PROYECTO DE AUDITORIA DE SISTEMAS A EL

LABORATORIO DE COMPUTO

ENTIDAD EDUCATIVA

:

Lic. Hildeberto Tovar Moreno.

RESUMEN

Proyecto de Auditoria de Sistemas a el laboratorio de computo

de la Universidad Insurgentes. Lic. Hildeberto Tovar Moreno. Av. Cuautemoc 1614, Colonia Juárez, .Tel. 57532437

La palabra auditoría viene del latín auditorius y de

esta proviene auditor, que tiene la virtud de oír y

revisar cuentas, pero debe estar encaminado a un

objetivo específico que es el de evaluar la eficiencia y

eficacia con que se está operando para que, por medio

del señalamiento de cursos alternativos de acción, se

tomen decisiones que permitan corregir los errores,

en caso de que existan, o bien mejorar la forma de

actuación. Algunos autores proporcionan otros

conceptos pero todos coinciden en hacer énfasis en la

revisión, evaluación y elaboración de un informe para

el ejecutivo encaminado a un objetivo específico en el

ambiente computacional y los sistemas. A

continuación se detallan algunos conceptos recogidos

de algunos expertos en la materia: Auditoría de

Sistemas es: La verificación de controles en el

procesamiento de la información, desarrollo de

sistemas e instalación con el objetivo de evaluar su

efectividad y presentar recomendaciones a la

Gerencia. La actividad dirigida a verificar y juzgar

información.

La auditoría de los sistemas de información se define

como cualquier auditoría que abarca la revisión y

evaluación de todos los aspectos (o de cualquier

porción de ellos) de los sistemas automáticos de

procesamiento de la información, incluidos los

procedimientos no automáticos relacionados con ellos

y las interfaces correspondientes.

El objetivo final que tiene este trabajo es aplicar un

análisis y estudio de las diferentes áreas de una

institución educativa en caso el laboratorio de

computo 3, nosotros al realizar la auditoria de

sistemas es dar recomendaciones, sugerencias,

alternativas a la alta gerencia es decir a la dirección

para informar la situación actual de los sistemas en

dicho laboratorio como punto inicial y mejorar o

lograr un adecuado control interno en ambientes de

tecnología informática con el fin de lograr mayor

eficiencia operacional y administrativa

El desarrollo del enfoque constará de 3 fases, la

primera presentada, contendrá la parte de

investigación y análisis de datos preliminar, así

mismo la metodología a emplear, en la segunda se

elaborará el informe de Auditoria y en la tercera, se

desarrollará el diagnóstico y la propuesta de solución.

Todos los puntos que contiene el proyecto de

Auditoría.

Actualmente en la institución educativa se tiene con

muy poco control en los laboratorios de computo,

donde se tiene un reglamento el cual no tiene fondo

de aplicación, el alumnado y profesores no tiene el

cuidado y no cumplen con las reglas de cuidado y

protección de los equipos, además de que no se

cuenta con un plan de mantenimiento, los equipos son

de buenas características de hardware pero tiene muy

poco rendimiento y optimización por el numero de

aplicaciones, paquetes y programas utilizados además

de que algunos nunca se utilizan, el funcionamiento

de la red es inestable en tofo tiempo tanto para el

compartir recursos o envió a el departamento de

impresión, se tiene un antivirus el cual no tiene

licencia y esta caduca, en ocasiones hay robo hormiga

de mouse o de partes internas de hardware.

Se requiere que aclarar que se les de un buen uso a

los equipos y mantenimiento para la mejora de los

alumnos, profesores y optimizar el funcionamiento de

los equipos de los 3 laboratorios de la institución

educativa. Se evaluara Hardware, infraestructura,

software, personal, redes y seguridad. En resumen se

tendrá la verificación de los siguientes puntos:

Eficiencia en el uso de los recursos

informáticos.

Efectividad de los controles

establecidos.

Figura 1.

Eficiencia de los recursos informáticos.

Se realizo una evaluación de riesgos para brindar una

garantía razonable de que todos los elementos

materiales fueran cubiertos adecuadamente durante la

auditoría. En ese momento fue posible establecer las

estrategias de auditoría, los niveles de materialidad y

los recursos necesarios para el levantamiento de la

misma.

El programa y/o plan de auditoría requirió de ajustes

durante el desarrollo de la auditoría para abordar las

situaciones que se iban presentando o surgiendo

(nuevos riesgos, suposiciones incorrectas o hallazgos

en los procedimientos ya realizados) durante la

auditoría.

Es importante aclarar que este proceso de planeación

depende en gran medida del diagnostico previo que

lleve acabo el auditor en informática sobre la

situación que prevalece en cada una de las áreas o

servicios de la función de informática. También se

deben considerar las necesidades o prioridades que

tenga la alta dirección de auditar o evaluar un área

especifica de informática. Para fines de este trabajo se

determina hasta el informe y algunas sugerencias

conformando las ventajas de este estudio además de

presentar una conclusión individual de las áreas o

operaciones auditadas con su funcionamiento gracias.

Referencias bibliográficas.

1. ALONSO RIVAS, GONZALO

Auditoria Informática.

Díaz de Santos. Madrid 1998. 187 págs.

2. JUAN RIVAS, ANTONIO DE y PÉREZ

PASCUAL, AURORA

La Auditoria en el desarrollo de Proyectos

Informáticos.

Díaz de Santos. Madrid 1998. 178 págs.

Auditoria de Sistemas. [ON LINE] Disponible en:

1. http://www.geocities.com/lsialer/NotasInte

resantes.htm

(consultado en 19 agosto, 2010)

Figura 2.

Auditoria se traduce en revisión y evaluación de los sistemas .

ABSTRACT

Systems Audit Project to the computer lab at the University

Insurgentes

Lic. Hildeberto Tovar Moreno. Av. Cuautemoc 1614, Colonia Juárez, .Tel. 5753243

23 de jul.

The audit comes from the Latin word auditorius and this

comes auditor, which has the power to hear and review

accounts, but must be aimed at a specific objective is to

evaluate the efficiency and effectiveness with which it is

operating so that, through the signaling of alternative courses

of action, decisions are taken to correct the errors, if any, or

how to improve performance. Some authors provide other

concepts but they all come to emphasize in the review,

evaluation and prepare a report for the executive aimed at a

specific target for the computing environment and systems.

Here are some concepts used by some experts in the field:

Systems Auditing is: Verification of control in the information

processing, systems development and installation with the aim

of evaluating its effectiveness and make recommendations to

the Management. The activity aimed to verify and judge

information.

The audit of information systems is defined as any audit

covered the review and evaluation of all aspects (or any

portion thereof) of automated processing of information,

including procedures related to them not automatic and

corresponding interfaces.

