AUDITORIA INFORMTICA Realizado por: VERNICA CRDOVA CARRANZA. Profesin: Tcnica de sistemas (Instalaciones, hardware y software)
AUDITORIA FISICA 1. Alcance de la Auditoria Planes y procedimientos Polticas de Mantenimiento 2. Objetivos Realizar un informe de Auditora con el objeto de verificar la existencia de polticas y Normas sobre seguridad Fsica y verificar la seguridad de personal, datos, hardware, software e instalaciones. Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico.
IDENTIFICACIN DE LA EMPRESA Organizacin: UNIVERSIDAD AGRARIA DEL ECUADOR CAMPUS MILAGRO Ciudad: Milagro IDENTIFICACIN DE HARDWARE Cantidad de Servidores 4 Cantidad de Computadoras 180
Cada cuanto tiempo se realiza mantenimiento? Se realiza mantenimiento cada 6 meses.
Cul es el tipo de mantenimiento de los equipos que se realiza en esta rea? Se realiza mantenimiento correctivo cuando se daan las computadoras al instante.
Cuntos laboratorios existen? Hay 6 laboratorios. En la escuela de Computacin e Informtica existen 4 laboratorios y en la Escuela de ciencias Agrarias existen dos laboratorios.
Cul es la distribucin de los equipos de cmputo? Los equipos de computo se encuentran distribuidos de la siguiente manera: 100 en la escuela de Computacin e Informtica; 25 en cada laboratorio. 50 en ciencias Agrarias.
Auditoria Informtica 30 de diciembre de 2013 Realizado por: Vernica Nataly Carranza Pgina 2
PREGUNTAS SI NO N/A 1. El lugar donde se ubica los laboratorios, est seguro de inundaciones, robo o cualquier otra situacin que pueda poner en peligro los equipos?
X
2. El material con que est construidos dichos laboratorios es confiable? X 3. Se han adoptado medidas de seguridad en el departamento de sistemas de informacin? X 4. Dentro de los laboratorios existen materiales que puedan ser inflamables o causar algn dao a los equipos?
X
5. Existe vigilancia en los laboratorios las 24 horas? X 6. Los laboratorios tienen salida al exterior o salida de emergencia? X 7. Se permite el acceso a los archivos y programas administrativos a los estudiantes y profesores?
X
8. Se cuenta con extintores? X 9. Se limpia con frecuencia el polvo acumulado debajo en los laboratorios? X 10. En el area hay alguna persona encargada de supervisar los laboratorios despues de la ejecucion de un curso?
X
11. Se tiene un control adecuado sobre los sistemas y programas que estan en operacin? X 12. Se cuenta con aire acondicionado, en todos los laboratorios? X 13. Existen prohibiciones en lugares para no fumar, ingresar con alimentos, bebidas? X 14. Se cuenta concarteles en lugares visibles donde recuerden dicha prohibicin? X 15. Se cuenta con respaldo de energia, en caso de que se vaya la luz? X
Auditoria fsica: Para hallar el SI 15 100% 3 X X = 20
Para hallar el NO 15 100% 12 X X = 80
Auditoria Informtica 30 de diciembre de 2013 Realizado por: Vernica Nataly Carranza Pgina 3
LISTADO DE VERIFICACIN DE AUDITORIA FISICA
Gestin fsica de seguridad. 100% Excelente 80% Buena 60% Regular 40% Mnimo 20% No cumple Los objetivos de la instalacin fsica De computo X Las caractersticas fsicas de los laboratorios son seguras X Los componentes fsicos de computo X La conexiones de los equipos de las comunicaciones e instalaciones fsicas X La infraestructura es X Los equipos son X La distribucin de los equipos de computo es X
Evaluacin de anlisis fsico de cmputo 100% Excelente 80% Buena 60% Regular 40% Mnimo 20% No cumple Evaluacin de la existencia y uso de normas, resolucin base legal para el diseo del centro de computo. X El cumplimiento de los objetivos fundamentales de la organizacin para instalar del centro de cmputo. X La forma de repartir los recursos informticos de la organizacin. X
