AUDITORIA DE SISTEMAS UNIVERSIDAD LUTERANA SALVADORENA FACULTAD CIENCIAS DEL HOMBRE Y DE LA NATURALEZA LIC. CIENCIAS DE LA COMPUTACION MATERIA: AUDITORIA DE SISTEMAS TEMA PRESENTACION DE TRABAJO FINAL DE AUDITORIA DE SISTEMAS DOCENTE: ANA LISSETTE GIRON INTEGRANTES: Rodolfo Amilcar Rodriguez Oscar Rolando HenriquezAUDITORIA DE SISTEMAS CONTENIDO INTRODUCCION. ..rsssssesesesee OBJETIVOS GENERAL. ESPECIFICOS.... i DESCRIPCION DEL LUGAR DE AUDITORIA ORGANIGRAMA DE LA INSTITUCION.......sceetesee CANTIDAD DE EMPLEADOS QUE POSEE LA INSTITUCION..... os DETALLE DEL DEPARTAMENTO Y ACTIVIDADES QUE SE AUDITARAN.. PERSONAL INVOLUCRADO QUE ATENDERA LA AUDITORIA... SEGMENTO DE POBLACION QUE CUBRE. PRINCIPALES PROVEEDORES.... ANTECEDENTES Y DESCRIPCION DE LAS APLICACIONES UTILIZADAS sos ALCANCE DE LA AUDITORIA INFORMATICA 10 IDENTIFICAGION DE AREAS CRITICAS... : FACE | PLANIFICACION DE LA AUDITORIA.... 12 INTRODUCCION...... creo . . scenes anaes - 12 OBJETIVOS rans a aise iarrataacascaesnvs Wh GENERAL. 14 ESPECIFICOS......... sovshnenennnnennannnntanennnees cecenneneseee V4, OBJETIVOS DE LA AUDITORIA 15 DETERMINAGION DE LOS RECURSOS NECESARIOS PARA REALIZAR LA AUDITORIA 7 PRESUPUESTO FINANCIERO...... citocisesscesiciaeitctcceasisincsicanscccis 1B CRONOGRAMA DE ACTIVIDADES. 18 PROGRAMAS DE AUDITORIA, eee eecentnene 7 19 ENCUESTAS 28 FACE Il EJECUCION DE LA AUDITORIA. 33 INTRODUCCION. a eee vee eee 4 QBYETIVOS isssnsrsnsacais renee stg ieiaantansectiste seein OS GENERAL....... esse vss ose eteensntnentntstsineneseneeesens 8S ESPECIFICOS. . . 35 Cao 16)AUDITORIA DE SISTEMAS PRESENTACION DE POLITICAS DE SEGURIDAD .......0ccensnnncnnteninn nee 36 PRESENTACION DE PAPELES DE TRABAJO acl 18 AREA CRITICA HARDWARE........... oA 2° AREA CRITICA SOFTWARE. a 44 3! AREA CRITICA SEGURIDAD FISICA Y LOGICA........ si cavicnentieni 4* DIRECCION INFORMATICA .. srerestreerrantcete entrants 46 5! PLANES DE CONTINGENCIA. 47 CRONOGRANA DE ACTIVIDADES......... sc cca sn sactsc ABE PROGRAMAS DE AUDITORIA 49 FACE Il PRESENTACION DE INFORME FINAL.....-...0:cssccssssssstensersinseeessenee 50 INTRODUCCION........ oe sa siconssnesirsucnnvcnensasiines BB OBJETIVOS - 69 GENERAL sscasaiercanarinanncanninacsnccicnniesnn pasccmmieness 68 ESPECIFICOS. 69 CRONOGRAMA DE ACTIVIDADES. 70 RECOMENDACIONES EN LAS AREAS CRITICAS AUDITADAS....0sscsntnnsnenin TT PRESENTACION DE POLITICAS DE SEGURIDAD........ coe 76 CARTA DE FINALIZACION DE AUDITORIA.. 279 ANNEX OS :essssccnrmsaicaccananniniretcnis : si “i at INVENTARIO DEL CENTRO DE COMPUTO 8t FOTOGRAFIAS DE LA AUDITORIA. 85 GLOSARIO. 86 BIBLIOGRAFIA. accsnsasssssssnsecnsisnsn 90AUDITORIA DE SISTEMAS INTRODUCCION En la presente auditoria, realizada en El Instituto Nacional "XXXX", se realizara basandose en los lugares més criticos de dicha area tomando puntos sobre cémo se encuentra el hardware y el funcionamiento que esta teniendo. La auditoria en hardware que se esta planiticando es con el objetivo de revisar, evaluar los controles, sistemas, procedimientos de informatica de los equipos del rea centro de cémputo. Determinamos los puntos que seran auditados y los alcances que tendré la auditoria en el area de hardware as mismo otras ares que también se observan arias criticasAUDITORIA DE SISTEMAS OBJETIVOS GENERAL > Realizar la planificacin de las actividades que se realizaran en la presente auditoria en fase de planificacion. ESPECIFICOS v Identificar las areas criticas en el centro de computo. > Ponderar las arias criticas. > Identiticar los principales problemas que se encuentran en las distintas dreas a evaluar.AUDITORIA DE SISTEMAS 1. DESCRIPCION DEL LUGAR DE AUDITORIA La auditoria de sistemas Intormaticos se realizar en las instalaciones Instituto Nacional “XXXXXXXX” ubicada en B° el Centro Calle Escobar Cuyultitan La Paz. 1.1 Resefia histérica de la Institucion El instituto nacional XXXX fue fundado en el afio de 1981. Inicial mente esta institucion solo contaba con noveno grado posterior mente al ver la necesidad de que los alumnos que egresaban de noveno grado ya no podian seguir estudiando fue como se toma la iniciativa de enviar el proyecto al ministerio de educacién para su aprobacién y es asi como nace la educacién hasta bachillerato en esta institucion. MISION Potenciar un proyecto educativo donde los estudiantes asuman con responsabilidad su rol, mediante herramientas competitivas de inclusién, para que puedan insertarse al desarrollo productivo de una sociedad en constante evolucion VISION Ser una institucién de Educacién Media, comprometida con el desarrollo integral del alumnado, a través del uso de metodologias innovadoras y de la Participacién en actividades de tiempo pleno, para una mejor convivencia basada en practica de valores humanos.AUDITORIA DE SISTEMAS 1.2 Organigrama de la Instituci6n p> 1.3 Cantidad de empleados que posee Ia Institucion La institucién costa de 11 maestros que imparten diferentes materias as{ mismo posee dos ordenanzas que solo los que se encargan de la limpieza de la institucion Del Director y una secretaria que lleva todos los registros de la institucién. 