1. EVEREST
MANDATO DEL PROYECTO
“AUDITORIA EN EL CENTRO DE CÓMPUTO DEL INSTITUTO TECNOLÓGICO
DE TUXTEPEC”
Información del documento
Sistema del documento
Iniciado
Versión
1
Fecha
21/11/13
Nombre del documento
Mandato
Lista de distribución del documento
Firma
Preparado por
Sánchez Valdez z. Jesús
Revisador por
Bautista
Maldonado
Fecha
21/11/13
Inés
25/11/13
Encamación
Revisado por
Feliciano patricio Beatriz
27/11/13
Revisado por
Sánchez Rayón Lili
28/11/13
Revisado por
Sánchez Valdez z. Jesús
29/11/13
Aprobado por
Lic. María de los Angeles Martínez
Morales
ÍNDICE
2. “AUDITORIA EN EL CENTRO DE
CÓMPUTO DEL INSTITUTO
TECNOLÓGICO DE TUXTEPEC”
Elaboró:
Fecha: 21/11/13
Sánchez Valdez z. Jesús
Versión: 1.0
MANDATO DEL PROYECTO ............................................................................................................. 1
PLANTEAMIENTO DEL PROBLEMA ................................................................................................. 3
OBJETIVOS ........................................................................................................................................ 4
ALCANCES ......................................................................................................................................... 5
o
ORGANIZATIVO ..................................................................................................................... 5
o
FUNCIONAL ............................................................................................................................ 7
o
TEMPORAL ........................................................................................................................... 10
o
COSTO .................................................................................................................................. 10
ENTREGABLES PROPUESTAS ...................................................................................................... 10
REPORTE ..................................................................................................................................... 10
o
REPORTE PROVISIONAL: .................................................................................................. 10
o
REPORTE DEFINITIVO: ...................................................................................................... 11
CALENDARIO ................................................................................................................................... 11
INFORMES PROVISIONALES Y DEFINITIVOS .............................................................................. 13
INFORME PROVISIONAL: ........................................................................................................... 13
INFORME DEFINITIVO: ................................................................................................................ 14
EXCLUSIONES ................................................................................................................................. 15
RESTRICCIONES ............................................................................................................................. 16
CONTACTOS Y DIRECCIONES ...................................................................................................... 17
TIPO DE PROYECTO ....................................................................................................................... 18
RIESGOS DE NO LLEVAR ACABO EL PROYECTO ...................................................................... 19
BENEFICIOS ..................................................................................................................................... 20
Rev. 2.0
Página 2 de 21
3. FECHA:
21/11/13
ELABORO:
Sánchez Valdez z. Jesús
VERSIÓN: 1.0
PLANTEAMIENTO DEL PROBLEMA
El edifico del centro de cómputo cuenta con una infraestructura de 4 laboratorios
habilitadas: L.S.I (laboratorio tratamiento de la información), L5 (laboratorio redes y
computación), Lsc(laboratorio software de base y arquitectura de base), LR
(laboratorio de redes). Además cuenta con un servidor capaz de brindar el servicio
de internet inalámbrico
y al mismo tiempo proporcionar la característica de
consultar a sus bases de datos.
Dada la complejidad del sistema se puede suponer que los datos que manejan
son muy sensibles, el centro de cómputo del instituto tecnológico no está
cumpliendo con sus procedimientos estándar de control y por ello presenta varios
problemas en cuanto al control del mismo.
Los laboratorios del instituto tienen deficiencias en todos los puntos a auditar
desde el control de acceso hasta la medidas de seguridad en las instalaciones.
Es recomendable revisar todos estos puntos por medio de una auditoria para
comprobar realmente el nivel de control que implementan.
4. “AUDITORIA EN EL CENTRO DE
CÓMPUTO DEL INSTITUTO
TECNOLÓGICO DE TUXTEPEC”
Fecha: 21/11/13
Sánchez Valdez z. Jesús
Versión: 1.0
Elaboró:
OBJETIVOS
OBJETIVO GENERAL
Realizar una prueba de auditoria para el mejoramiento administrativo y académico
en el centro de cómputo del Instituto Tecnológico Tuxtepec Oaxaca.
OBJETIVOS ESPECIFICOS
o Realizar un estudio preliminar en el área del centro de cómputo.
o Revisar y evaluar los controles de seguridad de la red.
o Llevar acabo un examen detallado de áreas críticas del centro de cómputo.
o Realizar un informe de los resultados.
Rev. 2.0
Página 4 de 21
5. FECHA:
21/11/13
ELABORO:
Sánchez Valdez z. Jesús
VERSIÓN: 1.0
ALCANCES
o ORGANIZATIVO
La auditoría se llevara a cabo en el centro de cómputo, el cual depende directamente de la subdirección administrativa y
está constituido de la siguiente manera.
