1. UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE FILOSOFIA, LETRAS Y CIENCIAS DE LA
EDUCACIÓN
Cátedra: Auditoria de sistemas
INTEGRANTES:
Karen Segovia Alava
DOCENTE:
MSc. Jorge Vera
2013 -2014
1
2. INDICE:
TEMA:
1.
2.
3.
4.
5.
6.
PAGINA
Introducción .................................................................................... 3
Objetivos .......................................................................................... 4
Justificación y alcance ................................................................... 5
Antecedentes ................................................................................... 6
Datos institucionales ...................................................................... 7, 8
Planeación ....................................................................................... 9
6.1Organigrama .................................................................................... 10
6.2Inventario ............................................................................................... 12-12
6.3Razones de la auditoría ........................................................................ 13-14
7 Objetivos de la auditoría ........................................................................ 15
8 Carta ......................................................................................................... 16
9 Dictamen final ......................................................................................... 17
10 Hallazgo seguridad física ..................................................................... 18
11 Hallazgo seguridad del personal ........................................................ 19
12 Hallazgo seguridad de hardware y software ...................................... 20
13 Hallazgo de seguridad de datos .......................................................... 21
14 Anexos. ................................................................................................. 22
Cuestionario de Seguridad física. ............................................................ 23
15 Cuestionario de seguridad de personal .............................................. 24.
16 Cuestionario de seguridad de Hardware y software .......................... 25
17 Cuestionario de datos. ......................................................................... 26
18 Bibliografía ............................................................................................ 27
2
3. INTRODUCCIÓN:
La tecnología informática (hardware, software, redes, bases de datos, etc.) es una
herramienta estratégica que brinda rentabilidad y ventajas competitivas a los negocios
frente a otros negocios similares en el mercado, pero puede originar costos y desventajas
si no es bien administrada por el personal encargado.
La solución clara es entonces realizar evaluaciones oportunas y completas de la función
informática, a cargo de personal calificado, consultores externos, auditores en informática
o evaluaciones periódicas realizadas por el mismo personal de informática.
Surge entonces la obvia necesidad de auditar la función informática, ya que resulta
innegable que la misma se ha convertido en una herramienta permanente y necesaria de
los procesos principales de los negocios, en un aliado confiable y oportuno. Esto es
posible si se implementan los controles y esquemas de seguridad requeridos para su
aprovechamiento óptimo. Una vez que la alta dirección comprenda la importancia de
contar con un área independiente que asegure y promueva el buen uso y
aprovechamiento de la tecnología de informática, ya puede delegar la responsabilidad en
personal altamente capacitado para ejercer la auditoría en informática dentro de la
organización de manera formal y permanente.
Debemos recordar que en los tiempos modernos existen grandes retos tanto dentro de la
empresa privada como también en las instituciones del estado, si se puede observar por
que los presupuesto del estado son tan altos pero no tienen los resultados esperados en
otras palabras no es eficaz es porque algunas veces los recursos no se están utilizando
de la manera necesaria e indicada. Debido a esto solamente se pretende hacer una
auditoría de una forma sencilla en tan solamente una institución del estado y de está
formar poder contribuir al mejoramiento y rendimiento del l área informática del “Centro
Educativo Santa Paula”.
El propósito de estar llevando a cabo dicho proyecto es con el fin de poder contribuir con
el personal asignado a administrar el centro de cómputo proveyéndole algunas
recomendaciones y herramientas necesarias para que el rendimiento de este sea más
3
4. óptimo; y de esta manera hacer más eficiente la función correspondiente del centro de
cómputo para que la institución cumpla sus objetivos propuestos.
OBJETIVOS:
GENERAL:
Evaluar y verificar políticas, controles, procedimientos y seguridad en los recursos
dedicados al manejo de la información; su utilización, eficiencia y seguridad de la
institución a fin de que por medio del señalamiento de cursos alternativos se logre una
utilización más eficiente y segura de la información que servirá para una adecuada toma
de decisiones.
