Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Carrera Profesional
INGENIERÍA DE SISTEMAS Y
COMPUTACIÓN
AUDITORÍA DE SISTEMAS
INFORMÁTICOS
AUTORES :
DOCENTE :
Ing. CALLACNÁ VERA, JuanCarlos Alberto
INTRODUCCIÓN
Pág.
CAPÍTULO 1. EMPRESA / ÁREA INFORMATICÁ
………………………………..05
1.1. INSTITUCIÓN. ………………………………………………………………….
………………..06
1.2. SERVICIOS QUE BRINDA. ……………………………………………….
………………..08
1.3. ÁREA INFORMÁTICA. …………………………………………………….
………………..10
1.4. F.O.D.A Y FACTORES CRÍTICOS DE ÉXITO DEL ÁREA
INFORMÁTICA. ………………………………………………………………..
…………………11
1.5. PROYECTOS O PRODUCTOS INFORMÁTICOS ÚLTIMOS AÑOS.
………. 12
1.6. TENDENCIA INFORMÁTICA EN HARDWARE Y SOFTWARE ……. 12
1.7. INTERNET. ……………………………………………………………………………… 12
1.8. INVENTARIO GENERAL DE PARQUE INFORMÁTICO ……….
………………. 13
CONCLUSIONES Y RECOMENDACIONES
BIBLIOGRAFÍA
ANEXOS
EMPRESA / AREA INFORMATICA
1.1. INSTITUCIÓN
Dirección:
MUNICIPALIDAD DISTRITAL DE YAUYOS - JAUJA. Al Noreste de la
provincia de Jauja
Dirección Legal:
Web site:
http://www.peru.gob.pe/pm/portales/portal_municipal/entidad/PM_MUNIC
IPALIDAD.asp?pk_id_entidad=1102
Organigrama:
MISION
Somos un gobierno local, líder de la promoción del desarrollo
integral con la participación y concertación de la población; y la
articulación con las instituciones públicas y privadas, para mejorar la
calidad de vida de todos los pobladores del distrito de Yauyos.
Promovemos el desarrollo integral a partir de la prestación de
servicios municipales, comunales y sociales de la entidad, la
ejecución, planificación de las obras y capacitación de la población
para el desarrollo sostenible de las obras agrícolas, industriales,
ganaderas y turísticas que promuevan el bienestar común.
Factores Externos
LISTA DE OPORTUNIDADES “O” Mantener políticas de capacitación de personal Aprovechar la existencia de tecnologías de infamación
O1. Existencia de Tecnología de respecto al uso de nuevas tecnologías. empresa para consolidar la constitución de un área
información que puede ser Rediseñar eficazmente las áreas, mejorando las informática claramente definida.
usada a favor de la empresa instalaciones (racionalizar) y reubicando equipos. Aprovechar el espacio existente en la empresa para
O2. Rediseñar de áreas Aprovechar la tecnología existente para rediseñar el reubicar los equipos de cómputo en lugares mas
O3. Nuevos convenios para la Website actual, convirtiéndolo portal dinámico, donde adecuados.
exportación de leguminosa puedan realizarse las operaciones transaccionales
referentes a la empresa
Aprovechar el Internet para publicitar la Empresa
LISTA DE AMENAZAS “A” Aprovechar las capacidades del personal y reformular Rediseñar planes tomando en cuenta la nueva área
A1. Planificación y control planes para que se adapten a la realidad de la informática
inadecuados en la forma de empresa. Elaborar un plan de presupuestos
trabajo. Aprovechar los beneficios de e business, evitando Mantener actualizado el inventario de equipos existentes
A2. Gastos innecesarios compras de materiales publicitarios o de escritorio Reasignar equipos de computo según el uso.
