Auditoria-metodologia agil-proyecto de auditoria-auditoria de escuela
1.
2. Autor:
Br. Carlos Pérez
Marina Mallol
José Godoy
Fran RojasEnero 2015
Instituto Universitario Politécnico
“Santiago Mariño”
Extensión – Porlamar
Auditoria de Sistemas
Ingeniera de sistemas
Metodología Ágil
3. La tecnología informática (hardware, software, redes,
bases de datos, etc.) es una herramienta estratégica que
brinda rentabilidad y ventajas competitivas a los negocios
frente a otros negocios similares en el mercado, pero
puede originar costos y desventajas si no es bien
administrada por el personal encargado. La solución clara
es entonces realizar evaluaciones oportunas y completas
de la función informática, a cargo de personal calificado,
consultores externos, auditores en informática o
evaluaciones periódicas realizadas por el mismo personal
de informática.
El propósito de llevar a cabo dicho proyecto, es con el fin de poder contribuir mediante
una metodología ágil, con el personal asignado a administrar el centro el salón de
computación proveyéndole algunas recomendaciones y herramientas necesarias para que
el rendimiento de este sea más eficaz; y de esta manera hacer más eficiente la función
correspondiente de dicho salón para que la institución cumpla sus objetivos propuestos.
4. Evaluar y verificar políticas, controles, procedimientos y
seguridad en los recursos dedicados al manejo de la información; su
utilización, eficiencia y seguridad de la institución a fin de que por medio
del señalamiento de cursos alternativos se logre una utilización más
eficiente y segura de la información que servirá para una adecuada toma
de decisiones.
5. Hacer un valúo de los costes del análisis
funcional, el análisis orgánico, la
programación, las pruebas de programas,
preparación de datos y costes de desarrollo de
cada aplicación medido en horas.
Verificar la forma como se
administran los dispositivos de
almacenamiento básico del área de
Informática
Corroborar el control que se tiene
sobre el mantenimiento y las fallas
de las Pcs.
Verificar que los programas
obtengan su legalización.
6. La auditoría que se va a realizar en la U.E.I.E “Simón Bolívar”, es de vital importancia
para el buen desempeño del salón de computación de dicho instituto, además se evaluará
todo: informática, organización de centros de información, hardware y software.
El desarrollo de este consiste en revisar y verificar si está siendo utilizado el salón de
computación con los objetivos de dicha institución, poder observar si el lugar es el indicado,
la forma en que ha sido distribuido el equipo, si el uso que cada persona le da es correcto.
Por otro lado observar si es ágil y veraz y oportuna la información; También observar si
el diseño del salón es el adecuado, observar detenidamente su estructura de red el software
que se está utilizando y de esta manera después de finalizado el proyecto se harán las
recomendaciones necesarias para poder que este funcione de la mejor manera.
7. La auditoría será realizada dentro de la institución afectando los distintos
departamentos áreas institucionales:
AREA DE SISTEMAS Y
PROCEDIMIENTOS.
EVALUACION DE LOS
EQUIPOS DE CÓMPUTO
AREA ADMINISTRATIVA
DE PROCESOS
ELECTRONICOS.
8. Nombre de la empresa: El Centro Escolar “U.E.I.E “SIMÓN
BOLIVAR””.
Dirección: El Centro Escolar “U.E.I.E SIMÓN BOLIVAR” está en la
Calle Libertad en Porlamar, Nueva Esparta.
Fecha de iniciación de operaciones: 20 de Enero del 2015
Giro del negocio: Institución educativa
.
9. Objetivos de la empresa: Formar alumnos(as) con un alto
grado de desarrollo profesional que les permita
desenvolverse de una forma eficiente y en su entorno social y
cultural.
Objetivos del Salón de Computación:
Atender las necesidades computacionales y
Mantener de manera íntegra la información
y el equipo para ser utilizado en el
momento que se necesite por el personal de
la institución educativa.
Objetivos y propósitos del diagnóstico:
Examinar en forma global y constructiva la
estructura de la Entidad: Complejo
educativo U.E.I.E “SIMÓN BOLIVAR”
enfocándose en el Salón de Computación,
contemplando aspectos como: planes y
objetivos, métodos y controles, formas de
operación y organización humana.
