UNIVERSIDAD CATÓLICA DE HONDURAS

FACULTAD DE INGENIERÍAS
INGENIERÍA EN CIENCIAS DE LA COMPUTACIÓN
AUDITORÍA EN SISTEMAS DE INFORMACIÓN
I PERIODO 2018
CASO ESTUDIO # 1

Estimados Estudiantes:
Por este medio les remito su trabajo de caso estudio # 1 el cual será desarrollado de forma
grupal.

Lineamientos:
Valor total: 20 Puntos
Fecha de entrega: lunes 26 de febrero antes de las 10:00 pm

Forma de Entrega (Informe y Presentación):

Enviar informe y la presentación en grupo a la plataforma de UNICAH (Ambos documentos
en PDF) debe incluir:
 Portada
 Índice
 Introducción
 Contenido (Solución del Caso)
 Conclusiones

Auditoria Informática: Caso de estudio No. 1

A continuación, se le presenta un caso de la vida real de un entendimiento de la gestión de

tecnología de información para una empresa dedicada a la manufactura de textiles, con el
objetivo que usted pueda identificar las principales oportunidades de mejora a partir de la
situación planteada.
 Compañía: “Textiles XYZ”
Con el propósito de obtener un entendimiento de la gestión de tecnología de información
de la Compañía se determinaron los aspectos siguientes:

1. Dependencia de los Sistemas

Los procesos “core” de la Compañía son: el control de la producción, el núcleo administrativo
financiero, la administración de las bodegas, los pedidos de los clientes y la rotación de
inventarios de clientes, estos procesos se encuentran automatizados. Los sistemas que dan
soporte a estos procesos han sido adquiridos por la organización en su mayoría por
proveedores externos, pero también se han realizado sistemas mediante desarrollos
internos.
Los proveedores externos para la Organización son ArtInSoft, el cual desarrollo los sistemas
TPM y AUT, los cuales dan soporte al control total de la producción y a la automatización de
bodegas respectivamente, Codisa el cual desarrollo el sistema NAF que da soporte a el núcleo
administrativo financiero y PostFix, el cual desarrollo el sistema CORREO que da soporte al
correo electrónico. Adicionalmente se encuentran en uso los sistemas SPI y RICA
desarrollados por el departamento de TI de la Organización, estos sistemas soportan el
Sistema de Pedidos Por Internet y Rotación de Inventario de Clientes A respectivamente. Las
interfaces entre los sistemas de la Organización son automáticas y manuales según
corresponda. El resumen de los sistemas así como una breve descripción y su desarrollador
se presentan en la siguiente tabla:

Sistema Descripción Proveedor

TPM Control Total De La Producción ArtInSoft
NAF Núcleo Administrativo Financiero CODISA
AUT Automatización de Bodegas ArtInSoft
SPI Sistema de Pedidos Por Internet Hecho en casa
RICA Rotación Inventario Clientes A Hecho en casa
CORREO Correo Electrónico PostFix

Como parte de la plataforma tecnológica de la compañía están los siguientes sistemas

operativo SOLARIS 8.0 el cual soporta a los sistemas NAF, TPM y RICA, el sistema operativo
WIN 2000 el cual soporta al sistema AUT y el sistema operativo Linux Red Hat 8.0 el cual
soporta el sistema de CORREO. Los sistemas de bases de datos utilizados por la Organización
son básicamente dos el ORACLE 8i, el cual mantiene la información de todos los sistemas a
excepción del sistema de CORREO el cual almacena sus datos en la de base de datos PostFix.
Además de los sistemas operativos y motores de bases de datos indicados la plataforma
tecnológica de la Organización cuenta con otros sistemas de información y paquetes
empleados en las operaciones diarias. Estos sistemas y paquetes son utilizados por diferentes
usuarios de la Organización para lo cual se dispone de un número de licencias según las
necesidades requeridas. Los sistemas y paquetes que completan la plataforma tecnológica
de la Organización, así como el número de licencias y sus respectivas versiones para se
detallan en la siguiente tabla:

Nombre del “software” Versión Número de licencias

WinNT Server Spanish 4.0 1

Microsoft Win NT CAL English 4.0 25

Microsoft Exchange CAL Win NT 5.5 50

Microsoft Windows English 98 34

Microsoft Project Spanish 98 1

Microsoft Office Spanish 2000 50

Desarrolladores ORACLE 2000 2

Usuarios Discover 3.4 4

Usuarios Base de Datos 8i 48

La Organización dentro de su plataforma tecnológica cuenta con tres servidores los cuales
son identificados como: servidor de base de datos, servidor de correo y servidor SPI, las
funciones desempeñadas por estos servidores son las de almacenar la base de datos de la
Organización, almacenar las cuentas de correo y el sistema de pedidos por internet,
respectivamente.
La sala de servidores de la Organización está ubicada en la oficina de TI. Esta sala mantiene
una cerradura como mecanismo para limitar el acceso al personal; además, los controles
ambientales disponibles son por un aire acondicionado central y extintores de fuego tanto
para líquidos inflamables como para equipo electrónico. Sin embargo, no se dispone de
detectores de humo y humedad.
La Organización ha dispuesto el uso de Internet para lo cual se dispone de un proveedor
externo del servicio el cual se denomina WORLDCOM. Se mantiene un contrato por el
servicio el cual; entre otros, indica la naturaleza de la conexión por medio de un enlace
dedicado, con un ancho de banda disponible de conexión de 512K para las instalaciones del
punto A y 128K para las instalaciones del punto B.
La red interna de la Organización está conformada por un total 62 usuarios locales
distribuidos entre las instalaciones del Punto A y del Punto B. La distribución de los usuarios
para el uso de Internet y correo electrónico (email) es la siguiente:
Internet: 150 usuarios (incluyendo los usuarios del resto de Centroamérica)
Correo electrónico: 46 usuarios
Se dispone de facilidades de comercio electrónico para la comercialización de los bienes de
la Organización por medio de sitio web. La naturaleza de las transacciones que pueden
realizar los clientes mediante este mecanismo es la de solicitar pedidos.

2. Estructura administrativa
El departamento de TI de la Organización tiene como principales funciones el apoyar en la
gestión diaria y ser parte activa en el logro de las estrategias de la Organización. La Gerencia
de Sistemas reporta a la Dirección de Operaciones de la Organización. Este departamento de
TI está conformado por tres grandes áreas las cuales tienen sus funciones definidas. La
estructura organizacional del Departamento de TI de la organización presenta la siguiente
estructura jerárquica:
Las funciones de esas áreas son las siguientes:
Soporte Técnico:
 Mantener el “Software” y el “Hardware” de la compañía debidamente instalados y
funcionando.
Ingeniería de Sistemas:
 Mantenimiento a las aplicaciones automatizadas por la Organización.
 Realización de cambios requerimientos de los usuarios.
 Administrador de la base de datos.
Soporte Técnico:
 Administra los recursos de “Hardware” y “Software”
Para cada una de las tres áreas citadas anteriormente se cuenta el siguiente personal: El
área de Soporte Técnico cuenta con dos empleados de los cuales uno está en Costa Rica y el
otro en El Salvador, el área de Ingeniería de Sistemas está conformada por tres empleados
distribuidos entre Costa Rica, Guatemala y El Salvador y por último la Gerencia de Sistemas
está conformada por una persona que desempeña sus labores en Costa Rica.
La Organización ha definido cuales deben de ser los requisitos académicos para las personas
que se desempeñen dentro de alguna de las áreas del departamento de TI. Para el área de
Soporte Técnico se requiere de ser técnico en soporte técnico de computadoras o estudiante
avanzado de una carrera afín. Para el área de Ingeniería de Sistemas se requiere de ser
ingeniero en sistemas de computación o estudiante universitario avanzado de dicha carrera.
Para el área de Gerente de Sistemas se requiere de ser licenciado o ingeniero en sistemas de
computación, de preferencia con maestría en administración de empresas o maestría en
sistemas.

