Auditoria Computadores

Auditoría de sistemas
Biblioteca

Auditoria de hardware y software en

estaciones de trabajo.

Integrantes

Andres Marchena
Carlos Andres nassif
Andres Eduardo Serpa Florez
Kelly Jhoana Simanca Cuervo

Docente a cargo

Marco Roberto Arévalo Yepes

Abril 2016

-1-
 Auditoria Computadores

Índice.
Alcance...............................................................................................................................................3

Objetivo..............................................................................................................................................3

Recursos.............................................................................................................................................4

Etapas de trabajo...............................................................................................................................4

1. Recopilacion de informacion básica......................................................................................4

2. Identificación de riesgos potenciales....................................................................................4

3. Objetivos de control..............................................................................................................5

4. Determinacion de los procedimientos de control.................................................................5

5. Pruebas a realizar..................................................................................................................6

6. Obtencion de los resultados..................................................................................................6

7. Metodologia:..........................................................................................................................6

8. Normas...................................................................................................................................6

9 . Evidencias...............................................................................................................................8

10. Comentarios y Conclusiones.................................................................................................14

11. Encuesta...............................................................................................................................14

-2-
 Auditoria Computadores

Alcance
La auditoria se realizará sobre los sistemas informaticos en computadoras del area
de Bilioteca que estén conectados a la red interna de la Corporación Unificada
Nacional de Educación Superior (C.U.N) sede monteria.

Objetivos
Objetivo General: Tener un panorama actualizado de los sistemas de información
en cuanto a la seguridad fisica, las politicas de utilizacion, transferencia de datos y
seguridad de los activos.

Objetivos Específicos:

 Evaluar la conexión cuando los alumnos accedan a internet.

 Observar la que paginas son las que los alumnos más acceden y mirara si el
sistema está protegido y su seguridad.

 Evaluar las políticas y normas de infraestructura física lógica en las salas para el
correcto funcionamiento y así lograr una buena integración en este espacio.

 Revisar el licenciamiento del software

 Revisar el inventario de los computadores y la parte red

 Evaluar las copias de seguridad y sus fichas técnicas

 Revisar el inventario de los computadores para su mantenimiento y su respectivas

actualizaciones “Repotenciar las maquinas si es necesario”

 Evaluar el reglamento de las áreas informática y que este conocido y

comprendido por los usuarios

 Verificar cumplimiento de las normas de certificación para el cableado de datos

 Validar pruebas que validen el cumplimiento de políticas de TI.

 Verificar la existencia y manejo adecuado de claves de acceso al software

administrativo.

-3-
 Auditoria Computadores

Recursos
El numero de personas que integraran el equipo de auditoria sera de cuatro, con
un tiempo maximo de ejecucion de 2 a 3 semanas.

Etapas de trabajo
1. Recopilacion de informacion básica
En colaboración con los encargados del area de sistemas, y del profesor a cargo,
se reunio informacion interna del funcionamiento, para tener conocimientos de
como operan internamente.

Se realizo un cuestionario, a la persona encargada de esa area, con el objetivo de

saber como funciona el proceso de mantenimiento.

Es importante tambien reconocer y entrevistarse con los responsables del area de

sistemas de la empresa para conocer con mayor profundidad el hardware y el
software utilizado.

En las entrevistas incluiran:

 Asistentes de informatica

 Encargada area de biblioteca

2. Identificación de riesgos potenciales

Se evaluo la forma de adquisicion de nuevos equipos o aplicativos de software.
Los procedimientos para adquirirlos que estan regulados y aprobados en base
a los estandares de la institucion y los requerimientos minimos para ejecutar
los programas base.

Dentro de los riesgos posibles, tambien se contemplaran huecos de seguridad

del propio software y la correcta configuracion y/o actualizacion de los equipos
criticos como el cortafuegos.

Los riesgos potenciales se pueden presentar de la mas diversa variedad de

formas.

