SI ( ) NO ( *)

25. ¿Los extintores, manuales o automáticos a base de TIPO

a) Agua, SI ( )NO ( *)

b) Gas? ( *) ( )

c) Otros ( ) (* )

26. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? SI ( ) NO ( *)

27. ¿Si es que existen extintores automáticos son activador por detectores automáticos de fuego?

SI ( ) NO ( *)

28. ¿Si los extintores automáticos son a base de agua ¿Se han tomado medidas para evitar que el

agua cause más daño que el fuego? SI ( ) NO ( )

29. ¿Si los extintores automáticos son a base de gas, ¿Se ha tomado medidas para evitar que el

gas cause mas daño que el fuego? SI ( ) NO ( *)

30. ¿Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automáticos para

que el personal

a) Corte la acción de los extintores por tratarse de falsas alarmas? SI ( ) NO ( )

b) Pueda cortar la energía Eléctrica SI ( ) NO ( )

32


c) Pueda abandonar el local sin peligro de intoxicación SI ( ) NO ( )

d) Es inmediata su acción? SI ( ) NO ( )

31. ¿Los interruptores de energía están debidamente protegidos, etiquetados y sin obstáculos para alcanzarlos? SI ( ) NO (*)

32. ¿Saben que hacer los operadores del as computadoras , en caso de que ocurra una

emergencia ocasionado por fuego? SI ( ) NO (*)

33. ¿El personal ajeno a operación sabe que hacer en el caso de una emergencia (incendio)?

SI ( ) NO ( * )

34. ¿Existe salida de emergencia? SI (* ) NO ( )

35. ¿Esta puerta solo es posible abrirla:

a) Desde el interior ? ( )

b) Desde el exterior ? ( )

c) Ambos Lados ( *)

36. ¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de esta puerta y de las ventanas, si es que existen? SI ( ) NO (* )

37. ¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en

caso de emergencia? SI ( ) NO (* )

38. ¿Se ha tomado medidas para minimizar la posibilidad de fuego:

a) Evitando artículos inflamables en el departamento de cómputo? (* )

b) Prohibiendo fumar a los operadores en el interior? ( *)

c) Vigilando y manteniendo el sistema eléctrico? ( )

d) No se ha previsto ( )

39. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior de las oficinas de cómputo para evitar daños al equipo? SI ( * ) NO ( )

40. ¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe? SI ( ) NO ( )

41. ¿Se controla el acceso y préstamo en la

a) Servidor? ( * )

33


b) Programoteca? (* )

42. ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora? SI (*) NO ( )

43. Explique la forma en que están protegidas físicamente estas copias (bóveda, cajas de

seguridad etc.) que garantice su integridad en caso de incendio, inundación, terremotos, etc.

Se encuentran en HDD externos que están en posesión del gerente de sistemas, sin protección adicional.

44. ¿Se tienen establecidos procedimientos de actualización a estas copias? SI ( ) NO (*)

45. Indique el número de copias que se mantienen, de acuerdo con la forma en que se clasifique la información:

46. ¿Existe departamento de auditoria interna en la institución? SI ( ) NO ( *)

47. ¿Este departamento de auditoria interna conoce todos los aspectos de los sistemas?

SI ( ) NO ( )

48. ¿Que tipos de controles ha propuesto?

___________________________________________________________________________

___________________________________________________________________________

49. ¿Se cumplen? SI ( ) NO ( )

50. ¿Se auditan los sistemas en operación? SI ( ) NO ( )

51.¿Con que frecuencia?

a) Cada seis meses ( )

b) Cada año ( )

c) Otra (especifique) ( )

51.¿Cuándo se efectúan modificaciones a los programas, a iniciativa de quién es?

a) Usuario (*)

b) Director de informática ( )

c) Jefe de análisis y programación ()

d) Programador ( )

34


e) Otras ( especifique) ________________________________________________

52.¿La solicitud de modificaciones a los programas se hacen en forma?

a) Oral? (* )

b) Escrita? (* )

En caso de ser escrita solicite formatos

58.Una vez efectuadas las modificaciones, ¿se presentan las pruebas a los interesados? SI (* ) NO ( )

53.¿Existe control estricto en las modificaciones? SI ( ) NO ( *)

54.¿Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado? SI ( ) NO (*)

55.¿Si se tienen terminales conectadas, ¿se ha establecido procedimientos de operación?

