SlideShare una empresa de Scribd logo
1 de 11
Descargar para leer sin conexión
Auditoria de sistema
Auditoria de sistema
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE FILOSOFÍA, LETRAS
Y CIENCIAS EN LA EDUCACIÓN
AUDITORIA EN SISTEMAS
Tema:
AUDITORIA DEL DEPARTAMENTO DE
INFORMÁTICA EN LA UNIDAD EDUCTIVA
ESTEBAN CORDERO “FE Y ALEGRIA”

Integrantes:
 Aaron Moyolema Tenegusniay
 Jerson Baque Burgos
 Stefany Vera Quinde
ESTUDIO PRELIMINAR
LOEI (LEY ORGANICA DE EDUCACION INTERCULTURAL)
Revisar la ley orgánica de educación intercultural emitida el día Nueve de Marzo
del año 2011.

EXPLORAR EL ENTORNO DEL DEPARTAMENTO DE
INFORMATICA
En este punto se deberá observar el sistema de trabajo del departamento de
informática del Centro Educativo que se va a auditar.

DEFINIR LOS SERVICIOS
Realizar respaldo de la información y procesos de cómputo que se
realizan
en la Dirección, conforme a parámetros preestablecidos.
Llevar registros de fallas, problemas, soluciones, acciones desarrolladas,
respaldos, recuperaciones y trabajos realizados.
Realizar labores de mantenimiento y limpieza de los equipos del centro de
cómputo.
Cumplir con las normas, reglamentos y procedimientos establecidos por la
Dirección para el desarrollo de las funciones asignadas.
Ejecutar los procesos asignados conforme a los programas de producción
y
calendarios preestablecidos, dejando el registro correspondiente en las
solicitudes de proceso.
Revisar los resultados de los procesos e incorporar acciones correctivas
conforme a instrucciones de su superior inmediato.
Desarrollo de aplicación.
Instalación de redes.
Capacitación.
Cursos.
Administración de base de datos.

IDENTIFICAR AL ENCARGADO DEL DEPARTAMENTO DE
INFORMATICA
En este punto se deberá reconocer a cada uno de los encargados de las
diferentes áreas del centro educativo al que se va a auditar.
REVISION Y EVALUACION DE LOS CONTROLES
DE SEGURIDAD
REVISION DE SISTEMAS.
La revisión sistemas se ocupa de analizar la actividad que se conoce como
técnica de sistemas en todos sus factores. En la actualidad la creciente de las
Telecomunicaciones ha propiciado que las comunicaciones, líneas y redes de las
instalaciones informáticas, se auditen por separado, aunque formen parte del
entorno general de sistemas (Ej: De auditar el cableado estructurado, ancho de
banda de una red LAN).

REVICION DE COMUNICACIONES DE REDES
El auditor en comunicaciones deberá inquirir o actuar sobre los índices de
utilización de las líneas contratadas con información abundante sobre tiempos de
uso y no uso, deberá proveerse de la topología de la red de comunicaciones
actualizada, ya que la des actualización de esta documentación significaría una
grave debilidad. La inexistencia de datos sobre cuántas líneas existen, cómo son
y dónde están instaladas, supondría que se bordea la inoperatividad informática.

En la auditoria de comunicaciones ha de verse:
La gestión de red. Los equipos y su conectividad.
La monitorización de las comunicaciones.
La revisión de costes y la asignación formal de proveedores.
Creación y aplicabilidad de estándares.
Cumpliendo como objetivos de control:
Tener una gerencia de comunicaciones con plena autoridad de voto
y
Acción.
Llevar un registro actualizado de módems, controladores, terminales,
líneas
y todo equipo relacionado con las comunicaciones.
Mantener una vigilancia constante sobre cualquier acción en la red.
Registrar un coste de comunicaciones y reparto a encargados.
Mejorar el rendimiento y la resolución de problemas presentados en la red.
REVISION DE LA SEGURIDAD INFORMATICA
Se debe tener presente la cantidad de información almacenada en el computador,
la cual en muchos casos puede ser confidencial, ya sea para los
individuos, las empresas o las instituciones, y puede ser mal utilizada o
divulgada a personas que hagan mal uso de esta. También pueden ocurrir
robos, fraudes o sabotajes que provoquen la destrucción total o parcial de
la actividad computacional. Esta información puede ser de suma importancia y
el no tenerla en el momento preciso puede provocar retrasos sumamente
costosos.
La Auditoria de la seguridad en la informática abarca los conceptos de seguridad
física y lógica. La seguridad física se refiere a la protección del hardware
y los soportes de datos, así como la seguridad de los edificios e instalaciones que
los albergan. El auditor informático debe contemplar situaciones de
incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc. Por su parte,
la seguridad lógica se refiere a la seguridad en el uso de software, la protección
de los datos, procesos y programas, así como la del acceso ordenado y
autorizado de los usuarios a la información.

