auditoria de sistemas

Ao de la Inversin para el Desarrollo Rural y la Seguridad Alimentaria

Universidad Jos Carlos MariteguiFacultad: IngenieraCarrera:Ing. de Sistemas e InformticaCurso: AUDITORIA DE SISTEMASINTEGRANTES:Saira Ramos Jhasmany OscarPari Condori Ken Jefferson Ciclo: VIII

Moquegua - Per

- 2013 -

LABORATORIO N 01

FORMULACION DE UN PLAN DE AUDITORIA

Objetivo.- Que nosotros lo estudiantes tengamos el conocimiento de la formulacin de la auditoria, para asi poder formular proyectos.

Pasos a seguir en el laboratorio:

1.- El profesor definir la Organizacin, el Objetivo y Tipo de Auditoria a realizar

OrganizacinINSTITUCION EXETEC

Objetivo de laAuditoriaLlegar a ser de la Institucin EXETEC un centro de fortalecimiento de capacidades y entrenamiento de las personas que estudian en l.

AlcanceLaboratorios de informtica

PerodoMeses de Enero - Febrero - Abril - Mayo - Junio - Julio del 2013

2.- Cada grupo en funcin al objetivo general de auditora tendr que definirLos objetivos especficos (O.E.) necesarios a desarrollar para el cumplimiento del objetivo general.

ObjetivoEspecificoDescripcin del objetivo especifico

01Evaluacin de redes.

02 Evaluacin de las aplicaciones informticas

03 Evaluacin de la seguridad lgica y fsica.

3.- Los alumnos identificaran los profesionales, tcnicos, asistentes yEspecialistas que requiere para el desarrollo de cada objetivo especifico. ProfesinCargo en lacomisionExperiencia

Ing. De Sistemas e Informtica

Auditor3 a 5 aos

Tcnico Informtico Auditor 2 a 3 aos

Tcnico en Telemtica Auditor 2 a 3 aos

Tcnico en Redes Inalmbricas Auditor 2 a 3 aos

Objetivo Especifico N.01Evaluacin de redes.

Personal requerido:

Objetivo Especifico N.02

Evaluacin de las aplicaciones informticas

Personal requerido:

ProfesinCargo en la comisinExperiencia

Ing. De Sistemas e InformticaAuditor4 a 6 aos

Tcnico Informtica Auditor 3 a 4 aos

Objetivo Especifico N.03

Evaluacin de la seguridad lgica y fsica.

Personal requerido:ProfesinCargo en la comisionExperiencia

Ing. De Sistemas e InformticaAuditor4 a 5 aos

Tcnico en Seguridad e Informtica Auditor 1 a 3 aos

Objetivo Especifico N.04

Evaluacin de las computadoras de los diferentes laboratorios.

Personal requerido:

ProfesinCargo en la comisionExperiencia

Ing. De Sistemas e InformticaAuditor3 a 5 aos

Tcnico Informtico Auditor 2 a 3 aos

4.- Exposicin de la planificacin de auditoria

1er Paso:

Realizar la solicitud o el permiso correspondiente para, a nombre de la Universidad con el cual nosotros nos podremos identificar y se nos de la facilidad para realizar dicha Auditoria, en dicha empresa EXETEC.

2do Paso:

Hacemos la entrega del Solicitud a la oficina de EXETEC para ver el permiso correspondiente.

3er Paso:

La aprobacin que se va a tener de parte de la directora.

LABORATORIO N 02

FORMULACION DE UN PROGRAMA DE AUDITORIA EN CUMPLIMIENTO DE UN OBJETIVO ESPECFICO DE LA AUDITORIA DE SISTEMAS

Objetivo del Laboratorio.- Que los alumnos estn en la capacidad de poder formular los procedimientos de los programas de auditora para un objetivo especfico del desarrollo del objetivo general de auditora planteado en el laboratorio

Para el desarrollo del presente laboratorio, se mantendrn los grupos inciales se mantendrn para todos los laboratorios.El profesor entregara la siguiente informacin:-Una relacin de normas informticas para formular los criterios de control-Un ROF del rea de Informtica, para identificar a los responsables dela condicin-Informacin de una empresa modelo, como informacin complementaria

NApellidos y NombresFirmaFechaGrupo N

1Saira Ramos Jhasmany Oscar30/10/13

6

2Pari Condori Ken Jefferson30/10/13

6

Pasos a seguir en el laboratorio:

1.-El grupo desarrollara procedimientos secunciales de auditoria formulando de acuerdo al cumplimiento de un objetivo especifico formulado en el Laboratorio N 01 (Formulacin del Plan de Auditoria).

Objetivo Especifico N. .....?01 Evaluacin de redes.