ESPECIFICOS:
1. Evaluar el diseño y prueba de los sistemas del área de Informática
2. Determinar la veracidad de la información del área de Informática
3. Constatar los procedimientos de control de operación, analizar su estandarización
y evaluar el cumplimiento de los mismos.
4. Verificar la forma como se administran los dispositivos de almacenamiento básico
del área de Informática
5. Corroborar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.
6. Verificar que los programas obtengan su legalización.
7. Hacer un valúo de los costes del análisis funcional, el análisis orgánico, la
programación, las pruebas de programas, preparación de datos y costes de
desarrollo de cada aplicación medido en horas.
JUSTIFICACIÓN:
La auditoría que se va a realizar en el “Centro Educativo Santa Paula” es de vital
importancia para el buen desempeño de los sistemas de información, ya que proporciona
los controles necesarios para que los sistemas sean confiables y con un buen nivel de
seguridad. Además
se evaluará todo: informática, organización de centros de
información, hardware y software.
4
5. La evaluación y control que se va a realizar tiene como objetivo fundamental mejorar la
rentabilidad, la seguridad y la eficacia del sistema mecanizado de información en que se
sustenta dicha institución.
El fin de dicha auditoría es de constatar si sus actividades son correctas y de acuerdo a
las normativas informáticas y generales prefijadas en la institución”.
El siguiente proyecto consiste en poder llevar a cabo lo que es la auditoría de el centro de
computo del “Centro Educativo Santa Paula”
El desarrollo de este consiste en revisar y verificar si está siendo utilizado el centro de
computo con los objetivos de dicha institución, poder observar si el lugar es el indicado, la
forma en que ha sido distribuido el equipo, si el uso que cada persona le da es correcto.
Por otro lado observar si es ágil y veraz y oportuna la información; También observar si el
diseño del centro de computo es el adecuado, observar detenidamente su estructura de
red el software que se está utilizando y de esta manera después de finalizado el proyecto
se harán las recomendaciones necesarias para poder que este funcione de la mejor
manera.
ALCANCES:
La auditoría será realizada dentro de la institución afectando los distintos departamentos
areas institucionales:
1. AREA DE SISTEMAS Y PROCEDIMIENTOS.
2. AREA ADMINISTRATIVA DE PROCESOS ELECTRONICOS.
3. EVALUACION DE LOS EQUIPOS DE CÓMPUTO
ANTECEDENTES:
El “Centro Educativo Santa Paula” es una institución oficial del Ramo de Educación,
con acuerdo oficial No. 1699 de fecha 3 de febrero de 1982 y Código de Infraestructura
No. 12117, pertenece al Distrito Educativo: 08-01, Zona 1, Telefax.: 2352-8625.
5
6. Su CDE. está legalmente constituido, en él se encuentran representados todos los
sectores involucrados en el quehacer educativo institucional.
Durante el período presidencial del Coronel Julio Adalberto Rivera (1962-1967), quién era
originario de esta ciudad, fue construido el edificio para albergar al Instituto Nacional "José
Simeón Cañas", el cual ofrecía los servicios educativos de Plan Básico y Bachillerato. En
1973 el Bachillerato fue trasladado a un nuevo edificio, convirtiéndose esta institución en
Tercer Ciclo de Enseñanza Básica" José Simeón Cañas", pero en el año de 1982 debido
a los avances de la Reforma Educativa de la época y por la creación de las escuelas
unificadas, la matrícula disminuyó grandemente, de tal manera que se pensó en ampliar el
servicio educativo y fue así como a iniciativa de los profesores Agustín Arturo Orellana
Liévano, José Antonio Ramos Piche, h., Cristina Escoto de Chávez, Rosa Amelia Reyes
de Cruz y Miguel Ángel Nóchez González (ex -director), se fundó el ahora “Centro
Educativo Santa Paula”
El “Centro Educativo Santa Paula”es un centro oficial público y, por tanto, abierto a
todos los alumnos y alumnas que reúnan los requisitos académicos establecidos por la
Ley independientemente de su raza, sexo o creencias religiosas.
Se manifiesta aconfesional y respetuoso con todas las creencias.