JEFE DE DEPARTAMENTO
ING. FELIPE DE JESUS NIÑO
SECRETARIA
DE LA CRUZ
C. MARCELINA BALDERAS
VELAZQUEZ
COORDINADOR DE
COORDINADOR DE
DESARROLLO DE SISTEMAS
SERVICIOS DE CÓMPUTO
PROGRAMADOR
CAPTURISTAS
CAPTURISTA
CAPTURISTA
6.
7. FECHA:
21/11/13
ELABORO:
Sánchez Valdez z. Jesús
VERSIÓN: 1.0
o FUNCIONAL
Etapa 1: Instalaciones
Se cuenta con un sistema central de aire acondicionado
En este punto se realizará una comprobación en las instalaciones, si estas
cuentan con sistema de aire acondicionado para mantener el equipo de
cómputo fresco.
Con cuántos equipos estacionarios se cuenta
Se contabilizaran los equipos informáticos para asegurarse que las listas de
relación que manejan en el área administrativa concuerden con las que se
encuentran existentes.
Cada cuánto se hace mantenimiento a estos equipos
Por motivos de seguridad a los usuarios se asegurara el tiempo de
mantenimiento en los laboratorios.
Es buena la iluminación del área
Por estándares en un laboratorio debe tener una buena iluminación para no
cansar la vista de los usuarios
¿Hay líquidos inflamables en el área?
Se buscará la presencia de cualquier sustancia inflamable en los
alrededores del centro de cómputo asegurando que estos se encuentren
lejos del alcance de los usuarios finales
La ubicación de los muebles es buena, tal que ayuda a la protección
de los cables de los equipos
Los laboratorios deben estar organizados de tal forma que el cableado
usado en los equipos informáticos este fuera del alcance de los muebles
para evitar daños en el recubrimiento de los cables y así mantener
protegido el suministro eléctrico o evitar accidentes.
Etapa 2: Control de acceso
8. “AUDITORIA EN EL CENTRO DE
CÓMPUTO DEL INSTITUTO
TECNOLÓGICO DE TUXTEPEC”
Fecha: 21/11/13
Sánchez Valdez z. Jesús
Versión: 1.0
Elaboró:
Existe un sistema de control de acceso en el centro de cómputo
Se comprobara si dicho control de acceso existe y cuáles son los métodos
usados por el centro de cómputo para gestionar la entrada a sus
laboratorios.
Dependiendo del Usuario, se define su área y horario de acceso
En caso de que exista un control de acceso, detectar que este sea el
adecuado para el horario del estudiante.
Se cumplen estas restricciones
En este punto se define si el sistema de control.
Siempre que personas ajenas a la empresa visitan el CDP, se les
acompaña a todo momento durante la misma
Se auditara el sistema de acceso comprobado si personas ajenas a la
institución pueden tener acceso a los laboratorios.
Este personal está totalmente identificado
Todo personal deberá portar su credencial de identificación para tener
acceso a los laboratorios en horarios no laborales.
Se complementa el sistema de control de acceso con un circuito
cerrado de televisión
Comprobar que el sistema de control este respaldado por un sistema de
vigilancia.
Se cuenta con un programa de señalización de las áreas restringidas?
Buscar en el centro de cómputo que las señalizaciones concuerden con la
estructura del edificio.
Rev. 2.0
Página 8 de 21
9. FECHA:
21/11/13
ELABORO:
Sánchez Valdez z. Jesús
VERSIÓN: 1.0
Se tiene identificado el cargo que custodiará las llaves de las puertas de
acceso a las áreas restringidas
Buscar el personal encargado de custodiar las llaves, en caso de que exista en
los organigramas
Etapa 3: Seguridad de la información
Están
claramente
identificadas
las
personas
autorizadas
para
entregar/retirar información del CPD, en cualquier medio
Buscar en el sistema de control que las personas con acceso a los datos
del servidor sea fácilmente identificable.
Existe algún formato en el cual se registre la entrega/retiro del CPD del
medio de información
Comprobar la existencia de una relación que registre los movimientos
administrativos para cada usuario dentro del servidor
Se hacen copias de soporte de la información
Se buscara comprobar si el personal que tiene acceso al servidor realiza
copias de seguridad regularmente.
Las copias de soporte están almacenada en un sitio de acceso
restringido
En caso de existir esta práctica, ver si las copias del servidor están
protegidas contra personas ajenas al área
El sitio de almacenamiento de las copias es cerrado?
Comprobar que el almacenamiento de los datos sea seguro.
10. “AUDITORIA EN EL CENTRO DE
CÓMPUTO DEL INSTITUTO
TECNOLÓGICO DE TUXTEPEC”
Elaboró:
Fecha: 21/11/13
Sánchez Valdez z. Jesús
Versión: 1.0
o TEMPORAL
El tiempo que se llevara a cabo para realizar la auditoria en el centro de cómputo
será de un mes.
o COSTO
La auditoría que vamos a realizar en el centro de cómputo tendrá un costo mínimo
de $3000 por cada uno de los consultores, la cual sería un total de $12000 P/M.
