PROYECTO DE AUDITORIA DE SISTEMAS A EL LABORATORIO DE COMPUTO ENTIDAD EDUCATIVA

: Lic. Hildeberto Tovar Moreno.

RESUMEN

Proyecto de Auditoria de Sistemas a el laboratorio de computo de la Universidad Insurgentes.

Lic. Hildeberto Tovar Moreno. Av. Cuautemoc 1614, Colonia Jurez, .Tel. 57532437

La palabra auditora viene del latn auditorius y de esta proviene auditor, que tiene la virtud de or y revisar cuentas, pero debe estar encaminado a un objetivo especfico que es el de evaluar la eficiencia y eficacia con que se est operando para que, por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin. Algunos autores proporcionan otros conceptos pero todos coinciden en hacer nfasis en la revisin, evaluacin y elaboracin de un informe para el ejecutivo encaminado a un objetivo especfico en el ambiente computacional y los sistemas. A continuacin se detallan algunos conceptos recogidos de algunos expertos en la materia: Auditora de Sistemas es: La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia. La actividad dirigida a verificar y juzgar informacin.

El objetivo final que tiene este trabajo es aplicar un anlisis y estudio de las diferentes reas de una institucin educativa en caso el laboratorio de computo 3, nosotros al realizar la auditoria de sistemas es dar recomendaciones, sugerencias, alternativas a la alta gerencia es decir a la direccin para informar la situacin actual de los sistemas en dicho laboratorio como punto inicial y mejorar o lograr un adecuado control interno en ambientes de tecnologa informtica con el fin de lograr mayor eficiencia operacional y administrativa El desarrollo del enfoque constar de 3 fases, la primera presentada, contendr la parte de investigacin y anlisis de datos preliminar, as mismo la metodologa a emplear, en la segunda se elaborar el informe de Auditoria y en la tercera, se desarrollar el diagnstico y la propuesta de solucin. Todos los puntos que contiene el proyecto de Auditora. Actualmente en la institucin educativa se tiene con muy poco control en los laboratorios de computo, donde se tiene un reglamento el cual no tiene fondo de aplicacin, el alumnado y profesores no tiene el cuidado y no cumplen con las reglas de cuidado y proteccin de los equipos, adems de que no se cuenta con un plan de mantenimiento, los equipos son de buenas caractersticas de hardware pero tiene muy poco rendimiento y optimizacin por el numero de

La auditora de los sistemas de informacin se define como cualquier auditora que abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes.

aplicaciones, paquetes y programas utilizados adems de que algunos nunca se utilizan, el funcionamiento de la red es inestable en tofo tiempo tanto para el compartir recursos o envi a el departamento de impresin, se tiene un antivirus el cual no tiene licencia y esta caduca, en ocasiones hay robo hormiga de mouse o de partes internas de hardware. Se requiere que aclarar que se les de un buen uso a los equipos y mantenimiento para la mejora de los alumnos, profesores y optimizar el funcionamiento de los equipos de los 3 laboratorios de la institucin educativa. Se evaluara Hardware, infraestructura, software, personal, redes y seguridad. En resumen se tendr la verificacin de los siguientes puntos: Eficiencia en el uso de los recursos informticos. Efectividad de los controles establecidos.

los recursos necesarios para el levantamiento de la misma. El programa y/o plan de auditora requiri de ajustes durante el desarrollo de la auditora para abordar las situaciones que se iban presentando o surgiendo (nuevos riesgos, suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditora. Es importante aclarar que este proceso de planeacin depende en gran medida del diagnostico previo que lleve acabo el auditor en informtica sobre la situacin que prevalece en cada una de las reas o servicios de la funcin de informtica. Tambin se deben considerar las necesidades o prioridades que tenga la alta direccin de auditar o evaluar un rea especifica de informtica. Para fines de este trabajo se determina hasta el informe y algunas sugerencias conformando las ventajas de este estudio adems de presentar una conclusin individual de las reas o operaciones auditadas con su funcionamiento gracias.
Referencias bibliogrficas.

1.

ALONSO RIVAS, GONZALO Auditoria Informtica. Daz de Santos. Madrid 1998. 187 pgs. JUAN RIVAS, ANTONIO DE y PREZ PASCUAL, AURORA La Auditoria en el desarrollo de Proyectos Informticos. Daz de Santos. Madrid 1998. 178 pgs.

2.

Figura 1. Eficiencia de los recursos informticos.

Se realizo una evaluacin de riesgos para brindar una garanta razonable de que todos los elementos materiales fueran cubiertos adecuadamente durante la auditora. En ese momento fue posible establecer las estrategias de auditora, los niveles de materialidad y

Auditoria de Sistemas. [ON LINE] Disponible en: 1. http://www.geocities.com/lsialer/NotasInte resantes.htm

(consultado en 19 agosto, 2010)

Figura 2. Auditoria se traduce en revisin y evaluacin de los sistemas .

ABSTRACT

Systems Audit Project to the computer lab at the University Insurgentes

Lic. Hildeberto Tovar Moreno. Av. Cuautemoc 1614, Colonia Jurez, .Tel. 5753243

23 de jul.

The audit comes from the Latin word auditorius and this comes auditor, which has the power to hear and review accounts, but must be aimed at a specific objective is to evaluate the efficiency and effectiveness with which it is operating so that, through the signaling of alternative courses of action, decisions are taken to correct the errors, if any, or how to improve performance. Some authors provide other concepts but they all come to emphasize in the review, evaluation and prepare a report for the executive aimed at a specific target for the computing environment and systems. Here are some concepts used by some experts in the field: Systems Auditing is: Verification of control in the information processing, systems development and installation with the aim of evaluating its effectiveness and make recommendations to the Management. The activity aimed to verify and judge information. The audit of information systems is defined as any audit covered the review and evaluation of all aspects (or any portion thereof) of automated processing of information, including procedures related to them not automatic and corresponding interfaces. The ultimate goal is this paper is to apply an analysis and study of the different areas of an educational institution in case the computer lab in March, we perform the audit to the system is to give recommendations, suggestions, alternatives to senior management ie the direction to report the current status of the systems in the laboratory as a starting point and improve or achieve an adequate internal control in information technology environments to achieve greater operational and administrative efficiency The development of the approach consists of three phases, the first filed, containing the research and preliminary data analysis and a methodology itself, the second will prepare the audit report and the third, is on diagnosis and the proposed solution. All points contained in the draft audit. Currently in school have very little control in the computer labs, where there is a regulation which has no background application, students and teachers not careful and do not comply with the rules of care and protection equipment besides that do not have a maintenance plan, the teams are good features but has very little hardware performance and optimization for the number of applications and software packages used in addition to some never used, the operation of

the network is unstable in tophus time for both the sharing of resources or sent to the printing department, we have an antivirus which is not licensed and is outdated, sometimes there are mouse ant theft or internal parts of hardware. Clarification is required of them to good use and maintenance equipment for the improvement of students, teachers and optimize the performance of teams of three laboratories in the school. Hardware will be evaluated, infrastructure, software, personnel, networking and security. In summary, it will check the following points: Efficient use of resources. Effectiveness of the controls

