UNIVERSIDAD ALAS PERUANAS FILIAL ICA

FACULTAD DE CIENCIAS CONTABLES Y FINANCIERAS

CURSO: AUDITORIA DE SISTEMAS CONTABLES

Trabajo de Investigacin: Auditoria del complejo educativo Prof.
Carlos Lovato

CATEDRATICO:

MG CPCC JUAN CAJO SIGUAS

Fecha: 02-06- 2015

INDICE:
1

AUDITORIA INFORMTICA

TEMA:
1.
2.
3.
4.
5.
6.

PAGINA

Introduccin...........................................................3
Objetivos................................................................4
Justificacin y alcance.............................................5
Antecedentes..........................................................6
Datos institucionales...............................................7, 8
Planeacin..............................................................9

6.1Organigrama..........................................................10
6.2Inventario.............................................................12-12
6.3Razones de la auditora.........................................13-14
7 Objetivos de la auditora......................................... 15
8 Carta...................................................................... 16
9 Dictamen final........................................................ 17
10 Hallazgo seguridad fsica....................................... 18
11 Hallazgo seguridad del personal............................ 19
12 Hallazgo seguridad de hardware y software............ 20
13 Hallazgo de seguridad de datos............................. 21
14 Anexos................................................................ 22
Cuestionario de Seguridad fsica................................. 23
15 Cuestionario de seguridad de personal...................24.
16 Cuestionario de seguridad de Hardware y software. 25
17 Cuestionario de datos............................................26
18 Bibliografa...........................................................27

INTRODUCCIN:
La tecnologa informtica (hardware, software, redes, bases de datos, etc.) es una
herramienta estratgica que brinda rentabilidad y ventajas competitivas a los negocios
2

AUDITORIA INFORMTICA

frente a otros negocios similares en el mercado, pero puede originar costos y desventajas
si no es bien administrada por el personal encargado.
La solucin clara es entonces realizar evaluaciones oportunas y completas de la funcin
informtica, a cargo de personal calificado, consultores externos, auditores en informtica
o evaluaciones peridicas realizadas por el mismo personal de informtica.
Surge entonces la obvia necesidad de auditar la funcin informtica, ya que resulta
innegable que la misma se ha convertido en una herramienta permanente y necesaria de
los procesos principales de los negocios, en un aliado confiable y oportuno. Esto es
posible si se implementan los controles y esquemas de seguridad requeridos para su
aprovechamiento ptimo. Una vez que la alta direccin comprenda la importancia de
contar con un rea independiente que asegure y promueva el buen uso y
aprovechamiento de la tecnologa de informtica, ya puede delegar la responsabilidad en
personal altamente capacitado para ejercer la auditora en informtica dentro de la
organizacin de manera formal y permanente.
Debemos recordar que en los tiempos modernos existen grandes retos tanto dentro de la
empresa privada como tambin en las instituciones del estado, si se puede observar por
que los presupuesto del estado son tan altos pero no tienen los resultados esperados en
otras palabras no es eficaz es porque algunas veces los recursos no se estn utilizando
de la manera necesaria e indicada. Debido a esto solamente se pretende hacer una
auditora de una forma sencilla en tan solamente una institucin del estado y de est
formar poder contribuir al mejoramiento y rendimiento del l rea informtica del complejo
educativo Prof. Carlos Lobato.
El propsito de estar llevando a cabo dicho proyecto es con el fin de poder contribuir con
el personal asignado a administrar el centro de computo proveyndole algunas
recomendaciones y herramientas necesarias para que el rendimiento de este sea ms
optimo; y de esta manera hacer ms eficiente la funcin correspondiente del centro de
computo para que la institucin cumpla sus objetivos propuestos.

OBJETIVOS:
GENERAL:

AUDITORIA INFORMTICA

Evaluar y verificar polticas, controles, procedimientos y seguridad en los recursos

dedicados al manejo de la informacin; su utilizacin, eficiencia y seguridad de la
institucin a fin de que por medio del sealamiento de cursos alternativos se logre una
utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma
de decisiones.
ESPECIFICOS:
1. Evaluar el diseo y prueba de los sistemas del rea de Informtica
2. Determinar la veracidad de la informacin del rea de Informtica
3. Constatar los procedimientos de control de operacin, analizar su estandarizacin
y evaluar el cumplimiento de los mismos.
4. Verificar la forma como se administran los dispositivos de almacenamiento bsico
del rea de Informtica
5. Corroborar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.
6. Verificar que los programas obtengan su legalizacin.
7. Hacer un valo de los costes del anlisis funcional, el anlisis orgnico, la
programacin, las pruebas de programas, preparacin de datos y costes de
desarrollo de cada aplicacin medido en horas.