SI ( ) NO ( *)

56.Se verifica identificación:

a) De la terminal ( )

b) Del Usuario ( *)

c) No se pide identificación ( )

57.¿Se ha establecido que información puede ser acezada y por qué persona? SI ( ) NO ( *)

58.¿Se ha establecido un número máximo de violaciones en sucesión para que la computadora

cierre esa terminal y se de aviso al responsable de ella? SI ( ) NO ( *)

59.¿Se registra cada violación a los procedimientos con el fin de llevar estadísticas y frenar las tendencias mayores? SI ( ) NO ( *)

Seguridad de la Información

Políticas y Procedimientos de Seguridad Describa brevemente la naturaleza y alcance de las políticas y procedimientos de seguridad de la información:

No existen políticas normadas, la seguridad se maneja en base a buenas prácticas.

¿Están por escrito las políticas y procedimientos de seguridad de la información del cliente?

No

35


¿Tiene el cliente un programa para hacer del conocimiento del usuario las políticas, procedimientos y prácticas de seguridad

No

Seguridad LógicaEn la tabla siguiente, relacione los métodos que usa el cliente para restringir el acceso lógico a los siste mas de aplicación y a la información:

Método de Restricción de Acceso

¿Están centralizados o descentralizados el soporte y la administración de los métodos de restricción de acceso lógico?

Centralizado.

En la tabla siguiente, relacione las técnicas que el cliente usa para autentificar la identidad de los

usuarios que intentan acceder al sistema:

Técnicas de Autentificación

Cuenta de acceso (nombre de usuario y contraseña) única, con permisos pre-establecidos.

Describa brevemente los procesos del cliente para autorizar el acceso a la información y para asignar los privilegios de acceso a los usuarios:

Dentro del software de control interno de la empresa, existe una sección dedicada a la autorización y privilegios de usuario, en ella se puede gestionar con suma flexibilidad los

36


diferentes niveles de acceso que se le consederan a los usuarios. Para poder realizar estas modificaciones es necesario, disponer de una cuenta de administrador en el sistema.

¿Se ha definido explícitamente la propiedad de la información?

No.

¿Se ha clasificado la información para efectos de la autorización del acceso?

¿Quién es el responsable de autorizar el acceso a la información (es decir, de aprobar una solicitud para que se le otorgue a un individuo el acceso a información específica o tipos de información)?

El gerente de sistemas.

¿Quién es el responsable de asignar los privilegios de acceso a los usuarios (es decir, de fijar los parámetros de software que restringen o permiten ciertos tipos de acceso a cierta información)?

El gerente de sistemas, o cualquier administrador designado por el gerente.

¿A quién se le permite actualizar el acceso a los datos de producción?

El gerente de sistemas, o cualquier administrador designado por el gerente.

¿Permite el cliente el acceso de Internet a /desde sus sistemas de la computadora?

Si

Describa el acceso de Internet a/desde los sistemas de la computadora del cliente. Considere lo

siguiente:

- Usuarios internos y externos a quienes se les ha otorgado dicho acceso

- El propósito de tal acceso

Se les permite acceso libre a internet, a todas las maquinas.

¿Tiene el cliente una dirección World Wide Web (w.w.w.)? No

37


¿Tienen los usuarios acceso al software escritor de informes? Si

¿Tienen los usuarios la capacidad de recibir datos (to download) y manipular la información del sistema de aplicación? NO

¿Tienen los usuarios la capacidad de transmitir datos (to up load) a los sistemas de aplicación, fuera del sistema de aplicación normal de entrada de datos? No

Seguridad Física

¿Qué métodos usa el cliente para restringir el acceso físico a esta ubicación de procesamiento?

Solicitud de identificación de empleado.

En la tabla siguiente, relacione todos los grupos (internos y externos) cuyo acceso físico está permitido a este ambiente de procesamiento de la computadora. Por cada grupo, indique si se le ha otorgado acceso completo o restringido e indique la naturaleza de las restricciones.