1.4 Detalle del departamento y actividades que se auditaran El Area que se auditara serd el aula informatica de la institucién la cual cuenta con 18 computadoras de escritorio y 26 mini laptop. Las actividades que se auditaran seran el funcionamiento de! hardware y otras posibles Areas criticas que se observa enelareaAUDITORIA DE SISTEMAS 1.5 Personal involucrado que atendera la auditoria Héctor Saul Romero Reyes Cel, 5 x0KxxxxK Cargo: Encargado de Centro informatio 1.6 Segmento de poblacion que cubre La institucién educativa tiene un segmento de poblaci6n estudiantil de 13 a 19 afios. Que son los que tiene contacto con el equipo informatico. 1.6Principales proveedores: ‘CLARO, DEL SUR UBRERIA CERVANTESAUDITORIA DE SISTEMAS 2. ANTECEDENTES Y DESCRIPCION DE LAS APLICACIONES UTILIZADAS ‘Windows Server 2003 es un sistema operativo de la familia Windows de la marca Microsoft pata servidores que salié al mercado en el afo 2008. Esté basada en tecnologia NT y su version del nlicleo NT es la 5.2 Microsoft Office 2003 es una version de la suite ofimatica Microsoft Office para e! sistema operativo Microsoft Windows. Fue lanzada el 11 de cotubre de 2003 y fue la sucesora de Microsoft Ofice XP Windows XP Home Edition es la versién mas reciente del sistema operative de Microsoft Corporation para su uso doméstico. E! programa incluye numerosas novedades destinadas, ‘como viene siendo habitual, a facilitar y mejorar la comunicacién entre el usuario. yel ordenador Ubuntu soporta oficiaimente dos arquitecturas de hardware on ‘computadoras personales y servidores: 92-bit (x86) y 64-bit (x86_64)42 Sin ‘embargo, extraoficialmente, Ubuntu ha sido portado a mas arquitecturas Libre Office es un paquete de oficina libre y de eéaigo abierto desarroliado por The Document Foundation. Tipos de usuario. ~ Super Usuario (Administrador} + Usuario basico Licenciad a pagada Licenciad apagada Licenciad a pagada PRO- EDUCA PRO- EDUCA 05/12/2003 05/12/2003 05/12/2003 16/04/2012 16/04/2012 No cuenta con un plan definido del mantenimiento del equipo informatico se hace cuando es requerido.AUDITORIA DE SISTEMAS 2. ANTECEDENTES Y DESCRIPCION DE LAS APLICACIONES UTILIZADAS ALCANCE DE LA AUDITORIA INFORMATICA Alcance La auditaré se hard en la siguiente area: Hardware también se realizara una evaluaci6n en las aéreas criticas encontradas como lo son: software, Seguridad fisica y sistemas operativos. Software El alcance que tendré la auditoria intormética ser con respecto al software de verificar el correcto uso del equipo, licencias, antivirus y la veriticacion del equipo tal que tiene que concordar con lo que se tiene fisicamente documentado, en este caso lo que se tiene sobre el software. Hardware En este parte se verificaré el hardware y lo que se tiene de informacién escrita o digital del hardware va a ser revisado 0 auditado de tal forma que la informacion tiene que ser la misma porque las caracteristicas que digan que tienen las computadoras seran revisadas y verificadas. Seguridad fisica Se verificar la correcta sefializacién de rutas de evacuacién y las normas de seguridad que tiene establecidas la institucién educativa para salvaguardar la integridad fisica del personal que ahi labora y estudia. Sistemas operativos Verificacién del funcionamiento del sistema operative y la utilizacion de licencias, actualizaciones que se le realizan, mantenimiento del sistema tanto corrective como preventivo. @nsg3. IDENTIFICACION DE AREAS CRITICAS Genrer Ce EC Paes po Exe Cmacie WAT cr) AUDITORIA DE SISTEMAS eT) Conocer sobre Mantenimiento. Verificar funcionamiento licenciamiento. Verificar si el centro de computo cumple con los aspectos fundamentales de seguridad fisica y logica No cuentan con el organigrama detallado Ev re ORC 15% nese cas! 13% 100% Peet al 4, No cuentan con un Plan de mantenimiento de ningan tipo ya que ellos lo utlizan solo cuando es necesario no hay un plan definido 2. No tienen politias a la hora de adquirir nuevo hardware ya que esto puede atectar a que no haya un proceso claro cuando se adqulere nuevo equipo. 4. No cuenta con un plan de actualizacién, 24% 2.Falta de manuales de sistemas operativos 8. Verificar incompatibiided en la migracién de sistemas. eeu 2, Software SS TUEre 1. Con respecte ala segura isa so encontré ate 18% Pee ee | ene centro de computo no cuentan con una Weis adcouada iluminacion. 2.No poseen sala de emergencia 3, No hay pracedimientos formales para creactén de perfiles en los sistemas. 