proyecto final de auditoría

UNIVERSIDAD LUTERANA SALVADOREÑA

FACULTAD DEL HOMBRE Y LA NATURALEZA

LICENCIATURA EN CIENCIAS DE LA COMPUTACIÓN

Cátedra: Auditoria de sistemas

Trabajo de Investigación: “Auditoria del complejo educativo Prof. Carlos Lovato”

INTEGRANTES:

Juan José Flores

CATEDRATICO:

Lic. Raúl castillo

Fecha: 02-06- 2012

1

AUDITORIA INFORMÁTICA

INDICE:

TEMA: PAGINA

1. Introducción............................................................32. Objetivos.................................................................43. Justificación y alcance..............................................54. Antecedentes..........................................................65. Datos institucionales...............................................7, 86. Planeación...............................................................9

6.1Organigrama...........................................................10

6.2Inventario.............................................................12-12

6.3Razones de la auditoría..........................................13-14

7 Objetivos de la auditoría.......................................... 15

8 Carta...................................................................... 16

9 Dictamen final......................................................... 17

10 Hallazgo seguridad física....................................... 18

11 Hallazgo seguridad del personal............................. 19

12 Hallazgo seguridad de hardware y software............ 20

13 Hallazgo de seguridad de datos.............................. 21

14 Anexos................................................................. 22

Cuestionario de Seguridad física................................. 23

15 Cuestionario de seguridad de personal...................24.

16 Cuestionario de seguridad de Hardware y software. 25

17 Cuestionario de datos............................................26

18 Bibliografía...........................................................27

INTRODUCCIÓN:

2


La tecnología informática (hardware, software, redes, bases de datos, etc.) es una

herramienta estratégica que brinda rentabilidad y ventajas competitivas a los negocios

frente a otros negocios similares en el mercado, pero puede originar costos y desventajas

si no es bien administrada por el personal encargado.

La solución clara es entonces realizar evaluaciones oportunas y completas de la función

informática, a cargo de personal calificado, consultores externos, auditores en informática

o evaluaciones periódicas realizadas por el mismo personal de informática.

Surge entonces la obvia necesidad de auditar la función informática, ya que resulta

innegable que la misma se ha convertido en una herramienta permanente y necesaria de

los procesos principales de los negocios, en un aliado confiable y oportuno. Esto es

posible si se implementan los controles y esquemas de seguridad requeridos para su

aprovechamiento óptimo. Una vez que la alta dirección comprenda la importancia de

contar con un área independiente que asegure y promueva el buen uso y

aprovechamiento de la tecnología de informática, ya puede delegar la responsabilidad en

personal altamente capacitado para ejercer la auditoría en informática dentro de la

organización de manera formal y permanente.

Debemos recordar que en los tiempos modernos existen grandes retos tanto dentro de la

empresa privada como también en las instituciones del estado, si se puede observar por

que los presupuesto del estado son tan altos pero no tienen los resultados esperados en

otras palabras no es eficaz es porque algunas veces los recursos no se están utilizando

de la manera necesaria e indicada. Debido a esto solamente se pretende hacer una

auditoría de una forma sencilla en tan solamente una institución del estado y de está

formar poder contribuir al mejoramiento y rendimiento del l área informática del “complejo

educativo Prof. Carlos Lobato”.

El propósito de estar llevando a cabo dicho proyecto es con el fin de poder contribuir con

el personal asignado a administrar el centro de computo proveyéndole algunas

recomendaciones y herramientas necesarias para que el rendimiento de este sea más

optimo; y de esta manera hacer más eficiente la función correspondiente del centro de

computo para que la institución cumpla sus objetivos propuestos.

OBJETIVOS:

3


GENERAL:

Evaluar y verificar políticas, controles, procedimientos y seguridad en los recursos

dedicados al manejo de la información; su utilización, eficiencia y seguridad de la

institución a fin de que por medio del señalamiento de cursos alternativos se logre una

utilización más eficiente y segura de la información que servirá para una adecuada toma

de decisiones.