Figure 1. Efficiency of resources. We did a risk assessment to provide reasonable assurance that all material elements were adequately covered during the audit. It was then possible to establish audit strategies, materiality levels and resources needed to lift it. The program and / or audit plan adjustments required during the development of the audit to address the situations that presented themselves or arise (new risks, incorrect assumptions or findings in the proceedings and made) during the audit. It is important to note that this planning process depends largely on the previous diagnosis auditor who performed the computer on the situation in each of the areas of services computing function. You should also consider the needs or priorities that top management has to audit or evaluate a specific area of computing. Pa ra purposes of this paper is determined to the report and some suggestions for shaping the advantages of this study are file an individual determination of the areas audited or operations.

23 de jul.

3.

ALONSO RIVAS, GONZALO Auditoria Informtica. Daz de Santos. Madrid 1998. 187 pgs. JUAN RIVAS, ANTONIO DE y PREZ PASCUAL, AURORA La Auditoria en el desarrollo de Proyectos Informticos. Daz de Santos. Madrid 1998. 178 pgs.

4.

Figure 2.

References Audit results in review and evaluation of systems. Auditoria de Sistemas. [ON LINE] : 2. http://www.geocities.com/lsialer/NotasInteresantes.htm
(accessed August 19, 2010)

ndice

23 de jul.

Titulo Introduccin...

Pgina 1

I. PLANEACION DE LA AUDITORIA DE SISTEMAS DE INFORMACION...1 1. Identificacin del cliente...1 1.1 Identificar el origen de la auditoria. 2 1.2 Planteamiento del problema..... 2 1.3 Objetivos.. 3 1.3.1 General .. 3 1.3.2 Especficos . 3 1.4 Importancia de la auditoria .. 3 1.5 Alcances de la auditoria .... 3 2. METODOLOGA DE DESARROLLO DE LA AUDITORIA DE SISTEMAS.4 2.1. Planeacin de recursos humanos..... 4 2.2. Manejo de controles internos... 5 2.3. Recoleccin de evidencias5 a. b. c. d. e. f. g. h. i. Carta de notificacin.... 6 Carta de requerimientos de auditoria .......... 7 Limitaciones de la auditoria....... 8 Instrumentos de recopilacin..... 9 Levantamiento preliminar.... 10 Formato de recopilacin de evidencias de auditoria... 11 Tcnicas de recopilacin de informacin (Cuestionario)......12 Formato de asignacin de tareas y actividades....... 12 Cronograma de actividades..........12

3. INFORME DE AUDITORIA .....15 3.1 Objetivo de informa de auditoria. ..16 3.2 Introduccion de informe ..1 a) Los sistemas de informacin y comunicaciones...18 b) Evaluacin de los Controles Generales de Tecnologa de Informacin 19 Conclusin de auditoria...20 b) Evaluacin del Control del Ciclo de Ingresos..22 Conclusin general..23 3.3 Carta de sugerencias...25 3.4 Informe tcnico.27 CONCLUSIONES GENERALES.27

23 de jul.

BIBLIOGRAFIA..27

INTRODUCCIN.

23 de jul.

La auditora de los sistemas de informacin se define como cualquier auditora que abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes. El objetivo final que tiene este trabajo es aplicar un anlisis y estudio de las diferentes areas de una institucin educativa, nosotros como auditores de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnologa informtica con el fin de lograr mayor eficiencia operacional y administrativa El desarrollo del enfoque constar de 3 fases, la primera hoy presentada, contendr la parte de investigacin y anlisis de datos preliminar, en la segunda se elaborar el informe de Auditoria y en la tercera, se desarrollar el diagnstico y la propuesta de solucin. Todos los puntos que contiene el avance de Auditora. ETAPA 1 PLANEACION DE LA AUDITORIA DE SISTEMAS DE INFORMACION Identificacin del Cliente: Universidad Insurgentes S.A. rea o Departamento: Departamento de Sistemas, Laboratorio de computo (3). VISION, MISION Y OBJETIVOS Desde 1995 y bajo el concepto de Universidad Insurgentes nos hemos fijado como Misin: Contribuir al desarrollo acadmico de nuestros estudiantes para el logro de su mejor desempeo laboral y de su calidad de vida. De la misma forma, nuestra VISIN consiste en Ser una Institucin centrada en el estudiante, reconocida por la calidad de su docencia y de sus programas acadmicos; con procesos continuos de evaluacin institucional y acreditacin acadmica, con amplia cobertura en el pas y con convenios de cooperacin nacional e internacional. Nuestro objetivo es impartir educacin en los niveles bsico, medio superior y superior, creando, preservando y difundiendo la cultura en beneficio de la sociedad. ORGANIGRAMA DE LA EMPRESA

1.1. IDENTIFICAR EL ORIGEN DE LA AUDITORIA.

23 de jul.

Actualmente en la institucin educativa se tiene con muy poco control en los laboratorios de computo, donde se tiene un reglamento el cual no tiene fondo de aplicacin, el aunado y profesores no tiene el cuidado y no cumplen con las reglas de cuidado y proteccin de los equipos, adems de que no se cuenta con un plan de mantenimiento, los equipos son de buenas caractersticas de hardware pero tiene muy poco rendimiento y optimizacin por el numero de aplicaciones, paquetes y programas utilizados adems de que algunos nunca se utilizan. Se tiene un antivirus el cual no tiene licencia y esta caduca, en ocasiones hay robo hormiga de mouse o de partes internas de hardware. Se requiere que aclarar que se les de un buen uso a los equipos y mantenimiento para la mejora de los alumnos, profesores y optimizar el funcionamiento de los equipos de los 3 laboratorios de la institucin educativa. Se evaluara Hardware, infraestructura, software, personal, redes y seguridad. En resumen se tendr la verificacin de los siguientes puntos: Eficiencia en el uso de los recursos informticos. Efectividad de los controles establecidos. REALIZAR UNA VISITA PRELIMINAR AL AREA QUE SERA EVALUADA El plantel esta ubicado en: Calzada de Tlalpan No. 1064 Col. Nativitas.

