Noviembre

2011

Auditoria informtica II

Universidad Autnoma de Baja California

AUDITORES: Garca Lpez Marko Isaac Chvez Domnguez Ricardo Grupo 393

NASCOM ingeniera y sistemas. Informe de auditora informtica y propuesta.

[AUDITORIA INFORMATICA II]

M.C Gabriel Huesca Aguilar

Auditoria informtica II

ndice
Carta de planeacin.4 Acta de seguimiento de auditora.6 Carta de informe de auditora.8 Informe de auditora.10 Empresa auditada.10 Recursos informticos12 Aplicaciones..15 Redes y comunicacin17 Propuesta de mejora.20 Problemas detectados20 Objetivo de la propuesta..20 Matriz de riesgos22 Procedimientos de auditora.24 Automatizacin de procesos (pantallas del programa).39 Conclusin.44 Bibliografa..44 Anexos.45

2 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Dedicatoria
Por este medio agradecemos a NASCOM por permitir realizar nuestro trabajo dentro de sus instalaciones, as permitirnos obtener experiencia como auditores en informtica. Apreciamos la confianza que nos brindaron, brindando todo lo que necesitbamos para la elaboracin del documento, tiempo, informacin, etc.

3 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Carta de planeacin

Nascom Ingeniera y Sistemas Carta de Planeacin. __________________________________________________________________ No. de Revisin #2 rea a Revisar rea de Redes Fecha: 23 de agosto de 2011 Tipo de Revisin: Fisica semestre Agosto-Diciembre __________________________________________________________________

I. Antecedentes La auditoria que se va a realizar ser aplicada en el rea de redes de la empresa Nascom Ingeniera y Sistemas. Esta distribuido principalmente en el segundo piso del local en donde se encuentran 2 Routers, una hace la funcin de dar seal inalmbrica y el otro solo asigna direcciones IP a las computadoras conectadas a la red, es decir hace la funcin de DHCP. El rea de trabajo se encuentra localizada en el lugar donde se encuentran los routers mencionados.

II. Objetivo Con esta auditora se busca determinar qu tipo de instalacin en cuanto a cableado y conexiones de red se ha utilizado y los estndares que manejan dentro de la organizacin, se buscaran fallas en las conexiones de red y trataremos de hacer una clasificacin y clasificacin del cableado con el que cuenta la organizacin.

III. Alcances La auditoria se realizara mediante un programa en el cual se va a asignar uno para cada uno de los sectores auditados del rea de redes de la organizacin.

4 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

IV. Problemtica Debido a que la instalacin de cableado es bastante antigua en la mayor parte, y aunque algunas secciones tienen cableado y conexiones nuevas es difcil saber si los errores son provocados por las secciones de cableado antiguos o por la nueva estructura utilizada en cuanto a estndares de cableado. Otro problema es los lugares inaccesibles por los que el cableado atraviesa hacindonos un tanto difcil dicha tarea.

V. Estrategia La auditoria a realizar dentro de las instalaciones de Nascom Ingeniera y sistemas, habr arrojado resultados no muy favorables del rea de redes. Se ha propuesto que se apliquen ciertas recomendaciones para llevar un orden. Por ejemplo el etiquetado del cableado utilizado, as como el uso de estndares para la estructuracin del cable que se utiliza. Conforme al tiempo asignado a la auditoria en esta rea se ha pretendido la revisin de cada segmento de cableado que presente problemas de conectividad y asi aplicar dichas recomendaciones sobre ellos.

Nombre

Iniciales

Firma

Firma Corta

Elaboro: _______________________ Nombre y firma

Vo.Bo._______________________ Nombre y Firma

5 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Acta de seguimiento de auditoria