10. AREA DE SISTEMAS Y
PROCEDIMIENTOS.
EVALUACION DE LOS
EQUIPOS DE CÓMPUTO
AREA ADMINISTRATIVA
DE PROCESOS
ELECTRONICOS.
12. Las entrevistas estarán dirigidas al personal responsable
del área informática o a quien este de responsable de la
administración, operación de los sistemas y equipos de la entidad
a auditar.
Encargado del
área de
informática.
Profesores que
imparten
informática.
Personal
administrativo.
13. Sugerencias: Elaboración de
documentación y establecer un
organigrama en el área informática.
Opinión: Falta de coordinación en
toma de decisiones, falta de políticas.
Problema: Existe falta de
documentación y organigrama en el
área administrativa, También falta de
una red que abarque todas las áreas del
centro educativo.
14. Según lo observado en el U.E.I.E “Simón Bolívar” es
falta de documentación, Falta de velocidad en internet,
Permitir que todas las áreas estén conectadas en red,
falta de algunas licencias en computadoras que usa la
secretaria y la dirección.
15. CANTIDAD DESCRIPCION
15 CPU
15 MONITORES
15 TECLADOS
15 MOUSE
15 MUEBLES
15 SPEAKER
1 IMPRESOR MULTI FUNCION
1 Pace Panel
1 Servidor
Inventario de equipo que está en uso en el Salón de Computación:
18. Determinación del área a estudiar:
Área de sistemas y procedimientos.
Razones:
1. Poder observar la descripción general de los sistemas instalados y de los que
estén por instalarse que contengan volúmenes de información.
2. Evaluar los sistemas de información en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtención de información.
3. Verificar la adecuación del sistema operativo, versión del software utilizado,
como en los aspectos relativos a la programación de las distintas aplicaciones,
prioridades de ejecución, lenguaje utilizado.
4. verificar que la documentación relativa al sistema de información sea clara,
precisa, actualizada y completa.
19. Determinación del área a estudiar:
Área administrativa de procesos electrónicos:
Razones:
1. Recopilar información para obtener una visión general del departamento
por medio de observaciones, entrevistas preliminares y solicitud de
documentos para poder definir el objetivo y alcances del departamento.
2. Verificar los Registras de los costos en el desarrollo de la aplicación y
contemplar el nivel de servicio en términos de calidad y tiempos mínimos
de entrega de resultados de la operación del computador.
3. Solicitar el manual de políticas, reglamentos internos y lineamientos
generales. Número de personas y puestos en el área. Procedimientos
administrativos del área. Presupuestos y costos del área.
4. Analizar los costes de personal directamente relacionado con el sistema de
información.
20. Determinación del área a estudiar:
Evaluación de los equipos de cómputo:
Razones:
1. Revisar número de equipos, localización y las características (de los
equipos instalados, por instalar y programados).
2. Conocer las fechas de instalación de los equipos y planes de
instalación.
3. Revisar la configuración de los equipos y sus capacidades actuales.
4. Revisar las políticas de uso de los equipos.
5. Revisar el manual en el que se encuentra estructurada la forma en
que se da el mantenimiento al equipo informático.
21. Comentarios:
Con esta información queremos considerar las
características de conocimientos, práctica
profesional y capacidad que tiene el personal
encargado de la administración de informática de
esta institución.
22. OBJETIVO GENERAL:
Poder determinar las debilidades y fortalezas en
la seguridad física del equipo y el edificio donde se
encuentra instalado el sistema de información y sus
políticas sobre la seguridad, y luego poder hacer
algunos señalamientos que contribuirán con las
mejoras de esta.
23. OBJETIVOS ESPECIFICOS:
Revisión de las políticas y Normas sobre
seguridad Física de los equipos.
Verificar la estructura de la distribución
de los equipos y la correcta utilización.
Verificar la condición del centro de
cómputo y evaluar si existe un manual
donde explique los procedimientos para
efectuar el mantenimiento.
24. INSTITUCIÓN: U.E.I.E “Simón Bolivar”.
AREA AUDITADA: Seguridad Física.
FECHA: 20 de Enero de 2015
REF CONDICIÓN CAUSA EFECTO RECOMENDACIÓN
1 No existe un
manual de planes
de mitigación de
riesgos.
