Auditoria de Sistema de Notas

UNIVERSIDAD LUTERANA SALVADOREÑA

FACULTAD DE CIENCIAS DEL HOMBRE Y LA NATURALEZA

LICENCIATURA EN CIENCIAS DE LA COMPUTACION.

CATEDRA: Auditoria de Sistemas

Ejecución de auditoria

PROYECTO: “Sistema de notas de educación básica”

CATEDRATICO:

Lic. Ana Lissette Girón de Bermúdez

PRESENTADO POR:

NOMBRES CARNET PONDERACIÓNDomínguez Parada, Luis Antonio DP02110151 100%

Granados Maradiaga, Elmer Alexander GM02110987 100%

Auditoria de Sistemas - COESMA Página 1

INDICE

ETAPA I

Introducción..........................................................................................................................4

OBJETIVOS DEL DOCUMENTO...............................................................................................5

DESCRIPCION DE LUGAR.......................................................................................................6

INTRODUCCION DE INFORME...............................................................................................6

ANTECEDENTES DE LA INSTITUCION.....................................................................................6

RESEÑA HISTORICA DE LA INSTITUCUIÓN.....................................................7

ORGANIGRAMA DE LA INSTITUCION..............................................................7

CANTIDAD DE EMPLEADOS DE LA INSTITUCION..........................................8

DETALLE DE DEPARTAMENTO Y ACTIVIDAD QUE SE AUDITARAN.............8

PERSONAL ENCARGADO INVOLUCRADO QUE ATENDERA LA AUDITORIA.

(NOMBRE, CARGO.)...........................................................................................9

EMPLEADO CLAVE DEL DEPARTAMENTO......................................................9

UBICACIÓN DE LA INSTITUCIÓN.......................................................................9

GIRO DE LA INSTITUCIÓN...............................................................................10

PONDERACION POR LOS PUNTOS QUE SERAN EVALUADOS...............................................10

IDENTIFICACION DE AREAS CRÍTICAS.................................................................................10

OBJETIVOS DE LA AUDITORIA........................................................................11

PRESUPUESTO FINANCIERO................................................................................................11

CRONOGRAMA DE ACTIVIDADES........................................................................................13

TIPOS DE AMENAZAS...........................................................................................................13

INTRODUCCIÓN...................................................................................................................14

OBJETIVOS DEL DUCUMENTO.............................................................................................15

OBJETIVO GENERAL........................................................................................15

OBJETIVOS ESPECÍFICOS...............................................................................15

PRESENTACIÓN DE POLÍTICAS DE SEGURIDAD....................................................................16

1.0 PRINCIPIOS/PROCEDIMIENTOS:...........................................................16


2.0 SOFTWARE.................................................................................................17

2.0 USO DE INTERNET Y ACCESO A LA RED.............................................17

4.0 SEGURIDAD DE INTERNET........................................................................18

5.0 BACKUP Y RECUPERACIÓN......................................................................18

6.0 PROTECCIÓN Y SEGURIDAD....................................................................19

TECNICAS DE EVALUACION.................................................................................................20

PAPELES DE TRABAJO..........................................................................................................23

ALCANCE DE LA ADITORIA INFORMÁTICA..........................................................................25

OBJETIVO DE AUDITORIA....................................................................................................26

GENERAL..........................................................................................................26

ESPECÍFICOS....................................................................................................26

CRONOGRAMA DE ACTIVIDADES........................................................................................27

PROGRAMAS DE AUDITORIA...............................................................................................28

INTRODUCCIÓN...................................................................................................................33

OBJETIVOS DEL DUCUMENTO.............................................................................................34

OBJETIVO GENERAL........................................................................................34

OBJETIVOS ESPECÍFICOS...............................................................................34

ALCANCE DE LA ADITORIA INFORMÁTICA..........................................................................35

OBJETIVO DE AUDITORIA....................................................................................................36

GENERAL..........................................................................................................36

ESPECÍFICOS....................................................................................................36

RESULTADO DE LA AUDITORIA............................................................................................37

ANEXOS............................................................................................................................... 43

Carta de Finalización..........................................................................................43

CUESTIONARIO................................................................................................45

GENERALIDAES DE LA INSTITUCION.............................................................48

SOFTWARE.......................................................................................................49

SISTEMAS OPERATIVOS.................................................................................51


COMUNICACIONES Y REDES..........................................................................51

PLANES CONTINGENCIALES..........................................................................52

OUTSOURSING.................................................................................................53

BIBLIOGRAFIA......................................................................................................................55

FUENTES DE INFORMACION...........................................................................55

WEBGRAFIA......................................................................................................55


Etapa I

Introducción

La presente etapa de este documento del proyecto de la asignatura “Auditoria de Sistemas” de la Universidad Luterana Salvadoreña se pretende dar a conocer los diferentes registros y control que lleva sobre lo que se Auditara.

El contenido de este documento nos brindara información referente al Complejo Educativo que se auditara y conocer la herramienta en que se ejecuta el protocolo en hoja de cálculo de Excel dentro de ella misma y a la vez como auditores implementar conocimientos a la planeación que se ha realizara para obtener buenos resultados en dicha auditoria.

Toda la información que porta este documento refleja una breve descripción de lo que se espera desarrollar en el proceso de auditoría.


OBJETIVOS DEL DOCUMENTO

- Brindar y plantear detalladamente el proceso de auditoría que se realizara al Sistema de notas de Educación Básica, en el Complejo Educativo Cantón XXX XXXXXXXXXXXX.

- Revisar y Evaluar las hojas de cálculos del sistema y procedimientos de informática del Sistema, su utilización, eficiencia y seguridad, de la Institución

- Conocer el procedimiento de la información de dicha institución, a fin de darle una auditoria de buen empeño y buena estrategia a una utilización más eficiente y segura de la información.


DESCRIPCION DE LUGAR

La auditoría a realizarse se hará en Complejo Educativo Cantón XXX XXXXXXXXXXXX Institución que se dedica a la Educación Primaria y secundaria, se encuentra en el Departamento de La Paz en el Municipio de San Pedro Masahuat, Cantón XXX XXXXXXXXXXXX.

