AUDITORIA DE SITEMAS DE LA INTITICION EDUCATIVAJHOVAN
FERNEY ANDREY VASQUEZ FONEGRA ALEXANDER ACEVEDO ALZATE
INSTRUCTOR RAFAEL REYES
ADMINISTRACION DE REDES DE DATOS GRUPO 180106
SENA-CENTRO DE TECNOLOGIA DE LA MANUCFATURA AVANZADA MEDELLIN 2012
Componente a auditar La Institución Educativa Nuevo Horizonte, hace una solicitud a nuestro grupo audito, para ejecutar una auditoria a su área de informática, la cual se requiere según las directivas del plantel educativo, para llevar un control organizado y administrativo y así poder mejorar y aprovechar todos sus recursos en beneficio a la intiticion educativa. Objetivo general Analizar y evaluar el funcionamiento y seguridad de los sistemas informáticos, examinar las normatividad y estándares de trabajo del plantel educativo en el área de informática, así como realizar un estudio suficiente de las operaciones del mismo que permita generar un respaldo en la presentación del informe a la auditoria practicada. Objetivos específicos
Identificar las áreas críticas, con respecto a la seguridad del equipo del área de informática. Diseñar los procedimientos a efectuar en el desarrollo de la auditoría del área de de informática. Establecer el alcance en cuanto a los procedimientos, de tal manera que conduzcan a la formulación del informe de la auditoria de sistemas. Verificar si se ha diseñado un manual manual de organización organización y funciones a ser aplicado a los y por los usuarios del área de informática. Hacer una revisión detallada de los recursos informáticos con los cuales cuneta la institución educativa. Evaluar la normatividad que se esta aplicando en el ámbito y área informática del plantel educativo. Examinar los inventarios que se han hecho últimamente sobre los recursos físicos del área de informática. Analizar y revisar como se esta ejecutando la seguridad tanto lógica como física de los recursos informáticos del plantel educativo. Realizar un análisis sobre el control de acceso a los recursos físicos del área de informática que se es ten llevando acabo. Inspeccionar la validación y legalización del licenciamiento de software equipos u ordenadores. Verificar la existencia de copias de seguridad sobre la información relevante en la Institución Educativa. Revisar como esta se esta llevando acabo el mantenimiento de los equipos (hardware) en el area. Verificar como se esta realizando el respaldo de la información y copias de seguridad de las mismas en el manejo de datos elementales en el área de informática y en institución en general.
Verificar cuales son la condiciones que se establecieron para uso y control de los equipos (hardware). Certificar las pruebas que validen las normas y políticas de plantel educativo al área de informática. Generar un informe minucioso en que se mostraran todos detalles de la auditoria como los problemas que se encontraron y sus respectivas recomendaciones y soluciones.
Alcance La auditoria que se le realizara a la institución educativa nuevo horizonte, constara con una serie de análisis, test o en cuestas, a las directivas, empleados, y usuarios que estén relacionados directamente con el área de informática. Se generara un informe cual va a contener de talles de las evaluaciones y análisis realizados tanto a recursos físicos y lógicos, además en el informe se entrega la información necesaria con las recomendaciones para mejorar el área de informática.
Normas legales LEY 1273 DEL 5 DE ENERO 2009,”Por medio de la cual se modifica el código penal, se crea
un nuevo bien jurídico tutelado- denominado “de la protección de la información y de los datos “, y se preservan integralmente los sistemas que utiliza las tecnologías de la información y las comunicaciones, comunicaciones, entre otras disposiciones”.
PROYECTO DE ACUERDO No. 153 DE 2005 "Por medio del cual se crea el programa permanente de alfabetización digital en las instituciones y centros educativos distritales.
Ley de Comercio Electrónico en Colombia. (Ley 527 de 1999) El 18 de agosto de 1999 fue expedida en Colombia la Ley 527 de 1999, por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, se establecen las entidades de certificación y se dictan otras disposiciones.”