4. No hay actividades de backups SESS ICN 1.No existe dentro de la entidad un pert ya detinidoo 159% rerieeritias || por escrito de que tanto conocimiento debe tener el personal de area informatica 3. No hay nadie se encargue de la creacién de pertles de usuarios ni que los administe oe 1. Los planes de contiagencia no estén debidamente 13% documentados y por lo tanto les usuarles desconocen Sars Se ET 0 estos planes MEZECE-EE ICSI No se evalda por que la institucién no cuenta con una, 0% Redes y No se evalda por que go ebservé que la parte deredes 0% Heres eer) trabaja bien y no hay mayores complleaciones — Racine cece 100%AUDITORIA DE SISTEMAS FASE | PLANIFICACION D AU SORIA eyAUDITORIA DE SISTEMAS INTRODUCCION En la presente auditoria, realizada en El Instituto Nacional "XXXX’, se realizara basAndose en los lugares mas criticos de dicha area tomando puntos sobre cémo se encuentra el hardware y el funcionamiento que esta teniendo La auditoria en hardware que se esta planificando es con el objetivo de revisar, evaluar los controles, sistemas, procedimientos de informatica de los equipos del rea centro de cémputo. Determinamos los puntos que seran auditados y los alcances que tendra la auditoria en el 4rea de hardware as mismo otras ares que también se observan arias criticas. Ademés se realizara el cronograma de actividades de auditoria que se detallan por cada drea critica previamente identificada y asi mismo se incluye en este documento el cuestionario que se realiz6 en dicha institucionAUDITORIA DE SISTEMAS OBJETIVOS GENERAL > Realizar la planificacin de las actividades que se realizaran en la presente auditoria en fase de planificacion. ESPECIFICOS v Identificar las areas criticas en el centro de computo. > Ponderar las arias criticas. > Identificar los principales problemas que se encuentran en las distintas dreas. a evaluar.AUDITORIA DE SISTEMAS OBJETIVOS DE LA AUDITORIA Objetivo General > Conocer y evaluar el érea de Hardware, Software, Seguridad fisica y logica, Direccién Informatica y los Planes de Contingencia y sistemas operativos de! aula informatica del Instituto “XXXXX", con el fin de presentar un informe de auditoria con conclusiones y recomendaciones que sirvan para mejorar la gestion de dichas areas que han sido detectadas como criticas. Objetivos Especificos Hardware Objetivos especiticos * Identificar la existencia de inventarios de Hardware del instituto “XXXXX", Determinar la veracidad de! Mantenimiento de Hardware del centro de cémputo, Verificar fisicamente el Hardware de la institucion Vetificar aspectos de seguridad de Hardware. Auditar la utilizacién de los dispositivos de Hardware en la institucion educativa, Software Objetivos especificos + Conocer la forma de cémo trabaja Ia institucién educativa con respecto a licencias de software. + Identiticar los Sistemas operativos que se utilizan en la institucion. % Identificar los Sistemas operativos que se utilizan en centro de cémputo.AUDITORIA DE SISTEMAS Seguridad fisica y légica Obj ivos especificos + Comprobar los controles y medidas de seguridad fisica y légica que tiene centro de cémputo. + Conocer la Proteccién del centro de cémputo contra fuego y humedad. Verificar las normas de seguridad de acceso al area de computo. Sistemas Operativos Objetivos especiticos “> Verificar si todas las computadoras estan utilizando el sistema operativo que ha sido mencionado anteriormente y su respectiva licencia. + Verificar las caracteristicas de lo sistema operativos. Direccion Informatica + Identificara la existencia de la direccién Informatica. + Verificar si existe un plan estratégico de IT. Planes de Contingencia Objetivos especificos * Verificar la existencia de Sefializacién en centro de cémputo. + Comprobar la existencia de politicas y planes de Contingencia “ Revisar con que planes cuentan caso de un desastre naturalAUDITORIA DE SISTEMAS 6. DETERMINACION DE LOS RECURSOS NECESARIOS PARA REALIZAR LA AUDITORIA HUMANOS Auditores Auditor con previos conocimientos sobre hardware 0 mantenimiento de computadoras. MATERIALES Guias sobre cémo se realiza auditoria informatica Folders Caja de fastener Papel bond Engrapadoras Perforadora Lapiceros Computadoras Impresoras con escaner y fotocopiadora Viaticos para las visitas a la institucion7. PRESUPUESTO FINANCIERO AUDITORIA DE SISTEMAS PRESUPUESTO RECURSO | CANTIDAD VALOR VALOR TOTAL FINANCIERO RUBRO ‘RECURSOS HUMANOS ‘Auditores (3) ‘Salario por Hora $20.00 ‘MATERIALES Folders 1 Paquele $5.00 $5.00 Caja de fastener Toaja $2.00 $2.00 Papel bond Tresma $4.00 $4.00 Engrapador 7 $4.00 $4.00 Grapas Tala $1.50 $1.50 Perforador 7 $5.00 $5.00 Lapiceros 5 $0.50 $2.50 Computadora 7 $350.00 $350.00 impresoras 1 $60.00 $60.00 Vinietas