Este documento presenta el plan de auditoría de sistemas para el Centro Educativo Narcisa de Jesús. La auditoría evaluará las áreas de sistemas y procedimientos, procesos administrativos electrónicos y equipos de cómputo. El objetivo es verificar los controles, políticas y seguridad de los recursos de información para mejorar su eficiencia y seguridad. Se revisarán inventarios, entrevistarán al personal clave y se evaluarán los sistemas, documentación, red y equipos. El resultado ayudará a mejorar el rendimiento del
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales Jazmín Moreno
Una presentación que será de mucha importancia para tener en cuenta como auditores de sistemas computacionales que técnicas poder aplicar para cada situación.
“AUDITORÍA DE GESTIÓN AL COLEGIO DE BACHILLERATO TÉCNICO FISCAL PURUHÁ DE LA PARROQUIA QUÍMIAG, CANTÓN RIOBAMBA, PROVINCIA DE CHIMBORAZO, DURANTE EL PERÍODO DE ENERO A DICIEMBRE DEL 2012 Y SU INCIDENCIA EN EL DESARROLLO INSTITUCIONAL”
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales Jazmín Moreno
Una presentación que será de mucha importancia para tener en cuenta como auditores de sistemas computacionales que técnicas poder aplicar para cada situación.
“AUDITORÍA DE GESTIÓN AL COLEGIO DE BACHILLERATO TÉCNICO FISCAL PURUHÁ DE LA PARROQUIA QUÍMIAG, CANTÓN RIOBAMBA, PROVINCIA DE CHIMBORAZO, DURANTE EL PERÍODO DE ENERO A DICIEMBRE DEL 2012 Y SU INCIDENCIA EN EL DESARROLLO INSTITUCIONAL”
diseño e implementación de una página web que satisfagan las necesidades en la Institución Educativa N°50608 Huaypo Grande – Chinchero – Urubamba y así sirvan de modelo o ejemplo para las demás entidades educativas
En esta investigación se planteara los resultados de los paquetes de software informativo. Este trabajo se hace con la finalidad de dará conocer más acerca de los paquetes empresariales, así como su sustentabilidad en una empresa y por qué deberían implementarse en estas mismas. También se intenta profundizar acerca de estos y su historia, así como su evolución
Conociendo su historia y evolución, podemos contrastar las diferentes características que poseen cada uno de ellos, así como evaluar cómo podemos contribuir en su evolución futura, así como a mantenerlos vigentes. A través de este ensayo, se busca conocer cada detalle de los conceptos majeados ya que para gran cantidad del público al que va dirigido, desconoce de estos.
Se busca simplificar toda la información y hacer que llegue al público deseado, cumpliendo la misión de impartir conocimientos nuevos, mediante el exaltamiento de las ideas planteadas, buscando siempre que el público entienda la importancia de conocer estos conceptos, como nos pueden servir en nuestra área laboral, y sobretodo, entender las diferencias entre los distintos paquetes
1. UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE FILOSOFIA, LETRAS Y CIENCIAS DE LA
EDUCACIÓN
Cátedra: Auditoria de sistemas
INTEGRANTES:
Jadán Granda Detsy
Méndez Gordillo Stephany
Morales Cruz Giovanni
DOCENTE:
MSc. Jorge Vera
2013 -2014
1
2. INDICE:
TEMA:
1.
2.
3.
4.
5.
6.
PAGINA
Introducción ....................................................................... 3
Objetivos ............................................................................. 4
Justificación y alcance ....................................................... 5
Antecedentes ...................................................................... 6
Datos institucionales ......................................................... 7, 8
Planeación ........................................................................... 9
6.1Organigrama ....................................................................... 10
6.2Inventario........................................................................... 12-12
6.3Razones de la auditoría ..................................................... 13-14
7 Objetivos de la auditoría ..................................................... 15
8 Carta ..................................................................................... 16
9 Dictamen final ..................................................................... 17
10 Hallazgo seguridad física .................................................. 18
11 Hallazgo seguridad del personal ...................................... 19
12 Hallazgo seguridad de hardware y software .................... 20
13 Hallazgo de seguridad de datos ....................................... 21
14 Anexos. .............................................................................. 22
Cuestionario de Seguridad física. .......................................... 23
15 Cuestionario de seguridad de personal ........................... 24.
16 Cuestionario de seguridad de Hardware y software ....... 25
17 Cuestionario de datos. ...................................................... 26
18 Bibliografía ........................................................................ 27
2
3. INTRODUCCIÓN:
La tecnología informática (hardware, software, redes, bases de datos, etc.) es
una herramienta estratégica que brinda rentabilidad y ventajas competitivas a
los negocios frente a otros negocios similares en el mercado, pero puede
originar costos y desventajas si no es bien administrada por el personal
encargado.
