ACTIVIDAD GRUPAL ELABORAR INFORME SOBRE AUDITORIA INFORMÁTICA
Enviado por Maria Eugenia Cotto Soliz • 17 de Junio de 2017 • Apuntes • 3.426 Palabras (14 Páginas) • 346 Visitas
UNIVERSIDAD TÉCNICA DE BABAHOYO
FACULTAD DE ADMINISTRACIÓN, FINANZAS E INFORMÁTICA[pic 1]
ESCUELA DE SISTEMAS
ASIGNATURA
AUDITORIA DE SISTEMAS
CURSO
VI SISTEMAS
SECCIÓN
VESPERTINA
ACTIVIDAD GRUPAL
ELABORAR INFORME SOBRE AUDITORIA INFORMÁTICA
INTEGRANTES
MIGUEL GARCIA
GÉNESIS MORÁN
JULISSA PIZA
MILTÓN QUIÑONEZ
PERIODO ACADÉMICO
SEPTIEMBRE 2016 – FEBRERO 2017
PLAN DE AUDITORIA
Antecedentes: En las Aulas de informática de una Institución educativa se realiza anualmente un plan de seguimiento a todos los procesos técnicos y académicos de la institución, esto debido a que las instituciones requieren la acreditación de calidad en el manejo de sus procesos y para ello se hace necesario realizar auditorías internas permanentes y de tipo externo periódicamente para lograrlo.
Uno de los recursos tecnológicos disponibles en las instituciones educativas es el de la red de datos que opera en las diferentes sedes y que generalmente se encuentra certificada bajo la normas de la IEEE\EIA\TIA, las cuales se deben cumplir estrictamente.
OBJETIVOS
Objetivo general: Realizar la revisión y verificación del cumplimiento de normas mediante una auditoría a la infraestructura física de la red de datos en una de las instituciones educativas.
Objetivos específicos:
- Planificar la auditoría que permita identificar las condiciones actuales de la red de datos de la institución educativa.
- Aplicar los procesos de auditoría teniendo en cuenta el modelo estándar de auditoría COBIT.
- Identificar las soluciones para la construcción de los planes de mejoramiento a la red de la institución educativa de acuerdo a los resultados obtenidos en la etapa de aplicación del modelo de auditoría.
Alcance y delimitación: La presente auditoria pretende identificar las condiciones actuales del hardware, la red de datos y eléctrica de la institución educativa, con el fin de verificar el cumplimiento de normas y la prestación del servicio de internet para optimizar el uso de los recursos existentes para mejorar el servicio a los usuarios.
Los puntos a evaluar serán los siguientes:
- De las instalaciones físicas se evaluará:
- Instalaciones eléctricas
- Instalación cableado de la red de datos
- Sistemas de protección eléctricos
- De equipos o hardware se evaluará:
- Inventarios de hardware de redes y equipos
- Manteninimiento preventivo y correctivo de equipos y redes
- Hojas de vida de los equipos de cómputo y redes
- Los programas de mantenimiento de los equipos de cómputo y redes
- Revisión de informes de mantenimiento
- Personal encargado de mantenimiento
- Obsolescencia de la tecnología
Metodología: Para el cumplimiento de los objetivos planteados en la auditoría, se realizaran las siguientes actividades:
1. Investigación preliminar: visitas a la institución para determinar el estado actual de la organización, entrevistas con administradores y usuarios de las redes para determinar posibles fallas.
2. Recolectar información: Diseño de formatos de entrevistas, diseño de formatos para listas de chequeo, diseño de formatos para cuestionarios, diseño del plan de pruebas, etc.
3. Aplicación de instrumentos: Aplicar entrevistas al administrador y usuarios, aplicar listas de chequeo para verificar controles, aplicar cuestionarios para descubrir nuevos riesgos y conformar los que han sido detectados anteriormente.
4. Ejecución de las pruebas: ejecutar las pruebas para determinar la obsolescencia del hardware, ejecutar pruebas sobre la red, ejecutar pruebas para comprobar la correspondencia de los inventarios con la realidad.
5. Realizar el proceso de análisis y evaluación de riesgos: elaborar el cuadro de vulnerabilidades y amenzas a que se ven enfrentados, determinar los riesgos a que se ven expuestos.
6. Tratamiento de riesgos: determinar el tratamiento de los riesgos de acuerdo a la matriz de riesgos, proponer controles de acuerdo a la norma de buenas práctica aplicada.