Uno de los riesgos que se manifiestan, es que los equipos son de uso publico,
lo cual, conlleva a que cualquier persona con una USB infectada pueda afectar
el equipo, y asi propagarse a los demas equipos.

-4-
 Auditoria Computadores

3. Objetivos de control
Se evaluaron la existencia y la aplicación correcta de las politicas de seguridad,
emergencia y disaster recovery de la institucion.

Se hizo una revicion de los manuales de la institución, que los procedimientos

de los mismos se encuentren actualizados y que sean claros y que el personal
los comprenda.

Actualmente la CUN cuenta con una Empresa encargada del programa de

seguridad, para la evaluación de los riesgos que puedan existir, respecto a la
seguridad del mantenimiento de los equipos, programas y datos.

4. Determinacion de los procedimientos de control

Se determinaron los procedimientos adecuados para aplicar a cada uno de
los objetivos definidos en el paso anterior.

Objetivo N 1: Existencia de normativa de hardware.

 El hardware debe estar correctamente identificado y

documentado.

 Se debe contar con todas las órdenes de compra y facturas

con el fin de contar con el respaldo de las garantías ofrecidas
por los fabricantes.

 El acceso a los componentes del hardware esté restringido a

la directo a las personas que lo utilizan.

 Se debe contar con un plan de mantenimiento y registro de

fechas, problemas, soluciones y próximo mantenimiento
propuesto.

Objetivo N 2: Política de acceso a equipos.

 Cada computador cuenta con nombre de usuario y contraseña

para acceder a los equipos.

 Las claves deberán ser seguras (mínimo 8 caracteres,

alfanuméricos y alternando mayúsculas y minúsculas).

 Uso restringido de medios removibles (USB, CD-ROM, discos

externos etc).

-5-
 Auditoria Computadores

5. Pruebas a realizar.
Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de
los objetivos establecidos. Entre ellas podemos mencionar las siguientes técnicas:

 Tomar 10 maquinas al azar y evaluar la dificultad de acceso a

las mismas.

 Facilidad para desarmar una pc.

 Clave de los programas

 Sistema operativo

 Adicionar programas nuevos

 Comprobación de antivirus

6. Obtencion de los resultados.

Se evidencio que ahy computadores que tienen problemas fisicos y por lo cuales
solo generan problemas de espacio.

En cuanto al sistema cuentan con clave de registro, los programas tambien

cuentan con serial de activación.

En el ambito de seguridad, cada computador cuenta con contraseña y usuario.

7. Metodologia:

METODOLOGIA:

 Ejecutar una encuesta de todos los usuarios que acceden a los computadores de y
preguntarles que programas son los que más ejecutan.
 Analizar la información obtenida por la encuesta.
 Revisar documentación como planillas, inventario y reglamento.
 Revisión de todo el inventario de los computadores, cables, dispositivos.
 Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos
 Pruebas de laboratorio (validaciones del sistema).
 Elaboración y presentación del informe final las recomendaciones que se deben
tener para la buena ejecución de la red estudiantil.

-6-
 Auditoria Computadores

8. Normas
NORMAS:

LEGALES:

● LEY 1273 DEL 5 DE ENERO 2009,”Por medio de la cual se modifica el código

penal, se crea un nuevo bien jurídico tutelado-denominado “de la protección de
la información y de los datos “, y se preservan integralmente los sistemas que
utiliza las tecnologías de la información y las comunicaciones, entre otras
disposiciones”.

● Ley de Comercio Electrónico en Colombia. (Ley 527 de 1999)

El 18 de agosto de 1999 fue expedida en Colombia la Ley 527 de 1999, por
medio de la cual se define y reglamenta el acceso y uso de los mensajes de
datos, del comercio electrónico y de las firmas digitales, se establecen las
entidades de certificación y se dictan otras disposiciones.”

● DECRETO NUMERO 1360 DE 1989

 
“Por el cual se reglamenta la inscripción del soporte lógico (software) en el registro
nacional del derecho de autor”.