3. Protección de la Plataforma Tecnológica

Política de Seguridad
La Organización no dispone de una política de seguridad de la información formal, sin
embargo, el departamento de TI realiza labores relacionadas con la seguridad de la
información las cuales están bajo la responsabilidad del Ingeniero de Sistemas. La
Organización consiente de la situación indicada ha realizado esfuerzos por formalizar estos
controles.

El alcance de las labores de seguridad consiste en realizar respaldos completos diarios y un

respaldo completo mensual en donde se respalda la información de la base de datos y todos
los “FILE SYSTEMS” del servidor.
Acceso a Internet y Correo Electrónico
Para los accesos a internet el departamento de TI de la Organización dispone de controles a
nivel tanto de “Hardware” como de “Software”, esto con el objetivo de restringir el acceso a
sitios “web” no autorizados por la Organización. Para la protección de la salida a internet se
cuenta con dos mecanismos, el primero mediante “Hardware” denominado PIX 515 CISCO y
el segundo mediante “Software”denominado FIREWALL IPCOP Linux.
Hay políticas para limitar a los usuarios de la red la descarga de software o archivos no
autorizados, sin embargo no hay un control automático para velar su cumplimiento. La
Organización no cuenta con políticas con respecto a los horarios de conexión y a la
distribución de estaciones únicas de acceso por usuario, esto debido principalmente a los
horarios extraordinarios.

Control de virus informáticos

La administración del “Software” antivirus es ejecutada por el departamento de TI para esto
se realiza una actualización en el servidor, la cual es automática, cada vez que se libera una
nueva definición. Aproximadamente la regularidad con que se determina una nueva
definición es de dos días.
La actualización de la versión del “Software” antivirus en las estaciones de trabajo de la red,
es automática para todas las PC que tienen acceso a internet. El mecanismo de actualización
para las PC que no lo tienen el acceso a internet es mediante un correo electrónico en donde
se les envía a los usuarios la actualización del antivirus para que sea ejecutado en cada PC,
sin embargo para las PC sujetas a este mecanismo de actualización del antivirus no se realizan
revisiones para corroborar que se cumpla esta disposición. Previamente la Organización ha
experimentado la presencia de virus informáticos en su plataforma tecnológica, sin embargo
se han controlado rápidamente, como mecanismo de prevención ante los ataques “SPAM”
la configuración del servicio de correo está dada para una actualización de las cuentas de los
usuarios.

Controles de acceso lógico

El acceso a los recursos de la plataforma tecnológica es limitado mediante roles. El
procedimiento para la creación de un nuevo usuario de la plataforma tecnológica consiste
en que el departamento de Recursos Humanos de la Organización solicita el acceso para el
nuevo usuario mediante un correo electrónico el cual es recibido por el departamento de TI,
este realiza la inclusión del nuevo usuario dándole acceso a la plataforma tecnológica de la
Organización, luego comunica a todos los usuarios del ingreso del nuevo usuario mediante
un mensaje de correo electrónico.
La política de la Organización para dar mantenimiento a los derechos de acceso a los usuarios
que sufren variaciones en sus condiciones laborales es realizada de la siguiente forma,
mediante un correo electrónico el departamento de Recursos Humanos de la Organización
envía un mensaje solicitando la eliminación o deshabilitación de la cuenta del usuario que ha
sufrido alguna variación en su condición laboral, el departamento de TI procede a su
eliminación o deshabilitación según amerite el caso. El departamento de TI no mantiene
dentro de sus registros las eliminaciones o deshabilitaciones de los usuarios que han sufrido
variaciones en su condición laboral.
La política de palabras clave (“Passwords”) de la Organización para el acceso a la red y los
sistemas de información computadorizados, presenta las siguientes características: el
tamaño mínimo de la contraseña tanto para el acceso a la red como para el acceso a sistemas
de información es de un carácter, no se mantiene una política definida formalmente con
respecto a la frecuencia en días de expiración de palabras clave (“Passwords”), ni al número
máximo de intentos fallidos para el acceso a la plataforma tecnológica, ni se mantiene un
historial de palabras clave (“Passwords”) de los usuarios. Adicionalmente la Organización no
dispone de un procedimiento formalizado para la deshabilitación de las cuentas de la red
que han sido bloqueadas. Las políticas de palabras clave (“Passwords”) de la Organización se
resumen en la siguiente tabla:

Políticas Acceso a red Acceso a sistemas de información

Tamaño mínimo de la 6 caracteres 6 caracteres
contraseña
Frecuencia de expiración N/A N/A
Máximo de intentos fallidos N/A N/A
Palabras clave en historial N/A N/A

Las contraseñas sensibles de la plataforma tecnológica de la Organización, son administradas

exclusivamente en el departamento de TI, el personal de este departamento es quien tiene
acceso a estas contraseñas sensibles específicamente el Gerente de Sistemas y el Ingeniero
de Sistemas. Estas contraseñas sensibles no están respaldadas y no existe una política formal
para el cambio de contraseña. Con respecto a las palabras clave (“Passwords”) de los
usuarios estos son entregados personalmente a cada uno de ellos por el departamento de
TI.

4. Continuidad de negocios
La Organización dispone de un Plan de Contingencia de Tecnología de Información el cual
tiene como objetivo la habilitación los sistemas de información críticos de la empresa en el
menor tiempo posible. Este plan está documentado pero no ha sido aprobado por la alta
dirección de la Organización.
La Organización dispone de un procedimiento de respaldo y recuperación de datos para la
Organización, este consiste en mantener las cintas de respaldo en el departamento de TI y
al finalizar cada mes son entregadas al Gerente Financiero de la Organización para su
respectivo traslado a un banco el cual se seleccionó como sitio externo para almacenas estas
cintas. En el proceso de respaldos de los datos de la Organización se incluyen las bases de
datos y la configuración de los servidores.
La Organización dispone de equipos de emergencia, los cuales le permitan seguir
funcionando ante una pérdida del fluido eléctrico, específicamente mantiene dentro de su
plataforma tecnológica equipo UPS para la alimentación de energía a los servidores
principales y estaciones de trabajo, estos alimentan servidores, equipo de comunicación, y
estaciones del área de trabajo del departamento de TI. La capacidad de estos equipos de
emergencia es de una hora y la Organización no cuenta con una planta eléctrica propia.
Para el servidor de correo la Organización dispone de equipos de respaldo de las cuentas de
sus usuarios.

5. Adquisición de tecnología
La Organización dispone de políticas y procedimientos para efectuar modificaciones a sus
sistemas de información, así como un proceso informal de autorización para modificaciones;
este proceso consiste en lo siguiente: el usuario interesado en la modificación realiza una
solicitud de forma verbal al departamento de TI, este determina si la solicitud del usuario
representa un cambio relevante para el sistema de información. El departamento de TI
solicita la aprobación verbal al jefe del área involucrada en la solicitud de modificación, con
lo cual el departamento de TI procede a realizar el cambio o mejora.
En las etapas de desarrollo, prueba e implantación de los cambios o modificaciones
realizados a los sistemas de información, los usuarios participan cuando se les considere
necesario..
La Organización dispone de un ambiente de desarrollo y pruebas para realizar las actividades
de mantenimiento de los sistemas de información, el ambiente consiste de una base de datos
de pruebas en la cual la Organización asegura la calidad de los sistemas de información
durante las fases de desarrollo, implementación y prueba.
El ambiente de prueba es también utilizado por los usuarios para probar las modificaciones
realizadas a los sistemas de información y así poder brindar su aprobación antes que las
modificaciones entren en producción. Las pruebas que realizan los usuarios no son
documentadas. Una vez que el usuario aprueba las modificaciones a los sistemas de
información estos son pasados al ambiente de producción considerando los procedimientos
y políticas específicas ejecutadas por el Gerente de TI y el Ingeniero de Sistemas.
Para la administración y control de versiones del “Software” la Organización almacena los
programas fuentes en un solo lugar y una vez se cuenta con las autorizaciones necesarias las
nuevas versiones son colocadas en el servidor correspondiente.

6. Procesamiento externo
La Organización tiene un contrato vigente con un proveedor externo denominado
WORLDCOM para el servicio del Internet, fuera del control directo de la función de TI.

Saludos Cordiales

Atte.

Oscar Antonio Cruz Molina