PROYECTO FINAL DE AUDITORIA A LAS INSTALACIONES DE

INFORMATICA DELA UNIVERSIDAD DE NARIÑO SEDE IPIALES

Integrantes:

Jimmy Guerrero
Edgar Ordoñez
Francisco Vivas
Milton Benavides

Presentado a:

Ing. Francisco Solarte

Universidad de Nariño

San Juan de Pasto

Junio 22 de Junio de 2012

 1. MEMORANDO DE PLANEACION:

1.1 Objetivos:

Objetivo general: Realizar el estudio y evaluación del hardware y software, asi

como tambien la seguridad física de las instalacionesde la sala de informática en
la universidad de Nariño sede Ipiales

Objetivos específicos

 Recoger la información del hardware y software en la sala de informática de la

Universidad de Nariño sede Ipiales mediante la observación directa, entrevistas
y checklist.

 Realizar análisis y evaluación de riesgos de la siguiente manera:

 Verificar el hardware en los equipos de cómputo con los que se cuenta en el

aula de informática y si es apto para trabajar con el software que requieren los
estudiantes.

 Verificar si existe inventario de hardware en el aula de informática de la

universidad de Nariño sede Ipiales.

 Verificar si los equipos de cómputo están actualizados para el manejo de

software.

 Verificar si existe seguridad física en los equipos de cómputo de la sala de

informática.

 Verificar si existe recursos para planes de operación y mantenimiento.

 Verificar si existe registros de mantenimiento preventivo.

 Verificar el software que existe en los equipos de cómputo del aula de

informática.

 Verificar si tienen licencias del software instalado en los equipos.

 Verificar si el número de licencias es igual al número de instalaciones en los

equipos de cómputo.

 Verificar si existen copias de seguridad de la información más importante.

 Presentar el informe final y realizar la socialización.

1.2 Alcances:

En el estudio se analizara el hardware y software existente en la sala de

informática en la universidad de Nariño sede Ipiales y se trataran los siguientes
aspectos:

 Evaluación del hardware en cada uno de los equipos de la sala de

informática.
 Evaluar planes de adquisición de hardware.
 Evaluación del programa de mantenimiento de hardware.
 Evaluar el licenciamiento del software
 Verificación del software utilitario
 Evaluar los requerimientos de los usuarios con respecto a software.

1.3 Metodología:

Los pasos a seguir para poder cumplir con los objetivos planteados son:

 Recolectar la información a través de la observación directa, entrevistas,

checklist.
 Verificar si la información suministrada coincide con los reportes que se
llevan en la universidad.
 Tomar fotografías que sirvan de soporte al proceso.
 Verificar la documentación del software.
 Identificar los riesgos presentes.
 Clasificación de riesgos
 Evaluar riesgos.
 1.4 CRONOGRAMA DE ACTIVIDADES:

ESTUDIO SALA DE INFORMATICA UNIVERSIDAD DE NARIÑO SEDE IPIALES

TIEMPO EN SEMANAS
(abril 2012) (mayo 2012) (Junio 2012)
ACTIVIDAD 1 2 3 4 1 2 3 4 1 2 3 4

Estudio Preliminar
Evaluación de
Riesgos
Ejecución de
Pruebas y
Obtención de
Evidencias

Elaboración de
Informe

Sustentación de
Informe

2. PROGRAMA DE AUDITORIA

DOMINIO: Adquisición e implementación.

Procesos: AI3 adquirir y mantener arquitectura de tecnología.

2.1 Evaluación del nuevo hardware y software.

OBJETIVO DE CONTROL:
Deberán establecerse procedimientos para evaluar el impacto de nuevo hardware
y software sobre el rendimiento del sistema en general.

2.2 Mantenimiento Preventivo para Hardware

OBJETIVO DE CONTROL
La Dependencia de servicios de información deberá calendarizar el mantenimiento
rutinario y periódico del hardware con el fin de reducir la frecuencia y el impacto de
fallas de rendimiento.

2.3 Seguridad del Software del Sistema

OBJETIVO DE CONTROL
La Dependencia de servicios de información deberá asegurar que la instalación
del software del sistema no arriesgue la seguridad de los datos y programas ya
almacenados en el mismo. Deberá ponerse gran atención a la instalación y
mantenimiento de los parámetros del software.