The ultimate goal is this paper is to apply an analysis and

study of the different areas of an educational institution in case

the computer lab in March, we perform the audit to the system

is to give recommendations, suggestions, alternatives to senior

management ie the direction to report the current status of the

systems in the laboratory as a starting point and improve or

achieve an adequate internal control in information technology

environments to achieve greater operational and

administrative efficiency

The development of the approach consists of three phases, the

first filed, containing the research and preliminary data

analysis and a methodology itself, the second will prepare the

audit report and the third, is on diagnosis and the proposed

solution.

All points contained in the draft audit.

Currently in school have very little control in the computer

labs, where there is a regulation which has no background

application, students and teachers not careful and do not

comply with the rules of care and protection equipment

besides that do not have a maintenance plan, the teams are

good features but has very little hardware performance and

optimization for the number of applications and software

packages used in addition to some never used, the operation of

the network is unstable in tophus time for both the sharing of

resources or sent to the printing department, we have an

antivirus which is not licensed and is outdated, sometimes

there are mouse ant theft or internal parts of hardware.

Clarification is required of them to good use and maintenance

equipment for the improvement of students, teachers and

optimize the performance of teams of three laboratories in the

school. Hardware will be evaluated, infrastructure, software,

personnel, networking and security. In summary, it will check

the following points:

• Efficient use of resources.

• Effectiveness of the controls

Figure 1.

Efficiency of resources.

We did a risk assessment to provide reasonable assurance that

all material elements were adequately covered during the

audit. It was then possible to establish audit strategies,

materiality levels and resources needed to lift it.

The program and / or audit plan adjustments required during

the development of the audit to address the situations that

presented themselves or arise (new risks, incorrect

assumptions or findings in the proceedings and made) during

the audit.

It is important to note that this planning process depends

largely on the previous diagnosis auditor who performed the

computer on the situation in each of the areas of services

computing function. You should also consider the needs or

priorities that top management has to audit or evaluate a

specific area of computing. Pa ra purposes of this paper is

determined to the report and some suggestions for shaping the

advantages of this study are file an individual determination

of the areas audited or operations.

23 de jul.

Figure 2.

References

Audit results in review and evaluation of systems.

3. ALONSO RIVAS, GONZALO

Auditoria Informática.

Díaz de Santos. Madrid 1998. 187 págs.

4. JUAN RIVAS, ANTONIO DE y PÉREZ PASCUAL,

AURORA

La Auditoria en el desarrollo de Proyectos

Informáticos.

Díaz de Santos. Madrid 1998. 178 págs.

Auditoria de Sistemas. [ON LINE] :

2. http://www.geocities.com/lsialer/NotasInteresantes.htm

(accessed August 19, 2010)

Índice

23 de jul.

Titulo Página

Introducción………………..………………………….………………………… 1

I. PLANEACION DE LA AUDITORIA DE SISTEMAS DE INFORMACION……...1

1. Identificación del cliente…………………………………………………..…….1 1.1 Identificar el origen de la auditoria……………………………………. 2 1.2 Planteamiento del problema………………………………..…..….… 2 1.3 Objetivos…………………………………………………………….…………. 3 1.3.1 General ……………………………….………………………….……… 3 1.3.2 Específicos…………………… ………………………………….……… 3 1.4 Importancia de la auditoria …………………………………………….….… 3 1.5 Alcances de la auditoria…………… …………………………………….... 3

2. METODOLOGÍA DE DESARROLLO DE LA AUDITORIA DE SISTEMAS.4 2.1. Planeación de recursos humanos………………………………..………... 4

2.2. Manejo de controles internos…………………………..……………………. 5

2.3. Recolección de evidencias……………………………………………………5

a. Carta de notificación…………………………………………...…….……… 6 b. Carta de requerimientos de auditoria …………………..……...………..... 7 c. Limitaciones de la auditoria………………………..…………..………...… 8 d. Instrumentos de recopilación……………..……………………………...… 9 e. Levantamiento preliminar…………………………………………..……….. 10 f. Formato de recopilación de evidencias de auditoria…………..…………. 11 g. Técnicas de recopilación de información (Cuestionario)..……………...….12 h. Formato de asignación de tareas y actividades………..…………....……. 12 i. Cronograma de actividades………………..…………..…….……….…...….12

3. INFORME DE AUDITORIA ……………………………………………...……..15 3.1 Objetivo de informa de auditoria. ……………….………………………….16

3.2 Introduccion de informe ……………………………………….……………….1

a) Los sistemas de información y comunicaciones…………………….………..18

b) Evaluación de los Controles Generales de Tecnología de Información…… 19

Conclusión de auditoria……………………………………………………………...20

b) Evaluación del Control del Ciclo de Ingresos…………………………………..22

Conclusión general…………………………………………………………………..23

3.3 Carta de sugerencias………………………..………………………………….25

3.4 Informe técnico…………………………………………….……………………27

CONCLUSIONES GENERALES……………………………………………………….27

23 de jul.

BIBLIOGRAFIA…………………………………………………………………………..27

INTRODUCCIÓN.

23 de jul.

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

El objetivo final que tiene este trabajo es aplicar un análisis y estudio de las diferentes areas de una institución educativa, nosotros como auditores de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa

El desarrollo del enfoque constará de 3 fases, la primera hoy presentada, contendrá la parte de investigación y análisis de datos preliminar, en la segunda se elaborará el informe de Auditoria y en la tercera, se desarrollará el diagnóstico y la propuesta de solución. Todos los puntos que contiene el avance de Auditoría. ETAPA 1 PLANEACION DE LA AUDITORIA DE SISTEMAS DE INFORMACION

Identificación del Cliente: Universidad Insurgentes S.A.

Área o Departamento: Departamento de Sistemas, Laboratorio de computo (3).

VISION, MISION Y OBJETIVOS

Desde 1995 y bajo el concepto de Universidad Insurgentes nos hemos fijado como Misión: “Contribuir al desarrollo académico de nuestros estudiantes para el logro de su mejor desempeño laboral y de su calidad de vida”.

De la misma forma, nuestra VISIÓN consiste en “Ser una Institución centrada en el estudiante, reconocida por la calidad de su docencia y de sus programas académicos; con procesos continuos de evaluación institucional y acreditación académica, con amplia cobertura en el país y con convenios de cooperación nacional e internacional.”

Nuestro objetivo es impartir educación en los niveles básico, medio superior y superior, creando, preservando y difundiendo la cultura en beneficio de la sociedad.

ORGANIGRAMA DE LA EMPRESA

1.1. IDENTIFICAR EL ORIGEN DE LA AUDITORIA.

23 de jul.

