UNIVERSIDAD LUTERANA SALVADOREA FACULTAD DEL HOMBRE Y LA NATURALEZA LICENCIATURA EN CIENCIAS DE LA COMPUTACIN

Ctedra: Aud t!r a

de " "te#a"

Tra$a%! de I&'e"t (a) *&: +Aud t!r a de, )!#-,e%! edu)at '! Pr!./ Car,!" L!'at!0 INTE1RANTES: 2ua& 2!"3 F,!re" CATEDRATICO: L )/ Ra4, )a"t ,,!

Fe)5a: 678698 76:7 INDICE: TEMA: PA1INA 1. I&tr!du)) *&///////////////////////////////////////////////////////////////////////////////////////; 2. O$%et '!"////////////////////////////////////////////////////////////////////////////////////////////< 3. 2u"t . )a) *& = a,)a&)e/////////////////////////////////////////////////////////////////////> 4. A&te)ede&te"/////////////////////////////////////////////////////////////////////////////////////9 5. Dat!" &"t tu) !&a,e"////////////////////////////////////////////////////////////////////////?@ A 6. P,a&ea) *&//////////////////////////////////////////////////////////////////////////////////////////B 9/:Or(a& (ra#a///////////////////////////////////////////////////////////////////////////////////////:6 9/7I&'e&tar !///////////////////////////////////////////////////////////////////////////////////////////:78:7 9/;RaC!&e" de ,a aud t!rDa////////////////////////////////////////////////////////////////////:;8:< ? O$%et '!" de ,a aud t!rDa//////////////////////////////////////////////////////////////////// :> A Carta///////////////////////////////////////////////////////////////////////////////////////////////////// :9 B D )ta#e& . &a,////////////////////////////////////////////////////////////////////////////////////// :? :6 Ha,,aC(! "e(ur dad .D" )a///////////////////////////////////////////////////////////////// :A :: Ha,,aC(! "e(ur dad de, -er"!&a,///////////////////////////////////////////////////// :B :7 Ha,,aC(! "e(ur dad de 5ardEare = "!.tEare////////////////////////////////// 76 :; Ha,,aC(! de "e(ur dad de dat!"////////////////////////////////////////////////////// 7: :< A&eF!"/////////////////////////////////////////////////////////////////////////////////////////////// 77 1

AUDITORIA INFORMTICA

Cue"t !&ar ! de Se(ur dad .D" )a///////////////////////////////////////////////////////// 7; :> Cue"t !&ar ! de "e(ur dad de -er"!&a,/////////////////////////////////////////7</ :9 Cue"t !&ar ! de "e(ur dad de HardEare = "!.tEare///////////////////// 7> :? Cue"t !&ar ! de dat!"//////////////////////////////////////////////////////////////////////79 :A B $, !(ra.Da/////////////////////////////////////////////////////////////////////////////////////////7? INTRODUCCIN:
La tecnologa informtica (hardware, software, redes, bases de datos, etc.) es na herramienta estrat!gica " e brinda rentabilidad # $enta%as com&etiti$as a los negocios frente a otros negocios similares en el mercado, &ero & ede originar costos # des$enta%as si no es bien administrada &or el &ersonal encargado.

La sol ci'n clara es entonces reali(ar e$al aciones o&ort nas # com&letas de la f nci'n informtica, a cargo de &ersonal calificado, cons ltores e)ternos, a ditores en informtica o e$al aciones &eri'dicas reali(adas &or el mismo &ersonal de informtica. * rge entonces la ob$ia necesidad de a ditar la f nci'n informtica, #a " e res lta innegable " e la misma se ha con$ertido en na herramienta &ermanente # necesaria de los &rocesos &rinci&ales de los negocios, en n aliado confiable # o&ort no. +sto es &osible si se im&lementan los controles # es" emas de seg ridad re" eridos &ara s aseg re # &rom e$a el b en a&ro$echamiento '&timo. ,na $e( " e la alta n rea inde&endiente " e so # a&ro$echamiento de la tecnologa de direcci'n com&renda la im&ortancia de contar con

informtica, #a & ede delegar la res&onsabilidad en &ersonal altamente ca&acitado &ara e%ercer la a ditora en informtica dentro de la organi(aci'n de manera formal # &ermanente. -ebemos recordar " e en los tiem&os modernos e)isten grandes retos tanto dentro de la em&resa &ri$ada como tambi!n en las instit ciones del estado, si se & ede obser$ar &or " e los &res & esto del estado son tan altos &ero no tienen los res ltados es&erados en otras &alabras no es efica( es &or" e alg nas $eces los rec rsos no se estn tili(ando de la manera necesaria e indicada. -ebido a esto solamente se &retende hacer solamente na a ditora de de est na forma sencilla en tan formar &oder contrib ir al na instit ci'n del estado #

me%oramiento # rendimiento del l rea informtica del .com&le%o ed cati$o /rof. 0arlos Lobato1. 2

