Auditoria Informatica - Ejercicio Practico

7/21/2019 Auditoria Informatica - Ejercicio Practico

http://slidepdf.com/reader/full/auditoria-informatica-ejercicio-practico 1/9

EJERCICIO PRACTICO.

El Comité de Dirección de la Empresa XYZ, ha considerado necesario conocer cual es la situaciónactual en la que se encuentran los ordenadores personales pertenecientes a la Empresa, tanto en loreferente al hardware y software como a la seguridad establecida

!ara ello contacta con el Departamento de "uditor#a $nterna, o bien con una Compa%#a de "uditor#aE&terna'os auditores preparan una carta con(untamente con la Dirección de la Empresa, solicitando a los

distintos departamentos que proporcionen información sobre los ordenadores personales que est)nutili*ando para la reali*ación de su traba(o, indicando si est)n conectados al ordenador central +ost-

!ara la reali*ación de esta "uditor#a se supone que no e&isten redes locales y se solicita al "uditor. "lumno lo siguiente/

- !reparar la carta solicitando la mencionada información- 0eali*ar las tareas pre1ias de auditoria, adecuadas para esta compa%#a- E1aluar los riesgos potenciales que puedan e&istir en la compa%#a y después, dise%ar

el alcance de la "uditoria

!ara la reali*ación de estas tareas se deber) considerar/

- El equipo de "uditoria esta formado por tres personas

- 'a comple(idad y ubicación de los ordenadores, Departamentos a los quepertenecen, seg2n la información recibida- El tiempo m)&imo para la reali*ación de la "uditor#a ser) de un mes

3"4E4 Y PLANIFICACIÓN DE LAS ACTIVIDADES.

5. DEFINICIÓN DEL ALCANCE.

'a "uditoria se reali*ar) sobre el )rea de procesos inform)ticos soportados en ordenadorespersonales, +!C,s- 6

4u finalidad es dar una opinión sobre el estado de la seguridad f#sica de los ordenadores, lanormati1a e&istente en cuanto a su utili*ación y la seguridad de los programas y datos procesados endichos ordenadores, poniendo de manifiesto los riesgos que pudiesen e&istir

7o se incluir)n en esta re1isión los ordenadores personales que est)n conectados al ordenador central

8. 0EC904:4 Y ;$E<!:

El equipo de "uditoria $nform)tica estar) compuesto por tres personas y el tiempo m)&imo para reali*ar la "uditor#a ser) de un mes,

=. 0EC:!$'"C$>7 DE $73:0<"C$>7 ?@4$C"

En la quincena anterior al comien*o de la "uditor#a se ha en1iado un cuestionario, a los (efes de cada uno de losDepartamentos de la Empresa, que hacen uso normalmente de los ordenadores personales, con ob(eto de conocer losequipos inform)ticos que utili*an y los procesos que se reali*an en ellos

El AB de los destinatarios ha contestado al cuestionarioDe la documentación recibida se deduce la e&istencia de un responsable de <icroinform)tica que depende

del Director de $nform)ticaE&iste otra persona dependiente del responsable de <icroinform)tica que se ocupa del mantenimiento de los

ordenadores personales

. !0:0"<" DE ;0"?"F:!ara completar las informaciones necesarias para la reali*ación de la "uditoria se reali*ar)n las siguientes

entre1istas

- Director de $nform)tica- 0esponsable de <icroinform)tica- 0esponsable del Departamento "

- 0esponsable del Departamento ?

B. $DE7;$3$C"C$>7 DE 0$E4:4 !:;E7C$"'E4

G. DE;E0<$7"0 ':4 :?FE;$H:4 DE C:7;0:'



I. DE;E0<$7"0 '"4 ;JC7$C"4 DE C:7;0:'

K. !09E?"4 " 0E"'$Z"0

A. :?;E7C$>7 DE 0E49';"D:4 5L. C:7C'94$:7E4 Y C:<E7;"0$:4 55.

0ED"CC$>7 DE' ?:00"D:0 DE' $73:0<E

58. !0E4E7;"C$>7 DE' ?:00"D:0 DE' $73:0<E, "' 0E4!:74"?'E DE <$C0:$73:0<@;$C"

5=. 0ED"CC$>7 DE' $73:0<E 0E49<E7 Y C:7C'94$:7E4

5. E7;0E" DE' $73:0<E 0E49<E7 "' C:<$;J DE D$0ECC$>7 DE '" E<!0E4"

RESUMEN DE LAS ENTREVISTAS REALIZADAS.

