Professional Documents
Culture Documents
Equipo que realizar la auditoria: Lder del proyecto: Carlos Alberto Anguiano de la Rosa Auditores por rea o funcin derivados de informtica: Marco Antonio Prez Cortes: Auxiliar de sistemas Julio Cesar Galvez Covarrubias: Auxiliar de informtica, intranet, paginas Web, servidor. Jess Antonio Gutirrez Lpez: Auxiliar de informtica, mantenimiento, diseo y servidor.
8 D
Introduccin
La etapa de diagnostico o etapa preliminar, es la primera de la metodologa, en ella, el auditor en informtica buscar la opinin de la alta direccin para verificar o tener conocimiento sobre el grado de satisfaccin que la empresa tiene de todo lo que se deriva del rea de informtica, es decir, de los productos, servicios, recursos, etc. En esta etapa, se detectan tambin, las fortalezas o aciertos que ofrece esta funcin a la empresa. Adems, es muy importante destacar que en esta etapa, se detectan tambin las reas de oportunidad que el rea de informtica puede ofrecer a la empresa. Esta etapa debe contar con tres productos terminados: Diagnostico de la empresa, diagnostico de informtica y las reas de oportunidad. El diagnostico del negocio, contiene una visin general de la empresa. En el, se especifica el giro del negocio, as como la misin y visin del mismo, la reas que lo componen, sus macroproyectos, objetivos, las polticas referentes a informtica, organigrama del negocio, relacin entre las diferentes reas del negocio, relacin del negocio con reas externas, etc. En el diagnostico de informtica se especifica lo referente al rea de informtica, es decir, ya no a toda la empresa, sino que se enfoca en dicha rea. En el documento, se describen cosas como la estructura interna del rea, las funciones de cada integrante del departamento, los objetivos, las estrategias utilizadas o a utilizar, los planes y polticas, la tecnologa y software, as como el hardware utilizados. reas de oportunidad es el documento donde se describen las caractersticas que lograrn facilitar la implantacin de soluciones que tendrn un impacto relevante en alguna funcin del negocio. As tambin, pueden proponerse acciones a corto, mediano o largo plazo.
El siguiente organigrama representa grficamente las reas en las que se divide la institucin.
Algunas de las fortalezas que se han detectado, son: El rea de informtica brinda consultoria a las dems reas, es decir, da soporte y asesoria para obtener soluciones de negocio. Dicha rea, brinda tambin soluciones en cuanto a sistematizacin de procesos del negocio se refiere. Por ejemplo: instala sistemas que son requeridos en el desarrollo de sus funciones operativas, tcticas o estratgicas.
El rea de informtica, se encarga tambin de desarrollo tecnolgico, como lo es la evaluacin y seleccin de tecnologa, la automatizacin de algunos procesos, telecomunicaciones, etc. Otra funcin del rea de informtica y fortaleza de la empresa es que dicha rea se encarga de todos los servicios operativos, esto es: instalacin de equipo de computo y de telecomunicaciones, ofrecer capacitacin en el uso de tecnologas, brindar atencin a fallas de software y hardware, etc.
La institucin auditada, tiene ciertas polticas referentes o aplicadas al rea de informtica en sus diferentes funciones, como son: Director de informtica - Dar seguimiento a programas de trabajo. - Informar al Presidente MPLA sobre avances. - Emitir los programas operativos anuales. - Responsable del control de documentos. Jefe de informtica - Apoyar al control de documentos. - Reportar pormenores al director. - Contactar proveedores de telefona. - Responsable de la informacin pblica y proteccin de datos del estado de Morelos. Auxiliar de sistemas - Vigilar funcionamiento de los sistemas existentes. - Reportar avances al jefe de informtica. Auxiliar de informtica, intranet, pagina Web, servidor. - Responsable de la unidad de info. Publica. - Responsable administrador del servidor. - Apoyo al programa hbitat en relacin a capacitacin. Auxiliar de informtica, diseo, mantenimiento, pagina Web. - Atender indicaciones del director. - Brindar el servicio de respaldo de informacin. - Responsable de edicin de audio. Auxiliar de informtica, mantenimiento, diseo y servidor. o Responsable de altas y bajas del equipo de cmputo. o Instalacin y actualizacin de software. o Realizacin y mantenimiento de cableado.
