auditoria-metodologia agil-proyecto de auditoria-auditoria de escuela

Autor: Br. Carlos Pérez Marina Mallol José Godoy Fran Rojas

Enero 2015

Instituto Universitario Politécnico

“Santiago Mariño” Extensión – Porlamar

Auditoria de Sistemas

Ingeniera de sistemas

Metodología Ágil

La tecnología informática (hardware, software, redes,

bases de datos, etc.) es una herramienta estratégica que

brinda rentabilidad y ventajas competitivas a los negocios

frente a otros negocios similares en el mercado, pero

puede originar costos y desventajas si no es bien

administrada por el personal encargado. La solución clara

es entonces realizar evaluaciones oportunas y completas

de la función informática, a cargo de personal calificado,

consultores externos, auditores en informática o

evaluaciones periódicas realizadas por el mismo personal

de informática.

El propósito de llevar a cabo dicho proyecto, es con el fin de poder contribuir mediante

una metodología ágil, con el personal asignado a administrar el centro el salón de

computación proveyéndole algunas recomendaciones y herramientas necesarias para que

el rendimiento de este sea más eficaz; y de esta manera hacer más eficiente la función

correspondiente de dicho salón para que la institución cumpla sus objetivos propuestos.

Evaluar y verificar políticas, controles, procedimientos y

seguridad en los recursos dedicados al manejo de la información; su

utilización, eficiencia y seguridad de la institución a fin de que por medio

del señalamiento de cursos alternativos se logre una utilización más

eficiente y segura de la información que servirá para una adecuada toma

de decisiones.

Hacer un valúo de los costes del análisis funcional, el análisis orgánico, la programación, las pruebas de programas, preparación de datos y costes de desarrollo de cada aplicación medido en horas.

Verificar la forma como se administran los dispositivos de almacenamiento básico del área de Informática

Corroborar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.

Verificar que los programas obtengan su legalización.

La auditoría que se va a realizar en la U.E.I.E “Simón Bolívar”, es de vital importancia

para el buen desempeño del salón de computación de dicho instituto, además se evaluará

todo: informática, organización de centros de información, hardware y software.

El desarrollo de este consiste en revisar y verificar si está siendo utilizado el salón de

computación con los objetivos de dicha institución, poder observar si el lugar es el indicado,

la forma en que ha sido distribuido el equipo, si el uso que cada persona le da es correcto.

Por otro lado observar si es ágil y veraz y oportuna la información; También observar si

el diseño del salón es el adecuado, observar detenidamente su estructura de red el software

que se está utilizando y de esta manera después de finalizado el proyecto se harán las

recomendaciones necesarias para poder que este funcione de la mejor manera.

La auditoría será realizada dentro de la institución afectando los distintos

departamentos áreas institucionales:

AREA DE SISTEMAS Y PROCEDIMIENTOS.

EVALUACION DE LOS EQUIPOS DE CÓMPUTO

AREA ADMINISTRATIVA DE PROCESOS

ELECTRONICOS.

Nombre de la empresa: El Centro Escolar “U.E.I.E “SIMÓN BOLIVAR””. Dirección: El Centro Escolar “U.E.I.E SIMÓN BOLIVAR” está en la Calle Libertad en Porlamar, Nueva Esparta. Fecha de iniciación de operaciones: 20 de Enero del 2015 Giro del negocio: Institución educativa .

Objetivos de la empresa: Formar alumnos(as) con un alto grado de desarrollo profesional que les permita desenvolverse de una forma eficiente y en su entorno social y cultural.

Objetivos del Salón de Computación: Atender las necesidades computacionales y Mantener de manera íntegra la información y el equipo para ser utilizado en el momento que se necesite por el personal de la institución educativa.

Objetivos y propósitos del diagnóstico: Examinar en forma global y constructiva la estructura de la Entidad: Complejo educativo U.E.I.E “SIMÓN BOLIVAR” enfocándose en el Salón de Computación, contemplando aspectos como: planes y objetivos, métodos y controles, formas de operación y organización humana.

