saie(julio plùa muñiz, jaime plùa christian, julio cedeño pincay (3 c6))
TRANSCRIPT
SAIESISTEMA DE AUDITORIAS
INFORMATICAS EDUCATIVAS
Página 1
El sistema SAIE fue creado paso a paso por el grupo de personas que se mencionan a continuación, con el objetivo de crear auditoria un sistema que se adapte a todo el sector educativo ya sea Escuelas, Colegios o Universidades, cumpliendo así con el pedido que se nos fue hecho por el Docente, profesor de la materia de Auditoria de Sistemas Informáticos.
Los integrantes de este grupo son:
- Julio Plúa Muñiz- Cristian Jaime Plúa - Cedeño Pincay Julio
Página 2
TABLA DE CONTENIDOS
CA
- CAPITULO 1- ESTUDIO PRELIMINAR……………………………………………….….pag5- LOEI (LEY ORGANICA DE EDUCACION INTERCULTURAL)…….....pag6- 1.2.- EXPLORAR EL ENTORNO DEL CENTRO EDUCATIVO………...pag6- 1.3.- DEFINIR LOS SERVICIOS…………………………………………...pag6- 1.4.- LISTAR TODOS LOS POSIBLES SERVICIOS………………….…..pag6- 1.5.- EXPLORAR LAS NECESIDADES DE LOS DOCENTES Y DEMAS
TRABAJADORES DEL CENTRO EDUCATIVO……………………….pag6- 1.6.- EXPLORAR LAS NECESIDADES DE LOS ESTUDIANTES DEL
CENTRO EDUCATIVO…………………………………………………….pag7- 1.7.- IDENTIFICAR A LOS ENCARGADOS DE CADA AREA……...….pag7- 1.8.- ALCANCE DE LA AUDITORIA INFORMÁTICA. …………………pag7- 1.9.- GENERAR DOCUMENTACION CON PASOS A REALIZAR……..pag7- CAPITULO 2- REVISION Y EVALUACION DE LOS CONTROLES DE
SEGURIDAD……………………………………………………..pag8- 2.1.-REVISION DE SISTEMAS……………………………………………..pag9- 2.2.-REVISION DE COMUNICACIONES, REDES Y APLICACIONES EN - INTERNET……………………………………………………………………pag9- 2.3.- REVISION DE LA SEGURIDAD INFORMATICA……………………pag11- 2.4.- REVISION DEL HADWARE…………………………………………..pag11- 2.5.- CONTROL INTERNO…………………………………………………..pag12- 2.6.- CLASIFICACION DE CONTROLES INTERNOS…………….………pag12- 2.6.1.-CONTROLES PREVENTIVOS……………………………………….pag12- 2.6.2.- CONTROLES DETECTIVOS………………………………………...pag12- 2.6.3.- CONTROLES CORRECTIVOS……………………………………...pag12- 2.6.4.- CONTROLES DE SUPERVISIÓN…………………………………..pag13- 2.7.- CONTROLES DE SUPERVICION TI…………………………………pag13- 2.7.1.- CONTROLES DE MANTENIMIENTO………………………………pag13- 2.7.2.- CONTROLES DE SEGURIDAD DE PROGRAMAS……………...pag13- 2.7.3.- CONTROLES DE SEGURIDAD DE FICHEROS DE DATOS………
pag13- 2.7.4.- CONTROLES DE LA OPERACIÓN INFORMÁTICA……………pag13- 2.7.5.- CONTROLES DE SOFTWARE
SISTEMA……………………………………………………………………...pag13- 2.7.6.- CONTROLES DE IMPLEMENTACION……………………………pag14- 2.8.- CONTROLES DE MANTENIMIENTO………………………………...pag14- 2.8.1.- CONTROLES DE SEGURIDAD INFORMÁTICA……………….….pag14
Página 3
- 2.8.2.- CONTROLES DE OPERACIONES INFORMÁTICAS………….....pag14- 2.9.- CONTROLES DE SUPERVISIÓN CONTROLES DE LOS
USUARIOS…………………………………………………………………....pag14- CAPITULO 3- EXAMEN DETALLADO DE AREAS CRÍTICAS………………………..pag15- 3.1.-IDENTIFICAR LAS AREAS VULNERABLES……………………...pag16- 3.1.1.- REALIZAR UN ESTUDIO A PROFUNDIDAD DE LAS AREAS
CRÍTICAS-----------------------------------------------------------------------------pag16- 3.1.2.- CREAR EL GRUPO DE TRABAJO Y DISTRIBUIR LA CARGA DEL
MISMO……………………………………………………………………..pag16- 3.1.3.- REALIZAR EL PLAN DE TRABAJO CORRESPONDIENTE…..pag16- 3.1.4.- ESTABLECER LOS RECURSOS QUE SE VAN A UTILIZAR….pag16- CAPITULO 4- COMUNICACIÓN DE RESULTADOS……………………………………pag17- 4.1.- Elaborar UN BORRADOR………………………………….…………pag18- 4.2.- PRESENTAR y DISCUTIR EL INFORME EN BORRADOR……….pag18- 4.3.- RECOMENDACIONES……………………………………………….pag18- 4.4.- RELIZAR EN INFORME FINAL……………………………………..pag18
Página 4
CAPITULO I
ESTUDIO PRELIMINAR
Página 5
1.1- LOEI (LEY ORGANICA DE EDUCACION INTERCULTURAL)
Revisar la ley orgánica de educación intercultural emitida el día Nueve de Marzo del año 2011.
1.2.- EXPLORAR EL ENTORNO DEL CENTRO EDUCATIVO
En este punto se deberá observar el sistema de trabajo del Centro Educativo que se va a auditar.
a) Una entrevista con el director de la institución. Esta debe ser realizada de manera clara precisa y sencilla, por la persona encargada de ejecutar el manual de auditoría informática, Posteriormente dependiendo de los resultados obtenidos en la entrevista, se debe proceder a entregar una solicitud formal de parte del auditor para que el director la firme y se extienda un documento formal que respalde la autorización caso contrario no se puede ejecutar el plan de auditoría.
b) Luego de haber concluido satisfactoriamente los puntos antes mencionados, la persona encargada de la auditoría asignado(a) para realizar la ejecución de plan de auditoría informática; debe proceder a lo siguiente:
Investigación sobre la historia y naturaleza de la entidad auditada. Lo que permitirá conocer de forma general el origen y naturaleza de la institución educativa a ser auditada.
