FASQUER & ASOCIADOS

AUDITORIA EN LA SEGURIDAD DE LOS SISTEMAS INFORMÁTICA

EMPRESA: SISTEMA DE COMUNICACIÓN FECHA MAYO 2015

PERSONAL (PCS)
AUDITOR: ANA HERMINIA FLORES AREÁ SEGURIDAD DE LOS
THANIA JANNETH AMAYA AUDITADA: SISTEMAS INFORMATICOS
MIRNA ARACELY SANCHEZ
HILCIAS ADIEL RUBIO

DICTAMEN DE LA AUDITORIA EN LA
SEGURIDAD DE LOS SISTEMAS
INFORMÁTICOS

Con enfoque en la evaluación de la protección y respaldo de archivos de

información y la evaluación de los sistemas informáticos.

06 avenida 4-10 zona 9 Centro Financiero nivel 13 1

Guatemala Tel. (502) 2334-2498 Fax: (502) 2331-6754
 FASQUER & ASOCIADOS
AUDITORIA EN LA SEGURIDAD DE LOS SISTEMAS INFORMÁTICA

INDICE
1. INTRODUCCION 3

2. OFICIO DE PRESENTACION 5

3. DICTAMEN DE AUDITORIA DE SISTEMAS INFORMATICOS 4

4. SITUACIONES RELEVANTES EN LA EVALUACIÓN DE LA

PROTECCIÓN Y RESPALDO DE ARCHIVOS DE INFORMACION 10

5. SITUACIONES RELEVANTES ENCONTRADAS EN LA EVALUACON

DE LOS SISTEMAS, EQUIPOS, INSTALACIONES Y COMPONENTES
11

6. SITUACIONES ENCONTRADAS EN LA EVALUACIÓN DE LA

PROTECCIÓN Y RESPALDO DE ARCHIVOS DE INFORMACION
12

7. SITUACIONES RELEVANTES ENCONTRADAS EN LA EVALUACON

DE LOS SISTEMAS, EQUIPOS, INSTALACIONES Y COMPONENTES
14

06 avenida 4-10 zona 9 Centro Financiero nivel 13 2

Guatemala Tel. (502) 2334-2498 Fax: (502) 2331-6754
 FASQUER & ASOCIADOS
AUDITORIA EN LA SEGURIDAD DE LOS SISTEMAS INFORMÁTICA

1. INTRODUCCIÒN:

El presente informe de auditoria, planeación y trabajo de campo resultante,

surge como consecuencia de contingencias y condiciones especiales del área
de informática de la SISTEMA DE COMUNICACIÓN PERSONAL (PCS) .

Este tipo de Auditoria se realiza cuando se presenten situaciones y

condiciones extraordinarias en el área de sistemas, las cuales estén fuera de
control y difieran de los parámetros normales de operación, así también la
necesidad de medir y valorar las repercusiones de las mismas.

Con la colaboración de la entidad auditada, se estableció la necesidad de

evaluar la existencia de riesgos potenciales para la protección y respaldo de los
archivos de información; así como la evaluación de los sistemas, equipos,
instalaciones y componentes.

Con la realización de esta auditoría, se pretendían dos objetivos generales, que

son:

1. Determinar la existencia de registros de información del sistema,

documentación acorde con su funcionamiento y copias de resguardo de
sus archivos, así como la seguridad de su software, los programas
especiales y la paquetería que sirve de soporte para realizar sus
operaciones.
2. Establecer el grado de seguridad de los sistemas, equipos, instalaciones
y componentes para sugerir su implementación y/o reforzamiento
correspondiente.

06 avenida 4-10 zona 9 Centro Financiero nivel 13 3

Guatemala Tel. (502) 2334-2498 Fax: (502) 2331-6754
 FASQUER & ASOCIADOS
AUDITORIA EN LA SEGURIDAD DE LOS SISTEMAS INFORMÁTICA

En función de alcanzar dichos objetivos, fue necesaria la aplicación de

diferentes técnicas de auditoría, tales como la observación analítica, la
entrevista, los cuestionarios, y algunos otros más.

A continuación en las posteriores páginas se pone a su disposición, el

resultado de la aplicación de nuestras técnicas y procedimientos de auditoria,
las cuales fueron ejecutadas con el único propósito de alcanzar los objetivos
generales de la auditoría en beneficio del área auditada.

06 avenida 4-10 zona 9 Centro Financiero nivel 13 4

Guatemala Tel. (502) 2334-2498 Fax: (502) 2331-6754
 FASQUER & ASOCIADOS
AUDITORIA EN LA SEGURIDAD DE LOS SISTEMAS INFORMÁTICA

3. OFICIO DE PRESENTACION

Guatemala 10 de abril del 2,008

Ingeniero Héctor Menéndez.

