ICMICMINGENIERÍA EN AUDITORIA Y CONTROLINGENIERÍA EN AUDITORIA Y CONTROL

DE GESTIONDE GESTION

Auditoría de Hardware y Licenciamiento de Software

AUTORES :BELEN ESPINOZA

ESTEFANIA CHIRIGUAYOJAZMIN GUACHISACAMILAGROS ALVARADO

DOCENTE :

Ing. Miguel Chang

INTRODUCCIÓN

En la Actualidad los Sistemas Informáticos constituyen una herramienta bastante poderosa para la mejora de rendimiento de toda organización empresarial.

Del mismo modo, no solo se trata de adquirir tecnología, sino que también es necesario saber darle el uso adecuado de acuerdo a los Requerimientos particulares de un determinado usuario o grupos usuarios.

La Auditoría de Hardware y Licenciamiento de Software, es un punto clave en este sentido, debido a que, si bien es cierto, ayuda a detectar errores y señalar fallas en determinadas áreas o procesos, su objetivo está orientado a brindar soluciones, planteando métodos y procedimientos de control de los sistemas de información que son validos para cualquier empresa u organización por pequeña que esta sea.

Cabe resaltar que para la realización de una auditoria informática eficaz, es necesario entender a la empresa en su más amplio sentido,

El presente informe, plantea un estudio profesional del los diversos factores que pueden estar influyendo en las operaciones del instituto auditado “ICQ”, a fin de brindar las soluciones y recomendaciones pertinentes.

ÍNDICE DEL PROYECTO DE AUDITORÍA

Pág.CAPÍTULO 1. EMPRESA / ÁREA INFORMATICÁ ………………………………..05

1.1. INSTITUCIÓN. ………………………………………………………………….………………..06

1.2. ÁREA INFORMÁTICA. …………………………………………………….………………..10

1.3. F.O.D.A Y FACTORES CRÍTICOS DE ÉXITO DEL ÁREA INFORMÁTICA. ………………………………………………………………..…………………11

1.4. PROYECTOS O PRODUCTOS INFORMÁTICOS ÚLTIMOS AÑOS. ………. 121.5. TENDENCIA INFORMÁTICA EN HARDWARE Y SOFTWARE ……. 121.6. INTERNET. ………………………………………………………………………………

121.7. INVENTARIO GENERAL DE PARQUE INFORMÁTICO ……….……………….

13

CAPÍTULO 2. ÁREA INFORMÁTICA - DIAGNOSTICO. ………………….…… 142.1. ÁREA DE NEGOCIO "CENTRO DE INFORMACIÓN" O EQUIVALENTE

………………………………………………………………………….……….152.2. CARGOS FUNCIONALES Y OPERATIVOS ……………..……………………………

152.3. FUNCIONES POR EQUIPO DE TRABAJO ………………..

…………………………..152.4. POSICIÓN ESTRATÉGICA DE LA DEPENDENCIA EN EL

ORGANIGRAMA ……………………………………………………..………………………….17

2.5. MANUAL DE PROCEDIMIENTOS ADMINISTRATIVOS INFORMÁTICOS. …………………………………………………..…………………………..17

2.6. DOCUMENTOS DE GESTIÓN QUE POSEEN EN INFORMÁTICA. ….……..172.7. PRELIMINAR (DIAGNOSTICO) …………………………………………………..

………18

CAPÍTULO 3. JUSTIFICACIÓN ADECUACION Y FORMALIZACIÓN. ….…. 203.1. ORIGEN DE LA AUDITORÍA…………………………………………………………..

…. 21

3.2. ALCANCE DE LA AUDITORÍA…………………………………………………………... 21

3.3. ANTECEDENTES……………………………………………………………………………..…. 21

3.4. ENFOQUE A UTILIZAR…………………………………………………………………..….. 22

3.5. CRONOGRAMA DE TRABAJO3.6. DOCUMENTOS A SOLICITAR3.7. MOTIVO O NECESIDAD DE UNA AUDITORIA INFORMATICA3.8. JUSTIFICACION (Revisión informal)

