Documentacion Itil

7/22/2019 Documentacion Itil

1/67


2/67

municipalidades en Moquegua, trabajo de investigacin histrica que es necesarioabocarse para que bajo su conocimiento se de luces y perspectivas en eldesenvolvimiento participatorio de la comunidad en el desarrollo de lamunicipalidad.

Anteriormente, el gobierno local de la provincia de Mariscal Nieto-Moqueguaocupaba una casona ubicada en la calle Moquegua N 851, inmueble cuyaconstruccin data de 1799 y que fue donada a la Municipalidad de Moquegua el 05de Setiembre de 1945.

Actualmente la Municipalidad Provincial de Mariscal Nieto cuenta con unainfraestructura moderna ubicada en la calle Ancash N 2751.4. ENFOQUE A UTILIZAR

_ La presente accin de control, se realiza de acuerdo con el organismo central yrector de los Sistemas Nacionales de Estadstica e Informtica, responsable denormar, supervisar y evaluar los mtodos, procedimientos y tcnicas estadsticas einformticas utilizados por los rganos del Sistema INEI (Instituto Nacional deEstadstica e Informtica), Normas Internacionales de Auditoria (NIA); habindoseaplicado procedimientos de Auditoria que se consideraron necesarios de acuerdoa las circunstancias.

_ La presente Auditoria Informtica se realizara en la Municipalidad Provincial de

Mariscal Nieto, ubicada en el Distrito de Moquegua, Provincia Mariscal NietoDepartamento de Moquegua, siendo el rea a examinarse la de Informtica.1.5. RELACION DE FUNCIONARIOS O PERSONAL A CARGO DEL AREA AEXAMINARPeriodo de GestinApellidosNombresCargo Del Al DomicilioCervantes Games,IvanJefe 01.01.03 30.12.03 Av. Balta N232Manchiria Zeballos,

VictoriaPlanillas 01.01.03 30.12.03 Calle Lima N 44Velasquez Zapata,SoniaSecretaria 01.01.03 30.12.03Calle MoqueguaN145Gamez Villa, Celia Secretaria 01.01.03 30.12.03 Calle Lima N14201.6. CRONOGRAMA DE TRABAJOPROGRAMA DE AUDITORIAEMPRESA: Municipalidad Provincial Mariscal Nieto FECHA: HOJA NFASE ACTIVIDAD HORAS

ESTIMADASENCARGADOSI VISITA PRELIMINAR Solicitud de Manuales y Documentaciones. Elaboracin de los cuestionarios. Recopilacin de la informacinorganizacional: estructura orgnica, recursoshumanos, presupuestos.8 HS.


3/67

8

II DESARROLLO DE LA AUDITORIAAplicacin del cuestionario al personal. Entrevistas a lderes y usuarios masrelevantes de la direccin.Anlisis de las claves de acceso, control,

seguridad, confiabilidad y respaldos. Evaluacin de la estructura orgnica:departamentos, puestos, funciones, autoridady responsabilidades. Evaluacin de los Recursos Humanos y de lasituacin Presupuestal y Financiera:desempeo, capacitacin, condiciones detrabajo, recursos en materiales y financierosmobiliario y equipos. Evaluacin de los sistemas: relevamiento deHardware y Software, evaluacin del diseolgico y del desarrollo del sistema. Evaluacin del Proceso de Datos y de losEquipos de Cmputos: seguridad de losdatos, control de operacin, seguridad fsica yprocedimientos de respaldo.32 HS.III REVISION Y PRE-INFORME Revisin de los papeles de trabajo. Determinacin del Diagnostico e Implicancias. Elaboracin de la Carta de Gerencia. Elaboracin del Borrador.16 HS.IV INFORME Elaboracin y presentacin del Informe.4 HS.

9

DIAGRAMA DE GANTT1.7. DOCUMENTOS A SOLICITAR

_ Polticas, estndares, normas y procedimientos._ Plan de sistemas._ Planes de seguridad y continuidad_ Contratos, plizas de seguros._ Organigrama y manual de funciones.

_ Manuales de sistemas._ Registros_ Entrevistas_ Archivos_ Requerimientos de Usuarios1.8. EJECUCION DE LA REVISION ESTRATEGICA1.8.1. CONOCIMIENTO INICIAL DE LA ENTIDAD

10


4/67

Anteriormente, el gobierno local de la provincia de Mariscal Nieto-Moqueguaocupaba una casona ubicada en la calle Moquegua N 851, inmueble cuyaconstruccin data de 1799 y que fue donada a la Municipalidad de Moquegua el 05de Setiembre de 1945.

Actualmente la Municipalidad Provincial de Mariscal Nieto cuenta con unainfraestructura moderna ubicada en la calle Ancash N 2751.8.2. AUTORIDADES DE LA MUNICIPALIDAD PROVINCIAL DE MARISCAL

NIETONOMBRE CARGODr. Vicente AntonioZeballos Salinas

AlcaldeDr. Javier Flores Arocutipa VicerrectorMag. Hilda Guevara GomezDecana de la Facultad deCiencias de la SaludIng. Oscar Paredes VargasDecano de la Facultad deIngenieraMag. Victor CornejoRodriguezDecano de Cs.Jurdicas,Empresariales yPedaggicas.1.8.3. PRINCIPALES ACTIVIDADES:

_ Acordar su rgimen de rgano Interior_ Aprobar su presupuesto_ Aprobar sus Bienes y Rentas_ Crear, modificar, suprimir o examinar sus contribuciones, atribuciones yderecho, conforme a Ley.

_ Organizar, Reglamentar y Administrar sus servicios pblicos locales.

11

_ Contratar con otras entidades pblicas y no pblicas, preferentemente locales,la atencin de los servicios que no administraron directamente.

_ Planificar el desarrollo de sus pueblos y ejecutar los planes correspondientes._ Examinar el cumplimiento de sus propias Normas, a travs de sus propiosmedios o con el auxiliar de las fuerzas policiales.

_ Celebrar contratos con otros municipios para organizar servicios comunes._ Promover y organizar la participacin de los vecinos en el desarrollo comunal.1.8.4. FUNCIONES GENERALES

_ Planificar, ejecutar e impulsar, a travs de los rganos correspondientes, el

conjunto de acciones destinadas a proporcionar al ciudadano, el ambienteadecuado para las satisfacciones de sus necesidades viales de vivienda,salubridad, abastecimiento, educacin, recreacin, transporte y comunicacin.

_ Formular el plan de desarrollo distrital en concordancia con las necesidades yrequerimientos de la poblacin organizada y los planes de desarrollo nacionaly regional.

_ Conducir los programas de acondicionamiento territorial, vivienda y seguridadcolectiva, conforme lo establece la ley orgnica de municipalidades, velandopor su ejecucin.


5/67

12

1.9. ORGANIGRAMA1.10. MARCO LEGAL APLICABLECONSEJOMUNICIPAL

ALCALDIACOMISIONES ORDINARIAS

CONSEJO DE COORDINACION PROVINCIALCONSEJO DE COORDINACION DISTRITALJUNTA DE DELEGADOS VECINALESCOMIT MUNICIPAL DEFENSORIA DEL NIO Y DELADOLECENTECOMIT PROVINCIAL DE DEFENSA CIVILCOMIT DE DEFENSA DEL USUARIOOFICINA DE AUDITORIAPROCURADURIAMUNICIPALSUB GERENCIASECRETARIA GENERALSUB GERENCIA DE IMAGENINSTITUCIONALGERENCIA MUNICIPALSUB GERENCIA SUPERVISIONSECRETARIA GENERALSUB GERENCIA DE EJCUCIONCOACTIVAGERENCIA DE RECURSOSHUMANOS

GERENCIA DE ADMINISTRACIONTRIBUTARIASUB GERENCIA PLANEAMIENTOY CONTROL URBANOSUB GERENCIA DE RECABACIONTRIBUTARIASUB GERENCIA DE FISCALIZACIONTRIBUTARIASUB GERENCIA TRANSPORTE YSEGURIDAD VIALSUB GERENCIA DEDESARROLLO AMBIENTALGERENCIA DE ASESORIA JURIDICAGERENCIA DE FISCALIZACION YPRESUPUESTOSUB GERENCIA DEINVESTIGACION Y C.T.I.SUB GERENCIA DEPLANIFICACION Y PRESIPUESTOSUB GERENCIA DESARROLLOORGANIZACIN EINFORMATICA

GERENCIA DE SERVICIOS A LACIUDADSUB GERENCIA DE SERVICIOSPUBLICOSSUB GERENCIA DEABASTECIMIENTO YCOMERCIALIZACIONSUB GERENCIA DE SEGURIDADCIUDADANAGERENCIA DEADMINISTRACIONSUB GERENCIA DECONTABILIDAD Y TESORERIASUB GERENCIA DE LOGISTICAY CONTROL PATRIMONIALSUB GERENCIA DE RECURSOSHUMANOSSUB GERENCIA DE DESARROLLOECONOMICOSUB GERENCIA DE DESARROLLOSOCIALSUB GERENCIA DE PRE INVERCION

SUB GERENCIA DE INVERCIONGERENCIA DE DESARROLLOECONOMICO SOCIALGERENCIA DE INVERSIONUNIDAD OPERATIVA GRIFOMUNICIPALUNIDDA OPERATIVA SERVICIOMAQUINARIA Y EQUIPOUNIDAD OPERATIVA PANTA DEPREFABRICADOSCOMIT ADMINISTRACIONPROGRAMA VASO DE LECHEENTIDAD PRESTADORA DESERVICIOS DE SANEAMIENTOMUNICIPALIDADES DECENTROS POBLADOS


6/67

13

La base normativa empleada est compuesta por las Normas Internacionales deAuditora (NIAs) 1001 Sistemas de Microcomputadoras, 1002 Sistemas deMicrocomputadoras en Lnea, 1003 Sistemas de Bases de Datos, 1008Evaluacin de Riesgos y Control Interno y el marco COBIT. 1.11. SISTEMAS Y CONTROLES IDENTIFICADOS

a) Control de Actividades y Operaciones._ La Municipalidad Provincial de Mariscal Nieto a formulado el Reglamento deOrganizacin y Funciones (ROF),

_ Asimismo la entidad ha formulado el Manual de Organizacin y Funciones.b) Controles de Confiabilidad y Validez de la Informacin.