Solicitar la estructura organizativa tanto de la entidad en general como del centro de cómputo y aula informática, si existen. Auditoría Informática en los Centros de Cómputos Educativos 10
Página 6
Se pretende conocer la forma de como están distribuidos las diferentes áreas de la entidad, así como también los niveles jerárquicos de cada área. Investigar la historia y naturaleza del centro de cómputo y/o aula informática.
Esta información a recopilar es parte fundamental en el desarrollo del proyecto de investigación, ya que permite verificar y conocer mejor los centros de cómputo y aula informática. Solicitud del inventario de equipo de cómputo y recurso tecnológico del centro de cómputo y aula informática.
Son datos fundamentales para conocer la situación actual de los equipos de cómputo y recursos tecnológicos; con que cuentan los centros de cómputo y/o aulas informáticas. c) Ejecutar el plan de auditoría informática en los centros de cómputos y/o aulas informáticas.
Se determina quien o quienes realizarán la ejecución práctica del manual de auditoría.
1.3.- DEFINIR LOS SERVICIOS
Se deberá definir qué servicios ofrece el Centro Educativo al que se va a auditar, como por ejemplo si ofrece Educación Básica o Bachillerato, o ambas.
Teniendo en cuenta evaluar los siguientes aspectos:
a) Infraestructura
b) Evaluación del entorno
c) Mobiliario y equipo
d) Recurso humano
e) Hardware
f) Software g) Seguridad
h) Gestión administrativa (control de activos fijo)
Considerados como aspectos básicos para el buen funcionamiento de un centro de cómputo y/o aula informática. Además deberán ser estudiados por separados, según la estructura contemplada dentro del plan de auditoría informática.
EVALUACIÓN DE LA INFRAESTRUCTURA: INFRAESTRUCTURA. Conjunto de elementos o servicios que se consideran necesarios para la creación y funcionamiento de una organización cualquiera, tanto de sus áreas como toda ella. Y esta puede ser de tipo: física, aérea, social, económica, otros. Como primer paso se considera la evaluación de la infraestructura por ser la base donde se establece el funcionamiento principal de una empresa o departamento de esta, para el caso un centro de cómputo o aula informática. Dentro de este aspecto corresponde evaluar todo lo relacionado con la infraestructura es decir: lo tangible como paredes, piso, techo e instalaciones eléctricas, su correspondiente mantenimiento y
Página 7
remodelaciones de la misma. Así como también la forma como se controlan los problemas que se tengan con este aspecto, para su correspondiente solución y mejoramientos.
1.4.- LISTAR TODOS LOS POSIBLES SERVICIOS
Se deberá hacer una lista más amplia de los servicios principales y adicionales que pueda ofrecer el Centro educativo al que se va a auditar.
CUESTIONARIO EVALUACIÓN DE LA INFRAESTRUCTURA.
Objetivo: Recolectar información general y específica sobre los diferentes aspectos que rodean los centros de cómputo y aulas informáticas de las instituciones públicas de educación media de la ciudad de guayaquil. Indicación: Marque con una “X” y Complemente donde se le pide, las siguientes interrogantes, según lo estime conveniente.
PREGUNTARESPUESTA
1. ¿Considera adecuada la infraestructura del centro de cómputo y/o aula informática, que actualmente posee su centro educativo?
Si ( ) No ( )
¿Por qué?_________________________________________________________________2. ¿Se hacen notificaciones a los superiores de los problemas existentes de infraestructura del centro de cómputo y/o aula informática?
Si ( ) No ( )
¿Por qué?_________________________________________________________________3. ¿Se realizan remodelaciones en la infraestructura? SI: ________ NO: _________ ¿Por qué?_________________________________________________________________
4. ¿Con que frecuencia se realizan remodelaciones en el centro de cómputo?
Cada 03 Meses:____ Cada 06 Meses:____ Cada 12 Meses:____ Otro:_____________
5. ¿Considera adecuada las condiciones eléctricas para el funcionamiento del centro de cómputo y/o aula informática?
Si ( ) No ( )
¿Por qué?_________________________________________________________________
Página 8
6. ¿Se han detectado fallas eléctricas en algún equipo?
Si ( ) No ( )
¿Por qué?_________________________________________________________________7. ¿Se notifica a los superiores de los problemas existentes con fallas eléctricas?
Si ( ) No ( )
¿Por qué?_________________________________________________________________
8. ¿Los toma corrientes del centro de cómputo se encuentran debidamente protegidos con polarización?
Si ( ) No ( )
¿Por qué?_________________________________________________________________9. ¿Los dados térmicos están distribuidos correctamente?
Si ( ) No ( )
¿Por qué?_________________________________________________________________
CUESTIONARIO EVALUACIÓN DEL ENTORNO.Objetivo: Recolectar información general y específica sobre los diferentes aspectos que rodean los centros de cómputo y aulas informáticas de las instituciones públicas de educación media de la ciudad de san miguel. Indicación: Marque con una “X” y Complemente donde se le pide, las siguientes preguntas, según lo estime conveniente.
PREGUNTA RESPUESTA1. ¿Se considera adecuada la ubicación actual del centro de cómputo o aula informática dentro de la institución?
Si ( ) No ( )
¿Por qué?:_________________________________________________________________2. ¿Considera que el acceso al centro de cómputo o aula informática, es el idóneo?
Si ( ) No ( )
¿Por qué?:_________________________________________________________________
3. ¿El espacio físico con el que cuenta el centro de cómputo o aula informática se considera adecuado?
Si ( ) No ( )
¿Por qué?:_________________________________________________________________4. ¿Hay comodidad de acuerdo a las distribuciones que se tienen con el mobiliario y equipo de oficina dentro del centro de computo o aula informática?