3.8.1. ÁREAS A AUDITAR3.8.2. MATRIZ DE RIESGOS3.8.3. PLAN DE AUDITORIA EN INFORMATICA

3.9. ADECUACION3.9.1. METODOS3.9.2. TECNICAS3.9.3. HERRAMIENTAS3.9.4. PLAN DE AUDITORIA DE ACUERDO AL CLIENTE3.9.5. PLAN DETALLADO

3.10. FORMALIZACION (Revisión formal)3.10.1. PLAN APROBADO.3.10.2. COMPROMISO EJECUTIVO.

CONCLUSIONES Y RECOMENDACIONES

BIBLIOGRAFÍA

ANEXOS

EMPRESA - AREA INFORMATICA EMPRESA - AREA INFORMATICA

1.1. INSTITUCIÓN Logo:

Dirección:“Instituto de Ciencias Químicas” se encuentra actualmente ubicado en el en la Escuela Superior Politécnica del Litoral - Guayaquil - Ecuador Campus Gustavo Galindo km. 30.5 Vía Perimetral

Organigrama (MODELO)

COORDINACIÓN

Unidad de Investigación

Unidad de Capacitación

Unidad de Publicidad y Marketing

Unidad de Gestión

Centro de información

OAOficina Administrativa

Proyecto de Investigación

Proyecto Semillas

Proyecto Publicación Manuales

Proyecto GEP

Proyecto Capacitación

Unidad de Semillas

Misión y Visión: Misión:

Visión:

1.2. SERVICIOS QUE BRINDA

1.3. ÁREA INFORMÁTICA (modelo) La institución no cuenta con un área específica de informática, pero dispone

de una red de tipo estrella que esta en el área de administración u oficina

Administrativa (OA) y esta constituida por 3 computadoras Pentium IV y una

PC portátil (Laptop).

1.4. F.O.D.A Y FACTORES CRÍTICOS DE ÉXITO DEL ÁREA INFORMÁTICA

Factores Internos

Factores Externos

LISTA DE FORTALEZAS “F”F1. Nivel de desempeño del personal F2. Sus Equipos e Instalaciones están en buenas

condicionesF3 Cuenta con una pagina web

LISTA DE DEBILIDADES “D”D1. No existen planes de seguridad para salvaguardar la

data.(modelo)D2. Distribución inadecuada de los equipos de computo(modelo)

LISTA DE OPORTUNIDADES “O”O1. Existencia de Tecnología de

información que puede ser usada a favor de la empresa

O2. Rediseñar de áreasO3. Nuevos convenios para adquirir

nuevos equipos

Mantener políticas de capacitación de personal respecto al uso de nuevas tecnologías.Rediseñar eficazmente las áreas, mejorando las instalaciones (racionalizar) y reubicando equipos.Aprovechar la tecnología existente para rediseñar el Website actual, convirtiéndolo portal dinámico, donde puedan realizarse las operaciones transaccionales referentes a la empresaAprovechar el Internet para publicitar la Empresa

Aprovechar la existencia de tecnologías de infamación empresa para consolidar la constitución de un área informática claramente definida.Aprovechar el espacio existente en la empresa para reubicar los equipos de cómputo en lugares mas adecuados.

LISTA DE AMENAZAS “A”A1. Planificación y control

inadecuados en la forma de trabajo.(modelo)

A2. Gastos innecesarios (modelo)

Aprovechar las capacidades del personal y reformular planes para que se adapten a la realidad de la empresa.Aprovechar los beneficios de e business, evitando compras de materiales publicitarios o de escritorio innecesarios

Rediseñar planes tomando en cuenta la nueva área informáticaElaborar un plan de presupuestosMantener actualizado el inventario de equipos existentesReasignar equipos de computo según el uso.

FACTORES CRITICOS DE EXITO Conocer la situación real de la empresa, nos permitirá detectar los

problemas y necesidades. Conocer el entorno actual de la empresa, es decir, el

comportamiento de la competencia, los proyectos de legislación que afecten sus intereses.

Contar con información adecuada y oportuna sobre los aspectos financieros y operativos de la empresa, para realizar un buen plan se debe de contar con toda la información necesaria de la empresa.

