Auditoria Informtica

PROGRAMA DE AUDITORA INFORMTICA

1.

ANTECEDENTES GENERALES

Organizacin: Universidad Tecnolgica De Tamaulipas Norte. Estructura organizativa del departamento de informtica a auditar: CATI 4 Ing. en Sistemas y Telecomunicaciones. 1 Persona encargada de Supervisarlos. 1 Secretaria. Entorno de operacin: Registro y Control de Informacin en toda la Institucin. Entorno de trabajo: Diagnostico, Anlisis, Administracin de Redes, Administracin de Material Informtico, Actualizacin y Mantenimiento General de Laboratorios. Aplicaciones informticas:

2.

Creacin de Bases de Datos. Creacin de Ficheros. Altas de Servicio de Internet. Administracin de Pagina Oficial. Administracin de Informacin en Server. Diagnstico de Flujo de Informacin.

OBJETIVO GENERAL DE LA AUDITORA

El control de la funcin informtica, la especulacin sobre el manejo de la Informacin indexada en los servers de la institucin. El anlisis de la eficiencia del sistema informtico as como los sistemas de control de la entrada y salida de la informacin ,las protecciones o posibles fallas, escapes integracin de reglamentos nuevos o actualizacin de los ya existentes y la revisin de la gestin de los recursos informticos. 3.

OBJETIVOS ESPECFICOS DE LA AUDITORA.

Asegurar la Proteccin y Veracidad de la Informacin, Evaluacin del Funcionamiento Interno de los Tcnicos encargados de los Servers. Revisin de Tiempos y Optimizacin de tramites sobre los Equipos. Minimizar existencias de riesgo en el uso de la informacin. Determinar si existen garantas suficientes para proteger los accesos no autorizados a la informacin reservada de la institucin y la integridad de la misma. Determinacin si el proceso de generacin de copias de respaldo es fiable y garantiza la recuperacin de informacin.

Auditoria Informtica
4.

ALCANCE DE LA AUDITORA.
Revisin del ambiente del hardware

N 1 2

Procedimiento Elaborar un listado de las mquinas y los programas 11/07/2011 ms usados Especificar y documentar las observaciones especiales 11/07/2011 de las mquinas que requieran una apreciacin exclusiva. Como el servidor y los componentes especiales. Realizar un anlisis preliminar sobre el estado general 11/07/2011 del CATI.

Fecha

Revisin del ambiente del software

N 1 2 3 4 Procedimiento Fecha

Realizar un listado de los principales programas instalados en 13/07/2011 los equipos con los listados para cada PC. Seleccionar los programas ms importantes para anlisis y 13/07/2011 elaborar un listado de los mismos. Verificar y listar los controles existentes para el manejo de los 13/07/2011 programas como accesos y otros. Solicitar al responsable del laboratorio copias sobre 13/07/2011 desimantacin existente acerca de manuales, polticas y hacer un chequeo para anlisis. Definir con precisin el alcance de la auditora. 13/07/2011

No ser incluido dentro de la auditora el manejo o uso dado a cada laboratorio del que este departamento este a cargo pues el tiempo y los recursos humanos son insuficientes.

5. IDENTIFICACIN DE RECURSOS.

Auditoria Informtica

Recursos Materiales y Tcnicos

Solicitar documentos sobre los equipos, nmero de ellos, localizacin y caractersticas.
Estudios de viabilidad. Cantidad de equipos, localizacin y las caractersticas (de los equipos instalados, por

instalar y programados) Fechas de instalacin de los equipos y planes de instalacin. Contratos vigentes de compra, renta y servicio de mantenimiento. Contratos de seguros. Convenios que se tienen con otras instalaciones. Configuracin de los equipos y capacidades actuales y mximas. Planes de expansin. Ubicacin general de los equipos. Polticas de operacin. Polticas de uso de los equipos.

Recursos de Sistemas
Descripcin general de los sistemas instalados y de los que estn por instalarse que contengan volmenes de informacin.
Manual de procedimientos de los sistemas. Diagramas de entrada, archivos, salida. Fecha de instalacin de los sistemas. Proyecto de instalacin de nuevos sistemas.

Recursos Humanos
Para completar el grupo, como colaboradores directos en la realizacin de la auditora se deben tener personas con las siguientes caractersticas: Profesin 2 Ingenieros en Sistemas y Telecomunicaciones 1 Persona encargada de supervisarlos Actividades y conocimientos deseables Con experiencia en el mantenimiento de Bases de Datos. Conocimiento de productos compatibles y equivalentes. Experto organizador y coordinador. Especialista en el anlisis de flujos de informacin, con experiencia en ramas distintas.

