Autor: Br. Carlos Pérez Marina Mallol José Godoy Fran Rojas
Enero 2015
Instituto Universitario Politécnico
“Santiago Mariño” Extensión – Porlamar
Auditoria de Sistemas
Ingeniera de sistemas
Metodología Ágil
La tecnología informática (hardware, software, redes,
bases de datos, etc.) es una herramienta estratégica que
brinda rentabilidad y ventajas competitivas a los negocios
frente a otros negocios similares en el mercado, pero
puede originar costos y desventajas si no es bien
administrada por el personal encargado. La solución clara
es entonces realizar evaluaciones oportunas y completas
de la función informática, a cargo de personal calificado,
consultores externos, auditores en informática o
evaluaciones periódicas realizadas por el mismo personal
de informática.
El propósito de llevar a cabo dicho proyecto, es con el fin de poder contribuir mediante
una metodología ágil, con el personal asignado a administrar el centro el salón de
computación proveyéndole algunas recomendaciones y herramientas necesarias para que
el rendimiento de este sea más eficaz; y de esta manera hacer más eficiente la función
correspondiente de dicho salón para que la institución cumpla sus objetivos propuestos.
Evaluar y verificar políticas, controles, procedimientos y
seguridad en los recursos dedicados al manejo de la información; su
utilización, eficiencia y seguridad de la institución a fin de que por medio
del señalamiento de cursos alternativos se logre una utilización más
eficiente y segura de la información que servirá para una adecuada toma
de decisiones.
Hacer un valúo de los costes del análisis funcional, el análisis orgánico, la programación, las pruebas de programas, preparación de datos y costes de desarrollo de cada aplicación medido en horas.
Verificar la forma como se administran los dispositivos de almacenamiento básico del área de Informática
Corroborar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.
Verificar que los programas obtengan su legalización.
La auditoría que se va a realizar en la U.E.I.E “Simón Bolívar”, es de vital importancia
para el buen desempeño del salón de computación de dicho instituto, además se evaluará
todo: informática, organización de centros de información, hardware y software.
El desarrollo de este consiste en revisar y verificar si está siendo utilizado el salón de
computación con los objetivos de dicha institución, poder observar si el lugar es el indicado,
la forma en que ha sido distribuido el equipo, si el uso que cada persona le da es correcto.
Por otro lado observar si es ágil y veraz y oportuna la información; También observar si
el diseño del salón es el adecuado, observar detenidamente su estructura de red el software
que se está utilizando y de esta manera después de finalizado el proyecto se harán las
recomendaciones necesarias para poder que este funcione de la mejor manera.
La auditoría será realizada dentro de la institución afectando los distintos
departamentos áreas institucionales:
AREA DE SISTEMAS Y PROCEDIMIENTOS.
EVALUACION DE LOS EQUIPOS DE CÓMPUTO
AREA ADMINISTRATIVA DE PROCESOS
ELECTRONICOS.
Nombre de la empresa: El Centro Escolar “U.E.I.E “SIMÓN BOLIVAR””. Dirección: El Centro Escolar “U.E.I.E SIMÓN BOLIVAR” está en la Calle Libertad en Porlamar, Nueva Esparta. Fecha de iniciación de operaciones: 20 de Enero del 2015 Giro del negocio: Institución educativa .
Objetivos de la empresa: Formar alumnos(as) con un alto grado de desarrollo profesional que les permita desenvolverse de una forma eficiente y en su entorno social y cultural.
Objetivos del Salón de Computación: Atender las necesidades computacionales y Mantener de manera íntegra la información y el equipo para ser utilizado en el momento que se necesite por el personal de la institución educativa.
Objetivos y propósitos del diagnóstico: Examinar en forma global y constructiva la estructura de la Entidad: Complejo educativo U.E.I.E “SIMÓN BOLIVAR” enfocándose en el Salón de Computación, contemplando aspectos como: planes y objetivos, métodos y controles, formas de operación y organización humana.
AREA DE SISTEMAS Y PROCEDIMIENTOS.