Actualmente en la institución educativa se tiene con muy poco control en los laboratorios de computo, donde se tiene un reglamento el cual no tiene fondo de aplicación, el aunado y profesores no tiene el cuidado y no cumplen con las reglas de cuidado y protección de los equipos, además de que no se cuenta con un plan de mantenimiento, los equipos son de buenas características de hardware pero tiene muy poco rendimiento y optimización por el numero de aplicaciones, paquetes y programas utilizados además de que algunos nunca se utilizan. Se tiene un antivirus el cual no tiene licencia y esta caduca, en ocasiones hay robo hormiga de mouse o de partes internas de hardware. Se requiere que aclarar que se les de un buen uso a los equipos y mantenimiento para la mejora de los alumnos, profesores y optimizar el funcionamiento de los equipos de los 3 laboratorios de la institución educativa. Se evaluara Hardware, infraestructura, software, personal, redes y seguridad. En resumen se tendrá la verificación de los siguientes puntos:

Eficiencia en el uso de los recursos informáticos. Efectividad de los controles establecidos.

REALIZAR UNA VISITA PRELIMINAR AL AREA QUE SERA EVALUADA El plantel esta ubicado en: Calzada de Tlalpan No. 1064 Col. Nativitas.

1.2. PLANTEAMIENTO DEL PROBLEMA. Es la exposición de las circunstancia negativas que motivan la ASI. Puntualizarlos.

o del presupuesto del las gastos para el mantenimiento de los laboratorios de computo.

físicas que garanticen la integridad del personal, equipos e

información. des efectuados con los encargados de los laboratorios de computo.

de políticas, objetivos, normas, metodología, asignación

de tareas y adecuada administración del Recurso Humano

23 de jul.

1.3. OBJETIVOS a. GENERAL.toría Interna V Verificar el desempeño del los 3 laboratorios de computo de la Universidad Insurgentes a través de la revisión de sus procesos y cumplimiento de los requisitos de el reglamento y las normas establecidos. b. ESPECÍFICOS. Se diseñan en función a las metas que se propone alcanzar de manera específica,

relacionados a la justificación, planteamiento del problema y alcances.

1. Mediante un conjunto de herramientas hacer una evaluación de la red y el equipo de cómputo. 2. Hacer un inventario de hardware y software del equipo 3. Hacer un análisis de situaciones riesgosas para el equipo 4. Revisión del funcionamiento de los equipos. 5. Comunicar los controles mínimos que se deben cumplir en la gestión de TI. 6. Propiciar la adopción de prácticas de control interno para la gestión de la tecnología de la información,

alineadas con estándares locales.

1.4. JUSTIFICACION. Plantear de forma analítica, las razones de por qué vale la pena desarrollar el examen.

1. Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados. 2. Incrementar la satisfacción de los usuarios de los sistemas computarizados 3. Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la

recomendación de seguridades y controles. 4. Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr

los objetivos propuestos. 5. Seguridad de personal, datos, hardware, software e instalaciones 6. Apoyo de función informática a las metas y objetivos de los alumnos y usuarios generales. 7. Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático 8. Minimizar existencias de riesgos en el uso de Tecnología de información 9. Decisiones de inversión y gastos innecesarios.

1.5. ALCANCES. Qué elementos y aspectos se estima solucionar con el desarrollo de la auditoria. Se menciona todo lo que será capaz de detectar o corregir.

El análisis de auditoría se realizara en el laboratorio 3 y se auditara las siguientes funciones hacia tres laboratorios de la Universidad insurgentes:

Calidad en el servicio

Seguridad en los sistemas

Medición de el personal de laboratorios y responsables.

Cumplimiento de controles internos.

23 de jul.

Procesos para planeación y seguimiento a mantenimiento de equipos

Software utilizado.

Hardware en condiciones, uso y funcionamiento.

2 . METODOLOGÍA DE DESARROLLO. Efectúe una descripción cronológica de cómo se desarrollarán las actividades y los métodos de investigación, así como los recursos que empleará (humanos, financieros, equipo, controles, entre otros).

2.1 PLANEACION DE RECURSOS HUMANOS. Asignación de recursos humanos para la auditoria. (Personal). 1 Jefe auditor. a) Consultar y consensuar con el cliente el alcance de la auditoría. b) Obtener la información de respaldo relevante como ser los detalles de actividades, los productos, los servicios, en la empresa y sus áreas de actuación, los detalles de previas auditorias realizadas al auditado. c) Formación del equipo auditor. d) Dirigir las actividades del equipo auditor. 2 Auditores (documentadores). a) Planear y desarrollar las tareas asignadas, objetiva, efectiva y eficientemente, b) Recopilar y analizar las evidencias de auditoría relevantes y suficientes para determinar los resultados de la auditoría. c) Preparar los documentos de trabajo. d) Documentar los resultados individuales de la auditoría. e) La redacción del informe de auditoria.

Realizar las acciones programadas para la auditoría

Aplicar los

instrumentos y

herramientas

para la auditoría

Asignar los

recursos y

actividades

conforme a los

planes y

programas

Recopilar la

documentación y

evidencias de la

auditoria

Identificar y elaborar los documentos de desviaciones

Elaborar los

documentos y

presentarlos a

discusión

Integrar

el legajo

de

papeles

de

trabajo

en la

auditoría

Integrar

los

documen

tos y

pruebas

en

papeles

de

trabajo

Elaborar el borrador de desviaciones

23 de jul.

2 Encuestadores. El plan debe incluir: a) Los objetivos y alcance de la auditoria, b) El criterio a ser usado para la realización de la auditoría, c) La identificación de las unidades organizacionales y funcionales a ser auditadas, d) La identificación de las funciones y/o individuos dentro de la organización del auditado que tengan responsabilidades relativas a aspectos de la calidad. e) Identificación de los aspectos de calidad que son de alta prioridad. f) Identificación de los documentos de referencia. g) El tiempo y duración esperados para las entrevistas e inspecciones. h) Las fechas y lugares donde se va a realizar la auditoria. i) El Cronograma de reuniones que se van a tener con la gerencia del auditado. j) Requerimientos confidenciales. k) El contenido, formato y estructura del informe

2.2 Manejo de controles internos.

Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.

Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc.

Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.

Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados:

Entorno de red: esquema de la red, descripción de la configuración hardware de comunicaciones, descripción del software que se utiliza como acceso a las telecomunicaciones, control de red, situación general de los ordenadores de entornos de base que soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red.

Configuración del ordenador base: Configuración del soporte físico, en torno del sistema operativo, software con particiones, entornos( pruebas y real ), bibliotecas de programas y conjunto de datos.

Entorno de aplicaciones: Procesos de transacciones, sistemas de gestión de base de datos y entornos de procesos distribuidos.

Productos y herramientas: Software para desarrollo de programas, software de gestión de bibliotecas y para operaciones automáticas.

Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e información, integridad del sistema, controles de supervisión, etc.

23 de jul.

Para la implantación de un sistema de controles internos informáticos habrá que definir:

Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base para el diseño y la implantación de los sistemas de información y de los controles correspondientes.

Administración de sistemas: Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.

Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.

Gestión del cambio: separación de las pruebas y la producción a nivel del software y controles de procedimientos para la migración de programas software aprobados y probados

2.3 RECOLECCIÓN DE EVIDENCIAS.

a. Documento de notificación de Auditoria.

