UNIVERSIDAD ALAS PERUANAS FILIAL ICA FACULTAD DE CIENCIAS CONTABLES Y FINANCIERAS
CURSO: AUDITORIA DE SISTEMAS CONTABLES Trabajo de Invest!a"#n: $A%dtora de& "o'(&ejo ed%"atvo Pro)* Car&os Lovato+ CATEDRATICO: M, CPCC -UAN CA-O SI,UAS
Fe".a: /01/21 0/34
INDICE: 1
AUDITORIA INFORMÁTICA
TEMA: 3* 0* 5* 6* 4* 2*
PA,INA
Introd%"" Introd%""#n*** #n******** ********** ****************** *************************** **************************** *******************5 *****5 Objetvos* Objetvos****** ********** ********** ********** ********** ********** ********** ************* ********************** ********************6 ******6 -%st7"a" -%st7"a"#n #n 8 a&"an"e**************** a&"an"e****************************** **************************** ***************4 *4 Ante"edentes*********************************** Ante"edentes********************************************************** ***********************2 2 Datos Datos nstt%"o nstt%"ona&es na&es***** ********** ********** ********** ********** *************** **********************9 ************9 ; P&anea"#n* P&anea"#n****** ********** ********** ********** ********** ********** ********** ********** ***************** *********************< *********<
2*3Or!an!ra'a**********************************************************3/
2*0Inventaro*************************************************************30130 2*5Ra=ones de &a a%dtor>a****************************** a%dtor>a**************************************** ***********35136 *35136 9 Objetvos de &a a%dtor>a****************** a%dtor>a**************************** ********************* ************* ** 34 ; Carta******************************************* Carta********************************************************************** *************************** 32 < D"ta'en 7na&************************************ 7na&********************************************** ******************** ********** 39 3/ ?a&&a=!o se!%rdad )>s"a************************ )>s"a********************************* *************** ****** 3; 33 ?a&&a=!o se!%rdad de& (ersona&****************** (ersona&************* ********** ********** ***** 3< 30 ?a&&a=!o se!%rdad de .ard@are 8 so)t@are************ 0/ 35 ?a&&a=!o de se!%rdad de datos********************* datos*********** *************** ******** *** 03 36 Aneos******************************************* Aneos***************************************************** ******************** ************ 00 C%estonaro de Se!%rdad )>s"a************************* )>s"a********************************* ******** 05 34 C%estonaro de se!%rdad de (ersona&****************** (ersona&*******************06* *06* 32 C%estonaro de se!%rdad de ?ard@are 8 so)t@are* 04 39 C%estonaro de datos*************************************** datos******************************************** *****02 02 3; Bb&o!ra)>a************* Bb&o!ra)>a**************************************** ********************************************* ******************** 09
INTRODUCCIN: La tecnol tecnologí ogía a inform informáti ática ca (hardw (hardware, are, softw software, are, redes, redes, bases bases de datos, datos, etc.) etc.) es una herramienta estratégica que brinda rentabilidad y ventajas cometitivas a los negocios 2
AUDITORIA INFORMÁTICA
frente a otros negocios similares en el mercado, ero uede originar costos y desventajas si no es bien administrada or el ersonal encargado. La soluci!n clara es entonces reali"ar evaluaciones oortunas y comletas de la funci!n informática, a cargo de ersonal calificado, consultores e#ternos, auditores en informática o evaluaciones eri!dicas reali"adas or el mismo ersonal de informática. $urge entonces la obvia necesidad de auditar la funci!n informática, ya que resulta innegable que la misma se ha convertido en una herramienta ermanente y necesaria de los rocesos rinciales de los negocios, en un aliado confiable y oortuno. %sto es osible si se imlementan los controles y esquemas de seguridad requeridos ara su arovechamiento !timo. &na ve" que la alta direcci!n comrenda la imortancia de contar con un área indeendiente que asegure y romueva el buen uso y arovechamiento de la tecnología de informática, ya uede delegar la resonsabilidad en ersonal altamente caacitado ara ejercer la auditoría en informática dentro de la organi"aci!n de manera formal y ermanente. 'ebemos recordar que en los tiemos modernos e#isten grandes retos tanto dentro de la emresa rivada como también en las instituciones del estado, si se uede observar or que los resuuesto del estado son tan altos ero no tienen los resultados eserados en otras alabras no es efica" es orque algunas veces los recursos no se están utili"ando de la manera necesaria e indicada. 'ebido a esto solamente se retende hacer una auditoría de una forma sencilla en tan solamente una instituci!n del estado y de está formar oder contribuir al mejoramiento y rendimiento del l área informática del comlejo educativo rof. *arlos Lobato+. %l ro!sito de estar llevando a cabo dicho royecto es con el fin de oder contribuir con el ersonal asignado a administrar el centro de comuto roveyéndole algunas recomendaciones y herramientas necesarias ara que el rendimiento de este sea más otimo y de esta manera hacer más eficiente la funci!n corresondiente del centro de comuto ara que la instituci!n cumla sus objetivos rouestos.
