1. -775335-4902204863465-442595INSTITUTO TECNOLOGICO SUPERIOR DE LERDO<br />CARRERA<br />LICENCIATURA EN INFORMATICA<br />REPORTE FINAL DE AUDITORÍA<br />CENTRO DE CÓMPUTO DE CBTIs N°4<br />ALUMNAS<br />ANA BEATRIZ CORTES BURCIAGA<br />KARLA JANETH ANDRADE MARTINEZ<br />CATEDRATICO<br />ING. RICARDO DE JESÚS BUSTAMANTE GONZALEZ.<br />CD. LERDO DGO. 25-MAYO-2010<br />AUDITORIA INFORMATICA<br />1.<br />ORIGEN DE LA AUDITORIA<br />La presente Auditoria se realiza en cumplimiento de un proyecto que se está realizando para la materia de “Auditoria Informática “del curso de 8° semestre, aprobada mediante las autoridades correspondientes al instituto educativo donde se realiza la auditoria, a partir del 1 de marzo del 2010.<br />OBJETIVOS Y ALCANCE<br />OBJETIVO GENERAL<br />Revisar y Evaluar los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, y de las instalaciones de la organización, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de las instalaciones y de los equipos que se encuentran en las salas de cómputo.<br />OBJETIVOS ESPECIFICOS<br />Evaluar la forma como se administran los dispositivos de almacenamiento básico del área de Informática<br />Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.<br />Verificar las disposiciones y reglamentos que ayuden al mantenimiento del orden dentro del laboratorio de cómputo.<br />Evaluar las instalaciones y la manera en que se encuentra estructurada la red y cada uno de los equipos en el laboratorio de cómputo.<br />ANTECEDENTES<br />El CBTIs No. 4 es una institución pionera en la educación tecnológica a nivel nacional, es una de las primeras escuelas de este tipo en México. Fue fundada en el año de 1971.<br /> <br />MISION: Formar personas con conocimientos tecnológicos en las áreas industriales, comerciales y de servicios a través de la preparación de bachilleres y profesionales técnicos con el fin de contribuir al desarrollo sustentable del país.<br /> <br />VISIÓN: Ser una institución de educación media superior certificada, orientada al aprendizaje y desarrollo de conocimientos tecnológicos y humanísticos.<br />ENFOQUE A UTILIZAR<br />La presente acción de control, se realiza de acuerdo con el organismo central y rector de los Sistemas Nacionales de Estadística e Informática, responsable de normar, supervisar y evaluar los métodos, procedimientos y técnicas estadísticas e informáticas utilizados por los órganos del Sistema INEI (Instituto Nacional de Estadística e Informática), Normas Internacionales de Auditoria (NIA); habiéndose aplicado procedimientos de Auditoria que se consideraron necesarios de acuerdo a las circunstancias.<br />La presente Auditoria Informática se realizara en la institución educativa CBTIs N°4, ubicada en Ciudad Lerdo Dgo., siendo el área a examinarse la de Informática.<br />RELACION DE PERSONAL A CARGO DEL AREA A EXAMINAR<br />NOMBREOCUPACIONLic. Ascensión Pérez RendónEncargado del área de Vinculación.Lic. Sis. Mario Alberto Favela Limones Administrador de laboratorios informáticos en el (CBTIS’4).Ing. Ind. Samir Astorga López Auxiliar del administrador de laboratorios.<br />CRONOGRAMA DE TRABAJO<br />PROGRAMA DE AUDITORIA<br />INSTITUCION: CENTRO DE BACHILLERATOS TECNOLÓGICO INDUSTRIAL DE SERVICIOS #4 (CBTIS’4) <br />FASEACTIVIDADHORAS ESTIMADASENCARGADOSI VISITA PRELIMINARElaboración de los cuestionarios.Recopilación de la información organizacional: estructura y recursos humanos.Toma de fotografías para familiarizarnos con el lugar.8 HRSII DESARROLLO DE LA AUDITORÍA Entrevistas a encargados y usuarios más relevantes de la institución.Evaluación de la estructura orgánica: departamentos, puestos, funciones, autoridad y responsabilidades.Evaluación de los Recursos Humanos y de la situación Presupuestal y Financiera: desempeño, capacitación, condiciones de trabajo, recursos en materiales y financieros mobiliario y equipos.Evaluación de los sistemas: relevamiento de Hardware y Software, evaluación del diseño lógico y del desarrollo del sistema implementado.Evaluación del Proceso de Datos y de los Equipos de Cómputos: seguridad de los datos, control de operación, seguridad física y procedimientos de respaldo. 30 HRS.III REVISIÓN Y PRE-INFORME Revisión de los papeles de trabajo.Elaboración del Borrador.16 HRS.IV INFORME Elaboración y presentación del Informe.4 HRS.<br />DOCUMENTOS A SOLICITAR<br />Plan de sistemas.<br />Planes de seguridad y continuidad.<br />Entrevistas<br />AUTORIDADES DE LA INSTITUCIÓN EDUCATIVA (CBTIs N°4) <br />NOMBREOCUPACIONLic. Ascensión Pérez RendónEncargado del área de Vinculación.Lic. Sis. Mario Alberto Favela Limones Administrador de laboratorios informáticos en el (CBTIs N°4).Ing. Ind. Samir Astorga López Auxiliar del administrador de laboratorios.