1.5. PROYECTOS O PRODUCTOS INFORMÁTICOS ÚLTIMOS AÑOS

Entre los proyectos informáticos implementados en los últimos años, se puede mencionar el software Suite CompSis (modelo), que es un programa diseñado para ayudar el los procesos del plano contable

1.6. TENDENCIA INFORMÁTICA EN HARDWARE Y SOFTWARE HardwareRespecto al hardware, actualmente la empresa cuenta con 3 equipos de computo, de los cuales 2 han sido adquiridos en el año 2005 y uno en el 2006aparte de esto se cuenta con una laptop que pertenece al director ejecutivo y es de su uso personal; además se pretende realizar adquisiciones de una PC y un proyector multimedia, a la empresa D’

Computo, dependiendo de la viabilidad del proyecto a ejecutar. (modelo),

SoftwareAquí, la tendencia de la empresa, esta del lado del software propietario de Microsoft, por lo que la empresa cuenta con el sistema operativo Windows 2000 y Windows XP, además, todas las computadoras (las 3 PC’s) cuentan con el software Microsoft Office 2003 completo (Herramientas de Microsoft office, Microsoft Office Access 2003, Microsoft Office Excel 2003, Microsoft Office FrontPage 2003, Microsoft Office Publisher 2003, Microsoft Office Word 2003, Microsoft Office Tools, Microsoft Office Project 2003 y

Microsoft Office Visio 2003) modelo

1.7. INTERNET

El acceso a Internet que utiliza la empresa es INFOINTERNET de 512 kbps, servicio de conexión permanente a Internet a través de la Red

de TDC de comunicación Síncrona; modelo brindada por la ESPOL

1.8. INVENTARIO GENERAL DE PARQUE INFORMÁTICO (modelo )

::: HARDWARE :::Nombre de equipo:

PC 37 PC 38 PC 39

CPU: Pentium 4 - 1.5 GHz Pentium 4 - 2.6 GHz Pentium 4 - 2.4 GHzMemoria RAM: 256 MB 256 MB 261,408 KBDisco Duro: S-ATA 7200 - 80GB S-ATA 7200 - 80GB S-ATA 7200 - 80GBTarjeta de red: D-Link DFE – 530 PCI

Fast Ethernet AdapterD-Link DFE – 530 PCI Fast Ethernet Adapter

D-Link DFE – 530 PCI Fast Ethernet Adapter

MODEM: Motorota SM56 Voice Modem

-  

Puerto: OM1 & LPT1 OM1 & LPT1 OM1 & LPT1Lectora de CD: Creative – 52x Creative – 52x Creative – 52xGrabadora de CD:

LG – 48 x 24 x 48 LG – 52 x 24 x 52 LG – 52 x 24 x 52

Unidad de disquete:

NEC NEC NEC

Monitor: Samsung 793s – 17” Samsung 793s – 17” Samsung 793s – 17”Teclado: Teclado Estándar BTC

en español PS2Teclado Estándar BTC en español PS2

Teclado Estándar BTC en español PS2

Mouse: Clásico PS2 color blanco

óptico PS2 + rueda óptico PS2 + rueda

Estabilizador: 1000 W Hibrido 1000 W Hibrido 1000 W HibridoSupresor de Picos:

Omega – 6 tomacorrientes

Omega – 6 tomacorrientes

Omega – 6 tomacorrientes

Impresora:   Hp deskjet 3650 Hp Laserjet 1200 seriesScanner:   scantjet 3570c

::: SOFTWARE :::Sistema Operativo:

Microsoft Windows XP Profesional –

Microsoft Windows XP Profesional – Versión

Microsoft Windows 2000 5.00.2195 con Service

Versión 2002 Con Service Pack 2

2002 Con Service Pack 2

Pack 4

Herramientas: Oficce 2003 - Completo

Oficce 2003 - Completo Oficce 2003 - típica

Nero Nero   NeroVirus Scan Virus Scan  Virus ScanCorel Draw v.12    Roxio Easy

CD creadorSuite ContaSis

* Para apreciar la disposición de equipos existentes en la empresa, VER ANEXO - Figura Nº

AREA INFORMATICA - DIAGNOSTICOAREA INFORMATICA - DIAGNOSTICO

2.1. ÁREA DE NEGOCIO "CENTRO DE INFORMACIÓN" O EQUIVALENTE Cconstatamos la existencia de un Centro de Información en la empresa,