AUDITORIA INFORMTICA

+l &ro&'sito de estar lle$ando a cabo dicho &ro#ecto es con el fin de &oder contrib ir con el &ersonal asignado a administrar el centro de com& to &ro$e#!ndole alg nas recomendaciones # herramientas necesarias &ara " e el rendimiento de este sea ms o&timo2 # de esta manera hacer ms eficiente la f nci'n corres&ondiente del centro de com& to &ara " e la instit ci'n c m&la s s ob%eti$os &ro& estos. OB2ETIVOS: 1ENERAL: +$al ar # $erificar &olticas, controles, &rocedimientos # seg ridad en los rec rsos dedicados al mane%o de la informaci'n2 s na tili(aci'n, eficiencia # seg ridad de la na instit ci'n a fin de " e &or medio del se3alamiento de c rsos alternati$os se logre tili(aci'n ms eficiente # seg ra de la informaci'n " e ser$ir &ara adec ada toma de decisiones. ESPECIFICOS: 1. +$al ar el dise3o # &r eba de los sistemas del rea de 4nformtica 2. -eterminar la $eracidad de la informaci'n del rea de 4nformtica 3. 0onstatar los &rocedimientos de control de o&eraci'n, anali(ar s estandari(aci'n # e$al ar el c m&limiento de los mismos. 4. 5erificar la forma como se administran los dis&ositi$os de almacenamiento bsico del rea de 4nformtica 5. 0orroborar el control " e se tiene sobre el mantenimiento # las fallas de las /cs. 6. 5erificar " e los &rogramas obtengan s legali(aci'n. 6. 7acer
n $al8o de los costes del anlisis f ncional, el anlisis orgnico, la &rogramaci'n, las &r ebas de &rogramas, &re&araci'n de datos # costes de desarrollo de cada a&licaci'n medido en horas.

2USTIFICACIN: La a ditora " e se $a a reali(ar en el com&le%o ed cati$o /rof. 0arlos Lobato es de $ital im&ortancia &ara el b en desem&e3o de los sistemas de informaci'n, #a " e &ro&orciona los controles necesarios &ara " e los sistemas sean confiables # 3

AUDITORIA INFORMTICA

con

n b en ni$el de seg ridad. 9dems

se e$al ar todo: informtica,

organi(aci'n de centros de informaci'n, hardware # software. La e$al aci'n # control " e se $a a reali(ar tiene como ob%eti$o f ndamental me%orar la rentabilidad, la seg ridad # la eficacia del sistema mecani(ado de informaci'n en " e se s stenta dicha instit ci'n. +l fin de dicha a ditora es de constatar si s s acti$idades son correctas # de ac erdo a las normati$as informticas # generales &refi%adas en la instit ci'n1. +l sig iente &ro#ecto consiste en &oder lle$ar a cabo lo " e es la a ditora de el centro de com& to del com&le%o ed cati$o /rof. 0arlos lobato. +l desarrollo de este consiste en re$isar # $erificar si est siendo tili(ado el centro de com& to con los ob%eti$os de dicha instit ci'n, &oder obser$ar si el l gar es el indicado, la forma en " e ha sido distrib ido el e" i&o, si el so " e cada &ersona le da es correcto. /or otro lado obser$ar si es gil # $era( # o&ort na la informaci'n2 ;ambi!n obser$ar si el dise3o del centro de com& to es el adec ado, obser$ar detenidamente s estr ct ra de red el software " e se est tili(ando # de esta manera des& !s de finali(ado el &ro#ecto se harn las recomendaciones necesarias &ara &oder " e este f ncione de la me%or manera. ALCANCES: La a ditora ser reali(ada dentro de la instit ci'n afectando los distintos de&artamentos areas instit cionales: 1. 9<+9 -+ *4*;+=9* > /<?0+-4=4+@;?*. 2. 9<+9 9-=4@4*;<9;459 -+ /<?0+*?* +L+0;<?@40?* / 3. +59L,904?@ -+ L?* +A,4/?* -+ 0B=/,;?

AUDITORIA INFORMTICA

ANTECEDENTES:
+l 0om&le%o +d cati$o C/rofesor 0arlos LobatoC es na instit ci'n oficial del <amo de +d caci'n, con ac erdo oficial @o. 16DD de fecha 3 de febrero de 1DE2 # 0'digo de 4nfraestr ct ra @o. 12116, &ertenece al -istrito +d cati$o: FEGF1, Hona 1, ;elefa).: 2352G E625. * 0-+. est legalmente constit ido, en !l se enc entran re&resentados todos los sectores in$ol crados en el " ehacer ed cati$o instit cional. - rante el &erodo &residencial del 0oronel I lio 9dalberto <i$era (1D62G1D66), " i!n era originario de esta ci dad, f e constr ido el edificio &ara albergar al 4nstit to @acional CIos! *ime'n 0a3asC, el c al ofreca los ser$icios ed cati$os de /lan Jsico # Jachillerato. +n 1D63 el Jachillerato f e trasladado a n n e$o edificio, con$irti!ndose esta instit ci'n en ;ercer 0iclo de +nse3an(a JsicaC Ios! *ime'n 0a3asC, &ero en el a3o de 1DE2 debido a los a$ances de la <eforma +d cati$a de la !&oca # &or la creaci'n de las esc elas nificadas, la matrc la dismin #' grandemente, de tal manera " e se &ens' en am&liar el ser$icio ed cati$o # f e as como a iniciati$a de los &rofesores 9g stn 9rt ro ?rellana Li!$ano, Ios! 9ntonio <amos /iche, h., 0ristina +scoto de 0h$e(, <osa 9melia <e#es de 0r ( # =ig el Kngel @'che( Lon(le( (e) Gdirector), se f nd' el ahora 0om&le%o +d cati$o C/rof. 0arlos LobatoC +l 0om&le%o +d cati$oC /rof. 0arlos LobatoC es n centro oficial &8blico #, &or tanto, abierto a todos los al mnos # al mnas " e re8nan los re" isitos acad!micos establecidos &or la Le# inde&endientemente de s ra(a, se)o o creencias religiosas. *e manifiesta aconfesional # res&et oso con todas las creencias. adoctrinamiento. 4g almente se manifiesta &or el &l ralismo ideol'gico # &oltico # &or la ren ncia a todo ti&o de