Anlisis de la seguridad fsica
100% Excelente 80% Buena 60% Regular 40% Mnimo 20% No cumple La seguridad de los equipos. X El estado centro de computo esta en X Los accesos de salida son X
Auditoria Informtica 30 de diciembre de 2013 Realizado por: Vernica Nataly Carranza Pgina 4
INFORME DE AUDITORIA 1. Identificacin del informe Auditoria fsica. 2. Identificacin del Cliente El rea de Informtica 3. Identificacin de la Entidad Auditada UNIVERSIDAD AGRARIA DEL ECUADOR CAMPUS MILAGRO 4. Objetivos Constatar la estructura de distribucin de los equipos. Revisar la correcta utilizacin de los equipos Verificar la condicin de infraestructura de los laboratorios. 5. Hallazgos Potenciales Falta de personal, Poca inversin para los laboratorios. Falta de un calendario de mantenimiento. Falta de ventilacin y luz deficiente. Faltan salidas al exterior. Falta de salidas de emergencia. Falta de mobiliario para los estudiantes. 6. Alcance de la auditoria Nuestra auditoria, comprende el presente periodo 2013 -2014 y se ha realizado especialmente a los laboratorios de la Universidad Agraria del Ecuador, de acuerdo a las normas y dems disposiciones aplicables al efecto. 7. Conclusiones: Como resultado de la Auditoria hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditora. Auditoria Informtica 30 de diciembre de 2013 Realizado por: Vernica Nataly Carranza Pgina 5
Los laboratorios de la Universidad Agraria del Ecuador, presentan deficiencias sobre todo en el debido cumplimiento de Normas de seguridad.
A. Organizacin Y Administracin Del rea 1. Comit y Plan Informtico a. Situacin Con respecto al relevamiento efectuado, hemos notado lo siguiente: No existe un Comit de Informtica o al menos no se encuentra formalmente establecido, porque segn lo observado DON PEDRITO, el Sr. De la limpieza, es prcticamente el encargado de las llaves de los laboratorios b. Efectos y/o implicancias probables Posibilidad de que las soluciones que se implementen para resolver problemas operativos sean parciales, tanto en Hardware como en Software. Falta de conocimiento sobre las inversiones necesarias, ante nuevas exigencias o prestaciones que se deban implementar para atender la operatoria de los laboratorios de la UAE. c. ndice de importancia establecida 1 (uno)
d. Sugerencias Trazar los lineamientos de direccin del rea de Informtica. Implementar normas y/o procedimientos que aseguren la eficaz administracin de los recursos informticos, e implementar soluciones que se desarrollen y/o se requieran de terceros.
B. Organizacin y Administracin del rea a. Situacin Con respecto a la organizacin y Administracin de los laboratorios de la UAE, he observado lo siguiente: El rea adolece de una estructura organizacional. Auditoria Informtica 30 de diciembre de 2013 Realizado por: Vernica Nataly Carranza Pgina 6
Ausencia de manual de funciones para cada puesto de trabajo dentro del rea.
b. Efectos y/o implicancias probables La escasez de personal debidamente capacitado, aumenta el nivel de riesgo de errores al disminuir la posibilidad de los controles internos en el procesamiento de la informacin; y limita la cantidad de soluciones que pueden implementarse en tiempo y forma oportuna a los efectos de satisfacer los requerimientos de las reas funcionales.
c. ndice de importancia establecida 1 (uno) 8. Recomendaciones Implantacin de equipos de ltima generacin Implantar nuevos equipos de ventilacin Implantar salidas de emergencia. Elaborar un calendario de mantenimiento de rutina peridico. Contratar personal para revisin de las computadoras y elaborar reportes del estado de las computadoras despus de cada clase. Contar con mquinas de respaldo, para sustituir a las daadas.