Igualmente se
manifiesta por el pluralismo ideológico y político y por la renuncia a todo tipo de
adoctrinamiento.
6
7. DATOS INSTITUCIONALES:
INFORMACIÓN DEL CENTRO ESCOLAR :
Nombre del Centro Escolar: “Centro Educativo Santa Paula”
Dirección: GUAYAQUIL: Cdla. Guayacanes Av. Antonio Parra Velasco y 1er paseo
20ª
Noreste
MZ
204
Villa
#10
y
MZ
207
Villa
7
norte
Guayaquil
Guayas (010010)
Ecuador
Teléfono: 042821449 Cell. 09955508
7
8. VISIÓN
Formar alumnos(as) con un alto grado de desarrollo de sus habilidades y
destrezas cognitivas, que les permitan adquirir aprendizajes de calidad,
sustentados en profundos valores éticos y morales que los prepare en
formas eficiente y eficaz para desenvolverse óptimamente en la sociedad,
demostrando gran respeto por su entorno social, natural y cultural.
MISIÓN:
Desarrollar en sus alumnos(as) saberes y competencias intelectuales, físicas,
emocionales, sociales y espirituales que le permitan resolver satisfactoriamente
los desafíos que se les presenta el diario vivir, en un ambiente de sana
convivencia democrática, privilegiando la coexistencia pacífica, adaptándose a la
rapidez del cambio del mundo de hoy, respetando su medio ambiente y
basándose en una sólida educación en valores y en un gran sentidopositivo de la
vida.
OBJETIVO:
Orientar el que hacer pedagógico hacia la formación del estudiante
mediante el proceso de participación de la comunidad educativa
de la institución que permita el desarrollo de sus potencialidades
para que sea competente en los aspectos comunicativo,
investigativo, critico, creativo, tolerante, autónomo y democrático,
respondiendo así a los retos impuestos por la sociedad en el
IDEARIO:
ámbito local, regional y nacional.
8
9. 1. Creatividad: Capacidad para crear, organizar y llevar a cabo propuestas
novedosas.
2. Honestidad: Pudor, recato en las acciones, decencia, urbanidad.
3. Compromiso: Convicción por la defensa de una causa. Obligación propia de
cumplir una promesa o una acción.
4. Orientación al servicio: Inclinación y deseo de satisfacer las necesidades de las
personas que conviven o están alrededor nuestro.
5. Orientación al resultado: Inclinación por la obtención de productos concretos de
los planes y proyectos que nos trazamos.
6. Trabajo en Equipo: Capacidad de cooperar en la planeación, ejecución y
evaluación de proyectos comunes.
7. Solidaridad: Sentimiento que impulsa a los hombres a presentar una ayuda
mutua.
9
10. PLANEACIÓN DE AUDITORÍA:
Nombre de la empresa:“Centro Educativo Santa Paula”
Dirección:“Centro Educativo Santa Paula”
Dirección: Cdla. Guayacanes Av. Antonio Parra Velasco y 1er paseo 20ª Noreste MZ
204
Villa
#10
y
MZ
207
Villa
7
norte
Guayaquil
Guayas (010010)
Ecuador
Teléfono: 042821449 Cell. 09955508
Giro del negocio: Institución educativa
Objetivos de la empresa:Formar alumnos(as) con un alto grado de desarrollo
profesional que les permita desenvolverse de una forma eficiente y en su entorno social
y cultural.
Objetivos del centro de cómputo: Atender las necesidades computacionales y
Mantener de manera integra la información y el equipo para ser utilizado en el momento
que se necesite por el personal de la institución educativa.
2) Objetivos y propósitos del diagnostico:
Examinar en forma global y constructiva la estructura de la Entidad: “Centro Educativo
Santa Paula”enfocándose a su departamento de computo, contemplando aspectos como:
planes y objetivos, métodos y controles, formas de operación y organización humana y
jurídica.
