Trabajo de Dispositivos de Almacenamiento...

AUDITORIA DE SISTEMAS

AUDITORIA DE DISPOSITIVOS DE ALMACENAMIENTO2014

AUDITORIA DE SISTEMASAUDITORIA DE DISPOSITIVOS DE ALMACENAMIENTO19/03/2014Martha C. Ortegon

AUDITORIA APLICADA A LOS DISPOSITIVOS DE ALMACENAMIENTOANGELICA VELANDIADINA CALERO MONTAO

FUNDACION UNIVERSITARIA SAN MARTINOCTAVO SEMESTRE DE CONTADURIA PUBLICA

19 DE MARZO DEL 2014PALMIRAAUDITORIA APLICADA A LOS DISPOSITIVOS DE ALMACENAMIENTOANGELICA VELANDIADINA CALERO MONTAO

Trabajo presentado al docente: Martha Cecilia OrtegnAUDITORIA DE SISTEMASFUNDACION UNIVERSITARIA SAN MARTIN

OCTAVO SEMESTRE DE CONTADURIA PBLICA19 DE MARZO DEL 2014

PALMIRAINTRODUCCION

Se llevara a cabo la evaluacin a los dispositivos de Almacenamiento de la informacin de la empresa BIDDA IP SOLUCCION, la cual est dedicada a la prestacin de servicios basndose en el Asesoramiento Jurdico, Contable y Tributaria para la comunidad en general y los entes gubernamentales, teniendo en cuenta las normas de Auditoria Generalmente Aceptadas y partiendo de las polticas establecidas por la empresa para el cumplimento de los objetivos.

OBJETIVOS GENERALES

Evaluar la administracin de los procesos, procedimientos y controles en los medios de almacenamientos que permiten mantener la integridad, confiabilidad y disponibilidad de la informacin suministrada y que tipo de dispositivos de almacenamientos se utilizan de acuerdo con la informacin y de acuerdo a sus polticas, misin y visin de la organizacin.OBJETIVOS ESPECIFICOS1. Evaluar los procedimientos si los hubiera para determinar responsabilidades y funciones en el proceso de almacenamiento de la informacin.2. Verificar la existencia de polticas de backup.3. Evaluar los procesos que se realizan a la hora de almacenar informacin y que medios de almacenamientos son empleados para esto.

4. Determinar cules y que tipos de controles existen para el almacenamiento de la informacin en los diferentes dispositivos.5. Analizar si la organizacin cumple con su misin y visin generndole confianza al cliente y dndole garantas necesarias para el almacenamiento y manipulacin de la informacin.

MISIN

Proveer a nuestros clientes soluciones legales, jurdicas, financieras, contables, impositivas y administrativas especializadas, con excelencia, alto contenido profesional aportando un equipo humano comprometido y una experiencia basada en la prctica profesional cumplidora de su deber, de lealtad hacia nuestros clientes con el fin ltimo de servir.

VISIN

En el 2015 seremos reconocidos por nuestra alta competencia profesional y liderazgo en el sector de la prestacin de servicios jurdicos y contables, lo que nos posesionar como una de las empresas ms reconocidas a nivel nacional.POLTICAS1. Nuestros servicios son basados en la prctica de la tica Profesional, objetividad y responsabilidad social.

2. Hacer lo que estamos capacitados para hacer con responsabilidad social, ya que nuestros servicios son el fortalecimiento empresarial y personal de nuestros clientes.

3. siempre estar en bsqueda del mejoramiento de sus servicios capacitando a sus profesionales y administrativos lo que llevara al crecimiento profesional y administrativo de la organizacin.

