UNIVERSIDAD LUTERANA SALVADOREÑA
FACULTAD DE CIENCIAS DEL HOMBRE Y LA NATURALEZA
LICENCIATURA EN CIENCIAS DE LA COMPUTACION.
CATEDRA: Auditoria de Sistemas
Ejecución de auditoria
PROYECTO: “Sistema de notas de educación básica”
CATEDRATICO:
Lic. Ana Lissette Girón de Bermúdez
PRESENTADO POR:
NOMBRES CARNET PONDERACIÓNDomínguez Parada, Luis Antonio DP02110151 100%
Granados Maradiaga, Elmer Alexander GM02110987 100%
Auditoria de Sistemas - COESMA Página 1
INDICE
ETAPA I
Introducción..........................................................................................................................4
OBJETIVOS DEL DOCUMENTO...............................................................................................5
DESCRIPCION DE LUGAR.......................................................................................................6
INTRODUCCION DE INFORME...............................................................................................6
ANTECEDENTES DE LA INSTITUCION.....................................................................................6
RESEÑA HISTORICA DE LA INSTITUCUIÓN.....................................................7
ORGANIGRAMA DE LA INSTITUCION..............................................................7
CANTIDAD DE EMPLEADOS DE LA INSTITUCION..........................................8
DETALLE DE DEPARTAMENTO Y ACTIVIDAD QUE SE AUDITARAN.............8
PERSONAL ENCARGADO INVOLUCRADO QUE ATENDERA LA AUDITORIA.
(NOMBRE, CARGO.)...........................................................................................9
EMPLEADO CLAVE DEL DEPARTAMENTO......................................................9
UBICACIÓN DE LA INSTITUCIÓN.......................................................................9
GIRO DE LA INSTITUCIÓN...............................................................................10
PONDERACION POR LOS PUNTOS QUE SERAN EVALUADOS...............................................10
IDENTIFICACION DE AREAS CRÍTICAS.................................................................................10
OBJETIVOS DE LA AUDITORIA........................................................................11
PRESUPUESTO FINANCIERO................................................................................................11
CRONOGRAMA DE ACTIVIDADES........................................................................................13
TIPOS DE AMENAZAS...........................................................................................................13
INTRODUCCIÓN...................................................................................................................14
OBJETIVOS DEL DUCUMENTO.............................................................................................15
OBJETIVO GENERAL........................................................................................15
OBJETIVOS ESPECÍFICOS...............................................................................15
PRESENTACIÓN DE POLÍTICAS DE SEGURIDAD....................................................................16
1.0 PRINCIPIOS/PROCEDIMIENTOS:...........................................................16
Auditoria de Sistemas - COESMA Página 2
2.0 SOFTWARE.................................................................................................17
2.0 USO DE INTERNET Y ACCESO A LA RED.............................................17
4.0 SEGURIDAD DE INTERNET........................................................................18
5.0 BACKUP Y RECUPERACIÓN......................................................................18
6.0 PROTECCIÓN Y SEGURIDAD....................................................................19
TECNICAS DE EVALUACION.................................................................................................20
PAPELES DE TRABAJO..........................................................................................................23
ALCANCE DE LA ADITORIA INFORMÁTICA..........................................................................25
OBJETIVO DE AUDITORIA....................................................................................................26
GENERAL..........................................................................................................26
ESPECÍFICOS....................................................................................................26
CRONOGRAMA DE ACTIVIDADES........................................................................................27
PROGRAMAS DE AUDITORIA...............................................................................................28
INTRODUCCIÓN...................................................................................................................33
OBJETIVOS DEL DUCUMENTO.............................................................................................34
OBJETIVO GENERAL........................................................................................34
OBJETIVOS ESPECÍFICOS...............................................................................34
ALCANCE DE LA ADITORIA INFORMÁTICA..........................................................................35
OBJETIVO DE AUDITORIA....................................................................................................36
GENERAL..........................................................................................................36
ESPECÍFICOS....................................................................................................36
RESULTADO DE LA AUDITORIA............................................................................................37
ANEXOS............................................................................................................................... 43
Carta de Finalización..........................................................................................43
CUESTIONARIO................................................................................................45
GENERALIDAES DE LA INSTITUCION.............................................................48
SOFTWARE.......................................................................................................49
SISTEMAS OPERATIVOS.................................................................................51
Auditoria de Sistemas - COESMA Página 3
COMUNICACIONES Y REDES..........................................................................51
PLANES CONTINGENCIALES..........................................................................52
OUTSOURSING.................................................................................................53
BIBLIOGRAFIA......................................................................................................................55
FUENTES DE INFORMACION...........................................................................55
WEBGRAFIA......................................................................................................55
Auditoria de Sistemas - COESMA Página 4
Etapa I
Introducción
La presente etapa de este documento del proyecto de la asignatura “Auditoria de Sistemas” de la Universidad Luterana Salvadoreña se pretende dar a conocer los diferentes registros y control que lleva sobre lo que se Auditara.
El contenido de este documento nos brindara información referente al Complejo Educativo que se auditara y conocer la herramienta en que se ejecuta el protocolo en hoja de cálculo de Excel dentro de ella misma y a la vez como auditores implementar conocimientos a la planeación que se ha realizara para obtener buenos resultados en dicha auditoria.
Toda la información que porta este documento refleja una breve descripción de lo que se espera desarrollar en el proceso de auditoría.
Auditoria de Sistemas - COESMA Página 5
OBJETIVOS DEL DOCUMENTO
- Brindar y plantear detalladamente el proceso de auditoría que se realizara al Sistema de notas de Educación Básica, en el Complejo Educativo Cantón XXX XXXXXXXXXXXX.
- Revisar y Evaluar las hojas de cálculos del sistema y procedimientos de informática del Sistema, su utilización, eficiencia y seguridad, de la Institución
- Conocer el procedimiento de la información de dicha institución, a fin de darle una auditoria de buen empeño y buena estrategia a una utilización más eficiente y segura de la información.
Auditoria de Sistemas - COESMA Página 6
DESCRIPCION DE LUGAR
La auditoría a realizarse se hará en Complejo Educativo Cantón XXX XXXXXXXXXXXX Institución que se dedica a la Educación Primaria y secundaria, se encuentra en el Departamento de La Paz en el Municipio de San Pedro Masahuat, Cantón XXX XXXXXXXXXXXX.
