AUDITORIA INFORMÁTICA

CASO PRÁCTICO 2021

10 puntos
Analizar las situaciones descriptas
en el caso práctico y elaborar el
Informe de Auditoria
CASO PRÁCTICO de Auditoria Informática

RELEVAMIENTO DE DATOS:

Empresa: Business Inversiones S.A.

La empresa Business Inversiones S.A.., inicia sus actividades en el año
2013, se dedica al sector productivo, consumo y servicios y ha sufrido un
marcado crecimiento en los últimos años. De acuerdo a lo expresado por la
gerencia, este crecimiento explosivo ha generado que la función de TI
(Tecnología Informática) de la empresa fuese adaptándose al crecimiento
de la institución de manera adaptativa y no planificada, lo cual les genera
miedos a los miembros del Consejo de Administración respecto a la manera
en la cual se está operando.
Para contar con una perfecta descripción de la situación actual y sus
implicancias, han decidido contratar a una empresa consultora para que
releve y evalúe cómo está operando y se está gestionando la función de
Informática.
CASO PRÁCTICO de Auditoria Informática

Luego de la etapa de relevamiento, se han obtenido las siguientes descripciones

respecto a los procedimientos que se encuentran vigentes de hecho y cuál es la
estructura:
- En el organigrama de la institución financiera se visualiza el departamento de
informática dependiente de la Dirección Administrativa, sin embargo al ser
consultado el responsable de Informática indica que está subordinado al
Director General, el organigrama no refleja la estructura actual.
- El personal del Departamento de Informática son 12 personas, incluido un
gerente de área. A este gerente responden: un administrador de base de datos,
dos personas de soporte técnico, tres operadores, un administrador de
usuarios, un administrador de telecomunicaciones y tres programadores.
- No existe un Comité de Tecnología Informática que evalúe las necesidades de
inversión e implementación de nuevas tecnologías, falta de planificación
informática y proyectos, así como el seguimiento de los mismos.
CASO PRÁCTICO de Auditoria Informática
- En el departamento de informática, si bien cada persona tiene asignado su cargo, no
están delimitadas las funciones y en la práctica las posiciones se superponen, lo
cual fue evaluado por el gerente como muy bueno, porque esto genera un
conocimiento general en el personal, lo cual logra que se solucionen mejor los
problemas que se presentan por lo que todos tienen acceso a los programas y
bases de datos.
- La estructura de hardware es la siguiente: dos servidores y 50 PCs, 10 (diez)
adquiridos en el 2013, 20 (veinte) en el 2015 y 20 (veinte) en el 2018,
equipamiento de telecomunicaciones (6 hubs, 8 switchs) pero no cuenta con un
inventario de equipos informáticos ni documentaciones sobre el responsable de los
mismos.
- No existe una vigilancia estricta del área de servidores por personal de seguridad
dedicado a este sector.
- Las instalaciones no cuentan con detectores, ni extintores automáticos.
- Se ha visualizado papelería e insumos, material altamente inflamable en el sector
donde se encuentran los servidores.
CASO PRÁCTICO de Auditoria Informática

- Respecto al software se ha detectado: sistema operativo Windows Server 2016, MS

Office, DBMS Oracle para Unix, Sistema operativo Linux, antivirus, con licencias
vigentes, un Sistema de Información Gerencial (SIG) con módulos: contable, personal,
activo fijo y gestión de créditos desarrollada por los funcionarios de la empresa.
- La adjudicación de usuarios es realizada exclusivamente por el administrador de
usuarios. El procedimiento es el siguiente: en un formulario pre-impreso y pre-
numerado, en el cual el usuario llena cuáles son sus datos y cuáles son las
aplicaciones y funciones a las cuales necesita tener acceso, luego firma y se entrega al
administrador. Este, en el correr del día, asigna usuario y contraseña y se la comunica
al usuario para que pueda comenzar a trabajar. No se ha visualizado procedimientos
escritos para esto ni para otros procedimientos que se realizan en el área de
informática.
- Todos los usuarios tienen acceso a e-mail e Internet sin restricciones. Para ello se ha
definido un servidor de correo y un servidor de Internet, en el cual se encuentra
totalmente actualizado un antivirus diariamente.
CASO PRÁCTICO de Auditoria Informática

