trabajo practico 2

5/12/2018 Trabajo Practico 2 - slidepdf.com

http://slidepdf.com/reader/full/trabajo-practico-2-55a4d1d54909f 1/49

TP Nº 2 338 2008-1 Luis Wuilane Sequera Aguilar 14.797.652 Pág. 1/49

INTRODUCCIÓN

La auditoria informática es de suma importancia dentro de las organizaciones hoy endía, ya que a través de ella se pueden determinar errores que se pueden corregir atiempo siguiendo ciertos lineamientos o recomendaciones.

Ya sean en el ámbito de la seguridad indispensable tanto para los equipos como para lainformación; el control de acceso fundamental para evitar fugas de información.

En el ámbito o factor humano que es lo más importante dentro de las organizaciones asícomo su capacitación constante.

Como la información es de vital importancia y constituye una herramienta poderosa para la toma de decisiones que se ve reflejada en la obtención de los resultados queespera la organización, se ha desarrollado una auditoria informática para la empresaTELVEN con el fin de verificar la existencia de controles en áreas importantes y vitales

como la explotación, la calidad, la Base de datos y el sistema físico y/o lógico de la red.

Los resultados de dicha evolución con sus respectivos informes particulares para cadaauditoria así como el informe final de la auditoria, se encuentran reflejados en el

presente informe de la siguiente manera: objetivo 7 auditoria de la explotación y de lacalidad; objetivo 8 auditoria de la base de datos, auditoria del sistema físico y/o lógicode la red; objetivo 9 informe final de la auditoria informática y los principiosdeontológicos presentes tanto en el auditor, en el informe, como también en el Sistema.

De esta manera a futuro si se cumplen con los lineamientos dados en las auditorias seobtendrán sistemas que no van a necesitar mantenimiento excesivo, y el computo vahacer parte de la solución y no del problema como ocurre en muchos casos.

[email protected] Sistemas de Información III 338

mailto:[email protected]






TABLA DE CONTENIDO Pág.Portada…………………………………………………………………………...Introducción……………………………………………………………………... 1Tabla de Contenido…………………………........................................................ 2

OBJETIVO 7…………………………………...………………………………... 4Auditoria de la Explotación…..…………………………………………. 4Informe de la Auditoria de la Explotación………………………………. 7Auditoria de la Calidad…………...……………………………………... 9Informe de la Auditoria de la Calidad…………………………………… 10

OBJETIVO 8…………………………………………………………………….. 11Auditoria de la Base de Datos…………………………………………… 11Informe de la Auditoria de la Base de Datos……………………………. 13Auditoria del Sistema físico y/o lógico de la red………………………... 15Auditoria de la red Física…..………………………………………….... 16Auditoria de la red Lógica…………………………………………......... 18Áreas criticas de redes…………………………………………………… 21Áreas criticas de seguridad…………………………………………........ 24Informe de la auditoria del sistema físico y/o lógico de la red………….. 28

OBJETIVO 9…………………………………………………………………….. 30Informe Final de la Auditoria Informática………………………………. 30Principios deontológicos presentes……………………………………… 35Principios deontológicos presentes en el auditor………………………... 35Principios deontológicos presentes en el informe……………………….. 35Principios deontológicos presentes en el Sistema...……………………... 36

APÉNDICE…………………………………………………………………….... 37

Grafico 1……………………………………………................................ 38Grafico 2……………………………………………................................ 39Grafico 3……………………………………………................................ 40Grafico 4 Y 5……………………………………………......................... 41Grafico 6……………………………………………................................ 42Grafico 7 Y 8…………………………………………….......................... 43Grafico 9 y 10……………………………………………........................ 44

ANEXOS………………………………………………………………………... 45La organización………………………………………………………...... 46Sistema de Consignación de equipos SICOE…………………………… 47

BIBLIOGRAFIA………………………………………………………………... 49






OBJETIVO # 7

AUDITORIA DE LA EXPLOTACIÓN

1. Alcance de la auditoriaa. Esta auditoria comprende el sistema de información (Sistema para la

consignación de equipos SICOE), desarrollado para la empresa deTELVEN, con respecto al cumplimiento del proceso “Gestión de laexplotación” de la norma COBIT

b. Evaluación del personal y coherencia de cargos de la propia instituciónc. Normas y Procedimientos del área de informática

2. ObjetivosRealizar un informe de Auditoria con el objeto de verificar la adecuación de lasfunciones que sirven de apoyo a los sistemas de información

Cliente: TELVENFecha de Auditoria: 22/04/2008







Dominio: Suministro y MantenimientoProceso: Gestión de la ExplotaciónTítulo: Cuestionario de Control Interno

Controles sobre la explotación del servicio de

Información

Si No N/A Observaciones

1. ¿Existen normas y procedimientos escritossobre el funcionamiento del servicio deinformación?

2. El Servicio de Información, ¿esta separadodel resto de los departamentos?

3. ¿Es adecuada la segregación de funcionesentre el servicio de Información y losdepartamentos de Usuarios?

4. ¿El personal de explotación participa enfunciones de análisis y desarrollo deaplicaciones?

5. ¿Existe Organigrama del funcionamiento delservicio de Información?

6. ¿Se describen con detalle las funciones yresponsabilidades del personal?

7. El personal de Explotación ¿ConocePerfectamente cuales son sus funciones y susresponsabilidades?

8. ¿Es imposible que los operadores accedan a programas y datos no necesarios para su

trabajo?

9. ¿Se rotan las asignaciones de trabajo de losoperadores?

10. ¿Existen normas de cómo deben hacerse loscambios de turno para que exista la seguridad deque las aplicaciones continúan su proceso?

11. ¿Existe Personal con conocimientos yexperiencia suficiente que organiza el trabajo

para que resulte lo más eficaz posible?

12. ¿Existen procedimientos de salvaguarda,fuera de la instalación, en relación con ficherosmaestros, manuales y programas, que permitanreconstruir las operaciones que sean necesarias?

13. ¿Se aprueban por personal autorizado lassolicitudes de nuevas aplicaciones?

14. ¿Existe personal con autoridad suficienteque es el que aprueba los cambios de unasaplicaciones por otras?

15. ¿Existen procedimientos adecuados paramantener la documentación al día?

16. ¿Tienen manuales todas las aplicaciones?

17. ¿Existen controles que garanticen el uso







adecuado de discos y cintas?18. ¿Existen procedimientos adecuados paraconectarse y desconectarse de los equiposremotos?

19. ¿Se aprueban los programas nuevos y los

que se revisan antes de ponerlos enfuncionamiento?

20. ¿Participan los departamentos de usuariosen la evaluación de los datos de prueba?

21. ¿Revisan y evalúan los departamentos deusuarios los resultados de las pruebas finalesdando su aprobación antes de poner enfuncionamiento las aplicaciones?

22. Al poner en funcionamiento nuevasaplicaciones o versiones actualizadas,¿Funcionan en paralelo las existentes durante uncierto tiempo?

23. ¿Se comprueban los resultados con datosreales?