Gerente General
Sistema De Comunicación Personal (Pcs)

Presente:

Me permito remitir a usted el informe de resultados de la auditoría practicada a

los sistemas computacionales de la empresa a su cargo, que se 07 al 27 de
mayo del presente año del año en curso.

De acuerdo con nuestro diagnostico preliminar de la situación particular en la

que se encontraban los sistemas, así también se tomaron en cuenta sus
sugerencias que nos permitieron determinar el enfoque de nuestra revisión,
resultando en el análisis previo a la necesidad de evaluar La protección de
archivos e información y evaluación de los sistemas equipos instalaciones y
componentes.

En el citado informe encontrara en primer termino el dictamen o informe de la

auditoria de sistemas computacionales realizada a la empresa, a continuación
un resumen de las principales situaciones encontradas como resultado de la
aplicación de nuestros procedimientos de auditoria, como también el detalle de
todas las situaciones encontradas, con su respectiva causa y solución
propuesta, así también las conclusiones a las cuales se llego después de
analizar sus papeles de trabajo y por ultimo los anexos en los cuales
encontrara en primer lugar el legajo de papeles de trabajo utilizados para llevar
a cabo la auditoria mismos que constituyen la base sobre la cual

06 avenida 4-10 zona 9 Centro Financiero nivel 13 5

Guatemala Tel. (502) 2334-2498 Fax: (502) 2331-6754
 FASQUER & ASOCIADOS
AUDITORIA EN LA SEGURIDAD DE LOS SISTEMAS INFORMÁTICA

fundamentamos nuestra opinión profesional, y en segundo nuestro plan de

auditoria que sirvió de guía cronológica y teórica para la realización de la
misma.

Atentamente

Ana Herminia Flores Estrada

Auditor responsable

06 avenida 4-10 zona 9 Centro Financiero nivel 13 6

Guatemala Tel. (502) 2334-2498 Fax: (502) 2331-6754
 FASQUER & ASOCIADOS
AUDITORIA EN LA SEGURIDAD DE LOS SISTEMAS INFORMÁTICA

1. DICTAMEN PRELIMINAR

Guatemala, mayo 2015

Ingeniero Héctor Menéndez

Gerente General
Sistema de Comunicación Personal (PCS)

Presente:

De acuerdo con la realización de la auditoría en sistemas computacionales con

enfoque en la Protección y respaldo de archivos de información y la evaluación
de los sistemas, me permito trasladar a usted el presente dictamen de la
auditoría practicada en la Sistema de Comunicación Personal (PCS, misma
que se llevo a cabo del 07 al 27 de mayo del presente año.
Derivado de la evaluación de los puntos antes expuestos y como resultado de
nuestra auditoría me permito informar las siguientes observaciones:

1. Ninguna de las computadoras cuenta con password de usuario

individual, por lo que esto hace susceptible y vulnerable a
modificaciones y eliminación de toda la información contenida en las
computadoras.

2. En la evaluación de la seguridad de la información se pudo determinar

que no existe una política que rija la elaboración copias (back-ups) de
resguardo de toda la información contenida en las computadoras, lo cual
puede provocar perdidas invaluables de información.

3. Debido a no tener políticas de hacer back-ups, en la entidad no se

cuenta con área específica para almacenar los componentes magnéticos
u otros dispositivos para el resguardo de información.

06 avenida 4-10 zona 9 Centro Financiero nivel 13 7

Guatemala Tel. (502) 2334-2498 Fax: (502) 2331-6754
 FASQUER & ASOCIADOS
AUDITORIA EN LA SEGURIDAD DE LOS SISTEMAS INFORMÁTICA

4. No se cuenta con manuales de procedimientos y prácticas relacionados

con el uso adecuado de la información y del software que se maneja en
la empresa, lo cual puede provocar que los colaboradores de la entidad
al no tener una guía no puedan desempeñar adecuadamente sus
funciones y pérdida de información y de recursos como por ejemplo el
tiempo.

5. No se cuenta con un sistema de seguridad de prevención por robo, para

las computadoras personales, con lo cual la información es susceptible
de caer en manos que puedan perjudicar a la organización.

6. La empresa no cuenta con un sistema de prevención contra incendios,

esto puede ser perjudicial ya que al momento de un siniestro no se
puede actuar de manera inmediata para proteger y resguardar el equipo.

7. Para el ingreso a las instalaciones únicamente se cuenta con que la

única puerta de acceso es la que cuenta con llave, de allí en adelante
todas las oficinas se encuentran sin llave, lo cual crea inseguridad por el
fácil acceso al equipo y manejo de información en el resguardado.

