Auditori A

INGENIERÍA EN TECNOLOGÍAS DE LA

INFORMACIÓN Y COMUNICACIÓN

AUDITORIA

EDGAR MACEDO DOMINGUEZ

HUGO CESAR TINOCO BENITEZ

M.T.I. ANTONIO DE JESUS FLORES

1002

UNIVERSIDAD TECNOLÓGICA DEL

SUR DEL ESTADO DE MÉXICO

ÍNDICE GENERAL

PLANEACIÓN DE LA AUDITORIA DE SISTEMAS. ..................................................................................4

1. IDENTIFICACIÓN DE ORIGEN DE LA AUDITORIA. ........................................................................4

2. VISITA PRELIMINAR AL ÁREA QUE SERÁ EVALUADA...................................................................4

2.1 FORMATO DE VISITA PRELIMINAR........................................................................................6

3. RAZÓN SOCIAL DE LA EMPRESA. ..............................................................................................14

3.1 OBJETIVO DE LA AUDITORIA. ..............................................................................................15

4. CRONOGRAMA. ........................................................................................................................17

5. PUNTOS A EVALUAR. ................................................................................................................18

5.1 DOCUMENTOS A SOLICITAR. ..............................................................................................20

6. PLANES PROGRAMAS Y PRESUPUESTOS DE AUDITORIA ..........................................................20

6.1 METODOLOGÍA ...................................................................................................................20

6.2 PRESUPUESTO ....................................................................................................................22

7 METODOS, HERRAMIENTAS, INSTRUMENTOS Y PROCEDIMIENTOS PARA AUDITORIA. ............23

7.1 RECOLECCIÓN DE INFORMACIÓN. ......................................................................................23

7.2 LISTAS DE CHEQUEO ...........................................................................................................26

EJECUCIÓN DE AUDITORIA DE SISTEMAS .........................................................................................27

ANEXO CUESTIONARIOS

DICTAMEN DE AUDITORIA DE SISTEMAS .........................................................................................28

1. DOCUMENTOS DE OPORTUNIDADES DE MEJORAMIENTO ENCONTRADAS .............................28

1.1. ANÁLISIS Y EVALUACIÓN DE RIESGOS................................................................................28

1.1.1. LISTA DE RIESGOS ENCONTRADOS. ................................................................................28

1.1.2 VALORACIÓN DE RIESGOS ...............................................................................................29

1.2 RIESGOS ENCONTRADOS HALLAZGOS ................................................................................30

1.3 PRUEBAS .............................................................................................................................38

3 DICTAMEN FINAL .......................................................................................................................42

DATOS GENERALES DE LA EMPRESA.

Escuela Secundaria Oficial No. 0347 “Pedro Ascencio de Alquisiras”

C.C.T: 15EES0020E

Director: Joel Rosado Orive.

Servicios que Ofrece: Educación Secundaria (Nivel Básico)

Fecha de Inicio: 21/11/2014

Dirección: Doctor Gustavo Baz S/N, Villa Luvianos, Estado de México.

Teléfono: 7242520461

PLANEACIÓN DE LA AUDITORIA DE SISTEMAS.

1. IDENTIFICACIÓN DE ORIGEN DE LA AUDITORIA.

La presente Auditoria se realiza con el fin de analizar las problemáticas que se están dando

en las áreas de Informática de la Escuela Secundaria Oficial No. 0347 “Pedro Ascencio de

Alquisiras”.

La finalidad de realizar este proceso de Auditoría de TI, es con el objetivo de buscar las

problemáticas con las que cuenta la institución como es el control de acceso a las áreas de

computo con las que cuenta, así como también analizar los tipos de control que llevan

para altas y bajas de equipos, control de inventarios, soporte técnico, entre otros

conceptos a Auditar.

2. VISITA PRELIMINAR AL ÁREA QUE SERÁ EVALUADA.

Objetivos de la Visita Preliminar:

Conocer a la Empresa.

Definir qué Tipo de Auditoría requiere el Cliente.

Determinar los Recursos necesarios para llevar a cabo la Auditoría.

Herramientas a utilizar para conocer mejor a la empresa:

Investigación Documental: Ésta implica requerir a la empresa documentos que

muestren información relevante de la empresa, como son: misión, visión, planes

de trabajo, descripción de puestos, organigrama, procedimientos ISO, etc.

Entrevista Formal: Se utiliza un guion de preguntas con respuestas cerradas o de

opción múltiple.

Entrevista no Guiada: Se realizan preguntas más generales donde la persona

puede ser muy amplia en su respuesta, siendo éstas grabadas y después

transcritas.

Encuesta: Es un cuestionario que se aplica a todos o parte de los empleados de la

empresa.

Observación en Sitio: Implica que un miembro del equipo auditor sea observador

de alguna actividad o procedimiento de la empresa, tomando nota de cómo se

realizan y sin interactuar con el personal laborando.

