DICTAMEN DE LA AUDITORIA INFORMÁTICA Resultado de la práctica de auditoría informática realizada al 27 de mayo del 2010 por el Tecnólogo Eduardo Ramírez estudiante del X nivel de Informática de la UNITA Ibarra Al Lic. Bolívar Arévalo RECTOR DEL ISPED JORGE MOSQUERA 1. He auditado el área informática correspondiente al servicio del laboratorio de sistemas y he evaluado el nivel de riesgo de informática que el centro de apoyo que el Instituto Pedagógico Jorge Mosquera de la ciudad de Zamora presenta al 27 de mayo del 2010, con las notas y anexos que se adjuntan, preparados por el Ingeniero Eduardo Ramírez. Los hechos presentes en el área de informática del laboratorio, son responsabilidad de quienes hacen uso del servicio de informática; mi responsabilidad es expresar una opinión sobre dichos hechos basados en nuestra auditoría. 2. He conducido la práctica de acuerdo con los lineamientos de las Normas Interbnacionales de Auditoria (NIA), Normas de Auditoría Generalmente Aceptadas y a las Normas Ecuatorianas de Auditoría aplicables a la auditoría informática. No existen normas formales expresas relacionadas directamente con la auditoría informática por lo que ha sido preciso adoptar Normas generales para la ejecución de nuestro trabajo. Estas normas requieren planear y efectuar el proceso de auditoría para obtener seguridad razonable con el propósito de informar si los hechos a revisar presentan riesgos significativos. Este examen incluye pruebas selectivas que respaldan exposiciones de los hechos presentes. Consideramos que la auditoría suministra una base razonable para nuestra opinión. Se realizó un chequeo general al ambiente hardware para conocer el estado actual de los equipos multiusuario Se efectuó una revisión general del ambiente software para conocer el estado actual de los programas. Se evaluó el servicio de informática de acuerdo a cuestionarios de estudio o seguimiento, con el propósito de conocer los principales inconvenientes y requerimientos tanto de catedráticos como de alumnos y además se incluyó en este estudio la opinión del laboratorista. Se examinó la estructura del laboratorio con respecto a la distribución de las máquinas con el propósito de conocer la factibilidad de una distribución más óptima. 3. Este dictamen está destinado para ser utilizado según estime conveniente de acuerdo a su criterio y aclaramos que esta práctica de auditoría informática se realizó con el propósito principal de poner en práctica los conocimientos adquiridos en la cátedra de Auditoría Informática, ofrecer un aporte al mejoramiento del servicio que brinda la universidad respecto al área informática y aplicar en la práctica los conocimientos de la cátedra correspondiente a esta materia. 4. El área informática del laboratorio de sistemas presenta un nivel de riesgo medio en sus aspectos más significativos para la presente fecha, aunque su nivel de servicio se presta razonablemente de acuerdo a los medios existentes para ofrecerse.
Instituto Pedagógico Jorge Mosquera Centro Zamora PROGRAMA DE AUDITORÍA INFORMÁTICA PARA REVISIÓN DEL AMBIENTE GENERAL Y AMBIENTE SOFTWARE Fecha : Elaborado por : Revisado por : N Procedimiento Responsable Fecha Documentación a PT examinar Elaborar un listado de las 02-03-10 Inventario L-1 1 máquinas y de los programas más usados usando el listado Sugerido 2 Especificar y documentar las observaciones especiales de las máquinas que requieran una apreciación exclusiva. Como el servidor, Equipos con componentes especiales, etc. 02-03-10 L-2 3 Elaborar un diagrama de la estructura y conexiones de red con los correspondientes equipos. 02-03-10 D-1 4 Realizar un análisis preliminar sobre el estado general del laboratorio 02-03-10 AN-1
