1
“Año de la Diversificación Productiva y del Fortalecimiento de la Educación”
Universidad NacionalFederico Villarreal
Facultad de Ingeniería Industrial y de SistemasEscuela Profesional de Ingeniería de Sistemas
CURSO : AUDITORIA DE SISTEMAS
PROFESOR : ING. BERTHA
TEMA : EX. FINAL
ALUMNO :
AÑO : 2015
1
2
ContenidoETAPA PRELIMINAR............................................................................................................................3
Antecedentes.................................................................................................................................3
DIAGNOSTICO DE LA EMPRESA EDITORA PERU............................................................................4
MISIÓN.......................................................................................................................................4
VISIÓN........................................................................................................................................4
NUESTROS VALORES...................................................................................................................4
SERVICIOS...................................................................................................................................5
OBJETIVOS..................................................................................................................................5
ORGANIGRAMA..........................................................................................................................6
MATRIZ FODA.............................................................................................................................7
DIAGNOSTICO DEL AREA DE TECNOLOGIA DE LA INFORMACION................................................8
OBJETIVO GENERAL....................................................................................................................8
Organigrama...............................................................................................................................8
RECURSOS INFORMÁTICOS EXISTENTES DEL ÁREA DE TECNOLOGIA DE LA INFORMACION......9
ETAPA DE JUSTIFICACIÓN Matriz de Riesgo.....................................................14
PLAN GENERAL DE AUDITORIA.....................................................................................................18
PLAN DETALLADO.........................................................................................................................22
ENTRAVISTAS & ENCUESTAS........................................................................................................26
AREA DE MANTEMIENTO:........................................................................................................26
AREA REDES Y COMUNICACIÓN...............................................................................................26
AREA BASE DE DATOS.......................................................................................................27
AREAS DE OPORTUNIDAD............................................................................................................28
ETAPA IMPLEMENTACION........................................................................................................29
CONCLUSION............................................................................................................................29
RECOMENDACION...................................................................................................................29
2
3
ETAPA PRELIMINAR
Antecedentes
EDITORA PERU inicia sus operaciones el 12 de febrero de 1976, con el establecimiento del Primer Directorio; de acuerdo con lo establecido en el Decreto Ley Nº 21420, Ley Orgánica de la Empresa. Dicha disposición establecía que Editora Perú asumía las actividades de Editora La Crónica y Variedades S.A., de Empresa Editora del Diario Oficial El Peruano y de Editorial Virú S.A.; con la finalidad de editar los diarios La Crónica, La Tercera y el Diario Oficial El Peruano. Además, encargarse de la impresión de libros, revistas, folletos y toda clase de publicaciones con el fin de incentivar y difundir la cultura a escala nacional.
Mediante el Decreto Legislativo Nº 181, del 12 de junio de 1981, EDITORA PERÚ se constituye en una empresa estatal de derecho privado, organizada como una sociedad anónima, siendo su razón social Empresa Peruana de Servicios Editoriales S.A.
Como tal rige por la Ley Nº 27170, Ley de creación de FONAFE, Decreto Legislativo 1031, su reglamento aprobado por DS 176-2012-EF, por las directivas que emite anualmente el Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE) del Ministerio de Economía y Finanzas, por las normas de control que específicamente dicta la Contraloría General de la República y, supletoriamente, por la Ley de Sociedades.
El campo de acción de EDITORA PERÚ incluye la realización de toda clase de actividades relativas a la difusión oportuna de la información legal y oficial, al procesamiento y difusión de noticias, así como aquellas actividades productivas, comercializadoras y de servicios vinculados a la educación, la cultura y las noticias.
Actualmente EDITORA PERÚ cuenta con tres grandes líneas de negocio: el Diario Oficial El Peruano, la Agencia Peruana de Noticias ANDINA y la línea de Servicios Editoriales y Gráficos - SEGRAF -; acorde con la política de modernización del Estado, constituyéndose actualmente como una empresa moderna, con una gestión orientada a satisfacer las necesidades de sus clientes y con líneas de trabajo muy claras, señaladas en un plan de desarrollo estratégico.
3
4
DIAGNOSTICO DE LA EMPRESA EDITORA PERU
MISIÓN
“Difundir y publicar información legal, oficial del Estado y noticias de la realidad nacional e internacional, de manera plural, objetiva, oportuna y confiable."
