Auditoria de Sistema de Notas

Auditoria de Sistemas - COESMA Página 1
UNIVERSIDAD LUTERANA SALVADOREÑA
FACULTAD DE CIENCIAS DEL HOMBRE Y LA NATURALEZA
LICENCIATURA EN CIENCIAS DE LA COMPUTACION.
CATEDRA: Auditoria de Sistemas
Ejecución de auditoria
PROYECTO: “Sistema de notas de educación básica”
CATEDRATICO:
Lic. Ana Lissette Girón de Bermúdez
PRESENTADO POR:
NOMBRES CARNET PONDERACIÓN
Domínguez Parada, Luis Antonio DP02110151 100%
Granados Maradiaga, Elmer Alexander GM02110987 100%

INDICE
ETAPA I
Introducción............................................................................................................................5
OBJETIVOS DEL DOCUMENTO ................................................................................................6
DESCRIPCION DE LUGAR.........................................................................................................7
INTRODUCCION DE INFORME.................................................................................................7
ANTECEDENTES DE LA INSTITUCION. .....................................................................................7
RESEÑA HISTORICA DE LA INSTITUCUIÓN...........................................................7
ORGANIGRAMA DE LA INSTITUCION. ....................................................................8
CANTIDAD DE EMPLEADOS DE LA INSTITUCION...............................................8
DETALLE DE DEPARTAMENTO Y ACTIVIDAD QUE SE AUDITARAN...............9
PERSONAL ENCARGADO INVOLUCRADO QUE ATENDERA LA AUDITORIA.
(NOMBRE, CARGO.) ......................................................................................................9
EMPLEADO CLAVE DEL DEPARTAMENTO. ...........................................................9
UBICACIÓN DE LA INSTITUCIÓN.............................................................................10
GIRO DE LA INSTITUCIÓN.........................................................................................10
PONDERACION POR LOS PUNTOS QUE SERAN EVALUADOS................................................10
IDENTIFICACION DE AREAS CRÍTICAS...................................................................................11
OBJETIVOS DE LA AUDITORIA ................................................................................11
PRESUPUESTO FINANCIERO..................................................................................................12
CRONOGRAMA DE ACTIVIDADES .........................................................................................13
TIPOS DE AMENAZAS............................................................................................................13
INTRODUCCIÓN ....................................................................................................................14
OBJETIVOS DEL DUCUMENTO ..............................................................................................15
OBJETIVO GENERAL ..................................................................................................15
OBJETIVOS ESPECÍFICOS ........................................................................................15
PRESENTACIÓN DE POLÍTICAS DE SEGURIDAD.....................................................................16
1.0 PRINCIPIOS/PROCEDIMIENTOS:..................................................................16

2.0 SOFTWARE .............................................................................................................17
2.0 USO DE INTERNET Y ACCESO A LA RED..................................................17
4.0 SEGURIDAD DE INTERNET ................................................................................18
5.0 BACKUP Y RECUPERACIÓN ..............................................................................18
6.0 PROTECCIÓN Y SEGURIDAD ............................................................................19
TECNICAS DE EVALUACION...................................................................................................20
PAPELES DE TRABAJO ...........................................................................................................23
ALCANCE DE LAADITORIA INFORMÁTICA ............................................................................25
OBJETIVO DE AUDITORIA......................................................................................................26
GENERAL .......................................................................................................................26
ESPECÍFICOS................................................................................................................26
CRONOGRAMA DE ACTIVIDADES .........................................................................................27
PROGRAMAS DE AUDITORIA................................................................................................28
INTRODUCCIÓN ....................................................................................................................33
OBJETIVOS DEL DUCUMENTO ..............................................................................................34
OBJETIVO GENERAL ..................................................................................................34
OBJETIVOS ESPECÍFICOS ........................................................................................34
ALCANCE DE LAADITORIA INFORMÁTICA ............................................................................35
OBJETIVO DE AUDITORIA......................................................................................................36
GENERAL .......................................................................................................................36
ESPECÍFICOS................................................................................................................36
RESULTADO DE LA AUDITORIA.............................................................................................37
ANEXOS.................................................................................................................................43
Carta de Finalización.....................................................................................................43
CUESTIONARIO............................................................................................................45
GENERALIDAES DE LA INSTITUCION....................................................................48
SOFTWARE....................................................................................................................49
SISTEMAS OPERATIVOS ...........................................................................................51

COMUNICACIONES Y REDES...................................................................................51
PLANES CONTINGENCIALES ...................................................................................52
OUTSOURSING.............................................................................................................53
BIBLIOGRAFIA .......................................................................................................................55
FUENTES DE INFORMACION. ..................................................................................55
WEBGRAFIA ..................................................................................................................55

Etapa I
Introducción
La presente etapa de este documento del proyecto de la asignatura “Auditoria de
Sistemas” de la Universidad Luterana Salvadoreña se pretende dar a conocer los
diferentes registros y control que lleva sobre lo que se Auditara.
El contenido de este documento nos brindara información referente al Complejo Educativo
que se auditara y conocer la herramienta en que se ejecuta el protocolo en hoja de cálculo
de Excel dentro de ella misma y a la vez como auditores implementar conocimientos a la
planeación que se ha realizara para obtener buenos resultados en dicha auditoria.
Toda la información que porta este documento refleja una breve descripción de lo que se
espera desarrollar en el proceso de auditoría.

OBJETIVOS DEL DOCUMENTO
- Brindar y plantear detalladamente el proceso de auditoría que se realizara al
Sistema de notas de Educación Básica, en el Complejo Educativo Cantón XXX
XXXXXXXXXXXX.
- Revisar y Evaluar las hojas de cálculos del sistema y procedimientos de informática
del Sistema, su utilización, eficiencia y seguridad, de la Institución
- Conocer el procedimiento de la información de dicha institución, a fin de darle una
auditoria de buen empeño y buena estrategia a una utilización más eficiente y
segura de la información.

