EJERCICIO PRCTICO DE AUDITORIA.

El Comit de Direccin de la Empresa XYZ, ha considerado necesario conocer cual es la situacin actual en la que
se encuentra su sistema informtico.
Para ello, contrata una Auditora Informtica Externa. Los pasos a seguir por dicha auditoria son los que se expone
a continuacin.
1. FASES Y PLANIFICACIN DE LAS ACTIVIDADES.
1.1

PRIMERA TOMA DE CONTACTO

Se acuerda una fecha para que la direccin de la empresa se rena con el equipo de auditoria para fijar los objetivos
y fines de la auditoria.
En esa reunin adems de conocer las caractersticas generales de la empresa, se decide que los auditores
preparen una carta conjuntamente con la Direccin de la Empresa, informando a los distintos departamentos de la
puesta en marcha de la auditoria y solicitando que proporcionen toda la informacin que les sea requerida.
De esta reunin deduce que la empresa se dedica a la distribucin de medicamentos farmacuticos y que
estn interesados en conocer la situacin actual de su sistema informtico teniendo en cuenta problemas de seguridad
tanto fsica como lgica y poltica de inversiones.
La auditoria se va a realizar exclusivamente sobre los equipos pertenecientes al Dpto. de Informtica y no
respecto al resto de equipos pertenecientes y situados en otros departamentos.
Para la realizar las distintas tareas que conlleva una auditoria, se ha de considerar que:

1.2

El equipo de Auditora esta formado por tres personas.

El tiempo mximo para la realizacin de la Auditora ser de un mes.

DEFINICIN DEL ALCANCE.

El fin de la auditora es conocer la situacin actual del sistema informtico, indicando problemas detectados
y posibles soluciones.
Este estudio se va a realizar centrndose en los siguientes puntos:
Normativas de cualquier aspecto relacionado con los equipos informticos.
Seguridad fsica de los equipos.
Seguridad en el acceso y manipulacin de datos.
Polticas de adquisicin de bienes (hardware, software).
Organizacin y eficiencia del personal informtico
No se incluirn en esta revisin los ordenadores personales que no pertenecen o dependen directamente del
Dpto. de Informtica.

1.3

RECURSOS Y TIEMPO.
El equipo de auditora informtica estar compuesto por tres personas y el tiempo mximo para realizarla
ser de un mes.

1.4

PROGRAMA DE TRABAJO: RECOPILACIN DE INFORMACIN.

Se realiza una nueva reunin con la directiva de la empresa para conocer otras caractersticas de la empresa
(organizacin, tamao, etc.). Se deduce que desde el punto de vista informtico intervienen 4 agentes
diferentes:
a)
b)
c)
d)

Director del Dpto. de Informtica, encargado de supervisar todas las operaciones.

Responsable de microinformatica, encargado de que todo funcione correctamente.
Tcnico de mantenimiento, cuya principal misin es poner en marcha los ordenadores averiados.
Usuarios, resto de trabajadores que utilizan los ordenadores como una herramienta de trabajo.

En esta reunin se dicidi enviar un cuestionario a los directores de cada uno de los Departamentos de la
Empresa con el objeto de conocer los equipos informticos que utilizan y los procesos que se realizan en
ellos.
Transcurrida una semana, se reciben y analizan los cuestionarios. De ah se deduce que:
Adems del Dpto. de Informtica, el Dpto. de Contabilidad y Stock tambin utilizan normalmente
ordenadores.
El 90% de los ordenadores son tipo PC con tres configuraciones bsicas.
Cinco mquinas actan de servidores.
A continuacin se decide que se enven cuestionarios a todos los usuarios de ordenadores del Dpto. de
Informtica para conocer detalles sobre los procedimientos cotidianos que relacionados con la informtica,
llevan a cabo en su trabajo.

Tambin se decide realizar una serie de entrevistas personales con el director y responsable de
microinformtica del Dpto. de Informtica con el fin de conocer algunos detalles que no se pueden recoger en
los cuestionarios.
Una vez realizadas las entrevistas y analizados los resultados, se pasarn a identificar los riesgos
potenciales y las pruebas a realizar para la verificacin dichos riesgos.
Resumen de los resultados de los cuestionarios y entrevistas realizadas:

1.5.

El Responsable de Microinformtica es el encargado de facilitar los nombres de usuario y passwords de