Tpaquete $2.00 ‘$2.00 vidlicos 3 personas $20.00 $80.00 TOTAL GENERAL (no inchiye gastos de auditor) $ TOTAL NETO 8. CRONOGRAMA DE ACTIVIDADES Febrero Marzo Abril Mayo ‘Semana ‘Semana Semana Semana Investigacion Previa de la Institucién Flaboracién de plan de Auditoria Flaboracién de encuestas Recopilacién de Informacién 1 para contestar encuesta Identificacion de Areas Criticas Entrega de Primera Etapa Recopilacion y Mejoras de Etapa 1 Entrega etapa 2 1 2 39. PROGRAMAS DE AUDITORIA PROGRAMA DE AUDITORIA DE HARDWARE AUDITORIA DE SISTEMAS No. Procedimientos de auditoria Herramientas/Tiempo Estimado 1. Inventario 4 horas 2. Solicitar el listado del inventario Entrevista 3. Seleccionar la muestra para la verificacian de los inventarios Muestreo Simple 4, Evaluar las caracteristicas del hardware de los equipos informaticos. (RAM, Procesador y Disco Duro) Inspeccion Software Everest 5. Revisar la codificacion de los equipos de hardware. Tnspeccion 6. Verificar que el inventario descrito cumpla con las mismas caracteristicas del existente. inspeccion 7.verificar el cableado de red Taspeccion 8 Verificar que existan contratos de mantenimiento preventivo y correctivo para el equipo informatico Entrevista 9. Verificar si existe personal con los conocimientos para dar mantenimiento a los dispositivos de hardware. entrevista 10. Verificar si cuentan con los materiales o instrumentos adecuados para brindar el mantenimiento de los dispositivos. Tnspeccion 11, Realizar una revisiOn de las instalaciones eléctricas a fin de garantizar que las mismas son adecuadas para garantizar el buen funcionamiento y proteccién de los equipos de cémputo. Tnspeccion 72, Verificar que los equipos no sufran sobrecalentamientos inspeccion @nsgAUDITORIA DE SISTEMAS 13. Verificacion de la Utilizacion del Hardware Shora 14, Verificar si existe un presupuesto operativo anual para la adquisicién de equipo informatica Entrevista 15. Verificar cual es el proceso de notificacién de fallas del equipo informatico y como se documenta dicho proceso entrevista verificar el cableado de red Inspeccion PROGRAMA DE AUDITORIA DE SOFTWARE para el uso y manejo del distinto software y aplicaciones. No. Procedimientos de auditoria __| Herramientas/Tiempo estimado T.verificar el uso de licencias Thoras 2. Solicitar documentaci6n que respalde el __| Entrevista contrato de licencias , Evaluar las caracteristicas del sistema | Shora operativo @, Verificar que criterios Inspeccion Técnicos se usan para seleccionar al proveedor. . 5, Verificar sien el inventario de software __| Inspeccion aplicativo se detalla la versién, el proveedor y la vigencia de la licencia. © Verificar e identificar quienes son los, T Hora responsables de aprobar cualquier proyecto de desarrollo, implementacion o modificacion 7. Verificar si existen planes de capacitacion | EntrevistaAUDITORIA DE SISTEMAS 8. Conocer la metodologia de capacitacion para el uso y manejo del software y aplicaciones si lo existiere Entrevista 9. Riesgo de dependencia tecnolégica THORA 10. Verificacion de actualizaciones THORA 11. Indagar con los usuarios sobre el rivel de dominio que estos tienen del sistema. Si es bajo, medio 0 avanzado. Inspeccion 72. Verificar que exista un registro dela fecha de proceso y Ia fecha de transaccién para las operaciones de entrada. inspeccion 13. Verificar si existe un Inventario de reportes que identifique: nombre del programa, nombre del médulo, unidad de destino, frecuencia de emision y medio de emision Entrevista 14, Verificar si los cambios al sistema operacional o programas aplicativos, sus pruebas y resultados son revisados por el jefe de programacién técnica o quien hace ‘sus funciones Tnspeccion 15. Verificar cada cuanto se actualizan los antivirus TnspeccionAUDITORIA DE SISTEMAS PROGRAMA DE AUDITORIA DE SEGURIDAD FISICA Y LOGICA No | Procedimientos de auditoria Herramientas/Tiempo estimado 1. Verificar la Proteccion del centro de cémputo contra fuego y humedad. Thora 2, Identificar las medidas de proteccion contra el fuego que han sido adoptadas (sensores de humo y fuego, extintores suficientes y del tipo correcto) Entrevista 3. Determinar cada cuanto tiempo son recargados los extintores de fuego. Entrevista 4. Verificar si el personal ha recibido capacitacién en el uso de equipo contra incendias, inundacién y sistemas de alarma. 