AREA DE SISTEMAS Y PROCEDIMIENTOS.

EVALUACION DE LOS EQUIPOS DE CÓMPUTO

AREA ADMINISTRATIVA DE PROCESOS

ELECTRONICOS.

DIRECCION

SUBDIRECCION

DOCENTES Personal administrativo

C.D.E

Las entrevistas estarán dirigidas al personal responsable del área informática o a quien este de responsable de la administración, operación de los sistemas y equipos de la entidad a auditar.

Encargado del área de

informática.

Profesores que imparten

informática.

Personal administrativo.

Sugerencias: Elaboración de documentación y establecer un organigrama en el área informática.

Opinión: Falta de coordinación en toma de decisiones, falta de políticas.

Problema: Existe falta de documentación y organigrama en el área administrativa, También falta de una red que abarque todas las áreas del centro educativo.

Según lo observado en el U.E.I.E “Simón Bolívar” es falta de documentación, Falta de velocidad en internet,

Permitir que todas las áreas estén conectadas en red, falta de algunas licencias en computadoras que usa la

secretaria y la dirección.

CANTIDAD DESCRIPCION

15 CPU

15 MONITORES

15 TECLADOS

15 MOUSE

15 MUEBLES

15 SPEAKER

1 IMPRESOR MULTI FUNCION

1 Pace Panel

1 Servidor

Inventario de equipo que está en uso en el Salón de Computación:

Cantidad Descripción

6 C.P.U.

6 Monitores

6 Teclados

6 Mouse

6 Speaker

1 Impresor

Sala de docentes:

Cantidad Descripción

3 Monitor

3 C.P.U.

3 Mouse

3 Teclados.

3 Impresores.

Secretaría, Dirección, Colecturía:

Determinación del área a estudiar:

Área de sistemas y procedimientos.

Razones: 1. Poder observar la descripción general de los sistemas instalados y de los que

estén por instalarse que contengan volúmenes de información.

2. Evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.

3. Verificar la adecuación del sistema operativo, versión del software utilizado, como en los aspectos relativos a la programación de las distintas aplicaciones, prioridades de ejecución, lenguaje utilizado.

4. verificar que la documentación relativa al sistema de información sea clara, precisa, actualizada y completa.


Área administrativa de procesos electrónicos:

Razones: 1. Recopilar información para obtener una visión general del departamento

por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento.

2. Verificar los Registras de los costos en el desarrollo de la aplicación y contemplar el nivel de servicio en términos de calidad y tiempos mínimos de entrega de resultados de la operación del computador.

3. Solicitar el manual de políticas, reglamentos internos y lineamientos generales. Número de personas y puestos en el área. Procedimientos administrativos del área. Presupuestos y costos del área.

4. Analizar los costes de personal directamente relacionado con el sistema de información.


Evaluación de los equipos de cómputo:

Razones: 1. Revisar número de equipos, localización y las características (de los

equipos instalados, por instalar y programados).

2. Conocer las fechas de instalación de los equipos y planes de instalación.

3. Revisar la configuración de los equipos y sus capacidades actuales.

4. Revisar las políticas de uso de los equipos.

5. Revisar el manual en el que se encuentra estructurada la forma en que se da el mantenimiento al equipo informático.

Comentarios: Con esta información queremos considerar las características de conocimientos, práctica profesional y capacidad que tiene el personal encargado de la administración de informática de esta institución.

OBJETIVO GENERAL: Poder determinar las debilidades y fortalezas en la seguridad física del equipo y el edificio donde se encuentra instalado el sistema de información y sus políticas sobre la seguridad, y luego poder hacer algunos señalamientos que contribuirán con las mejoras de esta.

OBJETIVOS ESPECIFICOS:

Revisión de las políticas y Normas sobre seguridad Física de los equipos.

