• Author / Uploaded
• Zuly Susana Yupanqui Muchari

• Categories
• Seguridad y privacidad en línea
• La seguridad informática
• Software
• Auditoría
• Sistema operativo

Citation preview

UNIVERSIDAD PERUANA LOS ANDES SEDE AYACUCHO FACULTAD DE INGENIERIA Escuela Académica de Ingeniería de Sistemas y Computación

CURSO AUDITORIA DE INFORMATICA Y SISTEMAS TRABAJO AUDITORIA AL SISTEMA DE INFORMACIÓN DE APOYO A LA. GESTIÓN DE LA INSTITUCIÓN EDUCATIVA–DE LA OFICINA DE – UGEL DE LA CIUDAD DE AYACUCHO DOCENTE ING. JANET MONICA GALLO AYALA ALUMNOS TITO CUADROS, Walter Leandro YUPANQUI MUCHARI, Zuly Susana Ayacucho 2017

TABLA DE CONTENIDO

I.

INTRODUCCIÓN

A finales del siglo, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier Organización Empresarial, los Sistemas de Información de la Organización. Donde los Sistemas Informáticos hoy en día constituyen una herramienta bastante poderosa para la mejora de rendimiento de toda la Organización. Por lo ello se realiza una auditoria informática en la Institución UGEL-Huamanga tomando muy en cuenta la dependencia critica de muchos procesos sobre las Tecnologías de la Información, con el objetivo de cumplir con los requerimientos existentes y los beneficios de administrar los riesgos efectivamente, utilizando como modelo de los Chek list, estos procesos son ubicados en los niveles de madurez en los cuales se encuentran en la actualidad, para luego dar las respectivas recomendaciones, mediante este trabajo se pretende solucionar varios problemas como el servicio eficiente a los clientes y el aprovechamiento eficaz y eficiente de los recursos tecnológicos y humanos que cuenta la Organización en estudio. DATOS DE IDENTIFICACION 1. EMPRESA a) RAZON SOCIAL UGEL Huamanga b) DIRECCION Jr. San Martín N° 771 – Ayacucho c) AREAS A AUDITAR Gestión Pedagógica 2. DEL AUDITOR O EMPRESA AUDITADA a) RAZON SOCIAL Empresa TZ b) DIRECCION Jr. San José N° 123 Ayacucho c) AREAS A AUDITAR Tramite Documentario d) DEL PERSONAL AUDITOR TITO CUADROS, Walter Leandro YUPANQUI MUCHARI, Zuly Susana DEL TRABAJO DE AUDITORIA 1. DURACION El control auditable tendrá una duración del 07 de mayo al 21 de julio del año 2017. 2. DESCRIPCION DE LA EMPRESA La empresa TZ, tiene sus inicios el 02 de Marzo del 2017, en Ayacucho se crea para brindar un servicio de calidad y excelencia de acuerdo a la necesidad existente en cada uno de los entes, buscando lograr la competitividad, reconocimiento e innovación. TZ tiene una misión principal a futuro, ofrecer la mejor variedad, calidad y soluciones, para la auditoria en el área de sistemas. Teniendo como mejor activo un capital humano profesional, a través del cual quieren lograr estar comprometidos con una cultura de servicio hasta la atención y satisfacción del cliente.

3. ANTECEDENTES DE AUDITORIAS ANTERIORES Ninguna 4. OBJETIVOS DE LA AUDITORIA a) OBJETIVO GENERAL Revisar y Evaluar los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, se logre una utilización más eficiente y segura de la información que servirá para un adecuado servicio a la sociedad. b) Objetivos Específicos.  Evaluar el diseño y prueba de los sistemas del área de Informática  Determinar la veracidad de la información del área de Informática  Evaluar los procedimientos de control de operación, analizar su estandarización y evaluar el cumplimiento de los mismos.  Evaluar la forma como se administran los dispositivos de almacenamiento básico del área de Informática.  Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.  Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del departamento de cómputo.  Garantizar el continuo servicio al público.  Aplicar la metodología de Peter Checkland a fin de establecer los aspectos críticos del modelo actual bajo el enfoque de sistemas. 5. FASES DE LA AUDITORIA a) Reconocimiento de la empresa b) Ubicación y delimitación del área c) Recolección de la información en el área d) Procesamiento de la información e) Análisis de la información f) Elaboración y presentación del informe final

II.