2 horas 5. verificar si las instalaciones cumplen con las nomas de seguridad que tiene establecidas para centro informatico. Tnspeccion 6. Examinar las normas de seguridad de acceso al area de cémputo y darle seguimiento al cumplimiento de las mismas. Inspeccion 7. Verificar si existen normas donde se prohibe por ejemplo: fumar, comer o beber dentro del Centro de computo y si se les esta dando cumplimiento, Thora &, comprobar si existen politicas que restrinjan el acceso al centro de computo Entrevista 9. Determinar si existen los procedimientos pertinentes para prevenir que personas no autorizadas accedan al centro de computo (restricciones fisicas, autorizacion para ingresar, responsables del ingreso al centro.) entrevista 10. Verificar silos usuarios tienen habilitados los puertos USB de los equipos para evitar trasmision de virus a las computadoras. Entrevista 17. Verlficar si se ha instruido al personal de seguridad sobre las medidas a tomar en 2 horasAUDITORIA DE SISTEMAS caso de que alguien pretenda entrar sin autorizaci6n, al centro intormatico. 12, Verificar las Medidas de seguridad para _| Entrevista el control de acceso y salida de los bienes informaticos del érea de cémputo. 78. Verificar el medio ambiente del centro de | Inspeccién cémputo y cerciorarse que la temperatura y humedad estén en rango establecidos por las medidas de seguridad 14, Verificar la existencia de rétulos como Inspeccion “Salida de emergencia’, "Via de evacuacién” 75. Verificar sila sefalizacion esta ubicada | Inspeccion en un area adecuada, donde cualquiera pueda verla. PROGRAMA DE AUDITORIA DE SISTEMA OPERATIVO NO] Procedimientos de auditoria | Herramientas/Tiempo estimado 1 Ver manuales de los sistemas 3 horas’ operativos que se encuentran instalados. 2 Verificar si existen manuales de los | Entrevista procedimientos que realiza los sistemas que estan instalados 3. Verificar silevan un control exacto_| Inspeccin de los sistemas que ahi se encuentran instalados ejemplos la fecha y su vigencia 4 Verificar si existen proyectos de Entrevista instalacion 0 adquisicion de nuevos sistemas. %. Verificar si estan instalados los Tnspeccion sistemas operativos en el area Informatica. @nsgAUDITORIA DE SISTEMAS 6. Verificar si cada sistema operativo | 2 horas instalado ya cuenta con su respectivo antivirus actualizado. 7.Werificar las caracteristicas del Inspeccion sistema operativo 8 Verificar si el sistema operativo Inspeccion instalado tienen los recursos necesarios para su utilizacion 9. Conocer la metodologia de Thora capacitacién para el uso y manejo del 10 Indagar sobre la existenciade una _| Entrevista politica para actualizaciones. 71. Entrevistar a una muestra de usuarios e indagar sobre el nivel de dificultad que tienen los usuarios para usar del sistema. Muestreo simple 72. Indagar con los usuarios sobre él nivel de dominio que estos tienen del sistema. Si es bajo, medio 0 avanzado. Muestreo simple 13. Verificar si se mantiene un registro de cambios en los programas del sistema operativo 2 horas 14, Verificar si existen planes de capacitacion para el uso y manejo de los sistemas operativos Thspeccion 75.Conocer la metodologia de capacitacién para el uso y manejo de los sistemas operativos InspeccionAUDITORIA DE SISTEMAS PROGRAMA DE AUDITORIA DE DIRECCION INFORMATICA informatica sobre las actividades que llevan a cabo. NO] Procedimientos de auditoria | Herramientas/Tiempo estimado 7 Verificacion de la existencia de horas direcci6n informatica 2, Solicitar el organigrama actual Entrevista 3, Preguntar a laaltagerenciay alos | Entrevista empleados de informatica si las decisiones las toman en conjunto. 4, Verlficar que exista una persona que | Entrevista se encargue de crear perfiles. 5, Evaluar él perfil de los empleados _| Inspeccion del area de informatica ©. Verificar que exista un manual por__| 1 hora escrito, donde se detallen las catacteristicas, destrezas y habilidades que debe de tener el personal de Informatica. 7. Verificar si existe un plan estratégico ‘| Inspeccion de Informatica, 8 Comprobar si realmente existe un __| Inspeccion plan estratégico. ‘9. Comprobar si el plan estratégico esta | Entrevista siendo implementado 70. Preguntar a los empleados sillevan |7 hora cabo el plan estratégico y cudles son los resultados 11, Verificar que las tareas y Enirevista actividades tengan una adecuada asignacion de recursos. 72, Preguntar al personal de Entrevista Cao 16)AUDITORIA DE SISTEMAS 18. Revisar los planes de capacitacion | 1 hora para los empleados de informatica. 14, Solicitar los documentos a la Entrevista gerencia sobre las metas y mision organizacional 75 Verificar la existencia y Entrevista cumplimiento de un manual de actividades a realizar PROGRAMA DE AUDITORIA DE PLAN DE CONTINGENCIA NO] Procedimientos de auditoria | Herramientas/Tiempo estimado T Comprobar la existencia de una Shoras politica de planes de contingencia. 2, Solicitar la documentacion de planes | Entrevista de contingencias. 3. Revisar con que planes cuentan Entrevista caso de un desastre natural 4. Verificar que medidas implementan a | Entrevista la hora que se presenten con una catastrofe natural 5 Verificar silos empleados conocen _ | Inspecci6n los planes de contingencia. 