INTRODUCCION DE INFORMEDeterminar las posibles vulnerabilidades del sistema y plataforma tecnológicas utilizadas

en el Complejo Educativo Cantón XXX XXXXXXXXXXXX, con el fin de hacer las

recomendaciones que dieran lugar.

ANTECEDENTES DE LA INSTITUCION.

RESEÑA HISTORICA DE LA INSTITUCUIÓNFundada en el año 2001 como Complejo Educativo Cantón XXX XXXXXXXXXXXX.

Anteriormente era llamada como Escuela Rural Mixta Cantón XXX XXXXXXXXXXXX, dirigida

por el señor Roberto Guerrero (Q.D.D.G) de dicha institución.

Luego paso a cargo del señor Nelson Antonio Ramírez López que se desempeña como

director de la Institución actualmente, desde el año 2001 la institución se ha

engrandecido tanto en población y en Educación.

El Complejo Educativo también cuenta de kínder 5 hasta con Educación Media

Bachillerato en opción contabilidad, en el 2003 el Complejo Educativo Cantón XXX

XXXXXXXXXXXX se vistió de gala en entregar su primera de promoción de Bachilleres en

Opción Contaduría.

Y así sucesivamente el Complejo Educativo Cantón XXX XXXXXXXXXXXX cada año se viste

de gala para promociones de Bachilleres.


ORGANIGRAMA DE LA INSTITUCION.

CANTIDAD DE EMPLEADOS DE LA INSTITUCION.

Profesores 18

Conserjes 2_

Total Empleados 20


DETALLE DE DEPARTAMENTO Y ACTIVIDAD QUE SE AUDITARAN.

Se auditara el sistema de notas de primero y segundo ciclo (educación media)

El área a auditar y evaluar es el “sistema de notas de educación básica” que maneja. El Complejo Educativo Cantón XXX XXXXXXXXXXXX a fin de comprobar cada uno de los procesos y cálculos de las notas de los alumnos sea segura y ordenada, y que la información que servirá para una adecuada toma y compilación de datos dentro de la Institución y su sistema diseñada en una hoja de cálculo.

PERSONAL ENCARGADO INVOLUCRADO QUE ATENDERA LA AUDITORIA. (NOMBRE, CARGO.)

Cargo Nº de personal Nombres

Director de Institución Educativa 1 Nelson Antonio Ramírez López

Encargado de Centro de Cómputo 1 Xxx xxx xxx.

EMPLEADO CLAVE DEL DEPARTAMENTO.

La persona clave para el correspondiente examen de análisis en el proceso de la Auditoria

Informática es el Sr.

Xxx xxx xxx, encargado de centro de cómputo


UBICACIÓN DE LA INSTITUCIÓN.

Complejo Educativo Cantón XXX XXXXXXXXXXXX está situado del en Costa del Sol km 60

en el departamento de La Paz, en el Municipio de San Pedro Masahuat.

GIRO DE LA INSTITUCIÓN.

El giro que realiza la Institución de XXX XXXXXXXXXXXX es EDUCATIVO

PONDERACION POR LOS PUNTOS QUE SERAN EVALUADOS

Nº Factores primarios ponderados Porcentajes

1 Utilización de formatos utilizados 10 %2 Niveles de información en los procesos 10 %

3 Funciones de la Institución y actualizaciones 10 %

4 Personal y usuario de la Institución 10 %

5 Actividades presupuestarias 10 %

6 Personal y usuario para trasferencia de datos 10 %

7 Identificación de áreas criticas 10 %8 Infraestructura 10 %

9 Seguridad de traspaso de datos (notas) 20 %

TOTAL DE PROCENTAJES 100 %

JUSTIFICACION DE PORCENTAJE MAS ALTO.

Seguridad de traspaso de datos (notas)

Es necesario mantener un estado de alerta de la transmisión de datos y actualizaciones

permanentes, la seguridad es un proceso continuo que exige a prender sobre las propias

experiencias.


IDENTIFICACION DE AREAS CRÍTICASÁrea Ponderación1. Hardware 10%2. Software 20%3. Plan de contingencia 20%4. Sistema operativo 20%5. Backups 30%

TOTAL 100%

OBJETIVOS DE LA AUDITORIA

- Determinar si existe un sistema que proporcione los resultados idóneos pertinentes y fiables para la planeación, control y transferencia de datos.

- Efectuar sugerencias que permitan mejorar el control interno de la entidad. Ya que la información puede perderse en la caída de luz eléctrica o perdida de datos dela institución.

- Sugerir la implementación de un Sistema de notas de educación básica.


PRESUPUESTO FINANCIERO

DESCRIPCION CANTIDAD

VALOR A PARGAR

POR MES

INVERCION TOTAL

4 MESES

RECURSOS HUMANOS AUDITOR 2 $600.00 $4800.00 TECNICO INFORMATICO 1 $400.00 $1600.00

RECURSOS MATERIALES PAPELERIA (para toda la auditoria)

RESMA DE PAPEL BOND TAMAÑO CARTA

1 $4.50 $4.50

BOLIGRAFOS 4 $0.20 $0.80 FORDERS TAMAÑO CARTA 10 $0.20 $2.00 ENGRAPADORA 1 $5.00 $5.00

EQUIPO TECNICO COMPUTADORA (MANTENIMIENTO) 1 $25.00 $100.00 PROYECTOR 1 $25.00 $100.00

OTROS VIATICOS (para recursos humanos) 2 $50.00 $400.00

SUBTOTAL $7012.30 IMPREVISTOS (%10) $701.23TOTAL $7713.53


CRONOGRAMA DE ACTIVIDADES

Actividades febrero marzo abril mayo junio

Elaboración de Perfil de Proyecto

Recolección de Información a Auditar 1er

capitulo

Recolección de Información a Auditar 2do

capitulo

Recolección de Información a Auditar 3er

capitulo

Ejecución de auditoria

Revisión de hardware

Revisión de software

Revisión de planes de contingencia

Revisión de sistema operativo

Comprobación de backups

Presentar informe de auditoria

TIPOS DE AMENAZAS

Intercepción

Modificación

Generación

Amenazas naturales o físicas

Amenazas involuntarias

Etapa IIAuditoria de Sistemas - COESMA Página 13

INTRODUCCIÓN

Es una etapa que consiste en el desarrollo de los procedimientos contenidos en los programas de auditoria atreves de las técnicas obtenidas en el proceso de ella misma.

