Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SCRIB AUDITORÍA DE HARDWARE Y SOFTWARE EN EL DEPARTAMENTO DE TIC S
SCRIB AUDITORÍA DE HARDWARE Y SOFTWARE EN EL DEPARTAMENTO DE TIC S
- INTRODUCCIN
Hoy en da, las tecnologas de la informacin estn presentes en todas las reas de las organizaciones. Esta implantacin generalizada de SI se ha realizado en muchos casos sin la necesaria planificacin, en parte porque los conceptos necesarios no estaban suficientemente desarrollados. La tendencia hacia los sistemas abiertos, a interconexin global y el deseo por parte de los consumidores de independizarse de los fabricantes traen consigo la necesidad de un estudio ms profundo de los SI antes de tomar decisiones. Por lo tanto, se hace necesario mejorar la planificacin de futuras implementaciones, la compatibilidad entre sistemas y la organizacin del personal y de la empresa. En los ltimos tiempos el ejercicio en las actividades de auditora y control en tecnologas informticas, ha auspiciado un desenvolvimiento ms que acelerado de todas las dems actividades inmersas en la economa de un pas. Esto, da pie a pensar en que las tareas realizadas por ellas han de ser igualmente auditadas. En las organizaciones modernas, tanto pblicas como privadas, la misin de las tecnologas de la informacin es facilitar la consecucin de sus objetivos estratgicos. Para ello, se invierte una considerable cantidad de recursos en personal, equipos y tecnologa, adems de los costos derivados de la posible organizacin estructural que muchas veces conlleva la introduccin de esas tecnologas. El propsito a alcanzar por una organizacin que contrata la auditoria de cualquier parte de sus SI es asegurar que objetivos estratgicos son los mismos que los de la propia organizacin y que los sistemas prestan el apoyo adecuado a la consecucin de estos objetivos, tanto en el presente como en su evolucin futura.
3.- INDICE
1.- Portada 2.- Introduccin. 3.- ndice (ste que le presento) 4.- Historia de la empresa auditada. Escriba sobre su razn social, cundo se fund, cul es su giro, su segmento de mercado a cubrir, etc. 5.- Organigrama, destacando el lugar que ocupa el departamento de TICs. 6.- Descripcin de las funciones del departamento de TICs y su importancia dentro de la empresa. 7.- Objetivo general de la auditoria. 8.- Objetivos particulares de la auditoria. 9.- Alcance de la auditora. 10.- Marco normativo del departamento de TICs. Son las polticas aplicadas dentro del departamento para la compra, instalacin, mantenimiento y uso del Hardware y Software que se tienen dentro del departamento. 11.- Planificacin de la auditoria. a) datos de los responsables de la auditoria (auditores). b) cronograma de actividades (dosifique del 29 de marzo al 11 de abril, las actividades de sta PRIMERA PARTE del ndice de trabajo). 12.- Tcnicas para recabar la informacin, al menos dos tcnicas (cuestionarios, entrevistas, observacin, revisin de documentos y revisin de archivos de la empresa). 13.- Formatos para levantar el inventario de Hardware y software, para este caso disee al menos un formato para el hardware y otro para el software (realice la auditoria al menos a 2 equipos de cmputo, puede incluir su computadora personal y otra ms, PARA REVISAR LAS CARACTERSTICAS DEL SOFTWARE QUE TIENE INSTALADO, AS COMO LAS CARACTERSTICAS DEL HARDAWARE DE AMBOS EQUIPOS).
