AUDITORIA DE HARDWARE Y SOFTWARE APLICADA AL DEPARTAMENTO DE SISTEMAS DE LA ALCALDIA DE %&/&)&

Alcance La auditoria se realizar sobre los sistemas de informacin del departamento de sistemas de la Alcaldia de Urea. Objetivos Objetivo General Mediante la auditoria aplicada elaborar una propuesta para proporcionarle al departamento de la alcaldia una guia, donde se especifique las distintas alternativas que permitan solucionar los problemas en cuanto a hardware y software presentan. Objetivos Especficos Evaluar el uso de los equipos de cmputo, instalaciones, mobiliario y recursos tcnicos con el propsito de determinar el grado de efectividad. Identificar el cumplimiento de las actividades y funciones del personal administrativo.

Actualizar los sistemas de informacin en cuanto a la seguridad fisica, politicas de utilizacion, transferencia de datos y seguridad de los activos.

RECURSOS UTILIZADOS PARA LA AUDITORIA

Humano: El equipo est integrado por 6 auditores y personal del departamento de sistemas. Tcnico: Equipo Informtico de las diferentes reas. Tiempo: Un mximo de ejecucin de 3 semanas. Materiales: Papelera, bibliografa, fotocopias, manuales y libros.

ETAPAS DE TRABAJO Recopilacin de Informacin Bsica Dicha auditoria se realizo para determinar los motivos por los cuales los equipos de computo no tenian un adecuado funcionamiento, para ello se ralizo una visita al departamento de sistemas de la alcaldia, donde se converso con el personal a cargo, quienes manifestaron que los problemas principales que se presentaban eran en cuanto a seguridad se referia, ademas de ello algunos procesos no funcionaban correctamente o presentaban lentitud los cuales son vitales para el desarrollo de sus actividades diarias. Luego de ello se procedio a enviar un cuestionario a los gerentes del departamento, para establecer mediante este cuales son los equipos que utilizan y los procesos que realizan cada uno. Entrevistas: Gerente de Informatica / Sistemas

Subgerentes de Informatica / Sistemas Asistentes de Informatica / Sistemas Tecnicos Auxiliares de Soporte Externo

Identificacin de Riesgos Potenciales Tcnologico (Hardware y Software): Excesiva confianza en los rendimientos de productividad o tecnologas sobrevaloradas de las cuales no se tiene mayor informacin o experiencia. Incovenientes disponibilidad. con la plataforma computacional, poca

Deficiencias en la forma de distribucin de los equipos. Cuando se trabaja con conexin a red, es muy comn que por falta de conocimiento den rdenes que la puedan bloquear o provocar que sta se caiga.

El ambiente en que se desarrolla algunos de los proyectos no son compatibles con el sistema operativo que est siendo usado por el PC

Algunas rdenes, comandos u operaciones son muy complejos y puede producir que al darlas de manera equivoca bloquee el equipo.

El problema principal y ms comn que puede ser causa de ms problemas que ningn otro factor es la falta de experiencia y la ignorancia. Virus que infectan las aplicaciones, Sniffers que capturan los datos y contraseas que circulan por una red.

Programas que revientan los passwords. Caballos de Troya que se instalan en nuestro ordenador y toman el control Faltas de planes de Contigencia Recursos Humanos Incovenientes con la formacin de equipos de trabajo por parte del personal, partes no comprometidas o desconocimiento de los objetivos del departamento. Inadecuada capacitacin de los desarrolladores herramientas de ingenieria del software. en las

Sobre valoracin de las capacidades profesionales del equipo de desarrollo.

Inadecuada seleccin de profesionales informticos para liderar el desarrollo de proyectos, generando que a la hora de probar, documentar o mantener dichas aplicaciones, alargan injustificadamente los planes el proyecto.

Objetivos de Control

Periodicamente se hara una revision de los equipos informticos para determinar que no haya sido modificada la configuracin de hardware y software establecida por el encargado del departamento de sistemas, ademas del control de acceso.

 Se realizara una evaluacin de los manuales de politica del departamento, para verificar que los procedimientos de los mismos se encuentren actualizados y sean comprendibles por el personal. Debe instalarse y activarse una herramienta antivirus, la cual debe mantenerse actualizada, en caso dado de presentarse un virus u otro agente potencial, se debe notificar inmediatamente al encargado del departamento.

Se prohibe la descarga de software que no haya sido indicado para el desarrollo de los proyectos.

Cada uno de los software deben estar bien documentados. Disear un plan de contigencia acorde a las necesidades. Crear un plan simulacro para poder comprobar que el plan de recuperacin de datos es eficiente.

Determinacion de los Procedimientos de Control Objetivo: Polticas del control de los equipos. Cada uno de los usuarios contara con un nombre de usuario y contrasea para acceder a los equipos. Las claves debern ser seguras (mnimo 9 caracteres, alfanumricos y alternando maysculas y minsculas). Los nuevos usuarios debern ser autorizados mediante contratos de confidencialidad y deben mantenerse luego de finalizada la relacin laboral.
Uso restringido de medios removibles (USB, CD-ROM,

discos externos, dispositivos mviles). Se mantendr un respaldo o informe de la configuracin aplicada a los computadores, con el fin de determinar si esta no ha sido cambiada. Cada software descargado e implementado deber contar con su previa documentacin para prevenir futuras fallas y para cuestiones de la garanta.