El 0esponsable de <icroinform)tica es el encargado de facilitar las passwords de entrada a losordenadores personales'as passwords no est)n autor i*adas por el 0esponsable del Departamento aunque si hay una petición1erbal7o hay ninguna norma que obligue a modificar las passwords

En cada Departamento se adquieren los !C,s y los productos de software que se necesitan para lareali*ación de su traba(oEn el Departamento de $nform)tica e&iste un ser1icio que est) gestionado por la 4ecretaria delDepartamento, que se ocupa de fecM#tar copias de manuales !ara obtener copias de los programas esnecesaria una autori*ación del responsable de <icroinform)tica'os programas que facilita el Departamento de $nform)tica, han sido adquiridos en Empresas deDesarrollo de 4oftware y se mantiene un registro de las facturas, contratos y documentación de losmismosEn el Departamento de $nform)tica, se mantiene un in1entario, en el cual figuran todos los !C,se&istentes en cada Departamento, con asignación de un responsable 4e archi1an los contratos de compray est)n numeradosEsta establecido un sistema de bacN.up semanal, para los datos mas rele1antes

RIESGOS POTENCIALES EXISTENTES.

'os Fefes de los Departamentos, pueden adquirir los ordenadores personales y los productos de software

sin ninguna autori*ación!ara reali*ar adquisiciones, tanto de ordenadores personales, como de productos de software, noes necesario ning2n estudio pre1io7o e&iste una normati1a clara y completa, para la utili*ación de los ordenadores personales4e pueden producir riesgos de seguridad de todo tipo

OBJETIVOS DE CONTROL.

5. Debe e&istir una pol#tica de adquisición y uso de los ordenadores personales

8. Deben estar establecidos los criterios adecuados, para la correcta adquisición de los ordenadorespersonales y determinar si est)n soportados, por el an)lisis Costo O ?eneficio

=. Debe e&istir una normati1a interna en la Empresa, sobre i adecuada utili*aron de los ordenadorespersonales

. Debe e&istir en la Empresa un programa de seguridad, para la e1aluación de los riesgos que puedane&istir, respecto a la seguridad del mantenimiento de los equipos, programas y datos

TÉCNICAS DE CONTROL.

:?FE;$H: DE C:7;0:' 7P 5

55. Debe e&istir una normati1a, sobre la adquisición y uso de !C,s!rueba de Cumplimiento/!etición de la normat i1a sobre el tema a la Dirección de la EmpresaComentario/ E&iste una normati1a pero esta muy incompleta

58. En la normati1a anteriormente citada, deben estar establecidos, los adecuados procedimientos para laadquisición y uso de los !C,sComentario/ 0e1isada la normati1a, se han encontrado algunas normas, para eQ uso de los !C,s y algunos



formularios, para ia adquisición de los ordenadores personales, pero todo muy incompleto

:?FE;$H: DE C:7;0:' 7P 8

85. Deben e&istir criterios por escrito, para la adquisición de equipos y productos de software, en la normati1are1isada anteriormente !rueba de Cumplimiento/ Comprobar el cumplimiento de dicha normati1a

8,8. Deben e&istir todo tipo de formularios y documentos, para fecffitar el proceso de aprobación

!rueba de Cumplimiento/ !etición de los formularios que deben rellenarse para reali*ar una adquisición ycomprobar su cumplimiento!rueba 4ustanti1a/ 4olicitar toda la documentación e&istente, sobre las 2himas adquisiciones que se hanreali*ado y comprobar el debido cumplimiento

8=. 'a adquisición de equipos y productos debe reali*arse bas)ndose en un an)lisis Coste O ?eneficio!rueba de Cumplimiento/ !etición de los estudios, que apoyaron la decisión de compra de los 2ltimosproductos Comentario/ 7o se reali*a el an)lisis Coste O ?eneficio

:?FE;$H: DE C:7;0:' 7P =

=5. El acceso a los ordenadores debe estar limitado al personal autori*ado!rueba de Cumplimiento/ $ntentar el acceso a un !C s in proporcionar la password correspondienteComprobar que las personas que est)n traba(ando pertenecen al Departamento y est)n en un !C, para elque tienen autori*ación de usoComentario/ 4e puede acceder preguntando la password a cualquier usuario ya que todos.tienen la

misma 4e han encontrado usuarios traba(ando en !C,s asignados a otros Departamentos=8. 'os datos deben estar respaldados por copias de seguridad!rueba de Cumplimiento/ 4olicitar las copias de seguridad y comprobar las fechas y contenido de los1olcados con los ficheros actuales Herificar el lugar f#sico de almacenamiento de las copias de seguridadComentario/ 'as copias de seguridad est)n incompletas y algunas son muy antiguas 7o est)n en unlugar separado y seguro