En la Ciudad de Tijuana, Baja California, siendo las 8 horas, del da 23 de Agosto de 2011, los CC. Chvez Domnguez Ricardo e Isaac Garca Lpez auditores pblicos adscritos al rgano Interno de Control, (o en su caso rgano de Control Interno) en Nascom Ingeniera y Sistemas, hacen constar que se constituyeron legalmente en las oficinas que ocupa Nascom Ingeniera y Sistemas ubicadas en Ave. De las Ferias, Col Lomas Hipdromo en Plaza Lomas Hipdromo Int #80 a efecto de hacer constar los siguientes: ---------------------------------------------------Hechos-----------------------------------------------------En la hora y fecha mencionadas los auditores actuantes se presentaron en las oficinas citadas y ante la presencia del C. Francisco Javier Lpez Avils Titular: Gerente de la empresa, procedieron a identificarse en el orden mencionado con las Credenciales nmeros: Chvez Domnguez Ricardo 000001, Garca Lpez Isaac 00002 expedidas por el rea de mantenimiento , acto seguido, hacen entrega formal del original de la orden de auditora No. 0001 28 de marzo de 2011, emitida por el Titular de la Contralora Interna en esta Universidad Autnoma de Baja california al C. Gabriel Huesca Aguilar, quien firma para constancia de su puo y letra en una copia de la misma orden, en la cual tambin se estamp el sello oficial de la unidad administrativa visitada, acto con el que se tiene por formalmente notificada la orden de auditora que nos ocupa, para los efectos del desahogo de los trabajos a que la misma se contrae, se solicita al servidor pblico que la recibe se identifique, exhibiendo ste Identificacin de la universidad #01123 expida a su favor por Vicerrectora escolar, documento que se tiene a la vista y en el que se aprecia en su margen Nascom Ingeniera y Sistemas una fotografa cuyos rasgos fisonmicos corresponden a su portador, a quien en este acto se le devuelve por as haberlo solicitado. -----------------------------------------------------------------------------------------------------------------Los auditores pblicos exponen al titular de la unidad administrativa visitada el alcance de los trabajos a desarrollar, los cuales se ejecutarn al amparo y en cumplimiento de la orden de auditora citada, mismos que estarn enfocados a el sistema de entregas reparacin y recepcin de equipo as como el control de informacin privada de clientes y de la misma empresa en un periodo de 1 mes y medio , en la inteligencia de que la auditora podr retroceder a ejercicios anteriores de considerarse necesario, acto seguido se solicita al C. Francisco Javier Lpez Avils designe dos testigos de asistencia, advertido de que en su negativa sern nombrados por los auditores actuantes, a esta solicitud, el visitado designa a los CC. Efran Castillo Cano se identifica con credencial IFE y Adrian Lazarin se identifica con credencial IFE ambos mexicanos, quienes aceptan la designacin. -----------------------------------------------Pasa al folio 20097002--------------------------------------

6 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

---------------------------------------------- Viene del folio 20097001--------------------------------El C. Francisco Javier Lpez Avils, previo apercibimiento para conducirse con verdad y advertido de las penas en que incurren los que declaran con falsedad ante autoridad distinta a la judicial, segn lo dispone la fraccin I del artculo 247 del Cdigo Penal, manifiesta llamarse como ha quedado asentado, tener la edad de 33 aos de edad nacido en Culiacn Sinaloa, con domicilio en Ave de las Ferias Col. Lomas Hipdromo Plaza Lomas Hipdromo Int #80 y Registro Federal de Contribuyentes nmero LOAF12345679, dice que en este acto recibe el original de la orden de auditora nmero 0001 28 de marzo de 2011, hecho con el que se da por formalmente notificado y se pone a las rdenes de los auditores actuantes para atender los requerimientos que le formulen para que cumplan su cometido. No habiendo ms hechos que hacer constar se da por concluida la prctica de esta diligencia, siendo las 14:49 hrs de la misma fecha en que fue iniciada. Asimismo, previa lectura de lo asentado la firman al margen y al calce de todos y cada uno de los folios los que en ella intervinieron, hacindose constar que este documento fue elaborado en original y cuatro copias, de las cuales se entrega una legible al servidor pblico con el que se entendi la diligencia. ------------------------------------------------------ Conste. ------------------------------------------------Por Departamento de informtica, Nascom Ingeniera y sistema. C. Francisco Javier Lpez Avils ________________________________ Firma

Por el rgano Interno de Control (o de Control Interno) Chvez Domnguez Ricardo _____________________________ Firma Garca Lpez Marko Isaac ______________________________ Firma

Testigos de Asistencia Efran Castillo Cano ____________________________ Firma

Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Lazarin Adrian ____________________________ Firma

7

Auditoria informtica II

Carta de informe de auditoria

Nascom Ingeniera y Sistemas. Carta de Planeacin.
Control interno.

__________________________________________________________ No. de Revisin #2 rea a Revisar rea de Redes Fecha: 3 de noviembre de 2011 Tipo de Revisin: Interna semestre Agosto-Diciembre _____________________________________________________________________ C. Francisco Javier Lpez Avils. Departamento de informtica. Presente. Como resultado de la auditoria informtica aplicada dentro de las instalaciones de Nascom ingeniera y sistemas, en el rea de redes se realiza este informe con las observaciones y recomendaciones segn los auditores comisionados.

Observaciones: Debido a que la instalacin de cableado es bastante antigua en la mayor parte, y aunque algunas secciones tienen cableado y conexiones nuevas es difcil saber si los errores son provocados por las secciones de cableado antiguos o por la nueva estructura utilizada en cuanto a estndares de cableado. Otro problema es los lugares inaccesibles por los que el cableado atraviesa hacindonos un tanto difcil dicha tarea.

Recomendaciones: Por ejemplo el etiquetado del cableado utilizado, as como el uso de estndares para la estructuracin del cable que se utiliza. Conforme al tiempo asignado a la auditoria en esta rea se ha pretendido la revisin de cada segmento de cableado que presente problemas de conectividad y asi aplicar dichas recomendaciones sobre ellos.

