Trabajo

Práctico

AUDITORIA DE SISTEMAS I

PARTE I

ACTIVIDAD NÚCLEO TEMÁTICO II.

Estimados Participante. -

Para la Núcleo Temático I I : Metodología, herramientas

y procedimientos de auditoría de sistemas. Deberán elaborar
el taller didáctico mediante la herramienta Word; a continuación,
les doy las indicaciones para poder realizar la actividad con éxito.

Requerimiento a los cursantes

Estimado participante. Fundamentados en los contenidos

programáticos especificados en el núcleo temático, resolverá los siguientes
aspectos:

INSTRUCCIONES A LOS PARTICIPANTES

1.- Lea cuidadosamente cada una de las instrucciones. Pregunte al docente ante
cualquier duda al respecto
2.- Cuide su redacción y ortografía. Tome nota de las instrucciones adicionales,
tips y recomendaciones.
3.- Tome en cuenta las siguientes instrucciones:

 Letra Time New Román

 Tamaño 12
 Interlineado 1,5 cm
 Portada bien identificada con membrete de la universidad
 Márgenes: Izquierdo y Superior 4 cm, Derecho e Inferior 3 cm,
(ejemplo:

REQUERIMIENTO A LOS CURSANTES

1. Descargar el documento en PDF que encontrará en el núcleo temático, el

cual permitirá ser de guía y ejemplo para el desarrollo de la asignación:

CASO PRACTICO 02

INDICE

2.4.1. Organización y administración del área

2.4.2. Seguridad Física Y Lógica

2.4.3. Desarrollo y mantenimiento de los sistemas de aplicaciones

2.4.4. Relevamiento de Hardware

2.4.5. Relevamiento De Software

2.4.6.Comunicaciones
 Criterios de Instrumento de Evaluación – Aspectos a Evaluar
Valor en Ptos
Ítem Aspecto ptos Obtenidos
Establece de manera clara la identificación de lo planteado
1 30
en la auditoria a realizar
Sigue instrucciones, registra en forma individual la totalidad
2 30
de los pasos a realizar en el trabajo de proyección.
Plantea coherentemente la problemática y explica de manera
3 20
adecuada su problemática (Empresa, Situación, Efecto).
Entrega el registro en documento indicado y Demuestra
4 10
capacidad de redacción y análisis.
Demuestra Interés. Calidad de análisis. Curiosidad y
5 10
Motivación ante el proceso de investigación

Total Obtenido

NOTA: ESTA EVALUACIÓN ES NETAMENTE INDIVIDUAL, Y PARA SER

ENVIADA POR LA PLATAFORMA EN DIGITAL, NO SE ACEPTA EN PAPEL, O
HOJA DE EXAMEN, RECUERDE LOS CRITERIOS A EVALUAR, SINO
OBTENDRA MENOR PONDERACIÓN. PUEDE UTILIZAR ESTE MISMO
DOCUMENTO PARA EL DESARROLLO DE LA ASIGNACIÓN.

A Continuación Formato para Utilizar y realizar el trabajo de proyección I:

REPÚBLICA BOLIVARIANA DE VENEZUELA.

MINISTERIO DEL PODER POPULAR PARA LA
EDUCACIÓN UNIVERSITARIA
UNIVERSIDAD BICENTENARIA DE ARAGUA
San Joaquín de Turmero
Registró De Evaluación
Apellidos y Nombres: C.I: 27.168.891

Adolfo Alejandro Torres Díaz

Especialidad: Estudiante Sección / Turno: 1 Fecha: 03/12/2019

Unidad Facilitador: Núcleo o Tema a Ponderación:

Curricular: Ing. William Evaluar 25%
Auditoria de Jiménez Núcleo II: Metodología,
Sistemas I herramientas y
procedimientos de
auditoría de sistemas.
Semana Nro. 9 Nº. Evaluación 4
 Índice

2.4.1 Organización y administración del área

2.4.2 Seguridad Física y Lógica

2.4.3 Desarrollo y mantenimiento de los sistemas de aplicaciones

2.4.4 Relevamiento de Hardware

2.4.5 Relevamiento De Software

2.4.6 Comunicaciones

1
2. Organización y Administración en el Área
a. Observaciones
 El área sufre de una estructura organizativa.
 Solo hay un pequeño número de funcionarios capacitados que
se ven afectados por el área del sistema. Esto muestra la
heterogeneidad de las tareas realizadas con una misma persona.
 Falta el manual de funciones para cada posición en el areá

b. Probables efectos y / o consecuencias

 La falta de personal debidamente capacitado reduce la probabilidad

de control interno en el procesamiento de la información, lo que
aumenta el riesgo de errores y limita la cantidad de soluciones que
se pueden implementar a tiempo para cumplir con los requisitos del
área funcional.
c. Índice de significado establecido…….1 (uno)
d. Sugerencias
 Establecer una estructura organizativa del área de la siguiente
manera:
 Gestión del área informática.
 Gerente del Área.
 Desarrollo y mantenimiento de aplicaciones.
 Soporte técnico.
 Centro de soporte al usuario.
 Se establezca un manual de funciones para cada uno de los cargos
funcionales en que se subdivida el área de cómputos.