OBJETIVOS: GENERAL:
3
AUDITORIA INFORMÁTICA
%valuar y verificar olíticas, controles, rocedimientos y seguridad en los recursos dedicados al manejo de la informaci!n su utili"aci!n, eficiencia y seguridad de la instituci!n a fin de que or medio del se-alamiento de cursos alternativos se logre una utili"aci!n más eficiente y segura de la informaci!n que servirá ara una adecuada toma de decisiones.
ESPECIFICOS: . %valuar el dise-o y rueba de los sistemas del área de /nformática 0. 'eterminar la veracidad de la informaci!n del área de /nformática 1. *onstatar los rocedimientos de control de oeraci!n, anali"ar su estandari"aci!n y evaluar el cumlimiento de los mismos. 2. 3erificar la forma como se administran los disositivos de almacenamiento básico del área de /nformática 4. *orroborar el control que se tiene sobre el mantenimiento y las fallas de las cs. 6. 3erificar que los rogramas obtengan su legali"aci!n. 5. 6acer un val7o de los costes del análisis funcional, el análisis orgánico, la rogramaci!n, las ruebas de rogramas, rearaci!n de datos y costes de desarrollo de cada alicaci!n medido en horas.
JUSTIFICACIÓN: La auditoría que se va a reali"ar en el comlejo educativo rof. *arlos Lobato es de vital imortancia ara el buen deseme-o de los sistemas de informaci!n, ya que roorciona los controles necesarios ara que los sistemas sean confiables y con un buen nivel de seguridad. 8demás
se evaluará todo9 informática, organi"aci!n de centros de
informaci!n, hardware y software. La evaluaci!n y control que se va a reali"ar tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la eficacia del sistema mecani"ado de informaci!n en que se sustenta dicha instituci!n. %l fin de dicha auditoría es de constatar si sus actividades son correctas y de acuerdo a las normativas informáticas y generales refijadas en la instituci!n+. %l siguiente royecto consiste en oder llevar a cabo lo que es la auditoría de el centro de comuto del comlejo educativo rof. *arlos lobato. 4
AUDITORIA INFORMÁTICA
%l desarrollo de este consiste en revisar y verificar si está siendo utili"ado el centro de comuto con los objetivos de dicha instituci!n, oder observar si el lugar es el indicado, la forma en que ha sido distribuido el equio, si el uso que cada ersona le da es correcto. or otro lado observar si es ágil y vera" y oortuna la informaci!n :ambién observar si el dise-o del centro de comuto es el adecuado, observar detenidamente su estructura de red el software que se está utili"ando y de esta manera desués de finali"ado el royecto se harán las recomendaciones necesarias ara oder que este funcione de la mejor manera.
ALCANCES: La auditoría será reali"ada dentro de la instituci!n afectando los distintos deartamentos areas institucionales9 . 8;%8 '% $/$:%<8$ = ;>*%'/%?:>$.
