Upload
hugo-tinoco
View
11
Download
0
Embed Size (px)
DESCRIPTION
auditoria
Citation preview
INGENIERÍA EN TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓN
AUDITORIA
EDGAR MACEDO DOMINGUEZ
HUGO CESAR TINOCO BENITEZ
M.T.I. ANTONIO DE JESUS FLORES
1002
UNIVERSIDAD TECNOLÓGICA DEL
SUR DEL ESTADO DE MÉXICO
ÍNDICE GENERAL
PLANEACIÓN DE LA AUDITORIA DE SISTEMAS. ..................................................................................4
1. IDENTIFICACIÓN DE ORIGEN DE LA AUDITORIA. ........................................................................4
2. VISITA PRELIMINAR AL ÁREA QUE SERÁ EVALUADA...................................................................4
2.1 FORMATO DE VISITA PRELIMINAR........................................................................................6
3. RAZÓN SOCIAL DE LA EMPRESA. ..............................................................................................14
3.1 OBJETIVO DE LA AUDITORIA. ..............................................................................................15
4. CRONOGRAMA. ........................................................................................................................17
5. PUNTOS A EVALUAR. ................................................................................................................18
5.1 DOCUMENTOS A SOLICITAR. ..............................................................................................20
6. PLANES PROGRAMAS Y PRESUPUESTOS DE AUDITORIA ..........................................................20
6.1 METODOLOGÍA ...................................................................................................................20
6.2 PRESUPUESTO ....................................................................................................................22
7 METODOS, HERRAMIENTAS, INSTRUMENTOS Y PROCEDIMIENTOS PARA AUDITORIA. ............23
7.1 RECOLECCIÓN DE INFORMACIÓN. ......................................................................................23
7.2 LISTAS DE CHEQUEO ...........................................................................................................26
EJECUCIÓN DE AUDITORIA DE SISTEMAS .........................................................................................27
ANEXO CUESTIONARIOS
DICTAMEN DE AUDITORIA DE SISTEMAS .........................................................................................28
1. DOCUMENTOS DE OPORTUNIDADES DE MEJORAMIENTO ENCONTRADAS .............................28
1.1. ANÁLISIS Y EVALUACIÓN DE RIESGOS................................................................................28
1.1.1. LISTA DE RIESGOS ENCONTRADOS. ................................................................................28
1.1.2 VALORACIÓN DE RIESGOS ...............................................................................................29
1.2 RIESGOS ENCONTRADOS HALLAZGOS ................................................................................30
1.3 PRUEBAS .............................................................................................................................38
3 DICTAMEN FINAL .......................................................................................................................42
DATOS GENERALES DE LA EMPRESA.
Escuela Secundaria Oficial No. 0347 “Pedro Ascencio de Alquisiras”
C.C.T: 15EES0020E
Director: Joel Rosado Orive.
Servicios que Ofrece: Educación Secundaria (Nivel Básico)
Fecha de Inicio: 21/11/2014
Dirección: Doctor Gustavo Baz S/N, Villa Luvianos, Estado de México.
Teléfono: 7242520461
PLANEACIÓN DE LA AUDITORIA DE SISTEMAS.
1. IDENTIFICACIÓN DE ORIGEN DE LA AUDITORIA.
La presente Auditoria se realiza con el fin de analizar las problemáticas que se están dando
en las áreas de Informática de la Escuela Secundaria Oficial No. 0347 “Pedro Ascencio de
Alquisiras”.
La finalidad de realizar este proceso de Auditoría de TI, es con el objetivo de buscar las
problemáticas con las que cuenta la institución como es el control de acceso a las áreas de
computo con las que cuenta, así como también analizar los tipos de control que llevan
para altas y bajas de equipos, control de inventarios, soporte técnico, entre otros
conceptos a Auditar.
2. VISITA PRELIMINAR AL ÁREA QUE SERÁ EVALUADA.
Objetivos de la Visita Preliminar:
Conocer a la Empresa.
Definir qué Tipo de Auditoría requiere el Cliente.
Determinar los Recursos necesarios para llevar a cabo la Auditoría.
Herramientas a utilizar para conocer mejor a la empresa:
Investigación Documental: Ésta implica requerir a la empresa documentos que
muestren información relevante de la empresa, como son: misión, visión, planes
de trabajo, descripción de puestos, organigrama, procedimientos ISO, etc.
Entrevista Formal: Se utiliza un guion de preguntas con respuestas cerradas o de
opción múltiple.
Entrevista no Guiada: Se realizan preguntas más generales donde la persona
puede ser muy amplia en su respuesta, siendo éstas grabadas y después
transcritas.
Encuesta: Es un cuestionario que se aplica a todos o parte de los empleados de la
empresa.
Observación en Sitio: Implica que un miembro del equipo auditor sea observador
de alguna actividad o procedimiento de la empresa, tomando nota de cómo se
realizan y sin interactuar con el personal laborando.
2.1 FORMATO DE VISITA PRELIMINAR.
Teniendo en cuenta la aplicación de los instrumentos para recolección de información, los
objetivos planteados con anterioridad y el análisis de información se obtienen los
resultados preliminares y se describen en las siguientes tablas.
Aulas de Informática Institución Educativa. R/PT: C1
Nombre del Área:
Laboratorio de Computo.
Nombre del Jefe:
Joel Rosado Orive.
Dominio Planeación y Organización (PO)
Proceso PO3. Determinar la Dirección Tecnológica.