1.2. PLANTEAMIENTO DEL PROBLEMA. Es la exposicin de las circunstancia negativas que motivan la
ASI. Puntualizarlos. o del presupuesto del las gastos para el mantenimiento de los laboratorios de computo. fsicas que garanticen la integridad del personal, equipos e informacin. des efectuados con los encargados de los laboratorios de computo. de polticas, objetivos, normas, metodologa, asignacin de tareas y adecuada administracin del Recurso Humano

23 de jul.

1.3. OBJETIVOS
a. GENERAL.tora Interna V Verificar el desempeo del los 3 laboratorios de computo de la Universidad Insurgentes a travs de la revisin de sus procesos y cumplimiento de los requisitos de el reglamento y las normas establecidos. b. ESPECFICOS. Se disean en funcin a las metas que se propone alcanzar de manera especfica, relacionados a la justificacin, planteamiento del problema y alcances. Mediante un conjunto de herramientas hacer una evaluacin de la red y el equipo de cmputo. Hacer un inventario de hardware y software del equipo Hacer un anlisis de situaciones riesgosas para el equipo Revisin del funcionamiento de los equipos. Comunicar los controles mnimos que se deben cumplir en la gestin de TI. Propiciar la adopcin de prcticas de control interno para la gestin de la tecnologa de la informacin, alineadas con estndares locales. 1.4. JUSTIFICACION. Plantear de forma analtica, las razones de por qu vale la pena desarrollar el examen. 1. Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados. 2. Incrementar la satisfaccin de los usuarios de los sistemas computarizados 3. Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles. 4. Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. 5. Seguridad de personal, datos, hardware, software e instalaciones 6. Apoyo de funcin informtica a las metas y objetivos de los alumnos y usuarios generales. 7. Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico 8. Minimizar existencias de riesgos en el uso de Tecnologa de informacin 9. Decisiones de inversin y gastos innecesarios. 1. 2. 3. 4. 5. 6.

1.5. ALCANCES. Qu elementos y aspectos se estima solucionar con el desarrollo de la auditoria. Se

menciona todo lo que ser capaz de detectar o corregir.

El anlisis de auditora se realizara en el laboratorio 3 y se auditara las siguientes funciones hacia tres laboratorios de la Universidad insurgentes: Calidad en el servicio Seguridad en los sistemas Medicin de el personal de laboratorios y responsables. Cumplimiento de controles internos.

23 de jul.

Procesos para planeacin y seguimiento a mantenimiento de equipos Software utilizado. Hardware en condiciones, uso y funcionamiento.

2 . METODOLOGA DE DESARROLLO. Efecte una descripcin cronolgica de cmo se desarrollarn las actividades y los mtodos de investigacin, as como los recursos que emplear (humanos, financieros, equipo, controles, entre otros).
Realizar las acciones programadas para la auditora

Aplicar los instrumentos y herramientas para la auditora

Asignar los recursos y actividades conforme a los planes y programas

Recopilar la documentacin y evidencias de la auditoria

Identificar y elaborar los documentos de desviaciones

Elaborar los documentos y presentarlos a discusin

Integrar el legajo de papeles de trabajo en la auditora

Integrar los documen tos y pruebas en papeles de trabajo

Elaborar el borrador de desviaciones

2.1 PLANEACION DE RECURSOS HUMANOS. Asignacin de recursos humanos para la auditoria. (Personal). 1 Jefe auditor. a) Consultar y consensuar con el cliente el alcance de la auditora. b) Obtener la informacin de respaldo relevante como ser los detalles de actividades, los productos, los servicios, en la empresa y sus reas de actuacin, los detalles de previas auditorias realizadas al auditado. c) Formacin del equipo auditor. d) Dirigir las actividades del equipo auditor. 2 Auditores (documentadores). a) Planear y desarrollar las tareas asignadas, objetiva, efectiva y eficientemente, b) Recopilar y analizar las evidencias de auditora relevantes y suficientes para determinar los resultados de la auditora. c) Preparar los documentos de trabajo. d) Documentar los resultados individuales de la auditora. e) La redaccin del informe de auditoria.

23 de jul.

2 Encuestadores. El plan debe incluir: a) Los objetivos y alcance de la auditoria, b) El criterio a ser usado para la realizacin de la auditora, c) La identificacin de las unidades organizacionales y funcionales a ser auditadas, d) La identificacin de las funciones y/o individuos dentro de la organizacin del auditado que tengan responsabilidades relativas a aspectos de la calidad. e) Identificacin de los aspectos de calidad que son de alta prioridad. f) Identificacin de los documentos de referencia. g) El tiempo y duracin esperados para las entrevistas e inspecciones. h) Las fechas y lugares donde se va a realizar la auditoria. i) El Cronograma de reuniones que se van a tener con la gerencia del auditado. j) Requerimientos confidenciales. k) El contenido, formato y estructura del informe 2.2 Manejo de controles internos.

Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc. Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperacin de un fichero daado a partir de las copias de seguridad.

Para llegar a conocer la configuracin del sistema es necesario documentar los detalles de la red, as como los distintos niveles de control y elementos relacionados:

Entorno de red: esquema de la red, descripcin de la configuracin hardware de comunicaciones, descripcin del software que se utiliza como acceso a las telecomunicaciones, control de red, situacin general de los ordenadores de entornos de base que soportan aplicaciones crticas y consideraciones relativas a la seguridad de la red. Configuracin del ordenador base: Configuracin del soporte fsico, en torno del sistema operativo, software con particiones, entornos( pruebas y real ), bibliotecas de programas y conjunto de datos. Entorno de aplicaciones: Procesos de transacciones, sistemas de gestin de base de datos y entornos de procesos distribuidos. Productos y herramientas: Software para desarrollo de programas, software de gestin de bibliotecas y para operaciones automticas. Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e informacin, integridad del sistema, controles de supervisin, etc.

23 de jul.

Para la implantacin de un sistema de controles internos informticos habr que definir:

Gestin de sistema de informacin: polticas, pautas y normas tcnicas que sirvan de base para el diseo y la implantacin de los sistemas de informacin y de los controles correspondientes. Administracin de sistemas: Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administracin de las redes. Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad. Gestin del cambio: separacin de las pruebas y la produccin a nivel del software y controles de procedimientos para la migracin de programas software aprobados y probados

2.3 RECOLECCIN DE EVIDENCIAS. a. Documento de notificacin de Auditoria.

Mxico D. F a 26 de julio de 2010 Lic. Juan Sandoval Blanco DIRECCIN GENERAL DE TECNOLOGAS DE INFORMACIN E INNOVACIN (UNIVERSIDAD INSURGENTES)

Presente
Por este medio se les notifica que se ha programado la ejecucin de la 1ra. Auditoria Interna los equipos de computo de su rea a si como a la seguridad en el acceso a los laboratorios de computo. La fecha asignada para la realizacin de dicho evento ser el 26 de Julio de 2010; en la cual se realizar una reunin de apertura general a las 14:00 horas, con el personal responsable de cada rea y con el equipo auditor asignado para atender la auditoria; posteriormente ya realizada dicha auditoria, se realizar un cierre de esta a las 18:30 hrs. en el piso 3 sala 4 de el rea que usted representa. Sin mas por el momento reciba un cordial saludo. Atentamente _______________________________ Lic. Hildeberto Tovar Moreno
Jefe Auditor

b. Las limitaciones. Directivos de la Universidad, jefes y encargados de laboratorio, no obtencin clara de informacin, falta de manuales de operacin, tutoriales, diagramas de red, planes y programas de mantenimiento, negatividad de la gente al levantar la informacin de auditoria. .

