FACULTAD DE INGENIERA ESCUELA ACADMICO PROFESIONAL DE INGENIERA DE SISTEMAS AUDITORA DE SISTEMAS INFORMACIN DE LA EMPRESA INDUSTRIAS BREDISA SAC.

INTEGRANTES:

DOCENTE:

LIMA PER

2012-II

1.- NOMBRE DE LA EMPRESA A AUDITAR INDUSTRIAS BREDISA S.A.C. DATOS DE LA EMPRESA. HISTORIA La empresa INDUSTRIAS BREDISA S.A.C fundada el 09 de octubre del 2011, con nmero de RUC: 20545350077 est dedicada al sector a la fabricacin de solventes qumicos. Actualmente esta empresa es una SOCIEDAD ANONIMA CERRADA y tiene como situacin ACTIVO. Registra como domicilio legal Direccin Legal: Mza. B Lote. 44 Distrito / Ciudad: Puente Piedra Departamento: Lima Actualmente se encuentra en pleno crecimiento y est desarrollando nuevas estrategias para ampliar su mercado.

MISIN Disear, fabricar y distribuir en forma segura y cuidando el medio ambiente solventes con calidad, para satisfacer las necesidades de los clientes. Utilizando las mejores prcticas en nuestro proceso con tecnologa de punta, potenciando la formacin, crecimiento, motivacin del talento humano generando valor para los accionistas. VISIN Ser el fabricante de solventes ms competitivo del mercado nacional. POLTICA DE CALIDAD En BREDISA estamos comprometidos a disear, fabricar y comercializar solventes que permitan satisfacer permanentemente los requerimientos de nuestros clientes, garantizando un crecimiento rentable y sostenido PRINCIPIOS Y VALORES Integridad: Los trabajadores de Industrias BREDISA siempre actuamos de buena f y con nuestros mejores propsitos. Todas nuestras acciones estn enmarcadas dentro del ms alto sentido tico y moral. Respeto y Confianza: En Industrias BREDISA confiamos en las capacidades e intenciones de los dems. Profesamos el respeto mutuo en todas nuestras relaciones.

Innovacin: En Industrias BREDISA anticipamos las necesidades del mercado para ser los primeros en satisfacerlas. Excelencia: Nuestra gestin est orientada a la creacin del mximo valor posible en todo lo que hacemos, en miras a aumentar constantemente nuestra competitividad. Compromiso mutuo: Industrias BREDISA se compromete a brindar a sus trabajadores la oportunidad para que cada uno potencie su desarrollo personal y profesional, limitado solo por la habilidad y el deseo individual. Promovemos a nuestros trabajadores nicamente considerando su capacidad y calidad de trabajo. Asimismo, Industrias BREDISA se compromete a ofrecer condiciones de trabajo seguras y a impulsar acciones en pro de la conservacin del medio ambiente. Los trabajadores de Industrias BREDISA asumimos los objetivos de la empresa como nuestros, por lo que nos comprometemos al mximo para contribuir al logro de los mismos.

TIPO DE AUDITORA: AUDITORA DE SISTEMAS DE INFORMACIN EN INDUSTRIAS BREDISA SAC. La presente Auditora toma como base. ISO/IEC N 17799 COBIT OBJETIVOS OBJETIVO GENERAL: Efectuar una evaluacin y diagnostico preliminar del estado al sistema de informacin de la Empresa INDUSTRIAS BREDISA SAC. Con los estndares COBIT, ISO/IEC N 17799 LA EMPRESA

Objetivos Especficos para la auditoria de Sistemas de Informacin Evaluar el cumplimiento de una metodologa adecuada para los sistemas de Informacin. Evaluar polticas de proceso de adquisicin y mantenimiento de software aplicativo. Controles y requerimientos de seguridad, desarrollo y disponibilidad de aplicaciones de acuerdo con los requerimientos del negocio en tiempo razonable Evaluacin de la administracin proyectos si satisface el requerimiento de negocio de TI, si se entregan los resultados del proyecto en el tiempo, con el presupuesto y con la calidad acordados. Evaluar polticas generales sobre seguridad fsica con respecto a instalaciones, personal, equipos, documentacin, back-ups, plizas y planes de contingencias. Evaluar marco de trabajo de gobierno TI, incluye la definicin de estructura, procesos, liderazgo, roles y responsabilidades organizacionales Verificar si los Sistemas de informacin estn alineados con el plan estratgico de la empresa. Analizar si existe un plan para el control a las modificaciones de los Sistemas Informticos. Evaluar los sistemas y procedimientos para determinar si presentan deficiencias o irregularidades.

Evaluar si los mtodos de control son adecuados y eficaces. Analizar los controles y procedimientos tanto organizativos como operativos. Evaluar la dependencia de los Sistemas y las medidas tomadas para garantizar su disponibilidad y continuidad. Evaluar la existencia de riesgos en los Sistemas de Informacin. Analizar la gestin de privilegios en los Sistemas de Informacin

Alcance Esta auditoria se aplica al rea de Sistemas y Tecnologas de la informacin de la empresa INDUSTRIAS BREDISA SAC, que tendr un tiempo de duracin de 12 semanas con un costo aproximado S/. 20.420,00Nuevos Soles, autorizado por el Gerente General de la empresa Luis Suarez Trinidad, a cargo de un grupo de estudiantes de la Universidad Cesar Vallejo de Lima Norte. Se ha dispuesto que el gerente y los encargados del rea de Sistemas y Tecnologas de informacin colaboren brindando la mayor informacin posible. As mismo se ha autorizado al rea administrativa brindar solo la documentacin relacionada a la auditoria. Las entrevistas y los permisos para el ingreso de los auditores sern notificados como mnimo con un da de anticipacin, y se reserva la disponibilidad del tiempo del personal dndole prioridad a sus actividades programadas Como mximo podrn ingresar 2 personas, en el horario de mircoles y jueves de 8:30 a.m. a 6:00 p.m, por el tiempo que dure la auditoria. El costo de la auditoria no podr exceder lo presupuestado, de ser asi debe ser sustentado con documentos. 4 DEFINICION 4.1 Alcance de Auditoria Fsica El alcance de la auditoria de sistemas de informacin que realizaremos, est dada sola en la Oficina de la TI de la empresa INDUSTRIAS BREDISA, que cubre 12 metros cuadrados que se encuentra en el primer piso del local de la empresa y que consta las siguientes reas: Gerencia General, almacn, comunicaciones, Direccin tcnica, Contabilidad y secretaria 5.- RECURSOS Y TIEMPO.