5.- ORGANIGRAMA ZONA SAN JUAN DEL RO SUPERINTENDECIA DE ZONA DE DISTRIBUCIN SAN JUAN DEL RIO
SUPERINTENDENCIA DE AREA DE DISTRIBUCIN AMEALCO SUPERINTENDENCIA DE AREA DE DISTRIBUCIN EZEQUIEL MONTES SUPERINTENDENCIA DE AREA DE DISTRIBUCIN VIZARRN DEPARTAMENTO DE PLANEACIN
OFICINA DE DISTRIBUCIN
OFICINA DE OPERACIN Y MANTENIMIENTO DE LINEAS Y SUBESTACIONES
OFICINA DE PROTECCIONES
OFICINA DE CONTROL SUPERVISORIO Y COMUNICACIONES
DEPARTAMENTO DE DISTRIBUCIN
OFICINA DE INFORMTICA
OFICINA DE FACTURACIN
AGENCIA SAN JUAN DEL RO AGENCIA TEQUISQUIAPAN AGENCIA EZEQUIEL MONTES AGENCIA VIZARRN AGENCIA PINAL DE AMOLES
AGENCIA AMEALCO
3
AGENCIA JERECUARO
6.- DESCRIPCION DE LAS FUNCIONES DEL DEPARTAMENTO DE TICs Y SU IMPORTANCIA DENTRO DE LA EMPRESA
El departamento de TI se encarga de que los equipos y sistemas a su cargo ofrezcan los niveles necesarios de disponibilidad y estabilidad y proporciona todos los servicios necesarios para garantizar el trabajo diario de la empresa. Ayuda a los usuarios a solucionar sus problemas y responde a las solicitudes de informacin en los distintos mbitos de las TI (hardware, software, telecomunicaciones e infraestructura). Gestiona el software, los consumibles y los equipos (PC, porttiles, teclados, ratones, pantallas, telfonos fijos, impresoras, fotocopiadoras escners, etc.). Ofrece toda una serie de servicios que los usuarios pueden solicitar cuando sea necesario (instalacin, desinstalacin de equipos y software, distribucin de derechos de acceso, archivado y restauracin de datos, formaciones personalizadas, etc.). Realiza pruebas para garantizar que las aplicaciones especficas de cada centro de trabajo, desarrolladas internamente, se implementan con xito. Infraestructura de TI Disea, implementa y garantiza el funcionamiento correcto de los equipos y recursos centralizados (servidores, software e infraestructura de conexin). Garantiza la disponibilidad diaria de los sistemas y se encarga de implementar los procedimientos tcnicos necesarios cuando se retoma la actividad despus de un gallo del sistema, gestiona las distintas bases de datos. Define y mantiene los sistemas de telecomunicacin que se conectan al Centro con sus socios (agencias, instituciones, etc.) y asegura el funcionamiento correcto de todas las medidas de seguridad (encriptacin, cortafuegos, etc.).
Seguridad, utilidad, confianza y privacidad y disponibilidad en el ambiente informtico. Maximizar existencias de riesgos en el uso de la Tecnologa de informacin.
Control de la modificacin de aplicaciones existentes. Fraudes. Control de las modificaciones de los programas.
Participacin en la negociacin de contratos con los proveedores. Revisin de utilizacin del sistema operativo y los programas utilitarios. Auditoria de la base de datos. Estructura sobre la cual se desarrollan las aplicaciones.
SOLICITUD DE CONTRATOS DE MANTENIMIENTOS DE LOS EQUIPOS DE CMPUTO Todos los requerimientos sealados por la CFE son considerados como indispensables, por lo tanto cualquier oferta tcnica presentada por los licitantes, que no cumpla con todos y cada uno de los requerimientos sealados descritos, ser calificada como NO CUMPLE y en consecuencia su partida ser desechada. Las especificaciones tcnicas de los equipos, son caractersticas mnimas salvo cuando se especifique lo contrario. En el contenido de las bases sealadas por CFE. Aseguramiento de la funcionalidad de los equipos y sus componentes Las fallas de los equipos ocasionadas por defectos de fabricacin o vicios ocultos en cualquiera de sus partes y componentes, debern ser corregidas en sitio por el perodo que oferta el fabricante, a partir de la fecha de entrega del equipo. El equipo deber quedar operando a satisfaccin de CFE, de acuerdo con las especificaciones ofertadas, dentro del plazo sealado por el proveedor a la notificacin de la falla. En caso de fallas que requieran de un mayor tiempo para su correccin, el proveedor se obliga a suministrar en prstamo y sin costo, un equipo de la misma marca, de rendimiento y capacidad igual superior al equipo que presenta la falla, mientras se repara ste, como parte de la garanta del equipo; en este caso, el Proveedor tendr un plazo no mayor de 15 das naturales para reparar y reintegrar el equipo original, en caso contrario aplicar la poltica de reemplazo descrita. Todas las refacciones que se proporcionen sern nuevas y originales (no recicladas ni reconstruidas), de tal manera que no se degrade la calidad ni la operacin de los equipos.