2.1 FORMATO DE VISITA PRELIMINAR.

Teniendo en cuenta la aplicación de los instrumentos para recolección de información, los

objetivos planteados con anterioridad y el análisis de información se obtienen los

resultados preliminares y se describen en las siguientes tablas.

Aulas de Informática Institución Educativa. R/PT: C1

Nombre del Área:

Laboratorio de Computo.

Nombre del Jefe:

Joel Rosado Orive.

Dominio Planeación y Organización (PO)

Proceso PO3. Determinar la Dirección Tecnológica.

Objetivo de Control Aprovechar al Máximo la Tecnología Disponible.

Descripción

El Laboratorio de Computo con el que cuenta la Institución se utiliza con poca

frecuencia a pesar de que cuenta con equipos de cómputo recientes, el acceso a esta

área es algo restringido.

Recomendación

Asignar a un encargado en el Laboratorio para que se pueda utilizar con más

frecuencia para trabajos o actividades de los Alumnos.

Causa

La falta de una persona responsable o encargado en esta área hace que el Laboratorio

no se use con Frecuencia.

Nivel del Riesgo

En Cuanto a la Probabilidad de Ocurrencia está Clasificado en Medio Alto, en cuanto al

Impacto es Moderado.

Aulas de informática Institución Educativa R/PT: C2

Nombre del Área:


Nombre del Jefe:

Joel Rosado Orive.


Proceso PO5. Manejar la Inversión en TI.

Objetivo de Control Satisfacción de los Requerimientos de la Organización.

Descripción

La Institución tiene programados Horarios de mantenimiento, estas están sujetas a las

programaciones que realiza el Directos de la Escuela al inicio del Ciclo escolar, El Área

administrativa solo da de baja equipos no funcionales, pero no hace solicitudes de

cambio de nuevos equipos ya que el nuevo hardware está supeditado a los recursos de

inversión y proyectos presentados a nivel local y nacional.

Recomendación

El Encargado de la Administración de las aulas de informática debe sujetarse a los

Horarios de mantenimiento y cambios por lo menos una vez al año, las actualizaciones

de cambio o repotenciación de equipos se deben presupuestar para las vigencias

futuras.

Causa

El Director Escolar y el Encargado del Área Administrativa del aula de informática

deben realizar planes de actualización de equipos y de mantenimiento preventivo,

asignando los recursos económicos necesarios para vigencias futuras.

Nivel del Riesgo

En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al

impacto es moderado.


Nombre del Área:


Nombre del Jefe:

Joel Rosado Orive.

Dominio Adquisición e Implementación (AI)

Proceso AI2. Adquisición y Mantener Software de Aplicación.

Objetivo de Control Proporcionar Funciones Automatizadas.

Descripción

En las aulas de informática no se lleva un registro de mantenimiento y de cambios de

hardware, además no existe personal de mantenimiento dedicado a este proceso, el

mantenimiento está sujeto a las indicaciones del Director Escolar de acuerdo al

presupuesto y el inventario no se actualiza periódicamente cuando se han realizado

cambios.

Recomendación

El Encargado de la Administración debe sugerir las indicaciones de inventario y

mantenimientos de hardware.

Causa

La falta de recursos económicos y la falta de planeación por parte del encargado de la

administración de las aulas de informática en la institución.

Nivel del Riesgo

En cuanto a la probabilidad de ocurrencia está clasificado en medio alto, en cuanto al



Nombre del Área:


Nombre del Jefe:

Joel Rosado Orive.


Proceso AI3. Adquirir y Mantener Arquitectura de TI.

Objetivo de Control Proporcionar Plataformas Apropiadas para Soportar

Aplicaciones.

Descripción

En las Aulas de Informática de la Institución no se lleva a cabo una buena Adquisición e

Implementación de los Recursos destinado para la Mejora de TI, dentro de estas Áreas.

Recomendación

El Encargado de la Administración debe sugerir una forma apropiada de Adquirir e

Implementar los Recursos de TI, dentro de estas Áreas.

Causa



Nivel del Riesgo




Nombre del Área:


Nombre del Jefe:

Joel Rosado Orive.

Dominio Servicios y Soporte (DS)

Proceso DS3. Administrar Desempeño y Calidad.

Objetivo de Control Asegurar que la Capacidad Adecuada está Disponible.

Descripción

En las aulas de informática no se lleva a cabo una buena Administración y control de

Calidad para que los laboratorios tengan el Desempeño deseado por la Dirección

Escolar.

Recomendación

El Encargado de la Administración debe sugerir cambios en la Administración para

poder sacar el máximo provecho de las TI, con las que cuenta la Institución.

Causa



Nivel del Riesgo




Nombre del Área:


Nombre del Jefe:

Joel Rosado Orive.