1
2.4.2 Seguridad Física Y Lógica

1. Entorno General
a. Observaciones
 No existe un monitoreo estricto del Área de Tecnología de la
Información por parte del personal de seguridad dedicado a
este sector.
 No hay detectores ni extintores automáticos.
 Hay material altamente inflamable.
 Falta de un estudio sobre la vulnerabilidad de la cooperativa a
los riesgos físicos o no físicos, incluidos los riesgos de
informático.
 Las características de seguridad de informática no tienen
posiciones específicas.

b. Probables efectos y / o consecuencias

 Posible difusión de datos confidenciales.
 Los cambios de datos involuntarios o intencionales son muy
fáciles debido a la falta de controles internos.
 Debido a la debilidad del servicio de mantenimiento del equipo
central, la continuidad de las actividades informáticas en caso
de posible rotura o daños a los sistemas, puede verse
seriamente comprometida.
c. Índice de significado establecido…..0 (cero)

d. Sugerencias
Para minimizar los riesgos descritos, se sugiere:

2
  Establecer una guardia de seguridad, durante horas no
autorizadas para ingresar al Área de Tecnología de la
Información.
 Colocación de detectores de incendios automáticos y
extintores en los lugares requeridos.
 Eliminar materiales inflamables del centro de datos.
 Determinar orgánicamente la función de seguridad.
 Realizar periódicamente un estudio de vulnerabilidad y
documentarlo de manera efectiva para tomar medidas
correctivas para las vulnerabilidades identificadas.
2. Auditoría de Sistema

a. Observaciones
 Hemos descubierto que la cooperativa no tiene una auditoría de
informática o políticas formales que especifiquen la
responsabilidad, la frecuencia y la metodología para realizar
revisiones de archivos de auditoría.
 Debe tenerse en cuenta que el sistema integrado tiene un
archivo que puede servir como comprobación de computadora
y no se activa debido a la falta de espacio en el disco duro.

b. Probables efectos y / o consecuencias

 Posibilidad de falsificación voluntaria o involuntaria de los componentes del

procesamiento de datos (programas, archivos, definiciones de seguridad de
acceso, etc.) o acceso a datos confidenciales por personas no autorizadas que
no son reconocidas a tiempo.

c. Índice de significado establecido….0 (cero)

3
d. Sugerencias
 Establezca reglas y procedimientos para establecer todos los
archivos de auditoría que puedan existir y los métodos
responsables, periódicos y de control de todos los componentes
del sistema de aplicación.3. Operaciones de Respaldo

a. Observaciones
 Existe una rutina de trabajo para hacer una copia de seguridad
de los datos en un CD ubicado en el centro de datos y
mantenido por asistente de la computadora.
 Aunque hay copias de seguridad, no hay reglas y
procedimientos que necesiten ser probados sistemáticamente
para establecer una confiabilidad mínima.

b. Probables efectos y / o consecuencias

 La Cooperativa está expuesta a la pérdida de información por no
tener una verificación sistemática regular de las copias de
seguridad, y que están expuestas a riesgos porque están en el poder
del asistente de la computadora.
c. Índice significado establecido….0 (cero )

d. Sugerencias
Minimice los efectos, será posible mediante:
 Desarrollar reglas y procedimientos generales que permitan el uso
de la copia de seguridad requerida.
 Haga 3 copias de copias de seguridad en Zip, una en el área de la
computadora y otra en la sucursal

4
  Realizar pruebas sistemáticas semanales de copias y su
distribución.

4. Acceso de usuario

a. Situación
Según la encuesta, encontramos que:
 Hay niveles de acceso permitidos definidos de acuerdo
con la función que cumple cada usuario.
 Los usuarios definidos al girar o salir de las
instalaciones no se eliminan de los perfiles de acceso
 Los terminales utilizados y un cierto tipo de inactividad
no abandonan el sistema
 El sistema informático no solicita al usuario que cambie
la contraseña mensualmente.

b. Probables efectos y / o consecuencias

 Hay una incapacidad para definir responsabilidades, ya que se
dividen entre el área del sistema y los usuarios finales.
 La falta de seguridad en el uso de contraseñas puede generar
fraude por parte de terceros.
c. Índice significado establecido….2 (dos)

d. Sugerencia
 Implemente un software de seguridad y pruebas disponible en
el mercado o desarrolle el suyo.
 Defina un método que permita un control efectivo sobre el uso
o modificación de programas o archivos por parte de personal
autorizado.