5.1 AUDITORES JEFE DE AUDITORIA AUDITORES

5.2 TIEMPO El tiempo que se llevar a cabo el proceso de auditora es el siguiente

Comienzo Final

mircoles 29/08/12 mircoles 05/12/12

5.3 PLANEAMIENTO EN EL MS PROYECT

fig. 01: Estadsticas del Proyecto de Auditora

fig. 02: Hoja de Recursos

fig. 03: Diagrama de Seguimiento

Nombre de tarea Proyecto auditoria de desarrollo Inicio estudio de viabilidad de la auditoria entrevista con el gerente de la empresa organizar el grupo de trabajo definir el objetivo definir el alcance determinar roles y funciones planeamiento plan de visitas a la empresa plan de revisin de documentos

Duracin 29 das 7,5 das 2 das 2 das 2 das 4 horas 4 horas 4 horas 4 das 4 horas 4 horas

Comienzo mi 29/08/12 mi 29/08/12 mi 29/08/12 mi 05/09/12 mi 12/09/12 mi 19/09/12 mi 19/09/12 jue 20/09/12 mi 26/09/12 mi 26/09/12 mi 26/09/12

Fin mi 05/12/12 jue 20/09/12 jue 30/08/12 jue 06/09/12 jue 13/09/12 mi 19/09/12 mi 19/09/12 jue 20/09/12 jue 04/10/12 mi 26/09/12 mi 26/09/12

plan de adopcin de metodologa plan de adopcin de estndares plan de adopcin de herramientas plan de determinar funciones ejecucin Adopcin y asignacin de herramientas Solicitud de Manuales y Documentaciones Elaboracin de los cuestionarios. Aplicacin del cuestionario al personal. Entrevistas a lderes y personal ms relevantes de la direccin Anlisis de las claves de acceso, control, seguridad, confiabilidad y respaldos Evaluacin de la estructura orgnica Evaluacin de los Recursos Humanos y de la situacin Presupuestal y Financiera Evaluacin de los sistemas: relevamiento de Hardware y Software, evaluacin del diseo lgico y del desarrollo del sistema Evaluacin del Proceso de Datos: seguridad de los datos, control de operacin y procedimientos de respaldo. cierre Revisin de los papeles de trabajo Determinacin del diagnstico e Implicancias Elaboracin del informe presentacin del informe

1 da 1 da 4 horas 4 horas 12 das 4 horas 4 horas 2 das 2 das 1 da

jue 27/09/12 mi 03/10/12 jue 04/10/12 jue 04/10/12 mi 10/10/12 mi 10/10/12 mi 10/10/12 jue 11/10/12 jue 18/10/12 jue 25/10/12

jue 27/09/12 mi 03/10/12 jue 04/10/12 jue 04/10/12 jue 15/11/12 mi 10/10/12 mi 10/10/12 mi 17/10/12 mi 24/10/12 jue 25/10/12

1 da

mi 31/10/12

mi 31/10/12

4 horas 4 horas

jue 01/11/12 jue 01/11/12

jue 01/11/12 jue 01/11/12

2 das

mi 07/11/12

jue 08/11/12

2 das

mi 14/11/12

jue 15/11/12

5 das 1 da 2 das 1 da 1 da

mi 21/11/12 mi 21/11/12 jue 22/11/12 jue 29/11/12 mi 05/12/12

mi 05/12/12 mi 21/11/12 mi 28/11/12 jue 29/11/12 mi 05/12/12

Tabla 01: Tareas y Fechas (visitas de color)

6.- IDENTIFICACIN Y EVALUACIN DE RIESGOS POTENCIALES.

OBJETIVO ESPECFICO

Evaluar polticas de proceso de adquisicin y mantenimiento de software aplicativo

Hallazgo AI2 entrevista Nro.1: no Detalle: no realiza algn realiza algn procedimiento para procedimiento para comprobar que comprobar que los aplicativos los aplicativos cumplan con los cumplan con los requerimientos del requerimientos del negocio negocio Segn la COBIT 4.1 en el punto RECOMENDACIONES : AI2.8 Aseguramiento de la . Calidad del Software Desarrollar, implementar los Desarrollar, implementar los recursos recursos y ejecutar un plan de y ejecutar un plan de aseguramiento aseguramiento de calidad del de calidad del software software, para obtener que se especifique en la definicin de los requerimientos y en las polticas y requerimientos de calidad de la organizacin

OBJETIVO ESPECFICO

Evaluar polticas de proceso de adquisicin y mantenimiento de software aplicativo

Hallazgo AI2 entrevista Nro.7: no Detalle: no existe un plan de existe un plan de gestin de riesgos gestin de riesgos de seguridad de de seguridad la aplicacin aprobado por la direccin Segn la COBIT 4.1 en el punto RECOMENDACIONES : AI2.4 Seguridad y Disponibilidad . de las Aplicaciones Abordar la seguridad de las Desarrollar un plan de gestin de

aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos identificados y en lnea con la clasificacin de datos, la arquitectura de la informacin, la arquitectura de seguridad de la informacin y la tolerancia a riesgos de la organizacin.

riesgos de seguridad. Abordar la seguridad de las aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos identificados y en lnea con la clasificacin de datos

OBJETIVO ESPECFICO

Evaluar polticas de proceso adquisicin y mantenimiento software aplicativo

de de

Hallazgo AI2 entrevista Nro.8: no Detalle: cuando se compra SW la existe un plan implementacin y empresa desarrolladora se encarga de configuracin de las aplicaciones implementarla y configurarla adquiridas Segn la COBIT 4.1 en el punto AI2.5 Configuracin e implementacin de software aplicativo adquirido Configurar e implementar software de aplicaciones adquiridas para conseguir los objetivos de negocio. RECOMENDACIONES : Desarrollar un plan Configuracin e implementacin software de aplicaciones adquiridas para conseguir los objetivos de negocio.