2.2. POSICIÓN ESTRATÉGICA DE LA DEPENDENCIA EN EL ORGANIGRAMA El centro de información, actualmente cumple sus operaciones están y existe un responsable (modelo)

2.3. MANUAL DE PROCEDIMIENTOS ADMINISTRATIVOS INFORMÁTICOS Se pudo verificar que Actualmente la empresa “PROMENESTRAS tex.” No cuenta con dicho documento.(modelo)

2.4. DOCUMENTOS DE GESTIÓN QUE POSEEN EN INFORMÁTICA El instituto tampoco dispone de la documentación requerida en este caso considerada como son: Un Plan de Contingencias

COORDINACIÓN

Unidad de Investigación

Unidad de Capacitación

Unidad de Publicidad y Marketing

Unidad de Gestión

Centro de información

OAOficina Administrativa

Proyecto de Investigación

Proyecto Semillas

Proyecto Publicación Manuales

Proyecto GEP

Proyecto Capacitación

Unidad de Semillas

Aplicación de técnicas de Intranet Gestión óptima de software adquirido a medida por entidades públicas Mantenimiento de equipos de computación Seguridad de programas , de datos y equipos de cómputo

JUSTIFICACION ADECUACION YJUSTIFICACION ADECUACION Y FORMALIZACIONFORMALIZACION

3.1. ORIGEN DE LA AUDITORÍA La presente auditoría surge como necesidad de llevar a la práctica los conocimientos adquiridos en el aula y hacer del curso de Software y Hardware del PC una experiencia vivenciada.Ha elección del equipo de trabajo, que para efectos de practica, se escogió al Instituto de Ciencias Químicas para que sea la empresa auditada, a la cual se pudo acceder gracias la intervención de una compañera del equipo que logro contactarnos con la misma

3.2. ALCANCE DE LA AUDITORÍA La auditoría realizada fue aplicada al Instituto de Ciencias Químicas en su totalidad

3.3. CRONOGRAMA DE TRABAJO

Nombre de Tarea Duracion Fecha Inicio Fecha Fin

Identificación de la empresa 1 27/01/2009 27/01/2009

Presentación informal 1 28/01/2009 28/01/2009

Reconocimiento del ICQ 1 29/01/2009 29/01/2009

Entrega del cuestionario 1 30/01/2009 30/01/2009

Verificación de equipos y software existente 2 03/02/2009 04/02/2009

Verificación de documentación 2 05/02/2009 06/02/2009

Elaboración de informe 3 07/02/2009 09/02/2009

3.4. DOCUMENTOS A SOLICITAR Según las normas de Auditoría Gubernamental NAGU, específicamente la NAGU 500, Los documentos validos ante GRPP son:

500-01 Organización del Área de Informática: La dirección debe establecer políticas para la organización adecuada del área de Informática que permita cumplir sus actividades con eficiencia, contribuyendo al desarrollo de las operaciones de la entidad.

500-02 Plan de sistemas de información: Toda entidad que disponga de un área de informática debe implementar un plan de sistemas de información con el objeto que prever que el desarrollo de sus actividades contribuya al logro de sus objetivos institucionales.

500-03 Controles de datos fuente, de operación y de salida: Deben diseñarse controles con el propósito de salvaguardar los datos fuente de origen, operaciones de proceso y salida de información, con la finalidad de preservar la integridad de la información procesada por la entidad.

500-04 Mantenimiento de equipos de computación: La dirección de cada entidad debe establecer políticas respecto al mantenimiento de los equipos de computación que permitan optimizar su rendimiento.

500-05 Seguridad de programas de datos y equipos de cómputo: Deben establecerse mecanismos de seguridad en los programas y datos del sistema para proteger la información procesa da por la entidad, garantizando su integridad y exactitud, así como respecto de los equipos de computación.

500-06 Plan de contingencias: El Área de Informática debe elaborar el Plan de Contingencias de la entidad que establezca los procedimientos a utilizarse para evitar interrupciones en la operación del sistema de cómputo.

500-07 Aplicación de técnicas de INTRANET: La implementación de las técnicas de INTRANET dentro de las entidades debe efectuarse con el objeto de fortalecer el control interno e incrementar la eficiencia de las comunicaciones internas, previa evaluación del costo-beneficio que reportaría su aplicación.