6. Metodologa
METODOLOGIA CHECKLIST En esta auditora se utilizar el mtodo Checklist (lista de chequeo), el cual nos ayudar a reunir los datos para cumplir con nuestros objetivos anteriormente mencionados. Este mtodo esta basado en riesgos contra control y costo. Este mtodo constar con una serie de preguntas para posteriormente verificar y evaluar la situacin del departamento auditado.
En nuestro caso particular se ha dividido la lista de control en los siguientes apartados:

Conocimiento del Hardware Conocimiento del sistema: Inventario Software Pruebas

Auditoria Informtica
Planes de contingencia

INFORME FINAL DE LA AUDITORA Universidad Tecnolgica de Tamaulipas Norte Fecha de auditora: 04/07/2011 Fecha de informe: 04/08/2011 Encargados del Departamento: Ing. Milton Gmez Durham Encargado de rea de sistemas Ing. Telemtica Ing. Jorge Emilio Manrique Herrera Jefe de sistemas y Telecomunicaciones Ing. Telemtica Ing. Vernica Iliana Calles Encargados de Sistemas Auditores: Sal Rodrguez Santos Eduardo Napolen Ochoa Cant Olivia Briseida Cerda Ziga Ana Dalia Torres Esquivel Objetivos Asegurar la Proteccin y Veracidad de la Informacin. Evaluacin del Funcionamiento Interno de los Tcnicos encargados de los Servidores. Revisin de Tiempos y Optimizacin de trmites sobre los Equipos. Minimizar existencias de riesgo en el uso de la informacin. Determinar si existen garantas suficientes para proteger el acceso a la informacin reservada de la institucin y la integridad de la misma. Determinar si el proceso de generacin de copias de respaldo es fiable y garantiza la recuperacin de informacin. Alcance
Elaborar un inventario de las mquinas y el software ms usado. Especificar y documentar las observaciones de las mquinas que requieren una apreciacin

exclusiva. Como el servidor. Realizar un anlisis preliminar sobre el estado general del CATI. Realizar un listado del software instalado para cada PC. Solicitar al responsable del laboratorio copias acerca de manuales, polticas y llevar a cabo una revisin general. Definir con precisin el alcance de la auditora

1. Conocimiento del Hardware: Servers a) Situacin Durante nuestra revisin, hemos observado lo siguiente:

Si tienen reconocimiento visual de existencia No se cuenta con identificacin para cada unidad Se localiza en un lugar especifico El lugar es adecuado para los equipos Todos los equipos cuentan con teclado Todos los equipos tienen monitores de referencia

Auditoria Informtica
Se puede tener acceso va internet y telnet adems su acceso esta restringido a ciertos usuarios

b) Tendencias
Probabilidad de extraviar algn equipo

c) Puntos dbiles
La Falta de identificacin de los equipos

d) Sugerencias

Identificar cada uno de los equipos para tener un control adecuado y evitar el extravo de alguno de ellos

e) ndice de importancia establecida

1 ( uno )

2. Conocimiento del Sistema Inventario a) Situacin Durante nuestra revisin, hemos observado lo siguiente:

Existe un inventario Se realizan revisiones peridicamente Se conoce la procedencia de cada rubro Cuentan un registro del personal Hay un nivel de funcionalidad Se distingue en estos registros, nmero de mquina y fallas Presentan informes de la situacin del departamento a los jefes de Gestin de la UTTN y los jefes de Informtica Se tiene conocimiento de los elementos ms crticos. Se lleva un orden para actualizar un equipo de acuerdo a su estado Se tiene conocimiento de todo el material existente. b) Tendencias
No existir descontrol del inventario

c) Puntos dbiles
Todo esta en condiciones favorables as que no hay puntos dbiles.

d) Sugerencias
Mantener estas condiciones para que no alteren la estabilidad en canto al inventario

e) ndice de importancia establecida

0 ( cero )

Auditoria Informtica
Software a) Situacin
Hemos observado que el CATI ha tenido en cuenta las distintas versiones de los elementos de

Software. Realiza Actualizaciones Constantes Modifican y mejoran el cdigo fuente de sus programas dependiendo del rea No esta disponible el cdigo fuente por seguridad ante la informacin que se maneja Se han hecho estudios costo/beneficio para determinar cambios en los sistemas del departamento o mejorarlos Se ha identificado qu cdigos fuente son propiedad de otras entidades Los usuarios no pueden realizar cambios de software Se ha verificado en general los productos adquiridos recientemente como son los contratos de utilizacin y cdigos fuente

b) Tendencias
No hay posibilidad de modificar voluntaria o involuntariamente los elementos del

procesamiento de datos (programas, archivos de datos, definiciones de seguridad de acceso, etc ) o bien accesos a datos confidenciales por personas no autorizadas . c) Puntos dbiles
Todo esta en condiciones favorables as que no hay puntos dbiles.

d) Sugerencias
Mantener estas condiciones para que no alteren la estabilidad en cuanto al software

e) ndice de importancia establecida

2 ( dos )

Pruebas a) Situacin

Somete los elementos ms crticos a una pruebas especial Personal interno realizan dichas pruebas Los responsables de realizar las pruebas cuentan con la formacin adecuada Cuando se hacen pruebas en los datos confidenciales, se asegura que sean ficticios o no relevantes, y si deben ser reales, se asegura que sean eliminados despus de la prueba

b) Tendencias
Hay mayor probabilidad de que todo este funcionando correctamente debido al uso de las

pruebas c) Puntos dbiles

Todo esta en condiciones favorables as que no hay puntos dbiles.