De acuerdo con las pruebas realizadas a la protección y respaldo de archivos e

información y registro de la información de los sistemas y de acuerdo con los
criterios de evaluación para los sistemas computacionales, me permito
dictaminar que los equipos informáticos de la empresa Sistema de
Comunicación Personal son susceptibles de alteraciones o mal manejo de
información, no cumpliendo con ello los estándares de protección y adecuado
resguardo de la información, por lo que recomiendo implementar los controles
necesarios para corregir las desviaciones comentadas.

06 avenida 4-10 zona 9 Centro Financiero nivel 13 8

Guatemala Tel. (502) 2334-2498 Fax: (502) 2331-6754
 FASQUER & ASOCIADOS
AUDITORIA EN LA SEGURIDAD DE LOS SISTEMAS INFORMÁTICA

Atentamente,

Ana Herminia Flores Estrada

Auditor Responsable

06 avenida 4-10 zona 9 Centro Financiero nivel 13 9

Guatemala Tel. (502) 2334-2498 Fax: (502) 2331-6754
 FASQUER & ASOCIADOS
AUDITORIA EN LA SEGURIDAD DE LOS SISTEMAS INFORMÁTICA

FECHA
HOJA
DD MM AA
10 5 2015 AI-02

EMPRESA: SISTEMA DE COMUNICACIÓN PERIODO 07 DE FEBRERO AL 07 DE

PERSONAL (PCS) ABRIL 2015
AUDITOR: ANA HERMINIA FLORES AREÁ SEGURIDAD DE LOS
AUDITADA: SISTEMAS INFORMATICOS

2. RESUMEN DE DESVIACIONES DETECTADAS EN LA EVALUACIÓN

DE LA PROTECCIÓN Y RESPALDO DE ARCHIVOS DE
INFORMACION.

SITUACIONES CAUSAS SOLUCIONES

Que la administración
Por el tamaño de la Empresa
juntamente con el encargado
y la confianza que se le tiene
Ninguna de las computadoras de la programación elabore
al personal no se ha
cuenta con password de un sistema con la finalidad de
considerado necesario
usuario individual. crear cuentas de usuarios
implementar un sistema de
individuales para los
contraseñas.
colaboradores de la empresa.
La administración debe
Debido a la falta de la
En la empresa no se cuenta estructurar un manual de
elaboración de una política
con la política de elaboración políticas y procedimientos
de resguardo de la
de Back-ups. para la elaboración de Back-
información.
Ups.
Debido a la falta de políticas Que al momento de necesitar
En el área auditada no se
de Back-ups y al volumen de almacenar la información la
cuenta con un área especifica
información que se tendría administración tome en
para almacenar componentes
para guardar no se cuenta cuenta las condiciones y el
magnéticos para las copias
con el espacio físico, pero si espacio para el
de seguridad
se tiene previsto. almacenamiento de la misma.
Por tener un sistema de
No se cuenta con manuales Que la administración ejecute
cómputo nuevo y la reciente
de procedimientos y prácticas un plan para elaborar
capacitación del personal en
relacionados con el uso manuales de políticas y
relación al nuevo sistema aun
adecuado de la información y procedimientos en cuanto al
no se ha previsto una manual
del software que se maneja uso de los sistemas y el
sobre el uso del software y
en la empresa. resguardo de la información
resguardo de la información.

Elaborado: AHF 25/05/2015 F:

FECHA HOJA

06 avenida 4-10 zona 9 Centro Financiero nivel 13 10

Guatemala Tel. (502) 2334-2498 Fax: (502) 2331-6754
 FASQUER & ASOCIADOS
AUDITORIA EN LA SEGURIDAD DE LOS SISTEMAS INFORMÁTICA

DD MM AA
10 5 2015 AI-03

EMPRESA: SISTEMA DE COMUNICACIÓN PERIODO 07 DE FEBRERO AL 07 DE

PERSONAL (PCS) ABRIL 2015
AUDITOR: ANA HERMINIA FLORES AREÁ SEGURIDAD DE LOS
AUDITADA: SISTEMAS INFORMATICOS

3. RESUMEN DE LAS DEVIACIONES ENCONTRADAS EN LA

EVALUACIÒN DE LOS SISTEMAS, EQUIPOS, INSTALACIONES Y
SITUACIONES
Se observo que las
computadoras personales no
cuentan con un sistema de
seguridad contra robo.
En la empresa no se cuenta
con un sistema de seguridad
contra incendios.
En la empresa auditada las
oficinas no cuentan con llave,
solamente la puerta principal.
COMPONENTES.
CAUSAS SOLUCIONES
Debido a la confianza que se
tiene con el personal y que el
Colocar a las computadoras
acceso solo es permitido al
candados de seguridad.
mismo no se ha
implementado.
Que la administración tome
Debido al tamaño de las en consideración la
instalaciones no se ha necesidad de contar con
previsto la necesidad de extintores y un plan de acción
contar con las herramientas para actuar en caso de
necesarias en caso de un alguna contingencia dentro
siniestro. de las instalaciones de la
misma.
La administración debe
evaluar el riesgo que en
Debido a la confianza que se
determinado momento
tiene con el personal y que el
correría alguna de las
acceso solo es permitido al
computadoras o archivos de
mismo no se considera
información que puede ser
necesario.
vital para las operaciones de
la empresa.