23 de jul.

c. Solicitud de informacin De acuerdo a la planeacin de auditoria de sistemas, se elabor una carta de requerimientos en atencin a quien corresponda en el area de laboratorios de la universidad quien fue el que solicito la auditoria de sistemas.

d. INSTRUMENTOS DE RECOPILACION. Seleccin de la herramienta de obtencin de eventos. Se debe incluir el reporte de cada herramienta aplicada. Describir como se llevar a cabo:

23 de jul.

Anlisis, Comparacin de programas, Benchmarking interno Inspeccin, Mapeo y rastreo de programas Confirmacin, Datos de prueba Investigacin, Anlisis de bitcoras Declaracin, Monitoreo del proceso Observacin, Obtencin de aseguramiento independiente Clculo, Manipulacin de la informacin, Examen de registros

Levantamiento preliminar Entrevista con el encargado de TI y la solicitud de entrega de informacin de: o Polticas y Procedimientos de: Seguridad. Respaldos y recuperacin de la informacin Acceso a los recursos de la red Altas, bajas y cambios de los usuarios Control fsico y ambiental Monitoreo y administracin de sistemas Procedimiento de mantenimiento y cambios a sistemas. o o o o o o o o o o Polticas y procedimientos de adquisicin de hardware y software

Polticas de reporte de actividades del personal de TI Organigrama funcional del departamento de sistemas. Diagrama de la estructura de la red. Inventario de Hardware y Software principal Bitcora de respaldos de Enero a Junio 2010 (revisar y obtener evidencias) Lista de usuarios del sistema (revisar y obtener evidencias) Diagrama de interfaces entre mdulos y/o sistemas (revisar y obtener evidencias) Documentacin de la parametrizacin de cada mdulo del sistema (revisar y obtener evidencias) Bitcoras de cambios a programas realizados (revisar y obtener evidencias) Contratos de los proveedores de servicio o consultara (revisar y obtener evidencias)

Revisin de informacin relevante. Llenado del cuestionario al responsable del rea de sistemas. Observaciones

Pruebas a los controles generales de cmputo. Control Interno de sistemas (revisar y obtener evidencias) Cambios al ERP (Confirmar)

23 de jul.

Controles operativos y seguridad (revisar y obtener evidencias) Controles fsicos y ambientales (revisar y obtener evidencias) Sistemas e interfaces (revisar y obtener evidencias) Ciclo de Ingresos o o o Por alumno y usuarios Usabilidad de los equipos Polticas de mantenimiento

Pruebas de recorridos a los controles de aplicacin.

o Confiabilidad Formato general de recopilacin de evidencias de auditoria:

e. Tcnicas de recopilacin de evidencias La recopilacin de material de evidencia es un paso clave en el proceso de la auditora, el auditor de sistemas debe tener conocimiento de cmo puede recopilar la evidencia examinada. Algunas formas son las siguientes:

23 de jul.

Revisin de las estructuras organizacionales de sistemas de informacin. Revisin de documentos que inician el desarrollo del sistema, especificaciones de diseo funcional, historia de cambios a programas, manuales de usuario, especificaciones de bases de datos, arquitectura de archivos de datos, listados de programas, etc.; estos no necesariamente se encontrarn en documentos, sino en medios magnticos. Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de descubrimiento no de acusatoria. Observacin de operaciones y actuacin de empleados, esta es una tcnica importante para varios tipos de revisiones, para esto se debe documentar con el suficiente grado de detalle como para presentarlo como evidencia de auditora. Auto documentacin, es decir el auditor puede preparar narrativas en base a su observacin, flujogramas, cuestionarios de entrevistas realizados. Aplicacin de tcnicas de muestreo para saber cuando aplicar un tipo adecuado de pruebas (de cumplimiento o sustantivas) por muestras. Cuestionario a usuarios finales. Cuestionario a realizar a los usuarios de laboratorio 3 para determinar areas de oportunidad.

Formato de asignacin de tareas y actividades.

Evaluar la informacin recopilada con la finalidad de desarrollar una opinin. Utilizar una matriz de control con la que se evaluar el nivel de los controles identificados, la matriz muestra las reas en que los controles no

23 de jul.

existen o son dbiles, obviamente el auditor debe tener el suficiente criterio para juzgar cuando no lo hay si es necesario el control

Nombre del auditor:_________________________ Actividad:_________________________

fecha:__________________

lugar:_______________

rea:__________________

Control de tiempo: ____________

Actividad

rea

% Avance

Observaciones

Encargados

___________________________ Firma del Jefe Auditor

3. CRONOGRAMA DE ACTIVIDADES. Actividades, tiempos, porcentaje de desarrollo y responsables. Fases de la auditoria:

23 de jul.

Folio:__________

Programa de auditoria: Fase I. Firma de responsable: Fecha: 23/07/10 Tiempo % Avance Hoja No. 1 Encargados

Empresa: Universidad Insurgentes Plantel Sur

Fase I

Actividad 1.1 Identificacin del cliente 1.1.1 Datos generales de la empresa 1.1.2 reas o departamentos de la empresa 1.1.3 Misin, visin y objetivo 1.1.4 Localizacin geogrfica de la empresa 1.2 Origen de la auditoria 1.2.1 Situacin actual 1.2.2 Problemtica 1.3 Visita preliminar 1.3.1 Escrito de notificacin 1.3.2 Analizar lo que se va a auditar 1.4 Planteamiento del problema 1.4.1 Razones en lista de la problemtica a resolver 1.5 Objetivos 1.5.1 Objetivo General 1.5.1.1 Planteamiento del objetivo general 1.5.2 Objetivos Especficos 1.5.2.1 Planteamiento de los objetivos especficos

Observaciones

Todo sobre cmo se llevarn a cabo las actividades hasta la finalizacin de la auditora, a partir de la investigacin hasta la presentacin del informe.

ANTECEDENTES. Como parte de la evaluacin del laboratorio de computo de la Universidad insurgentes , realizamos la revisin de los controles, manuales, polticas, (ciclo de ingresos) y controles generales de Tecnologas de Informacin de las actividades de sistemas.