INTRODUCCION DE INFORMEDeterminar las posibles vulnerabilidades del sistema y plataforma tecnológicas utilizadas
en el Complejo Educativo Cantón XXX XXXXXXXXXXXX, con el fin de hacer las
recomendaciones que dieran lugar.
ANTECEDENTES DE LA INSTITUCION.
RESEÑA HISTORICA DE LA INSTITUCUIÓNFundada en el año 2001 como Complejo Educativo Cantón XXX XXXXXXXXXXXX.
Anteriormente era llamada como Escuela Rural Mixta Cantón XXX XXXXXXXXXXXX, dirigida
por el señor Roberto Guerrero (Q.D.D.G) de dicha institución.
Luego paso a cargo del señor Nelson Antonio Ramírez López que se desempeña como
director de la Institución actualmente, desde el año 2001 la institución se ha
engrandecido tanto en población y en Educación.
El Complejo Educativo también cuenta de kínder 5 hasta con Educación Media
Bachillerato en opción contabilidad, en el 2003 el Complejo Educativo Cantón XXX
XXXXXXXXXXXX se vistió de gala en entregar su primera de promoción de Bachilleres en
Opción Contaduría.
Y así sucesivamente el Complejo Educativo Cantón XXX XXXXXXXXXXXX cada año se viste
de gala para promociones de Bachilleres.
Auditoria de Sistemas - COESMA Página 7
ORGANIGRAMA DE LA INSTITUCION.
CANTIDAD DE EMPLEADOS DE LA INSTITUCION.
Profesores 18
Conserjes 2_
Total Empleados 20
Auditoria de Sistemas - COESMA Página 8
DETALLE DE DEPARTAMENTO Y ACTIVIDAD QUE SE AUDITARAN.
Se auditara el sistema de notas de primero y segundo ciclo (educación media)
El área a auditar y evaluar es el “sistema de notas de educación básica” que maneja. El Complejo Educativo Cantón XXX XXXXXXXXXXXX a fin de comprobar cada uno de los procesos y cálculos de las notas de los alumnos sea segura y ordenada, y que la información que servirá para una adecuada toma y compilación de datos dentro de la Institución y su sistema diseñada en una hoja de cálculo.
PERSONAL ENCARGADO INVOLUCRADO QUE ATENDERA LA AUDITORIA. (NOMBRE, CARGO.)
Cargo Nº de personal Nombres
Director de Institución Educativa 1 Nelson Antonio Ramírez López
Encargado de Centro de Cómputo 1 Xxx xxx xxx.
EMPLEADO CLAVE DEL DEPARTAMENTO.
La persona clave para el correspondiente examen de análisis en el proceso de la Auditoria
Informática es el Sr.
Xxx xxx xxx, encargado de centro de cómputo
Auditoria de Sistemas - COESMA Página 9
UBICACIÓN DE LA INSTITUCIÓN.
Complejo Educativo Cantón XXX XXXXXXXXXXXX está situado del en Costa del Sol km 60
en el departamento de La Paz, en el Municipio de San Pedro Masahuat.
GIRO DE LA INSTITUCIÓN.
El giro que realiza la Institución de XXX XXXXXXXXXXXX es EDUCATIVO
PONDERACION POR LOS PUNTOS QUE SERAN EVALUADOS
Nº Factores primarios ponderados Porcentajes
1 Utilización de formatos utilizados 10 %2 Niveles de información en los procesos 10 %
3 Funciones de la Institución y actualizaciones 10 %
4 Personal y usuario de la Institución 10 %
5 Actividades presupuestarias 10 %
6 Personal y usuario para trasferencia de datos 10 %
7 Identificación de áreas criticas 10 %8 Infraestructura 10 %
9 Seguridad de traspaso de datos (notas) 20 %
TOTAL DE PROCENTAJES 100 %
JUSTIFICACION DE PORCENTAJE MAS ALTO.
Seguridad de traspaso de datos (notas)
Es necesario mantener un estado de alerta de la transmisión de datos y actualizaciones
permanentes, la seguridad es un proceso continuo que exige a prender sobre las propias
experiencias.
Auditoria de Sistemas - COESMA Página 10
IDENTIFICACION DE AREAS CRÍTICASÁrea Ponderación1. Hardware 10%2. Software 20%3. Plan de contingencia 20%4. Sistema operativo 20%5. Backups 30%
TOTAL 100%
OBJETIVOS DE LA AUDITORIA
- Determinar si existe un sistema que proporcione los resultados idóneos pertinentes y fiables para la planeación, control y transferencia de datos.
- Efectuar sugerencias que permitan mejorar el control interno de la entidad. Ya que la información puede perderse en la caída de luz eléctrica o perdida de datos dela institución.
- Sugerir la implementación de un Sistema de notas de educación básica.
Auditoria de Sistemas - COESMA Página 11
PRESUPUESTO FINANCIERO
DESCRIPCION CANTIDAD
VALOR A PARGAR
POR MES
INVERCION TOTAL
4 MESES
RECURSOS HUMANOS AUDITOR 2 $600.00 $4800.00 TECNICO INFORMATICO 1 $400.00 $1600.00
RECURSOS MATERIALES PAPELERIA (para toda la auditoria)
RESMA DE PAPEL BOND TAMAÑO CARTA
1 $4.50 $4.50
BOLIGRAFOS 4 $0.20 $0.80 FORDERS TAMAÑO CARTA 10 $0.20 $2.00 ENGRAPADORA 1 $5.00 $5.00
EQUIPO TECNICO COMPUTADORA (MANTENIMIENTO) 1 $25.00 $100.00 PROYECTOR 1 $25.00 $100.00
OTROS VIATICOS (para recursos humanos) 2 $50.00 $400.00
SUBTOTAL $7012.30 IMPREVISTOS (%10) $701.23TOTAL $7713.53
Auditoria de Sistemas - COESMA Página 12
CRONOGRAMA DE ACTIVIDADES
Actividades febrero marzo abril mayo junio
Elaboración de Perfil de Proyecto
Recolección de Información a Auditar 1er
capitulo
Recolección de Información a Auditar 2do
capitulo
Recolección de Información a Auditar 3er
capitulo
Ejecución de auditoria
Revisión de hardware
Revisión de software
Revisión de planes de contingencia
Revisión de sistema operativo
Comprobación de backups
Presentar informe de auditoria
TIPOS DE AMENAZAS
Intercepción
Modificación
Generación
Amenazas naturales o físicas
Amenazas involuntarias
Etapa IIAuditoria de Sistemas - COESMA Página 13
INTRODUCCIÓN
Es una etapa que consiste en el desarrollo de los procedimientos contenidos en los programas de auditoria atreves de las técnicas obtenidas en el proceso de ella misma.