Proceso DS7. Capacitar Usuarios.

Objetivo de Control Asegurar un Conocimiento Correcto Atribuido a los Servicios

de TI.

Descripción

La Institución Educativa le ofrece a sus empleados y alumnos cursos de capacitación en

las áreas básicas para el control de TI.

Recomendación

El Encargado de la administración de las aulas de informática debe guiarse de las

indicaciones establecidas por la Dirección Escolar para las capacitaciones a los

Alumnos y Docentes de la Institución.

Causa

El Director y el Encargado de la administración de las aulas de informática deben

realizar planes para la actualización o cursos que se impartirán a alumnos y docentes.

Nivel del Riesgo




Nombre del Área:


Nombre del Jefe:

Joel Rosado Orive.

Dominio Monitoreo (M)

Proceso M1. Monitorear los Procesos.

Objetivo de Control Asegurar el Logro de los Objetivos Establecidos para los

Procesos de TI.

Descripción

La Institución Educativa tiene programados Horarios de revisión de las Actividades

realizadas diariamente dentro de los laboratorios o áreas cómputo de la Institución.

Recomendación

El Encargado de la administración de las aulas de informática debe programar los

cursos que se impartirán en el trascurso del ciclo escolar para capacitar a alumnos y

Docentes.

Causa


realizar planes de actualización para alumnos y docentes.

Nivel del Riesgo




Nombre del Área:


Nombre del Jefe:

Joel Rosado Orive.


Proceso M4. Proveer Auditoría independiente.

Objetivo de Control Incrementar los Niveles de Confianza y Beneficiarse de

Recomendaciones Basadas en Mejores Prácticas de su

Implementación.

Descripción

La Institución Educativa realiza auditorias independientes una vez al año en diferentes

áreas con el fin de buscar fallos en su sistema y así tratar de corregirlos y mejorar.

Recomendación

El Encargado de la administración de las aulas de informática debe estar capacitado

para participar en las auditorías realizadas por terceras personas dentro de la

institución.

Causa

El encargado de la Administración no cuenta la capacitación necesaria para participar

como apoyo en las auditorías realizadas por la institución.

Nivel del Riesgo


impacto es moderado

3. RAZÓN SOCIAL DE LA EMPRESA.

Dirección Física:

Doctor Gustavo Baz S/N, Villa Luvianos, Estado de México.

Conocimiento Inicial de la Entidad.

El giro al cual pertenece la Institución es al Giro Educativo ya que ofrece servicios de

Educación Secundaria (Nivel Básico).

Personal que Integra la Organización

Nombre Completo Cargo

Joel Rosado Orive Director Escolar

Relación de Funcionarios o Personal a Cargo del Area a Examinar

Nombre Completo Cargo Periodo de Gestión Domicilio

Del Al Doctor Gustavo Baz S/N, Villa Luvianos, Estado de México.

Joel Rosado Orive Director Escolar 21/11/2014 24/11/2014

Situación actual

Giro de la Empresa

La Empresa se dedica al Giro Educativo ya que ofrece servicios de Educación Secundaria

(Nivel Básico) como actividad Primaria.

Recursos Informáticos Existentes

Dispositivos Cantidad CPU 23

Monitores 23

Teclados y Mouse 23

Reguladores 10

Laptops 3

Bocinas 20

3.1 OBJETIVO DE LA AUDITORIA.

La auditoría de sistemas tiene por objeto, monitorear, evaluar y examinar la seguridad

dirigida a que sus normas, planes operativos anuales, programas, políticas,

procedimientos, prácticas y estructuras organizacionales, de sistematización y tecnología

de información se esté cumpliendo.

3.1.1 OBJETIVO GENERAL.

Ejercer el control de gestión sobre los procesos de Tecnología de la Información que se

cumplen en el nivel educativo, por parte de Verificar el cumplimiento de normas y

políticas referidas a la operación de Sistemas de Información y al desarrollo de procesos

de Tecnología de Información TI.

3.1.2 OBJETIVOS ESPECÍFICOS.

Establecer un plan de auditoria para garantizar que se obtenga un aseguramiento

regular e independiente con respecto a la efectividad, eficiencia y economía de la

seguridad y de los procedimientos de control interno.

Asegurar que los estándares de auditoria sean aplicados, para asegurar la

obtención de evidencia confiable, relevante y útil para alcanzar los objetivos de

auditoria de forma efectiva.

3.2 ALCANCE.

El alcance de la Auditoria dentro de la Institución es Organizar y calificar los procesos que

se llevan a cabo para controlar los servicios dentro de las Áreas de informáticas de la

institución así como evaluar los servicios que ofrece el Administrador de estas áreas.