Instituto Pedagógico Jorge Mosquera Centro Zamora PROGRAMA DE AUDITORÍA INFORMÁTICA PARA REVISIÓN DEL AMBIENTE GENERAL Y AMBIENTE SOFTWARE Fecha : Elaborado por : Revisado por : No. Procedimiento Responsable(s) Fecha Documentación a PT examinar 1 Realizar un listado de los 03-03-10 L-3 principales programas instaladas la 15 en los equipos con los listados para cada PC. 2 Seleccionar los programas más importantes para análisis y elaborar un listado de los mismos 03-03-10 L-4 3 Verificar y listar los controles existentes para el manejo de los programas, como accesos y otros. 4 Solicitar al responsable del laboratorio copias sobre documentación existente acerca de manuales, políticas, horarios, registros sobre usuarios de Internet, entre otros y hacer un chequeo para análisis. 5 Elaborar una Matriz DOFA Sobre los componentes generales del laboratorio tomando en cuenta los aspectos de servicio para los estudiantes, profesores, controles y requerimiento 03-03-10 L-5 03-03-10 Manuales, políticas, horarios, registros sobre uso de Internet, entre otros Para Arch. Gen. 03-03-10 A-4 Para arch. De análisis 6 Definir con precisión el alcance de la auditoria 03-03-10 Para arch. General
Instituto Pedagógico Jorge Mosquera Centro Zamora PROGRAMA DE AUDITORÍA INFORMÁTICA PARA EVALUAR EL ÁREA DE SERVICIO Fecha : Elaborado por : Revisado por : No. Procedimiento Responsable(s) Fecha Documentación a PT examinar 1 Realizar las entrevistas personales - 04-03-10 B-l con catedráticos de sistemas utilizando el cuestionario de estudio, solo a catedráticos presentes durante horas correspondientes a la asignatura. 2 Definir según muestreo un número de estudiantes para efectuar entrevistas. 04-03-10 Listas de estudiantes Arch. de análi. 3 Realizar entrevistas personales a estudiantes de sistemas de sistemas utilizando el cuestionario de estudio. 4 Realizar las entrevistas personales a los laboratoristas, utilizando el cuestionario de estudio. 5 Tabular los datos para efectuar el análisis respectivo 6 Elaborar un análisis sobre los aspectos más importantes dentro del servicio de informática, como incremento de usuario de Internet, incremento de máquinas, programas, entre otros 7 Identificar y listar los posibles riesgos existentes en el área de informática 8 Listar las primeras conclusiones del análisis y k identificación de riesgos realizados. 04-03-10 B-2 09-03-10 B-3 09-03-10 B-4 11-03-10 AN-2 12-03-10 B-5 13-03-10 B-6
INFORME DE AUDITORIA SOBRE LA PRÁCTICA DE AUDITORIA INFORMÁTICA EFECTUADA AL 27 DE MAYO DEL 2010 EN EL ISPED JORGE MOSQUERA DE ZAMORA Al Lic. Bolívar Arévalo RECTOR DEL ISPED JORGE MOSQUERA En uso de su aprobación para la realización de la práctica de auditoría informática en el laboratorio de la universidad, se procedió a ejecutar el plan general de la práctica presentado el día lunes 27 de Mayo del 2010, cuyos detalles de la ejecución se muestran en el presente informa de anexos: I. OBJETO DE AUDITORIA Llevar a la práctica los conocimientos recibidos dentro de la cátedra correspondiente a esta área. Además la revisión y estudio del servicio de informática que presta la universidad dentro del laboratorio. El período auditado en el presente informe se extiende desde el 02/03/10 hasta el 31/05/10. II. ALCANCE DEL EXAMEN El presente examen fue realizado de conformidad con las normas de auditoría generalmente aceptadas, habiéndose practicado los siguientes procedimientos: 1. Análisis y estudio del área informática: Entorno Software general: programas y aplicaciones. Entorno Hardware: equipos y accesorios. Análisis FODA: debilidades, Oportunidades, Fortalezas y Amenazas.
2. Análisis de la documentación proporcionada: 2.1. Por el responsable del laboratorio: - Políticas, Manuales, Procedimientos - Inventarios y listado de registros de los equipos. 2.2. Por la Dirección académica: - Organización de horarios de estudio. 3. Entrevistas concertadas: - A 2 catedráticos del área de informáticas. - A 50 estudiantes de la carrera de informática. - Responsables del laboratorio. 4. Requerimientos de información: - Información general del servicio de informática. - Descripción del hardware (ordenadores) - Descripción del software. - Sistemas de seguridad. - Aplicaciones. 5. Elaboración de cuestionarios: Los cuestionarios fueron elaborados teniendo en cuenta los aspectos generales que esta auditoría puede abarcar, como el conocimiento de las principales dificultades que se presentan en el laboratorio y el requerimiento de recursos.