En la Ejecución se presentan las políticas de seguridad de la Institución se describe el alcance de la Auditoria.Donde se reflejan las cinco Áreas críticas identificadas y también se establecen las actividades que se realizaron en la ejecución de la Auditoria reflejadas en el cronograma de actividades.
El contenido de este documento nos brindara información referente al ejecución. El protocolo en hoja de cálculo de Excel dentro de ella misma y a la vez como auditores implementar conocimientos a la planeación que se ha realizara para obtener buenos resultados en dicha auditoria.
Toda la información que porta este documento refleja una breve descripción de lo que se espera desarrollar en el proceso de auditoría.
Auditoria de Sistemas - COESMA Página 14
OBJETIVOS DEL DUCUMENTO
OBJETIVO GENERAL Ejecutar la Auditoria de Sistemas de notas, en el complejo educativo Cantón XXX
XXXXXXXXXXXX.
OBJETIVOS ESPECÍFICOS Aplicar las técnicas y procedimientos, para la obtención de evidencia.
Ejecutar la Auditoria de acuerdo al área identificada.
Establecer las Políticas de Seguridad para salvaguardar la seguridad informática de la institución
Auditoria de Sistemas - COESMA Página 15
PRESENTACIÓN DE POLÍTICAS DE SEGURIDAD
Objetivo: Establecer normas, procedimientos para salvaguardar la seguridad informática de la institución
Las siguientes normas y procedimientos están sujetos a cambios siempre y cuando se garanticen los objetivos de seguridad. Se detallan a continuación los principales criterios:
1.0 PRINCIPIOS/PROCEDIMIENTOS:
1.1 Hardware
Todos los Datos se almacenan en una BD en un servidor en línea. Sólo personal autorizado tiene acceso a la a la BD. El departamento de IT es responsable de mantener etiquetado e
inventariados, todos los CPU’S, Monitores, impresoras y UPS. para tener registro de todos los equipos de IT en la institución.
La instalación deberá ser realizada solo por el personal de IT o al menos supervisado por dicho personal.
Solo el personal de IT está autorizado a reparar y dar el respectivo mantenimiento a un equipo si se es necesario.
El personal de IT velará por el buen funcionamiento y estado de todos los equipos informáticos, previendo revisiones de rutina y limpieza, coordinado con el jefe del departamento para no afectar las labores diarias del departamento al que se le está dando soporte técnico.
1.1.1 Cualquier reasignación de hardware de la empresa deberá de ser estrictamente realizada por el personal de IT, además se supervisará la nueva ubicación, y se actualizará en los respectivos registros. Nadie deberá realizar cambios de ubicación de hardware sin la aprobación del departamento IT.
1.1.2 Asignación de Desktop (computadora de escritorio) o Laptop (Computadora portátil)
El Departamento de IT es el responsable de asignar una Desktop o Laptop al personal evaluando previamente con la aprobación de la gerencia, cual es la ideal para su Desempeño laboral, Responsabilidad y Movilidad.
Auditoria de Sistemas - COESMA Página 16
2.0 SOFTWARE2.1 Software estándar para ser instalado en las PC’s Sistema Operativo (Windows XP, Windows 7) ESET Endpoint Security (Anti Virus) Microsoft Office Adobe Reader Mozilla Firefox Driver de Motherboard (Chipset h61) Driver de impresor Epson
2.2 Sólo el personal del departamento de IT pueden desinstalar o modificar instalaciones de software.
2.3 En caso sea necesario instalar un software no aprobado o no autorizado tendrá que ser consultado con el Jefe de Departamento y posteriormente el personal de IT procederá con la instalación.
2.4 No se permite instalar software pirata en las PC’s. Se tomarán las medidas disciplinarias por la gerencia al detectarse cualquier incumplimiento.
2.0 USO DE INTERNET Y ACCESO A LA RED.
3.1 Toda cuenta de inicio de sesión y la cuenta de correo electrónico tiene que ser solicitada a través de correo electrónico por el Jefe de Departamento y aprobado por la gerencia.
3.2 Uso del correo electrónico El correo electrónico puede sobrecargar los recursos del sistema y de banda ancha.
Por lo tanto debe ser utilizado con fines de trabajo únicamente.
Los usuarios de correo electrónico no deben tomarse el tiempo o la molestia para responder a los correos electrónicos no deseados/solicitados, ya que podría confirmar al remitente quien puede ser un hacker potencial, que la dirección es real (y está siendo leído por una persona real). Por lo tanto dicha acción posiblemente podría abrir la puerta a un virus o un ataque de denegación de servicio.
El personal IT, establecerá un servidor proxy para que el tráfico de red sea más fluido y se pueda acceder a la web.
Auditoria de Sistemas - COESMA Página 17
3.3 Uso de Internet
El Acceso a Internet para cada miembro del personal tiene que ser decidido por el jefe
El Internet debe ser utilizado sólo con fines de trabajo. Descarga de software, música y videos no está permitido en internet sin la
aprobación del personal de IT.
4.0 SEGURIDAD DE INTERNET 4.1 el personal IT, configurará un proxy o filtro web para bloquear sitios web que no
estén permitidos paro los usuarios.Páginas Pornográficas / sexo explícitoJuegosHakingSitios Web Personales (Facebook y otros)Páginas de VideoDescarga de músicaPáginas de Violencia
5.0 BACKUP Y RECUPERACIÓN5.1 Para no perder ningún tipo de información digital, nos aseguraremos de que
sus procedimientos de copia de seguridad permitan una restauración eficaz de la última copia de seguridad del estado.
5.2 El usuario que necesite realizar una copia de seguridad que no se encuentre en las carpetas compartidas, deberá informar al Departamento de IT para realizar las respectivas copias.
5.3 Todo el personal o usuario de todas las computadoras debe ser personalmente responsable de guardar la información en sus respectivas carpetas para que se realice las respectivas copias de seguridad de datos.
5.4 El personal de IT hará revisiones periódicas para asegurar que estos procedimientos continúen apoyando una recuperación oportuna.