6 Preguntar si han realizado Thora simulacros 7. Preguntar 0 pedir manuales sobre __| Inspeccién planes para conocer que hacen para prevenir y minimizar dafios en sus recursos informaticos, y otros. 8 Verificar la existencia de una politica | Inspeccion de actualizacion de los planes de contingenciaAUDITORIA DE SISTEMAS 9. Solicitar a la gerencia el historial de | Entrevista incidencias o desastres 10. Verificar silos empleados conocen | 7 hora el historial de incidencias 71, Verificar la existencia de rétulos __| Inspeccion como “Salida de emergencia’, “Via de evacuacién’. 72, Verificar sila sefializacion esta Inspeccion ubicada en un drea adecuada, donde cualquiera pueda verla 13. Revisar la existencia de extintores. | Thora 74, Evaluar planes de Migracion Entrevista 15. Verificar si existe compatibilidad | Entrevista entre plataformas, sistema operativo 0 Base de datos.ENCUESTAS AUDITORIA DE SISTEMAS CUESTIONARIO DE CONTROL INTERNO- (GENERALIDADES DE LA EMPRESA Nombre de la Empresa: Instituto Nacional “XXKXX" Fecha: 24/03/2015 Entrevistado: Héctor Satil Romero Reyes Cargo: Coordinador de aula Informética Pregunta NO ‘Observaciones {Cual es Ta actividad econémica de la empresa? Educacién ZExiste un organigrama en la empresa? ‘Cuenta la empresa con mision, vision y valores? ZExisten objetivos establecidos en la empresa? 4Cuentan con presupuestos y manuales? £Cuentan con plan educativos? éExiste detalle del personal de la empresa? ~Cuentan con politicas de trabajo establecidas? “Pose la empresa un manual de funciones especificas para cada area de trabajo? ZExiste un control de ingresos y egresos?AUDITORIA DE SISTEMAS HARDWARE Nombre de la Empresa: Instituto Nacional “XXXXX” Fecha: 24/03/2015 Entrevistado: Héctor Sail Romero Reyes [Cargo: Coordinador de aula Informatica Preguntas S|_[NOTN/A [Comentarios 4Guenta con servidores locales o nube? x Local Cantidad de equipo que posee? 39 jEs frecuente el mantenimiento? ~Cuentan con plan anual de mantenimiento? éTienen un lugar especifico para guardar el material de mantenimiento de hardware? Qué materiales utilizan para realizar el mantenimiento del hardware? Los necesarios éQuién realiza el mantenimiento? Elencargado del rea 4Existen politicas definidas por escrita a la hora de adquirir nuevos equipos? GExiste un informe técnico en el que se justifique la adquisicién del equipo, software y servicios de computacién, incluyendo un estudio costo-beneficio? [2Realizan Back up {Qué tan frecuenten hacen Back up? Nose {Donde se guarda el Back up? Nose 4Quién hace el Back up? Elencargado de soporte téenico zSe utllizan los cédigos de acceso al hardware ademas de los cédigos de acceso al software (user IDs y contrasefias) para restringir el acceso a determinadas funciones a través de la terminal o estacion de trabajo? EI lugar donde se ubica el centro de cémputo esta seguro de inundaciones, robo o cualquier otra situacién que pueda poner en peligro los equips? Realizar Cronograma de Actividades > Realizar los programas de auditoria, > Auditar cada area critica.AUDITORIA DE SISTEMAS 4. PRESENTACION DE POLITICAS DE SEGURIDAD POLITICA DE SEGURIDAD PARA HARDWARE Objetivo Verificar la existencia de plan de mantenimiento del hardware de la institucién educativa Descripcion > Verificar si existe un manual para el mantenimiento para la reparacin del equipo de computacién y otros equipos. > Se entrevistara al coordinador del area de desarrollo profesional y consultarle que si cuentan con un plan de mantenimiento del hardware. » Verificar sila politica de tener un plan de mantenimiento se mantiene afio con ano. Recomendaciones > Se recomienda tener copias de los planes de mantenimiento por cada maquina ya sea de forma fisica 0 en su defecto en forma digital en los distintos servicios de almacenamiento en la nube, ya que esto seria un respaldo extra en caso de pérdida de documentos. POLITICA DE SEGURIDAD PARA SOFTWARE Objetivo Verificar la existencia de plan actualizacién del software y manuales de los sistemas operativos y planes para la incompatibilidad en la migracion de sistemas de la institucion educativa. Deseripcion > Verificar si existe un manuales 0 bitécoras pata las actualizaciones de los software instaladosAUDITORIA DE SISTEMAS > Verificar si existe un plan o manual de las incompatibilidades que presenta al migrar de sistema operativos. Recomendaciones > Se recomienda tener copias de los planes, manuales o bitécoras de actualizacion de software o migracién de sistemas por cada maquina ya sea de forma fisica 0 en su defecto en forma digital en los distintos servicios de almacenamiento en la nube, ya que esto seria un respaldo extra en caso de pérdida de documentos POLITICA