JUSTIFICACIN:
La auditora que se va a realizar en el complejo educativo Prof. Carlos Lobato es de vital
importancia para el buen desempeo de los sistemas de informacin, ya que proporciona
los controles necesarios para que los sistemas sean confiables y con un buen nivel de
seguridad. Adems

se evaluar todo: informtica, organizacin de centros de

informacin, hardware y software.

La evaluacin y control que se va a realizar tiene como objetivo fundamental mejorar la
rentabilidad, la seguridad y la eficacia del sistema mecanizado de informacin en que se
sustenta dicha institucin.
El fin de dicha auditora es de constatar si sus actividades son correctas y de acuerdo a
las normativas informticas y generales prefijadas en la institucin.
El siguiente proyecto consiste en poder llevar a cabo lo que es la auditora de el centro de
computo del complejo educativo Prof. Carlos lobato.
4

AUDITORIA INFORMTICA

El desarrollo de este consiste en revisar y verificar si est siendo utilizado el centro de

computo con los objetivos de dicha institucin, poder observar si el lugar es el indicado, la
forma en que ha sido distribuido el equipo, si el uso que cada persona le da es correcto.
Por otro lado observar si es gil y veraz y oportuna la informacin; Tambin observar si el
diseo del centro de computo es el adecuado, observar detenidamente su estructura de
red el software que se est utilizando y de esta manera despus de finalizado el proyecto
se harn las recomendaciones necesarias para poder que este funcione de la mejor
manera.

ALCANCES:
La auditora ser realizada dentro de la institucin afectando los distintos departamentos
areas institucionales:
1. AREA DE SISTEMAS Y PROCEDIMIENTOS.
2. AREA ADMINISTRATIVA DE PROCESOS ELECTRONICOS.
3. EVALUACION DE LOS EQUIPOS DE CMPUTO

ANTECEDENTES:

AUDITORIA INFORMTICA

El Complejo Educativo "Profesor Carlos Lobato" es una institucin oficial del Ramo de
Educacin, con acuerdo oficial No. 1699 de fecha 3 de febrero de 1982 y Cdigo de
Infraestructura No. 12117, pertenece al Distrito Educativo: 08-01, Zona 1, Telefax.: 23528625.
Su CDE. est legalmente constituido, en l se encuentran representados todos los
sectores involucrados en el quehacer educativo institucional.
Durante el perodo presidencial del Coronel Julio Adalberto Rivera (1962-1967), quin era
originario de esta ciudad, fue construido el edificio para albergar al Instituto Nacional "Jos
Simen Caas", el cual ofreca los servicios educativos de Plan Bsico y Bachillerato. En
1973 el Bachillerato fue trasladado a un nuevo edificio, convirtindose esta institucin en
Tercer Ciclo de Enseanza Bsica" Jos Simen Caas", pero en el ao de 1982 debido a
los avances de la Reforma Educativa de la poca y por la creacin de las escuelas
unificadas, la matrcula disminuy grandemente, de tal manera que se pens en ampliar el
servicio educativo y fue as como a iniciativa de los profesores Agustn Arturo Orellana
Livano, Jos Antonio Ramos Piche, h., Cristina Escoto de Chvez, Rosa Amelia Reyes
de Cruz y Miguel ngel Nchez Gonzlez (ex -director), se fund el ahora Complejo
Educativo "Prof. Carlos Lobato"
El Complejo Educativo" Prof. Carlos Lobato" es un centro oficial pblico y, por tanto,
abierto a todos los alumnos y alumnas que renan los requisitos acadmicos establecidos
por la Ley independientemente de su raza, sexo o creencias religiosas.
Se manifiesta aconfesional y respetuoso con todas las creencias.

Igualmente se

manifiesta por el pluralismo ideolgico y poltico y por la renuncia a todo tipo de

adoctrinamiento.