innecesarios
Software
Aquí, la tendencia de la empresa, esta del lado del software propietario de
Microsoft, por lo que la empresa cuenta con el sistema operativo Windows
2000 y Windows XP, además, todas las computadoras (las 3 PC’s) cuentan
con el software Microsoft Office 2003 completo (Herramientas de Microsoft
office, Microsoft Office Access 2003, Microsoft Office Excel 2003, Microsoft
Office FrontPage 2003, Microsoft Office Publisher 2003, Microsoft Office
Word 2003, Microsoft Office Tools, Microsoft Office Project 2003 y
Microsoft Office Visio 2003)
1.6. INTERNET
El acceso a Internet que utiliza la empresa es INFOINTERNET de 512
kbps, servicio de conexión permanente a Internet a través de la Red
de TDC de comunicación Síncrona; brindada por el Gobierno
Regional e Lambayeque quien por ende es su administrador.
COORDINACIÓN
OA
Centro de Oficina Administrativa
información
JUSTIFICACION ADECUACION Y
FORMALIZACION
Auditoría de Sistemas
CAPÍTULO 3: Justificación Adecuación y Formalización
3.3. ANTECEDENTES
Como Entidad la “Municipalidad Distrital de Yauyos”, no ha sido auditada
con anterioridad, sobre todo el área de informática este año.
Auditoría de Sistemas
CAPÍTULO 3: Justificación Adecuación y Formalización
Pág. 22
500-08 Gestión óptima de software adquirido a medida
por entidades públicas: Debe establecerse políticas sobre el
software a medida adquirido por las entidades, a fin de que los
derechos de propiedad se registren a nombre del Estado.
Por ende, disponer de la siguiente documentación:
Documentos de Gestión: MOF, ROF, TUPA, CAP
Inventario de sistemas de información
Plan de Contingencia
Misión – Visión.
Organigrama.
3.7. MOTIVO O NECESIDAD DE UNA AUDITORIA INFORMATICA
En realidad no existe una razón específica para realizar este tipo de
auditoría puesto que la entiadad no cuenta con un área informática
establecida y no se puede verificar la función informática.
Por motivos académicos y buscando favorecer a la empresa, se podría
decir que los principales motivos por los que “PROMENESTRAS tex.”
Debería ser audita son:
No cuenta con ningún tipo de documento ya sea de gestión o técnico
No cuentan con un área informática propiamente dicha
Distribución Inadecuada de los Equipos de Computo
Deficiente Seguridad de los Equipos de Computo
El cableado no esta estructurado
Deficiente confidencialidad de la información
Deficiente Seguridad lógica
Uso ineficiente de lo equipos de computo
Pág. 23
La institución debe contar con un plan de seguridad ante un desastre
que afecte tanto a la parte física como lógica
La empresa debe contar con backup de sus datos
La empresa debe contar tanto con documentos de gestión y
manuales técnicos
3.8.1.---------------------------------------------------ÁREAS A
AUDITAR
La Auditoría realizada por el equipo de UPLA auditores, de
acuerdo a lo establecido en el alcance de la misma, comprende
la empresa en su totalidad, sin embargo el estudio presenta
mayor incidencia en la oficina administrativa (OA), debido a que
allí se encuentran ubicados todos los equipos de computo con los
que cuenta la empresa “PROMENESTRAS tex.”
Pág. 24
COORDINACIÓN
Auditoría de Sistemas
ORGANIZATIVAS
RIESGO
ÁREAS O UNIDADES
OFICINA ADMINISTRATIVA
UNIDAD DE INVESTIGACIÓN
3
3
3
Carencia de personal
2
3
1
Tiempo de comunicación del usuario demasiado lento
2
3
2
Miembros del equipo no se implican en el proyecto
3
3
3
2
3
1 Lenta adaptación a la nueva tecnología
2
3
2
Cambio de Directorio
3
3
3
2
3
3
3
3
3
UNIDAD DE SEMILLAS 1 3 3 1 3 3 1 3 3 1 3 3 1 3 3
UNIDAD DE CAPACITACIÓN 3 2 3 3 2 3 3 2 3 3 2 3 3 2 3
1 Riesgo Bajo
2 Riesgo medio
3 Riesgo Alto
3.8.3.---------------------------------------------------PLAN DE
AUDITORIA EN INFORMATICA
Para el Plan para el desarrollo de este proyecto Se cuenta con el
apoyo de la alta dirección de la empresa, ésta fue la primera
acción que se realizó, solicitando la participación de los
principales trabajadores de la empresa y en donde se realizaran
las siguientes acciones.
