Auditoria Informtica

Auditoria Informtica30 de diciembre de 2013AUDITORIA INFORMTICARealizado por: VERNICA CRDOVA CARRANZA.Profesin: Tcnica de sistemas (Instalaciones, hardware y software)

AUDITORIA FISICA1. Alcance de la Auditoria Planes y procedimientos Polticas de Mantenimiento2. Objetivos Realizar un informe de Auditora con el objeto de verificar la existencia de polticas y Normas sobre seguridad Fsica y verificar la seguridad de personal, datos, hardware, software e instalaciones. Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico.

IDENTIFICACIN DE LA EMPRESA

Organizacin:UNIVERSIDAD AGRARIA DEL ECUADOR CAMPUS MILAGRO

Ciudad:Milagro

IDENTIFICACIN DE HARDWARE

Cantidad de Servidores4Cantidad de Computadoras180

Cada cuanto tiempo se realiza mantenimiento?

Se realiza mantenimiento cada 6 meses.

Cul es el tipo de mantenimiento de los equipos que se realiza en esta rea?

Se realiza mantenimiento correctivo cuando se daan las computadoras al instante.

Cuntos laboratorios existen?

Hay 6 laboratorios. En la escuela de Computacin e Informtica existen 4 laboratorios y en la Escuela de ciencias Agrarias existen dos laboratorios.

Cul es la distribucin de los equipos de cmputo?

Los equipos de computo se encuentran distribuidos de la siguiente manera:100 en la escuela de Computacin e Informtica; 25 en cada laboratorio.50 en ciencias Agrarias.

PREGUNTAS

SI NO N/A

1. El lugar donde se ubica los laboratorios, est seguro de inundaciones, robo o cualquier otra situacin que pueda poner enpeligro los equipos?X

2. El material con que est construidos dichos laboratorios es confiable?X

3. Se han adoptado medidas de seguridad en el departamento de sistemas de informacin?X

4. Dentro de los laboratorios existen materiales que puedan ser inflamables o causar algn dao a losequipos?X

5. Existe vigilancia en los laboratorios las 24 horas?X

6. Los laboratorios tienen salida al exterior o salida de emergencia?X

7. Se permite el acceso a los archivos y programas administrativos a los estudiantes y profesores?X

8. Se cuenta con extintores?X

9. Se limpia con frecuencia el polvo acumulado debajo en los laboratorios?X

10. En el area hay alguna persona encargada de supervisar los laboratorios despues de la ejecucion de un curso?

X

11. Se tiene un control adecuado sobre los sistemas y programas que estan en operacin?X

12. Se cuenta con aire acondicionado, en todos los laboratorios?X

13. Existen prohibiciones en lugares para no fumar, ingresar con alimentos, bebidas?X

14. Se cuenta concarteles en lugares visibles donde recuerden dicha prohibicin?X

15. Se cuenta con respaldo de energia, en caso de que se vaya la luz?X

Auditoria fsica: Para hallar el SI15 100%3 XX = 20

Para hallar el NO15 100%12 XX = 80

LISTADO DE VERIFICACIN DE AUDITORIA FISICA

Gestin fsica de seguridad.100%Excelente80%Buena60%Regular40%Mnimo20%No cumple

Los objetivos de la instalacin fsica De computoX

Las caractersticasfsicas de los laboratorios sonseguras X

Los componentes fsicos de computoX

La conexiones de los equipos de las comunicaciones e instalaciones fsicasX

La infraestructura esX

Los equipos sonX

La distribucin de los equipos de computo esX

Evaluacin de anlisis fsico de cmputo100%Excelente80%Buena60%Regular40%Mnimo20%No cumple

Evaluacin de la existencia y uso de normas, resolucin base legal para el diseo del centro de computo.X

El cumplimiento de los objetivos fundamentales de la organizacin para instalar del centro de cmputo.X

