auditoria sistemas

1

“Año de la Diversificación Productiva y del Fortalecimiento de la Educación”

Universidad NacionalFederico Villarreal

Facultad de Ingeniería Industrial y de SistemasEscuela Profesional de Ingeniería de Sistemas

CURSO : AUDITORIA DE SISTEMAS

PROFESOR : ING. BERTHA

TEMA : EX. FINAL

ALUMNO :

AÑO : 2015

1

2

ContenidoETAPA PRELIMINAR............................................................................................................................3

Antecedentes.................................................................................................................................3

DIAGNOSTICO DE LA EMPRESA EDITORA PERU............................................................................4

MISIÓN.......................................................................................................................................4

VISIÓN........................................................................................................................................4

NUESTROS VALORES...................................................................................................................4

SERVICIOS...................................................................................................................................5

OBJETIVOS..................................................................................................................................5

ORGANIGRAMA..........................................................................................................................6

MATRIZ FODA.............................................................................................................................7

DIAGNOSTICO DEL AREA DE TECNOLOGIA DE LA INFORMACION................................................8

OBJETIVO GENERAL....................................................................................................................8

Organigrama...............................................................................................................................8

RECURSOS INFORMÁTICOS EXISTENTES DEL ÁREA DE TECNOLOGIA DE LA INFORMACION......9

ETAPA DE JUSTIFICACIÓN Matriz de Riesgo.....................................................14

PLAN GENERAL DE AUDITORIA.....................................................................................................18

PLAN DETALLADO.........................................................................................................................22

ENTRAVISTAS & ENCUESTAS........................................................................................................26

AREA DE MANTEMIENTO:........................................................................................................26

AREA REDES Y COMUNICACIÓN...............................................................................................26

AREA BASE DE DATOS.......................................................................................................27

AREAS DE OPORTUNIDAD............................................................................................................28

ETAPA IMPLEMENTACION........................................................................................................29

CONCLUSION............................................................................................................................29

RECOMENDACION...................................................................................................................29

2

3

ETAPA PRELIMINAR

Antecedentes

EDITORA PERU inicia sus operaciones el 12 de febrero de 1976, con el establecimiento del Primer Directorio; de acuerdo con lo establecido en el Decreto Ley Nº 21420, Ley Orgánica de la Empresa. Dicha disposición establecía que Editora Perú asumía las actividades de Editora La Crónica y Variedades S.A., de Empresa Editora del Diario Oficial El Peruano y de Editorial Virú S.A.; con la finalidad de editar los diarios La Crónica, La Tercera y el Diario Oficial El Peruano. Además, encargarse de la impresión de libros, revistas, folletos y toda clase de publicaciones con el fin de incentivar y difundir la cultura a escala nacional.

Mediante el Decreto Legislativo Nº 181, del 12 de junio de 1981, EDITORA PERÚ se constituye en una empresa estatal de derecho privado, organizada como una sociedad anónima, siendo su razón social Empresa Peruana de Servicios Editoriales S.A.

Como tal rige por la Ley Nº 27170, Ley de creación de FONAFE, Decreto Legislativo 1031, su reglamento aprobado por DS 176-2012-EF, por las directivas que emite anualmente el Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE) del Ministerio de Economía y Finanzas, por las normas de control que específicamente dicta la Contraloría General de la República y, supletoriamente, por la Ley de Sociedades.

El campo de acción de EDITORA PERÚ incluye la realización de toda clase de actividades relativas a la difusión oportuna de la información legal y oficial, al procesamiento y difusión de noticias, así como aquellas actividades productivas, comercializadoras y de servicios vinculados a la educación, la cultura y las noticias.

Actualmente EDITORA PERÚ cuenta con tres grandes líneas de negocio: el Diario Oficial El Peruano, la Agencia Peruana de Noticias ANDINA y la línea de Servicios Editoriales y Gráficos - SEGRAF -; acorde con la política de modernización del Estado, constituyéndose actualmente como una empresa moderna, con una gestión orientada a satisfacer las necesidades de sus clientes y con líneas de trabajo muy claras, señaladas en un plan de desarrollo estratégico.