Diagnostico de informtica
Independientemente de los objetivos generales de la empresa, el rea de informtica tiene como objetivo establecer los requerimientos y lineamientos que se necesitan para
desarrollar las actividades de esta direccin, con un enfoque de promotor de gobierno para acercar a las distintas direcciones la tecnologa existente en medios electrnicos, optimizando recursos y ejecutando las operaciones mas rpidas acorde a una necesidad existente.
Cada una de estas funciones o reas, tiene polticas, las cuales se describen a continuacin: Director de informtica - Dar seguimiento a programas de trabajo. - Informar al Presidente MPLA sobre avances. - Emitir los programas operativos anuales.
- Responsable del control de documentos. Jefe de informtica - Apoyar al control de documentos. - Reportar pormenores al director. - Contactar proveedores de telefona. - Responsable de la informacin pblica y proteccin de datos del estado de Morelos. Auxiliar de sistemas - Vigilar funcionamiento de los sistemas existentes. - Reportar avances al jefe de informtica. Auxiliar de informtica, intranet, pagina Web, servidor. - Responsable de la unidad de info. Publica. - Responsable administrador del servidor. - Apoyo al programa hbitat en relacin a capacitacin. Auxiliar de informtica, diseo, mantenimiento, pagina Web. - Atender indicaciones del director. - Brindar el servicio de respaldo de informacin. - Responsable de edicin de audio. Auxiliar de informtica, mantenimiento, diseo y servidor. o Responsable de altas y bajas del equipo de cmputo. o Instalacin y actualizacin de software. o Realizacin y mantenimiento de cableado.
El rea de informtica, se encarga de todos los equipos de cmputo existentes en la institucin, por tanto, instala los componentes de software y hardware necesarios para desarrollar los procesos de la misma. La siguiente es una lista del software instalado en las computadoras de la empresa, adems de mostrar en cuantas de ellas se encuentra. Procesador de Palabras: Microsoft Word Hojas de Calculo: Microsoft Excel Manejador de BD: MySQL Presentador de texto: Adobe reader Correo Electrnico: ThunderBird Interfaz Grafica: Windows XP Computadoras que lo usan: 15 Computadoras que lo usan: 15 Computadoras que lo usan: 3 Computadoras que lo usan: 15 Computadoras que lo usan: 15 Computadoras que lo usan: 15
La siguiente tabla, describe quienes utilizan cada software: Software Procesador Palabras Hojas Clculo Manejador BD Presentador texto Correo Electrnico de de de de SI SI SI SI SI SI Uso Direccin SI SI Uso Gerencias SI SI Uso Jefaturas SI SI Uso nivel Operativo SI SI SI SI SI
De igual manera que se detalla quien utiliza cada software, a continuacin, se muestra una tabla donde se detalla la existencia (cuantos hay dentro de la empresa) y el uso de los componentes de hardware: Hardware PC`s Porttiles Minicomputadoras Redes locales Mainframes Redes Remotas Cantidad 10 5 5 2 1 1 Usado Direccin SI SI SI SI SI Usado Gerencias SI SI SI SI SI Uso Jefaturas SI SI SI SI Uso Nivel Operativo SI SI SI SI
reas de oportunidad
Propuestas de reas de oportunidad: Redes Locales (dividir por reas de la empresa) Control de datos (establecer control para no perderlos/respaldo) Documentacin de procesos (los realizados por cada funcin de informtica) Actualizacin de pagina Web (mas constante)
Etapa de Justificacin
Introduccin:
En esta etapa se justifica, analiza, evala y da razn de las reas o funciones que sern susceptibles de auditar. El auditor definir cuales reas o componentes del departamento de informtica sern revisados; adems se conseguir el compromiso con los integrantes del departamento, los usuarios y todos aquellos involucrados para que colaboren con el proceso de auditoria. Esta etapa deber concluir con tres productos resultantes: Matriz de riesgos: en este proceso se elabora una matriz, en la cual se analizan las reas que tienen mayor peligro en relacin a informtica, las cuales requieren una revisin mas formal y profunda. Plan general de auditoria en informtica: el plan general consiste en plantear las tareas que se llevaran a cabo durante el periodo de la auditoria en informtica. El plan generado slo busca definir los datos bsicos para que la alta direccin los analice y apruebe. Visto bueno o compromiso ejecutivo: aqu se busca la obtencin del visto bueno o aprobacin inicial de la alta direccin y dems responsables para continuar con el proyecto de auditoria en informtica.