DESCRIPCION DE LUGAR
La auditoría a realizarse se hará en Complejo Educativo Cantón XXX XXXXXXXXXXXX
Institución que se dedica a la Educación Primaria y secundaria, se encuentra en el
Departamento de La Paz en el Municipio de San Pedro Masahuat, Cantón XXX
XXXXXXXXXXXX.
INTRODUCCION DE INFORME
Determinar las posibles vulnerabilidades del sistema y plataforma tecnológicas utilizadas
en el Complejo Educativo Cantón XXX XXXXXXXXXXXX, con el fin de hacer las
recomendaciones que dieran lugar.
ANTECEDENTES DE LA INSTITUCION.
RESEÑA HISTORICA DE LA INSTITUCUIÓN
Fundada en el año 2001 como Complejo Educativo Cantón XXX XXXXXXXXXXXX.
Anteriormente era llamada como Escuela Rural Mixta Cantón XXX XXXXXXXXXXXX, dirigida
por el señor Roberto Guerrero (Q.D.D.G) de dicha institución.
Luego paso a cargo del señor Nelson Antonio Ramírez López que se desempeña como
director de la Institución actualmente, desde el año 2001 la institución se ha
engrandecido tanto en población y en Educación.
El Complejo Educativo también cuenta de kínder 5 hasta con Educación Media
Bachillerato en opción contabilidad, en el 2003 el Complejo Educativo Cantón XXX
XXXXXXXXXXXX se vistió de gala en entregar su primera de promoción de Bachilleres en
Opción Contaduría.
Y así sucesivamente el Complejo Educativo Cantón XXX XXXXXXXXXXXX cada año se viste
de gala para promociones de Bachilleres.

ORGANIGRAMA DE LA INSTITUCION.
CANTIDAD DE EMPLEADOS DE LA INSTITUCION.
Profesores 18
Conserjes 2_
Total Empleados 20

DETALLE DE DEPARTAMENTO Y ACTIVIDAD QUE SE AUDITARAN.
Se auditara el sistema de notas de primero y segundo ciclo (educación media)
El área a auditar y evaluar es el “sistema de notas de educación básica” que maneja. El
Complejo Educativo Cantón XXX XXXXXXXXXXXX a fin de comprobar cada uno de los
procesos y cálculos de las notas de los alumnos sea segura y ordenada, y que la
información que servirá para una adecuada toma y compilación de datos dentro de la
Institución y su sistema diseñada en una hoja de cálculo.
PERSONAL ENCARGADO INVOLUCRADO QUE ATENDERA LA AUDITORIA. (NOMBRE,
CARGO.)
Cargo Nº de personal Nombres
Director de Institución Educativa 1 Nelson Antonio Ramírez López
Encargado de Centro de Cómputo 1 Xxx xxx xxx.
EMPLEADO CLAVE DEL DEPARTAMENTO.
La persona clave para el correspondiente examen de análisis en el proceso de la Auditoria
Informática es el Sr.
Xxx xxx xxx, encargado de centro de cómputo

UBICACIÓN DE LA INSTITUCIÓN.
Complejo Educativo Cantón XXX XXXXXXXXXXXX está situado del en Costa del Sol km 60
en el departamento de La Paz, en el Municipio de San Pedro Masahuat.
GIRO DE LA INSTITUCIÓN.
El giro que realiza la Institución de XXX XXXXXXXXXXXX es EDUCATIVO
PONDERACION POR LOS PUNTOS QUE SERAN EVALUADOS
Nº Factores primarios ponderados Porcenta
jes
1 Utilización de formatos utilizados 10 %
2 Niveles de información en los procesos 10 %
3 Funciones de la Institución y actualizaciones 10 %
4 Personal y usuario de la Institución 10 %
5 Actividades presupuestarias 10 %
6 Personal y usuario para trasferencia de datos 10 %
7 Identificación de áreas criticas 10 %
8 Infraestructura 10 %
9 Seguridad de traspaso de datos (notas) 20 %
TOTAL DE PROCENTAJES 100 %
JUSTIFICACION DE PORCENTAJE MAS ALTO.
Seguridad de traspaso de datos (notas)
Es necesario mantener un estado de alerta de la transmisión de datos y actualizaciones
permanentes, la seguridad es un proceso continuo que exige a prender sobre las propias
experiencias.

IDENTIFICACION DE AREAS CRÍTICAS
Área Ponderación
1. Hardware 10%
2. Software 20%
3. Plan de contingencia 20%
4. Sistema operativo 20%
5. Backups 30%
TOTAL 100%
OBJETIVOS DE LA AUDITORIA
- Determinar si existe un sistema que proporcione los resultados idóneos
pertinentes y fiables para la planeación, control y transferencia de datos.
- Efectuar sugerencias que permitan mejorar el control interno de la entidad. Ya que
la información puede perderse en la caída de luz eléctrica o perdida de datos dela
institución.
- Sugerir la implementación de un Sistema de notas de educación básica.

PRESUPUESTO FINANCIERO
DESCRIPCION CANTIDAD VALOR A
PARGAR
POR
MES
INVERCION
TOTAL
4 MESES
RECURSOS HUMANOS
 AUDITOR 2 $600.00 $4800.00
 TECNICO INFORMATICO 1 $400.00 $1600.00
RECURSOS MATERIALES
PAPELERIA (para toda la auditoria)
 RESMA DE PAPEL BOND TAMAÑO
CARTA
1 $4.50 $4.50
 BOLIGRAFOS 4 $0.20 $0.80
 FORDERS TAMAÑO CARTA 10 $0.20 $2.00
 ENGRAPADORA 1 $5.00 $5.00
EQUIPO TECNICO
 COMPUTADORA (MANTENIMIENTO) 1 $25.00 $100.00
 PROYECTOR 1 $25.00 $100.00
OTROS
 VIATICOS (para recursos humanos) 2 $50.00 $400.00
SUBTOTAL $7012.30
IMPREVISTOS (%10) $701.23
TOTAL $7713.53

CRONOGRAMA DE ACTIVIDADES
Actividades febrero marzo abril mayo junio
Elaboración de Perfil de Proyecto
Recolección de Información a Auditar 1er
capitulo
Recolección de Información a Auditar 2do
capitulo
Recolección de Información a Auditar 3er
capitulo
Ejecución de auditoria
Revisión de hardware
Revisión de software
Revisión de planes de contingencia
Revisión de sistema operativo
Comprobación de backups
Presentar informe de auditoria
TIPOS DE AMENAZAS
Intercepción
Modificación
Generación
Amenazas naturales o físicas
Amenazas involuntarias