_ Las funciones y responsabilidades de cada funcionario y/o directivo estnestablecidas en el Reglamento General Interno, Reglamento de Organizaciny Funciones (ROF).1.12. OFICINA DE PLANEACION Y PRESUPUESTO1.12.1. AREA DE COMPUTO E INFORMATICAMISIONEl rea de Computo e informtica de la municipalidad Provincial de Mariscal Nieto

Moquegua, tiene por misin normar el adecuado uso y aprovechamiento de losrecursos informticos; la optimizacin de las actividades, servicios procesos yacceso inmediato a informacin para la toma de decisiones, mediante eldesarrollo, implantacin y supervisin del correcto funcionamiento de los sistemas

14

y comunicaciones, as como la adquisicin y control de la plataforma fsica decomputo.VISION:El rea de cmputo e informtica, de la Municipalidad Provincial Mariscal Nieto,capaz de liderar el desarrollo informtico, asegurando un marco transparente para

el acceso a los ciudadanos a la informacin1.12.2. SITUACION ACTUALUbicacin:El rea de cmputo e informtica orgnicamente depende de la oficina deplanificacin y presupuesto, asumiendo la responsabilidad de dirigir los procesostcnicos de informticaRecursos Humanos:

Actualmente en el rea de cmputo e informtica labora una sola persona quiencumple las funciones de administracin, capacitacin, soporte y procesamiento dedatos.Recursos informticos existentes:Servidores (Windows 2000 Server)

Computadoras PersonalesImpresoras1211.12.3. OBJETIVOS:El rea de Cmputo e informtica tiene los siguientes objetivos Sectoriales:

15


7/67

_ Apoyar a las Municipalidades Distritales de la Provincia de Mariscal Nieto._ Estandarizar y Uniformizar informacin relevante referente a los gobiernoslocales

_ Brindar un mejor servicio a los usuarios de Moquegua, a travs de una paginaWebOBJETIVOS ESPECIFICOS (PRESUPUESTADOS):

_ Equipamiento de la gestin Municipal.

_ Optimizar las aplicaciones existentes a satisfaccin de la municipalidad._ Digitalizacin de Partidas de Nacimiento, Matrimonio y Defuncin_ Brindar acceso a Internet_ Diseo y elaboracin de pginas Web._ Alojamiento y Mantenimiento de la Pagina Web.1.12.4. ANALISIS FODA

_ Fortalezaso Disponibilidad de recursos econmicos.o Personal Directivo y tcnico con amplia experiencia(recursos humanos)o Capacidad de Convocatoria(Difusin)

_ Oportunidadeso Bsqueda de reduccin de costos, aprovechando la aparicin denuevas tecnologas.o Buen servicio y trato.o Tendencias Tecnolgicas generan un amplio campo de accino Predisposicin y voluntad de los nuevos directivos para cambioTecnolgico

16

_ Debilidadeso Falta de planes y Programas Informticos.o Poca identificacin del personal con la institucino Inestabilidad laboral del personalo Escasa capacidad de retencin y voluntad del personalo No existe programas de capacitacin y actualizacin al personalo La oficina del rea de computo e informtica muy reducidoo Personal tcnico Calificado insuficiente en el rea de computo

_ Amenazaso Rotacin permanente del personal imposibilitando continuidad a losobjetivos propuestos.o Estandarizar y Uniformizar informacin relevante referente a losgobiernos locales.

17

PLAN DE AUDITORIA2.2.1. METODOLOGIALa metodologa de investigacin a utilizar en el proyecto se presenta a continuacin:Para la evaluacin del rea de Informtica se llevarn a cabo las siguientesactividades:

_ Solicitud de los estndares utilizados y programa de trabajo


8/67

_ Aplicacin del cuestionario al personal_ Anlisis y evaluacin del a informacin_ Elaboracin del informe_ Para la evaluacin de los sistemas tanto en operacin como en desarrollo sellevarn a cabo las siguientes actividades:

_ Solicitud del anlisis y diseo del os sistemas en desarrollo y en operacin_ Solicitud de la documentacin de los sistemas en operacin (manualestcnicos, de operacin del usuario, diseo de archivos y programas)

_ Recopilacin y anlisis de los procedimientos administrativos de cadasistema (flujo de informacin, formatos, reportes y consultas)

_ Anlisis de llaves, redundancia, control, seguridad, confidencial y respaldos_ Anlisis del avance de los proyectos en desarrollo, prioridades y personalasignado

_ Entrevista con los usuarios de los sistemas_ Evaluacin directa de la informacin obtenida contra las necesidades yrequerimientos del usuario

_ Anlisis objetivo de la estructuracin y flujo de los programas_ Anlisis y evaluacin de la informacin recopilada_ Elaboracin del informe_ Para la evaluacin de los equipos se llevarn a cabo las siguientes actividades:_ Solicitud de los estudios de viabilidad y caractersticas de los equiposactuales, proyectos sobre ampliacin de equipo, su actualizacin

18

_ Solicitud de contratos de compra y mantenimientos de equipo y sistemas_ Solicitud de contratos y convenios de respaldo_ Solicitud de contratos de Seguros_ Elaboracin de un cuestionario sobre la utilizacin de equipos, memoria,archivos, unidades de entrada/salida, equipos perifricos y su seguridad

_ Visita tcnica de comprobacin de seguridad fsica y lgica de lainstalaciones de la Direccin de Informtica

_ Evaluacin tcnica del sistema electrnico y ambiental de los equipos y dellocal utilizado_ Evaluacin de la informacin recopilada, obtencin de grficas, porcentajede utilizacin de los equipos y su justificacin

_ Elaboracin y presentacin del informe final ( conclusiones y recomendaciones)2.2. JUSTIFICACIONAumento considerable e injustificado del presupuesto del PAD (Departamento deProcesamiento de Datos) Desconocimiento en el nivel directivo de la situacin informtica de la empresa Falta total o parcial de seguridades lgicas y fisicas que garanticen la integridaddel personal, equipos e informacin. Descubrimiento de fraudes efectuados con el computador Falta de una planificacin informtica Organizacin que no funciona correctamente, falta de polticas, objetivos, normas,metodologa, asignacin de tareas y adecuada administracin del RecursoHumano Descontento general de los usuarios por incumplimiento de plazos y mala calidadde los resultados Falta de documentacin o documentacin incompleta de sistemas que revela ladificultad de efectuar el mantenimiento de los sistemas en produccin2.3. MOTIVO O NECESIDAD DE UNA AUDITORIA INOFRMATICA:


9/67

2.3.1. Sntomas de descoordinacin y desorganizacin:

19

_ No coinciden los objetivos del rea de Informtica y de la propia Institucin._ Los estndares de productividad se desvan sensiblemente de lospromedios conseguidos habitualmente. Puede ocurrir con algn cambiomasivo de personal, o en una reestructuracin fallida de alguna rea o en

la modificacin de alguna Norma importante2.3.2. Sntomas de mala imagen e insatisfaccin de los usuarios:

_ No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambiosde software en los terminales de usuario, resfrecamiento de paneles, variacinde los ficheros que deben ponerse diariamente a su disposicin, etc.

_ No se reparan las averas de hardware ni se resuelven incidencias en plazosrazonables. El usuario percibe que est abandonado y desatendidopermanentemente.

_ No se cumplen en todos los casos los plazos de entrega de resultadosperidicos. Pequeas desviaciones pueden causar importantes desajustes enla actividad del usuario, en especial en los resultados de Aplicaciones crticasy sensibles.

2.3.3. Sntomas de debilidades econmico-financiero:_ Incremento desmesurado de costes._ Necesidad de justificacin de Inversiones Informticas (la empresa no estabsolutamente convencida de tal necesidad y decide contrastar opiniones).

_ Desviaciones Presupuestarias significativas._ Costes y plazos de nuevos proyectos (deben auditarse simultneamente aDesarrollo de Proyectos y al rgano que realiz la peticin).2.3.4. Sntomas de Inseguridad: Evaluacin de nivel de riesgos

_ Seguridad Lgica_ Seguridad Fsica

20

_ Confidencialidad_ Los datos son propiedad inicialmente de la organizacin que los genera. Losdatos de personal son especialmente confidenciales

21

CAPITULOII


10/67

AUDITORIAS22

AUDITORIA FISICA1. Alcance de la Auditoria Organizacin y cualificacin del personal de Seguridad. Remodelar el ambiente de trabajo. Planes y procedimientos. Sistemas tcnicos de Seguridad y Proteccin.2. Objetivos

_ Revisin de las polticas y Normas sobre seguridad Fsica._ Verificar la seguridad de personal, datos, hardware, software e instalaciones_ Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambienteinformticoPREGUNTAS SI NO N/A1. Se han adoptado medidas de seguridad en el departamento desistemas de informacin?X2. Existe una persona responsable de la seguridad? X3. Se ha dividido la responsabilidad para tener un mejor control de laseguridad?X4. Existe personal de vigilancia en la institucin? X5. Existe una clara definicin de funciones entre los puestos clave? X6. Se investiga a los vigilantes cuando son contratados directamente? X7. Se controla el trabajo fuera de horario? X8. Se registran las acciones de los operadores para evitar que realicen

algunas pruebas que puedan daar los sistemas?.X9. Existe vigilancia en el departamento de cmputo las 24 horas? X10. Se permite el acceso a los archivos y programas a losprogramadores, analistas y operadores?X11. Se ha instruido a estas personas sobre que medidas tomar en casode que alguien pretenda entrar sin autorizacin?X

23

12. El centro de cmputo tiene salida al exterior? X13. Son controladas las visitas y demostraciones en el centro decmputo?X14. Se registra el acceso al departamento de cmputo de personasajenas a la direccin de informtica?X15. Se vigilan la moral y comportamiento del personal de la direccin deinformtica con el fin de mantener una buena imagen y evitar un


11/67

posible fraude?X16. Se ha adiestrado el personal en el manejo de los extintores? X17. Se revisa de acuerdo con el proveedor el funcionamiento de losextintores?X18. Si es que existen extintores automticos son activador por detectoresautomticos de fuego?X19. Los interruptores de energa estn debidamente protegidos,etiquetados y sin obstculos para alcanzarlos?X20. Saben que hacer los operadores del departamento de cmputo, encaso de que ocurra una emergencia ocasionado por fuego?X21. El personal ajeno a operacin sabe que hacer en el caso de unaemergencia (incendio)?X22. Existe salida de emergencia? X23. Se revisa frecuentemente que no est abierta o descompuesta lacerradura de esta puerta y de las ventanas, si es que existen?24. Se ha adiestrado a todo el personal en la forma en que se debendesalojar las instalaciones en caso de emergencia?X25. Se ha prohibido a los operadores el consumo de alimentos y bebidasen el interior del departamento de cmputo para evitar daos alequipo?X26. Se limpia con frecuencia el polvo acumulado debajo del piso falso siexiste?X27. Se cuenta con copias de los archivos en lugar distinto al de la

computadora?X28. Se tienen establecidos procedimientos de actualizacin a estascopias?X29. Existe departamento de auditoria interna en la institucin? X30. Este departamento de auditoria interna conoce todos los aspectos delos sistemas?X31. Se cumplen? X32. Se auditan los sistemas en operacin? X33. Una vez efectuadas las modificaciones, se presentan las pruebas a

los interesados?X34. Existe control estricto en las modificaciones? X35. Se revisa que tengan la fecha de las modificaciones cuando sehayan efectuado?X36. Si se tienen terminales conectadas, se ha establecidoprocedimientos de operacin?X


12/67

37. Se ha establecido que informacin puede ser acezada y por qupersona?X

24

Auditoria fsica: Para hallar el SI37 100%13 XX = 31.1 Para hallar el NO37 100%24 XX = 64.86LISTADO DE VERIFICACIN DE AUDITORIA FISICAGestin fsica de seguridad.100%Excelente80%Buena60%Regular40%Mnimo20%No cumpleLos objetivos de lainstalacin fsicaDe computoLas caractersticasfsicas de sonseguras de centroLos componentesfsicos de computoLa conexiones delos equipos de lascomunicaciones einstalacionesfsicasLa infraestructuraesEl equipos esLa distribucin delos quipos decomputo esEvaluacin de anlisis fsica de cmputo100% 80% 60% 40% 20%

25Excelente Bueno Regular Mnimo No cumpleEvaluacin de la existencia y uso denormas, resolucin base legal para eldiseo del centro de computo.El cumplimiento de los objetivosfundamentales de la organizacin parainstalar del centro de cmputo.La forma de repartir los recursosinformticos de la organizacin.