ENTREGABLES PROPUESTOS
REPORTE
o REPORTE PROVISIONAL:
Se realizara reporte en cada 3 días de actividad y deberá mencionar los
problemas encontrados durante las pruebas.
Rev. 2.0
Página 10 de 21
11. FECHA:
21/11/13
ELABORO:
Sánchez Valdez z. Jesús
VERSIÓN: 1.0
o REPORTE DEFINITIVO:
El reporte definitivo se realizará una vez a la semana, que son:
1. El resultados de pruebas realizadas
2. Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de
Cómputo durante un proceso.
3. Mantener un registro permanente (bitácora) de todos los procesos
realizados, dejando constancia de suspensiones o cancelaciones de
procesos.
4. Todas las actividades del Centro de Computo deben normarse mediante
manuales, instructivos, normas, reglamentos, etc.
CALENDARIO
FASES
Definir el
grupo de
trabajo
Estudio
preliminar
Investigación
preliminar
TIEMP
O (DIA)
RECURSOS
Seleccionar personal y asignar roles.
1
Zoe jesús
Programas de auditoria.
1
Lili
Visitas a la unidad informática.
ACTIVIDADES
1
Inés
2
Beatriz
4
Zoe jesús
2
Inés
TAREAS
Elaborar cuestionario para la obtención de
información.
Evaluar el control interno.
Solicitar el plan de actividades enfocado a
la informática.
12. “AUDITORIA EN EL CENTRO DE
CÓMPUTO DEL INSTITUTO
TECNOLÓGICO DE TUXTEPEC”
Fecha: 21/11/13
Sánchez Valdez z. Jesús
Versión: 1.0
Elaboró:
Revisar manuales de políticas.
Revisar reglamentos.
Hacer entrevistas.
Revisión de los diagramas de flujo de
procesos.
2
Inés
3
Zoe jesús
Realización de pruebas de cumplimiento
de las seguridades.
2
Lili
Revisión de procesos históricos (backups).
1
Beatriz
Revisión de documentación y archivos
2
Inés
Revisión de aplicaciones de las áreas
críticas.
5
Zoe jesús
Establecer objetivos.
1
Inés
2
Lili
2
Lili
2
Beatriz
Analizara detalladamente cada problema
encontrado.
2
Zoe jesús
Analizara detalladamente cada problema
encontrado.
3
Zoejesús
Alcance.
2
Inés
Estructurar orgánico-funcional del área
informática.
5
Zoe jesús
Configuración del hardware y software
instalado.
5
Lili
Control interno.
Revisión de
seguridad de
la red
inalámbrica.
Lili
Beatriz
Presentará el plan de trabajo.
Revisión y
evaluacion de
controles y
seguridad
Revisión de
control físico
del centro de
cómputo.
1
1
3
Beatriz
Establecerá los motivos.
Examenes
detallados de
areas criticas
Hacer un
estudio y
análisis
profundo en
las áreas
críticas.
Durante la
auditoria
Comunicación
de resultados
Rev. 2.0
Elaborará el
borrador del
informe
definitivo.
Definirá la metodología de trabajo.
Página 12 de 21
13. FECHA:
21/11/13
ELABORO:
Sánchez Valdez z. Jesús
VERSIÓN: 1.0
INFORMES PROVISIONALES Y DEFINITIVOS
No.
Informes
Fecha
1
Informe provisional
02 /12/ 2013
2
Informe definitivo
05/12/2013
INFORME PROVISIONAL:
Este informe será realizado cada 3 días de actividad y deberá mencionar los
problemas encontrados durante las pruebas, cabe mencionar que al ser solo un
informe provisional solo informará de los detalles descubiertos más no la
naturaleza ni el origen de los mismos.
14. “AUDITORIA EN EL CENTRO DE
CÓMPUTO DEL INSTITUTO
TECNOLÓGICO DE TUXTEPEC”
Fecha: 21/11/13
Sánchez Valdez z. Jesús
Versión: 1.0
Elaboró:
Estos informes deberán contener los siguientes datos:
Nombre del auditor
Nombre del encargado del área
Fecha del informe
Pequeño resumen de los resultados
Tiempo que abarcaron las pruebas
Listado de observaciones
Firma del auditor
Firma de recibido del encargado del
área
INFORME DEFINITIVO:
El informe definitivo se realizar una vez a la semana, luego de la redacción del
informe provisional, de haber confirmado las fallas, anexado nuevas
faltas y
realizado pruebas exhaustivas sobre las observaciones encontradas, este informe
buscará especificar la naturaleza de cada falla así como de otorgar detalles al
encargado del área sobre el origen de las mismas.