Etapa II
INTRODUCCIÓN
Es una etapa que consiste en el desarrollo de los procedimientos contenidos en los
programas de auditoria atreves de las técnicas obtenidas en el proceso de ella misma.
En la Ejecución se presentan las políticas de seguridad de la Institución se describe el
alcance de la Auditoria.
Donde se reflejan las cinco Áreas críticas identificadas y también se establecen las
actividades que se realizaron en la ejecución de la Auditoria reflejadas en el cronograma
de actividades.
El contenido de este documento nos brindara información referente al ejecución. El
protocolo en hoja de cálculo de Excel dentro de ella misma y a la vez como auditores
implementar conocimientos a la planeación que se ha realizara para obtener buenos
resultados en dicha auditoria.
Toda la información que porta este documento refleja una breve descripción de lo que se
espera desarrollar en el proceso de auditoría.

OBJETIVOS DEL DUCUMENTO
OBJETIVO GENERAL
 Ejecutar la Auditoria de Sistemas de notas, en el complejo educativo Cantón XXX
XXXXXXXXXXXX.
OBJETIVOS ESPECÍFICOS
 Aplicar las técnicas y procedimientos, para la obtención de evidencia.
 Ejecutar la Auditoria de acuerdo al área identificada.
 Establecer las Políticas de Seguridad para salvaguardar la seguridad informática
de la institución

PRESENTACIÓN DE POLÍTICAS DE SEGURIDAD
Objetivo: Establecer normas, procedimientos para salvaguardar la seguridad informática
de la institución
Las siguientes normas y procedimientos están sujetos a cambios siempre y cuando se
garanticen los objetivos de seguridad. Se detallan a continuación los principales criterios:
1.0 PRINCIPIOS/PROCEDIMIENTOS:
1.1 Hardware
 Todos los Datos se almacenan en una BD en un servidor en línea.
 Sólo personal autorizado tiene acceso a la a la BD.
 El departamento de IT es responsable de mantener etiquetado e
inventariados, todos los CPU’S, Monitores, impresoras y UPS. para tener registro
de todos los equipos de IT en la institución.
 La instalación deberá ser realizada solo por el personal de IT o al menos
supervisado por dicho personal.
 Solo el personal de IT está autorizado a reparar y dar el respectivo
mantenimiento a un equipo si se es necesario.
 El personal de IT velará por el buen funcionamiento y estado de todos los equipos
informáticos, previendo revisiones de rutina y limpieza, coordinado con el jefe
del departamento para no afectar las labores diarias del departamento al que se
le está dando soporte técnico.
1.1.1 Cualquier reasignación de hardware de la empresa deberá de ser estrictamente
realizada por el personal de IT, además se supervisará la nueva ubicación, y se
actualizará en los respectivos registros. Nadie deberá realizar cambios de
ubicación de hardware sin la aprobación del departamento IT.
1.1.2 Asignación de Desktop (computadora de escritorio) o Laptop (Computadora
portátil)
 El Departamento de IT es el responsable de asignar una Desktop o Laptop al
personal evaluando previamente con la aprobación de la gerencia, cual es la ideal
para su Desempeño laboral, Responsabilidad y Movilidad.

2.0 SOFTWARE
2.1 Software estándar para ser instalado en las PC’s
 Sistema Operativo (Windows XP, Windows 7)
 ESET Endpoint Security (Anti Virus)
 Microsoft Office
 Adobe Reader
 Mozilla Firefox
 Driver de Motherboard (Chipset h61)
 Driver de impresor Epson
2.2 Sólo el personal del departamento de IT pueden desinstalar o modificar
instalaciones de software.
2.3 En caso sea necesario instalar un software no aprobado o no autorizado tendrá
que ser consultado con el Jefe de Departamento y posteriormente el personal de
IT procederá con la instalación.
2.4 No se permite instalar software pirata en las PC’s. Se tomarán las medidas
disciplinarias por la gerencia al detectarse cualquier incumplimiento.
2.0 USO DE INTERNET Y ACCESO A LA RED.
3.1 Toda cuenta de inicio de sesión y la cuenta de correo electrónico tiene que ser
solicitada a través de correo electrónico por el Jefe de Departamento y
aprobado por la gerencia.
3.2 Uso del correo electrónico
 El correo electrónico puede sobrecargar los recursos del sistema y de banda ancha.
Por lo tanto debe ser utilizado con fines de trabajo únicamente.
 Los usuarios de correo electrónico no deben tomarse el tiempo o la molestia para
responder a los correos electrónicos no deseados/solicitados, ya que podría
confirmar al remitente quien puede ser un hacker potencial, que la dirección es
real (y está siendo leído por una persona real). Por lo tanto dicha acción
posiblemente podría abrir la puerta a un virus o un ataque de denegación de
servicio.

 El personal IT, establecerá un servidor proxy para que el tráfico de red sea más
fluido y se pueda acceder a la web.
3.3 Uso de Internet
 El Acceso a Internet para cada miembro del personal tiene que ser decidido por el
jefe
 El Internet debe ser utilizado sólo con fines de trabajo.
 Descarga de software, música y videos no está permitido en internet sin la
aprobación del personal de IT.
4.0 SEGURIDAD DE INTERNET
4.1 el personal IT, configurará un proxy o filtro web para bloquear sitios web que no
estén permitidos paro los usuarios.
Páginas Pornográficas / sexo explícito
Juegos
Haking
Sitios Web Personales (Facebook y otros)
Páginas de Video
Descarga de música
Páginas de Violencia
5.0 BACKUP Y RECUPERACIÓN
5.1 Para no perder ningún tipo de información digital, nos aseguraremos de que
sus procedimientos de copia de seguridad permitan una restauración eficaz de
la última copia de seguridad del estado.
5.2 El usuario que necesite realizar una copia de seguridad que no se
encuentre en las carpetas compartidas, deberá informar al Departamento de
IT para realizar las respectivas copias.
5.3 Todo el personal o usuario de todas las computadoras debe ser personalmente
responsable de guardar la información en sus respectivas carpetas para que se
realice las respectivas copias de seguridad de datos.
5.4 El personal de IT hará revisiones periódicas para asegurar que estos
procedimientos continúen apoyando una recuperación oportuna.
5.5 Sólo el personal IT puede realizar la restauración de cualquier documento o
restauración del sistema.