Objetivo de Control Aprovechar al Máximo la Tecnología Disponible.
Descripción
El Laboratorio de Computo con el que cuenta la Institución se utiliza con poca
frecuencia a pesar de que cuenta con equipos de cómputo recientes, el acceso a esta
área es algo restringido.
Recomendación
Asignar a un encargado en el Laboratorio para que se pueda utilizar con más
frecuencia para trabajos o actividades de los Alumnos.
Causa
La falta de una persona responsable o encargado en esta área hace que el Laboratorio
no se use con Frecuencia.
Nivel del Riesgo
En Cuanto a la Probabilidad de Ocurrencia está Clasificado en Medio Alto, en cuanto al
Impacto es Moderado.
Aulas de informática Institución Educativa R/PT: C2
Nombre del Área:
Laboratorio de Computo.
Nombre del Jefe:
Joel Rosado Orive.
Dominio Planeación y Organización (PO)
Proceso PO5. Manejar la Inversión en TI.
Objetivo de Control Satisfacción de los Requerimientos de la Organización.
Descripción
La Institución tiene programados Horarios de mantenimiento, estas están sujetas a las
programaciones que realiza el Directos de la Escuela al inicio del Ciclo escolar, El Área
administrativa solo da de baja equipos no funcionales, pero no hace solicitudes de
cambio de nuevos equipos ya que el nuevo hardware está supeditado a los recursos de
inversión y proyectos presentados a nivel local y nacional.
Recomendación
El Encargado de la Administración de las aulas de informática debe sujetarse a los
Horarios de mantenimiento y cambios por lo menos una vez al año, las actualizaciones
de cambio o repotenciación de equipos se deben presupuestar para las vigencias
futuras.
Causa
El Director Escolar y el Encargado del Área Administrativa del aula de informática
deben realizar planes de actualización de equipos y de mantenimiento preventivo,
asignando los recursos económicos necesarios para vigencias futuras.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al
impacto es moderado.
Aulas de Informática Institución Educativa. R/PT: C3
Nombre del Área:
Laboratorio de Computo.
Nombre del Jefe:
Joel Rosado Orive.
Dominio Adquisición e Implementación (AI)
Proceso AI2. Adquisición y Mantener Software de Aplicación.
Objetivo de Control Proporcionar Funciones Automatizadas.
Descripción
En las aulas de informática no se lleva un registro de mantenimiento y de cambios de
hardware, además no existe personal de mantenimiento dedicado a este proceso, el
mantenimiento está sujeto a las indicaciones del Director Escolar de acuerdo al
presupuesto y el inventario no se actualiza periódicamente cuando se han realizado
cambios.
Recomendación
El Encargado de la Administración debe sugerir las indicaciones de inventario y
mantenimientos de hardware.
Causa
La falta de recursos económicos y la falta de planeación por parte del encargado de la
administración de las aulas de informática en la institución.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio alto, en cuanto al
impacto es moderado.
Aulas de informática Institución Educativa R/PT: C4
Nombre del Área:
Laboratorio de Computo.
Nombre del Jefe:
Joel Rosado Orive.
Dominio Adquisición e Implementación (AI)
Proceso AI3. Adquirir y Mantener Arquitectura de TI.
Objetivo de Control Proporcionar Plataformas Apropiadas para Soportar
Aplicaciones.
Descripción
En las Aulas de Informática de la Institución no se lleva a cabo una buena Adquisición e
Implementación de los Recursos destinado para la Mejora de TI, dentro de estas Áreas.
Recomendación
El Encargado de la Administración debe sugerir una forma apropiada de Adquirir e
Implementar los Recursos de TI, dentro de estas Áreas.
Causa
La falta de recursos económicos y la falta de planeación por parte del encargado de la
administración de las aulas de informática en la institución.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio alto, en cuanto al
impacto es moderado.
Aulas de Informática Institución Educativa. R/PT: C5
Nombre del Área:
Laboratorio de Computo.
Nombre del Jefe:
Joel Rosado Orive.
Dominio Servicios y Soporte (DS)
Proceso DS3. Administrar Desempeño y Calidad.
Objetivo de Control Asegurar que la Capacidad Adecuada está Disponible.
Descripción
En las aulas de informática no se lleva a cabo una buena Administración y control de
Calidad para que los laboratorios tengan el Desempeño deseado por la Dirección
Escolar.
Recomendación
El Encargado de la Administración debe sugerir cambios en la Administración para
poder sacar el máximo provecho de las TI, con las que cuenta la Institución.
Causa
La falta de recursos económicos y la falta de planeación por parte del encargado de la
administración de las aulas de informática en la institución.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio alto, en cuanto al
impacto es moderado.
Aulas de informática Institución Educativa R/PT: C6
Nombre del Área:
Laboratorio de Computo.
Nombre del Jefe:
Joel Rosado Orive.
Dominio Servicios y Soporte (DS)
Proceso DS7. Capacitar Usuarios.
Objetivo de Control Asegurar un Conocimiento Correcto Atribuido a los Servicios
de TI.
Descripción
La Institución Educativa le ofrece a sus empleados y alumnos cursos de capacitación en
las áreas básicas para el control de TI.
Recomendación
El Encargado de la administración de las aulas de informática debe guiarse de las
indicaciones establecidas por la Dirección Escolar para las capacitaciones a los
Alumnos y Docentes de la Institución.
Causa
El Director y el Encargado de la administración de las aulas de informática deben
realizar planes para la actualización o cursos que se impartirán a alumnos y docentes.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al
impacto es moderado.