DECRETO NÚMERO 1360 DE 1989
(Junio 23) “Por el cual se reglamenta la inscripción del soporte lógico (software) en el registro nacional del derecho de autor”.
METODOLOGÍA Y PROCEDIMIENTOS
1. El Primer día, el grupo de auditores, visitarán al plantel educativo, lugar donde se realizará la auditoría, para identificar la magnitud de los procedimientos a desarrollar y tener una reunión con las directivas y empleados de la institución educativa. 2. El segundo día, se llevará a cabo la elaboración de la Planeación de la Auditoría, para identificar las posibles áreas que representen riesgo dentro de la organización y que afecten al sistema informático. Además se elaborará el cuestionario de Control Interno, con el cual se buscará recabar información, que nos ayudará a identificar el tipo de riesgo que presente en el área a evaluar. 3. El tercer día, se visitará la institución educativa con el fin de solicitar a los directivas, empleados del área de informática y usuarios del sistema, que respondan el cuestionario de control interno. 4. El día cuatro, desde de haber obtenido el resultado de las encuestas, se elaborara el informe, donde se pueda evaluar e identificar los riesgo que presenta en el área de informática y definiendo algunos procedimientos que será necesario realizar. 5. En el quinto día y hasta el decimo decimo día se hará el desarrollo de la la auditoria, los auditores visitarán el plantel educativo para realizar los procedimientos de auditoría necesarios en el área de informática, con el fin de obtener la evidencia suficiente y competente que sirva para la elaboración del informe de auditoría. 6. El onceavo y doceavo día, se analizarán los datos, y se elaborará el informe de auditoría que será presentado a la administración de la institución educativa nuevo horizonte
Procedimiento ENTREVISTA ADMINISTRATIVOS Lugar: I.E. NUEVO HORIZONTE Fecha: 4 de agosto de 2012 Funcionario a entrevistar: Joaquín Pineda Coordinador Área de informática
Objetivo: Emplear ciertos manejos de administración de los equipos informáticos en la I.E. NUEVO HORIZONTE para identificar su funcionamiento. Lea cuidadosamente cada pregunta y si conoce la respuesta proceda a marcar según corresponda. 1.- Cuantos equipos informáticos maneja esta dependencia. 1. -------------- 2, ---------------- 3, ------------4,------------------más de 4, cuantos-----20--------2.- cuenta con el inventario de los recursos físicos del área de informática. Sí No 3.-Programas básicos que maneja: A------navegadores---------------------------- B-----antivirus Avast free-----------------------C----microsoft office 2010-------------------------------4.- se realiza un control de acceso a los recursos informáticos de la I.E NUEVO HORIZONTE Si No 5.- Otros programas a los que tiene acceso. A----------- Addobe Reader ----------B-------- winrar -------------C---------------------------D--------------------------E----------------------------------F------------------------------------. 6.- Sabe si estos programas tienen licencia. Si---------------------------- No---------x-----------------7.-Cuales? A------------------------ B----------------------------- C----------------------------D------------------------F--------------------------
8.- Existe un manual funcional y aplicado en el uso del área de informática. Si No 9.-Conoce la referencia de cada equipo? Si----------------------------- No---------x-----------
SÍ
NO N/A
SÍ
NO N/A
SÍ
NO N/A
CONOCIMIENTO DEL SISTEMA: INVENTARIO ¿Hay un inventario actualizado en la institución educativa de Hardware y software? ¿Ha hecho revisar el inventario i nventario por un especialista (auditor, consultor, experto en informática...) externo a la empresa? ¿Se ha hecho una revisión detallada detallada de los recursos informáticos con los cuales cuenta la institución educativa? ¿Se sabe quién maneja los elementos del inventario? ¿Existe un criterio para valorar cuáles son los elementos críticos del inventario?
CONOCIMIENTO DEL SISTEMA: SOFTWARE ¿Ha tenido en cuenta las distintas versiones de los elementos Software necesarios para esta área? ¿Es posible modificar y mejorar el código fuente de sus programas a medida? ¿Está disponible el código fuente? ¿Es necesario cambiar los los dispositivos dispositivos del área de informática o mejorarlos? ¿Se han hecho estudios que revelan cuál es la manera más sencilla y menos costosa de cambiar c ambiar y mejorar el sistema?
