Documentos de Académico
Documentos de Profesional
Documentos de Cultura
UNIVERSIDAD ISRAEL
AUDITORIA
INFORMATICA
INFORME FINAL
INSTITUCION
PERIODO AUDITADO
DIRECCION
TELEFONO
: 2837728
CUENCA
ECUADOR
INICIO DE LA AUDITORIA
20 DE MAYO 2012
AUDITOR
OSWALDO DURAN
COORDINADOR ZONAL 6
CAROLINA MARTINEZ
PLANIFICACION
PRESUPUESTARIA
XAVIER AGUILAR
ASESORIA LEGAL
GLORIA SERRANO
SONIA POLO
GESTION DE
PROTECCION SOCIAL
EULALIA IZQUIERDO
ADSCRITO INFA
SUSANA SILVA
ATEN. INT.
GERONTOLOGICA
YOLANDA ARIAS
DESARROLLO SOCIAL
ATEN. INT.
PcD.
EULALIA ORTEGA
JUVENTUD
IVAN ROMERO
VIOLENCIA DE
GENERO
YOLANDA CAPON
IEPS
CEPRODIS
CONTABILIDAD
TERESITA DAVILA
XIMENA TOAPANTA
RECURSOS HUMANOS
LUZ MARIA MARTINEZ
TESORERIA
TERESITA DAVILA
XIMENA TOAPANTA
DIRECCIONES
PROVINCIALES
MORONA
SANTIAGO
CAAR
PERSONAL ENTREVISTADO:
Xavier Galarza - Planificacin
Patricio Tamayo Desarrollo Organizacional
Teresita Dvila Gestin Financiera
PPS
PATRICIA VASQUEZ
FERNANDA
ORELLANA
DESARROLLO
ORGANIZACIONAL
PATRICIO TAMAYO
GESTION FINANCIERA
TERESITA DAVILA
PRESUPUESTO
TERESITA DAVILA
XIMENA TOAPANTA
ALIMENTATE
ECUADOR
GABRIELA AGUILAR
CARMEN BANDERAS
GABRIELA BERMEO
CARMEN ORDOEZ
FERNANDO VARGAS
MAYRA SIGCHA
WILSON PILLAGA
CAROLINA JIMBO
LETTY ROMERO
SERVICIOS
INSTITUCIONALES
INFORME FINAL
Etapas de la Metodologa
1. Definicin de Alcance y Objetivos
I.
Antecedentes
La presente auditoria se realizara en las Oficinas de la Coordinacin zonal 6.
El Ministerio de Inclusin Econmica y Social (MIES) promover y fomentar activamente la
inclusin econmica y social de la poblacin, de tal forma que se asegure el logro de una adecuada
calidad de vida para todos los ciudadanos y ciudadanas, mediante la eliminacin de aquellas
condiciones, mecanismos o procesos que restringen la libertad de participar en la vida econmica,
social y poltica de la comunidad y que permiten, facilitan o promueven que ciertos individuos o
grupos de la sociedad sean despojados de la titularidad de sus derechos econmicos y sociales, y
apartados, rechazados o excluidos de las posibilidades de acceder y disfrutar de los beneficios y
oportunidades que brinda el sistema de instituciones econmicas y sociales.
Como Coordinacin, coordinamos el cumplimiento de compromisos presidenciales en la Zona 6,
participamos en eventos nacionales, en el Plan Nacional del Buen Vivir, en la formulacin y
coordinacin de la ejecucin de la agenda zonal de desarrollo, en la capacitacin y asesora, en la
formulacin de los Planes de Desarrollo y Ordenamiento Territorial (PDOT), en la conformacin de
veeduras provinciales para el Plan Nacional del Buen Vivir, en la Junta de Autoridades de la Zona 6,
en la formacin del ncleo estratgico o sede del Ejecutivo en la Zona 6.
OBJETIVOS
1) Ampliar las capacidades de su poblacin objetivo mediante la generacin o garanta de las
oportunidades de acceder a los servicios sociales de educacin, formacin, capacitacin,
salud, nutricin, y otros aspectos bsicos de la calidad de vida que influyen en la libertad
fundamental del individuo para vivir mejor.
2) Promover la inclusin econmica de su poblacin objetivo mediante la generacin o
garanta de las oportunidades de poseer, acceder y utilizar los recursos econmicos de la
sociedad para consumir, producir o realizar intercambios, de tal forma que se garanticen las
oportunidades de acceso a trabajo, ingreso y activos.
3) Garantizar el derecho de su poblacin objetivo a la proteccin social y especial, de modo
que no sufran grandes privaciones como consecuencia de cambios materiales que afectan
negativamente sus vidas, mediante la regeneracin sistemtica de un nivel mnimo de
III.