Aulas de informática Institución Educativa R/PT: C7
Nombre del Área:
Laboratorio de Computo.
Nombre del Jefe:
Joel Rosado Orive.
Dominio Monitoreo (M)
Proceso M1. Monitorear los Procesos.
Objetivo de Control Asegurar el Logro de los Objetivos Establecidos para los
Procesos de TI.
Descripción
La Institución Educativa tiene programados Horarios de revisión de las Actividades
realizadas diariamente dentro de los laboratorios o áreas cómputo de la Institución.
Recomendación
El Encargado de la administración de las aulas de informática debe programar los
cursos que se impartirán en el trascurso del ciclo escolar para capacitar a alumnos y
Docentes.
Causa
El Director y el Encargado de la administración de las aulas de informática deben
realizar planes de actualización para alumnos y docentes.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al
impacto es moderado.
Aulas de informática Institución Educativa R/PT: C8
Nombre del Área:
Laboratorio de Computo.
Nombre del Jefe:
Joel Rosado Orive.
Dominio Monitoreo (M)
Proceso M4. Proveer Auditoría independiente.
Objetivo de Control Incrementar los Niveles de Confianza y Beneficiarse de
Recomendaciones Basadas en Mejores Prácticas de su
Implementación.
Descripción
La Institución Educativa realiza auditorias independientes una vez al año en diferentes
áreas con el fin de buscar fallos en su sistema y así tratar de corregirlos y mejorar.
Recomendación
El Encargado de la administración de las aulas de informática debe estar capacitado
para participar en las auditorías realizadas por terceras personas dentro de la
institución.
Causa
El encargado de la Administración no cuenta la capacitación necesaria para participar
como apoyo en las auditorías realizadas por la institución.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al
impacto es moderado
3. RAZÓN SOCIAL DE LA EMPRESA.
Dirección Física:
Doctor Gustavo Baz S/N, Villa Luvianos, Estado de México.
Conocimiento Inicial de la Entidad.
El giro al cual pertenece la Institución es al Giro Educativo ya que ofrece servicios de
Educación Secundaria (Nivel Básico).
Personal que Integra la Organización
Nombre Completo Cargo
Joel Rosado Orive Director Escolar
Relación de Funcionarios o Personal a Cargo del Area a Examinar
Nombre Completo Cargo Periodo de Gestión Domicilio
Del Al Doctor Gustavo Baz S/N, Villa Luvianos, Estado de México.
Joel Rosado Orive Director Escolar 21/11/2014 24/11/2014
Situación actual
Giro de la Empresa
La Empresa se dedica al Giro Educativo ya que ofrece servicios de Educación Secundaria
(Nivel Básico) como actividad Primaria.
Recursos Informáticos Existentes
Dispositivos Cantidad CPU 23
Monitores 23
Teclados y Mouse 23
Reguladores 10
Laptops 3
Bocinas 20
3.1 OBJETIVO DE LA AUDITORIA.
La auditoría de sistemas tiene por objeto, monitorear, evaluar y examinar la seguridad
dirigida a que sus normas, planes operativos anuales, programas, políticas,
procedimientos, prácticas y estructuras organizacionales, de sistematización y tecnología
de información se esté cumpliendo.
3.1.1 OBJETIVO GENERAL.
Ejercer el control de gestión sobre los procesos de Tecnología de la Información que se
cumplen en el nivel educativo, por parte de Verificar el cumplimiento de normas y
políticas referidas a la operación de Sistemas de Información y al desarrollo de procesos
de Tecnología de Información TI.
3.1.2 OBJETIVOS ESPECÍFICOS.
Establecer un plan de auditoria para garantizar que se obtenga un aseguramiento
regular e independiente con respecto a la efectividad, eficiencia y economía de la
seguridad y de los procedimientos de control interno.
Asegurar que los estándares de auditoria sean aplicados, para asegurar la
obtención de evidencia confiable, relevante y útil para alcanzar los objetivos de
auditoria de forma efectiva.
3.2 ALCANCE.
El alcance de la Auditoria dentro de la Institución es Organizar y calificar los procesos que
se llevan a cabo para controlar los servicios dentro de las Áreas de informáticas de la
institución así como evaluar los servicios que ofrece el Administrador de estas áreas.
4. CRONOGRAMA.
5. PUNTOS A EVALUAR.
Programa de Auditoria
Esc. Sec. Ofic. No. 0347 “Pedro Asencio de Alquisiras” Fecha Hoja N°
Fase Actividad Horas
Estimadas Encargados
I
VISITA PRELIMINAR
Solicitud de Manuales y
Documentaciones.
Elaboración de los cuestionarios.
Recopilación de la información
Organizacional: estructura orgánica,
recursos humanos, presupuestos.
8 Hrs.
II
DESARROLLO DE LA AUDITORIA
Aplicación del cuestionario al
personal.
Entrevistas a líderes y usuarios más
relevantes de la dirección.
Análisis de las claves de acceso,
control, seguridad, confiabilidad y
respaldos.
Evaluación de la estructura orgánica:
departamentos, puestos, funciones,
autoridad y responsabilidades.
Evaluación de los Recursos Humanos
y de la situación Presupuestal y
Financiera:
Desempeño, capacitación,
condiciones de trabajo, recursos en
8 Hrs.
materiales y financieros mobiliario y
equipos.
Evaluación de los sistemas:
relevamiento de Hardware y
Software, evaluación del diseño lógico
y del desarrollo del sistema.
