Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CTEDRA:
AUDITORIA DE SISTEMAS
AUDITORIA DE INFRAESTRUCTURA DEL AULA DE CAPACITACIONES DEL CENTRO DE CMPUTO,
PARA PERSONAL DISCAPACITADO, FAMILIARES Y EMPLEADOS DE LA EMPRESA XYZ
AUTORES:
CARNET
NOMBRE
Jose Nicolas Perez Arevalo
DP02110390
INDICE
INTRODUCCIN.....................................................................................................................................3
OBJETIVOS DE LA AUDITORIA:..........................................................................................................4
OBJETIVO GENERAL:.......................................................................................................................4
OBJETIVOS ESPECFICOS:...............................................................................................................4
MISIN Y VISIN DE LA EMPRESA XYZ......................................................................................5
ORGANIGRAMA INSTITUCIONAL DE LA EMPRESA XYZ........................................................5
DESCRIPCIN DE LAS APLICACIONES UTILIZADAS POR EL CENTRO DE
CAPACITACIONES DE LA EMPRESA XYZ....................................................................................6
INVENTARIO DE EQUIPO QUE EST EN USO EN EL CENTRO DE CMPUTO:....................6
RELACIN DE FUNCIONARIOS O PERSONAL A CARGO DEL REA A EXAMINAR............7
ALCANCE DE LA AUDITORA.............................................................................................................9
DETERMINACIN DEL REA A ESTUDIAR:................................................................................9
rea de sistemas y procedimientos.......................................................................................................9
Evaluacin de los equipos de cmputo de la empresa XYZ:..............................................................10
RECURSOS NECESARIOS PARA REALIZAR LA AUDITORIA......................................................10
PRESUPUESTO FINANCIERO PARA LA EJECUCION DE LA AUDITORIA..................................11
CRONOGRAMA DE ACTIVIDADES...................................................................................................12
PAPELES DE AUDITORIA...............................................................................................................12
IDENTIFICACIN DE REAS CRITICAS.....................................................................................12
SOFTWARE NECESARIO PARA REALIZAR LA AUDITORIA....................................................13
Programa de auditora.........................................................................................................................14
Dictamen de la auditora......................................................................................................................18
Importancia del anlisis FODA para la toma de decisiones................................................................21
Anexos.....................................................................................................................................................23
Bibliografa..............................................................................................................................................32
INTRODUCCIN
La tecnologa informtica (hardware, software, redes, bases de datos, etc.) es una herramienta
estratgica que brinda rentabilidad y ventajas competitivas a los negocios frente a otros negocios
similares en el mercado, pero puede originar costos y desventajas si no es bien administrada por el
personal encargado.
La solucin ante esta problemtica es entonces realizar evaluaciones oportunas y completas de la
funcin informtica, a cargo de personal calificado, consultores externos, auditores en informtica o
evaluaciones peridicas realizadas por el mismo personal de informtica.
Se pretende hacer una auditora de una forma sencilla en una institucin X y de est formar poder
contribuir con el desempeo del rea informtica del aula de capacitaciones del centro de
cmputo, para personal discapacitado, familiares y empleados de la empresa XYZ.
El propsito llevar a cabo dicho proyecto es entregar una auditora completa, sealar los puntos
crticos y ayudar a la institucin a mejorar cada uno de sus procesos, para que as puedan cumplir
sus objetivos.
OBJETIVOS DE LA AUDITORIA:
OBJETIVO GENERAL:
Presentar el desarrollo de la auditora de sistemas informticos para el centro de computo de
la empresa XYZ. Realizado en el periodo de febrero a mayo del ao 2016.
OBJETIVOS ESPECFICOS:
Elaborar la planificacin de las actividades previas a la auditora.
Ejecutar el proceso de auditora.
Presentar el informe y el dictamen de la auditora.
MISIN
Ser una excelente Divisin que se esfuerza constantemente para lograr calidad educativa en los
distintos cursos tecnolgicos que se ofrecen, con personal docente profesional que fomenta valores
ticos y morales , para transformar su entorno, segn las exigencias para realizar trabajos de
investigacin, con el apoyo de la institucin.
VISIN
Somos una Divisin que se esfuerza en la formacin de estudiantes con conocimientos y valores
necesarios para ejercer sus competencias, capaz de adaptarse al medio laboral, social y profesional.
XYZ
C.D.E
Direccin
Subdireccin
Docente
Centro de
Computo
Personal
administrativo
Los roles de usuarios que existen son: Los alumnos y el Administrador, en cuanto a la
conexin sobre redes se tiene un Modem, un switch de 20 puertos y un servidor.
DESCRIPCIN
20
25
25
25
Mouse pad.