Auditoria Informtica
d) Sugerencias
Mantener estas condiciones para que no alteren la estabilidad en cuanto al software

e) ndice de importancia establecida

1 ( uno )

Planes de Contingencia a) Situacin En el transcurso de nuestro trabajo hemos observado lo siguiente:

El personal de la UTTN sabe que tiene soporte si ocurren problemas Existen planes de contingencia En el plan se identifican todos los riesgos y sus posibles alternativas

b) Tendencias
Existir un mejor manejo de los problemas que se pudieran presentar

c) Puntos dbiles
Todo esta en condiciones favorables as que no hay puntos dbiles.

d) Sugerencias
Mantener estas condiciones para que no alteren la estabilidad en cuanto al plan de contingencia

e) ndice de importancia establecida

0 ( cero )

Repositorio: Seguridad a) Situacin De acuerdo a lo revelado hemos constatado que:

Existen niveles de acceso permitidos, los cuales son establecidos conforme a la funcin que

cumple cada uno de los usuarios. Los usuarios definidos al rotar o retirarse del local no son borrados de los perfiles de acceso. Las terminales en uso y dado un cierto tipo de inactividad no salen del sistema. El sistema informtico solicita al usuario, el cambio del Password en forma mensual. No se dispone de generador de energa auxiliar para asegurar la corriente a los servidores

b) Tendencias
Existe la imposibilidad de establecer responsabilidades dado que esta se encuentra dividida

entre el rea de sistemas y los usuarios finales. c) Puntos dbiles

No dispone de un generador de energa auxiliar

Auditoria Informtica
d) Sugerencia
Implementar algn software de seguridad y auditora existente en el mercado o desarrollar uno

propio.
Establecer una metodologa que permita ejercer un control efectivo sobre el uso o modificacin

de los programas o archivos por el personal autorizado. e) ndice de importancia establecida

0 ( cero )

INTRODUCCIN Universidad Tecnolgica de Tamaulipas Norte Fecha de auditora: 04/07/2011 Fecha de informe: 04/08/2011 Objetivos

Asegurar la Proteccin y Veracidad de la Informacin, Evaluacin del Funcionamiento Interno de los Tcnicos encargados de los Servidores. Revisin de Tiempos y Optimizacin de trmites sobre los Equipos. Minimizar existencias de riesgo en el uso de la informacin. Determinar si existen garantas suficientes para proteger el acceso a la informacin reservada de la institucin y la integridad de la misma. Determinar si el proceso de generacin de copias de respaldo es fiable y garantiza la recuperacin de informacin.

Alcance
Realizar un listado de los principales programas instalados en los equipos con los listados para

cada PC.
Especificar y documentar las observaciones especiales de las mquinas que requieran una

apreciacin exclusiva. Como el servidor y los componentes especiales. Realizar un anlisis preliminar sobre el estado general del CATI. Solicitar al responsable del laboratorio copias sobre desimantacin existente acerca de manuales, polticas y hacer un chequeo para anlisis. Definir con precisin el alcance de la auditora.

Sntesis de la revisin realizada, clasificado en las siguientes secciones:

1. Conocimiento del Hardware: Servidores 2. Conocimiento del Sistema a. Inventario b. Software c. Pruebas d. Planes de Contingencia 3. Repositorio: Seguridad

Auditoria Informtica
El contenido del informe ha sido dividido de la siguiente forma a efectos de facilitar su anlisis.
a) Situacin. Describe brevemente las debilidades resultantes de nuestro anlisis. b) Tendencias. Enuncian los posibles riesgos a que se encuentran expuestos las

operaciones realizadas por la Auditoria. c) Puntos dbiles. Describe las debilidades de departamento. d) Sugerencias. Indicamos a la Direccion la adopcin de las medidas correctivas tendientes a subsanar las debilidades comentadas. e) ndice de importancia establecida. Indica con una calificacin del 0 al 3 el grado crtico del problema y la oportunidad en que se deben tomar las acciones correctivas del caso. 0 = Alto ( acciones correctivas inmediatas) 1 = Alto ( acciones preventivas inmediatas) 2 = Medio ( acciones diferidas correctivas) 3 = Bajo ( acciones diferidas preventivas) Despus de llevar a acabo la auditora y segn el anlisis realizado hemos encontrado fallas, entre ellas encontramos lo siguiente: No existe un Comit y plan informtico Una gran falta de organizacin y administracin del rea Fallas en la seguridad fsica y lgica No existe una auditora de sistemas Falta respaldo a las operaciones Accesos de los usuarios No existe plan de contingencias, entorno de desarrollo y mantenimiento de las aplicaciones . ORDEN DE LAS FALLAS SEGN SU IMPORTANCIA Y GRAVEDAD 1- Auditora de sistema. 2- Fallas en la Seguridad fsica y lgica. 3- Fallas en la organizacin y administracin del rea. 4- Plan de contingencias y entorno de desarrollo 5- Comit y plan informtico. 6- Mantenimiento de aplicaciones. Agradecemos la colaboracin prestada durante nuestra visita por todo el personal de la UTTN y quedamos a su disposicin para cualquier aclaracin y/o ampliacin de la presente que estime necesaria.