En los casos de falla derivados de hardware el proveedor deber dejar operando el equipo a plena satisfaccin de la CFE de acuerdo con las especificaciones ofertadas. Los programas propietarios y de terceros (Windows, DVD, etc.) que suministren con el equipo debern estar debidamente Licenciados. Documento que debern de entregar con el bien.
EL PROCEDIMIENTO PARA ATENDER LAS FALLAS ES EL SIGUIENTE: La Departamento de Informtica de CFE recibir la orden registrada en el sistema informtico MAGIC del usuario final, recabando la informacin necesaria para la correcta atencin del reporte, registrando el incidente en su base de datos a travs de intranet, y el responsable del rea de informtica ser el encargado de dar seguimiento a dicha solicitud, indicando al menos los siguientes datos del o los equipos que tengan fallas: rea que reporta. Ubicacin del equipo (Departamento, Agencia o Regional). Nombre y RPE de la persona que reporta Fecha y hora del reporte. Descripcin de la falla.
El nmero de reporte de registro ser el que genere el sistema, siendo ste nmero la referencia del documento de control para el seguimiento del reporte; a partir de este momento se considera que el reporte est abierto, y por lo tanto iniciar el tiempo de atencin para resolver la falla. El Jefe del departamento de informtica ser el encargado de atender dichos reportes, delegando a sus subalternos la atencin a dichos reportes. El reporte se considerar resuelto (con un estado cerrado) cuando el equipo en cuestin se encuentre operando nuevamente con el visto bueno del Jefe del rea correspondiente y la aceptacin del usuario. Una vez resuelto el reporte, el Jefe del Departamento de informtica documentar la solucin y efectuar el cierre en su sistema MAGIC, envindole un correo al usuario junto con una encuesta de satisfaccin del servicio otorgado, indicando que el reporte est cerrado con la descripcin de la solucin Al finalizar el servicio, el usuario y el PROVEEDOR probarn que el equipo opere correctamente, procediendo a firmar el reporte, dndose por concluido el reporte. As mismo el PROVEEDOR estar obligado a enviar un correo a la mesa de servicios de Grupo Modelo en donde se indique la solucin de cada falla. Al finalizar el servicio, el usuario y el personal del departamento de informtica probarn que el equipo opere correctamente, procediendo a firmar el reporte, dndose por concluido el reporte.
12.- TECNICAS PARA RECABAR INFORMACIN CHECKLIST DEL DICCIONARIO DE DATOS CONOCIMIENTO DEL SISTEMA: INVENTARIO
Hay un inventario en la empresa de Sistemas, Hardware y datos? Ha hecho revisar el inventario por un especialista (auditor, consultor, experto en informtica) externo a la empresa? Sabe quines son los propietarios de los elementos del inventario? Sabe quines son los usuarios de los elementos del inventario? Existe un criterio para valorar cuales son los elementos crticos del inventario? Se distingue en ese criterio entre: Riesgos para el negocio, riesgos para el servicio prestado a los clientes? Han validado ese criterio los jefes de Gestin de la Empresa y los jefes de informtica? Se ha realizado, por lo tanto, un ranking de los elementos ms crticos? Se van a comenzar las pruebas y actualizaciones, siguiendo el orden del ranking?