La solución clara es entonces realizar evaluaciones oportunas y completas de
la función informática, a cargo de personal calificado, consultores externos,
auditores en informática o evaluaciones periódicas realizadas por el mismo
personal de informática.
Surge entonces la obvia necesidad de auditar la función informática, ya que
resulta innegable que la misma se ha convertido en una herramienta
permanente y necesaria de los procesos principales de los negocios, en un
aliado confiable y oportuno. Esto es posible si se implementan los controles y
esquemas de seguridad requeridos para su aprovechamiento óptimo. Una vez
que la alta dirección comprenda la importancia de contar con un área
independiente que asegure y promueva el buen uso y aprovechamiento de la
tecnología de informática, ya puede delegar la responsabilidad en personal
altamente capacitado para ejercer la auditoría en informática dentro de la
organización de manera formal y permanente.
Debemos recordar que en los tiempos modernos existen grandes retos tanto
dentro de la empresa privada como también en las instituciones del estado, si
se puede observar por que los presupuesto del estado son tan altos pero no
tienen los resultados esperados en otras palabras no es eficaz es porque
algunas veces los recursos no se están utilizando de la manera necesaria e
indicada. Debido a esto solamente se pretende hacer una auditoría de una
forma sencilla en tan solamente una institución del estado y de está formar
poder contribuir al mejoramiento y rendimiento
del l área informática del
“Centro Educativo Narcisa de Jesús”.
El propósito de estar llevando a cabo dicho proyecto es con el fin de poder
contribuir con el personal asignado a administrar el centro de computo
3
4. proveyéndole algunas recomendaciones y herramientas necesarias para que el
rendimiento de este sea más optimo; y de esta manera hacer más eficiente la
función correspondiente del centro de computo para que la institución cumpla
sus objetivos propuestos.
OBJETIVOS:
GENERAL:
Evaluar y verificar políticas, controles, procedimientos y seguridad en los
recursos dedicados al manejo de la información; su utilización, eficiencia y
seguridad de la institución a fin de que por medio del señalamiento de cursos
alternativos se logre una utilización más eficiente y segura de la información
que servirá para una adecuada toma de decisiones.
ESPECIFICOS:
1. Evaluar el diseño y prueba de los sistemas del área de Informática
2. Determinar la veracidad de la información del área de Informática
3. Constatar los procedimientos de control de operación, analizar su
estandarización y evaluar el cumplimiento de los mismos.
4. Verificar la forma como se administran los dispositivos de
almacenamiento básico del área de Informática
5. Corroborar el control que se tiene sobre el mantenimiento y las fallas de
las Pcs.
6. Verificar que los programas obtengan su legalización.
7. Hacer un valúo de los costes del análisis funcional, el análisis orgánico,
la programación, las pruebas de programas, preparación de datos y
costes de desarrollo de cada aplicación medido en horas.
JUSTIFICACIÓN:
La auditoría que se va a realizar en el “Centro Educativo Narcisa de Jesús” es
de vital importancia para el buen desempeño de los sistemas de información,
4
5. ya que proporciona los controles necesarios para que los sistemas sean
confiables y con un buen nivel de seguridad. Además
se evaluará todo:
informática, organización de centros de información, hardware y software.
La evaluación y control que se va a realizar tiene como objetivo fundamental
mejorar la rentabilidad, la seguridad y la eficacia del sistema mecanizado de
información en que se sustenta dicha institución.
El fin de dicha auditoría es de constatar si sus actividades son correctas y de
acuerdo
a
las
normativas
informáticas
y
generales
prefijadas
en
la
institución”.
El siguiente proyecto consiste en poder llevar a cabo lo que es la auditoría de
el centro de computo del “Centro Educativo Narcisa de Jesús”
El desarrollo de este consiste en revisar y verificar si está
siendo utilizado
el centro de computo con los objetivos de dicha institución, poder observar si
el lugar es el indicado, la forma en que ha sido distribuido el equipo, si el uso
que cada persona le da es correcto.
Por otro lado observar si es ágil y veraz y oportuna la información; También
observar si el diseño del centro de computo es el adecuado, observar
detenidamente su estructura de red el software que se está utilizando y de
esta manera después de finalizado el proyecto se harán las recomendaciones
necesarias para poder que este funcione de la mejor manera.