VISIÓN
“Empresa de comunicación oficial del Estado, modelo de gestión comprometido con la excelencia."
NUESTROS VALORESValores personales. Los funcionarios y trabajadores de la empresa tienen la obligación de fomentar y mantener un ambiente de trabajo que respalde el comportamiento ético y estimule activamente un diálogo abierto. La conducta de las personas que laboran en la empresa se rige por un conjunto de valores comunes que se aplican a todas las acciones institucionales y personales. Los valores personales que identifican a los trabajadores de Editora Perú son los siguientes:
1. Respeto2. Vocación de servicio3. Integridad4. Solidaridad5. Transparencia
Valores institucionales. Los principios generales son las prioridades que rigen el accionar de la empresa, los cuales influyen en las decisiones tomadas. Los valores institucionales que suscribe Editora Perú son los siguientes:
1. Compromiso nacional, ético y patriótico2. Veracidad3. Objetividad4. Pluralidad5. Oportunidad6. Eficiencia7. Innovación y tecnología8. Inclusión social e integración9. Sostenibilidad10. Excelencia
4
5
SERVICIOSDe acuerdo a los Estatutos de la empresa, su objeto principal es ser un medio de comunicación social, dedicado a toda clase de actividades relativas a la difusión oportuna de la información legal y oficial, al procesamiento y difusión de las noticias y aquellas actividades productivas, comercializadoras y de servicios, vinculadas a la educación, la cultura, las noticias y la publicidad, buscando que los servicios que presta sean de acceso a la población y desarrollando tales actividades en condiciones de eficiencia, productividad y competitividad.
Asimismo, la empresa tiene por objeto la impresión, edición y distribución de toda clase de publicaciones, y en forma especial, editar el Diario Oficial “El Peruano”; además de procesar y difundir noticias en el Perú y en el extranjero a través de su Agencia de Noticias “Andina”. Igualmente la empresa podrá dedicarse a la prestación de los servicios editoriales y gráficos, así como de servicios de consulta de base de datos en general.
OBJETIVO ESTRATÉGICO EMPRESA OBJETIVO ESPECÍFICO EMPRESA
Mejorar el valor de la empresa Incrementar la rentabilidadAumentar los ingresos
Reducir los costos de operaciónFortalecer la imagen institucional y de
nuestras marcasMejorar el posicionamiento de nuestros medios de
comunicación
Mejoramiento de nuestros productos periodísticosMejorar la fidelización de los clientes
Promover la transparenciaSer una empresa socialmente
responsableBrindar servicios de apoyo al ciudadano y promover la
educación y la cultura
Fortalecer el desempeño institucional Optimizar los procesosFortalecer el Control de Gestión Empresarial
Disponer de infraestructura y equipamiento adecuadosMejorar la gestión de los Recursos
Humanos y utilización de las Tecnologías de la Información y
Comunicación (TIC)
Mejorar las competencias y la satisfacción del personal
Potenciar los Sistemas y Tecnologías de Información y Comunicación
A manera enunciativa, para el logro de sus fines la empresa podrá producir y/o comercializar bienes y/o servicios; así como dedicarse a la importación y exportaciones de los mismos, a la representación comercial y de servicios o a otras actividades afines, vinculadas o complementarias a su objeto principal.
5
6
OBJETIVOS
ORGANIGRAMA
6
7
MATRIZ FODA
7
8
DIAGNOSTICO DEL AREA DE TECNOLOGIA DE LA INFORMACION
OBJETIVO GENERAL
Tener un panorama actualizado de los sistemas de información en cuanto a la seguridad física, las políticas de utilización, transferencia de datos, seguridad de los archivos y el personal que labora en la institución.
Organigrama
8
GERENTE TI
AREA DE DESARROLLO
Analista - Diseñador
Programador
AREA DE MANTENIMIENTO
Redes y Comunicacion
Soporte Tecnico
AREA DE INFRAESTRUCTURA
Administrador de Seguridad
DBA
9
RECURSOS INFORMÁTICOS EXISTENTES DEL ÁREA DE TECNOLOGIA DE LA INFORMACION
HARDWAREActualmente el área de sistemas cuenta con un total de 45 máquinas de escritorio, 20
impresoras conectadas en red y 3 tipos de servidores, aunque dentro del área se cuentan con algunos otros servidores, los 3 que se describen a continuación son exclusivos del área de sistemas.