8 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Nascom ingeniera y sistemas Francisco Javier Lpez Avils. ____________________________ Firma Auditores. Garca Lpez Marko Isaac _______________________ Coordinador de auditora Firma Chvez Domnguez Ricardo _________________________ Auxiliar de auditoria Firma

9 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Informe de auditoria
Empresa: Nascom ingeniera y sistemas. Sector: Privado. rea auditada: Redes. Periodo: Septiembre 2011 Noviembre 2011 Coordinador encargado: Marko Isaac Garca Lpez.

Objetivo: Con esta auditora se busca determinar qu tipo de instalacin en cuanto a cableado y conexiones de red se ha utilizado y los estndares que menjan dentro de la organizacin, se buscaran fallas en las conexiones de red y trataremos de hacer una clasificacin y clasificacin del cableado con el que cuenta la organizacin.

La empresa auditada. Ubicacin: Avenida de las Ferias, Plaza comercial Lomas Hipdromo Int #80, Colonia Lomas Hipdromo. Giro: Reparacin, mantenimiento de equipo de computo, asesoras y seguridad. Instalacin de aplicaciones y video vigilancia. Organigrama:
ORGANIGRAMA Nascom Ingeniera y Sistemas Gerente General

Supervisor General

Tecnico

10 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

ORGANIGRAMA Informatica Nascom Ingeniera y Sistemas

Gerente General Sistemas Informaticos

Supervisor de Sistemas

Tecnico de sistemas

Organigrama de equipo de auditores

ORGANIZACIN QUE LLEVA AUDITORIA

Auditor: Ricardo Chvez

Auditor: Isaac Garca

11 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

El punto verde en la imagen es la ubicacin grafica de Nascom ingeniera y sistemas.

Los recursos informticos. En la empresa Nascom Ingeniera y sistemas los recursos informticos que se manejan dentro de la organizacin son bastantes, tanto de carcter fsico o tambin conocido como Hardware, as como tambin se manejan dentro de la organizacin recursos lgicos o software que en este caso es de vital importancia que ambos estn debidamente identificados. En el caso de esta empresa, la desorganizacin en este rubro es evidente ya que nos dimos a la tarea de tratar de localizar alguna forma de lista de control de recursos utilizados de manera interna, lo cual resulto ser una tarea bastante complicada en vista de que dicha lista tena mucho tiempo sin actualizarse. A continuacin mostramos un listado de los equipos que actualmente la empresa utiliza para realizar sus actividades laborales.

12 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

1 2 3 4 5 6 7

Tipo de Modelo Hardware Adquirido E-HDD MK3200GAH E-HDD E-HDD E-HDD Desktop/R egistro Desktop/E stacion 1 Desktop/E stacion 2 Desktop/S erver 1 Rack/Serv er 2 KVM LCD LCD LCD LCD LCD LCD Mouse Laser 1 Mouse Laser 2 WD5000BEVT 6L080M0 WD10EADS Clone/AMD Turion AMD2 Clone/Intel P IV Clone/Intel P IV

No. De Serie MK3200KHK N82E168221 36314 72N6L080M0 WD10EADS1 23HKZ3 VK8000-M20 Intel Grand i865PE Intel Grand i865PE intel dg41rq

Marca Toshiba Western Digital IBM Western Digital AMD Intel Intel

Clone/Intel P IV

Intel

DellPowerEdge R310 KVMDUAL2X754

Inetl dual core

Intel

10 11 12 13 14 15 16 17 18

200098X87U HDK HPL19540 LKJNHLCD19 KN DLAV17YH 009768BJHD KHLN791917KJB 23409087NH YLKJHN JLBU15HGJ0 LD15JBJ HBJ15JJR ,BB15NJKB KHSD15JHK NDOUOAD18 79 KHHKLOGMB JJBJJNLOG KHHKLOGMB JJBJJNLOG

HP HP DELL DELL VIEWSONIC DELL HP Logitech Logitech

Capacidad / Tamao 300 GB 80 GB 80 GB 160G B 2.0 ghz 3.0 Ghz 2.8 GH z 1.8 GH z 2.6 GH z 2 PCS 19" 17" 17" 15" 15 15"

13 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

19 20 21

22

23 24 25 26

Mouse Laser 3 Mouse Laser 4 TECLADO ESPAOL 1 TECLADO ESPAOL 2 TECLADO US 1 TECLADO US 2 Regulador Voltaje Regulador Voltaje

KHHKLOGMB KHHKLOGMB KKKJBGVAGVJ

JJBJJNLOG JJBJJNLOG JVVUJKMM

Logitech Logitech Logitech

KKKJBGVAGVJ

JVVUJKMM

Logitech

USKJBKKJBJHB USKJBKKJBJHB RLV-1579001 RLV-1239876

NKJB1U0KBK NKJB1U0KBK RLVGF GFU RLVGL NTE

Logitech Logitech Manhattan Manhattan

Cabe mencionar que este listado o control de recursos informticos no est actualizado en un 100 porciento ya que como se ha venido explicando, este tipo de control no se implementa de manera adecuada ya desde hace bastante tiempo. La empresa tiene ofreciendo sus servicios al pblico alrededor de 5 aos y la nica ocasin que se aplico de manera adecuada fue antes de la apertura de la empresa, de ah en adelante nos informan que se han venido aplicando de manera espordica este tipo de controles pero solo cuando se extrava algo dentro de la empresa.