==. 'a documentación de los programas, debe ser completa y estar actuali*ada!rueba de Cumplimiento/ 4olicitar las normas de documentación de los programas al usuarioresponsable de cada Departamento y comprobar la documentación de programas e&istente!rueba 4ustanti1a/ ;omando la documentación completa de una aplicación, reali*ar una cuantificación de;iempo O Costo empleado en poder continuar con el tratamiento de los datos si faltara el programador queconoce la aplicación Comentario/ 7o e&iste n inguna normati1a para la documentación de losprogramas 'as re1isiones reali*adas que no e&iste control para la documentaciónencontr)ndose un de programas sin documentar El estudio real i*ado indica que la ausencia delprogramador que conoce la aplicación supondr#a emplear un tiempo en horasOhombre, seg2n la aplicación

"simismo la fal ta de documentación produci r#a gra1es problemas en el mantenimiento de lasaplicaciones

:?FE;$H: DE C:7;0:' 7P

5. El mantenimiento de los ordenadores debe estar respaldado por contratos adecuados y comprobar sucumplimiento!rueba de Cumplimiento/ 4olicitar los contratos que se reali*aron en su d#a, tanto de Compra como de<antenimiento y re1isar el grado de cumplimiento

8. El software debe estar respaldado por contratos o documentos que acrediten su legalidad!rueba de Cumplimiento/ :btener un listado de los !roductos instalados y 1erificar que todos ellos tienensus correspondientes contratos y documentos que (ustifiquen su compraComentario/ 7o se detectan copias Rlegales, pero tampoco e&isten procedimientos de control, queaseguren que no se 1an a incluir en el futuro

=. Deben e&istir copias de las librer#as principales del sistema, fuera de las instalaciones de la Empresa!rueba de Cumplimiento/ Herificar el lugar de almacenamiento de las copias de las librer#as del sistemaComentario/ 4e ha comprobado que las copias se almacenan en el mismo lugar en que se encuentran losordenadores

. Deben e&istir sistemas de protección contra fallos de suministro de energ#a eléctrica!rueba de Cumplimiento/ 1erificación de la instalación, para comprobar los sistemas de seguridadestablecidos Comentario/ 7o se ha instalado un sistema de alimentación interrumpida

B. El software y la información almacenada en el sistema debe estar debidamente protegida contra el robo ola di1ulgación sin autori*ación !rueba de Cumplimiento/ Herificación de las medidas de protecciónComentario/ 'os !C,s tienen una lla1e y el usuario es responsable de cerrarlos, pero se ha comprobadoque un AK no lo hace y los equipos quedan con la lla1e puesta

INFORME DE LA AUDITORÍA INFORMÁTICA.

"'C"7CE DE '" "9D$;:0S"



'a "uditor#a reali*ada en la Empresa XYZ, cubre el )rea de procesos inform)ticos, soportados en ordenadorespersonales +!C,s- y su finalidad es dar una opinión sobre el estado de la seguridad fisica de los ordenadores, lanormati1a e&istente en cuanto a su utili*ación,Qa seguridad de los programas y datos procesados ea dichosordenadores, poniendo de manifiesto los riesgos que pudiesen e&istir

Esta re1isión se ha lle1ado a cabo siguiendo procedimientos generalmente aceptados en la reali*ación de "uditorias

7o se han incluido en esta re1isión los ordenadores personales que est)n conectados al

ordenador central

0E49<E7 Y C:7C'94$:7E4

'as entre1istas y pruebas reali*adas durante el desarrollo de la "uditoria en el )rea de <icroinform)tica, hanre1elado la e&istencia de riesgos potenciales ele1ados de adquisición innecesaria de ordenadores personales, pérdidade información y manipulación incorrecta de datos y programas

'os aspectos detectados que han lle1ado a esta conclusión son los que se resumen a continuación

7ormati1a

- 'a normati1a empresarial sobre la utili*ación de ordenadores personales esta incompleta en cuanto anumero, periodicidad y lugar de almacenamiento de las copias de seguridad de los datos y los programas