III. ACLARACIONES PREVIAS 1. Sobre el alcance de la auditoría: Se ha de realizado la auditoría enfocada únicamente a un análisis interno dado el corto periodo en el cual se ha iniciado el servicio del laboratorio. 2. Sobre el aspecto legal: Conocemos que no es procedente la revisión de certificados de autorización para el uso del software que se utiliza en el laboratorio y puesto que es claro que este aspecto está relacionado con los costos del servicio, solo hacemos hincapié que las decisiones sobre este aspecto deben ser consideradas únicamente por la dirección de la universidad. 3. Sobre la opinión de los encuestados: Hemos decidido reservar las opiniones individuales de los estudiantes y profesores que fueron entrevistados, por razones de discreción por lo que haremos referencia únicamente a los "resultados de las encuestas" en el momento de mencionar algunas referencias relacionados con estas. IV COMENTARIOS Y OBSERVACIONES 1. Sobre el Servidor: Las características de hardware del servidor son las mismas que las de los computadores para usuarios. Este equipo requiere de características especiales para un mejor desempeño. Nuestra recomendación es implementar un servidor con mayor capacidad o mejorar las características del servidor actual para evitar que existan fallas regulares. Las características necesarias son: Mayor memoria, mayor velocidad del procesador.
2. Sobre los Quemadores de CD: Los equipos para usuarios no cuentan con quemadores individuales que faciliten el almacenamiento de información y además con frecuencia el laboratorista debe atender a varias personas para grabar información en CD's, lo que hace que se pierda. Actualmente, se utilizan CD's para almacenar archivos de gran tamaño. Nuestra sugerencia es instalar al menos en la mayoría de los equipos los DVD Writers. Esto reducirá la pérdida de tiempo para los usuarios y puede evitar la pérdida de información por daños en las computadoras. 3. Sobre el requerimiento de un UPC: No existe un sistema de control para fallos de energía eléctrica, lo cual puede ocasionar daños en las máquinas y pérdida de información. Para evitar pérdidas de información y daños en los equipos, es conveniente adquirir sistemas UPC, que protejan los equipos de los cortes del fluido eléctrico. 4. sobre el requerimiento de Equipos: Los equipos actuales no son suficientes para las prácticas de los estudiantes. Es evidente el incremento del número de estudiantes y es una prioridad para el inicio del siguiente año académico contar con un número mayor de equipos de cómputo. Este informe incluye en el anexo una distribución sugerida para la instalación de 20 Pc's en el aula anterior al laboratorio. B) En el entorno Software: 1. sobre los programas y utilitarios: Aquí se encuentran algunas observaciones respecto a algunos programas importantes que -deben ser optimizados para evitar pérdidas de tiempo:
Utilitarios importantes Estado Observaciones Office 2007: Word, Excel, Power Point Internet Antivirus Net Bueno Bueno Regular Requiere mantenimiento frecuente Se debe prohibir la descarga e instalación de nuevas barras de herramientas y programas similares. Existe el Programa Firewall q se activa frecuentemente y no permite el normal funcionamiento. 2. Sobre programas mal instalados: Algunas máquinas poseen los programas incompletos como es el caso de Office 2007 que en algunas ocasiones solicita el Cd instalador para activar alguna función especial. Recomendamos que para los programas más importantes la instalación se haga completa, pera no ocasionar pérdidas de tiempo a los usuarios, salvo si esto implica un bajo rendimiento de las máquinas. 3. Sobre protección antivirus: Se utiliza actualmente el antivirus Nod 32 y Avast. Aunque no todos los antivirus que hay en el mercado presentan alta efectividad, se recomienda siempre que las máquinas posean mínimo 2 programas antivirus para mayor eficacia en el mantenimiento. 4. Sobre las actualizaciones: Tanto equipos como software requieren de actualizaciones periódicas de acuerdo a los requerimientos generales del Instituto. Estas actualizaciones no se hacen siguiendo una normativa establecida y se requiere establecer los parámetros para efectuar dichas actualizaciones. Tales parámetros pueden ser: la frecuencia con la que se debe actualizar los equipos, el tipo de actualización, el cuidado que se debe tener con los computadores actualizados, entre otras.