13/67

La confiabilidad y seguridades el usode la informacin institucionalLa satisfaccin de las necesidades de

poder computacional de laorganizacin.La solucin a identificacin del centrode cmputo (apoy).Anlisis de la delimitacin la manera en que se cumplen:100%

Excelente80%Bueno60%Regular40%Mnimo20%

No cumpleLa delimitacin espacial, por lasdimensiones fsicas.La delimitacin tecnolgica, por losrequerimientos y conocimientosinformticos.Anlisis de la estabilidad y el aprovechamiento de los recursos a para instalar el centro de computo.

100%Excelente80%Bueno60%Regular40%Mnimo20%

No cumpleAnlisis de latransparencia deltrabajo para losusuarios.La ubicacin del

centro de computoLosrequerimientos deseguridad delcentro de computoEvaluacin del diseo segn el mbito100%Excelente80%Bueno60%Regular40%Mnimo20%

No cumpleAnlisis delambiente detrabajoEvaluar elfuncionamiento delos equiposEl local para eltrabajo esLos equipos


14/67

cuentan conventilacin

26

La iluminacinAnlisis de la seguridad fsica100%Excelente

80%Bueno60%Regular40%Mnimo20%

No cumpleLa seguridad delos equipos.El estado centrode computo estaenLos accesos desalida son

27

INFORME DE AUDITORIA1. Identificacin del informe

Auditoria fsica.2. Identificacin del ClienteEl rea de Informtica3. Identificacin de la Entidad AuditadaMunicipalidad Provincial de Moquegua.4. Objetivos

_ Verificar la estructura de distribucin de los equipos._ Revisar la correcta utilizacin de los equipos_ Verificar la condicin del centro de cmputo.5. Hallazgos Potenciales

_ Falta de presupuesto y personal._ Falta de un local mas amplio_ No existe un calendario de mantenimiento_ Falta de ventilacin._ .faltan salida al exterior_ Existe salidas de emergencia.6. Alcance de la auditoriaNuestra auditoria, comprende el presente periodo 2004 y se ha realizado

especialmente al Departamento de centro de cmputo de acuerdo a las normas ydems disposiciones aplicable al efecto.

28

7. Conclusiones: Como resultado de la Auditoria podemos manifestar que hemos cumplido conevaluar cada uno de los objetivos contenidos en el programa de auditoria. El Departamento de centro de cmputo presenta deficiencias sobre todo en el


15/67

debido cumplimiento de Normas de seguridad.8. Recomendaciones Reubicacin del local Implantacin de equipos de ultima generacin Implantar equipos de ventilacin Implantar salidas de emergencia. Elaborar un calendario de mantenimiento de rutina peridico .

Capacitar al personal.9. Fecha Del InformePLANEAMIENTO EJECUCION INFORMEFECHAS 011004 al 1510-04 16-1004 al 2011-04 231104 al 2811-0410. Identificacin Y Firma Del Auditor

APELLIDOS Y NOMBRES CARGOMAMANI CUTIPA WILY AUDITOR SUPERIOR

29

AUDITORIA DE LA OFIMATICA1. Alcance de la Auditoria.- Planes y procedimientos Polticas de Mantenimiento Inventarios Ofimaticos Capacitacin del Personal2. Objetivos de la Auditoria.-Realizar un informe de Auditoria con el objeto de verificar la existencia de controlespreventivos, detectivos y correctivos, as como el cumplimiento de los mismos por losusuarios.PREGUNTAS SI NO N/A1. Existe un informe tcnico en el que se justifiquela adquisicin del equipo, software y servicios decomputacin, incluyendo un estudio costobeneficio?

2. Existe un comit que coordine y seresponsabilice de todo el proceso de adquisicin einstalacin?3. Han elaborado un instructivo con procedimientosa seguir para la seleccin y adquisicin deequipos, programas y servicios computacionales?4. se cuenta con software de oficina?5. Se han efectuado las acciones necesarias parauna mayor participacin de proveedores?

30

6. Se ha asegurado un respaldo de mantenimientoy asistencia tcnica?7. El acceso al centro de cmputo cuenta con lasseguridades necesarias para reservar el ingresoal personal autorizado?8. Se han implantado claves o password paragarantizar operacin de consola y equipo central(mainframe), a personal autorizado?9. Se han formulado polticas respecto a seguridad,


16/67

privacidad y proteccin de las facilidades deprocesamiento ante eventos como: incendio,vandalismo, robo y uso indebido, intentos deviolacin?10. Se mantiene un registro permanente (bitcora)de todos los procesos realizados, dejandoconstancia de suspensiones o cancelaciones deprocesos?11. Los operadores del equipo central estnentrenados para recuperar o restaurar informacinen caso de destruccin de archivos?12. Los backups son mayores de dos (padres ehijos) y se guardan en lugares seguros yadecuados, preferentemente en bvedas debancos?13. Se han implantado calendarios de operacin afin de establecer prioridades de proceso?14. Todas las actividades del Centro de Computoestn normadas mediante manuales, instructivos,normas, reglamentos, etc.?15. Las instalaciones cuentan con sistema dealarma por presencia de fuego, humo, as comoextintores de incendio, conexiones elctricas

31

seguras, entre otras?16. Se han instalado equipos que protejan lainformacin y los dispositivos en caso de variacinde voltaje como: reguladores de voltaje,supresores pico, UPS, generadores de energa?17. Se han contratado plizas de seguros para

proteger la informacin, equipos, personal y todoriesgo que se produzca por casos fortuitos o malaoperacin?18. Se han Adquirido equipos de proteccin comosupresores de pico, reguladores de voltaje y deser posible UPS previo a la adquisicin delequipo?19. Si se vence la garanta de mantenimiento delproveedor se contrata mantenimiento preventivo ycorrectivo?20. Se establecen procedimientos para obtencin debackups de paquetes y de archivos de datos?

21. Se hacen revisiones peridicas y sorpresivas delcontenido del disco para verificar la instalacin deaplicaciones no relacionadas a la gestin de laempresa?22. Se mantiene programas y procedimientos dedeteccin e inmunizacin de virus en copias noautorizadas o datos procesados en otros equipos?23. Se propende a la estandarizacin del SistemaOperativo, software utilizado como procesadores


17/67

de palabras, hojas electrnicas, manejadores debase de datos y se mantienen actualizadas lasversiones y la capacitacin sobre modificacionesincluidas?

32

24. existen licencias

Auditoria Ofimtica .- Para hallar el SI24 100%15 XX = 62.5 Para hallar el NO24 100%7 XX = 18.91

33


Auditoria de la Ofimtica2. Identificacin del ClienteEl rea de Informtica3. Identificacin de la Entidad AuditadaMunicipalidad Provincial Mariscal Nieto4. Objetivos Verificar si el hardware y software se adquieren siempre y cuando tengan laseguridad de que los sistemas computarizados proporcionaran mayores beneficiosque cualquier otra alternativa. Verificar si la seleccin de equipos y sistemas de computacin es adecuada Verificar la existencia de un plan de actividades previo a la instalacin Verificar que los procesos de compra de Tecnologa de Informacin, deben estarsustentados en Polticas, Procedimientos, Reglamentos y Normatividad enGeneral, que aseguren que todo el proceso se realiza en un marco de legalidad ycumpliendo con las verdaderas necesidades de la organizacin para hoy y elfuturo, sin caer en omisiones, excesos o incumplimientos. Verificar si existen garantas para proteger la integridad de los recursosinformticos. Verificar la utilizacin adecuada de equipos acorde a planes y objetivos.5. Hallazgos Potenciales

_ Falta de licencias de software._ Falta de software de aplicaciones actualizados_ No existe un calendario de mantenimiento ofimatico._ Faltan material ofimtica.

34

_ Carece de seguridad en Acceso restringido de los equipos ofimaticosy software.


18/67

6. Alcance de la auditoriaNuestra auditoria, comprende el presente periodo 2004 y se ha realizadoespecialmente al Departamento de centro de cmputo de acuerdo a lasnormas y dems disposiciones aplicable al efecto.El alcance ha de definir con precisin el entorno y los lmites en que va adesarrollarse la auditoria Ofimtica, se complementa con los objetivos desta.

7. Conclusiones: Como resultado de la Auditoria podemos manifestar que hemoscumplido con evaluar cada uno de los objetivos contenidos en elprograma de auditoria. El Departamento de centro de cmputo presenta deficiencias sobre eldebido cumplimiento de Normas de seguridad.

La escasez de personal debidamente capacitado. Cabe destacar que la sistema ofimatico pudiera servir de gran apoyo ala organizacin, el cual no es explotado en su totalidad por falta depersonal capacitado.

8. Recomendaciones Se recomienda contar con sellos y firmas digitales

Un de manual de funciones para cada puesto de trabajo dentro del rea. Reactualizacion de datos. Implantacin de equipos de ultima generacin

35

Elaborar un calendario de mantenimiento de rutina peridico . Capacitar al personal.9. Fecha Del Informe

PLANEAMIENTO EJECUCION INFORMEFECHAS 011004 al 1510-04 16-1004 al 2011-04 231104 al 2811-0410. Identificacin Y Firma Del Auditor

APELLIDOS Y NOMBRES CARGOQUIONEZ MAYTA CARMEN AUDITOR SUPERIOR

36

AUDITORIA DE LA DIRECCION1. Alcance de la Auditoria.- Organizacin y calificacin de la direccin de Informtica

Plan Estratgico de Sistemas de Informacin.Anlisis de puestos Planes y Procedimientos Normativa Gestin Econmica.2. Objetivos de la Auditoria.-Realizar un informe de Auditoria con el objeto de verificar la adecuacin de lasmedidas aplicadas a las amenazas definidas, as como el cumplimiento de losrequisitos exigidos.


19/67

3. Resultados: Se obtendr: Informe de Auditoria detectando riesgos y deficiencias en la Direccin deInformtica. Plan de recomendaciones a aplicar en funcin de:o Normativa a cumplirPREGUNTAS SI NO N/A1. La direccin de los servicios de informacindesarrollan regularmente planes a corto, medio ylargo plazo que apoyen el logro de la misin y lasmetas generales de la organizacin?2. Dispone su institucin de un plan Estratgico deTecnologa de Informacin?

37

3. Durante el proceso de planificacin, se prestaadecuada atencin al plan estratgico de la empresa?4. Las tareas y actividades en el plan tiene lacorrespondiente y adecuada asignacin de recursos?5. Existe un comit de informtica?