Evaluación del Proceso de Datos y de
los Equipos de Cómputos: seguridad
de los
datos, control de operación,
seguridad física y procedimientos de
respaldo.
II
REVISION Y PRE-INFORME
Revisión de los papeles de trabajo.
Determinación del Diagnostico e
Implicancias.
Elaboración de la Carta de Gerencia.
Elaboración del Borrador.
16 Hrs.
IV
INFORME
Elaboración y presentación del
Informe.
6 Hrs.
5.1 DOCUMENTOS A SOLICITAR.
Políticas, estándares, normas y procedimientos.
Plan de sistemas.
Planes de seguridad y continuidad
Contratos, pólizas de seguros.
Organigrama y manual de funciones.
Manuales de sistemas.
Registros
Entrevistas
Archivos
Requerimientos de Usuarios
6. PLANES PROGRAMAS Y PRESUPUESTOS DE AUDITORIA
6.1 METODOLOGÍA
Para la evaluación del Área de Informática se llevarán a cabo las siguientes actividades:
Solicitud de los estándares utilizados y programa de trabajo.
Aplicación del cuestionario al personal.
Análisis y evaluación del a información.
Elaboración del informe.
Para la evaluación de los sistemas tanto en operación como en desarrollo se
llevarán a cabo las siguientes actividades:
Solicitud del análisis y diseño del os sistemas en desarrollo y en operación.
Solicitud de la documentación de los sistemas en operación (manuales técnicos, de
operación del usuario, diseño de archivos y programas).
Recopilación y análisis de los procedimientos administrativos de cada sistema
(flujo de información, formatos, reportes y consultas).
Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos.
Análisis del avance de los proyectos en desarrollo, prioridades y personal asignado
Entrevista con los usuarios de los sistemas.
Evaluación directa de la información obtenida contra las necesidades y
requerimientos del usuario.
Análisis objetivo de la estructuración y flujo de los programas.
Análisis y evaluación de la información recopilada.
Elaboración del informe.
Para la evaluación de los equipos se llevarán a cabo las siguientes actividades:
Solicitud de los estudios de viabilidad y características de los equipos actuales,
proyectos sobre ampliación de equipo, su actualización.
Solicitud de contratos de compra y mantenimientos de equipo y sistemas.
Solicitud de contratos y convenios de respaldo.
Solicitud de contratos de Seguros.
Elaboración de un cuestionario sobre la utilización de equipos, memoria, archivos,
unidades de entrada/salida, equipos periféricos y su seguridad.
Visita técnica de comprobación de seguridad física y lógica de las instalaciones de
la Dirección de Informática.
Evaluación técnica del sistema electrónico y ambiental de los equipos y del local
utilizado.
Evaluación de la información recopilada, obtención de gráficas, porcentaje de
utilización de los equipos y su justificación.
6.2 PRESUPUESTO
Auditores Tejupilco Estado de México
Auditores y Consultores en Informática
Cliente: Esc. Sec. Ofic. No. 0347
“Pedro Asencio de Alquisiras”
DURACION DE LA
AUDITORIA
18 de Noviembre al 21 de
Noviembre del 2014
Recurso Sueldo/Mensual Precio a Facturar
Líder De Auditoria
Hugo César Tinoco
Benítez.
$ 4,000.00 $ 4,000.00
Auditor Junior
Edgar Macedo
Domínguez.
$ 2,000.00 $ 2,000.00
Viáticos $ 1,000.00 $ 1,000.00
Papelería $ 800.00 $ 800.00
Software $ 200.00 $200
TOTAL: $ 8,000.00
Viáticos.
Consta de los gastos que llevaran los auditores en las visitas que tengan que realizar los
auditores, se planea con una visita por semana en caso de ser necesarios.
Papelería.
Consta de los insumos de oficina (Impresiones, Plumas, Etc.) que se requerirá en el
proceso de la auditoria
Software.
Consta de todo el software que se requerirá para realizar la auditoria en los equipos de
cómputo que manejen la información.
7 METODOS, HERRAMIENTAS, INSTRUMENTOS Y PROCEDIMIENTOS PARA AUDITORIA.
7.1 RECOLECCIÓN DE INFORMACIÓN.
Observación.
Es una de las técnicas más utilizadas para examinar los diferentes aspectos que
intervienen en el funcionamiento del área informática y los sistemas software, permite
recolectar la información directamente sobre el comportamiento de los sistemas, del área
de informática, de las funciones y actividades, los procedimientos y operación de los
sistemas, y de cualquier hecho que ocurra en el área.
En el caso específico de la auditoria se aplica para observar todo lo relacionado con el área
informática y los sistemas de una organización con el propósito de percibir, examinar, o
analizar los eventos que se presentan en el desarrollo de las actividades del área o de un
sistema que permita evaluar el cumplimiento de las funciones, operaciones y
procedimientos.
Entrevistas.
Esta técnica es la más utilizada por los auditores ya que a través de esta se obtiene
información sobre lo que está auditando, además de tips que permitirán conocer más
sobre los puntos a evaluar o analizar. La entrevista en general es un medio directo para la
recolección de información para la captura de los datos informados por medio de
grabadoras digitales o cualquier otro medio. En la entrevista, el auditor interroga,
investiga y conforma directamente sobre los aspectos que se está auditando. En su
aplicación se utiliza una guía general de la entrevista, que contiene una serie de preguntas
sobre los temas que se quiere tocar, y que a medida que avanza pueden irse adaptando
para profundizar y preguntar sobre el tema.