3

4

DIAGNOSTICO DE LA EMPRESA EDITORA PERU

MISIÓN

“Difundir y publicar información legal, oficial del Estado y noticias de la realidad nacional e internacional, de manera plural, objetiva, oportuna y confiable."

VISIÓN

“Empresa de comunicación oficial del Estado, modelo de gestión comprometido con la excelencia."

NUESTROS VALORESValores personales. Los funcionarios y trabajadores de la empresa tienen la obligación de fomentar y mantener un ambiente de trabajo que respalde el comportamiento ético y estimule activamente un diálogo abierto. La conducta de las personas que laboran en la empresa se rige por un conjunto de valores comunes que se aplican a todas las acciones institucionales y personales. Los valores personales que identifican a los trabajadores de Editora Perú son los siguientes:

1. Respeto2. Vocación de servicio3. Integridad4. Solidaridad5. Transparencia

Valores institucionales. Los principios generales son las prioridades que rigen el accionar de la empresa, los cuales influyen en las decisiones tomadas. Los valores institucionales que suscribe Editora Perú son los siguientes:

1. Compromiso nacional, ético y patriótico2. Veracidad3. Objetividad4. Pluralidad5. Oportunidad6. Eficiencia7. Innovación y tecnología8. Inclusión social e integración9. Sostenibilidad10. Excelencia

4

5

SERVICIOSDe acuerdo a los Estatutos de la empresa, su objeto principal es ser un medio de comunicación social, dedicado a toda clase de actividades relativas a la difusión oportuna de la información legal y oficial, al procesamiento y difusión de las noticias y aquellas actividades productivas, comercializadoras y de servicios, vinculadas a la educación, la cultura, las noticias y la publicidad, buscando que los servicios que presta sean de acceso a la población y desarrollando tales actividades en condiciones de eficiencia, productividad y competitividad.

Asimismo, la empresa tiene por objeto la impresión, edición y distribución de toda clase de publicaciones, y en forma especial, editar el Diario Oficial “El Peruano”; además de procesar y difundir noticias en el Perú y en el extranjero a través de su Agencia de Noticias “Andina”. Igualmente la empresa podrá dedicarse a la prestación de los servicios editoriales y gráficos, así como de servicios de consulta de base de datos en general.

OBJETIVO ESTRATÉGICO EMPRESA OBJETIVO ESPECÍFICO EMPRESA

Mejorar el valor de la empresa Incrementar la rentabilidadAumentar los ingresos

Reducir los costos de operaciónFortalecer la imagen institucional y de

nuestras marcasMejorar el posicionamiento de nuestros medios de

comunicación

Mejoramiento de nuestros productos periodísticosMejorar la fidelización de los clientes

Promover la transparenciaSer una empresa socialmente

responsableBrindar servicios de apoyo al ciudadano y promover la

educación y la cultura

Fortalecer el desempeño institucional Optimizar los procesosFortalecer el Control de Gestión Empresarial

Disponer de infraestructura y equipamiento adecuadosMejorar la gestión de los Recursos

Humanos y utilización de las Tecnologías de la Información y

Comunicación (TIC)

Mejorar las competencias y la satisfacción del personal

Potenciar los Sistemas y Tecnologías de Información y Comunicación

A manera enunciativa, para el logro de sus fines la empresa podrá producir y/o comercializar bienes y/o servicios; así como dedicarse a la importación y exportaciones de los mismos, a la representación comercial y de servicios o a otras actividades afines, vinculadas o complementarias a su objeto principal.

5

6

OBJETIVOS

ORGANIGRAMA

6

7

MATRIZ FODA

7

8

DIAGNOSTICO DEL AREA DE TECNOLOGIA DE LA INFORMACION

OBJETIVO GENERAL

Tener un panorama actualizado de los sistemas de información en cuanto a la seguridad física, las políticas de utilización, transferencia de datos, seguridad de los archivos y el personal que labora en la institución.