 Objetivo: Manuales de Poltica del Departamento Tanto

el hardware como el software debe estar correctamente identificado y documentado. rdenes de compra y facturas con el fin de contar con el respaldo de las garantas ofrecidas por los fabricantes.

Se debe llevar un registro y control de todas las

El acceso a los componentes del hardware y software

estar restringido al personal no autorizado. Se debe contar con un plan de mantenimiento y registro de fechas, problemas, soluciones y prximo mantenimiento propuesto. Pruebas a Realizar Tomar 5 maquinas del departamento al azar para realizar una evaluacin y determinar el control de acceso, configuraciones, entre otros. Revisar las polticas del departamento y aplicar una evaluacin tanto al personal como al equipo informtico, para comprobar el conocimiento y cumplimiento de dichas normas
Verificacin de contratos del personal, de equipos y de nuevos

proyectos a realizar.

Obtencion de los Resultados Evaluacin de los Sistemas Plan de Contigencia Problemas Causa No existia un plan de contigencia para recuperacion de los datos en caso de desastre. Falta de una adecuada planificacin.

Repercusiones

Resultado despus de la Aplicacin del Objetivo de Control

Falta de conocimiento y prevencin Poco interes por parte de las autoridades. Perdida de informacin, tiempo y dinero. Carga de Trabajo. Luego de aplicado dicho objetivo, el personal tiene mayor conocimiento en caso de presentarse un perdida de datos, se mantiene un respaldo de la informacin para evitar futuras perdidas

Control de los Equipos Problemas

Causa

Repercusiones

Resultado despus de la Aplicacin del Objetivo de Control

Los usuarios no se autentificaban a la hora de usar los quipos de computo, se presentaban grandes descargas de programas, juegos y software innecesarios para la realizacion de los proyectos. En varias ocasiones se presentaban fugas de informacion Falta de previsin de la Institucin. Desconocimiento de las medidas de seguridad y Polticas de la Empresa Hurto de la informacin. Perdida de informacin. Daos y descontrol de las configuraciones de los equipos. Todo el personal cuenta con claves de acceso a solo la informacin necesaria o parte de los sistemas, no mas saturaciones de la red ni de disco duros por descargas innecesarias, no mas fugas de informacin ni perdidas de archivos.

Manuales de Polticas del Departamento Problemas No existen manuales de los sistemas para el usuario operativo, ni un manual detallado de las polticas del departamento de sistemas Causa No fue elaborado por la persona que diseo el sistema. Falta de atencin de los directivos. Repercusiones Dificultad de manipulacin. El personal no cuenta con documentos que le auxilien en momentos de problemtica. Resultado despus de la Luego de actualizar el manual de Aplicacin del Objetivo de Control polticas se realizaron pruebas y el funcionamiento de los equipos de computo tanto de las acciones del personal son las correspopndientes para un buen desarrollo de las actividades.

Conclusiones y Comentarios Evaluaciones de Seguridad Problemas Alternativas de Solucin No poseen un plan de emergencia en caso de desastre naturales. Creacin de un plan de contingencia. Capacitar al personal. Realizar simulacros. No existe un lugar asignado para el almacenamiento de los Backup. Asignar un lugar adecuado que contenga puertas con sus respectivas llaves. No cuenta con claves de seguridad o acceso para los equipos. Establecer claves de seguridad o acceso para los equipos. No tienen un control de los usuarios que accedan a la informacin confidencial. Crear polticas e implementarlas, para el acceso a la informacin confidencial. Determinar los modelos de autorizacin para acceder a la informacin que es confidencial. Para llevar a cabo estos puntos se dan algunas recomendaciones: -Que se le d autorizacin a los jefes de cada departamento y encargadas

Problemas Alternativas de Solucin

Problemas Alternativas de Solucin

Problemas Alternativas de Solucin

Institucionales. -Para un buen control la informacin ser almacenado en algn lugar que fije el encargado Institucional. Problemas Alternativas de Solucin No existe contrato de seguros de equipos. Adquirir un contrato de seguro que brinde seguridad en el equipo. No existe una persona encargada de todos los equipos ni programas de mantenimiento preventivo. Crear un programa de mantenimiento. Gestionar recursos para contratar una empresa o persona natural.

Problemas

Alternativas de Solucin

Evaluaciones de Hardware/ Software y Reglamentos Problemas En el departamento de Sistemas no cuentan con equipos actualizados y algunos presentan daos. Adquirir equipos segn la necesidad de las operaciones que se realizan Actualizacin de los equipos. No cumplen con los reglamentos internos de la Institucin, ya que una porcin de los empleados no tienen conocimientos de dicho reglamento. Colocar carteles para visualizar los reglamentos Implementar sanciones a los empleados que no cumplan el reglamento

Alternativas de Solucin

Problemas

Alternativas de Solucin

Problemas

Alternativas de Solucin

No cuentan con carteles visibles donde se describen las prohibiciones de no fumar, no tomar bebidas en el lugar donde se encuentran los equipos de trabajo. Crear Normas internas de prohibiciones en los diferentes departamentos. Colocar carteles que especifiquen estas prohibiciones.