Si ( ) No ( )
¿Por qué?:_________________________________________________________________5 ¿Existe demasiado ruido que interfiera en el centro de cómputo o aula informática? Si ( ) No ( )¿Por qué?:________________________________________________________________
Si ( ) No ( )
Página 9
6. ¿Son adecuadas las condiciones ambientales con respecto a la iluminación que se tiene?¿Por qué?:_________________________________________________________________
7. ¿Las condiciones ambientales con respecto a la ventilación que se tienen son las adecuadas?
Si ( ) No ( )
¿Por qué?:_________________________________________________________________
8. ¿Son adecuadas las condiciones ambientales con respecto a limpieza?
Si ( ) No ( )
¿Por qué?:_________________________________________________________________
9. ¿Las condiciones con respecto a ergonomía son las idóneas?
Si ( ) No ( )
¿Por qué?:_________________________________________________________________10. ¿Considera que la distribución de las computadoras esta acorde a las necesidades de los usuarios?
Si ( ) No ( )
¿Por qué?:_________________________________________________________________11. ¿Se evalúan las condiciones ambientales por algún ente encargado?
Si ( ) No ( )
¿Por qué?:_________________________________________________________________
EVALUACIÓN DE MOBILIARIO Y EQUIPO: MOBILIARIO Y EQUIPO. Conjunto de muebles de una casa u oficina o un área determinada, y el Grupo o Conjunto de aparatos y dispositivos que constituyen el material básico de esta. Para el caso del mobiliario se estaría hablando de muebles como sillas, escritorios, mesas o muebles para computadoras y otros. Y de los equipos tales como ventiladores, aires acondicionados, las mismas computadoras y todo los otros recursos tecnológicos como retro-proyectores, televisores, y otros. En cuanto a mobiliario y equipo, se avaluará los siguientes puntos: distribución del equipo, es adecuado el equipo de cómputo para el desarrollo de las práctica, es suficiente la cantidad de equipo de cómputo, se están dejando de realizar actividades por falta de equipo de cómputo y recursos tecnológicos; o existen equipos de cómputo adicionales que sean reemplazados al ocurrir un daño, la existencia de lugares específicos para guardar papelería, herramientas , otros, mantenimiento y seguridad para proteger el mobiliario, que se hace con el mobiliario dañado, sobre quien recae la responsabilidad del mobiliario y/o equipo y la frecuencia con que se renueva.
Página 10
CUESTIONARIO EVALUACIÓN DEL MOBILIARIO Y EQUIPO.Objetivo: Recolectar información general y específica sobre los diferentes aspectos que rodean los centros de cómputo y aulas informáticas de las instituciones públicas de educación media de la ciudad de san miguel. Indicación: Marque con una “X” y Complemente donde se le pide las siguientes interrogantes, según lo estime conveniente.
PREGUNTA RESPUESTA1. ¿Es necesario mejorar el tipo de distribución del mobiliario y equipo que actualmente se posee?
Si ( ) No ( )
¿Por qué? ________________________________________________________________2. ¿Se cuenta con el equipo y mobiliario adecuado para el Centro de cómputo y aula informática?
Si ( ) No ( )
¿Por qué? ________________________________________________________________3. ¿Es cómodo y suficiente la cantidad de mobiliario para el equipo de cómputo?
Si ( ) No ( )
¿Por qué? ________________________________________________________________4. ¿Actualmente se están dejando de realizar actividades por falta de equipo de cómputo o recursos tecnológicos?
Si ( ) No ( )
¿Por qué? ________________________________________________________________5. ¿Existen equipos de cómputo adicionales que reemplacen los dañados?
Si ( ) No ( )
¿Por qué? ________________________________________________________________6. ¿Existe un lugar específico para guardar la papelería y herramientas de trabajo?
Si ( ) No ( )
¿Por qué? ________________________________________________________________7. ¿Existe servicio de mantenimiento para el mobiliario y equipo?
Si ( ) No ( )
¿Por qué? ________________________________________________________________8. ¿Existen medidas de seguridad para proteger el mobiliario y equipo?
Si ( ) No ( )
¿Por qué? ________________________________________________________________
9. ¿Que se hace con el mobiliario y equipo dañado totalmente?
Página 11
________________________________________________________________________ _________________________________________________________________________
10. ¿Sobre quien recae la responsabilidad del cuidado y mantenimiento del mobiliario y equipo?________________________________________________________________________ ________________________________________________________________________________________________________________________________________________11. ¿Con que frecuencia se renueva el mobiliario y equipo?
________________________________________________________________________ ________________________________________________________________________12. ¿Que se hace con el equipo en des uso?
________________________________________________________________________ ________________________________________________________________________13. ¿Se recogen opiniones y sugerencias que nos permitan establecer las medidas correctivas con las cuales lograr un mejor funcionamiento de estos recursos?SI______ ¿En que forma?: _______________________ ____________________________________ ____________________________________ _____________________________________
NO_____ Por qué: _________________________ ___________________________________________________________________________________________________
14. ¿Determine la cantidad de computadoras con las que cuenta el centro de cómputo o aula informática?:________________________________________________________________________________________________________________________________________________________________________________________________________________________
EVALUACIÓN DEL RECURSO HUMANO:RECURSO.Conjunto de elementos disponibles para resolver una necesidad o llevar a cabo una acción, procedimiento o trabajo. Estos pueden ser: Recursos naturales, hidráulicos, forestales, económicos, humanos, otros. La importancia de la evaluación de los recursos dentro de una organización se debe a que son parte muy esencial para toda acción o trabajo a realizar dentro de esta. Para la evaluación del recurso humano los aspectos a evaluar son los siguientes: El proceso que se lleva acabo para seleccionar el personal administrativo del centro de cómputo y aula informática, las capacitaciones tanto a administradores como docentes, sugerencias del administrador, encargados e instructores para mejoramientos del centro de computo, como se lleva acabo la supervisión del recurso humano, si son presentadas las sugerencias al director de la institución para su mejora, Si existe un sustituto para la realización de las funciones en caso de ausencia del personal, la realización de funciones adicionales del personal que labora en el centro de cómputo y aula de informática es realizada en horas laborales o no laborales y las políticas para sancionar la indisciplina.