9. Fecha Del Informe PLANEAMIENTO(tallere s en clases) EJECUCION INFORME FECHAS Del 18 Sept 2013 al 20 Dic. 2013 Del 26 Dic. 2013 al 27 Dic. 2013 Del 30 Dic. 2013 al 31 Dic. 2013
10. Identificacin Y Firma Del Auditor APELLIDOS Y NOMBRES CARGO VERNICA NATALY CRDOVA CARRANZA AUDITOR SUPERIOR
Auditoria Informtica 30 de diciembre de 2013 Realizado por: Vernica Nataly Carranza Pgina 7
AUDITORIA DE EQUIPOS (HARDWARE Y SOFTWARE) 1. Alcance de la Auditoria Planes y procedimientos Sistemas tcnicos de Seguridad y Proteccin. Sistemas operativos y software bsico 2. Objetivos Realizar un informe de Auditora con el objeto de verificar la existencia de controles preventivos y correctivos de los equipos de cmputo, as como el cumplimiento de los mismos por los estudiantes y profesores.
IDENTIFICACIN DEL SOFTWARE Con que sistema Operativo cuentan los servidores? Los Sistemas operativos de los servidores son: Linux, Ubuntu, Windows Server 2003, y existe un servidor para el Kapersky.
Con que Sistemas Operativos cuentan las computadoras de los laboratorios? Las computadoras cuentan el sistema operativo Windows 7
PREGUNTAS SI NO N/A 1. Cuentan con Antivirus los servidores y las computadoras del laboratorio? X 2. Tiene licencia el antivirus? X 3. Los Sistemas Operativos y dems programas instalados en los servidores tienen licencia? X 4. Los Sistemas Operativos y dems programas instalados en las computadoras de los laboratorios tienen licencia? X 5. Existe control de modificaciones al sistema operativo?
X
6. Existen procedimientos para evitar la corrida de programas no autorizados? X 7. Se controlan los procesos en linea? X 8. Se cuenta con claves de acceso? X 9. Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan daar los sistemas?
X
10. Cuentan con manuales para cada programa que se maneja? X Auditoria Informtica 30 de diciembre de 2013 Realizado por: Vernica Nataly Carranza Pgina 8
11. Se cuenta con copias de los archivos en lugar distinto al de la computadora? X 12. Se han instalado equipos que protejan la informacin y los dispositivos en caso de variacin de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energa?
X
13. Existen procedimientos para evitaer la corrida de programas no autorizados? X 14. Se controlan los procesos en linea? X 15. Se cuenta con claves de acceso? X 16. Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan daar los sistemas? X 17. Existe un programa de mantenimiento preventivo para cada dispositivo del sistema de computo? X 18. Se ha instruido al personal administrativo, sobre qu medidas tomar en caso de que alguien pretenda entrar sin autorizacin? X 19. Se mantiene programas y procedimientos de deteccin e inmunizacin de virus en copias no autorizadas o datos procesados en otros equipos? X 20. se cuenta con computadoras de respaldo en caso de que se dae alguna en el laboratorio? X 21. Los equipos de computo de los laboratorios, estn completos? X 22. se cuenta con algn seguro contra robo o incendio para los equipos de cmputo de los laboratorios? X
SISTEMA DE INFORMACIN DE LABORATORIO Quin autoriza las compra de nuevos equipos, licencias, actualizaciones de hardware y software?