ALCANCES:
La auditoría será realizada dentro de la institución afectando los distintos
departamentos areas institucionales:
1. AREA DE SISTEMAS Y PROCEDIMIENTOS.
2. AREA ADMINISTRATIVA DE PROCESOS ELECTRONICOS.
3. EVALUACION DE LOS EQUIPOS DE CÓMPUTO
5
6. ANTECEDENTES:
El “Centro Educativo Narcisa de Jesús” es una institución oficial del Ramo
de Educación, con acuerdo oficial No. 1699 de fecha 3 de febrero de 1982 y
Código de Infraestructura No. 12117, pertenece al Distrito Educativo: 08-01,
Zona 1, Telefax.: 2352-8625.
Su CDE. está legalmente constituido, en él se encuentran representados todos
los sectores involucrados en el quehacer educativo institucional.
Durante el período presidencial del Coronel Julio Adalberto Rivera (19621967), quién era originario de esta ciudad, fue construido el edificio para
albergar al Instituto Nacional "José Simeón Cañas", el cual ofrecía los servicios
educativos de Plan Básico y Bachillerato. En 1973 el Bachillerato fue trasladado
a un nuevo edificio, convirtiéndose esta institución en Tercer Ciclo de
Enseñanza Básica" José Simeón Cañas", pero en el año de 1982 debido a los
avances de la Reforma Educativa de la época y por la creación de las escuelas
unificadas, la matrícula disminuyó grandemente, de tal manera que se pensó
en ampliar el servicio educativo y fue así como a iniciativa de los profesores
Agustín Arturo Orellana Liévano, José Antonio Ramos Piche, h., Cristina Escoto
de Chávez, Rosa Amelia Reyes de Cruz y Miguel Ángel Nóchez González (ex director), se fundó el ahora “Centro Educativo Narcisa de Jesús”
El “Centro Educativo Narcisa de Jesús” es un centro oficial público y, por
tanto, abierto a todos los alumnos y alumnas que reúnan los requisitos
académicos establecidos por la Ley independientemente de su raza, sexo o
creencias religiosas.
Se manifiesta aconfesional y respetuoso con todas las creencias. Igualmente
se manifiesta por el pluralismo ideológico y político y por la renuncia a todo
tipo de adoctrinamiento.
6
7. DATOS INSTITUCIONALES:
INFORMACIÓN DEL CENTRO ESCOLAR :
Nombre del Centro Escolar: “Centro Educativo Narcisa de Jesús”
Dirección: GUAYAQUIL: Av. Quito 3730 y El Oro
Teléfono: 2454621
7
8. VISIÓN
Formar alumnos(as) con un alto grado de desarrollo de sus habilidades y
destrezas cognitivas, que les permitan adquirir aprendizajes de calidad,
sustentados en profundos valores éticos y morales que los prepare en
formas eficiente y eficaz para desenvolverse óptimamente en la sociedad,
demostrando gran respeto por su entorno social, natural y cultural.
MISIÓN:
Desarrollar en sus alumnos(as) saberes y competencias intelectuales, físicas,
emocionales, sociales y espirituales que le permitan resolver satisfactoriamente
los desafíos que se les presenta el diario vivir, en un ambiente de sana
convivencia democrática, privilegiando la coexistencia pacífica, adaptándose a la
rapidez del cambio del mundo de hoy, respetando su medio ambiente y
basándose en una sólida educación en valores y en un gran sentido positivo de la
vida.
OBJETIVO:
Orientar el que hacer pedagógico hacia la formación del estudiante
mediante el proceso de participación de la comunidad educativa
de la institución que permita el desarrollo de sus potencialidades
para que sea competente en los aspectos comunicativo,
investigativo, critico, creativo, tolerante, autónomo y democrático,
respondiendo así a los retos impuestos por la sociedad en el
IDEARIO:
ámbito local, regional y nacional.
8
9. 1. Creatividad: Capacidad para crear, organizar y llevar a cabo propuestas
novedosas.
2. Honestidad: Pudor, recato en las acciones, decencia, urbanidad.
3. Compromiso: Convicción por la defensa de una causa. Obligación
propia de cumplir una promesa o una acción.
4. Orientación al servicio: Inclinación y deseo de satisfacer las
necesidades de las personas que conviven o están alrededor nuestro.