ORGANIGRAMA

--------------------

INVENTARIO DE EQUIPOS

MUEBLES Y ENSERES

CANTIDADDETALLEVr. unitarioVr. Total

10Escritorio para equipo computacin106.0001.060.000

1Escritorio tipo secretaria285.000285.000

1Mesa para fax49.00049.000

1Biblioteca mediana122.000122.000

3Archivadores dos gavetas 81.500244.500

1Mesa de Juntas150.000150.000

8Sillas Para Juntas60.000480.000

11Sillas 20.333223.663

6Sillas de espera50.000300.000

1Mesa de Espera25.00025.000

1Silla giratoria49.00049.0002.988.163

EQUIPO DE OFICINA Y COMUNICACIONES


1Conmutador130.000130.000

6Telfonos para Extensiones25.000150.000

1Telfono fax163.000163.000

1Ventilador 40.00040.000

8Estabilizadores de energa49.000392.000

2Aspiradoras320.000320.000

1Mquina de escribir275.000275.0001.470.000

EQUIPO DE COMPUTACION


10Computadores Windows 2000

10CPU COMPAQ1.955.00019.550.000

10Monitores COMPAQ

10Mouse GENIUS

10Teclados GENIUS

5Memorias USB35.000175.000

1Impresora hp 2180163.000163.000

1Impresora Office jet 4300 Series137.000137.000

1Impresora Canon 180095.00095.00020.120.000

TOTAL24.578.163

INVENTAALCANCE

COMPANY AUDITORES S.A establece una evaluacin en todas las reas donde se encuentren ubicados los dispositivos de almacenamiento en la empresa; dicha evaluacin se llevara a cabo del 07 de Marzo al 19 de Marzo de 2014.Se evaluara la aplicacin y el uso de dispositivos (discos duros, memorias USB) de almacenamiento de informacin electrnico de la organizacin.Se revisaron los procedimientos de etiquetado de la informacin. Esto incluye los activos de informacin en formatos fsicos y electrnicos. Y podemos observar que la empresa tiene restringidas las claves.

Alcance a la informacin:1.Polticas y Procedimientos de seguridad lgica.

2.Sistema de control de seguridad de la informacin.

3.Procedimientos para asegurar el control de versiones de aplicativos en produccin y aplicativos en desarrollo.RECURSOS ECONOMICOSDESCRIPCIONVALOR

Pliza de cumplimiento $ 350.000

Papelera $ 150.000

Combustible $ 400.000

Peajes $ 284.000

Alimentacin $ 240.000

Contingencias $ 300.000

Total

$1.724.000

PERSONALES

Asistentes y/o colabores por parte de la empresa comprometidos en el proceso de la auditoria.

ESQUEMA DE DISTRIBUCIN DE LA RED

PROGRAMA DE AUDITORIA

Cuestionario de Auditoria correspondiente a los Dispositivos de Almacenamiento:

Este cuestionario tiene como objetivo evaluar la administracin, la aplicacin y el uso de dispositivos, hardware, de almacenamiento de informacin electrnico de la organizacin.

1. Existe un manual y/o procedimiento para realizar las copias de seguridad?SI () NO (X)

2. Los locales asignados a los servidores de datos tienen: Aire acondicionado (X)

Proteccin contra el fuego (X)(Sealar que tipo de proteccin) EXTINTORES Cerradura especial ( )

Otra

3. Tienen los servidores de datos proteccin automtica contra el fuego?

SI ( ) NO (X)

4. Qu informacin mnima contiene el inventario de los servidores de datos?

Nmero de serie (X)

Nmero o clave del usuario (X)

5. Qu estructura tienen definida para realizar las copias de seguridad?Diaria ( ) Semanal (X) Anual ( )

6. Se verifican con frecuencia la validez de los inventarios de los archivos magnticos?

SI ( ) NO (X)

7. Se tienen procedimientos que permitan la reconstruccin de un archivo en cinta a disco, el cual fue inadvertidamente destruido?

SI ( ) NO (X)

8. Se tienen identificados los archivos con informacin confidencial y se cuenta con claves de acceso?

SI ( ) NO (X)

9. Existe un control estricto de las copias de estos archivos?

SI ( ) NO (X)

10. Se lleva una bitcora donde se lleve un control de Backups?SI ( ) NO (X)

11. Se lleva una bitcora de restauracin de las copias de seguridad?SI ( ) NO (X)12. Qu medio se utiliza para almacenarlos?

Mueble con cerradura (X)

Bveda ( )

Otro (Especifique)_________________________________________________

13. Este almacn est situado:

En el mismo edificio del departamento (X)

En otro lugar ( )

Cul?_______________________________________________________

14. Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos?

SI ( ) NO (X)

15. Se realizan auditoras peridicas a los medios de almacenamiento?

SI ( ) NO (X)

16. Se certifica la destruccin o baja de los archivos defectuosos?

SI ( ) NO (X)

17. Se toman medidas en el caso de prdida de un dispositivo de almacenamiento?

SI ( ) NO (X)

18. Se restringe el acceso a los lugares asignados para guardar los dispositivos de almacenamiento, al personal autorizado?