Página 12
CUESTIONARIO EVALUACIÓN DEL RECURSO HUMANO.Objetivo: Recolectar información general y específica sobre los diferentes aspectos que rodean los centros de cómputo y aulas informáticas de las instituciones públicas de educación media de la ciudad de san miguel. Indicación: Marque con una “X” y Complemente donde se le pide las siguientes interrogantes, según lo estime conveniente.
PREGUNTA RESPUESTA1. ¿Describa cual es el proceso que se lleva a cabo para la selección del administrador, encargado e instructor del centro de cómputo?_____________________________________________________________________________ _____________________________________________________________________________2. ¿Se desarrollan programas de capacitación para el administrador, encargado e instructor del centro de cómputo y aula informática?
Si ( ) No ( )
¿Por qué? ____________________________________________________________________3. ¿Se imparten capacitaciones para los docentes de la institución por parte del administrador, encargado e instructor del centro de cómputo?
Si ( ) No ( )
¿Por qué? ____________________________________________________________________
4. ¿Se le hacen sugerencias al administrador, encargado e instructor del centro de cómputo para el mejoramiento del mismo?
Si ( ) No ( )
¿Por qué? ____________________________________________________________________5. ¿Se toman en cuenta las sugerencias proporcionadas?
Si ( ) No ( )
¿Por qué? ____________________________________________________________________6. ¿Se han detectado o identificado las necesidades actuales y futuras de capacitación del personal del área?
Si ( ) No ( )
¿Por qué? ____________________________________________________________________7. ¿Como se lleva a cabo la supervisión de las funciones del administrador, encargado e instructor del centro de cómputo?____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________8. ¿Presenta el Administrador, encargado e instructor del centro de computo sugerencias
Si ( ) No ( )
Página 13
para mejorar las condiciones del centro de computo?¿Por qué? ____________________________________________________________________9. ¿Existe un sustituto para realizar las funciones dentro del centro de computo en caso de no presentarse el Administrador, encargado e instructor del centro de computo?
Si ( ) No ( )
¿Por qué? ____________________________________________________________________10. ¿Las funciones adicionales que realiza el Administrador, encargado e instructor del centro de cómputo las desarrolla en horas clase?____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________11. ¿Existen políticas institucionales para sancionar la indisciplina del administrador, encargado e instructor del centro de cómputo?____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________
EVALUACIÓN DEL HARDWARE: HARDWARE. Conjunto de los componentes que integran la parte material de una computadora, es decir, todo aquello que se pude tocar físicamente como por ejemplo: el monitor, el CPU, el teclado y más. Son todos los dispositivos y componentes físicos que realizan las tareas de entrada y salida, también se conoce al hardware como la parte dura o física del computador. La seguridad física del hardware. La seguridad física del hardware es un punto a estudiar por un auditor de informática. Aquí la seguridad física se torna más ardua, puesto que los sistemas informáticos suelen estar cercanos al usuario final o al mismo administrador, por lo que están expuestos a un mayor peligro de mal uso o uso malintencionado. También dentro de esta categoría se incluyen los recursos tecnológicos como, Televisores, retroproyectores, cámaras, y otros. En cuanto a la evaluación del hardware los aspectos son: el comprobante de la adquisición, cantidad y estado del equipo de cómputo y recurso tecnológico, así como la actualización. Además la proporción de los servicios de mantenimiento el tipo que se le proporciona y con que frecuencia. También si es adecuado a las necesidades de los usuarios el hardware, los problemas que se dan con mayor frecuencia, y el tiempo con que son resueltos.
Página 14
CUESTIONARIO EVALUACIÓN DEL HARDWARE.Objetivo: Recolectar información general y específica sobre los diferentes aspectos que rodean los centros de cómputo y aulas informáticas de las instituciones públicas de educación media de la ciudad de san miguel. Indicación: Marque con una “X” y Complemente donde se le pide las siguientes interrogantes, según lo estime conveniente.
PREGUNTA RESPUESTA1. ¿Existen comprobantes de la adquisición del equipo de cómputo y recursos tecnológicos?
Si ( ) No ( )
¿Por qué? ________________________________________________________________2. ¿Esta actualizado el equipo de computo según las necesidad básicas educativas de los estudiantes?
Si ( ) No ( )
¿Por qué? ________________________________________________________________3. ¿Quien le proporciona los servicios de mantenimiento de hardware?Una Empresa Particular: __________ Encargado o administrador: ____________4. ¿que tipo de mantenimiento se les da a las computadoras?Preventivo: __________ Correctivo: __________ Ambos: _________5. ¿Con que frecuencia de tiempo se le da mantenimiento al hardware?Cada tres meses: ________ Cada seis meses: _________ Anualmente: ________ Otros: ___________________________________________________________________6. ¿Considera que el hardware existente es el adecuado a las necesidades que demanda la población estudiantil?
Si ( ) No ( )
¿Por qué? ________________________________________________________________7. ¿Que tipo de problemas sobre el hardware se dan con mayor frecuencia?________________________________________________________________________________________________________________________________________________ ________________________________________________________________________________________________________________________________________________________________________________________________________________________
8. Los problemas se resuelven en un tiempo razonable:
Si ( ) No ( )
¿Por qué? ________________________________________________________________
EVALUACIÓN DEL SOFTWARE: SOFTWARE: Conjunto de programas, instrucciones y reglas informáticas para ejecutar ciertas tareas en una computadora. La seguridad del software
Página 15
es un punto muy importante a estudiar por un auditor de informática, por ser uno de los recursos importantes y frágiles si no se cuenta con el control adecuado y necesario que lo proteja tales como: Seguridad por contraseña de acceso, protección por antivirus, eliminación o modificaciones no autorizadas, y otros. Con este aspecto se evaluara: el licenciamiento y facturación del software, su actualización, servicios de mantenimiento, tiempo en cual se da, los problemas relacionados con el congestionamiento de la información, así como la instalación innecesaria de programas, además si carecen de programas para la realización de alguna práctica, se toman en cuenta los problemas y el tiempo para ofrecerles la solución.