2.4 Instalación del Software del Sistema

OBJETIVO DE CONTROL
Deberán implementarse procedimientos para asegurar que el software del sistema
sea instalado de acuerdo al marco de referencia de adquisición y mantenimiento
de infraestructura de tecnología. Las pruebas deberán ser llevadas a cabo antes
de autorizarse su utilización en ambiente de producción.

2.5 Mantenimiento del Software del Sistema

OBJETIVO DE CONTROL

Deberán implementarse procedimientos para asegurar que el software del sistema

sea mantenido de acuerdo al marco de referencia de adquisición y mantenimiento
para infraestructura de tecnología.

3. ANÁLISIS Y EVALUACIÓN DE RIESGOS

Para encontrar los riesgos ya mencionados se procesio a la respctiva visita a las

instalaciones de la universidad de Nariño sede Ipiales y especificamente a la aula
de informática, donde posteriormente se aplico los cuestionarios y los checklist o
listas de chequeo al personal encargado del aula.

3.1 LISTA DE RIESGOS ENCONTRADOS.

 No existen sistemas contra incendios
 Los usuarios no son capacitados en el uso adecuado de extintores
 No existen sistemas de censores de humo
 No existen sistemas Extractores de calor
 No existen sensores de Temperatura
 No existen controles sobre el acceso de personas al aula
 No hay una hoja de vida de la existencia de los equipos
 La ventilación del aula no es la adecuada
 No se ha asignado un espacio locativo para el ejercicio del mantenimiento preventivo y
correctivo
 No se lleva monitoreo de la capacidad del hardware con el fin de asegurar que
siempre exista una capacidad justificable para procesar las cargas de trabajo
 No se realiza un escaneo para evitar intrusiones en la red.

3.2 VALORACIÓN DE RIESGOS

De acuerdo con los riesgos encontrados anteriormente, se realiza la valoración de los

mismos teniendo en cuenta la probabilidad de ocurrencia y el impacto del riesgo para esto
utilizamos una tabla en donde se calificara cada riesgo para su posterior análisis.

Probabilidad Impacto
Riesgos / Valoración
A M B L M C

Siniestros y catástrofes
R1 No existen sistemas contra incendios x x

Los usuarios no son capacitados en el uso adecuado

R2
de extintores x X

R3 No existen sistemas de censores de humo x x

R4 No existen sistemas Extractores de calor x x

R5 No existen sistemas contra incendios X X

R6 No existen sistemas de censores de humo x X

R7 No existen sistemas Extractores de calor x X

No existen controles sobre el acceso de personas al

R8 aula
x x

R9 No se ha asignado un espacio locativo para el ejercicio x x

del mantenimiento preventivo y correctivo
 No se lleva monitoreo de la capacidad del hardware
con el fin de asegurar que siempre exista una
R10
capacidad justificable para procesar las cargas de
trabajo x X

No se realiza un escaneo para evitar intrusiones en la

R11
red. x X

3.3 MATRIZ DE RIESGOS

De acuerdo a la valoración que se hace a los riesgos encontrados en la visita que se

realizo a la universidad de Nariño sede Ipiales y a las instalaciones del aula de
informática, se puede clasificar los riesgos de acuerdo a la siguiente tabla:

Clasificación de Riesgos

LEVE MODERADO CATASTROFICO

ALTO R1,R3,R4,R5,R6,R7
R8,R9,R10,R11

MEDIO

BAJO R2

4 LISTAS DE CHEQUEO O CHECKLIST PARA ÁREAS DE CÓMPUTO

Definición

Actualmente es difícil definir lo que es un centro de cómputo, puesto que en una

organización pequeña dos equipos PC son todo su centro de cómputo, en una escuela, su
centro de cómputo lo conforman sus aulas y las oficinas administrativas, y en un
corporativo, su centro de cómputo lo forman varios edificios o un sitio central y oficinas
regionales.

Para poder englobar todos estos extremos, se definirá al centro de cómputo no en función
del número de equipos con que cuente, ni en función del espacio que ocupa, sino en
cuanto al servicio que presta. En este orden de ideas, un centro de cómputo es la
infraestructura necesaria para satisfacer todas las necesidades de procesamiento de
información y brindar los servicios que la organización requiere, contando para ello con
recursos humanos, técnicos y materiales.