14 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Aplicaciones. En la empresa auditada, se encontraron varias anomalas en cuanto a las aplicaciones ya que se denota la falta de licencias o permisos para la instalacin y utilizacin de estos de manera legal o permitida por las organizaciones encargadas de regularlas. Aunque no se utilizan al 100 por ciento aplicaciones o copias ilegales dentro de la empresa, si es de sorprender la manera en que se instalan y reinstalan de manera indiscriminada dichas aplicaciones, aunque en muchas ocasiones pudimos notar que los mismos clientes negaban la instalacin de las mismas en sus equipos, y se decidan por las aplicaciones libres o freeware que tambin es manejado en la empresa. Se nos entrego un listado de la aplicaciones que son mas exigidas o demandadas por los cliente de la empresa, ya que era imposible enlistar todas y cada una de las que se tienen dentro de la empresa en tan poco tiempo de la auditoria, la razn es que muchas ocasiones los clientes solicitan alguna aplicacin en especial que ese momento no se encuentra en la empresa o nunca se ha contado con ella, en estos casos dicha aplicacin se consigue y se sigue acrecentando la lista antes mencionada aun mas.

No. Control 1 2 3 4 5 6 7 8 9

Aplicacin Open Office 3.3 Microsoft Office 2010 Microsoft Office 2007 microsoft Office 2003 Microsoft Office XP Microsoft Works Iwork NeoOffice Microsoft Office MAC 2008

Ubicacin CD case 1 CD Case 1 CD Case 1 CD Case 2 CD Case2 CD Case2 CD Case CD Case 2 CD Case2

Cantidad 3 3 3 3 2 2 1 2 2

Descripcin Aplicacin Ofimtica Libre Aplicacin Ofimtica Sin licencia Aplicacin Ofimtica Sin licencia Aplicacin Ofimtica Sin licencia Aplicacin Ofimtica Sin licencia Aplicacin Ofimtica Sin licencia Aplicacin Ofimtica Sin licencia Aplicacin Ofimtica Sin licencia Aplicacin Ofimtica Sin licencia
15

Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

No. Control 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Aplicacin

Ubicacin Cantidad Descripcion Aplicacin de seguridad AVG Anti-Virus CD Case 3 2 FreeWare Aplicacin de seguridad Sin NOD32 CD Case 3 2 Licencia Aplicacin de seguridad Avast Antivirus CD Case 3 2 FreeWare Kaspersky AntiAplicacin de seguridad Sin Virus CD Case 3 2 Licencia Aplicacin de seguridad Avira AntiVir CD Case 3 2 FreeWare Adode CS5 Full Suite CD Case 3 1 Aplicacin Diseo Sin licencia Adode CS4 Full Suite CD Case 3 1 Aplicacin Diseo Sin licencia Adobe CS3 Full Suite CD Case 3 2 Aplicacin Diseo Sin licencia Corel X5 CD Case 3 2 Aplicacin Diseo Sin licencia Corel x4 CD Case 3 2 Aplicacin Diseo Sin licencia Corel x3 CD Case 3 2 Aplicacin Diseo Sin licencia aplicacin antimalware SDFix CD Case 3 3 Freeware malware aplicacin antimalware Flash CD Case 3 3 Freeware Disinfector aplicacin antimalware Malwarebytes CD Case 3 2 Freeware aplicacin antimalware Strun CD Case 3 2 Freeware 3D Studio Max CD Case 3 1 aplicacin sin licencia Maya CD Case 3 1 aplicacin sin licencia ArchiCAD CD Case 3 1 aplicacin sin licencia Autocad 2011 CD Case 3 1 aplicacin sin licencia Windows Xp SP3 CD Case 3 2 aplicacin sin licencia Windows Vista CD Case 3 2 Windows Seven CD Case 3 3 aplicacin sin licencia Mac OS X CD Case 3 2 aplicacin sin licencia
16

Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Como se puede observar en el primer listado encontramos las aplicaciones ofimticas y de sistemas operativos con los que cuenta la empresa y por lo tanto son de las ms solicitadas, es obvio que por ser las ms conocidas las de Microsoft las suite de Office y por supuesto los SO operativos de dicha empresa, pero como se ha mencionado estos sistemas y Suite ofimticas no cuenta con una licencia proporcionada por el fabricante que pruebe su autenticidad. Aun que tambin se observan las aplicaciones freeware que han sido completamente compatibles con las suites ofimticas de office de Microsoft. En el listado siguiente la empresa agrega las aplicaciones que sirven para seguridad tanto freeware como copias ilegales, as como programas de diseo de alta calidad que de igual manera no cuenta con una licencia vlida expedida por sus fabricantes a la hora de ser adquiridos o instalados.