México D. F a 26 de julio de 2010

Lic. Juan Sandoval Blanco

DIRECCIÓN GENERAL DE TECNOLOGÍAS

DE INFORMACIÓN E INNOVACIÓN

(UNIVERSIDAD INSURGENTES)

Presente

Por este medio se les notifica que se ha programado la ejecución de la 1ra. Auditoria Interna los

equipos de computo de su área a si como a la seguridad en el acceso a los laboratorios de computo.

La fecha asignada para la realización de dicho evento será el 26 de Julio de 2010; en la cual se realizará

una reunión de apertura general a las 14:00 horas, con el personal responsable de cada área y

c con el equipo auditor asignado para atender la auditoria; posteriormente ya realizada dicha auditoria,

se realizará un cierre de esta a las 18:30 hrs. en el piso 3 sala 4 de el área que usted representa.

Sin mas por el momento reciba un cordial saludo.

Atentamente

_______________________________

Lic. Hildeberto Tovar Moreno

Jefe Auditor

b. Las limitaciones. Directivos de la Universidad, jefes y encargados de laboratorio, no obtención clara de información, falta de manuales de operación, tutoriales, diagramas de red, planes y programas de mantenimiento, negatividad de la gente al levantar la información de auditoria. .

23 de jul.

c. Solicitud de información

De acuerdo a la planeación de auditoria de sistemas, se elaboró una carta de requerimientos en atención a quien corresponda en el area de laboratorios de la universidad quien fue el que solicito la auditoria de sistemas.

d. INSTRUMENTOS DE RECOPILACION. Selección de la herramienta de obtención de eventos. Se

debe incluir el reporte de cada herramienta aplicada. Describir como se llevará a cabo:

23 de jul.

Análisis, Comparación de programas, Benchmarking interno

Inspección, Mapeo y rastreo de programas

Confirmación, Datos de prueba

Investigación, Análisis de bitácoras

Declaración, Monitoreo del proceso

Observación, Obtención de aseguramiento independiente

Cálculo, Manipulación de la información, Examen de registros

Levantamiento preliminar

• Entrevista con el encargado de TI y la solicitud de entrega de información de:

o Políticas y Procedimientos de:

• Seguridad.

• Respaldos y recuperación de la información

• Acceso a los recursos de la red

• Altas, bajas y cambios de los usuarios

• Control físico y ambiental

• Monitoreo y administración de sistemas

• Procedimiento de mantenimiento y cambios a sistemas.

• Políticas y procedimientos de adquisición de hardware y software

o Políticas de reporte de actividades del personal de TI

o Organigrama funcional del departamento de sistemas.

o Diagrama de la estructura de la red.

o Inventario de Hardware y Software principal

o Bitácora de respaldos de Enero a Junio 2010 (revisar y obtener evidencias)

o Lista de usuarios del sistema (revisar y obtener evidencias)

o Diagrama de interfaces entre módulos y/o sistemas (revisar y obtener evidencias)

o Documentación de la parametrización de cada módulo del sistema (revisar y obtener evidencias)

o Bitácoras de cambios a programas realizados (revisar y obtener evidencias)

o Contratos de los proveedores de servicio o consultaría (revisar y obtener evidencias)

Revisión de información relevante.

Llenado del cuestionario al responsable del área de sistemas.

Observaciones

Pruebas a los controles generales de cómputo.

Control Interno de sistemas (revisar y obtener evidencias)

Cambios al ERP (Confirmar)

23 de jul.

Controles operativos y seguridad (revisar y obtener evidencias)

Controles físicos y ambientales (revisar y obtener evidencias)

Sistemas e interfaces (revisar y obtener evidencias)

Pruebas de recorridos a los controles de aplicación.

Ciclo de Ingresos

o Por alumno y usuarios

o Usabilidad de los equipos

o Políticas de mantenimiento

o Confiabilidad Formato general de recopilación de evidencias de auditoria:

e. Técnicas de recopilación de evidencias

La recopilación de material de evidencia es un paso clave en el proceso de la auditoría, el auditor de sistemas debe tener conocimiento de cómo puede recopilar la evidencia examinada. Algunas formas son las siguientes:

23 de jul.

Revisión de las estructuras organizacionales de sistemas de información.

Revisión de documentos que inician el desarrollo del sistema, especificaciones de diseño funcional, historia de cambios a programas, manuales de usuario, especificaciones de bases de datos, arquitectura de archivos de datos, listados de programas, etc.; estos no necesariamente se encontrarán en documentos, sino en medios magnéticos.

Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de descubrimiento no de acusatoria.

Observación de operaciones y actuación de empleados, esta es una técnica importante para varios tipos de revisiones, para esto se debe documentar con el suficiente grado de detalle como para presentarlo como evidencia de auditoría.

Auto documentación, es decir el auditor puede preparar narrativas en base a su observación, flujogramas, cuestionarios de entrevistas realizados. Aplicación de técnicas de muestreo para saber cuando aplicar un tipo adecuado de pruebas (de cumplimiento o sustantivas) por muestras.

Cuestionario a usuarios finales. Cuestionario a realizar a los usuarios de laboratorio 3 para determinar aéreas de oportunidad.

Formato de asignación de tareas y actividades.

Evaluar la información recopilada con la finalidad de desarrollar una opinión. Utilizar una matriz de control con la que se evaluará el nivel de los controles identificados, la matriz muestra las áreas en que los controles no

23 de jul.

existen o son débiles, obviamente el auditor debe tener el suficiente criterio para juzgar cuando no lo hay si es necesario el control

Nombre del auditor:_________________________ fecha:__________________ lugar:_______________

Actividad:_________________________ Área:__________________ Control de tiempo: ____________

Actividad Área % Avance Observaciones Encargados

___________________________

Firma del Jefe Auditor

3. CRONOGRAMA DE ACTIVIDADES. Actividades, tiempos, porcentaje de desarrollo y responsables.

Fases de la auditoria:

23 de jul.

Folio:__________ Programa de auditoria: Fase I.

Empresa: Universidad Insurgentes Plantel Sur

Firma de responsable:

Fecha: 23/07/10

Hoja No. 1

Fase Actividad Observaciones Tiempo %

Avance Encargados

I 1.1 Identificación del cliente 1.1.1 Datos generales de la empresa 1.1.2 Áreas o departamentos de la

empresa 1.1.3 Misión, visión y objetivo 1.1.4 Localización geográfica de la

empresa 1.2 Origen de la auditoria 1.2.1 Situación actual 1.2.2 Problemática 1.3 Visita preliminar 1.3.1 Escrito de notificación 1.3.2 Analizar lo que se va a auditar 1.4 Planteamiento del problema 1.4.1 Razones en lista de la

problemática a resolver 1.5 Objetivos 1.5.1 Objetivo General 1.5.1.1 Planteamiento del objetivo

general 1.5.2 Objetivos Específicos 1.5.2.1 Planteamiento de los objetivos

específicos

Todo sobre cómo se llevarán a cabo las actividades hasta la finalización de la auditoría, a partir de la investigación hasta la presentación del informe.