Cuestionarios.
Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado
responde de acuerdo a su criterio, de esta manera el auditor obtiene información que
posteriormente puede clasificar e interpretar por medio de la tabulación y análisis, para
evaluar lo que se está auditando y emitir una opinión sobre el aspecto evaluado.
Encuestas.
Las encuestas son utilizadas frecuentemente para recolectar información sobre aspectos
como el servicio, el comportamiento y utilidad del equipo, la actuación del personal y los
usuarios, entre otros juicios de la función informática. No existen reglas para el uso de las
encuestas, solo los que regulan los aspectos técnicos y estadísticos tales como la elección
del universo y la muestra, que se contemplan dentro de la aplicación de métodos
probabilísticas y estadísticos para hacer la mejor elección de las muestras y recolección de
opiniones.
Inventarios.
Consiste en hacer el recuento físico de lo que se está auditando, con el fin de compararla
con la que existe en los documentos en la misma fecha. Consiste en comparar las
cantidades reales existentes con las que debería haber para comprobar que sean iguales,
de lo contrario iniciar la investigación de la diferencia para establecer las causas. Con la
aplicación de esta herramienta de la auditoria tradicional, el auditor de sistemas también
puede examinar las existencias de los elementos disponibles para el funcionamiento del
área informática o del sistema, contabilizando los equipos de cómputo, la información y
los datos de la empresa, los programas, periféricos, consumibles, documentos, recursos
informáticos, y demás aspectos que se desee conocer, con el fin de comparar la cantidad
real con las existencias que se registra en los documentos.
7.2 LISTAS DE CHEQUEO
Definición: Actualmente es difícil definir lo que es un centro de cómputo, puesto que en
una organización pequeña dos equipos PC son todo su centro de cómputo, en una
escuela, su centro de cómputo lo conforman sus aulas y las oficinas administrativas, y en
un corporativo, su centro de cómputo lo forman varios edificios o un sitio central y
oficinas regionales.
Para poder englobar todos estos extremos, se definirá al centro de cómputo no en función
del número de equipos con que cuente, ni en función del espacio que ocupa, sino en
cuanto al servicio que proporciona. En este entorno un centro de cómputo es la
infraestructura necesaria para satisfacer todas las necesidades de procesamiento de
información y brindar los servicios que la organización requiere, contando para ello con
recursos humanos, técnicos y materiales.
CUESTIONARIO DE CONTROL C1
Aulas de informática Institución Educativa R/PT
Cuestionario de Control C1
Dominio
Proceso
Objetivo de Control
Cuestionario
Pregunta SI NO N/A
EJECUCIÓN DE AUDITORIA DE SISTEMAS
DICTAMEN DE AUDITORIA DE SISTEMAS
1. DOCUMENTOS DE OPORTUNIDADES DE MEJORAMIENTO ENCONTRADAS
1.1. ANÁLISIS Y EVALUACIÓN DE RIESGOS
Para el listado de riesgos enumerados a continuación se realizaron visitas a las
instalaciones de la institución educativa, y específicamente a las instalaciones de las aulas
de cómputo, además de la aplicación de instrumentos como listas de chequeo o checklist
de verificación y cuestionarios al personal de la administración de los recursos
tecnológicos.
1.1.1. LISTA DE RIESGOS ENCONTRADOS.
R1 No existe caja de breakers de los circuitos del aula.
R2 No existen sistemas contra incendios.
R3 Los usuarios no son capacitados en el uso adecuado de extintores.
R4 No existen controles sobre el acceso de personas al aula.
R5 No hay un control de asistencia sobre los responsables del aula.
R6 No hay sistemas de vigilancia para detectar posibles movimientos fraudulentos a los
equipos de cómputo.
R7 Falta definir políticas para la asignación de contraseñas de los equipos de cómputo.
R8 No se lleva un registro detallado de los usuarios que hacen uso de los equipos.
R9 No hay una hoja de vida de la existencia de los equipos.
R10 No se llevan bitácoras para la realización de procesos de mantenimiento.
R11 No existe personal encargado del mantenimiento de los equipos.
R12 No se hace inventario de existencias de equipos de cómputo.
R13 No se realiza un escaneo para evitar intrusiones en la red.
R14 No se definen fechas para cambios del proveedor de servicios de internet.
R15 No se hace monitoreo sobre la prestación de servicios del ISP contratado.
1.1.2 VALORACIÓN DE RIESGOS
De acuerdo a los riesgos citados, se realiza la valoración de los riesgos teniendo en cuenta
la probabilidad de ocurrencia y el impacto del riesgo dentro de las aulas de informática de
la institución educativa, para ello se realiza la siguiente tabla 1 donde se valoran los
riesgos para su posterior clasificación.