DATOS INSTITUCIONALES:
6

AUDITORIA INFORMTICA

INFORMACIN DEL CENTRO ESCOLAR :

Nombre del Centro Escolar:
Centro Escolar COMPLEJO EDUCATIVO PROF. CARLOS LOBATO

Ubicacin Geogrfica:
El Centro Escolar COMPLEJO EDUACATIVO PROF. CARLOS LOBATO est
ubicado final doce calle Poniente y sexta avenida norte Zacatecoluca.
Tel: 2334 4720
Sitio Web: http//: Cepcl.Lapaz.edu.sv/

VISIN
Formar alumnos(as) con un alto grado de desarrollo de sus habilidades y
destrezas cognitivas, que les permitan adquirir aprendizajes de calidad,
sustentados en profundos valores ticos y morales que los prepare en
formas eficiente y eficaz para desenvolverse ptimamente en la sociedad,
demostrando gran respeto por su entorno social, natural y cultural.

MISIN:
Desarrollar en sus alumnos(as) saberes y competencias intelectuales, fsicas,
emocionales y sociales que le permitan
resolver satisfactoriamente los desafos
7
que se les presenta el diario vivir, en un ambiente de sana convivencia
democrtica, privilegiando la coexistencia pacfica, adaptndose a la rapidez del
cambio del mundo de hoy, respetando su medio ambiente y basndose en una
slida educacin en valores y en un gran sentido positivo de la vida.

AUDITORIA INFORMTICA

OBJETIVO:
Orientar el que hacer pedaggico hacia la formacin del estudiante
mediante el proceso de participacin de la comunidad educativa
de la institucin que permita el desarrollo de sus potencialidades
para que sea competente en los aspectos comunicativo,
investigativo, critico, creativo, tolerante, autnomo y democrtico,
respondiendo as a los retos impuestos por la sociedad en el
mbito local, regional y nacional.

IDEARIO:

1. Creatividad: Capacidad para crear, organizar y llevar a cabo propuestas

novedosas.
2. Honestidad: Pudor, recato en las acciones, decencia, urbanidad.
3. Compromiso: Conviccin por la defensa de una causa. Obligacin propia de
cumplir una promesa o una accin.
4. Orientacin al servicio: Inclinacin y deseo de satisfacer las necesidades de las
personas que conviven o estn alrededor nuestro.
5. Orientacin al resultado: Inclinacin por la obtencin de productos concretos de
los planes y proyectos que nos trazamos.
6. Trabajo en Equipo: Capacidad de cooperar en la planeacin, ejecucin y
evaluacin de proyectos comunes.
7. Solidaridad: Sentimiento que impulsa a los hombres a presentar una ayuda
mutua.
8

AUDITORIA INFORMTICA

PLANEACIN DE AUDITORA:

Nombre de la empresa: Complejo Educativo Profesor Carlos Lobatos.

Direccin: El Centro Escolar COMPLEJO EDUACATIVO PROF. CARLOS LOBATO est

ubicado final doce calle Poniente y sexta avenida norte Zacatecoluca.
Tel: 2334 4720
Sitio Web: http//: Cepcl.Lapaz.edu.sv/

Fecha de iniciacin de operaciones: Viernes 16 de marzo del 2016

Giro del negocio: Institucin educativa

Objetivos de la empresa: Formar alumnos(as) con un alto grado de desarrollo

profesional que les permita desenvolverse de una forma eficiente y en su entorno social
y cultural.

Objetivos del centro de cmputo: Atender las necesidades computacionales y

Mantener de manera integra la informacin y el equipo para ser utilizado en el momento
que se necesite por el personal de la institucin educativa.
2) Objetivos y propsitos del diagnostico:
Examinar en forma global y constructiva la estructura de la Entidad: Complejo educativo
Profesor Carlos Lobato enfocndose a su departamento de computo, contemplando
aspectos como: planes y objetivos, mtodos y controles, formas de operacin y
organizacin humana y jurdica.

AUDITORIA INFORMTICA

reas a revisar:
4. AREA DE SISTEMAS Y PROCEDIMIENTOS.
5. AREA ADMINISTRATIVA DE PROCESOS ELECTRONICOS.
6. EVALUACION DE LOS EQUIPOS DE CMPUTO.