24. ¿Existe personal con los conocimientos yexperiencia adecuados que revisa con

periodicidad los componentes físicos de losequipos siguiendo las instrucciones de losfabricantes?

25. ¿Se cumplen las condiciones ambientales:temperatura, humedad, etc., que recomienda el

fabricante para el equipo, cintas, etc.?

26. ¿Existen controles apropiados para que sólolas personas autorizadas tengan acceso a losequipos, cintas, discos, documentación de

programas, etc.?

27. ¿Existen normas sobre horas extras y secontrolan las entradas y salidas del personalfuera de su horario de trabajo?

28. ¿Se tiene relación del personal autorizado para firmar la salida de archivos confidenciales?

29. ¿Existe un procedimiento para registrar losequipos que se prestan y la fecha en que sedevolverán?

30. En los procesos que manejan archivos enlínea, ¿Existen procedimientos para recuperar los archivos?

31. ¿Estos procedimientos los conocen losoperadores?

32. ¿Existe un responsable en caso de falla?

33. ¿Existe un procedimiento escrito que

indique como tratar la información invalida (sinfirma ilegible)?







34. En caso de resguardo de información deentrada de sistemas, ¿Se custodian en un lugar seguro?

35. ¿Existe un registro de anomalías?

36. ¿Se aprovecha adecuadamente el papel delos listados inservibles?

INFORME DE AUDITORIA

1. Identificación del InformeAuditoria de la Explotación

2. Identificación del ClienteÁrea de InformáticaSistema para la consignación de equipos SICOE

3. Identificación de la Entidad AuditadaEntidad Auditada: TELVEN

4. Norma Aplicada:







COBIT, específicamente el proceso de TI 3.13 “Gestión de la Explotación”, perteneciente al dominio “Suministro y Mantenimiento”

5. Objetivos de la Auditoriaa. Verificar la existencia de normas generales escritas para el personal de

explotación en lo que se refiere a sus funciones. b. Verificar la realización de muestreos selectivos de la documentación delas aplicaciones explotadas

c. Verificar la existencia de un responsable de sala.d. Revisar la adecuación de los locales en que se almacenan cintas y discos,

así como la perfecta y visible identificación de estos medios.

6. Hallazgos Potencialesa. El sistema referido SICOE no contempla las interfaces con los sistemas

de inventario y ventas, es decir no están enlazados, lo cual ocasiona unarecarga en las labores que realiza el personal de la OAC, y una

inconsistencia en los datos que albergan los sistemas debido a lasactualizaciones rezagadas.

b. El sistema de inventario no refleja con precisión los equipos y accesoriosdisponibles ya que la desincorporación e incorporación de equipos seefectúa en diferido.

c. Inexistencia y falta de uso de los manuales de operaciónd. Falta de planes de Formacióne. No existe programas de capacitación y actualización al personal

7. ConclusionesEl área de informática presenta deficiencias con respecto a las normas COBIT encuanto al proceso de “Gestión de Explotación” en los siguientes aspectos:1. Manuales de procedimientos de las operaciones2. documentación de los procesos puestos en marcha3. planificación del trabajo del personal, sobre todo en el debido cumplimiento de

sus funciones y por la falta de ellas.4. Registro del suceso del sistema

8. RecomendacionesPor lo tanto, podemos especificar que para que la empresa TELVEN cumpla conlas normas COBIT en cuanto al proceso de “Gestión de la explotación” deberá:

a. Crear y hacer uso de manuales de operación de manera que losempleados puedan identificar cuales son las tareas que deben realizar deacuerdo a su puesto y funciones

b. Diseñar y establecer procedimientos para salvaguardar información fueradel área donde se encuentra el sistema

c. Diseñar y establecer procedimientos para recuperar informaciónd. Llevar los registros de las anomalías presentadase. Proporcionar entrenamiento al personal de manera de tener al personal

capacitado y actualizado







9. Fecha del Informe

PLANEAMIENTO EJECUCION INFORMEFECHAS

10. Identificación y Firma del Auditor

APELLIDOS Y NOMBRES CARGO

AUDITORIA DE CALIDAD

1. Objetivos :a. Verificar los procesos aplicables en cada programa, la calidad para los

cuales han sido desarrollados y documentadosb. Evaluar la capacidad de realizar un trabajo

Lista de Control

PREGUNTAS SI NO N/A¿Se refleja el software codificado talcomo en el diseño en ladocumentación?







¿Fueron probados con éxito los productos de software usados en elcentro de cómputo?

¿Se cumplen las especificaciones de ladocumentación del usuario del

software?

¿Los procesos de gestión administrativaaplicados en el área de informática de lainstitución son lo suficientementeóptimos?

¿El funcionamiento del software dentrodel área de trabajo está de acuerdo conlos requerimientos específicos?

¿Los documentos de gestiónadministrativa se cumplensatisfactoriamente en el área decómputo?

¿Los productos de software que utilizanen el área de informática esta deacuerdo con los estándaresestablecidos?

¿Los dispositivos de trabajo en el áreade informática se les realizan unarevisión técnica correcta?

¿Los costos fijados en la revisióntécnica se encuentran dentro de los

límites fijados?


1. Identificación del InformeAuditoria de Calidad



4. Objetivos de la Auditoria







a. verificar la calidad del servicio que ofrece el software b. Revisar que el equipo utilizado tiene suficiente poder de procesamiento y

velocidad en red para optimizar el desempeño de la organizaciónc. Evaluar el Software

5. Hallazgos Potencialesa. Los procesos de gestión administrativa aplicados en el área deinformática de la institución no son lo suficientemente óptimos

b. Los documentos de gestión administrativa no se cumplensatisfactoriamente en el área de cómputo

6. ConclusionesComo resultado de la auditoria podemos manifestar que el área de informática

presenta deficiencias sobre todo con el debido cumplimiento de normas deseguridad de datos y administración de la Base de datos con respecto a calidad

7. Recomendacionesa. Fijar limites reales en cuanto a los costos por conceptos de revisión

técnica b. Realizar la respectiva y correcta revisión técnica a los dispositivos de

trabajo en el área de informática





OBJETIVO # 8

AUDITORIA DE LA BASE DE DATOS

1. Alcance de la auditoria

Esta auditoria comprende solamente el área del centro de computo del Sistema deConsignación de equipos de la empresa TELVEN, con respecto al cumplimiento del

proceso de “Gestión de los Datos” de la manera que abarca la gestión de base dedatos (SGBD), Software de auditoria, sistemas operativos protocolos y sistemasdistribuidos

2. Objetivos







a. verificar la responsabilidad para la planificación de planillas y control delos activos de datos de la organización (Administrador de datos)

b. Verificar la responsabilidad de la administración del entorno de la basede datos (Administrador de la Base de Datos)

c. Proporcionar servicios de apoyo en aspectos de organización y métodos,

mediante la definición, implantación y actualización de base de datos y/o procedimientos administrativos con la finalidad de contribuir a laeficiencia

Lista de Control

PREGUNTAS SI NO N/A1. Existe equipo o Software de SGBD 2. La organización tiene un sistema degestión de base de datos SGBD

3. Los datos son cargados correctamenteen la interfaz grafica

4. se verificara que los controles yrelaciones de datos se realizan de acuerdoa Normalización libre de error

5. Existe personal restringido que tengaacceso a la BD

6. El SGBD es dependiente de losservicios que ofrece el Sistema Operativo

7. La interfaz que existe entre el SGBD yel SO es el adecuado

8. ¿Existen procedimientos formales parala Operación del SGBD?

