Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


Examen Parcial de Auditoria de Sistemas FIIS UNI 2021-2, Exámenes de Auditoría

Examen Parcial de Auditoria de Sistemas FIIS UNI 2021-2

Tipo: Exámenes

2020/2021

Subido el 25/05/2023

jesus-mayuri
jesus-mayuri 🇵🇪

3

(1)

2 documentos

1 / 3

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
UNIVERSIDAD NACIONAL DE INGENIERIA
FACULTAD DE INGENIERIA INDUSTRIAL Y DE SISTEMAS
PERIODO : 2021-2 Fecha : 28/10/2021
EVALUACIÓN: Examen Parcial Hora : 6:00 p.m
CURSO : Auditoria de Sistemas Grupo/S : 1
Docente : Ing. Arteaga Cortez Humberto Duración: 120 min.
Alumno: Mayuri Hidalgo, Jesús Ángel
Código UNI: 20174019C
CASO-01
Para la auditoría a la Gerencia de Sistemas (GS) de la Institución Pública “ABC “ para el periodo 2020, el
cual se llevó a cabo el 15/03/2021 durante quince días, se tuvo como parte del programa de auditoría lo
siguiente:
a) Verificar que los usuarios con acceso a la red se encuentren vigentes en la institución.
b) Verificar si el Plan de Contingencia cumple con las condiciones técnicas adecuadas para su
operatividad.
c) Verificar si los controles de TI están implementados.
Responda usted lo que se indica:
1) Para el cumplimiento del objeto de auditoría descrito en el punto “a)”, describa lo siguiente:
- ¿A quién, entrevista, que información solicita, como analiza la información? (5 ptos).
RESPUESTA
Objeto de
auditoria
Verificar que los usuarios con acceso a la red se encuentren
vigentes en la institución
Entrevista Para que se pueda obtener información objetiva del objeto
auditado, se responde a las siguientes preguntas:
¿Individual o grupal?: Debido a que el alcance del
acceso a la red es generalizado, es decir, que es
necesario en toda la institución. Se necesita considerar
entrevistas grupales donde participen los subgerentes
de cada área, ya que son los encargados de garantizar
la disponibilidad de recursos necesarios para que sus
subordinados realicen su trabajo, de esta forma cada
subgerencia puede comunicar los diferentes incidentes
ocurridos. De forma adicional es necesario contactar
con los encargados de la disponibilidad de la red, que
pertenecen al área de TI, los cuales deben comentar
como realizan la solución de incidentes de acceso y los
procedimientos seguidos.
¿A quién se entrevista?: Subgerentes a nombre de los
usuarios de los sistemas que se conecta a la red y
analistas de TI.
Información
que se solicita
Se solicita el Manual de Organización y Funciones (MOF) con
el fin de conocer los usuarios que hacen uso de los sistemas
conectados a la red, así como los jefes directos a los que debe
recurrir en caso no tengan acceso.
De forma adicional solicita un listado de empleados a los que
se les haya concedido acceso de red durante el año, sin
considerar que aún estén vigentes o no en la empresa.
Además, se debe recurrir a las Políticas de Seguridad de la
Información para controlar los privilegios de acceso a la
información relevante de la empresa en los sistemas
manipulados por los usuarios.
Análisis de la Es necesario comprobar que el registro de incidentes de
pf3

Vista previa parcial del texto

¡Descarga Examen Parcial de Auditoria de Sistemas FIIS UNI 2021-2 y más Exámenes en PDF de Auditoría solo en Docsity!

UNIVERSIDAD NACIONAL DE INGENIERIA

FACULTAD DE INGENIERIA INDUSTRIAL Y DE SISTEMAS PERIODO : 2021-2 Fecha : 28/10/ EVALUACIÓN: Examen Parcial Hora : 6:00 p.m CURSO : Auditoria de Sistemas Grupo/S : 1 Docente : Ing. Arteaga Cortez Humberto Duración: 120 min. Alumno: Mayuri Hidalgo, Jesús Ángel Código UNI: 20174019C CASO- Para la auditoría a la Gerencia de Sistemas (GS) de la Institución Pública “ABC “ para el periodo 2020, el cual se llevó a cabo el 15/03/2021 durante quince días, se tuvo como parte del programa de auditoría lo siguiente: a) Verificar que los usuarios con acceso a la red se encuentren vigentes en la institución. b) Verificar si el Plan de Contingencia cumple con las condiciones técnicas adecuadas para su operatividad. c) Verificar si los controles de TI están implementados. Responda usted lo que se indica: 1) Para el cumplimiento del objeto de auditoría descrito en el punto “a)”, describa lo siguiente:

  • ¿A quién, entrevista, que información solicita, como analiza la información? (5 ptos). RESPUESTA Objeto de auditoria Verificar que los usuarios con acceso a la red se encuentren vigentes en la institución Entrevista Para que se pueda obtener información objetiva del objeto auditado, se responde a las siguientes preguntas:  ¿Individual o grupal?: Debido a que el alcance del acceso a la red es generalizado, es decir, que es necesario en toda la institución. Se necesita considerar entrevistas grupales donde participen los subgerentes de cada área, ya que son los encargados de garantizar la disponibilidad de recursos necesarios para que sus subordinados realicen su trabajo, de esta forma cada subgerencia puede comunicar los diferentes incidentes ocurridos. De forma adicional es necesario contactar con los encargados de la disponibilidad de la red, que pertenecen al área de TI, los cuales deben comentar como realizan la solución de incidentes de acceso y los procedimientos seguidos.  ¿A quién se entrevista?: Subgerentes a nombre de los usuarios de los sistemas que se conecta a la red y analistas de TI. Información que se solicita Se solicita el Manual de Organización y Funciones (MOF) con el fin de conocer los usuarios que hacen uso de los sistemas conectados a la red, así como los jefes directos a los que debe recurrir en caso no tengan acceso. De forma adicional solicita un listado de empleados a los que se les haya concedido acceso de red durante el año, sin considerar que aún estén vigentes o no en la empresa. Además, se debe recurrir a las Políticas de Seguridad de la Información para controlar los privilegios de acceso a la información relevante de la empresa en los sistemas manipulados por los usuarios. Análisis de la Es necesario comprobar que el registro de incidentes de

información acceso a la red haya sido realizado por los jefes directos de los involucrados, tal como se indica en el MOF. Además, que corroborar según las políticas de la SI que los usuarios tengan los accesos requeridos y privilegios para acceder a la información que le corresponda sin posibilidad alguna de intervenir en información confidencial y sensible que no sea de su inconveniencia. 2) Para el cumplimiento del objeto de auditoría descrito en el punto “b)”, el auditor al revisar el Plan de Contingencia, en lo que respecta al plan de intervención, describía la siguiente información: EVENTO : Corte de energía ACCIONES : Apagado de equipos de red

  • El Jefe de Red, debe supervisar el cumplimiento del plan
  • El Sr. Juan Pérez, como asistente de red nombrado, debería seleccionar y priorizar los equipos de la red que serán apagados
  • El Sr. Manuel peña practicante, debe informar a los usuarios que se iniciará con el apagado de equipo
  • El Sr. Pedro Juárez, contratado por tercería, apoyaría con el apagado de equipos. Finalmente, el Jefe de red debe informar las acciones realizadas. EVENTO : Respaldo de información ACCIONES : Backup interno
  • Disponer de una carpeta para respaldar la información diaria, en el servidor de producción.
  • Disponer de una cinta para el respaldo de información semanal.
  • Entre otros. Se le pide a usted su evaluación para estos dos casos planteados: Explicar si amerita destacarlo en su informe como: Fortaleza, Debilidad o Hallazgo. (5 ptos.) RESPUESTA CASO I: El plan de contingencia es de tipo correctivo, ya que se busca mitigar los impactos negativos del evento del corte de energía. Se puede calificar como FORTALEZA , ya que este caso contiene el evento que podría suceder, las acciones que se van a realizar, el apoyo externo que se debe tener y la organización del equipo que va ofrecer las respuestas. Se puede observar que se tiene al detalle lo que se debe realizar tal como se colocar también en la respuesta del problema 3. CASO II: El plan de contingencia es de tipo preventivo, ya que busca anticiparse ante cualquier perdida de información. Se puede calificar como DEBILIDAD , debido a:
  • Condición: Durante la auditoría realizada se pudo observar que la empresa corre el riesgo de perder información valiosa.
  • Causa: Realizar un procedimiento periódico de backup deficiente, ya que se realiza sobre un servidor que se encuentra en producción por lo que cualquier incidencia de un ciberataque podría eliminar la información que no se había respaldado correctamente ya que se iba realizar al finalizar la semana en una cinta.
  • Recomendación: Realizar respaldos diarios en dispositivos externos que no dependan de la energía eléctrica para su funcionamiento. 3) Para el cumplimiento del objeto de auditoría descrito en el punto “c)”, el auditor se interesa en el control “Plan de contingencia” descrito en el “numeral 2”, describa lo siguiente.
  • ¿A quién, entrevista, que información solicita, como analiza la información? (5 ptos). RESPUESTA Objeto de auditoría Verificar si los controles de TI están implementados Entrevista Para que se pueda obtener información objetiva del objeto