500-08 Gestión óptima de: Debe establecerse políticas sobre el software

3.5. JUSTIFICACION (Revisión informal) Se determinó que, debido a que el Instituto, cuenta con accesorios informáticos, creemos importante abordar los siguientes puntos La organización debe aprovechar al máximo los equipos de cómputo

con los que cuenta. Los equipos de computo deben estar mejor estructurados La empresa debe contar con backup de sus datos La empresa debe contar tanto con documentos de gestión y manuales técnicos

3.6. ADECUACIÓN 3.6.1. MÉTODOS

Visualización del Panorama: verificación de las funciones, seguridad de los equipos, cableado, etc.

Verificación de documentos de gestión. Análisis de los Requerimientos de Usuarios.

3.6.2. TÉCNICAS Observación Entrevistas Cuestionarios

3.6.3. HERRAMIENTAS Papel Lapicero Scanner (hp scanjet 2400) Microsoft Office Word 2003 Microsoft Office Excel 2003

del personal en aspectos informáticos.

3.6.4. PLAN DETALLADO Examinar los equipos de computo, para determina si los

mismos, se adaptan a sus requerimientos Verificar el estado de sus equipos de computo Reestructurar la red existente tanto con normas de cableado

estructurado como la ubicación adecuada de sus equipos. Brindar una mayor seguridad a la información de la empresa.

DESARROLLO DE AUDITORIASDESARROLLO DE AUDITORIAS ESPECIFICASESPECIFICAS

4.1. AUDITORÍA FÍSICA 4.1.1. ALCANCE

Esta auditoría fue aplicada en todas las áreas que se encuentran en ejecución puesto que en ella se encuentran los equipos de cómputo con los que dispone la empresa, y en donde se evaluará: Organización y calificación del personal de Seguridad. Planes y procedimientos de Seguridad y Protección Sistemas técnicos de Seguridad y Protección.

4.1.2. OBJETIVOS Verificar la ubicación y seguridad de las instalaciones. Determinar y evaluar la política de mantenimiento y

distribución de los equipos. Evaluar la seguridad, utilidad, confianza, privacidad y

disponibilidad en el ambiente Verificar la seguridad del personal, datos, hardware,

software e instalaciones Revisión de políticas y normas sobre seguridad Física

de los medios, como son: Edifico, Instalaciones, Equipamiento y Telecomunicaciones, Datos y Personas.

Verificar si la selección de equipos y Sistemas de computación es adecuada.

4.1.3. DESARROLLO DE LA AUDITORÍA

SEGURIDAD FÍSICAUbicación de la Oficina CentralLa oficina central se encuentra ubicada en los interiores y no tienen previsto un local alternativo En dicho ambiente se llevan a cabo operaciones de

Coordinación, Administración Además, allí se encuentra almacenada toda la

documentación concerniente al Instituto De igual forma, todos los equipos de cómputo con los

que cuenta la empresa, se encuentran en este ambiente.

Seguridad General(modelo ) De acuerdo a las observaciones realizadas en la

oficina, la ubicación de los equipos de computo no constituyen un inconveniente para los accesos y salidas de la misma, sin embargo, cabe resaltar que el servidor se encuentra en un lugar vulnerable.

En lo referente a la seguridad eléctrica, se pudo verificar que cables no están debidamente colocados, pues están a la vista de todos de forma desorganizada, además, cerca de la puerta de ingreso, existen varios cables sueltos, los cuales constituyen un riesgo y puede ocasionar desastres mayores.

Lo mismo ocurre con el cableado de red, para el cual no se ha previsto el uso de canaletas ni de caja toma datos.

Plan de ContingenciaDe acuerdo con el Inventario de Documentos realizado en la empresa; se pudo verificar que muchos de los lineamientos del plan de Contingencia que poseen, no han sido ejecutados a la fecha.

Control de accesosPuesto que se trata de un ambiente relativamente pequeño, no es imprescindible contar con un sistema para ello; todos los accesos son verificados en la entrada principal de la sede.

Selección de personalEl personal que labora en la empresa cuenta con los conocimientos indispensables para su labor, los cuales han sido seleccionados de una manera adecuada, tanto por concurso así como respectivas entrevistas

Seguridad de datosActualmente la duplicación y preservación de la información depende de cada usuario, quien es responsable de proteger su información contra pérdidas, modificación de las mismas y accesos a personal no autorizado.