9. ¿Están actualizados los procedimientosde SGBD?

10. ¿La periodicidad de la actualizaciónde los procedimientos es anual?

11. ¿Son suficiente claras las operacionesque realiza la BD?

12. ¿Existe un control que asegure la justificación de los procesos delcomputador? (Que los procesos que estánautorizados tengan una razón de ser

procesados)

13. ¿Se procesa las operaciones dentro deldepartamento de cómputo?

14. ¿Se verifican con frecuencia lavalidez de los inventarios de los archivosmagnéticos?

15. ¿Existe un control estricto de lascopias de estos archivos?

16. ¿Se borran los archivos de los

dispositivos de almacenamiento, cuandose desechan estos?







17. ¿Se registran como parte delinventario las nuevas cintas magnéticasque recibe el centro de cómputo?

18. ¿Se tiene un responsable del SGBD?

19. ¿Se realizan auditorias periódicas de

los medios de almacenamiento?

20. ¿Se tiene relación del personalautorizado para manipular la BD?

21. ¿Se lleva control sobre los archivostransmitidos por el sistema?

22. ¿Existe un programa demantenimiento preventivo para eldispositivo del SGBD?

23. ¿Existe integridad de los componentesy de seguridad de datos?

24. De acuerdo con los tiempos deutilización de cada dispositivo del sistemade computo, ¿Existe equipo capaces desoportar el trabajo?

25. ¿El SGBD tiene capacidad deteleproceso?

26. ¿Se ha investigado si ese tiempo derespuesta satisface a los usuarios?

27. ¿La capacidad de almacenamientomáximo de la BD es suficiente paraatender el proceso por lotes y el proceso

remoto?


1. Identificación del InformeAuditoria de la Base de Datos









4. Norma Aplicada:COBIT, específicamente el proceso de TI 3.11 “Gestión de los Datos”,

perteneciente al dominio “Suministro y Mantenimiento”


a. Evaluar el tipo de Base de Datos, relaciones, plataforma o sistemaoperativo que trabaja, administración y demás aspectos que repercutenen su trabajo

b. Revisar el software para la Base de Datosc. Verificar la Actualización de la Base de Datosd. Verificar la optimización de almacenes de los datose. Revisar que el equipo utilizado tiene suficiente poder de procesamiento y

velocidad en red para optimizar el desempeño de la base de datos

6. Hallazgos Potenciales1. No existe un plan de actualización de tecnología, teniendo en cuenta los

posibles cambios tecnológicos y el incremento de la base de datos.2. No existe un calendario de mantenimiento de rutina periódico del software

definido por la Base de datos.3. No existe un calendario de actualizaciones de los procedimientos de los

SGBD4. No existe un plan periódico de respaldo de la Base de datos5. El sistema SICOE no presenta módulos para realizar respaldo y restauración

de los datos6. No se realizan auditorias periódicas de los medios de almacenamiento

7. ConclusionesComo resultado de la auditoria podemos manifestar que el área de informática

presenta deficiencias en el debido cumplimiento de normas de seguridad de losdatos y administración de la Base de datos

8. Recomendacionesa. Evaluar e implementar un Software que permita mantener el resguardo

de acceso de los archivos b. Elaborar un calendario de mantenimiento de rutina periódico a la BDc. Elaborar un plan para mantener actualizado al SGBD debido a la

influencia y los cambios que se presentan en el medio ambiente dondeeste se encuentra

d. Elaborar un plan periódico de respaldo a la Base de Datose. Desarrollar los módulos de respaldo y restauración de datos en el sistema

SICOE

f. Elaborar un plan periódico de Auditoria interna para los medios dealmacenamiento







g. Capacitar al personal al manejo de la Base de Datosh. Dar a conocer la importancia del SGBD al usuario





AUDITORIA DEL SISTEMA FISICO Y LOGICO DE LA RED

1. Alcance de la Auditoria

1. Sistema físico y/o lógico de la red2. mecanismos de seguridad y mantenimiento de la red

2. Objetivos de la auditoria

Realizar un informe de auditoria con el objeto de verificar hasta que punto las

instalaciones físicas ofrecen garantías y han sido estudiadas las vulnerabilidadesexistentes, así mismo evaluar los errores o situaciones anómalas que se puedan







producir y verificar la existencia de procedimientos para detectar equipos que pudiesen estar produciendo estas situaciones anómalas.

2.1 Objetivos de la auditoria físicaEvaluar la existencia de:

a. Áreas controladas para los equipos de comunicaciones, previniendo así accesos inadecuados b. Protección y tendido adecuado de cables y líneas de

comunicaciones, para evitar accesos físicosc. Controles de utilización de los equipos de pruebas de

comunicaciones, usados para monitorizar la red y su trafico,que impidan su utilización inadecuada

d. Atención especifica a la recuperación de los sistemas decomunicación de datos en el plan de recuperación de desastresen sistemas de información

e. Controles específicos en caso de que se utilicen líneas

telefónicas normales con acceso a la red de datos para prevenir accesos no autorizados al sistema o a la red

2.2 Objetivos de la auditoria lógicaEvaluar la existencia de:a. Contraseñas y otros procedimientos para limitar y detectar cualquier

intento de acceso no autorizado a la red de comunicaciones b. Facilidades de control de errores para detectar errores de transmisión

y establecer las retransmisiones apropiadasc. Controles para asegurar que las transmisiones van solamente a

usuarios autorizados y que los mensajes no tienen por qué seguir siempre la misma ruta

d. Registro de la actividad de la red, para ayudar a reconstruir incidencias y detectar accesos no autorizados

e. Técnicas de cifrado de datos donde haya riesgos de accesosimpropios a transmisiones sensibles

f. Controles adecuados que cubran la importación o exportación dedatos a través de puertas, en cualquier punto de la red, a otrossistemas informáticos

AUDITORIA DE LA RED FÍSICA

Lista de control

PREGUNTA SI NO N/AF1. El equipo de comunicaciones semantiene en habitaciones cerradas conacceso limitado a personas autorizadas

F2. La seguridad física de los equipos

de comunicaciones, tales comocontroladores de comunicación, dentro







de la salas de computadores esadecuadaF3. Sólo personas con responsabilidad yconocimientos están incluidas en la listade personas permanentemente

autorizadas para entrar en las salas delos equipos de comunicaciones

F4. Se toman medidas para separar lasactividades de electricistas y personalde tendido y mantenimiento de líneastelefónicas, así como sus autorizacionesde acceso, de aquellas del personal bajocontrol de la gerencia decomunicaciones

F5. En las zonas adyacentes a las salasde comunicaciones, todas la líneas decomunicaciones están fuera de la vista