¿Ha verificado en general los productos adquiridos recientemente? (contratos de utilización, códigos fuente,...) ¿Va a utilizar un software especial para ello? ¿Ha sido validado dicho software por auditores? ¿Tiene el equipo del proyecto un plan de prueba que incluya, al menos, una especificación del tipo de pruebas, la fecha de comienzo de las pruebas, los recursos (de hardware, humanos y tiempo) para realizar las pruebas y la especificación de los casos de pruebas satisfactorias? ¿Los responsables de realizar las pruebas tienen la formación adecuada? Si es necesario probar datos confidenciales, ¿se asegura que sean ficticios o no relevantes, y si deben ser reales, se asegura que sean eliminados después de la prueba? Si no es posible eliminar el iminar datos confidenciales usados en las pruebas, ¿se asegura que sólo algunos empleados tienen autoridad y acceso para hacer las pruebas y que están debidamente registrados todos los accesos que realizan?
CONOCIMIENTO DEL SISTEMA: PLANES DE CONTINGENCIA ¿El personal del área de informática sabe que tiene soporte si ocurren problemas? ¿Existen copias de seguridad sobre la información relevante en el área de informática de la Institución Educativa? ¿Se verifica la existencia de copias de seguridad sobre la información relevante en el área de informática de la
SI
NO
N/A
Institución Educativa. ¿Se tiene identificadas identificadas posibles posibles áreas críticas con respecto a la seguridad de los equipo del área de informática? ¿Existen planes de contingencia y continuidad que garanticen el buen funcionamiento del Repositorio o Diccionario de Datos? ¿Existe un tiempo de respuesta si se presenta alguna falla? SI
¿En el plan se identifican todos los riesgos y sus posibles alternativas? REPOSITORIO: SEGURIDAD ¿Existe un administrador de sistemas que controle a los usuarios? ¿El usuario respeta ese control? ¿Gestiona los perfiles de los usuarios dicho administrador? ¿Existe un administrador de bases de datos que gestione las instancias de las bases de datos? ¿Gestiona el administrador de bases de datos los accesos a las distintas instancias de las bases de datos? ¿Existe un acceso restringido a las instancias que
NO
N/A
contienen el Repositorio? ¿Es auto cambiable la clave de acceso al Repositorio? ¿Pueden los administradores del Repositorio cambiar la contraseña? ¿Se obliga, cada cierto tiempo, a cambiar la contraseña automáticamente? ¿Se renueva periódicamente la contraseña? SI
¿Existen listados de intentos de accesos no satisfactorios o denegados a estructuras, tablas físicas y lógicas del repositorio? ¿Existe un diseño físico y lógico de las bases de datos? ¿Dispone también el Diccionario de datos de un diseño físico y lógico? ¿Existe una instancia con copia del Repositorio para el entorno de desarrollo? ¿Está restringido el acceso al entorno de desarrollo? ¿Se utilizan datos reales en el entorno de desarrollo? ¿Existen copias de seguridad del Repositorio? ¿Se hacen copias de seguridad diariamente?
NO
N/A
¿Se almacenan las copias de seguridad en dispositivos externos? SI
¿Existe un acceso restringido a la sala de informática y servidores? ¿Existen mecanismos de seguridad física en las salas de informática y servidores? ¿Se dispone de equipos auxiliares en caso de caída o avería del equipo principal? REPOSITORIO: PROCESO DE CAMBIO ¿Existe un formulario de petición de cambio o modificación en el Repositorio? ¿Es necesaria la autorización del Manager del Repositorio para realizar el cambio? ¿Se realiza la modificación sobre una copia del Repositorio? ¿Se establece un bloqueo sobre la parte del Repositorio a modificar? ¿Se comunica a los distintos usuarios/desarrolladores usuarios/desarrolladores el bloqueo de parte del Repositorio y por tanto los fallos f allos del funcionamiento que se pueden ocasionar? ¿Se establecen prioridades en los trabajos y modificaciones del repositorio para los bloqueos?