CUESTIONARIO EVALUACIÓN DEL SOFTWARE.Objetivo: Recolectar información general y específica sobre los diferentes aspectos que rodean los centros de cómputo y aulas informáticas de las instituciones públicas de educación media de la ciudad de san miguel. Indicación: Marque con una “X” y Complemente donde se le pide las siguientes interrogantes, según lo estime conveniente.
PREGUNTA RESPUESTA
1. ¿Cuenta la institución con las respectivas licencias y facturación del Software adquirido?
Si ( ) No ( )
¿Por qué? _______________________________________________________________
2. ¿Esta debidamente actualizado el software actual?
Si ( ) No ( )
¿Por qué? _______________________________________________________________
3. ¿Quien le proporciona los servicios de mantenimiento al software?
Una empresa particular_________ El encargado o administrador: ____________
4. ¿Considera adecuado el mantenimiento que se le brinda al software?
Si ( ) No ( )
¿Por qué? _______________________________________________________________
5. ¿Con que frecuencia de tiempo se le brinda mantenimiento al software?
Cada 3 meses: _________ Cada 6 meses: _________ Anualmente: _________Otros:__________________________________________________________________
Página 16
6. ¿Tiene problemas relacionados al congestionamiento de la información? Si ( ) No ( )
¿Por qué? _______________________________________________________________
7. ¿Considera que existe software innecesario instalado en el equipo?
Si ( ) No ( )
¿Por qué? _______________________________________________________________
8. ¿Los problemas que genera el software, se resuelven en un tiempo razonable?
Si ( ) No ( )
¿Por qué? _______________________________________________________________
EVALUACIÓN DE LA SEGURIDAD: Seguridad. Dicho de un mecanismo: Que asegura el buen funcionamiento, precaviendo que este falle, se frustre o se violente. La seguridad informática generalmente consiste en asegurar que los recursos con los que se cuentan (Hardware; Todo lo material. Software todo los programas) en una empresa u organización sean utilizados de la manera posible y sin que estos sufran daños o perjuicios por el mal uso o intencionalmente por cualquier usuario. Es decir, que la seguridad es uno de los aspectos de mayor importancia pues de aquí depende en gran parte la efectividad de los recursos (hardware, software, mobiliario y equipo, recurso humano, otros) y los aspectos como (infraestructura, gestión administrativa, otros) que rodean un centro de cómputo o aula informática. Para evaluar la seguridad se toman los siguientes aspectos: en primer lugar la vigilancia para salvaguardar los recursos tecnológicos como las instalaciones, así como los controles preventivos y de riesgo supervisando actividades, claves de acceso, alarmas, salidas de emergencias y seguros. Pero la seguridad va mas allá de los aspectos físicos, es decir, en informática también existe la seguridad a través de software que son programas diseñados específicamente para mantener un control de monitoreo de riesgo posibles en cuanto al mal uso de los recursos, sabotaje, otros. Para lo cual se recomienda algún software, estos pueden ser obtenidos a través de la red de Comercialización normal o de forma gratuita en Internet.
Página 17
CUESTIONARIO EVALUACIÓN DE LA SEGURIDAD.Objetivo: Recolectar información general y específica sobre los diferentes aspectos que rodean los centros de cómputo y aulas informáticas de las instituciones públicas de educación media de la ciudad de san miguel. Indicación: Marque con una “X” y Complemente donde se le pide las siguientes interrogantes, según lo estime conveniente.
PREGUNTA RESPUESTA1. ¿Existe personal de vigilancia cerca del área de cómputo?
Si ( ) No ( )
¿Por qué?_________________________________________________________________
2. ¿Se han establecido medidas de seguridad en la sección de informática en cuanto un lugar especifico para salvaguardar los recursos tecnológicos?
Si ( ) No ( )
¿Por qué?________________________________________________________________3. ¿Existen controles preventivos para evitar causas de riesgos (letreros, extintores) dentro de las instalaciones de informática?
a) En ninguna _______ b) En algunas ________ c) En todas ________
4. ¿Se supervisan las actividades de los usuarios para determinar las acciones que ejecutan?
Si ( ) No ( )
¿Por qué?_______________________________________________________________5. ¿Con que frecuencia se cambian las claves de acceso al sistema o equipos?Cada tres meses ( ), Cada seis meses ( ), No se realizan cambios ( ) Otros (Especifique). ______________________________________________________ ______________________________________________________________________6. ¿Existen algún tipo de alarma para?
a) Detectar Fuego (calor o humo) Si ( ) No ( )
b) Detectar fuga de agua Si ( ) No ( ) c) De desalojar el edificio en caso de desastres. Si ( ) No ( )7. ¿Existen salidas de Emergencia? Si ( ) No ( )
¿Por qué?_________________________________________________________________
Página 18
EVALUACIÓN DE LA GESTIÓN ADMINISTRATIVA. (Control de activos fijos): Gestión administrativa. Acción y efecto de dirigir, ordenar, disponer, organizar, ejercer un cargo, oficio dentro de una organización o empresa. En cuanto a la evaluación de la gestión administrativa, esta va enfocada específicamente a los centros de cómputo y aulas informáticas, por ser estos de gran importancia en la actualidad. Para las instituciones educativas, a demás de verificar que estos cuenten con manuales de procedimiento, su elaboración, revisión y aplicación. Así como el control de activos fijo tales como: equipo de cómputo, recursos tecnológicos y el control de como se lleva sobre estos, es decir, el préstamo, uso del equipo de cómputo, seguridad, inventario y mantenimiento. También las limitantes y responsabilidades con las que cuenta el administrador, encargado e instructor para realizar las actividades adecuadamente.