REVISION DEL HADWARE
En hardware la auditoria informática se orienta a la verificación de ciertos
componentes físicos como por ejemplo cables, tornillos, placas, etc. y así llegar a
la conclusión de que estos estén registrados como propios y también que poseen
licencia. Para realizar la auditoria informática en hardware se debe plantear los
siguientes objetivos:

Determinar si el hardware se utiliza eficientemente.
Revisar los informes de la dirección sobre el uso del hardware.
Revisar si el equipo se utiliza por el personal autorizado.
Examinar los estudios de adquisición, selección y evolución del hardware.
Comprobar las condiciones ambientales.
Revisar el inventario del hardware.
Verificar los procedimientos de seguridad física.
Examinar los controles de acceso físico.
Revisar la seguridad física de los componentes de la red de teleproceso.

CONTROL INTERNO
La función del control interno informático es asegurarse de que las medidas que
se obtienen de los mecanismos implantados por cada responsable sean correctas
y válidas.

CLASIFICACION DE CONTROLES INTERNOS

CONTROLES PREVENTIVOS: Para tratar de evitar el hecho,
como un software de seguridad que impida los accesos no autorizados
al sistema.

CONTROLES DETECTIVOS: Cuando fallan los preventivos, para
tratar de conocer cuanto antes el evento. Por ejemplo, el registro de
intentos de acceso no autorizados, el registro de la actividad diaria
para detectar errores u omisiones, etc.

CONTROLES

CORRECTIVOS: Facilitan

la
suelta
a
la
normalidad cuando se han producido incidencias. Por ejemplo, la
recuperación de un fichero dañado a partir de las copias de seguridad.

CONTROLES DE SUPERVISIÓN: Son procedimientos utilizados
por la dirección para poder alcanzar los objetivos del negocio y así
controlarlo. Este tipo de controles proporcionan a la dirección, y por lo
tanto a los auditores, seguridad en cuanto a la fiabilidad de la información
financiera.

CONTROLES DE MANTENIMIENTO: Destinados a asegurar que
las modificaciones de los
procedimientos
programados
adecuadamente diseñadas, probadas, aprobadas e implantadas.

están

CONTROLES DE SEGURIDAD DE PROGRAMAS: Destinado
a garantizar que no se puedan efectuar cambios no autorizados en los
procedimientos programados.

CONTROLES DE SEGURIDAD DE FICHEROS DE DATOS:
Destinados a asegurar que no se puedan efectuar modificaciones no
autorizadas en los archivos de datos.

CONTROLES

DE

LA

OPERACIÓN

INFORMÁTICA:

Destinados a garantizar los procedimientos programados autorizados
se apliquen de manera uniforme y se utilicen versiones correctas de
los ficheros de datos.

CONTROLES

DE

SOFTWARE

SISTEMA: Destinados

a
asegurar que se implante un software de sistema apropiado y que
se encuentre protegido contra modificaciones no autorizadas.

CONTROLES DE IMPLEMENTACION: Destinados a asegurar
que los procedimientos programados para los nuevos sistemas son
adecuados y están efectivamente implementados, y que el sistema esté
diseñado para satisfacer las necesidades del usuario.
CONTROLES DE SEGURIDAD INFORMÁTICA: Este tipo de
controles evitarán el riesgo de fraude o de que información confidencial
o sensible llegue a personas no autorizadas dentro o fuera del centro
Educativo. Otro riesgo que evitaríamos con la seguridad física sería
el posible daño o destrucción de las instalaciones informáticas como
resultado de incendios, inundaciones o sabotajes que podrían interrumpir
la ejecución de los procesos.