20
Monitores Dell de 15
ELEMENTO
MARCA
MODELO
PUERTOS
ALAMBRICO
SERIE
Swish
Nexxt
Solutions
Flex 7900
40
Si
2FCA000DB9
Router
Cisco
DPQ3925
Si
14E5A000BC0
010
Puntos de red
RJ45 Hembra
Nexxt
Solutions
Rj45-Hembra
20
Si
Cat 5e
Cables UTP
Etouch
Cat 5E
Si
N/A
Canaleta
Plstica
Nexxt
Solutions
C4016
Aire
Acondicionad
o
LG
Invert Libero
9000
Nombre y Apellido
Licenciado. X
Departamento
Rol
Informtica
Encargado del centro de
computo.
Periodo de gestin
Desde 2007 hasta la
fecha
PLANEACIN DE LA AUDITORIA
Nombre de la Entidad a auditar
Direccin
Telefono
Sitio Web o correo electrnico
Fecha de inicio de operaciones
Giro
Metodologa
Referencia Legal
Entrevistas previas:
Las entrevistas estarn dirigidas al personal responsable del rea informtica o a quien este de
responsable de la administracin y/o operacin de los sistemas y equipos de la entidad a auditar.
reas a entrevistar:
1. Encargado del rea de informtica.
2. Profesores que imparten informtica.
3. Personal administrativo.
ALCANCE DE LA AUDITORA
La auditora que se llevara acabo sera de tipo parcial, y tendr como limite el departamento de
Informtica y las reas que puedan tener nexo a dicho departamento.
Dentro de las reas en la que se centra la auditora sern:
Personal tcnico.
1) Poder observar la descripcin general de los sistemas instalados y de los que estn por
instalarse que contengan volmenes de informacin.
2) Revisar el manual de procedimientos de los sistemas.
3) Evaluar los sistemas de informacin en general desde sus entradas, procedimientos,
controles, archivos, seguridad y obtencin de informacin.
4) Verificar la adecuacin del sistema operativo, versin del software utilizado, como en los
aspectos relativos a la programacin de las distintas aplicaciones, prioridades de ejecucin,
lenguaje utilizado.
5)
RECURSOS
REQUERIDOS
DISPONIBLES
Cantidad
MATERIALES
Material didctico:
5 lapiceros, 5 l piz, 100 hojas
papel bond, 5 borradores de
lpiz, 5 folders.
Mini laptop con programa de
ofimtica.
Ya especificada
Transporte de personal
auditores, para dirigirse a la
institucin y regresar a la
universidad.
2 personas a
transportar
DOCUMENTACIN
Documentacin: Normativa
para alumnos sobre uso del
centro de computo.
10
Documentacin: Ultimo
Inventario realizado de
equipos en centro de
computo.
Organigrama de la institucin.
RECURSOS
REQUERIDOS
DISPONIBLES
CANTIDAD
HUMANOS
Personal encargado de
realizar inventario de equipo
(conocimientos bsicos
contables).
Personal que har inspeccin
fsica del centro de computo
(especialistas informticos)
Persona que elaborar la
documentacin del reporte
preliminar y por ende reporte
final . (especialistas
informticos).
CONCEPTO
Papelera
Copias
Impresiones
Lapices
Borradores
Lapiceros
Almuerzo
Refrigerios
Saldo para celular
Pasajes
Totales
FEBRERO
MARZO
ABRIL
MAYO
$0.25
$25.00
$1.00
$0.00
$1.00
$1.00
$1.00
$1.00
$1.20
$2.25
$3.00
$5.00
$1.00
$0.00
$0.00
$0.00
$1.00
$0.00
$0.00
$0.00
$1.00
$0.00
$0.00
$0.00
$8.00
$24.00
$24.00
$16.00
$5.00
$10.00
$10.00
$5.00
$1.00
$1.00
$1.00
$1.00
$2.00
$6.00
$6.00
$2.00
$21.45
$69.25
$46.00
$30.00
CRONOGRAMA DE ACTIVIDADES
PAPELES DE AUDITORIA.
IDENTIFICACIN DE REAS CRITICAS
Los cables de red se encuentran desordenados, a la vista y algn usuario podra pasar
halando los cables por error y daar fsicamente un equipo o el punto de red.
El centro de computo no tiene mucha ventilacin, y esto podra forzar el trabajo de los
equipos.
12
WinAudit
WinAudit es un programa totalmente gratuito que analiza las PC y muestra toda la informacin
referente a programas instalados, al sistema operativo, procesador, memoria y discos rgidos que se
utilizan. Con este software pretendemos realizar una auditora rpida y exhaustiva de dicha
informacin, configuracin de seguridad, inventario de hardware, configuracin de red.
