Documente Academic
Documente Profesional
Documente Cultură
El Comit de Direccin de la Empresa XYZ, ha considerado necesario conocer cual es la situacin actual en la que
se encuentra su sistema informtico.
Para ello, contrata una Auditora Informtica Externa. Los pasos a seguir por dicha auditoria son los que se expone
a continuacin.
1. FASES Y PLANIFICACIN DE LAS ACTIVIDADES.
1.1
Se acuerda una fecha para que la direccin de la empresa se rena con el equipo de auditoria para fijar los objetivos
y fines de la auditoria.
En esa reunin adems de conocer las caractersticas generales de la empresa, se decide que los auditores
preparen una carta conjuntamente con la Direccin de la Empresa, informando a los distintos departamentos de la
puesta en marcha de la auditoria y solicitando que proporcionen toda la informacin que les sea requerida.
De esta reunin deduce que la empresa se dedica a la distribucin de medicamentos farmacuticos y que
estn interesados en conocer la situacin actual de su sistema informtico teniendo en cuenta problemas de seguridad
tanto fsica como lgica y poltica de inversiones.
La auditoria se va a realizar exclusivamente sobre los equipos pertenecientes al Dpto. de Informtica y no
respecto al resto de equipos pertenecientes y situados en otros departamentos.
Para la realizar las distintas tareas que conlleva una auditoria, se ha de considerar que:
1.2
1.3
RECURSOS Y TIEMPO.
El equipo de auditora informtica estar compuesto por tres personas y el tiempo mximo para realizarla
ser de un mes.
1.4
En esta reunin se dicidi enviar un cuestionario a los directores de cada uno de los Departamentos de la
Empresa con el objeto de conocer los equipos informticos que utilizan y los procesos que se realizan en
ellos.
Transcurrida una semana, se reciben y analizan los cuestionarios. De ah se deduce que:
Adems del Dpto. de Informtica, el Dpto. de Contabilidad y Stock tambin utilizan normalmente
ordenadores.
El 90% de los ordenadores son tipo PC con tres configuraciones bsicas.
Cinco mquinas actan de servidores.
A continuacin se decide que se enven cuestionarios a todos los usuarios de ordenadores del Dpto. de
Informtica para conocer detalles sobre los procedimientos cotidianos que relacionados con la informtica,
llevan a cabo en su trabajo.
Tambin se decide realizar una serie de entrevistas personales con el director y responsable de
microinformtica del Dpto. de Informtica con el fin de conocer algunos detalles que no se pueden recoger en
los cuestionarios.
Una vez realizadas las entrevistas y analizados los resultados, se pasarn a identificar los riesgos
potenciales y las pruebas a realizar para la verificacin dichos riesgos.
Resumen de los resultados de los cuestionarios y entrevistas realizadas:
1.5.
Peticin de los formularios que deben rellenarse para realizar una adquisicin y comprobar
su utilizacin.
Prueba 2:
Prueba 3:
Solicitar toda la informacin existente respecto a los criterios (si los hubo) de las ltima/s
compra/s de productos (soft o hard).
Peticin de estudios o informes que justificaron la compra de los esos productos.
Resultado: Respecto a la adquisicin de nuevos productos (soft o hard) tan slo se hace una pequea
mencin que aparece reflejada en el presupuesto anual de la compaa donde se dice lo
siguiente: Los directores de departamento pueden adquirir nuevos recursos conforme a sus
necesidades siempre y cuando se cian al presupuesto asignado. Por tanto se puede concluir
sealando que no existe ninguna norma para la adquisicin de nuevos productos. Adems se
puede aadir que no se realizan estudios o anlisis sobre la relacin coste/beneficio.
OBJETIVO DE CONTROL N 3: Debe existir en la Empresa una adecuada poltica de seguridad para la
evaluacin de los riesgos respecto a la seguridad de datos, equipos y programas.
Prueba de Cumplimiento: Intentar el acceso a un PC sin proporcionar el password correspondiente.
Comprobar que las personas que estn trabajando pertenecen al Dpto. Informtica y estn
trabajando en el ordenador que aparece relacionado en el inventario.
Resultado: Se puede acceder fcilmente a la informacin de los ordenadores puesto que todos tienen la
misma palabra de paso salvo un nmero correlativo. Exceptuando algunos casos, la mayora de
los usuarios no han cambiado la clave asignada por el Dpto. de Informtica. Se han encontrado
usuarios trabajando en equipos distintos a los asignados en el inventario.
Prueba de Cumplimiento:
Comprobar si se recomienda a los usuarios que cambien y guarden sus
passwords en lugares seguros.
Resultado: Se les enva una carta donde se les facilita el nombre de usuario y password instndoles a que
cambien y guarden esta informacin en lugar seguro, pero tan slo el 30% de los usuarios lo
hace.