Áreas a revisar:
4. AREA DE SISTEMAS Y PROCEDIMIENTOS.
5. AREA ADMINISTRATIVA DE PROCESOS ELECTRONICOS.
6. EVALUACION DE LOS EQUIPOS DE CÓMPUTO.
10
11. 3) Organigrama de la entidad
C.D.E
DIRECCION
SUBDIRECCION
DOCENTES
CENTRO DE
COMPUTO
Personal
administrativo
a
4) Entrevistas previas:
Las entrevistas estarán dirigidas al personal responsable del área informática o a quien
este de responsable de la administración y/o operación de los sistemas y equipos de la
entidad a auditar.
Areas a entrevistar:
1. Encargado del área de informática.
2. Profesores que imparten informática.
3. Personal administrativo.
Opinión: Falta de coordinación en toma de decisiones, falta de políticas.
Problema: Existe falta de documentación y organigrama en el área administrativa,
También falta de una red que abarque todas las áreas del centro educativo.
11
12. Sugerencias: Elaboración de documentación y establecer un organigrama en el área
informática.
Resumen general: Según lo observado en el “Centro Educativo Santa Paula”es falta
de documentación Falta de velocidad en internet, Permitir que todas las áreas estén
conectadas en red, falta de algunas licencias en computadoras que usa la secretaria y
colecturía.
Inventario de equipo que está en uso en el centro de cómputo:
CANTIDAD
42
42
42
42
42
42
1
1
1
DESCRIPCION
CPU
MONITORES
TECLADOS
MOUSE
MUEBLES
SPEAKER
IMPRESOR MULTI FUNCION
Pace Panel
Servidor
Sala de docentes:
Cantidad
6
6
6
6
6
1
Descripción
C.P.U.
Monitores
Teclados
Mouse
Speaker
Impresor
Secretaría, Dirección, Colecturía:
Cantidad
3
3
3
3
3
Descripción
Monitor
C.P.U.
Mouse
Teclados.
Impresores.
12
13. Determinación del área a estudiar:
Área de sistemas y procedimientos.
Razones:
1) Poder observar la descripción general de los sistemas instalados y de los que
estén por instalarse que contengan volúmenes de información.
2) Revisar el manual de procedimientos de los sistemas.
3) Evaluar
los
sistemas de
información
en general
desde
sus entradas,
procedimientos, controles, archivos, seguridad y obtención de información.
4) Verificar la adecuación del sistema operativo, versión del software utilizado, como
en los aspectos relativos a la programación de las distintas aplicaciones,
prioridades de ejecución, lenguaje utilizado.
5)
verificar que la documentación relativa al sistema de información sea clara,
precisa, actualizada y completa.
Área administrativa de procesos electrónicos:
Razones:
1. Recopilar información para obtener una visión general del departamento por
medio de observaciones, entrevistas preliminares y solicitud de documentos para
poder definir el objetivo y alcances del departamento.
2. Verificar los Registras de los costos en el desarrollo de la aplicación y contemplar
el nivel de servicio en términos de calidad y tiempos mínimos de entrega de
resultados de la operación del computador.
3. Analizar el manual de organización del área que incluya puestos, funciones,
niveles jerárquicos y tramos de mando.
13
14. 4. Solicitar el manual de políticas, reglamentos internos y lineamientos generales.
Número de personas y puestos en el área. Procedimientos administrativos del
área. Presupuestos y costos del área.
5. Analizar los costes de personal directamente relacionado con el sistema de
información.
Evaluación de los equipos de cómputo:
Razones:
1. Revisar número de equipos, localización y las características (de los equipos
instalados, por instalar y programados).
2. Conocer las fechas de instalación de los equipos y planes de instalación.
3. Revisar la configuración de los equipos y sus capacidades actuales.
4. Revisar las políticas de uso de los equipos.
5. Revisar el manual en el que se encuentra estructurada la forma en que se da el
mantenimiento al equipo informático.
14
15. Comentarios generales
Comentarios:
Con esta información queremos considerar las características de conocimientos, práctica
profesional y capacidad que
tiene
el personal encargado de la administración de
informática de esta institución.