EQUIPOS DE ESCRITORIOCantidad Marca Características16 DELL Procesador Core i5, RAM 4 ,Disco Duro 500 GB10 HP Procesador Core i3,RAM 2,Disco Duro 150GB
9
10
5 LENOVO Procesador Core i3,RAM 2,Disco Duro 50GB
IMPRESORASCantidad
Marca Características
8 Impresora Dell Laser a color11 Impresora HP Inyección de tinta color6 Impresora Epson Inyección de tinta color
SERVIDORESCantidad Marca Características
2 Servidores HP Protección de Datos de forma segura.1 Servidor Dell Antivirus (McAfee)
SOFTWARE
Actualmente en los equipos de cómputo del área de sistemas de la empresa tienen instalados diversos sistemas operativos, eso depende del proceso que va realizar el empleado:
Entre los sistemas operativos instalados tenemos:
Windows XP Professional, Windows 7, Windows Server 2008 Microsoft Office 2007. Antivirus McAfee.
Cuenta con herramientas de software para la administración ERP, tanto del negocio como del área en sí.
SAP CO (Control). SAP PS (Sistema de Proyectos). SAP HR (Gestión del personal). SAP PM (Mantenimiento). SAP FI (Gestión Financiera). SAP TR (Tesorería). SAP PP (Planificación). SAP MM (Gestión de materiales).
MATRIZ FODA DEL AREA DE TI
10
11
FUNCIONES DE LAS AREA DE SISTEMAS
Gerente de TI Encargado de la planeación, organización, control y ejecución de los objetivos de informática y de sistemas, además debe suplir las necesidades de tecnologías informáticas dentro de la organización, proponer políticas y estrategias que permitan el buen manejo de la información financiera de la empresa.
Sus principales funciones son: Gerenciamiento del Proyecto, incluyendo los grupos de procesos y las nueve áreas
del conocimiento definidas por PMI: Alcance, Costo, Tiempos, Calidad, Integración, Riesgos, Comunicaciones, RRHH y Compras.
Proponer y participar en el diseño de las soluciones asociadas a los requerimientos. Detectar necesidades de capacitación del equipo del proyecto para lograr una
formación adecuada, alineada a las necesidades del proyecto y al desarrollo profesional de los colaboradores.
Delegar adecuadamente tareas del proyecto para cumplir el mismo en tiempo y forma.
Coordinar con el grupo de trabajo la elaboración de dichos proyectos (Con avaluó y aprobación del Gerente general y sus directivos).
Jefe de Desarrollo Persona encargada de coordinar, y dar un buen seguimiento a la construcción de los proyecto. Analista-Diseñador Debe estar capacitado para analizar, diseñar, programar, implementar y realizar mantenimiento a las aplicaciones requeridas por la empresa.
Programador Un individuo autodidacta, inquieto y sumamente inteligente que busca lo que necesita y lo adopta a sus necesidades, trata (fervientemente) de mantenerse actualizado con las nuevas tecnologías. Debe estar capacitado para analizar, diseñar, programar, implementar y realizar mantenimiento a las aplicaciones requeridas por la empresa.
Jefe de Mantenimiento Persona encargada de gestionar el mantenimiento correctivo y preventivo de los equipos de computación y redes en la organización.
Redes y Conectividad Persona encargada del mantenimiento hardware a los equipos de cómputo, impresoras, fax, etc.
Mantenimiento del Hardware Encargado del mantenimiento de la intranet de la empresa
11
12
Manteamiento de Software Encargado del mantenimiento de la intranet de la empresa.
Jefe de Infraestructura Es el encargado de la seguridad informática, redes y bases de datos, la empresa necesita una cohesión firme y segura en cada uno de los campos que influencia el área de sistemas, la unificación de cada uno de los departamentos en el uso de todos los componentes tecnológicos disponibles para la empresa.
Administrador de Seguridad Persona encargada de la seguridad, confidencialidad de la información.
Administrador de Bases de la Datos (DBA) El Administrador de la Base de Datos o DBA (DataBase Administrator) es el responsable de la Planificación, Diseño de la Arquitectura, Control y Administración de la Base de Datos de la organización.