La forma de repartir los recursos informticos de la organizacin.X

Anlisis de la seguridad fsica

100%Excelente80%Buena60%Regular40%Mnimo20%No cumple

La seguridad de los equipos.X

El estado centro de computo esta enX

Los accesos de salida sonX

INFORME DE AUDITORIA1. Identificacin del informeAuditoria fsica.2. Identificacin del ClienteEl rea de Informtica3. Identificacin de la Entidad AuditadaUNIVERSIDAD AGRARIA DEL ECUADOR CAMPUS MILAGRO4. Objetivos Constatar la estructura de distribucin de los equipos. Revisar la correcta utilizacin de los equipos Verificar la condicin de infraestructura de los laboratorios.5. Hallazgos Potenciales Falta de personal, Poca inversin para los laboratorios. Falta de un calendario de mantenimiento. Falta de ventilacin y luz deficiente. Faltan salidas al exterior. Falta de salidas de emergencia. Falta de mobiliario para los estudiantes.6. Alcance de la auditoriaNuestra auditoria, comprende el presente periodo 2013 -2014 y se ha realizado especialmente a los laboratorios de la Universidad Agraria del Ecuador, de acuerdo a las normas y dems disposiciones aplicables al efecto.7. Conclusiones: Como resultado de la Auditoria hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditora. Los laboratorios de la Universidad Agraria del Ecuador, presentan deficiencias sobre todo en el debido cumplimiento de Normas de seguridad.

A. Organizacin Y Administracin Del rea 1. Comit y Plan Informtico a. SituacinCon respecto al relevamiento efectuado, hemos notado lo siguiente: No existe un Comit de Informtica o al menos no se encuentra formalmente establecido, porque segn lo observado DON PEDRITO, el Sr. De la limpieza, es prcticamente el encargado de las llaves de los laboratoriosb. Efectos y/o implicancias probables Posibilidad de que las soluciones que se implementen para resolver problemas operativos sean parciales, tanto en Hardware como en Software. Falta de conocimiento sobre las inversiones necesarias, ante nuevas exigencias o prestaciones que se deban implementar para atender la operatoria de los laboratorios de la UAE.c. ndice de importancia establecida1 (uno)

d. Sugerencias Trazar los lineamientos de direccin del rea de Informtica. Implementar normas y/o procedimientos que aseguren la eficaz administracin de los recursos informticos, e implementar soluciones que se desarrollen y/o se requieran de terceros.

B. Organizacin y Administracin del reaa. SituacinCon respecto a la organizacin y Administracin de los laboratorios de la UAE, he observado lo siguiente: El rea adolece de una estructura organizacional. Ausencia de manual de funciones para cada puesto de trabajo dentro del rea.

b. Efectos y/o implicancias probables La escasez de personal debidamente capacitado, aumenta el nivel de riesgo de errores al disminuir la posibilidad de los controles internos en el procesamiento de la informacin; y limita la cantidad de soluciones que pueden implementarse en tiempo y forma oportuna a los efectos de satisfacer los requerimientos de las reas funcionales.

c. ndice de importancia establecida1 (uno)8. Recomendaciones Implantacin de equipos de ltima generacin Implantar nuevos equipos de ventilacin Implantar salidas de emergencia. Elaborar un calendario de mantenimiento de rutina peridico. Contratar personal para revisin de las computadoras y elaborar reportes del estado de las computadoras despus de cada clase. Contar con mquinas de respaldo, para sustituir a las daadas.

9. Fecha Del InformePLANEAMIENTO(talleres en clases)EJECUCIONINFORME

FECHASDel 18 Sept 2013 al 20 Dic. 2013Del 26 Dic. 2013 al 27 Dic. 2013Del 30 Dic. 2013 al 31 Dic. 2013

10. Identificacin Y Firma Del AuditorAPELLIDOS Y NOMBRESCARGO

VERNICA NATALY CRDOVA CARRANZAAUDITOR SUPERIOR

AUDITORIA DE EQUIPOS (HARDWARE Y SOFTWARE)1. Alcance de la Auditoria Planes y procedimientos Sistemas tcnicos de Seguridad y Proteccin. Sistemas operativos y software bsico2. Objetivos Realizar un informe de Auditora con el objeto de verificar la existencia de controles preventivos y correctivos de los equipos de cmputo, as como el cumplimiento de los mismos por los estudiantes y profesores.

IDENTIFICACIN DEL SOFTWARE

Con que sistema Operativo cuentan los servidores?

Los Sistemas operativos de los servidores son: Linux, Ubuntu, Windows Server 2003, y existe un servidor para el Kapersky.

Con que Sistemas Operativos cuentan las computadoras de los laboratorios?

Las computadoras cuentan el sistema operativo Windows 7

PREGUNTAS

SINON/A

1. Cuentan con Antivirus los servidores y las computadoras del laboratorio?X

2. Tiene licencia el antivirus?X

3. Los Sistemas Operativos y dems programas instalados en los servidores tienen licencia?X

4. Los Sistemas Operativos y dems programas instalados en las computadoras de los laboratorios tienen licencia?X

5. Existe control de modificaciones al sistema operativo?X

6. Existen procedimientos para evitar la corrida de programas no autorizados?X

7. Se controlan los procesos en linea?X

8. Se cuenta con claves de acceso?X

9. Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan daar los sistemas?X

10. Cuentan con manuales para cada programa que se maneja?X

11. Se cuenta con copias de los archivos en lugar distinto al de la computadora?X

12. Se han instalado equipos que protejan la informacin y los dispositivos en caso de variacin de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energa?

