Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Equipo auditor:
JUNIO 2018
INTRODUCCIÓN
El presente documento ha sido elaborado como trabajo final del curso de Auditoría Informática. El
proyecto fue establecido con el objetivo general de realizar una Auditoría Informática al Centro de
Recursos para el Aprendizaje y la Investigación (CRAI) de la Universidad Peruana Unión Filial
Juliaca, más concretamente a la Unidad de Tecnología de la Información. De acuerdo a los
objetivos específicos, el proyecto marca su inicio efectuando un análisis comparativo de la
tecnología, normas y técnicas que estandarizan los procesos en la actualidad, para posteriormente
realizar un estudio del entorno a auditar, precisar una estrategia de auditoría, ejecutar los planes y
programas puntualizados; y finalmente emitir un informe que determine si cada uno de los
procesos de TI colaboran eficazmente con la consecución de los objetivos institucionales,
precisando un conjunto de recomendaciones en base a los resultados obtenidos.
CAPÍTULO I
La
Organización
1.1. Datos generales de la organización
1.3. Visión
“Ser referente por la excelencia en el servicio misionero y la calidad educativa e
innovadora en la iglesia y la sociedad.”
1.4. Misión
“Desarrollar personas íntegras, con espíritu de servicio misionero e innovadoras a
fin de restaurar la imagen de Dios en el ser humano.”
1.5. Organigrama
CAPÍTULO II
Plan de
Auditoría de
Sistemas
2.2. Objetivos y Alcance de la Auditoría de Sistemas
Lic. Hilario Pelinco (Servicios Académicos del CRAI, Jefe del CRAI Juliaca). Se
encarga de los eventos académicos y realiza programas de inducción a los estudiantes
acerca de los servicios que ofrece el CRAI. Además, maneja la autorización de empaste
de las tesis y la indexación al repositorio.
Tec. Adela Ito (Servicios de Biblioteca del CRAI). Se encarga de dar información y
acogida al público, de las colecciones, y recursos de estudio del CRAI.
Prof. Teófilo Quispe (Análisis Documental del CRAI). se encarga de la catalogación
de libros al ingresar los libros al sistema, procesos de complementarios, y adquisiciones
para el CRAI.
Ing. Walter Luque (Jefe de Tecnologías de la Información del CRAI). se encarga del
manejo del software de la biblioteca (Simphony Sirsidnyx), y de dar soporte en
tecnologías de información al CRAI.
● Sistemas
Sistema Operativo: Windows 7
● Equipos
Computadoras de Escritorios
● Instalaciones
Son equipos de cómputo que están ubicados dentro de la sala de lectura del
CRAI.
Computadoras de Escritorios :
2.4. Descripción de las áreas (puntos de evaluación) que contempla la Auditoría de
sistemas
https://drive.google.com/file/d/0BxhqorwWj0xJMjBvcVp0N1V2WmM/view
Actividades que van a ser evaluadas Peso por Peso por factor Valor de
ponderació
y ponderadas actividad Ponderar n
Fecha Hoja
DD MM AA __ de __
Activid
ad que Procedimie
será ntos
evalua de Herramientas que
Ref. da auditoría serán utilizadas Observaciones
F
e
c
h Ho
Empresa: CRAI UPEU JULIACA a ja
Auditores de Sistemas
M A
Área: Tecnologías de la Información. DD M A
Herramient
Ref. as que
Actividad que Procedimientos serán
será evaluada de auditoría utilizadas Observaciones
Observación
directa
Pruebas al
sistema y
escaneo de
virus. Que antivirus esté
Verificar que el sistema Entrevistas y actualizado y las
Evaluar la seguridad operativo tenga antivirus. encuestas a actualizaciones
y vulnerabilidad del Verificar que antivirus Directivos del automáticas estén
001 Sistema operativo esté actualizado área. activadas.
El centro de cómputo
debe tener políticas de
seguridad, privacidad y
protección.
Observación Se debe tener backups
directa, de respaldo ante
Evaluar la seguridad verificación alguna eventualidad.
física del equipo de de las El centro de cómputo
cómputo, políticas licencias. debe tener un sistema
de seguridad, Entrevistas y de alarma de por
backups de respaldo Revisión documental. encuestas a presencia de humo y
ante alguna Revisión de los backups. Directivos del extintores así como
003 eventualidad área. conexiones seguras.
Observación
Revisar la instalación y Directa. Las pruebas de
Evaluar la flexibilidad evaluar los recursos de la Entrevistas y ingreso pueden
Adaptabilidad de los red revisar los encuestas a hacerlas al auditor o
componentes de la componentes y directivos del terceros
004 red. configuración de cada red área. ajenos al área.
PREGUNTAS SI NO N/A
PREGUNTAS S N N
I O /
A
personal autorizado?
¿Se han implantado claves o password para
garantizar operación de consola y equipo central
correctivo?
¿Se establecen procedimientos para obtención de
backups de paquetes y de archivos de datos?
¿existen licencias?
Preguntas SI NO N/A
Ejecución de
Auditoría de
Sistemas
Aplicación de los Instrumentos – Hojas de trabajo (cuestionarios)
PRESENTACIÓN DE HALLAZGOS
HALLAZGO N° 1 La sala de cómputo solo está protegida contra el sol con cartulinas blancas, que
durante el día alivian parcialmente la llegada del sol a las máquinas, y esto genera
recalentamiento de las pc y el malestar de los usuarios de la sala de cómputo.
HALLAZGO N° 2 El cableado entre las computadoras son mediante extensiones, generando que
estén enredados y provocando que ante cualquier movimiento las máquinas se apaguen.
Medidas Correctivas
Criterio
Esta situación ha transgredido la norma ISO/IEC 27001 (Segunda Edición 2013-10-01) “Tecnología
de la Información – Técnicas de Seguridad – Sistemas de Gestión de la Seguridad de la Información
– Requisitos”.
HALLAZGO N° 3 La ausencia de los backups son mayores de dos (padres e hijos) y se guardan en
lugares seguros y adecuados, preferentemente en bóvedas de bancos
Medidas Correctivas
Criterio
Esta situación ha transgredido la norma ISO/IEC 27001 (Segunda Edición 2013-10-01) “Tecnología
de la Información – Técnicas de Seguridad – Sistemas de Gestión de la Seguridad de la Información
– Requisitos”.
Medidas Preventivas
Prever que el plan de contingencias adoptado es el apropiado para dar continuidad a las
operaciones del negocio, en caso de interrupciones prolongadas por fallas de hardware, software
y potencia eléctrica.
Criterio
Esta situación ha transgredido la norma ISO/IEC 27001 (Segunda Edición 2013-10-01) “Tecnología
de la Información – Técnicas de Seguridad – Sistemas de Gestión de la Seguridad de la Información
– Requisitos”.
Medidas Preventivas
Congelar las computadoras para que de ésta manera no se infecten los archivos además de no
seguir propagando el virus.
Criterio
Esta situación ha transgredido la norma ISO/IEC 27001 (Segunda Edición 2013-10-01) “Tecnología
de la Información – Técnicas de Seguridad – Sistemas de Gestión de la Seguridad de la Información
– Requisitos”.
CAPÍTULO IV
Dictamen de
Auditoría de
Sistemas
Ing. Walter Luque
Encargado de Tecnologías de la Información del CRAI Filial Juliaca
Es grato saludarle y agradecerle por permitirnos hacer la auditoría dentro de su área. Nos ha
tratado con mucha cordialidad. Que Dios lo bendiga y lo guarde siempre en la función que está
realizando.
__________________________________ _________________________________
__________________________________ __________________________________