3) Organigrama de la entidad

C.D.E

DIRECCION

SUBDIRECCION

DOCENTES

CENTRO DE
COMPUTO

Personal
administrativo

4) Entrevistas previas:
Las entrevistas estarn dirigidas al personal responsable del rea informtica o a quien
este de responsable de la administracin y/o operacin de los sistemas y equipos de la
entidad a auditar.
Areas a entrevistar:
1. Encargado del rea de informtica.
2. Profesores que imparten informtica.
10

AUDITORIA INFORMTICA

3. Personal administrativo.
Opinin: Falta de coordinacin en toma de decisiones, falta de polticas.
Problema: Existe falta de documentacin y organigrama en el rea administrativa,
Tambin falta de una red que abarque todas las reas del centro educativo.

Sugerencias: Elaboracin de documentacin y establecer un organigrama en el rea

informtica.
Resumen general: Segn lo observado en el complejo educativo Carlos Lovato es falta
de documentacin Falta de velocidad en internet, Permitir que todas las reas estn
conectadas en red, falta de algunas licencias en computadoras que usa la secretaria y
colectura.

Inventario de equipo que est en uso en el centro de cmputo:

CANTIDAD
42
42
42
42
42
42
1
1
1

DESCRIPCION
CPU
MONITORES
TECLADOS
MOUSE
MUEBLES
SPEAKER
IMPRESOR MULTI FUNCION
Pace Panel
Servidor

11

AUDITORIA INFORMTICA

Sala de docentes:
Cantidad

Descripcin

6
6
6
6
6
1

C.P.U.
Monitores
Teclados
Mouse
Speaker
Impresor

Secretara, Direccin, Colectura:

Cantidad
3
3
3
3
3

Descripcin
Monitor
C.P.U.
Mouse
Teclados.
Impresores.

Determinacin del rea a estudiar:

rea de sistemas y procedimientos.
Razones:
1) Poder observar la descripcin general de los sistemas instalados y de los que
estn por instalarse que contengan volmenes de informacin.
2) Revisar el manual de procedimientos de los sistemas.
3) Evaluar

los

sistemas

de

informacin

en

general

desde

sus

entradas,

procedimientos, controles, archivos, seguridad y obtencin de informacin.

4) Verificar la adecuacin del sistema operativo, versin del software utilizado, como
en los aspectos relativos a la programacin de las distintas aplicaciones,
prioridades de ejecucin, lenguaje utilizado.
12

AUDITORIA INFORMTICA

5)

verificar que la documentacin relativa al sistema de informacin sea clara,

precisa, actualizada y completa.

rea administrativa de procesos electrnicos:

Razones:
1. Recopilar informacin para obtener una visin general del departamento por
medio de observaciones, entrevistas preliminares y solicitud de documentos para
poder definir el objetivo y alcances del departamento.
2. Verificar los Registras de los costos en el desarrollo de la aplicacin y contemplar
el nivel de servicio en trminos de calidad y tiempos mnimos de entrega de
resultados de la operacin del computador.

3. Analizar el manual de organizacin del rea que incluya puestos, funciones,

niveles jerrquicos y tramos de mando.
4. Solicitar el manual de polticas, reglamentos internos y lineamientos generales.
Nmero de personas y puestos en el rea. Procedimientos administrativos del
rea. Presupuestos y costos del rea.

5. Analizar los costes de personal directamente relacionado con el sistema de

informacin.

Evaluacin de los equipos de cmputo:

Razones:

1. Revisar nmero de equipos, localizacin y las caractersticas (de los equipos

instalados, por instalar y programados).
2. Conocer las fechas de instalacin de los equipos y planes de instalacin.

13

AUDITORIA INFORMTICA

3. Revisar la configuracin de los equipos y sus capacidades actuales.

4. Revisar las polticas de uso de los equipos.

5. Revisar el manual en el que se encuentra estructurada la forma en que se da el

mantenimiento al equipo informtico.

Comentarios generales
Comentarios:
Con esta informacin queremos considerar las caractersticas de conocimientos, prctica
profesional y capacidad que

tiene

el personal encargado de la administracin de

informtica de esta institucin.