El programa informa sobre prcticamente todos los aspectos del inventario de equipos y
configuracin. Los resultados se muestran en formato de pgina web, categorizados para facilitar la
visualizacin y bsqueda de texto. El programa cuenta con funciones avanzadas como deteccin de
etiqueta de servicio, diagnstico de falla de disco rgido, puerto de red para procesar la cartografa,
la velocidad de conexin de red, estadsticas de disponibilidad del sistema, as como la configuracin
de Windows Update y firewall.
Wireshark
Wireshark, es un software de anlisis de protocolos que se basa en las libreras Pcap. Se utiliza
comnmente como herramienta para realizar un anlisis de redes y aplicaciones en red. Wireshark
soporta una gran cantidad de protocolos (ms de 450), como ICMP, HTTP, TCP, DNS.
Funciona en varias plataformas, como Windows, OS X, Linux y UNIX. Es usado regularmente por
desarrolladores, profesionales de la seguridad y en muchos casos para la educacin. Es totalmente
gratis y de cdigo libre. Adems, est publicado bajo licencia GNU GPL versin 2.
Una de las ventajas que tiene Wireshark es que en un momento dado, podemos dejar capturando
datos en una red el tiempo que queramos y, posteriormente almacenarlos, con el fin de poder
realizar el anlisis ms adelante.
13
Programa de auditora
Actividad que
sera evaluada
Procedimiento
de auditora
Ref.P/t
Evaluar los
planes de
contingencias
que se estn
desarrollando
Evaluar los
planes de
contingencia
que se estn
desarrollando
actualmente,
mediante la
observacin de
los diferentes
planes.
ISO 27033
1:2009
26-abril
ISO 27033
1:2009
26-abril
Evaluar si
Pedir manuales
existen
donde se
polticas por
encuentren
escrito sobre
reflejadas las
los planes que polticas sobre
ellos realizan
los planes de
en las
contingencias
diferentes
ya que deben
reas que
tener los
existen
documentos
respectivos
ISO 27033
1:2009
27-abril
Evaluar las
Realizar una
aplicaciones de
serie de
simulacros as
simulacros
como los
para verificar si
planes de
los planes de
contingencias contingencia
responden
satisfactoriame
nte,
ISO 27033
1:2009
27-abril
Evaluar si los
Preguntar a
empleados
empleados si
conocen sobre
conocen los
sus planes de
planes de
contingencias contingencia. Y
si alguna vez a
realizado
simulacros.
Revisar la
Examinar si el
estructura de la cableado de la
red
empresa
AI0001
28-abril
Hecho por
Fecha
14
Revisar si
existe un
firewall
implementado,
y detecta y
protege contra
ataques de
direcciones
ataques de
denegacin de
servicios
AI0001
28-abril
Revisin de
polticas
AI0001
30-abril
Verificar que
existen
polticas y
procedimiento
s establecidos
que describen
la
configuracin y
criterios de
mantenimiento
asociados con
los dispositivos
de red
AI0001
30-abril
Revisar el
Identificar que
bloqueo de
maquinas de
algunas
los diferentes
computadoras departamentos
para salir a
tienen acceso a
internet
internet
AI0001
30-abril
Verificar que
Observar la
los empleados configuracin
cambien las
del correo
contraseas de electrnico de
sus correo
cada cuenta
ISO 27033
1:2009
31-abril
10
Observar la
Monitorizar las
actividades de actividades de
los usuarios
los empleados
en tiempo real,
el cual sera
15
realizado con
un software
11
12
Evaluar la
rapidez del
envo de
informacin
Chequeo de
Verificar y
elementos que
realizar
sirvan para la pruebas sobre
comunicacin
conexiones
seguras
establecidas
ISO 27033
1:2009
31-abril
RD0001
31-abril
Seguridad de
servidores
Verificar si las
polticas,
procedimiento
s y practicas
establecidas
describen
como los
componentes
de la red, estn
configurados
para asegurar
una seguridad
apropiada
RD0001
1-mayo
Inventario de
servidores
Por cada
componente
de red,
verificar que se
mantiene un
inventarios
actual de las
especificacione
s de los
componentes
RD0001
1-mayo
Medir la
velocidad del
internet
Realizar una
medicin del
ancho de
banda del
internet por
medio de un
tester virtual
13
14
15
Realizar
pruebas para
verificar la
rapidez del
envo de
informacin
mediante los
FTP
1-mayo
16
Bloqueo
aplicaciones
Verificar que
personas
poseen
privilegios en
sus
computadoras
y quienes se les
restringen
accesos a
diferentes
aplicaciones
1-mayo
Servicio de
nombres de
dominio DNS
2-mayo
17
Identificar
todos los
servidores DNS
en la red
interna y
determinar si
la organizacin
administra sus
proas bases de
datos de DNS o
usa un
proveedor
externo.
2-mayo
18
Continuidad en Se conecta un
los cables de
tester de
red
extremo a
extremo en
cada cable de
red con el fin
de identificar si
el punto de red
esta bueno y
comprobar que
pertenece al
equipo que
dice la vieta.