ID. Tarea
1 Observación general de las áreas afectadas.
2 Entrevistas a usuario mas relevantes del área.
Analizar con que documentos de gestión y técnicos
3 cuentan.
Ver si que los equipos de los que cuentan en la
4 actualidad concuerdan con su inventario.
Análisis de las claves de acceso, control, seguridad,
5 confiabilidad y respaldos.
Evaluar las tecnologías de información tanto en
6 hardware como en software.
7 Evaluación de la seguridad física como lógica.
3.9. ADECUACIÓN
3.9.1.---------------------------------------------------MÉTODO
S
Visualización del Panorama: verificación de las funciones,
seguridad de los equipos, cableado, etc.
Verificación de documentos de gestión.
Análisis de los Requerimientos de Usuarios.
3.9.2.---------------------------------------------------TÉCNICA
S
Observación
Entrevistas
Cuestionarios
Digitalización de Imágenes (Fotografías)
3.9.3.---------------------------------------------------HERRAM
IENTAS
Cuaderno de Campo
Cámara Digital (Creative PC-CAM 350)
Papel
Lapicero
Scanner (hp scanjet 2400)
Microsoft Office Word 2003
Microsoft Office Excel 2003
Microsoft Office Project 2003
Microsoft Office Visio 2003
AVG antivirus 7.5
3.9.4.---------------------------------------------------PLAN DE
AUDITORIA DE ACUERDO AL CLIENTE
Empresa “PROMENESTRAS tex.” ha solicitado al equipo auditor
lo siguiente:
Ver si los equipos con los que cuentan se adaptan a sus
requerimientos
Reestructurar la red existente tanto con normas de cableado
estructurado como la ubicación adecuada de sus equipos.
Ver el estado de sus equipos de computo
Dar mas seguridad a sus datos
Realizar un sistema el cual ayude al área de administración a
poder tener un control del tiempo que labora el personal
para sus respectivos pagos y descuentos.
Ver las necesidades del personal en aspectos informáticos.
3.9.5.---------------------------------------------------PLAN
DETALLADO
Examinar los equipos de computo, para determina si los
mismos, se adaptan a sus requerimientos
Verificar el estado de sus equipos de computo
Reestructurar la red existente tanto con normas de cableado
estructurado como la ubicación adecuada de sus equipos.
Brindar una mayor seguridad a la información de la empresa.
4.1.2. OBJETIVOS
Verificar la ubicación y seguridad de las
instalaciones.
Determinar y evaluar la política de mantenimiento
y distribución de los equipos.
Evaluar la seguridad, utilidad, confianza,
privacidad y disponibilidad en el ambiente
Verificar la seguridad del personal, datos,
hardware, software e instalaciones
Revisión de políticas y normas sobre seguridad
Física de los medios, como son: Edifico, Instalaciones,
Equipamiento y Telecomunicaciones, Datos y Personas.
Verificar si la selección de equipos y Sistemas de
computación es adecuada.
Seguridad General
-----------------------De
acuerdo a las observaciones realizadas en la oficina
Administrativa, la ubicación de los equipos de computo
no constituyen un inconveniente para los accesos y
salidas de la misma, sin embargo, cabe resaltar que el
servidor se encuentra en un lugar vulnerable.