CUESTIONARIO EVALUACIÓN DE LA GESTIÓN ADMINISTRATIVA (Control de activos fijos):Objetivo: Recolectar información general y específica sobre los diferentes aspectos que rodean los centros de cómputo y aulas informáticas de las instituciones públicas de educación media de la ciudad de san miguel. Indicación: Marque con una “X” y Complemente donde se le pide las siguientes interrogantes, según lo estime conveniente.
PREGUNTA RESPUESTA
1. ¿Existen manuales de procedimientos para la gestión administrativa dentro de los centros de cómputo?
Si ____ pase a la pregunta # 2. No____ Pase a la pregunta # 6.
2. ¿Se implementan adecuadamente el desarrollo de la gestión administrativa de los centros de cómputos?
Si ( ) No ( )
¿Por qué? ________________________________________________________________
3. ¿Considera que están elaborados de acuerdo a las necesidades que se tienen en los centros de cómputos?
Si ( ) No ( )
¿Por qué? ________________________________________________________________
Página 19
4. ¿Considera que es conveniente la revisión de estos para una posible modificación?
Si ( ) No ( )
¿Por qué? ________________________________________________________________
5. ¿Al no cumplir con la aplicación de los manuales, se presiona o sanciona por parte de los superiores?
Si ( ) No ( )
¿Por qué? ________________________________________________________________
6. ¿Se lleva a cabo un control de todos los activos de los centros de cómputo de la institución?
Si ( ) No ( )
¿Por qué? ________________________________________________________________7. ¿Existen normas para llevar el control de los activos?
Si ( ) No ( )
¿Por qué? ________________________________________________________________8. ¿El tipo de control de activos que se esta llevando dentro del centro de computo es el adecuado?
Si ( ) No ( )
¿Por qué? ________________________________________________________________¿Considera que se debe modificar el tipo de control de inventario con el que cuenta actualmente el centro de cómputo?
Si ( ) No ( )
¿Por qué? ________________________________________________________________10. ¿El administrador, encargado e instructor de centro de cómputo, maneja de una forma adecuada el control de inventario?
Si ( ) No ( )
¿Por qué? ________________________________________________________________11. ¿Se han generado perdida en cuanto a los activos de la institución?
Si ( ) No ( )
¿Por qué? ________________________________________________________________
12. ¿Cuando se necesita de un bien inmueble quien da el apoyo?___________________________________________________________________________________________________________________________________________________________________________________________________________________________
Página 20
_____________________________________________________________________
13. ¿El tipo de formato con el que actualmente se maneja el control de inventario es el adecuado?
Si ( ) No ( )
¿Por qué? ________________________________________________________________14. ¿Se cuenta con inventarios actualizados del centro de computo y aula informática?
Si ( ) No ( )
¿Por qué? ________________________________________________________________15. ¿Cada cuanto tiempo se actualiza el inventario?Mensual____ Trimestral _____ Semestral _____ Anual______ otros_________________________________________________________________16. ¿Existe un responsable específicamente para llevar el control de inventario?
Si ( ) No ( )
¿Por qué? ________________________________________________________________17. ¿Existe un formato específicamente para llevar el control de inventario del equipo de cómputo dañado?
Si ( ) No ( )
¿Por qué? ________________________________________________________________18. ¿Existe un formato específicamente para llevar el control de inventario de otros recursos tecnológicos dañados?
Si ( ) No ( )
¿Por qué? ________________________________________________________________19. ¿Cuales son las limitantes con las que cuenta el administrador encargado e instructor para la actualización de inventario?________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________20. ¿Considera que la aplicación de un manual de auditoria informática le ayudaría a mejorar la gestión administrativa del centro de cómputo?
Si ( ) No ( )
¿Por qué? ________________________________________________________________
1.5.- EXPLORAR LAS NECESIDADES DE LOS DOCENTES Y DEMAS TRABAJADORES DEL CENTRO EDUCATIVO
Se deberá observar ligeramente las posibles necesidades que puedan tener las personas que laboran en el centro educativo.
Página 21
1.6.- EXPLORAR LAS NECESIDADES DE LOS ESTUDIANTES DEL CENTRO EDUCATIVO
Se deberá observar ligeramente las posibles necesidades que puedan tener los estudiantes del Centro educativo.
1.7.- IDENTIFICAR A LOS ENCARGADOS DE CADA AREA
En este punto se deberá reconocer a cada uno de los encargados de las diferentes áreas del centro educativo al que se va a auditar.
Para la realización de la auditoría educativa se sugiere considerar a personas con las siguientes características:
Ingeniero o Licenciado en Informática Profesor en Informática
Técnico en informática.
Experiencia en el área de informática.
Experiencia en operación y análisis de sistemas informáticos.
Lo anterior no significa que una sola persona tenga los conocimientos y experiencias señaladas, pero si deben intervenir una o varias personas con las características apuntadas.
1.8.- ALCANCE DE LA AUDITORIA INFORMÁTICA.
El alcance va a definir con precisión el entorno y los límites en que va a desarrollarse la auditoria informática, se complementa con los objetivos de ésta.El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo? ¿Se comprobará que los controles de validación de errores son adecuados y suficientes? La indefinición de los alcances de la auditoria compromete el éxito de la misma.
1.9.- GENERAR DOCUMENTACION CON PASOS A REALIZAR.
Se deberá crear una lista con los pasos que se deberán seguir para llevar a cabo la auditoria.
Página 22
CAPITULO II
REVISION Y EVALUACION DE LOS CONTROLES DE SEGURIDAD
Página 23
2.1.-REVISION DE SISTEMAS.
La revisión sistemas se ocupa de analizar la actividad que se conoce como técnica de sistemas en todos sus factores. En la actualidad la creciente de las Telecomunicaciones ha propiciado que las comunicaciones, líneas y redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general de sistemas (Ej: De auditar el cableado estructurado, ancho de banda de una red LAN).
2.2.-REVISION DE COMUNICACIONES, REDES Y APLICACIONES EN INTERNET. El auditor en comunicaciones deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información abundante sobre tiempos de uso y no uso, deberá proveerse de la topología de la red de comunicaciones actualizada, ya que la desactualización de esta documentación significaría una grave debilidad. La inexistencia de datos sobre cuántas líneas existen, cómo son y dónde están instaladas, supondría que se bordea la inoperatividad informática.