6.0 PROTECCIÓN Y SEGURIDAD
6.1 Todos los usuarios deberán bloquear su computadora al levantarse de su sitio
de trabajo ya que cuando la pantalla se deja sin bloquear en su ausencia, otros
pueden tener la oportunidad de eliminar los archivos de forma accidental.
 Todas las PC, ordenadores portátiles y estaciones de trabajo deben estar
asegurados con un protector de pantalla protegido por contraseña con la
función de activación automática fijada cada 60 segundos.
 Después de ingresar erróneamente dos veces la contraseña de seguridad la
computadora por seguridad se bloqueará, en este caso deberá informar al
personal de IT.
 Ningún usuario está permitiendo compartir la contraseña. A menos que se
hubiera autorizado, por el jefe del departamento.
 La contraseña de usuario debe ser mínimo de 8 caracteres no más de 12.
 Es responsabilidad de todos los usuarios ayudar en el ahorro de costos a la
institución y aumentar la vida útil de la PC tomando muy en cuenta la
seguridad ocupacional de todos.
6.2 No se permite el acceso a la sala de servidores sin autorización de IT. Sólo el
personal de IT tiene acceso a la sala de servidores.
Xxx xxx xxx
Jefe de IT

TECNICAS DE EVALUACION
Entrevista.
Una de las mejores actividades de recopilación de información es la entrevista por medios
ya que les pueden servir para conocer a figuras de cierta relevancia, También la entrevista
puede significar mucho para otras personas. Se trata de una técnica o instrumento del
auditor para diversos motivos, investigación e información.
CUESTIONARIOS.
La técnica de los cuestionarios es una técnica de recopilación de datos o información que
nos brinda los auditados, nos brinda información que permite al auditor lograr obtener
toda la información necesaria para la emisión de hechos o sucesos podríamos llamarlo
también evidencia de auditoria.
Permite estudiarla, analizarla y comprenderla. La documentación necesaria brindada por
la Institución es una de las mejores, como auditores nos permite saber el problema en
general, mediante al uso de los cuestionarios podremos analizar la institución. Pueden ser
usados para determinar un sentimiento o problema demostrado por los auditados para

tratar de encontrar todo lo necesario en el cuestionario, tender o recoger cosas
importantes antes de que las entrevistas sean realizadas.
ENCUESTA:
Técnica establecida para la recopilación de información de una encuesta de mayor uso en
una auditoria en sistemas.
Como el servicio, comportamiento utilidades de un equipo, Es la recopilación de datos
concretos sobre un tema específico, mediante el uso de cuestionarios o entrevistas
diseñados con preguntas precisas para obtener las opiniones de los encuestados, las
cuales permiten, después de hacer una rápida tabulación según necesidades.
Observación.
Diversas técnicas y métodos de observación que permiten recolectar directamente la
información necesaria sobre el comportamiento del sistema, del área de sistemas y más
utilizados para examinar los diferentes aspectos que repercuten el funcionamiento del
área de la auditoria informática.
Algunas observaciones que podemos obtener son:
- Observación Directa.
- Observación indirecta.
- Observación partidaria
- Observación no partidaria.

EVIDENCIA FISICA: muestra de materiales, fotos y videos.
EVIDENCIA DOCUMENTADA: Registros, encuestas cuestionarios y muestreo.
EVIDENCIA ANALITICA: analizar la evidencia situación se encuentra un determinada
problema en momento en que se realiza la encuesta
EVIDENCIA OCULAR: recopilación de información de lo que se ha visto en el proceso de
auditoría.

PAPELES DE TRABAJO
LISTA DE CHEQUEO Página:
1/1
INSTITUCION: COESMA
Unidad: Tecnologíade la Información
Área: DESEMPEÑO DE LA RED
Período Desde: 30 03 2015 Hasta: 15 05 2015
N° CARACTERÍSTICA A EVALUAR SI NO
1 ¿Se comprobaron los elementosydispositivosfísicos
de la plataforma de red?
X
2 ¿La cantidad de equiposo nodos está acorde con el
diseñoy configuraciónde red?
X
3 ¿Existe alguna aplicación cliente‐servidoren
particular que demande recursos y comprometa el
desempeñode red?
X
4 ¿Se verificóel ancho de banda de la Red?
X
5 ¿Se analizó la tasa de transferenciaenla red?
X
6 ¿Se comprobó la existenciade pérdidasde paquetes
en la red?
X
7 ¿Se verificóque la topologíaestuviese acorde al
diseñoy requerimientospropiosde la red?
X
8 Verificaciónde firewall
X

LISTA DE CHEQUEO Página:
1/1
INSTITUCION: COESMA
Unidad: Tecnologíade la Información
Área: SOFTWARE - HARDWARE
Período Desde: 30 03 2015 Hasta: 15 05 2015
N° CARACTERÍSTICA A EVALUAR SI NO
1 Comprobar las licenciasde losprogramas utilizados
en la institución
X
2 Verificarsi el software esel adecuadopara el trabajo
de la institución
X
3 Se comprobaron las tarjetas de res (PCI) y switch
X
4 Se verificotodoel cableadode red
X
5 Se comprobó la actualización de driver de impresores
y red
X
6 Se verificoel rendimientode lasPC en uso
X

ALCANCE DE LAADITORIAINFORMÁTICA
El alcance de la auditoria informática se realizará de acuerdo a las áreas críticas
identificadas:
ALCANCE DE LA AUDITORIA POR AREAS
AREA DESCRIPCION
SOFTWARE En esta área se auditara el sistema operativo y las
herramientas ofimáticas, Word, Excel, etc. Además de
comprobar si existe alguna instalación de software pirata
HARDWARE Se evaluara que todo el hardware este correctamente
instalado y configurado para su correcto funcionamiento.
RED Se comprobara el flojo de datos por la red para evitar
perdida de información o mejorar el rendimiento de la
misma.
PLANES DE CONTINGENCIA Verificar los planes de contingencia que posee la institución
y de no ser así establecer posibles planes a tomar en
cuenta para salvaguardar los datos
RESPALDOS (BACKUP) Comprobar si la institución tiene algún método para
realizar backups y verificar la eficiencia del proceso.