Organigrama

8

GERENTE TI

AREA DE DESARROLLO

Analista - Diseñador

Programador

AREA DE MANTENIMIENTO

Redes y Comunicacion

Soporte Tecnico

AREA DE INFRAESTRUCTURA

Administrador de Seguridad

DBA

9

RECURSOS INFORMÁTICOS EXISTENTES DEL ÁREA DE TECNOLOGIA DE LA INFORMACION

HARDWAREActualmente el área de sistemas cuenta con un total de 45 máquinas de escritorio, 20

impresoras conectadas en red y 3 tipos de servidores, aunque dentro del área se cuentan con algunos otros servidores, los 3 que se describen a continuación son exclusivos del área de sistemas.

EQUIPOS DE ESCRITORIOCantidad Marca Características16 DELL Procesador Core i5, RAM 4 ,Disco Duro 500 GB10 HP Procesador Core i3,RAM 2,Disco Duro 150GB

9

10

5 LENOVO Procesador Core i3,RAM 2,Disco Duro 50GB

IMPRESORASCantidad

Marca Características

8 Impresora Dell Laser a color11 Impresora HP Inyección de tinta color6 Impresora Epson Inyección de tinta color

SERVIDORESCantidad Marca Características

2 Servidores HP Protección de Datos de forma segura.1 Servidor Dell Antivirus (McAfee)

SOFTWARE

Actualmente en los equipos de cómputo del área de sistemas de la empresa tienen instalados diversos sistemas operativos, eso depende del proceso que va realizar el empleado:

Entre los sistemas operativos instalados tenemos:

Windows XP Professional, Windows 7, Windows Server 2008 Microsoft Office 2007. Antivirus McAfee.

Cuenta con herramientas de software para la administración ERP, tanto del negocio como del área en sí.

SAP CO (Control). SAP PS (Sistema de Proyectos). SAP HR (Gestión del personal). SAP PM (Mantenimiento). SAP FI (Gestión Financiera). SAP TR (Tesorería). SAP PP (Planificación). SAP MM (Gestión de materiales).

MATRIZ FODA DEL AREA DE TI

10

11

FUNCIONES DE LAS AREA DE SISTEMAS

Gerente de TI Encargado de la planeación, organización, control y ejecución de los objetivos de informática y de sistemas, además debe suplir las necesidades de tecnologías informáticas dentro de la organización, proponer políticas y estrategias que permitan el buen manejo de la información financiera de la empresa.

Sus principales funciones son: Gerenciamiento del Proyecto, incluyendo los grupos de procesos y las nueve áreas

del conocimiento definidas por PMI: Alcance, Costo, Tiempos, Calidad, Integración, Riesgos, Comunicaciones, RRHH y Compras.

Proponer y participar en el diseño de las soluciones asociadas a los requerimientos. Detectar necesidades de capacitación del equipo del proyecto para lograr una

formación adecuada, alineada a las necesidades del proyecto y al desarrollo profesional de los colaboradores.

Delegar adecuadamente tareas del proyecto para cumplir el mismo en tiempo y forma.

Coordinar con el grupo de trabajo la elaboración de dichos proyectos (Con avaluó y aprobación del Gerente general y sus directivos).

Jefe de Desarrollo Persona encargada de coordinar, y dar un buen seguimiento a la construcción de los proyecto. Analista-Diseñador Debe estar capacitado para analizar, diseñar, programar, implementar y realizar mantenimiento a las aplicaciones requeridas por la empresa.

Programador Un individuo autodidacta, inquieto y sumamente inteligente que busca lo que necesita y lo adopta a sus necesidades, trata (fervientemente) de mantenerse actualizado con las nuevas tecnologías. Debe estar capacitado para analizar, diseñar, programar, implementar y realizar mantenimiento a las aplicaciones requeridas por la empresa.

Jefe de Mantenimiento Persona encargada de gestionar el mantenimiento correctivo y preventivo de los equipos de computación y redes en la organización.

Redes y Conectividad Persona encargada del mantenimiento hardware a los equipos de cómputo, impresoras, fax, etc.

Mantenimiento del Hardware Encargado del mantenimiento de la intranet de la empresa

11

12

Manteamiento de Software Encargado del mantenimiento de la intranet de la empresa.

Jefe de Infraestructura Es el encargado de la seguridad informática, redes y bases de datos, la empresa necesita una cohesión firme y segura en cada uno de los campos que influencia el área de sistemas, la unificación de cada uno de los departamentos en el uso de todos los componentes tecnológicos disponibles para la empresa.