F6. Las líneas de comunicaciones, enlas salas de comunicaciones, armarios,distribuidores y terminaciones de losdespachos, están etiquetados con uncódigo gestionado por la gerencia decomunicaciones

F7. Existen procedimientos para la protección de cables y bocas deconexión que dificulten el que sean

interceptados o conectados por personasno autorizadas

F8. Se revisa periódicamente la red decomunicaciones, buscandointercepciones activas o pasivas

F9. Los equipos de prueba decomunicaciones usados para resolver los problemas de comunicación de datostienen propósitos y funciones definidas

F10. Existen controles adecuados sobrelos equipos de prueba de

comunicaciones usados paramonitorizar líneas y fijar problemasincluyendo:a. procedimiento restringiendo el uso deestos equipos a personal autorizado

b. Facilidades de traza y registro deltrafico de datos que posean los equiposde monitorizaciónc. procedimientos de aprobación yregistro ante las conexiones a líneas decomunicaciones en la detección ycorrección de problemas

F11. En el plan general de recuperación







de desastres para servicios deinformación presta adecuada atención ala recuperación y vuelta al servicio delos sistemas de comunicación de datosF12. Existen planes de contingencia

para desastres que solo afecten a lascomunicaciones, como el fallo de unasala completa de comunicaciones

F13. Las alternativas de respaldo decomunicaciones, bien sea con lasmismas salas o con salas de respaldo,consideran la seguridad física de estoslugares

F14. Las líneas telefónicas usadas paradatos, cuyo números no deben ser

públicos, tienen dispositivos / procedimientos de seguridad tales comoretrollamada, códigos de conexión ointerrupciones para impedir accesos noautorizados al sistema informático

AUDITORIA DE LA RED LÓGICA

Lista de Control

PREGUNTA SI NO N/AL.1. El software de comunicaciones,

para permitir el acceso, exige código deusuario y contraseña

L.2.1. los usuarios no pueden acceder aningún sistema, ni siquiera de ayuda,antes de haberse identificadocorrectamente







L.2.2. Se inhabilita al usuario que seaincapaz de dar la contraseña después deun numero determinado de intentos deinfructuosos

L2.3. Se obliga a cambiar las

contraseñas regularmente

L.2.4. Las contraseñas son mostradas en pantalla cuando se teclean

L.2.5. Durante el proceso deidentificación, los usuarios soninformados de cuándo fue su ultimaconexión para ayudar a identificar

potenciales suplantaciones o accesos noautorizados

L.3. Cualquier procedimiento delfabricante, mediante hardware osoftware, que permita el libre acceso yque haya sido utilizado en la instalaciónoriginal, ha de haber sido inhabilitado ocambiado

L.4. Se toman estadísticas que incluyantasas de errores y de retransmisión

L.5. Los protocolos utilizados,revisados con el personal adecuado decomunicaciones, disponen de

procedimientos de control de errores

con la seguridad suficiente

L.6. Los mensajes lógicos transmitidosidentifican el originante, la fecha, lahora y el receptor

L.7. El Software de comunicacionesejecuta procedimientos de control ycorrectivos ante mensajes duplicados,fuera de orden, perdidos, o retrasados

L.8. La arquitectura de comunicacionesutiliza indistintamente cualquier rutadisponible de transmisión para

minimizar el impacto de una escucha dedatos sensibles en una ruta determinada

L.9. Existen controles para que losdatos sensibles solo puedan ser incorporados en las impresorasdesignadas y vistos desde los terminalesautorizados

L.10. Existen procedimientos deregistro para capturar y ayudar areconstruir todas las actividades de lastransacciones.

L.11. Los archivos de registro sonrevisados, si es posible a través de







herramientas automáticas, diariamente,vigilando intentos impropios de accesoL.12. Existen análisis de riesgo para lasaplicaciones de proceso de datos a finde identificar aquellas en las que el

cifrado resulte apropiado

L.13. Se utiliza cifrado

L.13.1. Si se utiliza cifrado, existen procedimientos de control sobre lageneración e intercambio de claves

L.13.2. Las claves de cifrado soncambiadas regularmente

L.13.3. El transporte de las claves decifrado desde donde se generan a losequipos que la utilizan sigue un

procedimiento adecuado.

L.14. Se utilizan canales decomunicación uniendo diversosedificios de la misma organización

L.14.1. Estos canales se cifranautomáticamente, para evitar que unaintercepción sistemática a un canalcomprometa a todas las aplicaciones

L.15. Si la organización tiene canales decomunicación con otras organizacionesse analiza la conveniencia de cifrar

estos canales

L.16. En la transmisión de datossensibles a través de redes abiertascomo Internet, van cifrados

L.17. Se han revisado los controles deseguridad asociados a los módemscomo el cortafuego para impedir elacceso de equipos foráneos a la redlocal

L.18. Existe una política de prohibiciónde introducir programas personales o

conectar equipos privados a la red

L.19. Todas las “Puertas traseras” yaccesos no específicamente autorizadosestán bloqueados. En equipos activos decomunicaciones, como puentes,encaminadotes, conmutadores, etc. Esdecir los accesos para servicio remotoestán inhabilitados o tienen

procedimientos específicos de control.

L.20. Periódicamente se ejecutan,

mediante los programas actualizados yadecuados, ataques para descubrir vulnerabilidades, que los resultados se







documentan y se corrigen lasdeficiencias observadas.

AREAS CRÍTICAS DE REDES

Listado de verificación de auditoria de redes

Gestión Administrativa de la red100 %

Excelente80 %Buena

60%Regular

40%Mínima

20% No cumple

1. Objetivos de lared de cómputos

2.Características dela red de computo

3. Componentesfísicos de la red de







computo4. Conectividad ylas comunicacionesde la red decomputo

5. Los Serviciosque proporciona lared de computo

6.Configuraciones,topologías, tipos ycobertura de la redde cómputo.

7. Los protocolosde comunicacióninterna de la red

8.La administraciónde la red decómputos

9. La seguridad dela red de cómputos

Evaluación de análisis de la red de cómputo

100 %Excelente

80 %Buena

60%Regular

40%Mínima

20% No cumple

1. Evaluación de laexistencia y uso demetodologías,normas, estándares y

políticas para elanálisis y diseño deredes de cómputo

2. La forma derepartir los recursos







informáticos de laorganización,especialmente lainformación y losactivos

3. La cobertura deserviciosinformáticos para lacaptura, el

procesamiento y laemisión deinformación en laorganización

4. La cobertura deservicios decomunicación

5. La frecuencia conque los usuariosrecurren a losrecursos de la red

6. La escalabilidad ymigración de losrecursoscomputacionales dela organización

7. La satisfacción de

las necesidades de poder computacionalde la organización,sea con redes,cliente/servidor

8. La solución a los problemas decomunicación deinformación y datosen las áreas de laorganización

Análisis de la red de área local (LAN)