12
13
13
14
AREA COMPONENTE SUB COMPONENTES SUB-SUB COMPONENTES % %%
AREARESPONSABLE
SOPORTE TECNICO
Software
Monitoreo Monitoreo de las actividades del SW 17
55%
20%
Primer Responsable
Cuantificación Control y racionalización de costos 10
MantenimientoSupervisión y control de la aplicación del software para su buen funcionamiento
25
Procedimientos y Control de Seguridad
Manejar las políticas de seguridad 20
Autentificación del Software
Verificación del origen del Software 18
Políticas de uso del software
Aplicación y verificación de las normativas y estándares de los software
10
Hardware
Gestión Manejo y repartición de recursos 11
45%Segundo
Responsable
Políticas y Procedimientos
Políticas de reemplazo de hardware.24
Elaborar políticas de manejo de equipos y dispositivos
Administración de Hardware
Monitoreo y control sobre el equipo disponible 35Registro de incidencias y adecuación a los recursos físicos por área
SeguridadVerificación si cumple con la medidas de seguridad 30
Respaldo eléctrico
14
15
ETAPA DE JUSTIFICACIÓN Matriz de Riesgo
AREA COMPONENTES SUB COMPONENTES SUB-SUB COMPONENTES %%
AREA RESPONSABLE
Redes y Comunicaciones
Internet
Políticas del uso de internet Seguridad Física de router 17
35%
25%
Tercer Responsable
Verificación del Estado de Router
Documentos de gestión del Router 25Verificar daños directos e indirectos
Monitoreo del Trafico de la Red Controlar la velocidad al acceso 32
Infraestructura de cableado Controlar el tipo de cable 26
Intranet
Seguridad de los accesos Validación de acceso 35
25% Cuarto Responsable
Autenticación de usuariosAcceso autorizado, verificado y controlado.
25
Prevención de Caída del sistema. Monitoreo de los servicios 40
Seguridad
Uso de los protocolos de comunicaciones.
Estado general del uso de los protocolos de comunicaciones.
15
40% Primer Responsable
Control de diagramas de redDiagrama de Red interna y externa
26
Verificar el tipo de cifrado Revisar Documento de tipo de cifrado
37
Seguridad física Monitoreo de los servidores 22
15
16
AREA COMPONENTES SUB COMPONENTES SUB-SUB COMPONENTES %%
AREARESPONSABLE
BASE DE
DATOS
Control de acceso
Evitar acceso a la información digital Restringir el acceso a los programas y archivos15
20%
30%
Segundo Responsable
Administración de usuarios Monitoreo de los usuarios dentro del sistema17
Asignar permisos a los usuarios Actualizar constantemente las contraseñas de accesos20
Mecanismos de autentificación Acceso a los recursos internos23
Evaluar cambios de permisos asignados Control de los derechos y permisos de dicha área25
Control de red
Firewalls Verificar licenciamiento de Firewalls35
35% Tercer Responsable
Incidentes de seguridad de redes Controlar la caída de sistemas de red40
Control de acceso de servicio Salvaguardar la información25
Control de datos
Evitar acceso no autorizado en la BD Encriptación de claves de acceso a la base de datos25
45%
Cuarto Responsable
Tener controles en la BD de aplicaciones.
Asegurar el funcionamiento de BD20
Adecuado nivel de segregación funcional
Asignación de privilegios de la BD15
Registrar actividades de los administradores de datos.
Asegurar que se utilicen los datos, archivos y programas correctos por el procedimiento elegido.
23
Claves de accesoAutenticación de usuarios que necesitan acceder a ciertos recursos internos
17
16
17
17
AREA COMPONENTE SUB COMPONENTES SUB- SUB COMPONENTES %%
AREARESPONSABLE
SEGURIDAD
Documentación
Plan de contingenciaPolíticas para el plan de contingencia
28%
25%
PrimerResponsable
Análisis para identificar y priorizar los componentes.