OBJETIVO DE AUDITORIA
GENERAL
 Identificar las áreas críticas y los diferentes riesgos que implican para la
institución COESMA, determinar si existe un sistema que proporcione los
resultados idóneos, pertinentes y fiables para la planeación, control y
transferencia de datos.
ESPECÍFICOS
 Efectuar sugerencias que permitan mejorar el control interno de la entidad. Ya
que la información puede perderse en la caída de luz eléctrica o perdida de
datos dela institución.
 Evaluar los riesgos que contienen las diferentes áreas críticas identificadas.
 Aplicar los procedimientos, técnicas y métodos para el desarrollo
eficiente de la auditoria.
 Verificar la capacidad de respuesta de la Empresa ante los riesgos detectados.
 Observar el nivel de respuesta del departamento de IT ante los
riesgos identificado.

CRONOGRAMADE ACTIVIDADES

PROGRAMAS DE AUDITORIA
COMPLEJO EDUCATIVO
CANTÓN XXX XXXXXXXXXXXX
Auditoria a:
Mayo de 2015
HARDWARE
Nº Actividad a evaluar Procedimiento de
auditoria
Ref.
P/T
Hecho por: Fecha
Revisión de hardware (tiempo estimado 2 horas)
1 Solicitar
características de pc
Pedir manuales y
características de
hardware de las pc
HR01 Luis
Domínguez
14/04/15
2 Seleccionar pc para
muestra
Seleccionar una pc para
examinar físicamente
las piezas de hardware
HR02 Luis
Domínguez
14/04/15
3 Evaluar las
características de
hardware de los
equipos
Evaluar las
características usando
una herramienta
(software)
HR03 Luis
Domínguez
14/04/15
Mantenimiento (tiempo estimado 1 hora)
1 Mantenimiento
preventivo
Verificar si existen
mantenimiento
preventivo
MT01 Luis
Domínguez
14/04/15
2 Mantenimiento
correctivo
Verificar cada cuanto
tiempo se da el
mantenimiento
correctivo
MT02 Luis
Domínguez
14/04/15
3 Personal técnico Verificar si existe
personal para
MT03 Luis
Domínguez
14/04/15
Instalaciones (tiempo estimado 1 hora)
1 Inspección de
Cableado
Realizar una revisión
de las instalaciones
eléctricas a fin de
garantizar que las
mismas son adecuadas
para garantizar el buen
funcionamiento y
protección de los
equipos de cómputo.
IN01
Luis
Domínguez
14/04/15

2 Inspección de
software
Realizar una revisión de
las instalaciones de
software que se utiliza
para el registro de
notas de la institución
IN02 Luis
Domínguez
14/04/15
COMPLEJO EDUCATIVO
Auditoria a:
Mayo de 2015
SOFTWARE
auditoria
Ref.
P/T
Hecho
por:
Fecha
SISTEMA Y MODULOS (NOTAS) (TIEMPO ESTIMADO 30 MINUTOS)
1 Software utilizado Investigar que software
y que módulos utiliza la
institución para sus
funciones
SF01 Elmer
Granados
14/04/15
2 Manuales de
software
Indagar si existen
manuales o instructivos
de cada modulo
SF02 Elmer
Granados
14/04/15
3 Usuario del
sistema
Ver el listado de
usuarios que pueden
acceder al sistema, los
roles y permisos de
cada usuario
SF03 Elmer
Granados
14/04/15
MANTENIMIENTO DE SOFTWARE (TIEMPO ESTIMADO 1 HORA)
1 Verificar mejoras o
actualizaciones
Verificar si las
aplicaciones o módulos
han sido actualizados o
mejorados por fallas
anteriores
SM01 Elmer
Granados
14/04/15
2 Verificar licencias Verificar las licencias de
las aplicaciones u
módulos que se utilizan
SM02 Elmer
Granados
14/04/15

CAPACITACION DE USUARIOS (TIEMPO ESTIMADO 30 MINUTOS)
1 Planes de
capacitación
Verificar si existen
planes de capacitación
para el uso de las
aplicaciones
SC01 Elmer
Granados
14/04/15
2 Metodología de las
capacitaciones
Investigar la
metodologías
empleadas en las
capacitaciones de los
usuarios
SC02 Elmer
Granados
14/04/15
3 Capacidad del
personal (usuarios
del sistema)
Verificar si los usuarios
del sistema manejan en
su totalidad las
aplicaciones necesarias
SC03 Elmer
Granados
14/04/15
RIEGOS DE DEPENDENCIAS TECNOLOGICAS (TIEMPO ESTIMADO1 HORA)
1 Contrato de
adquisición
Verificar si existe
alguna clausula en el
contrato de adquisición
que obligue a la
institución a hacer uso
de la aplicación por un
tiempo definido
SR01 Elmer
Granados
14/04/15
2 Arquitectura de la
aplicación
Verificar si la aplicación
o módulos se pueden
migrar de plataforma
SR02 Elmer
Granados
14/04/15

COMPLEJO EDUCATIVO
Auditoria a:
Mayo de 2015
PLAN DE CONTINGENCIAS
auditoria
Ref.
P/T
Hecho
por:
Fecha
COMPROBAR SI EXISTEN POLITICAS DE PLANES DE CONTINGENCIA (TIEMPO ESTIMADO 1
HORA)
1 Solicitar plan de
contingencia
Solicitar a la gerencia los
planes de contingencia
ejecutados
PS01 Elmer
Granados
15/04/15
PUEBAS DE PLAN DE CONTINGENCIA (TIEMPO ESTIMADO 1 HORA Y MEDIA)
1 Realizar simulacro Realizar simulacros con
los usuarios para
verificar si los planes de
contingencia son
adecuados
PP01 Elmer
Granados
15/04/15
ACTUALIZACION DE LOS PLANES DE CONTINGENCIA (TIEMPO ESTIMADO 1 HORA)
1 Verificación Verificar si se han
realizado actualizaciones
al plan de contingencia
PV01 Elmer
Granados
15/04/15
COMPLEJO EDUCATIVO
Auditoria a:
Mayo de 2015
SISTEMA OPERATIVO
Nº Actividad a
evaluar
Procedimiento de
auditoria
Ref.
P/T
Hecho por: Fecha
SISTEMA OPERATIVO (TIEMPO ESTIMADO 1 HORA)
1 Identificación Identificar el sistema
operativo y su
arquitectura
OS01 Luis
Domínguez
15/04/15
2 Verificar licencias Investigar el tipo de
licencia del sistema
operativo y si este
OS02 Luis
Domínguez
15/04/15