EVALUACION DE LOS EQUIPOS DE CÓMPUTO
AREA ADMINISTRATIVA DE PROCESOS
ELECTRONICOS.
Las entrevistas estarán dirigidas al personal responsable del área informática o a quien este de responsable de la administración, operación de los sistemas y equipos de la entidad a auditar.
Encargado del área de
informática.
Profesores que imparten
informática.
Personal administrativo.
Sugerencias: Elaboración de documentación y establecer un organigrama en el área informática.
Opinión: Falta de coordinación en toma de decisiones, falta de políticas.
Problema: Existe falta de documentación y organigrama en el área administrativa, También falta de una red que abarque todas las áreas del centro educativo.
Según lo observado en el U.E.I.E “Simón Bolívar” es falta de documentación, Falta de velocidad en internet,
Permitir que todas las áreas estén conectadas en red, falta de algunas licencias en computadoras que usa la
secretaria y la dirección.
CANTIDAD DESCRIPCION
15 CPU
15 MONITORES
15 TECLADOS
15 MOUSE
15 MUEBLES
15 SPEAKER
1 IMPRESOR MULTI FUNCION
1 Pace Panel
1 Servidor
Inventario de equipo que está en uso en el Salón de Computación:
Cantidad Descripción
3 Monitor
3 C.P.U.
3 Mouse
3 Teclados.
3 Impresores.
Secretaría, Dirección, Colecturía:
Determinación del área a estudiar:
Área de sistemas y procedimientos.
Razones: 1. Poder observar la descripción general de los sistemas instalados y de los que
estén por instalarse que contengan volúmenes de información.
2. Evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
3. Verificar la adecuación del sistema operativo, versión del software utilizado, como en los aspectos relativos a la programación de las distintas aplicaciones, prioridades de ejecución, lenguaje utilizado.
4. verificar que la documentación relativa al sistema de información sea clara, precisa, actualizada y completa.
Determinación del área a estudiar:
Área administrativa de procesos electrónicos:
Razones: 1. Recopilar información para obtener una visión general del departamento
por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento.
2. Verificar los Registras de los costos en el desarrollo de la aplicación y contemplar el nivel de servicio en términos de calidad y tiempos mínimos de entrega de resultados de la operación del computador.
3. Solicitar el manual de políticas, reglamentos internos y lineamientos generales. Número de personas y puestos en el área. Procedimientos administrativos del área. Presupuestos y costos del área.
4. Analizar los costes de personal directamente relacionado con el sistema de información.
Determinación del área a estudiar:
Evaluación de los equipos de cómputo:
Razones: 1. Revisar número de equipos, localización y las características (de los
equipos instalados, por instalar y programados).
2. Conocer las fechas de instalación de los equipos y planes de instalación.
3. Revisar la configuración de los equipos y sus capacidades actuales.
4. Revisar las políticas de uso de los equipos.
5. Revisar el manual en el que se encuentra estructurada la forma en que se da el mantenimiento al equipo informático.
Comentarios: Con esta información queremos considerar las características de conocimientos, práctica profesional y capacidad que tiene el personal encargado de la administración de informática de esta institución.
OBJETIVO GENERAL: Poder determinar las debilidades y fortalezas en la seguridad física del equipo y el edificio donde se encuentra instalado el sistema de información y sus políticas sobre la seguridad, y luego poder hacer algunos señalamientos que contribuirán con las mejoras de esta.
OBJETIVOS ESPECIFICOS:
Revisión de las políticas y Normas sobre seguridad Física de los equipos.
Verificar la estructura de la distribución de los equipos y la correcta utilización.
Verificar la condición del centro de cómputo y evaluar si existe un manual donde explique los procedimientos para efectuar el mantenimiento.
INSTITUCIÓN: U.E.I.E “Simón Bolivar”.
AREA AUDITADA: Seguridad Física.
FECHA: 20 de Enero de 2015
REF CONDICIÓN CAUSA EFECTO RECOMENDACIÓN
1 No existe un
manual de planes
de mitigación de
riesgos.