DISTRIBUCIÓN Y MANTENIMIENTO DE EQUIPOSDistribución de los equipos informáticosNo existen mayores dificultades, puesto que todos los equipos informáticos yacen en un mismo ambiente, y por cuyas dimensiones no son representa gran inconveniente.

Mantenimiento de los equipos informáticosEn cuanto a su mantenimiento no se cuenta con personal adecuado y capacitado para solucionar problemas en el mal funcionamiento del hardware, lo cual retrasa el trabajo del usuario del equipo afectado.

Según la información obtenida, no se tiene plan o cronograma para el mantenimiento de equipos, por lo que el mismo se da esporádicamente para lo cual se hace uso de servicios técnicos externos.

1. Normativa aplicada y excepciones Para esta auditoría se ha tomado en cuenta la Normas de Auditorias Gubernamentales: “Normas de Control Interno para sistemas computarizados” (NAGU 500).

2. ConclusionesLa seguridad física en la Institución, según las normativas aplicadas, es favorable aunque con ciertas salvedades.No se han tomado las previsiones necesarias en caso de futuros riesgos

3. ResultadosDe acuerdo a los objetivos planteados previamente, los resultados serían los siguientes: Verificar la ubicación y seguridad de las instalaciones.

- Ubicación de la institución, favorable con salvedades- Seguridad de las instalaciones en cuanto a vigilancia,

favorable, puesto que se cuenta con la seguridad adecuada- Identificación de Salidas, favorable con algunas salvedades

como el cuidado de no colocar objetos que obstruyan el paso

- Seguridad ante Sismos, desfavorable, debido a que la salida inmediata del ambiente coincide con la de Ingreso

- Seguridad eléctrica, favorable con salvedades; falta organización en el cableado.

Verificar la seguridad de información.- La data, además de ser almacenada en el servidor, esta a

disposición de los trabajadores, quienes portan la documentación en disquete u otros dispositivos de almacenamiento, como CD, memorias USB, echo poco favorable debido posible plagio de información.

Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente

- Aspecto desfavorable, debido a que el ambiente es pequeño, y no se cuenta con la seguridad debida.

Verificar si la selección de equipos y Sistemas de computación es adecuada.- Desfavorable, puesto que todas las computadoras,

indistintamente de las características particulares que pueda tener, son usadas para un mismo propósito

2. Identificación y Firma del Auditor

______________ ______________

______________________________

4.2. AUDITORIA OFIMÁTICA 4.2.1. ALCANCE

La auditoria Ofimática fue aplicada en todas las áreas que se encuentran en aplicación Los puntos que se tomarán son, Revisión de: inventario, políticas de mantenimiento, licencias, desempeño del software existente, seguridad de la data

4.2.2. OBJETIVOS Determinar si el inventario ofimático refleja con

exactitud los equipos y aplicaciones existentes en la organización

Determinar y evaluar la política de mantenimiento definida en la organización

Verificar el desempeño del software empleado en la institución

Verificar la legalización del software utilizado. Verificar la seguridad en la data

4.2.3. DESARROLLO DE LA AUDITORÍATodas las opiniones profesionales vertidas en este documento están respaldadas por las entrevistas, inventarios y observaciones realizadas durante las visitas a la Institución.

INVENTARIODe acuerdo a la investigación realizada por la consultor el Insituto si cuenta con un inventario, por lo cual saben con exactitud con cuantos equipos de hardware/software cuentan.

MANTENIMIENTOEl ICQ si cuenta con una política de mantenimiento preventivo de sus equipos

SISTEMAS – NECESIDADES modelo Actualmente existen dos aplicaciones en red que son: Sistema contable financiero (suite contasis), Sistema comercial (Suite contasis) pero dichas aplicaciones no son utilizados actualmente. Además cabe recalcar que algunos accesorios de cómputo no se utilizan a cabalidad como por ejemplo las quemadoras y lectoras, son 3 computadoras de escritorio y cada uno de ellos posee una quemadora y lectora, pero estos accesorios se utilizan con poca frecuencia.