23 de jul.

OBJETIVO. Comprobar y revisar que las instalaciones de el laboratorio 3 de la Universidad Insurgentes y controles de acceso y uso de equipos sean las adecuadas de acuerdo a reglamente y polticas de sistemas al 31 de noviembre del 2010 este funcionando acorde los objetivos generales de la Universidad.

Objetivos Especficos: 7. Mediante un conjunto de herramientas hacer una evaluacin de la red y el equipo de cmputo. 8. Hacer un inventario de hardware y software del equipo 9. Hacer un anlisis de situaciones riesgosas para el equipo

23 de jul.

INTRODUCCION Con relacin a la evaluacin y revisin de del control interno de el laboratorio 3 hemos evaluado la estructura de los controles del proceso de ingresos y de tecnologa de informacin, nicamente hasta el grado que consideramos necesario para tener una base sobre la cual determinar la naturaleza, extensin y oportunidad de las pruebas de auditoria, aplicadas en nuestra evaluacin del control interno, polticas de uso de los equipos, funcionalidad del hardware y software. Nuestra evaluacin de la estructura del control interno comprendi un estudio detallado de sus elementos de hardware y software, y fue ejecutada con el propsito de desarrollar recomendaciones detalladas o evaluar la eficacia con la cual la estructura del control interno de la Compaa permite prevenir o detectar todos los errores irregularidades que pudieran ocurrir. El informe adjunto tambin incluye comentarios y sugerencias con respecto al control interno del proceso de ingresos y TI, los cuales notamos durante el curso de nuestro examen de los controles internos, polticas de los equipos y condiciones de hardware, software y red de el laboratorio 3 de la universidad Insurgentes.. Todos estos comentarios se presentan como sugerencias constructivas para la consideracin de la Administracin, como parte del proceso continuo de modificacin y mejoramiento de la estructura del control interno existente y de otras prcticas y procedimientos administrativos y financieros. Este informe es para uso exclusivo de la Administracin de la Compaa y no debe ser utilizado con ningn otro fin. Deseamos expresar nuestro agradecimiento por la cortesa y cooperacin extendida a nuestros representantes durante el curso de su trabajo. Nos agradara discutir estas recomendaciones en mayor detalle, de ser necesario y, asimismo, proporcionar la ayuda necesaria para su implantacin.

LOS SISTEMAS DE INFORMACIN Y COMUNICACIONES a) Evaluacin de los Controles Generales de Tecnologa de Informacin. Organizacin del rea de sistemas. El departamento de sistemas de la Universidad en caso particular el Laboratorio de computo 3 de se compone de una sola persona quien es el responsable de proporcionar soporte tcnico a los usuarios, administrar la red de correos electrnicos e Internet y hacer el mantenimioento de los equipos. Identificamos que no existe diagrama funcional del departamento de sistemas debido a que es una sola persona que le reporta a la coordinacin de Informtica del Campus. Verificamos que no existe un plan de capacitacin al responsable de la administracin de TI. Identificamos que la compaa para la administracin y operacin cuenta con 1 sistema, principalmente: Sistema de Excel : Interface de reloj checador, registros de incidencias de los alumnos. Captura de mantenimiento a los equipos espordica.

23 de jul.

Polticas de uso de los equipos y perfiles. Identificamos que no existen polticas y procedimientos para la asignacin, bajas y cambios de perfiles de usuario, asi como sus autorizaciones respectivas; nicamente existe un formato que es llenado por el usuario de nuevo ingreso de nombre Uso de Sistemas y programas de PC. Identificamos que las altas o cambios de perfiles para un nuevo usuario son asignadas en base a los perfiles del usuario anterior que ocupo el mismo puesto, este proceso se solicita a travs de correos electrnicos por parte del gerente o supervisor de departamento hacia el personal responsable de sistemas. Identificamos que existe un listado de usuarios de los sistemas, sin embargo no existe documentacin o alguna evidencia de los perfiles especficos que estn vigentes para cada usuario. Verificamos que los usuarios definen sus contraseas en los sistemas; sin embargo no existe una poltica de creacin y mantenimiento de contraseas que indique las reglas a seguir y dificulte ser descifrados y el ser compartido con otros usuarios.

Acceso fsico al Laboratorio de computo de Cmputo Identificamos que no existe poltica de seguridad para el acceso al centro de cmputo; as como tampoco existe una bitcora para registrar a las personas que ingresan al rea; no obstante el rea permanece cerrada por algunas horas sin un responsable y solo el cuentan con llave para el acceso.

Controles Ambientales del Centro de Cmputo Identificamos que no existen los controles ambientales adecuados para salvaguardar los activos informticos del centro de cmputo, nicamente en rea cuenta con aire acondicionado.

Respaldos y recuperacin de la informacin Correos y archivos de usuario. Identificamos que la compaa no cuenta con polticas y procedimientos para realizar los respaldos y recuperacin de la informacin. Verificamos que actualmente el responsable de los laboratorios realiza los respaldos diarios de correos, archivos de usuario y bases de datos de las operaciones, mantenimiento uso de los equipos, los cuales se guardan en discos CD-ROM, son etiquetadas y almacenadas en una gaveta de la sala de juntas de la compaa y la mensual en la caja fuerte de la oficina del Gerente de Contralora.

23 de jul.

Identificamos que no es posible recuperar la informacin respaldada en caso de una contingencia debido a que la estructura de la bases de datos actual es distinta a los respaldos en general de meses y aos pasados. Identificamos que la compaa solo cuenta con un disco CD-ROM del ltimo cierre de mes (julio), esto ocasiona el riesgo de que en caso de haber un desastre o contingencia, no sea posible recuperar la informacin anterior a junio 2010, adems de que no cuentan con respaldos adicionales, almacenados en un lugar seguro fuera de la empresa.

Cambios y modificaciones a programas Verificamos que la compaa no cuenta con polticas y procedimientos de cambios a programas para la administracin de los cambios realizados a los sistemas. Identificamos que los cambios a los sistemas los realiza el encargado de sistemas donde no lleva un control de los cambios y de el software que se requiere para los nuevos cuatrimestres y en algunas ocasiones el software tiene ya 8 aos instalado y sin usarse

Los usuarios son los responsables de las pruebas a los cambios en los sistemas, sin embargo no existen autorizaciones documentadas por parte de los gerentes de rea. Identificamos que el responsable de no lleva el control o bitcoras de los cambios que se realizan a los sistemas. Verificamos que los manuales de programas , paquetes y aplicaciones de usuario de estos sistemas no existen

Monitoreos Identificamos que el responsable no realiza peridicamente monitoreos de los accesos a los sistemas, diariamente hace revisin de tems acuerdo a las 18 actividades del listado del formato llamado CHEQUEO DIARIO DE CPD. Verificamos que no existe un procedimiento de monitoreo, a la seguridad de los servicios informticos y uso correcto de los equipos. En cuanto a intentos fallidos en el sistema, identificamos que el responsable de no lleva una bitcora de incidencias, sin embargo si el usuario intenta 5 veces ingresar al sistema y no lo logra acude con el responsable , para ser desbloqueado del sistema.