Tabla 1. Valoración de riesgos
Riesgos / Valoración Probabilidad Impacto
A M B L M C
Eléctricos
R1 No existe conexión de polo a tierra
x x
R2 No existe instalación de sistema eléctrico regulado
x
x
R3 No existe sistema de protección en caídas de energía
x x
R4 No hay medidores de voltaje eléctrico en sus tres fases
x
x
R5 La fase neutra no se encuentra bien identificada
x x
R6 No existe caja de breakers de los circuitos del aula
x x
Siniestros y Catástrofes
R7 No existen sistemas contra incendios x
x
R8 Los usuarios no son capacitados en el uso adecuado de
extintores
x
x
R9 No existen sistemas de censores de humo x
x
R10 No existen sistemas Extractores de calor x
x
Manejo y Control de Personal
R11 No hay un control de asistencia sobre los responsables
del aula
x x
R12
No hay sistemas de vigilancia para detectar posibles
movimientos fraudulentos a los equipos de cómputo.
x
x
R13
No se lleva un registro detallado de los usuarios que
hacen uso de los equipos
x
x
Manejo y Control de Hardware
R14 No hay una hoja de vida de la existencia de los equipos
x
x
R15
No se llevan bitácoras para la realización de procesos de
mantenimiento
x
x
Tabla 2. Clasificación de Riesgos
LEVE MODERADO CATASTROFICO
ALTO
R16 R7,R9,R10,
MEDIO R8,R11 R12,R13,R15
BAJO R1,R2,R3,R4,R5,R6 R14
1.2 RIESGOS ENCONTRADOS HALLAZGOS
Teniendo en cuenta la aplicación de los instrumentos para recolección de información, los
objetivos planteados con anterioridad y los riesgos definidos en la Matriz se obtienen las
siguientes tablas de hallazgos para cada uno de ellos.
HALLAZGO H1.
Aulas de Informática Institución Educativa. R/PT: C3
Nombre del Área:
Laboratorio de Computo.
Nombre del Jefe:
Joel Rosado Orive.
Dominio Planeación y Organización (PO)
Proceso PO3. Determinar la Dirección Tecnológica.
Objetivo de Control Aprovechar al Máximo la Tecnología Disponible.
Riesgos Asociados R15,R5,R8
Descripción
El Laboratorio de Computo con el que cuenta la Institución se utiliza con poca
frecuencia a pesar de que cuenta con equipos de cómputo recientes, el acceso a esta
área es algo restringido.
Recomendación
Asignar a un encargado en el Laboratorio para que se pueda utilizar con más frecuencia
para trabajos o actividades de los Alumnos.
Causa
La falta de una persona responsable o encargado en esta área hace que el Laboratorio
no se use con Frecuencia.
Nivel del Riesgo
En Cuanto a la Probabilidad de Ocurrencia está Clasificado en Medio Alto, en cuanto al
Impacto es Moderado.
HALLAZGO H2.
Aulas de informática Institución Educativa R/PT: C5
Nombre del Área:
Laboratorio de Computo.
Nombre del Jefe:
Joel Rosado Orive.
Dominio Planeación y Organización (PO)
Proceso PO5. Manejar la Inversión en TI.
Objetivo de Control Satisfacción de los Requerimientos de la Organización.
Riesgo Asociado R5,R4,R7,R8
Descripción
La Institución tiene programados Horarios de mantenimiento, estas están sujetas a las
programaciones que realiza el Directos de la Escuela al inicio del Ciclo escolar, El Área
administrativa solo da de baja equipos no funcionales, pero no hace solicitudes de
cambio de nuevos equipos ya que el nuevo hardware está supeditado a los recursos de
inversión y proyectos presentados a nivel local y nacional.
Recomendación
El Encargado de la Administración de las aulas de informática debe sujetarse a los
Horarios de mantenimiento y cambios por lo menos una vez al año, las actualizaciones
de cambio o repotenciación de equipos se deben presupuestar para las vigencias
futuras.
Causa
El Director Escolar y el Encargado del Área Administrativa del aula de informática deben
realizar planes de actualización de equipos y de mantenimiento preventivo, asignando
los recursos económicos necesarios para vigencias futuras.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al
impacto es moderado.
HALLAZGO H3.
Aulas de Informática Institución Educativa. R/PT: D2
Nombre del Área:
Laboratorio de Computo.
Nombre del Jefe:
Joel Rosado Orive.
Dominio Adquisición e Implementación (AI)
Proceso AI2. Adquisición y Mantener Software de Aplicación.
Objetivo de Control Proporcionar Funciones Automatizadas.
Riesgos Asociados R1,R7,R10,R2
Descripción
En las aulas de informática no se lleva un registro de mantenimiento y de cambios de
hardware, además no existe personal de mantenimiento dedicado a este proceso, el
mantenimiento está sujeto a las indicaciones del Director Escolar de acuerdo al
presupuesto y el inventario no se actualiza periódicamente cuando se han realizado
cambios.
Recomendación
El Encargado de la Administración debe sugerir las indicaciones de inventario y
mantenimientos de hardware.
Causa
La falta de recursos económicos y la falta de planeación por parte del encargado de la
administración de las aulas de informática en la institución.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio alto, en cuanto al
impacto es moderado.
HALLAZGO H4.
Aulas de informática Institución Educativa R/PT: D3
Nombre del Área:
Laboratorio de Computo.
Nombre del Jefe:
Joel Rosado Orive.
Dominio Adquisición e Implementación (AI)
Proceso AI3. Adquirir y Mantener Arquitectura de TI.
Objetivo de Control Proporcionar Plataformas Apropiadas para Soportar
Aplicaciones.
Riesgos Asociados R5,R9,R7,R3
Descripción
En las Aulas de Informática de la Institución no se lleva a cabo una buena Adquisición e
Implementación de los Recursos destinado para la Mejora de TI, dentro de estas Áreas.
Recomendación
El Encargado de la Administración debe sugerir una forma apropiada de Adquirir e
Implementar los Recursos de TI, dentro de estas Áreas.
Causa
La falta de recursos económicos y la falta de planeación por parte del encargado de la
administración de las aulas de informática en la institución.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio alto, en cuanto al
impacto es moderado.