OBJETIVOS DE LA AUDITORÍA INFORMÁTICA EN EL “CENTRO EDUCATIVO
SANTA PAULA”
OBJETIVO GENERAL:
Tener un panorama actualizado de los sistemas de información en cuanto a la seguridad
física, las políticas de utilización, transferencia de datos, seguridad de los archivos y el
personal que labora en la institución.
OBJETIVOS ESPECIFICOS:
1. Se evaluaran la existencia y la aplicación correcta de las políticas de seguridad,
emergencia y desastres de la institución.
2. Se efectuará una evaluación de la seguridad del equipo, software y datos.
3. También se verificará que la seguridad de los usuarios del centro de cómputo.
15
16. AUDITORÍA DE SISTEMAS:
Asesoría y auditoría de cómputo
Guayaquil, 27 de Enero de 2014
Sr. Director, Rafael Morán:
Me permito remitir a usted el informe de resultados de la auditoría practicada en las
instalaciones del “Centro Educativo Santa Paula”que se realizó desde el día dos de
abril al veinticinco de mayo del año en curso.
La revisión realizada fue de carácter integral y comprendió la evaluación y comprendió la
evaluación, de la estructura de la organización, la operación del sistema, el cumplimiento
de las actividades y funciones asignadas al personal y la revisión a los resultados de la
gestión informática.
En el citado informe encontrará el dictamen y las condiciones a las cuales se llegó
después de la aplicación de las técnicas y procedimientos de la auditoría de sistemas de
tipo integral.
Quedo a susórdenes por cualquier consulta o aclaración al respecto.
F:____________________________
Giovanni Morales
Responsable.
16
17. “CENTRO EDUCATIVO SANTA PAULA”
Guayaquil, 27 de Enero de 2014
Profesor Rafael Morán
Director, presente:
De acuerdo con las instrucciones giradas de la administración de la institución a su digno
cargo me permito remitir a usted el dictamen de la auditoría practicada en el centro de
cómputo con especialidad en la administración, funcionamiento y operación del sistema
de red de esa institución.
De los resultados obtenidos durante la evaluación me permito informarle a usted lo
siguiente:
a) Seguridad Física
b) Seguridad del personal
c) Seguridad del Software y hardware
d) Seguridad de los datos.
De acuerdo con las pruebas realizadas a la administración, funcionamiento y operación y
de acuerdo con los criterios de evaluación recomiendo me permito dictaminar y recordar.
Atentamente:
Giovanni Morales
17
18. SEGURIDAD FISICA:
OBJETIVO GENERAL:
Poder determinar las debilidades y fortalezas en la seguridad física del equipo y el edificio
donde se encuentra instalado el sistema de información y sus políticas sobre la seguridad,
y luego poder hacer algunos señalamientos que contribuirán con las mejoras de esta.
OBJETIVOS ESPECIFICOS:
1. Revisión de las políticas y Normas sobre seguridad Física de los equipos.
2. Verificar la estructura de la distribución de los equipos y la correcta utilización.
3.
Verificar la condición del centro de cómputo y evaluar si existe un manual donde
explique los procedimientos para efectuar el mantenimiento.
ALCANCES:
La auditoría se realizará haciendo una constatación de las diferentes aplicaciones
técnicas de Seguridad y Protección que tienen que existir en el equipo del centro de
cómputo.
HALLAZGOS EN CONTRADOS:
INSTITUCIÓN:
AREA AUDITADA:
FECHA:
REF
CONDICIÓN
No existe un
manual
de
planes
de
mitigación
de
riesgos.
1
2
No se
encuentran
manuales de
físicos de
procesos para
mantenimiento
“Centro Educativo Santa Paula”
Seguridad Física.
27 de Enero de 2014
CRITERIO
CAUSA
Art.
139.La Dice que no le
Dirección
de han entregado
Informática
deberá de parte de
elaborar la Política y sus
líderes
Plan de Contingencia dicho manual.
de los sistemas de
información
que
permita
continuar
operando en casos de
siniestros,fallas etc.
Art. 150. La Dirección No lo han
de Informática, a
elaborado
través de la Gerencia todavía.
de Soporte Técnico,
tendrá la
responsabilidad de
garantizar el
18
EFECTO
El problema es
que
en
un
momento
Pueda ocurrir un
siniestro y no
habrá forma de
poder restablecer
el sistema.