5.5 Sólo el personal IT puede realizar la restauración de cualquier documento o restauración del sistema.
Auditoria de Sistemas - COESMA Página 18
6.0 PROTECCIÓN Y SEGURIDAD6.1 Todos los usuarios deberán bloquear su computadora al levantarse de su sitio
de trabajo ya que cuando la pantalla se deja sin bloquear en su ausencia, otros pueden tener la oportunidad de eliminar los archivos de forma accidental.
Todas las PC, ordenadores portátiles y estaciones de trabajo deben estar asegurados con un protector de pantalla protegido por contraseña con la función de activación automática fijada cada 60 segundos.
Después de ingresar erróneamente dos veces la contraseña de seguridad la computadora por seguridad se bloqueará, en este caso deberá informar al personal de IT.
Ningún usuario está permitiendo compartir la contraseña. A menos que se hubiera autorizado, por el jefe del departamento.
La contraseña de usuario debe ser mínimo de 8 caracteres no más de 12.
Es responsabilidad de todos los usuarios ayudar en el ahorro de costos a la institución y aumentar la vida útil de la PC tomando muy en cuenta la seguridad ocupacional de todos.
6.2 No se permite el acceso a la sala de servidores sin autorización de IT. Sólo el personal de IT tiene acceso a la sala de servidores.
Xxx xxx xxxJefe de IT
Auditoria de Sistemas - COESMA Página 19
TECNICAS DE EVALUACION
Entrevista.Una de las mejores actividades de recopilación de información es la entrevista por medios ya que les pueden servir para conocer a figuras de cierta relevancia, También la entrevista puede significar mucho para otras personas. Se trata de una técnica o instrumento del auditor para diversos motivos, investigación e información.
CUESTIONARIOS.
La técnica de los cuestionarios es una técnica de recopilación de datos o información que
nos brinda los auditados, nos brinda información que permite al auditor lograr obtener
toda la información necesaria para la emisión de hechos o sucesos podríamos llamarlo
también evidencia de auditoria.
Permite estudiarla, analizarla y comprenderla. La documentación necesaria brindada por la Institución es una de las mejores, como auditores nos permite saber el problema en general, mediante al uso de los cuestionarios podremos analizar la institución. Pueden ser usados para determinar un sentimiento o problema demostrado por los auditados para
Auditoria de Sistemas - COESMA Página 20
tratar de encontrar todo lo necesario en el cuestionario, tender o recoger cosas importantes antes de que las entrevistas sean realizadas.
ENCUESTA:
Técnica establecida para la recopilación de información de una encuesta de mayor uso en una auditoria en sistemas.Como el servicio, comportamiento utilidades de un equipo, Es la recopilación de datos concretos sobre un tema específico, mediante el uso de cuestionarios o entrevistas diseñados con preguntas precisas para obtener las opiniones de los encuestados, las cuales permiten, después de hacer una rápida tabulación según necesidades.
Observación.
Diversas técnicas y métodos de observación que permiten recolectar directamente la información necesaria sobre el comportamiento del sistema, del área de sistemas y más utilizados para examinar los diferentes aspectos que repercuten el funcionamiento del área de la auditoria informática.
Algunas observaciones que podemos obtener son:
- Observación Directa.- Observación indirecta.- Observación partidaria - Observación no partidaria.
Auditoria de Sistemas - COESMA Página 21
EVIDENCIA FISICA: muestra de materiales, fotos y videos.EVIDENCIA DOCUMENTADA: Registros, encuestas cuestionarios y muestreo.EVIDENCIA ANALITICA: analizar la evidencia situación se encuentra un determinada problema en momento en que se realiza la encuestaEVIDENCIA OCULAR: recopilación de información de lo que se ha visto en el proceso de auditoría.
Auditoria de Sistemas - COESMA Página 22
PAPELES DE TRABAJO
LISTA DE CHEQUEO Página: 1/1
INSTITUCION:
COESMA
Unidad: Tecnología de la InformaciónÁrea: DESEMPEÑO DE LA REDPeríodo Desde: 30 03 2015 Hasta: 15 05 201
5
N° CARACTERÍSTICA A EVALUAR SI NO
1 ¿Se comprobaron los elementos y dispositivos físicos de la plataforma de red? X
2 ¿La cantidad de equipos o nodos está acorde con el diseño y configuración de red? X
3 ¿Existe alguna aplicación cliente servidor en ‐particular que demande recursos y comprometa el desempeño de red?
X
4 ¿Se verificó el ancho de banda de la Red? X
5 ¿Se analizó la tasa de transferencia en la red? X
6 ¿Se comprobó la existencia de pérdidas de paquetes en la red? X
7 ¿Se verificó que la topología estuviese acorde al diseño y requerimientos propios de la red? X
8 Verificación de firewall X
Auditoria de Sistemas - COESMA Página 23
LISTA DE CHEQUEO Página: 1/1
INSTITUCION:
COESMA
Unidad: Tecnología de la InformaciónÁrea: SOFTWARE - HARDWAREPeríodo Desde: 30 03 2015 Hasta: 15 05 2015
N° CARACTERÍSTICA A EVALUAR SI NO
1 Comprobar las licencias de los programas utilizados en la institución X
2 Verificar si el software es el adecuado para el trabajo de la institución X
3 Se comprobaron las tarjetas de res (PCI) y switch X
4 Se verifico todo el cableado de red X
5 Se comprobó la actualización de driver de impresores y red X
6 Se verifico el rendimiento de las PC en uso X
Auditoria de Sistemas - COESMA Página 24
ALCANCE DE LA ADITORIA INFORMÁTICA
El alcance de la auditoria informática se realizará de acuerdo a las áreas críticas identificadas:
ALCANCE DE LA AUDITORIA POR AREASAREA DESCRIPCIONSOFTWARE En esta área se auditara el sistema operativo y las
herramientas ofimáticas, Word, Excel, etc. Además de comprobar si existe alguna instalación de software pirata
HARDWARE Se evaluara que todo el hardware este correctamente instalado y configurado para su correcto funcionamiento.
RED Se comprobara el flojo de datos por la red para evitar perdida de información o mejorar el rendimiento de la misma.
PLANES DE CONTINGENCIA Verificar los planes de contingencia que posee la institución y de no ser así establecer posibles planes a tomar en cuenta para salvaguardar los datos
RESPALDOS (BACKUP) Comprobar si la institución tiene algún método para realizar backups y verificar la eficiencia del proceso.