2. 8;%8 8'?/$:;8:/38 '% ;>*%$>$ %L%*:;>?/*>$ . 1. %38L&8*/>? '% L>$ %@&/>$ '% *A<&:>
ANTECEDENTES:
5
AUDITORIA INFORMÁTICA
%l *omlejo %ducativo Brofesor *arlos LobatoB es una instituci!n oficial del ;amo de %ducaci!n, con acuerdo oficial ?o. CDD de fecha 1 de febrero de DE0 y *!digo de /nfraestructura ?o. 05, ertenece al 'istrito %ducativo9 FEGF, Hona , :elefa#.9 0140G EC04. $u *'%. está legalmente constituido, en él se encuentran reresentados todos los sectores involucrados en el quehacer educativo institucional. 'urante el eríodo residencial del *oronel Iulio 8dalberto ;ivera (DC0GDC5), quién era originario de esta ciudad, fue construido el edificio ara albergar al /nstituto ?acional BIosé $ime!n *a-asB, el cual ofrecía los servicios educativos de lan Jásico y Jachillerato. %n D51 el Jachillerato fue trasladado a un nuevo edificio, convirtiéndose esta instituci!n en :ercer *iclo de %nse-an"a JásicaB Iosé $ime!n *a-asB, ero en el a-o de DE0 debido a los avances de la ;eforma %ducativa de la éoca y or la creaci!n de las escuelas unificadas, la matrícula disminuy! grandemente, de tal manera que se ens! en amliar el servicio educativo y fue así como a iniciativa de los rofesores 8gustín 8rturo >rellana Liévano, Iosé 8ntonio ;amos iche, h., *ristina %scoto de *háve", ;osa 8melia ;eyes de *ru" y
DATOS INSTITUCIONALES: 6
AUDITORIA INFORMÁTICA
INFORMACIÓN DEL CENTRO ESCOLAR : Nombre del Centro Escolar: Centro Escolar “COMPLEJO EDUCATIVO PROF CARLO! LO"ATO#
Ub$cac$%n &eo'r()$ca: El Centro Escolar “COMPLEJO EDUACATIVO PROF CARLO! LO"ATO# est( *b$cado )$nal doce calle Pon$ente + se,ta a-en$da norte .acatecol*ca Tel: /001 12/3 !$t$o 4eb: 5tt677: Ce6clLa6a8ed*s-7
VISIÓN Formar alumo!"a!# $o u al%o &ra'o '( '(!arrollo '( !u! )a*+l+'a'(! , '(!%r(-a! $o&+%+a!/ 0u( l(! 1(rm+%a a'0u+r+r a1r('+-a(! '( $al+'a'/ !u!%(%a'o! ( 1ro3u'o! alor(! 4%+$o! , moral(! 0u( lo! 1r(1ar( ( 3orma! (3+$+(%( , (3+$a- 1ara '(!(ol(r!( 51%+mam(%( ( la !o$+('a'/
MISIÓN: D(!arrollar ( !u! alumo!"a!# !a*(r(! , $om1(%($+a! +%(l($%ual(!/ 3!+$a!/ (mo$+oal(! , !o$+al(! 0u( l( 1(rm+%a r(!ol(r !a%+!3a$%or+am(%( lo! '(!a3o! 7 0u( !( l(! 1r(!(%a (l '+ar+o ++r/ ( u am*+(%( '( !aa $o+($+a '(mo$r7%+$a/ 1r++l(&+a'o la $o(8+!%($+a 1a$3+$a/ a'a1%7'o!( a la ra1+'(- '(l $am*+o '(l mu'o '( )o,/ r(!1(%a'o !u m('+o am*+(%( , *a!7'o!( ( ua !5l+'a ('u$a$+5 ( alor(! ( u ra !(%+'o ostvo de &a vda*
AUDITORIA INFORMÁTICA
OBJETIVO: Or+(%ar (l 0u( )a$(r 1('a&5&+$o )a$+a la 3orma$+5 '(l (!%u'+a%( m('+a%( (l 1ro$(!o '( 1ar%+$+1a$+5 '( la $omu+'a' ('u$a%+a '( la +!%+%u$+5 0u( 1(rm+%a (l '(!arrollo '( !u! 1o%($+al+'a'(! 1ara 0u( !(a $om1(%(%( ( lo! a!1($%o! $omu+$a%+o/ +(!%+&a%+o/ $r+%+$o/ $r(a%+o/ %ol(ra%(/ au%5omo , '(mo$r7%+$o/ r(!1o'+('o a! a lo! r(%o! +m1u(!%o! 1or la !o$+('a' ( (l 7m*+%o lo$al/ r(&+oal , a$+oal.
IDEARIO:
. Cr(a%++'a': *aacidad ara crear, organi"ar y llevar a cabo rouestas novedosas. 0. 9o(!%+'a': udor, recato en las acciones, decencia, urbanidad. 1. Com1rom+!o: *onvicci!n or la defensa de una causa. >bligaci!n roia de cumlir una romesa o una acci!n. 2. Or+(%a$+5 al !(r+$+o: /nclinaci!n y deseo de satisfacer las necesidades de las ersonas que conviven o están alrededor nuestro. 4. Or+(%a$+5 al r(!ul%a'o: /nclinaci!n or la obtenci!n de roductos concretos de los lanes y royectos que nos tra"amos. C. Tra*ao ( E0u+1o: *aacidad de cooerar en la laneaci!n, ejecuci!n y evaluaci!n de royectos comunes. 5. Sol+'ar+'a': $entimiento que imulsa a los hombres a resentar una ayuda mutua. 8
AUDITORIA INFORMÁTICA
PLANEACIÓN DE AUDITORA:
Nom*r( '( la (m1r(!a: *omlejo %ducativo rofesor *arlos Lobatos.