En la auditoria de comunicaciones ha de verse:
La gestión de red. Los equipos y su conectividad. La monitorización de las comunicaciones. La revisión de costes y la asignación formal de proveedores. Creación y aplicabilidad de estándares.
Página 24
Cumpliendo como objetivos de control:
Tener una gerencia de comunicaciones con plena autoridad de voto y acción.
Llevar un registro actualizado de módems, controladores, terminales, líneas y todo equipo relacionado con las comunicaciones.
Mantener una vigilancia constante sobre cualquier acción en la red. Registrar un coste de comunicaciones y reparto a encargados. Mejorar el rendimiento y la resolución de problemas presentados en la red.
Para lo cual se debe comprobar:
El nivel de acceso a diferentes funciones dentro de la red. Coordinación de la organización de comunicación de datos y voz. Han de existir normas de comunicación en: Tipos de equipamiento como adaptadores LAN. Autorización de nuevo equipamiento, tanto dentro, como fuera de las horas
laborales. Uso de conexión digital con el exterior como Internet. La responsabilidad en los contratos de proveedores. La creación de estrategias de comunicación a largo plazo. Los planes de comunicación a alta velocidad como fibra óptica
Planificación de cableado. Planificación de la recuperación de las comunicaciones en caso de
desastre.
Ha de tenerse documentación sobre el diagramado de la red.
Se deben hacer pruebas sobre los nuevos equipos. Se han de establecer las tasas de rendimiento en tiempo de respuesta de
las terminales y la tasa de errores. Vigilancia sobre toda actividad on-line.
Página 25
En la auditoria de la red física se debe garantizar que exista:
Áreas de equipo de comunicación con control de acceso. Protección y tendido adecuado de cables y líneas de comunicación para
evitar accesos físicos. Control de utilización de equipos de prueba de comunicaciones para
monitorizar la red y el tráfico en ella. Prioridad de recuperación del sistema. Control de las líneas telefónicas.
2.3.- REVISION DE LA SEGURIDAD INFORMATICA
Se debe tener presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional. Esta información puede ser de suma importancia y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos.
La Auditoria de la seguridad en la informática abarca los conceptos de seguridad física y lógica. La seguridad física se refiere a la protección del hardware y los soportes de datos, así como la seguridad de los edificios e instalaciones que los albergan. El auditor informático debe contemplar situaciones de incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc. Por su parte, la seguridad lógica se refiere a la seguridad en el uso de software, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información.
2.4.- REVISION DEL HADWARE
En hardware la auditoria informática se orienta a la verificación de ciertos componentes físicos como por ejemplo cables, tornillos, placas, etc. y así llegar a la conclusión de que estos estén registrados como propios y también que poseen licencia. Para realizar la auditoria informática en hardware se debe plantear los siguientes objetivos:
Determinar si el hardware se utiliza eficientemente. Revisar los informes de la dirección sobre el uso del hardware. Revisar si el equipo se utiliza por el personal autorizado. Examinar los estudios de adquisición, selección y evolución del hardware. Comprobar las condiciones ambientales.
Página 26
Revisar el inventario del hardware. Verificar los procedimientos de seguridad física. Examinar los controles de acceso físico. Revisar la seguridad física de los componentes de la red de teleproceso.
2.5.- CONTROL INTERNO
La función del control interno informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas.
2.6.- CLASIFICACION DE CONTROLES INTERNOS
2.6.1.-CONTROLES PREVENTIVOS: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.
2.6.2.- CONTROLES DETECTIVOS: Cuando fallan los preventivos, para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc.
2.6.3.- CONTROLES CORRECTIVOS: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.
2.6.4.- CONTROLES DE SUPERVISIÓN: Son procedimientos utilizados por la dirección para poder alcanzar los objetivos del negocio y así controlarlo. Este
Página 27
tipo de controles proporcionan a la dirección, y por lo tanto a los auditores, seguridad en cuanto a la fiabilidad de la información financiera.
2.7.- CONTROLES DE SUPERVICION TI
El auditor se debe asegurar que los procedimientos programados dentro de un sistema informático se diseñen, implanten, mantengan y operen de forma adecuada y que solo se introduzcan cambios autorizados en los programas y en los datos. Dentro de las TI nos encontraremos con distintos tipos de controles.
2.7.1.- CONTROLES DE MANTENIMIENTO: Destinados a asegurar que las modificaciones de los procedimientos programados están adecuadamente diseñadas, probadas, aprobadas e implantadas.
2.7.2.- CONTROLES DE SEGURIDAD DE PROGRAMAS: Destinado a garantizar que no se puedan efectuar cambios no autorizados en los procedimientos programados.
2.7.3.- CONTROLES DE SEGURIDAD DE FICHEROS DE DATOS: Destinados a asegurar que no se puedan efectuar modificaciones no autorizadas en los archivos de datos.
2.7.4.- CONTROLES DE LA OPERACIÓN INFORMÁTICA: Destinados a garantizar los procedimientos programados autorizados se apliquen de manera uniforme y se utilicen versiones correctas de los ficheros de datos.
2.7.5.- CONTROLES DE SOFTWARE SISTEMA: Destinados a asegurar que se implante un software de sistema apropiado y que se encuentre protegido contra modificaciones no autorizadas.
Página 28
2.7.6.- CONTROLES DE IMPLEMENTACION: Destinados a asegurar que los procedimientos programados para los nuevos sistemas son adecuados y están efectivamente implementados, y que el sistema esté diseñado para satisfacer las necesidades del usuario.
2.8.- CONTROLES DE MANTENIMIENTO: La documentación técnica debe estar actualizada con el fin de reflejar las modificaciones de los programas. Este tipo de controles van a limitar los riesgos que comportan las modificaciones de las aplicaciones.
