Proyecto de Auditoria 13-2
-
Upload
311chopper -
Category
Documents
-
view
55 -
download
8
Transcript of Proyecto de Auditoria 13-2
PROYECTO DE AUDITORIA DE SISTEMAS A EL
LABORATORIO DE COMPUTO
ENTIDAD EDUCATIVA
:
Lic. Hildeberto Tovar Moreno.
RESUMEN
Proyecto de Auditoria de Sistemas a el laboratorio de computo
de la Universidad Insurgentes. Lic. Hildeberto Tovar Moreno. Av. Cuautemoc 1614, Colonia Juárez, .Tel. 57532437
La palabra auditoría viene del latín auditorius y de
esta proviene auditor, que tiene la virtud de oír y
revisar cuentas, pero debe estar encaminado a un
objetivo específico que es el de evaluar la eficiencia y
eficacia con que se está operando para que, por medio
del señalamiento de cursos alternativos de acción, se
tomen decisiones que permitan corregir los errores,
en caso de que existan, o bien mejorar la forma de
actuación. Algunos autores proporcionan otros
conceptos pero todos coinciden en hacer énfasis en la
revisión, evaluación y elaboración de un informe para
el ejecutivo encaminado a un objetivo específico en el
ambiente computacional y los sistemas. A
continuación se detallan algunos conceptos recogidos
de algunos expertos en la materia: Auditoría de
Sistemas es: La verificación de controles en el
procesamiento de la información, desarrollo de
sistemas e instalación con el objetivo de evaluar su
efectividad y presentar recomendaciones a la
Gerencia. La actividad dirigida a verificar y juzgar
información.
La auditoría de los sistemas de información se define
como cualquier auditoría que abarca la revisión y
evaluación de todos los aspectos (o de cualquier
porción de ellos) de los sistemas automáticos de
procesamiento de la información, incluidos los
procedimientos no automáticos relacionados con ellos
y las interfaces correspondientes.
El objetivo final que tiene este trabajo es aplicar un
análisis y estudio de las diferentes áreas de una
institución educativa en caso el laboratorio de
computo 3, nosotros al realizar la auditoria de
sistemas es dar recomendaciones, sugerencias,
alternativas a la alta gerencia es decir a la dirección
para informar la situación actual de los sistemas en
dicho laboratorio como punto inicial y mejorar o
lograr un adecuado control interno en ambientes de
tecnología informática con el fin de lograr mayor
eficiencia operacional y administrativa
El desarrollo del enfoque constará de 3 fases, la
primera presentada, contendrá la parte de
investigación y análisis de datos preliminar, así
mismo la metodología a emplear, en la segunda se
elaborará el informe de Auditoria y en la tercera, se
desarrollará el diagnóstico y la propuesta de solución.
Todos los puntos que contiene el proyecto de
Auditoría.
Actualmente en la institución educativa se tiene con
muy poco control en los laboratorios de computo,
donde se tiene un reglamento el cual no tiene fondo
de aplicación, el alumnado y profesores no tiene el
cuidado y no cumplen con las reglas de cuidado y
protección de los equipos, además de que no se
cuenta con un plan de mantenimiento, los equipos son
de buenas características de hardware pero tiene muy
poco rendimiento y optimización por el numero de
aplicaciones, paquetes y programas utilizados además
de que algunos nunca se utilizan, el funcionamiento
de la red es inestable en tofo tiempo tanto para el
compartir recursos o envió a el departamento de
impresión, se tiene un antivirus el cual no tiene
licencia y esta caduca, en ocasiones hay robo hormiga
de mouse o de partes internas de hardware.
Se requiere que aclarar que se les de un buen uso a
los equipos y mantenimiento para la mejora de los
alumnos, profesores y optimizar el funcionamiento de
los equipos de los 3 laboratorios de la institución
educativa. Se evaluara Hardware, infraestructura,
software, personal, redes y seguridad. En resumen se
tendrá la verificación de los siguientes puntos:
Eficiencia en el uso de los recursos
informáticos.
Efectividad de los controles
establecidos.
Figura 1.
Eficiencia de los recursos informáticos.