cuenta con una licencia
legal
3 Aplicaciones
instaladas
Solicitar aplicaciones
utilizadas por la
institución
OS03 Luis
Domínguez
15/04/15
COMPLEJO EDUCATIVO
Auditoria a:
Mayo de 2015
BACKUPS
auditoria
Ref.
P/T
Hecho
por:
Fecha
POLÍTICAS DE BACKUPS (TIEMPO ESTIMADO 1 HORA)
1 Lista de políticas Pedir lista de políticas
implementadas en los
Backus
Elmer
Granados
15/04/15
2 Restricciones Verificar tipo de
restricciones de
restauración para los
usuarios
Elmer
Granados
15/04/15
COMPROBACION DE BACKUPS (TIEMPO ESTIMADO 30 MINUTOS)
1 Verificar backups Verificar método de
respaldo de datos
Elmer
Granados
15/04/15
2 Verificar seguridad Verificar la seguridad de
los backups
Elmer
Granados
RESTAURACION DE BACKUPS (TIEMPO ESTIMADO 1 HORA)
1 Método de
restauración
Verificar los pasos y
herramientas para la
restauración de backups
Elmer
Granados
15/04/15
2 Copias de Backups Verificar las copias de
seguridad
Elmer
Granados
15/04/15

Etapa III
INTRODUCCIÓN
Esta etapa de la auditaría consiste en el desarrollo y la presentacion de
informes y resultados finales de los procedimientos contenidos en los
programas de auditoria atreves de las tecnicas obtenidas y realizando
diversas tareas en el proceso de ella misma.
El contenido de este documento nos brindara informacion referente al
ejecucion. El protocolo en hoja de calculo de Excel dentro de ella misma y
a la vez como auditores implementar conocimientos a la planeacion que
se ha realizara para obtener buenos resultados en dicha auditoria.
El hallazgo encontrado en la ejecución de la auditoria y la recomendación
que damos a la Institución. Este ha sido el resultado de nuestro trabajo,
respaldado de la carta de finalización dirigida a la Institución.
Toda la informacion que porta este documento refleja una breve
descripcion de la ejecucion en la Institucion. Teniendo hoy la fase final,
comenzamos por ordenar de manera correcta cada punto

OBJETIVOS DEL DUCUMENTO
OBJETIVO GENERAL
 Evaluar los hallazgos encontrados en la Auditoria de Sistemas de notas, en el
complejo educativo Cantón XXX XXXXXXXXXXXX se analizaron para mostrarlo
en el informe final y con sus resultados obtenidos.
OBJETIVOS ESPECÍFICOS
 Analizar los hallazgos obtenidos en la Etapa de Ejecución de la Auditoria
 Elaborar el informe final de Auditoria realizada en el Complejo Educativo
Cantón XXX XXXXXXXXXXXX
 Presentar la carta de finalización de procesos de dicha Auditoria y entregas de
resultados

ALCANCE DE LAADITORIAINFORMÁTICA
La ejecución de la Auditoria informática se realizará de acuerdo a las áreas
críticas identificadas:
ALCANCE DE LA AUDITORIA POR AREAS
AREA DESCRIPCION
SOFTWARE Área se auditada fue el sistema operativo y las
herramientas ofimáticas, Word, Excel, etc. Además de
comprobar si existe alguna instalación de software pirata
HARDWARE Se evaluó que todo el hardware este correctamente
instalado y configurado para su correcto funcionamiento.
RED Se comprobó el flujo de datos por la red para evitar perdida
de información o mejorar el rendimiento de la misma.
PLANES DE CONTINGENCIA Se verifico los planes de contingencia que posee la
institución y de no ser así establecer posibles planes a
tomar en cuenta para salvaguardar los datos
RESPALDOS (BACKUP) Se comprobó si la institución no tiene algún método para
realizar backups y verificar la eficiencia del proceso.

OBJETIVO DE AUDITORIA
GENERAL
 Analizar los hallazgos obtenidos en la Etapa de Ejecución de la Auditoria,
determinar si existe un sistema que proporcione los resultados idóneos,
pertinentes y fiables para la planeación, control y transferencia de datos.
ESPECÍFICOS
 Emitir sugerencias que permitan mejorar el control interno de la entidad.
Ya que la informaciónpuede perderseen la caída de luz eléctrica o perdida
de datos dela institución.
 Presentar el informe y resultados final de Auditoria de Sistemas

RESULTADODE LA AUDITORIA
SOFTWARE
SOFTWARE
Evaluación de sistema Operativo
Hallazgo
 El Sistema Operativo que el Complejo Educativo Cantón XXX XXXXXXXXXXXX
utiliza para llevar su control de notas es Windows 7. Pero en la auditoria de
determino que: cada computador tenía variación de idiomas.
 El encargado de centro de cómputo en la Institución Educativa manifiesto lo
siguiente: “La mayoría de Instituciones educativas tanto como privadas y/o
gubernamentales tienen sistemas Windows 7 deficientes. Por ejemplo el de
la Institución Educativa tiene la variación de Idiomas en cada computador.
Riesgo
 Podrían guardar las notas obtenidas de los alumnos en diferentes hojas de
cálculo o no guardarlas, ya que no todos los sistemas operativos instalados
están en castellano.
Recomendación
 Poner los sistemas operativos instalados en castellano.