2.8.1.- CONTROLES DE SEGURIDAD INFORMÁTICA: Este tipo de controles evitarán el riesgo de fraude o de que información confidencial o sensible llegue a personas no autorizadas dentro o fuera del centro Educativo. Otro riesgo que evitaríamos con la seguridad física sería el posible daño o destrucción de las instalaciones informáticas como resultado de incendios, inundaciones o sabotajes que podrían interrumpir la ejecución de los procesos.
2.8.2.- CONTROLES DE OPERACIONES INFORMÁTICAS: Los procedimientos de operaciones que cubren procesos diferidos o por lotes que se realizan en momentos específicos deben estar documentados, programados y mantenidos en forma adecuada. Las copias de seguridad de los programas y de los datos deben estarsiempre disponibles para casos de emergencia
2.9.- CONTROLES DE SUPERVISIÓN: CONTROLES DE LOS USUARIOS: Son los procedimientos manuales tradicionales que se deben ejecutar sobre los documentos y transacciones antes y después de su proceso en el ordenador para comprobar el adecuado y continuo funcionamiento de los controles de las aplicaciones
Página 29
CAPITULO III
EXAMEN DETALLADO DE AREAS CRÍTICAS
Página 30
3.1.-IDENTIFICAR LAS AREAS VULNERABLES
Con las fases anteriores el auditor descubre las áreas criticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usara, definirá la metodología de trabajo, la duración de la auditoría, Presentará el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente analizado en este folleto.
3.1.1.- REALIZAR UN ESTUDIO A PROFUNDIDAD DE LAS AREAS CRÍTICAS
Se deberá listar las aéreas que se vean vulnerablemente afectadas.
Se deberá realizar un estudio exhaustivo de los controles que arrojaron resultados inadecuados para el uso de recursos educativos.
Empezando por identificar cual o cuáles son los motivos del fallo de cada una de las aéreas afectadas.
3.1.2.- CREAR EL GRUPO DE TRABAJO Y DISTRIBUIR LA CARGA DEL MISMO
Una vez identificado las áreas criticas, se deberá conformar un grupo de trabajo para proceder a analizar a profundidad dichas aéreas.
3.1.3.- REALIZAR EL PLAN DE TRABAJO CORRESPONDIENTE
En esta etapa se debe realizar otro plan de trabajo, pero esta vez aplicado exclusivamente a las áreas criticas.
3.1.4.- ESTABLECER LOS RECURSOS QUE SE VAN A UTILIZAR
El auditor debe realizar una lista de recursos que necesitara para llevar a cabo este proceso.
Página 31
CAPITULO IV
COMUNICACIÓN DE RESULTADOS
Página 32
4.1.- ELABORAR UN BORRADOR
El auditor deberá realizar un informe en borrador acerca de los resultados que arroje el exhaustivo análisis.
OTROS FORMATOS PARA LA ELABORACIÓN DEL REPORTE FINAL DE AUDITORIA EN INFORMÁTICA.
A continuación se presentan otros formatos posibles de utilizar para recolectar la información obtenida una vez ejecutado el plan, el formato puede cambiar según el criterio y creatividad del auditor o persona responsable de manejar los resultado o elaborar el informe final, o diferentes necesidades que se tengan en algún centro de cómputo o aula informática de alguna institución especifica. Cabe mencionar que no existe formato alguno especifico de cómo se debe de presentar la información obtenida en una investigación con respecto a una auditoria de cualquier tipo, es por eso que queda a criterio propio del responsable de la auditoria utilizar o no los formatos presentados en este proyecto. También le pueden servir como base para crear los propios según las necesidades y criterios. Además del formato presentado y etiquetado para cada uno de los aspectos a evaluar, también se presentan otros dos diferentes que se pueden utilizar para elaborar dicho informe final, siendo estos solo unos de los tantos posibles que se pueden elaborar según se estime conveniente. También se presenta un formato para el control de préstamo de equipo y recursos tecnológicos de los centros de cómputos y aulas informáticas, el cual también puede ser modificado según el criterio y necesidades del administrador o encargado de estos.
4.2.- PRESENTAR y DISCUTIR EL INFORME 0EN BORRADOR
El auditor deberá presentar el borrador con los dirigentes del centro educativo exponiendo los PRO y los CONTRAS que obtuvo de los estudios realizados a dicho centro educativo.
Página 33
4.3.- RECOMENDACIONES
Utilizando la lista de areas criticas, el auditor deberá realizar las recomendaciones respectivas para cada uno de los problemas que tiene el centro educativo, con el fin de que estos problemas sean superados.
RESULTADOS OBTENIDOS.ASPECTOS EVALUADOS EN LA AUDITORIA. Evaluación de la infraestructura
Evaluación del Entorno
Evaluación del mobiliario y equipo
Evaluación del Recurso Humano
Evaluación del Hardware
Evaluación del Software
Evolución de la Seguridad
Evaluación del Control de activos fijos (gestión administrativa)
Cada área evaluada o aspecto, deberá llevar una descripción breve sobre su correspondiente análisis de lo encontrado en la evaluación; así como también las repercusiones, alternativas de solución, y todo lo que el auditor estime conveniente o necesario mencionar.
4.4.- RELIZAR EN INFORME FINAL
Por último el auditor deberá realizar el informe final, formalmente con todos los datos recogidos durante toda la auditoria, informando del estado del sistema de información que maneja el centro educativo al que se realizo la auditoria informática.
Página 34
FORMATO TIPO CARTA DE AUDITORIA. Guayaquil, ___ de ____________ de 2014
Sr. _________________________________________________________________________ Encargado del área auditada. Presente: A continuación se presenta un informe final de la auditoria interna realizada en el área de: _________________________________________________________________________ Que esta a su cargo. Por lo tanto se le presenta el siguiente reporte final. Organización: _______________________________________________________________ Auditoria Nº: ____________________________ Fecha de Ejecución: ______________________ Alcances del proyecto.
El alcance del proyecto comprende las siguientes áreas especificadas a continuación: (UNA DESCRIPCIÓN GENERAL DEL PROYECTO) su organización.
estructura.
recursos humanos.
normas y políticas.
capacitaciones
planes de trabajos.
controles.
Página 35