METODOLOGIA Y PROCEDIMIENTO

METODOLOGIA A EMPLEAR Se empleará las siguientes metodologías -

Planeación Obtención de la información Análisis, clasificación y evaluación de la información Informe, elaboración y presentación del informe final

PROCEDIMIENTOS NECESARIOS

III.

RECURSOS

RECURSOS Costos de materiales

COSTOS S/. 200.00

IV.

CRONOGRAMA DE ACTIVIDADES

ACTIVIDAD

Constitución del equipo de Auditoria, Formulación del Programa de Auditoria Realización de Visita preliminar Elaboración de Plan de Auditoría Elaboración de Cuestionario de Control interno Visita para contestar el cuestionario de control interno Análisis del cuestionario y elaboración de Planilla de Decisiones Preliminares Ejecución de las actividades presentadas en el Programa de Auditoría Presentación y sustentación del informe de auditoria

MAYO 2017 1ra 2da sema sema na na

3ra sema na

4ta sema na

JUNIO 2017 1ra 2da sema sema na na

3ra sema na

4ta sema na

JULIO 2017 1ra 2da 3ra sem sema sem ana na ana

4ta sem ana

LISTA DE AREAS A SER AUDITADAS

HARDWARE

COMPUTADORES

Nombre del cliente Periodo a auditar RUBRO SUB-RUBRO

PLANILLA DE DECISIONES PRELIMINARES UGEL HUAMANGA Mayo – Julio 2017 FACTORES DE EVALUACION DE RIESGOS RIESGO INHERENTE CONTROL DETECCION Que haya extravio Que se esté utilizando con los fines para los cuales fue adquirido

PERIFERICOS

Que haya extrvio de los accesorios y periféricos

PROCEDIMIENTOS SEGÚN FACTORES DE RIESGO

ALCANCE DE LOS PROCEDIMIENTOS

Revisar que el hardware que se encuentra inventariado como adquisiciones de la entidad se encuentren en el lugar correspondiente.

Se revisará el 100% de los bienes inventariados como parte del hardware

Verificar que los diversos componentes del hardware, estén siendo aprovechados al máximo y se estén utilizando como corresponde Solicitar el registro de los periféricos comprobados y agregados a cada uno de los computadores y el lugar en que deben estar y verifique que estén donde corresponden Se verificará que los componentes y periféricos sean utilizados con los fines para los cuales fueron solicitados y no para obtener beneficios personales

Se verificará el 100% de los periféricos

RUBRO

SUBRUBRO

FACTORES DE RIESGO EVALUACION DE RIESGOS INHERENTE

SOFTWARE DE USO GENERAL

SOFTWARE

Que exista software comprobado por la entidad Que el software haya sido utilizado para beneficios personales por usuario o se haya sacado copias piratas del mismo para fines particulares Que el software adquirido por la entidad este resguardado en un lugar libre de humedad de mucho calor para evitar que se deteriore y se convierta en inservible Que el software funcione correctamente y responda a las necesidades institucionales

CONTROL

DETECCION

PROCEDIMIENTOS SEGÚN FACTORES DE RIESGO Revisar los documentos que muestren el inventario del software de la entidad e identificar que las licencias estén bajo la custodia de una persona con la autoridad para resguardarlos Se verificará si hay algún procedimiento de control institucional que impida que las personas lleven artículos de la entidad a sus casas.

ALCANCE DE LOS PROCEDIMIENTOS Se confirmará que el 100% de las licencias se encuentren en poder de la persona responsable Solamente se harán las preguntas pertinentes y un día se verificará si a la salida el vigilante revisa las artículos que los empleados llevan en sus bolsos

Revisar las condiciones del lugar en que se encuentra La verificación se resguardado el software hará por una sola vez y con la autorización de una persona de la Se contratara un perito, el cual alta gerencia realizará pruebas al software, con el propósito de verificar si esta funcionando Se hará una prueba correctamente si su instalación selectiva a un 10% de cumple con las condiciones de los programas, la empresa fabricante verificando que sea uno de los que más se utilizan en la entidad

RUBRO

SUBRUBRO

FACTORES DE RIESGO EVALUACION DE RIESGOS INHERENTE

CONTROL

DETECCION

SOFTWARE DE USO ESPECÍFICO

Que exista software diseñado por los empleados del área de Desarrollo Que el software haya sido utilizado para beneficios personales por usuario o se haya sacado copias piratas del mismo para fines particulares Que el software diseñado por la entidad este resguardado en un lugar libre de humedad de mucho calor para evitar que se deteriore y se convierta en inservible Que el software funcione correctamente y responda a las necesidades institucionales RUBRO

FACTORES DE RIESGO EVALUACION DE RIESGOS

PROCEDIMIENTOS SEGÚN FACTORES DE RIESGO Revisar los documentos que muestren el inventario del software diseñados por los encargados del área de desarrollo y verificar que el software este bajo la custodia de una persona con la autoridad para resguardarlos Se verificará si hay algún procedimiento de control institucional que impida que las personas lleven artículos de la entidad a sus casas.