4. CRONOGRAMA.

5. PUNTOS A EVALUAR.

Programa de Auditoria

Esc. Sec. Ofic. No. 0347 “Pedro Asencio de Alquisiras” Fecha Hoja N°

Fase Actividad Horas

Estimadas Encargados

I

VISITA PRELIMINAR

Solicitud de Manuales y

Documentaciones.

Elaboración de los cuestionarios.

Recopilación de la información

Organizacional: estructura orgánica,

recursos humanos, presupuestos.

8 Hrs.

II

DESARROLLO DE LA AUDITORIA

Aplicación del cuestionario al

personal.

Entrevistas a líderes y usuarios más

relevantes de la dirección.

Análisis de las claves de acceso,

control, seguridad, confiabilidad y

respaldos.

Evaluación de la estructura orgánica:

departamentos, puestos, funciones,

autoridad y responsabilidades.

Evaluación de los Recursos Humanos

y de la situación Presupuestal y

Financiera:

Desempeño, capacitación,

condiciones de trabajo, recursos en

8 Hrs.

materiales y financieros mobiliario y

equipos.

Evaluación de los sistemas:

relevamiento de Hardware y

Software, evaluación del diseño lógico

y del desarrollo del sistema.

Evaluación del Proceso de Datos y de

los Equipos de Cómputos: seguridad

de los

datos, control de operación,

seguridad física y procedimientos de

respaldo.

II

REVISION Y PRE-INFORME

Revisión de los papeles de trabajo.

Determinación del Diagnostico e

Implicancias.

Elaboración de la Carta de Gerencia.

Elaboración del Borrador.

16 Hrs.

IV

INFORME

Elaboración y presentación del

Informe.

6 Hrs.

5.1 DOCUMENTOS A SOLICITAR.

Políticas, estándares, normas y procedimientos.

Plan de sistemas.

Planes de seguridad y continuidad

Contratos, pólizas de seguros.

Organigrama y manual de funciones.

Manuales de sistemas.

Registros

Entrevistas

Archivos

Requerimientos de Usuarios

6. PLANES PROGRAMAS Y PRESUPUESTOS DE AUDITORIA

6.1 METODOLOGÍA

Para la evaluación del Área de Informática se llevarán a cabo las siguientes actividades:

Solicitud de los estándares utilizados y programa de trabajo.

Aplicación del cuestionario al personal.

Análisis y evaluación del a información.

Elaboración del informe.

Para la evaluación de los sistemas tanto en operación como en desarrollo se

llevarán a cabo las siguientes actividades:

Solicitud del análisis y diseño del os sistemas en desarrollo y en operación.

Solicitud de la documentación de los sistemas en operación (manuales técnicos, de

operación del usuario, diseño de archivos y programas).

Recopilación y análisis de los procedimientos administrativos de cada sistema

(flujo de información, formatos, reportes y consultas).

Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos.

Análisis del avance de los proyectos en desarrollo, prioridades y personal asignado

Entrevista con los usuarios de los sistemas.

Evaluación directa de la información obtenida contra las necesidades y

requerimientos del usuario.

Análisis objetivo de la estructuración y flujo de los programas.

Análisis y evaluación de la información recopilada.

Elaboración del informe.

Para la evaluación de los equipos se llevarán a cabo las siguientes actividades:

Solicitud de los estudios de viabilidad y características de los equipos actuales,

proyectos sobre ampliación de equipo, su actualización.

Solicitud de contratos de compra y mantenimientos de equipo y sistemas.

Solicitud de contratos y convenios de respaldo.

Solicitud de contratos de Seguros.

Elaboración de un cuestionario sobre la utilización de equipos, memoria, archivos,

unidades de entrada/salida, equipos periféricos y su seguridad.

Visita técnica de comprobación de seguridad física y lógica de las instalaciones de

la Dirección de Informática.

Evaluación técnica del sistema electrónico y ambiental de los equipos y del local

utilizado.

Evaluación de la información recopilada, obtención de gráficas, porcentaje de

utilización de los equipos y su justificación.

6.2 PRESUPUESTO

Auditores Tejupilco Estado de México

Auditores y Consultores en Informática

Cliente: Esc. Sec. Ofic. No. 0347

“Pedro Asencio de Alquisiras”

DURACION DE LA

AUDITORIA

18 de Noviembre al 21 de

Noviembre del 2014

Recurso Sueldo/Mensual Precio a Facturar

Líder De Auditoria

Hugo César Tinoco

Benítez.

$ 4,000.00 $ 4,000.00

Auditor Junior

Edgar Macedo

Domínguez.

$ 2,000.00 $ 2,000.00

Viáticos $ 1,000.00 $ 1,000.00

Papelería $ 800.00 $ 800.00

Software $ 200.00 $200

TOTAL: $ 8,000.00

Viáticos.