- El acceso a los ordenadores debe ser restringido a personas autori*adas mediante palabras cla1e+!asswords-

- 4e ha comprobado que las normas no incluyen ninguna remitencia a este tipo de medidas de seguridad

- "unque e&isten normas y formularios para la adquisición de ordenadores personales, se ha 1erificadoque no se reali*a un an)lisis de CostoO?eneficio pre1io a la autori*ación de compra 'as decisiones decompra de ordenadores personales est)n basadas en necesidades inmediatas de los Departamentos,cuando podr#a e&istir un responsable, que conociera el estado de ocupación de los equipos a ni1el general, locual le permitir#a utili*ar ordenadores de otros Departamentos en casos de puntas de traba(o

:rgani*ación

- 7o se han designado personas responsables de la seguridad de los datos ni se controla que semantengan las copias de seguridad debidamente comprobadas y actuali*adas

- 'a re1isión de las copias ha demostrado que est)n incompletas, algunas son muy antiguas y siempre sealmacenan en el mismo lugar donde se encuentran los ordenadores

- 7o mantener una adecuada normati1a de acceso a los datos y programas puede producir que estos seanmanipulados incorrectamente

- 4e ha comprobado que una misma palabra cla1e +password-, es utili*ada por usuarios del mismoDepartamento y que usuarios de un Departamento utili*an ordenadores personales de otro

- Esta situación hace imposible deslindar responsabilidades en el caso de encontrar manipulación fraudulenta oaccidental de un programa o unos datos

Documentación

- 'a documentación de los programas desarrollados en la Empresa, no esta su(eta a ninguna normati1a, noe&isten est)ndares y no se reali*a ning2n tipo de control sobre la documentación de los programas

- 'as re1isiones reali*adas han demostrado que la e&istencia de manuales de usuario depende e&clusi1amentedel interés de la persona que haya reali*ado el programa, encontr)ndose un de programas sindocumentar

- El estudio efectuado indica que la ausencia del programadorOusuario que conoce la aplicación supondr#aemplear desde a horasOhombre, seg2n el tipo de programa, para poder continuar el tratamiento delos datos "simismo la fal ta de documentación implicar#a gra1es problemas de mantenimiento de laaplicaciones

4eguridad 3#sica

- 'a continuidad de la acti1idad empresarial en caso de desastre, es decir un incendio o una inundación, robo ofallo de suministro, resultar#a seriamente afectada, al no e&istir copias actuali*adas del contenido de losdiscos, fuera de los locales de la Empresa, no e&isten sistemas de alimentación interrumpida, ni medidas deseguridad contra el robo de información o equipos

- El mantenimiento de las copias de seguridad fuera de las instalaciones de la Empresa y la protección ba(oTlla1e de los ordenadores personales, serian unas medidas ra*onables económicamente y podr#anresol1er algunas de las situaciones anteriormente e&puestas

-

NORMAS PARA LA UTILIZACIÓN DE ORDENADORES PERSONALES.

Estas normas deben ser dirigidas a todos los usuarios de ordenadores personales

!ara cada acti1idad que in1olucre el uso de su ordenador personal se deber) contestar a las siguientescuestiones, referentes al impacto que puedan tener en desarrollo del traba(o para la Empresa/



- !erdida de la posibilidad de funcionamiento de una aplicación- 9so de datos incorrectos o incompletos- !roceso o comunicaciones inadecuados o fraudulentos

4i la respuesta es afirmati1a, consultar con el responsable para determinar cuando es asumióle el riesgo ycuando es necesario contestar a otras cuestiones relacionadas con el riesgo

!0:;ECC$>7 DE' 4:3;U"0E

El software debe ser propiedad de la Empresa o con derecho de uso por la Empresa +'icencia-, por ello sedeben cumplir las siguientes normas/

. uardar los disquetes y manuales que contengan programas o datos sensiti1os o T confidenciales, cuandoabandone su puesto de traba(o

- Estar al d#a con las restricciones de uso y copia de software con protección de Copyright, de no ser as#preguntar al responsable

- 0egistrar el software a nombre de la unidad cuando se compre- "dquirir solamente productos contenidos en la lista de productos que hayan sido recomendados por el

ser1icio de soporte técnico

!0:;ECC$>7 DE '" $73:0<"C$>7

'a información almacenada en los !C,s de la Empresa, es un aspecto 1alorable corporati1amente, debiendoseguir las siguientes normas/

