Vous êtes sur la page 1sur 15

AUDITORIA DE SITEMAS DE LA INTITICION EDUCATIVAJHOVAN

FERNEY ANDREY VASQUEZ FONEGRA ALEXANDER ACEVEDO ALZATE

INSTRUCTOR RAFAEL REYES

ADMINISTRACION DE REDES DE DATOS GRUPO 180106

SENA-CENTRO DE TECNOLOGIA DE LA MANUCFATURA AVANZADA MEDELLIN 2012

Componente a auditar La Institucin Educativa Nuevo Horizonte, hace una solicitud a nuestro grupo audito, para ejecutar una auditoria a su rea de informtica, la cual se requiere segn las directivas del plantel educativo, para llevar un control organizado y administrativo y as poder mejorar y aprovechar todos sus recursos en beneficio a la intiticion educativa. Objetivo general Analizar y evaluar el funcionamiento y seguridad de los sistemas informticos, examinar las normatividad y estndares de trabajo del plantel educativo en el rea de informtica, as como realizar un estudio suficiente de las operaciones del mismo que permita generar un respaldo en la presentacin del informe a la auditoria practicada. Objetivos especficos Identificar las reas crticas, con respecto a la seguridad del equipo del rea de informtica. Disear los procedimientos a efectuar en el desarrollo de la auditora del rea de informtica. Establecer el alcance en cuanto a los procedimientos, de tal manera que conduzcan a la formulacin del informe de la auditoria de sistemas. Verificar si se ha diseado un manual de organizacin y funciones a ser aplicado a los y por los usuarios del rea de informtica. Hacer una revisin detallada de los recursos informticos con los cuales cuneta la institucin educativa. Evaluar la normatividad que se esta aplicando en el mbito y rea informtica del plantel educativo. Examinar los inventarios que se han hecho ltimamente sobre los recursos fsicos del rea de informtica. Analizar y revisar como se esta ejecutando la seguridad tanto lgica como fsica de los recursos informticos del plantel educativo. Realizar un anlisis sobre el control de acceso a los recursos fsicos del rea de informtica que se es ten llevando acabo. Inspeccionar la validacin y legalizacin del licenciamiento de software equipos u ordenadores. Verificar la existencia de copias de seguridad sobre la informacin relevante en la Institucin Educativa. Revisar como esta se esta llevando acabo el mantenimiento de los equipos (hardware) en el area. Verificar como se esta realizando el respaldo de la informacin y copias de seguridad de las mismas en el manejo de datos elementales en el rea de informtica y en institucin en general.

Verificar cuales son la condiciones que se establecieron para uso y control de los equipos (hardware). Certificar las pruebas que validen las normas y polticas de plantel educativo al rea de informtica. Generar un informe minucioso en que se mostraran todos detalles de la auditoria como los problemas que se encontraron y sus respectivas recomendaciones y soluciones.

Alcance La auditoria que se le realizara a la institucin educativa nuevo horizonte, constara con una serie de anlisis, test o en cuestas, a las directivas, empleados, y usuarios que estn relacionados directamente con el rea de informtica. Se generara un informe cual va a contener de talles de las evaluaciones y anlisis realizados tanto a recursos fsicos y lgicos, adems en el informe se entrega la informacin necesaria con las recomendaciones para mejorar el rea de informtica.

Normas legales LEY 1273 DEL 5 DE ENERO 2009,Por medio de la cual se modifica el cdigo penal, se crea un nuevo bien jurdico tutelado-denominado de la proteccin de la informacin y de los datos , y se preservan integralmente los sistemas que utiliza las tecnologas de la informacin y las comunicaciones, entre otras disposiciones.

PROYECTO DE ACUERDO No. 153 DE 2005 "Por medio del cual se crea el programa permanente de alfabetizacin digital en las instituciones y centros educativos distritales.