En la Ejecución se presentan las políticas de seguridad de la Institución se describe el alcance de la Auditoria.Donde se reflejan las cinco Áreas críticas identificadas y también se establecen las actividades que se realizaron en la ejecución de la Auditoria reflejadas en el cronograma de actividades.

El contenido de este documento nos brindara información referente al ejecución. El protocolo en hoja de cálculo de Excel dentro de ella misma y a la vez como auditores implementar conocimientos a la planeación que se ha realizara para obtener buenos resultados en dicha auditoria.

Toda la información que porta este documento refleja una breve descripción de lo que se espera desarrollar en el proceso de auditoría.


OBJETIVOS DEL DUCUMENTO

OBJETIVO GENERAL Ejecutar la Auditoria de Sistemas de notas, en el complejo educativo Cantón XXX

XXXXXXXXXXXX.

OBJETIVOS ESPECÍFICOS Aplicar las técnicas y procedimientos, para la obtención de evidencia.

Ejecutar la Auditoria de acuerdo al área identificada.

Establecer las Políticas de Seguridad para salvaguardar la seguridad informática de la institución


PRESENTACIÓN DE POLÍTICAS DE SEGURIDAD

Objetivo: Establecer normas, procedimientos para salvaguardar la seguridad informática de la institución

Las siguientes normas y procedimientos están sujetos a cambios siempre y cuando se garanticen los objetivos de seguridad. Se detallan a continuación los principales criterios:

1.0 PRINCIPIOS/PROCEDIMIENTOS:

1.1 Hardware

Todos los Datos se almacenan en una BD en un servidor en línea. Sólo personal autorizado tiene acceso a la a la BD. El departamento de IT es responsable de mantener etiquetado e

inventariados, todos los CPU’S, Monitores, impresoras y UPS. para tener registro de todos los equipos de IT en la institución.

La instalación deberá ser realizada solo por el personal de IT o al menos supervisado por dicho personal.

Solo el personal de IT está autorizado a reparar y dar el respectivo mantenimiento a un equipo si se es necesario.

El personal de IT velará por el buen funcionamiento y estado de todos los equipos informáticos, previendo revisiones de rutina y limpieza, coordinado con el jefe del departamento para no afectar las labores diarias del departamento al que se le está dando soporte técnico.

1.1.1 Cualquier reasignación de hardware de la empresa deberá de ser estrictamente realizada por el personal de IT, además se supervisará la nueva ubicación, y se actualizará en los respectivos registros. Nadie deberá realizar cambios de ubicación de hardware sin la aprobación del departamento IT.

1.1.2 Asignación de Desktop (computadora de escritorio) o Laptop (Computadora portátil)

El Departamento de IT es el responsable de asignar una Desktop o Laptop al personal evaluando previamente con la aprobación de la gerencia, cual es la ideal para su Desempeño laboral, Responsabilidad y Movilidad.


2.0 SOFTWARE2.1 Software estándar para ser instalado en las PC’s Sistema Operativo (Windows XP, Windows 7) ESET Endpoint Security (Anti Virus) Microsoft Office Adobe Reader Mozilla Firefox Driver de Motherboard (Chipset h61) Driver de impresor Epson

2.2 Sólo el personal del departamento de IT pueden desinstalar o modificar instalaciones de software.

2.3 En caso sea necesario instalar un software no aprobado o no autorizado tendrá que ser consultado con el Jefe de Departamento y posteriormente el personal de IT procederá con la instalación.

2.4 No se permite instalar software pirata en las PC’s. Se tomarán las medidas disciplinarias por la gerencia al detectarse cualquier incumplimiento.

2.0 USO DE INTERNET Y ACCESO A LA RED.

3.1 Toda cuenta de inicio de sesión y la cuenta de correo electrónico tiene que ser solicitada a través de correo electrónico por el Jefe de Departamento y aprobado por la gerencia.

3.2 Uso del correo electrónico El correo electrónico puede sobrecargar los recursos del sistema y de banda ancha.

Por lo tanto debe ser utilizado con fines de trabajo únicamente.

Los usuarios de correo electrónico no deben tomarse el tiempo o la molestia para responder a los correos electrónicos no deseados/solicitados, ya que podría confirmar al remitente quien puede ser un hacker potencial, que la dirección es real (y está siendo leído por una persona real). Por lo tanto dicha acción posiblemente podría abrir la puerta a un virus o un ataque de denegación de servicio.

El personal IT, establecerá un servidor proxy para que el tráfico de red sea más fluido y se pueda acceder a la web.


http://descargas.eset.es/eset-endpoint-security-5

3.3 Uso de Internet

El Acceso a Internet para cada miembro del personal tiene que ser decidido por el jefe

El Internet debe ser utilizado sólo con fines de trabajo. Descarga de software, música y videos no está permitido en internet sin la

aprobación del personal de IT.

4.0 SEGURIDAD DE INTERNET 4.1 el personal IT, configurará un proxy o filtro web para bloquear sitios web que no

estén permitidos paro los usuarios.Páginas Pornográficas / sexo explícitoJuegosHakingSitios Web Personales (Facebook y otros)Páginas de VideoDescarga de músicaPáginas de Violencia

5.0 BACKUP Y RECUPERACIÓN5.1 Para no perder ningún tipo de información digital, nos aseguraremos de que

sus procedimientos de copia de seguridad permitan una restauración eficaz de la última copia de seguridad del estado.

5.2 El usuario que necesite realizar una copia de seguridad que no se encuentre en las carpetas compartidas, deberá informar al Departamento de IT para realizar las respectivas copias.

