formulacion de plan de auditoria
TRANSCRIPT
auditoria de sistemas
Ao de la Inversin para el Desarrollo Rural y la Seguridad Alimentaria
Universidad Jos Carlos MariteguiFacultad: IngenieraCarrera:Ing. de Sistemas e InformticaCurso: AUDITORIA DE SISTEMASINTEGRANTES:Saira Ramos Jhasmany OscarPari Condori Ken Jefferson Ciclo: VIII
Moquegua - Per
- 2013 -
LABORATORIO N 01
FORMULACION DE UN PLAN DE AUDITORIA
Objetivo.- Que nosotros lo estudiantes tengamos el conocimiento de la formulacin de la auditoria, para asi poder formular proyectos.
Pasos a seguir en el laboratorio:
1.- El profesor definir la Organizacin, el Objetivo y Tipo de Auditoria a realizar
OrganizacinINSTITUCION EXETEC
Objetivo de laAuditoriaLlegar a ser de la Institucin EXETEC un centro de fortalecimiento de capacidades y entrenamiento de las personas que estudian en l.
AlcanceLaboratorios de informtica
PerodoMeses de Enero - Febrero - Abril - Mayo - Junio - Julio del 2013
2.- Cada grupo en funcin al objetivo general de auditora tendr que definirLos objetivos especficos (O.E.) necesarios a desarrollar para el cumplimiento del objetivo general.
ObjetivoEspecificoDescripcin del objetivo especifico
01Evaluacin de redes.
02 Evaluacin de las aplicaciones informticas
03 Evaluacin de la seguridad lgica y fsica.
3.- Los alumnos identificaran los profesionales, tcnicos, asistentes yEspecialistas que requiere para el desarrollo de cada objetivo especifico. ProfesinCargo en lacomisionExperiencia
Ing. De Sistemas e Informtica
Auditor3 a 5 aos
Tcnico Informtico Auditor 2 a 3 aos
Tcnico en Telemtica Auditor 2 a 3 aos
Tcnico en Redes Inalmbricas Auditor 2 a 3 aos
Objetivo Especifico N.01Evaluacin de redes.
Personal requerido:
Objetivo Especifico N.02
Evaluacin de las aplicaciones informticas
Personal requerido:
ProfesinCargo en la comisinExperiencia
Ing. De Sistemas e InformticaAuditor4 a 6 aos
Tcnico Informtica Auditor 3 a 4 aos
Objetivo Especifico N.03
Evaluacin de la seguridad lgica y fsica.
Personal requerido:ProfesinCargo en la comisionExperiencia
Ing. De Sistemas e InformticaAuditor4 a 5 aos
Tcnico en Seguridad e Informtica Auditor 1 a 3 aos
Objetivo Especifico N.04
Evaluacin de las computadoras de los diferentes laboratorios.
Personal requerido:
ProfesinCargo en la comisionExperiencia
Ing. De Sistemas e InformticaAuditor3 a 5 aos
Tcnico Informtico Auditor 2 a 3 aos
4.- Exposicin de la planificacin de auditoria
1er Paso:
Realizar la solicitud o el permiso correspondiente para, a nombre de la Universidad con el cual nosotros nos podremos identificar y se nos de la facilidad para realizar dicha Auditoria, en dicha empresa EXETEC.
2do Paso:
Hacemos la entrega del Solicitud a la oficina de EXETEC para ver el permiso correspondiente.
3er Paso:
La aprobacin que se va a tener de parte de la directora.
LABORATORIO N 02
FORMULACION DE UN PROGRAMA DE AUDITORIA EN CUMPLIMIENTO DE UN OBJETIVO ESPECFICO DE LA AUDITORIA DE SISTEMAS
Objetivo del Laboratorio.- Que los alumnos estn en la capacidad de poder formular los procedimientos de los programas de auditora para un objetivo especfico del desarrollo del objetivo general de auditora planteado en el laboratorio
Para el desarrollo del presente laboratorio, se mantendrn los grupos inciales se mantendrn para todos los laboratorios.El profesor entregara la siguiente informacin:-Una relacin de normas informticas para formular los criterios de control-Un ROF del rea de Informtica, para identificar a los responsables dela condicin-Informacin de una empresa modelo, como informacin complementaria
NApellidos y NombresFirmaFechaGrupo N
1Saira Ramos Jhasmany Oscar30/10/13
6
2Pari Condori Ken Jefferson30/10/13
6
Pasos a seguir en el laboratorio:
1.-El grupo desarrollara procedimientos secunciales de auditoria formulando de acuerdo al cumplimiento de un objetivo especifico formulado en el Laboratorio N 01 (Formulacin del Plan de Auditoria).