9 . Evidencias

-7-
 Auditoria Computadores

-8-
 Auditoria Computadores

-9-
 Auditoria Computadores

- 10 -
 Auditoria Computadores

- 11 -
 Auditoria Computadores

- 12 -
 Auditoria Computadores

- 13 -
 Auditoria Computadores

10. Conclusiones y Comentarios.

Como resultado de la auditoria podemos manifestar que hemos cumplido con evaluar
cada uno de los objetivos contenidos en el programa de auditoría.

 El mantenimiento periódico de los equipos influye en su desempeño.

 Las áreas poco ventiladas, presenta problema con un ventilador, y el aire no en fría
mucho

 Se requieren equipos suficientes para realizar las prácticas.

 Horarios flexibles para los estudiantes que desean afianzar sus conocimientos.

 Mejorar las áreas es indispensable a mediano o corto plazo ya que la

 tecnología no se detiene.

11. ENCUESTA

SI NO N/A
CUESTIONARIO

1. La Entidad dispone de políticas para el x

mantenimiento de los equipos de cómputo?

2. Se cumplen estas políticas? X

3. Se encuentran debidamente aprobadas las x

políticas ?

4. Estas políticas contemplan metodologías para X

llevar a cabo el mantenimiento tanto de hardware como
de software ?

5. Existen contratos de mantenimiento con X

compañías especializadas?

6. Se encuentran vigentes ? X

7. Quién administra el cumplimiento de tales

contratos ?

- 14 -
 Auditoria Computadores

8. Se hacen exigibles la pólizas de los contratos a x

los contratistas que no cumplen ?

9. Se ha adquirido legalmente todo el Software x

instalado en los equipos de la Entidad ?

10. Se sigue alguna metodología de adquisición del x

Software?

11. Se ha adquirido legalmente todas las partes del x

equipo?

12. Alguna metodología de adquisición de equipos? x

13. X
Se controla que solo se encuentren instalados aquellos
programas de uso constante, además de no permitirse
la duplicidad de instalaciones o de archivos ?

14. Se encuentra debidamente licenciada la totalidad X

del software que usa la Entidad ?

15. Contemplan las políticas de la Entidad controles x

administrativos que aseguren la confiabilidad en la
captura de los datos ?

16. Se cuenta con controles por parte del personal que x

maneja la aplicación para detectar errores u omisiones
en el momento de la captura?

17. Cuentan los sistemas con rutinas de verificación de X

la información que se está capturando ?

18. Son efectivas tales rutinas ? X

19. Rechaza definitivamente la aplicación aquellas X

transacciones invalidas?

20. Existen y son efectivos los controles X

administrativos que permitan la confiabilidad en el
procesamiento de los datos?

21. Existen y son efectivos los controles X

proporcionados por la aplicación para prevenir errores
en el procesamiento de la información?

22. Se cuenta con controles por parte del personal que x

maneja la aplicación para detectar errores u omisiones
en el momento del procesamiento?

23. Cuenta la aplicación con rutinas de verificación de x

la información que se está procesando?

- 15 -
 Auditoria Computadores

24. Son efectivos los procedimientos usados para x

corregir los datos procesados erradamente ?

25. Existen y son efectivos los controles x

administrativos que permitan la confiabilidad en la
salida de los datos?

26. Se cuenta con controles por parte del personal que x

maneja la aplicación para detectar errores u omisiones
en la salida de información?

27. Cuenta la aplicación con rutinas de verificación de x

la información que sale del sistema?

Bibliografía.
Ejercicio práctico de la Universidad Pontificia de Salamanca.
Se examinó el trabajo realizado en dicha entidad y siguiendo las pautas aplicadas en el informe, se
fue elaborando el trabajo.

INFORME AUDITORIA SALA 5 (TRABAJO ENTREGADO ANTERIORMENTE)

- 16 -