ESPECIFICOS:

1. Evaluar el diseño y prueba de los sistemas del área de Informática

2. Determinar la veracidad de la información del área de Informática

3. Constatar los procedimientos de control de operación, analizar su estandarización

y evaluar el cumplimiento de los mismos.

4. Verificar la forma como se administran los dispositivos de almacenamiento básico

del área de Informática

5. Corroborar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.

6. Verificar que los programas obtengan su legalización.

7. Hacer un valúo de los costes del análisis funcional, el análisis orgánico, la

programación, las pruebas de programas, preparación de datos y costes de

desarrollo de cada aplicación medido en horas.

JUSTIFICACIÓN:

La auditoría que se va a realizar en el complejo educativo Prof. Carlos Lobato es de vital

importancia para el buen desempeño de los sistemas de información, ya que proporciona

los controles necesarios para que los sistemas sean confiables y con un buen nivel de

seguridad. Además se evaluará todo: informática, organización de centros de

información, hardware y software.

La evaluación y control que se va a realizar tiene como objetivo fundamental mejorar la

rentabilidad, la seguridad y la eficacia del sistema mecanizado de información en que se

sustenta dicha institución.

El fin de dicha auditoría es de constatar si sus actividades son correctas y de acuerdo a

las normativas informáticas y generales prefijadas en la institución”.

4


El siguiente proyecto consiste en poder llevar a cabo lo que es la auditoría de el centro de

computo del complejo educativo Prof. Carlos lobato.

El desarrollo de este consiste en revisar y verificar si está siendo utilizado el centro de

computo con los objetivos de dicha institución, poder observar si el lugar es el indicado, la

forma en que ha sido distribuido el equipo, si el uso que cada persona le da es correcto.

Por otro lado observar si es ágil y veraz y oportuna la información; También observar si el

diseño del centro de computo es el adecuado, observar detenidamente su estructura de

red el software que se está utilizando y de esta manera después de finalizado el proyecto

se harán las recomendaciones necesarias para poder que este funcione de la mejor

manera.

ALCANCES:

La auditoría será realizada dentro de la institución afectando los distintos departamentos

areas institucionales:

1. AREA DE SISTEMAS Y PROCEDIMIENTOS.

2. AREA ADMINISTRATIVA DE PROCESOS ELECTRONICOS.

3. EVALUACION DE LOS EQUIPOS DE CÓMPUTO

ANTECEDENTES:

5


El Complejo Educativo "Profesor Carlos Lobato" es una institución oficial del Ramo de

Educación, con acuerdo oficial No. 1699 de fecha 3 de febrero de 1982 y Código de

Infraestructura No. 12117, pertenece al Distrito Educativo: 08-01, Zona 1, Telefax.: 2352-

8625.

Su CDE. está legalmente constituido, en él se encuentran representados todos los

sectores involucrados en el quehacer educativo institucional.

Durante el período presidencial del Coronel Julio Adalberto Rivera (1962-1967), quién era

originario de esta ciudad, fue construido el edificio para albergar al Instituto Nacional "José

Simeón Cañas", el cual ofrecía los servicios educativos de Plan Básico y Bachillerato. En

1973 el Bachillerato fue trasladado a un nuevo edificio, convirtiéndose esta institución en

Tercer Ciclo de Enseñanza Básica" José Simeón Cañas", pero en el año de 1982 debido

a los avances de la Reforma Educativa de la época y por la creación de las escuelas

unificadas, la matrícula disminuyó grandemente, de tal manera que se pensó en ampliar el

servicio educativo y fue así como a iniciativa de los profesores Agustín Arturo Orellana

Liévano, José Antonio Ramos Piche, h., Cristina Escoto de Chávez, Rosa Amelia Reyes

de Cruz y Miguel Ángel Nóchez González (ex -director), se fundó el ahora Complejo

Educativo "Prof. Carlos Lobato"

El Complejo Educativo" Prof. Carlos Lobato" es un centro oficial público y, por tanto,

abierto a todos los alumnos y alumnas que reúnan los requisitos académicos establecidos

por la Ley independientemente de su raza, sexo o creencias religiosas.