16
17
Dictamen de la auditora.
El trabajo tuvo por objetivo revisar y evaluar las polticas, practicas y procedimientos utilizadas en el
centro de capacitaciones de la empresa XYZ, adems se evalu el cableado y la infraestructura de
red del centro de computacin.
Alcance
18
Servidor Firewall.
19
3 Computadoras Clientes.
3.1 Dominios en las computadoras.
Las computadoras cliente estn bajo dominio del servidor y no tienen privilegios de administrador
para hacer cambios de dominios, pertenecen a una misma jerarqua de red.
3.2 Acceso a internet en las computadoras cliente.
Todas las computadoras tienen salida a internet por un tiempo limitado, cada vez que se imparte
una clase, el administrador del centro de computo hace una peticin al servidor el cual da un
certificado por hora y media para navegar por internet, solamente a sitios seguros.
3.3 Licenciamiento del software en las computadoras cliente.
Las licencias de Windows son originales y se cuentan con los certificados de cada equipo, el
encargado del centro de computo es el nico que tiene acceso a estos certificados.
3.4 Licenciamiento del software de terceros.
El software instalado en las computadoras es original y tambin cuenta con certificados,
encontramos software que funciona con licencia trial, que aun no se an adquirido pero que tampoco
estn parchados de alguna forma, as que son programas legtimos.
3.5 Antivirus de las computadoras cliente.
Las computadoras clientes tienen la versin de Eset Nod32 instalado y actualizado a la fecha.
20
4 El router
El router cisco,cuenta con contrasea y polticas de acceso, tiene activado el firewall a internet, y
maneja direccionamiento DHCP.
El nico problema que encontramos es que el router tiene un tiempo de alquiler de direcciones muy
alto y por eso aveces el pool de direcciones no abastece al todas las computadoras, dando
problemas de navegacin en algunas computadoras, porque el router no les puede servir una
direccin ip, nueva.
5 Planes de contingencias
No se cuentan con planes de contingencia especficamente para el centro de computo. Ay un plan de
contingencia general de toda la institucin, donde se mencionan rutas de evacuacin, localizacin de
extintores, puntos de reunin. Podramos decir que el plan es muy general y que recomendamos
existen un plan especifico por cada rea, pues el plan de contingencia para el centro de computo
tendra que incluir polticas de respaldo de las licencias, los datos entre otras cosas.
En el centro de computo los usuarios no tienen idea de los planes de contingencia, mas que las
instrucciones generales que conocen por los rtulos que hay de que hacer en caso de.. ubicados
en las paredes de la institucin.
No existen un servidor de respaldo en caso de un dao en el disco duro del servidor, ni un plan que
contemple ese procedimiento
Pase lo que pase se llama al ingeniero X quien determina el tipo de problema y si es problema de
configuracin o permisos lo resuelve el mismo y si es problema fsico del equipo manda a un
personal de soporte tcnico, para realice los ajustes necesarios.
21
Debilidades
Falta de capacitacin.
Oportunidades
1. Regulacin a favor
2. Competencia dbil
3. Mercado mal atendido
4. Necesidad del producto
Amenazas
Conflictos gremiales
Regulacin desfavorable
Cambios en la legislacin
22
Anexos.
CUESTIONARIO DE SEGURIDAD FISICA:
PREGUNTA
SI
NO
23
PREGUNTA
SI
NO
5
que ocurra una emergencia ocasionado por fuego?
Se ha adiestrado a todo el personal en la forma en que se deben desalojar las
6
instalaciones en caso de emergencia?
Tienen manuales que contengan normas y polticas de seguridad del
7
personal?
8
N
1
PREGUNTA
SI
NO
24
de La institucin?
3
10
11
12
13
14
25
PREGUNTA
SI
N
O
la institucin educativa?
5
10
11
12
13
14
15
16
26
17
18
27
28
29
30
31
Bibliografa.
Libros consultados.
1. Jos Antonio Echenique Garcia , Auditoria en informtica. Editorial McGraw Hill. Segunda
edicin,
2. Licda Ana Lissette Giron de Bermudez, Diapositivas de Auditora de sistemas, clases y material de
apoyo impartida en la ctedra de auditora de la Universidad Luterana Salvadorea ciclo I -2016.
paginas en internet
1. http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml#
ixzz2rvmlumwg
2. http://www.monografias.com/trabajos3/concepaudit/concepaudit
.shtml#ixzz2rvn6g5FS
3. https://www.silabs.com/Support%20Documents/TechnicalDocs/UG131.pdf
4. http://www.mouser.com/ProductDetail/Silicon-Labs/RD-0001-0201/?qs=BA62vJVifGq%2FB
%252bDj677ILg%3D%3D
32