6. Existen estndares de funcionamiento yprocedimientos que gobiernen la actividad del rea deInformtica por un lado y sus relaciones con losdepartamentos usuarios por otro?7. Existen estndares de funcionamiento yprocedimientos y descripciones de puestos de trabajoadecuados y actualizados?8. Los estndares y procedimientos existentespromueven una filosofa adecuada de control?9. Las descripciones de los puestos de trabajo reflejanlas actividades realizadas en la prctica?10. La seleccin de personal se basa en criterios

objetivos y tiene en cuenta la formacin, experiencia yniveles de responsabilidad?11. El rendimiento de cada empleado se evalaregularmente en base a estndares establecidos?12. Existen procesos para determinar las necesidadesde formacin de los empleados en base a suexperiencia?13. Existen controles que tienden a asegurar que elcambio de puesto de trabajo y la finalizacin de loscontratos laborales no afectan a los controles internosy a la seguridad informtica?14. Existe un presupuesto econmico? y hay un

proceso para elaborarlo?

38

15. Existen procedimientos para la adquisicin debienes y servicios?16. Existe un plan operativo anual?17. Existe un sistema de reparto de costes informticosy que este sea justo?


20/67

18. Cuentan con plizas de seguros?19. Existen procedimientos para vigilar y determinarpermanentemente la legislacin aplicable?OBJETIVOS Determinacin de la utilidad de polticas, planes y procedimientos, as como sunivel de cumplimiento Examinar el proceso de planificacin de sistemas de informacin y evaluar sicumplen los objetivos de los mismos. Verificar si el comit de Informtica existe y cumple su papel adecuadamente. Revisar el emplazamiento del departamento de Informtica y evaluar sudependencia frente a otros. Evaluar la existencia de estndares de funcionamiento, procedimientos ydescripciones de puestos de trabajo adecuados y actualizados. Evaluar las caractersticas de la comunicacin entre la Direccin de Informtica yel personal del Departamento. Verificar la existencia de un sistema de reparto de costes informticos y que estesea justo.

39

Auditoria Direccion .- Para hallar el SI17 100%12 XX = 70.58 Para hallar el NO17 100%5 XX = 29.41

40

AUDITORIA DE LA EXPLOTACION1. Alcance de la Auditoria

_ Evaluacin del personal y coherencia de cargos de la propia institucin._ Normas y Procedimientos del rea de informtica2. ObjetivosRealizar un informe de Auditoria con el objeto de verificar la adecuacin de lasfunciones que sirven de apoyo a las tecnologas de la informacin.PREGUNTAS SI NO N/A1. existe personal con conocimiento y experiencia suficiente queorganiza el trabajo para que resulte lo mas eficaz posible ?2. existen procedimientos de salvaguardar, fuera de la instalacinen relacin con ficheros maestros manuales y programas, quepermitan construir las operaciones que sean necesarias?3. se aprueban por personal autorizado las solicitudes de nuevasaplicaciones?4. existe personal con autoridad suficiente que es el que apruebalos cambios de unas aplicaciones por otras?5. existen procedimientos adecuados para mantener ladocumentacin al da ?


21/67

6. tienen manuales todas las aplicaciones ?7. existen controles que garanticen el uso adecuado de discos ycintas?8. existen procedimientos adecuados para conectarce ydesconectarce de los equipos remotos?

41

9. se aprueban los programas nuevos y los que se revisan antesde ponerlos en funcionamiento?10. revizan y evaluan los deparatamentop de usuario los resultadosde las pruevas finales dando su aprobacin antes de poner enfuncionamiento las aplicaciones ?11. al poner en funcionamiento nuevas aplicaciones o versionesactualizada funcionan en paralelo las existentes durante uncierto tiempo?1. Se restringe el acceso a los lugares asignados para guardar losdispositivos de almacenamiento, al personal autorizado?2. Se tiene relacin del personal autorizado para firmar la salida dearchivos confidenciales?

3. Existe un procedimiento para registrar los archivos que se prestany la fecha en que se devolvern?4. Se lleva control sobre los archivos prestados por la instalacin?5. Se conserva la cinta maestra anterior hasta despus de la nuevacinta?6. El cintotecario controla la cinta maestra anterior previendo su usoincorrecto o su eliminacin prematura?7. La operacin de reemplazo es controlada por el cintotecario?8. Se utiliza la poltica de conservacin de archivos hijo-padreabuelo?9. En los procesos que manejan archivos en lnea, Existenprocedimientos para recuperar los archivos?10. Estos procedimientos los conocen los operadores?

11. Existe un responsable en caso de falla?

42

12. Explique que polticas se siguen para la obtencin de archivos derespaldo?13. Existe un procedimiento para el manejo de la informacin de lacintoteca?14. Lo conoce y lo sigue el cintotecario?15. Existe un programa de trabajo de captacin de datos?16. se controla las entradas de documentos fuente?17. Que cifras de control se obtienen?

Sistema Cifras que se Observaciones Obtienen18. existen documento de entrada se tienen?Sistemas Documentos Dpto. que periodicidad Observacionesproporciona el documento19. Se anota que persona recibe la informacin y su volumen?20. Se anota a que capturista se entrega la informacin, el volumen yla hora?21. Se verifica la cantidad de la informacin recibida para su captura?22. Se revisan las cifras de control antes de enviarlas a captura?


22/67

23. Para aquellos procesos que no traigan cifras de control se haestablecido criterios a fin de asegurar que la informacin escompleta y valida?24. Existe un procedimiento escrito que indique como tratar lainformacin invlida (sin firma ilegible, no corresponden las cifras decontrol)?25. En caso de resguardo de informacin de entrada en sistemas, Secustodian en un lugar seguro?26. Si se queda en el departamento de sistemas, Por cuanto tiempo seguarda?

43

27. Existe un registro de anomalas en la informacin debido a malacodificacin?28. Existe una relacin completa de distribucin de listados, en la cualse indiquen personas, secuencia y sistemas a los que pertenecen?29. Se verifica que las cifras de las validaciones concuerden con losdocumentos de entrada?Se hace una relacin de cuando y a quin fueron distribuidos los

listados?30. Se controlan separadamente los documentos confidenciales?31. Se aprovecha adecuadamente el papel de los listados inservibles?32. Existe un registro de los documentos que entran a capturar?33. Se lleva un control de la produccin por persona?34. existe parmetros de control?Auditoria Explotacin: Para hallar el SI40 100%26 XX = 65

Para hallar el NO40 100%14 XX = 35

INFORME DE AUDITORIA44

1. Identificacin del informeAuditoria de la Explotacin2. Identificacin del ClienteEl rea de Informtica3. Identificacin de la Entidad AuditadaMunicipalidad Provincial Mariscal Nieto4. Objetivos Verificar el cumplimiento de plazos y calendarios de tratamientos y entrega dedatos; la correcta transmisin de datos entre entornos diferentes. Verificar la existencia de normas generales escritas para el personal deexplotacin en lo que se refiere a sus funciones Verificar la realizacin de muestreos selectivos de la Documentacin de las


23/67

Aplicaciones explotadas. Verificar cmo se prepara, se lanza y se sigue la produccin diaria.Bsicamente, la explotacin Informtica ejecuta procesos por cadenas o lotessucesivos (Batch*), o en tiempo real (Tiempo Real*). Evaluar las relaciones personales y la coherencia de cargos y salarios, ascomo la equidad en la asignacin de turnos de trabajo. Verificar la existencia de un responsable de Sala en cada turno de trabajo.

Revisar la adecuacin de los locales en que se almacenan cintas y discos, ascomo la perfecta y visible identificacin de estos medios5. Hallazgos Potenciales Incumplimiento de plazos y calendarios de tratamientos y entrega de datos Inexistencia y falta de uso de los Manuales de Operacin Falta de planes de formacin No existe programas de capacitacin y actualizacin al personal6. Alcance de la auditoria

45

Nuestra auditoria, comprende el presente periodo 2004 y se ha realizadoespecialmente al rea de Informtica de acuerdo a las normas y dems

disposiciones aplicable al efecto.7. Conclusiones: Como resultado de la Auditoria de la Seguridad realizada al Municipio, por elperodo comprendido entre el 01 de Setiembre al 24 de Diciembre del 2004,podemos manifestar que hemos cumplido con evaluar cada uno de losobjetivos contenidos en el programa de auditoria. El rea de Informtica presenta deficiencias sobre todo en el debidocumplimiento de sus funciones y por la falta de ellos.8. Recomendaciones Debern realizarse muestreos selectivos de la Documentacin de las

Aplicaciones explotadasAsignar un responsable del Centro de Cmputos en cada turno de trabajo. Crear y hacer uso de manuales de operacin. Revisar los montajes diarios y por horas de cintas o cartuchos, as como lostiempos transcurridos entre la peticin de montaje por parte del Sistema hastael montaje real. Realizar funciones de operacin, programacin y diseo de sistemas debenestar claramente delimitadas. Crear mecanismos necesarios a fin de asegurar que los programadores yanalistas no tengan acceso a la operacin del computador y los operadores asu vez no conozcan la documentacin de programas y sistemas9. Fecha Del Informe

46

PLANEAMIENTO EJECUCION INFORMEFECHAS011004 al 1510-0416-1004 al 2011-04231104 al 28


24/67

11-0410. Identificacin Y Firma Del AuditorAPELLIDOS Y NOMBRES CARGO

AROHUANCA ANTAHUANACOMICHELLA

AUDITOR SUPERIOR

47

AUDITORIA DEL DESARROLLO1. Alcance de la Auditoria

_ Conexiones_ Cifrado_ Salidas gateway y routers_ Correo Electrnico_ Pginas WEB_ Firewalls2. Objetivos

_ revisar el cumplimiento del proceso completo de desarrollo de proyectos

_ verificar las metodologas utilizadas_ verificar el control interno de las aplicaciones, satisfaccin de los usuarios y controlde procesos y ejecuciones de programas crticos.

_ Revisar el ciclo de desarrollo del software.PREGUNTAS SI NO N/A1. Existe el documento que contiene las funciones que soncompetencia del rea de desarrollo, esta aprobado por ladireccin de informtica y se respeta?2. se comprueban los resultados con datos reales?3. Existe un organigrama con la estructura de organizacin delrea?4. Existe un manual de organizacin que regula las relaciones

48

entre puestos?5. Existe la relacin de personal adscrito al rea, incluyendo elpuesto ocupado por cada persona?6. El plan existe, es claro y realista?7. Estn establecidos los procedimientos de promocin depersonal a puestos superiores, teniendo en cuenta la experienciay formacin?8. El rea de desarrollo lleva su propio control presupuestario?9. Se hace un presupuesto por ejercicio y se cumple?10. El presupuesto esta en concordancia con los objetivos acumplir?11. El personal de rea de desarrollo cuenta con la formacinadecuada y son motivados para la realizacin de su trabajo?12. Existen procedimientos de contratacin?13. Las personas seleccionadas cumplen los requisitos del puestoal que acceden?14. Las ofertas de puestos del rea se difunden de forma suficientefuera de la organizacin y las selecciones se hacen de forma


25/67

objetiva?15. Existe un plan de formacin que este en consonancia con losobjetivos tecnolgicos que se tenga en el rea?16. El plan de trabajo del rea tiene en cuenta los tiempos deformacin?17. Existe un protocolo de recepcin / abandono para las personasque se incorporan o dejan el rea?18. Existe un protocolo y se respeta para cada incorporacin /abandono?19. En los abandonos del personal se garantiza la proteccin del

49

rea?20. Existe una biblioteca y una hemeroteca accesibles por elpersonal del rea?21. Esta disponible un numero suficiente de libros, publicacionesperidicas, monografas, de reconocido prestigio y el personaltiene acceso a ellos?22. El personal esta motivado en la realizacin de su trabajo?