<br />AREA DE CÓMPUTO E INFORMATÍCA<br />El área de Cómputo informática del instituto CBTIs N°4, tiene por misión normar el adecuado uso y aprovechamiento de los recursos informáticos; la optimización de las actividades, servicios, procesos, mediante el desarrollo, implantación y supervisión del correcto funcionamiento de los sistemas, así como la adquisición y control de la plataforma física de cómputo.<br />SITUACION ACTUAL<br />Recursos Humanos:<br />Actualmente en el área de cómputo e informática labora una sola persona quien cumple las funciones de administración, capacitación, soporte y procesamiento de datos.<br />Recursos informáticos existentes:<br />Servidores (Windows 2003 Server) 1<br />Computadoras Personales ¿?<br />Impresoras 1<br />PLAN DE AUDITORÍA<br />2.<br />METODOLOGÍA<br />La metodología de investigación a utilizar en el proyecto se presenta a continuación:<br />Para la evaluación del Área de Informática se llevarán a cabo las siguientes actividades:<br />Solicitud de los estándares utilizados y programa de trabajo<br />Análisis y evaluación de la información<br />Elaboración del informe ( conclusiones y recomendaciones)<br />CAPITULO II AUDITORIAS<br />AUDITORÍA FISICA<br />Objetivos<br />Revisión de las políticas y Normas sobre seguridad Física.<br />Verificar la seguridad de personal, datos, hardware, software e instalaciones<br />Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente Informático<br />PREGUNTAS SI NO N/A<br />1. ¿Se han adoptado medidas de seguridad en el departamento de sistemas de información?<br />2. ¿Existe una persona responsable de la seguridad? <br />3. ¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad?<br />4. ¿Existe personal de vigilancia en la institución? <br />5. ¿Existe una clara definición de funciones entre los puestos clave? <br />6. ¿Se investiga a los vigilantes cuando son contratados directamente? <br />7. ¿Se controla el trabajo fuera de horario? <br />8. ¿Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan dañar los sistemas?<br />9. ¿Existe vigilancia en el departamento de cómputo las 24 horas? <br />10. ¿Se permite el acceso a los archivos y programas a los programadores, analistas y operadores?<br />11. ¿Se ha instruido a estas personas sobre qué medidas tomar en caso de que alguien pretenda entrar sin autorización?<br />12. ¿El centro de cómputo tiene salida al exterior? <br />13. ¿Son controladas las visitas y demostraciones en el centro de cómputo?<br />14. ¿Se registra el acceso al departamento de cómputo de personas ajenas a la dirección de informática?<br />15. ¿Se vigilan la moral y comportamiento del personal de la dirección de informática con el fin de mantener una buena imagen y evitar un posible fraude?<br />16. ¿Se ha adiestrado el personal en el manejo de los extintores? <br />17. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores?<br />18. ¿Si es que existen extintores automáticos son activador por detectores automáticos de fuego?<br />19. ¿Los interruptores de energía están debidamente protegidos, etiquetados y sin obstáculos para alcanzarlos?<br />20. ¿Saben que hacer los operadores del departamento de cómputo, en caso de que ocurra una emergencia ocasionado por fuego?<br />21. ¿El personal ajeno a operación sabe qué hacer en el caso de una emergencia (incendio)?<br />22. ¿Existe salida de emergencia? <br />23. ¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de esta puerta y de las ventanas, si es que existen?<br />24. ¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia?<br />25. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del departamento de cómputo para evitar daños al equipo?<br />26. ¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe?<br />27. ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora?<br />28. ¿Se tienen establecidos procedimientos de actualización a estas copias?<br />29. ¿Existe departamento de auditoría interna en la institución? <br />30. ¿Este departamento de auditoría interna conoce todos los aspectos de los sistemas?<br />31. ¿Se cumplen? <br />32. ¿Se auditan los sistemas en operación? <br />33. Una vez efectuadas las modificaciones, ¿se presentan las pruebas a los interesados?<br />34. ¿Existe control estricto en las modificaciones? <br />35. ¿Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado?<br />36. ¿Si se tienen terminales conectadas?, ¿se ha establecido procedimientos de operación?<br />37. ¿Se ha establecido que información puede ser acezada y por qué persona?