5. Sobre la seguridad de Internet: Actualmente se utiliza el programa Firewall: Zone Alarm Pro, El programa Lavasoft, Con buenos resultados, sin embargo se activa continuamente y dificulta el normal funcionamiento de algunos programas. Recomendamos el uso de sistemas como el que incluye Internet Explorer en la opción de seguridad como indica en el gráfico, en donde es posible restringir los accesos a sitios con alto riesgo de virus, y a la vez las restricciones pueden configurarse con contraseñas. El uso de esta herramienta de Internet, tiene la ventaja de que no requiere una gran cantidad de memoria adicional para este proceso, lo cual no reduce la velocidad considerablemente. C) En el aspecto de seguridad general: Sobre los riesgos en los equipos del laboratorio Se presenta riesgos con respecto a la energía eléctrica, ya que es muy inestable. D) En el servicio: 1. Sobre la distribución de los equipos: Los equipos han sido distribuidos en forma técnica para el momento del inicio del laboratorio. Sin embargo, con el incremento de alumnos en la carrera de sistemas se requiere una reubicación y una distribución más óptima en un sitio con capacidad para un número mayor de computadores. 2. Sobre la coordinación de horarios: No se llevan a cabo juntas de área entre catedráticos de sistemas que permitan coordinar de mejor forma las actividades a realizar durante el periodo académico. Recomendamos que con anticipación, se realicen juntas de área solo entre los catedráticos que hacen uso del laboratorio para que los laboratoristas tengan tiempo suficiente para la instalación de los programas que serán utilizados por dichos catedráticos.
3. Sobre la elaboración de manuales de procedimiento: No existen manuales de procedimiento con los que se ejecuten procesos importantes dentro del laboratorio. Se requieren elaborar manuales de procedimientos avalados por la dirección, que permitan un correcto uso de las máquinas, y que mencionen procedimientos importantes como: 5.1 Instalación de programas. 5.2 Reparaciones emergentes. 5.3 Desinstalación de programas no utilizados. 5.4 Sanciones por incumplimiento de las normas internas del laboratorio. 5.5 Actualizaciones. 5.6 Mantenimiento. V. RECOMENDACIONES 1. Tener mejor control de las personas que ingresan a laboratorio 2. Realizar mantenimiento de los equipos periódicamente. 3. Aumentar la capacidad del servidor. 4. Instalar DVD Writers en la mayoría de las máquinas. 5. Adquirir e instalar un UPC para seguridad eléctrica 6. Adquirir más equipos con características idóneas de rendimiento 7. Instalar las aplicaciones importantes correctamente y completamente y además cuidar en un sitio seguro los cd's instaladores. 6. Instalar dos programas antivirus en los equipos. 7. Puede usarse el firewall de Internet Explorer con contraseña para evitar las interrupciones continuas. 8. Instar a los estudiantes a un uso correcto del servicio de informática y al cuidado de los equipos. 9. Utilizar el servicio de Internet para crear un campus virtual como un servicio adicional dentro de la institución. 10. Elaborar manuales de procedimiento para el desarrollo de procesos como instalaciones, Reparaciones emergentes, mantenimiento, entre otros. 11. VI. LUGAR Y FECHA DE EMISIÓN DEL INFORME. Zamora, 27 de Mayo del 2010
Anexo 1 Análisis FODA Hemos elaborado una matriz de análisis FODA para evaluar el servicio de informática, la cual presentamos a continuación: Instituto Pedagógico Jorge Mosquera Centro Zamora ANÁLISIS FODA SOBRE EL SERVICIO OVE PRESTA LA UNIANDES IBARRA DENTRO DEL LABORA TORIO DE INFORMA TICA Debilidades Oportunidades Fortalezas Amenazas Espacio físico insuficiente Poca ventilación Distribución de equipos poco apropiada Equipos insuficientes Algunos programas están mal instalados por ser copias. Actualización de equipos y software Capacitación constante Ampliación del espacio físico Mantenimiento permanente Equipos propios de la institución Conexión en red Servicio de Internet gratuito para estudiantes Conexión a tierra 2 Laboratoristas Horario extendido hasta las 14:00PM Virus Pérdida de información Cortes de energía eléctrica
Anexo 2 Distribución sugerida para los equipos en el salón contiguo al laboratorio 13Mts.