OBJETIVOS DE LA AUDITORA INFORMTICA EN EL COMPLEJO EDUCATIVO

CARLOS LOBATO.

OBJETIVO GENERAL:
Tener un panorama actualizado de los sistemas de informacin en cuanto a la seguridad
fsica, las polticas de utilizacin, transferencia de datos, seguridad de los archivos y el
personal que labora en la institucin.
OBJETIVOS ESPECIFICOS:
1. Se evaluaran la existencia y la aplicacin correcta de las polticas de seguridad,
emergencia y desastres de la institucin.
2. Se efectuar una evaluacin de la seguridad del equipo, software y datos.
3. Tambin se verificar que la seguridad de los usuarios del centro de cmputo.
14

AUDITORIA INFORMTICA

AUDITORA DE SISTEMAS:
Asesora y auditora de cmputo
Zacatecoluca 2 de Junio del 2016
Sr. Director, Benjamn Daz Nuila:
Me permito remitir a usted el informe de resultados de la auditora practicada en las
instalaciones del Complejo Educativo Prof. Carlos Lobato, que se realiz desde el da dos
de abril al veinticinco de mayo del ao en curso.
La revisin realizada fue de carcter integral y comprendi la evaluacin y comprendi la
evaluacin, de la estructura de la organizacin, la operacin del sistema, el cumplimiento
de las actividades y funciones asignadas al personal y la revisin a los resultados de la
gestin informtica.
15

AUDITORIA INFORMTICA

En el citado informe encontrar el dictamen y las condiciones a las cuales se lleg

despus de la aplicacin de las tcnicas y procedimientos de la auditora de sistemas de
tipo integral.

Quedo a sus rdenes por cualquier consulta o aclaracin al respecto.

F:____________________________
Juan Jos Flores
Responsable.

COMPLEJO EDUCATIVO PROF. CARLOS LOBATO.

Zacatecoluca 2 de Junio del 2016.
Profesor Benjamn Daz Nuila
Director, presente:
De acuerdo con las instrucciones giradas de la administracin de la institucin a su digno
cargo me permito remitir a usted el dictamen de la auditora practicada en el centro de
cmputo con especialidad en la administracin, funcionamiento y operacin del sistema
de red de esa institucin.
De los resultados obtenidos durante la evaluacin me permito informarle a usted lo
siguiente:
a) Seguridad Fsica
16

AUDITORIA INFORMTICA

b) Seguridad del personal

c) Seguridad del Software y hardware
d) Seguridad de los datos.
De acuerdo con las pruebas realizadas a la administracin, funcionamiento y operacin y
de acuerdo con los criterios de evaluacin recomiendo me permito dictaminar y recordar.
Atentamente:
Juan Jos Flores.

SEGURIDAD FISICA:
OBJETIVO GENERAL:
Poder determinar las debilidades y fortalezas en la seguridad fsica del equipo y el edificio
donde se encuentra instalado el sistema de informacin y sus polticas sobre la seguridad,
y luego poder hacer algunos sealamientos que contribuirn con las mejoras de esta.
OBJETIVOS ESPECIFICOS:
1. Revisin de las polticas y Normas sobre seguridad Fsica de los equipos.
2. Verificar la estructura de la distribucin de los equipos y la correcta utilizacin.
3. Verificar la condicin del centro de cmputo y evaluar si existe un manual donde
explique los procedimientos para efectuar el mantenimiento.

ALCANCES:
La auditora se realizar haciendo una constatacin de las diferentes aplicaciones
tcnicas de Seguridad y Proteccin que tienen que existir en el equipo del centro de
cmputo.
17

AUDITORIA INFORMTICA

HALLAZGOS EN CONTRADOS:
INSTITUCIN:
AREA AUDITADA:
FECHA:
REF
CONDICIN
No existe un
manual
de
planes
de
mitigacin
de
riesgos.
1

No se
encuentran
manuales de
fsicos de
procesos para
mantenimiento
2

Complejo educativo Prof. Carlos Lobato.