Cuestionario de Control C1

Aulas de informática universidad de Nariño sede Ipiales R/PT

Cuestionario de Control C2
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Mantenimiento Preventivo para Hardware
Cuestionario
Pregunta SI NO N/A
¿Se lleva un control de los equipos en garantía, para que a la finalización
de ésta, se integren a algún programa de mantenimiento?
¿Se cuenta con servicio de mantenimiento para todos los equipos?
¿Con cuanta frecuencia se realiza mantenimiento a los equipos?
¿Se cuenta con procedimientos definidos para la adquisición de nuevos
equipos?
¿Se tienen criterios de evaluación para determinar el rendimiento de los
equipos a adquirir y así elegir el mejor?
Documentos probatorios presentados:

Cuestionario de Control C2

Aulas de informática Universidad de Nariño sede Ipiales R/PT

Cuestionario de Control C3
Dominio Entrega de Servicios y Soportes
Proceso DS12: Administración de Instalaciones.
Objetivo de Control Escolta de Visitantes
Cuestionario
Pregunta SI NO N/A
¿Las instalaciones (aulas, cubículos y oficinas) fueron diseñadas o
adaptadas específicamente para funcionar como un centro de cómputo?
¿Se tiene una distribución del espacio adecuada, de forma tal que facilite
el trabajo y no existan distracciones?
¿Existe suficiente espacio dentro de las instalaciones de forma que
permita una circulación fluida?
¿Existen lugares de acceso restringido?
¿Se cuenta con sistemas de seguridad para impedir el paso a lugares de
acceso restringido?
¿Se cuenta con sistemas de emergencia como son detectores de humo,
alarmas, u otro tipo de censores?
¿Existen señalizaciones adecuadas en las salidas de emergencia y se
tienen establecidas rutas de evacuación?
¿Se tienen medios adecuados para extinción de fuego en el centro de
cómputo?
¿Se cuenta con iluminación adecuada y con iluminación de emergencia
en casos de contingencia?
¿Se tienen sistemas de seguridad para evitar que se sustraiga equipo de
las instalaciones?
¿Se tiene un lugar asignado para papelería y utensilios de trabajo?
¿Son funcionales los muebles instalados dentro del centro de cómputo:
cintoteca, Discoteca, archiveros, mesas de trabajo, etc?
¿Existen prohibiciones para fumar, consumir alimentos y bebidas?
¿Se cuenta con suficientes carteles en lugares visibles que recuerdan
estas prohibiciones?
¿Con cuanta frecuencia se limpian las instalaciones?
¿Con cuanta frecuencia se limpian los ductos de aire y la cámara de aire
que existe debajo del piso falso (si existe)?
Documentos probatorios presentados:

Cuestionario de Control C3

Aulas de informática universidad de Nariño sede Ipiales R/PT

Cuestionario de Control C4
Dominio Entrega de Servicios y Soportes
Proceso Protección contra Factores Ambientales
Objetivo de Control Controles Ambientales
Cuestionario
Pregunta SI NO N/A
¿El centro de cómputo tiene alguna sección con sistema de
refrigeración?

¿Con cuanta frecuencia se revisan y calibran los controles ambientales?

¿Se tiene contrato de mantenimiento para los equipos que proporcionan
el control ambiental?
¿Se tienen instalados y se limpian regularmente los filtros de aire?
¿Con cuanta frecuencia se limpian los filtros de aire?
¿Se tiene plan de contingencia en caso de que fallen los controles
ambientales?
Documentos probatorios presentados:

Cuestionario de Control C4

Aulas de informática Universidad de Nariño sede Ipiales R/PT

Cuestionario de Control C5
Dominio Entrega de Servicios y Soportes
Proceso DS12 Administración de Instalaciones.
Objetivo de Control Suministro Ininterrumpido de Energía
Cuestionario
Pregunta SI NO N/A
¿Se cuenta con instalación con tierra física para todos los equipos?