Redes y comunicacin.

Equipo de redes:

1 2 3 4 5 6 7 8 9 10

Tipo de Hardware E-HDD E-HDD E-HDD E-HDD Desktop/Registro Desktop/Estacio Desktop/Estacio Desktop/Server 1 Rack/Server 2 KVM

Visible a usuario Si Si Si Si No No No No No No

No. De Serie

Tipo de revisin MK3200KHK En caso de falla N82E168221 En caso de falla 72N6L080M0 En caso de falla WD10EADS1 En caso de falla VK8000-M20 En caso de falla Intel Grand En caso de falla Intel Grand En caso de falla intel dg41rq En caso de falla Inetl dual cor En caso de falla 200098X87U En caso de falla

Mapa de cableado. NO NO NO NO NO NO NO NO NO NO

17 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Equipo de comunicacin:

Tipo de Hardware Telfono

Visible a usuario Si

Numero ----------------

Funcion Hacer/Recibir llamadas de clientes / proveedores

Mapa de cableado. NO

En la empresa Nascom Ingeniera y sistema lo primero que salta a la vista, es la mala organizacin del equipo para redes que se maneja ah.

18 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Principales puntos dbiles de Nascom ingeniera y sistemas: Cableado desorganizado. Cableado no etiquetado. Cableado no sigue estndares de instalacin. Cableado viejo. Equipo de redes viejo. Equipo de redes mal distribuido. Algunos equipos estn daados. Alta posibilidad de infectar equipo de cmputo. No tienen buen sistema de informacin. Problemas con seguridad de informacin por infeccin de virus.

Principales puntos fuertes de Nascom ingeniera y sistemas. Mantenimiento a equipos de computo constantes. Se implementan contraseas en terminales. Sistemas operativos actualizados. Se requiere permiso para instalar aplicaciones. Respaldos a informacin de clientes. Confidencialidad con informacin de clientes. Personal capacitado.

19 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Propuesta de mejora

Nascom ingeniera y sistemas. Propuesta de mejora. ________________________________________________________________________ rea: Redes. Periodo: Sep Nov 2011. Auditor: Marko Isaac Garca Lpez. Ricardo Chvez Domnguez ________________________________________________________________________ Problema Actual: La empresa Nascom ingeniera y sistemas tiene como principal problema una mala organizacin e implementacin de su cableado de equipo de redes y comunicaciones. As como un problema de distribucin de equipo de redes y computo. ______________________________ Propuesta de solucin: Se debe hacer una reinstalacin del cableado en la empresa, para as prevenir fallos de conectividad entre las maquinas de la empresa y fallos de conectividad en internet. De esta forma se podr reemplazar el cableado viejo por cableado nuevo, implementando los debidos estndares de redes para prevenir posibles fallos y de existir poder identificar su procedencia. Po otra parte es importante el implementar un sistema de inventario para poder monitorear el equipo de cmputo y de redes en qu estado se encuentra y poder seguir un patrn para atender al equipo que se encuentre estado descompuesto. As tambin poder contar con los detalles del equipo y aplicaciones con que se cuenta. ______________________________ Resultados esperados: En cableado mejorara su conectividad entre equipos, as como una buena distribucin del mismo; permitiendo una fcil manipulacin para cambiar elementos y ubicar problemas de red. Mejorara el aspecto.
20 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

El sistema de inventario dar detalles del equipo de computo y redes, permitiendo dar de alta un nuevo equipo a cualquier trabajador, sin embargo, el dueo de la empresa confirmara el producto para evitar errores en nmero de serio o numero de parte; brindara un rpido acceso mediante consultas al equipo y aplicaciones que se tienen para rpida respuesta al cliente. ______________________________

Riesgos: El implementar cableado nuevo y estructurado pude ocasionar que Nascom ingeniera y sistemas tenga que cerrar por tres das, ya que la implementacin de cableado por obviedad producir que se retire el cableado anterior y no podr brindar servicio a sus clientes. Gastos en compra de cableado y equipo nuevo. Si compra equipo semi-nuevo o usado puede que no funcione y en la mayora de las ocasiones no dan garanta. El implementar el sistema de inventario contrae un riesgo de invertir dinero para poder comprar el software o pagar horas extras para que un empleado de ellos pueda hacerlo sin distraer de sus actividades normales, en caso de que algn empleado pueda hacerlo. ______________________________

C. Francisco Javier Lpez Avils.

Marko Isaac Garca Lpez.

________________________
Firma Depto. De informtica Nascom

________________________
Firma Auditor informatica

21 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Matriz de riegos.

Personal:

22 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Datos:

Sistemas:

23 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Procedimientos de auditora.