Se manifiesta aconfesional y respetuoso con todas las creencias. Igualmente se

manifiesta por el pluralismo ideológico y político y por la renuncia a todo tipo de

adoctrinamiento.

DATOS INSTITUCIONALES:

6


INFORMACIÓN DEL CENTRO ESCOLAR :

Nombre del Centro Escolar:

Centro Escolar “COMPLEJO EDUCATIVO PROF. CARLOS LOBATO”

Ubicación Geográfica:

El Centro Escolar “COMPLEJO EDUACATIVO PROF. CARLOS LOBATO” está ubicado final doce calle Poniente y sexta avenida norte Zacatecoluca.

Tel: 2334 4720

Sitio Web: http//: Cepcl.Lapaz.edu.sv/

VISIÓN

MISIÓN:

7

Formar alumnos(as) con un alto grado de desarrollo de sus habilidades y destrezas cognitivas, que les permitan adquirir aprendizajes de calidad, sustentados en profundos valores éticos y morales que los prepare en formas eficiente y eficaz para desenvolverse óptimamente en la sociedad, demostrando gran respeto por su entorno social, natural y cultural.

Desarrollar en sus alumnos(as) saberes y competencias intelectuales, físicas, emocionales y sociales que le permitan resolver satisfactoriamente los desafíos que se les presenta el diario vivir, en un ambiente de sana convivencia democrática, privilegiando la coexistencia pacífica, adaptándose a la rapidez del cambio del mundo de hoy, respetando su medio ambiente y basándose en una sólida educación en valores y en un gran sentido positivo de la vida.


OBJETIVO:

IDEARIO:

1. Creatividad: Capacidad para crear, organizar y llevar a cabo propuestas

novedosas.

2. Honestidad: Pudor, recato en las acciones, decencia, urbanidad.

3. Compromiso: Convicción por la defensa de una causa. Obligación propia de

cumplir una promesa o una acción.

4. Orientación al servicio: Inclinación y deseo de satisfacer las necesidades de las

personas que conviven o están alrededor nuestro.

5. Orientación al resultado: Inclinación por la obtención de productos concretos de

los planes y proyectos que nos trazamos.

6. Trabajo en Equipo: Capacidad de cooperar en la planeación, ejecución y

evaluación de proyectos comunes.

7. Solidaridad: Sentimiento que impulsa a los hombres a presentar una ayuda

mutua.

PLANEACIÓN DE AUDITORÍA:

Nombre de la empresa: Complejo Educativo Profesor Carlos Lobatos.

8

Orientar el que hacer pedagógico hacia la formación del estudiante mediante el proceso de participación de la comunidad educativa de la institución que permita el desarrollo de sus potencialidades para que sea competente en los aspectos comunicativo, investigativo, critico, creativo, tolerante, autónomo y democrático, respondiendo así a los retos impuestos por la sociedad en el ámbito local, regional y nacional.


Dirección: El Centro Escolar “COMPLEJO EDUACATIVO PROF. CARLOS LOBATO” está ubicado final doce calle Poniente y sexta avenida norte Zacatecoluca.

Tel: 2334 4720

Sitio Web: http//: Cepcl.Lapaz.edu.sv/

Fecha de iniciación de operaciones: Viernes 16 de marzo del 2012

Giro del negocio: Institución educativa

Objetivos de la empresa: Formar alumnos(as) con un alto grado de desarrollo

profesional que les permita desenvolverse de una forma eficiente y en su entorno social

y cultural.

Objetivos del centro de cómputo: Atender las necesidades computacionales y

Mantener de manera integra la información y el equipo para ser utilizado en el momento

que se necesite por el personal de la institución educativa.

2) Objetivos y propósitos del diagnostico:

Examinar en forma global y constructiva la estructura de la Entidad: Complejo educativo

Profesor Carlos Lobato enfocándose a su departamento de computo, contemplando

aspectos como: planes y objetivos, métodos y controles, formas de operación y

organización humana y jurídica.