23 de jul.

Procedimientos de Emergencia Identificamos que en laboratorio 3 no se lleva un procedimientos de emergencia para el departamento de TI en caso de siniestros o contingencias que asegure la continuidad de las operaciones, utilizando los recursos Informticos.

Conclusin Derivado de nuestra revisin al Control Interno de T, poltica de uso de los equipos, condicione de hardware y software determinamos que la compaa no cuenta con los controles mnimos necesarios para una mejor administracin de las tecnologas de informacin. b) Evaluacin del Control del Ciclo de Ingresos

Realizamos una prueba del recorrido del proceso de ingresos donde identificamos 3 controles instalados, desde como se genera el la entrada de un alumno hasta la salida, realizamos el diagrama de flujo y la matriz de controles, y determinamos que el funcionamiento de los controles se lleva adecuadamente, sin embargo: De acuerdo al recorrido del proceso de ingresos determinamos los siguientes hallazgos:

Identificamos que en el laboratorio el alumno permite reutilizar varias computadoras, instalar software, cambiar cables e inclusive abrir fsicamente los equipos por lo que existe el riesgo de errores o malos manejos de informacin, robo y perdida de quipo, fallas frecuentes por parte de los usuario Identificamos que los los usuarios ingieren alimentos, bebidas donde son derramados en los equipos, ocasionando la falla total o parcial de los equipos. Identificamos que a esta fecha solo se han emitido bitcoras actualizadas de ingreso.

Conclusin

Del derivado de nuestra revisin a los controles del proceso de ingresos concluimos que los controles no se encuentran funcionando razonablemente y no son aceptables, sin embargo los controles existen pero no se aplican o se no encontramos deficiencias, y debern ser corregidas y aplicados.

23 de jul.

CARTA DE SUGERENCIAS Control Interno de Sistemas

1. Se recomienda documentar las polticas y procedimientos, para un mejor control de la informacin y de la infraestructura tecnolgica, que continuacin mencionamos: a. Perfiles de usuarios, para uso correcto de los equipos b. Asignacin de planes de mantenimiento, bitcoras de procesos c. Levantamiento correcto de inventarios fsicos para un mejor control de hardware d. Cambios a programas con correcto control, y seguimiento de actualizaciones e. Plan de seguridad, configuracin y optimizacin de red 2. Crear y documentar los perfiles de usuario personalizados para una mejor identificacin y mayor seguridad de los procesos realizados en los sistemas por cada departamento. 3. Documentar los cambios a los sistemas para mantener el control sobre los cambios e identificar los niveles de autorizacin y el detalle de las modificaciones, as como el impacto en otros procesos. 4. Crear un plan de contingencias para que los usuarios tengan el conocimiento de cmo trabajar o que hacer en caso de contingencia.

5. Almacenar una copia de las un disco duro de respaldo en un lugar fuera de las instalaciones. 6. Solicitar capacitacin al responsable de sistemas para un mejor control y conocimiento de los sistemas.

Control Interno del Ciclo de Ingresos 1. Se recomienda hacer las modificaciones necesarias al sistema de ingreso para aplicar tal cual los controles establecidos. 2. Se recomienda hacer las modificaciones y pruebas necesarias al las condiciones de hardware, software, red para una continuidad, seguimiento correcto a el funcionamiento del laboratorio de computo 3. 3. Realizar una auditoria a los usuarios que se encuentran en los sistemas con la finalidad de confirmar la autorizacin de cada programa, paquete o aplicacin instalado sobre las funciones y operaciones del software; de igual manera analizar el adecuado cumplimiento de la segregacin de funciones en los mdulos de los sistemas.

Fecha de la Auditora: Firma del Jefe Auditor:

11-08-2010 Hildeberto Tovar Moreno.

23 de jul.

RESUMEN TCNICO

A continuacin se exponen algunas herramientas utilizadas para el levantamiento de la auditoria con sus datos respectivos, para el inventario de hardware, auditoria ala red y auditoria a el software.

WinAudit. Con esta aplicacin se tomo el inventario y auditoria de un de cmputo, muy til a la hora de hacer un recuento de equipos en la empresa.

equipo

Con esta herramienta podremos conocer cada detalle de la computadora tanto hardware como software, entre los que considero ms importantes puedo mencionar: Informacin del CPU Discos duros instalados y sus especificaciones Software instalado, detalles de su uso y ruta de instalacin (incluso el instalador) Puertos abiertos (TCP y UDP) Usuarios de la computadora y polticas para los mismos Variables de Entorno Procesos de inicio y procesos en ejecucin (til para encontrar virus) Dispositivos de hardware Memoria RAM usada y disponible Servicios de Windows Logs de Errores (sucesos de Windows)

Otra cosa muy til es la posibilidad de salvar los reportes generados en formatos como PDF, CSV, HTML u otros; tambin puede enviarlo por correo (por medio del cliente de correo configurado para el sistema).

Hice una recoleccin de informacin de un equipo de el laboratorio 3 y entre los resultados que mas puedo destacar son los siguientes:

Vista General

23 de jul.

Aqu se puede ver el tipo de CPU instalado, cuanta memoria RAM detect e sistema, la suma de todos los discos duros (Total Hard Drive), la versin del BIOS y el tiempo que la computadora lleva encendida sin apagarse (System Uptime).

Software Instalado

Aqu observamos que el 19% de los programas instalados tiene capacidades de actualizarse automticamente (Active Setup: 39 aplicaciones), el otro 81% de mis aplicaciones no son actualizables o muchos de ellos requieren intervencin humana para actualizarse.

23 de jul.

Sistema Operativo

Muestra la versin del service pack instalada (en mi caso Service Pack 2) y el sistema operativo (Windows XP), a nombre de que usuario se hizo la instalacin y la ubicacin de las carpetas temporales.

Red TCP/IP

23 de jul.

Ac vemos informacin de la Red, la direccin IP de la tarjeta de red (o tarjetas si se cuenta con varias), los DNS configurados y la direccin MAC de la tarjeta de red. Determina la velocidad de la tarjeta (100 Mbps), otra cosa que podemos ver es si tenemos activado el servicio de DHCP (en mi caso no).