ANTECEDENTES.

Como parte de la evaluación del laboratorio de computo de la Universidad insurgentes , realizamos la revisión

de los controles, manuales, políticas, (ciclo de ingresos) y controles generales de Tecnologías de Información

de las actividades de sistemas.

23 de jul.

OBJETIVO.

Comprobar y revisar que las instalaciones de el laboratorio 3 de la Universidad Insurgentes y controles de

acceso y uso de equipos sean las adecuadas de acuerdo a reglamente y políticas de sistemas al 31 de

noviembre del 2010 este funcionando acorde los objetivos generales de la Universidad.

Objetivos Específicos:

7. Mediante un conjunto de herramientas hacer una evaluación de la red y el equipo de cómputo. 8. Hacer un inventario de hardware y software del equipo 9. Hacer un análisis de situaciones riesgosas para el equipo

23 de jul.

INTRODUCCION

Con relación a la evaluación y revisión de del control interno de el laboratorio 3 hemos evaluado la estructura de los controles del proceso de ingresos y de tecnología de información, únicamente hasta el grado que consideramos necesario para tener una base sobre la cual determinar la naturaleza, extensión y oportunidad de las pruebas de auditoria, aplicadas en nuestra evaluación del control interno, políticas de uso de los equipos, funcionalidad del hardware y software. Nuestra evaluación de la estructura del control interno comprendió un estudio detallado de sus elementos de hardware y software, y fue ejecutada con el propósito de desarrollar recomendaciones detalladas o evaluar la eficacia con la cual la estructura del control interno de la Compañía permite prevenir o detectar todos los errores irregularidades que pudieran ocurrir. El informe adjunto también incluye comentarios y sugerencias con respecto al control interno del proceso de ingresos y TI, los cuales notamos durante el curso de nuestro examen de los controles internos, políticas de los equipos y condiciones de hardware, software y red de el laboratorio 3 de la universidad Insurgentes..

Todos estos comentarios se presentan como sugerencias constructivas para la consideración de la Administración, como parte del proceso continuo de modificación y mejoramiento de la estructura del control interno existente y de otras prácticas y procedimientos administrativos y financieros.

Este informe es para uso exclusivo de la Administración de la Compañía y no debe ser utilizado con ningún otro fin.

Deseamos expresar nuestro agradecimiento por la cortesía y cooperación extendida a nuestros

representantes durante el curso de su trabajo. Nos agradaría discutir estas recomendaciones en mayor

detalle, de ser necesario y, asimismo, proporcionar la ayuda necesaria para su implantación.

LOS SISTEMAS DE INFORMACIÓN Y COMUNICACIONES

a) Evaluación de los Controles Generales de Tecnología de Información.

• Organización del área de sistemas.

El departamento de sistemas de la Universidad en caso particular el Laboratorio de computo 3 de se

compone de una sola persona quien es el responsable de proporcionar soporte técnico a los usuarios,

administrar la red de correos electrónicos e Internet y hacer el mantenimioento de los equipos.

Identificamos que no existe diagrama funcional del departamento de sistemas debido a que es una sola

persona que le reporta a la coordinación de Informática del Campus.

Verificamos que no existe un plan de capacitación al responsable de la administración de TI.

Identificamos que la compañía para la administración y operación cuenta con 1 sistema, principalmente:

Sistema de Excel : Interface de reloj checador, registros de incidencias de los alumnos.

Captura de mantenimiento a los equipos esporádica.

23 de jul.

• Políticas de uso de los equipos y perfiles.

Identificamos que no existen políticas y procedimientos para la asignación, bajas y cambios de perfiles de

usuario, asi como sus autorizaciones respectivas; únicamente existe un formato que es llenado por el

usuario de nuevo ingreso de nombre “Uso de Sistemas y programas de PC”.

Identificamos que las altas o cambios de perfiles para un nuevo usuario son asignadas en base a los perfiles

del usuario anterior que ocupo el mismo puesto, este proceso se solicita a través de correos electrónicos por

parte del gerente o supervisor de departamento hacia el personal responsable de sistemas.

Identificamos que existe un listado de usuarios de los sistemas, sin embargo no existe documentación o

alguna evidencia de los perfiles específicos que están vigentes para cada usuario.

Verificamos que los usuarios definen sus contraseñas en los sistemas; sin embargo no existe una política

de creación y mantenimiento de contraseñas que indique las reglas a seguir y dificulte ser descifrados y el

ser compartido con otros usuarios.

• Acceso físico al Laboratorio de computo de Cómputo

Identificamos que no existe política de seguridad para el acceso al centro de cómputo; así como tampoco

existe una bitácora para registrar a las personas que ingresan al área; no obstante el área permanece

cerrada por algunas horas sin un responsable y solo el cuentan con llave para el acceso.

• Controles Ambientales del Centro de Cómputo

Identificamos que no existen los controles ambientales adecuados para salvaguardar los activos

informáticos del centro de cómputo, únicamente en área cuenta con aire acondicionado.

• Respaldos y recuperación de la información

Correos y archivos de usuario.

Identificamos que la compañía no cuenta con políticas y procedimientos para realizar los respaldos y

recuperación de la información.

Verificamos que actualmente el responsable de los laboratorios realiza los respaldos diarios de correos,

archivos de usuario y bases de datos de las operaciones, mantenimiento uso de los equipos, los cuales se

guardan en discos CD-ROM, son etiquetadas y almacenadas en una gaveta de la sala de juntas de la

compañía y la mensual en la caja fuerte de la oficina del Gerente de Contraloría.

23 de jul.

Identificamos que no es posible recuperar la información respaldada en caso de una contingencia debido a

que la estructura de la bases de datos actual es distinta a los respaldos en general de meses y años

pasados.

Identificamos que la compañía solo cuenta con un disco CD-ROM del último cierre de mes (julio), esto

ocasiona el riesgo de que en caso de haber un desastre o contingencia, no sea posible recuperar la

información anterior a junio 2010, además de que no cuentan con respaldos adicionales, almacenados en

un lugar seguro fuera de la empresa.

• Cambios y modificaciones a programas

Verificamos que la compañía no cuenta con políticas y procedimientos de cambios a programas para la

administración de los cambios realizados a los sistemas.

Identificamos que los cambios a los sistemas los realiza el encargado de sistemas donde no lleva un control

de los cambios y de el software que se requiere para los nuevos cuatrimestres y en algunas ocasiones el

software tiene ya 8 años instalado y sin usarse

Los usuarios son los responsables de las pruebas a los cambios en los sistemas, sin embargo no existen

autorizaciones documentadas por parte de los gerentes de área.