SI (X) NO ( )

19. Se utiliza la poltica de conservacin de archivos hijo-padre-abuelo?

SI (X) NO ( )

20. En los procesos que manejan archivos en lnea, existen procedimientos para recuperar los archivos?

SI ( ) NO (X)

22. El tiempo de conservacin de los archivos es de:

5 aos ( ) 10 aos ( ) otros ( ) cuanto: ___________

1. Se revisaron los procedimientos de etiquetado de la informacin. Esto incluye los activos de informacin en formatos fsicos y electrnicos

CEDULAS DE HALLAZGOS

HALLAZGO 1

Preg. 1.BIDDA IP SOLUCCION

UNIDAD AUDITADA: rea de SistemasFECHA:

PROCEDIMIENTO:

Se solicita al jefe de sistemas el manual de procedimientos para realizar las copias de seguridad de todos los programas que maneja la empresa.

DESCRIPCION DEL HALLAZGO

Se encontr que no existan procedimientos escritos para realizar las copias de seguridad.AMENAZADebido a que no existen procedimientos para copias de seguridad, se generan riesgos tales como: prdida parcial o absoluta de la informacin.

RECOMENDACINEs necesario definir polticas y procedimientos claros de cmo, cuando y quien ser el responsable de hacer el mantenimiento y seguimiento a la seguridad de la informacin.

COMENTARIOS DEL AUDITADO

S se realizan copias de seguridad pero muy espordicamente, ya que no existe un control exigente por parte de la administracin.

NIVEL DE ATENCION DEL RIESGO (ALTO, MEDIO, BAJO)

ALTOCEDULA DE RESUMEN

A1

ELABORADOREVISADOPAPELES DE TRABAJO PT/1


HALLAZGO 1Preg. 2BIDDA IP SOLUCCION

UNIDAD AUDITADA: OficinasFECHA:

PROCEDIMIENTO:

Se realiza una supervisin fsica de las instalaciones donde se encuentran los servidores de datos.


Se encontr que en cada sala u oficina existe un equipo de aire acondicionado y en el momento de la supervisin tena la temperatura pertinente. Tambin se encontraron extintores de proteccin contra el fuego a los cuales se realizaron pruebas de control y calidad. Se evidencio que no existen cerraduras para salvaguardar los equipos disponibles en cada oficina.

AMENAZADebido a que no existe ningn tipo de seguridad fsica que proteja los equipos se pueden generar diversas situaciones, tales como: Fraude, robo de informacin y de los mismos activos etc.

RECOMENDACION

Es necesario implementar controles de seguridad para restringir el acceso a los equipos y sus accesorios a personal no autorizado.


Hace 15 das se hizo la solicitud para implementar la seguridad en las oficinas.


MEDIOCEDULA DE RESUMEN

A1




UNIDAD AUDITADA: rea de sistemasFECHA:

PROCEDIMIENTO:

Se hace una revisin a cada uno de los equipos para detectar si tienen proteccin automtica contra el fuego.


Se encontr que ningn equipo tiene proteccin automtica.

AMENAZAYa que los equipos no tienen la respectiva proteccin contra el fuego, existe el riesgo de perderlos definitivamente.

RECOMENDACION

Es necesario hacer la inversin para proteger dichos equipos y prevenir una perdida para la empresa.


Pensbamos que era suficiente la seguridad con los extintores, no se haba estimado la idea de poder tener una prevencin ms eficaz.



A1


CEDULAS DE HALLAZGOSHALLAZGO 1Preg. 4BIDDA IP SOLUCCION


PROCEDIMIENTO:

Se hace una revisin fsica a cada uno de los equipos y se compara con los inventarios de los activos fijos para comparar su trascendencia en la empresa.


Se hallo que cada uno de los equipos tiene un numero de serie el cual se relaciona con el departamento en el que esta situado pero esta serie esta escrita manualmente de igual forma se encontr un numero de clave para cada usuario que utilice el mismo, obviando el cambio de esta cuando el funcionario ya no pertenece al departamento o a la empresa.

AMENAZAAl no tener un cdigo preimpreso o un cdigo de barras que identifique los equipos estos pueden ser saboteados para efectuar robo de los mismos. Con respecto a las claves en determinadas circunstancias los equipos pueden ser plagiados por el no cambio de las claves con frecuencia y ms aun cuando el usuario para quien se cre ya no es el mismo.

RECOMENDACIN

Implementar un control ms estricto en el inventario de la propiedad planta y equipo de la empresa; al igual que hacer cambio de claves de usuarios con mayor frecuencia.