RECOMENDACIÓN
Se les recomienda
poder elaborar una
manual de
contingencias.
Lo
que
esto
puede ocasionar
es que se pierda
el control del
mantenimiento.
Se
recomienda
elaborar
lo
antes
posible este manual
de soporte para un
buen de control.
19. mantenimiento
preventivo y correctivo
del equipo informático
y Manual de Soporte
de Sistemas
Descentralizados.
SEGURIDAD DEL PERSONAL:
OBJETIVO GENERAL:
Verificar si se han adoptado medidas de seguridad en los diferentes departamentos del
área informática con respecto al personal que labora en dicha institución.
OBJETIVOS ESPECIFICOS:
1. Constatar si se ha instruido el personal sobre qué medidas tomar en caso de que
se encuentren en algún peligro ya sea por desastre natural o de otra índole.
2. Verificar si existen políticas que reguarden la integridad física de las personas..
3. Constatar si las instalaciones cuentan salidas de emergencias, sistema de alarma
por presencia de fuego, humo, así como extintores de incendio en conexiones
eléctricas.
ALCANCE:
Revisión de políticas y normas que dicten las acciones a tomar en caso de algún peligro o
alarma que vaya en perjuicio de la seguridad de los usuarios.
HALLAZGOS
INSTITUCIÓN:
AREA AUDITADA:
FECHA:
REF CONDICIÓN
Pudimos
constatar que
1
no existe salida
de emergencias.
2
No existen
“Centro Educativo Santa Paula”
Seguridad del personal.
27 de Enero de 2014
CRITERIO
CAUSA
No hay
Ese es el
diseño que
está
utilizando
el Mined.
No encontramos
No se los
19
EFECTO
Puede ver algún
atascamiento de los
usuarios a la hora de
alguna emergencia
RECOMENDACIÓN
Es necesario crear
una puerta de
emergencia.
Puede ocurrir un
Se recomienda
20. extintores de
fuego.
Elaborado por:
Aprobado por:
ha
facilitado
el director.
incendio y no habrá
forma de extinguirlo.
comprar extintores lo
más pronto posible.
Giovanni Morales
Rafael Morán
SEGURIDAD DEL SOFTWARE Y HARDWARE:
OBJETIVO GENERAL:
Comprobar que la adecuación de hardware, sistema operativo, versiones del software
utilizado, como también en los aspectos relativos a la programación de las distintas
aplicaciones, prioridades de ejecución, lenguaje utilizado y la documentación necesaria
haga constar que existe una administración adecuada que garantice la seguridad de la
parte tangible e intangible de los equipos de cómputo.
ESPECIFICOS:
1) Comprobar la existencia de un plan de actividades previo a la instalación de
equipos.
2) Ratificar si existen garantías para proteger la integridad de los recursos
informáticos.
3) Evaluar si existen planes e informes del mantenimiento de equipos y del software
tanto preventivo como correctivos.
ALCANCES:
Poder observar y evaluar la descripción general de los equipos instalados para hacer
una valorización de la seguridad en todos sus aspectos tanto en el hardware como
también en el sistema operativo y programas.
20
21. INSTITUCIÓN:
AREA AUDITADA:
FECHA:
REF
1
“Centro Educativo Santa Paula”
Seguridad del hardware y software.
27 de Enero de 2014
CONDICIÓN
CRITERIO
CAUSA
No
se
encontraron
las licencias
de Microsoft
office.
Art. 147.- La Dirección de
Informática, a través de la
Gerencia
de
Soporte
Técnico deberá controlar y
mantener bajo custodia
física los originales de las
licencias para el uso del
software.
Giovanni Morales
Rafael Morán
No se
han ido a
traer al
Mined.
Elaborado por:
Aprobado por:
EFECTO
Puede darse un
problema con
alguna auditoría
por parte de los
ministerios
encargados de
velar contra la
piratería.
RECOMENDAC
IÓN
Se recomienda
mantener toda
la legalidad
necesaria.