Objetivos Especficos
Evaluar el diseo y prueba de los sistemas del rea de Informtica
Determinar la veracidad de la informacin del rea de Informtica
Evaluar los procedimientos de control de operacin, analizar su estandarizacin y evaluar el
cumplimiento de los mismos.
Evaluar la forma como se administran los dispositivos de almacenamiento bsico del rea de
Informtica.
Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.
Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del
departamento de cmputo.
Garantizar el continuo servicio al pblico.
2. Estudio Inicial, Organizacin
I.
Organigrama
El organigrama del MIES est establecido bajo acuerdo ministerial, por lo
tanto no supone ningn error, no puede estar sujeto a cambios de la
auditoria. El organigrama est establecido para cada Coordinaciones
zonales de todo el pas
II.
Departamentos
Las actividades realizadas en cada uno de los departamentos estn a cargo
de personal especializado en cada rea de trabajo, con actividades
especficas, obviamente uno de ellos es el coordinador de proceso, capaz de
toma de desuniones.
IV.
Flujos de informacin
Adems de las corrientes verticales intradepartamentales, la estructura
organizativa cualquiera que sea, produce corrientes de informacin
horizontales y oblicuas extradepartamentales.
Los flujos de informacin entre los grupos de una organizacin son
necesarios para su eficiente gestin, siempre y cuando tales corrientes no
distorsionen el propio organigrama.
V.
VI.
3. Entorno Operacional
I.
Situacin geogrfica de los sistemas
No se determina Centros de Proceso de Datos en la institucin. Cada
proceso est encargado de custodiar su propia informacin.
II.
III.
IV.
Comunicacin y redes
40 equipos conectados a un punto central.
Humanos
i. El equipo de auditoria est conformado por:
Coordinador General
Como responsable de la auditoria es necesario que sea poseedor de una
gran experiencia en la materia, la cual puede derivarse de su formacin
acadmica y/o profesional, as como de su trayectoria y orientacin
personal.
3 aos de experiencia de trabajo en informtica y en instituciones pblicas.
Lder de proyecto
En su carcter de enlace entre el coordinador general, el personal
destacado en la auditoria, la organizacin y entorno, el lder representa el
eslabn clave para que los objetivos, programa y estrategias propuestas
sean susceptibles de alcanzarse.
Asistente o analista de proyecto
Como personal de primera lnea, es el responsable de atender directamente
a todo el personal que, de una u otra manera, interviene en la auditoria,
adems de ser quien va a manejar directamente los papeles de trabajo que
contienen los hallazgos, evidencias y observaciones necesarios para derivar
los criterios y propuestas que consoliden la aplicacin de la auditoria.
ii.
II.
Herramientas
Cuestionario general inicial
Cuestionario Checklist
Estndares
Monitores
Matrices de riesgo
Matrices de riesgo
Matrices de riesgo
Tcnicas aplicadas dentro de las oficinas de la Coordinacin Zonal
CICLO DE SEGURIDAD
Segmentos:
1. Seguridad de cumplimiento de normas y estndares.
Es de vitan importancia analizar este aspecto, cumplir las normas de IEEE, ayudar a
garantizar la seguridad en los sistemas informticos de la institucin.
2. Seguridad de Sistema Operativo.
10
7. Seguridad de Aplicaciones.
Las aplicaciones es una de las capas ms importantes en el ambiente de la
tecnologa de la informacin pero desafortunadamente muy ignorada desde la
perspectiva de la seguridad. Me refiero, sobre todo, a las aplicaciones
transaccionales donde realmente se hace el proceso y que residen en el back-end
de la infraestructura ( Legacy, Cliente Servidor, Distribuidas, Orientadas a Objetos,
ERPs, CRMs etc.) y no a las que hoy da en el mercado se les pone mayor atencin
que son las basadas en Web.
8. Seguridad Fsica.
Es muy importante ser consciente que por ms que nuestra empresa sea la ms
segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos
luego tratados); la seguridad de la misma ser nula si no se ha previsto como
combatir un incendio.
La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un
sistema informtico. Si bien algunos de los aspectos tratados a continuacin se
prevn, otros, como la deteccin de un atacante interno a la empresa que intenta a
acceder fsicamente a una sala de operaciones de la misma, no.
Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una
cinta de la sala, que intentar acceder va lgica a la misma.
11
12
La realizacin de entrevistas adecuadas constituye uno de los factores fundamentales del xito de la
auditora. La adecuacin comienza con la completa cooperacin del entrevistado. Si esta no se
produce, el responsable lo har saber al cliente.
Deben realizarse varias entrevistas del mismo tema, al menos a dos o tres niveles jerrquicos
distintos. El mismo auditor puede, y en ocasiones es conveniente, entrevistar a la misma persona
sobre distintos temas. Las entrevistas deben realizarse de acuerdo con el plan establecido, aunque
se pueden llegar a agregar algunas adicionales y sin planificacin.