OBJETIVO ESPECFICO

Evaluacin de la administracin proyectos si satisface el requerimiento de negocio de TI, si se entregan los resultados del proyecto en el tiempo, con el presupuesto y con la calidad acordados.

Hallazgo PO10 entrevista Nro.2: Detalle: la organizacin no tiene no existe una poltica estructurada una poltica escrita sobre Proyectos Segn la COBIT 4.1 en el punto RECOMENDACIONES : PO10.2 Marco de Trabajo para la . Administracin de Proyectos Establecer y mantener un marco de Establecer y mantener un marco de trabajo para la administracin de trabajo para la administracin de proyectos proyectos que defina el alcance y

los lmites de la administracin de proyectos, as como las metodologas a ser adoptadas y aplicadas en cada proyecto emprendido. El marco de trabajo y los mtodos de soporte se deben integrar con los procesos de administracin de programas.

OBJETIVO ESPECFICO

Evaluar polticas generales sobre seguridad fsica con respecto a instalaciones, personal, equipos, documentacin, back-ups, plizas y planes de contingencias.

Hallazgo DS12 cuestionario Nro.6: Detalle: no se ha realizado un Existe tiempo se encuentra sin estudio del caso medidas de servicio el negocio debido a proteccin contra factores incidentes ambientales ambientales Cuestionario Nro.6: Segn la COBIT 4.1 en el punto RECOMENDACIONES : DS12.4 Proteccin Contra Factores Ambientales Disear e implementar medidas de Disear e implementar medidas de proteccin contra factores proteccin contra factores ambientales. ambientales. Deben instalarse dispositivos y equipo especializado para monitorear y controlar el ambiente.

OBJETIVO ESPECFICO

Evaluar polticas generales sobre seguridad fsica con respecto a instalaciones, personal, equipos, documentacin, back-ups, plizas y planes de contingencias

Hallazgo DS12 cuestionario Nro.7: Detalle: no se ha realizado un riesgos de seguridad debido a estudio del caso acceso fsico. incidentes de seguridad fsica o fallos, violaciones a la seguridad y acceso no autorizado Cuestionario Nro.7

Segn la COBIT 4.1 en el punto DS12.3 Acceso Fsico Definir e implementar procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y reas de acuerdo con las necesidades del negocio, incluyendo las emergencias. El acceso a locales, edificios y reas debe justificarse, autorizarse, registrarse y monitorearse. Esto aplica para todas las personas que accedan a las instalaciones, incluyendo personal, clientes, proveedores, visitantes o cualquier tercera persona.

RECOMENDACIONES : . Definir e implementar procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y reas de acuerdo con las necesidades del negocio, incluyendo las emergencias

OBJETIVO ESPECFICO

Evaluar polticas generales sobre seguridad fsica con respecto a instalaciones, personal, equipos, documentacin, back-ups, plizas y planes de contingencias Detalle: No existe Administrar las instalaciones, incluyendo el equipo de comunicaciones y de suministro de energa

Hallazgo DS12 cuestionario Nro.8: no se elaboran bitcoras de mantenimiento de alarmas y pruebas de simulacro, de intrusin y deteccin en instalaciones y cobertura de los guardias Cuestionario Nro.8: Segn la COBIT 4.1 en el punto DS12.5 Administracin de Instalaciones Fsicas Administrar las instalaciones, incluyendo el equipo de comunicaciones y de suministro de energa, de acuerdo con las leyes y los reglamentos, los requerimientos tcnicos y del negocio, las especificaciones del proveedor y los lineamientos de seguridad y salud

RECOMENDACIONES : . Administrar las instalaciones, incluyendo el equipo de comunicaciones y de suministro de energa.

OBJETIVO ESPECFICO

Evaluar marco de trabajo de gobierno TI, incluye la definicin de estructura,

procesos, liderazgo, roles y responsabilidades organizacionales Hallazgo MI4 cuestionario Nro.3: no Detalle: se presenta a la direccin, se presenta a la direccin, ocasionalmente informes de metas y peridicamente informes de metas y objetivos alcanzados objetivos alcanzados Cuestionario Nro.3: Segn la COBIT 4.1 en el punto ME4.6 Medicin del Desempeo Confirmar que los objetivos de TI confirmados se han conseguido o excedido, o que el progreso hacia las metas de TI cumple las expectativas. Donde los objetivos confirmados no se han alcanzado o el progreso no es el esperado, revisar las acciones correctivas de gerencia. Informar a direccin los portafolios relevantes, programas y desempeos de TI, soportados por informes para permitir a la alta direccin revisar el progreso de la empresa hacia las metas identificadas. RECOMENDACIONES : . Informar a direccin los portafolios relevantes, programas y desempeos de TI, soportados por informes para permitir a la alta direccin revisar el progreso de la empresa hacia las metas identificadas.

OBJETIVO ESPECFICO

Evaluar marco de trabajo de gobierno TI, incluye la definicin de estructura, procesos, liderazgo, roles y responsabilidades organizacionales

Hallazgo MI4 cuestionario Nro.4: no Detalle: no se ha definido un existe un procedimiento de rendicin procedimiento de rendicin de cuentas de cuentas ante la direccin Cuestionario Nro.4: Segn la COBIT 4.1 en el punto ME4.1 Establecimiento de un Marco de Gobierno de TI Definir, establecer y alinear el marco de gobierno de TI con la visin completa del entorno de control y Gobierno Corporativo. Basar el Marco de trabajo en un adecuado proceso de TI y modelo de control y proporcionar la rendicin de cuentas y prcticas RECOMENDACIONES : . Basar el marco de trabajo en un adecuado proceso de TI y modelo de control y proporcionar la rendicin de cuentas y prcticas inequvocas para evitar una rotura en el control interno y la revisin

inequvocas para evitar una rotura en el control interno y la revisin. Confirmar que el marco de gobierno de TI asegura el cumplimiento con las leyes y regulaciones y que est alineado, y confirma la entrega de, la estrategia y objetivos empresariales. Informa del estado y cuestiones de gobierno de TI.