CONTROLES

DE

OPERACIONES INFORMÁTICAS:

Los
procedimientos de operaciones que cubren procesos diferidos o por
lotes que se realizan en momentos específicos deben estar
documentados, programados y mantenidos en forma adecuada. Las
copias de seguridad de los programas y de los datos deben estar siempre
disponibles para casos de emergencia

CONTROLES DE SUPERVISIÓN: CONTROLES DE LOS
USUARIOS: Son los procedimientos manuales tradicionales que se
deben ejecutar sobre los documentos y transacciones antes y después
de su proceso en el ordenador para comprobar el adecuado y continuo
funcionamiento de los controles de las aplicaciones

EXAMEN DETALLADO DE AREAS CRÍTICAS

IDENTIFICAR LAS AREAS VULNERABLES
Con las fases anteriores el auditor descubre las áreas criticas y sobre ellas hace
un estudio y análisis profundo en los que definirá concretamente su grupo de
trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos,
alcance Recursos que usara, definirá la metodología de trabajo, la duración de la
auditoría, Presentará el plan de trabajo y analizara detalladamente cada problema
encontrado con todo lo anteriormente analizado en este folleto.

REALIZAR UN ESTUDIO A PROFUNDIDAD DE LAS AREAS
CRÍTICAS
Se deberá listar las aéreas que se vean vulnerablemente afectadas.
Se deberá realizar un estudio exhaustivo de los controles que arrojaron resultados
inadecuados para el uso de recursos educativos.
Empezando por identificar cual o cuáles son los motivos del fallo de cada una de
las aéreas afectadas.

CREAR EL GRUPO DE TRABAJO Y DISTRIBUIR LA CARGA
DEL MISMO
Una vez identificado las áreas criticas, se deberá conformar un grupo de trabajo
para proceder a analizar a profundidad dichas aéreas.

REALIZAR EL PLAN DE TRABAJO CORRESPONDIENTE
En esta etapa se debe realizar otro plan de trabajo, pero esta vez aplicado
exclusivamente a las áreas criticas.

ESTABLECER LOS RECURSOS QUE SE VAN A UTILIZAR
El auditor debe realizar una lista de recursos que necesitara para llevar a cabo
este proceso.

COMUNICACIÓN DE RESULTADOS

ELABORAR UN BORRADOR
El auditor deberá realizar un informe en borrador acerca de los resultados que
arroje el exhaustivo análisis.

PRESENTAR y DISCUTIR EL INFORME EN BORRADOR
El auditor deberá presentar el borrador con los dirigentes del centro educativo
exponiendo los PRO y los CONTRAS que obtuvo de los estudios realizados a
dicho centro educativo.

RECOMENDACIONES
Utilizando la lista de areas criticas, el auditor deberá realizar las recomendaciones
respectivas para cada uno de los problemas que tiene el centro educativo, con el
fin de que estos problemas sean superados.

RELIZAR EN INFORME FINAL
Por último el auditor deberá realizar el informe final, formalmente con todos los
datos recogidos durante toda la auditoria, informando del estado del sistema de
información que maneja el centro educativo al que se realizo la auditoria
informática.

Más contenido relacionado

La actualidad más candente

Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
8. tipos de auditoria en informatica
8.  tipos de  auditoria en informatica8.  tipos de  auditoria en informatica
8. tipos de auditoria en informaticaGemiunivo
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoriacesar209935
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticaJuan Anaya
 
Auditoria informatica pa exponer
Auditoria informatica pa exponerAuditoria informatica pa exponer
Auditoria informatica pa exponerJeampierre Meza
 
Auditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptxAuditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptxRamón Alexander Paula Reynoso
 
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemasUNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemasUNEG-AS
 
Unidad 5 auditoria de sistemas
Unidad 5 auditoria de sistemasUnidad 5 auditoria de sistemas
Unidad 5 auditoria de sistemasSzarguz
 
Auditoria Centro computo
Auditoria Centro computoAuditoria Centro computo
Auditoria Centro computokmiloguitar
 
Diseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemasDiseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemascaod24
 
Control interno
Control internoControl interno
Control internoeikagale
 
Ejemplo Caso Pratico Ati (Falta Lo De Auditoria Tec. No Esta Traducido)
Ejemplo Caso Pratico Ati (Falta Lo De Auditoria Tec. No Esta Traducido)Ejemplo Caso Pratico Ati (Falta Lo De Auditoria Tec. No Esta Traducido)
Ejemplo Caso Pratico Ati (Falta Lo De Auditoria Tec. No Esta Traducido)arkangel8801
 