5
5. Plan de Contingencias

a. Observación
 Falta de un plan de contingencia debidamente formalizado para
la tecnología de la información.
 No existen reglas y procedimientos que especifiquen las tareas
manuales e informáticas requeridas para realizar y restaurar la
capacidad de procesamiento en una emergencia (daños al
equipo, incendio, cortes de energía mayores de una hora), y que
determinen los niveles de participación y responsabilidades del
sistema. y área de usuario.
 No existen acuerdos formales de centros de datos paralelos con
otras compañías o proveedores que permitan la restauración
inmediata de los servicios informáticos de la Cooperativa en
caso de emergencia

b. Probables efectos y / o consecuencias

 Pérdida de la capacidad de procesamiento.
 Pérdida de información vital.

c. Índice de Importancia relativa…..1 (uno)

6
 d. Sugerencias
 Preparar un plan de contingencia por escrito que establezca
procedimientos manuales y asistidos por computadora para
restaurar las operaciones normales de la cooperativa e
identificar a los responsables de cada sistema.
 Realizar pruebas simuladas de manera regular para
monitorear el desempeño de los funcionarios responsables
de posibles desastres.
 Haga acuerdos bilaterales con empresas o proveedores para
garantizar el equipo necesario para respaldar la continuidad
del procesamiento.

2.4.3. Desarrollo y mantenimiento de los sistemas de aplicaciones

1. Desarrollo de aplicaciones y entorno de mantenimiento.

a. Situación
 No hay documentación técnica del sistema integrado de la
cooperativa y no hay control formal ni registro de los cambios
realizados.
 Ningún software permite la seguridad de la biblioteca y las
restricciones y / o controles sobre su acceso.
 Por lo general, se requiere modificar el programa sin
comentarios internos, que describen los cambios o
modificaciones requeridos.

7
 b. Probables efectos y / o consecuencias
 La documentación técnica para cada sistema es escasa, es
difícil entender las reglas, lleva mucho tiempo mantenerla y es
imposible capacitar a nuevas personas en el área.
 Aumenta aún más la posibilidad de cometer errores y / o
modificaciones no autorizadas a programas o archivos y no
descubrirlos a tiempo.
c. Índice significado establecido ….1 (uno)

d. Sugerencias
Para reducir el impacto en los posibles resultados y consecuencias,
recomendamos:
 Preparar toda documentación técnica que corresponda al
sistema implementado y establezca estándares y
procedimientos para el desarrollo y las actualizaciones.
 Evaluar e implementar software que mantenga la protección
contra los archivos de programa e incluso el acceso del
programador.
 Implementar y conservar toda la documentación de prueba para
el sistema, así como las modificaciones y aprobaciones del
usuario para el programa.

8
2. Área de Contabilidad

a. Situación

 En la parte receptora del producto y en el trabajo, la contabilidad de cada

operación se realiza manualmente.

b. Probables efectos y / o consecuencias

La cooperativa está expuesta a riesgos graves, que incluyen:

 Posibilidad de errores debido a la falta de conocimiento de los
problemas de contabilidad en el área operativa.
 Existe un alto riesgo de que el usuario final realice cambios no
autorizados en los sistemas ya que el usuario final tiene acceso
total a ellos.
c. Índice significado establecido….0 (cero)

d. Sugerencias
 Implemente adecuadamente los controles internos necesarios
para la gestión adecuada del usuario final.
 Implementar contabilidad automática.

9
2.4.4 Relevamiento de Hardware

Equipamiento Central
La cooperativa Avances Tecnológicos por PFIT tiene actualmente un Equipo
Central:
- Accer Procesador
- Intel Core i9
- compatible con resolución 8K
- refrigeración líquida
- posibilidad de elegir entre tarjeta gráfica AMD RX Vega o gráfica dual
Nvidia GeForce GTX 1080.

No es solo el dispositivo ideal para implementar su configuración funcional y

aceptable. Tiene el potencial de crecer, el fabricante tiene repuestos y mantenimiento
para garantizar su uso adecuado.

Equipamiento Periférico (accesorios y/o equipos)

Se cuenta con 25 ordenadores centrales en su sede, de las cuales alrededor del 50%
poseen un sistema operativo Windows 10 Home 64, Procesador Intel® Celeron®
N4000, Pantalla WLED HD 39,6 cm (15,6 pulg.), Memoria 8 GB DDR4-2400,
SDRAM (1 x 8 GB) Disco duro, SATA de 1 TB 5400 rpm., Gráficos Intel® UHD
600. El resto es menos potente, pero el jardín de PC es suficiente para satisfacer las
necesidades actuales.