Objetivo Especifico N. .....?01 Evaluacin de redes.
02 Evaluacin de las aplicaciones informticas
03 Evaluacin de la seguridad lgica y fsica.
2.-Integrantes del equipo de control que evaluara el objetivo especfico
Profesin /EspecialistaSiglas delResponsablePerfil requerido
InformticoM RIngeniero
InformticoA HTcnico
SistemasC SIngeniero
RedesM MTcnico
3.-Criterios de Control posibles de aplicacin
4.-Procedimientos Secunciales:
Detalle de los procedimientosResponsable
Procedimiento N 01
Presentacin del plan de trabajo
a. Metodologa b. Objetivos y alcance
c. Programa
Jhasmany
Procedimiento N 02
Reconocimiento de los lugares a auditar
Reconocimiento de las instalaciones del instituto.
Jhasmany
Procedimiento N 03
Seguimiento del plan de auditoria evaluacin lgica y fsica
Realizacin de pruebas de cumplimiento de las seguridades Aplicaciones de las reas crticas Procesos histricos (backups) Documentacin y Archivos Entre otras actividadesJhasmanyKen
3.-Los grupos debern sustentar los procedimientos de auditoriaDesarrollados, antes de su aplicacin en trabajo de campo que les permita permitir encontrar evidencias y riesgos de auditoria duranteel trabajo de campo.
Obtener y mantener un nivel adecuado de seguridad fsica sobre los activos Durante Ejecutar un plan de contingencia adecuado
Despus Los contratos de seguros pueden compensar en mayor o menor medida las prdidas, gastos o responsabilidades que se puedan derivar una vez detectado y corregido el Fallo
LABORATORIO Nro. 03UTILIZACION DE LAS HERRAMIENTAS - TAAC
Objetivo.- Que los alumnos conozcan y sepan utilizar las herramientas TAAC (software) que le permitan acotar las muestras y poder encontrar evidencias en forma eficiente y eficaz.
Pasos a seguir en el laboratorio:
I.-VERIFICACIN DE LICENCIAS DE SOFTWARE INSTALADOS EN LA RED
I.1.-Instalar el Microsoft Software Inventory Analyzer (MSIA40)1
I.2.-Ejecutar el MSIA 4.0
I.3.-Visualizar el reporte generado en la red y emitir los comentarios de debilidad de control interno reflejado en el reporte
Como se vio en el reporte anterior nos mostr que no tiene software original Microsoft Windows NT Workstation. Explorando los datos se encontr problemas con los archivos de Microsoft que son los que por defecto busca y analiza el MSIA en este caso el Microsoft Windows NT Workstation.
II.-VERIFICACIN DE DEBILIDADES REGISTRADAS EN LOS EQUIPOS DE CMPUTO EN LA RED DE LOS PRODUCTOS MICROSOFT
II.1.-Instale el Microsoft Baseline Security Analyzer (MBSA)2
II.2.-Ejecutar el Microsoft Baseline Security Analyzer (MBSA) 2.0 MSIA 4.0
II.3.-Visualizar el reporte generado en la red y emitir los comentarios de debilidad de control interno reflejado en el reporte
Al visualizar el reporte emitido por el programa Microsoft Baseline Security Analyzer (MBSA) se encontr 6 programas con las actualizaciones de seguridad pendientes las cuales todava no han sido actualizadas por lo cual el reporte general nos muestra un riesgo en la seguridad del sistema en mencin.
III.-VERIFICACIN DE RANGOS DE IP, LAS CUALES ESTANDETERMINADOS POR EL DHCP Y RANGO DE IPs
III.1.- Ejecute el software Ipscan 3
Laboratorio N 01: sede principal
NOMBRE PCGRUPO DE TRABAJON DE IP
PC01LABEXETEC01192.168.1.10
PC02LABEXETEC01192.168.1.11
PC03LABEXETEC01192.168.1.12
PC04LABEXETEC01192.168.1.13
PC05LABEXETEC01192.168.1.14
PC06LABEXETEC01192.168.1.15
PC07LABEXETEC01192.168.1.16
PC08LABEXETEC01192.168.1.17
PC09LABEXETEC01192.168.1.18
PC10LABEXETEC01192.168.1.19
PC11LABEXETEC01192.168.1.20
PC12LABEXETEC01192.168.1.21
PC13LABEXETEC01192.168.1.22
PC14LABEXETEC01192.168.1.23
PC15LABEXETEC01192.168.1.24
PC16LABEXETEC01192.168.1.25
PC17LABEXETEC01192.168.1.26
PC18LABEXETEC01192.168.1.27
PC19LABEXETEC01192.168.1.28
PC20LABEXETEC01192.168.1.29
Laboratorio N 02: sede principalNOMBRE PCGRUPO DE TRABAJON DE IP
PC-01LABEXETEC02192.168.1.40
PC-02LABEXETEC02192.168.1.41
PC-03LABEXETEC02192.168.1.42
PC-04LABEXETEC02192.168.1.43
PC-05LABEXETEC02192.168.1.44
PC-06LABEXETEC02192.168.1.45
PC-07LABEXETEC02192.168.1.46
PC-08LABEXETEC02192.168.1.47
PC-09LABEXETEC02192.168.1.48
PC-10LABEXETEC02192.168.1.49
III.2.- Visualizar el reporte generado en la red y emitir los comentarios de debilidad de control interno reflejado en el reporte
La mayor parte de estas interrupciones suelen ser temporales y las condiciones vuelven a ser normales en un perodo que no ocasiona situaciones crticas para la actividad normal de la empresa. Sin embargo, puede haber circunstancias que generen interrupciones prolongadas (virus, mal cableado, etc.), que lleguen a influir en la capacidad de funcionamiento de los servicios o impidan el desarrollo normal de los mismos en los locales habituales.