Elaborado: AHF 25/05/2008 F:

06 avenida 4-10 zona 9 Centro Financiero nivel 13 11

Guatemala Tel. (502) 2334-2498 Fax: (502) 2331-6754
 FASQUER & ASOCIADOS
AUDITORIA EN LA SEGURIDAD DE LOS SISTEMAS INFORMÁTICA

6. SITUACIONES ENCONTRADAS EN LA EVALUACIÓN DE LA PROTECCIÓN Y RESPALDO DE ARCHIVOS DE

INFORMACION.

FECHA DE
REF SITUACIONES CAUSAS SOLUCIONES RESPONSABLE
SOLUCION
Que la administración
juntamente con el encargado de
Por el tamaño de la Empresa y
la programación elabore un
Ninguna de las computadoras la confianza que se le tiene al
sistema con la finalidad de crear
AI-02 cuenta con password de personal no se ha considerado
cuentas de usuarios
usuario individual. necesario implementar un
individuales para los
sistema de contraseñas.
colaboradores de la empresa.

En la empresa no se cuenta con
AI-02 la política de elaboración de
Back-ups.
La administración debe
Debido a la falta de la
estructurar un manual de
elaboración de una política de
políticas y procedimientos para
resguardo de la información.
la elaboración de Back-Ups.

Debido a la falta de políticas de Que al momento de necesitar

En el área auditada no se
Backups y al volumen de almacenar la información la
cuenta con un área especifica
información que se tendría para administración tome en cuenta
AI-02 para almacenar componentes
guardar no se cuenta con el las condiciones y el espacio
magnéticos para las copias de
espacio físico, pero si se tiene para el almacenamiento de la
seguridad
previsto. misma.

Por tener un sistema de

No se cuenta con manuales de
cómputo nuevo y la reciente Que la administración ejecute
procedimientos y practicas
capacitación del personal en un plan para elaborar manuales
relacionados con el uso
AI-02 relación al nuevo sistema aun de políticas y procedimientos en
adecuado de la información y
no se ha previsto una manual cuanto al uso de los sistemas y
del software que se maneja en
sobre el uso del software y el resguardo de la información
la empresa.
resguardo de la información.

06 avenida 4-10 zona 9 Centro Financiero nivel 13 12

Guatemala Tel. (502) 2334-2498 Fax: (502) 2331-6754
 FASQUER & ASOCIADOS
AUDITORIA EN LA SEGURIDAD DE LOS SISTEMAS INFORMÁTICA

7 SITUACIONES ENCONTRADAS EN LA EVALUACON DE LOS SISTEMAS, EQUIPOS, INSTALACIONES Y

COMPONENTES.

FECHA DE
REF SITUACIONES CAUSAS SOLUCIONES RESPONSABLE
SOLUCION
Debido a la confianza que
Se observo que las
se tiene con el personal y
computadoras personales no Colocar a las computadoras
AI-03 que el acceso solo es
cuentan con un sistema de candados de seguridad.
permitido al mismo no se ha
seguridad contra robo.
implementado.
Debido al tamaño de las
Se observó que el cableado Que los administradores den
instalaciones de la empresa
de la RED que se encuentra rápida solución a este
y al soporte de
ubicado al lado del problema mediante
AI-03 mantenimiento se ha
SERVIDOR esta a la mantenimiento o cambio del
deteriorado el ducto de
intemperie, porque el ducto ducto por el cual pasa los
protección, creando riesgo
esta en mal estado. cables de la RED.
de daño en los cables.
Que la administración tome
en consideración la
Debido al tamaño de las
necesidad de contar con
instalaciones no se ha
En la empresa no se cuenta unos extinguidotes y un plan
previsto la necesidad de
AI-03 con un sistema de seguridad de acción para actuar en
contar con las herramientas
contra incendios. caso de alguna contingencia
necesarias en caso de un
dentro de las instalaciones
siniestro.
de la misma.

06 avenida 4-10 zona 9 Centro Financiero nivel 13 13

Guatemala Tel. (502) 2334-2498 Fax: (502) 2331-6754