5.3 Todo el personal o usuario de todas las computadoras debe ser personalmente responsable de guardar la información en sus respectivas carpetas para que se realice las respectivas copias de seguridad de datos.

5.4 El personal de IT hará revisiones periódicas para asegurar que estos procedimientos continúen apoyando una recuperación oportuna.

5.5 Sólo el personal IT puede realizar la restauración de cualquier documento o restauración del sistema.


6.0 PROTECCIÓN Y SEGURIDAD6.1 Todos los usuarios deberán bloquear su computadora al levantarse de su sitio

de trabajo ya que cuando la pantalla se deja sin bloquear en su ausencia, otros pueden tener la oportunidad de eliminar los archivos de forma accidental.

Todas las PC, ordenadores portátiles y estaciones de trabajo deben estar asegurados con un protector de pantalla protegido por contraseña con la función de activación automática fijada cada 60 segundos.

Después de ingresar erróneamente dos veces la contraseña de seguridad la computadora por seguridad se bloqueará, en este caso deberá informar al personal de IT.

Ningún usuario está permitiendo compartir la contraseña. A menos que se hubiera autorizado, por el jefe del departamento.

La contraseña de usuario debe ser mínimo de 8 caracteres no más de 12.

Es responsabilidad de todos los usuarios ayudar en el ahorro de costos a la institución y aumentar la vida útil de la PC tomando muy en cuenta la seguridad ocupacional de todos.

6.2 No se permite el acceso a la sala de servidores sin autorización de IT. Sólo el personal de IT tiene acceso a la sala de servidores.

Xxx xxx xxxJefe de IT


TECNICAS DE EVALUACION

Entrevista.Una de las mejores actividades de recopilación de información es la entrevista por medios ya que les pueden servir para conocer a figuras de cierta relevancia, También la entrevista puede significar mucho para otras personas. Se trata de una técnica o instrumento del auditor para diversos motivos, investigación e información.

CUESTIONARIOS.

La técnica de los cuestionarios es una técnica de recopilación de datos o información que

nos brinda los auditados, nos brinda información que permite al auditor lograr obtener

toda la información necesaria para la emisión de hechos o sucesos podríamos llamarlo

también evidencia de auditoria.

Permite estudiarla, analizarla y comprenderla. La documentación necesaria brindada por la Institución es una de las mejores, como auditores nos permite saber el problema en general, mediante al uso de los cuestionarios podremos analizar la institución. Pueden ser usados para determinar un sentimiento o problema demostrado por los auditados para


tratar de encontrar todo lo necesario en el cuestionario, tender o recoger cosas importantes antes de que las entrevistas sean realizadas.

ENCUESTA:

Técnica establecida para la recopilación de información de una encuesta de mayor uso en una auditoria en sistemas.Como el servicio, comportamiento utilidades de un equipo, Es la recopilación de datos concretos sobre un tema específico, mediante el uso de cuestionarios o entrevistas diseñados con preguntas precisas para obtener las opiniones de los encuestados, las cuales permiten, después de hacer una rápida tabulación según necesidades.

Observación.

Diversas técnicas y métodos de observación que permiten recolectar directamente la información necesaria sobre el comportamiento del sistema, del área de sistemas y más utilizados para examinar los diferentes aspectos que repercuten el funcionamiento del área de la auditoria informática.

Algunas observaciones que podemos obtener son:

- Observación Directa.- Observación indirecta.- Observación partidaria - Observación no partidaria.


EVIDENCIA FISICA: muestra de materiales, fotos y videos.EVIDENCIA DOCUMENTADA: Registros, encuestas cuestionarios y muestreo.EVIDENCIA ANALITICA: analizar la evidencia situación se encuentra un determinada problema en momento en que se realiza la encuestaEVIDENCIA OCULAR: recopilación de información de lo que se ha visto en el proceso de auditoría.


PAPELES DE TRABAJO

LISTA DE CHEQUEO Página: 1/1

INSTITUCION:

COESMA

Unidad: Tecnología de la InformaciónÁrea: DESEMPEÑO DE LA REDPeríodo Desde: 30 03 2015 Hasta: 15 05 201

5

N° CARACTERÍSTICA A EVALUAR SI NO

1 ¿Se comprobaron los elementos y dispositivos físicos de la plataforma de red? X

2 ¿La cantidad de equipos o nodos está acorde con el diseño y configuración de red? X

3 ¿Existe alguna aplicación cliente servidor en ‐particular que demande recursos y comprometa el desempeño de red?

X

4 ¿Se verificó el ancho de banda de la Red? X

5 ¿Se analizó la tasa de transferencia en la red? X

6 ¿Se comprobó la existencia de pérdidas de paquetes en la red? X

7 ¿Se verificó que la topología estuviese acorde al diseño y requerimientos propios de la red? X

8 Verificación de firewall X


LISTA DE CHEQUEO Página: 1/1

INSTITUCION:

COESMA

Unidad: Tecnología de la InformaciónÁrea: SOFTWARE - HARDWAREPeríodo Desde: 30 03 2015 Hasta: 15 05 2015

N° CARACTERÍSTICA A EVALUAR SI NO

1 Comprobar las licencias de los programas utilizados en la institución X

2 Verificar si el software es el adecuado para el trabajo de la institución X

3 Se comprobaron las tarjetas de res (PCI) y switch X

4 Se verifico todo el cableado de red X

5 Se comprobó la actualización de driver de impresores y red X

6 Se verifico el rendimiento de las PC en uso X


ALCANCE DE LA ADITORIA INFORMÁTICA

El alcance de la auditoria informática se realizará de acuerdo a las áreas críticas identificadas:

ALCANCE DE LA AUDITORIA POR AREASAREA DESCRIPCIONSOFTWARE En esta área se auditara el sistema operativo y las

herramientas ofimáticas, Word, Excel, etc. Además de comprobar si existe alguna instalación de software pirata

HARDWARE Se evaluara que todo el hardware este correctamente instalado y configurado para su correcto funcionamiento.