Fecha: 27 de Diciembre del 2013 Auditora: VERNICA NATALY CRDOVA CARRANZA Entrevistado: Ing. PAUL ENRIQUE VERA GALARZA Cargo:
_____________________________ _________________________ VERNICA CRDOVA CARRANZA Ing. PAUL VERA GALARZA AUDITORA ENTREVISTADO Auditoria de Equipos:
Para hallar el SI 22 100 % 6 X X = 27.27 % Para hallar el NO 22 100 % 16 X X = 72.73 % Auditoria Informtica 30 de diciembre de 2013 Realizado por: Vernica Nataly Carranza Pgina 9
INFORME DE AUDITORIA
1. Identificacin del informe Auditoria de equipos (hardware y software)
2. Identificacin del Cliente El rea de Informtica
3. Identificacin de la Entidad Auditada UNIVERSIDAD AGRARIA DEL ECUADOR CAMPUS MILAGRO
4. Objetivos Constatar que el hardware, software y sistemas de informacin que se adquieren, proporcionaran mayores beneficios que cualquier otra alternativa. Verificar que la seleccin de equipos y sistemas de computacin es adecuada. Constatar que se tenga un plan de actividades previo a la instalacin. Verificar que los procesos de compra de Tecnologa de Informacin, deben estar sustentados en Polticas, Procedimientos, Reglamentos y Normatividad en General, que aseguren que todo el proceso se realiza en un marco de legalidad y cumpliendo con las verdaderas necesidades de la organizacin para hoy y el futuro, sin caer en omisiones, excesos o incumplimientos. Verificar si existen garantas para proteger la integridad de los recursos informticos. Verificar la utilizacin adecuada de equipos acorde a planes y objetivos.
5. Hallazgos Potenciales Falta de licencias de software. Falta de software de aplicaciones actualizados. Auditoria Informtica 30 de diciembre de 2013 Realizado por: Vernica Nataly Carranza Pgina 10
Falta de mantenimiento a los para Sistemas Operativos y servidores. No existe un calendario de mantenimiento para Sistemas Operativos y de servidores. Carece de seguridad en Acceso restringido de los equipos y del software.
6. Alcance de la auditoria Nuestra auditoria, comprende el presente periodo 2013 - 2014 y se ha realizado especialmente a los laboratorios de cmputo de acuerdo a las normas y dems disposiciones aplicable al efecto. El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la auditoria, se complementa con los objetivos de sta.
7. Conclusiones: Como resultado de la Auditoria podemos manifestar que: Hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditora. Los laboratorios de la UAE presentan deficiencias sobre el debido cumplimiento de Normas de seguridad y mal uso de las computadoras. Existe escasez de personal debidamente capacitado. Existe escasez de computadoras en buen estado y un 50 % de las mismas carecen de mouse, teclado, cables, ya que por falta de vigilancia estas se han ido perdiendo. Cabe destacar que por escases de computadoras en buen estado por falta de mantenimiento y mal uso de las mismas, nos da como consecuencia que no es explotado en su totalidad, dndonos como resultado que gran parte de estudiantes no cumplen con buenas prcticas. Auditoria Informtica 30 de diciembre de 2013 Realizado por: Vernica Nataly Carranza Pgina 11
La falta de mantenimiento a los sistemas operativos es otra causa por lo que estos recursos no son explotados por los estudiantes.
A. Desarrollo y mantenimiento de los sistemas de aplicaciones 1. Entorno de Desarrollo y mantenimiento de las aplicaciones a. Situacin No se cuenta con un Software que permita la seguridad de las libreras de los programas y la restriccin y/o control del acceso de los mismos.
b. Efectos y/o implicancias probables La escasa documentacin tcnica de cada sistema dificulta la compresin de las normas, demandando tiempos considerables para su mantenimiento e imposibilitando la capacitacin del personal nuevo en el rea. c. ndice de importancia establecida 1 (uno)
d. Sugerencias Para reducir el impacto sobre los resultados de los efectos y consecuencias probables sugerimos: Elaborar toda la documentacin tcnica correspondiente a los sistemas implementados y establecer normas y procedimientos para los desarrollos y su actualizacin. Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas. Implementar y conservar todas las documentaciones de prueba de los sistemas, como as tambin las modificaciones y aprobaciones de programas realizadas por los usuarios
8. Recomendaciones Se recomienda: Un manual de funciones para cada puesto de trabajo dentro del rea. Contar con sellos y firmas digitales. Auditoria Informtica 30 de diciembre de 2013 Realizado por: Vernica Nataly Carranza Pgina 12
Actualizar datos y aplicaciones continuamente. Implantacin de equipos de ltima generacin. Elaborar un calendario de mantenimiento de rutina peridico. Capacitar a profesores, alumnos y personal administrativos acerca del uso de computadoras. Tener un buen plan de contingencia, en caso de computadoras daadas, falta de energa elctrica y de aires acondicionado o ventilacin.