SEGURIDAD DE LOS DATOS:
OBJETIVO GENERAL:
1. Corroborar si existe integridad y seguridad en los sistemas de gestión de las
bases de datos o
si se han formulado políticas respecto a su seguridad,
privacidad y protección de las facilidades de procesamiento ante eventos como:
incendio, vandalismo, robo y uso indebido, intentos de violación etc.
OBJETIVOS ESPECIFICOS:
1. Verificar si existen restricciones y control para accesar a la base de datos de la
institución y si la interfaz que existe entre el SGBD y el SO es el adecuado.
2. Comprobar si las bases de datos guardan la información necesaria y adecuada
para la institución educativa y si existe un control estricto de las copias de estos
archivos, la existen backups y su resguardo en lugares seguros.
3. Evaluar si se han implantado claves o password para garantizar operación de
consola y equipo central (mainframe), a personal autorizado.
ALCANCES:
Revisión de manuales que contengan las políticas de seguridad de las bases de datos y
hacer un cheque de la función de los gestores de base de datos y su información
correspondiente.
21
22. HALLAZGOS:
INSTITUCIÓN:
AREA AUDITADA:
FECHA:
REF
CONDICIÓN
.
No se
encontrarón
normas y
políticas para
el resguardo
de las bases
1
de datos.
“Centro Educativo Santa Paula”
Seguridad de los datos.
27 de Enero de 2014
CRITERIO
CAUSA
Art. 145.- La Dirección de El
Informática
será
la encargado
responsable
de
la no había
administración integral del leído el
modelo de datos lógico y control
físico de la base de datos interno.
de los sistemas de
información
de
la
Institución, para lo cual
deberán elaborarse las
normas
y
políticas
respectivas.
.No se
Art. 155.- La Dirección de
Dice el
elaboran
Informática debe diseñar
administra
backups
controles de aplicación en dor que lo
2
la entrada, procesamiento habían
y salida de información
pasado
para prevenir que la
por alto.
información se extravíe.
Elaborado por:
Giovanni Morales
Aprobado por:
Rafael Morán
ANEXOS:
CUESTIONARIO DE SEGURIDAD FISICA:
EFECTO
No existirá un
control
adecuado para
el resguardo
de la
información.
Se solicita crear
normas y políticas lo
más pronto sea
posible.
En un incendio
o cualquier
siniestro se
hará imposible
recuperar la
información.
Comenzar lo más
pronto posible a crear
backups.
PREGUNTA
1. ¿Se han adoptado medidas de seguridad en el departamento de
sistemas de información?
2. ¿Se ha dividido la responsabilidad para tener un mejor control de
la seguridad?
3. ¿Existe personal de vigilancia en la institución?
4. ¿Se investiga a los vigilantes cuando son contratados
directamente?
5. ¿Existe una persona encargada de velar el equipo y accesorios
en el centro de cómputo de cómputo las 24 horas?
6. ¿Se registra el acceso al centro de cómputo de personas ajenas
a la dirección de informática?
7. ¿Los interruptores de energía y cables de red están debidamente
protegidos, etiquetados y sin obstáculos para alcanzarlos?
22
RECOMENDACIÓN
SI
NO
23. 8. ¿Se revisa frecuentemente que no esté abierta o descompuesta
la cerradura de esta puerta y de las ventanas, si es que existen?
9. ¿Se ha prohibido a los operadores el consumo de alimentos y
bebidas en el interior del departamento de cómputo para evitar
daños al equipo?
10. ¿Se limpia con frecuencia el polvo acumulado en el piso y los
equipos?
11. ¿Se tiene una calendarización de mantenimiento preventivo para
el equipo?
12. ¿Las características físicas del centro de cómputo son seguras ¿
13. ¿La distribución de los quipos de cómputo es adecuada?
14. ¿Existen políticas de seguridad para el centro de cómputo?
CUESTIONARIOSEGURIDAD DEL PERSONAL:
N°
1
PREGUNTA
¿Se han adoptado medidas de seguridad para el personal y usuarios del
centro de cómputo?