DATOS

INSTITUCIONALES:

AUDITORIA INFORMTICA

INFORMACIN DEL CENTRO ESCOLAR : Nombre del Centro Escolar: Centro Escolar COMPLEJO EDUCATIVO PROF CARLO! LO"ATO# Ub$cac$%n &eo'r()$ca: El Centro Escolar COMPLEJO EDUACATIVO PROF CARLO! LO"ATO# est( *b$cado )$nal doce calle Pon$ente + se,ta a-en$da norte .acatecol*ca Tel: /001 12/3 !$t$o 4eb: 5tt677: Ce6cl La6a8 ed* s-7 VISIN F!r#ar a,u#&!"Ga"H )!& u& a,t! (rad! de de"arr!,,! de "u" 5a$ , dade" = de"treCa" )!(& t 'a"@ Iue ,e" -er# ta& adIu r r a-re&d Ca%e" de )a, dad@ "u"te&tad!" e& -r!.u&d!" 'a,!re" 3t )!" = #!ra,e" Iue ,!" -re-are e& .!r#a" e. ) e&te = e. )aC -ara de"e&'!,'er"e *-t #a#e&te e& ,a "!) edad@ de#!"tra&d! (ra& MISIN:
De"arr!,,ar e& "u" a,u#&!"Ga"H "a$ere" = )!#-ete&) a" &te,e)tua,e"@ .D" )a"@ e#!) !&a,e" = "!) a,e" Iue ,e -er# ta& re"!,'er "at ".a)t!r a#e&te ,!" de"a.D!" Iue "e ,e" -re"e&ta e, d ar ! ' ' r@ e& u& a#$ e&te de "a&a )!&' 'e&) a de#!)rt )a@ -r ' ,e( a&d! ,a )!eF "te&) a -a)D. )a@ ada-t&d!"e a ,a ra- deC de, )a#$ ! de, #u&d! de 5!=@ re"-eta&d! "u #ed ! a#$ e&te = $a"&d!"e e& u&a "*, da edu)a) *& e& 'a,!re" = e& u& (ra& "e&t d! -!" t '! de ,a ' da/

Or e&tar e, Iue 5a)er -eda(*( )! 5a) a ,a .!r#a) *& de, e"tud a&te #ed a&te e, -r!)e"! de -art ) -a) *& de ,a )!#u& dad edu)at 'a de ,a &"t tu) *& Iue -er# ta e, de"arr!,,! de "u" -!te&) a, dade" -ara Iue "ea )!#-ete&te e& ,!" a"-e)t!" )!#u& )at '!@ &'e"t (at '!@ )r t )!@ )reat '!@ t!,era&te@ aut*&!#! = de#!)rt )!@ re"-!&d e&d! a"D a ,!" ret!" #-ue"t!" -!r ,a "!) edad e& e, #$ t! ,!)a,@ re( !&a, = OB2ETIVO:

IDEARIO:

AUDITORIA INFORMTICA

1. Creat ' dad: 0a&acidad &ara crear, organi(ar # lle$ar a cabo &ro& estas no$edosas. 2. H!&e"t dad: / dor, recato en las acciones, decencia, rbanidad. 3. C!#-r!# "!: 0on$icci'n &or la defensa de na ca sa. ?bligaci'n &ro&ia de c m&lir na &romesa o na acci'n. 4. Or e&ta) *& a, "er' ) !: 4nclinaci'n # deseo de satisfacer las necesidades de las &ersonas " e con$i$en o estn alrededor n estro. 5. Or e&ta) *& a, re"u,tad!: 4nclinaci'n &or la obtenci'n de &rod ctos concretos de los &lanes # &ro#ectos " e nos tra(amos. 6. Tra$a%! e& EIu -!: 0a&acidad de coo&erar en la &laneaci'n, e%ec ci'n # e$al aci'n de &ro#ectos com nes. 6. S!, dar dad: *entimiento " e im& lsa a los hombres a &resentar na a# da m t a.