HALLAZGO 5.
Aulas de Informática Institución Educativa. R/PT: E5
Nombre del Área:
Laboratorio de Computo.
Nombre del Jefe:
Joel Rosado Orive.
Dominio Servicios y Soporte (DS)
Proceso DS3. Administrar Desempeño y Calidad.
Objetivo de Control Asegurar que la Capacidad Adecuada está Disponible.
Riesgos Asociados R2,R8,R9,R10
Descripción
En las aulas de informática no se lleva a cabo una buena Administración y control de
Calidad para que los laboratorios tengan el Desempeño deseado por la Dirección
Escolar.
Recomendación
El Encargado de la Administración debe sugerir cambios en la Administración para
poder sacar el máximo provecho de las TI, con las que cuenta la Institución.
Causa
La falta de recursos económicos y la falta de planeación por parte del encargado de la
administración de las aulas de informática en la institución.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio alto, en cuanto al
impacto es moderado.
HALLAZGO H6
Aulas de informática Institución Educativa R/PT: E7
Nombre del Área:
Laboratorio de Computo.
Nombre del Jefe:
Joel Rosado Orive.
Dominio Servicios y Soporte (DS)
Proceso DS7. Capacitar Usuarios.
Objetivo de Control Asegurar un Conocimiento Correcto Atribuido a los Servicios
de TI.
Riesgos Asociados R4,R11,R12,R9
Descripción
La Institución Educativa le ofrece a sus empleados y alumnos cursos de capacitación en
las áreas básicas para el control de TI.
Recomendación
El Encargado de la administración de las aulas de informática debe guiarse de las
indicaciones establecidas por la Dirección Escolar para las capacitaciones a los Alumnos
y Docentes de la Institución.
Causa
El Director y el Encargado de la administración de las aulas de informática deben
realizar planes para la actualización o cursos que se impartirán a alumnos y docentes.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al
impacto es moderado.
HALLAZGO H7.
Aulas de informática Institución Educativa R/PT: F1
Nombre del Área:
Laboratorio de Computo.
Nombre del Jefe:
Joel Rosado Orive.
Dominio Monitoreo (M)
Proceso M1. Monitorear los Procesos.
Objetivo de Control Asegurar el Logro de los Objetivos Establecidos para los
Procesos de TI.
Riesgos Asociados R2,R7,R8
Descripción
La Institución Educativa tiene programados Horarios de revisión de las Actividades
realizadas diariamente dentro de los laboratorios o áreas cómputo de la Institución.
Recomendación
El Encargado de la administración de las aulas de informática debe programar los
cursos que se impartirán en el trascurso del ciclo escolar para capacitar a alumnos y
Docentes.
Causa
El Director y el Encargado de la administración de las aulas de informática deben
realizar planes de actualización para alumnos y docentes.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al
impacto es moderado.
HALLAZGO H8.
Aulas de informática Institución Educativa R/PT: F4
Nombre del Área:
Laboratorio de Computo.
Nombre del Jefe:
Joel Rosado Orive.
Dominio Monitoreo (M)
Proceso M4. Proveer Auditoría independiente.
Objetivo de Control Incrementar los Niveles de Confianza y Beneficiarse de
Recomendaciones Basadas en Mejores Prácticas de su
Implementación.
Riesgos Asociados R1,R5,R7,R6
Descripción
La Institución Educativa realiza auditorias independientes una vez al año en diferentes
áreas con el fin de buscar fallos en su sistema y así tratar de corregirlos y mejorar.
Recomendación
El Encargado de la administración de las aulas de informática debe estar capacitado
para participar en las auditorías realizadas por terceras personas dentro de la
institución.
Causa
El encargado de la Administración no cuenta la capacitación necesaria para participar
como apoyo en las auditorías realizadas por la institución.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al
impacto es moderado
1.3 PRUEBAS
Realizadas las visitas y las entrevistas propuestas con anterioridad se han obtenido la
siguiente colección de pruebas para los riesgos seleccionados previamente.
PRUEBA P1.
Aulas de informática Institución Educativa R/PT: C3
Pruebas P1
Dominio Planeación y Organización (PO)
Proceso PO3. Determinar la Dirección Tecnológica.
Objetivo de Control Aprovechar al Máximo la Tecnología Disponible.
Riesgos Asociados R15,R5,R8
No Evidencia Descripción
1 No existe un nivel de arquitectura de TI
En las aulas de informática no se lleva un registro adecuado para la arquitectura de TI
2 No existe un plan establecido para la dirección tecnológica
Ho hay planes estratégicos para la toma de dirección tecnológica.
PRUEBA P2.
Aulas de informática Institución Educativa R/PT: C5
Pruebas P2
Dominio Planeación y Organización (PO)
Proceso PO5. Manejar la Inversión en TI.
Objetivo de Control Satisfacción de los Requerimientos de la Organización.
Riesgos Asociados R5,R4,R7,R8
No Evidencia Descripción
1 No se tiene pensado en la estructura tecnológica
La Institución educativa no tiene pensado en cambiar su infraestructura ya que el gobierno del estado no se los proporciona tan fácilmente.
PRUEBA 3
Aulas de informática Institución Educativa R/PT: D2
Pruebas P3
Dominio Adquisición e Implementación (AI)
Proceso AI2. Adquisición y Mantener Software de Aplicación.
Objetivo de Control Proporcionar Funciones Automatizadas.