Grupo Naturaleza de las Restricciones de Acceso Físico, Si las Hay

Informáticos Se tiene acceso físico a todo el área de cómputo.

Vendedores No tienen ningún permiso de acceso.

Gerentes No tienen ningún permiso de acceso.

Asistencia (externa) Tiene acceso a las instalaciones de computo, si está acompañado por alguien del departamento de sistemas.

¿Qué tipo de controles ambientales se tienen establecidos en esta ubicación de procesamiento para prevenir daños al equipo de la computadora?

Aire acondicionado.

38


Entrevista al Gerente

¿Cuál es su nombre y cargo en la empresa?

¿Cuáles son sus funciones

¿Existen procedimientos normados sobre cómo debe realizar estas funciones?

¿Donde se encuentran establecidos?

¿Según su criterio estas normas son conocidas por los empleados?

¿Qué tan frecuentemente se rompen estas normas?

¿Cree usted necesario crear nuevas normas, mejorar las existentes, o dejarlas así como están?

39

Poveda, 13/06/12,

Plantearla de nuevo. Pésima.

Poveda, 13/06/12,

Que barbaridad ingenieras


CONTRATO Contrato de presentación de servicios profesionales de auditoría en informática que celebran por una parte LAVORATORIOS ISNAYA. Representado por Marvin Palma. En su carácter de Gerente General y que en lo sucesivo se denomina al cliente, por otra parte representada por Janacely González Dávila quien se denominara el auditor, de conformidad con las declaraciones y cláusulas siguientes:

Declaraciones

1. El cliente declara:

a) Que es una Empresa comercial

b) Que está representado para este acto por Marvin Palma y tiene como su domicilio Plaza de compras, Rotonda Centroamérica

c) Que requiere obtener servicios de auditoría en informática, por lo que ha decidido contratar los servicios del auditor

2. Declara el auditor:

a) Que es una sociedad anónima, constituida y existente de acuerdo con las leyes y que dentro de sus objetivos primordiales está el de prestar auditoría en informática

b) Que está constituida legalmente según escritura número 1814 de fecha 12/01/2000 ante el notario público nº 00154 Que señala como su domicilio BARIO ELIAS MONCADA .

3. Declaran ambas partes:

a) Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo formalizan otorgando el presente contrato que se contiene en las siguientes:

CLAUSULAS

Primera. Objetivo

40


El auditor se obliga a prestar al cliente los servicios de auditoría en informática para llevarla a cabo la evaluación de la dirección de informática del cliente, que se detalla en la propuesta de servicios anexa que, firmada por las partes, forma parte integrante del contrato.

Segunda. Alcance del trabajo

El alcance de los trabajos que llevara a cabo el auditor dentro de este contrato son:

a) evaluaciones de la dirección de informática en lo que corresponde a:

-su organización -capacitación

-estructura -planes de trabajo

-Recursos humanos -controles

-Normas y políticas -estándares

b) Evaluación de los sistemas

-evaluación de los diferentes sistemas en operación, (flujo de información, procedimientos, documentación, redundancia, organización de archivos, estándares de programación, controles, utilización de los sistemas).

-opinión de los usuarios de los diferentes sistemas

-evaluación de avance de los sistemas en desarrollo y congruencia con el diseño general

-evaluación de prioridades y recursos asignados (humanos y equipo de cómputo).

-seguridad física y lógica de los sistemas, su confidencialidad y respaldos.

c) Evaluación de equipos

-Capacidades -respaldos de equipo

-Utilización -seguros

-Nuevos proyectos -contratos

-seguridad física y lógica -proyecciones

d) Elaboraciones de informes que contengan conclusiones y recomendaciones por cada uno de los trabajos señalados en los incisos a, b y c de esta cláusula.

Tercera. Programa de trabajo

41


El cliente y el auditor convienen en desarrollar en forma conjunta un programa de trabajo en el que se determinen con precisión las actividades a realizar por cada una de las partes, los responsables de llevarlas a cabo y las fechas de realización.

Cuarta. Supervisión

El cliente o quien designe tendrá derecho a supervisar los trabajos que se le han encomendado al auditor dentro de este contrato y a dar por escrito las instrucciones que estimen convenientes.