7. Dictamen de la auditoría: Determinar el grado de madurez de la empresa en el manejo de cada uno de los procesos evaluados, medir el grado de madurez de acuerdo a los hallazgos detectados en cada proceso.
8. Informe final de auditoría: elaboración del borredor del informe técnico de auditoría para confrontarlo con los auditados, elaboración del informe técnico final.
Recursos:
- Humanos: La auditoría se llevará a cabo por el grupo de auditores especializados en redes de datos con la asesoría metodológica de un Ingeniero Auditor.
- Físicos: Instalaciones de la institución educativa, aulas de informática y dispositivos de red.
- Tecnológicos: equipos de cómputo, software instalado para la red, cámara digital, Intranet institución educativa
Presupuesto:
Ítem | Valor |
Útiles y Papelería | $ 20.000.oo |
Equipos de Oficina como calculadoras. | $ 80.000.oo |
Medios de almacenamiento magnético como: 1 caja de CD, 1 caja Diskettes. | $ 20.000.oo |
Gastos generales: Cafetería, imprevistos, transporte, etc. | $300.000.oo |
Pago de Honorarios (1 millón mensual x c/u) | $4.000.000 |
Total presupuesto | $4.420.000 |
Cronograma
Actividad | Mes 1 | Mes 2 | Mes 3 | ||||||||||
1 | 2 | 3 | 4 | 1 | 2 | 3 | 4 | 1 | 2 | 3 | 4 | ||
Planificar la auditoría | Estudio Preliminar | ||||||||||||
Determinación de Áreas Críticas de Auditoria | |||||||||||||
Aplicar el modelo de auditoria | Elaboración de Programa de Auditoria | ||||||||||||
Evaluación de Riesgos | |||||||||||||
Ejecución de Pruebas y Obtención de Evidencias | |||||||||||||
Construir los planes de mejoramiento | Elaboración de Informe | ||||||||||||
Sustentación de Informe |
GUÍAS DE HALLAZGOS
Teniendo en cuenta la aplicación de los instrumentos para recolección de información, los objetivos planteados con anterioridad y los riesgos definidos en la Matriz se obtienen las siguientes tablas de hallazgos para cada uno de ellos.
GUÍA DE HALLAZGOS H1.
Aulas de informática Institución Educativa | R/PT: P1 | |
Hallazgos de la Auditoría | H1 | |
Dominio | Adquisición e Implementación | |
Proceso | AI3 Adquirir y mantener la arquitectura tecnológica | |
Objetivo de Control | Evaluación de Hardware | |
Riesgos Asociados | R15, R16, R18, R19 | |
Descripción | ||
En las aulas de informática no se lleva un registro de mantenimiento y de cambios de hardware, además no existe personal de mantenimiento dedicado a este proceso, el mantenimiento está sujeto a las directrices de la rectoría de acuerdo al presupuesto y el inventario no se actualiza periódicamente cuando se han realizado cambios | ||
Recomendación | ||
El Encargado de la administración debe sugerir calendarización de inventarios y mantenimientos de hardware | ||
Causa | ||
La falta de recursos económicos y la falta de planeación por parte del encargado de la administración de las aulas de informática en la institución. | ||
Nivel del Riesgo | ||
En cuanto a la probabilidad de ocurrencia está clasificado en medio alto, en cuanto al impacto es moderado | ||
GUÍA DE HALLAZGOS H2.
Aulas de informática Institución Educativa | R/PT: P2 | |
Hallazgos de la Auditoría | H2 | |
Dominio | Adquisición e Implementación | |
Proceso | AI3: Adquirir y mantener la arquitectura tecnológica | |
Objetivo de Control | Mantenimiento Preventivo para Hardware | |
Riesgos Asociados | R15, R16, R18, R19 | |
Descripción | ||
La Institución Educativa tiene programadas jornadas de mantenimiento, estas están sujetas a las programaciones que realiza el rector al inicio del año escolar, La Administración solo da de baja equipos no funcionales, pero no hace solicitudes de cambio de nuevos equipos ya que el nuevo hardware está supeditado a los recursos de inversión y proyectos presentados a nivel local y nacional. | ||
Recomendación | ||
El Encargado de la administración de las aulas de informática debe programar los mantenimientos y cambios por lo menos dos veces al año, las actualizaciones de cambio o repotenciación de equipos se deben presupuestar para las vigencias futuras. | ||
Causa | ||
El rector y el Encargado de la administración de las aulas de informática deben realizar planes de actualización de equipos y de mantenimiento preventivo, asignando los recursos económicos necesarios para vigencias futuras. | ||
Nivel del Riesgo | ||
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al impacto es moderado | ||
GUÍA DE HALLAZGOS H3.