LICENCIAMIENTO Los Software que se utilizan el ICQ solo dos sistemas cuentan con licencias (sistema contable, sistema comercial) el resto ninguno de ellos cuentan con licencia, esto puede ser perjudicable para la empresa ya que puede haber fuertes sanciones por el uso ilegal

APLICACIONES INSTALADASNo existe un control del software que los trabajadores puedan descargar de Internet y el uso que le den a los mismos, de igual forma de software no licenciado que puedan instalar en los equipos.

COPIAS DE SEGURIDAD

EL ICQ no realizan copias de seguridad (backup) de sus datos, ya que ante un desastre físico (robo, hurto) o lógico (virus) se pierde toda la data.

5.- Normativa aplicada y excepciones

Para esta auditoría se toman en cuenta la norma ISO 17799 y Normas de Auditorias Gubernamentales: “Normas de Control Interno para sistemas computarizados” (NAGU 500).

6. Alcance El presente trabajo de auditoria ofimática, comprende el periodo

mencionado anteriromente

7. ConclusionesEl aspecto ofimático de la Institución, en la opinión del auditor a

base de las normativas aplicadas, es favorable aunque con salvedades.

No todo el software propietario que se maneja en la institución está debidamente licenciado, caso de los sistemas operativos y las herramientas de escritorio (Office).

8. Resultados

Revisión del inventario de los accesorios de cómputoo No cuentan con un inventario del parque informático

Revisión de las licencias del software.

o No todo el software propietario que se maneja en la institución está debidamente licenciado, caso de los

sistemas operativos y las herramientas de escritorio (Office)

Verificar el desempeño del software empleado en la institución

o Actualmente existen dos aplicaciones en red que son: Sistema contable financiero (suite contasis), Sistema comercial (Suite contasis) pero dichas aplicaciones no son utilizados actualmente, por lo que no se le puede dar un calificativo de desempeño.

Seguridad en la Datao La seguridad en los datos es baja porque no cuentan

con medidas de seguridad, como por ejemplo los backup.

9.- Conclusiones

No cuentan con un inventario del parque informático No realizan mantenimientos preventivos Algunos sistemas no se adecuan a sus requerimientos Los software no cuentan con licencias No hay un control en las aplicaciones instaladas por el usuario No realizan copias de seguridad

10.- Recomendaciones

Establecer procedimientos para la realización de inventario de aplicaciones el cual como mínimo debe incluir el número de versión instalada, la fecha de instalación , la última fecha de mantenimiento realizado, la plataforma de trabajo, en caso que se adquiera el software se debe registrar el número del documento con el que ingresa, el número de licencia, y el número del manual que se puede consultar para su mantenimiento y utilización .EL inventario de aplicaciones se debe realizar por a cada computadora existente en las dependencia de Dirección.

Realizar un mantenimiento preventivo de equipos informáticos para reducir el índice de equipos dañados, minimizar la interrupción en las tareas del usuario con el equipo dañado y evitar el pago a terceros por el soporte técnico.

Formular vías para adquirir software licenciado. Controlar el ingreso de software y aplicaciones a la institución

por el personal. Las copia de seguridad debe realizarse semanalmente

quedando una copia en la Empresa y la otra debe ser guardada fuera de la Empresa en caso de que sucediera algún desastre.

Desarrollar y hacer uso de normas y procedimientos para la instalación y la actualización periódica de productos antivirus.

11. Identificación y Firma del Auditor

4.3. NFORME FINAL DE AUDITORÍA CONCLUSIONES Y RECOMENDACIONES

AUDITORÍA FÍSICACONCLUSIONES Y COMENTARIOS

Se Pudo verificar la falta de seguridad, en la entrada principal de la institución

La empresa “PROMENESTRAS tex.” Debido a que cuenta con el apoyo del gobierno regional, de acuerdo convenio, solo ha mostrado preocupación en lo referente a las operaciones propias del negocio, olvidándose en cierta parte de la responsabilidad para con sus usuarios y trabajadores.

También se observó que el servidor de datos se encuentra en un lugar poco apropiado y riesgoso, pues esta ubicado cerca de la entrada principal de la empresa, sin seguridad alguna

El ambiente principal se encuentra toda la documentación física de la empresa, la misma que por tratarse de papeles, folios y aerosoles constituyen material altamente inflamable, pese a ello no se cuenta con un sistema contra incendios y por aun el personal no se encuentra capacitado para el uso de ellos.