Tipo de Documento: Procedimiento Revisin:

Numero: PMNT-1

Titulo: Procedimiento para Mantenimiento de equipo

Revisado por:

Fecha 2 de octubre de 2011 Nmero de pginas: 1-4

Autorizado por:

Elaborado Por

Firma

Firma

Firma

1.0 Propsito Dar mantenimiento preventivo al equipo de cmputo, a fin de que los equipos se Conserven en condiciones ptimas de funcionamiento, previniendo las posibles Averas y fallas, y consiguiendo as que el trabajo se realice con los mayores niveles De calidad y seguridad. 2.0 Alcance Este procedimiento es aplicable a los usuarios que cuenten con un equipo de Cmputo los cuales estn en la necesidad de recibir algn tipo de mantenimiento en sus equipos por alguna avera o malfuncionamiento que se halla notado por parte de los mismos usuarios. 3.0 Definiciones 3.1 Fase En esta columna se especifican las diferentes etapas por las que ha de pasar los diferentes equipos y recursos informticos a los que se les d el mantenimiento que el usuario solicite 3.2 Resultado Esta columna ser til cuando se termines cada fase el mantenimiento para sealar si dicha fase ha sido concluida o no, si fuese el primer caso se indicara con una S de lo contrario se indicara con una N.
24 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Tipo de Documento: Numero: Procedimiento PMNT-1 Revisin: Titulo: Procedimiento Mantenimiento de equipo

Fecha 2 de octubre de 2011 Nmero de pginas: para 2-4

3.3 Equipo: Esta columna servir para indicar cul fue el equipo al que se le aplico el procedimiento de mantenimiento 3.4 Realizado por: En esta parte del documento solo se indica por nombre y firma quien fue la persona encarga de poner en ejecucin el procedimiento antes mencionado 3.5 Observaciones: Esta parte del documento servir para que la persona encargada del procedimiento pueda registrar alguna anomala que no haya sido contemplada por el procedimiento que se est utilizando. 4.0 Procedimiento y responsabilidades 4.1 El Encargado del rea de Soporte Tcnico elaborar un documento de mantenimiento que asegure la reparacin de los equipos de cmputo en condiciones de recibir el servicio, el cual se autorizar y verificar el cumplimiento del mismo... 4.2 El Encargado del rea de Soporte Tcnico aplicar el procedimiento de mantenimiento. 4.3 Se notificar por escrito y con tres das de anticipacin, a cada uno de los usuarios, la fecha en que se llevar a cabo el mantenimiento. En caso de que el usuario tenga de trabajo que impidan la aplicacin del mantenimiento, el usuario deber notificarlo un da antes de la fecha establecida. 4.4 El mantenimiento que se aplicar consistir en la evaluacin de la situacin individual de cada equipo ya que ninguno coincidir con la falla de otro por ser utilizado por usuarios con diferentes cargos y responsabilidades.

25 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Tipo de Documento: Numero: Procedimiento PMNT-1 Revisin: Titulo: Procedimiento Mantenimiento de equipo

Fecha 2 de octubre de 2011 Nmero de pginas: para 3-4

4.5 Una vez realizado el mantenimiento, el usuario deber verificar el funcionamiento de su equipo a fin de detectar cualquier desperfecto. Una vez revisado el equipo, cualquier avera posterior tendr que ser reportada de forma inmediata al rea de Soporte Tcnico. 4.6 Se entregara copia del reporte de mantenimiento a cada usuario que haya solicitado el procedimiento

5.0 Documentos relacionados Nombre PRMNT-001 Emite Encargado del rea de soporte

26 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Nascom Ingeniera y Sistemas Procedimiento para Mantenimiento Mantenimiento de equipo por terminales: Datos de revisin de equipos FASES Hardware (Limpieza) Revisin de temperatura (CPU) Verificacin de Conectividad Software (Limpieza) Software (Actualizaciones) Seguridad (Hardware) Seguridad (Software) RESULT ADO Equi po FASES Hardware (Limpieza) Revisin de temperatura (CPU) Verificacin de Conectividad Software (Limpieza) Software (Actualizaciones) Seguridad (Hardware) Seguridad (Software)

PRMNTNo. 001

RESULT ADO

Equipo

FASES Hardware (Limpieza) Revisin de temperatura (CPU) Verificacin de Conectividad Software (Limpieza) Software (Actualizaciones) Seguridad (Hardware) Seguridad (Software)

RESULT ADO

Equi po

FASES Hardware (Limpieza) Revisin de temperatura (CPU) Verificacin de Conectividad Software (Limpieza) Software (Actualizaciones) Seguridad (Hardware) Seguridad (Software)

RESULT ADO

Equipo

Realizado por:

Fecha:

Observaciones
27 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Tipo de Documento: Numero: Procedimiento PINV-1 Revisin: Titulo: Procedimiento para levantamiento de inventario Elaborado Por Revisado por:

Fecha 2 de octubre de 2011 Nmero de pginas: 2 de 4

Autorizado por:

Firma

Firma

Firma

1.0 Propsito Este documento o tiene como propsito el obtener informacin relevante dentro de la empresa Nascom...Ingeniera y sistemas, esto mediante la recoleccin de datos de equipo de computo dentro de la empresa. 2.0 Alcance Este documento tiene su alcance desde el momento en que solicite un informe de los recursos informticos que se tienen dentro de la organizacin tanto inventario fsico como de ofimtica y software. 3.0 Definiciones No. equipo.- con este numero de equipo se identificaran cada uno de los equipos a los que se les este poniendo dentro del inventario de la institucin. Objeto.- Bajo esta columna se enlistaran el nombre del objeto que se este inventariando en la organizacinTamao.- en casos como monitores principalmente se pondr el tamao en pulgadas de los mismos, midiendo la pantalla en forma diagonal para poder sacar la medida exacta y en pulgadas.