Administrador de Seguridad Persona encargada de la seguridad, confidencialidad de la información.

Administrador de Bases de la Datos (DBA) El Administrador de la Base de Datos o DBA (DataBase Administrator) es el responsable de la Planificación, Diseño de la Arquitectura, Control y Administración de la Base de Datos de la organización.

12

13

13

14

AREA COMPONENTE SUB COMPONENTES SUB-SUB COMPONENTES % %%

AREARESPONSABLE

SOPORTE TECNICO

Software

Monitoreo Monitoreo de las actividades del SW 17

55%

20%

Primer Responsable

Cuantificación Control y racionalización de costos 10

MantenimientoSupervisión y control de la aplicación del software para su buen funcionamiento

25

Procedimientos y Control de Seguridad

Manejar las políticas de seguridad 20

Autentificación del Software

Verificación del origen del Software 18

Políticas de uso del software

Aplicación y verificación de las normativas y estándares de los software

10

Hardware

Gestión Manejo y repartición de recursos 11

45%Segundo

Responsable

Políticas y Procedimientos

Políticas de reemplazo de hardware.24

Elaborar políticas de manejo de equipos y dispositivos

Administración de Hardware

Monitoreo y control sobre el equipo disponible 35Registro de incidencias y adecuación a los recursos físicos por área

SeguridadVerificación si cumple con la medidas de seguridad 30

Respaldo eléctrico

14

15

ETAPA DE JUSTIFICACIÓN Matriz de Riesgo

AREA COMPONENTES SUB COMPONENTES SUB-SUB COMPONENTES %%

AREA RESPONSABLE

Redes y Comunicaciones

Internet

Políticas del uso de internet Seguridad Física de router 17

35%

25%

Tercer Responsable

Verificación del Estado de Router

Documentos de gestión del Router 25Verificar daños directos e indirectos

Monitoreo del Trafico de la Red Controlar la velocidad al acceso 32

Infraestructura de cableado Controlar el tipo de cable 26

Intranet

Seguridad de los accesos Validación de acceso 35

25% Cuarto Responsable

Autenticación de usuariosAcceso autorizado, verificado y controlado.

25

Prevención de Caída del sistema. Monitoreo de los servicios 40

Seguridad

Uso de los protocolos de comunicaciones.

Estado general del uso de los protocolos de comunicaciones.

15

40% Primer Responsable

Control de diagramas de redDiagrama de Red interna y externa

26

Verificar el tipo de cifrado Revisar Documento de tipo de cifrado

37

Seguridad física Monitoreo de los servidores 22

15

16

AREA COMPONENTES SUB COMPONENTES SUB-SUB COMPONENTES %%

AREARESPONSABLE

BASE DE

DATOS

Control de acceso

Evitar acceso a la información digital Restringir el acceso a los programas y archivos15

20%

30%

Segundo Responsable

Administración de usuarios Monitoreo de los usuarios dentro del sistema17

Asignar permisos a los usuarios Actualizar constantemente las contraseñas de accesos20

Mecanismos de autentificación Acceso a los recursos internos23

Evaluar cambios de permisos asignados Control de los derechos y permisos de dicha área25

Control de red

Firewalls Verificar licenciamiento de Firewalls35

35% Tercer Responsable

Incidentes de seguridad de redes Controlar la caída de sistemas de red40

Control de acceso de servicio Salvaguardar la información25

Control de datos

Evitar acceso no autorizado en la BD Encriptación de claves de acceso a la base de datos25

45%

Cuarto Responsable

Tener controles en la BD de aplicaciones.

Asegurar el funcionamiento de BD20

Adecuado nivel de segregación funcional

Asignación de privilegios de la BD15

Registrar actividades de los administradores de datos.

Asegurar que se utilicen los datos, archivos y programas correctos por el procedimiento elegido.

23

Claves de accesoAutenticación de usuarios que necesitan acceder a ciertos recursos internos

17

16

17

17

AREA COMPONENTE SUB COMPONENTES SUB- SUB COMPONENTES %%

AREARESPONSABLE

SEGURIDAD

Documentación

Plan de contingenciaPolíticas para el plan de contingencia

28%

25%

PrimerResponsable

Análisis para identificar y priorizar los componentes.