100 %Excelente

80 %Buena

60%Regular

40%Mínima

20% No cumple

1. Uso adecuado yconfiable de latecnología utilizadainternamente para latransmisión de datos

2. Restricciónadoptada paraestablecer el tamañode la red







3. Evaluar lavelocidad

AREAS CRÍTICAS DE SEGURIDAD

Evaluación en el acceso al sistema

100 %Excelente

80 %Buena

60%Regular

40%Mínima

20% No cumple

1. Evaluar losatributos de accesoala sistema

2. Evaluar los nivelesde acceso al sistema

3. Evaluar laadministración de







contraseñas alsistema4. Evaluar elmonitoreo en elacceso al sistema

5. Evaluar lasfunciones deladministrador delacceso al sistema

Evaluación en el acceso al área física

100 %Excelente

80 %Buena

60%Regular

40%Mínima

20% No cumple

1. Evaluar el accesodel personal al centrode computo

2. Evaluar el accesode los usuarios yterceros al centro decomputo

3. Evaluar el controlde entradas y salidasde bienesinformáticos delcentro de computo

4. Evaluar lavigilancia del centrode computo

Evaluación de los sistemas computacionales

100 %Excelente

80 %Buena

60%Regular

40%Mínima

20% No cumple

1. Evaluar elrendimiento y uso delsistemacomputacional y desus periféricosasociados

2. Evaluar laexistencia, proteccióny periodicidad de los







respaldos de base dedatos, software einformaciónimportante de laorganización

3. Evaluar laconfiguración,instalaciones yseguridad del equipode computo,mobiliario y demásequipos

4. Evaluar elrendimiento,aplicación y utilidaddel equipo decomputo, mobiliarioy demás equipos

5. Evaluar laseguridad en el

procesamiento deinformación

6. Evaluar los procedimientos decaptura,

procesamiento de

datos y emisión deresultados de lossistemascomputacionales

Evaluación de la protección contra la piratería y robo de información

100 %Excelente

80 %Buena

60%Regular

40%Mínima

20% No cumple

1. Medidas preventivas

2. Protección dearchivos

3. Limites de acceso

4. Protección contrarobos

5. Protección antecopias ilegales







Evaluación de la protección contra virus informáticos100 %

Excelente80 %Buena

60%Regular

40%Mínima

20% No cumple

1. Medidas

preventivas ycorrectivas

2. Uso de vacunas y buscadores de virus

3. Protección dearchivos, programas einformación

Evaluación del Hardware100 %

Excelente80 %Buena

60%Regular

40%Mínima

20% No cumple

1. Evaluar laconfiguración delequipo de computo(hardware)

2. Evaluar elrendimiento y uso delsistemacomputacional y sus

periféricos asociados

3. Evaluar el estado

físico del hardware, periféricos y equiposasociados

Evaluación del software100 %

Excelente80 %Buena

60%Regular

40%Mínima

20% No cumple

1. Evaluar laslicencias permisos yusos de los sistemascomputacionales.

2. Evaluar elrendimiento y uso delsoftware de lossistemascomputacionales







3. Verificar que lainstalación delsoftware, paqueteríasy sistemas en laempresa sea la

adecuada para cubrir las necesidades deesta ultima.


1. Identificación del InformeAuditoria del sistema físico y lógico de la red










a. Evaluar el tipo de red, arquitectura, topología, protocolos decomunicación, las conexiones, accesos privilegios, administración ydemás aspectos que repercuten en su instalación.

b. Revisión del software institucional para la administración de la red.

5. Hallazgos Potencialesa. no se cuenta con un software que permita la seguridad de restricción y/ocontrol a la red

b. No existe un plan que asegure acciones correctivas asociadas a laconexión con redes externas

c. No existe un plan a largo plazo de tecnologías de redes, teniendo encuenta los posibles cambios tecnológicos

d. No existe un calendario de mantenimiento de rutina periódico delhardware definido para las redes

e. No existe un plan pro-activo de tareas a fin de anticipar los problemas ysolucionarlos antes de que los mismos afecten el desempeño de la red

f. El sistema de información SICOE no posee niveles de acceso a través decontraseñas

6. ConclusionesComo resultado de la auditoria podemos manifestar que el área de

informática presenta deficiencias en el debido cumplimiento de normas yfunciones de redes

7. Recomendacionesa. Elaborar toda la documentación técnica correspondiente a los sistemas de

redes. b. Evaluar e implementar un software que permita mantener el resguardo de

acceso al sistema como por ejemplo un cortafuego.c. Elaborar un calendario de mantenimiento de rutina periódico del

hardwared. Las líneas telefónicas como el cableado de la red debe estar fuera de la

vista de los usuariose. Se deben etiquetar todo el cableado de la red para poder identificar de

una manera más rápida algún equipo que este generando anomalía ocolisión

f. Se deben proteger los cables y bocas de conexión (cajetines) de tal

manera que las personas no autorizadas no puedan conectarseg. Diseñar y establecer un plan de monitoreo de la red y de acceso alsistema SICOE

h. Implementar un plan de contingencia en caso de desastres en el área decomunicaciones

i. Desarrollar los módulos de contraseñas para el acceso al sistema SICOE j. Después de una cierta cantidad de intentos de acceso al sistema SICOE

el usuario se debe inhabilitar k. Establecer un limite de intentos de acceso al sistema por cada usuariol. Establecer un plan periódico para cambiar las contraseñasm. Elaborar informes estadísticos de la red a cierto tiempo

n. En la medida de lo posible usar cifrado o encriptamiento para los datoscon software tales como: PGP, DES, RSA, entre otros







o. Inhabilitar ciertos servicios remotos del servidor de la red como por ejemplo servicios de accesos como el telnet, ping, ftp, entre otros

p. Incrementar la protección contra robosq. Mantener un programa de protección y actualización de los antivirus, así

como el de realizar una campaña para dar a conocer a los usuarios la

importancia al respecto





OBJETIVO # 9

INFORME FINAL DE LA AUDITORIA INFORMATICA

1. Identificación del InformeInforme Final de la Auditoria


3. Identificación de la Entidad Auditada

Entidad Auditada: TELVEN







4. Objetivos y alcance de la Auditoria

General:Revisar y evaluar los controles, sistemas y procedimientos de

informática; de los equipos de computación, su utilización, eficiencia y

seguridad, a fin de que por medio del señalamiento de algunas recomendacionesse logre una utilización más eficiente y segura de la información que servirá parauna adecuada toma de decisiones.

Específicos:• Evaluar el diseño y prueba de los sistemas del área de informática• Determinar la veracidad de la información del área de informática• Evaluar los procedimientos de control de operación• Evaluar la forma como se administran los dispositivos de

almacenamiento básico del área de informática•

Evaluar el control sobre el mantenimiento y las fallas del sistema• Verificar las disposiciones y reglamentos que ayuden al mantenimientodel orden dentro del área de informática

5. Normativa AplicadaCOBIT, específicamente en los proceso de TI 3.13 “Gestión de la

Explotación” y 3.11 “Gestión de los Datos”, perteneciente al dominio“Suministro y Mantenimiento”

6. Conclusiones

Señores de TELVENÁrea de Informática

El departamento de Informática es la parte medular de la empresa, es en dondelos datos se convierten en información útil a las diferentes áreas, y en donde, enla mayoría de los casos se toman las decisiones importantes para la empresa

Como resultado de la Auditoria Informática les presento este informe que en miopinión es con salvedades.