Anteriormente se hacia un control de equipos y de sus series con cdigo de barras pero con el tiempo estos se deterioraron y se transcribieron a mano sobre los anteriores. y en cuanto a las claves de acceso se opto por no cambiarlas a menudo para no generar controversia.



A1





PROCEDIMIENTO:

Se hace una encuesta al jefe de sistemas para identificar la frecuencia con que se hacen las copias de seguridad.


Como resultado se obtiene que el periodo para realizar las copias de seguridad es mnimo una semana.

AMENAZA El periodo entre una copia y otra cuenta con un espacio de tiempo suficiente para que se presente niveles de riesgos altos, puesto que se estn dejando un volumen considerado de archivos desprotegidos

RECOMENDACIN

Minimizar el periodo en el que se archivan los documentos sistematizados de la empresa.


Debido a que no existen unas polticas establecidas para llevar a cabo el desarrollo efectivo de la seguridad de los archivos se generan todos estos vacos tcnicos dentro de los departamentos.



A1





PROCEDIMIENTO:

Se hace un inventario fsico a una muestra de los archivos magnticos de la empresa.


Se encontr que muchos de los archivos magnticos ya no existen o que el deterioro de estos es mayor del que se esperaba, de igual forma se obtuvieron discos vacos.

AMENAZAPerder informacin importante para la empresa, contar con informacin que ya no existe.

RECOMENDACIN

Hacer revisin de los archivos magnticos de la empresa con una periodicidad mnima


Debido a que no existen unas polticas establecidas para llevar a cabo el desarrollo efectivo de la seguridad de los archivos se generan todos estos vacos tcnicos dentro de los departamentos.



A1





PROCEDIMIENTO:

Se solicita el manual de procedimientos o control para la reconstruccin de archivos cuando se hayan perdido inadvertidamente.


No existe manual de procedimientos ni control para la reconstruccin de archivos.

AMENAZAPerder toda la informacin, incurrir en recursos econmicos y de tiempo ya que caso de perderla habra que tomar tiempo para digitar de nuevo la informacin. Tambin en el caso de que el usuario renuncie a la empresa y como no hay manual de procedimientos tomara tiempo tambin en ensearle a otra persona.

RECOMENDACIN

Elaborar el manual de procedimientos para hacer las copias de recuperacin de archivos.


El manual de procedimientos no se ha elaborado ya que no hay exigencias por parte de la Gerencia.



A1





PROCEDIMIENTO:

Verificar si existe identificacin de los archivos con informacin confidencial y el tipo de restriccin que existe para los mismos.


No se tienen determinados los archivos con informacin confidencial y no existen claves de acceso para cada usuario.

AMENAZAAl no tener la informacin confidencial identificada y no existir claves de acceso para los usuarios, existe el riesgo que cualquier persona obtenga informacin de la empresa, logrando fraudes, hurtos, mala imagen y hasta el cierre de la empresa.

RECOMENDACIN

Crear claves de acceso a todos los usuarios en sus equipos, determinar quien se encargar de la informacin confidencial y hacerle saber por escrito.


Ninguno



A1





PROCEDIMIENTO:

Se solicita al Jefe de Sistemas la bitcora donde se lleva el control de Backups de todos los archivos.


No existe bitcora para llevar control de los archivos.

AMENAZAPrdida de toda la informacin.

RECOMENDACIN

Elaborar bitcora para llevar control de los bakups y as poder analizar o determinar fechas de un archivo, en caso de que alguno no se encuentre.


Ninguno



A1





PROCEDIMIENTO:

Inspeccionar el medio que se utiliza para el almacenamiento de los archivos.


Verificamos que el medio que se utiliza para almacenar los archivos es un mueble con cerradura bajo llave y en el cuarto o almacn de sistemas el cual permanece siempre sin seguridad.

AMENAZAComo el cuarto de sistemas no tiene seguridad, cabe la posibilidad de que cualquier usuario o persona ajena a la empresa, pueda tener acceso a toda la informacin y utilizarla para su beneficio.

RECOMENDACIN

Tomar medidas de seguridad para el cuarto de sistemas, y establecer por escrito la persona o las personas autorizadas para su acceso.


Ninguno



A1





PROCEDIMIENTO:

Se inspecciona el lugar de almacenamientos de los archivos de seguridad para saber si se encuentran situados en el mismo edificio o se encuentra fuera de las instalaciones.


Se evidencia que el lugar de almacenamiento de la informacin de seguridad se encuentra en el mismo edificio.

AMENAZANo existe un sistema de seguridad para la entrada de personal al almacn donde se guardan las copias de seguridad de la informacin.