Matriz de Riesgo
Las reas que se han definido para auditar son las siguientes: Auxiliar de sistemas Auxiliar de informtica, intranet, paginas Web, servidor. Auxiliar de informtica, mantenimiento, diseo y servidor.
rea de informtica del H. Ayuntamiento de Emiliano Zapata rea o funcin: Calidad de gestin Riesgo Auxiliar de Nivel de Tipo de medidas Efectivida Promedio Residua sistemas. l (**) riesgo de control d (*) Riesgo Inherente1: 5 1.- Respaldo 5 3.5 1.42 Perdida de datos constante en de algn sistema. dispositivos de almacenamiento 2.- Tener servidor de BD alterno. Riesgo Inherente2: 2 1.- Entrevistas Falta de anlisis de con clientes. requerimientos del 2.- Revisin sistema. constante Perfil de riesgo (Riesgo residual total) (***) .93 2
5 4
4.5
0.44
rea de informtica del H. Ayuntamiento de Emiliano Zapata rea o funcin : Calidad de gestin Auxiliar de Nivel de Tipo de medidas Efectivida Promedio informtica, riesgo de control d (**) intranet, paginas Web, servidor. Riesgo Inherente1: 2 1.- Emplear 4 4.5 Falta de personal actualizacin de capacitado y pgina Web. responsable 2.- Tener mas de 5 un responsable para actualizacin Riesgo Inherente2: 5 1.- Utilizacin de 5 4.6 Falta de servidor un servidor de respaldo. alternativo (gratuito) 2.- Establecer 4 periodos de mantenimiento a servidor. 3.- Usar servidor 5 alternativo mientras se da mantenimiento al principal. Perfil de riesgo (Riesgo residual total) (***) .57 rea o Funcin : Calidad de gestin Auxiliar de Nivel de Tipo de medidas Efectivida Promedio informtica, riesgo de control d (*) mantenimiento, diseo y servidor. Riesgo Inherente 1: Ataque de cdigos maliciosos, virus, gusanos, troyanos. Riesgo Inherente 2: Interferencias 4 1.- Instalacin de antivirus 2.- Actualizacin de la Base de Datos de virus. 5 1.- Monitoreo de intrusos 2.- Cifrado de Informacin 3.- Conexiones libres de falsos contactos 1.- Marcar 3 4 3.5
1.08
1.1
4 4 3 4
3.6
1.38
Riesgo Inherente
4.5
0.44
equipos que ya no sean tiles (si es que no se desechan) 2.- Desechar productos o equipos no tiles. Perfil de riesgo (Riesgo residual total) (***) .97
(*) Promedio de los datos de afectividad (**)Resultado de la divisin: nivel de riesgo / Promedio de efectividad (***) Promedio: se considera un mismo peso de ponderacin a los RI (Riesgos Inherentes)
MATRIZ DE RIESGOS
Empresa:
Gerencia: Informtica
Fecha de elaboracin: 26/04/2008 Lder del proyecto: Carlos Clasificacin del riesgo por rea (total)
Vidal Colin
Aspectos o componentes por evaluar del rea 1. Administracin de archivos 2. Metodologa 1. Capacitacin 2. Redundancia (Falta de Server de respaldo).