-----------------------En lo
referente a la seguridad eléctrica, UPLA auditores,
pudo verificar que cables no están debidamente
colocados, pues están a la vista de todos de forma
desorganizada, además, cerca de la puerta de ingreso,
existen varios cables sueltos, los cuales constituyen un
riesgo y puede ocasionar desastres mayores.
-----------------------Lo
mismo ocurre con el cableado de red, para el cual no se
ha previsto el uso de canaletas ni de caja toma datos.
-----------------------Los
equipos no reciben el mantenimiento debido; lo cual
incrementa el riesgo e posible pérdida de información
por averías serias en el equipo.
----------------------- Exis
ten documentos apilados en forma inadecuada que en un
futuro podrían obstruir la salida del ambiente.
-------------------------No
disponen de un equipo contra incendios y mucho menos
cuentan con la capacitación adecuada para el manejo de
estos.
Plan de Contingencia
De acuerdo con el Inventario de Documentos realizado en la
empresa; UPLA auditores pudo verificar que muchos de
los lineamientos del plan de Contingencia que poseen, no
han sido ejecutados a la fecha.
Control de accesos
Puesto que se trata de un ambiente relativamente pequeño,
no es imprescindible contar con un sistema para ello; todos
los accesos son verificados en la entrada principal de la
sede.
Selección de personal
El personal que labora en la empresa cuenta con los
conocimientos indispensables para su labor, los cuales han
sido seleccionados de una manera adecuada, tanto por
concurso así como respectivas entrevistas
Seguridad de datos
Actualmente la duplicación y preservación de la información
depende de cada usuario, quien es responsable de proteger
su información contra pérdidas, modificación de las mismas
y accesos a personal no autorizado.
1. Título
Auditoria Física
2. Cliente
Oficina Aministrativa
3. Entidad Auditada
Empresa “PROMENESTRAS tex.”
4. Objetivos
Verificar la ubicación y seguridad de las instalaciones.
Determinar y evaluar la política de mantenimiento y distribución
de los equipos.
Evaluar la seguridad, utilidad, confianza, privacidad y
disponibilidad en el ambiente
Verificar si la selección de equipos y Sistemas de computación
es adecuada.
6. Alcance
El presente trabajo de auditoria física, comprende el periodo 2006 y
se ha realizado a la Empresa “PROMENESTRAS tex.”, de acuerdo a
las normas y demás disposiciones aplicables.
7. Conclusiones
La seguridad física en la Institución, según las normativas
aplicadas, es favorable aunque con ciertas salvedades.
No se han tomado las previsiones necesarias en caso de futuros
riesgos
La empresa “PROMENESTRAS tex”. Debido a que cuenta con el
apoyo del gobierno regional, de acuerdo convenio, solo ha
mostrado preocupación en lo referente a las operaciones propias
del negocio, olvidándose en cierta parte de la responsabilidad para
con sus usuarios y trabajadores.
8. Resultados
De acuerdo a los objetivos planteados previamente, los resultados
serían los siguientes:
Verificar la ubicación y seguridad de las instalaciones.
- Ubicación de la institución, favorable con salvedades,
debido a que no se trata de un local propio
- Seguridad de las instalaciones en cuanto a vigilancia,
favorable, puesto que se cuenta con la seguridad de la
misma sede
- Identificación de Salidas, favorable con algunas
salvedades como el cuidado de no colocar objetos que
obstruyan el paso
- Seguridad ante Sismos, desfavorable, debido a que la
salida inmediata del ambiente coincide un el paso de
vehículos, que muchas veces es tomado como
estacionamiento de camionetas de la sede.
- Seguridad ante Incendios, Desfavorable
- Seguridad eléctrica, favorable con salvedades; falta
organización en el cableado.
Verificar la seguridad de información.
- El ambiente principal se encuentra toda la
documentación física de la empresa, la misma que por
tratarse de papeles, folios y aerosoles constituyen material
altamente inflamable, pese a ello no se cuenta con un
sistema contra incendios y por aun el personal no se
encuentra capacitado para el uso de ellos.