¿La instalación eléctrica se realizó específicamente para el centro de

cómputo?
¿Se cuenta con otra Instalación dentro el centro de cómputo, diferente
de la que alimenta a los equipos de cómputo?
¿La acometida llega a un tablero de distribución?
¿El tablero de distribución esta en la sala, visible y accesible?
¿El tablero considera espacio para futuras ampliaciones de hasta de un
30 % (Considerando que se dispone de espacio físico para la instalación
de más equipos)?
¿La Instalación es independiente para el centro de cómputo?
¿La misma instalación con tierra física se ocupa en otras partes del
edificio?
¿La iluminación está alimentada de la misma acometida que los
equipos?
¿Las reactancias (balastros de las lámparas) están ubicadas dentro de la
sala?
¿Los ventiladores y aire acondicionado están conectados en la misma
instalación de los equipos a la planta de emergencia?
¿Los ventiladores y aire acondicionado están conectados en la misma
instalación de los equipos a los no-brake?
¿Se cuenta con interruptores generales?
¿Se cuenta con interruptores de emergencia en serie al interruptor
general?
¿Se cuenta con interruptores por secciones ó aulas?
¿Se tienen los interruptores rotulados adecuadamente?
¿Se tienen protecciones contra corto circuito?
¿Se tiene implementado algún tipo de equipo de energía auxiliar?
¿Se cuenta con Planta de emergencia?
¿Se tienen conectadas algunas lámparas del centro de cómputo a la
planta de emergencia?
¿Qué porcentaje de lámparas: % están conectadas a la planta de
emergencia (recomendable el 25 %)?
Documentos probatorios presentados:

Cuestionario de Control C5

Aulas de informática Universidad de Nariño sede ipiales R/PT

Cuestionario de Control C6
Dominio Entrega de Servicios y Soportes
Proceso Protección contra Factores Ambientales
Objetivo de Control Seguridad Física
Cuestionario
Pregunta SI NO N/A
¿Se tienen lugares de acceso restringido?
¿Se poseen mecanismos de seguridad para el acceso a estos lugares?
¿A este mecanismo de seguridad se le han detectado debilidades?
¿Tiene medidas implementadas ante la falla del sistema de seguridad?
¿Con cuanta frecuencia se actualizan las claves o credenciales de
acceso?
¿Se tiene un registro de las personas que ingresan a las instalaciones?
Documentos probatorios presentados:
5. GUÍAS DE AUDITORIA PARA APLICACIÓN INSTRUMENTOS
Para iniciar el proceso de verificación de la auditoria se procede a realizar la planeación
de las visitas a las instalaciones del aula de informática de la Universidad de Nariño sede
Ipiales de acuerdo a lo siguiente:

Guía de Auditoría G1

Aulas de informática Universidad de Nariño sede ipiales R/PT: C1

Guía de Auditoria G1
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Evaluación de Nuevo Hardware y software
No Procedimiento Fecha R/PT
1 Entrevista al personal encargado de las administración de 27/05/2012
las aulas de informática para identificar las condiciones y
procedimientos para realizar cambios de hardware
2 Identificación de los documentos empleados para la 27/05/2012
realización de la reposición de elementos de hardware

Guía de Auditoría G2

Aula de informática Universidad de Nariño sede Ipiales R/PT: C2

Guía de Auditoria G2
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Mantenimiento Preventivo para Hardware
No Procedimiento Fecha R/PT
1 Identificar la calendarización del mantenimiento rutinario y 04/06/2012
periódico del hardware

Guia de auditoria G3

Aulas de informática Universidad de Nariño sede ipiales R/PT: C1

Guía de Auditoria G1
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Seguridad del software del sistema
No Procedimiento Fecha R/PT
1 Controlar el software a instalar para evitar fallas en el 11/06/2012
funcionamiento de los equipos
2 Mantener actualizado el software para incrementar la 11/06/2012
seguridad y obtener un buen funcionamiento en los
equipos

6. GUÍA DE PRUEBAS.
Realizadas las visitas y las entrevistas propuestas con anterioridad se han obtenido la
siguiente colección de pruebas para los riesgos seleccionados previamente.

Guía de Prueba P1

Aula de informática Universidad de Nariño sede Ipiales R/PT: C1

Guía de Pruebas P1
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Evaluación de Hardware
Riesgos Asociados R9
No Evidencia Descripción
1 No existen En el aula de informática no se lleva un control de acceso de
controles sobre el personas y no existe un sistema de reserva de equipos
acceso de
personas al aula

Guia de prueba 2

Aula de informática Universidad de Nariño sede Ipiales R/PT: C1

Guía de Pruebas P1
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Evaluación de Hardware
Riesgos Asociados R10
No Evidencia Descripción
1 Faltan definir En el aula de informática no existe control de acceso en cuanto a
políticas para la contraseñas para el ingreso alos equipos
asignación de
contraseñas de los
equipos de
computo

Guía de prueba 3

R/PT: C1
Aula de informática Universidad de Nariño sede Ipiales
Guía de Pruebas P1
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Evaluación de Hardware
Riesgos Asociados R11,R12,R13
No Evidencia Descripción
1 No se ha asignado No existe espacio físico diferente dentro de la sede para llevar a
un espacio locativo cabo el proceso de mantenimiento de equipos, siempre es realizable
para el ejercicio del en el aula de informática.
mantenimiento
 preventivo y
correctivo

7. GUÍA DE HALLAZGOS
Teniendo en cuenta la aplicación de los instrumentos para recolección de información, los
objetivos planteados con anterioridad y los riesgos definidos en la Matriz se obtienen las
siguientes tablas de hallazgos para cada uno de ellos.