- Todos los usuarios del sistema tienen acceso al módulo de Informes sin importar el
cargo que ocupa.
- La UPS (Unidad ininterrumpida de energía) al que están conectados a los servidores
de datos y programas está averiado desde hace 5 días.
- Las PCs cuentan con antivirus los cuales no están actualizados.
- En una etapa pasada, el gerente anterior del centro de cómputo entendía que el
personal de informática no tenía nada que hablar con el usuario, por lo que
solamente se podían comunicar por un teléfono específicamente dedicado a recibir
solicitudes de los usuarios, y por ende el acceso al Centro de Procesamiento de
Datos (CPD) se encontraba totalmente restringido. Con el cambio de gerencia y
dado los problemas generados por la situación anterior, hoy día se cuenta con una
política de puertas abiertas. Por lo cual todos los funcionarios son libres de ingresar
al CPD.
- Se visualiza cableado periférico en el área de servidores donde hay circulación de
personas.
CASO PRÁCTICO de Auditoria Informática
- Las terminales en uso y dado un cierto tiempo de inactividad, no salen del sistema.
- Diariamente se respaldan solamente los datos de aplicaciones y bases de datos. El
respaldo se realiza en doble copia las cuales se guardan en una caja fuerte ignífuga (a
prueba de fuego) dentro del centro de cómputos. Los respaldos los realiza el último
programador que se retira en el día, acordando entre ellos quién será cada día el
encargado. En el presente año no han realizado copia total del sistema. No existe
procedimiento escrito para la realización de copias de seguridad.
- No se ha identificado la existencia de un plan de contingencia. Sin embargo, existe un
contrato de seguro por los equipos informáticos que se encuentra vencido. Así
también un contrato vigente con una empresa que proveerá, en caso de un siniestro,
un servidor con las mismas características que el existente y con un similar sistema
operativo.
- El SIG (Sistema de Información Gerencial) desarrollado internamente ha sido idea del
programador, el cual hoy es el gerente. Dado el éxito de esta aplicación en la
empresa, esta persona se asoció con otra persona creando la empresa Isoft, y
comercializan el mismo sistema, en el mercado sin autorización.
CASO PRÁCTICO de Auditoria Informática

- Los usuarios definidos, al rotar o retirarse de la institución, no son

borrados de los perfiles de acceso.
- Se han realizado modificaciones al Sistema utilizado, poniendo en
funcionamiento sin la capacitación previa, y no posee un manual de
usuario.
- Conversando con los funcionarios de otros departamentos han
manifestado que no hay exigencias para el cambio de contraseñas de
acceso al sistema y puntualmente los que utilizan el sistema contable se
quejan de que en el módulo de asientos el sistema no controla el
balanceo del debito y crédito por lo que fácilmente se cometen errores al
registrar los movimientos como también no hace cierre diario ni mensual.
- El sistema informático no solicita al usuario, el cambio de password en
forma periódica. Tampoco se ha realizado revalidación de usuarios del
sistema informático.
CASO PRÁCTICO de Auditoria Informática

- No están delimitadas las áreas donde se encuentran los servidores ni

existen registros de controles de acceso.
- No existe documentaciones técnicas del sistema informático de gestión y
tampoco un control o registro formal de las modificaciones efectuadas. Las
modificaciones a los programas son solicitadas generalmente en forma
verbal, sin notas internas donde se describan los cambios que se
requieran.
- Los funcionarios manifiestan que no tienen conocimiento de un plan de
capacitaciones ni evaluación de desempeño.
- Algunas de las PC`s, presentan constantes fallas, y diez de ellas ya no
funcionan, consultado con los usuarios afectados manifiestan que no se
realizan mantenimientos a las computadoras.
CASO PRÁCTICO de Auditoria Informática

De acuerdo a la situación detallada anteriormente, el

próximo paso se encuentra orientado a la identificación
de los riesgos existentes y proponer soluciones
alternativas para mitigarlos.