- La data, además de ser almacenada en el servidor, esta
a disposición de los trabajadores, quienes portan la
documentación en disquete u otros dispositivos de
almacenamiento, como CD, memorias USB, echo poco
favorable debido posible plagio de información.
4.2.2. OBJETIVOS
Determinar si el inventario ofimático refleja con
exactitud los equipos y aplicaciones existentes en la
organización
Determinar y evaluar la política de mantenimiento
definida en la organización
Verificar el desempeño del software empleado en
la institución
Verificar la legalización del software utilizado.
Verificar la seguridad en la data
MANTENIMIENTO
La empresa PROMENESTRAS Tex., no cuenta con una
política de mantenimiento preventivo de sus equipos, se
hace mantenimiento solo y cada vez que estos empiezan a
fallar.
SISTEMAS - NECESIDADES
Actualmente existen dos aplicaciones en red que son:
Sistema contable financiero (suite contasis), Sistema
comercial (Suite contasis) pero dichas aplicaciones no son
utilizados actualmente. Además cabe recalcar que algunos
accesorios de cómputo no se utilizan a cabalidad como por
ejemplo las quemadoras y lectoras, son 3 computadoras de
escritorio y cada uno de ellos posee una quemadora y
lectora, pero estos accesorios se utilizan con poca
frecuencia.
LICENCIAMIENTO
Los Software que se utilizan en la empresa PROMENESTRAS
solo dos sistemas cuentan con licencias (sistema contable,
sistema comercial) el resto ninguno de ellos cuentan con
licencia, esto puede ser perjudicable para la empresa ya
que puede haber fuertes sanciones por el uso ilegal
APLICACIONES INSTALADAS
No existe un control del software que los trabajadores
puedan descargar de Internet y el uso que le den a los
mismos, de igual forma de software no licenciado que
puedan instalar en los equipos.
COPIAS DE SEGURIDAD
La empresa PROMENESTRAS tex., no realizan copias de
seguridad (backup) de sus datos, ya que ante un desastre
físico (robo, hurto) o lógico (virus) se pierde toda la data.
Informe Final
1. Título
Auditoria Ofimática.
2. Cliente
Oficina administrativa
3. Entidad
PROMENESTRAS Tex.
4. Objetivos
7. Conclusiones
El aspecto ofimático de la Institución, en la opinión del auditor a base
de las normativas aplicadas, es favorable aunque con salvedades.
8. Resultados
• Seguridad en la Data
o La seguridad en los datos es baja porque no cuentan con
medidas de seguridad, como por ejemplo los backup.
4.3.1.- Alcance
4.3.2.- Objetivos
.
4.3.3.- Desarrollo de la auditoria
Pizarraacrílica
Mesa
switch
PC37
PC 38
papelera
Auditoría de Sistemas
CAPÍTULO 4: Desarrollo De Auditorias Especificas
Hay que especificar que las tarjetas de redes utilizadas son del mismo
tipo, la cual es recomendable para la transferencia adecuada de los
datos.
Capa de Red: Establece las rutas por las cuales se puede comunicar el
emisor con el receptor, lo que se realiza mediante el envío de paquetes de
información.
1. Titulo
Auditoria de Redes.
2. Cliente
El área de Informática
3. Entidad Auditada
PROMENESTRAS Tex.
4. Objetivos
Áreas controladas para los equipos de comunicaciones, previniendo así
accesos inadecuados
Protección y tendido adecuado de cables y líneas de comunicación, para
evitar accesos físicos
Revisar las políticas y normas sobre redes y el funcionamiento de la
red y la seguridad de los datos dentro de la Red Lan
6. Alcance
7. Conclusiones
8. Resultados
Áreas controladas para los equipos de comunicaciones,
previniendo así accesos inadecuados
Auditoria Ofimática
4.2.4.- Conclusiones
4.2.5.- Recomendaciones
Auditoria de REDES
Recomendaciones
Plantear el rediseño de una red de comunicaciones.