Síntesis de la revisión realizada, clasificado en las siguientes secciones:1. Explotación2. Del aseguramiento de la calidad







3. De la gestión de los Datos4. Del sistema físico y lógico de la red

A efectos de facilitar su análisis la información resultante de la auditoria se hadividido de la siguiente manera:

1. Situación: Describe brevemente las debilidades resultantes delanálisis.2. Efectos: enuncian los posibles riesgos a que se encuentran expuestos3. Sugerencias: se recomiendan las posibles soluciones a las situaciones

presentadas

Según el análisis realizado se encontró deficiencias en que no existe un planinformático de formación al personal, no existen manuales de procedimientos,deficiencias en el sistema físico y lógico de la red, no existe la auditoria internadel sistema, falta de procedimientos periódicos de respaldo de los medios dealmacenamiento, acceso a usuarios, plan de contingencias.

Los detalles de las sugerencias de solución se encuentran especificados en lassecciones llamadas objetivos 7 y 8. La aprobación y puesta en práctica de estassugerencias ayudarán a la empresa a brindar un servicio más eficiente a losciudadanos y clientes de la Empresa TELVEN

Plan Informático de Formación al personalSituación:1. No existe un plan formalmente establecido para capacitar al personal de

TELVENEfectos:1. Posibilidad de que las soluciones que se implementan para resolver

problemas sean parciales.Sugerencias:1. establecer un plan de formación periódica para capacitar al personal de

TELVEN2. Implementar los lineamientos, normas y/o procedimientos que aseguren la

eficaz administración de los recursos informáticos.

Sistema Físico y Lógico de la red

Situación:1. No se cuenta con un software que permita la seguridad de restriccióny/o control a la red

2. No existe la documentación técnica correspondiente a los sistemas deredes.

3. Los cables y bocas de conexión (cajetines) de la red no se encuentran protegidos del acceso por personas no autorizadas

Efectos:1. Alta facilidad para cambios involuntarios o intencionales de datos,

debido a la falta de controles internos2. Probable difusión de datos confidenciales

Sugerencias: a los efectos de minimizar los riesgos descritos de sugiere:







1. Elaborar toda la documentación técnica correspondiente a lossistemas de redes.

2. proteger los cables y bocas de conexión (cajetines) de tal manera quelas personas no autorizadas no puedan conectarse

3. Incrementar la protección contra robos

4. Realizar periódicamente un estudio de vulnerabilidad, documentandoefectivamente el mismo, a los efectos de implementar las accionescorrectivas sobre los puntos débiles que se detecten

Auditoria InternaSituación:

1. Se ha observado que la empresa TELVEN no cuenta con auditoriaInterna

Efectos:1. posibilidad de que adulteraciones voluntarias o involuntarias sean

realizadas a los elementos del procesamiento de datos (programas,

archivos de datos, etc.) o bien acceso a datos confidenciales por personas no autorizadas que no sean detectadas oportunamente.

Sugerencias:1. Establecer normas y procedimientos en los que se fijen responsables,

periocidad y metodología para poder realizar auditoria interna.

Respaldo de Datos:Situación:

1. El sistema SICOE no posee los módulos para respaldo y restauraciónde datos

2. No se encuentran establecido procedimientos periódicos para realizar respaldo de la Base de Datos ni de los medios de almacenamiento

3. No existen normas y/o procedimientos que indiquen como se debenrealizar los respaldo ni tampoco aquellos que exijan la pruebasistemática de las mismas a efectos de los mínimos niveles deconfiabilidad

Efectos:1. La empresa TELVEN esta expuesta a la perdida de información por

no poseer un sistema periódico de respaldos

Sugerencias:1. Desarrollar normas y procedimientos generales que permitan realizar los respaldos necesarios

2. Tener copias de Seguridad de los respaldos fuera del Área deinformática de TELVEN

3. Implementar pruebas sistemáticas semanales de las copias deseguridad

4. Desarrollar los módulos de Respaldo y Restauración de datos en elsistema SICOE

Acceso a Usuarios:

Situación:







1. El sistema SICOE no cuenta con un módulo de acceso a través decontraseñas

2. No existe un módulo para administrar las contraseñas de acceso alsistema.

Efectos:

1. La falta de Seguridad en las contraseñas, podrían ocasionar fraudes por tercerosSugerencias:

1. Desarrollar el módulo para permitir el acceso al sistema SICOE através de contraseña y el módulo para la administración de dichascontraseñas

2. Establecer una metodología que permita realizar un control efectivosobre el uso y modificación de las contraseñas

3. Establecer un limite de intentos de acceso al sistema por cada usuario

Plan de Contingencias

Situación:1. Ausencia de un plan de contingencia debidamente formalizado en el

área de informática2. No existen normas y procedimientos que indiquen las tareas que son

necesarias para realizar y recuperar la capacidad de procesamientoante una eventual contingencia

Efectos:1. Perdida de Información vital2. Perdida de capacidad de procesamiento

Sugerencias:1. Establecer un plan de contingencia escrito, en donde se establezcan

los procedimientos para reestablecer la operatividad de la empresaTELVEN

2. Realizar simulacros periódicamente

7. Resultados: Otros Informes

Los detalles de las deficiencias encontradas así como las sugerencias de soluciónse encuentran especificados en las secciones llamas objetivos 7 y 8











PRINCIPIOS DEONTOLÓGICOS PRESENTES

1. Principios deontológicos presentes en el Auditora. Principios de calidad

El auditor presta un servicio a medidas de las posibilidades y medios a sualcance y con absoluta libertad para utilizarlos

b. Principio de comportamiento profesionalEn los comentarios que se realizan se trata de transmitir una imagen de

precisión y exactitud evitando exageraciones o atemorizacionesinnecesarias

c. Principio de criterio propio







El auditor no esta subordinado a otros profesionales y actúa según sus propios criterios

d. Principios de discreciónEl auditor esta comprometido con la no divulgación de los datosobtenidos en la auditoria

e. Principio de independenciaLos Intereses del auditado son asumidos con objetividadf. Principio de integridad moral

El auditor se compromete a no aprovecharse de los conocimientosadquiridos durante la auditoria, ni usarlos en contra del auditado

g. Principio de legalidadEn ningún caso se colaborara con la desactivación o eliminación dedispositivos de seguridad todo lo contrario se dan mejoras a dichosdispositivos o medidas de seguridad

h. Principio de no injerenciaEl auditor respeta el trabajo realizado por otros profesionales

i. Principios de responsabilidadEl auditor es responsable de todo lo que haga, diga o aconseje

j. Principio de secreto profesionalEl auditor se compromete en guardar en secreto los hechos einformaciones encontradas en la auditoria

2. Principios deontológicos presentes en el Informea. principio de beneficio del auditado

Tanto en los informes propios de cada auditoria (Explotación, Calidad,Base de datos, sistema físico y lógico de la red), como en el informe finalde la auditoria informática se presentan una serie de recomendaciones alos inconvenientes encontrados en el sistema, y lo que se quiere con elloes que el cliente pueda corregir y obtener el máximo provecho

b. Principio de confianzaEn el presente informe se trata de no hacer alardes científicos con el finde que sea entendible y no se le reste credibilidad

c. Principio de economía:A través de las recomendaciones realizadas se pretende que el auditadoactué de manera oportuna para solventar los problemas detectados y a suvez esto se traduce en economía de tiempo

d. Principio de Información SuficienteSe informa de forma clara y precisa todo lo relacionado con cada uno delos puntos o tipos de auditoria realizadas

e. Principio de precisiónEn el informe se realizan las conclusiones y recomendaciones tratando deser lo suficientemente crítico y poner de manifiesto aquellos aspectos quese consideren importantes y que pueden tener cierta incidencia en lacalidad de la auditoria.