HARDWARE
Verificación soporte técnico en Sistemas
Hallazgo
 Solo el encargado de centro de cómputo de la institución está capacitado
para dar soporte técnico a las computadoras.
Riesgo
 Puede entrar persona no autorizada y mucho menos capacitada
manipulando las computadoras de la Institución.
Recomendación
 Capacitar más personal o pedir soporte técnico de manera profesional para
no tener inconvenientes que puedan perjudicar el comportamiento del
software del Sistema Operativo.

REDES
Cambio de contraseña de usuario.
Hallazgo
 No hacen cambios de contraseñas en la Institución Educativo
Riesgos
 Puede entrar un estudiante al centro de cómputo y poder adivinar
contraseña de Administrador/Usuario.
Recomendación
 Cambiar contraseñas cada 3 meses como medida de seguridad, podrían
usar mayúsculas, minúsculas y números, y no usar contraseñas repetidas
anteriormente.

REDES
Verificación y revisiones de cables de Red instalados en institución.
Hallazgo
 Con el encargado de centro de cómputo de dicha Institución Educativa se
sostuvo una conversación donde se constató que no hay ningún tiempo
estipulado para la Red instalada.
Riesgo
 Por no tener una política establecida para la verificación de Red, no podrían
detectar fácilmente problemas ocasionados por deterioro o mal
funcionamiento de la topología de red.
Recomendación
 Establecer una política de revisión de cables de red en la Institución
Educativa para evitar daños y prejuicios.

PLANES DE CONTINGENCIA
Manuales que indiquen que hacen para prevenir y minimizar daños en sus recursos
informáticos que contiene la Institución
Hallazgo
 IT no cuenta con manuales tanto como físico ni tampoco virtuales.
Riesgo
 Al no poseer manuales de contingencia en caso de emergencia por daño de
una computadora no podrán guiarse para minimizarlo
Recomendación
 Elaborar un plan de contingencia tanto como físico también virtual que
indique como proteger los equipos solucionar problemas o minimizarlos.

RESPALDOS (BACKUP)
Se comprobó si la institución tiene algún método de bsckup/Respaldos
Hallazgo
 Se encontró que en la Institución el único Backup que se realiza, es atreves
de hojas de cálculo la cual se envía al correo de la secretaria.
Riesgo
 Cuando envían la información a sus correos pueden perder parte de dicha
información y por no hacer Backups tanto en una PC servidora o guardarla
en línea (en la nube).
Recomendación
 Al encargado de se le sugirió hacer Backups en una PC servidora o hacerlo
en la nube.

ANEXOS
Carta de Finalización
Institución: Complejo Educativo Cantón XXX XXXXXXXXXXXX, San Pedro Masahuat, la Paz.
Sr. Xxx xxx xxx
San Pedro Masahuat, 29 de mayo de 2015
Cargo: Encargado de Centro de Computo
Tenemos el agrado de dirigirnos a su persona a efectos de dar a conocer el alcance
obtenido del trabajo de auditoria de sistema en el área de desarrollo profesional, auditoría
realizada en el periodo entre el periodo del 01 de marzo al 29 de mayo de 2015. Se
formula la siguiente carta de finalización y reviso la documentación a dar presentada.
Sobre la base del análisis y procedimientos detallados de todas las informaciones
recopiladas y emitidas en el presente informe, que a nuestro criterio es razonable.
En síntesis de la revisión realizada encontramos cinco áreas. Y son las siguientes:
1. Software.
2. hardware
3. Redes.
4. Planes de Contingencias.
5. Respaldos Backups.
Teniendo como hallazgos los siguientes puntos:
Software:
 El Sistema Operativo que el Complejo Educativo Cantón XXX XXXXXXXXXXXX utiliza
para llevar su control de notas es Windows 7. Pero en la auditoria de determino
que: cada computador tenía variación de idiomas.

 El encargado de centro de cómputo en la Institución Educativa manifiesto lo
siguiente: “La mayoría de Instituciones educativas tanto como privadas y/o
gubernamentales tienen sistemas Windows 7 deficientes. Por ejemplo el de la
Institución Educativa tiene la variación de Idiomas en cada computador.
Hardware
 Solo el encargado de centro de cómputo de la institución está capacitado para dar
soporte técnico a las computadoras.
 El encargado del Centro de computo manifiesta que cada vez que se encarga “x”
problema sobre computadoras el centro de cómputo queda solo y no puede darle
mantenimiento el solo a las 30 PC`s que tienen en la Institución.
Redes.
 Con el encargado de centro de cómputo de dicha Institución Educativa
conversamos y nos hiso constar que no hay ningún tiempo estipulado para la Red
instalada.
Planes de Contingencias
 La Institución no cuenta con manuales, para la protección del equipo informático
realizan lo que estiman conveniente en el momento y ante la emergencia.
RESPALDOS (BACKUP)
 Se encontró que en la Institución el único Backup es enviar la hoja de cálculo a
correos electrónicos.
Atentamente:
Domínguez Parada, Luis Antonio.
Elmer Alexander, Granados Maradiaga.

CUESTIONARIO.
¿El lugar donde se ubica sistema de alojamiento de datos del Complejo está seguro de
inundaciones, robo o cualquier otra situación que pueda poner en peligro lo equipo?
Si ( )
No (x)
¿Se encuentra el sistema en una superficie sólida y estable o lo más cerca del suelo
posible?
Si (x)
No ( )
¿Está el sistema a salvo de la luz solar excesiva, viento, polvo, agua o temperaturas
extremas de frío / calor?
Si (x)
No ( )
¿Se cuenta con una salida de emergencia donde se encuentra el equipo de alojamiento de
la hoja de cálculo?
Si ( )
No (x)
¿Está el sistema situado en un sitio donde pueda tener un seguimiento, aislado y con poco
tráfico humano?
Si ( )
No (x)
¿Están las puertas cerradas con llave fuera de horario laboral?
Si (x)
No ( )
¿Tiene el personal autorizado acceso a la transferencia de datos a la hoja de cálculo?
Si (x)
No ( )

¿Está el sistema de su infraestructura asegurado contra problemas
eléctrico?
Si ( )
No (x)
¿Existe un control de accesos al CPD? centro de procesamiento de datos
Si ( )
No (x)
¿Están habilitados los puertos USB / lector de tarjetas de los equipos?
Si (x)
No ( )
¿Existe un control sobre los dispositivos de almacenamiento extraíble?
Si ( )
No (x)
¿Hay suficiente iluminación del centro de cómputo?
Si (x)
No ( )
¿La temperatura a la que trabajan el sistema es la adecuada de acuerdo a las normas bajo
las cuales se rige?
Si ( )
No (x)
¿Ha comprobado que no existan parches de seguridad del software y recibe regularmente
las actualizaciones de seguridad o vulnerabilidades del software que utiliza sistema?
Si ( )
No (x)
¿Existe algún otro medio de ventilación aparte de las ventanas sol aire?
Si ( )
No (x)
¿Los equipos o el equipo cuentan con un regulador de energía?

