3. UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE FILOSOFÍA, LETRAS
Y CIENCIAS EN LA EDUCACIÓN
AUDITORIA EN SISTEMAS
Tema:
AUDITORIA DEL DEPARTAMENTO DE
INFORMÁTICA EN LA UNIDAD EDUCTIVA
ESTEBAN CORDERO “FE Y ALEGRIA”
Integrantes:
Aaron Moyolema Tenegusniay
Jerson Baque Burgos
Stefany Vera Quinde
4. ESTUDIO PRELIMINAR
LOEI (LEY ORGANICA DE EDUCACION INTERCULTURAL)
Revisar la ley orgánica de educación intercultural emitida el día Nueve de Marzo
del año 2011.
EXPLORAR EL ENTORNO DEL DEPARTAMENTO DE
INFORMATICA
En este punto se deberá observar el sistema de trabajo del departamento de
informática del Centro Educativo que se va a auditar.
DEFINIR LOS SERVICIOS
Realizar respaldo de la información y procesos de cómputo que se
realizan
en la Dirección, conforme a parámetros preestablecidos.
Llevar registros de fallas, problemas, soluciones, acciones desarrolladas,
respaldos, recuperaciones y trabajos realizados.
Realizar labores de mantenimiento y limpieza de los equipos del centro de
cómputo.
Cumplir con las normas, reglamentos y procedimientos establecidos por la
Dirección para el desarrollo de las funciones asignadas.
Ejecutar los procesos asignados conforme a los programas de producción
y
calendarios preestablecidos, dejando el registro correspondiente en las
solicitudes de proceso.
Revisar los resultados de los procesos e incorporar acciones correctivas
conforme a instrucciones de su superior inmediato.
Desarrollo de aplicación.
Instalación de redes.
Capacitación.
Cursos.
Administración de base de datos.
IDENTIFICAR AL ENCARGADO DEL DEPARTAMENTO DE
INFORMATICA
En este punto se deberá reconocer a cada uno de los encargados de las
diferentes áreas del centro educativo al que se va a auditar.
5. REVISION Y EVALUACION DE LOS CONTROLES
DE SEGURIDAD
REVISION DE SISTEMAS.
La revisión sistemas se ocupa de analizar la actividad que se conoce como
técnica de sistemas en todos sus factores. En la actualidad la creciente de las
Telecomunicaciones ha propiciado que las comunicaciones, líneas y redes de las
instalaciones informáticas, se auditen por separado, aunque formen parte del
entorno general de sistemas (Ej: De auditar el cableado estructurado, ancho de
banda de una red LAN).
REVICION DE COMUNICACIONES DE REDES
El auditor en comunicaciones deberá inquirir o actuar sobre los índices de
utilización de las líneas contratadas con información abundante sobre tiempos de
uso y no uso, deberá proveerse de la topología de la red de comunicaciones
actualizada, ya que la des actualización de esta documentación significaría una
grave debilidad. La inexistencia de datos sobre cuántas líneas existen, cómo son
y dónde están instaladas, supondría que se bordea la inoperatividad informática.
En la auditoria de comunicaciones ha de verse:
La gestión de red. Los equipos y su conectividad.
La monitorización de las comunicaciones.
La revisión de costes y la asignación formal de proveedores.
Creación y aplicabilidad de estándares.
Cumpliendo como objetivos de control:
Tener una gerencia de comunicaciones con plena autoridad de voto
y
Acción.
Llevar un registro actualizado de módems, controladores, terminales,
líneas
y todo equipo relacionado con las comunicaciones.
Mantener una vigilancia constante sobre cualquier acción en la red.
Registrar un coste de comunicaciones y reparto a encargados.
Mejorar el rendimiento y la resolución de problemas presentados en la red.
6. REVISION DE LA SEGURIDAD INFORMATICA
Se debe tener presente la cantidad de información almacenada en el computador,
la cual en muchos casos puede ser confidencial, ya sea para los
individuos, las empresas o las instituciones, y puede ser mal utilizada o
divulgada a personas que hagan mal uso de esta. También pueden ocurrir
robos, fraudes o sabotajes que provoquen la destrucción total o parcial de
la actividad computacional. Esta información puede ser de suma importancia y
el no tenerla en el momento preciso puede provocar retrasos sumamente
costosos.
La Auditoria de la seguridad en la informática abarca los conceptos de seguridad
física y lógica. La seguridad física se refiere a la protección del hardware
y los soportes de datos, así como la seguridad de los edificios e instalaciones que
los albergan. El auditor informático debe contemplar situaciones de
incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc. Por su parte,
la seguridad lógica se refiere a la seguridad en el uso de software, la protección
de los datos, procesos y programas, así como la del acceso ordenado y
autorizado de los usuarios a la información.
REVISION DEL HADWARE
En hardware la auditoria informática se orienta a la verificación de ciertos
componentes físicos como por ejemplo cables, tornillos, placas, etc. y así llegar a
la conclusión de que estos estén registrados como propios y también que poseen
licencia. Para realizar la auditoria informática en hardware se debe plantear los
siguientes objetivos:
Determinar si el hardware se utiliza eficientemente.
Revisar los informes de la dirección sobre el uso del hardware.
Revisar si el equipo se utiliza por el personal autorizado.
Examinar los estudios de adquisición, selección y evolución del hardware.
Comprobar las condiciones ambientales.
7. Revisar el inventario del hardware.
Verificar los procedimientos de seguridad física.
Examinar los controles de acceso físico.
Revisar la seguridad física de los componentes de la red de teleproceso.
CONTROL INTERNO
La función del control interno informático es asegurarse de que las medidas que
se obtienen de los mecanismos implantados por cada responsable sean correctas
y válidas.