5. Orientación al resultado: Inclinación por la obtención de productos
concretos de los planes y proyectos que nos trazamos.
6. Trabajo en Equipo: Capacidad de cooperar en la planeación, ejecución
y evaluación de proyectos comunes.
7. Solidaridad: Sentimiento que impulsa a los hombres a presentar una
ayuda mutua.
9
10. PLANEACIÓN DE AUDITORÍA:
Nombre de la empresa: “Centro Educativo Narcisa de Jesús”
Dirección: “Centro Educativo Narcisa de Jesús”
Dirección: GUAYAQUIL: Av. Quito 3730 y El Oro
Teléfono: 2454621
Giro del negocio: Institución educativa
Objetivos de la empresa: Formar alumnos(as) con un alto grado de desarrollo
profesional que les permita desenvolverse de una forma eficiente y en su
entorno social y cultural.
Objetivos del centro de cómputo: Atender las necesidades computacionales
y Mantener de manera integra la información y el equipo para ser utilizado
en el momento que se necesite por el personal de la institución educativa.
2) Objetivos y propósitos del diagnostico:
Examinar en forma global y constructiva la estructura de la Entidad: “Centro
Educativo Narcisa de Jesús” enfocándose a su departamento de computo,
contemplando aspectos como: planes y objetivos, métodos y controles, formas
de operación y organización humana y jurídica.
Áreas a revisar:
4. AREA DE SISTEMAS Y PROCEDIMIENTOS.
5. AREA ADMINISTRATIVA DE PROCESOS ELECTRONICOS.
6. EVALUACION DE LOS EQUIPOS DE CÓMPUTO.
10
11. 3) Organigrama de la entidad
C.D.E
DIRECCION
SUBDIRECCION
DOCENTES
CENTRO DE
COMPUTO
Personal
administrativo
a
4) Entrevistas previas:
Las entrevistas estarán dirigidas al personal responsable del área informática
o a quien este de responsable de la administración y/o operación de los
sistemas y equipos de la entidad a auditar.
Areas a entrevistar:
1. Encargado del área de informática.
2. Profesores que imparten informática.
3. Personal administrativo.
Opinión: Falta de coordinación en toma de decisiones, falta de políticas.
11
12. Problema: Existe falta de documentación y organigrama en el área
administrativa, También falta de una red que abarque todas las áreas del
centro educativo.
Sugerencias: Elaboración de documentación y establecer un organigrama en
el área informática.
Resumen general: Según lo observado en el “Centro Educativo Narcisa de
Jesús” es falta de documentación Falta de velocidad en internet, Permitir que
todas las áreas estén conectadas en red, falta de algunas licencias en
computadoras que usa la secretaria y colecturía.
Inventario de equipo que está en uso en el centro de cómputo:
CANTIDAD
42
42
42
42
42
42
1
1
1
DESCRIPCION
CPU
MONITORES
TECLADOS
MOUSE
MUEBLES
SPEAKER
IMPRESOR MULTI FUNCION
Pace Panel
Servidor
Sala de docentes:
Cantidad
6
6
6
6
6
1
Descripción
C.P.U.
Monitores
Teclados
Mouse
Speaker
Impresor
Secretaría, Dirección, Colecturía:
Cantidad
Descripción
12
13. 3
3
3
3
3
Monitor
C.P.U.
Mouse
Teclados.
Impresores.
Determinación del área a estudiar:
Área de sistemas y procedimientos.
Razones:
1) Poder observar la descripción general de los sistemas instalados y de
los que estén por instalarse que contengan volúmenes de información.
2) Revisar el manual de procedimientos de los sistemas.
3) Evaluar los sistemas de información en general desde sus entradas,
procedimientos,
controles,
archivos,
seguridad
y
obtención
de
información.
4) Verificar la adecuación del sistema operativo, versión del software
utilizado, como en los aspectos relativos a la programación de las
distintas aplicaciones, prioridades de ejecución, lenguaje utilizado.
5) verificar que la documentación relativa al sistema de información sea
clara, precisa, actualizada y completa.
Área administrativa de procesos electrónicos:
Razones:
1. Recopilar información para obtener una visión general del
departamento por medio de observaciones, entrevistas preliminares y
solicitud de documentos para poder definir el objetivo y alcances del
departamento.
13
14. 2. Verificar los Registras de los costos en el desarrollo de la aplicación y
contemplar el nivel de servicio en términos de calidad y tiempos
mínimos de entrega de resultados de la operación del computador.