PLANEACIN DE AUDITORJA: N!#$re de ,a e#-re"a: 0om&le%o +d cati$o /rofesor 0arlos Lobatos. D re)) *&: +l 0entro +scolar .0?=/L+I? +-,909;45? /<?M. 09<L?* L?J9;?1 est bicado final doce calle /oniente # se)ta a$enida norte Hacatecol ca. ;el: 2334 462F *itio Neb: htt&OO: 0e&cl.La&a(.ed .s$O Fe)5a de & ) a) *& de !-era) !&e": 5iernes 16 de mar(o del 2F12 1 r! de, &e(!) !: 4nstit ci'n ed cati$a O$%et '!" de ,a e#-re"a: Mormar al mnos(as) con n alto grado de desarrollo &rofesional " e les &ermita desen$ol$erse de na forma eficiente # en s entorno social # c lt ral. O$%et '!" de, )e&tr! de )*#-ut!: 9tender las necesidades com& tacionales # =antener de manera integra la informaci'n # el e" i&o &ara ser tili(ado en el momento " e se necesite &or el &ersonal de la instit ci'n ed cati$a. 6

AUDITORIA INFORMTICA

/9 Ob:et$-os + 6ro6%s$tos del d$a'nost$co:

+)aminar en forma global # constr cti$a la estr ct ra de la +ntidad: 0om&le%o ed cati$o /rofesor 0arlos Lobato enfocndose a s o&eraci'n # organi(aci'n h mana # % rdica. de&artamento de com& to, contem&lando as&ectos como: &lanes # ob%eti$os, m!todos # controles, formas de

Krea" a re' "ar:

4. 9<+9 -+ *4*;+=9* > /<?0+-4=4+@;?*. 5. 9<+9 9-=4@4*;<9;459 -+ /<?0+*?* +L+0;<?@40?* / 6. +59L,904?@ -+ L?* +A,4/?* -+ 0B=/,;?.

09 Or'an$'rama de la ent$dad

C/D/E

DIRECCION

SUBDIRECCION

DOCENTES

CENTRO DE COMPUTO

Per"!&a, ad# & "trat '! a

19 Entre-$stas 6re-$as:

AUDITORIA INFORMTICA

Las entre$istas estarn dirigidas al &ersonal res&onsable del rea informtica o a " ien este de res&onsable de la administraci'n #Oo o&eraci'n de los sistemas # e" i&os de la entidad a a ditar. Area" a e&tre' "tar: 1. +ncargado del rea de informtica. 2. /rofesores " e im&arten informtica. 3. /ersonal administrati$o. O- & *&: Malta de coordinaci'n en toma de decisiones, falta de &olticas. Pr!$,e#a: +)iste falta de doc mentaci'n # organigrama en el rea administrati$a, ;ambi!n falta de na red " e abar" e todas las reas del centro ed cati$o.

Su(ere&) a": +laboraci'n de doc mentaci'n # establecer n organigrama en el rea informtica. Re"u#e& (e&era,: *eg8n lo obser$ado en el com&le%o ed cati$o 0arlos Lo$ato es falta de doc mentaci'n Malta de $elocidad en internet, /ermitir " e todas las reas est!n conectadas en red, falta de alg nas licencias en com& tadoras " e sa la secretaria # colect ra. I&'e&tar ! de eIu -! Iue e"t e& u"! e& e, )e&tr! de )*#-ut!: CANTIDAD
1/ 1/ 1/ 1/ 1/ 1/ < < <

DESCRIPCION
CPU MONITORE! TECLADO! MOU!E MUE"LE! !PEA;ER IMPRE!OR MULTI FUNCION Pace Panel !er-$dor

AUDITORIA INFORMTICA

Sa,a de d!)e&te": Ca&t dad 9 9 9 9 9 : C/P/U/ M!& t!re" Te),ad!" M!u"e S-eaLer I#-re"!r De")r -) *&

Se)retarDa@ D re)) *&@ C!,e)turDa: Ca&t dad ; ; ; ; ; Deter# &a) *& de, rea a e"tud ar: Krea de " "te#a" = -r!)ed # e&t!"/ RaC!&e":

De")r -) *& M!& t!r C/P/U/ M!u"e Te),ad!"/ I#-re"!re"/

1) /oder obser$ar la descri&ci'n general de los sistemas instalados # de los " e

est!n &or instalarse " e contengan $ol8menes de informaci'n.

2) <e$isar el man al de &rocedimientos de los sistemas. 3) +$al ar los sistemas de informaci'n en general desde s s entradas, &rocedimientos, controles, archi$os, seg ridad # obtenci'n de informaci'n. 4) 5erificar la adec aci'n del sistema o&erati$o, $ersi'n del software tili(ado, como
en los as&ectos relati$os a la &rogramaci'n de las distintas a&licaciones, &rioridades de e%ec ci'n, leng a%e tili(ado.

5)

$erificar " e la doc mentaci'n relati$a al sistema de informaci'n sea clara, &recisa, act ali(ada # com&leta.