Anexo 3 Instituto Pedagógico Jorge Mosquera Centro Zamora CUESTIONARIO DE ESTUDIO PARA DOCENTES Fecha : Elaborado por : Revisado por : Nombre del encuestado : Marque con una X la casilla correspondiente a la respuesta y llene las especificaciones según opinión personal. N Pregunta Respuestas 1 Cuenta con los recursos suficientes para llevar a cabo la Sí No Se requieren recursos como: cátedra sin inconvenientes? 2 Cree usted que se deben hacer mejorar importantes para el servicio de informática? Si No Sí dentro del presente año Sí pero en los siguientes años 3 Qué tipo de mejoras considera que se deben hacer al corto plazo? 4 Cuál de los siguientes aspectos considera que podría desarrollarse en mayor medida dentro de esta universidad? 5 Piensa usted que es posible Obtener un mejor beneficio con la tecnología de Internet con la que cuenta la universidad? Sí Tecnología en equipos Desarrollo de software y capacitación en nuevas aplicaciones Servicios de Internet Comunicaciones y Redes Aplicaciones multimedia No Qué beneficios se pueden obtener? 6 Ha tenido inconvenientes relativos al área de informática en el Si No Podría describir algunos?
Anexo 4 Instituto Pedagógico Jorge Mosquera Centro Zamora CUESTIONARIO DE ESTUDIO PARA ESTUDIANTES Fecha : Elaborado por : Revisado por : Nombre del encuestado : Marque con una X la casilla correspondiente a la respuesta y llene las especificaciones según opinión personal. Pregunta Cuenta con los recursos suficientes para recibir la cátedra sin inconvenientes? - Sí No Respuestas Se requieren recursos como: Cree usted que se deben hacer mejorar importantes para recibir un mejor servicio en informática? Si No Sí dentro del presente año Sí pero en los siguientes años Qué tipo de mejoras considera que se deben hacer al corto plazo? En cuál de los siguientes aspectos le interesaría especializarse? (Marque solo uno) Tecnología en equipos Desarrollo de software y capacitación en nuevas aplicaciones Servicios de Internet Comunicaciones y Redes Aplicaciones multimedia Piensa usted que es posible Obtener un mejor beneficio con la tecnología de Internet con la que cuenta a universidad? Sí No Qué beneficios se pueden obtener? Ha tenido inconvenientes al momento de recibir las cátedras de sistemas dentro del laboratorio? Sí No Podría describir algunos?
Anexo 5 Instituto Pedagógico Jorge Mosquera Centro Zamora CUESTIONARIO DE ESTUDIO PARA LABORATORISTA Marque con una X la casilla correspondiente a la respuesta y llene las especificaciones según opinión personal. No. Pregunta Respuestas 1 Cuáles son según su criterio, los recursos más indispensables para mejorar el servicio de informática? 2 Cree usted que se deben hacer mejorar importantes para brindar un mejor servicio en informática? Si No Si dentro del presente año Si pero en los siguientes años 3 Qué sistemas de seguridad existen para evitar pérdidas o daños de las máquinas? Ejemplo: Conexión a tierra, UPS, vigilancia, etc, SISTEMA EFICIENCIA (Óptima, regular, deficiente) 4 Qué sistemas de seguridad existen para evitar pérdidas o daños de la información? Ejemplo: Antivirus, Copias de respaldo importantes en CDs, etc. SISTEMA EFICIENCIA (Óptima, regular, deficiente) 5 Piensa usted que es posible Obtener un mejor beneficio con la tecnología de Internet con la que cuenta la universidad? Sí No Qué beneficios se pueden obtener?." 6 Ha tenido inconvenientes en el desempeño de sus actividades? Sí No Podría describir algunos? -