entrada a los ordenadores personales a cada usuario.
Las passwords son autorizadas por el director del Dpto. de Informtica a partir de las peticiones realizadas
por los directores de los otros Dpto.s. Todas las peticiones se realizan de forma verbal.
No hay normas respecto al uso de las passwords que recojan la necesidad de cambios peridicos de
contraseas o el almacenamiento de las mismas en lugares seguros.
Cada departamento adquiere los PC,s y los productos de software que se necesitan para la realizacin de su
trabajo. No se consulta previamente al Dpto. de Informtica, tan slo se informa al responsable de
microinformtica para que ste incluya el nuevo producto en el inventario.
En el Departamento de Informtica existe un servicio que est gestionado por el responsable de
microinformtica, que se ocupa de facilitar copias de manuales. Es el Dpto. de Informtica el encargado de
instalar los nuevos productos (aplicaciones, ordenadores, perifricos).
El 90% de las aplicaciones que se utilizan en la empresa son adquiridos a empresas de desarrollo de
software. Se mantiene un registro de las facturas, contratos y documentacin de los mismos. El 10%
restante, se trata de productos desarrollados y verificados por la propia empresa, concretamente por el
responsable de microinformtica.
En el Departamento de Informtica, se mantiene un inventario de todo el hardware de la empresa. En el
figuran todos los ordenadores y perifricos de cada departamento y el usuario que tienen asignado. Se tienen
archivados los contratos de compra y estos estn numerados y ordenados. En este inventario, se utiliza un
solo cdigo para registrar cada CPU y monitor.
Esta establecido un sistema de back-up semanal, para los datos ms relevantes.
Los ordenadores no disponen de sistemas de alimentacin continua.
Las averas en los ordenadores son comunicadas verbalmente a cada director de Dpto. y este se los comunica
por escrito al director del Dpto. de Informtica. En estos partes no se hace referencia a ningn detalle de la
avera.
Apenas existen manuales del software desarrollado por la empresa, y los que hay carecen de formato
estndar y son difciles de comprender.
IDENTIFICACION DE RIESGOS POTENCIALES.

1) Parece que no existe ninguna normativa respecto al uso de los ordenadores.

2) Los Jefes de los Dptos. pueden adquirir ordenadores personales y productos software sin autorizacin o
asesoramiento por parte del Dpto. de Informtica. Esto puede acarrear problemas de integracin con el resto
de equipos y escasa rentabilidad si no se realiza un estudio previo de las necesidades.
3) Se pueden producir riesgos de seguridad de todo tipo (acceso a claves o sustitucin de identidades, copia de
informacin, copia de aplicaciones, robo de material).
4) Se pueden producir problemas en la comunicacin y resolucin de averas.
5) Problemas en el software desarrollado por la empresa. Excesiva dependencia del equipo de desarrollo,
debiendo verificar el buen funcionamiento personal diferente al que lo ha desarrollado. Tambin es necesario
registrar a nombre de la empresa las aplicaciones desarrolladas por y para la organizacin.
6) Posibles problemas de incongruencia de datos en el inventario si se producen cambios entre monitores y
CPUs.
1.6. PRUEBAS Y RESULTADOS.
OBJETIVO DE CONTROL N 1: Comprobar la existencia de normas para el uso los ordenadores personales.
Prueba de Cumplimiento:
Pedir o comprobar la existencia de algn manual o normativa de uso u
obligaciones de los usuarios, en donde se recoja informacin de todo tipo (como o cuando se
deben de encender y apagar equipos, utilizacin de protectores de pantalla, posible uso para fines
particulares de los ordenadores, etc).
Resultado: Sobre el uso de los ordenadores, no existe ningn manual de buena conducta. Tan slo hay
algunas normas trasmitidas oralmente.
OBJETIVO DE CONTROL N 2: Deben estar establecidos criterios adecuados y objetivos para la correcta
adquisicin de los ordenadores personales y aplicaciones, teniendo en cuenta detalles de integracin en el actual
sistema y un estudio o anlisis de la relacin coste/beneficio.
Comprobar la existencia de alguna poltica respecto a estos puntos a nivel directivo. Deben existir todo tipo de
formularios, documentos y estudios para la adquisicin de ordenadores y aplicaciones.
Prueba 1:

Peticin de los formularios que deben rellenarse para realizar una adquisicin y comprobar
su utilizacin.

Prueba 2:
Prueba 3:

Solicitar toda la informacin existente respecto a los criterios (si los hubo) de las ltima/s
compra/s de productos (soft o hard).
Peticin de estudios o informes que justificaron la compra de los esos productos.