1F

AUDITORIA INFORMTICA

Krea ad# & "trat 'a de -r!)e"!" e,e)tr*& )!": RaC!&e": 1. <eco&ilar informaci'n &ara obtener na $isi'n general del de&artamento &or medio de obser$aciones, entre$istas &reliminares # solicit d de doc mentos &ara &oder definir el ob%eti$o # alcances del de&artamento. 2. 5erificar los <egistras de los costos en el desarrollo de la a&licaci'n # contem&lar el ni$el de ser$icio en t!rminos de calidad # tiem&os mnimos de entrega de res ltados de la o&eraci'n del com& tador. 3. 9nali(ar el man al de organi(aci'n del rea " e incl #a & estos, f nciones,
ni$eles %err" icos # tramos de mando.

4. *olicitar el man al de &olticas, reglamentos internos # lineamientos generales.

@8mero de &ersonas # & estos en el rea. /rocedimientos administrati$os del rea. /res & estos # costos del rea.

5. 9nali(ar los costes de &ersonal directamente relacionado con el sistema de

informaci'n.

E'a,ua) *& de ,!" eIu -!" de )*#-ut!: RaC!&e": 1. <e$isar n8mero de e" i&os, locali(aci'n # las caractersticas (de los e" i&os
instalados, &or instalar # &rogramados).

2. 0onocer las fechas de instalaci'n de los e" i&os # &lanes de instalaci'n. 3. <e$isar la config raci'n de los e" i&os # s s ca&acidades act ales. 4. <e$isar las &olticas de so de los e" i&os. 11

AUDITORIA INFORMTICA

5. <e$isar el man al en el " e se enc entra estr ct rada la forma en " e se da el

mantenimiento al e" i&o informtico.

Comentar$os 'enerales

C!#e&tar !": 0on esta informaci'n " eremos considerar las caractersticas de conocimientos, &rctica &rofesional # ca&acidad " e tiene el &ersonal encargado de la administraci'n de informtica de esta instit ci'n.

12

OB2ETIVOS DE LA AUDITORJA INFORMKTICA EN EL COMPLE2O EDUCATIVO CARLOS LOBATO/ OB2ETIVO 1ENERAL: ;ener n &anorama act ali(ado de los sistemas de informaci'n en c anto a la seg ridad fsica, las &olticas de tili(aci'n, transferencia de datos, seg ridad de los archi$os # el &ersonal " e labora en la instit ci'n. OB2ETIVOS ESPECIFICOS: 1. *e e$al aran la e)istencia # la a&licaci'n correcta de las &olticas de seg ridad, emergencia # desastres de la instit ci'n. 2. *e efect ar na e$al aci'n de la seg ridad del e" i&o, software # datos. 3. ;ambi!n se $erificar " e la seg ridad de los c'm& to. s arios del centro de

9,-4;?<P9 -+ *4*;+=9*: 9sesora # a ditora de c'm& to Hacatecol ca 2 de I nio del 2F12 *r. -irector, Jen%amn -a( @ ila: =e &ermito remitir a sted el informe de res ltados de la a ditora &racticada en las instalaciones del 0om&le%o +d cati$o /rof. 0arlos Lobato, " e se reali(' desde el da dos de abril al $einticinco de ma#o del a3o en c rso. La re$isi'n reali(ada f e de carcter integral # com&rendi' la e$al aci'n # com&rendi' la e$al aci'n, de la estr ct ra de la organi(aci'n, la o&eraci'n del 13

sistema, el c m&limiento de las acti$idades # f nciones asignadas al &ersonal # la re$isi'n a los res ltados de la gesti'n informtica. +n el citado informe encontrar el dictamen # las condiciones a las c ales se lleg' des& !s de la a&licaci'n de las t!cnicas # &rocedimientos de la a ditora de sistemas de ti&o integral. A edo a s s 'rdenes &or c al" ier cons lta o aclaraci'n al res&ecto.

M:QQQQQQQQQQQQQQQQQQQQQQQQQQQQ I an Ios! Mlores <es&onsable.

0?=/L+I? +-,09;45? /<?M. 09<L?* L?J9;?. Hacatecol ca 2 de I nio del 2F12. /rofesor Jen%amn -a( @ ila -irector, &resente: -e ac erdo con las instr cciones giradas de la administraci'n de la instit ci'n a s digno cargo me &ermito remitir a sted el dictamen de la a ditora &racticada en el centro de c'm& to con es&ecialidad en la administraci'n, f ncionamiento # o&eraci'n del sistema de red de esa instit ci'n. -e los res ltados obtenidos d rante la e$al aci'n me &ermito informarle a sted lo sig iente: a) *eg ridad Msica b) *eg ridad del &ersonal c) *eg ridad del *oftware # hardware d) *eg ridad de los datos. -e ac erdo con las &r ebas reali(adas a la administraci'n, f ncionamiento # o&eraci'n # de ac erdo con los criterios de e$al aci'n recomiendo me &ermito dictaminar # recordar. 9tentamente: 14

I an Ios! Mlores.