3. Analizar el manual de organización del área que incluya puestos,
funciones, niveles jerárquicos y tramos de mando.
4. Solicitar el manual de políticas, reglamentos internos y lineamientos
generales. Número de personas y puestos en el área. Procedimientos
administrativos del área. Presupuestos y costos del área.
5. Analizar los costes de personal directamente relacionado con el sistema
de información.
Evaluación de los equipos de cómputo:
Razones:
1. Revisar número de equipos, localización y las características (de los
equipos instalados, por instalar y programados).
2. Conocer las fechas de instalación de los equipos y planes de instalación.
3. Revisar la configuración de los equipos y sus capacidades actuales.
4. Revisar las políticas de uso de los equipos.
5. Revisar el manual en el que se encuentra estructurada la forma en que
se da el mantenimiento al equipo informático.
14
15. Comentarios generales
Comentarios:
Con
esta
información
queremos
considerar
las
conocimientos, práctica profesional y capacidad que
características
tiene
de
el personal
encargado de la administración de informática de esta institución.
OBJETIVOS DE LA AUDITORÍA INFORMÁTICA EN EL “CENTRO EDUCATIVO
NARCISA DE JESÚS”
OBJETIVO GENERAL:
Tener un panorama actualizado de los sistemas de información en cuanto a la
seguridad física, las políticas de utilización, transferencia de datos, seguridad
de los archivos y el personal que labora en la institución.
OBJETIVOS ESPECIFICOS:
1. Se evaluaran la existencia y la aplicación correcta de las políticas de
seguridad, emergencia y desastres de la institución.
2. Se efectuará una evaluación de la seguridad del equipo, software y
datos.
3. También se verificará que la seguridad de los usuarios del centro de
cómputo.
15
16. AUDITORÍA DE SISTEMAS:
Asesoría y auditoría de cómputo
Guayaquil, 27 de Enero de 2014
Sr. Director, Rafael Morán:
Me permito remitir a usted el informe de resultados de la auditoría practicada
en las instalaciones del “Centro Educativo Narcisa de Jesús” que se realizó
desde el día dos de abril al veinticinco de mayo del año en curso.
La revisión realizada fue de carácter integral y comprendió la evaluación y
comprendió la evaluación, de la estructura de la organización, la operación del
sistema, el cumplimiento de las actividades y funciones asignadas al personal
y la revisión a los resultados de la gestión informática.
En el citado informe encontrará el dictamen y las condiciones a las cuales se
llegó después de la aplicación de las técnicas y procedimientos de la auditoría
de sistemas de tipo integral.
Quedo a sus órdenes por cualquier consulta o aclaración al respecto.
F:____________________________
Giovanni Morales
Responsable.
16
17. “CENTRO EDUCATIVO NARCISA DE JESÚS”
Guayaquil, 27 de Enero de 2014
Profesor Rafael Morán
Director, presente:
De acuerdo con las instrucciones giradas de la administración de la institución
a su digno cargo me permito remitir a usted el dictamen de la auditoría
practicada en el centro de cómputo con especialidad en la administración,
funcionamiento y operación del sistema de red de esa institución.
De los resultados obtenidos durante la evaluación me permito informarle a
usted lo siguiente:
a) Seguridad Física
b) Seguridad del personal
c) Seguridad del Software y hardware
d) Seguridad de los datos.
De acuerdo con las pruebas realizadas a la administración, funcionamiento y
operación y de acuerdo con los criterios de evaluación recomiendo me
permito dictaminar y recordar.
Atentamente:
Giovanni Morales
17
18. SEGURIDAD FISICA:
OBJETIVO GENERAL:
Poder determinar las debilidades y fortalezas en la
seguridad física del
equipo y el edificio donde se encuentra instalado el sistema de información y
sus políticas sobre la seguridad, y luego poder hacer algunos señalamientos
que contribuirán con las mejoras de esta.
OBJETIVOS ESPECIFICOS:
1. Revisión de las políticas y Normas sobre seguridad Física de los equipos.
2. Verificar la estructura de la distribución de los equipos y la
correcta
utilización.
3. Verificar la condición del centro de cómputo y evaluar si existe un manual
donde explique los procedimientos para efectuar el mantenimiento.
ALCANCES:
La auditoría se realizará haciendo una constatación de las diferentes
aplicaciones técnicas de Seguridad y Protección que tienen que existir en el
equipo del centro de cómputo.