ALCANCE DE LOS PROCEDIMIENTOS Se confirmará que el 100% de los softwares diseñados por los empleados de la entidad, se encuentren en poder de la persona responsable

Solamente se harán las preguntas pertinentes y un día se verificará si a la salida el vigilante revisa las artículos que los empleados Revisar las condiciones del llevan en sus bolsos lugar en que se encuentra resguardado el software La verificación se hará por una sola vez Se contratara un perito, el cual y con la autorización realizará pruebas al software, de una persona de la con el propósito de verificar si alta gerencia esta funcionando correctamente y si su utilidad Se hará una prueba responde a las necesidades selectiva a un 10% de específicas de la institución los programas, verificando que sea uno de los que más se utilizan en la entidad

INHERENTE

SUBRUBRO

PERSONAL DEL AREA DE DESARROLLO

PERSONAL

Que los empleados del área de desarrollo no estén suficientemente comprometidos con la entidad Que los empleados del área de desarrollo vendan el software a otras organizaciones aun cuando su diseño fue pagado con recursos de la entidad Que los empleados del área de desarrollo no estén recibiendo las capacitaciones necesarias con el propósito de actualizarlos y se vayan quedando desactualizados frente a la competencia

CONTROL

DETECCION

PROCEDIMIENTOS SEGÚN FACTORES DE RIESGO Se colocarán en el cuestionario de control interno algunas preguntas con el propósito de estableces si los empleados del área de desarrollo se sienten satisfechos con el trato dentro de la entidad y el grado de lealtad a la misma

ALCANCE DE LOS PROCEDIMIENTOS Solamente se hará el cuestionario y se pasará a los empleados pues la lealtad no es una variable difícil de medir en términos cuantitativos

Se verificara si los empleados del área de desarrollo llevan bienes de la sociedad a sus casas

Se verificara si a la salida el vigilante revisa los artículos que los empleados llevan en sus bolsos

Se verificaran los registros que la empresa tiene sobre las respectivas capacitaciones recibidas por los empleados del área de desarrollo

La revisión se hará por una sola vez y se verificará si en las capacitaciones se ha incluido a todo el personal del área.

RUBRO

SUB-RUBRO

FACTORES RIESGO

DE EVALUACION DE RIESGOS

PERSONAL DEL AREA DE DESARROLLO

PERSONAL

Que los empleados del área de desarrollo no estén suficientemente comprometidos con la entidad Que los empleados del área de desarrollo vendan el software a otras organizaciones aun cuando su diseño fue pagado con recursos de la entidad Que los empleados del área de desarrollo no estén recibiendo las capacitaciones necesarias con el propósito de actualizarlos y se vayan quedando desactualizados frente a la competencia

INHERENTE

CONTROL

DETECCION

PROCEDIMIENTOS SEGÚN FACTORES DE RIESGO Se colocarán en el cuestionario de control interno algunas preguntas con el propósito de estableces si los empleados del área de desarrollo se sienten satisfechos con el trato dentro de la entidad y el grado de lealtad a la misma

ALCANCE DE LOS PROCEDIMIENTOS Solamente se hará el cuestionario y se pasará a los empleados pues la lealtad no es una variable difícil de medir en términos cuantitativos

Se verificara si a la salida el vigilante revisa los artículos que los empleados llevan Se verificara si los en sus bolsos empleados del área de desarrollo llevan bienes de la sociedad a sus casas La revisión se hará por una sola vez y se verificará si en las Se verificaran los registros capacitaciones se ha que la empresa tiene incluido a todo el sobre las respectivas personal del área. capacitaciones recibidas por los empleados del área de desarrollo