RECOMENDACIN

Implementar controles de seguridad para restringir el acceso al rea del almacn donde se guarda la informacin confidencial.


NINGUNO



A1





PROCEDIMIENTO:

Se verifica que los archivos de los dispositivos de almacenamiento se borran de la base de datos del programa cuando se ha descartado su informacin, pero se graban en un CD aparte la informacin que se borra.


Se evidencia que los archivos descartados no se borran de la base principal de datos cuando se ha descartado su informacin, lo cual puede generar confusin en la entrega de informes correctos.

AMENAZASe puede generar un informe de datos incorrecto por existir archivos malos.

RECOMENDACIN

Es necesario que se borren los archivos identificados como informacin no necesaria y que se guarden en una unidad diferente a la base de datos principal.

COMENTARIOS DEL AUDITADO: NINGUNO



A1





PROCEDIMIENTO:

Se revisa otras auditorias que se hayan realizado a los medios de almacenamiento para verificar si se ha implementado las recomendaciones dejadas anteriormente.


Se evidencia que no se han hecho ninguna auditorias a los medios de almacenamiento

AMENAZANo existe control ni mejoramiento continuo a los procesos de almacenamiento de la informacin.

RECOMENDACIN

Realizar un programa de auditorias para plasmar recomendaciones y que estas se implementen para mejorar procesos.

COMENTARIOS DEL AUDITADO:NINGUNO


MEDIOCEDULA DE RESUMEN

A1




UNIDAD AUDITADA: Todas las reasFECHA:

PROCEDIMIENTO:

Se hizo una comparacin entre el inventario inicial y el inventario actual de los dispositivos, se encuesto a los funcionarios que hacen uso de estos dispositivos.


Se encontr que existe reporte cuando algn dispositivo es dado de baja por defecto o dao absoluto, por parte de los funcionarios estos reportan en el momento que se presente una perdida pero no se han tomado los correctivos necesarios.

AMENAZAPosibles fraudes internos en la empresa.

RECOMENDACION

Implementar como poltica interna el reporte y seguimiento de las prdidas de los activos y en general de los bienes que pertenezcan a esta. Para as poder adoptar los correctivos necesarios en el tiempo indicado.


Cuando se entrega dotacin siempre se exige entregar los elementos desgastados o los que hayan terminado su ciclo, en el momento de ser as, se toma nota pero en ocasiones no existe la disponibilidad del tiempo para hacer seguimiento.



A1




UNIDAD AUDITADA: Todas las reasFECHA:

PROCEDIMIENTO:

Realizamos una revisin lgica de los archivos en cada uno de los computadores de la empresa para as poder comparar los archivos en lnea con los contenidos en cada uno de los servidores.


Se encontr que por cada servidor existe un promedio de archivos guardados en el mismo y en lnea correspondiente al 40% del total, pero que generalmente son actualizados o trabajados en su mayora en la copia que existe en la red y no han sido debidamente actualizados en su origen o servidor respectivo.

AMENAZAPerdida de los archivos completamente y/o de su consecucin y esto puede presentarse no solo por no tener la precaucin de guardar las copias de segundad si no porque en el momento de estar en lnea el archivo pueden presentar fallas tcnicas, sistemticas o naturales ausentismo de energa elctrica y los cambios recientes no son guardados.

RECOMENDACIN

Trabajar los archivos en su origen ya sea en los documentos del servidor o en el escritorio y al finalizar actualizar las copias del archivo en lnea. Igualmente tener copias de seguridad externas de los equipos.

COMENTARIOS DEL AUDITADO Es de real importancia este punto ya que nuestra empresa maneja todo el tiempo los archivos en lnea, sin tener la precaucin de actualizarlos.


ALTO

CEDULA DE RESUMEN

A1

INFORME DETALLADO: CEDULAS DE RESUMENC1

CEDULA DE RESUMEN 1

REFERENCIAS HALLAZGO 1 2 3 4

BIDDA IP SOLUCCION


PROCEDIMIENTO:

Hicimos una revisin fsica a cada uno de los equipos y se compara con los inventarios de los activos fijos para comparar su trascendencia en la empresa. Supervisamos fsicamente las instalaciones donde se encuentran los servidores de datos, revisamos cada uno de los equipos para detectar si tienen proteccin automtica contra el fuego. Se solicit al jefe de sistemas el manual de procedimientos para realizar las copias de seguridad de todos los programas que maneja la empresa.