Áreas a revisar:

4. AREA DE SISTEMAS Y PROCEDIMIENTOS.

5. AREA ADMINISTRATIVA DE PROCESOS ELECTRONICOS.

6. EVALUACION DE LOS EQUIPOS DE CÓMPUTO.

9


3) Organigrama de la entidad

4) Entrevistas previas:

Las entrevistas estarán dirigidas al personal responsable del área informática o a quien

este de responsable de la administración y/o operación de los sistemas y equipos de la

entidad a auditar.

Areas a entrevistar:

1. Encargado del área de informática.

2. Profesores que imparten informática.

3. Personal administrativo.

Opinión: Falta de coordinación en toma de decisiones, falta de políticas.

Problema: Existe falta de documentación y organigrama en el área administrativa,

También falta de una red que abarque todas las áreas del centro educativo.

10

DIRECCION

SUBDIRECCION

DOCENTES Personal administrativo

C.D.E

CENTRO DE COMPUTO


Sugerencias: Elaboración de documentación y establecer un organigrama en el área

informática.

Resumen general: Según lo observado en el complejo educativo Carlos Lovato es falta

de documentación Falta de velocidad en internet, Permitir que todas las áreas estén

conectadas en red, falta de algunas licencias en computadoras que usa la secretaria y

colecturía.

Inventario de equipo que está en uso en el centro de cómputo:

CANTIDAD DESCRIPCION

42 CPU42 MONITORES42 TECLADOS42 MOUSE42 MUEBLES42 SPEAKER1 IMPRESOR MULTI FUNCION1 Pace Panel1 Servidor

Sala de docentes:

Cantidad Descripción

6 C.P.U.6 Monitores6 Teclados6 Mouse6 Speaker1 Impresor

11


Secretaría, Dirección, Colecturía:

Cantidad Descripción3 Monitor3 C.P.U.3 Mouse3 Teclados.3 Impresores.

Determinación del área a estudiar:

Área de sistemas y procedimientos.

Razones:

1) Poder observar la descripción general de los sistemas instalados y de los que

estén por instalarse que contengan volúmenes de información.

2) Revisar el manual de procedimientos de los sistemas.

3) Evaluar los sistemas de información en general desde sus entradas,

procedimientos, controles, archivos, seguridad y obtención de información.

4) Verificar la adecuación del sistema operativo, versión del software utilizado, como

en los aspectos relativos a la programación de las distintas aplicaciones,

prioridades de ejecución, lenguaje utilizado.

5) verificar que la documentación relativa al sistema de información sea clara,

precisa, actualizada y completa.

Área administrativa de procesos electrónicos:

Razones:

1. Recopilar información para obtener una visión general del departamento por

medio de observaciones, entrevistas preliminares y solicitud de documentos para

poder definir el objetivo y alcances del departamento.

12


2. Verificar los Registras de los costos en el desarrollo de la aplicación y contemplar

el nivel de servicio en términos de calidad y tiempos mínimos de entrega de

resultados de la operación del computador.

3. Analizar el manual de organización del área que incluya puestos, funciones,

niveles jerárquicos y tramos de mando.

4. Solicitar el manual de políticas, reglamentos internos y lineamientos generales.

Número de personas y puestos en el área. Procedimientos administrativos del

área. Presupuestos y costos del área.

5. Analizar los costes de personal directamente relacionado con el sistema de

información.

Evaluación de los equipos de cómputo:

Razones:

1. Revisar número de equipos, localización y las características (de los equipos

instalados, por instalar y programados).

2. Conocer las fechas de instalación de los equipos y planes de instalación.

3. Revisar la configuración de los equipos y sus capacidades actuales.

4. Revisar las políticas de uso de los equipos.

5. Revisar el manual en el que se encuentra estructurada la forma en que se da el

mantenimiento al equipo informático.