23. Existe algn mecanismo que permita a los empleados hacersugerencias sobre mejoras en la organizacin del rea?24. Existe rotacin de personal y existe un buen ambiente detrabajo?25. La realizacin de nuevos proyectos se basa en el plan desistemas en cuanto a objetivos?26. Las fechas de realizacin coinciden con los del plan desistemas?27. El plan de sistemas se actualiza con la informacin que segenera a lo largo de un proceso?28. Los cambios en los planes de los proyectos se comunican alresponsable de mantenimiento del plan de sistemas?

29. Existe un procedimiento para la propuesta de realizacin denuevos proyectos?30. Existe un mecanismo para registrar necesidades de desarrollode nuevos sistemas?31. Se respeta este mecanismo en todas las propuestas?32. Existe un procedimiento de aprobacin de nuevos proyectos?33. Existe un procedimiento para asignar director y equipo dedesarrollo a cada nuevo proyecto?34. Se tiene en cuenta a todas las personas disponibles cuyo perfilsea adecuado a los riesgos de cada proyecto y que tenga

50

disponibilidad para participar?35. Existe un protocolo para solicitar al resto de las reas laparticipacin del personal en el proyecto y se aplica dichoprotocolo?36. Existe un procedimiento para conseguir los recursos materialesnecesarios para cada proyecto?37. Se tiene implantada una metodologa de desarrollo de sistemasde informacin soportada por herramientas de ayuda?


26/67

38. La metodologa cubre todas las fases del desarrollo y esadaptable a distintos tipos de proyectos?39. La metodologa y las tcnicas asociadas a la misma estnadaptadas al entorno tecnolgico y a la organizacin del rea dedesarrollo?40. Existe un catalogo de las aplicaciones disponible en el rea?41. Existe un registro de problemas que se producen en losproyectos del rea?42. Existe un catalogo de problemas?43. El catalogo es accesible para todos los miembros del rea?44. Se registran y controlan todos los proyectos fracasados?Auditoria Desarrollo: Para hallar el SI37 100%27 XX = 72.97

51

Para hallar el NO37 100%10 XX = 27.02


Auditoria de Desarrollo2. Identificacin del ClienteEl rea de Informtica3. Identificacin de la Entidad AuditadaMunicipalidad Provincial Mariscal Nieto

4. Objetivos Verificar el cumplimiento de los proyectos en proceso. Revisar el cumplimiento de la normas generales Revisar los recursos de la organizacin Verificar los avances tecnolgicos.5. Hallazgos Potenciales Incumplimiento de plazos y calendarios de tratamientos y entrega de datos Inexistencia y falta de uso de los Manuales de Operacin Falta de planes de formacin No existe programas de capacitacin y actualizacin al personal6. Alcance de la auditoria

52Nuestra auditoria, comprende el presente periodo 2004 y se ha realizadoespecialmente al rea de Informtica de acuerdo a las normas y demsdisposiciones aplicable al efecto.7. Conclusiones: La municipalidad no desarrolla software de paliacin si no la adquiere. .se calificado el ciclo de desarrollo de los procesos de la entidad en su mbitode trabajo


27/67

8. RecomendacionesAsignar un responsable un responsable para todos los procesos del Centro deCmputos. Se debe asignar un grupo para el desarrollo de sofware. Crear y hacer uso de manuales de operacin. Realizar funciones de operacin, diseo de sistemas.9. Fecha Del Informe

PLANEAMIENTO EJECUCION INFORMEFECHAS011004 al 1510-0416-1004 al 2011-04231104 al 2811-0410. Identificacin Y Firma Del AuditorAPELLIDOS Y NOMBRES CARGO

53

MUOZ ORTEGA, MADELEINE. AUDITOR SUPERIOR

AUDITORIA DEL MANTENIMIENTO1. Alcance de la Auditoria.- Planes y procedimientos de Mantenimiento Normativa2. Objetivos de la Auditoria.-Realizar un informe de Auditoria con el objeto de evaluar el mantenimiento correctivo ypreventivo del software.3. Referencia Legal: Estndares

ISO/IEC 12207

IEEE 1074IEEE 1219ISO/IEC 14764PREGUNTAS SI NO N/A1. Existe un contrato de mantenimiento.2. Existe un programa de mantenimiento preventivo paracada dispositivo del sistema de cmputo?3. Se lleva a cabo tal programa?4. Existen tiempos de respuesta y de composturaestipulados en los contratos?

54

5. Si los tiempos de reparacin son superiores a losestipulados en el contrato, Qu acciones correctivas setoman para ajustarlos a lo convenido?6. Existe plan de mantenimiento preventivo. ?7. Este plan es proporcionado por el proveedor?8. Se notifican las fallas?9. Se les da seguimiento?10. Tiene un plan logstico para dar soporte al producto


28/67

software?11. Los requerimientos de mantenibilidad se incluyen en la

Actividad de Iniciacin durante el Proceso de Adquisicin(ISO 12207) y se evala durante el Proceso de Desarrollo?12. Las variaciones en el diseo son supervisadas durante eldesarrollo para establecer su impacto sobre lamantenibilidad?13. Se realizan varios tipos de medidas para poder estimar lacalidad del software?14. La mantenibilidad se tiene en cuenta antes de empezar adesarrollar?15. El desarrollador prepara un Plan de Mantenibilidad queestablece prcticas especficas de mantenibilidad, ascomo recursos y secuencias relevantes de actividades?16. Durante el anlisis de requerimientos, los siguientesaspectos que afectan a la mantenibilidad, son tomados encuenta?

_ Identificacin y definicin de funciones, especialmentelas opcionales.

_ Exactitud y organizacin lgica de los datos._ Los Interfaces (de mquina y de usuario)._ Requerimientos de rendimiento.

55

_ Requerimientos impuestos por el entorno(presupuesto).

_ Granularidad (detalle) de los requerimientos y suimpacto sobre la trazabilidad.

_ nfasis del Plan de Aseguramiento de Calidad delSoftware (SQAP) en el cumplimiento de las normas dedocumentacin

17. La transicin del software consiste en una secuenciacontrolada y coordinada de acciones para trasladar unproducto software desde la organizacin que inicialmenteha realizado el desarrollo a la encargada delmantenimiento?18. La responsabilidad del mantenimiento se transfiere a unaorganizacin distinta, se elabora un Plan de Transicin?que es lo que incluye este plan?

_ La transferencia de hardware, software, datos yexperiencia desde el desarrollador al mantenedor.

_ Las tareas necesarias para que el mantenedor puedaimplementar una estrategia de mantenimiento del

software.19. El mantenedor a menudo se encuentra con un productosoftware con documentacin?20. Si no hay documentacin, el mantenedor deber crearla?Realiza lo siguiente?a. Comprender el dominio del problema y operar con elproducto software.b. Aprender la estructura y organizacin del productosoftware.


29/67

c. Determinar qu hace el producto software. Revisar lasespecificaciones (si las hubiera)21. Documentos como especificaciones, manuales demantenimiento para programadores, manuales de usuarioo guas de instalacin pueden ser modificados o creados,

56

si fuese necesario?22. El Plan de Mantenimiento es preparado por el mantenedordurante el desarrollo del software.23. Los elementos software reflejan la documentacin dediseo?24. Los productos software fueron suficientemente probadosy sus especificaciones cumplidas?25. Los informes de pruebas son correctos y lasdiscrepancias entre resultados actuales y esperados hansido resueltas?26. La documentacin de usuario cumple los estndaresespecificados?

27. Los costes y calendarios se ajustan a los planesestablecidos?Auditoria Mantenimiento: Para hallar el SI25 100%18 XX = 72 Para hallar el NO25 100%7 XX = 28

57


Auditoria del Mantenimiento2. Identificacin del ClienteEl rea de Informtica3. Identificacin de la Entidad AuditadaMunicipalidad Provincial Mariscal Nieto4. Objetivos

_ Revisar los contratos y las clusulas que estn perfectamente definidas enlas cuales se elimine toda la subjetividad y con penalizacin en caso deincumplimiento, para evitar contratos que sean parciales.

_ Verificar el cumplimiento del contrato sobre el control de fallas, frecuencia,y el tiempo de reparacin.

_ Diagnstico del sistema actual de mantenimiento._ Verificar el montaje de mtodos de recopilacin de informacin en reasespecficas.

_ Verificar la existencia de de planes estratgicos de desarrollo.


30/67

_ Verificacin de la efectividad del mantenimiento actual y los desarrollos yprogramas proyectados.

_ Verificar la optimizacin de almacenes y repuestos.5. Hallazgos Potenciales

_ Prdida de control_ Prdida de una fuente de aprendizaje, porque una actividad interna pasa aser externa.

_ Dependencias del suministrador.

58

_ Variaciones en la calidad del producto entregado al usuario final._ Problemas entre el personal._ Uso de metodologas para nuevos desarrollos, pero ausencia de ellas parael mantenimiento.

_ Tendencia a la desestructuracin_ Dificultad progresiva de modificacin_ Falta de presupuesto_ Falta de personal_ Falta de apoyo de la Direccin

6. Alcance de la auditoriaNuestra auditoria, comprende el presente periodo 2004 y se ha realizadoespecialmente al rea de Informtica de acuerdo a las normas y demsdisposiciones aplicable al efecto.7. Conclusiones: Como resultado de la Auditoria del Mantenimiento realizada al Municipio, por elperodo comprendido entre el 01 de Setiembre al 24 de Diciembre del 2004,podemos manifestar que hemos cumplido con evaluar cada uno de losobjetivos contenidos en el programa de auditoria. El rea de Informtica presenta deficiencias sobre todo en el debidocumplimiento de sus funciones y por la falta de ellos.8. Recomendaciones

_ Modificacin de un producto software, o de ciertos componentes, usando parael anlisis del sistema existente tcnicas de Ingeniera Inversa y, para la etapa

_ de reconstruccin, herramientas de Ingeniera Directa, de tal manera que seoriente este cambio hacia mayores niveles de facilidad en cuanto amantenimiento, reutilizacin, comprensin o evolucin.

59

_ Categorizar los tipos de mantenimiento del software y para cada tipo planificarlas actividades y tareas a realizar.

_ Elaborar un procedimiento organizado para realizar la migracin de unproducto software desde un entorno operativo antiguo a otro nuevo.

_ Establecer un acuerdo o contrato de mantenimiento entre el mantenedor y elcliente y las obligaciones de cada uno estos._ Elaborar un plan de mantenimiento que incluya el alcance del mantenimiento,quin lo realizar, una estimacin de los costes y un anlisis de los recursosnecesarios.9. Fecha Del InformePLANEAMIENTO EJECUCION INFORMEFECHAS011004 al 1510-


31/67

0416-1004 al 2011-04231104 al 2812-0410. Identificacin Y Firma Del AuditorAPELLIDOS Y NOMBRES CARGOQUIONEZ MAYTA, CARMEN AUDITOR SUPERIOR

60

AUDITORIA DE BASE DE DATOS1. Alcance de la auditoria:Esta auditoria comprende solamente al rea de cetro de computo de la municipalidadde mariscal nieto, con respecto al cumplimiento del proceso "De Gestinadministracin de la Base de Datos " de la de manera que abarca la explotacin,mantenimiento, diseo carga, post implementacin, Los sistemas de gestin de basede datos (SGBD), software de auditoria , sistema operativo protocolos y sistemasdistribuidos.