Priorizar los componentes críticos de TI
Software
Copias de seguridad Realizar copias de seguridad
35% Segundo
ResponsableRealiza pruebas ante
amenazas de diversos tiposRealizar pruebas ante software maliciosos
Plan de Recuperación
Restauración de los sistemasRecuperación de la información perdida 17%
Tercer Responsable
ManteamientoActualización periódicamente
los sistemasPoseer las ultimas TI 15%
Cuarto Responsable
18
PLAN GENERAL DE AUDITORIA
AREA COMPONENTE SUB COMPONENTES SUB-SUB COMPONENTES%
AREAFecha Inicial
Fecha Final
CRONOGRAMA
SOPORTE TECNICO
Software
Monitoreo Monitoreo de las actividades del SW
20%
30-nov 05-dic A-B
Cuantificación Control y racionalización de costos
MantenimientoSupervisión y control de la aplicación del software para su buen funcionamiento
Procedimientos y Control de Seguridad
Manejar las políticas de seguridad
Autentificación del Software
Verificación del origen del Software
Políticas de uso del softwareAplicación y verificación de las normativas y estándares de los software
Hardware
Gestión Manejo y repartición de recursos
30-nov 07-dic C-D
Políticas y ProcedimientosPolíticas de reemplazo de hardware.
Elaborar políticas de manejo de equipos y dispositivos
Administración de Hardware
Monitoreo y control sobre el equipo disponible
Registro de incidencias y adecuación a los recursos físicos por área
SeguridadVerificación si cumple con la medidas de seguridad
Respaldo eléctrico
18
19
Redes y Comunicacione
s
Internet
Políticas del uso de internet Seguridad Física de router
25%
09-dic 13-dic
A-B
Verificación del Estado de Router
Documentos de gestión del Router
Verificar daños directos e indirectos
Monitoreo del Trafico de la Red
Controlar la velocidad al acceso
Infraestructura de cableado Controlar el tipo de cable
Intranet
Seguridad de los accesos Validación de acceso
09-dic 12-dic
C-D
Autenticación de usuariosAcceso autorizado, verificado y controlado.
Prevención de Caída del sistema.
Monitoreo de los servicios
Seguridad
Uso de los protocolos de comunicaciones.
Estado general del uso de los protocolos de comunicaciones.
16-dic 19-dic
A-D
Control de diagramas de red Diagrama de Red interna y externa
Verificar el tipo de cifrado Revisar Documento de tipo de cifrado
Seguridad física Monitoreo de los servidores
BASE DE DATOS
Control de acceso
Evitar acceso a la información digital
Restringir el acceso a los programas y archivos 30% 16-dic 22-dic B-C
19
20
Administración de usuariosMonitoreo de los usuarios dentro del sistema
Asignar permisos a los usuariosActualizar constantemente las contraseñas de accesos
Mecanismos de autentificación Acceso a los recursos internos
Evaluar cambios de permisos asignados
Control de los derechos y permisos de dicha área
Control de red
Firewalls Verificar licenciamiento de Firewalls
20-dic 24-dic A-DIncidentes de seguridad de redes Controlar la caída de sistemas de red
Control de acceso de servicio Salvaguardar la información
Control de datos
Evitar acceso no autorizado en la BD
Encriptación de claves de acceso a la base de datos
23-dic 26-dic B-C
Tener controles en la BD de aplicaciones.
Asegurar el funcionamiento de BD
Adecuado nivel de segregación funcional
Asignación de privilegios de la BD
Registrar actividades de los administradores de datos.
Asegurar que se utilicen los datos, archivos y programas correctos por el procedimiento elegido.
Claves de accesoAutenticación de usuarios que necesitan acceder a ciertos recursos internos
20
21
Primer Responsable ASegundo Responsable BTercero Responsable CCuarto Responsable D
21
SEGURIDAD
Documentación
Plan de contingencia Políticas para el plan de contingencia
25%
25-dic 28-dic A-DAnálisis para identificar y priorizar los componentes.