0eali*ar copias de seguridad de sus ficheros regularmente- Etiquetar las copias de infirmación sensiti1a o confidencial, cuando sean archi1adas o se en1#en fuera del

centro- Destruir completamente la información sensiti1a o confidencial, antes de desecharla ;omar precaucionesadicionales si traba(a con información sensiti1a o confidencial, como son salarios e informición de clientes- Cambiar las password en lis aplicaciones sensiti1as o confidenciales al menos una 1e* cada seis meses- !roteger sus ficheros de $V4F4 no autori*ados, especialmente si comparte su !C con otros usuarios

9;$'$Z"C$>7 39E0" DE '"4 :3$C$7"4

Cuando tenga que utili*ar un !C o la información que contiene, fuera de la oficina se deben seguir/

- 'os procedimientos y est)ndares establecidos en la unidad para retirar el equipo o la información de los locales- 'os mismos esquemas y premisas que se utilicen dentro de la oficina, cuando use el equipo o la información

!0:;ECC$>7 DE' "0DU"0EEl !C que esta utili*ando es propiedad de la Empresa y le ha sido asignado para su adecuada utili*ación,

debiendo seguir las siguientes normas/

- Cerrar el !C si tiene lla1e cuando lo de(e desatendido- 0etirar la información sensiti1a o confidencial, si es posible, antes de que 1aya a ser

. 7o colocar en las pro&imidades l#quidos ni alimentos

C:<97$C"C$:7E4

4iempre que utilice el !C para comunicarse con otros sistemas, debe proteger su $dentificación de usuario y!asswords que utilice, de re1elación o uso no autori*ado, no almacenarlos en el !C, sal1o que sean de ba(o riesgo yestén protegidos frente accesos no autori*ados, es decir encriptados

"!'FC"C5:7E4 DE4"00:''"D"4 !:0 97: <$4<:

4iempre que utilice un software, como por e(emplo o(as de Calculo, paquetes de ?ases de Datos, etc, paraprocesar datos o información es necesario/

- Herificar la e&actitud de los resultados cuando cree la aplicación o la reciba de alguna persona, ya que esclaramente de su responsabilidad

- 7o copiar software ba(o licencia de uso o 1iolar las cl)usulas de la licencia, cuando comparta dichasaplicaciones con otros usuarios



0E49<E7 DE?E/

- "segurar que esta usando los datos mas adecuados- "segurar que alguna otra persona re1ise sus propias aplicaciones- $mprimir la fecha y hora en sus informes- Documentar sus propias aplicaciones cuando las pase a otra persona o sean usadas de forma regular- uardar el software que esta utili*ando, los manuales de consulta y cierre el !C cuando de(e Fa oficina- 'impiar la pantalla cuando de(e desatendido su !C- 7o usar el mismo disquete o cinta del bacNup anterior cuando realice uno nue1o- Etiquetar y archi1ar de forma clara sus disquetes, usar siempre rotuladores de punta blanda, para escribir en

las etiquetas pegadas al disquete- !roteger su !C de posibles da%os o fluctuaciones de corriente cuando sea necesario- uardar los disquetes en sus fundas y protegerlos del pol1o- !rocurar facilitar la 1entilación del equipo en todo momento

7: DE?E/

- Copiar software si 1iola los acuerdos de licencia en ninguna ocasión- 7o mostrar en pantalla los $ds de usuario, passwords o n2meros de teléfono en su )rea de traba(o- 7o compartir su $D de usuario y password con otras personas- 7o colocar bebidas ni alimentos en las cercan#as de su !C o teclado

- 7o abrir o intentar reparar su !C mientras no este debidamente cualificado para ello- 7o mo1er el !e sin 1er primero la forma de proteger el disco duro- 7o tocar la abertura de los disquetes con los dedos- 7o colocar los disquetes cerca de monitores o fuentes de campos magnéticos- 7o golpear el !C ni colocar ob(etos pesados encima del !C- 7o 1iolentar los dispositi1os de apertura de los dri1es del !e al abrirlos, tratarlos con sua1idad



EJERCICIO PRÁCTICO (CONTINUACIÓN)

El Departamento de !ersonaW de la Empresa XYZ, dispone de una red de )rea local conectada alordenador principal de dicha Empresa, donde puede reali*arse alg2n proceso muy general