D+r($$+5: %l *entro %scolar *><L%I> %'&8*8:/3> ;>M. *8;L>$ L>J8:>+ está ubicado final doce calle oniente y se#ta avenida norte Hacatecoluca. :el9 0112 250F $itio Neb9 httOO9 *ecl.Laa".edu.svO
F($)a '( ++$+a$+5 '( o1(ra$+o(!: 3iernes C de mar"o del 0FC
G+ro '(l (&o$+o: /nstituci!n educativa
O*(%+o! '( la (m1r(!a: Mormar alumnos(as) con un alto grado de desarrollo rofesional que les ermita desenvolverse de una forma eficiente y en su entorno social y cultural.
O*(%+o! '(l $(%ro '( $5m1u%o: 8tender las necesidades comutacionales y
%#aminar en forma global y constructiva la estructura de la %ntidad9 *omlejo educativo rofesor *arlos Lobato enfocándose a su deartamento de comuto, contemlando asectos como9 lanes y objetivos, métodos y controles, formas de oeraci!n y organi"aci!n humana y jurídica.
9
AUDITORIA INFORMÁTICA
;r(a! a r(+!ar: 2. 8;%8 '% $/$:%<8$ = ;>*%'/%?:>$.
<. 8;%8 8'?/$:;8:/38 '% ;>*%$>$ %L%*:;>?/*>$ . C. %38L&8*/>? '% L>$ %@&/>$ '% *A<&:>.
09 Or'an$'rama de la ent$dad
C*D*E DIRECCION
SUBDIRECCION
DOCENTES
CENTRO DE COMPUTO
Persona& ad'nstratvo
19 Entre-$stas 6re-$as:
Las entrevistas estarán dirigidas al ersonal resonsable del área informática o a quien este de resonsable de la administraci!n yOo oeraci!n de los sistemas y equios de la entidad a auditar.
Ar(a! a (%r(+!%ar: . %ncargado del área de informática. 0. rofesores que imarten informática. 10
AUDITORIA INFORMÁTICA
1. ersonal administrativo.
O1++5: Malta de coordinaci!n en toma de decisiones, falta de olíticas. Pro*l(ma: %#iste falta de documentaci!n y organigrama en el área administrativa, :ambién falta de una red que abarque todas las áreas del centro educativo.
Su&(r($+a!: %laboraci!n de documentaci!n y establecer un organigrama en el área informática.
R(!um( &((ral: $eg7n lo observado en el comlejo educativo *arlos Lovato es falta de documentaci!n Malta de velocidad en internet, ermitir que todas las áreas estén conectadas en red, falta de algunas licencias en comutadoras que usa la secretaria y colecturía.
I(%ar+o '( (0u+1o 0u( (!%7 ( u!o ( (l $(%ro '( $5m1u%o:
CANTIDAD 1/ 1/ 1/ 1/ 1/ 1/ < < <
DESCRIPCION CPU MONITORE! TECLADO! MOU!E MUE"LE! !PEA;ER IMPRE!OR MULTI FUNCION Pace Panel !er-$dor
11
AUDITORIA INFORMÁTICA
Sala '( 'o$(%(!: Ca%+'a' 6 6 6 6 6 >
D(!$r+1$+5 C.P.U. Mo+%or(! T($la'o! Mou!( S1(a=(r Im1r(!or
S($r(%ara/ D+r($$+5/ Col($%ura: Ca%+'a' ? ? ? ? ?
D(!$r+1$+5 Mo+%or C.P.U. Mou!( T($la'o!. Im1r(!or(!.
D(%(rm+a$+5 '(l 7r(a a (!%u'+ar: ;r(a '( !+!%(ma! , 1ro$('+m+(%o!. Ra-o(!: ) oder observar la descrici!n general de los sistemas instalados y de los que estén or instalarse que contengan vol7menes de informaci!n. 0) ;evisar el manual de rocedimientos de los sistemas. 1) %valuar los sistemas de informaci!n en general desde sus entradas, rocedimientos, controles, archivos, seguridad y obtenci!n de informaci!n. 2) 3erificar la adecuaci!n del sistema oerativo, versi!n del software utili"ado, como en los asectos relativos a la rogramaci!n de las distintas alicaciones, rioridades de ejecuci!n, lenguaje utili"ado. 12
AUDITORIA INFORMÁTICA
4)
verificar que la documentaci!n relativa al sistema de informaci!n sea clara, recisa, actuali"ada y comleta.