SE1URIDAD FISICA: ?JI+;45? L+@+<9L: /oder determinar las debilidades # fortale(as en la seg ridad fsica del e" i&o # el edificio donde se enc entra instalado el sistema de informaci'n # s s &olticas sobre la seg ridad, # l ego &oder hacer alg nos se3alamientos " e contrib irn con las me%oras de esta. ?JI+;45?* +*/+04M40?*: 1. <e$isi'n de las &olticas # @ormas sobre seg ridad Msica de los e" i&os. 2. 5erificar la estr ct ra de la distrib ci'n de los e" i&os # la correcta tili(aci'n. 3. 5erificar la condici'n del centro de c'm& to # e$al ar si e)iste n man al donde e)&li" e los &rocedimientos &ara efect ar el mantenimiento. 9L09@0+*: La a ditora se reali(ar haciendo na constataci'n de las diferentes a&licaciones t!cnicas de *eg ridad # /rotecci'n " e tienen " e e)istir en el e" i&o del centro de c'm& to. HALLAZ1OS EN CONTRADOS: INSTITUCIN: AREA AUDITADA: FECHA: REF CONDICIN : @o e)iste n man al de &lanes de mitigaci'n de riesgos. C!#-,e%! edu)at '! Pr!./ Car,!" L!$at!/ Se(ur dad FD" )a/ 7> de #a=! de, 76:7 CRITERIO CAUSA EFECTO 9rt. 13D.G La -ice " e no +l &roblema es -irecci'n de le han " e en n 4nformtica deber entregado de momento elaborar la /oltica # &arte de s s / eda oc rrir /lan de lderes dicho n siniestro # no 0ontingencia de los man al. habr forma de sistemas de &oder informaci'n " e restablecer el &ermita contin ar sistema. o&erando en casos 15

RECOMENDACIN *e les recomienda &oder elaborar na man al de contingencias.

@o se enc entran man ales de fsicos de &rocesos &ara mantenimiento 2

de siniestros, fallas etc. 9rt. 15F. La @o lo han -irecci'n de elaborado 4nformtica, a tra$!s toda$a. de la Lerencia de *o&orte ;!cnico, tendr la res&onsabilidad de garanti(ar el mantenimiento &re$enti$o # correcti$o del e" i&o informtico # =an al de *o&orte de *istemas -escentrali(ados.

Lo " e esto & ede ocasionar es " e se &ierda el control del mantenimiento.

*e recomienda elaborar lo antes &osible este man al de so&orte &ara n b en de control.

SE1URIDAD DEL PERSONAL: ?JI+;45? L+@+<9L: 5erificar si se han ado&tado medidas de seg ridad en los diferentes de&artamentos del rea informtica con res&ecto al &ersonal " e labora en dicha instit ci'n. ?JI+;45?* +*/+04M40?*: 1. 0onstatar si se ha instr ido el &ersonal sobre " ! medidas tomar en caso de " e se enc entren en alg8n &eligro #a sea &or desastre nat ral o de otra ndole. 2. 5erificar si e)isten &olticas " e reg arden la integridad fsica de las &ersonas.. 3. 0onstatar si las instalaciones c entan salidas de emergencias, sistema de alarma &or &resencia de f ego, h mo, as como e)tintores de incendio en cone)iones el!ctricas.

9L09@0+: 16

<e$isi'n de &olticas # normas " e dicten las acciones a tomar en caso de alg8n &eligro o alarma " e $a#a en &er% icio de la seg ridad de los s arios. HALLAZ1OS INSTITUCIN: AREA AUDITADA: FECHA: REF CONDICIN / dimos constatar " e 1 no e)iste salida de emergencias. @o e)isten e)tintores de 2 f ego. +laborado &or: 9&robado &or: C!#-,e%! edu)at '! Pr!./ Car,!" L!$at!/ Se(ur dad de, -er"!&a,/ 7> de #a=! de, 76:7 CRITERIO CAUSA EFECTO @o ha# +se es el / ede $er alg8n dise3o atascamiento de los " e est s arios a la hora tili(ando de alg na el =ined. emergencia @o encontramos @o se los / ede oc rrir n ha incendio # no habr facilitado forma de el e)ting irlo. director. I an Ios! Mlores Jen%amn -a( @ ila.

RECOMENDACIN +s necesario crear na & erta de emergencia. *e recomienda com&rar e)tintores lo ms &ronto &osible.

SE1URIDAD DEL SOFTMARE Y HARDMARE: ?JI+;45? L+@+<9L:

0om&robar " e la adec aci'n de hardware, sistema o&erati$o, $ersiones del software tili(ado, como tambi!n en los as&ectos relati$os a la &rogramaci'n de las distintas a&licaciones, &rioridades de e%ec ci'n, leng a%e tili(ado # la doc mentaci'n necesaria haga constar " e e)iste na administraci'n adec ada " e garantice la seg ridad de la &arte tangible e intangible de los e" i&os de c'm& to. +*/+04M40?*:

1) 0om&robar la e)istencia de n &lan de acti$idades &re$io a la instalaci'n de e" i&os. 2) <atificar si e)isten garantas &ara &roteger la integridad de los rec rsos
informticos. 3) +$al ar si e)isten &lanes e informes del mantenimiento de e" i&os # del software tanto &re$enti$o como correcti$os.

9L09@0+*: /oder obser$ar # e$al ar la descri&ci'n general de los e" i&os instalados &ara hacer na $alori(aci'n de la seg ridad en todos s s as&ectos tanto en el hardware como tambi!n en el sistema o&erati$o # &rogramas. INSTITUCIN: C!#-,e%! edu)at '! Pr!./ Car,!" L!$at!/ AREA AUDITADA: *eg ridad del hardware # software. FECHA: 25 de ma#o del 2F12 16

REF

CONDICIN @o se encontraron las licencias de =icrosoft office.