3. Principios deontológicos presentes en el Sistema







a. Principio del servicio al publicoEl sistema SICOE ofrece servicio a los aliados de TELVEN y nosolamente con esto se cumple con el principio del servicio público sinoque también se cuenta con una serie de medidas para evitar softwaredañino como los virus informáticos que se pueden propagar a otros

sistemas. (Ver grafico 8 del apéndice)

b. Principio de legalidadAunque el sistema SICOE tiene deficiencias en cuanto a la seguridad enel acceso al sistema a través de contraseñas presenta legalidad en cuantoa la propiedad intelectual ya que el sistema fue desarrollado en softwarede licencias libres como lo son PHP para el desarrollo del código fuentedel sistema y MySQL para el motor de Base de datos, así mismo existenalgunas medidas contra la ilegalidad de la piratería (ver grafico 7 en elapéndice)

c. Principio de IntegridadA pesar de las deficiencias de seguridad en el acceso al sistema SICOE,la información o los datos almacenados en la BD no sufren ningún tipode modificación o alteración.

d. Principio de precisiónAunque existen deficiencias de seguridad en el SICOE, la informaciónque se encuentra en la base de datos y que se muestra a los aliados deTELVEN a través del SICOE se puede considerar una informaciónfiable sin indefiniciones ni ambigüedades

e. Principio de Veracidad

La información almacenada en la BD se puede considerar exacta, perodebido a las deficiencias en cuanto a la seguridad en el acceso al sistemaSICOE, esta información puede ser comprobada para determinar sucerteza.







APÉNDICE

AREAS CRÍTICAS DE REDES

Gestión Administrativa de la red







Grafico 1

60% 60% 60% 60%

40%

60%

40%

60%

40%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

1 2 3 4 5 6 7 8 9

1. Objetivos de la red de cómputos2.Características de la red de computo3. Componentes físicos de la red de computo4. Conectividad y las comunicaciones de la red de computo5. Los Servicios que proporciona la red de computo6. Configuraciones, topologías, tipos y cobertura de la red de cómputo.7. Los protocolos de comunicación interna de la red8. La administración de la red de cómputos9. La seguridad de la red de cómputos

Evaluación de análisis de la red de cómputo







Grafico 2

40%

60%

40%

60% 60%

40%

60% 60%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

1 2 3 4 5 6 7 8

1. Evaluación de la existencia y uso de metodologías, normas, estándares y políticas para elanálisis y diseño de redes de cómputo2. La forma de repartir los recursos informáticos de la organización, especialmente lainformación y los activos3. La cobertura de servicios informáticos para la captura, el procesamiento y la emisión deinformación en la organización4. La cobertura de servicios de comunicación5. La frecuencia con que los usuarios recurren a los recursos de la red6. La escalabilidad y migración de los recursos computacionales de la organización

7. La satisfacción de las necesidades de poder computacional de la organización, sea con redes,cliente/servidor 8. La solución a los problemas de comunicación de información y datos en las áreas de laorganización

Análisis de la red de área local (LAN)







Grafico 3

60% 60%

80%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

1 2 3

1. Uso adecuado y confiable de la tecnología utilizada internamente para la transmisión dedatos2. Restricción adoptada para establecer el tamaño de la red3. Evaluar la velocidad

AREAS CRÍTICAS DE SEGURIDAD







Evaluación en el acceso al sistema

Grafico 4

40% 40%

20% 20%

40%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

1 2 3 4 5

1. Evaluar los atributos de acceso al sistema2. Evaluar los niveles de acceso al sistema3. Evaluar la administración de contraseñas al sistema4. Evaluar el monitoreo en el acceso al sistema5. Evaluar las funciones del administrador del acceso al sistema

Evaluación en el acceso al área físicaGrafico 5

80%

40% 40%

20%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

1 2 3 4

1. Evaluar el acceso del personal al centro de computo2. Evaluar el acceso de los usuarios y terceros al centro de computo3. Evaluar el control de entradas y salidas de bienes informáticos del centro de computo4. Evaluar la vigilancia del centro de computo

Evaluación de los sistemas computacionales







Grafico 6

60%

40%

60% 60%

40% 40%

0%

10%

20%

30%

40%

50%60%

70%

80%

90%

100%

1 2 3 4 5 6

1. Evaluar el rendimiento y uso del sistema computacional y de sus periféricos asociados2. Evaluar la existencia, protección y periodicidad de los respaldos de base de datos, software einformación importante de la organización3. Evaluar la configuración, instalaciones y seguridad del equipo de computo, mobiliario ydemás equipos4. Evaluar el rendimiento, aplicación y utilidad del equipo de computo, mobiliario y demásequipos5. Evaluar la seguridad en el procesamiento de información

6. Evaluar los procedimientos de captura, procesamiento de datos y emisión de resultados delos sistemas computacionales

Evaluación de la protección contra la piratería y robo de información







Grafico 7

60% 60%

20%

40%

60%

0%

10%

20%

30%

40%

50%60%

70%

80%

90%

100%

1 2 3 4 5

1. Medidas preventivas2. Protección de archivos3. Limites de acceso4. Protección contra robos5. Protección ante copias ilegales

Evaluación de la protección contra virus informáticos

Grafico 8

60%

40% 40%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

1 2 3

1. Medidas preventivas y correctivas2. Uso de vacunas y buscadores de virus3. Protección de archivos, programas e información

Evaluación del Hardware







Grafico 9

40% 40%

60%

0%

10%

20%

30%

40%

50%60%

70%

80%

90%

100%

1 2 3

1. Evaluar la configuración del equipo de computo (hardware)2. Evaluar el rendimiento y uso del sistema computacional y sus periféricos asociados3. Evaluar el estado físico del hardware, periféricos y equipos asociados

Evaluación del software

Grafico 10

60% 60%

40%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

1 2 3

1. Evaluar las licencias permisos y usos de los sistemas computacionales.2. Evaluar el rendimiento y uso del software de los sistemas computacionales3. Verificar que la instalación del software, paqueterías y sistemas en la empresa sea laadecuada para cubrir las necesidades de esta ultima.