RED Se comprobara el flojo de datos por la red para evitar perdida de información o mejorar el rendimiento de la misma.

PLANES DE CONTINGENCIA Verificar los planes de contingencia que posee la institución y de no ser así establecer posibles planes a tomar en cuenta para salvaguardar los datos

RESPALDOS (BACKUP) Comprobar si la institución tiene algún método para realizar backups y verificar la eficiencia del proceso.


OBJETIVO DE AUDITORIA

GENERAL

Identificar las áreas críticas y los diferentes riesgos que implican para la institución COESMA, determinar si existe un sistema que proporcione los resultados idóneos, pertinentes y fiables para la planeación, control y transferencia de datos.

ESPECÍFICOS

Efectuar sugerencias que permitan mejorar el control interno de la entidad. Ya que la información puede perderse en la caída de luz eléctrica o perdida de datos dela institución.

Evaluar los riesgos que contienen las diferentes áreas críticas identificadas.

Aplicar los procedimientos, técnicas y métodos para el desarrollo eficiente de la auditoria.

Verificar la capacidad de respuesta de la Empresa ante los riesgos detectados.

Observar el nivel de respuesta del departamento de IT ante los riesgos identificado.


CRONOGRAMA DE ACTIVIDADES


PROGRAMAS DE AUDITORIACOMPLEJO EDUCATIVO

CANTÓN XXX XXXXXXXXXXXXAuditoria a:

Mayo de 2015HARDWARE

Nº Actividad a evaluar Procedimiento de auditoria

Ref. P/T

Hecho por: Fecha

Revisión de hardware (tiempo estimado 2 horas)1 Solicitar

características de pcPedir manuales y características de hardware de las pc

HR01 Luis Domínguez

14/04/15

2 Seleccionar pc para muestra

Seleccionar una pc para examinar físicamente las piezas de hardware


14/04/15

3 Evaluar las características de hardware de los equipos

Evaluar las características usando una herramienta (software)


14/04/15

Mantenimiento (tiempo estimado 1 hora)1 Mantenimiento

preventivoVerificar si existen mantenimiento preventivo

MT01 Luis Domínguez

14/04/15

2 Mantenimiento correctivo

Verificar cada cuanto tiempo se da el mantenimiento correctivo


14/04/15

3 Personal técnico Verificar si existe personal para


14/04/15

Instalaciones (tiempo estimado 1 hora)1 Inspección de

CableadoRealizar una revisión de las instalaciones eléctricas a fin de garantizar que las mismas son adecuadas para garantizar el buen funcionamiento y

IN01Luis Domínguez

14/04/15


protección de los equipos de cómputo.

2 Inspección de software

Realizar una revisión de las instalaciones de software que se utiliza para el registro de notas de la institución

IN02 Luis Domínguez

14/04/15

COMPLEJO EDUCATIVOCANTÓN XXX XXXXXXXXXXXX

Auditoria a:Mayo de 2015

SOFTWARENº Actividad a evaluar Procedimiento de

auditoriaRef. P/T

Hecho por:

Fecha

SISTEMA Y MODULOS (NOTAS) (TIEMPO ESTIMADO 30 MINUTOS)1 Software utilizado Investigar que software

y que módulos utiliza la institución para sus funciones

SF01 Elmer Granados

14/04/15

2 Manuales de software

Indagar si existen manuales o instructivos de cada modulo

SF02 Elmer Granados

14/04/15

3 Usuario del sistema

Ver el listado de usuarios que pueden acceder al sistema, los roles y permisos de cada usuario

SF03 Elmer Granados

14/04/15

MANTENIMIENTO DE SOFTWARE (TIEMPO ESTIMADO 1 HORA)1 Verificar mejoras o

actualizacionesVerificar si las aplicaciones o módulos han sido actualizados o mejorados por fallas anteriores

SM01 Elmer Granados

14/04/15

2 Verificar licencias Verificar las licencias de las aplicaciones u

SM02 Elmer Granados

14/04/15


módulos que se utilizan

CAPACITACION DE USUARIOS (TIEMPO ESTIMADO 30 MINUTOS)1 Planes de

capacitaciónVerificar si existen planes de capacitación para el uso de las aplicaciones

SC01 Elmer Granados

14/04/15

2 Metodología de las capacitaciones

Investigar la metodologías empleadas en las capacitaciones de los usuarios

SC02 Elmer Granados

14/04/15

3 Capacidad del personal (usuarios del sistema)

Verificar si los usuarios del sistema manejan en su totalidad las aplicaciones necesarias

SC03 Elmer Granados

14/04/15

RIEGOS DE DEPENDENCIAS TECNOLOGICAS (TIEMPO ESTIMADO1 HORA)1 Contrato de

adquisiciónVerificar si existe alguna clausula en el contrato de adquisición que obligue a la institución a hacer uso de la aplicación por un tiempo definido

SR01 Elmer Granados

14/04/15

2 Arquitectura de la aplicación

Verificar si la aplicación o módulos se pueden migrar de plataforma

SR02 Elmer Granados

14/04/15




PLAN DE CONTINGENCIASNº Actividad a evaluar Procedimiento de

auditoriaRef. P/T

Hecho por:

Fecha

COMPROBAR SI EXISTEN POLITICAS DE PLANES DE CONTINGENCIA (TIEMPO ESTIMADO 1 HORA)1 Solicitar plan de

contingenciaSolicitar a la gerencia los planes de contingencia ejecutados

PS01 Elmer Granados

15/04/15

PUEBAS DE PLAN DE CONTINGENCIA (TIEMPO ESTIMADO 1 HORA Y MEDIA)1 Realizar simulacro Realizar simulacros con

los usuarios para verificar si los planes de contingencia son adecuados

PP01 Elmer Granados

15/04/15

ACTUALIZACION DE LOS PLANES DE CONTINGENCIA (TIEMPO ESTIMADO 1 HORA)1 Verificación Verificar si se han

realizado actualizaciones al plan de contingencia

PV01 Elmer Granados

15/04/15



SISTEMA OPERATIVONº Actividad a

evaluarProcedimiento de auditoria

Ref. P/T

Hecho por: Fecha

SISTEMA OPERATIVO (TIEMPO ESTIMADO 1 HORA)1 Identificación Identificar el sistema

operativo y su arquitectura

OS01 Luis Domínguez

15/04/15

2 Verificar licencias Investigar el tipo de licencia del sistema

OS02 Luis Domíngue

15/04/15


operativo y si este cuenta con una licencia legal

z

3 Aplicaciones instaladas

Solicitar aplicaciones utilizadas por la institución

OS03 Luis Domínguez

15/04/15



BACKUPSNº Actividad a evaluar Procedimiento de

auditoriaRef. P/T

Hecho por:

Fecha

POLÍTICAS DE BACKUPS (TIEMPO ESTIMADO 1 HORA)1 Lista de políticas Pedir lista de políticas

implementadas en los Backus

Elmer Granados

15/04/15

2 Restricciones Verificar tipo de

restricciones de

restauración para los

usuarios

Elmer

Granados

15/04/15

COMPROBACION DE BACKUPS (TIEMPO ESTIMADO 30 MINUTOS)1 Verificar backups Verificar método de

respaldo de datosElmer Granados

15/04/15

2 Verificar seguridad Verificar la seguridad de

los backups

Elmer

Granados

RESTAURACION DE BACKUPS (TIEMPO ESTIMADO 1 HORA)1 Método de

restauraciónVerificar los pasos y herramientas para la restauración de backups

Elmer Granados

15/04/15

2 Copias de Backups Verificar las copias de

seguridad

Elmer

Granados

15/04/15


Etapa III

INTRODUCCIÓN

Esta etapa de la auditaría consiste en el desarrollo y la presentación de informes y resultados finales de los procedimientos contenidos en los programas de auditoria atreves de las técnicas obtenidas y realizando diversas tareas en el proceso de ella misma.

El contenido de este documento nos brindará información referente al ejecución. El protocolo en hoja de cálculo de Excel dentro de ella misma y a la vez como auditores implementar conocimientos a la planeación que se ha realizara para obtener buenos resultados en dicha auditoria.

El hallazgo encontrado en la ejecución de la auditoria y la recomendación que damos a la Institución. Este ha sido el resultado de nuestro trabajo, respaldado de la carta de finalización dirigida a la Institución.

Toda la información que porta este documento refleja una breve descripción de la ejecución en la Institución. Teniendo hoy la fase final, comenzamos por ordenar de manera correcta cada punto


OBJETIVOS DEL DUCUMENTO

OBJETIVO GENERAL

Evaluar los hallazgos encontrados en la Auditoria de Sistemas de notas, en el complejo educativo Cantón XXX XXXXXXXXXXXX se analizaron para mostrarlo en el informe final y con sus resultados obtenidos.

OBJETIVOS ESPECÍFICOS

Analizar los hallazgos obtenidos en la Etapa de Ejecución de la Auditoria

Elaborar el informe final de Auditoria realizada en el Complejo Educativo Cantón XXX XXXXXXXXXXXX

Presentar la carta de finalización de procesos de dicha Auditoria y entregas de resultados


ALCANCE DE LA ADITORIA INFORMÁTICA

La ejecución de la Auditoria informática se realizará de acuerdo a las áreas críticas identificadas:

ALCANCE DE LA AUDITORIA POR AREASAREA DESCRIPCIONSOFTWARE Área se auditada fue el sistema operativo y las

herramientas ofimáticas, Word, Excel, etc. Además de comprobar si existe alguna instalación de software pirata

HARDWARE Se evaluó que todo el hardware este correctamente instalado y configurado para su correcto funcionamiento.

RED Se comprobó el flujo de datos por la red para evitar perdida de información o mejorar el rendimiento de la misma.

PLANES DE CONTINGENCIA Se verifico los planes de contingencia que posee la institución y de no ser así establecer posibles planes a tomar en cuenta para salvaguardar los datos

RESPALDOS (BACKUP) Se comprobó si la institución no tiene algún método para realizar backups y verificar la eficiencia del proceso.


OBJETIVO DE AUDITORIA

GENERAL

Analizar los hallazgos obtenidos en la Etapa de Ejecución de la Auditoria, determinar si existe un sistema que proporcione los resultados idóneos, pertinentes y fiables para la planeación, control y transferencia de datos.

ESPECÍFICOS

Emitir sugerencias que permitan mejorar el control interno de la entidad. Ya que la información puede perderse en la caída de luz eléctrica o perdida de datos dela institución.

Presentar el informe y resultados final de Auditoria de Sistemas


RESULTADO DE LA AUDITORIASOFTWARE

SOFTWARE

Evaluación de sistema Operativo

Hallazgo El Sistema Operativo que el Complejo Educativo Cantón XXX XXXXXXXXXXXX

utiliza para llevar su control de notas es Windows 7. Pero en la auditoria de determino que: cada computador tenía variación de idiomas.

El encargado de centro de cómputo en la Institución Educativa manifiesto lo

siguiente: “La mayoría de Instituciones educativas tanto como privadas y/o gubernamentales tienen sistemas Windows 7 deficientes. Por ejemplo el de la Institución Educativa tiene la variación de Idiomas en cada computador.

Riesgo Podrían guardar las notas obtenidas de los alumnos en diferentes hojas de

cálculo o no guardarlas, ya que no todos los sistemas operativos instalados están en castellano.

Recomendación

Poner los sistemas operativos instalados en castellano.


HARDWARE

Verificación soporte técnico en Sistemas

Hallazgo

Solo el encargado de centro de cómputo de la institución está capacitado para dar soporte técnico a las computadoras.

Riesgo

Puede entrar persona no autorizada y mucho menos capacitada manipulando las computadoras de la Institución.

Recomendación

Capacitar más personal o pedir soporte técnico de manera profesional para no tener inconvenientes que puedan perjudicar el comportamiento del software del Sistema Operativo.