Priorizar los componentes críticos de TI
Software
Copias de seguridad Realizar copias de seguridad
27-dic 04-ene B-CRealiza pruebas ante amenazas
de diversos tiposRealizar pruebas ante software maliciosos
Plan de recuperación
Restauración de los sistemas recuperación de la información perdida 30-dic 03-ene A-D
ManteamientoActualización periódicamente
los sistemasPoseer las ultimas TI 05-ene 09-ene B-C
22
22
23
PLAN DETALLADO
AREA ACTIVIDADESPRODUCTOS
TERMINADOSRESPON-SABLE
INVOLU-CRADOS
FECHA INICIO
FECHA FINAL
OBSERVACION
SOPORTE TECNICO
Monitoreo
Formato de Encuestas
Perez Rocha , Renzo
Jefe de Auditoria
09-ene 16-ene
Administración de Hardware
Mantenimiento
Procedimientos y Control de Seguridad
Autentificación del Software
Seguridad
Políticas de uso del software
Acceso de Auditoria
Compromiso de Cita
Comprometerse a cita
Pérez Rocha , Renzo
Jefe de Auditoria
Técnico de Soporte Técnico
17-ene 18-ene
Realizar EncuestaEntrevista realizada
Perez Rocha , Renzo
Jefe de Auditoria
Jefe de Soporte Técnico
19-ene 20-ene
Solicitar Documentación
Documentación recibida
Perez Rocha , Renzo
Jefe de Auditoria Jefe de Soporte Técnico
21-ene 22-ene
Realizar Documentación
Borrador de informe
Perez Rocha , Renzo
Jefe de Auditoria
23-ene 24-ene
Documento Informe Final
Informa Final Documentado
Perez Rocha , Renzo
Jefe de Auditoria
25-ene 26-ene
Entrega de Informe Final
Informe Final Entregado
Perez Rocha , Renzo
Jefe de Auditoria
27-ene 28-ene
23
24
AREAACTIVIDADE
SPRODUCTOS
RESPONSABLE
INVOLUCRADOS
FECHA
INICIO
FECHA
FINAL
OBSERVACION
Redes y Comunicacione
s
Internet
Formato de Encuestas
Perez Rocha , Renzo
Jefe de Auditoria 29-ene 05-febIntranet
Seguridad
Compromiso de Cita
Comprometerse a cita
Perez Rocha , Renzo
Jefe de Auditoria Técnico de Redes y Comunicación
06-feb 07-feb
Realizar Encuesta
Entrevista realizada
Perez Rocha , Renzo
Jefe de Auditoria Técnico de Redes y Comunicación
08-feb 09-feb
Solicitar Documentación
Documentación recibida
Perez Rocha , Renzo
Jefe de Auditoria Técnico de Redes y Comunicación
10-feb 11-feb
Realizar Documentación
Borrador de informe
Perez Rocha , Renzo
Jefe de Auditoria 12-feb 13-feb
Documento Informe Final
Informa Final Documentado
Perez Rocha , Renzo
Jefe de Auditoria 14-feb 15-feb
Entrega de Informe Final
Informe Final Entregado
Perez Rocha , Renzo
Jefe de Auditoria 16-feb 17-feb
24
25
AREA ACTIVIDADES PRODUCTOS RESPONSABLE INVOLUCRADOSFECHA INICIO
FECHA FINAL
OBSERVACION
BASE DE
DATOS
Control de acceso
Formato de Encuestas
Perez Rocha , Renzo
Jefe de Auditoria 18-feb 25-febControl de red
Control de datos
Compromiso de Cita
Comprometerse a cita
Perez Rocha , Renzo
Jefe de Auditoria - Administrador de
BD26-feb 27-feb
Realizar Encuesta
Entrevista realizada
Perez Rocha , Renzo
Jefe de Auditoria - Administrador de
BD28-feb 29/02
Solicitar Documentación
Documentación recibida
Perez Rocha , Renzo
Jefe de Auditoria - Administrador de
BD01-mar 02-mar
Realizar Documentación
Borrador de informe
Perez Rocha , Renzo
Jefe de Auditoria 03-mar 04-mar
Documento Informe Final
Informa Final Documentado
Perez Rocha , Renzo
Jefe de Auditoria 05-mar 06-mar
Entrega de Informe Final
Informe Final Entregado
Perez Rocha , Renzo
Jefe de Auditoria 07-mar 08-mar
25
26
AREA ACTIVIDADES PRODUCTOS RESPONSABLE INVOLUCRADOSFECHA INICIO
FECHA FINAL
OBSERVACION
SEGURIDAD
Documentación
Formato de Encuestas
Perez Rocha , Renzo
Jefe de Auditoria 09-mar 17-mar
Software
Plan de Recuperación
Manteamiento
Plan de Recuperación
Compromiso de Cita
Comprometerse a cita
Perez Rocha , Renzo
Jefe de Auditoria - Jefe de Seguridad
18-mar 19-mar
Realizar Encuesta
Entrevista realizada
Perez Rocha , Renzo
Jefe de Auditoria - Jefe de Seguridad
20-mar 21-mar
Solicitar Documentación
Documentación recibida
Perez Rocha , Renzo
Jefe de Auditoria - Jefe de Seguridad
22-mar 23-mar
Realizar Documentación
Borrador de informe
Perez Rocha , Renzo
Jefe de Auditoria 24-mar 25-mar
Documento Informe Final
Informa Final Documentado
Perez Rocha , Renzo
Jefe de Auditoria 26-mar 27-mar
Entrega de Informe Final
Informe Final Entregado
Perez Rocha , Renzo
Jefe de Auditoria 28-mar 29-mar
26
27
ENTRAVISTAS & ENCUESTAS
AREA DE MANTEMIENTO:Componente: Hardware
1. ¿Tiene establecido por la empresa algún plan de mantenimiento del hardware?A).- SI ( ) B).- NO ( )
2. ¿Se ha prohibido a los trabajadores el consumo de alimentos y bebidas al momento de trabajar en los equipos para evitar daños?