Suma: 50.4 Promedio: 25.2 Auxiliar de informtica, intranet, paginas Web, servidor 22 % 21.6 % Suma: 43.6 Promedio:21.8 Auxiliar de informtica, mantenimiento, diseo y servidor. 1. Ataques externos (virus, troyanos, spyware) 2. Interferencias 3. Administracin de hardware descontinuado. 27.5 % 27.6 % 22 % Suma: 77.1 Promedio 25.7 1 3
Para obtener la matriz de riesgos se realizan de acuerdo con los resultados de las tablas anteriores, considerando que el nivel de riesgo mas alto tiene una ponderacin de 5 (100%), el riesgo por componente se obtiene multiplicando el Riesgo Residual Total * 100 / 5, para cada aspecto o actividad por rea.
As pues, de acuerdo con el anlisis realizado, y los resultados obtenidos gracias a la matriz de riesgos, se auditaran las siguientes reas en el orden especificado a continuacin: 1. Auxiliar de Informtica, Mantenimiento, Diseo y Servidor 2. Auxiliar de Sistemas 3. Auxiliar de Informtica, Intranet, Paginas Web, Servidor.
Auxiliar de sistemas Auxiliar de informtica, intranet, paginas Web, Servidor. Auxiliar de informtica, mantenimiento, diseo y servidor
Administracin de archivos, Metodologa Capacitacin, Redundancia (falta de Server de respaldo. Ataques externos (virus, troyanos, spyware), Interferencias, Administracin de hardware descontinuado.
2 3
50.4 % 43.6 %
77.1 %
Etapa de Adecuacin
Introduccin
Esta etapa se encuentra compuesta por un conjunto de tareas estructuradas, las cuales permitirn que el proyecto de auditoria en informtica se adapte a las necesidades de la empresa estudiada, El auditor en informtica podr definir mejor los objetivos y requerimientos particulares, tomando como referencia la matriz de riesgo, con el objetivo de concluir exitosamente la revisin de las reas mencionadas en el plan de auditoria en informtica. Esta etapa contar con tres productos terminados: Plan general de auditoria en informtica (actualizado): a medida que avanza el proyecto, surgen cancelaciones, prioridades, requerimientos, expectativas, nuevos involucrados, etc., de acuerdo a todo esto, se actualiza el plan general de auditoria en informtica. Plan detallado de auditoria en informtica: en este documento, se define cada detalle de los elementos del proyecto; se especifican las tareas, productos terminados, responsables, fechas, etc. Definicin de tcnicas y herramientas: consiste en definir las tcnicas y herramientas necesarias para revisar eficientemente cada rea seleccionada, por ejemplo: software, herramientas de recoleccin de datos (entrevistas, encuestas, etc.)
Revisar Inventario y elaboracin de archivo de reportes archivos, reportes 2 Auxiliar de sistemas Administracin de para entregar a jefe de entregados y Metodologa depto. faltantes. Auxiliar de informtica, 3 Auxiliar Capacitacin, Redundancia (falta de de Revisin de Metodologa de intranet, paginas Web, Server de respaldo. informtica, procedimiento de actualizacin Servidor. intranet, actualizacin de de pgina Web. paginas Web, pgina Web. servidor. Auxiliar de informtica, Ataques externos (virus, troyanos, 1 Revisin de Anlisis de mantenimiento, diseo y spyware), Interferencias, servidor/necesidad servidor Administracin de hardware debilidades o de implementar un posibles fallas descontinuado. servidor del servidor. secundario (respaldo). Auxiliar de Verificacin de Reporte de los informtica, antivirus, productos y mantenimiento, antispywares, etc., anlisis de diseo y instalados. eficacia. servidor. Verificacin de Reporte de los mtodos para procesos o evitar metodos antiinterferencias, intrusos y intrusos, etc. proteccion de datos. Verificar las altas y Bajas de equipos Reporte de altas y bajas.
Verificar Auditores en 04/05/08 04/05/2008 08/05/08 10/05/2008 procedimientos de informtica diseo y actualizacin.
11/05/2008 Encontrar posibles 08/05/08 16/05/2008 10/05/08 fallas que afecten al servidor.