Prueba de Cumplimiento: Comprobar si se puede acceder a todas las carpetas y ficheros contenidos en un
ordenador.
Resultado: Una vez validada la entrada, toda la informacin almacenada en el disco duro es accesible, no
existiendo protecciones a nivel local de aplicaciones o ficheros.
Prueba de Cumplimiento: Comprobar si se puede acceder a carpetas y ficheros de otros ordenadores a travs
de la red.
Resultado: Una vez validada la entrada, se ha comprobado que algunos usuarios tienen compartidos
carpetas, pero solo algunos de ellos las tienen protegidas con contraseas.
Prueba de Cumplimiento:
Comprobar si se puede copiar informacin en las unidades porttiles
(disquetes, CD-Ron). Verificar tambin si se permite la instalacin de aplicaciones ( no
relacionadas con el trabajo) y hacer copias de cualquiera de las aplicaciones instaladas o
utilizadas en la empresa.
Resultado: Respecto a la posibilidad de copiar informacin, se puede copiar todo lo que se quiera. Tambin
es posible instalar aplicaciones sobre los ordenadores. No es posible realizar copias de los
discos de instalacin de las aplicaciones salvo se pida una autorizacin expresa al Dpto. de
Informtica.
Prueba de Cumplimiento: Obtener un listado de los Productos instalados y verificar que todos ellos tienen
sus correspondientes contratos, liciencias y documentos que justifiquen su compra.
Resultado: No se detectan copias ilegales del software.
Prueba de Cumplimiento: Comprobar si las aplicaciones propias estn registradas a nombre de la empresa
Resultado: No se han registrado ninguna aplicacin.
Prueba de Cumplimiento: Solicitar las copias de seguridad y comprobar las fechas y contenido de los
volcados de los ficheros de datos actuales. Verificar el lugar fsico de almacenamiento de las
copias de seguridad.
Resultado: Las copias de seguridad estn incompletas, algunas son muy antiguas. Se guardan en un lugar
seguro, dentro del Dpto. de Informtica.
Prueba de cumplimiento.
Desconectar incorrectamente los ordenadores durante una sesin de trabajo.
Resultado: Al no existir fuentes de alimentacin continua, algunas aplicaciones han sido capaces de
recuperar la informacin prdida mientras que en otros casos sta se ha perdido
definitivamente.
OBJETIVO DE CONTROL N 4: Registro de los partes de avera y tiempo de respuesta en la resolucin de estos
problemas.
Prueba de cumplimiento: Solicitar los contratos que se realizaron en su da, tanto de compra como de
mantenimiento de equipos y revisar el grado de cumplimiento.
Resultado: Toda la informacin relacionada con los contratos de mantenimiento y el tiempo de respuesta de
estos servicios es el adecuado.
Prueba de cumplimiento: Comprobar si existe formularios para comunicacin de averas.
Resultado: No existe ningn formato o formulario estndar.
Prueba de cumplimiento: Se ha acordado, previa peticin y aprobacin de la direccin, la comunicacin de
una avera en una unidad de CD-Ron.
Resultado: Ha sido necesario comunicarlo dos veces al director del Dpto. de contabilidad para que este
informara por escrito al director del Dpto. de Informtica. En este escrito no se indicaba ningn
detalle del tipo de avera. Han transcurrido 5 das desde la notificacin hasta la solucin del
problema.
OBJETIVO DE CONTROL N 5: Documentacin u actualizacin del software adquirido a empresas externas.
Manuales, documentacin y grado de dependencia del software propio de la empresa respecto al equipo de
desarrollo. Registro de aplicaciones propias.
Prueba de Cumplimiento:
Solicitar documentacin sobre programas comprados y comprobar su
actualizacin.
Resultado: Faltan algunos manuales, otros no estn actualizados a las versiones instaladas en los equipos y
para algunos de ellos es difcil localizarlos o acceder a ellos. Respecto a las actualizaciones de
software, est todo al da.
Prueba de Cumplimiento: Comprobar la existencia de documentacin adecuada del software desarrollado por
la empresa.
Resultado: Apenas existe documentacin y la que existe no sigue ningn estndar de redaccin. De hecho,
cuando se produce algn tipo de problema, se depende completamente del equipo de desarrollo
del Dpto. de Informtica.
ELABORAR EL INFORME DE AUDITORIA
Elaborar el informe final que ser presentado a los responsables de la empresa. En este informe, como mnimo han de
aparecer definido perfectamente el alcance de la auditora y un resumen con los fallos detectados y posibles
recomendaciones. Recuerda seguir los aspectos citados ms arriba referidos a las normativas, seguridad fsica,
seguridad de acceso, polticas de adquisicin de bienes y organizacin y eficiencia. Incluir solo a los equipos
pertenecientes al Dpto. de Informtica.