Se pudo verificar que la empresa, no cuenta con un UPS en caso de perdida de energía eléctrica.

Se observó que el mantenimiento realizado a los equipos de cómputo existente es en mayor proporción correctivo que preventivo.

La data, además de ser almacenada en el servidor, esta a disposición de los trabajadores, quienes portan la documentación en disquete u otros dispositivos de almacenamiento, como CD, memorias USB, echo poco favorable debido posible plagio de información.

Falta recomendaciones

Auditoría ofimática

4.3.1. CONCLUSIONES Y COMENTARIOS No cuentan con un inventario del parque informático No realizan mantenimientos preventivos Algunos sistemas no se adecuan a sus requerimientos El software no cuentan con licencias No un control en las aplicaciones instaladas por el

usuario No realizan copias de seguridad

4.3.2. RECOMENDACIONES Establecer procedimientos para la realización de

inventario de aplicaciones el cual como mínimo debe incluir el número de versión instalada, la fecha de instalación , la última fecha de mantenimiento realizado, la plataforma de trabajo, en caso que se adquiera el software se debe registrar el número del documento con el que ingresa, el número de licencia, y el número del manual que se puede consultar para su mantenimiento y utilización .EL inventario de aplicaciones se debe realizar por a cada computadora existente en las dependencia de Dirección.

Realizar un mantenimiento preventivo de equipos informáticos para reducir el índice de equipos dañados, minimizar la interrupción en las tareas del usuario con

el equipo dañado y evitar el pago a terceros por el soporte técnico.

Formular vías para adquirir software licenciado. Controlar el ingreso de software y aplicaciones a la

institución por el personal. Las copia de seguridad debe realizarse semanalmente

quedando una copia en la institución y la otra debe ser guardada fuera de la organización en caso de que sucediera algún desastre.

Desarrollar y hacer uso de normas y procedimientos para la instalación y la actualización periódica de productos antivirus.

BIBLIOGRAFÍA

ANEXOS

Cuestionario Nº 1

Dirigida a

1. ¿Actualmente, la empresa cuenta con área informática?Si No

2. ¿Cuántos proyectos informáticos a tenido en los últimos 2 años? Especifique.__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

3. ¿Cuantos productos informáticos (Software/Hardware) ha adquirido en los 2 últimos años? Especifique.___________________________ _________________________________________________________ _________________________________________________________ _________________________________________________________ ______________________________

___________________________ _________________________________________________________ ______________________________

4. ¿La empresa actualmente cuenta con servicio de Internet?Si No

¿Cual? ______________________________________________

5. ¿Con cuantos documentos de gestión cuenta la empresa/Centro de Información? Especifique._______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

6. ¿La empresa cuenta con un manual de Organización y funciones (MOF)?

Si No

¿De que año? _______________________

Especifique las áreas existentes___________________________ _________________________________________________________ _________________________________________________________ _________________________________________________________ ______________________________

7. ¿La empresa cuenta con un Reglamento de Organización y funciones (ROF)?

Si No

¿De que año? _______________________

Guayaquil___ de ______ del 2009

Cuestionario Nº 2

1. ¿Quiénes son sus proveedores?___________________________ ___________________________________________________ ___________________________________________________ ___________________________________________________ ___________________________________________________ ___________________________________________________ ___________________________________________________ ___________________________________________________ ___________________________________________________ ___________________________________________________ ___________________________________________________ ________________________

2. ¿La empresa ha sido audita con anterioridad (cualquier tipo de auditoria)?

Si No

¿En que fecha? _________________________¿Por quien? _________________________

3. ¿Cuentan con un inventario informático de equipos de cómputo?

Si No

¿Por que? __________

4. ¿Cada cuanto tiempo realiza mantenimiento a sus equipos de cómputo?

Una vez al año Cuando falla el equipo

Cada 6 meses Nunca

5. ¿La empresa cuenta con aseguración en caso de desastre?

Si No

¿Por que? __________

6. ¿Cuentan con un local alternativo para luego de culminado el acuerdo de cesión en uso con el gobierno regional? ¿Donde esta ubicado?

Si ¿Dónde? ______________

No ¿Por que? __________

Guayaquil___ de ______ del 2009