Identificamos que el responsable de no lleva el control o bitácoras de los cambios que se realizan a los

sistemas.

Verificamos que los manuales de programas , paquetes y aplicaciones de usuario de estos sistemas no

existen

• Monitoreos

Identificamos que el responsable no realiza periódicamente monitoreos de los accesos a los sistemas,

diariamente hace revisión de ítems acuerdo a las 18 actividades del listado del formato llamado “CHEQUEO

DIARIO DE CPD”.

Verificamos que no existe un procedimiento de monitoreo, a la seguridad de los servicios informáticos y uso

correcto de los equipos.

En cuanto a intentos fallidos en el sistema, identificamos que el responsable de no lleva una bitácora de

incidencias, sin embargo si el usuario intenta 5 veces ingresar al sistema y no lo logra acude con el

responsable , para ser desbloqueado del sistema.

23 de jul.

• Procedimientos de Emergencia

Identificamos que en laboratorio 3 no se lleva un procedimientos de emergencia para el departamento de TI

en caso de siniestros o contingencias que asegure la continuidad de las operaciones, utilizando los recursos

Informáticos.

Conclusión

Derivado de nuestra revisión al Control Interno de T, política de uso de los equipos, condicione de hardware y

software determinamos que la compañía no cuenta con los controles mínimos necesarios para una mejor

administración de las tecnologías de información.

b) Evaluación del Control del Ciclo de Ingresos

Realizamos una prueba del recorrido del proceso de ingresos donde identificamos 3 controles instalados,

desde como se genera el la entrada de un alumno hasta la salida, realizamos el diagrama de flujo y la

matriz de controles, y determinamos que el funcionamiento de los controles se lleva adecuadamente, sin

embargo:

De acuerdo al recorrido del proceso de ingresos determinamos los siguientes hallazgos:

• Identificamos que en el laboratorio el alumno permite reutilizar varias computadoras, instalar software, cambiar cables e inclusive abrir físicamente los equipos por lo que existe el riesgo de errores o malos manejos de información, robo y perdida de quipo, fallas frecuentes por parte de los usuario

• Identificamos que los los usuarios ingieren alimentos, bebidas donde son derramados en los equipos, ocasionando la falla total o parcial de los equipos.

• Identificamos que a esta fecha solo se han emitido bitácoras actualizadas de ingreso.

Conclusión

Del derivado de nuestra revisión a los controles del proceso de ingresos concluimos que los controles no se

encuentran funcionando razonablemente y no son aceptables, sin embargo los controles existen pero no se

aplican o se no encontramos deficiencias, y deberán ser corregidas y aplicados.

23 de jul.

CARTA DE SUGERENCIAS

Control Interno de Sistemas

1. Se recomienda documentar las políticas y procedimientos, para un mejor control de la información y de la infraestructura tecnológica, que continuación mencionamos:

a. Perfiles de usuarios, para uso correcto de los equipos

b. Asignación de planes de mantenimiento, bitácoras de procesos

c. Levantamiento correcto de inventarios físicos para un mejor control de hardware

d. Cambios a programas con correcto control, y seguimiento de actualizaciones

e. Plan de seguridad, configuración y optimización de red

2. Crear y documentar los perfiles de usuario personalizados para una mejor identificación y mayor seguridad de los procesos realizados en los sistemas por cada departamento.

3. Documentar los cambios a los sistemas para mantener el control sobre los cambios e identificar los niveles de autorización y el detalle de las modificaciones, así como el impacto en otros procesos.

4. Crear un plan de contingencias para que los usuarios tengan el conocimiento de cómo trabajar o que hacer en caso de contingencia.

5. Almacenar una copia de las un disco duro de respaldo en un lugar fuera de las instalaciones.

6. Solicitar capacitación al responsable de sistemas para un mejor control y conocimiento de los sistemas.

Control Interno del Ciclo de Ingresos

1. Se recomienda hacer las modificaciones necesarias al sistema de ingreso para aplicar tal cual los controles establecidos.

2. Se recomienda hacer las modificaciones y pruebas necesarias al las condiciones de hardware, software, red para una continuidad, seguimiento correcto a el funcionamiento del laboratorio de computo 3.

3. Realizar una auditoria a los usuarios que se encuentran en los sistemas con la finalidad de confirmar la autorización de cada programa, paquete o aplicación instalado sobre las funciones y operaciones del software; de igual manera analizar el adecuado cumplimiento de la segregación de funciones en los módulos de los sistemas.

Fecha de la Auditoría: 11-08-2010

Firma del Jefe Auditor: Hildeberto Tovar Moreno.

23 de jul.

RESUMEN TÉCNICO

A continuación se exponen algunas herramientas utilizadas para el levantamiento de la auditoria con sus

datos respectivos, para el inventario de hardware, auditoria ala red y auditoria a el software.

WinAudit. Con esta aplicación se tomo el inventario y auditoria de un equipo

de cómputo, muy útil a la hora de hacer un recuento de equipos en la

empresa.

Con esta herramienta podremos conocer cada detalle de la computadora tanto hardware como software, entre

los que considero más importantes puedo mencionar:

Información del CPU

Discos duros instalados y sus especificaciones

Software instalado, detalles de su uso y ruta de instalación (incluso el instalador)

Puertos abiertos (TCP y UDP)

Usuarios de la computadora y políticas para los mismos

Variables de Entorno

Procesos de inicio y procesos en ejecución (útil para encontrar virus)

Dispositivos de hardware

Memoria RAM usada y disponible

Servicios de Windows

Logs de Errores (sucesos de Windows)

Otra cosa muy útil es la posibilidad de salvar los reportes generados en formatos como PDF, CSV, HTML u

otros; también puede enviarlo por correo (por medio del cliente de correo configurado para el sistema).

Hice una recolección de información de un equipo de el laboratorio 3 y entre los resultados que mas puedo

destacar son los siguientes:

Vista General

23 de jul.

Aquí se puede ver el tipo de CPU instalado, cuanta memoria RAM detectó e sistema, la suma de todos los

discos duros (Total Hard Drive), la versión del BIOS y el tiempo que la computadora lleva encendida sin

apagarse (System Uptime).

Software Instalado

Aquí observamos que el 19% de los programas instalados tiene capacidades de actualizarse

automáticamente (Active Setup: 39 aplicaciones), el otro 81% de mis aplicaciones no son actualizables o

muchos de ellos requieren intervención humana para actualizarse.

23 de jul.

Sistema Operativo

Muestra la versión del service pack instalada (en mi caso Service Pack 2) y el sistema operativo (Windows

XP), a nombre de que usuario se hizo la instalación y la ubicación de las carpetas temporales.

Red TCP/IP

23 de jul.

Acá vemos información de la Red, la dirección IP de la tarjeta de red (o tarjetas si se cuenta con varias), los

DNS configurados y la dirección MAC de la tarjeta de red.