;r(a a'm++!%ra%+a '( 1ro$(!o! (l($%r5+$o!: Ra-o(!9 . ;ecoilar informaci!n ara obtener una visi!n general del deartamento or medio de observaciones, entrevistas reliminares y solicitud de documentos ara oder definir el objetivo y alcances del deartamento. 0. 3erificar los ;egistras de los costos en el desarrollo de la alicaci!n y contemlar el nivel de servicio en términos de calidad y tiemos mínimos de entrega de resultados de la oeraci!n del comutador.
1. 8nali"ar el manual de organi"aci!n del área que incluya uestos, funciones, niveles jerárquicos y tramos de mando. 2. $olicitar el manual de olíticas, reglamentos internos y lineamientos generales. ?7mero de ersonas y uestos en el área. rocedimientos administrativos del área. resuuestos y costos del área.
4. 8nali"ar los costes de ersonal directamente relacionado con el sistema de informaci!n.
Ealua$+5 '( lo! (0u+1o! '( $5m1u%o: Ra-o(!:
. ;evisar n7mero de equios, locali"aci!n y las características (de los equios instalados, or instalar y rogramados). 0. *onocer las fechas de instalaci!n de los equios y lanes de instalaci!n.
13
AUDITORIA INFORMÁTICA
1. ;evisar la configuraci!n de los equios y sus caacidades actuales. 2. ;evisar las olíticas de uso de los equios.
4. ;evisar el manual en el que se encuentra estructurada la forma en que se da el mantenimiento al equio informático.
Comentar$os 'enerales
Com(%ar+o!: *on esta informaci!n queremos considerar las características de conocimientos, ráctica rofesional y caacidad que
tiene
el ersonal encargado de la administraci!n de
informática de esta instituci!n.
OBJETIVOS DE LA AUDITORA INFORM;TICA EN EL COMPLEJO EDUCATIVO CARLOS LOBATO.
OBJETIVO GENERAL: :ener un anorama actuali"ado de los sistemas de informaci!n en cuanto a la seguridad física, las olíticas de utili"aci!n, transferencia de datos, seguridad de los archivos y el ersonal que labora en la instituci!n.
OBJETIVOS ESPECIFICOS: . $e evaluaran la e#istencia y la alicaci!n correcta de las olíticas de seguridad, emergencia y desastres de la instituci!n. 0. $e efectuará una evaluaci!n de la seguridad del equio, software y datos. 1. :ambién se verificará que la seguridad de los usuarios del centro de c!muto. 14
AUDITORIA INFORMÁTICA
8&'/:>;P8 '% $/$:%<8$9 8sesoría y auditoría de c!muto Hacatecoluca 0 de Iunio del 0FC $r. 'irector, Jenjamín 'ía" ?uila9
AUDITORIA INFORMÁTICA
%n el citado informe encontrará el dictamen y las condiciones a las cuales se lleg! desués de la alicaci!n de las técnicas y rocedimientos de la auditoría de sistemas de tio integral.
@uedo a sus !rdenes or cualquier consulta o aclaraci!n al resecto.
M9QQQQQQQQQQQQQQQQQQQQQQQQQQQQ Iuan Iosé Mlores ;esonsable.
*><L%I> %'&*8:/3> ;>M. *8;L>$ L>J8:>. Hacatecoluca 0 de Iunio del 0FC. rofesor Jenjamín 'ía" ?uila 'irector, resente9 'e acuerdo con las instrucciones giradas de la administraci!n de la instituci!n a su digno cargo me ermito remitir a usted el dictamen de la auditoría racticada en el centro de c!muto con esecialidad en la administraci!n, funcionamiento y oeraci!n del sistema de red de esa instituci!n. 'e los resultados obtenidos durante la evaluaci!n me ermito informarle a usted lo siguiente9 a) $eguridad Mísica 16
AUDITORIA INFORMÁTICA
b) $eguridad del ersonal c) $eguridad del $oftware y hardware d) $eguridad de los datos. 'e acuerdo con las ruebas reali"adas a la administraci!n, funcionamiento y oeraci!n y de acuerdo con los criterios de evaluaci!n recomiendo me ermito dictaminar y recordar. 8tentamente9 Iuan Iosé Mlores.