2. Objetivos_ Verificar la responsabilidad para la planificacin de planillas y control de losactivos de datos de la organizacin (administrador de datos)

_ Verificar la responsabilidad de la administracin del entorno de la base de datos (administrador de la base de datos)

_ Proporcionar servicios de apoyo en aspectos de organizacin y mtodos,mediante la definicin, implantacin y actualizacin de Base de Datos y/oprocedimientos administrativos con la finalidad de contribuir a la eficienciaPREGUNTAS SI NO N/A1. Existe equipos o software de SGBD2. La organizacin tiene un sistema de gestin de base dedatos (SGBD)

3. Los datos son cargados correctamente en la interfaz grafica4. Se verificar que los controles y relaciones de datos serealizan de acuerdo a Normalizacin libre de error5. Existe personal restringido que tenga acceso a la BD6. El SGBD es dependiente de los servicios que ofrece elSistema Operativo

61

7. La interfaz que existe entre el SGBD y el SO es eladecuado8. Existen procedimientos formales para la operacin delSGBD?9. Estn actualizados los procedimientos de SGBD?10. La periodicidad de la actualizacin de los procedimientoses Anual ?11. Son suficientemente claras las operaciones que realiza laBD?12. Existe un control que asegure la justificacin de losprocesos en el computador? (Que los procesos que estnautorizados tengan una razn de ser procesados)


32/67

13. Se procesa las operaciones dentro del departamento decmputo?14. Se verifican con frecuencia la validez de los inventarios delos archivos magnticos?15. Existe un control estricto de las copias de estos archivos?16. Se borran los archivos de los dispositivos dealmacenamiento, cuando se desechan estos?17. Se registran como parte del inventario las nuevas cintasmagnticas que recibe el centro de computo?18. Se tiene un responsable del SGBD?19. Se realizan auditorias peridicas a los medios dealmacenamiento?20. Se tiene relacin del personal autorizado para manipularla BD?21. Se lleva control sobre los archivos trasmitidos por elsistema?22. Existe un programa de mantenimiento preventivo para eldispositivo del SGBD?23. Existen integridad de los componentes y de seguridad dedatos?

62

24. De acuerdo con los tiempos de utilizacin de cadadispositivo del sistema de cmputo, existe equipo capacesque soportar el trabajo?25. El SGBD tiene capacidad de teleproceso?26. Se ha investigado si ese tiempo de respuesta satisface alos usuarios?27. La capacidad de almacenamiento mximo de la BD essuficiente para atender el proceso por lotes y el procesoremoto?

Auditoria Explotacin: Para hallar el SI24 100%19 XX = 79.16 Para hallar el NO24 100%5 XX = 20.83

63


Auditoria de Base de Datos.2. Identificacin del ClienteEl rea de Informtica3. Identificacin de la Entidad AuditadaMunicipalidad Provincial de Moquegua.


33/67

4. Objetivos_ Evaluar el tipo de Base de Datos, relaciones, plataforma o sistemaoperativo que trabaja, llaves, administracin y dems aspectos querepercuten en su trabajo.

_ Revisar del software institucional para la administracin de la Base deDatos.

_ Verificar la actualizacin de la Base de Datos._ Verificar la optimizacin de almacenes de los Base de Datos_ Revisar que el equipo utilizado tiene suficiente poder de procesamiento yvelocidad en red para optimizar el desempeo de la base de datos.5. Hallazgos Potenciales

_ No estn definidos los parmetros o normas de calidad._ Falta de presupuesto_ Falta de personal

64

_ La gerencia de Base de datos no tiene un plan que permite modificar enforma oportuna el plan a largo plazo de tecnologa, teniendo en cuenta losposibles cambios tecnolgicos y el incremento de la base de datos..

_ No existe un calendario de mantenimiento de rutina peridico del softwaredefinido por la Base de datos.6. Alcance de la auditoriaNuestra auditoria, comprende el presente periodo 2004 y se ha realizadoespecialmente al Departamento de centro de cmputo de acuerdo a las normas ydems disposiciones aplicable al efecto.7. Conclusiones: Como resultado de la Auditoria podemos manifestar que hemos cumplido conevaluar cada uno de los objetivos contenidos en el programa de auditoria. El Departamento de centro de cmputo presenta deficiencias sobre todo en eldebido cumplimiento de Normas de seguridad de datos y administracin de laBase de Datos.

8. Recomendaciones Elaborar toda la documentacin lgica correspondiente a los sistemas deadministracin de la BD. Evaluar e implementar un software que permitamantener el resguardo de acceso de los archivos de programas y an de losprogramadores. Implementar la relaciones con las diferentes reas en cuanto al compartimientode archivos permitidos por las normas Elaborar un calendario de mantenimiento de rutina peridico . Capacitar al personal al manejo de la BD. Dar a conocer la importancia del SGBD al usuario

65

9. Fecha Del InformePLANEAMIENTO EJECUCION INFORMEFECHAS 011004 al 1510-04 16-1004 al 2011-04 231104 al 2811-0410. Identificacin Y Firma Del AuditorAPELLIDOS Y NOMBRES CARGOMAMANI CUTIPA WILY AUDITOR SUPERIOR

AUDITORIA DE CALIDAD


34/67

Objetivos:_ Verificar los procesos aplicables del programa de la calidad han sido desarrolladosy documentados.

_ Evaluar la capacidad de realizar un trabajo especifico.SI NO N/ASe reflejan el software codificado tal como en el diseo en ladocumentacin?XFueron probados con xito los productos de software usados enel centro de computo?XSe cumplen las especificaciones de la documentacin delusuario del software?XLos procesos de gestin administrativa aplicados en el rea deinformtica de la institucin son lo suficientemente ptimos?XEl funcionamiento del software dentro del rea de trabajo estnde acuerdo con los requerimientos especficos?X

Los documentos de gestin administrativa se cumplensatisfactoriamente en el rea de computo?XLos productos de software que utilizan en el rea de informticaesta de acuerdo con los estndares establecidos?XLos dispositivos de trabajo en el rea de informtica se les X

66

realizan una revisin tcnica correcta?Los costos fijados en la revisin tcnica se encuentran dentro de

los lmites fijados?XAuditoria Calidad: Para hallar el SI9 100%5 XX = 55.5 Para hallar el NO9 100%4 XX = 44.4

INFORME DE AUDITORIA11. Identificacin del informeAuditoria de Calidad12. Identificacin del ClienteEl rea de Informtica13. Identificacin de la Entidad AuditadaMunicipalidad Provincial de Moquegua.14. Objetivos


35/67

_ Verificar la calidad de servicio que ofrece el Software._ Evaluar el software institucional para la administracin._ Revisar que el equipo utilizado tiene suficiente poder de procesamiento yvelocidad en red para optimizar el desempeo de la organizacin.

67

15. Alcance de la auditoria

Nuestra auditoria, comprende el presente periodo 2004 y se ha realizadoespecialmente al Departamento de centro de cmputo de acuerdo a las normas ydems disposiciones aplicable al efecto.16. Conclusiones: El Departamento de centro de cmputo presenta deficiencias sobre todo en eldebido cumplimiento de Normas de seguridad de datos y administracin de laBase de Datos con respecto a calidad.17. Fecha Del InformePLANEAMIENTO EJECUCION INFORMEFECHAS 011004 al 1510-04 16-1004 al 2011-04 231104 al 2811-0418. Identificacin Y Firma Del AuditorAPELLIDOS Y NOMBRES CARGO

MAMANI CUTIPA WILY AUDITOR SUPERIOR

68

AUDITORIA DE LA SEGURIDAD1. Alcance de la Auditoria.- Organizacin y calificacin del personal Planes y procedimientos Sistemas tcnicos de deteccin y comunicacinAnlisis de puestos Mantenimiento

Normativa2. Objetivos de la Auditoria.-Realizar un informe de Auditoria con el objeto de verificar la adecuacin de lasmedidas aplicadas a las amenazas definidas, as como el cumplimiento de losrequisitos exigidos.3. Referencia Legal: Manual de Autoproteccin aprobado por O.M. de 29/11/84, NBE-CPI 96 (RD2177/96), Normativa de las Comunidades Autnomas y Ordenanzas Municipales,CEPREVEN.4. Resultados: Se obtendr: Informe de Auditoria detectando riesgos y deficiencias en el Sistema de Seguridad. Plan de recomendaciones a aplicar en funcin de:o Riesgoso Normativa a cumpliro Costes estimados de las recomendaciones

69

AUDITORIA LOGICAPREGUNTAS SI NO N/A


36/67

1. Existen medidas, controles, procedimientos, normas yestndares de seguridad?2. Existe un documento donde este especificado la relacin de lasfunciones y obligaciones del personal?3. Existen procedimientos de notificacin y gestin deincidencias?4. Existen procedimientos de realizacin de copias de seguridad yde recuperacin de datos?5. Existe una relacin del personal autorizado a conceder, alteraro anular el acceso sobre datos y recursos?6. Existe una relacin de controles peridicos a realizar paraverificar el cumplimiento del documento?7. Existen medidas a adoptar cuando un soporte vaya a serdesechado o reutilizado?8. Existe una relacin del personal autorizado a acceder a loslocales donde se encuentren ubicados los sistemas que tratandatos personales?9. Existe una relacin de personal autorizado a acceder a lossoportes de datos?10. Existe un perodo mximo de vida de las contraseas?11. Existe una relacin de usuarios autorizados a acceder a lossistemas y que incluye los tipos de acceso permitidos?12. Los derechos de acceso concedidos a los usuarios son losnecesarios y suficientes para el ejercicio de las funciones quetienen encomendadas, las cuales a su vez se encuentran odeben estar- documentadas en el Documento de Seguridad?13. Hay dadas de alta en el sistema cuentas de usuario genricas,es decir, utilizadas por ms de una persona, no permitiendo por

70

tanto la identificacin de la persona fsica que las ha utilizado?

14. En la prctica las personas que tienen atribuciones y privilegiosdentro del sistema para conceder derechos de acceso son lasautorizadas e incluidas en el Documento de Seguridad?15. El sistema de autenticacin de usuarios guarda las contraseasencriptadas?16. En el sistema estn habilitadas para todas las cuentas deusuario las opciones que permiten establecer: Un nmero mximo de intentos de conexin. Un perodo mximo de vigencia para la contrasea,coincidente con el establecido en el Documento deSeguridad.17. Existen procedimientos de asignacin y distribucin de

contraseas?AUDITORIA FISICAPREGUNTAS SI NO N/A1. Existen procedimientos para la realizacin de las copias deseguridad?2. Existen procedimientos que aseguran que, de todos losficheros con datos de carcter personal, se realiza copia almenos una vez cada semana?3. Hay procedimientos que aseguran la realizacin de copias de


37/67

todos aquellos ficheros que han experimentado algn cambio ensu contenido?4. Existen controles para la deteccin de incidencias en larealizacin de las pruebas?5. Existen controles sobre el acceso fsico a las copias deseguridad?6. Slo las personas con acceso autorizado en el documento de

71

seguridad tienen acceso a los soportes que contienen las copiasde seguridad?7. Las copias de seguridad de ficheros de nivel alto incluyen losficheros cifrados, si estas copias se transportan fuera de lasinstalaciones?8. Las copias de seguridad de los ficheros de nivel alto sealmacenan en lugar diferente al de los equipos que lasprocesan?g9. Existe un inventario de los soportes existentes?