CRITERIO 9rt. 146.G La -irecci'n de 4nformtica, a tra$!s de la Lerencia de *o&orte ;!cnico deber controlar # mantener ba%o c stodia fsica los originales de las licencias &ara el so del software. I an Ios! Mlores Jen%amn -a( @ ila.

CAUSA @o se han ido a traer al =ined.

EFECTO / ede darse n &roblema con alg na a ditora &or &arte de los ministerios encargados de $elar contra la &iratera.

RECOM I *e reco manten la legal necesa

+laborado &or: 9&robado &or:

SE1URIDAD DE LOS DATOS: ?JI+;45? L+@+<9L:

1. 0orroborar si e)iste integridad # seg ridad en los sistemas de gesti'n de las bases de datos o si se han form lado &olticas res&ecto a s seg ridad, &ri$acidad # &rotecci'n de las facilidades de &rocesamiento ante e$entos como: incendio, $andalismo, robo # so indebido, intentos de $iolaci'n etc. ?JI+;45?* +*/+04M40?*: 1. 5erificar si e)isten restricciones # control &ara accesar a la base de datos de la instit ci'n # si la interfa( " e e)iste entre el *LJ- # el *? es el adec ado. 2. 0om&robar si las bases de datos g ardan la informaci'n necesaria # adec ada &ara la instit ci'n ed cati$a # si e)iste n control estricto de las co&ias de estos archi$os, la e)isten bacR &s # s seg ros. 3. +$al ar si se han im&lantado cla$es o &assword &ara garanti(ar o&eraci'n de consola # e" i&o central (mainframe), a &ersonal a tori(ado. 9L09@0+*: 1E resg ardo en l gares

<e$isi'n de man ales " e contengan las &olticas de seg ridad de las bases de datos # hacer n che" e de la f nci'n de los gestores de base de datos # s informaci'n corres&ondiente. HALLAZ1OS:

INSTITUCIN: AREA AUDITADA: FECHA: REF CONDICIN / @o se encontrar'n normas # &olticas &ara el resg ardo de las bases 1 de datos.

C!#-,e%! edu)at '! Pr!./ Car,!" L!$at!/ Se(ur dad de ,!" dat!"/ 7> de #a=! de, 76:7 CRITERIO 9rt. 145.G La -irecci'n de 4nformtica ser la res&onsable de la administraci'n integral del modelo de datos l'gico # fsico de la base de datos de los sistemas de informaci'n de la 4nstit ci'n, &ara lo c al debern elaborarse las normas # &olticas res&ecti$as. 9rt. 155.G La -irecci'n de 4nformtica debe dise3ar controles de a&licaci'n en la entrada, &rocesamiento # salida de informaci'n &ara &re$enir " e la informaci'n se e)tra$e. I an Ios! Mlores Jen%amn -a( @ ila. CAUSA +l encargad o no haba ledo el control interno. EFECTO @o e)istir n control adec ado &ara el resg ardo de la informaci'n. RECOMENDACIN *e solicita crear normas # &olticas lo ms &ronto sea &osible.

.@o se elaboran bacR &s 2

-ice el administr ador " e lo haban &asado &or alto.

+n n incendio o c al" ier siniestro se har im&osible rec &erar la informaci'n.

0omen(ar lo ms &ronto &osible a crear bacR &s.

+laborado &or: 9&robado &or:

1D

ANENOS: CUESTIONARIO DE SE1URIDAD FISICA:

PRE1UNTA 1. S*e han ado&tado medidas de seg ridad en el de&artamento de sistemas de informaci'nT 2. S*e ha di$idido la res&onsabilidad &ara tener n me%or control de la seg ridadT 3. S+)iste &ersonal de $igilancia en la instit ci'nT 4. S*e in$estiga a los $igilantes c ando son contratados directamenteT 5. S+)iste na &ersona encargada de $elar el e" i&o # accesorios en el centro de c'm& to de c'm& to las 24 horasT 6. S*e registra el acceso al centro de c'm& to de &ersonas a%enas

SI

NO

2F

a la direcci'n de informticaT 6. SLos interr &tores de energa # cables de red estn debidamente &rotegidos, eti" etados # sin obstc los &ara alcan(arlosT E. S*e re$isa frec entemente " e no est! abierta o descom& esta la cerrad ra de esta & erta # de las $entanas, si es " e e)istenT

D. S*e ha &rohibido a los o&eradores el cons mo de alimentos #

bebidas en el interior del de&artamento de c'm& to &ara e$itar da3os al e" i&oT

1F. S*e lim&ia con frec encia el &ol$o ac m lado en el &iso # los
e" i&osT

11. S*e tiene na calendari(aci'n de mantenimiento &re$enti$o &ara

el e" i&oT

12. SLas caractersticas fsicas del centro de c'm& to son seg ras S 13. SLa distrib ci'n de los " i&os de c'm& to es adec adaT 14. S+)isten &olticas de seg ridad &ara el centro de c'm& toT