A).- SI ( ) B).- NO ( )
3. ¿Cuenta con un UPS (fuente de energía eléctrica que suministra a la computadora por unos minutos?
A).- SI ( ) B).- NO ( )
4. ¿Le realiza algún mantenimiento a sus equipos para evitar fallaos futuros?A).- SI ( ) B).- NO ( )
5. Ante un fallo en sus equipos. ¿Se tiene a personal especializado para solucionarlo?A).- SI ( ) B).- NO ( )
6. ¿Las Pc’s tienen un usuario y claves de acceso?A).- SI ( ) B).- NO ( )
7. ¿Se realizan revisiones periódicas a los medios de almacenamiento (Disco Duro)?A).- SI ( ) B).- NO ( )
8. ¿Qué garantías le exige a su proveedor de equipos y dispositivos?.
AREA REDES Y COMUNICACIÓNComponente: Administración
1. ¿Existen manuales o procedimientos para la correcta operación de las redes?A).- SI ( ) B).- NO ( )
2. ¿Qué áreas y/o locales se encuentran interconectadas?A).- SI ( ) B).- NO ( )
3. ¿Se realiza algún mantenimiento lógico a la red? Especificar con qué frecuencia.A).- SI ( ) B).- NO ( )
4. ¿Se realiza un adecuado control y mantenimiento del cableado utilizado en la empresa?A).- SI ( ) B).- NO ( )
5. ¿Quién es la persona responsable de la administración de los redes?
6. ¿Mencione que software utilizan para el manejo de sus datos?
27
28
7. ¿Existe un Diseño e implementación adecuada de dichas redes?A).- SI ( ) B).- NO ( )
8. ¿Se ha configurado correctamente la instalación del software?A).- SI ( ) B).- NO ( )
AREA BASE DE DATOSComponente: Administración
1. ¿Quién es la persona responsable de la administración de los datos de la empresa?
________________________________________________________________________
2. ¿Qué software utilizan para el manejo de sus datos?
________________________________________________________________________
3. ¿Existen procedimientos para una correcta operación de su base de datos?
________________________________________________________________________
4. ¿Cuenta con un manejador de base de datos?
________________________________________________________________________
5. ¿Cree usted que se necesita utilizar un manejador de base de datos en la empresa?
________________________________________________________________________
6. ¿Tiene conocimientos de los manejadores de base de datos que existen en el mercado?
________________________________________________________________________
7. ¿Tiene experiencia utilizando algún manejador de base de datos?
________________________________________________________________________
8. ¿Qué características tiene su equipo?
________________________________________________________________________
9. ¿Qué característica tiene el servidor en su empresa?
________________________________________________________________________
10. ¿Qué función cumple el servidor en su empresa?
________________________________________________________________________
11. ¿Qué antivirus usa actualmente el servidor?
________________________________________________________________________
12. ¿El acceso a la información está protegida por alguna contraseña?
________________________________________________________________________
28
29
AREAS DE OPORTUNIDAD
Utilización de Sistemas de Información y Tecnologías de información. Formalización y divulgación del MOF. Implementaría dentro del AREA DE DESARROLLO de la EMPRESA EDITORA
PERU, porque esas 2 áreas existentes: Área de Analista Diseñador y Área de Programador; no cumple con un proceso dentro del servicios que brinca:
Proceso de subir la información de la noticias en tiempo real a una WEB determinada, el proceso se llega a realizar actualmente pero después de transcurrido varios minutos pasado la noticias.
Área a implementarse dentro del AREA DE DESARROLLO, tendría como fin; realizar el proceso de actualizar la página WEB de la empresa que da servicio, con el fin de subir noticias actualizadas en tiempo real.