Dice que no le han
entregado de parte de
sus líderes dicho
manual.
El problema es que en un
momento
Pueda ocurrir un siniestro y
no habrá forma de poder
restablecer el sistema.
Se les recomienda poder elaborar
una manual de contingencias.
2 No se encuentran
manuales de
físicos de procesos
para
mantenimiento
No lo han elaborado
todavía.
Lo que esto puede ocasionar
es que se pierda el control
del mantenimiento.
Se recomienda elaborar lo antes
posible este manual de soporte
para un buen de control.
Elaborado por: Carlos E Pérez
Aprobado por: Lucia Marcano F.
La auditoría se realizará haciendo una constatación de las diferentes
aplicaciones técnicas de Seguridad y Protección que tienen que existir en el
equipo del centro de cómputo.
HALLAZGOS ENCONTRADOS
OBJETIVO GENERAL: Verificar si se han adoptado medidas de seguridad en los diferentes departamentos del área informática con respecto al personal que labora en dicha institución.
OBJETIVOS ESPECIFICOS:
Constatar si se ha instruido el personal sobre qué medidas tomar en caso de que se encuentren en algún peligro ya sea por desastre natural o de otra índole.
Verificar si existen políticas que
reguarden la integridad física de las personas.
Constatar si las instalaciones cuentan salidas de emergencias, sistema de alarma por presencia de fuego, humo, así como extintores de incendio en conexiones eléctricas.
Revisión de políticas y normas que dicten las acciones a tomar en caso de
algún peligro o alarma que vaya en perjuicio de la seguridad de los usuarios.
HALLAZGOS ENCONTRADOS
INSTITUCIÓN: U.E.I.E “Simón Bolivar”.
AREA AUDITADA: Seguridad del personal.
FECHA: 20 de Enero de 2015
REF CONDICIÓN CAUSA EFECTO RECOMENDACIÓN
1 Pudimos constatar que
no existe salida de
emergencias.
Diseña sin salida de
Emergencia
Puede ver algún
atascamiento de los
usuarios a la hora de
alguna emergencia
Es necesario crear
una puerta de
emergencia.
2 No existen extintores de
fuego.
No se los ha facilitado el
director
Puede ocurrir un incendio
y no habrá forma de
extinguirlo.
Se recomienda
comprar extintores
lo más pronto
posible.
Elaborado por: Carlos E Pérez
Aprobado por: Lucia Marcano F.
OBJETIVO GENERAL: Comprobar que la adecuación de hardware, sistema operativo, versiones del software utilizado, como también en los aspectos relativos a la programación de las distintas aplicaciones, prioridades de ejecución, lenguaje utilizado y la documentación necesaria haga constar que existe una administración adecuada que garantice la seguridad de la parte tangible e intangible de los equipos de cómputo.
OBJETIVOS ESPECIFICOS:
Comprobar la existencia de un plan de actividades previo a la instalación de equipos.
Ratificar si existen garantías para proteger la integridad de los recursos informáticos.
Evaluar si existen planes e informes del mantenimiento de equipos y del software tanto preventivo como correctivos.
Poder observar y evaluar la descripción general de los equipos instalados
para hacer una valorización de la seguridad en todos sus aspectos tanto en el
hardware como también en el sistema operativo y programas.
HALLAZGOS ENCONTRADOS
INSTITUCIÓN: U.E.I.E “Simón Bolivar”.
AREA AUDITADA: Seguridad del hardware y software.
FECHA: 21 de Enero de 2015
REF CONDICIÓN CAUSA EFECTO RECOMENDACIÓN
1 No se encontraron las
licencias de Microsoft
office.
No han sido
proporcionadas
Funcionamiento inestable
de las aplicaciones Se recomienda mantener
toda la legalidad necesaria.
2 No se encontraron las
licencias de antivirus
No han sido
proporcionadas
No existe un protección
segura del software.
Se recomienda mantener
toda la legalidad necesaria.
Elaborado por: Carlos E Pérez
Aprobado por: Lucia Marcano F.