Consta de los gastos que llevaran los auditores en las visitas que tengan que realizar los

auditores, se planea con una visita por semana en caso de ser necesarios.

Papelería.

Consta de los insumos de oficina (Impresiones, Plumas, Etc.) que se requerirá en el

proceso de la auditoria

Software.

Consta de todo el software que se requerirá para realizar la auditoria en los equipos de

cómputo que manejen la información.

7 METODOS, HERRAMIENTAS, INSTRUMENTOS Y PROCEDIMIENTOS PARA AUDITORIA.

7.1 RECOLECCIÓN DE INFORMACIÓN.

Observación.

Es una de las técnicas más utilizadas para examinar los diferentes aspectos que

intervienen en el funcionamiento del área informática y los sistemas software, permite

recolectar la información directamente sobre el comportamiento de los sistemas, del área

de informática, de las funciones y actividades, los procedimientos y operación de los

sistemas, y de cualquier hecho que ocurra en el área.

http://auditordesistemas.blogspot.com/2011/11/recoleccion-de-informacion-para.html

En el caso específico de la auditoria se aplica para observar todo lo relacionado con el área

informática y los sistemas de una organización con el propósito de percibir, examinar, o

analizar los eventos que se presentan en el desarrollo de las actividades del área o de un

sistema que permita evaluar el cumplimiento de las funciones, operaciones y

procedimientos.

Entrevistas.

Esta técnica es la más utilizada por los auditores ya que a través de esta se obtiene

información sobre lo que está auditando, además de tips que permitirán conocer más

sobre los puntos a evaluar o analizar. La entrevista en general es un medio directo para la

recolección de información para la captura de los datos informados por medio de

grabadoras digitales o cualquier otro medio. En la entrevista, el auditor interroga,

investiga y conforma directamente sobre los aspectos que se está auditando. En su

aplicación se utiliza una guía general de la entrevista, que contiene una serie de preguntas

sobre los temas que se quiere tocar, y que a medida que avanza pueden irse adaptando

para profundizar y preguntar sobre el tema.

Cuestionarios.

Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado

responde de acuerdo a su criterio, de esta manera el auditor obtiene información que

posteriormente puede clasificar e interpretar por medio de la tabulación y análisis, para

evaluar lo que se está auditando y emitir una opinión sobre el aspecto evaluado.

Encuestas.

Las encuestas son utilizadas frecuentemente para recolectar información sobre aspectos

como el servicio, el comportamiento y utilidad del equipo, la actuación del personal y los

usuarios, entre otros juicios de la función informática. No existen reglas para el uso de las

encuestas, solo los que regulan los aspectos técnicos y estadísticos tales como la elección

del universo y la muestra, que se contemplan dentro de la aplicación de métodos

probabilísticas y estadísticos para hacer la mejor elección de las muestras y recolección de

opiniones.

Inventarios.

Consiste en hacer el recuento físico de lo que se está auditando, con el fin de compararla

con la que existe en los documentos en la misma fecha. Consiste en comparar las

cantidades reales existentes con las que debería haber para comprobar que sean iguales,

de lo contrario iniciar la investigación de la diferencia para establecer las causas. Con la

aplicación de esta herramienta de la auditoria tradicional, el auditor de sistemas también

puede examinar las existencias de los elementos disponibles para el funcionamiento del

área informática o del sistema, contabilizando los equipos de cómputo, la información y

los datos de la empresa, los programas, periféricos, consumibles, documentos, recursos

informáticos, y demás aspectos que se desee conocer, con el fin de comparar la cantidad

real con las existencias que se registra en los documentos.

7.2 LISTAS DE CHEQUEO

Definición: Actualmente es difícil definir lo que es un centro de cómputo, puesto que en

una organización pequeña dos equipos PC son todo su centro de cómputo, en una

escuela, su centro de cómputo lo conforman sus aulas y las oficinas administrativas, y en

un corporativo, su centro de cómputo lo forman varios edificios o un sitio central y

oficinas regionales.

Para poder englobar todos estos extremos, se definirá al centro de cómputo no en función

del número de equipos con que cuente, ni en función del espacio que ocupa, sino en

cuanto al servicio que proporciona. En este entorno un centro de cómputo es la

infraestructura necesaria para satisfacer todas las necesidades de procesamiento de

información y brindar los servicios que la organización requiere, contando para ello con

recursos humanos, técnicos y materiales.