HALLAZGOS EN CONTRADOS:
INSTITUCIÓN:
AREA AUDITADA:
FECHA:
REF
CONDICIÓN
No existe un
manual
de
planes
de
mitigación de
riesgos.
1
2
No se
“CENTRO EDUCATIVO NARCISA DE
Seguridad Física.
27 de Enero de 2014
CRITERIO
CAUSA
Art.
139.La Dice que no
Dirección
de le
han
Informática deberá entregado de
elaborar la Política parte de sus
y
Plan
de líderes dicho
Contingencia de los manual.
sistemas
de
información
que
permita continuar
operando en casos
de siniestros, fallas
etc.
Art. 150. La
No lo han
18
JESÚS”
EFECTO
El problema es
que
en
un
momento
Pueda ocurrir
un siniestro y
no habrá forma
de
poder
restablecer
el
sistema.
Lo
que
RECOMENDACIÓN
Se les recomienda
poder elaborar una
manual de
contingencias.
esto Se
recomienda
19. encuentran
manuales de
físicos de
procesos para
mantenimient
o
Dirección de
Informática, a
través de la
Gerencia de
Soporte Técnico,
tendrá la
responsabilidad de
garantizar el
mantenimiento
preventivo y
correctivo del
equipo informático
y Manual de
Soporte de
Sistemas
Descentralizados.
elaborado
todavía.
puede
ocasionar
es
que se pierda
el control del
mantenimiento.
elaborar lo antes
posible
este
manual de soporte
para un buen de
control.
SEGURIDAD DEL PERSONAL:
OBJETIVO GENERAL:
Verificar si se han adoptado medidas de seguridad en los diferentes
departamentos del área informática con respecto al personal que labora en
dicha institución.
OBJETIVOS ESPECIFICOS:
1. Constatar si se ha instruido el personal sobre qué medidas tomar en
caso de que se encuentren en algún peligro ya sea por desastre natural
o de otra índole.
2. Verificar si existen políticas que reguarden la integridad física de las
personas..
3. Constatar si las instalaciones cuentan salidas de emergencias, sistema
de alarma por presencia de fuego, humo, así como extintores de
incendio en conexiones eléctricas.
19
20. ALCANCE:
Revisión de políticas y normas que dicten las acciones a tomar en caso de
algún peligro o alarma que vaya en perjuicio de la seguridad de los usuarios.
HALLAZGOS
INSTITUCIÓN:
AREA AUDITADA:
FECHA:
REF CONDICIÓN
Pudimos
constatar que
no existe
1
salida de
emergencias.
2
No existen
extintores de
fuego.
Elaborado por:
Aprobado por:
“CENTRO EDUCATIVO NARCISA
Seguridad del personal.
27 de Enero de 2014
CRITERIO
CAUSA
No hay
Ese es el
diseño
que está
utilizand
o el
Mined.
No encontramos
No se los
ha
facilitado
el
director.
Giovanni Morales
Rafael Morán
DE JESÚS”
EFECTO
Puede ver algún
atascamiento de
los usuarios a la
hora de alguna
emergencia
RECOMENDACIÓN
Es necesario crear
una puerta de
emergencia.
Puede ocurrir un
incendio y no
habrá forma de
extinguirlo.
Se recomienda
comprar extintores
lo más pronto
posible.
SEGURIDAD DEL SOFTWARE Y HARDWARE:
OBJETIVO GENERAL:
Comprobar que la adecuación de hardware, sistema operativo, versiones del
software utilizado, como también en los aspectos relativos a la programación
de las distintas aplicaciones, prioridades de ejecución, lenguaje utilizado y la
documentación necesaria
haga constar que existe una administración
adecuada que garantice la seguridad de la parte tangible e intangible de los
equipos de cómputo.
ESPECIFICOS:
1) Comprobar la existencia de un plan de actividades previo a la instalación
de equipos.
2) Ratificar si existen garantías para proteger la integridad de los recursos
informáticos.
3) Evaluar si existen planes e informes del mantenimiento de equipos y del
software tanto preventivo como correctivos.
20
21. ALCANCES:
Poder observar y evaluar la descripción general de los equipos instalados
para hacer una valorización de la seguridad en todos sus aspectos tanto en el
hardware como también en el sistema operativo y programas.
INSTITUCIÓN:
AREA
AUDITADA:
FECHA:
CONDICIÓ
REF
N
No
se
encontraron
las licencias
de
1
Microsoft
office.
Elaborado por:
Aprobado por:
“CENTRO EDUCATIVO NARCISA DE JESÚS”
Seguridad del hardware y software.