Verificar la estructura de la distribución de los equipos y la correcta utilización.

Verificar la condición del centro de cómputo y evaluar si existe un manual donde explique los procedimientos para efectuar el mantenimiento.

INSTITUCIÓN: U.E.I.E “Simón Bolivar”.

AREA AUDITADA: Seguridad Física.

FECHA: 20 de Enero de 2015

REF CONDICIÓN CAUSA EFECTO RECOMENDACIÓN

1 No existe un

manual de planes

de mitigación de

riesgos.

Dice que no le han

entregado de parte de

sus líderes dicho

manual.

El problema es que en un

momento

Pueda ocurrir un siniestro y

no habrá forma de poder

restablecer el sistema.

Se les recomienda poder elaborar

una manual de contingencias.

2 No se encuentran

manuales de

físicos de procesos

para

mantenimiento

No lo han elaborado

todavía.

Lo que esto puede ocasionar

es que se pierda el control

del mantenimiento.

Se recomienda elaborar lo antes

posible este manual de soporte

para un buen de control.

Elaborado por: Carlos E Pérez

Aprobado por: Lucia Marcano F.

La auditoría se realizará haciendo una constatación de las diferentes

aplicaciones técnicas de Seguridad y Protección que tienen que existir en el

equipo del centro de cómputo.

HALLAZGOS ENCONTRADOS

OBJETIVO GENERAL: Verificar si se han adoptado medidas de seguridad en los diferentes departamentos del área informática con respecto al personal que labora en dicha institución.


Constatar si se ha instruido el personal sobre qué medidas tomar en caso de que se encuentren en algún peligro ya sea por desastre natural o de otra índole.

Verificar si existen políticas que

reguarden la integridad física de las personas.

Constatar si las instalaciones cuentan salidas de emergencias, sistema de alarma por presencia de fuego, humo, así como extintores de incendio en conexiones eléctricas.

Revisión de políticas y normas que dicten las acciones a tomar en caso de

algún peligro o alarma que vaya en perjuicio de la seguridad de los usuarios.



AREA AUDITADA: Seguridad del personal.



1 Pudimos constatar que

no existe salida de

emergencias.

Diseña sin salida de

Emergencia

Puede ver algún

atascamiento de los

usuarios a la hora de

alguna emergencia

Es necesario crear

una puerta de

emergencia.

2 No existen extintores de

fuego.

No se los ha facilitado el

director

Puede ocurrir un incendio

y no habrá forma de

extinguirlo.

Se recomienda

comprar extintores

lo más pronto

posible.



OBJETIVO GENERAL: Comprobar que la adecuación de hardware, sistema operativo, versiones del software utilizado, como también en los aspectos relativos a la programación de las distintas aplicaciones, prioridades de ejecución, lenguaje utilizado y la documentación necesaria haga constar que existe una administración adecuada que garantice la seguridad de la parte tangible e intangible de los equipos de cómputo.


Comprobar la existencia de un plan de actividades previo a la instalación de equipos.

Ratificar si existen garantías para proteger la integridad de los recursos informáticos.

Evaluar si existen planes e informes del mantenimiento de equipos y del software tanto preventivo como correctivos.

Poder observar y evaluar la descripción general de los equipos instalados

para hacer una valorización de la seguridad en todos sus aspectos tanto en el

hardware como también en el sistema operativo y programas.



AREA AUDITADA: Seguridad del hardware y software.



1 No se encontraron las

licencias de Microsoft

office.

No han sido

proporcionadas

Funcionamiento inestable

de las aplicaciones Se recomienda mantener

toda la legalidad necesaria.

2 No se encontraron las

licencias de antivirus

No han sido

proporcionadas

No existe un protección

segura del software.

Se recomienda mantener

toda la legalidad necesaria.



auditoria-metodologia agil-proyecto de auditoria-auditoria de escuela

Software