CUESTIONARIO DE CONTROL C1

Aulas de informática Institución Educativa R/PT

Cuestionario de Control C1

Dominio

Proceso

Objetivo de Control

Cuestionario

Pregunta SI NO N/A

http://auditordesistemas.blogspot.com/2012/02/listas-de-chequeo-o-checklist-para.html

EJECUCIÓN DE AUDITORIA DE SISTEMAS

DICTAMEN DE AUDITORIA DE SISTEMAS

1. DOCUMENTOS DE OPORTUNIDADES DE MEJORAMIENTO ENCONTRADAS

1.1. ANÁLISIS Y EVALUACIÓN DE RIESGOS

Para el listado de riesgos enumerados a continuación se realizaron visitas a las

instalaciones de la institución educativa, y específicamente a las instalaciones de las aulas

de cómputo, además de la aplicación de instrumentos como listas de chequeo o checklist

de verificación y cuestionarios al personal de la administración de los recursos

tecnológicos.

1.1.1. LISTA DE RIESGOS ENCONTRADOS.

R1 No existe caja de breakers de los circuitos del aula.

R2 No existen sistemas contra incendios.

R3 Los usuarios no son capacitados en el uso adecuado de extintores.

R4 No existen controles sobre el acceso de personas al aula.

R5 No hay un control de asistencia sobre los responsables del aula.

R6 No hay sistemas de vigilancia para detectar posibles movimientos fraudulentos a los

equipos de cómputo.

R7 Falta definir políticas para la asignación de contraseñas de los equipos de cómputo.

R8 No se lleva un registro detallado de los usuarios que hacen uso de los equipos.

R9 No hay una hoja de vida de la existencia de los equipos.

R10 No se llevan bitácoras para la realización de procesos de mantenimiento.

R11 No existe personal encargado del mantenimiento de los equipos.

R12 No se hace inventario de existencias de equipos de cómputo.

R13 No se realiza un escaneo para evitar intrusiones en la red.

R14 No se definen fechas para cambios del proveedor de servicios de internet.

R15 No se hace monitoreo sobre la prestación de servicios del ISP contratado.

http://auditordesistemas.blogspot.com/2012/02/analisis-y-evaluacion-de-riesgos.html

1.1.2 VALORACIÓN DE RIESGOS

De acuerdo a los riesgos citados, se realiza la valoración de los riesgos teniendo en cuenta

la probabilidad de ocurrencia y el impacto del riesgo dentro de las aulas de informática de

la institución educativa, para ello se realiza la siguiente tabla 1 donde se valoran los

riesgos para su posterior clasificación.

Tabla 1. Valoración de riesgos

Riesgos / Valoración Probabilidad Impacto

A M B L M C

Eléctricos

R1 No existe conexión de polo a tierra

x x

R2 No existe instalación de sistema eléctrico regulado

x

x

R3 No existe sistema de protección en caídas de energía

x x

R4 No hay medidores de voltaje eléctrico en sus tres fases

x

x

R5 La fase neutra no se encuentra bien identificada

x x

R6 No existe caja de breakers de los circuitos del aula

x x

Siniestros y Catástrofes

R7 No existen sistemas contra incendios x

x

R8 Los usuarios no son capacitados en el uso adecuado de

extintores

x

x

R9 No existen sistemas de censores de humo x

x

R10 No existen sistemas Extractores de calor x

x

Manejo y Control de Personal

R11 No hay un control de asistencia sobre los responsables

del aula

x x

R12

No hay sistemas de vigilancia para detectar posibles

movimientos fraudulentos a los equipos de cómputo.

x

x

R13

No se lleva un registro detallado de los usuarios que

hacen uso de los equipos

x

x

http://auditordesistemas.blogspot.mx/2012/02/analisis-y-evaluacion-de-riesgos.html


Manejo y Control de Hardware

R14 No hay una hoja de vida de la existencia de los equipos

x

x

R15

No se llevan bitácoras para la realización de procesos de

mantenimiento

x

x

Tabla 2. Clasificación de Riesgos

LEVE MODERADO CATASTROFICO

ALTO

R16 R7,R9,R10,

MEDIO R8,R11 R12,R13,R15

BAJO R1,R2,R3,R4,R5,R6 R14

1.2 RIESGOS ENCONTRADOS HALLAZGOS

Teniendo en cuenta la aplicación de los instrumentos para recolección de información, los

objetivos planteados con anterioridad y los riesgos definidos en la Matriz se obtienen las

siguientes tablas de hallazgos para cada uno de ellos.


http://auditordesistemas.blogspot.com/2012/02/guias-de-hallazgos.html

HALLAZGO H1.


Nombre del Área:


Nombre del Jefe:

Joel Rosado Orive.




Riesgos Asociados R15,R5,R8

Descripción

El Laboratorio de Computo con el que cuenta la Institución se utiliza con poca

frecuencia a pesar de que cuenta con equipos de cómputo recientes, el acceso a esta

área es algo restringido.

Recomendación

Asignar a un encargado en el Laboratorio para que se pueda utilizar con más frecuencia

para trabajos o actividades de los Alumnos.

Causa

La falta de una persona responsable o encargado en esta área hace que el Laboratorio

no se use con Frecuencia.