Auditoria de Sistemas - COESMA Página 25
OBJETIVO DE AUDITORIA
GENERAL
Identificar las áreas críticas y los diferentes riesgos que implican para la institución COESMA, determinar si existe un sistema que proporcione los resultados idóneos, pertinentes y fiables para la planeación, control y transferencia de datos.
ESPECÍFICOS
Efectuar sugerencias que permitan mejorar el control interno de la entidad. Ya que la información puede perderse en la caída de luz eléctrica o perdida de datos dela institución.
Evaluar los riesgos que contienen las diferentes áreas críticas identificadas.
Aplicar los procedimientos, técnicas y métodos para el desarrollo eficiente de la auditoria.
Verificar la capacidad de respuesta de la Empresa ante los riesgos detectados.
Observar el nivel de respuesta del departamento de IT ante los riesgos identificado.
Auditoria de Sistemas - COESMA Página 26
PROGRAMAS DE AUDITORIACOMPLEJO EDUCATIVO
CANTÓN XXX XXXXXXXXXXXXAuditoria a:
Mayo de 2015HARDWARE
Nº Actividad a evaluar Procedimiento de auditoria
Ref. P/T
Hecho por: Fecha
Revisión de hardware (tiempo estimado 2 horas)1 Solicitar
características de pcPedir manuales y características de hardware de las pc
HR01 Luis Domínguez
14/04/15
2 Seleccionar pc para muestra
Seleccionar una pc para examinar físicamente las piezas de hardware
HR02 Luis Domínguez
14/04/15
3 Evaluar las características de hardware de los equipos
Evaluar las características usando una herramienta (software)
HR03 Luis Domínguez
14/04/15
Mantenimiento (tiempo estimado 1 hora)1 Mantenimiento
preventivoVerificar si existen mantenimiento preventivo
MT01 Luis Domínguez
14/04/15
2 Mantenimiento correctivo
Verificar cada cuanto tiempo se da el mantenimiento correctivo
MT02 Luis Domínguez
14/04/15
3 Personal técnico Verificar si existe personal para
MT03 Luis Domínguez
14/04/15
Instalaciones (tiempo estimado 1 hora)1 Inspección de
CableadoRealizar una revisión de las instalaciones eléctricas a fin de garantizar que las mismas son adecuadas para garantizar el buen funcionamiento y
IN01Luis Domínguez
14/04/15
Auditoria de Sistemas - COESMA Página 28
protección de los equipos de cómputo.
2 Inspección de software
Realizar una revisión de las instalaciones de software que se utiliza para el registro de notas de la institución
IN02 Luis Domínguez
14/04/15
COMPLEJO EDUCATIVOCANTÓN XXX XXXXXXXXXXXX
Auditoria a:Mayo de 2015
SOFTWARENº Actividad a evaluar Procedimiento de
auditoriaRef. P/T
Hecho por:
Fecha
SISTEMA Y MODULOS (NOTAS) (TIEMPO ESTIMADO 30 MINUTOS)1 Software utilizado Investigar que software
y que módulos utiliza la institución para sus funciones
SF01 Elmer Granados
14/04/15
2 Manuales de software
Indagar si existen manuales o instructivos de cada modulo
SF02 Elmer Granados
14/04/15
3 Usuario del sistema
Ver el listado de usuarios que pueden acceder al sistema, los roles y permisos de cada usuario
SF03 Elmer Granados
14/04/15
MANTENIMIENTO DE SOFTWARE (TIEMPO ESTIMADO 1 HORA)1 Verificar mejoras o
actualizacionesVerificar si las aplicaciones o módulos han sido actualizados o mejorados por fallas anteriores
SM01 Elmer Granados
14/04/15
2 Verificar licencias Verificar las licencias de las aplicaciones u
SM02 Elmer Granados
14/04/15
Auditoria de Sistemas - COESMA Página 29
módulos que se utilizan
CAPACITACION DE USUARIOS (TIEMPO ESTIMADO 30 MINUTOS)1 Planes de
capacitaciónVerificar si existen planes de capacitación para el uso de las aplicaciones
SC01 Elmer Granados
14/04/15
2 Metodología de las capacitaciones
Investigar la metodologías empleadas en las capacitaciones de los usuarios
SC02 Elmer Granados
14/04/15
3 Capacidad del personal (usuarios del sistema)
Verificar si los usuarios del sistema manejan en su totalidad las aplicaciones necesarias
SC03 Elmer Granados
14/04/15
RIEGOS DE DEPENDENCIAS TECNOLOGICAS (TIEMPO ESTIMADO1 HORA)1 Contrato de
adquisiciónVerificar si existe alguna clausula en el contrato de adquisición que obligue a la institución a hacer uso de la aplicación por un tiempo definido
SR01 Elmer Granados
14/04/15
2 Arquitectura de la aplicación
Verificar si la aplicación o módulos se pueden migrar de plataforma
SR02 Elmer Granados
14/04/15
Auditoria de Sistemas - COESMA Página 30
COMPLEJO EDUCATIVOCANTÓN XXX XXXXXXXXXXXX
Auditoria a:Mayo de 2015
PLAN DE CONTINGENCIASNº Actividad a evaluar Procedimiento de
auditoriaRef. P/T
Hecho por:
Fecha
COMPROBAR SI EXISTEN POLITICAS DE PLANES DE CONTINGENCIA (TIEMPO ESTIMADO 1 HORA)1 Solicitar plan de
contingenciaSolicitar a la gerencia los planes de contingencia ejecutados
PS01 Elmer Granados
15/04/15
PUEBAS DE PLAN DE CONTINGENCIA (TIEMPO ESTIMADO 1 HORA Y MEDIA)1 Realizar simulacro Realizar simulacros con
los usuarios para verificar si los planes de contingencia son adecuados
PP01 Elmer Granados
15/04/15
ACTUALIZACION DE LOS PLANES DE CONTINGENCIA (TIEMPO ESTIMADO 1 HORA)1 Verificación Verificar si se han
realizado actualizaciones al plan de contingencia
PV01 Elmer Granados
15/04/15
COMPLEJO EDUCATIVOCANTÓN XXX XXXXXXXXXXXX
Auditoria a:Mayo de 2015
SISTEMA OPERATIVONº Actividad a
evaluarProcedimiento de auditoria
Ref. P/T
Hecho por: Fecha
SISTEMA OPERATIVO (TIEMPO ESTIMADO 1 HORA)1 Identificación Identificar el sistema
operativo y su arquitectura
OS01 Luis Domínguez
15/04/15
2 Verificar licencias Investigar el tipo de licencia del sistema
OS02 Luis Domíngue
15/04/15
Auditoria de Sistemas - COESMA Página 31
operativo y si este cuenta con una licencia legal