La actualidad más candente (20)

Control interno informático
Control interno informáticoControl interno informático
Control interno informático
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informatico
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.ppt
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
8. tipos de auditoria en informatica
8.  tipos de  auditoria en informatica8.  tipos de  auditoria en informatica
8. tipos de auditoria en informatica
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoria
 
Auditoria en aplicaciones web
Auditoria en aplicaciones webAuditoria en aplicaciones web
Auditoria en aplicaciones web
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informática
 
Control Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de SistemasControl Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de Sistemas
 
Auditoria informatica pa exponer
Auditoria informatica pa exponerAuditoria informatica pa exponer
Auditoria informatica pa exponer
 
Auditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptxAuditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptx
 
S6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesS6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en Aplicaciones
 
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemasUNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en Infraestructura
 
Unidad 5 auditoria de sistemas
Unidad 5 auditoria de sistemasUnidad 5 auditoria de sistemas
Unidad 5 auditoria de sistemas
 
Auditoria Centro computo
Auditoria Centro computoAuditoria Centro computo
Auditoria Centro computo
 
Unidad II
Unidad IIUnidad II
Unidad II
 
Diseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemasDiseño de entradas y controles de sistemas
Diseño de entradas y controles de sistemas
 
Control interno
Control internoControl interno
Control interno
 
Ejemplo Caso Pratico Ati (Falta Lo De Auditoria Tec. No Esta Traducido)
Ejemplo Caso Pratico Ati (Falta Lo De Auditoria Tec. No Esta Traducido)Ejemplo Caso Pratico Ati (Falta Lo De Auditoria Tec. No Esta Traducido)
Ejemplo Caso Pratico Ati (Falta Lo De Auditoria Tec. No Esta Traducido)
 

Destacado (13)

Unidad3
Unidad3Unidad3
Unidad3
 
Unidad4
Unidad4Unidad4
Unidad4
 
Unidad4
Unidad4Unidad4
Unidad4
 
Adobe Premiere Cs4 Capitulo 2
Adobe Premiere Cs4 Capitulo 2Adobe Premiere Cs4 Capitulo 2
Adobe Premiere Cs4 Capitulo 2
 
15 años
15 años15 años
15 años
 
Que es excel
Que es excelQue es excel
Que es excel
 
Baby shower
Baby showerBaby shower
Baby shower
 
Matrimonio
MatrimonioMatrimonio
Matrimonio
 
Oficina
OficinaOficina
Oficina
 
Unidad2
Unidad2Unidad2
Unidad2
 
premiere cs5
premiere cs5premiere cs5
premiere cs5
 
Presentación1
Presentación1Presentación1
Presentación1
 
Unidad2 PREMIERE CS6
Unidad2 PREMIERE CS6Unidad2 PREMIERE CS6
Unidad2 PREMIERE CS6
 

Similar a Auditoria de sistema

Auditoria f€  ísica
Auditoria f€  ísicaAuditoria f€  ísica
Auditoria f€  ísica1803127313001
 
PRESENTACION AUDITORIA.pptx
PRESENTACION AUDITORIA.pptxPRESENTACION AUDITORIA.pptx
PRESENTACION AUDITORIA.pptxRuthgulyAlvarez1
 
Herramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticaHerramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticajoseaunefa
 
Aplicaciones bases de datos y ficheros
Aplicaciones bases de datos y ficherosAplicaciones bases de datos y ficheros
Aplicaciones bases de datos y ficherosArmando Landazuri
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasgalactico_87
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de softwarebolacoandres
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de softwarebolacoandres
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de softwarebolacoandres
 
“ Normatividad De La FuncióN Informatica”
“ Normatividad De La FuncióN Informatica”“ Normatividad De La FuncióN Informatica”
“ Normatividad De La FuncióN Informatica”JOSEPH DE JESUS
 
Presentación de Auditoria de Sistemas. Grupo 2
Presentación de Auditoria de Sistemas. Grupo 2Presentación de Auditoria de Sistemas. Grupo 2
Presentación de Auditoria de Sistemas. Grupo 2ClaraDaSilva5
 