28 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Tipo de Documento: Numero: Procedimiento PINV-1 Revisin: Titulo: Procedimiento para levantamiento de inventario

Fecha 2 de octubre de 2011 Nmero de pginas: 2 de 4

Marca.- esta columna servir para identificacin del fabricante para cada uno de los productos del inventario Especificaciones.- esta columna servir para hacer notar detalles que se encuentren en los equipos, ya sea de por algn desperfecto por dao durante el uso o alguna otra particularidad que los recursos presenten a la hora de ser ingresados al inventario. Nmero de serie.- Este es nmero de identificacin nico de cada uno de los recursos informticos, emitido por el fabricante de cada uno, es una de las columnas ms importantes en el procedimiento de inventario.

29 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Tipo de Documento: Numero: Procedimiento PINV-1 Revisin: Titulo: Procedimiento para levantamiento de inventario

Fecha 2 de octubre de 2011 Nmero de pginas: 3 de 4

4.0 Procedimientos y responsabilidades. 4.1 El responsable del departamento de informtica ser quien valide que se aplique de manera correcta el procedimiento por parte de las personas que tendr a su cargo para la ejecucin4.2 Se debe contar con las tres firmas del formato para poder hacer valido el mismo a la hora de hacer la revisin despus de haberlo terminado. 4.3 La persona que este ejecutando el procedimiento es la nica responsable sobre la confidencialidad de la informacin que est recabando dentro de la organizacin. 4.4 Una vez terminado el inventario se debe dejar una copia (formato No: INV001) a la persona encargada del departamento anexando observaciones o detalles poco comunes de haber existido durante el tiempo de ejecucin del procedimiento. 4.5 Despus de haber entregado copias del inventario levantado en la empresa, este se deber actualizar con el anterior en caso de existir, de lo contrario se deber capturar a la base de datos.

30 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Tipo de Documento: Numero: Procedimiento PINV-1 Revisin: Titulo: Procedimiento para levantamiento de inventario

Fecha 2 de octubre de 2011 Nmero de pginas: 4 de 4

5.0 Documentos relacionados Nombre PINV-1 Emite Encargado de ejecucin de procedimiento

31 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Nascom Ingenieria y Sistemas Procedimien para inventario Datos de Levantamiento de INVENTARIO No equipo Objeto Monitores 1 CRT 2 Monitor LCD Desktop 3 Marca HP DESktop 4 Marca Dell Desktop 5 Clone Teclados 6 PS/2 7 Teclados USB Mouse 8 PS/2 Mouse 9 USB 10 Camara WEB Muebles Tipo 11 estacion Tama MAr o ca Especific aciones

No: INV00 1

Nascom Ingenieria y Sistemas Procedimien para inventario Datos de Levantamiento de INVENTARIO Tama o MAr

No: INV00 2

No equipo Objeto

Especific aciones
32

Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

ca 1 2 3 4 5 6 7 8 9 10 11 Monitores CRT Monitor LCD Desktop Marca HP DESktop Marca Dell Desktop Clone Teclados PS/2 Teclados USB Mouse PS/2 Mouse USB Camara WEB Muebles Tipo estacin

Autoriza

Realizado por:

Fecha:

33 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Tipo de Documento: Numero: Procedimiento PRMVNT-A1 Revisin: Titulo: Procedimiento para Movimiento de equipo

Fecha 2 de octubre de 2011 Nmero de pginas: 1 -5

Elaborado Por

Revisado por:

Autorizado por:

Firma

Firma

Firma

1.0 Propsito Mantener un control organizado sobre los movimientos que se que se realizan de los recursos informticos dentro de la organizacin los cuales por motivos de renovacin mantenimiento o reparacin requieren ser reubicados dentro de la misma empresa. 2.0 Alcance Este procedimiento tiene comienza al momento de solicitar una reubicacin de algn recurso informtico, llevara un seguimiento desde su ubicacin inicial hasta su destino al final de la operacin.

3.0 Definiciones No. Columna en la cual solo se numera las razones de movimiento de equipo o de recursos informticos.

34 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Tipo de Documento: Numero: Procedimiento PMNT-1 Revisin: Titulo: Procedimiento para Movimiento de equipo

Fecha 2 de octubre de 2011 Nmero de pginas: 2-5

Razones para movimiento.Columna en la cual se enlistan varios motivos por los cuales el equipo o los recursos informticos son cambiados de su ubicacin original.