OBJETIVO ESPECFICO

Evaluar marco de trabajo de gobierno TI, incluye la definicin de estructura, procesos, liderazgo, roles y responsabilidades organizacionales

Hallazgo MI4 cuestionario Nro.4: no Detalle; No se tiene conocimiento de existen actas de comits de gerencia o ello. similares a los cuales asista el departamento de TI Cuestionario Nro.4: Segn la COBIT 4.1 en el punto ME4.2 Alineamiento Estratgico. Garantizar que existe un entendimiento compartido entre el negocio y la funcin de TI. Trabajar con el consejo directivo para definir e implementar organismos de gobierno, tales como un comit estratgico de TI, para brindar una orientacin estratgica a la gerencia respecto a TI, garantizando as que tanto la estrategia como los objetivos se distribuyan en cascada hacia las unidades de negocio y hacia las unidades de TI y que se desarrolle certidumbre y confianza entre el negocio y TI. RECOMENDACIONES : implementar organismos de gobierno, tales como un comit estratgico de TI, para brindar una orientacin estratgica a la gerencia respecto a TI

OBJETIVO ESPECFICO

Evaluacin de suficiencia en los planes de contingencia de los sistemas de informacin.

Hallazgo1: No hay un documento en el cual estn descritos los planes para la continuidad de las operaciones del rea de Sistemas de Informacin ANEXO 4 - PREGUNTA 1 Segn la ISO/IEC 17799 en el punto 14.1.2 Continuidad del negocio y evaluacin del riesgo. Se debieran identificar los event os que pueden causar interrupci ones a los procesos comerciales, junto con la probab ilidad y el impacto de dichas i nterrupciones y sus consecuencias para la seguridad de la informacin

Detalle: No hay un documento en el cual estn descritos los planes para la continuidad del negocio frente a posibles interrupciones en las operaciones de la empresa. RECOMENDACIONES : . Recomendacin: Establecer un plan de continuidad de las operaciones en caso de interrupciones de cualquier tipo

OBJETIVO ESPECFICO Hallazgo N2: Las copias de respaldo no son almacenadas en ambientes adecuados. ANEXO - 1 Detalle: Las copias de respaldo estn siendo almacenados en ambientes que pueden ser atacados por desastres, como incendios, terremotos, inundaciones, entre otros. Recomendacin: Hacer copias de seguridad de la informacin en ambientes alejados y con la debida proteccin contra desastres y el desgaste por el tiempo. .

Segn la ISO/IEC 17799 en el punto 10.5 Respaldo o Back-Up. Se debieran establecer los procedimientos de rutina para implementar la poltica de respaldo acordada y la estrategia para tomar copias de respaldo de la data y practicar su restauracin oportuna.

OBJETIVO ESPECFICO Hallazgo N 3: No tienen un periodo definido para realizar las copias de Detalle: Las copias de respaldo se estn realizando sin un periodo definido, por lo

respaldo. ANEXO 4 -PREGUNTA 2, 4 Segn Cbit en el punto DS4.8 Recuperacin y Reanudacin de los Servicios de TI Se deben Planear las acciones a tomar durante el perodo en que TI est recuperando y reanudando los servicios. Esto puede representar la activacin de sitios de respaldo, el inicio de procesamiento alternativo, la comunicacin a clientes y a los interesados, realizar procedimientos de reanudacin, etc.

tanto puede haber problemas de prdida de datos. Recomendacin: Hacer copias de seguridad con un periodo definido dependiendo la relevancia de la informacin y la velocidad con que aumenta. .

OBJETIVO ESPECFICO

Evaluar el cumplimiento de una metodologa adecuada para los sistemas de Informacin. Detalle: El rea de Sistemas de informacin no usa una metodologa que monitoree la contribucin de los Sistemas de Informacin al desempeo corporativo.

Hallazgo 4: El rea no utiliza una metodologa adecuada para los sistemas de informacin ANEXO 4 -PREGUNTA 4, 5

Segn COBIT en el punto ME1 Recomendacin: Establecer una Monitorear y Evaluar nos dice que metodologa adecuada para los se debe establecer un marco de Sistemas de Informacin as poder trabajo de monitoreo general y un beneficiar a la empresa. enfoque que definan el alcance, la . metodologa y el proceso a seguir para medir la solucin y la entrega de servicios de TI, y Monitorear la contribucin de TI al negocio.

OBJETIVO ESPECFICO

Verificar si los Sistemas de informacin estn alineados con el

plan estratgico de TI. Hallazgo 5: No hay un Plan Estratgico de TI alineado con los Sistemas De Informacin ANEXO 4 -PREGUNTA 5 Detalle: El Plan Estratgico que tiene el rea de TI es el mismo de toda la empresa y no es uno que describa al detalle los objetivos del rea de TI ni sus metas, tampoco habla sobre los sistemas de informacin y su importancia para el desarrollo de la empresa. Recomendacin: Implementar un Plan Estratgico para el rea de TI alineado con las metas y sus objetivos de la Empresa, tomando en cuenta adems la importancia de los sistemas de informacin para el cumplimiento de ello.

Segn Cbit en el punto P01 Definir un Plan Estratgico de TI. Nos dice que la planeacin estratgica de TI es necesaria para gestionar y dirigir todos los recursos de TI en lnea con la estrategia y prioridades del negocio.

OBJETIVO ESPECFICO

Analizar si existe un plan para el control a las modificaciones de los Sistemas Informticos. Detalle: Los sistemas informticos estn siendo modificados por el equipo de desarrollo de software pero muchas de estas modificaciones no son documentadas. Recomendacin: Evitar realizar modificaciones y en el caso de que se realizara una hacerlo con cuidado y debidamente documentado. .

Hallazgo 6: No existe un correcto control de las modificaciones de los sistemas informticos. ANEXO 4 -PREGUNTA 7 Segn la Norma ISO/IEC 17799 en el punto 12.5.3 Restricciones sobre los cambios en los paquetes de software nos dice que no se debieran fomentar modificaciones a los paquetes de software, se debieran limitar a los cambios necesarios y todos los cambios debieran ser estrictamente controlados.