REDES

Cambio de contraseña de usuario.

Hallazgo

No hacen cambios de contraseñas en la Institución Educativo

Riesgos

Puede entrar un estudiante al centro de cómputo y poder adivinar contraseña de Administrador/Usuario.

Recomendación

Cambiar contraseñas cada 3 meses como medida de seguridad, podrían usar mayúsculas, minúsculas y números, y no usar contraseñas repetidas anteriormente.


REDES

Verificación y revisiones de cables de Red instalados en institución.

Hallazgo

Con el encargado de centro de cómputo de dicha Institución Educativa se sostuvo una conversación donde se constató que no hay ningún tiempo estipulado para la Red instalada.

Riesgo

Por no tener una política establecida para la verificación de Red, no podrían detectar fácilmente problemas ocasionados por deterioro o mal funcionamiento de la topología de red.

Recomendación

Establecer una política de revisión de cables de red en la Institución Educativa para evitar daños y prejuicios.


PLANES DE CONTINGENCIA

Manuales que indiquen que hacen para prevenir y minimizar daños en sus recursos informáticos que contiene la Institución

Hallazgo

IT no cuenta con manuales tanto como físico ni tampoco virtuales.

Riesgo

Al no poseer manuales de contingencia en caso de emergencia por daño de una computadora no podrán guiarse para minimizarlo

Recomendación

Elaborar un plan de contingencia tanto como físico también virtual que indique como proteger los equipos solucionar problemas o minimizarlos.


RESPALDOS (BACKUP)

Se comprobó si la institución tiene algún método de bsckup/Respaldos

Hallazgo

Se encontró que en la Institución el único Backup que se realiza, es atreves de hojas de cálculo la cual se envía al correo de la secretaria.

Riesgo

Cuando envían la información a sus correos pueden perder parte de dicha información y por no hacer Backups tanto en una PC servidora o guardarla en línea (en la nube).

Recomendación

Al encargado de se le sugirió hacer Backups en una PC servidora o hacerlo en la nube.


ANEXOS

Carta de Finalización

Institución: Complejo Educativo Cantón XXX XXXXXXXXXXXX, San Pedro Masahuat, la Paz.

Sr. Xxx xxx xxx

San Pedro Masahuat, 29 de mayo de 2015

Cargo: Encargado de Centro de Computo

Tenemos el agrado de dirigirnos a su persona a efectos de dar a conocer el alcance

obtenido del trabajo de auditoria de sistema en el área de desarrollo profesional, auditoría

realizada en el periodo entre el periodo del 01 de marzo al 29 de mayo de 2015. Se

formula la siguiente carta de finalización y reviso la documentación a dar presentada.

Sobre la base del análisis y procedimientos detallados de todas las informaciones

recopiladas y emitidas en el presente informe, que a nuestro criterio es razonable.

En síntesis de la revisión realizada encontramos cinco áreas. Y son las siguientes:

1. Software.

2. hardware

3. Redes.

4. Planes de Contingencias.

5. Respaldos Backups.

Teniendo como hallazgos los siguientes puntos:

Software:

El Sistema Operativo que el Complejo Educativo Cantón XXX XXXXXXXXXXXX utiliza para llevar su control de notas es Windows 7. Pero en la auditoria de determino que: cada computador tenía variación de idiomas.


El encargado de centro de cómputo en la Institución Educativa manifiesto lo siguiente: “La mayoría de Instituciones educativas tanto como privadas y/o gubernamentales tienen sistemas Windows 7 deficientes. Por ejemplo el de la Institución Educativa tiene la variación de Idiomas en cada computador.

Hardware

Solo el encargado de centro de cómputo de la institución está capacitado para dar soporte técnico a las computadoras.

El encargado del Centro de computo manifiesta que cada vez que se encarga “x” problema sobre computadoras el centro de cómputo queda solo y no puede darle mantenimiento el solo a las 30 PC`s que tienen en la Institución.

Redes.

Con el encargado de centro de cómputo de dicha Institución Educativa conversamos y nos hiso constar que no hay ningún tiempo estipulado para la Red instalada.

Planes de Contingencias

La Institución no cuenta con manuales, para la protección del equipo informático

realizan lo que estiman conveniente en el momento y ante la emergencia.

RESPALDOS (BACKUP)

Se encontró que en la Institución el único Backup es enviar la hoja de cálculo a

correos electrónicos.

Atentamente:

Domínguez Parada, Luis Antonio.

Elmer Alexander, Granados Maradiaga.


CUESTIONARIO.¿El lugar donde se ubica sistema de alojamiento de datos del Complejo está seguro de

inundaciones, robo o cualquier otra situación que pueda poner en peligro lo equipo?

Si ( )

No (x)

¿Se encuentra el sistema en una superficie sólida y estable o lo más cerca del suelo

posible?

Si (x)

No ( )

¿Está el sistema a salvo de la luz solar excesiva, viento, polvo, agua o temperaturas

extremas de frío / calor?

Si (x)

No ( )

¿Se cuenta con una salida de emergencia donde se encuentra el equipo de alojamiento de

la hoja de cálculo?

Si ( )

No (x)

¿Está el sistema situado en un sitio donde pueda tener un seguimiento, aislado y con poco

tráfico humano?

Si ( )

No (x)

¿Están las puertas cerradas con llave fuera de horario laboral?

Si (x)

No ( )

¿Tiene el personal autorizado acceso a la transferencia de datos a la hoja de cálculo?

Si (x)


No ( )

¿Está el sistema de su infraestructura asegurado contra problemas

eléctrico?

Si ( )

No (x)

¿Existe un control de accesos al CPD? centro de procesamiento de datos

Si ( )

No (x)

¿Están habilitados los puertos USB / lector de tarjetas de los equipos?

Si (x)

No ( )

¿Existe un control sobre los dispositivos de almacenamiento extraíble?

Si ( )

No (x)

¿Hay suficiente iluminación del centro de cómputo?

Si (x)

No ( )

¿La temperatura a la que trabajan el sistema es la adecuada de acuerdo a las normas bajo

las cuales se rige?