Resultado: Respecto a la adquisicin de nuevos productos (soft o hard) tan slo se hace una pequea
mencin que aparece reflejada en el presupuesto anual de la compaa donde se dice lo
siguiente: Los directores de departamento pueden adquirir nuevos recursos conforme a sus
necesidades siempre y cuando se cian al presupuesto asignado. Por tanto se puede concluir
sealando que no existe ninguna norma para la adquisicin de nuevos productos. Adems se
puede aadir que no se realizan estudios o anlisis sobre la relacin coste/beneficio.
OBJETIVO DE CONTROL N 3: Debe existir en la Empresa una adecuada poltica de seguridad para la
evaluacin de los riesgos respecto a la seguridad de datos, equipos y programas.
Prueba de Cumplimiento: Intentar el acceso a un PC sin proporcionar el password correspondiente.
Comprobar que las personas que estn trabajando pertenecen al Dpto. Informtica y estn
trabajando en el ordenador que aparece relacionado en el inventario.
Resultado: Se puede acceder fcilmente a la informacin de los ordenadores puesto que todos tienen la
misma palabra de paso salvo un nmero correlativo. Exceptuando algunos casos, la mayora de
los usuarios no han cambiado la clave asignada por el Dpto. de Informtica. Se han encontrado
usuarios trabajando en equipos distintos a los asignados en el inventario.
Prueba de Cumplimiento:
Comprobar si se recomienda a los usuarios que cambien y guarden sus
passwords en lugares seguros.
Resultado: Se les enva una carta donde se les facilita el nombre de usuario y password instndoles a que
cambien y guarden esta informacin en lugar seguro, pero tan slo el 30% de los usuarios lo
hace.
Prueba de Cumplimiento: Comprobar si se puede acceder a todas las carpetas y ficheros contenidos en un
ordenador.
Resultado: Una vez validada la entrada, toda la informacin almacenada en el disco duro es accesible, no
existiendo protecciones a nivel local de aplicaciones o ficheros.
Prueba de Cumplimiento: Comprobar si se puede acceder a carpetas y ficheros de otros ordenadores a travs
de la red.
Resultado: Una vez validada la entrada, se ha comprobado que algunos usuarios tienen compartidos
carpetas, pero solo algunos de ellos las tienen protegidas con contraseas.
Prueba de Cumplimiento:
Comprobar si se puede copiar informacin en las unidades porttiles
(disquetes, CD-Ron). Verificar tambin si se permite la instalacin de aplicaciones ( no
relacionadas con el trabajo) y hacer copias de cualquiera de las aplicaciones instaladas o
utilizadas en la empresa.
Resultado: Respecto a la posibilidad de copiar informacin, se puede copiar todo lo que se quiera. Tambin
es posible instalar aplicaciones sobre los ordenadores. No es posible realizar copias de los
discos de instalacin de las aplicaciones salvo se pida una autorizacin expresa al Dpto. de
Informtica.
Prueba de Cumplimiento: Obtener un listado de los Productos instalados y verificar que todos ellos tienen
sus correspondientes contratos, liciencias y documentos que justifiquen su compra.
Resultado: No se detectan copias ilegales del software.
Prueba de Cumplimiento: Comprobar si las aplicaciones propias estn registradas a nombre de la empresa
Resultado: No se han registrado ninguna aplicacin.
Prueba de Cumplimiento: Solicitar las copias de seguridad y comprobar las fechas y contenido de los
volcados de los ficheros de datos actuales. Verificar el lugar fsico de almacenamiento de las
copias de seguridad.
Resultado: Las copias de seguridad estn incompletas, algunas son muy antiguas. Se guardan en un lugar
seguro, dentro del Dpto. de Informtica.
Prueba de cumplimiento.
Desconectar incorrectamente los ordenadores durante una sesin de trabajo.
Resultado: Al no existir fuentes de alimentacin continua, algunas aplicaciones han sido capaces de
recuperar la informacin prdida mientras que en otros casos sta se ha perdido
definitivamente.
OBJETIVO DE CONTROL N 4: Registro de los partes de avera y tiempo de respuesta en la resolucin de estos
problemas.
Prueba de cumplimiento: Solicitar los contratos que se realizaron en su da, tanto de compra como de
mantenimiento de equipos y revisar el grado de cumplimiento.

Resultado: Toda la informacin relacionada con los contratos de mantenimiento y el tiempo de respuesta de
estos servicios es el adecuado.
Prueba de cumplimiento: Comprobar si existe formularios para comunicacin de averas.
Resultado: No existe ningn formato o formulario estndar.
Prueba de cumplimiento: Se ha acordado, previa peticin y aprobacin de la direccin, la comunicacin de
una avera en una unidad de CD-Ron.
Resultado: Ha sido necesario comunicarlo dos veces al director del Dpto. de contabilidad para que este
informara por escrito al director del Dpto. de Informtica. En este escrito no se indicaba ningn
detalle del tipo de avera. Han transcurrido 5 das desde la notificacin hasta la solucin del
problema.
OBJETIVO DE CONTROL N 5: Documentacin u actualizacin del software adquirido a empresas externas.
Manuales, documentacin y grado de dependencia del software propio de la empresa respecto al equipo de
desarrollo. Registro de aplicaciones propias.
Prueba de Cumplimiento:
Solicitar documentacin sobre programas comprados y comprobar su
actualizacin.
Resultado: Faltan algunos manuales, otros no estn actualizados a las versiones instaladas en los equipos y
para algunos de ellos es difcil localizarlos o acceder a ellos. Respecto a las actualizaciones de
software, est todo al da.
Prueba de Cumplimiento: Comprobar la existencia de documentacin adecuada del software desarrollado por
la empresa.
Resultado: Apenas existe documentacin y la que existe no sigue ningn estndar de redaccin. De hecho,
cuando se produce algn tipo de problema, se depende completamente del equipo de desarrollo
del Dpto. de Informtica.
ELABORAR EL INFORME DE AUDITORIA
Elaborar el informe final que ser presentado a los responsables de la empresa. En este informe, como mnimo han de
aparecer definido perfectamente el alcance de la auditora y un resumen con los fallos detectados y posibles
recomendaciones. Recuerda seguir los aspectos citados ms arriba referidos a las normativas, seguridad fsica,
seguridad de acceso, polticas de adquisicin de bienes y organizacin y eficiencia. Incluir solo a los equipos
pertenecientes al Dpto. de Informtica.