10. Dicho inventario incluye las copias de seguridad?11. Las copias de seguridad, o cualquier otro soporte, sealmacenan fuera de la instalacin?12. Existen procedimientos de actualizacin de dicho inventario?13. Existen procedimientos de etiquetado e identificacin delcontenido de los soportes?14. Existen procedimientos en relacin con la salida de soportesfuera de su almacenamiento habitual?15. Se evalan los estndares de distribucin y envo de estossoportes?16. Se Obtiene una relacin de los ficheros que se envan fuera dela empresa, en la que se especifique el tipo de soporte, la forma

de envo, el estamento que realiza el envo y el destinatario?17. Se Comprueba que todos los soportes incluidos en esa relacinse encuentran tambin en el inventario de soportes mencionadoanteriormente?18. Se Obtiene una copia del Registro de Entrada y Salida deSoportes y se comprueba que en l se incluyen: Los soportes incluidos en la relacin del punto anterior (yviceversa) Los desplazamientos de soportes al almacenamiento

72

exterior (si existiera)19. Se Verifica que el Registro de Entrada y Salida refleja lainformacin requerida por el Reglamento:a) Fecha y horab) Emisor/Receptorc) N de soportesd) Tipo de informacin contenida en el soporte.e) Forma de envof) Persona fsica responsable de la recepcin/entrega


38/67

20. Se Analiza los procedimientos de actualizacin del Registro deEntrada y Salida en relacin con el movimiento de soportes?21. Existen controles para detectar la existencia de soportesrecibidos/enviados que no se inscriben en el Registro deEntrada/Salida?22. Se Comprueba, en el caso de que el Inventario de Soportes y/oel Registro de Entrada/Salida estn informatizados, que serealizan copias de seguridad de ellos, al menos, una vez a lasemana?23. Se realiza una relacin de soportes enviados fuera de laempresa con la relacin de ficheros de nivel alto?24. Se Verifica que todos los soportes que contiene ficheros condatos de nivel Alto van cifrados?25. Se Comprobar la existencia, como parte del Documento deSeguridad, de una relacin de usuarios con acceso autorizado ala sala?26. Se Verifica que la inclusin del personal en la relacin anteriores coherente con las funciones que tienen encomendadas?27. Se Comprueba que la relacin es lgica (personal delimpieza? Vigilantes de seguridad?).28. Existen polticas de la instalacin en relacin con los accesosocasionales a la sala29. Se Determina que personas tienen llaves de acceso, tarjetas,etc. de acceso a la sala?g.

73

30. Se Comprueba que estn activados los parmetros deactivacin del Registro para todos los ficheros de Nivel Alto?31. Se Analizan los procedimientos de descarga a cinta de esteRegistro de Accesos y el perodo de retencin de este soporte?32. Existen procedimientos de realizacin de copias de seguridad

del Registro de Accesos y el perodo de retencin de las copias?33. Se Verifica la asignacin de privilegios que permitanactivar/desactivar el Registro de Accesos para uno o msficheros?34. Se Comprueba que el Registro de Accesos se encuentra bajoel control directo del Responsable de Seguridad pertinente?Auditoria Calidad: Para hallar el SI39 100%15 XX = 38.46


74

AREAS CRTICAS DE LA AUDITORIA DE


39/67

SEGURIDADEvaluacin de la seguridad en el acceso al SistemaPreguntas 100%Excelente80%Bueno60%

Regular40%Mnimo20%No cumpleEvaluar los atributos de acceso alsistema.Evaluar los niveles de acceso alsistema.Evaluar la administracin decontraseas al sistemaEvaluar el monitoreo en el accesoal sistema.Evaluar las funciones deladministrador del acceso alsistema.Evaluar las medidas preventivas ocorrectivas en caso de siniestros nel acceso.Evaluacin de la seguridad en el acceso al rea FsicaPreguntas 100%Excelente80%Bueno60%

Regular40%Mnimo20%No cumpleEvaluar el acceso del personal alcentro de cmputo.Evaluar el acceso de los usuarios yterceros al centro de cmputo.Evaluar el control de entradas y

75

salidas de bienes informticos delcentro de cmputo.Evaluar la vigilancia del centro decmputo.Evaluar las medidas preventivas ocorrectivas en caso de siniestro enel centro de cmputo.

Analizar las polticas de lainstalacin en relacin con los


40/67

accesos ocasionales a la sala.Evaluacin de los planes de contingencias informticosPreguntas 100%Excelente80%Bueno60%Regular

40%Mnimo20%No cumpleEvaluar la existencia, difusin,aplicacin y uso de contracontingencias de sistemas.Evaluar la aplicacin desimulacros, as como el plan contracontingencias.Evaluar la confidencialidad,veracidad y oportunidad en laaplicacin de las medidas del plancontra contingencias.Evaluacin de la seguridad en los sistemas computacionalesPreguntas 100%Excelente80%Bueno60%Regular40%Mnimo20%No cumple

Evaluar el rendimiento y uso delsistema computacional y de susperifricos asociados.Evaluar la existencia, proteccin yperiodicidad de los respaldos de

76

bases de datos, software einformacin importante de laorganizacin.Evaluar la configuracin,instalaciones y seguridad del

equipo de cmputo, mobiliario ydems equipos.Evaluar el rendimiento, aplicacin yutilidad del equipo de cmputo,mobiliario y dems equipos.Evaluar la seguridad en elprocesamiento de informacin.Evaluar los procedimientos de


41/67

captura, procesamiento de datos yemisin de resultados de lossistemas computacionales.Evaluacin de la proteccin contra la piratera y robo de informacinPreguntas 100%Excelente80%Bueno

60%Regular40%Mnimo20%No cumpleMedidas preventivas.Proteccin de archivos.Limitacin de accesos.Proteccin contra robosProteccin ante copias ilegales

77

Evaluacin de la proteccin contra virus informticosPreguntas 100%Excelente80%Bueno60%Regular40%Mnimo20%No cumpleMedidas preventivas y correctivas.Uso de vacunas y buscadores devirus.Proteccin de archivos, programase informacin.Evaluacin de la seguridad del hardwarePreguntas 100%Excelente80%Bueno60%Regular40%

Mnimo20%No cumpleRealizacin de inventarios dehardware, equipos y perifricosasociados.Evaluar la configuracin del equipode computo (hardware).Evaluar el rendimiento y uso del


42/67

sistema computacional y susperifricos asociados.Evaluar el estado fsico delhardware, perifricos y equiposasociadosEvaluacin de la seguridad del SoftwarePreguntas 100%Excelente

80%Bueno60%Regular40%Mnimo20%No cumpleRealizacin de inventarios desoftware, paqueteras y desarrollosempresariales.

78

Evaluar las licencias permisos yusos de los sistemascomputacionales.Evaluar el rendimiento y uso delsoftware de los sistemascomputacionales.Verificar que la instalacin delsoftware, paqueteras y sistemasdesarrollados en la empresa sea laadecuada para cubrir lasnecesidades de esta ultima.

79


Auditoria de la Seguridad2. Identificacin del ClienteEl rea de Informtica3. Identificacin de la Entidad AuditadaMunicipalidad Provincial4. Objetivos

Hacer un estudio cuidadoso de los riesgos potenciales a los que est sometida elrea de informtica.Revisar tanto la seguridad fsica del Centro de Proceso de Datos en su sentidoms amplio, como la seguridad lgica de datos, procesos y funciones informticasms Importantes de aqul.5. Hallazgos Potenciales No existe documentaciones tcnicas del sistema integrado de la Cooperativa ytampoco no existe un control o registro formal de las modificaciones efectuadas. No se cuenta con un Software que permita la seguridad de las libreras de los


43/67

programas y la restriccin y/o control del acceso de los mismos. Las modificaciones a los programas son solicitadas generalmente sin notasinternas, en donde se describen los cambios o modificaciones que se requieren. Falta de planes y Programas Informticos. Poca identificacin del personal con la institucin Inestabilidad laboral del personal No existe programas de capacitacin y actualizacin al personal

80

6. Alcance de la auditoriaNuestra auditoria, comprende el presente periodo 2004 y se ha realizadoespecialmente al rea de Informtica de acuerdo a las normas y demsdisposiciones aplicable al efecto.7. Conclusiones: Como resultado de la Auditoria de la Seguridad realizada al Municipio, por elperodo comprendido entre el 01 de Setiembre al 24 de Diciembre del 2004,podemos manifestar que hemos cumplido con evaluar cada uno de losobjetivos contenidos en el programa de auditoria. El rea de Informtica presenta deficiencias sobre todo en el debido

cumplimiento de sus funciones y por la falta de ellos.8. Recomendaciones Elaborar toda la documentacin tcnica correspondiente a los sistemasimplementados y establecer normas y procedimientos para los desarrollos y suactualizacin. Evaluar e implementar un software que permita mantener el resguardo deacceso de los archivos de programas y an de los programadores. Implementar y conservar todas las documentaciones de prueba de lossistemas, como as tambin las modificaciones y aprobaciones de programasrealizadas por los usuarios El coste de la seguridad debe considerarse como un coste ms entre todos losque son necesarios para desempear la actividad que es el objeto de laexistencia de la entidad, sea sta la obtencin de un beneficio o la prestacinde un servicio pblico. El coste de la seguridad, como el coste de la calidad, son los costes defunciones imprescindibles para desarrollar la actividad adecuadamente. Y por"adecuadamente" debe entenderse no slo un nivel de calidad y precio quehaga competitivo el servicio o producto suministrado, sino tambin un grado degaranta de que dichos productos o servicios van a seguir llegando a losusuarios en cualquier circunstancia.

81

9. Fecha Del Informe

PLANEAMIENTO EJECUCION INFORMEFECHAS011004 al 1510-0416-1004 al 2011-04231104 al 2812-0410. Identificacin Y Firma Del Auditor


44/67

APELLIDOS Y NOMBRES CARGOQUIONEZ MAYTA, CARMEN AUDITOR SUPERIOR

82

AUDITORIA A LOS SISTEMAS DE REDES1. Alcance de la Auditoria.-

_ Calificacin del personal_ Sistemas tcnicos de la red_ Mantenimiento de la Red2. Objetivos de la Auditoria.-Realizar un informe de Auditoria con el objeto de verificar la adecuacin de las medidasaplicadas a las amenazas definidas, as como el cumplimiento de los requisitos exigidos.3. Referencia Legal.-Manual de Autoproteccin aprobado por O.M. de 29/11/84, NBE-CPI 96 (RD 2177/96),Normativa de las Comunidades Autnomas y Ordenanzas Municipales, CEPREVEN.4. Resultados.-Se obtendr: Informe de Auditoria detectando deficiencias en el Sistema de Redes. Plan de recomendaciones a aplicar en funcin de:o Normativa a cumpliro RecomendacionesPREGUNTAS SI NO N/A1. La gerencia de redes tiene una poltica definida deplaneamiento de tecnologa de red?2. Esta poltica es acorde con el plan de calidad de laorganizacin3. La gerencia de redes tiene un plan que permite modificar enforma oportuna el plan a largo plazo de tecnologa de redes ,teniendo en cuenta los posibles cambios tecnolgicos o en laorganizacin?