La entrevista concreta suele abarcar Subsecciones de una misma Seccin tal vez una seccin
completa. Comenzada la entrevista, el auditor o auditores formularn preguntas al/los
entrevistado/s. Debe identificarse quien ha dicho qu, si son ms de una las personas entrevistadas.
Los Checklists son tiles y en muchos casos imprescindibles. Terminadas las entrevistas, el auditor
califica las respuestas del auditado (no debe estar presente) y procede al levantamiento de la
informacin correspondiente.
Simultneamente a las entrevistas, el equipo auditor realiza pruebas planeadas y pruebas
sorpresa para verificar y cruzar los datos solicitados y facilitados por el cliente. Estas pruebas se
realizan ejecutando trabajos propios o repitiendo los de aqul, que indefectiblemente debern ser
similares si se han reproducido las condiciones de carga de los Sistemas auditados. Si las pruebas
realizadas por el equipo auditor no fueran consistentes con la informacin facilitada por el auditado,
se deber recabar nueva informacin y volver a verificar los resultados de las pruebas auditoras.
La evaluacin de los Checklists, las pruebas realizadas, la informacin facilitada por el cliente y el
anlisis de todos los datos disponibles, configuran todos los elementos necesarios para calcular y
establecer los resultados de la auditora, que se materializarn en el informe final.
A continuacin, un ejemplo de auditora de la Seccin de Control de Accesos del Segmento de
Seguridad Fsica:
Vamos a dividir a la Seccin de Control de Accesos en cuatro Subsecciones:
1.
2.
3.
4.
Autorizaciones
Controles Automticos
Vigilancia
Registros
13
En el punto anterior se han realizado las entrevistas y se han puntuado las respuestas de toda la
auditora de Seguridad.
El trabajo de levantamiento de informacin est concluido y contrastado con las pruebas. A partir
de ese momento, el equipo auditor tiene en su poder todos los datos necesarios para elaborar el
informe final. Solo faltara calcular el porcentaje de bondad de cada rea; ste se obtiene calculando
el sumatorio de las respuestas obtenidas, recordando que deben afectarse a sus pesos
correspondientes.
Una vez realizado los clculos, se ordenaran y clasificaran los resultados obtenidos por materias
mejorables, estableciendo prioridades de actuacin para lograrlas.
Clculo del ejemplo de las Subsecciones de la Seccin de Control de Accesos:
Autorizaciones 80%
Controles Automticos 70%
Vigilancia 70%
Registros 30%
Promedio de Control de Accesos 62,5%
Cabe recordar, que dentro del Segmento de Seguridad Fsica, la Seccin de Control de Accesos tiene
un peso final de 4.
Prosiguiendo con el ejemplo, se procedi a la evaluacin de las otras cuatro Secciones,
obtenindose los siguientes resultados:
Fase3: Operativa del ciclo de seguridad
Una vez asignados los pesos finales a todos los Segmentos y Secciones, se comienza la Fase 3, que
implica las siguientes actividades:
1. Preparacin y confirmacin de entrevistas.
2. Entrevistas, pruebas, anlisis de la informacin, cruzamiento y repaso de la misma. Las entrevistas
deben realizarse con exactitud. El responsable del equipo auditor designar a un encargado,
dependiendo del rea de la entrevista. Este, por supuesto, deber conocer a fondo la misma
Fase4: Clculos y Resultados del ciclo de Seguridad
14
CONCLUSIONES
CICLO DE SEGURIDAD
El ciclo de seguridad identifica posibles amenazas de las empresas, instituciones. La identificacin de
las amenazas permitir la visualizacin de los puntos dbiles que se podrn explotar.
Por lo tanto, la seguridad de la informacin debe ser garantizada en una forma integral y completa
de ah que resulte de mucha utilidad conocer con un poco ms de detalle las medidas de seguridad
que permiten movernos desde el anlisis de riesgos hasta la administracin de la seguridad.
Las medidas de seguridad son acciones orientadas hacia la eliminacin de vulnerabilidades teniendo
en mira evitar que una amenaza se vuelva realidad. Estas medidas son el paso inicial para el
aumento de la seguridad de la informacin en un ambiente de tecnologa de informacin, en
empresas donde se maneja volmenes de informacin, de no hacerlo lleva a la perdida.
15
CONCLUSIONES
La coordinacin cuenta con sistemas de hardware y software que no dan problemas a la
hora de cumplir con las actividades asignadas a cada funcionario.
Asimismo la distribucin de personal es equitativa para las funciones que deben
desempear.
No hay mucho trabajo para gente de tecnologa, si para gente de ofimtica.
RECOMENDACIONES
Se debe indicar que no cuenta con respaldos de ninguna informacin, en caso de
posibles eventualidades todos los archivos se perderan. Por lo que se recomienda que
se tome medidas urgentes para proteger los archivos.
16