P/A

Página 1 de 11

FECHA
ELABORACIÓN:

05-mayo-2022
__________________
____
PROGRAMA DE AUDITORÍA ACTUALIZACIÓN:
PROCEDIMIENTO RESPALDO
DE SERVIDORES Y BASES DE __V1__
DATOS DE ACUERDO CON EL
PROCEDIMIENTO. ELABORADO POR:
DIF ESTATAL Nathalia Ramón (NR)
CHIHUAHUA Lina Hurtado (LH)
Carolina Saa (CS)
Luisa Arias (LM)
Laura Camacho (LC)
Isabel Caro (IC).
Katherine Cubillos
(KC)

I. Propósito

El propósito de esta auditoria es entender como DIF ESTATAL CHIHUAHUA

maneja los procedimientos de respaldo de servidores y bases de datos.

Con este entendimiento se formulan los objetivos de la auditoria, se evalúa el

riesgo de que ocurran errores e irregularidades significativas con relación a
cada objetivo de auditoría, se respalda la evaluación del riesgo de que ocurran
errores e irregularidades significativas y se planean los procedimientos
restantes de auditoría.

El documento de análisis de procesos consta de las siguientes secciones: es el

programa de auditoria
1. Objetivos de la Auditoria
2. Alcance de la auditoria ( en fechas, universo y muestras )
3. Requerimientos.
4. Personal asignado.
5. Metodología

 Una vez estudiada y analizada la operación, se hará un resumen de los

problemas y fallas detectadas, agrupadas de acuerdo con el tipo de situación
que afectan. Posteriormente deberá visualizar las observaciones y posibles
recomendaciones a las situaciones de mejoramiento detectadas.
 Discusión del informe con los auditados.
 Elaboración del informe final, firmado por el auditor y los auditores que
participaron en la auditoria.

DESARROLLO DEL TRABAJO

 P/A
Página 2 de 11

Objetivo de la Auditoria:

Validar los respaldos periódicos de la información de la base de datos de

acuerdo con el procedimiento.

Alcance: 05 de Marzo al 12 de Marzo 2022

Requerimientos: Computador, escritorio, documentos, Conexión a Internet

Personal Asignado y tiempos: Grupo de Auditoria, Nathalia Ramón (NR), Lina

Hurtado (LH), Carolina Saa (CS), Luisa Arias (LM), Laura Camacho (LC),
Isabel Caro (IC), Katherine Cubillos(kC).

Metodología:
(-) Revisar el procedimiento para realizar los respaldos de la información.
(-) Revisar las políticas para la realización de los respaldos de la información.
(-) Validar con que periodicidad se realizan los respaldos de la información.
(-) Validar el lugar de almacenamiento de los respaldos de la información.
(-)Verificar si se realizan pruebas a los respaldos de la información.
(-)Realizar pruebas de auditorías, general los papeles de trabajo
(-) Generar el informe borrador de auditoria

CLASES SIGNIFICATIVAS DE TRANSACCIONES Y CONTROLES

Sobre la base del entendimiento obtenido de las operaciones del proceso

relacionadas con las clases significativas de transacciones (CST) identifiquen
los riesgos y controles.

Clases de actividades Riesgos y Controles Pruebas de Auditoria

significativas de
transacciones
RIESGO: 1. Validación de la
AUTOMATICO 1. Fallos en la conexión realización de los
Se ejecuta proceso de red, causado por backup y los respaldos
automatizado perdida en el servicio de periódicos de la
para el respaldo de la internet. 2. información de la base
base de Interrupción del backup , de datos de la empresa
datos causada por la falta de
 P/A
Página 3 de 11

fluido eléctrico.
3. Perdida de la
información por la no
ejecución del proceso de
backup diario o semanal

CONTROL INTERNO:
1. Tener un servicio de
internet alterno con otros
proveedores.
2. Tener una UPS que
permite el trabajo de los
equipos, mientras se
restaura el servicio de
energía.
3. Realizar seguimientos
constantes a las copias
Backup si no se
ejecutaron, se deberá
ejecutar el proceso
manual al día siguiente.

MANUAL RIESGO 1. Validación de la

Se realiza una copia de realización de los
seguridad de 1. Fallos en la conexión backup y los respaldos
la base de datos de red, causado por periódicos de la
perdida en el servicio de información de la base
internet. de datos de la empresa

2. Interrupción del
backup , causada por la
falta de fluido eléctrico

3.Perdida de la
información por la no
ejecución del proceso de
backup diario o semanal

CONTROL INTERNO:

1. Tener un servicio de
internet alterno con otros
proveedores.
 P/A
Página 4 de 11

2.Tener una UPS que

permite el trabajo de los
equipos, mientras se
restaura el servicio de
energía.