z
3 Aplicaciones instaladas
Solicitar aplicaciones utilizadas por la institución
OS03 Luis Domínguez
15/04/15
COMPLEJO EDUCATIVOCANTÓN XXX XXXXXXXXXXXX
Auditoria a:Mayo de 2015
BACKUPSNº Actividad a evaluar Procedimiento de
auditoriaRef. P/T
Hecho por:
Fecha
POLÍTICAS DE BACKUPS (TIEMPO ESTIMADO 1 HORA)1 Lista de políticas Pedir lista de políticas
implementadas en los Backus
Elmer Granados
15/04/15
2 Restricciones Verificar tipo de
restricciones de
restauración para los
usuarios
Elmer
Granados
15/04/15
COMPROBACION DE BACKUPS (TIEMPO ESTIMADO 30 MINUTOS)1 Verificar backups Verificar método de
respaldo de datosElmer Granados
15/04/15
2 Verificar seguridad Verificar la seguridad de
los backups
Elmer
Granados
RESTAURACION DE BACKUPS (TIEMPO ESTIMADO 1 HORA)1 Método de
restauraciónVerificar los pasos y herramientas para la restauración de backups
Elmer Granados
15/04/15
2 Copias de Backups Verificar las copias de
seguridad
Elmer
Granados
15/04/15
Auditoria de Sistemas - COESMA Página 32
Etapa III
INTRODUCCIÓN
Esta etapa de la auditaría consiste en el desarrollo y la presentación de informes y resultados finales de los procedimientos contenidos en los programas de auditoria atreves de las técnicas obtenidas y realizando diversas tareas en el proceso de ella misma.
El contenido de este documento nos brindará información referente al ejecución. El protocolo en hoja de cálculo de Excel dentro de ella misma y a la vez como auditores implementar conocimientos a la planeación que se ha realizara para obtener buenos resultados en dicha auditoria.
El hallazgo encontrado en la ejecución de la auditoria y la recomendación que damos a la Institución. Este ha sido el resultado de nuestro trabajo, respaldado de la carta de finalización dirigida a la Institución.
Toda la información que porta este documento refleja una breve descripción de la ejecución en la Institución. Teniendo hoy la fase final, comenzamos por ordenar de manera correcta cada punto
Auditoria de Sistemas - COESMA Página 33
OBJETIVOS DEL DUCUMENTO
OBJETIVO GENERAL
Evaluar los hallazgos encontrados en la Auditoria de Sistemas de notas, en el complejo educativo Cantón XXX XXXXXXXXXXXX se analizaron para mostrarlo en el informe final y con sus resultados obtenidos.
OBJETIVOS ESPECÍFICOS
Analizar los hallazgos obtenidos en la Etapa de Ejecución de la Auditoria
Elaborar el informe final de Auditoria realizada en el Complejo Educativo Cantón XXX XXXXXXXXXXXX
Presentar la carta de finalización de procesos de dicha Auditoria y entregas de resultados
Auditoria de Sistemas - COESMA Página 34
ALCANCE DE LA ADITORIA INFORMÁTICA
La ejecución de la Auditoria informática se realizará de acuerdo a las áreas críticas identificadas:
ALCANCE DE LA AUDITORIA POR AREASAREA DESCRIPCIONSOFTWARE Área se auditada fue el sistema operativo y las
herramientas ofimáticas, Word, Excel, etc. Además de comprobar si existe alguna instalación de software pirata
HARDWARE Se evaluó que todo el hardware este correctamente instalado y configurado para su correcto funcionamiento.
RED Se comprobó el flujo de datos por la red para evitar perdida de información o mejorar el rendimiento de la misma.
PLANES DE CONTINGENCIA Se verifico los planes de contingencia que posee la institución y de no ser así establecer posibles planes a tomar en cuenta para salvaguardar los datos
RESPALDOS (BACKUP) Se comprobó si la institución no tiene algún método para realizar backups y verificar la eficiencia del proceso.
Auditoria de Sistemas - COESMA Página 35
OBJETIVO DE AUDITORIA
GENERAL
Analizar los hallazgos obtenidos en la Etapa de Ejecución de la Auditoria, determinar si existe un sistema que proporcione los resultados idóneos, pertinentes y fiables para la planeación, control y transferencia de datos.
ESPECÍFICOS
Emitir sugerencias que permitan mejorar el control interno de la entidad. Ya que la información puede perderse en la caída de luz eléctrica o perdida de datos dela institución.
Presentar el informe y resultados final de Auditoria de Sistemas
Auditoria de Sistemas - COESMA Página 36
RESULTADO DE LA AUDITORIASOFTWARE
SOFTWARE
Evaluación de sistema Operativo
Hallazgo El Sistema Operativo que el Complejo Educativo Cantón XXX XXXXXXXXXXXX
utiliza para llevar su control de notas es Windows 7. Pero en la auditoria de determino que: cada computador tenía variación de idiomas.
El encargado de centro de cómputo en la Institución Educativa manifiesto lo
siguiente: “La mayoría de Instituciones educativas tanto como privadas y/o gubernamentales tienen sistemas Windows 7 deficientes. Por ejemplo el de la Institución Educativa tiene la variación de Idiomas en cada computador.
Riesgo Podrían guardar las notas obtenidas de los alumnos en diferentes hojas de
cálculo o no guardarlas, ya que no todos los sistemas operativos instalados están en castellano.
Recomendación
Poner los sistemas operativos instalados en castellano.
Auditoria de Sistemas - COESMA Página 37
HARDWARE
Verificación soporte técnico en Sistemas
Hallazgo
Solo el encargado de centro de cómputo de la institución está capacitado para dar soporte técnico a las computadoras.
Riesgo
Puede entrar persona no autorizada y mucho menos capacitada manipulando las computadoras de la Institución.
Recomendación
Capacitar más personal o pedir soporte técnico de manera profesional para no tener inconvenientes que puedan perjudicar el comportamiento del software del Sistema Operativo.