<br />INFORME DE AUDITORÍA<br />1. Identificación del informe<br />Auditoria física.<br />2. Identificación del Cliente<br />El área de Informática<br />3. Identificación de la Entidad Auditada<br />Instituto CBTIs N°4.<br />4. Objetivos<br />Verificar la estructura de distribución de los equipos.<br />Revisar la correcta utilización de los equipos<br />Verificar la condición del centro de cómputo.<br />5. Hallazgos Potenciales<br />Falta de presupuesto y personal.<br />Falta de un local más amplio<br />No existe un calendario de mantenimiento<br />Falta de ventilación.<br />6. Alcance de la auditoria<br />Nuestra auditoria, comprende el presente periodo Marzo del 2010 a Mayo del mismo año y se ha realizado especialmente al Departamento de centro de cómputo de acuerdo a las normas y demás disposiciones aplicable al proyecto de la materia que se está cursando Auditoria Informática.<br />7. Conclusiones<br />Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoría.<br />El Departamento de centro de cómputo presenta deficiencias sobre todo en el debido cumplimiento de Normas de seguridad.<br />8. Recomendaciones<br />Reubicación del local<br />Implantación de equipos de última generación<br />Implantar equipos de ventilación<br />Implantar salidas de emergencia.<br />Elaborar un calendario de mantenimiento de rutina periódico.<br />Capacitar al personal.<br />AUDITORÍA A LOS SISTEMAS DE REDES<br />1. Alcance de la Auditoria.-<br />_ Calificación del personal<br />_ Sistemas técnicos de la red<br />_ Mantenimiento de la Red<br />2. Objetivos de la Auditoria.-<br />Realizar un informe de Auditoría con el objeto de verificar la adecuación de las medidas aplicadas a las amenazas definidas, así como el cumplimiento de los requisitos exigidos.<br />4. Resultados.-<br />Se obtendrá:<br />Informe de Auditoría detectando deficiencias en el Sistema de Redes.<br />Plan de recomendaciones a aplicar en función de:<br />Normativa a cumplir<br />Recomendaciones<br />PREGUNTAS SI NO N/A<br />1. Existe un inventario de equipos y software asociados al instituto CBTIs N°4<br />2. ¿Existe un plan de infraestructura de redes?<br />3. ¿Existen controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas?<br />4. ¿Existen controles y procedimientos de gestión para proteger el acceso a las conexiones y servicios de red?<br />5. ¿Existe una topología estandarizada en la organización?<br />6. ¿Existen normas que detallan que estándares que deben cumplir el hardware y el software de tecnología de redes?<br />7. ¿El acceso a la red tiene password?<br />INFORME DE AUDITORÍA<br />1. Identificación del informe<br />Auditoria del Sistema de Redes<br />2. Identificación del Cliente<br />El área de Informática<br />3. Identificación de la Entidad Auditada<br />Instituto CBTIs N°4<br />4. Objetivos<br />Evaluar el tipo de red, arquitectura topología, protocolos de comunicación, las conexiones, accesos privilegios, administración y demás aspectos que repercuten en su instalación.<br />Revisión del software institucional para la administración de la red.<br />5. Hallazgos Potenciales<br />No se cuenta con un Software que permita la seguridad de restricción y/o control a la Red.<br />No existe un plan proactivo de tareas a fin de anticipar los problemas y solucionarlos antes de que los mismos afecten el desempeño de la red<br />6. Alcance de la auditoria<br />Nuestra auditoría, comprende el presente periodo Marzo del 2010 a Mayo del mismo año y se ha realizado especialmente al área de Informática de acuerdo a las normas y demás disposiciones de la materia que se está cursando (Auditoría Informática).<br />7. Conclusiones:<br />El área de Informática presenta deficiencias sobre todo en el debido cumplimiento de Normas de redes y funciones.<br />8. Recomendaciones<br />Elaborar toda la documentación técnica correspondiente a los sistemas de redes. <br />Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas y aún de los programadores.<br />Implementar un plan que permita modificar en forma oportuna el plan a largo plazo de tecnología de redes.<br />Elaborar un calendario de mantenimiento de rutina periódico del hardware.<br />ANEXOS<br />Entrevista<br /> <br />LIC. Ascensión Pérez Rendón (Encargado del Área de Vinculación).<br />Nos presentamos a las 10:30 am. En la Institución Educativa (CBTIS 4) con el Sr. Director del plantel: _________________________________________________<br />El cual nos dirigió con el jefe del área de vinculación el Lic. Ascensión Pérez Rendón, con el cual se sostuvo una entrevista para lograr la autorización para la realización del Proyecto a cargo de Karla Janeth Andrade Martínez y Ana Beatriz Cortes Burciaga.