Ley de Comercio Electrnico en Colombia. (Ley 527 de 1999) El 18 de agosto de 1999 fue expedida en Colombia la Ley 527 de 1999, por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrnico y de las firmas digitales, se establecen las entidades de certificacin y se dictan otras disposiciones. DECRETO NMERO 1360 DE 1989

(Junio 23) Por el cual se reglamenta la inscripcin del soporte lgico (software) en el registro nacional del derecho de autor.

METODOLOGA Y PROCEDIMIENTOS

1. El Primer da, el grupo de auditores, visitarn al plantel educativo, lugar donde se realizar la auditora, para identificar la magnitud de los procedimientos a desarrollar y tener una reunin con las directivas y empleados de la institucin educativa.

2. El segundo da, se llevar a cabo la elaboracin de la Planeacin de la Auditora, para identificar las posibles reas que representen riesgo dentro de la organizacin y que afecten al sistema informtico. Adems se elaborar el cuestionario de Control Interno, con el cual se buscar recabar informacin, que nos ayudar a identificar el tipo de riesgo que presente en el rea a evaluar.

3. El tercer da, se visitar la institucin educativa con el fin de solicitar a los directivas, empleados del rea de informtica y usuarios del sistema, que respondan el cuestionario de control interno.

4. El da cuatro, desde de haber obtenido el resultado de las encuestas, se elaborara el informe, donde se pueda evaluar e identificar los riesgo que presenta en el rea de informtica y definiendo algunos procedimientos que ser necesario realizar.

5. En el quinto da y hasta el decimo da se har el desarrollo de la auditoria, los auditores visitarn el plantel educativo para realizar los procedimientos de auditora necesarios en el rea de informtica, con el fin de obtener la evidencia suficiente y competente que sirva para la elaboracin del informe de auditora.

6. El onceavo y doceavo da, se analizarn los datos, y se elaborar el informe de auditora que ser presentado a la administracin de la institucin educativa nuevo horizonte

Procedimiento ENTREVISTA ADMINISTRATIVOS Lugar: I.E. NUEVO HORIZONTE Fecha: 4 de agosto de 2012 Funcionario a entrevistar: Joaqun Pineda Coordinador rea de informtica

Objetivo: Emplear ciertos manejos de administracin de los equipos informticos en la I.E. NUEVO HORIZONTE para identificar su funcionamiento. Lea cuidadosamente cada pregunta y si conoce la respuesta proceda a marcar segn corresponda. 1.- Cuantos equipos informticos maneja esta dependencia. 1. -------------- 2, ---------------- 3, ------------4,------------------ms de 4, cuantos-----20--------2.- cuenta con el inventario de los recursos fsicos del rea de informtica. S No 3.-Programas bsicos que maneja: A------navegadores---------------------------- B-----antivirus Avast free-----------------------C----microsoft office 2010-------------------------------4.- se realiza un control de acceso a los recursos informticos de la I.E NUEVO HORIZONTE Si No 5.- Otros programas a los que tiene acceso. A----------- Addobe Reader ----------B-------- winrar -------------C---------------------------D--------------------------E----------------------------------F------------------------------------. 6.- Sabe si estos programas tienen licencia. Si---------------------------- No---------x-----------------7.-Cuales? A------------------------ B----------------------------- C----------------------------D------------------------F--------------------------

8.- Existe un manual funcional y aplicado en el uso del rea de informtica. Si No 9.-Conoce la referencia de cada equipo? Si----------------------------- No---------x-----------

S CONOCIMIENTO DEL SISTEMA: INVENTARIO Hay un inventario actualizado en la institucin educativa de Hardware y software? Ha hecho revisar el inventario por un especialista (auditor, consultor, experto en informtica...) externo a la empresa? Se ha hecho una revisin detallada de los recursos informticos con los cuales cuenta la institucin educativa? Se sabe quin maneja los elementos del inventario? Existe un criterio para valorar cules son los elementos crticos del inventario? S CONOCIMIENTO DEL SISTEMA: SOFTWARE Ha tenido en cuenta las distintas versiones de los elementos Software necesarios para esta rea? Es posible modificar y mejorar el cdigo fuente de sus programas a medida? Est disponible el cdigo fuente? Es necesario cambiar los dispositivos del rea de informtica o mejorarlos? Se han hecho estudios que revelan cul es la manera ms sencilla y menos costosa de cambiar y mejorar el sistema? S