3.Realizar seguimientos
constantes a las copias
Backup si no se
ejecutaron, se deberá
ejecutar el proceso
manual al día siguiente.

Realiza una copia RIESGO 1. Validación de la

completa del sistema realización de los
operativo 1. Fallos en la conexión backup y los respaldos
de red, causado por periódicos de la
perdida en el servicio de información de la base
internet. de datos de la empresa

2. Interrupción del
backup , causada por la
falta de fluido eléctrico

3.Perdida de la
información por la no
ejecución del proceso de
backup diario o semanal

CONTROL INTERNO:

1. Tener un servicio de
internet alterno con otros
proveedores.

2.Tener una UPS que

permite el trabajo de los
equipos, mientras se
restaura el servicio de
energía.

3.Realizar seguimientos
constantes a las copias
Backup si no se
ejecutaron, se deberá
 P/A
Página 5 de 11

ejecutar el proceso
manual al día siguiente.

Se guarda en el disco RIESGO 1. Validación de la

externo de red realización de los
1. Perdida, eliminación, backup y los respaldos
modificación o daño de periódicos de la
la base de datos, información de la base
causada por el personal de datos de la empresa
sin intención o accidente 2. Validación de
2. Perdida, eliminación, controles de acceso,
modificación o daño de navegación y descarga
la base de datos, para cada una
causada por la ejecución de las diferentes áreas
de un proceso de la empresa
inadecuado
3. Perdida, eliminación,
modificación o daño de
la base de datos,
causada por el personal
con mala intención
4. Robo, jaqueo,
encriptación e
Infecciones de la red por
el libre acceso a
cualquier pagina de
internet por parte del
personal e instalacion
de software maliciosos
5. Ataques a la red a
causa de malas
configuraciones en el
firewall
6. Perdida de
información a causa de
la falta de espacio en los
servidores
7. Daño en los
servidores, causado por
la instalacion de
software maliciosos
8. Perdida de la
infraestructura, recursos
e información causada
por incendio, desastre
natural o daño en
instalaciones.
 P/A
Página 6 de 11

CONTROL INTERNO:
claves de acceso.
2. Antes de dar acceso a
las bases de datos, se
entrena al personal y se
hace acompañamiento
durante la fase de
entrenamiento
3. Tener un proceso de
selección de personal
que permita contratar
personal adecuado y de
confianza
4. Restricciones de
navegación y descarga
de archivos, se debe
tener autorización y lo
realiza el personal de TI
5. Realizar campañas de
revisión al estado de
firewall y reportar las
novedades encontradas
al proveedor.
6. Instalar alertas que
informen cuando se está
agotando el espacio en
cada disco duro de los
servidores
7. Realizar bloqueos
para instalación de
programas, instalar
antivirus, tener sistemas
operativos actualizados
y sistemas de antivirus
actualizados.
8. Tener copias de
seguridad en una nube
bajo un contrato con
proveedores.

PRUEBAS DE AUDITORIA PARA EVALUAR LOS RIESGOS DE QUE

OCURRA ERRORES E IRREGULARIDADES EN EL PROCESO RESPALDO
DE SERVIDORES Y BASES DE DATOS.
 P/A
Página 7 de 11

Las pruebas de auditoria tienen como objetivo, verificar los controles que se
tiene establecidos para mitigar los riesgos del proceso a evaluar, en la
columna:
(1) se establece el tipo de prueba que se va a ejecutar se deberá relacionar
los objetivos, alcance y las metodologías que se van a emplear
(2) Se relaciona el resultado de la prueba
(3) Se relaciona las iniciales del auditor y la fecha en desarrollo la prueba
(4) Se referencia con los papeles de trabajo.

Naturaleza, alcance, Resultado (2) Hechos Ref P/T

metodología de los por y (4)
procedimientos de auditoria fecha (3)
(1)
Nombre de la Prueba: Se encontró 3 novedades N.R AS-
Respaldo de Servidores y de Backup sin ejecutar 04/05/20 VNPSB
Bases de Datos correctamente, 3 22 D
novedades donde se
registra personal no
autorizado por la empresa
Objetivo: Validar los respaldos para realizar la ejecucion
periódicos de la información de de respaldo de servidores
la base de datos de acuerdo al y 4 novedades donde no
procedimiento se registra al encargado de
realizar el backup
Alcance:
05 de Marzo al 12 de Marzo
2022

Metodología:
(-) Revisar el procedimiento
para realizar los respaldos de
la información.
(-) Revisar las políticas para la
realización de los respaldos de
la información.
(-) Validar con que
periodicidad se realizan los
respaldos de la información.
(-) Validar el lugar de
almacenamiento de los
respaldos de la información.
(-) Verificar si se realizan
pruebas a los respaldos de la
información. (-) Realizar
pruebas de auditorías, general
los papeles de trabajo (-)
 P/A
Página 8 de 11