Si ( )

No (x)

¿Ha comprobado que no existan parches de seguridad del software y recibe regularmente

las actualizaciones de seguridad o vulnerabilidades del software que utiliza sistema?

Si ( )

No (x)

¿Existe algún otro medio de ventilación aparte de las ventanas sol aire?

Si ( )

No (x)

¿Los equipos o el equipo cuentan con un regulador de energía?

Si ( )

No (x)

¿Los interruptores de energía están debidamente protegidos y sin obstáculos para

Alcanzarlos?

Si (x)

No ( )

¿Se cuenta con alarma contra incendios?

Si ( )

No (x)

¿Qué tipo de mantenimiento realizan en sus quipos?

a. Preventivob. Correctivo

¿Se cuenta con copias de los archivos en lugar distinto al de la computadora?

Si ( )

No (x)

¿Se han instalado equipos que protejan la información y los dispositivos en caso de

variación de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de

energía?


Si ( )

No (x)

GENERALIDAES DE LA INSTITUCIONNOMBRE DE LA INSTITUCION: Complejo

Educativo Cantón XXX XXXXXXXXXXXX

Fecha:

ENTREVISTADO: Xxx xxx xxx Cargo: Depto. IT

ENTREVISTADO: Nelson Ramírez Cargo: Director de la Institución

Pregunta: Si No comentarios

Cuál es el nombre de la Empresa? Complejo Educativo Cantos XXX

XXXXXXXXXXXX (COESMA)

Cuál es la actividad que se realiza

en la Institución? Educativa

Cuantos años tiene la Institución de estar en el

Mercado?21 años

La Institución cuenta con una estructura

Organizada?X

Existen objetivos establecidos en

la Institución? X Si existen

Cuenta la Empresa con misión, visión y


Valores? X Existen

Cuentan con presupuestos y

manuales? X

No existen por ser una

Institución Educativa y eso lo

emitiría El Gobierno.

Existe un control de ingresos y

egresos al sistema? X

Por ser un sistema pequeño

(hoja de cálculo) no tenemos un

control de ingreso y egreso en el

sistema.

SOFTWAREPregunta: Si No comentarios

Que tan frecuentes son las

actualizaciones?

No hay actualizaciones

En qué Idioma está el sistema

Operativo Español

Tiene Antivirus?

X 21 años

Tiene soporte técnico? X Encargado de centro de

Computo

Cuenta con servidores locales o

nube? Local

Cantidad de servidores posee? Una

Es frecuente el mantenimiento?

X Cada 6 meses

Cuentan con un plan anual de

mantenimiento? X No contamos con un plan

exacto, pero se se hacen


mantenimiento preventivo.

Cuál es la cantidad de equipo que posee

Actualmente?30 PC’s

Existen políticas definidas por escrita a la hora de adquirir

nuevos equipos?X

No existen, por ser Institución

Educativa y Gubernamental.

Realizan Back up?

X No se hace por ser una hoja de

cálculo, pero sí se debería hacer

por no tener una pérdida de

datos

¿El cableado se encuentra correctamente Instalado?

X

Según normas de cableado

estructurado si están

correctamente instalados

Poseen manuales de uso?

X No tienen manuales físicos ni

virtuales.

Los manuales están actualizados? X No tienen manuales físicos ni

virtuales


SISTEMAS OPERATIVOSPregunta: Si No comentarios

Que sistemas operativos utilizan en la Institución? Windows 7

Poseen las licencias de los

sistemas operativos? X Por ser un sistema operativo

privativo si tenemos licencia

Que tan frecuentes son las actualizaciones de

Los sistemas operativos?No tenemos tiempo estipulado

Han habido cambios recientes en los sistema operativo?

X

Nosotros trabajamos bajo un

rígido manual que nos da el

gobierno, por eso no podemos

hacer cambios en el sistema

operativo.

Los usuarios están capacitados para el buen uso de los sistemas

operativos?X

Se les da capacitación sobre el

funcionamiento del sistema

operativo.


COMUNICACIONES Y REDESPregunta: Si No comentarios

Quienes son los proveedores de comunicaciones y redes? CLARO

Qué tipo de servicio posee? INTERNET

Que ancho de banda posee? 1M

Cuenta con internet o intranet? INTERNET

Posee internet inalámbrico? X N/A

Que tipos de dispositivos utilizan para la comunicación? TELEFONO

El tipo de cable está diseñado

para el ancho de banda? X Tenemos cable de clase 5

PLANES CONTINGENCIALESPregunta: Si No Comentarios

Cuenta la Institución con planes de contingencia les para minimizar riesgo que amenacen el área de IT

X

Si tenemos, pero lo tenemos

virtual, tendríamos que tenerlo

físico para que todos los que

somos parte de la institución

podamos tener acceso a él.

Los planes contingencia les están

por escritos?

X No, solamente lo tenemos

virtual.


Poseen manuales de acción que

ayuden al personal en eventos

inesperados?

X

No, solamente de contingencia,

pero en un futuro podemos

tener uno a la mano ya sea

virtual y virtual

OUTSOURSINGPregunta: Si No Comentarios

Cuentan con outsoursingX Si poseemos, son los conserjes.

Cual e el plazo del contrato de

outsoursing? INDEFINIDO


BIBLIOGRAFIA

FUENTES DE INFORMACION.

Director del Complejo Educativo.

Encargado de Centro de Computo.

WEBGRAFIA

http://plataformas.uls.edu.sv/mod/url/view.php?id=819

http://plataformas.uls.edu.sv/mod/url/view.php?id=821

http://www.youtube.com/wath?v=IgN3hrS5rJ4

http://www.uovirtual.com.mx/moodle/lecturas/audiadmon1/4.pdf


http://www.uovirtual.com.mx/moodle/lecturas/audiadmon1/4.pdf

http://www.youtube.com/wath?v=IgN3hrS5rJ4

Auditoria de Sistema de Notas

Education

Transcript of Auditoria de Sistema de Notas