OBJETIVO ESPECFICO Hallazgo 7: No existe un plan para Detalle: El equipo de soporte de los

el proceso de mantenimiento ANEXO 4 -PREGUNTA 8 Segn la Norma ISO/IEC 12207 en el punto 5.5 Proceso de Mantenimiento nos dice que el proceso de mantenimiento contiene las actividades y tareas del responsable de mantenimiento

Sistemas Informticos no tiene un plan establecido para el proceso de mantenimiento Recomendacin: Implementar un plan para el proceso de mantenimiento que sea beneficioso para la empresa. .

OBJETIVO ESPECFICO

Evaluar los sistemas y procedimientos para determinar si presentan deficiencias o irregularidades

Hallazgo 8: No existe un Detalle: El equipo de soporte de los procedimiento para determinar Sistemas Informticos no tiene un deficiencias o irregularidades en plan establecido para determinar Sistema de Informacin deficiencias o irregularidades en los sistemas de informacin, esto lo ANEXO 4 -PREGUNTA 8, 9 hacen sin llevar un orden. Segn Cobit en el punto DS9.3 Revisin de Integridad de la Configuracin nos dice que se debe revisar peridicamente los datos de configuracin para verificar y confirmar la integridad de la configuracin actual e histrica. Recomendacin: Establecer un plan para determinar deficiencias e irregularidades en los Sistemas de Informacin para beneficio de la empresa. .

OBJETIVO ESPECFICO Hallazgo N 9: No existe una poltica de control del acceso a los Sistemas de Informacin ANEXO - 2

Evaluar si los mtodos de control son adecuados y eficaces. Detalle: El acceso al sistema se realiza sin ningn control y esto es perjudicial para la empresa

Segn la ISO/IEC 17799 en el punto Recomendacin: 11.1.1 Poltica de control del Establecer una poltica del control de acceso. Las reglas de control del Acceso a los Sistemas de Informacin acceso y los derechos para cada para los usuarios y personal del rea usuario o grupos de usuarios se de Sistemas de Informacin. deben establecer claramente en la . poltica de control de acceso. Los

controles de acceso son tanto lgicos como fsicos y estos deben ser considerados juntos. Se debe proporcionar a los usuarios y proveedores del servicio un enunciado claro de los requerimientos comerciales que deben cumplir los controles de acceso.

OBJETIVO ESPECFICO Hallazgo N10: No existe un control de acceso al sistema operativo ANEXO - 3 Detalle: El acceso al sistema operativo por los usuarios no est siendo controlado, pudiendo este afectar el desempeo de los Sistemas de Informacin.

Segn la ISO/IEC 17799 en el Recomendacin: punto 11.5 Control del acceso al sistema operativo. Evitar Controlar el acceso al sistema el acceso no autorizado a los operativo por los usuarios. sistemas operativos. . Se deben utilizar medios de seguridad para restringir el acceso a los sistemas operativos a los usuarios autorizados.

OBJETIVO ESPECFICO Hallazgo N11: No existe un control contra cdigos maliciosos en los sistemas de informacin Detalle: El rea de TI no tiene un control establecido contra cdigos maliciosos que afecten a los sistemas de informacin.

ANEXO 4 -PREGUNTA 15 Segn la ISO/IEC 17799 en el punto Recomendacin: 10.4.1 Controles contra cdigos maliciosos nos dice que Establecer una poltica sobre el la proteccin contra cdigos malici control de cdigos maliciosos en los osos se debe basar en la detec sistemas de informacin

cin de cdigos maliciosos y la reparacin de software, conciencia de seguridad, y los apropiados controles de acceso al sistema y gestin del cambio..

OBJETIVO ESPECFICO

Analizar los controles y procedimientos en los sistemas de informacin tanto organizativos como operativos. Detalle: En el rea de TI no est implementado un plan para Soluciones de operaciones en los sistemas de informacin, lo que dificultara la utilizacin de los sistemas de informacin.

Hallazgo N12: No existe un plan para Soluciones de operaciones en los sistemas de informacin. ANEXO 4 -PREGUNTA 14

Segn Cbit en el punto A14.1 Plan Recomendacin: para Soluciones de Operaciones nos dice que se debe desarrollar un plan Documentar un plan para Soluciones para identificar y documentar todos los de operaciones en los sistemas de aspectos tcnicos, la capacidad de informacin. operacin y los niveles de servicio . requeridos, de manera que todos los interesados puedan tomar la responsabilidad oportunamente por la produccin de procedimientos de administracin, de usuario y operativos, como resultado de la introduccin o actualizacin de sistemas automatizados o de infraestructura.

OBJETIVO ESPECFICO Hallazgo N13: No existe capacitaciones seguidas a los miembros de la gerencia sobre el uso de los Sistemas de Informacin. ANEXO 4 -PREGUNTA 13 Detalle: En el rea de TI no se brinda capacitaciones seguidas a los miembros de la gerencia sobre el uso de los Sistemas de Informacin, estas se hacen solo a solicitud de los mismos.

Segn Cbit en el punto A14.2 Recomendacin: Transferencia de Conocimiento a la Gerencia del Negocio nos dice que Se debe brindar capacitaciones

se debe Transferir el conocimiento a peridicas a los miembros de la la gerencia de la empresa para gerencia sobre el uso de los permitirles tomar posesin del sistema Sistemas de Informacin. y los datos y ejercer la responsabilidad por la entrega y calidad del servicio, del control interno, y de los procesos administrativos de la aplicacin.

OBJETIVO ESPECFICO

Evaluar la dependencia de los Sistemas y las medidas tomadas para garantizar su disponibilidad y continuidad

Hallazgo N14: No existe planes de Detalle: En el rea de TI no existe continuidad de los Sistemas de documento alguno que describa los Informacin. planes de continuidad de los ANEXO 4 -PREGUNTA 12 Sistemas de Informacin, no pudiendo continuar con sus operaciones luego de que se materialice una amenaza. Segn Cbit en el punto DS4.2 Planes de Continuidad de TI nos dice que se debe desarrollar planes de continuidad de TI con base en el marco de trabajo, diseado para reducir el impacto de una interrupcin mayor de las funciones y los procesos clave del negocio. Los planes deben considerar requerimientos de resistencia, procesamiento alternativo, y capacidad de recuperacin de todos los servicios crticos de TI Recomendacin: Se deben documentar planes de continuidad de los Sistemas de Informacin, para asegurar el bien de le Empresa.