Ya sea con la facilidad de aplicativos y/o programas desarrollados por el AREA DE PROGRAMADOR, para la mayor facilidad de subida de datos hacia los servidores de la empresa.
29
30
ETAPA IMPLEMENTACIONINFORME DE LA ALTA DIRECCIÓN Informe No. 001/04
A: Gerente General
De: Renzo Perez Rocha
Líder de proyecto de Auditoria
Fecha: Lima 26 de Noviembre del 2016
Previo saludo, le hago conocimiento a UD. Sobre el término de las actividades programadas en el proyecto de auditoría al Área de TI para la empresa EDITORA PERU SAC, llegando a las conclusiones finales: Con el siguiente informe final del proyecto mostraremos las etapas de nuestro desarrollo de auditoría en la organización:
Como primer punto se mostrarán aquellos documentos formales que utilizamos para recolectar la información acerca de los procesos y funcionamiento de la organización, como son: Compromisos formales, Informes, Cuestionarios, Encuestas.
Como segundo punto se mostrará aquella información importante de la organización en general, como visión, misión, función y estructura de la organización.
Tercer punto se mostrará las conclusiones iniciales y acciones que se deberán tomar para el mejor desarrollo de la organización, esto se logró mediante la elaboración de matriz de riesgos e identificación de algún problema que llegue aparecer en el Are de TI.
Como cuarto punto una descripción de crítica de la situación actual de la organización de las Fortalezas, Debilidades y la identificación de las diversas áreas de oportunidad, las cuales son claves para el correcto funcionamiento y éxito de la organización.
El criterio que se tuvo para identificar la propuesta de solución final fueron de acuerdo a las actividades que realiza la empresa, se consideró aquellas áreas de oportunidad que la empresa no cuenta como: Organización cuyos componentes importantes son MOF y al Plan estratégico, y la implementación de una nueva AREA en la empresa.
Para mejorar las actividades de cada una de las áreas identificadas como prioritarias a auditar, se necesita la aprobación correspondiente del informe final del proyecto. Para así dar culminación de nuestras actividades en su organización correspondiente, y aportando con una solución integral, para que así pueda cumplir eficientemente con sus actividades y responsabilidades.
Atentamente,
Renzo Perez RochaLíder de proyecto
30
31
CONCLUSION
Las auditorías permiten conocer de manera concreta el estado de las actividades desarrolladas, evaluando los niveles de desempeño y productividad en las diferentes áreas de la empresa, es una herramienta o técnica de gran apoyo a nivel gerencial.
El trabajo de auditoría aplicado a la empresa EDITORA PERU S.A, específicamente en el área de tecnología de la informática, aporta resultados importantes para la organización, ya que define los aspectos a mejorar y a desarrollar dentro del área de estudio para optimizar las actividades que desempeña. El departamento de tecnología de la información dentro de una organización es de vital importancia, porque actualmente todos los procesos son manejados bajo un ambiente tecnológico.
Por otro lado, es importante mantener canales de comunicación efectivos a nivel interno del departamento e interdepartamentales, debido a que esta área especializada de trabajo interactúa e interviene en los procesos de las demás áreas especializadas de la empresa, De igual forma se determinó que existe falta de organización, registro y control de las actividades del departamento, el estudio aplicado se considera beneficioso porque en él se plasma una especie de mapa o base que servirá de vía en la aplicación de medidas correctivas y el establecimiento de nuevos planes de trabajo, para optimizar los procesos y hacer uso adecuado y provechoso de los recursos de TI.
RECOMENDACIÓN
Llevar a cabo las sugerencias planteadas en la auditoría COBIT, en la fase de resultados.
Capacitar a los usuarios de los sistemas de información en el uso de estos, de tal manera que puedan aprovechar al máximo las ventajas que estos ofrecen.
Aplicar tareas de auditoría cada 6 meses. Cumplir con los planes de mantenimiento. Renovar la plataforma tecnológica a medida que se necesite. Llevar registros de las actividades realizadas, hacer levantamiento de información
de las incidencias, elaboración de manuales para apoyo a usuarios y a futuro integrantes del área de informática.
Mantener informadas a las diferentes gerencias de las actividades a realizar, de tal manera, que exista un estado de alineación en la información y todos se mantengan al mismo nivel de conocimiento.
31
Top Related