En este 4istema de 0ed formada por un con(unto de ordenadores personales, se reali*an la mayor parte de tos procesos inform)ticos correspondientes al Departamento, para lo cual, dispone de- software

adecuado, incluyendo algunas aplicaciones especificas reali*adas por una Compa%#a e&terna de4er1icios

El Director de ofim)tica ha dictado el pasado a%o, unas normas concretas sobre la utili*ación deordenadores personales

El Comité de dirección de la Empresa, ha solicitado una "uditor#a $nform)tica de dichoDepartamento

4e solicita al "uditor."lumno, que resuel1a los siguientes puntos/

5. 3ases que reali*ar#a en esta "uditor#a, teniendo en cuenta los recursos humanosOd#as 7ota/4e dispone de tres auditores durante un 5B d#as

8. Establecer un ED0 consistente en determinar/

-

'os 0iesgos !otenciales e&istentes- 'os :b(eti1os de Control- ;as ;écnicas de Control- 'as !ruebas de Cumplimiento- 'as !ruebas 4ustanti1as si fuesen necesarias

=. 0esumen y conclusiones T

4:'9C$>7 DE' EFE0C$C$: !0"C;$C:. 3"4E4 Y !'"7$3$C"C$>7 DE '"4

"C;$H$D"DE4 5. Definición del alcance

'a "uditor#a se reali*ar) sobre la red de )rea bcal instalada en el Departamento de !ersonal y su finalidad es dar unaopinión sobre el grado de cumplimiento de las normas de utili*ación de los ordenadores, dadas por el Director de ofim)ticael pasado a%o, e&aminar tas distintos tipos de software utili*ados en el Departamento de !ersonal, la normati1a para elenlace con el :4; y la seguridad de la red de )rea local,

8. 0ecursos y ;iempo

- El equipo de auditor#a estar) compuesto por 1es personas- El tiempo m)&imo para reali*ar la auditoria ser) de 5B d#as

=. 0ecopilación de información b)sica

- Cuestionario pre1io a la "uditor#a para recoger información general- Entre1ista con el Director de !ersonal

Entre1ista con el "dministrador de la redEntre1istas con los usuarios

. !rograma de ;raba(o

- 0eali*ar las entre1istas correspondientes y obtener un resumen de dichas entre1istas- $dentificar tos riesgos potenciales- Determinar bs ob(eti1os de control- Determinar las técnicas de control- !ruebas a reali*ar

:btención de resultados- Conclusiones o comentarios

B. 0edacción del borrador del informe

G. !resentación del borrador del informe al Director del Departamento de !ersonal

I. 0edacción del informe resumen y conclusiones



H.- Entrega del informe resumen al Comité de Dirección de la Empresa

OBJETIVOS DE CONTROL

1. Deben e&istir unas normas sobre utili*ación de los ordenadores personales8. Deben estar establecidos los criterios para la adquisición y uso del software utili*ado en los ordenadores personales,que componen la 0ed

=. Debe estar establecido un procedimiento de control para la utili*ación del ordenador principal +ost-. ;iene que establecerse un programa de seguridad para la e1aluación de los riesgos que puedan e&istir, respecto ala seguridad del mantenimiento de la red y de las aplicaciones y datos utili*ados

;JC7$C"4 DE CONTROL

:?FE;$H: 7Pt ;écnicas de control/

55. Debe e&istir una normati1a para la protección del hardware

!C/ Comprobar que se cumple b que la normati1a dice, respecto a la protección del hardware

Comentario/ 9n BL de tos usuarios de los !C,s, no bbquea el ordenador cuando se retira 7o se retira la informacióncuando tiene que ser reparado 4e colocan bebidas o alimentos en las pro&imidades del !C

58. Debe e&istir una normati1a para la protección del software

!C/ Comprobar que se cumple la normati1a, respecto a la protección del software

Comentario/ 9n 8L de usuarios no guardan los disquetes y manuales correspondientes al software que se est)

utili*ando'os usuarios no conocen la normati1a e&istente, relacionada con el uso y la copia del software

5=. Debe e&istir una normati1a para la protección de la información

!C/ Comprobar que se cumple la normati1a, respecto a la información almacenada en el !C

Comentario/ 7o se reali*an copias de seguridad con la regularidad establecida 7o se destruye la informaciónconfidenciaW antes de desecharla 7o se cambian las passwords con la regularidad establecida 'os ficherosno est)n protegidos debidamente