Seguridad Fsica.
25 de mayo del 2016
CRITERIO
CAUSA
EFECTO
Art.
139.La Dice que no le El problema es
Direccin
de han entregado que
en
un
Informtica
deber de parte de momento
elaborar la Poltica y sus
lderes Pueda ocurrir un
Plan de Contingencia dicho manual. siniestro y no
de los sistemas de
habr forma de
informacin
que
poder restablecer
permita
continuar
el sistema.
operando en casos de
siniestros, fallas etc.
Art. 150. La Direccin No lo han
Lo
que
esto
de Informtica, a
elaborado
puede ocasionar
travs de la Gerencia todava.
es que se pierda
de Soporte Tcnico,
el control del
tendr la
mantenimiento.
responsabilidad de
garantizar el
mantenimiento
preventivo y
correctivo del equipo
informtico y Manual
de Soporte de
Sistemas
Descentralizados.

RECOMENDACIN
Se les recomienda
poder elaborar una
manual de
contingencias.

Se
recomienda
elaborar
lo
antes
posible este manual
de soporte para un
buen de control.

SEGURIDAD DEL PERSONAL:

OBJETIVO GENERAL:
Verificar si se han adoptado medidas de seguridad en los diferentes departamentos del
rea informtica con respecto al personal que labora en dicha institucin.

OBJETIVOS ESPECIFICOS:
1. Constatar si se ha instruido el personal sobre qu medidas tomar en caso de que
se encuentren en algn peligro ya sea por desastre natural o de otra ndole.
18

AUDITORIA INFORMTICA

2. Verificar si existen polticas que reguarden la integridad fsica de las personas..

3. Constatar si las instalaciones cuentan salidas de emergencias, sistema de alarma
por presencia de fuego, humo, as como extintores de incendio en conexiones
elctricas.

ALCANCE:
Revisin de polticas y normas que dicten las acciones a tomar en caso de algn peligro o
alarma que vaya en perjuicio de la seguridad de los usuarios.
HALLAZGOS
INSTITUCIN:
AREA AUDITADA:
FECHA:
REF CONDICIN
Pudimos
constatar que
1
no existe salida
de
emergencias.
No existen
extintores de
2
fuego.
Elaborado por:
Aprobado por:

Complejo educativo Prof. Carlos Lobato.

Seguridad del personal.
25 de mayo del 2016
CRITERIO
CAUSA
EFECTO
No hay
Ese es el
Puede ver algn
diseo
atascamiento de los
que est
usuarios a la hora de
utilizando
alguna emergencia
el Mined.
No encontramos
No se los
Puede ocurrir un
ha
incendio y no habr
facilitado
forma de extinguirlo.
el director.
Juan Jos Flores
Benjamn Daz Nuila.

RECOMENDACIN
Es necesario crear
una puerta de
emergencia.

Se recomienda
comprar extintores lo
ms pronto posible.

SEGURIDAD DEL SOFTWARE Y HARDWARE:

OBJETIVO GENERAL:
Comprobar que la adecuacin de hardware, sistema operativo, versiones del software
utilizado, como tambin en los aspectos relativos a la programacin de las distintas
aplicaciones, prioridades de ejecucin, lenguaje utilizado y la documentacin necesaria
haga constar que existe una administracin adecuada que garantice la seguridad de la
parte tangible e intangible de los equipos de cmputo.
ESPECIFICOS:
1) Comprobar la existencia de un plan de actividades previo a la instalacin de
equipos.
2) Ratificar si existen garantas para proteger la integridad de los recursos
informticos.
3) Evaluar si existen planes e informes del mantenimiento de equipos y del software
tanto preventivo como correctivos.
19

AUDITORIA INFORMTICA

ALCANCES:
Poder observar y evaluar la descripcin general de los equipos instalados para hacer
una valorizacin de la seguridad en todos sus aspectos tanto en el hardware como
tambin en el sistema operativo y programas.
INSTITUCIN:
AREA AUDITADA:
FECHA:
REF

Complejo educativo Prof. Carlos Lobato.

Seguridad del hardware y software.
25 de mayo del 2016

CONDICIN
No
se
encontraron
las
licencias
de
Microsoft
office.

Elaborado por:
Aprobado por:

CRITERIO

CAUSA

Art. 147.- La Direccin de No se han

Informtica, a travs de la ido a traer
Gerencia de Soporte Tcnico al Mined.
deber controlar y mantener
bajo
custodia
fsica
los
originales de las licencias para
el uso del software.
Juan Jos Flores
Benjamn Daz Nuila.