Priorizar los componentes críticos de TI

Software

Copias de seguridad Realizar copias de seguridad

35% Segundo

ResponsableRealiza pruebas ante

amenazas de diversos tiposRealizar pruebas ante software maliciosos

Plan de Recuperación

Restauración de los sistemasRecuperación de la información perdida 17%

Tercer Responsable

ManteamientoActualización periódicamente

los sistemasPoseer las ultimas TI 15%

Cuarto Responsable

18

PLAN GENERAL DE AUDITORIA

AREA COMPONENTE SUB COMPONENTES SUB-SUB COMPONENTES%

AREAFecha Inicial

Fecha Final

CRONOGRAMA

SOPORTE TECNICO

Software

Monitoreo Monitoreo de las actividades del SW

20%

30-nov 05-dic A-B

Cuantificación Control y racionalización de costos

MantenimientoSupervisión y control de la aplicación del software para su buen funcionamiento


Manejar las políticas de seguridad


Verificación del origen del Software

Políticas de uso del softwareAplicación y verificación de las normativas y estándares de los software

Hardware

Gestión Manejo y repartición de recursos

30-nov 07-dic C-D

Políticas y ProcedimientosPolíticas de reemplazo de hardware.

Elaborar políticas de manejo de equipos y dispositivos


Monitoreo y control sobre el equipo disponible

Registro de incidencias y adecuación a los recursos físicos por área

SeguridadVerificación si cumple con la medidas de seguridad

Respaldo eléctrico

18

19

Redes y Comunicacione

s

Internet

Políticas del uso de internet Seguridad Física de router

25%

09-dic 13-dic

A-B

Verificación del Estado de Router

Documentos de gestión del Router

Verificar daños directos e indirectos

Monitoreo del Trafico de la Red

Controlar la velocidad al acceso

Infraestructura de cableado Controlar el tipo de cable

Intranet

Seguridad de los accesos Validación de acceso

09-dic 12-dic

C-D

Autenticación de usuariosAcceso autorizado, verificado y controlado.

Prevención de Caída del sistema.

Monitoreo de los servicios

Seguridad

Uso de los protocolos de comunicaciones.

Estado general del uso de los protocolos de comunicaciones.

16-dic 19-dic

A-D

Control de diagramas de red Diagrama de Red interna y externa

Verificar el tipo de cifrado Revisar Documento de tipo de cifrado

Seguridad física Monitoreo de los servidores

BASE DE DATOS

Control de acceso

Evitar acceso a la información digital

Restringir el acceso a los programas y archivos 30% 16-dic 22-dic B-C

19

20

Administración de usuariosMonitoreo de los usuarios dentro del sistema

Asignar permisos a los usuariosActualizar constantemente las contraseñas de accesos

Mecanismos de autentificación Acceso a los recursos internos

Evaluar cambios de permisos asignados

Control de los derechos y permisos de dicha área

Control de red

Firewalls Verificar licenciamiento de Firewalls

20-dic 24-dic A-DIncidentes de seguridad de redes Controlar la caída de sistemas de red

Control de acceso de servicio Salvaguardar la información

Control de datos

Evitar acceso no autorizado en la BD

Encriptación de claves de acceso a la base de datos

23-dic 26-dic B-C

Tener controles en la BD de aplicaciones.

Asegurar el funcionamiento de BD

Adecuado nivel de segregación funcional

Asignación de privilegios de la BD

Registrar actividades de los administradores de datos.

Asegurar que se utilicen los datos, archivos y programas correctos por el procedimiento elegido.

Claves de accesoAutenticación de usuarios que necesitan acceder a ciertos recursos internos

20

21

Primer Responsable ASegundo Responsable BTercero Responsable CCuarto Responsable D

21

SEGURIDAD

Documentación

Plan de contingencia Políticas para el plan de contingencia

25%

25-dic 28-dic A-DAnálisis para identificar y priorizar los componentes.