X

13. Existen procedimientos para evitaer la corrida de programas no autorizados?X

14. Se controlan los procesos en linea?X

15. Se cuenta con claves de acceso?X

16. Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan daar los sistemas?X

17. Existe un programa de mantenimiento preventivo para cada dispositivo del sistema de computo?X

18. Se ha instruido al personal administrativo, sobre qu medidas tomar en caso de que alguien pretenda entrar sin autorizacin?X

19. Se mantiene programas y procedimientos de deteccin e inmunizacin de virus en copias no autorizadas o datos procesados en otros equipos?X

20. se cuenta con computadoras de respaldo en caso de que se dae alguna en el laboratorio?X

21. Los equipos de computo de los laboratorios, estn completos?X

22. se cuenta con algn seguro contra robo o incendio para los equipos de cmputo de los laboratorios?X

SISTEMA DE INFORMACIN DE LABORATORIO

Quin autoriza las compra de nuevos equipos, licencias, actualizaciones de hardware y software?

Fecha:27 de Diciembre del 2013

Auditora:VERNICA NATALY CRDOVA CARRANZA

Entrevistado:Ing. PAUL ENRIQUE VERA GALARZA

Cargo:

_____________________________ _________________________VERNICA CRDOVA CARRANZA Ing. PAUL VERA GALARZA AUDITORA ENTREVISTADOAuditoria de Equipos: Para hallar el SI22 100 %6 XX = 27.27 % Para hallar el NO22 100 %16 XX = 72.73 %

INFORME DE AUDITORIA

1. Identificacin del informeAuditoria de equipos (hardware y software)

2. Identificacin del ClienteEl rea de Informtica

3. Identificacin de la Entidad AuditadaUNIVERSIDAD AGRARIA DEL ECUADOR CAMPUS MILAGRO

4. Objetivos Constatar que el hardware, software y sistemas de informacin que se adquieren, proporcionaran mayores beneficios que cualquier otra alternativa. Verificar que la seleccin de equipos y sistemas de computacin es adecuada. Constatar que se tenga un plan de actividades previo a la instalacin. Verificar que los procesos de compra de Tecnologa de Informacin, deben estar sustentados en Polticas, Procedimientos, Reglamentos y Normatividad en General, que aseguren que todo el proceso se realiza en un marco de legalidad y cumpliendo con las verdaderas necesidades de la organizacin para hoy y el futuro, sin caer en omisiones, excesos o incumplimientos. Verificar si existen garantas para proteger la integridad de los recursos informticos. Verificar la utilizacin adecuada de equipos acorde a planes y objetivos.

5. Hallazgos Potenciales Falta de licencias de software. Falta de software de aplicaciones actualizados. Falta de mantenimiento a los para Sistemas Operativos y servidores. No existe un calendario de mantenimiento para Sistemas Operativos y de servidores. Carece de seguridad en Acceso restringido de los equipos y del software.

6. Alcance de la auditoriaNuestra auditoria, comprende el presente periodo 2013 - 2014 y se ha realizado especialmente a los laboratorios de cmputo de acuerdo a las normas y dems disposiciones aplicable al efecto.El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la auditoria, se complementa con los objetivos de sta.

7. Conclusiones:Como resultado de la Auditoria podemos manifestar que: Hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditora. Los laboratorios de la UAE presentan deficiencias sobre el debido cumplimiento de Normas de seguridad y mal uso de las computadoras. Existe escasez de personal debidamente capacitado. Existe escasez de computadoras en buen estado y un 50 % de las mismas carecen de mouse, teclado, cables, ya que por falta de vigilancia estas se han ido perdiendo. Cabe destacar que por escases de computadoras en buen estado por falta de mantenimiento y mal uso de las mismas, nos da como consecuencia que no es explotado en su totalidad, dndonos como resultado que gran parte de estudiantes no cumplen con buenas prcticas. La falta de mantenimiento a los sistemas operativos es otra causa por lo que estos recursos no son explotados por los estudiantes.