EFECTO
Puede darse un
problema con
alguna auditora por
parte de los
ministerios
encargados de velar
contra la piratera.

SEGURIDAD DE LOS DATOS:

OBJETIVO GENERAL:
1. Corroborar si existe integridad y seguridad en los sistemas de gestin de las
bases de datos o

si se han formulado polticas respecto a su seguridad,

privacidad y proteccin de las facilidades de procesamiento ante eventos como:

incendio, vandalismo, robo y uso indebido, intentos de violacin etc.
OBJETIVOS ESPECIFICOS:
1. Verificar si existen restricciones y control para accesar a la base de datos de la
institucin y si la interfaz que existe entre el SGBD y el SO es el adecuado.
2. Comprobar si las bases de datos guardan la informacin necesaria y adecuada
para la institucin educativa y si existe un control estricto de las copias de estos
archivos, la existen backups y su resguardo en lugares seguros.
3. Evaluar si se han implantado claves o password para garantizar operacin de
consola y equipo central (mainframe), a personal autorizado.
ALCANCES:
20

RECO

Se reco
manten
legalida
necesa

AUDITORIA INFORMTICA

Revisin de manuales que contengan las polticas de seguridad de las bases de datos y
hacer un cheque de la funcin de los gestores de base de datos y su informacin
correspondiente.
HALLAZGOS:
INSTITUCIN:
AREA AUDITADA:
FECHA:
REF. CONDICIN
No se
encontrarn
normas y
polticas para
el resguardo
de las bases
1
de datos.

.No se
elaboran
backups
2

Elaborado por:
Aprobado por:

Complejo educativo Prof. Carlos Lobato.

Seguridad de los datos.
25 de mayo del 2016
CRITERIO
CAUSA
EFECTO
Art. 145.- La Direccin de El
No existir un
Informtica
ser
la encargado control
responsable
de
la no haba
adecuado para
administracin integral del ledo el
el resguardo
modelo de datos lgico y control
de la
fsico de la base de datos interno.
informacin.
de los sistemas de
informacin
de
la
Institucin, para lo cual
debern elaborarse las
normas
y
polticas
respectivas.
Art. 155.- La Direccin de
Dice el
En un incendio
Informtica debe disear
administra o cualquier
controles de aplicacin en dor que lo siniestro se
la entrada, procesamiento haban
har imposible
y salida de informacin
pasado
recuperar la
para prevenir que la
por alto.
informacin.
informacin se extrave.
Juan Jos Flores
Benjamn Daz Nuila.

21

RECOMENDACIN
Se solicita crear
normas y polticas lo
ms pronto sea
posible.

Comenzar lo ms
pronto posible a crear
backups.

AUDITORIA INFORMTICA

ANEXOS:
CUESTIONARIO DE SEGURIDAD FISICA:

PREGUNTA
1. Se han adoptado medidas de seguridad en el departamento de
sistemas de informacin?
2. Se ha dividido la responsabilidad para tener un mejor control de
la seguridad?
3. Existe personal de vigilancia en la institucin?
4. Se investiga a los vigilantes cuando son contratados
directamente?
5. Existe una persona encargada de velar el equipo y accesorios
en el centro de cmputo de cmputo las 24 horas?
6. Se registra el acceso al centro de cmputo de personas ajenas
a la direccin de informtica?
7. Los interruptores de energa y cables de red estn debidamente
protegidos, etiquetados y sin obstculos para alcanzarlos?
8. Se revisa frecuentemente que no est abierta o descompuesta
22

SI

NO

AUDITORIA INFORMTICA

la cerradura de esta puerta y de las ventanas, si es que existen?

9. Se ha prohibido a los operadores el consumo de alimentos y
bebidas en el interior del departamento de cmputo para evitar
daos al equipo?
10. Se limpia con frecuencia el polvo acumulado en el piso y los
equipos?
11. Se tiene una calendarizacin de mantenimiento preventivo para
el equipo?
12. Las caractersticas fsicas del centro de cmputo son seguras
13. La distribucin de los quipos de cmputo es adecuada?
14. Existen polticas de seguridad para el centro de cmputo?