RECOMENDACIN

Implementar controles estrictos en el inventario de la propiedad planta y equipo de la empresa; al igual que hacer cambio de claves de usuarios con mayor frecuencia.

Es necesario hacer la inversin para proteger dichos equipos y prevenir una prdida definitiva para la empresa. Es necesario implementar controles de seguridad para restringir el acceso a los equipos y sus accesorios a personal no autorizado. Definir polticas y procedimientos claros de cmo, cundo y quien ser el responsable de hacer el mantenimiento y seguimiento a la seguridad de la informacin.

ELABORADOAPROBADO

INFORME DETALLADO: CEDULAS DE RESUMENC1

CEDULA DE RESUMEN 2


BIDDA IP SOLUCCION


PROCEDIMIENTO:

Se hizo una encuesta al jefe de sistemas para identificar la frecuencia con que se hacen las copias de seguridad; realizamos inventario fsico a una muestra de los archivos magnticos de la empresa.

Se solicit el manual de procedimientos o control para la reconstruccin de archivos cuando se hayan perdido inadvertidamente.

Verificamos si se identificaban los archivos con informacin confidencial y si exista algn tipo de restriccin para los mismos.

RECOMENDACIN

Minimizar el periodo en el que se archivan los documentos sistematizados de la empresa.

Hacer revisin de los archivos magnticos de la empresa con una periodicidad mnima.

Elaborar el manual de procedimientos para hacer las copias de recuperacin de archivos.

Crear claves de acceso a todos los usuarios en sus equipos, determinar quien se encargar de la informacin confidencial y hacerle saber por escrito.

ELABORADOAPROBADO

NFORME DETALLADO: CEDULAS DE RESUMENC1

CEDULA DE RESUMEN 3


BIDDA IP SOLUCCION


PROCEDIMIENTO:

Se solicit al Jefe de Sistemas la bitcora donde se lleva el control de Backups de todos los archivos.

Realizamos una inspeccin del medio que se utiliza para el almacenamiento de los archivos y del lugar de almacenamiento de los archivos de seguridad para saber si se encuentran situados en el mismo edificio o se encuentra fuera de las instalaciones.

Verificamos que los archivos de los dispositivos de almacenamiento se borran de la base de datos del programa cuando se ha descartado su informacin, pero se guardaba en un CD aparte la informacin que se borra.

RECOMENDACIN

Elaborar bitcora para llevar control de los bakups y as poder analizar o determinar fechas de un archivo, en caso de que alguno no se encuentre.

Tomar medidas de seguridad para el cuarto de sistemas, y establecer por escrito la persona o las personas autorizadas para su acceso.

Implementar controles de seguridad para restringir el acceso al rea del almacn donde se guarda la informacin confidencial.

Es necesario que se borren los archivos identificados como informacin no necesaria y que se guarden en una unidad diferente a la base de datos principal.

ELABORADOAPROBADO

NFORME DETALLADO: CEDULAS DE RESUMENC1

CEDULA DE RESUMEN 4

REFERENCIAS HALLAZGO 15 18 21

BIDDA IP SOLUCCION


PROCEDIMIENTO:

Revisamos los informes de otras auditorias que se hayan realizado a los medios de almacenamiento para verificar si se ha implementado las recomendaciones dejadas anteriormente.

Se hizo una comparacin entre el inventario inicial y el inventario actual de los dispositivos, se encuest a los funcionarios que hacen uso de estos dispositivos.

Realizamos una revisin lgica de los archivos en cada uno de los computadores de la empresa para as poder comparar los archivos en lnea con los contenidos en cada uno de los servidores.

RECOMENDACIN

Realizar un programa de auditorias para plasmar recomendaciones y que stas se implementen para mejorar procesos.

Implementar como poltica interna el reporte y seguimiento de las prdidas de los activos y en general de los bienes que pertenezcan a sta y as poder adoptar los correctivos necesarios en el tiempo indicado.

Trabajar los archivos en su origen ya sea en los documentos del servidor o en el escritorio y al finalizar actualizar las copias del archivo en lnea. Igualmente tener copias de seguridad externas de los equipos.