OBJETIVO ESPECFICO Hallazgo N15: No existe planes de reanudacin de servicios y recuperacin de los Sistemas de Informacin ANEXO 4 -PREGUNTA 11 Detalle: En el rea de TI no existe documento alguno que describa los planes recuperacin y reanudacin de servicios de los Sistemas de Informacin, no est documentado pero si oralmente saben que deben hacer.

Segn Cbit en el punto DS4.8 Recuperacin y Reanudacin de los Servicios de TI nos dice que se debe planear las acciones a tomar durante el perodo en que TI est recuperando y reanudando los servicios. Esto puede representar la activacin de sitios de respaldo, el inicio de procesamiento alternativo, la comunicacin a clientes y a los interesados, realizar procedimientos de reanudacin, etc

Recomendacin: Se deben implementar planes de reanudacin de servicios y recuperacin de los Sistemas de Informacin.

OBJETIVO ESPECFICO Hallazgo N16: No se verifica la capacidad de los Sistemas de Informacin ANEXO 4 -PREGUNTA 18 Segn la ISO/IEC 17799 en el punto 10.3.1 Gestin de la capacidad nos dice que se deben identificar los requerimientos de capacidad de cada actividad nueva y en proceso. Se deben aplicar la afinacin y m onitoreo del sistema para asegurar y, cuando sea necesario, mejorar la disponibilidad y eficiencia de los sistemas. Se deben establecer detectives de controles para indicar los problemas en el momento debido. Detalle: No se verifica la capacidad de los Sistemas de Informacin para asegurar la disponibilidad de la informacin. Recomendacin: Se deben verificar la capacidad de los Sistemas de Informacin para asegurar la disponibilidad de la informacin. .

OBJETIVO ESPECFICO Hallazgo N17: No se evalan los riesgos en los Sistemas de Informacin ANEXO 4 -PREGUNTA 19

Evaluar la existencia de riesgos en los Sistemas de Informacin Detalle: No existe la evaluacin de riesgos en los sistemas informticos, por lo que estos estn propensos a su impacto.

Segn Cbit en el punto PO9.4 . Evaluacin de Riesgos de TI nos Recomendacin: dice que se debe evaluar de forma recurrente la probabilidad e impacto de Se deben evaluar los riesgos en los todos los riesgos identificados, usando Sistemas de Informacin, para evitar

mtodos cualitativos y cuantitativos. La probabilidad e impacto asociados a los riesgos inherentes y residuales se debe determinar de forma individual, por categora y con base en el portafolio.

el futuro impacto de estos.

OBJETIVO ESPECFICO Hallazgo N18: No existe un Plan de Accin frente a Riesgos en los Sistemas de Informacin ANEXO 4 -PREGUNTA 16 Segn Cbit en el punto PO9.6 Mantenimiento y Monitoreo de un Plan de Accin de Riesgos nos dice que se debe priorizar y planear las actividades de control a todos los niveles para implementar las respuestas a los riesgos, identificadas como necesarias, incluyendo la identificacin de costos, beneficios y la responsabilidad de la ejecucin. Obtener la aprobacin para las acciones recomendadas y la aceptacin de cualquier riesgo residual, y asegurarse de que las acciones comprometidas estn a cargo del dueo (s) de los procesos afectados. Monitorear la ejecucin de los planes y reportar cualquier desviacin a la alta direccin. Detalle: No existe un Plan de Riesgos para los Sistemas de Informacin, en el cual detalle las acciones recomendadas para la disminucin del mismo. . Recomendacin: Se deben implementar un Plan de Accin de Riesgos, acordes con las caractersticas de los Sistemas de Informacin.

OBJETIVO ESPECFICO

Analizar la gestin de privilegios en los Sistemas de Informacin Detalle: No se estn documentando los privilegios en los Sistemas de Informacin, si se dan privilegios pero sin un documento formal.

Hallazgo N19: No se estn documentando los privilegios en los Sistemas de Informacin

ANEXO 4 -PREGUNTA 17 Segn la ISO/IEC 17799 en el punto 11.2.2 Gestin de privilegios nos dice que los sistemas de informacin deben controlar la asignacin de privilegios a travs de un proceso de autorizacin formal. Recomendacin: Se deben documentar los privilegios en los Sistemas de Informacin. .

OBJETIVO ESPECFICO Hallazgo N20: No se estn documentando los cambios de funciones ANEXO 4 -PREGUNTA 20 Detalle: Cuando se realiza un cambio o trmino de una funcin en la empresa, no se estn documentando los privilegios en los Sistemas de Informacin.

Segn Cbit en el punto PO7.8 . Cambios y Terminacin de Trabajo Recomendacin: nos dice que se deben tomar medidas expeditas respecto a los cambios en los Se deben documentar los privilegios puestos, en especial las terminaciones. en los Sistemas de Informacin. Se debe realizar la transferencia del conocimiento, asignar responsabilidades y se deben eliminar los privilegios de acceso, de tal modo que los riesgos se minimicen y se garantice la continuidad de la funcin.

CONCLUSIONES PARA LA AUDITORIA DE SISTEMAS DE INFORMACIN No existen planes de contingencia de los sistemas de informacin, adems las copias de respaldo no son almacenadas en lugares adecuados. El rea de TI no tiene una metodologa adecuada para los sistemas de Informacin. Ya que el rea de TI no cuenta con un Plan Estratgico documentado los Sistemas de informacin estn alineados con este. No existe un plan para el control a las modificaciones de los Sistemas Informticos. No existe procedimientos para determinar si presentan deficiencias o irregularidades los Sistemas de Informacin. Si bien existen perfiles para el acceso a los sistemas de Informacin este no est documentado y parametrizado, solo existen guas con los usuarios y sus permisos. Falta implementar un Plan para soluciones de operaciones. Si bien existen procedimientos para la continuidad de los Sistemas de Informacin estos no estn documentados adecuadamente. No existen planes de accin frente riesgos en los Sistemas de Informacin No se tienen debidamente documentados privilegios y cambios de funciones en los Sistemas de Informacin.