Nivel del Riesgo

En Cuanto a la Probabilidad de Ocurrencia está Clasificado en Medio Alto, en cuanto al

Impacto es Moderado.

HALLAZGO H2.


Nombre del Área:


Nombre del Jefe:

Joel Rosado Orive.




Riesgo Asociado R5,R4,R7,R8

Descripción

La Institución tiene programados Horarios de mantenimiento, estas están sujetas a las

programaciones que realiza el Directos de la Escuela al inicio del Ciclo escolar, El Área

administrativa solo da de baja equipos no funcionales, pero no hace solicitudes de

cambio de nuevos equipos ya que el nuevo hardware está supeditado a los recursos de

inversión y proyectos presentados a nivel local y nacional.

Recomendación

El Encargado de la Administración de las aulas de informática debe sujetarse a los

Horarios de mantenimiento y cambios por lo menos una vez al año, las actualizaciones

de cambio o repotenciación de equipos se deben presupuestar para las vigencias

futuras.

Causa

El Director Escolar y el Encargado del Área Administrativa del aula de informática deben

realizar planes de actualización de equipos y de mantenimiento preventivo, asignando

los recursos económicos necesarios para vigencias futuras.

Nivel del Riesgo



HALLAZGO H3.

Aulas de Informática Institución Educativa. R/PT: D2

Nombre del Área:


Nombre del Jefe:

Joel Rosado Orive.




Riesgos Asociados R1,R7,R10,R2

Descripción

En las aulas de informática no se lleva un registro de mantenimiento y de cambios de

hardware, además no existe personal de mantenimiento dedicado a este proceso, el

mantenimiento está sujeto a las indicaciones del Director Escolar de acuerdo al

presupuesto y el inventario no se actualiza periódicamente cuando se han realizado

cambios.

Recomendación

El Encargado de la Administración debe sugerir las indicaciones de inventario y

mantenimientos de hardware.

Causa



Nivel del Riesgo



HALLAZGO H4.

Aulas de informática Institución Educativa R/PT: D3

Nombre del Área:


Nombre del Jefe:

Joel Rosado Orive.




Aplicaciones.


Descripción

En las Aulas de Informática de la Institución no se lleva a cabo una buena Adquisición e

Implementación de los Recursos destinado para la Mejora de TI, dentro de estas Áreas.

Recomendación

El Encargado de la Administración debe sugerir una forma apropiada de Adquirir e

Implementar los Recursos de TI, dentro de estas Áreas.

Causa



Nivel del Riesgo



HALLAZGO 5.

Aulas de Informática Institución Educativa. R/PT: E5

Nombre del Área:


Nombre del Jefe:

Joel Rosado Orive.





Descripción

En las aulas de informática no se lleva a cabo una buena Administración y control de

Calidad para que los laboratorios tengan el Desempeño deseado por la Dirección

Escolar.

Recomendación

El Encargado de la Administración debe sugerir cambios en la Administración para

poder sacar el máximo provecho de las TI, con las que cuenta la Institución.

Causa



Nivel del Riesgo



HALLAZGO H6

Aulas de informática Institución Educativa R/PT: E7

Nombre del Área:


Nombre del Jefe:

Joel Rosado Orive.




de TI.


Descripción

La Institución Educativa le ofrece a sus empleados y alumnos cursos de capacitación en

las áreas básicas para el control de TI.

Recomendación

El Encargado de la administración de las aulas de informática debe guiarse de las

indicaciones establecidas por la Dirección Escolar para las capacitaciones a los Alumnos

y Docentes de la Institución.

Causa


realizar planes para la actualización o cursos que se impartirán a alumnos y docentes.

Nivel del Riesgo



HALLAZGO H7.

Aulas de informática Institución Educativa R/PT: F1

Nombre del Área:


Nombre del Jefe:

Joel Rosado Orive.




Procesos de TI.


Descripción

La Institución Educativa tiene programados Horarios de revisión de las Actividades

realizadas diariamente dentro de los laboratorios o áreas cómputo de la Institución.

Recomendación

El Encargado de la administración de las aulas de informática debe programar los

cursos que se impartirán en el trascurso del ciclo escolar para capacitar a alumnos y

Docentes.

Causa


realizar planes de actualización para alumnos y docentes.

Nivel del Riesgo



HALLAZGO H8.


Nombre del Área:


Nombre del Jefe:

Joel Rosado Orive.





Implementación.


Descripción

La Institución Educativa realiza auditorias independientes una vez al año en diferentes

áreas con el fin de buscar fallos en su sistema y así tratar de corregirlos y mejorar.

Recomendación

El Encargado de la administración de las aulas de informática debe estar capacitado

para participar en las auditorías realizadas por terceras personas dentro de la

institución.

Causa

El encargado de la Administración no cuenta la capacitación necesaria para participar

como apoyo en las auditorías realizadas por la institución.