SEGURIDAD FISICA: >JI%:/3> %?%;8L9 oder determinar las debilidades y fortale"as en la seguridad física del equio y el edificio donde se encuentra instalado el sistema de informaci!n y sus olíticas sobre la seguridad, y luego oder hacer algunos se-alamientos que contribuirán con las mejoras de esta. >JI%:/3>$ %$%*/M/*>$9 . ;evisi!n de las olíticas y ?ormas sobre seguridad Mísica de los equios. 0. 3erificar la estructura de la distribuci!n de los equios y la correcta utili"aci!n. 1. 3erificar la condici!n del centro de c!muto y evaluar si e#iste un manual donde e#lique los rocedimientos ara efectuar el mantenimiento. 8L*8?*%$9 La auditoría se reali"ará haciendo una constataci!n de las diferentes alicaciones técnicas de $eguridad y rotecci!n que tienen que e#istir en el equio del centro de c!muto. 17
AUDITORIA INFORMÁTICA
9ALLA@GOS EN CONTRADOS: INSTITUCIÓN: AREA AUDITADA: FEC9A: REF CONDICIÓN ?o e#iste un manual de lanes de mitigaci!n de riesgos. >
?o se encuentran manuales de físicos de rocesos ara mantenimiento 0
Com1l(o ('u$a%+o Pro3. Carlo! Lo*a%o. S(&ur+'a' F!+$a. 2< '( ma,o '(l 2>6 CRITERIO CAUSA EFECTO 8rt. 1D.G La 'ice que no le %l roblema es 'irecci!n de han entregado que en un /nformática deberá de arte de momento elaborar la olítica y sus líderes ueda ocurrir un lan de *ontingencia dicho manual. siniestro y no de los sistemas de habrá forma de informaci!n que oder restablecer ermita continuar el sistema. oerando en casos de siniestros, fallas etc. 8rt. 4F. La 'irecci!n ?o lo han Lo que esto de /nformática, a elaborado uede ocasionar través de la erencia todavía. es que se ierda de $oorte :écnico, el control del tendrá la mantenimiento. resonsabilidad de garanti"ar el mantenimiento reventivo y correctivo del equio informático y
RECOMENDACIÓN $e les recomienda oder elaborar una manual de contingencias.
$e recomienda elaborar lo antes osible este manual de soorte ara un buen de control.
SEGURIDAD DEL PERSONAL: >JI%:/3> %?%;8L: 3erificar si se han adotado medidas de seguridad en los diferentes deartamentos del área informática con resecto al ersonal que labora en dicha instituci!n.
>JI%:/3>$ %$%*/M/*>$9 . *onstatar si se ha instruido el ersonal sobre qué medidas tomar en caso de que se encuentren en alg7n eligro ya sea or desastre natural o de otra índole. 18
AUDITORIA INFORMÁTICA
0. 3erificar si e#isten olíticas que reguarden la integridad física de las ersonas.. 1. *onstatar si las instalaciones cuentan salidas de emergencias, sistema de alarma or resencia de fuego, humo, así como e#tintores de incendio en cone#iones eléctricas.
8L*8?*%9 ;evisi!n de olíticas y normas que dicten las acciones a tomar en caso de alg7n eligro o alarma que vaya en erjuicio de la seguridad de los usuarios.
9ALLA@GOS INSTITUCIÓN: AREA AUDITADA: FEC9A: REF CONDICIÓN udimos constatar que no e#iste salida de emergencias. ?o e#isten e#tintores de 0 fuego. %laborado or9 8robado or9
Com1l(o ('u$a%+o Pro3. Carlo! Lo*a%o. S(&ur+'a' '(l 1(r!oal. 2< '( ma,o '(l 2>6 CRITERIO CAUSA EFECTO ?o hay %se es el uede ver alg7n dise-o atascamiento de los que está usuarios a la hora de utili"ando alguna emergencia el
RECOMENDACIÓN %s necesario crear una uerta de emergencia. $e recomienda comrar e#tintores lo más ronto osible.
SEGURIDAD DEL SOFTARE 9ARDARE: >JI%:/3> %?%;8L9 *omrobar que la adecuaci!n de hardware, sistema oerativo, versiones del software utili"ado, como también en los asectos relativos a la rogramaci!n de las distintas alicaciones, rioridades de ejecuci!n, lenguaje utili"ado y la documentaci!n necesaria haga constar que e#iste una administraci!n adecuada que garantice la seguridad de la arte tangible e intangible de los equios de c!muto. %$%*/M/*>$9 ) *omrobar la e#istencia de un lan de actividades revio a la instalaci!n de equios. 0) ;atificar si e#isten garantías ara roteger la integridad de los recursos informáticos. 1) %valuar si e#isten lanes e informes del mantenimiento de equios y del software tanto reventivo como correctivos. 19
AUDITORIA INFORMÁTICA
8L*8?*%$9 oder observar y evaluar la descrici!n general de los equios instalados ara hacer una valori"aci!n de la seguridad en todos sus asectos tanto en el hardware como también en el sistema oerativo y rogramas.
