Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Primera practica seccion

Primera practica seccion

  • Be the first to comment

  • Be the first to like this

Primera practica seccion

  1. 1. Facultad de Ingeniería de Sistemas y Electrónica 02/10/2014 Elaborado por: J. Cevallos 2014-II Curso: Auditoría de Sistemas Informáticos (WIA031102) Primera práctica Instrucciones:  Duración del examen: 90 minutos.  Revise atentamente las preguntas de la práctica antes de responderlas.  La práctica se realizará en grupos de cuatro (04) personas, pero la calificación es individual.  Se pueden realizar consultas sobre las preguntas al docente o entre sus compañeros de grupo. No se permitirá conversaciones con los demás compañeros del salón. Pregunta 1 (04 puntos): Usted es un auditor que está participando en la revisión de la empresa Café Chocolat (ver anexo), y ha identificado los siguientes cuatro (04) hallazgos. Indique cuáles son las afirmaciones del caso que fundamentan dichos hallazgos (mínimo 01 por cada uno). Indicar sustentos relacionados al caso. Hallazgo Afirmaciones a No se ha renombrado la cuenta de administrador en el servidor de dominio de red. La cuenta es genérica y mantiene el nombre “Administrador”. b Existen debilidades en el procedimiento de cambios a los sistemas de información. No existe un registro de cambios, ni evidencia de las pruebas, ni de la conformidad del usuario antes de impactar en producción. c El procedimiento de pruebas de copias de respaldo debe formalizarse. Se refiere a las pruebas, no a la obtención de pruebas de respaldo. Existe un formato más no un procedimiento documentado. d Debe completarse la documentación de las políticas de la unidad de Informática. No se evidencia que existan políticas de seguridad de información, ni plan de recuperación ante desastres. Pregunta 2 (06 puntos): Usted se encuentra en una reunión con el personal de la unidad de Informática, sobre los hallazgos antes indicados en la revisión de la empresa Café Chocolat (ver anexo). El jefe de Informática indica que completarán la documentación de las políticas de tecnología de información cuanto antes. Asimismo, como tiene conocimiento de que usted ha participado paralelamente en la revisión de un grupo industrial muy conocido, le solicita que le proporcione la documentación de las políticas y procedimientos de dicho grupo, con el fin de utilizarlos como ejemplo. Asimismo, cuando se comenta el hallazgo sobre la cuenta de administrador en el servidor de dominio de red, el especialista de Soporte Técnico le exige que este hallazgo no se incluya en el
  2. 2. Facultad de Ingeniería de Sistemas y Electrónica 02/10/2014 Elaborado por: J. Cevallos 2014-II informe final que se enviará a la casa matriz, ya que este hallazgo ya ha sido detectado por ellos y se esperaba que esté solucionado antes del inicio de la auditoría. Seleccione dos (02) lineamientos de Ética del Auditor de Sistemas, que debe aplicar en esta situación, y fundamente su respuesta, utilizando el siguiente formato: Son válidos: Privacidad y confidencialidad de la información, alto nivel de conducta, objetividad, revelar hechos significativos (relacionado con los hechos de la auditoría en curso). Lineamiento Fundamento 1. 2. Pregunta 3 (05 puntos): Luego de concluir la revisión de la empresa Café Chocolat, usted comenta al equipo de Auditoría que tuvo varias dificultades para realizar su trabajo, debido a las siguientes situaciones: - Existen conflictos entre el personal de la unidad de Informática de Perú y la de la casa matriz, ya que la comunicación entre ellos es mínima y sólo se reúnen vía telefónica una vez al mes. - Existe poca disposición del personal de la unidad de Informática para brindar la información solicitada, debido a que solamente está compuesta por dos personas y su carga de trabajo es sumamente elevada. - El especialista de Soporte Técnico viene atravesando una crisis familiar y se ausenta continuamente del trabajo. En las entrevistas realizadas, ha manifestado continuamente que la auditoría interrumpe sus actividades diarias. El equipo de Auditoría le pregunta qué acciones piensa realizar para cuando se encuentre nuevamente en un caso así. Tomando en cuenta las cualidades personales que debe tener todo auditor, así como su experiencia profesional, sugiera una acción para cada una de ellas. Las acciones sugeridas deben ser para el auditor, no para la empresa auditada. Cualidad personal Acción a realizar Capacidad de escucha Intuición profesional Equilibrio emocional y dinamismo Pregunta 4 (05 puntos): Usted es un profesional que participa en una conferencia internacional sobre Auditoría de Sistemas. En ella, conoce a 05 especialistas de Tecnología de Información que realizan actividades asociadas a las funciones de Auditoría y a Control Interno. Relacione el nombre de la función con el comentario de cada una de los profesionales (si aplica), indicando en el recuadro de la derecha la letra correspondiente: A- Auditoría, B – Control Interno.
  3. 3. Facultad de Ingeniería de Sistemas y Electrónica 02/10/2014 Elaborado por: J. Cevallos 2014-II Comentario Respuesta “Soy Auditor Senior en una firma de auditoría externa, actualmente me encuentro liderando la revisión a una AFP”. A “Como parte de mis labores, valido diariamente que en mi empresa no existan usuarios cesados con cuentas activas en los sistemas de información”. B “Me encuentro participando en una auditoría interna al entorno de tecnología de algunas oficinas en provincia”. A “Tengo previsto verificar que la documentación de los proyectos de Sistemas se encuentre completa, antes de que inicie la auditoría”. B
  4. 4. Facultad de Ingeniería de Sistemas y Electrónica 02/10/2014 Elaborado por: J. Cevallos 2014-II Anexo: Caso: Café Chocolat (*) Café Chocolat es una empresa de origen extranjero que produce café y chocolates con insumos locales, y comercializa sus productos en varios centros comerciales de las principales ciudades de Perú. La unidad de Informática est á compuesta por dos personas, un jefe de Informática y un encargado de Soporte Técnico. Los aplicativos de Sistemas que soportan las operaciones del negocio, son administrados por la casa matriz, excepto por el aplicativo de Recursos Humanos, que ha sido desarrollado por el jefe de Informática. El jefe de Informática entregó copias de las políticas documentadas para la instalación y adquisición de software y hardware. No se recibieron copias del Plan de Recuperación ante Desastres, ni de las políticas de seguridad de información. Se han establecido una cuenta de usuario para la administración del dominio de red de la empresa, la cual es utilizada únicamente por personal de TI; esta cuenta se mantiene con el nombre genérico “Administrador”. Los cambios realizados al aplicativo de Recursos Humanos, son solicitados a través de correos electrónicos, no se mantiene un registro de dichos cambios, las pruebas realizadas antes del impacto a producción, o de la conformidad del usuario solicitante para el impacto de los cambios. Todos los días viernes se realizan pruebas de restauración a cintas de respaldo de los servidores locales, elegidas al azar. Asimismo, se documenta los resultados de las mismas mediante un formato establecido. Este procedimiento de pruebas de restauración no se encuentra formalmente documentado. (*) Nombre ficticio de una empresa real.

×