CUESTIONARIO SE1URIDAD DEL PERSONAL: NO 1 centro de c'm& toT S*e ha instr ido a estas &ersonas sobre " ! medidas tomar en caso de " e 2 3 4 5 " e oc rra na emergencia ocasionado &or f egoT S*e ha adiestrado a todo el &ersonal en la forma en " e se deben desalo%ar 6 las instalaciones en caso de emergenciaT S;ienen man ales " e contengan normas # &olticas de seg ridad del 6 E &ersonalT S+)isten man ales # &olticas de mitigaci'n de riesgosT alg ien &retenda entrar sin a tori(aci'nT S+l centro de c'm& to tiene salida de emergenciaT S*e ha adiestrado el &ersonal en el mane%o de los e)tintoresT S*aben " e hacer los o&eradores del de&artamento de c'm& to, en caso de PRE1UNTA S*e han ado&tado medidas de seg ridad &ara el &ersonal # s arios del SI NO

21

SE1URIDAD DE SOFTMARE Y HARDMARE:

NO 1

PRE1UNTA S*e han instalado e" i&os " e &rote%an la informaci'n # los dis&ositi$os en caso de $ariaci'n de $olta%e como: reg ladores de $olta%e, s &resores &ico, ,/*, generadores de energaT S*e hacen re$isiones &eri'dicas # sor&resi$as del contenido del disco &ara $erificar la instalaci'n de a&licaciones no relacionadas a la gesti'n de La instit ci'nT S*e mantiene &rogramas # &rocedimientos de detecci'n e inm ni(aci'n de $ir s en co&ias no a tori(adas o datos &rocesados en otros e" i&osT S+)isten controles " e garanticen el so adec ado de discos # accesorios de almacenamiento masi$oT S*e a&r eban los &rogramas n e$os # se re$isan antes de &onerlos en f ncionamientoT S+)iste n &rograma de mantenimiento &re$enti$o &ara cada dis&ositi$o del sistema de c'm& toT S+)iste legalidad de cada sistema o&erati$o o &rograma. S+)iste n &lan de acti$idades &re$io a la instalaci'nT +)iste doc mentaci'n " e garantice la &rotecci'n e integridad de los rec rsos informticos.

SI

NO

3 4 5 6 6 E D

1F

S+)isten normas o &rocesos " e no &ermitan hacer 22

11 12 13 14

=odificaciones en la config raci'n del e" i&o o intentarloT +)iste n control " e &rohba =o$er, desconectar #Oo conectar e" i&o de c'm& to sin a tori(aci'n.
+)isten in$entarios de hardware, e" i&os # &erif!ricos asociados # del software instalado. SLos sistemas de hardware se aco&lan adec adamente con la f nci'n del softwareT +)isten re$isiones &eri'dicas del hardware # software

CUESTINARIO DE SE1URIDAD EN LOS DATOS: NO : 7 ; < > 9 PRE1UNTA SLa organi(aci'n tiene n sistema de gesti'n de base de datos (*LJ-)T SLa interfa( " e e)iste entre el *LJ- # el *? es el adec adoT S+)iste n control estricto de las co&ias de estos archi$osT SI NO

SLas bases de datos g ardan la informaci'n necesaria # adec ada &ara la instit ci'n ed cati$aT S+)iste na &ersona res&onsable de la base de datos de la instit ci'nT S*e mantiene n registro &ermanente (bitcora) de todos los &rocesos reali(ados, de%ando constancia de s s&ensiones o cancelaciones de &rocesosT *e han im&lantado cla$es o &assword &ara garanti(ar o&eraci'n de consola # e" i&o central (mainframe), a &ersonal a tori(ado.

A B :6 :: :7 :; :<

S+)isten bacR &s # se g ardan en l gares seg ros # adec adosT

S*e reali(an a ditorias &eri'dicas a los medios de almacenamientoT S+)iste n &rograma de mantenimiento &re$enti$o &ara el dis&ositi$o del *LJ-T S+)isten integridad de los com&onentes de seg ridad de datosT S+)isten &rocedimientos de reali(aci'n de co&ias de seg ridad # de rec &eraci'n de datosT S+)iste n &erodo m)imo de $ida de las contrase3asT S+n la &rctica las &ersonas " e tienen atrib ciones # &ri$ilegios dentro del sistema &ara conceder derechos de acceso son las a tori(adas e incl idas en el -oc mento de *eg ridadT S+)isten &rocedimientos de asignaci'n # distrib ci'n de contrase3asT S+)isten &rocedimientos &ara la reali(aci'n de las co&ias de seg ridadT S+)isten controles sobre el acceso fsico a las co&ias de seg ridadT

:> :9 :?

23

:A

S+)isten diferentes ni$eles de acceso al sistema de gesti'n de contenidosT

BIBLIO1RAFJA:

1. 9 ditora de *istemas: *4*G3F3 ,ni$ersidad 0at'lica Joli$iana

-ocente /h.-. 4ndira <ita L (mn de Ll$e(

2. 0ontrol interno del =ined. 3. -oc mentos del Licenciado <a8l castillo.

24