INSTITUCIÓN: AREA AUDITADA: FEC9A: REF
Com1l(o ('u$a%+o Pro3. Carlo! Lo*a%o. $eguridad del hardware y software. 04 de mayo del 0FC
CONDICIÓN ?o se encontraron las licencias de
%laborado or9 8robado or9
CRITERIO
CAUSA
8rt. 25.G La 'irecci!n de ?o se han /nformática, a través de la ido a traer erencia de $oorte :écnico al
EFECTO uede darse un roblema con alguna auditoría or arte de los ministerios encargados de velar contra la iratería.
SEGURIDAD DE LOS DATOS: >JI%:/3> %?%;8L9 . *orroborar si e#iste integridad y seguridad en los sistemas de gesti!n de las bases de datos o
si se han formulado olíticas resecto a su seguridad,
rivacidad y rotecci!n de las facilidades de rocesamiento ante eventos como9 incendio, vandalismo, robo y uso indebido, intentos de violaci!n etc. >JI%:/3>$ %$%*/M/*>$9 . 3erificar si e#isten restricciones y control ara accesar a la base de datos de la instituci!n y si la interfa" que e#iste entre el $J' y el $> es el adecuado. 0. *omrobar si las bases de datos guardan la informaci!n necesaria y adecuada ara la instituci!n educativa y si e#iste un control estricto de las coias de estos archivos, la e#isten bacRus y su resguardo en lugares seguros. 1. %valuar si se han imlantado claves o assword ara garanti"ar oeraci!n de consola y equio central (mainframe), a ersonal autori"ado. 8L*8?*%$9 20
REC $e rec mante legalid neces
AUDITORIA INFORMÁTICA
;evisi!n de manuales que contengan las olíticas de seguridad de las bases de datos y hacer un cheque de la funci!n de los gestores de base de datos y su informaci!n corresondiente.
9ALLA@GOS: INSTITUCIÓN: AREA AUDITADA: FEC9A: REF. CONDICIÓN ?o se encontrar!n normas y olíticas ara el resguardo de las bases de datos.
.?o se elaboran bacRus 0
%laborado or9 8robado or9
Com1l(o ('u$a%+o Pro3. Carlo! Lo*a%o. S(&ur+'a' '( lo! 'a%o!. 2< '( ma,o '(l 2>6 CRITERIO CAUSA EFECTO 8rt. 24.G La 'irecci!n de %l ?o e#istirá un /nformática será la encargado control resonsable de la no había adecuado ara administraci!n integral del leído el el resguardo modelo de datos l!gico y control de la físico de la base de datos interno. informaci!n. de los sistemas de informaci!n de la /nstituci!n, ara lo cual deberán elaborarse las normas y olíticas resectivas. 8rt. 44.G La 'irecci!n de 'ice el %n un incendio /nformática debe dise-ar administra o cualquier controles de alicaci!n en dor que lo siniestro se la entrada, rocesamiento habían hará imosible y salida de informaci!n asado recuerar la ara revenir que la or alto. informaci!n. informaci!n se e#travíe. Iuan Iosé Mlores Jenjamín 'ía" ?uila.
21
RECOMENDACIÓN $e solicita crear normas y olíticas lo más ronto sea osible.
*omen"ar lo más ronto osible a crear bacRus.
AUDITORIA INFORMÁTICA
ANEOS: CUESTIONARIO DE SEGURIDAD FISICA:
PREGUNTA . S$e han adotado medidas de seguridad en el deartamento de sistemas de informaci!nT 0. S$e ha dividido la resonsabilidad ara tener un mejor control de la seguridadT 1. S%#iste ersonal de vigilancia en la instituci!nT 2. S$e investiga a los vigilantes cuando son contratados directamenteT 4. S%#iste una ersona encargada de velar el equio y accesorios en el centro de c!muto de c!muto las 02 horasT C. S$e registra el acceso al centro de c!muto de ersonas ajenas a la direcci!n de informáticaT 5. SLos interrutores de energía y cables de red están debidamente rotegidos, etiquetados y sin obstáculos ara alcan"arlosT E. S$e revisa frecuentemente que no esté abierta o descomuesta 22
SI
NO
AUDITORIA INFORMÁTICA
la cerradura de esta uerta y de las ventanas, si es que e#istenT D. S$e ha rohibido a los oeradores el consumo de alimentos y bebidas en el interior del deartamento de c!muto ara evitar da-os al equioT F. S$e limia con frecuencia el olvo acumulado en el iso y los equiosT . S$e tiene una calendari"aci!n de mantenimiento reventivo ara el equioT 0. SLas características físicas del centro de c!muto son seguras S 1. SLa distribuci!n de los quios de c!muto es adecuadaT 2. S%#isten olíticas de seguridad ara el centro de c!mutoT