CUESTIONARIO SEGURIDAD DEL PERSONAL:

N

PREGUNTA
Se han adoptado medidas de seguridad para el personal y usuarios del

1
centro de cmputo?
Se ha instruido a estas personas sobre qu medidas tomar en caso de que
2
3
4

alguien pretenda entrar sin autorizacin?

El centro de cmputo tiene salida de emergencia?
Se ha adiestrado el personal en el manejo de los extintores?
Saben que hacer los operadores del departamento de cmputo, en caso de

5
que ocurra una emergencia ocasionado por fuego?
Se ha adiestrado a todo el personal en la forma en que se deben desalojar
6
las instalaciones en caso de emergencia?
Tienen manuales que contengan normas y polticas de seguridad del
7
8

personal?
Existen manuales y polticas de mitigacin de riesgos?

23

SI

NO

AUDITORIA INFORMTICA

SEGURIDAD DE SOFTWARE Y HARDWARE:

N
1

PREGUNTA
Se han instalado equipos que protejan la informacin y los dispositivos
en caso de variacin de voltaje como: reguladores de voltaje,

supresores pico, UPS, generadores de energa?

Se hacen revisiones peridicas y sorpresivas del contenido del disco
para verificar la instalacin de aplicaciones no relacionadas a la gestin

de La institucin?
Se mantiene programas y procedimientos de deteccin e inmunizacin

de virus en copias no autorizadas o datos procesados en otros equipos?

Existen controles que garanticen el uso adecuado de discos y

accesorios de almacenamiento masivo?

Se aprueban los programas nuevos y se revisan antes de ponerlos en

funcionamiento?
Existe un programa de mantenimiento preventivo para cada dispositivo

7
8
9

del sistema de cmputo?

Existe legalidad de cada sistema operativo o programa.
Existe un plan de actividades previo a la instalacin?
Existe documentacin que garantice la proteccin e integridad de los
recursos informticos.

10
Existen normas o procesos que no permitan hacer Modificaciones en
la configuracin del equipo o intentarlo?
11
Existe un control que prohba Mover, desconectar y/o conectar equipo
12

de cmputo sin autorizacin.

Existen inventarios de hardware, equipos y perifricos asociados y del

13

software instalado.
Los sistemas de hardware se acoplan adecuadamente con la funcin
24

SI

NO

AUDITORIA INFORMTICA

14

del software?
Existen revisiones peridicas del hardware y software

CUESTINARIO DE SEGURIDAD EN LOS DATOS:

N
1

PREGUNTA
La organizacin tiene un sistema de gestin de base de datos

2
3
4

(SGBD)?
La interfaz que existe entre el SGBD y el SO es el adecuado?
Existe un control estricto de las copias de estos archivos?
Las bases de datos guardan la informacin necesaria y adecuada para

5
6

la institucin educativa?
Existe una persona responsable de la base de datos de la institucin?
Se mantiene un registro permanente (bitcora) de todos los procesos
realizados, dejando constancia de suspensiones o cancelaciones de

procesos?
Se han implantado claves o password para garantizar operacin de
consola y equipo central (mainframe), a personal autorizado.

8
9
10

Existen backups y se guardan en lugares seguros y adecuados?

Se realizan auditorias peridicas a los medios de almacenamiento?
Existe un programa de mantenimiento preventivo para el dispositivo

11
12

del SGBD?
Existen integridad de los componentes de seguridad de datos?
Existen procedimientos de realizacin de copias de seguridad y de

13
14

recuperacin de datos?
Existe un perodo mximo de vida de las contraseas?
En la prctica las personas que tienen atribuciones y privilegios dentro
del sistema para conceder derechos de acceso son las autorizadas e

15
16
17
18

incluidas en el Documento de Seguridad?

Existen procedimientos de asignacin y distribucin de contraseas?
Existen procedimientos para la realizacin de las copias de seguridad?
Existen controles sobre el acceso fsico a las copias de seguridad?
Existen diferentes niveles de acceso al sistema de gestin de
contenidos?

25

SI

NO

AUDITORIA INFORMTICA

BIBLIOGRAFA:
1. Auditora de Sistemas: SIS-303
Universidad Catlica Boliviana
Docente Ph.D. Indira Rita Guzmn de Glvez

2. Control interno del Mined.

3. Documentos del Licenciado Ral castillo.

26