ANEXOS 1 Las copias de respaldo estn siendo guardadas en usb, las cuales estn siendo usadas para manejar informacin y esto es un riesgo ya que se puede perder la informacion o ya que puede ser infectado por un virus, no tiene un ambiente epecifico para guardar las copias de respaldo en cuanto a su documentacin.

ANEXO-2 Dentro del propio Excel se encuentra la base de datos, cualquier persona puede ingresar a la base de datos y ver los clientes con quienes trabajan

ANEXO - 3 No existe un control de usuarios en el sistema operativo de tal manera que cualquier usuario puede ingresar a la cuenta del administrados

ANEXO 4.0 AI2 Adquirir y mantener software aplicativo HERRAMIENTA Entrevista 1 Se realiz algn procedimiento para comprobar que los aplicativos cumplan con los requerimientos del negocio? No 2 En las compras de aplicaciones se ha verificado que el software cumpla con las legislaciones y regulaciones? Si, antes de adquirir un SW se realiza un estudio en donde unas de las cosas que se determina es que cumpla con las leyes que lo regulan 3 Existe algn procedimiento de gestin de cambios de requerimientos durante el desarrollo y compra de aplicativos? La empresa no desarrolla SW, pero al comprar aplicativos si se realiza la gestin de cambios pertinente 4 Existe algn plan para el mantenimiento de aplicaciones de software? Si se realizan peridicamente 5 Existe un anlisis entre diferentes aplicativos TI, que involucre anlisis de costo inicial, costo en el tiempo, funcionalidades, soportes y consultoras? Si realiza un anlisis previo, cuando se adquiere SW para la empresa 6 Se han identificado claramente las necesidades del negocio y con qu mdulos del aplicativo se solucionan? La solucin informtica utilizada suple las necesidades de la organizacin 7 Existe un plan de gestin de riesgos de seguridad de la aplicacin aprobado por la direccin? No, no contamos con este 8 Existe un plan implementacin y configuracin de las aplicaciones adquiridas No, cuando se compra SW la empresa desarrolladora se encarga de implementarla y configurarla

 PO10 Administrar proyectos HERRAMIENTA Entrevista. 1 En qu medida la organizacin ha integrado formalmente los proyectos en el trabajo? Los proyectos de TI se ejecutan segn criterios de la empresa, ya sean para optimizar o apoyar los procesos. 2 Tiene la organizacin una poltica escrita sobre Proyectos? No, no existe una poltica estructurada 3 Imparte la organizacin formacin sobre Proyectos? Si, dentro de la gerencia de planta se formulan proyectos despus de un estudio en el rea de investigacin de la empresa 4 Se realizan los proyectos a tiempo y dentro del presupuesto? 5 En ocasiones se realizan exitosamente, algunos no culminan en el tiempo presupuestado 6 Existe una definicin clara y documentada del alcance de cada proyecto? Si, se define de forma escrita cada proyecto con sus objetivos y alcances 7 Estn claramente identificados los riesgos de cada proyecto as como los mecanismos que minimizan estos riesgos? Si, estos estn incluidos dentro del informe inicial de cada proyecto, los cuales son tenidos en cuenta para que el proyecto sea aceptado 8 Existe un plan de Calidad de cada proyecto debidamente aprobado por todas las partes interesadas? El plan de calidad tambin est incluido en el informe del proyecto, con el objetivo de garantizar el cumplimiento 100% del proyecto 9 Los cambios en cronograma, costos, alcance, calidad del proyecto son debidamente documentados? Si cada cambio que se realice durante la ejecucin del proyecto debe ser informado y documentado previamente

 AI5 Adquirir recursos de TI HERRAMIENTA Entrevista 1 Existen polticas para la adquisicin de los recursos de TI en la organizacin? Si 2 Existen procesos de capacitacin de personal para el manejo de procesos relacionados con la adquisicin de recursos? Si, contamos con personal capacitado para realizar un anlisis estricto para adquirir TI 3 Qu criterios se tienen en cuenta al momento de adquirir recursos y como se asegura que estos representen un beneficio para la Organizacin? Se realiza un anlisis de costo beneficio para saber que viabilidad tiene para implementarla en la organizacin. 4 Existe alguna funcin especfica que controle la entrada ilegal de recursos de TI, es decir que vaya en contra de las polticas establecidas por la Organizacin para ello? S, todo recurso de TI que entra a la organizacin debe estar acorde a las polticas que define el PETI 5 Qu tipo de documentacin se realiza para registrar formalmente la adquisicin de recursos tecnolgicos y toda la informacin relacionada? 6 Qu procedimientos y controles de seguridad existen para la evaluacin, seleccin y adquisicin de software? 7 Qu tipo de aprobaciones (o de quien) se tienen en cuenta para adquirir recursos tecnolgicos? Va desde el gerente de tecnologas y el financiero, pero quien determina la ltima palabra es el gerente general

 DS12 Entregar y dar soporte HERRAMIENTA Cuestionario 1 Se definieron y disearon centros de datos para el equipo de TI y se tuvieron en cuenta las normas de seguridad fsica y las leyes de seguridad y de salud en el trabajo? SI_X_ NO____ N/A____ OBSERVACIONES: ____________________________________ 2 Se definieron e implementaron medidas de seguridad fsica alineadas con los requerimientos del negocio? Permetro de seguridad Zonas de seguridad Ubicacin de equipo crtico reas de envo y recepcin Responsabilidades del monitoreo Procedimientos de reporte y de resolucin de incidentes SI__X___ NO____ N/A____ OBSERVACIONES: __________________________________________________ 3 Se disearon e implementaron medidas de proteccin contra factores ambientales y equipo especializado para monitorear y controlar el ambiente? SI__X___ NO____ N/A____ OBSERVACIONES: __________________________________________________ 4 Se administran las instalaciones y equipo de comunicaciones y energa, de acuerdo con los reglamentos, requerimientos tcnicos y lineamientos de seguridad y salud? SI__X___ NO____ N/A____ OBSERVACIONES: __________________________________________________ 5 Se definieron e implementaron procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y reas de acuerdo con las necesidades del negocio? SI__X___ NO____ N/A____ OBSERVACIONES: _____existen buenas polticas de seguridad_______________ 6 Se ha minimizado el tiempo que se encuentra sin servicio el negocio debido a incidentes ambientales? SI_____ NO____ N/A__X_ OBSERVACIONES: __no se ha realizado un estudio del caso______________________