Uso de los Discos Duros

En esta grfica podemos apreciar cuanto se ha uso de los discos duros, en mi caso estn casi llenos. (La unidad A es la disquetera, la unidad Y es un CD-ROM Virtual). Carpetas y Recursos Compartidos

23 de jul.

En vista de que desde mi PC hago instalaciones remotas hacia otras computadoras tengo varias unidades compartidas (eso si, con password). Esto puede representar un peligro para la PC pero claro si se pone una contrasea difcil y un usuario para validar poder acceder a uno de estos recursos entonces es muy difcil que pueda ocurrir algo malo.

En la columna Connections, podemos saber si hay mas usuarios utilizando esta carpeta, podemos apreciar que solo sale un 1, esto es porque la PC que comparte cuenta como conexin. Sumario de perifricos

23 de jul.

Observo el tipo de dispositivos que hay conectados a la computadora y si esta cuenta con acceso a la red, adems de las impresoras (fsicas y virtuales) que estn instaladas. Aparece una unidad mapeada llamada T: que es un servidor de archivos donde antes se ejecutaba un programa viejo de contabilidad (el cual ha quedado como histrico).

Uso de Memoria RAM

Esta grfica muestra cuanta memoria RAM tiene instalada el sistema y cuanta se est usando para intercambio y para las aplicaciones. Normalmente cuando una PC tiene Virus la memoria usada (USED) llega a ocupar casi el 100% de la memoria total, esta grfica muestra que el % de memoria usada es balanceado (25%) y por lo tanto ninguna aplicacin est consumiendo totalmente los recursos del sistema.

23 de jul.

Programas en ejecucin

Aqu podemos ver que aplicaciones se estaban ejecutando a la hora de tomar los datos, esta parte es til para determinar si la PC est infectada con algn Virus o si es necesario impedir que muchas de estas sigan ejecutndose en el futuro. Por ejemplo puedo saber si una PC est ejecutando el LogMeIn y quiz no tenga autorizacin para hacerlo.

Procesos de Inicio

Al igual que Ccleaner con WinAudit podemos saber que programas se ejecutan al iniciar Windows, aqu es posible detectar Virus que se autoejecutan al encender la computadora.

23 de jul.

Este informe lo veo mas completo que el de Ccleaner porque adems de las aplicaciones que se que se inician veo aquellas que estn ocultas como ser los desktop.ini ubicados en la carpeta de INICIO de Windows. Estos desktop.ini son simples archivos de texto por lo tanto no los considero un peligro.

User Accounts

Se nos desglosa aquellas cuentas de usuario que estn configuradas en la computadora, si vemos alguna que no consideramos sea permitida aqu lo sabremos.

Si hacemos clic en alguna de las cuentas podemos obtener informacin sobre la misma:

Es posible saber si la cuenta de Administrador tiene configurado Password (Si Password Age es mayor a CERO), podemos saber cuando fue la fecha del ltimo inicio de sesin con ese usuario (Last Logon), a que hora se cerr sesin por ultima vez (Las Logoff). En Bad Password Count es possible saber cuantas veces alguien se ha equivocado adivinando la contrasea (til para saber si nos quieren atacar), el Number of Logons es un contador de cuantas veces alguien ha iniciado sesin con esta cuenta.

23 de jul.

Password Expired nos indica si la contrasea ha expirado y si dicha cuenta est configurada para que la contrasea expire (Account Expires), esto es importante porque al expirar una cuenta cualquier puede cambiarle el password. Un ejemplo de uso es ver el Number of Logons en una PC donde rara vez nosotros intervenimos para hacer algo como administradores, si este es alto entonces significa que alguien tiene acceso como Administrador por lo tanto es conveniente tomar medidas.

Puertos Abiertos

Ac podemos ver cuales son los puertos que tiene abiertos nuestra computadora, esto es algo bien delicado porque por medio de ellos un atacante puede ingresar a nuestra red, en mi caso tengo varios puertos abiertos como ser el puerto 25 (por mi cliente de correo), el puerto 80 (porque aqu tengo un servidorcito apache de pruebas), otros como el 443 (HTTP seguro) y otros relacionados con algunas aplicaciones que utilizo.

En el caso de usuarios con pocos privilegios lo mas conveniente es cerrar los puertos que no se van a utilizar, como en el caso del puerto 80, el puerto 23 del TELNET (si no lo usamos en la empresa), o el puerto para el SSH (el 22).

En fin los puertos abiertos pueden usarse por alguien malintencionado para ganar acceso a una PC y atacarla o tomar informacin delicada.

23 de jul.

En la imagen se ve un ejemplo de la informacin que WinAudit recopila de un puerto, vemos el nombre del servicio (service name: smtp) el nmero del puerto (25), si este est escuchando (LISTEN), y el nombre del proceso de Windows que controla dicho puerto (Process Name). Procesos

En esta seccin se puede ver que procesos (programas que ejecutan algn servicio en el sistema) estn configurados. Muchos de estos son tiles, como por ejemplo la Cola de Impresin o el Plug and Play, pero hay Virus que pueden ejecutarse como servicios de Windows y aparecern en esta lista. Si hacemos clic en alguno de los procesos de la lista podemos ver sus detalles:

23 de jul.

Como en este caso estoy viendo el servicio provedo por mi antivirus, este proceso se encarga de mantener protegido al sistema de la entrada de cualquier amenaza de virus. En State vemos que est en Running, esto quiere decir que el servicio del antivirus se est ejecutando, muchos virus detienen a los servicios del antivirus o sea que si el State estuviera en Stopped entonces habra problemas en la computadora.

En mi caso tengo al servicio TELNET detenido:

Observar que el State est en Stopped, porque no quiero que alguien pueda conectarse a mi PC va Telnet.

Los informes de WinAudit son muy extensos como para ponerlos aqu pero son una herramienta til para diagnosticar e inventariar una PC, en Internet encontramos herramientas similares como Aida o Sandra pero no haba visto una aplicacin con reportes tan completos y con tantas posibilidades de exportacin como WinAudit.

Mi prximo inventario lo har con esta verstil herramienta que ni siquiera necesita instalarse lo que la hace altamente portable.

23 de jul.

IPTools Es una completa suite de herramientas para hacer pruebas en red las cuales antes era necesario instalar programas por separado o usar los comandos de Windows.

A continuacin desgloso las herramientas que trae que ms me llamaron la atencin:

Monitor de conexiones (Monitor) El monitor permite ver los puertos que tenemos abiertos y saber la IP remota que est accediendo por ellos, adems del estado del puerto y el proceso asociado al mismo.