USUARIOS DEL SISTEMA INFORMATICO

Que los usuarios de la entidad no puedan usar con efectividad los diversos software que la entidad tenga en uso Que los usuarios del sistema informáticos de la entidad estén utilizando los recursos de la misma para que sus personales, no abusen del uso del internet

Se verificará si los usuarios han recibido el adiestramiento necesario en el uso del software y su al inicio recibieron la inducción correspondiente

Se consultará a los usuarios por medios de cuestionario de control interno

Se verificará en por lo menos 5 computadoras si existen archivos Se verificará si los basura o que no sean de empleados de la entidad uso de la entidad utilicen el software o hardware para los fines establecidos por la entidad y siguiendo las políticas de las mismas

SUB-RUBRO

SEGURIDAD LOGICA DEL SISTEMA SEGURIDAD DE LA INFORMACI ON Y LAS BASES DE DATOS

SEGURIDAD

SEGURIDAD FISICA DE LOS SISTEMAS INFORMATICOS

RUBRO

FACTORES RIESGO

DE EVALUACION DE RIESGOS

Que los componentes de los sistemas informáticos estén ubicados en oficinas que no cumplan con las condiciones mínimas ambientales Que los procesos realizados por el sistema estén dando datos erróneos y por ser automatizados, la empresa se esta confiando de ellos Que en caso de un siniestro se pierda toda la información de la empresa y se destruyan las bases de datos

INHERENTE

CONTROL

DETECCION

PROCEDIMIENTOS SEGÚN FACTORES DE RIESGO Verificar que los equipos no estén ubicados muy cerca de espacios húmedos o que el calor sea mucho

ALCANCE DE LOS PROCEDIMIENTOS Se efectuará al 100% de las computadoras

Se pedirá al perito en programación que aplique algunos datos al sistema, los cuales también se realizarán de manera manual para ver que estos den resultados iguales y de no serlos, se sugerirán los posibles correctivos Verificar si la empresa tiene fuera de su local un área o local de seguridad para archivar discos y otros documentos de respaldo

Se realizará el procedimiento en 5 ocasiones y en programas diferentes de mayor uso

Se consultará con la gerencia

SEGURIDAD EN EL ACCESO Y USO DEL SOFTWARE

Que empleados o usuarios pueden accesar a espacios del sistema para los cuales no cuentan con la respectiva autorización o no hayan recibido los password o claves de acceso para ello

Se verificará que tan seguro es el sistema solicitando al programados que intente violar la seguridad del sistema, claro está que con la debida autorización y presencia de un administrador o representante de la administración. Al finalizar se dejará constancia por escrito del proceso desarrollado

Se hará en una sola ocasión y tratando de accesar a un archivo utilizado por usuarios de nivel inferior

JUSTIFICACION Con el paso de los años la informática ha ido abarcando cada día más las distintas áreas en las cuales nos movemos a diario, por ello podemos decir con seguridad que en la actualidad toda institución que maneja gran cantidad de información cuenta con sistemas de información, lo cual las lleva a ser sometidas a un control estricto de evaluación de eficiencia y eficacia el cual les permita garantizar que los sistemas de información que dicha empresa posee funcionen de una manera adecuada y correcta. En este caso la Auditoria informática, siendo un área especializada de la auditoría general, propone evaluar y examinar, de una manera independiente, el sistema de control interno informático que la empresa maneje, esto con el objetivo de emitir una validez y la confiabilidad de la información que es generada por el sistema auditado Por lo que la presente investigación se enfocará en realizar una auditoría de sistemas ya que es importante para el buen desempeño de los sistemas de información debido a que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. La auditoría consistirá en una revisión de las actividades desarrollada por un grupo de estudiantes de la carrera de Ingeniería y sistemas con el propósito de evaluar el área informática de la empresa, la correcta realización de las funciones, la organización de los sistemas de información, hardware y software en base a ese análisis poder brindar una recomendación eficiente para que la empresa pueda solucionar los problemas encontrados con el fin de mejorar la rentabilidad, la seguridad y la eficiencia del sistema de información. Las personas beneficiadas serán primeramente los docentes ya que se le realizará un trabajo limpio y sin ningún costo por medio de la auditoría podrá ver qué se está haciendo mal y corregirlo, qué se está haciendo bien, pero que se puede hacer mejor y cuáles van a ser los protocolos de actuación en el caso de problemas para que esto no afecte directamente. Los segundos serán el grupo de estudiantes que realizará la auditoría ya que adquirirán experiencia en un campo laboral verdadero y desarrollarán habilidades y competencias que les servirán en un futuro al momento de realizar una auditoría de cualquier tipo. OBJETIVOS OBJETIVO GENERAL Revisar y Evaluar los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, se logre una utilización más eficiente y segura de la información que servirá para un adecuado servicio a la sociedad. OBJETIVOS ESPECIFICOS      