Aulas de informática Institución Educativa | R/PT: P3 | |
Hallazgos de la Auditoría | H3 | |
Dominio | Entrega de Servicios y Soportes | |
Proceso | DS12: Administración de Instalaciones | |
Objetivo de Control | Escolta de Visitantes | |
Riesgos Asociados | R20,R21,R2 | |
Descripción | ||
Las instalaciones de las aulas de informática y la oficina del administrador de las aulas no son las adecuadas en cuanto a espacios, no hay una buena visibilidad de la identificación de las aulas de informática, No existen identificación de áreas restringidas en la oficina del administrador, No existen ningún tipo de detectores de humo, temperatura dentro de las aulas de informática, Las señalización para salidas de emergencia no están instaladas o no existen, la iluminación solo cuenta con ventanales grandes e iluminación artificial insuficiente, Los interruptores de emergencia no están debidamente identificados | ||
Recomendación | ||
El Administrador de las aulas de informática debe realizar identificación adecuada de las aulas, debe solicitar los recursos económicos para la adecuación y el mejoramiento de las aulas y de su propia oficina | ||
Causa | ||
La rectoría no ha asignado recursos propios para la operación y buen funcionamiento de la tecnología de las aulas de informática. | ||
Nivel del Riesgo | ||
En cuanto a la probabilidad de ocurrencia está clasificado en alto, en cuanto al impacto es catastrófico | ||
GUÍA DE HALLAZGOS H4.
Aulas de informática Institución Educativa | R/PT: P4 | |
Hallazgos de la Auditoría | H4 | |
Dominio | Entrega de Servicios y Soportes | |
Proceso | Protección contra Factores Ambientales | |
Objetivo de Control | Controles Ambientales | |
Riesgos Asociados | R17 | |
Descripción | ||
Solo una de las seis aulas de informática tiene sistemas de ventilación, la cual presenta ruido alto en su funcionamiento y balanceo. | ||
Recomendación | ||
El Administrador de las aulas de informática debe realizar mantenimiento al ventilador del aula y gestionar recursos para adquirir los sistemas de ventilación para las aulas restantes | ||
Causa | ||
El Administrador de las aulas de informática no realiza adecuaciones locativas dentro de las funciones que le fueron asignadas | ||
Nivel del Riesgo | ||
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al impacto es leve | ||
LISTA DE CHEQUEO
Lista de chequeo Aulas de informática Institución Educativa | R/PT | |||
Cuestionario de Control | LC1 | |||
Dominio | Adquisición e Implementación | |||
Proceso | AI3: Adquirir y mantener la arquitectura tecnológica | |||
Objetivo de Control | Evaluación de Nuevo Hardware | |||
Cuestionario | ||||
Pregunta | SI | NO | N/A | |
¿Se cuenta con un inventario de todos los equipos que integran el centro de cómputo? | ||||
¿Con cuanta frecuencia se revisa el inventario? | ||||
¿Se posee de bitácoras de fallas detectadas en los equipos? | ||||
Características de la bitácora (señale las opciones). | ||||
| ||||
¿Se lleva un control de los equipos en garantía, para que a la finalización de ésta, se integren a algún programa de mantenimiento? | ||||
¿Se cuenta con servicio de mantenimiento para todos los equipos? | ||||
¿Con cuanta frecuencia se realiza mantenimiento a los equipos? | ||||
¿Se cuenta con procedimientos definidos para la adquisición de nuevos equipos? | ||||
¿Se tienen criterios de evaluación para determinar el rendimiento de los equipos a adquirir y así elegir el mejor? | ||||
Documentos probatorios presentados: | ||||
DISEÑO DE FORMATOS PARA AUDITORÍA DE SISTEMAS
Para la planeación del proceso de auditoría es necesario el diseño de los formatos para el proceso de recolección de información y la presentación de los resultados de la auditoría, estos documentos denominados papeles de trabajo finalmente son organizados por cada proceso evaluado y al final se presenta el dictamen y el informe final de resultados.
...