DE SEGURIDAD FISICA Y LOGICA Objetivo Verificar la iluminacién del centro del cémputo, salida de emergencia y administracién de los usuarios en los sistemas operatives y si hay actividades de respaldo o backups Deseripcion > Verificar la iluminacién del centro del cémputo si es adecuada 0 no > Verificar si existe un plan de riesgo con sefializacion de evacuacién dentro del centro de computo de la institucién educativa. ¥ Verificar 0 consultar con el encargado del aula informatica cuenta con manuales de creaci6n de usuarios en los distintos sistemas. Recomendaciones » Se recomienda tener copias de los planes de contingencia o croquis de las zonas de sefializacién 0 evacuacién en caso de riesgos desastre natural, manuales 0 bitécoras de creacién de usuarios y mantener con buena iluminacién el area de del centro de cémputoAUDITORIA DE SISTEMAS POLITICA DE SEGURIDAD PARA DIRECCION DE INFORMATICA Objetivo Verificar si existe un perfil ya definido de que tanto conocimiento debe tener el personal de area informatica Deseripcion > Revisar si existe el perfil del personal del area informatica y veriticar si hay alguien encargado de la creacién de perfiles de usuarios y quien los administre. Recomendaciones > Se recomienda tener o crear un perfil idoneo para la administracion de los perfiles de usuarios y administrador del area informatica POLITICA DE SEGURIDAD PARA PLANES DE CONTINGENCIA Objetivo \Verificar la existencia de plan de contingencia de la institucién educativa Deseripcion » Verificar si existe un plan de contingencia y si son entregados al personal o son leidos al personal o usuarios Recomendaciones > Se recomienda tener copias de los planes de contingencias por cada area ya sea de forma fisica 0 en su defect en forma digital en los distintos servicios de almacenamiento en la nube, ya que esto seria un respaldo extra en caso de pérdida de documentosAUDITORIA DE SISTEMAS TECNICAS DE EVALUACION APLICABLES A UNA AUDITORIA DE SISTEMAS. En la auditoria de sistemas computacionales se utilizan una serie de herramientas tradicionales de auditoria, asi como técnicas de valoracién que permite hacer una evaluacién més eficiente de los sistemas computacionales. Como profesional especializado en la rama, el auditor de sistemas computacionales utilizas estas técnicas pues le ayudan a examinar y evaluar correctamente los diferentes aspectos del ambiente de sistemas en el que realiza su trabajo. Estas técnicas, métodos, procedimientos o herramientas son: - Inspeccién En este punto la inspeccién se realiza de una forma presencial ya que hasta la fecha de entrega de esta fase ya hemos realizado visitas de campo y entrevistas las cuales nos han permitidos establecer parametros de cémo se encuentra trabajando la institucion educativa Inspeceion La inspeccion en sistemas computacionales o augitoria de hardware o software es Sinénimo de supervision, evaluacion ya que trata de examinar la forma en que se desarrollan las actividades de un area de sistemas computacionales, a fin de evaluar y emitir un informe sobre el desarrollo normal de sus funciones y operaciones; también tiene como propésito monitorear el desarrollo cotidiano de las. funciones, actividades y operaciones normales de las empresa, para evaluar y si es necesario, corregit su desarrollo beneficio. Esta herramienta es aplicada de acuerdo con las caracteristicas especificas de cada centro de cémputo 0 de cada sistema computacional, un ejemplo de los posibles aspectos del ambiente de sistemas computacionales donde puede ser aplicada es: La inspeccién de los sistemas de seguridad y proteccién de las instalaciones, equipo, personal y de los propios sistemas de procesamiento, con el propdsito de dictaminar sobre su eficiencia y contiabilidad - Confirmacion La comparacién en la auditoria de sistemas nos sirve para establecer o dicho de otra forma es para verificar si todo lo que se nos han dicho y la informacion proporciona en la encuestas es cierta, siendo la confirmacion una técnica muy confiable ya que por motivos de trabajo de la institucién educativa las entrevistas han sido limitadas. @nsgAUDITORIA DE SISTEMAS La confirmacién es uno de los aspectos fundamentales para la credibilidad de una auditoria, es la confirmacion de los hechos y la certificacion de los datos obtenidos durante la revision; ya que el resultado final de una auditoria es la emision de un dictamen en el que el auditor vierte sus opiniones, la caracteristica fundamental de una auditoria, cualquiera que sea su tipo, es la autenticidad con la que el auditor emite sus opiniones, sean a favor 0 en contra. En los sistemas computacionales su fin es contirmar la oportunidad, veracidad de los gastos de némina del personal de la empresa , comparando los resultados de