Dice que no le han
entregado de parte de
sus líderes dicho
manual.
El problema es que en un
momento
Pueda ocurrir un siniestro y
no habrá forma de poder
restablecer el sistema.
Se les recomienda poder elaborar
una manual de contingencias.
2 No se encuentran
manuales de
físicos de procesos
para
mantenimiento
No lo han elaborado
todavía.
Lo que esto puede ocasionar
es que se pierda el control
del mantenimiento.
Se recomienda elaborar lo antes
posible este manual de soporte
para un buen de control.
Elaborado por: Carlos E Pérez
Aprobado por: Lucia Marcano F.
La auditoría se realizará haciendo una constatación de las diferentes
aplicaciones técnicas de Seguridad y Protección que tienen que existir en el
equipo del centro de cómputo.
HALLAZGOS ENCONTRADOS
25. OBJETIVO GENERAL:
Verificar si se han adoptado medidas de
seguridad en los diferentes departamentos del área
informática con respecto al personal que labora en
dicha institución.
26. OBJETIVOS ESPECIFICOS:
Constatar si se ha instruido el personal
sobre qué medidas tomar en caso de que
se encuentren en algún peligro ya sea por
desastre natural o de otra índole.
Verificar si existen políticas que
reguarden la integridad física de las
personas.
Constatar si las instalaciones cuentan
salidas de emergencias, sistema de
alarma por presencia de fuego, humo, así
como extintores de incendio en
conexiones eléctricas.
27. Revisión de políticas y normas que dicten las acciones a tomar en caso de
algún peligro o alarma que vaya en perjuicio de la seguridad de los usuarios.
HALLAZGOS ENCONTRADOS
INSTITUCIÓN: U.E.I.E “Simón Bolivar”.
AREA AUDITADA: Seguridad del personal.
FECHA: 20 de Enero de 2015
REF CONDICIÓN CAUSA EFECTO RECOMENDACIÓN
1 Pudimos constatar que
no existe salida de
emergencias.
Diseña sin salida de
Emergencia
Puede ver algún
atascamiento de los
usuarios a la hora de
alguna emergencia
Es necesario crear
una puerta de
emergencia.
2 No existen extintores de
fuego.
No se los ha facilitado el
director
Puede ocurrir un incendio
y no habrá forma de
extinguirlo.
Se recomienda
comprar extintores
lo más pronto
posible.
Elaborado por: Carlos E Pérez
Aprobado por: Lucia Marcano F.
28. OBJETIVO GENERAL:
Comprobar que la adecuación de hardware,
sistema operativo, versiones del software utilizado,
como también en los aspectos relativos a la
programación de las distintas aplicaciones,
prioridades de ejecución, lenguaje utilizado y la
documentación necesaria haga constar que existe una
administración adecuada que garantice la seguridad
de la parte tangible e intangible de los equipos de
cómputo.
29. OBJETIVOS ESPECIFICOS:
Comprobar la existencia de un plan de
actividades previo a la instalación de
equipos.
Ratificar si existen garantías para
proteger la integridad de los recursos
informáticos.
Evaluar si existen planes e informes del
mantenimiento de equipos y del software
tanto preventivo como correctivos.
30. Poder observar y evaluar la descripción general de los equipos instalados
para hacer una valorización de la seguridad en todos sus aspectos tanto en el
hardware como también en el sistema operativo y programas.
HALLAZGOS ENCONTRADOS
INSTITUCIÓN: U.E.I.E “Simón Bolivar”.
AREA AUDITADA: Seguridad del hardware y software.
FECHA: 21 de Enero de 2015
REF CONDICIÓN CAUSA EFECTO RECOMENDACIÓN
1 No se encontraron las
licencias de Microsoft
office.
No han sido
proporcionadas
Funcionamiento inestable
de las aplicaciones
Se recomienda mantener
toda la legalidad necesaria.
2 No se encontraron las
licencias de antivirus
No han sido
proporcionadas
No existe un protección
segura del software.
Se recomienda mantener
toda la legalidad necesaria.
Elaborado por: Carlos E Pérez
Aprobado por: Lucia Marcano F.