CLASIFICACION DE CONTROLES INTERNOS
CONTROLES PREVENTIVOS: Para tratar de evitar el hecho,
como un software de seguridad que impida los accesos no autorizados
al sistema.
CONTROLES DETECTIVOS: Cuando fallan los preventivos, para
tratar de conocer cuanto antes el evento. Por ejemplo, el registro de
intentos de acceso no autorizados, el registro de la actividad diaria
para detectar errores u omisiones, etc.
CONTROLES
CORRECTIVOS: Facilitan
la
suelta
a
la
normalidad cuando se han producido incidencias. Por ejemplo, la
recuperación de un fichero dañado a partir de las copias de seguridad.
CONTROLES DE SUPERVISIÓN: Son procedimientos utilizados
por la dirección para poder alcanzar los objetivos del negocio y así
controlarlo. Este tipo de controles proporcionan a la dirección, y por lo
8. tanto a los auditores, seguridad en cuanto a la fiabilidad de la información
financiera.
CONTROLES DE MANTENIMIENTO: Destinados a asegurar que
las modificaciones de los
procedimientos
programados
adecuadamente diseñadas, probadas, aprobadas e implantadas.
están
CONTROLES DE SEGURIDAD DE PROGRAMAS: Destinado
a garantizar que no se puedan efectuar cambios no autorizados en los
procedimientos programados.
CONTROLES DE SEGURIDAD DE FICHEROS DE DATOS:
Destinados a asegurar que no se puedan efectuar modificaciones no
autorizadas en los archivos de datos.
CONTROLES
DE
LA
OPERACIÓN
INFORMÁTICA:
Destinados a garantizar los procedimientos programados autorizados
se apliquen de manera uniforme y se utilicen versiones correctas de
los ficheros de datos.
CONTROLES
DE
SOFTWARE
SISTEMA: Destinados
a
asegurar que se implante un software de sistema apropiado y que
se encuentre protegido contra modificaciones no autorizadas.
CONTROLES DE IMPLEMENTACION: Destinados a asegurar
que los procedimientos programados para los nuevos sistemas son
adecuados y están efectivamente implementados, y que el sistema esté
diseñado para satisfacer las necesidades del usuario.
9. CONTROLES DE SEGURIDAD INFORMÁTICA: Este tipo de
controles evitarán el riesgo de fraude o de que información confidencial
o sensible llegue a personas no autorizadas dentro o fuera del centro
Educativo. Otro riesgo que evitaríamos con la seguridad física sería
el posible daño o destrucción de las instalaciones informáticas como
resultado de incendios, inundaciones o sabotajes que podrían interrumpir
la ejecución de los procesos.
CONTROLES
DE
OPERACIONES INFORMÁTICAS:
Los
procedimientos de operaciones que cubren procesos diferidos o por
lotes que se realizan en momentos específicos deben estar
documentados, programados y mantenidos en forma adecuada. Las
copias de seguridad de los programas y de los datos deben estar siempre
disponibles para casos de emergencia
CONTROLES DE SUPERVISIÓN: CONTROLES DE LOS
USUARIOS: Son los procedimientos manuales tradicionales que se
deben ejecutar sobre los documentos y transacciones antes y después
de su proceso en el ordenador para comprobar el adecuado y continuo
funcionamiento de los controles de las aplicaciones
EXAMEN DETALLADO DE AREAS CRÍTICAS
IDENTIFICAR LAS AREAS VULNERABLES
Con las fases anteriores el auditor descubre las áreas criticas y sobre ellas hace
un estudio y análisis profundo en los que definirá concretamente su grupo de
trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos,
alcance Recursos que usara, definirá la metodología de trabajo, la duración de la
auditoría, Presentará el plan de trabajo y analizara detalladamente cada problema
encontrado con todo lo anteriormente analizado en este folleto.
REALIZAR UN ESTUDIO A PROFUNDIDAD DE LAS AREAS
CRÍTICAS
Se deberá listar las aéreas que se vean vulnerablemente afectadas.
10. Se deberá realizar un estudio exhaustivo de los controles que arrojaron resultados
inadecuados para el uso de recursos educativos.
Empezando por identificar cual o cuáles son los motivos del fallo de cada una de
las aéreas afectadas.
CREAR EL GRUPO DE TRABAJO Y DISTRIBUIR LA CARGA
DEL MISMO
Una vez identificado las áreas criticas, se deberá conformar un grupo de trabajo
para proceder a analizar a profundidad dichas aéreas.
REALIZAR EL PLAN DE TRABAJO CORRESPONDIENTE
En esta etapa se debe realizar otro plan de trabajo, pero esta vez aplicado
exclusivamente a las áreas criticas.
ESTABLECER LOS RECURSOS QUE SE VAN A UTILIZAR
El auditor debe realizar una lista de recursos que necesitara para llevar a cabo
este proceso.
COMUNICACIÓN DE RESULTADOS
ELABORAR UN BORRADOR
El auditor deberá realizar un informe en borrador acerca de los resultados que
arroje el exhaustivo análisis.
PRESENTAR y DISCUTIR EL INFORME EN BORRADOR
El auditor deberá presentar el borrador con los dirigentes del centro educativo
exponiendo los PRO y los CONTRAS que obtuvo de los estudios realizados a
dicho centro educativo.
RECOMENDACIONES
11. Utilizando la lista de areas criticas, el auditor deberá realizar las recomendaciones
respectivas para cada uno de los problemas que tiene el centro educativo, con el
fin de que estos problemas sean superados.
RELIZAR EN INFORME FINAL
Por último el auditor deberá realizar el informe final, formalmente con todos los
datos recogidos durante toda la auditoria, informando del estado del sistema de
información que maneja el centro educativo al que se realizo la auditoria
informática.