Auditoria de Sistemas - COESMA Página 38
REDES
Cambio de contraseña de usuario.
Hallazgo
No hacen cambios de contraseñas en la Institución Educativo
Riesgos
Puede entrar un estudiante al centro de cómputo y poder adivinar contraseña de Administrador/Usuario.
Recomendación
Cambiar contraseñas cada 3 meses como medida de seguridad, podrían usar mayúsculas, minúsculas y números, y no usar contraseñas repetidas anteriormente.
Auditoria de Sistemas - COESMA Página 39
REDES
Verificación y revisiones de cables de Red instalados en institución.
Hallazgo
Con el encargado de centro de cómputo de dicha Institución Educativa se sostuvo una conversación donde se constató que no hay ningún tiempo estipulado para la Red instalada.
Riesgo
Por no tener una política establecida para la verificación de Red, no podrían detectar fácilmente problemas ocasionados por deterioro o mal funcionamiento de la topología de red.
Recomendación
Establecer una política de revisión de cables de red en la Institución Educativa para evitar daños y prejuicios.
Auditoria de Sistemas - COESMA Página 40
PLANES DE CONTINGENCIA
Manuales que indiquen que hacen para prevenir y minimizar daños en sus recursos informáticos que contiene la Institución
Hallazgo
IT no cuenta con manuales tanto como físico ni tampoco virtuales.
Riesgo
Al no poseer manuales de contingencia en caso de emergencia por daño de una computadora no podrán guiarse para minimizarlo
Recomendación
Elaborar un plan de contingencia tanto como físico también virtual que indique como proteger los equipos solucionar problemas o minimizarlos.
Auditoria de Sistemas - COESMA Página 41
RESPALDOS (BACKUP)
Se comprobó si la institución tiene algún método de bsckup/Respaldos
Hallazgo
Se encontró que en la Institución el único Backup que se realiza, es atreves de hojas de cálculo la cual se envía al correo de la secretaria.
Riesgo
Cuando envían la información a sus correos pueden perder parte de dicha información y por no hacer Backups tanto en una PC servidora o guardarla en línea (en la nube).
Recomendación
Al encargado de se le sugirió hacer Backups en una PC servidora o hacerlo en la nube.
Auditoria de Sistemas - COESMA Página 42
ANEXOS
Carta de Finalización
Institución: Complejo Educativo Cantón XXX XXXXXXXXXXXX, San Pedro Masahuat, la Paz.
Sr. Xxx xxx xxx
San Pedro Masahuat, 29 de mayo de 2015
Cargo: Encargado de Centro de Computo
Tenemos el agrado de dirigirnos a su persona a efectos de dar a conocer el alcance
obtenido del trabajo de auditoria de sistema en el área de desarrollo profesional, auditoría
realizada en el periodo entre el periodo del 01 de marzo al 29 de mayo de 2015. Se
formula la siguiente carta de finalización y reviso la documentación a dar presentada.
Sobre la base del análisis y procedimientos detallados de todas las informaciones
recopiladas y emitidas en el presente informe, que a nuestro criterio es razonable.
En síntesis de la revisión realizada encontramos cinco áreas. Y son las siguientes:
1. Software.
2. hardware
3. Redes.
4. Planes de Contingencias.
5. Respaldos Backups.
Teniendo como hallazgos los siguientes puntos:
Software:
El Sistema Operativo que el Complejo Educativo Cantón XXX XXXXXXXXXXXX utiliza para llevar su control de notas es Windows 7. Pero en la auditoria de determino que: cada computador tenía variación de idiomas.
Auditoria de Sistemas - COESMA Página 43
El encargado de centro de cómputo en la Institución Educativa manifiesto lo siguiente: “La mayoría de Instituciones educativas tanto como privadas y/o gubernamentales tienen sistemas Windows 7 deficientes. Por ejemplo el de la Institución Educativa tiene la variación de Idiomas en cada computador.
Hardware
Solo el encargado de centro de cómputo de la institución está capacitado para dar soporte técnico a las computadoras.
El encargado del Centro de computo manifiesta que cada vez que se encarga “x” problema sobre computadoras el centro de cómputo queda solo y no puede darle mantenimiento el solo a las 30 PC`s que tienen en la Institución.
Redes.
Con el encargado de centro de cómputo de dicha Institución Educativa conversamos y nos hiso constar que no hay ningún tiempo estipulado para la Red instalada.
Planes de Contingencias
La Institución no cuenta con manuales, para la protección del equipo informático
realizan lo que estiman conveniente en el momento y ante la emergencia.
RESPALDOS (BACKUP)
Se encontró que en la Institución el único Backup es enviar la hoja de cálculo a
correos electrónicos.
Atentamente:
Domínguez Parada, Luis Antonio.
Elmer Alexander, Granados Maradiaga.
Auditoria de Sistemas - COESMA Página 44
CUESTIONARIO.¿El lugar donde se ubica sistema de alojamiento de datos del Complejo está seguro de
inundaciones, robo o cualquier otra situación que pueda poner en peligro lo equipo?
Si ( )
No (x)
¿Se encuentra el sistema en una superficie sólida y estable o lo más cerca del suelo
posible?
Si (x)
No ( )
¿Está el sistema a salvo de la luz solar excesiva, viento, polvo, agua o temperaturas
extremas de frío / calor?
Si (x)
No ( )
¿Se cuenta con una salida de emergencia donde se encuentra el equipo de alojamiento de
la hoja de cálculo?
Si ( )
No (x)
¿Está el sistema situado en un sitio donde pueda tener un seguimiento, aislado y con poco
tráfico humano?
Si ( )
No (x)
¿Están las puertas cerradas con llave fuera de horario laboral?
Si (x)
No ( )
¿Tiene el personal autorizado acceso a la transferencia de datos a la hoja de cálculo?
Si (x)
Auditoria de Sistemas - COESMA Página 45
No ( )
¿Está el sistema de su infraestructura asegurado contra problemas
eléctrico?
Si ( )
No (x)
¿Existe un control de accesos al CPD? centro de procesamiento de datos
Si ( )
No (x)
¿Están habilitados los puertos USB / lector de tarjetas de los equipos?
Si (x)
No ( )
¿Existe un control sobre los dispositivos de almacenamiento extraíble?