Priorizar los componentes críticos de TI

Software

Copias de seguridad Realizar copias de seguridad

27-dic 04-ene B-CRealiza pruebas ante amenazas

de diversos tiposRealizar pruebas ante software maliciosos

Plan de recuperación

Restauración de los sistemas recuperación de la información perdida 30-dic 03-ene A-D

ManteamientoActualización periódicamente

los sistemasPoseer las ultimas TI 05-ene 09-ene B-C

22

22

23

PLAN DETALLADO

AREA ACTIVIDADESPRODUCTOS

TERMINADOSRESPON-SABLE

INVOLU-CRADOS

FECHA INICIO

FECHA FINAL

OBSERVACION

SOPORTE TECNICO

Monitoreo

Formato de Encuestas

Perez Rocha , Renzo

Jefe de Auditoria

09-ene 16-ene


Mantenimiento



Seguridad

Políticas de uso del software

Acceso de Auditoria

Compromiso de Cita

Comprometerse a cita

Pérez Rocha , Renzo

Jefe de Auditoria

Técnico de Soporte Técnico

17-ene 18-ene

Realizar EncuestaEntrevista realizada

Perez Rocha , Renzo

Jefe de Auditoria

Jefe de Soporte Técnico

19-ene 20-ene

Solicitar Documentación

Documentación recibida

Perez Rocha , Renzo

Jefe de Auditoria Jefe de Soporte Técnico

21-ene 22-ene

Realizar Documentación

Borrador de informe

Perez Rocha , Renzo

Jefe de Auditoria

23-ene 24-ene

Documento Informe Final

Informa Final Documentado

Perez Rocha , Renzo

Jefe de Auditoria

25-ene 26-ene

Entrega de Informe Final

Informe Final Entregado

Perez Rocha , Renzo

Jefe de Auditoria

27-ene 28-ene

23

24

AREAACTIVIDADE

SPRODUCTOS

RESPONSABLE

INVOLUCRADOS

FECHA

INICIO

FECHA

FINAL

OBSERVACION

Redes y Comunicacione

s

Internet


Perez Rocha , Renzo

Jefe de Auditoria 29-ene 05-febIntranet

Seguridad

Compromiso de Cita


Perez Rocha , Renzo

Jefe de Auditoria Técnico de Redes y Comunicación

06-feb 07-feb

Realizar Encuesta

Entrevista realizada

Perez Rocha , Renzo


08-feb 09-feb



Perez Rocha , Renzo


10-feb 11-feb


Borrador de informe

Perez Rocha , Renzo

Jefe de Auditoria 12-feb 13-feb



Perez Rocha , Renzo




Perez Rocha , Renzo


24

25

AREA ACTIVIDADES PRODUCTOS RESPONSABLE INVOLUCRADOSFECHA INICIO

FECHA FINAL

OBSERVACION

BASE DE

DATOS

Control de acceso


Perez Rocha , Renzo

Jefe de Auditoria 18-feb 25-febControl de red

Control de datos

Compromiso de Cita


Perez Rocha , Renzo

Jefe de Auditoria - Administrador de

BD26-feb 27-feb

Realizar Encuesta


Perez Rocha , Renzo


BD28-feb 29/02



Perez Rocha , Renzo


BD01-mar 02-mar


Borrador de informe

Perez Rocha , Renzo

Jefe de Auditoria 03-mar 04-mar



Perez Rocha , Renzo




Perez Rocha , Renzo


25

26

AREA ACTIVIDADES PRODUCTOS RESPONSABLE INVOLUCRADOSFECHA INICIO

FECHA FINAL

OBSERVACION

SEGURIDAD

Documentación


Perez Rocha , Renzo


Software


Manteamiento


Compromiso de Cita


Perez Rocha , Renzo

Jefe de Auditoria - Jefe de Seguridad

18-mar 19-mar

Realizar Encuesta


Perez Rocha , Renzo


20-mar 21-mar



Perez Rocha , Renzo


22-mar 23-mar


Borrador de informe

Perez Rocha , Renzo




Perez Rocha , Renzo




Perez Rocha , Renzo


26

27

ENTRAVISTAS & ENCUESTAS

AREA DE MANTEMIENTO:Componente: Hardware

1. ¿Tiene establecido por la empresa algún plan de mantenimiento del hardware?A).- SI ( ) B).- NO ( )

2. ¿Se ha prohibido a los trabajadores el consumo de alimentos y bebidas al momento de trabajar en los equipos para evitar daños?