Especificar movimiento seleccionado.En esta columna despus de seleccionar la razn del movimiento se debe dar una breve explicacin del porque se ha elegido esta. X.Esta columna solo sirve para seleccionar una razn de movimiento de recursos informticos Observaciones.Esta columna sirve para registrar alguna anomala durante la ejecucin del procedimiento en cuestin. 4.0 Procedimientos y responsabilidades.4.1 El responsable del departamento de informtica deber aprobar la ejecucin del procedimiento junto con la direccin general de la organizacin. 4.2 Se presentaran los documentos firmados ante los usuarios que han solicitado el movimiento de los equipos o los responsables que han ordenado la ejecucin del procedimiento. 4.3 Se dar seguimiento a la reubicacin de cada uno de los recursos informticos que se estn moviendo, hasta llegar a su punto final.
35 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Tipo de Documento: Numero: Procedimiento PMNT-1 Revisin: Titulo: Procedimiento para Movimiento de equipo

Fecha 2 de octubre de 2011 Nmero de pginas: 3-5

4.4 En la columna de especificacin de movimiento se asentar la nueva ubicacin del recurso en cuestin en cuestin. 4.5 se dar una copia a los usuarios responsables del equipo que fue reubicado y se dar por asentado el fin de la ejecucin del procedimiento 5.0 Documentos relacionados Nombre PRMVNT-001 Emite Encargado del departamento informtica

36 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Nascom Ingeniera y Sistemas Procedimiento para Movimiento de Equipo PRMVNT -001 Datos de Movimiento de equipo No 1 2 3 4 5 6 7 8 9 10 Razones para movimiento Se reemplazara equipo por uno usado Se reemplazara equipo por uno nuevo Se cambiara de zona Se mover solo parte del equipo Se mover equipo a bodega Se mover equipo para desechos Se mover equipo por cambio de usuario Se mover equipo por mantenimiento Se mover equipo por Pruebas Se mover equipo por obsolescencia Nascom Ingeniera y Sistemas Procedimiento para Movimiento de Equipo Especificar movimiento X seleccionado

PRMNT001 Datos de Movimiento de equipo No 1 2 3 4 5 6 7 8 9 Razones para movimiento Se reemplazara equipo por uno usado Se reemplazara equipo por uno nuevo Se cambiara de zona Se mover solo parte del equipo Se mover equipo a bodega Se mover equipo para desechos Se mover equipo por cambio de usuario Se mover equipo por mantenimiento Se mover equipo por Pruebas Especificar movimiento X seleccionado

37 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

10

Se mover equipo por obsolescencia Observaciones

Autoriza

Realizado por: :

38 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Automatizacin de procesos. Pantalla principal del sistema de inventarios personalizado para Nascom ingeniera y sistemas.

Consulta del inventario de software.

39 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Pantalla de inventario para discos duros externos.

Pantalla de inventario para equipo de redes y servidores.

40 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Pantalla de inventario de mouse.

Pantalla de inventario de monitores.

41 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Pantalla de inventario de teclados.

Pantalla de equipo nuevo (recin capturado por trabajadores).

42 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Pantalla de alta de nuevo equipo o software.

El sistema cuenta con opcin de eliminar nicamente en la consulta de equipo nuevo, ya que el trabajador puede darse cuenta de algn error de captura y solo tiene que presionar un botn con imagen de tambo de basura ubicado de la izquierdo del articulo capturado. En el formulario de captura se cambia todo automticamente a maysculas, una vez capturado es enviado a la base de datos alojada en el servidor de Nascom ingeniera y sistemas, y posteriormente el artculo puede ser visualizado en la consulta de artculos nuevos. El articulo permanecer en la tabla de artculos nuevos hasta que el duelo o interesado de Nascom ingeniera y sistemas confirme que la informacin es correcta y posteriormente se pasara a la consulta que corresponda segn el tipo de equipo o software.

43 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Conclusin
Al culminar esta auditora se pueden detectar fcilmente los puntos ms dbiles de la empresa Nascom ingeniera y sistemas, ya que se aplico la auditoria con procedimientos como lo son acta de planeacin entre otros documentos y formatos que identifican los problemas en el rea auditada. En este caso se audito el rea de redes, a lo cual se dieron recomendaciones y posibles soluciones a cada problema dentro de la empresa. La solucin se dio de acuerdo a las posibilidades econmicas de la empresa, ya que no basta con dar una posible solucin, si no tambin que sea factible.

Bibliografa
http://www.slideshare.net/shernandez3854/presentacion-informe-de-auditoria-final

http://www.softeng.es/es-es/servicios/ingenieria-de-redes-sistemas/auditoria-desistemas.html

http://www.mitecnologico.com/Main/ControlInterno

44 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

Anexos

45 Chvez Domnguez Ricardo Garca Lpez Marko Isaac

Auditoria informtica II

46 Chvez Domnguez Ricardo Garca Lpez Marko Isaac