10
La impresora del sistema (conectada a la unidad central) es una Impresoras HP Color
LaserJet serie CP1210, Modelo HP Color LaserJet Número de referencia HP Color
LaserJet CP1215

Equipamiento en Sucursales
Las sucursales cuentan con Ordenadores Sony – VAIO VPC
- Pantalla: 15.5 pulgadas
- Procesador: Procesador Intel® Core™ i3-380M
- Memoria: 4 GB
- Disco Duro: 500 GB
- Unidad Óptica: lectura escritura CD y DVD

2.4.5. Relevamiento De Software

Software de Base

Con sistema de red Windows 10 pro con licencia para 40 usuarios. Base de datos
Oracle Gestión

Software de aplicación

Sistema de Contabilidad, Control de Materias Primas, Control Presupuestarios, Libro

IVA (Compras – Ventas), Sueldos y Jornales, todos bajo el software Saes.

11
2.4.6. Comunicaciones

Existe una.
- RED DE ÁREA LOCAL (LAN). conectada al equipo central (Accer)
- RED DE ÁREA AMPLIA (WAN) para empresas.

12
 CONCLUSIONES

Hoy en día, las auditorías de los sistemas de información son críticas para las
empresas modernas con visión de futuro, especialmente inmersas en un mundo
globalizado, porque si no hay mecanismos de control interno, seguridad y soporte
para la información, entonces la organización estará en problemas. Los riesgos
lógicos, físicos y humanos no solo conducen al fraude económico, sino también al
fraude de información, que es una pérdida para la empresa.

Las auditorías del sistema de información no solo deben incluir evaluaciones de

equipos informáticos para un sistema o programa en particular, sino también de
portales, procesos, controles.

En la mayoría de empresas existe una constante preocupación por la presencia

ocasional de fraudes, sin embargo, muchos de estos podrían prevenirse.

Lo visto en este caso de estudio (primera parte). Hace referencia a todo lo

mencionado y descrito a principios de esta conclusión. De cierta forma, es un
aproximado de lo que en un mañana podría ser para nosotros como área laboral a
aplicar en “x” empresa.

13
 REFERENCIAS BIBLIOGRAFICAS

CASO PRACTICO 01. Señores Cooperativa Maná de Producción Agrícola Limitada

Fram Paraguay De nuestra consideración - PDF Free Download. (s.f.). Recuperado 21
noviembre, 2019, de https://docplayer.es/14986478-Caso-practico-01-senores-
cooperativa-mana-de-produccion-agricola-limitada-fram-paraguay-de-nuestra-
consideracion.html

Equipo de Expertos, E. E. (s.f.). 7 tipos de ordenadores que debes conocer | VIU.

Recuperado 21 noviembre, 2019, de https://www.universidadviu.com/tipos-
ordenadores-tenemos-conocer/

Especificaciones de las impresoras HP Color LaserJet CP1215 y CP1217 | Soporte al

cliente de HP®. (s.f.). Recuperado 21 noviembre, 2019, de https://support.hp.com/es-
es/document/c01580417

Juan José Flores, J. F. (s.f.). Proyecto final de auditoría. Recuperado 21 noviembre,

2019, de https://es.slideshare.net/JuanJoseFlores3/proyecto-final-de-auditora

Méndez Oscar, M. O. (s.f.). Auditoría Informática (página 2) - Monografias.com.

Recuperado 21 noviembre, 2019, de
https://www.monografias.com/trabajos40/auditoria-informatica/auditoria-
informatica2.shtml

14
Otoroc, O. (s.f.). Manual de Auditoría de sistemas - Monografias.com. Recuperado
21 noviembre, 2019, de
https://www.monografias.com/trabajos/maudisist/maudisist.shtml

Redes de comunicaciones avanzadas. (s.f.). Recuperado 21 noviembre, 2019, de

https://www.irontec.com/voz-ip/redes-de-comunicaciones-avanzadas

Routers. (s.f.). Recuperado 21 noviembre, 2019, de

http://redesdecomputadores.umh.es/red/routers/default.html

Samuel, S. (2013, 29 mayo). Tipos de redes informáticas según su alcance -.

Recuperado 21 noviembre, 2019, de http://www.gadae.com/blog/tipos-de-redes-
informaticas-segun-su-alcance/

Totocho_83, T. (s.f.). Matemática - Monografias.com. Recuperado 21 noviembre,

2019, de https://www.monografias.com/trabajos7/mafu/mafu.shtml
Trabajo Final De Auditoria De Sistemas. (s.f.). Recuperado 21 noviembre, 2019, de
https://es.calameo.com/read/004369521bd3e8542a242

15