A. Desarrollo y mantenimiento de los sistemas de aplicaciones1. Entorno de Desarrollo y mantenimiento de las aplicacionesa. Situacin No se cuenta con un Software que permita la seguridad de las libreras de los programas y la restriccin y/o control del acceso de los mismos.

b. Efectos y/o implicancias probables La escasa documentacin tcnica de cada sistema dificulta la compresin de las normas, demandando tiempos considerables para su mantenimiento e imposibilitando la capacitacin del personal nuevo en el rea. c. ndice de importancia establecida1 (uno)

d. SugerenciasPara reducir el impacto sobre los resultados de los efectos y consecuencias probables sugerimos: Elaborar toda la documentacin tcnica correspondiente a los sistemas implementados y establecer normas y procedimientos para los desarrollos y su actualizacin. Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas. Implementar y conservar todas las documentaciones de prueba de los sistemas, como as tambin las modificaciones y aprobaciones de programas realizadas por los usuarios

8. RecomendacionesSe recomienda: Un manual de funciones para cada puesto de trabajo dentro del rea. Contar con sellos y firmas digitales. Actualizar datos y aplicaciones continuamente. Implantacin de equipos de ltima generacin. Elaborar un calendario de mantenimiento de rutina peridico. Capacitar a profesores, alumnos y personal administrativos acerca del uso de computadoras. Tener un buen plan de contingencia, en caso de computadoras daadas, falta de energa elctrica y de aires acondicionado o ventilacin.

10. Fecha Del InformePLANEAMIENTO(talleres en clases)EJECUCIONINFORME

FECHASDel 18 Sept 2013 al 20 Dic. 2013Del 26 Dic. 2013 al 27 Dic. 2013Del 30 Dic. 2013 al 31 Dic. 2013

11. Identificacin Y Firma Del AuditorAPELLIDOS Y NOMBRESCARGO

VERNICA NATALY CRDOVA CARRANZAAUDITOR SUPERIOR

Informe Final De La Auditoria Universidad Agraria del Ecuador. Ciudad Universitaria Milagro. La Troncal, 1 de Enero del 2.014

SeoresUniversidad Agraria del Ecuador. Ciudad Universitaria Milagro.

De mi consideracin:

Tengo el agrado de dirigirme a Ud. a efectos de elevar a vuestra consideracin el alcance del trabajo de Auditora del rea de Informtica practicada los das 26 y 27 de diciembre del ao 2013, sobre la base del anlisis y procedimientos detallados de todas las informaciones recopiladas y emitidos en el presente informe, que a nuestro criterio es razonable.

Sntesis de la revisin realizada, clasificado en las siguientes secciones:A. Fsica (Organizacin y Administracin del rea)B. De equipos (Desarrollo y mantenimiento de los sistemas de aplicaciones)

El contenido del informe ha sido dividido de la siguiente forma a efectos de facilitar su anlisis.

1. Identificacin del informe2. Identificacin del Cliente3. Identificacin de la Entidad Auditada4. Objetivos5. Hallazgos PotencialesSon los hallazgos que ocurren, sin que el personal perciba de ellos. 6. Alcance de la auditoria7. Conclusiones:Aqu damos una conclusin de lo expuesto. Luego intervienen los siguientes puntos:a. SituacinDescribe brevemente las debilidades resultantes de nuestro anlisis.b. Efectos y/o implicancias probablesEnuncian los posibles riesgos a que se encuentran expuestas las operaciones realizadas por las computadoras de los laboratorios.c. ndice de importancia establecidaIndica con una calificacin del 0 al 3 el grado crtico del problema y la oportunidad en que se deben tomar las acciones correctivas del caso.0 = Alto (acciones correctivas inmediatas)1 = Alto (acciones preventivas inmediatas)2 = Medio (acciones diferidas correctivas)3 = Bajo (acciones diferidas preventivas)d. SugerenciasIndicamos a la Gerencia la adopcin de las medidas correctivas tendientes a subsanar las debilidades comentadas.

Segn el anlisis realizado hemos encontrado falencias en que:Falta de organizacin y administracin del rea; falencias en la seguridad fsica y lgica; no existe auditora de sistemas; falta de respaldo a las operaciones; accesos de los usuarios; plan de contingencias; y entorno de desarrollo y mantenimiento de las aplicaciones.La aprobacin y puesta en prctica de estas sugerencias ayudarn a La Universidad a brindar un servicio ms eficiente a todos estudiantes.

Agradecemos la colaboracin prestada a todo el personal de la Universidad y quedamos a vuestra disposicin para cualquier aclaracin y/o ampliacin de la presente que estime necesaria.

Atentamente.

Vernica Nataly Crdova Carranza

Realizado por: Vernica Nataly CarranzaPgina 1