ELABORADOAPROBADO

CEDULA DE RESUMEN GENERAL

CEDULA DE RESUMEN

GENERAL

REFERENCIAS : C1, C2, C3, C4

BIDDA IP SOLUCCION

UNIDAD AUDITADA: Area de SistemasFECHA:

La configuracin actual del sistema operativo de BIDDA IP SOLUCCION permite libre acceso de usuario, tanto internos como externos, debido a que no se tienen polticas claras de creacin y perfiles de usuario, plan de contingencias y monitoreo de seguridad fsica y lgica y programas de backups, que permita tener acciones definidas y respaldo frente a perdida y/o fuga de informacin propia de la BIDDA IP SOLUCCION, adems de desconocimiento de las utilitarios que potencialicen el sistema de alarma contra accesos no permitidos.

ELABORADOAPROBADO

INFORME FINAL

Palmira, Marzo 19 del 2014SeoresBIDDA IP SOLUCCION Atn. Ing. Julin SnchezGerente General

Ciudad

El principal objetivo de la auditoria fue Evaluar el cumplimiento de las polticas de seguridad, uso de programas de seguridad y procedimientos de salvaguardas de bibliotecas del sistema operativo en el rea de Sistemas y Telemtica de la empresa BIDDA IP SOLUCCION, en un lapso de tiempo de quince (13) das, con fecha de inicio el 07 de marzo de 2014 y fecha de finalizacin el 19 de marzo del mismo ao, en ella se evaluaron los siguientes aspectos

1. Polticas y Procedimientos de seguridad lgica.

2. Sistema de control de seguridad de la informacin.

3. Procedimientos para asegurar el control de versiones de aplicativos en produccin y aplicativos en desarrollo.

Hallazgos

La configuracin actual del sistema operativo de BIDDA IP SOLUCCION permite libre acceso de usuario, tanto internos como externos, debido a la falta de polticas claras de creacin de manual de procedimientos para el almacenamiento de la informacin, plan de contingencias, monitoreo de seguridad fsica y lgica y programas de backups, que permita tener acciones definidas y respaldo frente a perdida y/o fuga de informacin propia de la empresa, adems de desconocimiento de los utilitarios que potencialicen el sistema de alarma contra accesos no permitidos.

Recomendaciones

Se recomienda elaborar un programa de seguridad en el cual se detalle los sistemas de recuperacin, plan de contingencias y monitoreo de seguridad fsica y lgica, adems de programas de backups, que permita tener acciones definidas y respaldo frente a prdida y/o fuga de informacin propia de la empresa.

Proporcionar los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad Es necesario documentar el manual de polticas para creacin de cuentas y claves, y capacitar al personal sobre seguridad a nivel de sistemas informticos.

Se sugiere activar los log de auditoria esto permite tener una visin general de los sucesos que ocurre en el sistema y tener un control que permita identificar que usuarios estn violando la seguridad del mismo, este proceso adquiere importancia cuando el administrador del sistema monitorea los posibles mensajes de acceso no autorizado y actividades no permitidas.

Se sugiere que la oficina de recursos humano incluya en los contratos las clusulas correspondientes sobre la confidencialidad de la informacin propia de la empresa, de igual manera que se mantenga una comunicacin permanente e inmediata de los cambios de cargos, retiros o licencias con el fin de que el administrador del sistema realice la actualizacin pertinente en el plan de cuentas de usuarios.En trminos generales los hallazgos encontrados radican en la falta de planeacin y supervisin en la instalacin y configuracin del sistema operativo, al igual que la respectiva documentacin donde se definan polticas y planes que minimicen los riesgos en los sistemas de informacin.

Esperamos que nuestras sugerencias sean tenidas en consideracin, as mismo la solucin de cualquiera de sus inquietudes. Ponemos a su entera disposicin nuestros conocimientos y servicios para futuras auditorias.

AUDITORES:

Anglica VelandiaDina Calero Montao

CONCLUSIONESCon la realizacin de este trabajo, la principal conclusin a la que hemos llegado, es que toda empresa que posea Sistemas de Informacin debe someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy en da, el 90% de las empresas tienen toda su informacin estructurada en Sistemas Informticos, de aqu, la vital importancia que los sistemas de informacin funcionen correctamente. El xito de una empresa depende de la eficiencia de los mismos. Una empresa puede tener un staff de gente de primera, pero tiene un sistema informtico propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa nunca saldr a adelante. En cuanto al trabajo de la auditora en s, se puede remarcar que se precisa de poca responsabilidad y compromiso por parte de la Gerencia al no tomar las medidas pertinentes en los controles, sistemas, procesamiento de la informacin; de su utilizacin, eficiencia y seguridad.