Auditoria de la ofimatica
Auditoria de la ofimaticaAuditoria de la ofimatica
Auditoria de la ofimaticaManuel Medina
 
Auditoriade sistemas controles
Auditoriade sistemas controlesAuditoriade sistemas controles
Auditoriade sistemas controlesEliecer Espinosa
 

Similar a Auditoria de sistema (20)

Auditoria f€  ísica
Auditoria f€  ísicaAuditoria f€  ísica
Auditoria f€  ísica
 
PRESENTACION AUDITORIA.pptx
PRESENTACION AUDITORIA.pptxPRESENTACION AUDITORIA.pptx
PRESENTACION AUDITORIA.pptx
 
Herramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticaHerramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informática
 
Aplicaciones bases de datos y ficheros
Aplicaciones bases de datos y ficherosAplicaciones bases de datos y ficheros
Aplicaciones bases de datos y ficheros
 
Herramientas y Técnicas
Herramientas y TécnicasHerramientas y Técnicas
Herramientas y Técnicas
 
Herramientas y Tecnicas
Herramientas y TecnicasHerramientas y Tecnicas
Herramientas y Tecnicas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de software
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de software
 
Dictamen
DictamenDictamen
Dictamen
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de software
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoria
 
Auditoriasistemas
AuditoriasistemasAuditoriasistemas
Auditoriasistemas
 
“ Normatividad De La FuncióN Informatica”
“ Normatividad De La FuncióN Informatica”“ Normatividad De La FuncióN Informatica”
“ Normatividad De La FuncióN Informatica”
 
Presentación de Auditoria de Sistemas. Grupo 2
Presentación de Auditoria de Sistemas. Grupo 2Presentación de Auditoria de Sistemas. Grupo 2
Presentación de Auditoria de Sistemas. Grupo 2
 
Auditoria de la ofimatica
Auditoria de la ofimaticaAuditoria de la ofimatica
Auditoria de la ofimatica
 
Auditoriade sistemas controles
Auditoriade sistemas controlesAuditoriade sistemas controles
Auditoriade sistemas controles
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTO
 

Más de Stefany Nathaly Vera Quinde (10)

Interfaz
InterfazInterfaz
Interfaz
 
Presentación1
Presentación1Presentación1
Presentación1
 
Bautizo
BautizoBautizo
Bautizo
 
mejor pianista
mejor pianistamejor pianista
mejor pianista
 
auxiliar de emfermeria
auxiliar de emfermeriaauxiliar de emfermeria
auxiliar de emfermeria
 
diploma del mejor estudiante
diploma del mejor estudiantediploma del mejor estudiante
diploma del mejor estudiante
 
diploma de musica nacional
diploma de musica nacionaldiploma de musica nacional
diploma de musica nacional
 
deder de diploma
deder de diplomadeder de diploma
deder de diploma
 
Resumen quien se robo mi queso
Resumen quien se robo mi quesoResumen quien se robo mi queso
Resumen quien se robo mi queso
 