27 de Enero de 2014
CRITERIO
CAUSA
EFECTO
Art. 147.- La Dirección
de Informática, a través
de
la
Gerencia
de
Soporte Técnico deberá
controlar y mantener
bajo custodia física los
originales
de
las
licencias para el uso del
software.
Giovanni Morales
Rafael Morán
No se
han ido
a traer
al
Mined.
Puede darse un
problema con
alguna auditoría
por parte de los
ministerios
encargados de
velar contra la
piratería.
RECOMENDA
CIÓN
Se recomienda
mantener
toda la
legalidad
necesaria.
SEGURIDAD DE LOS DATOS:
OBJETIVO GENERAL:
1. Corroborar si existe integridad y seguridad en los sistemas de gestión
de las bases de datos o
si se han formulado políticas respecto a su
seguridad, privacidad y protección de las facilidades de procesamiento
ante eventos como: incendio, vandalismo, robo y uso indebido, intentos
de violación etc.
OBJETIVOS ESPECIFICOS:
1. Verificar si existen restricciones y control para accesar a la base de
datos de la institución y si la interfaz que existe entre el SGBD y el SO es
el adecuado.
21
22. 2. Comprobar si las bases de datos guardan la información necesaria y
adecuada para la institución educativa y si existe un control estricto de
las copias de estos archivos, la existen backups y su resguardo en
lugares seguros.
3. Evaluar si se han implantado claves o password para garantizar
operación de consola y equipo central (mainframe), a personal
autorizado.
ALCANCES:
Revisión de manuales que contengan las políticas de seguridad de las bases de
datos y hacer un cheque de la función de los gestores de base de datos y su
información correspondiente.
HALLAZGOS:
INSTITUCIÓN:
“CENTRO EDUCATIVO NARCISA DE
AREA AUDITADA:
Seguridad de los datos.
FECHA:
27 de Enero de 2014
REF
CONDICIÓN
CRITERIO
CAUSA
.
No se
Art. 145.- La Dirección El
encontrarón
de Informática será la encargad
normas y
responsable
de
la o no
políticas
administración integral había
para el
del modelo de datos leído el
resguardo de lógico y físico de la control
1
las bases de
base de datos de los interno.
datos.
sistemas
de
información
de
la
Institución, para lo
cual
deberán
elaborarse las normas
y políticas respectivas.
.No se
Art. 155.- La Dirección
Dice el
elaboran
de Informática debe
administ
backups
diseñar controles de
rador
aplicación en la
que lo
entrada,
habían
2
procesamiento y salida pasado
de información para
por alto.
prevenir que la
información se
extravíe.
Elaborado por:
Giovanni Morales
Aprobado por:
Rafael Morán
22
JESÚS”
EFECTO
RECOMENDACIÓN
No existirá
un control
adecuado
para el
resguardo de
la
información.
Se solicita crear
normas y políticas
lo más pronto sea
posible.
En un
incendio o
cualquier
siniestro se
hará
imposible
recuperar la
información.
Comenzar lo más
pronto posible a
crear backups.
23. ANEXOS:
CUESTIONARIO DE SEGURIDAD FISICA:
PREGUNTA
1. ¿Se han adoptado medidas de seguridad en el
departamento de sistemas de información?
2. ¿Se ha dividido la responsabilidad para tener un mejor
control de la seguridad?
3. ¿Existe personal de vigilancia en la institución?
4. ¿Se investiga a los vigilantes cuando son contratados
directamente?
5. ¿Existe una persona encargada de velar el equipo y
accesorios en el centro de cómputo de cómputo las 24
horas?
6. ¿Se registra el acceso al centro de cómputo de personas
ajenas a la dirección de informática?
7. ¿Los interruptores de energía y cables de red están
debidamente protegidos, etiquetados y sin obstáculos
para alcanzarlos?
8. ¿Se revisa frecuentemente que no esté abierta o
descompuesta la cerradura de esta puerta y de las
ventanas, si es que existen?
9. ¿Se ha prohibido a los operadores el consumo de
alimentos y bebidas en el interior del departamento de
cómputo para evitar daños al equipo?
10. ¿Se limpia con frecuencia el polvo acumulado en el piso
y los equipos?
11. ¿Se tiene una calendarización de mantenimiento
preventivo para el equipo?
12. ¿Las características físicas del centro de cómputo son
seguras ¿
13. ¿La distribución de los quipos de cómputo es adecuada?