A).- SI ( ) B).- NO ( )

3. ¿Cuenta con un UPS (fuente de energía eléctrica que suministra a la computadora por unos minutos?

A).- SI ( ) B).- NO ( )

4. ¿Le realiza algún mantenimiento a sus equipos para evitar fallaos futuros?A).- SI ( ) B).- NO ( )

5. Ante un fallo en sus equipos. ¿Se tiene a personal especializado para solucionarlo?A).- SI ( ) B).- NO ( )

6. ¿Las Pc’s tienen un usuario y claves de acceso?A).- SI ( ) B).- NO ( )

7. ¿Se realizan revisiones periódicas a los medios de almacenamiento (Disco Duro)?A).- SI ( ) B).- NO ( )

8. ¿Qué garantías le exige a su proveedor de equipos y dispositivos?.

AREA REDES Y COMUNICACIÓNComponente: Administración

1. ¿Existen manuales o procedimientos para la correcta operación de las redes?A).- SI ( ) B).- NO ( )

2. ¿Qué áreas y/o locales se encuentran interconectadas?A).- SI ( ) B).- NO ( )

3. ¿Se realiza algún mantenimiento lógico a la red? Especificar con qué frecuencia.A).- SI ( ) B).- NO ( )

4. ¿Se realiza un adecuado control y mantenimiento del cableado utilizado en la empresa?A).- SI ( ) B).- NO ( )

5. ¿Quién es la persona responsable de la administración de los redes?

6. ¿Mencione que software utilizan para el manejo de sus datos?

27

28

7. ¿Existe un Diseño e implementación adecuada de dichas redes?A).- SI ( ) B).- NO ( )

8. ¿Se ha configurado correctamente la instalación del software?A).- SI ( ) B).- NO ( )

AREA BASE DE DATOSComponente: Administración

1. ¿Quién es la persona responsable de la administración de los datos de la empresa?

________________________________________________________________________

2. ¿Qué software utilizan para el manejo de sus datos?

________________________________________________________________________

3. ¿Existen procedimientos para una correcta operación de su base de datos?

________________________________________________________________________

4. ¿Cuenta con un manejador de base de datos?

________________________________________________________________________

5. ¿Cree usted que se necesita utilizar un manejador de base de datos en la empresa?

________________________________________________________________________

6. ¿Tiene conocimientos de los manejadores de base de datos que existen en el mercado?

________________________________________________________________________

7. ¿Tiene experiencia utilizando algún manejador de base de datos?

________________________________________________________________________

8. ¿Qué características tiene su equipo?

________________________________________________________________________

9. ¿Qué característica tiene el servidor en su empresa?

________________________________________________________________________

10. ¿Qué función cumple el servidor en su empresa?

________________________________________________________________________

11. ¿Qué antivirus usa actualmente el servidor?

________________________________________________________________________

12. ¿El acceso a la información está protegida por alguna contraseña?

________________________________________________________________________

28

29

AREAS DE OPORTUNIDAD

Utilización de Sistemas de Información y Tecnologías de información. Formalización y divulgación del MOF. Implementaría dentro del AREA DE DESARROLLO de la EMPRESA EDITORA

PERU, porque esas 2 áreas existentes: Área de Analista Diseñador y Área de Programador; no cumple con un proceso dentro del servicios que brinca:

Proceso de subir la información de la noticias en tiempo real a una WEB determinada, el proceso se llega a realizar actualmente pero después de transcurrido varios minutos pasado la noticias.

Área a implementarse dentro del AREA DE DESARROLLO, tendría como fin; realizar el proceso de actualizar la página WEB de la empresa que da servicio, con el fin de subir noticias actualizadas en tiempo real.

Ya sea con la facilidad de aplicativos y/o programas desarrollados por el AREA DE PROGRAMADOR, para la mayor facilidad de subida de datos hacia los servidores de la empresa.