Asistencia
AsistenciaAsistencia
Asistencia
 

Auditoria de sistema

  • 3. UNIVERSIDAD DE GUAYAQUIL FACULTAD DE FILOSOFÍA, LETRAS Y CIENCIAS EN LA EDUCACIÓN AUDITORIA EN SISTEMAS Tema: AUDITORIA DEL DEPARTAMENTO DE INFORMÁTICA EN LA UNIDAD EDUCTIVA ESTEBAN CORDERO “FE Y ALEGRIA” Integrantes:  Aaron Moyolema Tenegusniay  Jerson Baque Burgos  Stefany Vera Quinde
  • 4. ESTUDIO PRELIMINAR LOEI (LEY ORGANICA DE EDUCACION INTERCULTURAL) Revisar la ley orgánica de educación intercultural emitida el día Nueve de Marzo del año 2011. EXPLORAR EL ENTORNO DEL DEPARTAMENTO DE INFORMATICA En este punto se deberá observar el sistema de trabajo del departamento de informática del Centro Educativo que se va a auditar. DEFINIR LOS SERVICIOS Realizar respaldo de la información y procesos de cómputo que se realizan en la Dirección, conforme a parámetros preestablecidos. Llevar registros de fallas, problemas, soluciones, acciones desarrolladas, respaldos, recuperaciones y trabajos realizados. Realizar labores de mantenimiento y limpieza de los equipos del centro de cómputo. Cumplir con las normas, reglamentos y procedimientos establecidos por la Dirección para el desarrollo de las funciones asignadas. Ejecutar los procesos asignados conforme a los programas de producción y calendarios preestablecidos, dejando el registro correspondiente en las solicitudes de proceso. Revisar los resultados de los procesos e incorporar acciones correctivas conforme a instrucciones de su superior inmediato. Desarrollo de aplicación. Instalación de redes. Capacitación. Cursos. Administración de base de datos. IDENTIFICAR AL ENCARGADO DEL DEPARTAMENTO DE INFORMATICA En este punto se deberá reconocer a cada uno de los encargados de las diferentes áreas del centro educativo al que se va a auditar.
  • 5. REVISION Y EVALUACION DE LOS CONTROLES DE SEGURIDAD REVISION DE SISTEMAS. La revisión sistemas se ocupa de analizar la actividad que se conoce como técnica de sistemas en todos sus factores. En la actualidad la creciente de las Telecomunicaciones ha propiciado que las comunicaciones, líneas y redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general de sistemas (Ej: De auditar el cableado estructurado, ancho de banda de una red LAN). REVICION DE COMUNICACIONES DE REDES El auditor en comunicaciones deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información abundante sobre tiempos de uso y no uso, deberá proveerse de la topología de la red de comunicaciones actualizada, ya que la des actualización de esta documentación significaría una grave debilidad. La inexistencia de datos sobre cuántas líneas existen, cómo son y dónde están instaladas, supondría que se bordea la inoperatividad informática. En la auditoria de comunicaciones ha de verse: La gestión de red. Los equipos y su conectividad. La monitorización de las comunicaciones. La revisión de costes y la asignación formal de proveedores. Creación y aplicabilidad de estándares. Cumpliendo como objetivos de control: Tener una gerencia de comunicaciones con plena autoridad de voto y Acción. Llevar un registro actualizado de módems, controladores, terminales, líneas y todo equipo relacionado con las comunicaciones. Mantener una vigilancia constante sobre cualquier acción en la red. Registrar un coste de comunicaciones y reparto a encargados. Mejorar el rendimiento y la resolución de problemas presentados en la red.
  • 6. REVISION DE LA SEGURIDAD INFORMATICA Se debe tener presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional. Esta información puede ser de suma importancia y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. La Auditoria de la seguridad en la informática abarca los conceptos de seguridad física y lógica. La seguridad física se refiere a la protección del hardware y los soportes de datos, así como la seguridad de los edificios e instalaciones que los albergan. El auditor informático debe contemplar situaciones de incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc. Por su parte, la seguridad lógica se refiere a la seguridad en el uso de software, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información. REVISION DEL HADWARE En hardware la auditoria informática se orienta a la verificación de ciertos componentes físicos como por ejemplo cables, tornillos, placas, etc. y así llegar a la conclusión de que estos estén registrados como propios y también que poseen licencia. Para realizar la auditoria informática en hardware se debe plantear los siguientes objetivos: Determinar si el hardware se utiliza eficientemente. Revisar los informes de la dirección sobre el uso del hardware. Revisar si el equipo se utiliza por el personal autorizado. Examinar los estudios de adquisición, selección y evolución del hardware. Comprobar las condiciones ambientales.