Se realizo una evaluación de riesgos para brindar una
garantía razonable de que todos los elementos
materiales fueran cubiertos adecuadamente durante la
auditoría. En ese momento fue posible establecer las
estrategias de auditoría, los niveles de materialidad y
los recursos necesarios para el levantamiento de la
misma.
El programa y/o plan de auditoría requirió de ajustes
durante el desarrollo de la auditoría para abordar las
situaciones que se iban presentando o surgiendo
(nuevos riesgos, suposiciones incorrectas o hallazgos
en los procedimientos ya realizados) durante la
auditoría.
Es importante aclarar que este proceso de planeación
depende en gran medida del diagnostico previo que
lleve acabo el auditor en informática sobre la
situación que prevalece en cada una de las áreas o
servicios de la función de informática. También se
deben considerar las necesidades o prioridades que
tenga la alta dirección de auditar o evaluar un área
especifica de informática. Para fines de este trabajo se
determina hasta el informe y algunas sugerencias
conformando las ventajas de este estudio además de
presentar una conclusión individual de las áreas o
operaciones auditadas con su funcionamiento gracias.
Referencias bibliográficas.
1. ALONSO RIVAS, GONZALO
Auditoria Informática.
Díaz de Santos. Madrid 1998. 187 págs.
2. JUAN RIVAS, ANTONIO DE y PÉREZ
PASCUAL, AURORA
La Auditoria en el desarrollo de Proyectos
Informáticos.
Díaz de Santos. Madrid 1998. 178 págs.
Auditoria de Sistemas. [ON LINE] Disponible en:
1. http://www.geocities.com/lsialer/NotasInte
resantes.htm
(consultado en 19 agosto, 2010)
Figura 2.
Auditoria se traduce en revisión y evaluación de los sistemas .
ABSTRACT
Systems Audit Project to the computer lab at the University
Insurgentes
Lic. Hildeberto Tovar Moreno. Av. Cuautemoc 1614, Colonia Juárez, .Tel. 5753243
23 de jul.
The audit comes from the Latin word auditorius and this
comes auditor, which has the power to hear and review
accounts, but must be aimed at a specific objective is to
evaluate the efficiency and effectiveness with which it is
operating so that, through the signaling of alternative courses
of action, decisions are taken to correct the errors, if any, or
how to improve performance. Some authors provide other
concepts but they all come to emphasize in the review,
evaluation and prepare a report for the executive aimed at a
specific target for the computing environment and systems.
Here are some concepts used by some experts in the field:
Systems Auditing is: Verification of control in the information
processing, systems development and installation with the aim
of evaluating its effectiveness and make recommendations to
the Management. The activity aimed to verify and judge
information.
The audit of information systems is defined as any audit
covered the review and evaluation of all aspects (or any
portion thereof) of automated processing of information,
including procedures related to them not automatic and
corresponding interfaces.
The ultimate goal is this paper is to apply an analysis and
study of the different areas of an educational institution in case
the computer lab in March, we perform the audit to the system
is to give recommendations, suggestions, alternatives to senior
management ie the direction to report the current status of the
systems in the laboratory as a starting point and improve or
achieve an adequate internal control in information technology
environments to achieve greater operational and
administrative efficiency
The development of the approach consists of three phases, the
first filed, containing the research and preliminary data
analysis and a methodology itself, the second will prepare the
audit report and the third, is on diagnosis and the proposed
solution.
All points contained in the draft audit.
Currently in school have very little control in the computer
labs, where there is a regulation which has no background
application, students and teachers not careful and do not
comply with the rules of care and protection equipment
besides that do not have a maintenance plan, the teams are
good features but has very little hardware performance and
optimization for the number of applications and software
packages used in addition to some never used, the operation of
the network is unstable in tophus time for both the sharing of
resources or sent to the printing department, we have an
antivirus which is not licensed and is outdated, sometimes
there are mouse ant theft or internal parts of hardware.
Clarification is required of them to good use and maintenance
equipment for the improvement of students, teachers and
optimize the performance of teams of three laboratories in the
school. Hardware will be evaluated, infrastructure, software,
personnel, networking and security. In summary, it will check
the following points:
• Efficient use of resources.
• Effectiveness of the controls
Figure 1.