29

30

ETAPA IMPLEMENTACIONINFORME DE LA ALTA DIRECCIÓN Informe No. 001/04

A: Gerente General

De: Renzo Perez Rocha

Líder de proyecto de Auditoria

Fecha: Lima 26 de Noviembre del 2016

Previo saludo, le hago conocimiento a UD. Sobre el término de las actividades programadas en el proyecto de auditoría al Área de TI para la empresa EDITORA PERU SAC, llegando a las conclusiones finales: Con el siguiente informe final del proyecto mostraremos las etapas de nuestro desarrollo de auditoría en la organización:

Como primer punto se mostrarán aquellos documentos formales que utilizamos para recolectar la información acerca de los procesos y funcionamiento de la organización, como son: Compromisos formales, Informes, Cuestionarios, Encuestas.

Como segundo punto se mostrará aquella información importante de la organización en general, como visión, misión, función y estructura de la organización.

Tercer punto se mostrará las conclusiones iniciales y acciones que se deberán tomar para el mejor desarrollo de la organización, esto se logró mediante la elaboración de matriz de riesgos e identificación de algún problema que llegue aparecer en el Are de TI.

Como cuarto punto una descripción de crítica de la situación actual de la organización de las Fortalezas, Debilidades y la identificación de las diversas áreas de oportunidad, las cuales son claves para el correcto funcionamiento y éxito de la organización.

El criterio que se tuvo para identificar la propuesta de solución final fueron de acuerdo a las actividades que realiza la empresa, se consideró aquellas áreas de oportunidad que la empresa no cuenta como: Organización cuyos componentes importantes son MOF y al Plan estratégico, y la implementación de una nueva AREA en la empresa.

Para mejorar las actividades de cada una de las áreas identificadas como prioritarias a auditar, se necesita la aprobación correspondiente del informe final del proyecto. Para así dar culminación de nuestras actividades en su organización correspondiente, y aportando con una solución integral, para que así pueda cumplir eficientemente con sus actividades y responsabilidades.

Atentamente,

Renzo Perez RochaLíder de proyecto

30

31

CONCLUSION

Las auditorías permiten conocer de manera concreta el estado de las actividades desarrolladas, evaluando los niveles de desempeño y productividad en las diferentes áreas de la empresa, es una herramienta o técnica de gran apoyo a nivel gerencial.

El trabajo de auditoría aplicado a la empresa EDITORA PERU S.A, específicamente en el área de tecnología de la informática, aporta resultados importantes para la organización, ya que define los aspectos a mejorar y a desarrollar dentro del área de estudio para optimizar las actividades que desempeña. El departamento de tecnología de la información dentro de una organización es de vital importancia, porque actualmente todos los procesos son manejados bajo un ambiente tecnológico.

Por otro lado, es importante mantener canales de comunicación efectivos a nivel interno del departamento e interdepartamentales, debido a que esta área especializada de trabajo interactúa e interviene en los procesos de las demás áreas especializadas de la empresa, De igual forma se determinó que existe falta de organización, registro y control de las actividades del departamento, el estudio aplicado se considera beneficioso porque en él se plasma una especie de mapa o base que servirá de vía en la aplicación de medidas correctivas y el establecimiento de nuevos planes de trabajo, para optimizar los procesos y hacer uso adecuado y provechoso de los recursos de TI.

RECOMENDACIÓN

Llevar a cabo las sugerencias planteadas en la auditoría COBIT, en la fase de resultados.

Capacitar a los usuarios de los sistemas de información en el uso de estos, de tal manera que puedan aprovechar al máximo las ventajas que estos ofrecen.

Aplicar tareas de auditoría cada 6 meses. Cumplir con los planes de mantenimiento. Renovar la plataforma tecnológica a medida que se necesite. Llevar registros de las actividades realizadas, hacer levantamiento de información

de las incidencias, elaboración de manuales para apoyo a usuarios y a futuro integrantes del área de informática.

Mantener informadas a las diferentes gerencias de las actividades a realizar, de tal manera, que exista un estado de alineación en la información y todos se mantengan al mismo nivel de conocimiento.

31

auditoria sistemas

Documents