13


Comentarios generales

Comentarios:

Con esta información queremos considerar las características de conocimientos, práctica

profesional y capacidad que tiene el personal encargado de la administración de

informática de esta institución.

14

OBJETIVOS DE LA AUDITORÍA INFORMÁTICA EN EL COMPLEJO EDUCATIVO CARLOS LOBATO.

OBJETIVO GENERAL:

Tener un panorama actualizado de los sistemas de información en cuanto a la seguridad

física, las políticas de utilización, transferencia de datos, seguridad de los archivos y el

personal que labora en la institución.

OBJETIVOS ESPECIFICOS:

1. Se evaluaran la existencia y la aplicación correcta de las políticas de seguridad, emergencia y desastres de la institución.

2. Se efectuará una evaluación de la seguridad del equipo, software y datos.

3. También se verificará que la seguridad de los usuarios del centro de cómputo.

15


AUDITORÍA DE SISTEMAS:

Asesoría y auditoría de cómputo

Zacatecoluca 2 de Junio del 2012

Sr. Director, Benjamín Díaz Nuila:

Me permito remitir a usted el informe de resultados de la auditoría practicada en las

instalaciones del Complejo Educativo Prof. Carlos Lobato, que se realizó desde el día dos

de abril al veinticinco de mayo del año en curso.

La revisión realizada fue de carácter integral y comprendió la evaluación y comprendió la

evaluación, de la estructura de la organización, la operación del sistema, el cumplimiento

de las actividades y funciones asignadas al personal y la revisión a los resultados de la

gestión informática.

En el citado informe encontrará el dictamen y las condiciones a las cuales se llegó

después de la aplicación de las técnicas y procedimientos de la auditoría de sistemas de

tipo integral.

Quedo a sus órdenes por cualquier consulta o aclaración al respecto.

F:____________________________

Juan José Flores

Responsable.

16


COMPLEJO EDUCATIVO PROF. CARLOS LOBATO.

Zacatecoluca 2 de Junio del 2012.

Profesor Benjamín Díaz Nuila

Director, presente:

De acuerdo con las instrucciones giradas de la administración de la institución a su digno

cargo me permito remitir a usted el dictamen de la auditoría practicada en el centro de

cómputo con especialidad en la administración, funcionamiento y operación del sistema

de red de esa institución.

De los resultados obtenidos durante la evaluación me permito informarle a usted lo

siguiente:

a) Seguridad Física

b) Seguridad del personal

c) Seguridad del Software y hardware

d) Seguridad de los datos.

De acuerdo con las pruebas realizadas a la administración, funcionamiento y operación y

de acuerdo con los criterios de evaluación recomiendo me permito dictaminar y recordar.

Atentamente:

Juan José Flores.

17


SEGURIDAD FISICA:

OBJETIVO GENERAL:

Poder determinar las debilidades y fortalezas en la seguridad física del equipo y el edificio

donde se encuentra instalado el sistema de información y sus políticas sobre la seguridad,

y luego poder hacer algunos señalamientos que contribuirán con las mejoras de esta.


1. Revisión de las políticas y Normas sobre seguridad Física de los equipos.

2. Verificar la estructura de la distribución de los equipos y la correcta utilización.

3. Verificar la condición del centro de cómputo y evaluar si existe un manual donde

explique los procedimientos para efectuar el mantenimiento.

ALCANCES:

La auditoría se realizará haciendo una constatación de las diferentes aplicaciones

técnicas de Seguridad y Protección que tienen que existir en el equipo del centro de

cómputo.

HALLAZGOS EN CONTRADOS:

INSTITUCIÓN: Complejo educativo Prof. Carlos Lobato.AREA AUDITADA: Seguridad Física.FECHA: 25 de mayo del 2012REF CONDICIÓN CRITERIO CAUSA EFECTO RECOMENDACIÓN

1

No existe un manual de planes de mitigación de riesgos.

Art. 139.- La Dirección de Informática deberá elaborar la Política y Plan de Contingencia de los sistemas de información que permita continuar operando en casos de siniestros, fallas etc.