02 Evaluacin de las aplicaciones informticas

03 Evaluacin de la seguridad lgica y fsica.

2.-Integrantes del equipo de control que evaluara el objetivo especfico

Profesin /EspecialistaSiglas delResponsablePerfil requerido

InformticoM RIngeniero

InformticoA HTcnico

SistemasC SIngeniero

RedesM MTcnico

3.-Criterios de Control posibles de aplicacin

4.-Procedimientos Secunciales:

Detalle de los procedimientosResponsable

Procedimiento N 01

Presentacin del plan de trabajo

a. Metodologa b. Objetivos y alcance

c. Programa

Jhasmany

Procedimiento N 02

Reconocimiento de los lugares a auditar

Reconocimiento de las instalaciones del instituto.

Jhasmany

Procedimiento N 03

Seguimiento del plan de auditoria evaluacin lgica y fsica

Realizacin de pruebas de cumplimiento de las seguridades Aplicaciones de las reas crticas Procesos histricos (backups) Documentacin y Archivos Entre otras actividadesJhasmanyKen

3.-Los grupos debern sustentar los procedimientos de auditoriaDesarrollados, antes de su aplicacin en trabajo de campo que les permita permitir encontrar evidencias y riesgos de auditoria duranteel trabajo de campo.

Obtener y mantener un nivel adecuado de seguridad fsica sobre los activos Durante Ejecutar un plan de contingencia adecuado

Despus Los contratos de seguros pueden compensar en mayor o menor medida las prdidas, gastos o responsabilidades que se puedan derivar una vez detectado y corregido el Fallo

LABORATORIO Nro. 03UTILIZACION DE LAS HERRAMIENTAS - TAAC

Objetivo.- Que los alumnos conozcan y sepan utilizar las herramientas TAAC (software) que le permitan acotar las muestras y poder encontrar evidencias en forma eficiente y eficaz.

Pasos a seguir en el laboratorio:

I.-VERIFICACIN DE LICENCIAS DE SOFTWARE INSTALADOS EN LA RED

I.1.-Instalar el Microsoft Software Inventory Analyzer (MSIA40)1

I.2.-Ejecutar el MSIA 4.0

I.3.-Visualizar el reporte generado en la red y emitir los comentarios de debilidad de control interno reflejado en el reporte

Como se vio en el reporte anterior nos mostr que no tiene software original Microsoft Windows NT Workstation. Explorando los datos se encontr problemas con los archivos de Microsoft que son los que por defecto busca y analiza el MSIA en este caso el Microsoft Windows NT Workstation.

II.-VERIFICACIN DE DEBILIDADES REGISTRADAS EN LOS EQUIPOS DE CMPUTO EN LA RED DE LOS PRODUCTOS MICROSOFT

II.1.-Instale el Microsoft Baseline Security Analyzer (MBSA)2

II.2.-Ejecutar el Microsoft Baseline Security Analyzer (MBSA) 2.0 MSIA 4.0

II.3.-Visualizar el reporte generado en la red y emitir los comentarios de debilidad de control interno reflejado en el reporte

Al visualizar el reporte emitido por el programa Microsoft Baseline Security Analyzer (MBSA) se encontr 6 programas con las actualizaciones de seguridad pendientes las cuales todava no han sido actualizadas por lo cual el reporte general nos muestra un riesgo en la seguridad del sistema en mencin.

III.-VERIFICACIN DE RANGOS DE IP, LAS CUALES ESTANDETERMINADOS POR EL DHCP Y RANGO DE IPs

III.1.- Ejecute el software Ipscan 3

Laboratorio N 01: sede principal

NOMBRE PCGRUPO DE TRABAJON DE IP

PC01LABEXETEC01192.168.1.10

PC02LABEXETEC01192.168.1.11

PC03LABEXETEC01192.168.1.12

PC04LABEXETEC01192.168.1.13

PC05LABEXETEC01192.168.1.14

PC06LABEXETEC01192.168.1.15

PC07LABEXETEC01192.168.1.16

PC08LABEXETEC01192.168.1.17

PC09LABEXETEC01192.168.1.18

PC10LABEXETEC01192.168.1.19

PC11LABEXETEC01192.168.1.20

PC12LABEXETEC01192.168.1.21

PC13LABEXETEC01192.168.1.22

PC14LABEXETEC01192.168.1.23

PC15LABEXETEC01192.168.1.24

PC16LABEXETEC01192.168.1.25

PC17LABEXETEC01192.168.1.26

PC18LABEXETEC01192.168.1.27

PC19LABEXETEC01192.168.1.28

PC20LABEXETEC01192.168.1.29

Laboratorio N 02: sede principalNOMBRE PCGRUPO DE TRABAJON DE IP

PC-01LABEXETEC02192.168.1.40

PC-02LABEXETEC02192.168.1.41

PC-03LABEXETEC02192.168.1.42

PC-04LABEXETEC02192.168.1.43

PC-05LABEXETEC02192.168.1.44

PC-06LABEXETEC02192.168.1.45

PC-07LABEXETEC02192.168.1.46

PC-08LABEXETEC02192.168.1.47

PC-09LABEXETEC02192.168.1.48

PC-10LABEXETEC02192.168.1.49

III.2.- Visualizar el reporte generado en la red y emitir los comentarios de debilidad de control interno reflejado en el reporte