NO N/A

NO N/A

NO N/A

Ha verificado en general los productos adquiridos recientemente? (contratos de utilizacin, cdigos fuente,...) Va a utilizar un software especial para ello? Ha sido validado dicho software por auditores? Tiene el equipo del proyecto un plan de prueba que incluya, al menos, una especificacin del tipo de pruebas, la fecha de comienzo de las pruebas, los recursos (de hardware, humanos y tiempo) para realizar las pruebas y la especificacin de los casos de pruebas satisfactorias? Los responsables de realizar las pruebas tienen la formacin adecuada? Si es necesario probar datos confidenciales, se asegura que sean ficticios o no relevantes, y si deben ser reales, se asegura que sean eliminados despus de la prueba? Si no es posible eliminar datos confidenciales usados en las pruebas, se asegura que slo algunos empleados tienen autoridad y acceso para hacer las pruebas y que estn debidamente registrados todos los accesos que realizan?

CONOCIMIENTO DEL SISTEMA: PLANES DE CONTINGENCIA El personal del rea de informtica sabe que tiene soporte si ocurren problemas? Existen copias de seguridad sobre la informacin relevante en el rea de informtica de la Institucin Educativa? Se verifica la existencia de copias de seguridad sobre la informacin relevante en el rea de informtica de la

SI

NO

N/A

Institucin Educativa. Se tiene identificadas posibles reas crticas con respecto a la seguridad de los equipo del rea de informtica? Existen planes de contingencia y continuidad que garanticen el buen funcionamiento del Repositorio o Diccionario de Datos? Existe un tiempo de respuesta si se presenta alguna falla? SI En el plan se identifican todos los riesgos y sus posibles alternativas? REPOSITORIO: SEGURIDAD Existe un administrador de sistemas que controle a los usuarios? El usuario respeta ese control? Gestiona los perfiles de los usuarios dicho administrador? Existe un administrador de bases de datos que gestione las instancias de las bases de datos? Gestiona el administrador de bases de datos los accesos a las distintas instancias de las bases de datos? Existe un acceso restringido a las instancias que NO N/A

contienen el Repositorio? Es auto cambiable la clave de acceso al Repositorio? Pueden los administradores del Repositorio cambiar la contrasea? Se obliga, cada cierto tiempo, a cambiar la contrasea automticamente? Se renueva peridicamente la contrasea? SI Existen listados de intentos de accesos no satisfactorios o denegados a estructuras, tablas fsicas y lgicas del repositorio? Existe un diseo fsico y lgico de las bases de datos? Dispone tambin el Diccionario de datos de un diseo fsico y lgico? Existe una instancia con copia del Repositorio para el entorno de desarrollo? Est restringido el acceso al entorno de desarrollo? Se utilizan datos reales en el entorno de desarrollo? Existen copias de seguridad del Repositorio? Se hacen copias de seguridad diariamente? NO N/A

Se almacenan las copias de seguridad en dispositivos externos? SI Existe un acceso restringido a la sala de informtica y servidores? Existen mecanismos de seguridad fsica en las salas de informtica y servidores? Se dispone de equipos auxiliares en caso de cada o avera del equipo principal? REPOSITORIO: PROCESO DE CAMBIO Existe un formulario de peticin de cambio o modificacin en el Repositorio? Es necesaria la autorizacin del Manager del Repositorio para realizar el cambio? Se realiza la modificacin sobre una copia del Repositorio? Se establece un bloqueo sobre la parte del Repositorio a modificar? Se comunica a los distintos usuarios/desarrolladores el bloqueo de parte del Repositorio y por tanto los fallos del funcionamiento que se pueden ocasionar? Se establecen prioridades en los trabajos y modificaciones del repositorio para los bloqueos? NO N/A