Dice que no le han entregado de parte de sus líderes dicho manual.

El problema es que en un momentoPueda ocurrir un siniestro y no habrá forma de poder restablecer el sistema.

Se les recomienda poder elaborar una manual de contingencias.

2 No se encuentran manuales de físicos de procesos para mantenimiento

Art. 150. La Dirección de Informática, a través de la Gerencia de Soporte Técnico, tendrá la responsabilidad de garantizar el

No lo han elaborado todavía.

Lo que esto puede ocasionar es que se pierda el control del mantenimiento.

Se recomienda elaborar lo antes posible este manual de soporte para un buen de control.

18


mantenimiento preventivo y correctivo del equipo informático y Manual de Soporte de Sistemas Descentralizados.

SEGURIDAD DEL PERSONAL:

OBJETIVO GENERAL:

Verificar si se han adoptado medidas de seguridad en los diferentes departamentos del

área informática con respecto al personal que labora en dicha institución.


1. Constatar si se ha instruido el personal sobre qué medidas tomar en caso de que

se encuentren en algún peligro ya sea por desastre natural o de otra índole.

2. Verificar si existen políticas que reguarden la integridad física de las personas..

3. Constatar si las instalaciones cuentan salidas de emergencias, sistema de alarma

por presencia de fuego, humo, así como extintores de incendio en conexiones

eléctricas.

ALCANCE:

Revisión de políticas y normas que dicten las acciones a tomar en caso de algún peligro o

alarma que vaya en perjuicio de la seguridad de los usuarios.

HALLAZGOS

INSTITUCIÓN: Complejo educativo Prof. Carlos Lobato.AREA AUDITADA: Seguridad del personal.FECHA: 25 de mayo del 2012REF CONDICIÓN CRITERIO CAUSA EFECTO RECOMENDACIÓN

1

Pudimos constatar que no existe salida de emergencias.

No hay Ese es el diseño que está utilizando el Mined.

Puede ver algún atascamiento de los usuarios a la hora de alguna emergencia

Es necesario crear una puerta de emergencia.

2 No existen extintores de

No encontramos No se los ha

Puede ocurrir un incendio y no habrá

Se recomienda comprar extintores lo

19


fuego. facilitado el director.

forma de extinguirlo. más pronto posible.

Elaborado por: Juan José FloresAprobado por: Benjamín Díaz Nuila.

SEGURIDAD DEL SOFTWARE Y HARDWARE:

OBJETIVO GENERAL:

Comprobar que la adecuación de hardware, sistema operativo, versiones del software utilizado, como también en los aspectos relativos a la programación de las distintas aplicaciones, prioridades de ejecución, lenguaje utilizado y la documentación necesaria haga constar que existe una administración adecuada que garantice la seguridad de la parte tangible e intangible de los equipos de cómputo.

ESPECIFICOS:

1) Comprobar la existencia de un plan de actividades previo a la instalación de equipos.

2) Ratificar si existen garantías para proteger la integridad de los recursos informáticos.

3) Evaluar si existen planes e informes del mantenimiento de equipos y del software tanto preventivo como correctivos.

ALCANCES:

Poder observar y evaluar la descripción general de los equipos instalados para hacer una valorización de la seguridad en todos sus aspectos tanto en el hardware como también en el sistema operativo y programas.

INSTITUCIÓN: Complejo educativo Prof. Carlos Lobato.AREA AUDITADA: Seguridad del hardware y software.FECHA: 25 de mayo del 2012

REF CONDICIÓN CRITERIO CAUSA EFECTORECOMENDACI

ÓN

1

No se encontraron las licencias de Microsoft office.

Art. 147.- La Dirección de Informática, a través de la Gerencia de Soporte Técnico deberá controlar y mantener bajo custodia física los originales de las licencias para el uso del software.

No se han ido a traer al Mined.

Puede darse un problema con alguna auditoría por parte de los ministerios encargados de velar contra la piratería.