14. ¿Existen políticas de seguridad para el centro de
cómputo?
23
SI
NO
24. CUESTIONARIO SEGURIDAD DEL PERSONAL:
N°
1
PREGUNTA
¿Se han adoptado medidas de seguridad para el personal y
usuarios del centro de cómputo?
¿Se ha instruido a estas personas sobre qué medidas tomar en caso
2
3
4
de que alguien pretenda entrar sin autorización?
¿El centro de cómputo tiene salida de emergencia?
¿Se ha adiestrado el personal en el manejo de los extintores?
¿Saben que hacer los operadores del departamento de cómputo, en
5
caso de que ocurra una emergencia ocasionado por fuego?
¿Se ha adiestrado a todo el personal en la forma en que se deben
6
desalojar las instalaciones en caso de emergencia?
¿Tienen manuales que contengan normas y políticas de seguridad
7
8
del personal?
¿Existen manuales y políticas de mitigación de riesgos?
24
SI
NO
25. SEGURIDAD DE SOFTWARE Y HARDWARE:
N°
1
PREGUNTA
¿Se han instalado equipos que protejan la información y los
dispositivos en caso de variación de voltaje como: reguladores
de voltaje, supresores pico, UPS, generadores de energía?
2
¿Se hacen revisiones periódicas y sorpresivas del contenido del
disco para verificar la instalación de aplicaciones no
relacionadas a la gestión de La institución?
3
¿Se mantiene programas y procedimientos de detección e
inmunización de virus en copias no autorizadas o datos
procesados en otros equipos?
4
¿Existen controles que garanticen el uso adecuado de discos y
accesorios de almacenamiento masivo?
5
¿Se aprueban los programas nuevos y se revisan antes de
ponerlos en funcionamiento?
6
¿Existe un programa de mantenimiento preventivo para cada
dispositivo del sistema de cómputo?
7
¿Existe legalidad de cada sistema operativo o programa.
8
¿Existe un plan de actividades previo a la instalación?
9
Existe documentación que garantice la protección e integridad
de los recursos informáticos.
10
¿Existen normas o procesos que no permitan hacer
Modificaciones en la configuración del equipo o intentarlo?
11
Existe un control que prohíba Mover, desconectar y/o conectar
equipo de cómputo sin autorización.
12
Existen inventarios de hardware, equipos y periféricos
asociados y del software instalado.
13
¿Los sistemas de hardware se acoplan adecuadamente con la
función del software?
14
Existen revisiones periódicas del hardware y software
25
SI
NO
26. CUESTINARIO DE SEGURIDAD EN LOS DATOS:
N°
1
PREGUNTA
¿La organización tiene un sistema de gestión de base de datos
(SGBD)?
2
¿La interfaz que existe entre el SGBD y el SO es el adecuado?
3
¿Existe un control estricto de las copias de estos archivos?
4
¿Las bases de datos guardan la información necesaria y
adecuada para la institución educativa?
5
¿Existe una persona responsable de la base de datos de la
institución?
6
¿Se mantiene un registro permanente (bitácora) de todos los
procesos realizados, dejando constancia de suspensiones o
cancelaciones de procesos?
7
Se han implantado claves o password para garantizar operación
de consola y equipo central (mainframe), a personal
autorizado.
8
¿Existen backups y se guardan en lugares seguros y
adecuados?
9
¿Se realizan auditorias periódicas a los medios de
almacenamiento?
10
¿Existe un programa de mantenimiento preventivo para el
dispositivo del SGBD?
11
¿Existen integridad de los componentes de seguridad de
datos?
12
¿Existen procedimientos de realización de copias de seguridad
y de recuperación de datos?
13
¿Existe un período máximo de vida de las contraseñas?
14
¿En la práctica las personas que tienen atribuciones y
privilegios dentro del sistema para conceder derechos de
acceso son las autorizadas e incluidas en el Documento de
26
SI
NO
27. Seguridad?
15
¿Existen procedimientos de asignación y distribución de
contraseñas?
16
¿Existen procedimientos para la realización de las copias de
seguridad?
17
¿Existen controles sobre el acceso físico a las copias de
seguridad?
18
¿Existen diferentes niveles de acceso al sistema de gestión de
contenidos?
BIBLIOGRAFÍA:
1. Auditoría de Sistemas:
Universidad Católica de Guayaquil
Docente MSc. Jefferson Acosta
2. http://audinfor92.blogspot.com/2013/01/auditoria-integral-loscentros-de.html
27