Generar el informe borrador de

auditoria.
Nombre de la Prueba: Se encontró 4 novedades N.R
Controles de acceso de empleados no 04/05/20 AS-
autorizados a tener perfil 22 VNPSB
de usuario Master con D
acceso total a modificar
Objetivo: Verificar los controles información, 3 novedades
de acceso para cada una de de personal retirado de la
las diferentes áreas compañía que aun cuenta
con usuario y permisos en
Alcance: estado "Activo"
05 de Marzo al 12 de Marzo
2022

Metodología:

(-) Validar la lista de

empleados con cargos que se
encuentran laborando.
(-) Validar el estado (activo o
inactivo) de los usuarios
actuales.
(-) Validar las personas que
están autorizadas para poder
realizar el proceso de
autorización de cada área. (-)
Realizar pruebas de
auditorías, general los papeles
de trabajo (-) Generar el
informe borrador de auditoría.

Nombre de la Prueba: Se encuentra que los N.R

Archivos log del servidor. respaldos de los archivos 04/05/20 AS-
log de los servidores de 22 VNPSB
encuentran correctamente D
actualizados, lo cual
Objetivo: Verificar los archivos significa que los equipo de
log del servidor. la compañía tienen los
parches de seguridad
Alcance: actualizados de acuerdo a
Del 05 de Marzo al 12 de las actualizaciones del
Marzo 2022 proveedor de la licencia
Windows.
Metodología:
(-) Revisar el procedimiento
para realizar los respaldos de
 P/A
Página 9 de 11

los servidores
(-) Validar con que
periodicidad se realizan los
respaldos de la información.
(-) Validar el lugar de
almacenamiento de los
respaldos de los servidores (-)
Realizar pruebas de
auditorías, general los papeles
de trabajo (-) Generar el
informe borrador de auditoria.

D. RESUMEN DE LOS HALLAZGOS

Observación (es) para mejorar el desempeño

Resuma la(s) observaciones de las situaciones encontradas del desempeño (si

hubiese) que se hayan identificado por medio del entendimiento del negocio de
la entidad. Esa información se puede documentar aquí o directamente en el
documento de observaciones para mejorar el desempeño (y hacer referencia la
mismo aquí.

Situación encontrada Recomendación Ref P/T

(FALTA (FALTA
NORMATIVIDAD Y NORMATIVIDAD Y
RIESGO) RIESGO)
Respaldo de servidores y Se recomienda verificar INF
base de datos diariamente y presentar
informe mensual donde
En la evaluación se evidencie la
realizada al respaldo de respectiva realización del
servidores y base de backup por la persona
datos se encontraron los encargada y restringir los
siguientes aspectos: permisos de acceso para
evitar la vulnerabilidad de
Se encontró Se encontró la información y prevenir
3 novedades de Backup el daño de los servidores,
sin ejecutar la implementación de
correctamente, 3 esta sugerencia podría
novedades donde se disminuir los riesgos
registra personal no asociados a filtración de
autorizado por la información confidencial,
empresa para realizar la perdida de información,
ejecución de respaldo de suplantaciones de la
servidores y 4 novedades información de la
donde no se registra al compañía, con el fin de
 P/A
Página 10 de 11

encargado de realizar el priorizar la salvaguarda

backup, situaciones que de la información que
incumplen lo hace parte del
establecido en el procedimiento de
procedimiento de respaldo de servidores y
respaldo de servidores y bases de datos
bases de datos
generando riesgos de
perdida de la información
y vulnerabilidad de esta.

Controles de acceso Se recomienda verificar INF

En la evaluación
realizada a los controles
de acceso de datos se
encontraron los
siguientes aspectos:
Se encontró se encontró
4 novedades de
empleados no
autorizados a tener perfil
de usuario Master con
acceso total a modificar
información, 3 asociados a filtración de
novedades de personal
retirado de la compañía
que aun cuenta con
usuario y permisos en
estado "Activo",
situaciones que
incumplen lo
establecido en el
procedimiento de control
de acceso generando
riesgos de
confidencialidad, perdida
de la información y
vulnerabilidad de esta.
los permisos otorgados a
los empleados en cuanto
el sistema dado que el
perfil de usuario master
debe ser restringido para
el personal para
salvaguardar los datos y
la confidencialidad de la
información de la
compañía, la
implementación de esta
sugerencia podría
disminuir los riesgos
información confidencial,
lo cual hace parte del
procedimiento de
controles de acceso
 P/A
Página 11 de 11

E) INFORME:

El informe deberá tener los siguientes aspectos.

 Carta Introductoria.
 Objetivos.
 Alcance.
 Metodología.
 Situaciones encontradas, Recomendaciones y Comentarios.
 Conclusión General de la Auditoria.