Determina la velocidad de la tarjeta (100 Mbps), otra cosa que podemos ver es si tenemos activado el servicio

de DHCP (en mi caso no).

Uso de los Discos Duros

En esta gráfica podemos apreciar cuanto se ha uso de los discos duros, en mi caso están casi llenos. (La

unidad A es la disquetera, la unidad Y es un CD-ROM Virtual).

Carpetas y Recursos Compartidos

23 de jul.

En vista de que desde mi PC hago instalaciones remotas hacia otras computadoras tengo varias unidades

compartidas (eso si, con password).

Esto puede representar un peligro para la PC pero claro si se pone una contraseña difícil y un usuario para

validar poder acceder a uno de estos recursos entonces es muy difícil que pueda ocurrir algo malo.

En la columna Connections, podemos saber si hay mas usuarios utilizando esta carpeta, podemos apreciar

que solo sale un 1, esto es porque la PC que comparte cuenta como conexión.

Sumario de periféricos

23 de jul.

Observo el tipo de dispositivos que hay conectados a la computadora y si esta cuenta con acceso a la red,

además de las impresoras (físicas y virtuales) que están instaladas.

Aparece una unidad mapeada llamada T: que es un servidor de archivos donde antes se ejecutaba un

programa viejo de contabilidad (el cual ha quedado como histórico).

Uso de Memoria RAM

Esta gráfica muestra cuanta memoria RAM tiene instalada el sistema y cuanta se está usando para

intercambio y para las aplicaciones.

Normalmente cuando una PC tiene Virus la memoria usada (USED) llega a ocupar casi el 100% de la

memoria total, esta gráfica muestra que el % de memoria usada es balanceado (25%) y por lo tanto ninguna

aplicación está consumiendo totalmente los recursos del sistema.

23 de jul.

Programas en ejecución

Aquí podemos ver que aplicaciones se estaban ejecutando a la hora de tomar los datos, esta parte es útil para

determinar si la PC está infectada con algún Virus o si es necesario impedir que muchas de estas sigan

ejecutándose en el futuro. Por ejemplo puedo saber si una PC está ejecutando el LogMeIn y quizá no tenga

autorización para hacerlo.

Procesos de Inicio

Al igual que Ccleaner con WinAudit podemos saber que programas se ejecutan al iniciar Windows, aquí es

posible detectar Virus que se autoejecutan al encender la computadora.

23 de jul.

Este informe lo veo mas completo que el de Ccleaner porque además de las aplicaciones que se que se

inician veo aquellas que están ocultas como ser los desktop.ini ubicados en la carpeta de INICIO de Windows.

Estos desktop.ini son simples archivos de texto por lo tanto no los considero un peligro.

User Accounts

Se nos desglosa aquellas cuentas de usuario que están configuradas en la computadora, si vemos alguna que

no consideramos sea permitida aquí lo sabremos.

Si hacemos clic en alguna de las cuentas podemos obtener información sobre la misma:

Es posible saber si la cuenta de Administrador tiene configurado Password (Si Password Age es mayor a

CERO), podemos saber cuando fue la fecha del último inicio de sesión con ese usuario (Last Logon), a que

hora se cerró sesión por ultima vez (Las Logoff).

En Bad Password Count es possible saber cuantas veces alguien se ha equivocado adivinando la contraseña

(útil para saber si nos quieren atacar), el Number of Logons es un contador de cuantas veces alguien ha

iniciado sesión con esta cuenta.

23 de jul.

Password Expired nos indica si la contraseña ha expirado y si dicha cuenta está configurada para que la

contraseña expire (Account Expires), esto es importante porque al expirar una cuenta cualquier puede

cambiarle el password.

Un ejemplo de uso es ver el Number of Logons en una PC donde rara vez nosotros intervenimos para hacer

algo como administradores, si este es alto entonces significa que alguien tiene acceso como Administrador

por lo tanto es conveniente tomar medidas.

Puertos Abiertos

Acá podemos ver cuales son los puertos que tiene abiertos nuestra computadora, esto es algo bien delicado

porque por medio de ellos un atacante puede ingresar a nuestra red, en mi caso tengo varios puertos abiertos

como ser el puerto 25 (por mi cliente de correo), el puerto 80 (porque aquí tengo un servidorcito apache de

pruebas), otros como el 443 (HTTP seguro) y otros relacionados con algunas aplicaciones que utilizo.

En el caso de usuarios con pocos privilegios lo mas conveniente es cerrar los puertos que no se van a utilizar,

como en el caso del puerto 80, el puerto 23 del TELNET (si no lo usamos en la empresa), o el puerto para el

SSH (el 22).

En fin los puertos abiertos pueden usarse por alguien malintencionado para ganar acceso a una PC y atacarla

o tomar información delicada.

23 de jul.

En la imagen se ve un ejemplo de la información que WinAudit recopila de un puerto, vemos el nombre del

servicio (service name: smtp) el número del puerto (25), si este está escuchando (LISTEN), y el nombre del

proceso de Windows que controla dicho puerto (Process Name).

Procesos

En esta sección se puede ver que procesos (programas que ejecutan algún servicio en el sistema) están

configurados.

Muchos de estos son útiles, como por ejemplo la Cola de Impresión o el Plug and Play, pero hay Virus que

pueden ejecutarse como servicios de Windows y aparecerán en esta lista.

Si hacemos clic en alguno de los procesos de la lista podemos ver sus detalles:

23 de jul.

Como en este caso estoy viendo el servicio proveído por mi antivirus, este proceso se encarga de mantener

protegido al sistema de la entrada de cualquier amenaza de virus.

En State vemos que está en Running, esto quiere decir que el servicio del antivirus se está ejecutando,

muchos virus detienen a los servicios del antivirus o sea que si el State estuviera en Stopped entonces habría

problemas en la computadora.

En mi caso tengo al servicio TELNET detenido:

Observar que el State está en Stopped, porque no quiero que alguien pueda conectarse a mi PC vía Telnet.

Los informes de WinAudit son muy extensos como para ponerlos aquí pero son una herramienta útil para

diagnosticar e inventariar una PC, en Internet encontramos herramientas similares como Aida o Sandra pero

no había visto una aplicación con reportes tan completos y con tantas posibilidades de exportación como

WinAudit.

Mi próximo inventario lo haré con esta versátil herramienta que ni siquiera necesita instalarse lo que la hace

altamente portable.

23 de jul.

IPTools

Es una completa suite de herramientas para hacer pruebas en red las cuales antes era necesario instalar

programas por separado o usar los comandos de Windows.

A continuación desgloso las herramientas que trae que más me llamaron la atención:

Monitor de conexiones (Monitor)

El monitor permite ver los puertos que tenemos abiertos y saber la IP remota que está accediendo por ellos,

además del estado del puerto y el proceso asociado al mismo.