Se recomienda mantener toda la legalidad necesaria.


20


SEGURIDAD DE LOS DATOS:

OBJETIVO GENERAL:1. Corroborar si existe integridad y seguridad en los sistemas de gestión de las

bases de datos o si se han formulado políticas respecto a su seguridad,

privacidad y protección de las facilidades de procesamiento ante eventos como:

incendio, vandalismo, robo y uso indebido, intentos de violación etc.


1. Verificar si existen restricciones y control para accesar a la base de datos de la

institución y si la interfaz que existe entre el SGBD y el SO es el adecuado.

2. Comprobar si las bases de datos guardan la información necesaria y adecuada

para la institución educativa y si existe un control estricto de las copias de estos

archivos, la existen backups y su resguardo en lugares seguros.

3. Evaluar si se han implantado claves o password para garantizar operación de

consola y equipo central (mainframe), a personal autorizado.

ALCANCES:

Revisión de manuales que contengan las políticas de seguridad de las bases de datos y

hacer un cheque de la función de los gestores de base de datos y su información

correspondiente.

HALLAZGOS:

INSTITUCIÓN: Complejo educativo Prof. Carlos Lobato.AREA AUDITADA: Seguridad de los datos.FECHA: 25 de mayo del 2012REF

.CONDICIÓN CRITERIO CAUSA EFECTO RECOMENDACIÓN

1

No se encontrarón normas y políticas para el resguardo de las bases de datos.

Art. 145.- La Dirección de Informática será la responsable de la administración integral del modelo de datos lógico y físico de la base de datos de los sistemas de información de la Institución, para lo cual deberán elaborarse las normas y políticas respectivas.

El encargado no había leído el control interno.

No existirá un control adecuado para el resguardo de la información.

Se solicita crear normas y políticas lo más pronto sea posible.

21


2

.No se elaboran backups

Art. 155.- La Dirección de Informática debe diseñar controles de aplicación en la entrada, procesamiento y salida de información para prevenir que la información se extravíe.

Dice el administrador que lo habían pasado por alto.

En un incendio o cualquier siniestro se hará imposible recuperar la información.

Comenzar lo más pronto posible a crear backups.


22


ANEXOS:

CUESTIONARIO DE SEGURIDAD FISICA:

PREGUNTA SI NO1. ¿Se han adoptado medidas de seguridad en el departamento de

sistemas de información?

2. ¿Se ha dividido la responsabilidad para tener un mejor control de

la seguridad?

3. ¿Existe personal de vigilancia en la institución?

4. ¿Se investiga a los vigilantes cuando son contratados

directamente?

5. ¿Existe una persona encargada de velar el equipo y accesorios

en el centro de cómputo de cómputo las 24 horas?

6. ¿Se registra el acceso al centro de cómputo de personas ajenas

a la dirección de informática?

7. ¿Los interruptores de energía y cables de red están debidamente

protegidos, etiquetados y sin obstáculos para alcanzarlos?

8. ¿Se revisa frecuentemente que no esté abierta o descompuesta

la cerradura de esta puerta y de las ventanas, si es que existen?

9. ¿Se ha prohibido a los operadores el consumo de alimentos y

bebidas en el interior del departamento de cómputo para evitar

daños al equipo?

10. ¿Se limpia con frecuencia el polvo acumulado en el piso y los

equipos?

11. ¿Se tiene una calendarización de mantenimiento preventivo para

el equipo?

12. ¿Las características físicas del centro de cómputo son seguras ¿

13. ¿La distribución de los quipos de cómputo es adecuada?

14. ¿Existen políticas de seguridad para el centro de cómputo?

23


CUESTIONARIO SEGURIDAD DEL PERSONAL:

N° PREGUNTA SI NO

1

¿Se han adoptado medidas de seguridad para el personal y usuarios del

centro de cómputo?

2

¿Se ha instruido a estas personas sobre qué medidas tomar en caso de que

alguien pretenda entrar sin autorización?

3¿El centro de cómputo tiene salida de emergencia?