ANEXOS

La Organización







La empresa de telecomunicaciones de Venezuela (TELVEN) es unaOrganización que tiene por misión prestar servicios de telecomunicaciones a la

población venezolana mediante el uso de la más avanzada tecnología y recursoshumanos responsables y capacitados.

El proceso de integración entre TELVEN y sus asociados, se entiende como elestablecimiento de una alianza estratégica con aquellas personas preactivas ytrabajadoras que estén dispuestas a emprender un negocio, pasando estosempresarios a ser aliados de TELVEN. Los aliados crean y operan, los llamadosMódulos de Comunicaciones (MODCOM), a fin de ofrecer productos yservicios a la comunidad que constituye su entorno. Entre los servicios seencuentran: el acceso a Internet a través de las salas de navegación de losMODCOM, líneas Telefónicas (alámbricas e inalámbricas), identificador dellamadas, buzón de voz, bloqueo de llamadas, llamadas en conferencia, Internet(en sus modalidades de banda ancha y Dial UP), páginas amarillas, guía viajera,encomiendas, fax, fotocopias, impresiones, receptoria de avisos, entre otros.

Entre los productos que ofrecen a la venta, están celulares y accesorios, tarjetastelefónicas, artículos de oficina entre otros.

La empresa TELVEN ofrece en consignación a sus aliados que están bajo la jurisdicción comercial de las Oficinas de Atención Comercial (OAC), algunos delos equipos antes mencionados, como celulares y accesorios, a fin de que losofrezcan a la venta. Durante el proceso de consignación, los equipos yaccesorios pueden adquirir los siguientes estados:

1. Equipos consignados pendientes por pagar 2. Equipos consignados devueltos3. Equipos consignados pagados

El proceso de consignación puede dividirse en las siguientes tareas:

1. Entrega de equipos y accesoriosEn la OAC, el aliado solicita los equipos que desea le sean consignados. Elresponsable de la consignación de equipos y accesorios de la OAC, verificasi el aliado posee deudas de consignaciones anteriores. En caso positivo,debe cancelar la misma a fin de que se le pueda asignar otros equipos. Encaso negativo, se procede a llenar en original y copia, el formulariodenominado “nota de entrega”, que esta identificado por un número

secuencial. En la nota se registran los datos (Serial, tipo, marca y modelo) delos equipos a consignar. El original queda en manos del aliado, y la copia enlos archivos de la OAC. Posteriormente, se rebaja del sistema de inventario,el equipo entregado pendiente de pago, y se hace la actualización de losequipos entregados.

2. Devolución de equipos y accesoriosEn la OAC, se extrae del archivo la copia de la nota de entrega que identificalos seriales de los equipos que el aliado desea devolver y se le coloca unaobservación con los datos de fecha y motivo de la devolución. Luego, el(los)equipo(s) devuelto(s) se coloca(n) como disponible(s) en el sistema de

inventario y se registran como devuelto(s)







3. Pago de Equipos y AccesoriosEn la OAC, se extrae del archivo la copia de la nota de entrega que identificalos seriales de los equipos que desean pagar, y se emite la factura en originaly copia mediante el sistema de venta. La factura original se entrega al aliadoMODCOM, la copia se anexa a la nota de entrega y se archiva; y finalmente,

el pago de los equipos se registra.

El Sistema para la consignación de equipos (SICOE)

EL objetivo del SICOE es llevar un control Óptimo de los equipos que seconsignan a los aliados, y del mismo modo, suministrar información pertinente y

precisa sobre los equipos pendientes por pagar, vendidos y devueltos. Las salidasdel sistema son las siguientes:1. Catalogo de Módulos de Comunicaciones

Contiene todos los módulos de comunicaciones que están bajo la jurisdiccióncomercial de cada OAC. Los datos que contiene son: Código de sumaria (se

entiende por sumaria el código único que TELVEN asigna a cada aliado),nombre del aliado, razón social, rif, dirección comercial, correo electrónico,teléfono comercial1, teléfono comercial 2, nombre del encargado, telefono1del encargado, teléfono 2 del encargado

2. Catálogo de equiposContiene todos los equipos y accesorios posibles de consignar a un aliado.Los datos que contiene son: serial del equipo, tipo del equipo, marca delequipo, modelo del equipo y monto unitario.

3. Nota de entregaContiene el (los) equipo(s) entregado(s) a un aliado bajo una misma nota.Los datos que contiene son: numero de la nota de entrega, fecha de la nota deentrega, código sumaria, nombre del aliado, teléfono 1 del aliado, direcciónel aliado, serial del equipo, tipo del equipo, marca del equipo, modelo delequipo, monto unitario del equipo, monto total de los equipos, impuesto por el total de los equipos, monto total, observaciones, nombre y cedula de la

persona autorizada por TELVEN para la entrega, nombre y cedula de la persona autorizada para el aliado.

4. Nota de devoluciónContiene el (los) equipo(s) devueltos por un aliado en un mismo momento.Los datos que contiene son: número de la nota de entrega, fecha de la nota deentrega, código de sumaria, nombre del aliado, serial del equipo, tipo del

equipo, marca del equipo, modelo del equipo, fecha de devolución y motivode la devolución5. Equipos vendidos

Contiene el (los) equipo(s) vendido(s) a un aliado en un mismo momento.Los datos que contiene son: serial del equipo, tipo del equipo, marca delequipo, modelo del equipo, monto unitario del equipo, fecha de cancelacióny numero de factura

6. Estado de los equipos y accesorios a una fecha dadaEsta salida requiere para su ejecución de tres parámetros: identificación delequipo (serial, tipo, marca, modelo), estado (pendiente, devuelto, vendido), yrango de fechas (fecha desde y fecha hasta). En caso que un parámetro se

coloque en blanco o en cero, se entenderá que se deben considerar todos losvalores posibles







7. Equipos Consignados a un MODCOM y pendientes de pagoContiene los equipos consignados a un aliado en particular y pendientes por

pagar. Los datos que contiene son: código de sumaria, nombre del aliado,identificación del equipo (serial, tipo, marca, modelo), numero y fecha de lanota de entrega

La aplicación del Sistema SICOE se ejecuta en el servidor de la intranet corporativa deTELVEN y el cliente de cada MODCOM solo puede solicitar la ejecución de la salidanúmero 7. “Equipos Consignados a un MODCOM y pendientes de pago”

BIBLIOGRAFIA







Piattini, M.G. y del Peso, E [2001] Auditoria Informática: un enfoque práctico.Madrid, España. Editorial Ra-ma, Alfaomega Grupo Editor, S.A. 2ª edición

Roberto Sobrinos Sánchez, [1999] Planificación y Gestión de Sistemas deInformación, Normas COBIT, Trabajo de Teoría, Escuela superior de informática de

la Ciudad Real De Castilla-La Mancha

IT Governance Institute, [2005] COBIT 4.0, Estados Unidos de América

Mamani P. Orlando J, Orohuanca A. Michella, y Otros [2004] auditoria informáticaMunicipalidad provincial mariscal, Trabajo de Auditoria informática y Auditoria desistemas de computo; Ing. De sistemas e Informática de la Universidad José CarlosMariátegui.




trabajo practico 2

Documents