  • 7. Revisar el inventario del hardware. Verificar los procedimientos de seguridad física. Examinar los controles de acceso físico. Revisar la seguridad física de los componentes de la red de teleproceso. CONTROL INTERNO La función del control interno informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas. CLASIFICACION DE CONTROLES INTERNOS CONTROLES PREVENTIVOS: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. CONTROLES DETECTIVOS: Cuando fallan los preventivos, para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc. CONTROLES CORRECTIVOS: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad. CONTROLES DE SUPERVISIÓN: Son procedimientos utilizados por la dirección para poder alcanzar los objetivos del negocio y así controlarlo. Este tipo de controles proporcionan a la dirección, y por lo
  • 8. tanto a los auditores, seguridad en cuanto a la fiabilidad de la información financiera. CONTROLES DE MANTENIMIENTO: Destinados a asegurar que las modificaciones de los procedimientos programados adecuadamente diseñadas, probadas, aprobadas e implantadas. están CONTROLES DE SEGURIDAD DE PROGRAMAS: Destinado a garantizar que no se puedan efectuar cambios no autorizados en los procedimientos programados. CONTROLES DE SEGURIDAD DE FICHEROS DE DATOS: Destinados a asegurar que no se puedan efectuar modificaciones no autorizadas en los archivos de datos. CONTROLES DE LA OPERACIÓN INFORMÁTICA: Destinados a garantizar los procedimientos programados autorizados se apliquen de manera uniforme y se utilicen versiones correctas de los ficheros de datos. CONTROLES DE SOFTWARE SISTEMA: Destinados a asegurar que se implante un software de sistema apropiado y que se encuentre protegido contra modificaciones no autorizadas. CONTROLES DE IMPLEMENTACION: Destinados a asegurar que los procedimientos programados para los nuevos sistemas son adecuados y están efectivamente implementados, y que el sistema esté diseñado para satisfacer las necesidades del usuario.
  • 9. CONTROLES DE SEGURIDAD INFORMÁTICA: Este tipo de controles evitarán el riesgo de fraude o de que información confidencial o sensible llegue a personas no autorizadas dentro o fuera del centro Educativo. Otro riesgo que evitaríamos con la seguridad física sería el posible daño o destrucción de las instalaciones informáticas como resultado de incendios, inundaciones o sabotajes que podrían interrumpir la ejecución de los procesos. CONTROLES DE OPERACIONES INFORMÁTICAS: Los procedimientos de operaciones que cubren procesos diferidos o por lotes que se realizan en momentos específicos deben estar documentados, programados y mantenidos en forma adecuada. Las copias de seguridad de los programas y de los datos deben estar siempre disponibles para casos de emergencia CONTROLES DE SUPERVISIÓN: CONTROLES DE LOS USUARIOS: Son los procedimientos manuales tradicionales que se deben ejecutar sobre los documentos y transacciones antes y después de su proceso en el ordenador para comprobar el adecuado y continuo funcionamiento de los controles de las aplicaciones EXAMEN DETALLADO DE AREAS CRÍTICAS IDENTIFICAR LAS AREAS VULNERABLES Con las fases anteriores el auditor descubre las áreas criticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usara, definirá la metodología de trabajo, la duración de la auditoría, Presentará el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente analizado en este folleto. REALIZAR UN ESTUDIO A PROFUNDIDAD DE LAS AREAS CRÍTICAS Se deberá listar las aéreas que se vean vulnerablemente afectadas.
  • 10. Se deberá realizar un estudio exhaustivo de los controles que arrojaron resultados inadecuados para el uso de recursos educativos. Empezando por identificar cual o cuáles son los motivos del fallo de cada una de las aéreas afectadas. CREAR EL GRUPO DE TRABAJO Y DISTRIBUIR LA CARGA DEL MISMO Una vez identificado las áreas criticas, se deberá conformar un grupo de trabajo para proceder a analizar a profundidad dichas aéreas. REALIZAR EL PLAN DE TRABAJO CORRESPONDIENTE En esta etapa se debe realizar otro plan de trabajo, pero esta vez aplicado exclusivamente a las áreas criticas. ESTABLECER LOS RECURSOS QUE SE VAN A UTILIZAR El auditor debe realizar una lista de recursos que necesitara para llevar a cabo este proceso. COMUNICACIÓN DE RESULTADOS ELABORAR UN BORRADOR El auditor deberá realizar un informe en borrador acerca de los resultados que arroje el exhaustivo análisis. PRESENTAR y DISCUTIR EL INFORME EN BORRADOR El auditor deberá presentar el borrador con los dirigentes del centro educativo exponiendo los PRO y los CONTRAS que obtuvo de los estudios realizados a dicho centro educativo. RECOMENDACIONES
  • 11. Utilizando la lista de areas criticas, el auditor deberá realizar las recomendaciones respectivas para cada uno de los problemas que tiene el centro educativo, con el fin de que estos problemas sean superados. RELIZAR EN INFORME FINAL Por último el auditor deberá realizar el informe final, formalmente con todos los datos recogidos durante toda la auditoria, informando del estado del sistema de información que maneja el centro educativo al que se realizo la auditoria informática.