7 Se han minimizado los riesgos de seguridad debido a incidentes seguridad fsica o fallos, violaciones a la seguridad y acceso autorizado? SI_____ NO____ N/A__X__ OBSERVACIONES: ___no se ha realizado un estudio del caso_____________ 8 Se elaboran bitcoras de mantenimiento de alarmas y pruebas simulacro, de intrusin y deteccin en instalaciones y cobertura de guardias? SI_____ NO_X__ N/A____ OBSERVACIONES: __________________________________________________

de no

de los

ME4 Proporcionar gobierno de TI HERRAMIENTA Entrevista: 1 Cules son los objetivos de TI y como ayudan a cumplir con los objetivos del negocio? Servir de apoyo para todas las reas de la organizacin. Mejorar la calidad de los recursos humanos en el rea de sistemas. Obtener resultados medibles de las tecnologas incorporadas. 2 Cmo se rinden cuentas ante la direccin, de las gestiones realizadas en TI? Se tiene documentacin de cada una de las fases gestionadas en los proyectos 3 La direccin consulta con el departamento de Tecnologa acerca decisiones estratgicas que se toman en el negocio? Si 4 Qu actitud tiene la gerencia en cuanto a la inversin en tecnologa? La gerencia est abierta a todas las propuestas de tipo tecnolgico realizadas por parte del rea de sistemas, estas propuestas se evalan y se mide la factibilidad de que se conviertan en proyectos a desarrollar. 5 Cmo garantiza el cumplimiento de las regulaciones legales relevantes y las polticas de la organizacin? Existen polticas de seguridad que garantizan la legalidad y el manejo interno de las TI en la organizacin. Cuestionario. 1 Existe un PETI aprobado por la direccin el negocio? SI 2 En el PETI se tiene en la cuenta las leyes y regulaciones? SI

3 Se presenta a la direccin, peridicamente informes de metas y objetivos alcanzados? NO, se realiza peridicamente 4 Se ha definido un procedimiento de rendicin de cuentas ante la direccin? No 5 Existen actas de comits de gerencia o similares a los cuales asista el departamento de TI? No se tiene conocimiento de ello 6 Existen estudios de impacto en los cuales se identifique el efecto de los planes de TI sobre la operacin del negocio? Si, en el PETI, se estiman los beneficios que aporta el rea de sistemas a cada una de las dems reas de la empresa. 7 La evaluacin del riesgo TI est integrada a la evaluacin del riesgo de toda la empresa? Si, cuando se realiza cualquier actividad en el rea de sistemas se tiene en cuenta el efecto que esta ocasiona al negocio. 8 Existen evaluaciones del proceso de TI por parte de otras unidades funcionales de la empresa? Si 9 Existe un procedimiento que garantice un ambiente de desarrollo y pruebas que soporte la efectividad y eficiencia de las mismas? Si, existen equipos de trabajo bien definidos con labores especficas dentro del rea de sistemas 10 Existe algn documento que defina claramente las caractersticas mnimas de los recursos de la organizacin para garantizar el correcto funcionamiento de las soluciones TI? Si, en el PETI existe una regulacin de especificaciones de HW que soporte el SW utilizado y en las polticas de seguridad del rea de sistemas se mencionan regulaciones para los ambientes de trabajo (infraestructura fsica) y especificaciones de SW, HW y redes, para garantizar la efectividad de los ambientes TI.

ANEXO - 4 1)- Existe un plan de contingencia para los sistemas de evaluacin Si ( ) no (X) 2)- Tienen un tiempo definido para realizar una copia de respaldo de la informacin que se maneja en la empresa. Si ( ) no(X) 4)- Cada cuanto tiempo realizan una copia de seguridad del sistema de informacin 1 mes ( ) 2 mese ( ) 3 meses ( ) no est definido (X) 5)- Tienen o utilizan una gua adecuada para la utilizacin de los sistemas de informacin que contribuya al beneficio de la empresa Si ( ) no(X) 6)- El plan estratgico est alineado a los sistemas de informacin Si ( ) no(X) 7)- Existe un plan para el control de las modificaciones de los sistemas informticos Si ( ) no(X) 8)- Existe un periodo en el cual se realiza un mantenimiento a los sistemas de informacin Si ( ) no(X) 9)- Se realiza un mantenimiento a los sistemas de informacin. Si ( ) no(X) 10)- Existe una procedimiento en el cual puedan determinar si presentan irregularidades en los sistemas de informacin Si ( ) no(X) 11)- Si se presenta un problema en los sistemas de informacin existe un plan de contingencia para la recuperacin de la informacin Si ( ) no(X) 12)- Existe un plan de continuidad para los sistemas de informacin Si ( ) no(X) 13)Realizan capacitaciones sobre el uso de los sistemas de informacin Si ( ) no(X) 14)- Se tienen procedimiento establecidos para aplicarlos en el uso de los sistemas de informacin Si ( ) no(X) 15)- La empresa tiene un control de los cdigos maliciosos que pueden afectar su informacin Si ( ) no(X) 16)- Existe un plan de accin frente a los riesgos que pueden sufrir los sistemas de informacin

Si ( ) no(X) 17)- Cambian los privilegios de entrada cuando ingresa un nuevo personal Si ( ) no(X) 17.1) - Se documentan cada privilegio dado a un nuevo usuario Si ( ) no(X) 18)- Conoce la capacidad de los sistemas de informacin, estn de acorde a los requisitos de la empresa. Si ( ) no(X) 19)- Tienen algn plan de contingencia si ocurre algn problema en los sistemas de informacin Si ( ) no(X) 20)- Se documentan los cambios de funciones que se dan en la empresa Si ( ) no(X)