NO
N/A
SI
¿Existe algún fichero log que almacene todos los cambios realizados en el Repositorio? ¿Se comunica al solicitante del cambio que se ha llevado a cabo la modificación? ¿Se realizan pruebas sobre el cambio para comprobar que la aplicación funciona correctamente? ¿Se comprueba que el cambio solicitado se corresponde con lo realizado? ¿Se realizan dichas comprobaciones en la copia de la instancia? ¿Existe una notificación por escrito del solicitante certificando que el cambio se realizó satisfactoriamente? ¿ Existe documentación escrita sobre el cambio (formulario de petición, script del cambio c ambio realizado, aprobación del solicitante)? ¿Se realiza un volcado de la copia del Repositorio el original al final del día? ¿Se realizan actualizaciones periódicamente del resto de las instancias para que tengan el Diccionario de Datos actualizado?
POLITICAS DE SISTEMAS
NO
N/A
SI CUESTIONARIO 1. La institución educativa dispone de políticas para el mantenimiento de los equipos de cómputo? 2. Se cumple estas políticas? 3. Se encuentran debidamente aprobadas las políticas? 4. Estas políticas contemplan metodologías para llevar a cabo el mantenimiento tanto de hardware como de software? 5. ¿Qué tipo de mantenimiento realizan? a. Preventivo b. correctivo 6. ¿Existen contratos de mantenimiento con compañías especializadas? 7. ¿Se ha adquirido legalmente todo el Software instalado en los equipos de la institución educativa? 8. ¿Se controla que solo se encuentren instalados aquellos programas de uso constante, además de no permitirse la duplicidad de instalaciones o de archivos? 9. ¿Se encuentra debidamente licenciada la totalidad del software que usa la institución educativa? 10. ¿Contemplan las políticas de la Institución educativa controles administrativos que aseguren la confiabilidad en la captura de los datos ? 11. ¿Se cuenta con controles por parte del personal que maneja la aplicación para detectar errores u omisiones en el momento de la captura? 12. ¿Cuentan los sistemas con rutinas de verificación de la información que se está capturando? 13. Son efectivas tales rutinas? rutinas?
NO
N/A
14. ¿Existen y son efectivos efectivos los controles administrativos que permitan la confiabilidad en el procesamiento de los datos? 15. ¿Existen y son efectivos los controles proporcionados por la aplicación para prevenir errores en el procesamiento de la información? 16. ¿Se cuenta con controles por parte del personal que maneja la aplicación para detectar errores u omisiones en el momento del procesamiento? 17. ¿Cuenta la aplicación con rutinas de verificación de la información que se está procesando? 18. ¿Son efectivos los procedimientos usados para corregir los datos procesados erradamente? 19. ¿Existen y son efectivos los controles administrativos que permitan la confiabilidad en la salida de los datos? 20. ¿Se cuenta con controles por parte del personal que maneja la aplicación para detectar errores u omisiones en la salida de información? 21. ¿Cuenta la aplicación con rutinas de verificación de la información que sale del sistema?
CRONOGRAMA DE ACTIVIDADES
No.
ACTIVIDAD O TAREA
1
Realización de visita a la institucion
2
Elaboración de plan de auditoría
3
Elaboración de cuestionario de control interno
4
Visita para contestar el cuestionario de control interno
5
Análisis del cuestionario y elaboración de informes preliminares
6
Ejecución de las actividades presentadas en el programa de auditoría
7
Revisión de sistema de redes y la seguridad de los sistemas operativos.
8
Revisión de la funcionalidad del hardware hardware del área de informática informática
9
Revisión de la funcionalidad del software software del área de informática informática
10 Presentación del informe de auditoría
DIA DIA DIA DIA DIA DIA DIA DIA DIA DIA DIA DIA 1 2 3 4 5 6 7 8 9 10 11 12