SI Existe algn fichero log que almacene todos los cambios realizados en el Repositorio? Se comunica al solicitante del cambio que se ha llevado a cabo la modificacin? Se realizan pruebas sobre el cambio para comprobar que la aplicacin funciona correctamente? Se comprueba que el cambio solicitado se corresponde con lo realizado? Se realizan dichas comprobaciones en la copia de la instancia? Existe una notificacin por escrito del solicitante certificando que el cambio se realiz satisfactoriamente? Existe documentacin escrita sobre el cambio (formulario de peticin, script del cambio realizado, aprobacin del solicitante)? Se realiza un volcado de la copia del Repositorio el original al final del da? Se realizan actualizaciones peridicamente del resto de las instancias para que tengan el Diccionario de Datos actualizado?

NO

N/A

POLITICAS DE SISTEMAS

SI CUESTIONARIO 1. La institucin educativa dispone de polticas para el mantenimiento de los equipos de cmputo? 2. Se cumple estas polticas? 3. Se encuentran debidamente aprobadas las polticas? 4. Estas polticas contemplan metodologas para llevar a cabo el mantenimiento tanto de hardware como de software? 5. Qu tipo de mantenimiento realizan? a. Preventivo b. correctivo 6. Existen contratos de mantenimiento con compaas especializadas? 7. Se ha adquirido legalmente todo el Software instalado en los equipos de la institucin educativa? 8. Se controla que solo se encuentren instalados aquellos programas de uso constante, adems de no permitirse la duplicidad de instalaciones o de archivos? 9. Se encuentra debidamente licenciada la totalidad del software que usa la institucin educativa? 10. Contemplan las polticas de la Institucin educativa controles administrativos que aseguren la confiabilidad en la captura de los datos ? 11. Se cuenta con controles por parte del personal que maneja la aplicacin para detectar errores u omisiones en el momento de la captura? 12. Cuentan los sistemas con rutinas de verificacin de la informacin que se est capturando? 13. Son efectivas tales rutinas?

NO

N/A

14. Existen y son efectivos los controles administrativos que permitan la confiabilidad en el procesamiento de los datos? 15. Existen y son efectivos los controles proporcionados por la aplicacin para prevenir errores en el procesamiento de la informacin? 16. Se cuenta con controles por parte del personal que maneja la aplicacin para detectar errores u omisiones en el momento del procesamiento? 17. Cuenta la aplicacin con rutinas de verificacin de la informacin que se est procesando? 18. Son efectivos los procedimientos usados para corregir los datos procesados erradamente? 19. Existen y son efectivos los controles administrativos que permitan la confiabilidad en la salida de los datos? 20. Se cuenta con controles por parte del personal que maneja la aplicacin para detectar errores u omisiones en la salida de informacin? 21. Cuenta la aplicacin con rutinas de verificacin de la informacin que sale del sistema?

CRONOGRAMA DE ACTIVIDADES

No. 1 2 3 4 5 6

ACTIVIDAD O TAREA Realizacin de visita a la institucion Elaboracin de plan de auditora Elaboracin de cuestionario de control interno Visita para contestar el cuestionario de control interno Anlisis del cuestionario y elaboracin de informes preliminares Ejecucin de las actividades presentadas en el programa de auditora Revisin de sistema de redes y la seguridad de los sistemas operativos. Revisin de la funcionalidad del hardware del rea de informtica Revisin de la funcionalidad del software del rea de informtica

DIA DIA DIA DIA DIA DIA DIA DIA DIA DIA DIA DIA 1 2 3 4 5 6 7 8 9 10 11 12

7 8 9

10 Presentacin del informe de auditora

Vous aimerez peut-être aussi