Plan General aplicado al ISPED de Zamora Estas actividades están organizadas en tres fases: FASES ACTIVIDAD PRINCIPAL FECHA PRIMERA FASE: Diagnóstico preliminar y definición de áreas auditables Marzo del 2010. SEGUNDA FASE: Desarrollo de la auditoría. Abril del 2010. TERCERA FASE: Elaboración y entrega del Informe Mayo del 2010. PRIMERA FASE: Diagnóstico preliminar y definición de áreas auditables (Mayo del 2010) Plan general:. No. Actividad Fecha Responsable(s) PT 1 Conocimiento general del laboratorio 03-2010 Objetivo: Tener una visión inicial para el análisis de auditoría en el laboratorio. 2 Revisión del Ambiente Hardware Objetivo: Conocer el estado de las máquinas y sus accesorios 3 Revisión del ambiente Software Objetivo: Reconocer los programas existentes y su estado de funcionamiento 4 Análisis DOFA(Debilidades, Oportunidades, Fortalezas y Amenazas) Objetivo: Realizar un diagnóstico previo al desarrollo de los procedimientos de auditoría informática. 5 Definición del Alcance de auditoría Objetivo: Especificar la cobertura del estudio de auditoria para la aplicación de los procedimientos. 03-2010 A-2 03-2010 A-3 03-2010 A-3 03-2010 A-3
SEGUNDA FASE: Desarrollo de la Auditoría (Abril del 2010) Plan General No. Actividad Fecha Responsable(s) PT 1 Entrevistas personales a catedráticos de la asignatura de sistemas Objetivo: Conocer la opinión de los catedráticos sobre los requerimientos en el laboratorio de informática 2 Entrevistas personales a estudiantes de sistemas Objetivo: Conocer la opinión de los estudiantes sobre los requerimientos y e! servicio de informática 3 Entrevista a los laboratoristas Objetivo: identificar las principales dificultades dentro del laboratorio de informática 4 Tabulación de datos Objetivo: Organizar la información obtenida para el proceso de análisis 5 Análisis de la información Objetivo: Determinar, comparar, detallar y documentar los aspectos más importantes que se definan en el área de informática 04-2010 " B-1 04-2010. B-2 04-2010 B-3 04-2010 B-4 04-2010 B-5 6 Identificación de riesgos Objetivo: Obtener una idea precisa de la estructura y funcionamiento del servicio de informática e identificar los riesgos potencias que se pueden cometer --en eh tratamiento de la información: almacenamiento, seguridad, comunicaciones. 04-2010 B-6 7 Obtención de las conclusiones Objetivo: Elaborar una lista de los primeros resultados sobre el estudio de la información recopilada. 04-2010 B-7
TERCERA FASE: Elaboración y entrega del Informe ( Mayo del 2010) Plan general No. Actividad Fecha Responsable(s) PT 1 Elaboración del informe en borrador 05-2010 Arch. general y Objetivo: Documentar el primer informe para de análisis discusión. 2 Discusión del primer informe 05-2010 Borrador Objetivo: Considerar la opinión de las. personas incluidas en la auditoría 3 Elaboración del informe final 05-2010 Arch. general y Objetivo: Argumentar el informe definitivo para de análisis su respectiva presentación: 4 Presentación del informe final 05-2010 Copia al - arch. Objetivo: Entregar el informe de auditoría permanente informática final al Dr. Lenin Burbano, Director del centro de apoyo Uniandes Ibarra
Definición del alcance de la Auditoria Informática Se estudiarán aspectos como ambiente hardware y software, sistemas de seguridad calidad de servicio y aplicaciones. En base a esta revisión se presentarán alternativas de mejoras que serán puestos a su consideración. Se ha de definir con precisión el área y objetivos perseguidos por k auditoria luego de k primera actividad concerniente al conocimiento general del área de informática. Cabe recalcar que parte del área de informática será auditado y algunos elementos de esta área quedarán fuera de esta práctica, tales como los sistemas administrativos financieros de k universidad y área informática del personal administrativo. Sin embargo queda a su consideración el que se realicen revisiones adicionales dentro de otras áreas según su criterio. Este plan general está sujeto a cambios que se consideren pertinentes.