Distribución de la red.
Switch
La elección del lugar donde situar el concentrador principal condicionará el
montaje de toda la red. Deberá de estar situado en un lugar que cumpla ciertas
condiciones:
Se deberá buscar un lugar lo más céntrico posible en el edificio, de
forma que la distancia a recorrer con el cableado hasta las distintas
AUDITORÍA FÍSICA
CONCLUSIONES Y COMENTARIOS
UPLA auditores, Pudo verificar la falta de seguridad, en
la entrada principal de la institución
La empresa “PROMENESTRAS tex.” Debido a que cuenta
con el apoyo del gobierno regional, de acuerdo convenio,
solo ha mostrado preocupación en lo referente a las
operaciones propias del negocio, olvidándose en cierta
parte de la responsabilidad para con sus usuarios y
trabajadores.
También se observó que el servidor de datos se encuentra
en un lugar poco apropiado y riesgoso, pues esta ubicado
cerca de la entrada principal de la empresa, sin seguridad
alguna
El ambiente principal se encuentra toda la documentación
física de la empresa, la misma que por tratarse de
papeles, folios y aerosoles constituyen material altamente
inflamable, pese a ello no se cuenta con un sistema contra
incendios y por aun el personal no se encuentra capacitado
para el uso de ellos.
Se pudo verificar que la empresa, no cuenta con un UPS
en caso de perdida de energía eléctrica.
Se observó que el mantenimiento realizado a los equipos
de cómputo existente es en mayor proporción correctivo
que preventivo.
La data, además de ser almacenada en el servidor, esta a
disposición de los trabajadores, quienes portan la
documentación en disquete u otros dispositivos de
almacenamiento, como CD, memorias USB, echo poco
favorable debido posible plagio de información.
Falta recomendaciones
Auditoría ofimática
4.3.1. CONCLUSIONES Y COMENTARIOS
No cuentan con un inventario del parque informático
No realizan mantenimientos preventivos
Algunos sistemas no se adecuan a sus requerimientos
El software no cuentan con licencias
No un control en las aplicaciones instaladas por el usuario
No realizan copias de seguridad
4.3.2. RECOMENDACIONES
Establecer procedimientos para la realización de inventario de
aplicaciones el cual como mínimo debe incluir el número de
versión instalada, la fecha de instalación , la última fecha de
mantenimiento realizado, la plataforma de trabajo, en caso
que se adquiera el software se debe registrar el número del
documento con el que ingresa, el número de licencia, y el
número del manual que se puede consultar para su
mantenimiento y utilización .EL inventario de aplicaciones se
debe realizar por a cada computadora existente en las
dependencia de Dirección.
Realizar un mantenimiento preventivo de equipos informáticos
para reducir el índice de equipos dañados, minimizar la
interrupción en las tareas del usuario con el equipo dañado y
evitar el pago a terceros por el soporte técnico.
Formular vías para adquirir software licenciado.
Controlar el ingreso de software y aplicaciones a la institución
por el personal.
Las copia de seguridad debe realizarse semanalmente
quedando una copia en la institución y la otra debe ser
guardada fuera de la organización en caso de que sucediera
algún desastre.
Desarrollar y hacer uso de normas y procedimientos para la
instalación y la actualización periódica de productos antivirus.
Auditoría de Redes
LINCOGRAFÍA
Figura Nº 1
Ubicación de la empresa
Figura Nº 2
Ubicación dentro de las instalaciones de la cede del gobierno regional
Figura Nº 3
Distribución física de Equipos Informáticos en la oficina Administrativa (OA)
Mesa
Pizarra acrílica
switch
PC 37
PC 38
papelera
Imagen Nº 1
Carta de Presentación
¿Cual? ______________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
Si No
Si No
Si No
Si ¿Dónde? ______________