Guía de hallazgo 1

Aula de informática Universidad de Nariño sede Ipiales R/PT: P1

Hallazgos de la Auditoría H1
Dominio Adquisición e Implementación
Proceso AI3 Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Evaluación de Hardware
Riesgos Asociados R9
Descripción
En el aula de informática de la universidad de Nariño sede Ipialaes no existe un control de
ingreso alas aulas además de no existir un sistema en donde se pueda definir previamente la
asignación del aula.
Recomendación
El encargado debe organizar horarios respectivos de utilización del aula de informatica
Causa
La falta de un sistema de ingreso en donde se pida previamente la aula de informática de la
Udenar sede ipiales
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio alto, en cuanto al impacto es
leve.

Guía de hallazgo 2

Aula de informática Universidad de Nariño sede Ipiales R/PT: P2

Hallazgos de la Auditoría H2
Dominio Adquisición e Implementación
Proceso AI3 Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Evaluación de Hardware
Riesgos Asociados R10
Descripción
En el aula de informática de la Universidad de Nariño sede Ipiales no existe control de acceso a
los equipos en cuanto a sistemas de contraseñas se refiere es decir no existe restricción a los
equipos de cómputo y por lo tanto a la información de todo el estudiantado.
Recomendación
Crear una contraseña de acceso para los equipos con el fin de la no intromisión de personas
ajenas a la institución universitaria además se recomienda crear cuentas de usuario dependiendo
de los programas que existan con el fin de preservar la información importante.
Causa
La falta de seguridad en cuanto al acceso a los equipos
 Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio alto, en cuanto al impacto es
leve.

Aula de informática Universidad de Nariño sede Ipiales R/PT: P2

Hallazgos de la Auditoría H3
Dominio Adquisición e Implementación
Proceso AI3 Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Evaluación de Hardware
Riesgos Asociados R11,R12,R13
Descripción
.En el aula de informática de la Universidad de Nariño sede Ipiales no existe un espacio diferente
a la aula para realizar el mantenimiento de los equipos de computo
Recomendación
Se recomienda a las directivas de la sede asignar un espacio diferente para la realización de esta
actividad.
Causa
La falta de aulas en las instalaciones de La universidad de Nariño sede Ipiales
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio alto, en cuanto al impacto es
leve.
CONCLUSIONES

 Mediante la ejecucion de la auditoria al aula de informatica de la

universidad de Nariño sede Ipiales, se logro, evidenciar el real
funcionamiento del aula, lo cual nos permitio hacer un auditage a los
riesgos y falencias encontrados para con esto presentar un informe
estipilando los procedimientos o sugerencias a las cuales se deben acoger
para que el funcionemiento del aula sea mucho mas optimo y de esta
manera cumpla a cabal con la finalidad por la cual está alli.

 Mediante la ejecucion de la auditoria pudimos complementar y poner en

práctica los conocimientos adquiridos durante este semestre en la
asignatura de Fundamentos de Auditoria de Sistemas.

 El auditage realizado nos exigio asumir una postura de auditor quien debe
saber y/o conocer claramente el concepto y funcionamiento de los
diferentes aspectos involucrados para dicho proposito, por ende se debió
llevar el proceso con la mayor responsabilidad y madurez posible.

Pasto junio 2012

Lic. Luz Ángela Ordoñez

Coordinador Universidad de Nariño sede Ipiales

Cordial saludo:

Solicitamos de manera muy cordial su colaboración autorizando el desarrollo del

proyecto perteneciente al área de auditoria el cual tiene como fin encontrar los
riesgos y las falencias en el aula de informatica bajo la colaboración del monitor
dentro del aula de informática de esta institución universitaria.

Esperando una respuesta positiva por su atención y gestión anticipo

agradecimientos.

Atentamente:

Jimmy Jhonatan Guerrero