una quincena con los calculos manuales de esa misma quincena, validar las desviaciones encontradas en los procesamientos, revisar las licencias de software instalados en los sistemas computacionales y confirmar la contiabllidad de las protecciones , contrasefias y demas medidas de seguridad establecidas para el acceso a la informacion y a los sistemas de la empresa. - Comparacién La comparacién que se realiz6 y se seguira realizando es con el objetivo que toda la documentacién que se nos presente en papel he informacién obtenida por medio de cuestionarios concuerde con lo que se observe al momento de realizar la auditoria fisicamente o virtualmente es decir todo tiene que estar en concordancia. Con la comparacion de informacion se pueden encontrar las similitudes y diferencias entre ambas areas o empresa, con lo cual se pueden hacer conjeturas y deducciones sobre las desviaciones encontradas. En la auditoria de sistemas computacionales, la comparacién de los datos en el sistemas computacionales que va a ser elevado con los datos de algin sistemas similar 0 igual para avalar y comprobar que los procesamientos sean similares 0 iguales y que los resultados sean confiables, veridicos, oportunos y que satisfagan las necesidades de procesamiento del érea de cémputo de la empresa. - Revision documental La revision documenta! consta de verificar toda la informacion documentada, la verificacién se ha realizado con las visitas logrando ver toda la documentacién la cual estd en perfecto orden y claridad Esta técnica se aplica verificando el registro correcto de datos en documentos formales de la empresa, con mucha frecuencia la emision de sus resultados financieros. En los sistemas computacionales es utilizada para evaluar el desarrollo de las operaciones y tuncionamiento del sistema, revisar el uso y registro adecuado de los documentos del software, verificar la existencia y actualizacién de registros formales para la administracién y control de operacién del sistemaAUDITORIA DE SISTEMAS Matriz de evaluacion Esta herramienta consiste en una matriz de seis columnas de las cuales la primera corresponde a la descripcién, y las otras cinco a un criterio de evaluacién descendente o ascendente (Exc., Bueno, Suf., Reg., Deficiente). Descripcion Excelente | Bueno | Suficiente | Regular | Deficiente Utilizacion de |x hardware Utilizacién de software x Segutidad fisica x Sistema operativo x Segutidad légica x Politicas de seguridad xAUDITORIA DE SISTEMAS Matriz FODA (Fortalezas, Oportunidades, debilidades y amenazas.) FORTALEZA » EXELENTE COMUNICACION > PERSONAL ALTAMENTE RESPONSABLE » CONOCIMIENTOS DE HARWARE OPORTUNIDADES > ACCESIBILIDAD ALA INFORMACION DE LA INSTITUCION > TRABAJAR EN LA INSTITUCION DEBILIDADES » NO POSEEMOS MUCHO TIEMPO. PARA VISITAS DE CAMPO > FALTA DE EXPERIENCIA SOBRE PROGESOS DE AUDITORIA AMENAZA: » DELICUENCIA + Encuestas Ver anexos de encuestas. Las encuestas son como un examen para los trabajadores porque por este medio se puede observer que tan al cotrientes estén del funcionamiento de la institucion educativa y se por medio de las encuestas se puede dar un diagndstico de cémo esta trabajando y sirve como parametro para la auditoria porque desde este punto se puede notar las areas més criticas que tiene 0 que estan teniendo mas dificultades,AUDITORIA DE SISTEMAS PRESENTACION DE PAPELES DE TRABAJO 1? Area critica hardware Instituto “XXXXX" Aula Informatica Periodo auditado: 21/Abril/2015 Fecha: 30/Abril/2015 Area a auditar: Centro de Computo Procedimiento: Revision de hardware Auditado por: Rodolfo Rodriguez Objetivos de! Procedimiento: Verificar y evaluar que las computadoras de! érea del centro de cémputo cuenten con las caracteristicas mencionadas y que se encuentren en perfecto funcionamiento y correcta utilizacion de hardware Descripcion del Procedimiento: Se evaluaran todos los componentes de hardware que se utilizan en la institucion educativa, se verificara que estos estén trabajan en excelentes condiciones y que cuenten con todos los requisitos necesarios para un buen desempefio, y que cumplan con las caracteristicas que son mencionadas para cada computadora. Hallazgos: En base a la evaluaci6n se pudo identificar que en el area cuenta con un hardware en buenas condiciones las cuales permiten realizar las labores de forma muy eficiente, también que todo el hardware tiene mantenimientos preventivos y correctivos pero no cuenta con programa para realizarlos. Recomendaciones: Después de realizar una valoracién de cémo estan las computadoras las cuales estan en un ambiente propicio, tanto en el espacio como en la temperatura, en un lugar que es poca la presencia del polvo, se llega a la conclusién que se debe de realizar un programa de mantenimientos preventivos.