Si ( )
No (x)
¿Los interruptores de energía están debidamente protegidos y sin obstáculos para
Alcanzarlos?
Si (x)
No ( )
¿Se cuenta con alarma contra incendios?
Si ( )
No (x)
¿Qué tipo de mantenimiento realizan en sus quipos?
a. Preventivo
b. Correctivo
¿Se cuenta con copias de los archivos en lugar distinto al de la computadora?
Si ( )
No (x)
¿Se han instalado equipos que protejan la información y los dispositivos en caso de
variación de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de
energía?
Si ( )
No (x)

GENERALIDAES DE LA INSTITUCION
NOMBRE DE LA INSTITUCION: Complejo
Educativo Cantón XXX XXXXXXXXXXXX
Fecha:
ENTREVISTADO: Xxx xxx xxx Cargo: Depto. IT
ENTREVISTADO: Nelson Ramírez Cargo: Director de la Institución
Pregunta: Si No comentarios
Cuál es el nombre de la Empresa? Complejo Educativo Cantos XXX
XXXXXXXXXXXX (COESMA)
Cuál es la actividad que se realiza
en la Institución? Educativa
Cuantos años tiene la Institución
de estar en el
Mercado?
21 años
La Institución cuenta con una
estructura
Organizada?
X
Existen objetivos establecidos en
la Institución? X Si existen
Cuenta la Empresa con misión,
visión y
Valores?
X Existen
Cuentan con presupuestos y
manuales? X
No existen por ser una
Institución Educativa y eso lo
emitiría El Gobierno.
Existe un control de ingresos y
egresos al sistema? X
Por ser un sistema pequeño
(hoja de cálculo) no tenemos un
control de ingreso y egreso en el
sistema.

SOFTWARE
Que tan frecuentes son las
actualizaciones?
No hay actualizaciones
En qué Idioma está el sistema
Operativo Español
Tiene Antivirus?
X 21 años
Tiene soporte técnico? X Encargado de centro de
Computo
Cuenta con servidores locales o
nube? Local
Cantidad de servidores posee? Una
Es frecuente el mantenimiento?
X Cada 6 meses
Cuentan con un plan anual de
mantenimiento? X No contamos con un plan
exacto, pero se se hacen
mantenimiento preventivo.
Cuál es la cantidad de equipo que
posee
Actualmente?
30 PC’s
Existen políticas definidas por
escrita a la hora de adquirir
nuevos equipos?
X
No existen, por ser Institución
Educativa y Gubernamental.
Realizan Back up?
X No se hace por ser una hoja de
cálculo, pero sí se debería hacer
por no tener una pérdida de
datos
¿El cableado se encuentra
Según normas de cableado

correctamente Instalado? X estructurado si están
correctamente instalados
Poseen manuales de uso?
X No tienen manuales físicos ni
virtuales.
Los manuales están actualizados? X No tienen manuales físicos ni
virtuales

SISTEMAS OPERATIVOS
Que sistemas operativos utilizan
en la Institución?
Windows 7
Poseen las licencias de los
sistemas operativos? X Por ser un sistema operativo
privativo si tenemos licencia
Que tan frecuentes son las
actualizaciones de
Los sistemas operativos?
No tenemos tiempo estipulado
Han habido cambios recientes en
los sistema operativo?
X
Nosotros trabajamos bajo un
rígido manual que nos da el
gobierno, por eso no podemos
hacer cambios en el sistema
operativo.
Los usuarios están capacitados
para el buen uso de los sistemas
operativos?
X
Se les da capacitación sobre el
funcionamiento del sistema
operativo.
COMUNICACIONES Y REDES
Quienes son los proveedores de
comunicaciones y redes?
CLARO
Qué tipo de servicio posee? INTERNET
Que ancho de banda posee? 1M

Cuenta con internet o intranet?
INTERNET
Posee internet inalámbrico?
X N/A
Que tipos de dispositivos utilizan
para la comunicación?
TELEFONO
El tipo de cable está diseñado
para el ancho de banda? X Tenemos cable de clase 5
PLANES CONTINGENCIALES
Pregunta: Si No Comentarios
Cuenta la Institución con planes
de contingencia les para
minimizar riesgo que amenacen el
área de IT
X
Si tenemos, pero lo tenemos
virtual, tendríamos que tenerlo
físico para que todos los que
somos parte de la institución
podamos tener acceso a él.
Los planes contingencia les están
por escritos?
X No, solamente lo tenemos
virtual.
Poseen manuales de acción que
ayuden al personal en eventos
inesperados?
X
No, solamente de contingencia,
pero en un futuro podemos
tener uno a la mano ya sea
virtual y virtual

OUTSOURSING
Pregunta: Si No Comentarios
Cuentan con outsoursing
X Si poseemos, son los conserjes.
Cual e el plazo del contrato de
outsoursing? INDEFINIDO

BIBLIOGRAFIA
FUENTES DE INFORMACION.
Director del Complejo Educativo.
Encargado de Centro de Computo.
WEBGRAFIA
http://plataformas.uls.edu.sv/mod/url/view.php?id=819
http://plataformas.uls.edu.sv/mod/url/view.php?id=821
http://www.youtube.com/wath?v=IgN3hrS5rJ4
http://www.uovirtual.com.mx/moodle/lecturas/audiadmon1/4.pdf

Auditoria de Sistema de Notas

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (20)

Similar a Auditoria de Sistema de Notas

Similar a Auditoria de Sistema de Notas (20)

Último

Último (20)

Auditoria de Sistema de Notas