4¿Se ha adiestrado el personal en el manejo de los extintores?

5

¿Saben que hacer los operadores del departamento de cómputo, en caso de

que ocurra una emergencia ocasionado por fuego?

6

¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar

las instalaciones en caso de emergencia?

7

¿Tienen manuales que contengan normas y políticas de seguridad del

personal?

8¿Existen manuales y políticas de mitigación de riesgos?

24


SEGURIDAD DE SOFTWARE Y HARDWARE:

N° PREGUNTA SI NO1 ¿Se han instalado equipos que protejan la información y los dispositivos

en caso de variación de voltaje como: reguladores de voltaje, supresores

pico, UPS, generadores de energía?

2 ¿Se hacen revisiones periódicas y sorpresivas del contenido del disco

para verificar la instalación de aplicaciones no relacionadas a la gestión

de La institución?

3 ¿Se mantiene programas y procedimientos de detección e inmunización

de virus en copias no autorizadas o datos procesados en otros equipos?

4 ¿Existen controles que garanticen el uso adecuado de discos y

accesorios de almacenamiento masivo?

5 ¿Se aprueban los programas nuevos y se revisan antes de ponerlos en

funcionamiento?

6 ¿Existe un programa de mantenimiento preventivo para cada dispositivo

del sistema de cómputo?

7 ¿Existe legalidad de cada sistema operativo o programa.

8 ¿Existe un plan de actividades previo a la instalación?

9 Existe documentación que garantice la protección e integridad de los

recursos informáticos.

10 ¿Existen normas o procesos que no permitan hacer Modificaciones en la

configuración del equipo o intentarlo?

11 Existe un control que prohíba Mover, desconectar y/o conectar equipo de

cómputo sin autorización.

12 Existen inventarios de hardware, equipos y periféricos asociados y del

software instalado.

13 ¿Los sistemas de hardware se acoplan adecuadamente con la función

del software?

25


14 Existen revisiones periódicas del hardware y software

CUESTINARIO DE SEGURIDAD EN LOS DATOS:

N° PREGUNTA SI NO1 ¿La organización tiene un sistema de gestión de base de datos (SGBD)?

2 ¿La interfaz que existe entre el SGBD y el SO es el adecuado?

3 ¿Existe un control estricto de las copias de estos archivos?

4 ¿Las bases de datos guardan la información necesaria y adecuada para

la institución educativa?

5 ¿Existe una persona responsable de la base de datos de la institución?

6 ¿Se mantiene un registro permanente (bitácora) de todos los procesos

realizados, dejando constancia de suspensiones o cancelaciones de

procesos?

7 Se han implantado claves o password para garantizar operación de

consola y equipo central (mainframe), a personal autorizado.

8 ¿Existen backups y se guardan en lugares seguros y adecuados?

9 ¿Se realizan auditorias periódicas a los medios de almacenamiento?

10 ¿Existe un programa de mantenimiento preventivo para el dispositivo del

SGBD?

11 ¿Existen integridad de los componentes de seguridad de datos?

12 ¿Existen procedimientos de realización de copias de seguridad y de

recuperación de datos?

13 ¿Existe un período máximo de vida de las contraseñas?

14 ¿En la práctica las personas que tienen atribuciones y privilegios dentro

del sistema para conceder derechos de acceso son las autorizadas e

incluidas en el Documento de Seguridad?

15 ¿Existen procedimientos de asignación y distribución de contraseñas?

16 ¿Existen procedimientos para la realización de las copias de seguridad?

17 ¿Existen controles sobre el acceso físico a las copias de seguridad?

18 ¿Existen diferentes niveles de acceso al sistema de gestión de

contenidos?

26


BIBLIOGRAFÍA:

1. Auditoría de Sistemas: SIS-303

Universidad Católica Boliviana

Docente Ph.D. Indira Rita Guzmán de Gálvez

2. Control interno del Mined.

3. Documentos del Licenciado Raúl castillo.

27

proyecto final de auditoría

Documents