La mayor parte de estas interrupciones suelen ser temporales y las condiciones vuelven a ser normales en un perodo que no ocasiona situaciones crticas para la actividad normal de la empresa. Sin embargo, puede haber circunstancias que generen interrupciones prolongadas (virus, mal cableado, etc.), que lleguen a influir en la capacidad de funcionamiento de los servicios o impidan el desarrollo normal de los mismos en los locales habituales.

LABORATORIO Nro. 04FORMULACION DE DEBILIDADES DE CONTROL INTERNO

Objetivo.- Que alumnos estn en la capacidad de identificar las debilidades de control interno y diferenciarlos de las evidencias de hallazgos de auditoria (Fase03 de la Metodologa).

Diferencias entre debilidad de control interno y hallazgos:ElementosDebilidad deControl InternoHallazgo

SumillaSISI

CondicinSISI

CriterioNo, casi siempreSI

CausaSISI

EfectoNo es significativoo todava no ocurreSI, significativo

Para el desarrollo del presente laboratorio, se mantendrn los grupos de 03personas del laboratorio anterior

Pasos a seguir en el laboratorio:

1.-Tomando en cuenta de la informacin recopilada en el laboratorio de aplicacin de herramientas TAAC, sirva identificar 03 debilidad de control interno, desarrollando en cada una de ellas la formulacin del elemento CONDICION.

Condicin N01.- Los software Instalados en los equipos informticos no cuentan con una licencia y se encuentran desactualizados.

Condicin N 02.- Problemas con el antivirus.Condicin N 03.- Existe una falta de implementacin en los ambientes en la que se dictan las clases.

2.-Formular una debilidad de control interno en forma completa donde debe considerar todos los elementos y la sumilla del caso.

Condicin N 01.- Los software Instalados en los equipos informticos no cuentan con una licencia y se encuentran desactualizados.

Sumilla.- El software no cuenta con una licencia estable poniendo en riesgo la utilidad del mismo software. Condicin.- Los productos de Microsoft no tienen las debidas licencias.Causa.- Falta de control del Encargado de Mantenimiento y del Jefe de InformticaEfecto.- Que no funcione eficientemente el software.

Condicin N 02.- PROBLEMAS CON EL ANTIVIRUS

Sumilla.- El antivirus cuenta con una licencia pero la cual es muy corta y genera quejas de los usuarios.Condicin.- Los productos Antivirus AVIRA no cuentan con los ltimas Actualizaciones.Criterio.- AVIRA Antivirus, segn el link - http://www.perlavira.com/ - indica que sus productos tienen que tener sus ltimas actualizaciones.Causa.- Falta de control del Encargado de Mantenimiento y del Jefe de LogsticaEfecto.- Que no funcione eficientemente el software y est expuesto a amenazas de internet

Condicin N 03.- Existe una falta de implementacin en los ambientes en la que se dictan las clases.

Sumilla.- En el espacio que se dictan las clases son muy cortas y no estn preparadas..Condicin.- No cuenta con el espacio necesario para la evacuacin.

Causa.- Falta de implementos de seguridad como extintores, canaletas, detectores de fuego, etc.Efecto.- Se encuentra en un estado peligroso y esta expuesto a cualquier desastre natural.

3.-Los alumnos reflejaran el sustento documentado de la debilidad de control interno formulado para el sustento del caso, al Jefe de Comisin y/o Supervisor de Comisin de Auditoria.

4.-Formular la conclusin y recomendacin para que la debilidad de control interno para disminuir, eliminar o contralor el riesgo de la debilidad de control interno.

CONCLUCION N01.- Llegamos a la conclucion que el software no es el adecuado para la enseanza de los alumnos de manera optima ya que estn fuera de lo legal.

RECOMENDACIN N01.- CONCLUCION N02.- Llegamos a la Conclucion que el antivirus exactamente no tiene actualizaciones y esta en un riesgo que se malogren sus maquinas.

CONCLUCION N03.- Se llega a la conclucion de que los ambientes en las que se dictan las clases no son las adecuadas para la enseanza.