¿Se ha instruido a estas personas sobre qué medidas tomar en caso de que
2
3
4
alguien pretenda entrar sin autorización?
¿El centro de cómputo tiene salida de emergencia?
¿Se ha adiestrado el personal en el manejo de los extintores?
¿Saben que hacer los operadores del departamento de cómputo, en caso de
5
que ocurra una emergencia ocasionado por fuego?
¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar
6
las instalaciones en caso de emergencia?
¿Tienen manuales que contengan normas y políticas de seguridad del
7
8
personal?
¿Existen manuales y políticas de mitigación de riesgos?
23
SI
NO
24. SEGURIDAD DE SOFTWARE Y HARDWARE:
N°
1
PREGUNTA
¿Se han instalado equipos que protejan la información y los dispositivos
en caso de variación de voltaje como: reguladores de voltaje, supresores
pico, UPS, generadores de energía?
2
¿Se hacen revisiones periódicas y sorpresivas del contenido del disco
para verificar la instalación de aplicaciones no relacionadas a la gestión
de La institución?
3
¿Se mantiene programas y procedimientos de detección e inmunización
de virus en copias no autorizadas o datos procesados en otros equipos?
4
¿Existen controles que garanticen el uso adecuado de discos y
accesorios de almacenamiento masivo?
5
¿Se aprueban los programas nuevos y se revisan antes de ponerlos en
funcionamiento?
6
¿Existe un programa de mantenimiento preventivo para cada dispositivo
del sistema de cómputo?
7
¿Existe legalidad de cada sistema operativo o programa.
8
¿Existe un plan de actividades previo a la instalación?
9
Existe documentación que garantice la
protección eintegridad de los
recursos informáticos.
10
¿Existen normas o procesos que no permitan hacer Modificaciones en la
configuración del equipo o intentarlo?
11
Existe un control que prohíba Mover, desconectar y/o conectar equipo de
cómputo sin autorización.
12
Existen inventarios de hardware, equipos y periféricos asociados y del
software instalado.
13
¿Los sistemas de hardware se acoplan adecuadamente con la función
del software?
14
Existen revisiones periódicas del hardware y software
24
SI
NO
25. CUESTINARIO DE SEGURIDAD EN LOS DATOS:
N°
1
PREGUNTA
¿La organización tiene un sistema de gestión de base de datos (SGBD)?
2
¿La interfaz que existe entre el SGBD y el SO es el adecuado?
3
¿Existe un control estricto de las copias de estos archivos?
4
¿Las bases de datos guardan la información necesaria y adecuada para
la institución educativa?
5
¿Existe una persona responsable de la base de datos de la institución?
6
¿Se mantiene un registro permanente (bitácora) de todos los procesos
realizados, dejando constancia de suspensiones o cancelaciones de
procesos?
7
Se han implantado claves o password para garantizar operación de
consola y equipo central (mainframe), a personal autorizado.
8
¿Existen backups y se guardan en lugares seguros y adecuados?
9
¿Se realizan auditorias periódicas a los medios de almacenamiento?
10
¿Existe un programa de mantenimiento preventivo para el dispositivo del
SGBD?
11
¿Existen integridad de los componentes de seguridad de datos?
12
¿Existen procedimientos de realización de copias de seguridad y de
recuperación de datos?
13
¿Existe un período máximo de vida de las contraseñas?
14
¿En la práctica las personas que tienen atribuciones y privilegios dentro
del sistema para conceder derechos de acceso son las autorizadas e
incluidas en el Documento de Seguridad?
15
¿Existen procedimientos de asignación y distribución de contraseñas?
16
¿Existen procedimientos para la realización de las copias de seguridad?
25
SI
NO
26. 17
¿Existen controles sobre el acceso físico a las copias de seguridad?
18
¿Existen diferentes niveles de acceso al sistema de gestión de
contenidos?
BIBLIOGRAFÍA:
1. Auditoría de Sistemas:
Universidad Católica de Guayaquil
Docente MSc. Jefferson Acosta
2. http://audinfor92.blogspot.com/2013/01/auditoria-integral-los-centros-de.html
26