SI
NO
N/A
SI
CONOCIMIENTO DEL SISTEMA: SOFTWARE
Ha tenido en cuenta las distintas versiones de los elementos software? Es posible de modificar y mejorar el cdigo fuente de sus programas? Est disponible el cdigo fuente? Se han hecho estudios coste/beneficio sobre si cambiar los sistemas del departamento o mejorarlos? Se han hecho estudios que revelan cul es la manera ms sencilla de cambiar y mejorar el sistema? Ha identificado qu cdigos fuente son propiedad de otras entidades? Existe un contrato de utilizacin con los propietarios? Va a exigirle a los propietarios de dichos cdigos un informe de progresos? Tiene asesoramiento legal para asegurarse de que dichos contratos son correctos y pueden exigir compensaciones econmicas en caso de 8
NO
N/A
SI
NO
N/A
SI
NO
N/A
REPOSITORIO: SEGURIDAD
Existe un administrador de sistemas que controle a los usuarios? Gestiona los perfiles de los usuarios dicho administrador? Existe un administrador de bases de datos que gestione las instancias de las bases de datos? Gestiona el administrador de bases de datos los accesos a las distintas instancias de las bases de datos? Existe un acceso restringido a las instancias que contienen el Repositorio? Es autocambiable la clave de acceso al Repositorio? Pueden los administradores del Repositorio cambiar la contrasea? Se obliga, cada cierto tiempo, a cambiar la contrasea automticamente? Se renueva peridicamente la contrasea? Existen listados de intentos de accesos no satisfactorios o denegados a estructuras, tablas fsicas y lgicas del repositorio? Existe un diseo fsico y lgico de las bases de datos? Dispone tambin el Diccionario de datos de un diseo fsico y lgico? Existe una instancia con copia del Repositorio para el entorno de desarrollo? Est restringido el acceso al entorno de desarrollo? Se utilizan datos reales en el entorno de desarrollo? Existen copias de seguridad del Repositorio? Se hacen copias de seguridad diariamente? Se almacenan las copias de seguridad en dispositivos externos? Se ubican los dispositivos externos en locales diferentes al edificio en el que se encuentran las redes y los servidores? Existe un acceso restringido a la sala de servidores? Existen mecanismos de seguridad fsica en las salas de servidores? Se dispone de equipos auxiliares en caso de cada o avera del equipo 10
SI
NO
N/A
principal? Se dispone de generador de energa auxiliar para asegurar la corriente a los servidores?
SI
NO
N/A
11
SUPERINTENDENTE DE ZONA
CARACTERSTICAS PC PROCESADOR:
MEMORIA RAM INSTALADA:
DESCRIPCIN
DESCRIPCIN
DISCO DURO: DISPOSITIVO OPTICO: TAMANO DEL MONITOR: RESOLUCIN: MEMORIA DE VIDEO: PUERTOS: TECLADO: RATN: SISTEMA OPERATIVO: GARANTIA: GARANTIA:
DISCO DURO: DISPOSITIVO OPTICO: TAMANO DEL MONITOR: RESOLUCIN: MEMORIA DE VIDEO: PUERTOS: TECLADO: RATN: SISTEMA OPERATIVO: GARANTIA: GARANTA:
12
FORMATO DE LEVANTAMIENTO DE INVENTARIO DE SOFTWARE DEPARTAMENTO: PROCESO PROCEDIMIENTO: LEVANTAMIENTO DE INVENTARIO DE SOFTWARE INFORMTICA
SUPERINTENDENTE DE ZONA
CARACTERSTICAS
DESCRIPCIN
CARACTERSTICAS
DESCRIPCIN
SAP (REQUERIMIENTOS PARA USUARIOS) SISTEMA OPERATIVO: PROCESADOR: MEMORIA: DISCO DURO: UNIDAD: RESOLUCION: ESPACIO EN EL DISCO SERVIDOR: TARJETA DE RED:
SAP (REQUERIMIENTOS PARA EMPRESA) CUARTO DE TI: SWITCH: DHCP: DNS: GATEWAY:
13
14