CUESTIONARIO SEGURIDAD DEL PERSONAL: N
PREGUNTA S$e han adotado medidas de seguridad ara el ersonal y usuarios del
centro de c!mutoT S$e ha instruido a estas ersonas sobre qué medidas tomar en caso de que 0 1 2
alguien retenda entrar sin autori"aci!nT S%l centro de c!muto tiene salida de emergenciaT S$e ha adiestrado el ersonal en el manejo de los e#tintoresT S$aben que hacer los oeradores del deartamento de c!muto, en caso de
4 que ocurra una emergencia ocasionado or fuegoT S$e ha adiestrado a todo el ersonal en la forma en que se deben desalojar C las instalaciones en caso de emergenciaT S:ienen manuales que contengan normas y olíticas de seguridad del 5 E
ersonalT S%#isten manuales y olíticas de mitigaci!n de riesgosT
23
SI
NO
AUDITORIA INFORMÁTICA
SEGURIDAD DE SOFTARE 9ARDARE:
N
PREGUNTA S$e han instalado equios que rotejan la informaci!n y los disositivos en caso de variaci!n de voltaje como9 reguladores de voltaje,
0
suresores ico, &$, generadores de energíaT S$e hacen revisiones eri!dicas y sorresivas del contenido del disco ara verificar la instalaci!n de alicaciones no relacionadas a la gesti!n
1
de La instituci!nT S$e mantiene rogramas y rocedimientos de detecci!n e inmuni"aci!n
2
de virus en coias no autori"adas o datos rocesados en otros equiosT S%#isten controles que garanticen el uso adecuado de discos y
4
accesorios de almacenamiento masivoT S$e arueban los rogramas nuevos y se revisan antes de onerlos en
C
funcionamientoT S%#iste un rograma de mantenimiento reventivo ara cada disositivo
5 E D
del sistema de c!mutoT S%#iste legalidad de cada sistema oerativo o rograma. S%#iste un lan de actividades revio a la instalaci!nT %#iste documentaci!n que garantice la rotecci!n e integridad de los recursos informáticos.
F S%#isten normas o rocesos que no ermitan hacer
de c!muto sin autori"aci!n. %#isten inventarios de hardware, equios y eriféricos asociados y del
1
software instalado. SLos sistemas de hardware se acolan adecuadamente con la funci!n 24
SI
NO
AUDITORIA INFORMÁTICA
2
del softwareT %#isten revisiones eri!dicas del hardware y software
CUESTINARIO DE SEGURIDAD EN LOS DATOS: N >
PREGUNTA SLa organi"aci!n tiene un sistema de gesti!n de base de datos
2 ?
($J')T SLa interfa" que e#iste entre el $J' y el $> es el adecuadoT S%#iste un control estricto de las coias de estos archivosT SLas bases de datos guardan la informaci!n necesaria y adecuada ara
< 6
la instituci!n educativaT S%#iste una ersona resonsable de la base de datos de la instituci!nT S$e mantiene un registro ermanente (bitácora) de todos los rocesos reali"ados, dejando constancia de susensiones o cancelaciones de
rocesosT $e han imlantado claves o assword ara garanti"ar oeraci!n de consola y equio central (mainframe), a ersonal autori"ado.
H >
S%#isten bacRus y se guardan en lugares seguros y adecuadosT S$e reali"an auditorias eri!dicas a los medios de almacenamientoT S%#iste un rograma de mantenimiento reventivo ara el disositivo
>> >2
del $J'T S%#isten integridad de los comonentes de seguridad de datosT S%#isten rocedimientos de reali"aci!n de coias de seguridad y de
>? >
recueraci!n de datosT S%#iste un eríodo má#imo de vida de las contrase-asT S%n la ráctica las ersonas que tienen atribuciones y rivilegios dentro del sistema ara conceder derechos de acceso son las autori"adas e
>< >6 > >H
incluidas en el 'ocumento de $eguridadT S%#isten rocedimientos de asignaci!n y distribuci!n de contrase-asT S%#isten rocedimientos ara la reali"aci!n de las coias de seguridadT S%#isten controles sobre el acceso físico a las coias de seguridadT S%#isten diferentes niveles de acceso al sistema de gesti!n de contenidosT
25
SI
NO
AUDITORIA INFORMÁTICA
BIBLIOGRAFA: . 8uditoría de $istemas9 $/$G1F1 &niversidad *at!lica Joliviana 'ocente h.'. /ndira ;ita u"mán de álve"
2. *ontrol interno del
26