Quinta. Coordinación de los trabajos

El cliente designara por parte de la organización a un coordinador del proyecto quien será el responsable de coordinar la recopilación de la información que solicite el auditor y de que las reuniones y entrevistas establecidas en el programa de trabajo se lleven a cabo en las fechas establecidas.

Sexta. Horario de trabajo

El personal del auditor declara el tiempo necesario para cumplir satisfactoriamente con los trabajos materia de la celebración de este contrato, de acuerdo al programa de trabajo convenido por ambas partes y gozaran de libertad fuera del tiempo destinado al cumplimiento de las actividades, por lo que no estarán sujetos a horarios y jornadas determinadas.

Séptima. Personal asignado

El auditor designara para el desarrollo de los trabajos objeto de este contrato a socios del despacho quienes, cuando consideren necesario incorporar personal técnico capacitado de que dispone la firma, en el número que se requieran de acuerdo a los trabajos a realizar.

Octava. Relación laboral

El personal del auditor no tendrá ninguna relación laboral con el cliente y queda expresamente estipulado que este contrato se suscribe en atención a que el auditor en ningún momento se considera intermediario del cliente respecto al personal que ocupe para dar cumplimiento de las obligaciones que se deriven de la relaciones entre él y su personal, y exime al cliente de cualquier responsabilidad que a este respecto existiré.

Novena. Plazo de trabajo

El auditor se obliga a terminar los trabajos señalados en la cláusula segunda de este contrato en 30 días hábiles después de la fecha en que se firme el contrato y sea cobrado el anticipo

correspondiente. El tiempo estimado para la terminación de los trabajos esta en relación a la oportunidad en que el cliente entregue los documentos requeridos por el auditor y por el cumplimiento de las fechas estipuladas en el programa de trabajo aprobado por las partes, por lo que cualquier retraso ocasionado por parte del personal del cliente o de usuarios de los sistemas

42


repercutirá en el plazo estipulado, el cual deberá incrementarse de acuerdo a las nuevas fechas establecidas en el programa de trabajo, sin perjuicio alguno para el auditor.

Décima. Honorarios

El cliente pagara al auditor por los trabajos objetos del presente contrato, honorarios por la cantidad de $2000 más el impuesto al valor agregado correspondiente. La forma de pago será la siguiente:

a) 50 % a la firma del contrato

b) 50 % a la terminación de los trabajos y presentación del informe final.

Décimaprimera. Alcance de los Honorarios

El importe señalado en la cláusula décima compensará al auditor por sueldos, honorarios, organización y dirección técnica propia de los servicios de auditaría, prestaciones sociales y laborales de su personal.

Décimasegunda. Incremento de Honorarios

En caso de que se tenga un retraso debido a la falta d entrega de información, demora o cancelación de las reuniones, o cualquier otra causa imputable al cliente, este contrato se incrementará en forma proporcional al retraso y se señalará el incremento como un acuerdo.

Décimotercera. Trabajos adicionales

De ser necesaria alguna adición a los alcances o productos del presente contrato, las partes celebraran por separado un convenio que formara parte integrante de este instrumento y en forma conjunta se acordara el nuevo costo.

Décimomocuarta. Viáticos Y Pasajes

El importe de los viáticos y pasajes en que incurra el auditor en el traslado, hospedaje y alimentación que requieren durante su permanencia en la ciudad de Managua. Como consecuencia de los trabajos objeto de este contrato, será por cuenta del cliente.

Décimoquinta. Gastos Generales

Los gastos de fotocopiado y dibujo que se produzcan con motivo de este contrato correrán por cuenta del cliente.

Décimosexta. Causas de Rescisión

Serán causas de rescisión del presente contrato la violación o incumplimiento de cualquiera de las cláusulas de este contrato.

43


Enteradas las partes del contenido y alcance legal de este contrato, lo rubrican y firman de conformidad en original y tres copias, en la ciudad de Managua, el día Lunes 23 de abril de 2012.

_______________________ ____ __________________________

EL CLIENTE EL AUDITOR

44

Auditoría Informática en “Laboratorios ISNAYA” Web viewJosé Manuel...

Documents

Transcript of Auditoría Informática en “Laboratorios ISNAYA” Web viewJosé Manuel...