Nivel del Riesgo


impacto es moderado

1.3 PRUEBAS

Realizadas las visitas y las entrevistas propuestas con anterioridad se han obtenido la

siguiente colección de pruebas para los riesgos seleccionados previamente.

PRUEBA P1.


Pruebas P1





No Evidencia Descripción

1 No existe un nivel de arquitectura de TI

En las aulas de informática no se lleva un registro adecuado para la arquitectura de TI

2 No existe un plan establecido para la dirección tecnológica

Ho hay planes estratégicos para la toma de dirección tecnológica.

PRUEBA P2.


Pruebas P2






1 No se tiene pensado en la estructura tecnológica

La Institución educativa no tiene pensado en cambiar su infraestructura ya que el gobierno del estado no se los proporciona tan fácilmente.

http://auditordesistemas.blogspot.com/2012/02/guia-de-pruebas.html

PRUEBA 3


Pruebas P3






1 No se cumple con los aplicativos

No se cuenta con la instalación completa del office

PRUEBA 4


Pruebas P4




Aplicaciones.



1 No se realizan cotizaciones

Base a que es de gobierno ellos no tienen pensado en comprar cosas que no les corresponden

2 No es adecuada la infraestructura de TI

Las paredes cuentan a salinidad gracias a la humedad

PRUEBA 5


Pruebas P5






1 No existe software para las incidencias de seguridad

No cuenta con sistemas el cual monitoreen la red así mismo tampoco cuentan con cámaras de vigilancia

PRUEBA 6


Pruebas P6




de TI.



1 No existen capacitaciones de usuarios

No hay asesorías de parte de la institución al personal encargado del laboratorio

PRUEBA 7


Pruebas P7




Procesos de TI.



1 No existe con ejecución estable

Es decir no hay horarios para la utilización de dicho laboratorio

2 No se cuanta con un sistema informático el cual mida el desempeño del computador

No se cuanta con un sistema el cual mida el tiempo de utilización del equipo y las horas de trabajo y quien lo trabajo.

PRUEBA 8.


Pruebas P5





Implementación.



1 No existen roles adecuados

Debido a la falta de un registro no se tiene control de horarios de los trabajadores y no se cuanta con un acuerdo entre ellos

2 No se cumplen con las políticas de seguridad

Como antes mencionado no se cuenta con registro adecuado de cada usuario y tampoco se da monitoreo a sus sistemas de información.

3 DICTAMEN FINAL

Profre. Joel rosado orive

Director escolar de secundaria pedro Asencio de alquisiras

1. Hemos auditado el área informática correspondiente al servicio del laboratorio de

sistemas y he evaluado el nivel de riesgo de informática que presenta, con las notas y

anexos que se adjuntan, preparados por los alumnos Edgar Macedo Domínguez,

Hugo Cesar Tinoco Benítez. Los hechos presentes en el área de informática del

laboratorio, son responsabilidad de quienes hacen uso del servicio de informática;

nuestra responsabilidad es expresar una opinión sobre dichos hechos basados en

nuestra auditoría.

2. Hemos conducido la práctica de acuerdo con los lineamientos de las Normas

Internacionales de Auditoria (NIA), Normas de Auditoría Generalmente Aceptadas y a

las Normas Ecuatorianas de Auditoría aplicables a la auditoría informática. No existen

normas formales expresas relacionadas directamente con la auditoría informática por

lo que ha sido preciso adoptar Normas generales para la ejecución de nuestro

trabajo. Estas normas requieren planear y efectuar el proceso de auditoría para

obtener seguridad razonable con el propósito de informar si los hechos a revisar

presentan riesgos significativos.

Se realizó un chequeo general al ambiente hardware para conocer el estado actual

de los equipos de cómputo.

Se efectuó una revisión general del ambiente software para conocer el estado

actual de los programas. Se evaluó el servicio de informática de acuerdo a

cuestionarios de estudio o seguimiento, con el propósito de conocer los

principales inconvenientes y requerimientos tanto de catedráticos como de

alumnos y además se incluyó en este estudio la opinión del laboratorista.

Se examinó la estructura del laboratorio con respecto a la distribución de las

máquinas con el propósito de conocer la factibilidad de una distribución más

óptima.

3. Este dictamen está destinado para ser utilizado según estime conveniente de acuerdo

a su criterio y aclaramos que esta práctica de auditoría informática se realizó con el

propósito principal de poner en práctica los conocimientos adquiridos, ofrecer un

aporte al mejoramiento del servicio que brinda la universidad respecto al área

informática.

4. El área informática del laboratorio de sistemas presenta un nivel de riesgo medio en

sus aspectos más significativos, aunque su nivel de servicio se presta razonablemente

de acuerdo a los medios existentes para ofrecerse.

Documents

Auditori A