Análisis de datos en acción: Optimizando el crecimiento de Cyclistic
Primera practica seccion
1. Facultad de Ingeniería de Sistemas y Electrónica 02/10/2014
Elaborado por: J. Cevallos 2014-II
Curso: Auditoría de Sistemas Informáticos (WIA031102)
Primera práctica
Instrucciones:
Duración del examen: 90 minutos.
Revise atentamente las preguntas de la práctica antes de responderlas.
La práctica se realizará en grupos de cuatro (04) personas, pero la calificación es
individual.
Se pueden realizar consultas sobre las preguntas al docente o entre sus compañeros de
grupo. No se permitirá conversaciones con los demás compañeros del salón.
Pregunta 1 (04 puntos):
Usted es un auditor que está participando en la revisión de la empresa Café Chocolat (ver anexo),
y ha identificado los siguientes cuatro (04) hallazgos. Indique cuáles son las afirmaciones del caso
que fundamentan dichos hallazgos (mínimo 01 por cada uno).
Indicar sustentos relacionados al caso.
Hallazgo Afirmaciones
a No se ha renombrado la cuenta de administrador
en el servidor de dominio de red.
La cuenta es genérica y mantiene el
nombre “Administrador”.
b Existen debilidades en el procedimiento de
cambios a los sistemas de información.
No existe un registro de cambios, ni
evidencia de las pruebas, ni de la
conformidad del usuario antes de
impactar en producción.
c El procedimiento de pruebas de copias de
respaldo debe formalizarse.
Se refiere a las pruebas, no a la obtención
de pruebas de respaldo. Existe un
formato más no un procedimiento
documentado.
d Debe completarse la documentación de las
políticas de la unidad de Informática.
No se evidencia que existan políticas de
seguridad de información, ni plan de
recuperación ante desastres.
Pregunta 2 (06 puntos):
Usted se encuentra en una reunión con el personal de la unidad de Informática, sobre los
hallazgos antes indicados en la revisión de la empresa Café Chocolat (ver anexo).
El jefe de Informática indica que completarán la documentación de las políticas de tecnología de
información cuanto antes. Asimismo, como tiene conocimiento de que usted ha participado
paralelamente en la revisión de un grupo industrial muy conocido, le solicita que le proporcione la
documentación de las políticas y procedimientos de dicho grupo, con el fin de utilizarlos como
ejemplo.
Asimismo, cuando se comenta el hallazgo sobre la cuenta de administrador en el servidor de
dominio de red, el especialista de Soporte Técnico le exige que este hallazgo no se incluya en el
2. Facultad de Ingeniería de Sistemas y Electrónica 02/10/2014
Elaborado por: J. Cevallos 2014-II
informe final que se enviará a la casa matriz, ya que este hallazgo ya ha sido detectado por ellos y
se esperaba que esté solucionado antes del inicio de la auditoría.
Seleccione dos (02) lineamientos de Ética del Auditor de Sistemas, que debe aplicar en esta
situación, y fundamente su respuesta, utilizando el siguiente formato:
Son válidos: Privacidad y confidencialidad de la información, alto nivel de conducta, objetividad,
revelar hechos significativos (relacionado con los hechos de la auditoría en curso).
Lineamiento Fundamento
1.
2.
Pregunta 3 (05 puntos):
Luego de concluir la revisión de la empresa Café Chocolat, usted comenta al equipo de Auditoría
que tuvo varias dificultades para realizar su trabajo, debido a las siguientes situaciones:
- Existen conflictos entre el personal de la unidad de Informática de Perú y la de la casa
matriz, ya que la comunicación entre ellos es mínima y sólo se reúnen vía telefónica una
vez al mes.
- Existe poca disposición del personal de la unidad de Informática para brindar la
información solicitada, debido a que solamente está compuesta por dos personas y su
carga de trabajo es sumamente elevada.
- El especialista de Soporte Técnico viene atravesando una crisis familiar y se ausenta
continuamente del trabajo. En las entrevistas realizadas, ha manifestado continuamente
que la auditoría interrumpe sus actividades diarias.
El equipo de Auditoría le pregunta qué acciones piensa realizar para cuando se encuentre
nuevamente en un caso así. Tomando en cuenta las cualidades personales que debe tener todo
auditor, así como su experiencia profesional, sugiera una acción para cada una de ellas.
Las acciones sugeridas deben ser para el auditor, no para la empresa auditada.
Cualidad personal Acción a realizar
Capacidad de escucha
Intuición profesional
Equilibrio emocional y
dinamismo
Pregunta 4 (05 puntos):
Usted es un profesional que participa en una conferencia internacional sobre Auditoría de
Sistemas. En ella, conoce a 05 especialistas de Tecnología de Información que realizan actividades
asociadas a las funciones de Auditoría y a Control Interno.
Relacione el nombre de la función con el comentario de cada una de los profesionales (si aplica),
indicando en el recuadro de la derecha la letra correspondiente: A- Auditoría, B – Control Interno.
3. Facultad de Ingeniería de Sistemas y Electrónica 02/10/2014
Elaborado por: J. Cevallos 2014-II
Comentario Respuesta
“Soy Auditor Senior en una firma de auditoría externa, actualmente me encuentro
liderando la revisión a una AFP”.
A
“Como parte de mis labores, valido diariamente que en mi empresa no existan
usuarios cesados con cuentas activas en los sistemas de información”.
B
“Me encuentro participando en una auditoría interna al entorno de tecnología de
algunas oficinas en provincia”.
A
“Tengo previsto verificar que la documentación de los proyectos de Sistemas se
encuentre completa, antes de que inicie la auditoría”.
B
4. Facultad de Ingeniería de Sistemas y Electrónica 02/10/2014
Elaborado por: J. Cevallos 2014-II
Anexo: Caso: Café Chocolat (*)
Café Chocolat es una empresa de origen extranjero que produce café y chocolates con insumos
locales, y comercializa sus productos en varios centros comerciales de las principales ciudades de
Perú.
La unidad de Informática est á compuesta por dos personas, un jefe de Informática y un encargado
de Soporte Técnico. Los aplicativos de Sistemas que soportan las operaciones del negocio, son
administrados por la casa matriz, excepto por el aplicativo de Recursos Humanos, que ha sido
desarrollado por el jefe de Informática.
El jefe de Informática entregó copias de las políticas documentadas para la instalación y
adquisición de software y hardware. No se recibieron copias del Plan de Recuperación ante
Desastres, ni de las políticas de seguridad de información.
Se han establecido una cuenta de usuario para la administración del dominio de red de la
empresa, la cual es utilizada únicamente por personal de TI; esta cuenta se mantiene con el
nombre genérico “Administrador”.
Los cambios realizados al aplicativo de Recursos Humanos, son solicitados a través de correos
electrónicos, no se mantiene un registro de dichos cambios, las pruebas realizadas antes del
impacto a producción, o de la conformidad del usuario solicitante para el impacto de los cambios.
Todos los días viernes se realizan pruebas de restauración a cintas de respaldo de los servidores
locales, elegidas al azar. Asimismo, se documenta los resultados de las mismas mediante un
formato establecido. Este procedimiento de pruebas de restauración no se encuentra
formalmente documentado.
(*) Nombre ficticio de una empresa real.