Por problemas contractuales la empresa consultora sólo

realizó el relevamiento y no puede realizar esta otra
etapa propuesta, por lo cual la empresa Business
Inversiones S.A. ha decidido contratarlos a ustedes
como profesionales universitarios para que puedan
finalizar el trabajo.
Áreas a Auditar:

 Organización y estructura
informática
 Software y Seguridad Lógica
 Hardware y Seguridad Física
T.P. Grupal de 5 Integrantes

 Luego del análisis de las situaciones

encontradas que se describen en el caso
práctico, de acuerdo al área que se les
solicita auditar, realizar el informe de
Auditoria siguiendo el siguiente modelo
 MODELO DE INFORME A
PRESENTAR

GUIAS PARA EL DESARROLLO DEL

CASO PRÁCTICO
1.- INFORME
(Modelo de Presentación del Informe)
NOMBRE DE LA EMPRESA AUDITADA
INFORME DE AUDITORIA INFORMATICA
AL XX.XX.XX
INDICE

Contenido Página

CARTA DE LOS AUDITORES INDEPENDIENTES

RESUMEN EJECUTIVO
ORGANIZACIÓN Y ESTRUCTURA
SOFTWARE Y SEGURIDAD LOGICA

HARDWARE Y SEGURIDAD FÍSICA

CONCLUSIONES
ANEXOS
Modelo de Carta
Señores ____ de _______ de 20__
EMPRESA AUDITADA
DIRECCION
Coronel Oviedo, Paraguay
De nuestra consideración:
Adjunto a la presente les estamos remitiendo el informe final sobre auditoría
informática de la EMPRESA AUDITADA, conforme a nuestra propuesta,
conteniendo una evaluación respecto a :
1.- Organización y estructura
2.- Software y Seguridad Lógica
3.- Hardware y Seguridad Física
Los exámenes fueron desarrollados aplicando los procedimientos de auditoría
considerados necesarios, conforme a los controles internos existentes y a los
recursos posibles de utilización de los sistemas. Enfatizamos los aspectos de
seguridad de los sistemas, la eficiencia operacional y la atención a las
necesidades de los usuarios, a través del contacto directo con las principales
áreas involucradas, reuniones con los usuarios de los sistemas y observaciones
en los mismos lugares de trabajo.
RESUMEN EJECUTIVO
(Modelo)
El presente resumen exponemos a efectos de facilitar la comprensión de
este informe, cuyo detalle se acompaña.

1. Organización y estructura
a. La empresa no cuenta con Organigrama
b. No existe manual de funciones
c. No cuenta con Políticas establecidas para la Seguridad Informática
2. Software y Seguridad Lógica
a.
b.
4. Hardware y Seguridad Física
a.
b.
Desarrollo de los puntos del Resumen Ejecutivo

Organización y estructura

1.a La Empresa no cuenta con organigrama.

Situación encontrada
Hemos constatado que la Empresa no cuenta con Organigrama, todos
responden al Gerente General

Riesgo
No existe orden ni segregación adecuada de funciones lo que genera
confusión en los subordinados

Recomendaciones
Se recomienda la elaboración del Organigrama de la Institución y precisar la
ubicación del Departamento de Informática.
 FECHAS DE PRESENTACIÓN Y
EXPOSICIÓN

 La presentación del informe en pdf estará

establecida como fecha de entrega en la
Tarea que será enviada a cada grupo.

 Las fechas de exposición serán:

 Grupos 1,2 y 3: viernes 05-11-2021 18:15 hs. (antes
del Segundo examen parcial)
 Grupos 4, 5, 6 y 7 : viernes 12-11-2021 18:15 hs.
 Grupos 8, 9, 10 y 11 : viernes 19-11-2021 18: 15 hs.
 Evaluación

Indicadores Por cada indicador logrado

Puntos
Visualiza todas las debilidades del área Identifica todas las debilidades 2
solicitada
Realiza el análisis de riesgos de cada Es objetivo y de elaboración 2
situación observada propia
Realiza las recomendaciones de acuerdo a lo Es objetivo. realizable y de 2
estudiado en la asignatura elaboración propia
Presentación puntual Presenta el informe antes o en la 2
Elabora el informe siguiendo las indicaciones fecha indicada
dadas
El informe cumple con la forma
indicada
Expone en forma objetiva y resumida, Es puntual, objetiva y cumple con 2
comprendiendo los puntos del informe el tiempo indicado
Este indicador se evaluará por cada integrante
del grupo al momento de la exposición

Total de puntos posibles 10 puntos

 Cualquier consulta o duda, a través de
los medios disponibles.

 Éxitos!!