<br />Proyecto que consiste en la realización de una auditoria informática en los laboratorios informáticos con los que cuenta la institución.<br />Se planteo el proyecto, el objetivo y los horarios en los que asistiríamos, así como también algunos datos requeridos por el Lic. Ascensión, el cual nos canalizo con la persona encargada de los laboratorios informáticos el Ing. En Sistemas Mario Alberto Favela Limones, para que este nos proporcione lo necesario para la realización de la auditoria.<br />Se nos permitió tomar unas fotografías como evidencia de nuestra primera visita al laboratorio y como parte de la familiarización con el lugar.<br />Fotografías de la primera visita a las instalaciones de los laboratorios de computo en el CBTIs N°4. <br />Sala de computo A<br />Cableado con el que cuenta la sala de computo.<br />Servidor de la institución<br />Este aparato llamado (skype) ayuda al servidor otorgándole eléctrica para poder apagarlo en caso de que ocurra un accidente con la energía eléctrica (un apagón) <br />Este es el cableado con el que cuenta la red de la institución la cual se puede observar que no está organizada.<br />Este es el dispositivo inalámbrico con el que cuenta la institución el cual le otorga el recurso de internet a las salas de cómputo B y C de la institución.<br />Área de reparación y soporte técnico de la institución<br />Observación<br />Como se puede observar en las siguientes fotografías, las instalaciones, el cableado la limpieza y la seguridad física de los equipos se encuentra en malas condiciones ya que no se cuenta con un cableado adecuado para los equipos, así como también la limpieza del lugar no es la adecuada para las salas de cómputo.<br />Fig.1<br />Fig.2 <br />Fig.3<br />Fig.4 El inadecuado sistema de conexión de cables <br />Fig.5 No hay un control sobre los alimentos ingresados a la sala<br />Fig.6 se puede observar que no cuentan con la limpieza necesaria en los aparatos de refrigeración ya que este cuenta con demasiado polvo el cual puede ocasionar daño a los equipos que estén cerca.<br />Fig.7 se puede observar que el aparato de refrigeración está al lado de un equipo de cómputo.<br />Fig.8 esta ventilación como se puede observar se encuentra en muy malas condiciones ya que además de su estado esta gotea constantemente. Esta ventilación se encuentra dentro de una de las salas de cómputo en la cual los equipos están muy cerca de esta ventilación y podrían dañarse.<br />Encuesta<br />¿Qué especialidad cursas en el instituto?<br />¿Conoces el reglamento de la sala de cómputo?<br />¿Cada cuando asistes a la sala de computo en la semana?<br />¿Cuánto tiempo utilizas tu sala de cómputo?<br />¿Durante tu estancia en la sala estas bajo alguna supervisión?<br />¿Cuáles son las herramientas que comúnmente utilizas?<br />¿Cuándo estas en clase en la sala de cómputo tienes acceso a internet?<br />¿Navegas en internet durante tu estancia en la sala?<br />¿Qué actividades realizas al terminar tu trabajo o tarea dentro de la sala de cómputo?<br />¿Qué sitios visitas comúnmente durante tu estancia en la sala de cómputo?<br />¿Utilizas las redes sociales durante tu estancia en la sala de cómputo?<br />¿Con que frecuencia visitas estos sitios durante tu estancia en la sala de computo?<br />Recomendaciones <br />1. Utiliza un buen antivirus y actualízalo frecuentemente.<br />2. Comprueba que tu antivirus incluye soporte técnico, resolución urgente de nuevos virus y servicios de alerta.<br />3. Asegúrate de que tu antivirus esté siempre activo.<br />4. Verifica, antes de abrir, cada nuevo mensaje de correo electrónico recibido.<br />5. Evita la descarga de programas de lugares no seguros en Internet.<br />6. Rechaza archivos que no hayas solicitado cuando estés en chats o grupos de noticias (news)<br />7. Analiza siempre con un buen antivirus los disquetes que vayas a usar en tu ordenador.<br />8. Retira los disquetes de las disqueteras al apagar o reiniciar tu ordenador.<br />9. Analiza el contenido de los archivos comprimidos.<br />10. Mantente alerta ante acciones sospechosas de posibles virus.<br />11. Añade las opciones de seguridad de las aplicaciones que usas normalmente a tu política de protección antivirus.<br />12. Realiza periódicamente copias de seguridad.<br />13. Mantente informado.<br />14. Utiliza siempre software legal.<br />15. Exige a los fabricantes de software, proveedores de acceso a Internet y editores de publicaciones, que se impliquen en la lucha contra los virus.<br />