Por ejemplo aqu estoy viendo que a travs del puerto 1362 estoy conectado a la IP 64.94.18.205 y el proceso que est utilizando este puerto es TmProxy.exe, esto se debe a que dicho proceso pertenece a mi antivirus y por medio de el se conecta al servidor de Trend Micro para descargar una actualizacin del mismo.

Escaner de Recursos Compartidos El NB Scanner permite ver los recursos compartidos de una o varias direccions IP, por ejemplo aqu muestro los recursos compartidos de mi direccin IP:

23 de jul.

Tengo 6 recursos compartidos, salen las rutas de los mismos y el tipo de recurso.

SNMP Scanner Permite localizar aquellos dispositivos que soportan SNMP (Protocolo Simple de Administracin de Red) por ejemplo aquellos que pueden administrarse a travs de red sin necesidad de estar conectados directamente a una PC.

En mi red encontr 3:

El primero (192.168.60.106) es un NAS que tenemos instalado en la red, el segundo (192.168.60.201) es una fotocopiadora/impresora de red y el tercero (192.168.60.200) es un Print Server instalado para una impresora Laser marca HP.

Name Scanner Con el podemos ver que nombre tiene los equipos en una Red, podemos poner un rango de direcciones y el nos va dando el nombre de cada uno.

En la imagen muestro los nombres de los equipos en mi Red desde la 192.168.60.100 hasta la 192.168.60.106.

23 de jul.

El DB es un servidor de bases de datos, el apps.cofisa.hn es un servidor de aplicaciones, el Proxy es mi servidor para el Internet y el NAS es un dispositivo de almacenamiento en red.

Port Scanner Con el es posible ver los puertos TCP que se tiene abiertos en un dispositivo, por ejemplo aqu hice un port scanner a la PC que tenemos para nuestra Intranet (192.168.60.6), estos fueron los resultados:

Puedo ver que solo est abierto el puerto 80 para esa PC porque es donde se presta el servicio para nuestra Intranet (servicio HTTP por dicho puerto).

UDP Scanner Permite saber que puertos UDP estn abiertos para un dispositivo, en el ejemplo muestro un escaneo de este tipo que le hice a la PC para mi Intranet (192.168.60.6):

23 de jul.

Solo sale un puerto UDP abierto, es el 123 correspondiente an Network Time Protocol, es lgico porque tengo mis servidores sincronizados a un servidor de tiempo el cual est instalado en la misma PC del servidor de correo electrnico, por eso tuve que abrir dicho puerto en los dems servidores, as de esta forma todos tienen la misma hora.

Con estas herramientas puedo ver todos los puertos abiertos para un bloque de direcciones IP, en auditoria eso es de gran ayuda para revisar la cantidad de vulnerabilidades que puede tenerse en una red.

Ping Scanner Permite hacer ping a uno o varios hosts al mismo tiempo, de esta forma es posible monitorear el tiempo de respuesta en la red de cada uno.

Trace Permite saber por cuantos host se debe pasar para llegar a un host determinado, o sea seguir el rastro para llegar a un servidor.

Por ejemplo para visitar la pgina de COFISA desde dentro de mi empresa debe pasarse por los host siguientes:

23 de jul.

Esto sirve para evaluar si la conexin se cae en algn punto de la conexin para determinar di el problema es de nuestro proveedor de Internet o de el servidor que nos presta el webhosting.

WhoIS Permite obtener informacin acerca de una direccin IP o de una DNS, por ejemplo aqu hice un WHOIS al sitio WEB de COFISA:

Veo informacin detallada sobre mi HOST, esta informacin est disponible para toda la gente que quiera consultar, WHOIS puede resultar til a la hora de identificar un servidor o direccin IP desconocido.

IP Monitor Permite monitorear cuantos paquetes para los protocolos TCP, UDP, ICMP y aquellos que generan error:

Esta grfica es para TCP

Esta grfica es para UDP

Esta grfica es para ICMP

23 de jul.

Si alguien nos estuviera haciendo PING la grfica de ICMP se levantara, sera una buena forma de saber si alguien est intentando localizarnos o hacindonos un escaneo, la siguiente imagen muestra que pasara con la grfica para ICMP si alguien nos est haciendo PING:

La grfica ICMP se dispar hacia el tope cuando alguien comenz a hacer ping hacia mi HOST

Host Monitor Esta es una de la herramientas que me llam la atencin, con ella podemos saber si una HOST est inactivo o no puede comunicarse con l.

En la siguiente imagen estos observando 7 hosts que son tiles en mi trabajo (COFISA:

Con esta herramienta puedo saber si alguno tiene problemas, adems que permite configurarlo para que ocurra algo en caso de que algun HOST est cado, por ejemplo: mandarme un correo electrnico, generar un mensaje de alerta, o ejecutar algn programa a mi gusto hasta incluso reproducir un sonido de alarma.

23 de jul.

Las IPTools son realmente un completo conjunto de herramientas para monitorear una red, son livianas, son gratis y tienen todo lo que necesito en un solo lugar.

CONCLUSIONES GENERALES.

El trabajo anterior se realizo durante el periodo de cuatrimestre de la maestra de Sistemas de informacin desde una parte inicial de planeacin, metodologa, informe y finalmente las posibles sugerencias encontradas en cuanto a el estudio, en verdad trajo muy buenos conocimientos en el campo de revisin, estudio y anlisis en los sistemas, adems de cmo llevar una metodologa correcta para realizarla. En cuanto al trabajo de la auditoria en s, podemos remarcar que se precisa de gran conocimiento de Informtica, seriedad, capacidad, minuciosidad y responsabilidad; la auditoria de Sistemas debe hacerse por gente altamente capacitada, una auditoria mal hecha puede acarrear consecuencias drsticas para la empresa auditada, principalmente econmicas. El profesor nos iba indicando y asesorando cada uno de estos puntos hasta totalizar el proceso.

23 de jul.

BIBLIOGRAFIA. 5. ALONSO RIVAS, GONZALO Auditoria Informtica. Daz de Santos. Madrid 1998. 187 pgs. 6. JUAN RIVAS, ANTONIO DE y PREZ PASCUAL, AURORA La Auditoria en el desarrollo de Proyectos Informticos. Daz de Santos. Madrid 1998. 178 pgs. 7. MILLS, DAVID Manual de Auditoria de la calidad. Gestin 2000. Barcelona 1997. 242 pgs. 8. PIATTINI VELTHUIS, MARIO y DEL PESO NAVARRO EMILIO (Editores) Auditoria Informtica: Un enfoque prctico. y Alfaomega. Mxico 1998. 609 pgs. PIATTINI VELTHUIS, MARIO DEL

A. SITIOS WEB.

Auditoria de Sistemas. [ON LINE] Disponible en:

3. http://www.geocities.com/lsialer/NotasInteresantes.htm