4. Existe un inventario de equipos y software asociados a las

83

5. redes de datos?6. Existe un plan de infraestructura de redes?7. El plan de compras de hardware y software para el sectorredes est de acuerdo con el plan de infraestructura deredes?8. La responsabilidad operativa de las redes esta separada de lasde operaciones del computador?9. Estn establecidos controles especiales para salvaguardar laconfidencialidad e integridad del procesamiento de los datos quepasan a travs de redes pblicas, y para proteger los sistemasconectados10. Existen controles especiales para mantener la disponibilidad de losservicios de red y computadoras conectadas?11. Existen controles y procedimientos de gestin para proteger elacceso a las conexiones y servicios de red.?12. Existen protocolos de comunicaron establecida


45/67

13. Existe una topologa estandarizada en toda la organizacin14. Existen normas que detallan que estndares que debencumplir el hardware y el software de tecnologa de redes?15. La transmisin de la informacin en las redes es segura?16. El acceso a la red tiene password?Auditoria de Redes: Para hallar el SI

14 100%6 XX = 42.85

84


AREA CRITICA REDESLISTADO DE VERIFICACIN DE AUDITORIA DE REDESGestin administrativa de la red.100%Excelente80%Buena60%Regular40%Mnimo20%No cumpleLos objetivos de laredDe computoLas caractersticasde laRed de computoLos componentesfsicosde la red decomputoLa conectividad ylascomunicacionesde la red decomputoLos servicios que

proporcionan

La red de computoLasconfiguraciones ,topologas , tiposY cobertura de lasredes de computo.Los protocolos decomunicacininternade la red.La administracin


46/67

de la red deComputo.

85

La seguridad de lasredes de computo .

Evaluacin de anlisis de la red de computoEvaluar y calificar el cumplimiento

de los siguientes aspectos Excelente Bueno Regular Mnimo No cumpleEvaluacin de la existencia y uso demetodologas , normas ,estndares y

polticas para el anlisis y diseo deredes de computo .Anlisis de la definicin de la

problemtica y solucin para instalarredes de computo en la empresa .Anlisis de cumplimiento de losobjetivos fundamentales de laorganizacin para instalar una red decomputo , evaluando en cada caso .La forma de repartir los recursosinformticos de la organizacin ,especialmente la informacin y losactivos.La cobertura de servicios informticos

para la captura , el procesamiento y laemisin de informacin en laorganizacin .La cobertura de los servicios decomunicacin .La frecuencia con que los usuariosrecurren a los recursos de la redLa confiabilidad y seguridades el usode la informacin institucionalLa centralizacin , administracin ,operacin asignacin y el control delos recursos informticos de la

organizacinLa distribucin equitativa de loscostos de adquisicin y el control delos recursos informticos de laorganizacin .La escalabilidad y migracin de losrecursos computacionales de laorganizacin .La satisfaccin de las necesidades de

poder computacional de laorganizacin ,sea con redes ,cliente

86

/servidor o mainframe

La solucin a los problemas decomunicacin de informacin y datosen las reas de la organizacin.Anlisis de los estudios de viabilidad y factibilidad en el diseo e instalacin de la red de cmputo en la empresa:Evaluar y calificar el cumplimientode los siguientes aspectos Excelente Bueno Regular Mnimo No cumpleEl estudio de factibilidad tecnolgicaEl estudio factibilidad econmicaEl estudio de factibilidadadministrativa


47/67

El estudio de factibilidad operativaEvaluacin del diseo e implementacin de la red segn el mbito de coberturaExcelente Bueno Regular Mnimo No cumpleAnlisis de lasredes demulticomputadorasEvaluar elfuncionamiento dela cobertura de

punto a puntoEvaluar elfuncionamiento dela tecnologa que seusa con un solocable entre lasmquinasconectadasEvaluar elfuncionamiento delas aplicaciones,usos y explotacinde las redesAnlisis de la red de rea local (L A N)Excelente Bueno Regular Mnimo No cumple

Evaluar el usoadecuado yconfiable de latecnologa

87

utilizadainternamente parala transmisin dedatos.Evaluar larestriccinadoptada paraestablecer eltamao de la redEvaluar lavelocidad.


Auditoria del Sistema de Redes2. Identificacin del ClienteEl rea de Informtica3. Identificacin de la Entidad AuditadaMunicipalidad Provincial de Moquegua.4. Objetivos

Evaluar el tipo de red, arquitectura topologa, protocolos de comunicacin, lasconexiones, accesos privilegios, administracin y dems aspectos que repercutenen su instalacin.Revisin del software institucional para la administracin de la red.5. Hallazgos Potenciales No se cuenta con un Software que permita la seguridad de restriccin y/o control ala Red.

88


48/67

No existe un plan que asegure acciones correctivas asociadas a la conexin conredes externas. No estn definidos los parmetros o normas de calidad. La gerencia de redes no tiene un plan que permite modificar en forma oportuna elplan a largo plazo de tecnologa de redes , teniendo en cuenta los posiblescambios tecnolgicos. No existe un calendario de mantenimiento de rutina peridico del hardware

definido por la gerencia de redes. No existe un plan proactivo de tareas a fin de anticipar los problemas ysolucionarlos antes de que los mismos afecten el desempeo de la red6. Alcance de la auditoriaNuestra auditoria, comprende el presente periodo 2004 y se ha realizadoespecialmente al rea de Informtica de acuerdo a las normas y demsdisposiciones aplicable al efecto.7. Conclusiones: Como resultado de la Auditoria podemos manifestar que hemos cumplido conevaluar cada uno de los objetivos contenidos en el programa de auditoria. El rea de Informtica presenta deficiencias sobre todo en el debidocumplimiento de Normas de redes y funciones.

8. Recomendaciones Elaborar toda la documentacin tcnica correspondiente a los sistemas deredes. Evaluar e implementar un software que permita mantener el resguardode acceso de los archivos de programas y an de los programadores. Implementar un plan que permita modificar en forma oportuna el plan a largoplazo de tecnologa de redes. Elaborar un calendario de mantenimiento de rutina peridico del hardware.

89

9. Fecha Del InformePLANEAMIENTO EJECUCION INFORME

FECHAS 011004 al 1510-04 16-1004 al 2011-04 231104 al 2811-0410. Identificacin Y Firma Del AuditorAPELLIDOS Y NOMBRES CARGOMAMANI POMA, ORLANDOJIMMYAUDITOR SUPERIOR

AUDITORIA DE APLICACIONES1. Alcance de la Auditoria Seleccin y evaluacin del personal de le propia institucin. Estndares de Funcionamiento y Procedimientos del rea de informtica Gestin Econmica del rea de Informtica

Estndares de funcionamiento y procedimiento del rea de informtica.2. ObjetivosRealizar un informe de Auditoria con el objeto de verificar la adecuacin de losestndares de funcionamiento y procedimiento del rea de informtica.

90

PREGUNTAS SI NO N/A1. Existe una lista de proyectos de sistema de procedimiento de


49/67

informacin y fechas programadas de implantacin que puedanser considerados como plan maestro?X2. Est relacionado el plan maestro con un plan general dedesarrollo de la dependencia?X3. Ofrece el plan maestro la atencin de solicitudes urgentes delos usuarios?X4. Asigna el plan maestro un porcentaje del tiempo total deproduccin al reproceso o fallas de equipo?X5. Existe la lista de proyectos a corto plazo y largo plazo X6. Existe una lista de sistemas en proceso periodicidad y usuariosX7. Incluir el plazo estimado de acuerdo con los proyectos que setienen en que el departamento de informtica podra satisfacerlas necesidades de la dependencia, segn la situacin actualX8. Considera que el Departamento de Sistemas de Informacin delos resultados esperados?X9. Existen fallas de exactitud en los procesos de informacin? X10. Se cuenta con un manual de usuario por Sistema? X11. Es claro y objetivo el manual del usuario? X12. Que opinin tiene el manual?

_______________________________________________________X13. Se interviene de su departamento en el diseo de sistemas?

_______________________________________________________XAuditoria de Aplicaciones:

91

Para hallar el SI11 100%6 XX = 54.54 Para hallar el NO11 100%5 XX = 45.45

INFORME DE AUDITORIA1. Identificacin del informeAuditoria de Aplicaciones2. Identificacin del ClienteEl rea de Informtica3. Identificacin de la Entidad AuditadaMunicipalidad Provincial Mariscal Nieto4. Objetivos


50/67

Evaluar el papel del rea de informtica en la Institucin Evaluar el plan estratgico del rea de Informtica. Evaluar la seguridad de los programas en el sentido de garantizar que losejecutados por la maquina sean exactamente los previstos y no otros. Evaluar la existencia del plan operativo anual del rea de Informtica Verificar el cumplimiento de los objetivos, planes y presupuestos contenidos enel plan de sistemas de informacin.

92

Evaluar el nivel de satisfaccin de los usuarios del sistema. Verificar el grado de fiabilidad de la informacin.5. Hallazgos Potenciales Incumplimiento de los plazos previstos en cada una de las fases delproyecto. Ineficacia e inseguridad del sistema de control de accesos diseado. Falta de metodologas utilizadas que asegure la modularidad de lasposibles futuras ampliaciones de la Aplicacin y el fcil mantenimiento delas mismas.

Incompatibilidad de las herramientas tcnicas utilizadas en los diversosprogramas. Falta de sencillez, modularidad y economa de recursos del diseo deprogramas.6. Alcance de la auditoriaNuestra auditoria, comprende el presente periodo 2004 y se ha realizadoespecialmente al rea de Informtica de acuerdo a las normas y demsdisposiciones aplicable al efecto.7. Conclusiones: Como resultado de la Auditoria de Aplicaciones realizada al Municipio, por elperodo comprendido entre el 01 de Setiembre al 24 de Diciembre del 2004,podemos manifestar que hemos cumplido con evaluar cada uno de los

objetivos contenidos en el programa de auditoria. El rea de Informtica presenta deficiencias sobre todo en la falta demetodologas que son necesarias al realizar un proyecto.8. Recomendaciones

93

Emplear metodologas que asegure la modularidad de las posibles futurasampliaciones de la Aplicacin y el fcil mantenimiento de las mismas. Realizar un control Interno de las Aplicaciones, verificando que las mismasfases se utilicen en el rea correspondiente de Desarrollo Hacer un estudio de Vialidad de la Aplicacin sobre todo para aquellas que son

largas complejas y caras. Utilizar herramientas t

Documentacion Itil

Documents

Transcript of Documentacion Itil