10. Fecha Del Informe PLANEAMIENTO(talleres en clases) EJECUCION INFORME FECHAS Del 18 Sept 2013 al 20 Dic. 2013 Del 26 Dic. 2013 al 27 Dic. 2013 Del 30 Dic. 2013 al 31 Dic. 2013
11. Identificacin Y Firma Del Auditor APELLIDOS Y NOMBRES CARGO VERNICA NATALY CRDOVA CARRANZA AUDITOR SUPERIOR
Auditoria Informtica 30 de diciembre de 2013 Realizado por: Vernica Nataly Carranza Pgina 13
Informe Final De La Auditoria Universidad Agraria del Ecuador. Ciudad Universitaria Milagro. La Troncal, 1 de Enero del 2.014
Seores Universidad Agraria del Ecuador. Ciudad Universitaria Milagro.
De mi consideracin:
Tengo el agrado de dirigirme a Ud. a efectos de elevar a vuestra consideracin el alcance del trabajo de Auditora del rea de Informtica practicada los das 26 y 27 de diciembre del ao 2013, sobre la base del anlisis y procedimientos detallados de todas las informaciones recopiladas y emitidos en el presente informe, que a nuestro criterio es razonable.
Sntesis de la revisin realizada, clasificado en las siguientes secciones: A. Fsica (Organizacin y Administracin del rea) B. De equipos (Desarrollo y mantenimiento de los sistemas de aplicaciones)
El contenido del informe ha sido dividido de la siguiente forma a efectos de facilitar su anlisis.
1. Identificacin del informe 2. Identificacin del Cliente 3. Identificacin de la Entidad Auditada 4. Objetivos 5. Hallazgos Potenciales Son los hallazgos que ocurren, sin que el personal perciba de ellos. 6. Alcance de la auditoria 7. Conclusiones: Aqu damos una conclusin de lo expuesto. Luego intervienen los siguientes puntos: a. Situacin Describe brevemente las debilidades resultantes de nuestro anlisis. b. Efectos y/o implicancias probables Auditoria Informtica 30 de diciembre de 2013 Realizado por: Vernica Nataly Carranza Pgina 14
Enuncian los posibles riesgos a que se encuentran expuestas las operaciones realizadas por las computadoras de los laboratorios. c. ndice de importancia establecida Indica con una calificacin del 0 al 3 el grado crtico del problema y la oportunidad en que se deben tomar las acciones correctivas del caso. 0 = Alto (acciones correctivas inmediatas) 1 = Alto (acciones preventivas inmediatas) 2 = Medio (acciones diferidas correctivas) 3 = Bajo (acciones diferidas preventivas) d. Sugerencias Indicamos a la Gerencia la adopcin de las medidas correctivas tendientes a subsanar las debilidades comentadas.
Segn el anlisis realizado hemos encontrado falencias en que: Falta de organizacin y administracin del rea; falencias en la seguridad fsica y lgica; no existe auditora de sistemas; falta de respaldo a las operaciones; accesos de los usuarios; plan de contingencias; y entorno de desarrollo y mantenimiento de las aplicaciones. La aprobacin y puesta en prctica de estas sugerencias ayudarn a La Universidad a brindar un servicio ms eficiente a todos estudiantes.
Agradecemos la colaboracin prestada a todo el personal de la Universidad y quedamos a vuestra disposicin para cualquier aclaracin y/o ampliacin de la presente que estime necesaria.