Si ( )
No (x)
¿Hay suficiente iluminación del centro de cómputo?
Si (x)
No ( )
¿La temperatura a la que trabajan el sistema es la adecuada de acuerdo a las normas bajo
las cuales se rige?
Auditoria de Sistemas - COESMA Página 46
Si ( )
No (x)
¿Ha comprobado que no existan parches de seguridad del software y recibe regularmente
las actualizaciones de seguridad o vulnerabilidades del software que utiliza sistema?
Si ( )
No (x)
¿Existe algún otro medio de ventilación aparte de las ventanas sol aire?
Si ( )
No (x)
¿Los equipos o el equipo cuentan con un regulador de energía?
Si ( )
No (x)
¿Los interruptores de energía están debidamente protegidos y sin obstáculos para
Alcanzarlos?
Si (x)
No ( )
¿Se cuenta con alarma contra incendios?
Si ( )
No (x)
¿Qué tipo de mantenimiento realizan en sus quipos?
a. Preventivob. Correctivo
¿Se cuenta con copias de los archivos en lugar distinto al de la computadora?
Si ( )
No (x)
¿Se han instalado equipos que protejan la información y los dispositivos en caso de
variación de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de
energía?
Auditoria de Sistemas - COESMA Página 47
Si ( )
No (x)
GENERALIDAES DE LA INSTITUCIONNOMBRE DE LA INSTITUCION: Complejo
Educativo Cantón XXX XXXXXXXXXXXX
Fecha:
ENTREVISTADO: Xxx xxx xxx Cargo: Depto. IT
ENTREVISTADO: Nelson Ramírez Cargo: Director de la Institución
Pregunta: Si No comentarios
Cuál es el nombre de la Empresa? Complejo Educativo Cantos XXX
XXXXXXXXXXXX (COESMA)
Cuál es la actividad que se realiza
en la Institución? Educativa
Cuantos años tiene la Institución de estar en el
Mercado?21 años
La Institución cuenta con una estructura
Organizada?X
Existen objetivos establecidos en
la Institución? X Si existen
Cuenta la Empresa con misión, visión y
Auditoria de Sistemas - COESMA Página 48
Valores? X Existen
Cuentan con presupuestos y
manuales? X
No existen por ser una
Institución Educativa y eso lo
emitiría El Gobierno.
Existe un control de ingresos y
egresos al sistema? X
Por ser un sistema pequeño
(hoja de cálculo) no tenemos un
control de ingreso y egreso en el
sistema.
SOFTWAREPregunta: Si No comentarios
Que tan frecuentes son las
actualizaciones?
No hay actualizaciones
En qué Idioma está el sistema
Operativo Español
Tiene Antivirus?
X 21 años
Tiene soporte técnico? X Encargado de centro de
Computo
Cuenta con servidores locales o
nube? Local
Cantidad de servidores posee? Una
Es frecuente el mantenimiento?
X Cada 6 meses
Cuentan con un plan anual de
mantenimiento? X No contamos con un plan
exacto, pero se se hacen
Auditoria de Sistemas - COESMA Página 49
mantenimiento preventivo.
Cuál es la cantidad de equipo que posee
Actualmente?30 PC’s
Existen políticas definidas por escrita a la hora de adquirir
nuevos equipos?X
No existen, por ser Institución
Educativa y Gubernamental.
Realizan Back up?
X No se hace por ser una hoja de
cálculo, pero sí se debería hacer
por no tener una pérdida de
datos
¿El cableado se encuentra correctamente Instalado?
X
Según normas de cableado
estructurado si están
correctamente instalados
Poseen manuales de uso?
X No tienen manuales físicos ni
virtuales.
Los manuales están actualizados? X No tienen manuales físicos ni
virtuales
Auditoria de Sistemas - COESMA Página 50
SISTEMAS OPERATIVOSPregunta: Si No comentarios
Que sistemas operativos utilizan en la Institución? Windows 7
Poseen las licencias de los
sistemas operativos? X Por ser un sistema operativo
privativo si tenemos licencia
Que tan frecuentes son las actualizaciones de
Los sistemas operativos?No tenemos tiempo estipulado
Han habido cambios recientes en los sistema operativo?
X
Nosotros trabajamos bajo un
rígido manual que nos da el
gobierno, por eso no podemos
hacer cambios en el sistema
operativo.
Los usuarios están capacitados para el buen uso de los sistemas
operativos?X
Se les da capacitación sobre el
funcionamiento del sistema
operativo.
Auditoria de Sistemas - COESMA Página 51
COMUNICACIONES Y REDESPregunta: Si No comentarios
Quienes son los proveedores de comunicaciones y redes? CLARO
Qué tipo de servicio posee? INTERNET
Que ancho de banda posee? 1M
Cuenta con internet o intranet? INTERNET
Posee internet inalámbrico? X N/A
Que tipos de dispositivos utilizan para la comunicación? TELEFONO
El tipo de cable está diseñado
para el ancho de banda? X Tenemos cable de clase 5
PLANES CONTINGENCIALESPregunta: Si No Comentarios
Cuenta la Institución con planes de contingencia les para minimizar riesgo que amenacen el área de IT
X
Si tenemos, pero lo tenemos
virtual, tendríamos que tenerlo
físico para que todos los que
somos parte de la institución
podamos tener acceso a él.
Los planes contingencia les están
por escritos?
X No, solamente lo tenemos
virtual.
Auditoria de Sistemas - COESMA Página 52
Poseen manuales de acción que
ayuden al personal en eventos
inesperados?
X
No, solamente de contingencia,
pero en un futuro podemos
tener uno a la mano ya sea
virtual y virtual
OUTSOURSINGPregunta: Si No Comentarios
Cuentan con outsoursingX Si poseemos, son los conserjes.
Cual e el plazo del contrato de
outsoursing? INDEFINIDO
Auditoria de Sistemas - COESMA Página 53
BIBLIOGRAFIA
FUENTES DE INFORMACION.
Director del Complejo Educativo.
Encargado de Centro de Computo.
WEBGRAFIA
http://plataformas.uls.edu.sv/mod/url/view.php?id=819
http://plataformas.uls.edu.sv/mod/url/view.php?id=821
http://www.youtube.com/wath?v=IgN3hrS5rJ4
http://www.uovirtual.com.mx/moodle/lecturas/audiadmon1/4.pdf
Auditoria de Sistemas - COESMA Página 56