Riesgos Asociados R1,R7,R10,R2
No Evidencia Descripción
1 No se cumple con los aplicativos
No se cuenta con la instalación completa del office
PRUEBA 4
Aulas de informática Institución Educativa R/PT: D3
Pruebas P4
Dominio Adquisición e Implementación (AI)
Proceso AI3. Adquirir y Mantener Arquitectura de TI.
Objetivo de Control Proporcionar Plataformas Apropiadas para Soportar
Aplicaciones.
Riesgos Asociados R5,R9,R7,R3
No Evidencia Descripción
1 No se realizan cotizaciones
Base a que es de gobierno ellos no tienen pensado en comprar cosas que no les corresponden
2 No es adecuada la infraestructura de TI
Las paredes cuentan a salinidad gracias a la humedad
PRUEBA 5
Aulas de informática Institución Educativa R/PT: E5
Pruebas P5
Dominio Servicios y Soporte (DS)
Proceso DS3. Administrar Desempeño y Calidad.
Objetivo de Control Asegurar que la Capacidad Adecuada está Disponible.
Riesgos Asociados R2,R8,R9,R10
No Evidencia Descripción
1 No existe software para las incidencias de seguridad
No cuenta con sistemas el cual monitoreen la red así mismo tampoco cuentan con cámaras de vigilancia
PRUEBA 6
Aulas de informática Institución Educativa R/PT: E7
Pruebas P6
Dominio Servicios y Soporte (DS)
Proceso DS7. Capacitar Usuarios.
Objetivo de Control Asegurar un Conocimiento Correcto Atribuido a los Servicios
de TI.
Riesgos Asociados R4,R11,R12,R9
No Evidencia Descripción
1 No existen capacitaciones de usuarios
No hay asesorías de parte de la institución al personal encargado del laboratorio
PRUEBA 7
Aulas de informática Institución Educativa R/PT: F1
Pruebas P7
Dominio Monitoreo (M)
Proceso M1. Monitorear los Procesos.
Objetivo de Control Asegurar el Logro de los Objetivos Establecidos para los
Procesos de TI.
Riesgos Asociados R2,R7,R8
No Evidencia Descripción
1 No existe con ejecución estable
Es decir no hay horarios para la utilización de dicho laboratorio
2 No se cuanta con un sistema informático el cual mida el desempeño del computador
No se cuanta con un sistema el cual mida el tiempo de utilización del equipo y las horas de trabajo y quien lo trabajo.
PRUEBA 8.
Aulas de informática Institución Educativa R/PT: F4
Pruebas P5
Dominio Monitoreo (M)
Proceso M4. Proveer Auditoría independiente.
Objetivo de Control Incrementar los Niveles de Confianza y Beneficiarse de
Recomendaciones Basadas en Mejores Prácticas de su
Implementación.
Riesgos Asociados R1,R5,R7,R6
No Evidencia Descripción
1 No existen roles adecuados
Debido a la falta de un registro no se tiene control de horarios de los trabajadores y no se cuanta con un acuerdo entre ellos
2 No se cumplen con las políticas de seguridad
Como antes mencionado no se cuenta con registro adecuado de cada usuario y tampoco se da monitoreo a sus sistemas de información.
3 DICTAMEN FINAL
Profre. Joel rosado orive
Director escolar de secundaria pedro Asencio de alquisiras
1. Hemos auditado el área informática correspondiente al servicio del laboratorio de
sistemas y he evaluado el nivel de riesgo de informática que presenta, con las notas y
anexos que se adjuntan, preparados por los alumnos Edgar Macedo Domínguez,
Hugo Cesar Tinoco Benítez. Los hechos presentes en el área de informática del
laboratorio, son responsabilidad de quienes hacen uso del servicio de informática;
nuestra responsabilidad es expresar una opinión sobre dichos hechos basados en
nuestra auditoría.
2. Hemos conducido la práctica de acuerdo con los lineamientos de las Normas
Internacionales de Auditoria (NIA), Normas de Auditoría Generalmente Aceptadas y a
las Normas Ecuatorianas de Auditoría aplicables a la auditoría informática. No existen
normas formales expresas relacionadas directamente con la auditoría informática por
lo que ha sido preciso adoptar Normas generales para la ejecución de nuestro
trabajo. Estas normas requieren planear y efectuar el proceso de auditoría para
obtener seguridad razonable con el propósito de informar si los hechos a revisar
presentan riesgos significativos.
Se realizó un chequeo general al ambiente hardware para conocer el estado actual
de los equipos de cómputo.
Se efectuó una revisión general del ambiente software para conocer el estado
actual de los programas. Se evaluó el servicio de informática de acuerdo a
cuestionarios de estudio o seguimiento, con el propósito de conocer los
principales inconvenientes y requerimientos tanto de catedráticos como de
alumnos y además se incluyó en este estudio la opinión del laboratorista.
Se examinó la estructura del laboratorio con respecto a la distribución de las
máquinas con el propósito de conocer la factibilidad de una distribución más
óptima.
3. Este dictamen está destinado para ser utilizado según estime conveniente de acuerdo
a su criterio y aclaramos que esta práctica de auditoría informática se realizó con el
propósito principal de poner en práctica los conocimientos adquiridos, ofrecer un
aporte al mejoramiento del servicio que brinda la universidad respecto al área
informática.
4. El área informática del laboratorio de sistemas presenta un nivel de riesgo medio en
sus aspectos más significativos, aunque su nivel de servicio se presta razonablemente
de acuerdo a los medios existentes para ofrecerse.