En el mes actual llego una factura por $95.000.000, un hacker ingreso al servidor y robo las claves de unas de la lneas, utilizando esta para realizar llamadas a todas partes del mundo. Las correcciones a los procedimientos en este caso se van a tomar despus de tener un desfalco tan alto.BIBLIOGRAFIA

Caso real de auditoria empresa de servicios.Consultas en Internet.

Gua del programa de la facultad auditoria de sistemas

Esta auditora se Realiz de Acuerdo con las Normas:Definicin de las normas internacionales que se observan en la auditora realizada:

1000- Propsito, Autoridad y Responsabilidad

La empresa contrata nuestros servicios de auditora con el propsito de evaluar el riesgo en el rea de sistemas, somos profesionales expertos y adems contamos con amplio historial laboral.

1100- Independencia y Objetividad

Somos profesionales independientes puesto que no laboramos directamente con la empresa que nos contrata, por lo tanto nuestra opinin es objetiva, en cuanto al comportamiento individual y grupal de las personas que laboran en la organizacin.

1120-Objetividad Individual

Ninguno de los profesionales que realizaran la actividad de auditora tiene inters propios por la tanto tendremos una actitud imparcial y neutral.

1210-Pericia

Contamos con los conocimientos, las aptitudes y competencias necesarias para cumplir con responsabilidad con la Actividad de auditora.

1220-Debido Cuidado Profesional

Somos un conjunto de elementos interrelacionados creado para la solucin y correccin de riesgos que amenazan una empresa, ayudamos adems a alcance de las metas determinadas.

1220. A1-Alcance necesario para lograr el objetivo del trabajo, esto se ve reflejado en: COMPANY AUDITORES S.A establece una evaluacin en todas las reas donde se encuentren ubicados los dispositivos de almacenamiento en la empresa; dicha evaluacin se llevara a cabo del 24 de agosto al 07 de Septiembre de 2012.

1220. A3-Alerta a Riesgos materialesAMENAZA

Debido a que no existe ningn tipo de seguridad fsica que proteja los equipos se pueden generar diversas situaciones, tales como: Fraude, robo de informacin y de los mismos activos etc.1220. C1- Necesidades y ExpectativasNuestro grupo trabaja con base a las necesidades y expectativas del cliente.

1230 Desarrollo profesional continuo

Los auditores internos deben perfeccionar sus conocimientos, aptitudes y otras competencias mediante la capacitacin profesional continua.1300 Programa de aseguramiento y mejora de la calidad

El director ejecutivo de auditora debe desarrollar y mantener un programa de aseguramiento y mejora de la calidad que cubra todos los aspectos de la actividad de auditora interna.

Realizamos un cuestionario de Auditoria correspondiente a los Dispositivos de Almacenamiento; el cual nos permite evaluar la empresa, siguiendo las normas de la auditoria, tambin evaluar la eficacia del personal e identificar oportunidades de mejora para una organizacin. 1312 - Evaluaciones externas

Deben realizarse evaluaciones externas al menos una vez cada cinco aos por un revisor o equipo de revisin cualificado e independiente, proveniente de fuera de la organizacin. El director ejecutivo de auditora debe tratar con el Consejo:

La necesidad de evaluaciones externas ms frecuentes, y Las cualificaciones e independencia del revisor o equipo de revisin externo, incluyendo cualquier conflicto de intereses potencial.Somos un equipo revisin calificado, competentes en la prctica profesional de auditoria interna y del proceso de evaluacin, con experiencia profesional en auditoria interna, nuestro trabajo vara de acuerdo al tamao y complejidad de las organizaciones, su actividad, sector econmico, o el rea que requiera auditoria en particular.

qwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnm

GERENTE

CONTADOR PBLICO

DEPARTAMENTO JURIDICO

DEPARTAMENTO CONTABLE

DEPARTAMENTO DE RECURSOS HUMANOS

CONTADORES PUBLICOS

Analistas Contables, Tributarios y Financieros

ASESORES JURIDICOS

Abogados con especializaciones

COORDINADORA

Profesional en el rea, establece y apoya el cumplimiento de las polticas internas para el personal frente el medio ambiente.

ASISTENTES CONTABLES

Asistente de los Contadores

DEPENDIENTES JUDICIALES

Asistentes de los asesores Jurdicos

AUXILIARES CONTABLES

Capacitados para la solucin de problemas en el rea

SECRETARIA

Encargada de la agenda de los Asesores Jurdicos

Trabajo de Dispositivos de Almacenamiento...

Documents

Transcript of Trabajo de Dispositivos de Almacenamiento...