Auditores en informtica
11/05/08 12/05/08
13/05/08 14/05/08
15/05/08 16/05/08
Revisar elaboracin de reportes para entregar a jefe de depto. Auxiliar de Revisin de informtica, procedimiento de intranet, actualizacin de paginas Web, pgina Web. servidor. Revisin de servidor/necesidad de implementar un servidor secundario (respaldo). Auxiliar de informtica, mantenimiento, diseo y servidor. Verificacin de antivirus, antispywares, etc., instalados. Verificacin de los mtodos para evitar interferencias, intrusos, etc.
Auditores en informtica
Anexos
Concepto Giro y misin organigrama) reas del negocio del negocio (solicitar
Descripcin
Macroproyectos del negocio Objetivos del negocio Polticas referentes la funcin de informtica reas de oportunidad que se derivan de informtica
2) Cuestionario de soluciones de informtica (diagnstico de negocio) Cules de las siguientes soluciones le han sido proporcionadas por informtica y cmo las califica? E Soluciones de consultora - Asesora y soporte en la definicin, evaluacin y
seleccin de estrategias para la obtencin de soluciones de negocio
()
- Evaluacin y seleccin de tecnologa; definicin de nuevos enlaces con otras empresas va telecomunicaciones, automatizacin de oficinas, etc. Instalacin de equipo de cmputo y telecomunicaciones Capacitacin en el uso de la tecnologa Atencin a fallas de software y aplicaciones Atencin a fallas en equipos de cmputo y comunicaciones
() () () () ()
() () () () ()
() () () () ()
() () () () ()
Servicios operativos
3. Cuestionario de diagnstico actual (aspectos de informtica) Concepto Misin de organigrama) informtica (solicitar Descripcin
Polticas referentes a cada funcin de informtica reas de oportunidad que se derivan de informtica
Procesador de palabras
Nombre(s) Hojas de clculo/graficadores Nombre(s) Lenguajes/manejador de base de datos Nombre(s) Presentador/textos Nombre(s) Correo electrnico/Control de proyectos Nombre(s) Interfase grfica Nombre(s) () () () () () () () () () ()
* Es importante verificar el tipo de software que existe en la empresa antes de aplicar el cuestionario a cada gerente o subordinado que conozca bien esta informacin. El auditor en informtica deber tomar slo un muestreo aplicando el cuestionario a usuarios que considere claves y al responsable de informtica (para verificar congruencia)
* Los sistemas estratgicos de informacin apoyan directamente a la alta direccin en la toma de decisiones. Los sistemas tcticos apoyan al nivel gerencial en el desempeo de sus funciones administrativas y de toma de decisiones. Los sistemas operativos de informacin apoyan las actividades operativas diarias del negocio.
6. Software instalado (diagnstico de informtica) A = Usado por la direccin B = Usado por las gerencias C = Usado por jefaturas D = Usado por el nivel operativo A B () () C () D ()
Procesador de palabras
Nombre(s) Hojas de clculo/graficadores Nombre(s) Lenguajes/manejador de base de datos Nombre(s) Presentador/textos Nombre(s) Correo electrnico/Control de proyectos Nombre(s)
() () () ()
() () () ()
() () () ()
() () () ()
7.
A Computadoras personales Cantidad Modelo(s) Porttiles Cantidad Modelo(s) Minicomputadoras Cantidad Modelo(s) Redes locales Cantidad Modelo(s) Mainframes Cantidad Modelo(s) Redes remotas Red MAN o WAN Satlite ( ) Microondas ( ) Telefnica (X)
() () () () () ()
() () () () () ()
() () () () () ()
() () () () () ()
8. Cuestionario de capacitacin / actualizacin (diagnstico de informtica) E = Excelente B = Buena R = Regular D = Deficiente E Sistemas estratgicos de informacin Nombre (s) () Sistemas tcticos de informacin Nombre (s) () () () () () () () B R D
Sistemas operativos de informacin dedicados a tareas diarias y repetitivas (operacin) () Nombre (s)
()
()
()
B
() () () () () ()
R
() () () () () () () () () () () ()