:?FE;$H: 7 8 ;écnicas de control/

85. Deben e&istir una normati1a para la adquisición del software que se incorpora a la red

!C/ !edir la normati1a correspondiente

88. ;ienen que e&istir documentos para facilitar el proceso de adquisición de software

!C/ 4olicitar los documentos correspondientes al software que se est) utili*ando

8=. Debe e&istir una normati1a para la adquisición de aplicaciones especificas e&ternas

!C/ !etición de los estudios reali*ados para apoyar la decisión de compra de una aplicación espec#fica

Comentario/ 7o e&iste ning2n estudio que apoye esa decisión Dicha aplicación se pod#a haber reali*adointernamente

:?FE;$H: 7P = ;écnicas de control/

=5. Debe e&istir una normati1a para la utili*ación del software e&istente en el ordenador principal

!C/ 4olicitar la normati1a correspondiente =8. El acceso al ordenador principal debe estar limitado al

personal autori*ado

!C/ Comprobar que las personas autori*adas disponen de una password adecuada.Comentario/ Cualquier usuario

de la red puede acceder preguntando la password al personal autori*ado

==. El acceso a la información almacenada en el ordenador principal deber) ser solamente de lectura



!C/ Comprobar si se puede actuali*ar la información del ordenador principal a2n en el caso de no estar autori*ado

:?FE;$H: 7P ;écnicas de control/

5. El mantenimiento de la red y los ordenadores que la componen, debe estar respaldado por contratos adecuados ydebe lle1arse al d#a

!C/ Comprobar tos contratos de mantenimiento, re1isando los contratos de compraOmantenimiento

8. El software debe estar respaldado por contratos que acrediten su legalidad

!C/ 4acar un in1entario de los productos instalados en la red y comprobar que e&isten contratos de compra paratodos esos productos

Comentario/ 7o se detectan copias piratas, ya que todos los productos tienen su correspondiente contratode compra

=. Deben e&istir copias de todas las aplicaciones fuera del Departamento !C/ Comprobar el lugar de

almacenamiento

,. Debe e&istir un sistema de protección de la red contra fallos de suministro !C/ Herificación de las instalaciones.Comentario/ E&iste un buen sistema de alimentación interrumpidos y no se producen fallos 0E49<E7 Y

C:7C'94$:7E4

'as entre1istas y pruebas reali*adas durante el desarrollo de la "uditor#a en el Departamento de !ersonal hanre1elado que e&isten riesgos potenciales ele1ados de perdida de información, mala utili*ación de datos y programas,adquisición innecesaria de alg2n componente del 4oftware y fallos en la seguridad de la 0ed

'os aspectos que han lle1ado a estas conclusiones se resumen a continuación/

7ormati1a

. 'a normati1a dictada por el Director de ofim)tica el pasado a%o no est) cumpliendo por la totalidad de los usuarios,e&istiendo alguos que ni siquiera la conocen 'os principales defectos que se han déte/ tado son los siguientes/ 7o

se bloquea el ordenador cuando el R(uario se retira 7o se retira la $nformación cuando el ordenador tiene que serreparado En ocasiones se colocan bebidas o alimentos en las pro&imidades del !C "lgunos usuarios no guardanlos disquetes y manuales correspondientes al software que est)n utili*ando

. 'os usuarios no conocen la normati1a e&istente, tanto en to que se refiere a la utili*ación de los ordenadores personalescomo a lo relacionado con el uso y la copia del software7o se reali*an copias de seguridad con la regularidad que se ha establecido

. 7o se destruye la información confidencial antes de desecharla7o se cambian las passwords con la regularidad que est) establecida 'os ficheros no est)n protegidosadecuadamente

Documentación

'as re1is iones real i*adas han demostrado que e&isten documentos para solici tar la adquisición del softwareque se utili*a en la 0ed pero no se utili*an siempreE&iste una normati1a para controlar la adquisición de aplicaciones e&ternas y no se ha utili*ado

E&iste una normati1a para controlar el acceso al ost, pero no se est) utili*ando4e ha comprobado que se puede actuali*ar Ra información del ost aun en el caso de no estar autori*adoEl software esta debidamente respaldado por sus respecti1os contratos de compraEl sistema de la red de )rea local est) bien alimentado y no se han detectado fallos

Auditoria Informatica - Ejercicio Practico

Documents

Transcript of Auditoria Informatica - Ejercicio Practico