Evaluar el diseño y prueba de los sistemas del área de Informática Determinar la veracidad de la información del área de Informática Evaluar los procedimientos de control de operación, analizar su estandarización y evaluar el cumplimiento de los mismos. Evaluar la forma como se administran los dispositivos de almacenamiento básico del área de Informática. Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs. Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del departamento de cómputo.

 

Garantizar el continuo servicio al público. Aplicar la metodología de Peter Checkland a fin de establecer los aspectos críticos del modelo actual bajo el enfoque de sistemas.

MARCO CONCEPTUAL AUDITORIA: Es el examen crítico y sistemático que realiza una persona o grupo de personas independientes del sistema auditado, que puede ser una persona, organización, sistema, proceso, proyecto o producto. AUDITORIA INFORMATICA: Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. EVIDENCIA: Es un conocimiento que se nos aparece intuitivamente de tal manera que podemos afirmar la validez de su contenido, como verdadero, con certeza, sin sombra de duda. AUDITORIA INTERNA: Es una actividad independiente y objetiva de aseguramiento y consulta concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. AUDITORIA EXTERNA: Examina y evalúa cualquiera de los sistemas de información de una organización y emite una opinión independiente sobre los mismos, tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los estados, expedientes y documentos y toda aquella información producida por los sistemas de la organización. Debe hacerla una persona o firma independiente de capacidad profesional reconocidas. SISTEMA OPERATIVO: Es un programa o conjunto de programas que en un sistema informático gestiona los recursos de hardware y provee servicios a los programas de aplicación, ejecutándose en modo privilegiado respecto de los restantes y anteriores próximos y viceversa. SOFTWARE: Equipamiento lógico o soporte lógico de un sistema informático, que comprende el conjunto de los componentes lógicos necesarios que hacen posible la realización de tareas específicas, en contraposición a los componentes físicos que son llamados hardware. Los componentes lógicos incluyen, entre muchos otros, las aplicaciones informáticas; tales como el procesador de texto, que permite al usuario realizar todas las tareas concernientes a la edición de textos SOFTWARE BASICO: es un conjunto de programas que el sistema necesita para poder trabajar. Estos forman el Sistema Operativo. BASES DE DATOS: Es un conjunto de datos pertenecientes a un mismo contexto y almacenados sistemáticamente para su posterior uso. VULNERABILIDAD: Son puntos débiles del software que permiten que un atacante comprometa la integridad, disponibilidad o confidencialidad del mismo. Algunas de las vulnerabilidades más severas permiten que los atacantes ejecuten código arbitrario, denominadas vulnerabilidades de seguridad, en un sistema comprometido.

PLAN DE CONTENCION: Es un instrumento de gestión para el buen gobierno de las Tecnologías de la Información y las Comunicaciones en el dominio del soporte y el desempeño. Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una compañía. CUESTIONARIO: Es un documento formado por un conjunto de preguntas que deben estar redactadas de forma coherente, y organizadas, secuenciadas y estructuradas de acuerdo con una determinada planificación, con el fin de que sus respuestas nos puedan ofrecer toda la información que se precisa. ENTREVISTA: Esla acción de desarrollar una charla con una o más personas con el objetivo de hablar sobre ciertos temas y con un fin determinado. CHECKLIST: Es una lista de comprobación que sirve para servir de guía y recordar los puntos que deben ser inspeccionados en función de los conocimientos que se tienen sobre las características y riesgos de las instalaciones. Viene a ser un cuestionario de preguntas en el que se responderá SI ó NO, concretamente es una lista de comprobación de determinadas condiciones de trabajo compuesta por varios ítems que pueden contener una ó varias preguntas según sea el caso.

DESARROLLO PROTOTIPO DE HERRAMIENTA PARA AUDITORIA DE SISTEMAS DE INFORMACION    

Nivel de seguridad Nivel de calidad Nivel de eficacia en TI Nivel de eficiencia en TI

DESCRIPCION DEL PROTOTIPO:    

Bases de datos Redes de datos Seguridad Informática Inventario infraestructura TIC