LABORATORIO Nro. 04FORMULACION DE DEBILIDADES DE CONTROL INTERNO
Objetivo.- Que alumnos estn en la capacidad de identificar las debilidades de control interno y diferenciarlos de las evidencias de hallazgos de auditoria (Fase03 de la Metodologa).
Diferencias entre debilidad de control interno y hallazgos:ElementosDebilidad deControl InternoHallazgo
SumillaSISI
CondicinSISI
CriterioNo, casi siempreSI
CausaSISI
EfectoNo es significativoo todava no ocurreSI, significativo
Para el desarrollo del presente laboratorio, se mantendrn los grupos de 03personas del laboratorio anterior
Pasos a seguir en el laboratorio:
1.-Tomando en cuenta de la informacin recopilada en el laboratorio de aplicacin de herramientas TAAC, sirva identificar 03 debilidad de control interno, desarrollando en cada una de ellas la formulacin del elemento CONDICION.
Condicin N01.- Los software Instalados en los equipos informticos no cuentan con una licencia y se encuentran desactualizados.
Condicin N 02.- Problemas con el antivirus.Condicin N 03.- Existe una falta de implementacin en los ambientes en la que se dictan las clases.
2.-Formular una debilidad de control interno en forma completa donde debe considerar todos los elementos y la sumilla del caso.
Condicin N 01.- Los software Instalados en los equipos informticos no cuentan con una licencia y se encuentran desactualizados.
Sumilla.- El software no cuenta con una licencia estable poniendo en riesgo la utilidad del mismo software. Condicin.- Los productos de Microsoft no tienen las debidas licencias.Causa.- Falta de control del Encargado de Mantenimiento y del Jefe de InformticaEfecto.- Que no funcione eficientemente el software.
Condicin N 02.- PROBLEMAS CON EL ANTIVIRUS
Sumilla.- El antivirus cuenta con una licencia pero la cual es muy corta y genera quejas de los usuarios.Condicin.- Los productos Antivirus AVIRA no cuentan con los ltimas Actualizaciones.Criterio.- AVIRA Antivirus, segn el link - http://www.perlavira.com/ - indica que sus productos tienen que tener sus ltimas actualizaciones.Causa.- Falta de control del Encargado de Mantenimiento y del Jefe de LogsticaEfecto.- Que no funcione eficientemente el software y est expuesto a amenazas de internet
Condicin N 03.- Existe una falta de implementacin en los ambientes en la que se dictan las clases.
Sumilla.- En el espacio que se dictan las clases son muy cortas y no estn preparadas..Condicin.- No cuenta con el espacio necesario para la evacuacin.
Causa.- Falta de implementos de seguridad como extintores, canaletas, detectores de fuego, etc.Efecto.- Se encuentra en un estado peligroso y esta expuesto a cualquier desastre natural.
3.-Los alumnos reflejaran el sustento documentado de la debilidad de control interno formulado para el sustento del caso, al Jefe de Comisin y/o Supervisor de Comisin de Auditoria.
4.-Formular la conclusin y recomendacin para que la debilidad de control interno para disminuir, eliminar o contralor el riesgo de la debilidad de control interno.
CONCLUCION N01.- Llegamos a la conclucion que el software no es el adecuado para la enseanza de los alumnos de manera optima ya que estn fuera de lo legal.
RECOMENDACIN N01.- CONCLUCION N02.- Llegamos a la Conclucion que el antivirus exactamente no tiene actualizaciones y esta en un riesgo que se malogren sus maquinas.
CONCLUCION N03.- Se llega a la conclucion de que los ambientes en las que se dictan las clases no son las adecuadas para la enseanza.