El informe debe contener los siguientes datos:
Nombre del auditor
Rev. 2.0
Página 14 de 21
15. FECHA:
21/11/13
ELABORO:
Sánchez Valdez z. Jesús
VERSIÓN: 1.0
Nombre del encargado del área
Fecha del informe
Resumen detallado de los resultados
Tiempo que abarcaron las pruebas
Listado de observaciones
Soluciones propuestas a cada falla
Grafica de la gravedad de cada caso
Firma del auditor
Firma de recibido del encargado del área
EXCLUSIONES
La auditoría no aplicara en los siguientes puntos:
o Servidor: no se realizara ninguna revisión al hardware
encargado de
sustentar las bases de datos del servidor.
o Administración: La auditoría solo se realiza en las áreas del laboratorio, o
lugares donde personas ajenas al centro de cómputo usen equipos
informáticos.
16. “AUDITORIA EN EL CENTRO DE
CÓMPUTO DEL INSTITUTO
TECNOLÓGICO DE TUXTEPEC”
Elaboró:
Fecha: 21/11/13
Sánchez Valdez z. Jesús
Versión: 1.0
RESTRICCIONES
o La auditoría deberá ser llevada a cabo solo bajo permisos y supervisión de
un encargado legitimo del área.
o Reportar las fallas encontradas únicamente al jefe del departamento de
cómputo.
o No es posible interferir con las actividades diarias de los laboratorios, se
realizaran las pruebas en horas libres.
Rev. 2.0
Página 16 de 21
17. FECHA:
21/11/13
ELABORO:
Sánchez Valdez z. Jesús
VERSIÓN: 1.0
o No es posible sustraer equipos de cómputo de los laboratorios, si han de
realizar revisiones, se tendrán que hacer dentro de la instalación con
supervisión.
CONTACTOS Y DIRECCIONES
Nombre
Inés E. Bautista Maldonado
correo
Número de celular
Te_amo_tuuu@hotmail.com
2871245617
Lili Sánchez Rayón
Lis_11_D@hotmail.com
2871083314
Zoe Jesús Sánchez Valdez
Masterwebdj@gmail.com
2871210183
Beatriz Feliciano Patricio
Bety2811@live.com.mx
2871103751
18. “AUDITORIA EN EL CENTRO DE
CÓMPUTO DEL INSTITUTO
TECNOLÓGICO DE TUXTEPEC”
Elaboró:
Fecha: 21/11/13
Sánchez Valdez z. Jesús
Versión: 1.0
TIPO DE PROYECTO
El proyecto que estamos realizando es un proyecto social; ya que su finalidad es
mejorar la calidad de los laboratorios que se encuentran en la Instituto Tecnológico
de Tuxtepec.
Rev. 2.0
Página 18 de 21
19. FECHA:
21/11/13
ELABORO:
Sánchez Valdez z. Jesús
VERSIÓN: 1.0
RIESGOS DE NO LLEVAR ACABO EL PROYECTO
El centro de cómputo es el corazón de las conexiones en el tecnológico, de no
realizar revisiones periódicas a su seguridad como a su integridad se correría los
siguientes riegos.
o Acceso no autorizados (desde exterior):personas malintencionadas
puedan
lograr
accesos
con
permisos
privilegiados
gracias
a
vulnerabilidades de seguridad lógica y así comprometer la integridad de los
datos, provocando fuga de información o daño grave en los componentes
físicos dependiendo de las intenciones del atacante.
20. “AUDITORIA EN EL CENTRO DE
CÓMPUTO DEL INSTITUTO
TECNOLÓGICO DE TUXTEPEC”
Elaboró:
Fecha: 21/11/13
Sánchez Valdez z. Jesús
Versión: 1.0
o Acceso no autorizado (desde interior): Personas no precisamente
malintencionadas que logran acceso al área del servidor ya sea por motivos
casuales o maliciosos pueden llegar a perjudicar el hardware que soporta la
base de datos y que este llegue fallar definitivamente.
o Falla técnicas en algún laboratorio: La falta de cuidado en el cableado
estructural puede ocasionar pérdidas de conectividad en los equipos de
cómputo laborando en ese momento.
BENEFICIOS
El propósito por el cual se va llevar acabo la auditoria es para darle mejor
funcionamientos a los 4 Laboratorios que se tiene dentro del centro de cómputo
del Tecnológico de Tuxtepec. Esto es con la finalidad que los usuarios que vayan
a entrar a dicho lugar se sientan satisfechos realizando sus trabajos.
o El control de información que entra y sale de los laboratorios.
o Las restricciones de algunos sitios web (YouTube, Facebook entre otros)
beneficiara para que el internet sea más rápido en los laboratorios.
Rev. 2.0
Página 20 de 21