Por ejemplo aquí estoy viendo que a través del puerto 1362 estoy conectado a la IP 64.94.18.205 y el proceso

que está utilizando este puerto es TmProxy.exe, esto se debe a que dicho proceso pertenece a mi antivirus y

por medio de el se conecta al servidor de Trend Micro para descargar una actualización del mismo.

Escaner de Recursos Compartidos

El NB Scanner permite ver los recursos compartidos de una o varias direccions IP, por ejemplo aquí muestro

los recursos compartidos de mi dirección IP:

23 de jul.

Tengo 6 recursos compartidos, salen las rutas de los mismos y el tipo de recurso.

SNMP Scanner

Permite localizar aquellos dispositivos que soportan SNMP (Protocolo Simple de Administración de Red) por

ejemplo aquellos que pueden administrarse a través de red sin necesidad de estar conectados directamente a

una PC.

En mi red encontró 3:

El primero (192.168.60.106) es un NAS que tenemos instalado en la red, el segundo (192.168.60.201) es una

fotocopiadora/impresora de red y el tercero (192.168.60.200) es un Print Server instalado para una impresora

Laser marca HP.

Name Scanner

Con el podemos ver que nombre tiene los equipos en una Red, podemos poner un rango de direcciones y el

nos va dando el nombre de cada uno.

En la imagen muestro los nombres de los equipos en mi Red desde la 192.168.60.100 hasta la

192.168.60.106.

23 de jul.

El DB es un servidor de bases de datos, el apps.cofisa.hn es un servidor de aplicaciones, el Proxy es mi

servidor para el Internet y el NAS es un dispositivo de almacenamiento en red.

Port Scanner

Con el es posible ver los puertos TCP que se tiene abiertos en un dispositivo, por ejemplo aquí hice un port

scanner a la PC que tenemos para nuestra Intranet (192.168.60.6), estos fueron los resultados:

Puedo ver que solo está abierto el puerto 80 para esa PC porque es donde se presta el servicio para nuestra

Intranet (servicio HTTP por dicho puerto).

UDP Scanner

Permite saber que puertos UDP están abiertos para un dispositivo, en el ejemplo muestro un escaneo de este

tipo que le hice a la PC para mi Intranet (192.168.60.6):

23 de jul.

Solo sale un puerto UDP abierto, es el 123 correspondiente an Network Time Protocol, es lógico porque tengo

mis servidores sincronizados a un servidor de tiempo el cual está instalado en la misma PC del servidor de

correo electrónico, por eso tuve que abrir dicho puerto en los demás servidores, así de esta forma todos

tienen la misma hora.

Con estas herramientas puedo ver todos los puertos abiertos para un bloque de direcciones IP, en auditoria

eso es de gran ayuda para revisar la cantidad de vulnerabilidades que puede tenerse en una red.

Ping Scanner

Permite hacer ping a uno o varios hosts al mismo tiempo, de esta forma es posible monitorear el tiempo de

respuesta en la red de cada uno.

Trace

Permite saber por cuantos host se debe pasar para llegar a un host determinado, o sea seguir el rastro para

llegar a un servidor.

Por ejemplo para visitar la página de COFISA desde dentro de mi empresa debe pasarse por los host

siguientes:

23 de jul.

Esto sirve para evaluar si la conexión se cae en algún punto de la conexión para determinar di el problema es

de nuestro proveedor de Internet o de el servidor que nos presta el webhosting.

WhoIS

Permite obtener información acerca de una dirección IP o de una DNS, por ejemplo aquí hice un WHOIS al

sitio WEB de COFISA:

Veo información detallada sobre mi HOST, esta información está disponible para toda la gente que quiera

consultar, WHOIS puede resultar útil a la hora de identificar un servidor o dirección IP desconocido.

IP Monitor

Permite monitorear cuantos paquetes para los protocolos TCP, UDP, ICMP y aquellos que generan error:

Esta gráfica es para TCP

Esta gráfica es para UDP Esta gráfica es para ICMP

23 de jul.

Si alguien nos estuviera haciendo PING la gráfica de ICMP se levantaría, sería una buena forma de saber si

alguien está intentando localizarnos o haciéndonos un escaneo, la siguiente imagen muestra que pasaría con

la gráfica para ICMP si alguien nos está haciendo PING:

La gráfica ICMP se disparó hacia el tope cuando alguien comenzó

a hacer ping hacia mi HOST

Host Monitor

Esta es una de la herramientas que me llamó la atención, con ella podemos saber si una HOST está inactivo o

no puede comunicarse con él.

En la siguiente imagen estos observando 7 hosts que son útiles en mi trabajo (COFISA:

Con esta herramienta puedo saber si alguno tiene problemas, además que permite configurarlo para que

ocurra algo en caso de que algun HOST esté caído, por ejemplo: mandarme un correo electrónico, generar un

mensaje de alerta, o ejecutar algún programa a mi gusto hasta incluso reproducir un sonido de alarma.

23 de jul.

Las IPTools son realmente un completo conjunto de herramientas para monitorear una red, son livianas, son

gratis y tienen todo lo que necesito en un solo lugar.

CONCLUSIONES GENERALES.

El trabajo anterior se realizo durante el periodo de cuatrimestre de la maestría de Sistemas de información

desde una parte inicial de planeación, metodología, informe y finalmente las posibles sugerencias encontradas

en cuanto a el estudio, en verdad trajo muy buenos conocimientos en el campo de revisión, estudio y análisis

en los sistemas, además de cómo llevar una metodología correcta para realizarla. En cuanto al trabajo de la

auditoria en sí, podemos remarcar que se precisa de gran conocimiento de Informática, seriedad, capacidad,

minuciosidad y responsabilidad; la auditoria de Sistemas debe hacerse por gente altamente capacitada, una

auditoria mal hecha puede acarrear consecuencias drásticas para la empresa auditada, principalmente

económicas. El profesor nos iba indicando y asesorando cada uno de estos puntos hasta totalizar el proceso.

23 de jul.

BIBLIOGRAFIA.

5. ALONSO RIVAS, GONZALO Auditoria Informática. Díaz de Santos. Madrid 1998. 187 págs.

6. JUAN RIVAS, ANTONIO DE y PÉREZ PASCUAL, AURORA La Auditoria en el desarrollo de Proyectos Informáticos. Díaz de Santos. Madrid 1998. 178 págs.

7. MILLS, DAVID Manual de Auditoria de la calidad. Gestión 2000. Barcelona 1997. 242 págs.

8. PIATTINI VELTHUIS, MARIO y DEL PESO NAVARRO EMILIO (Editores) Auditoria Informática: Un enfoque práctico. y Alfaomega. México 1998. 609 págs. PIATTINI VELTHUIS, MARIO DEL

A. SITIOS WEB.

Auditoria de Sistemas. [ON LINE] Disponible en:

3. http://www.geocities.com/lsialer/NotasInteresantes.htm