Efficiency of resources.
We did a risk assessment to provide reasonable assurance that
all material elements were adequately covered during the
audit. It was then possible to establish audit strategies,
materiality levels and resources needed to lift it.
The program and / or audit plan adjustments required during
the development of the audit to address the situations that
presented themselves or arise (new risks, incorrect
assumptions or findings in the proceedings and made) during
the audit.
It is important to note that this planning process depends
largely on the previous diagnosis auditor who performed the
computer on the situation in each of the areas of services
computing function. You should also consider the needs or
priorities that top management has to audit or evaluate a
specific area of computing. Pa ra purposes of this paper is
determined to the report and some suggestions for shaping the
advantages of this study are file an individual determination
of the areas audited or operations.
23 de jul.
Figure 2.
References
Audit results in review and evaluation of systems.
3. ALONSO RIVAS, GONZALO
Auditoria Informática.
Díaz de Santos. Madrid 1998. 187 págs.
4. JUAN RIVAS, ANTONIO DE y PÉREZ PASCUAL,
AURORA
La Auditoria en el desarrollo de Proyectos
Informáticos.
Díaz de Santos. Madrid 1998. 178 págs.
Auditoria de Sistemas. [ON LINE] :
2. http://www.geocities.com/lsialer/NotasInteresantes.htm
(accessed August 19, 2010)
Índice
23 de jul.
Titulo Página
Introducción………………..………………………….………………………… 1
I. PLANEACION DE LA AUDITORIA DE SISTEMAS DE INFORMACION……...1
1. Identificación del cliente…………………………………………………..…….1 1.1 Identificar el origen de la auditoria……………………………………. 2 1.2 Planteamiento del problema………………………………..…..….… 2 1.3 Objetivos…………………………………………………………….…………. 3 1.3.1 General ……………………………….………………………….……… 3 1.3.2 Específicos…………………… ………………………………….……… 3 1.4 Importancia de la auditoria …………………………………………….….… 3 1.5 Alcances de la auditoria…………… …………………………………….... 3
2. METODOLOGÍA DE DESARROLLO DE LA AUDITORIA DE SISTEMAS.4 2.1. Planeación de recursos humanos………………………………..………... 4
2.2. Manejo de controles internos…………………………..……………………. 5
2.3. Recolección de evidencias……………………………………………………5
a. Carta de notificación…………………………………………...…….……… 6 b. Carta de requerimientos de auditoria …………………..……...………..... 7 c. Limitaciones de la auditoria………………………..…………..………...… 8 d. Instrumentos de recopilación……………..……………………………...… 9 e. Levantamiento preliminar…………………………………………..……….. 10 f. Formato de recopilación de evidencias de auditoria…………..…………. 11 g. Técnicas de recopilación de información (Cuestionario)..……………...….12 h. Formato de asignación de tareas y actividades………..…………....……. 12 i. Cronograma de actividades………………..…………..…….……….…...….12
3. INFORME DE AUDITORIA ……………………………………………...……..15 3.1 Objetivo de informa de auditoria. ……………….………………………….16
3.2 Introduccion de informe ……………………………………….……………….1
a) Los sistemas de información y comunicaciones…………………….………..18
b) Evaluación de los Controles Generales de Tecnología de Información…… 19
Conclusión de auditoria……………………………………………………………...20
b) Evaluación del Control del Ciclo de Ingresos…………………………………..22
Conclusión general…………………………………………………………………..23
3.3 Carta de sugerencias………………………..………………………………….25
3.4 Informe técnico…………………………………………….……………………27
CONCLUSIONES GENERALES……………………………………………………….27
23 de jul.
BIBLIOGRAFIA…………………………………………………………………………..27
INTRODUCCIÓN.
23 de jul.
La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
El objetivo final que tiene este trabajo es aplicar un análisis y estudio de las diferentes areas de una institución educativa, nosotros como auditores de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa
El desarrollo del enfoque constará de 3 fases, la primera hoy presentada, contendrá la parte de investigación y análisis de datos preliminar, en la segunda se elaborará el informe de Auditoria y en la tercera, se desarrollará el diagnóstico y la propuesta de solución. Todos los puntos que contiene el avance de Auditoría. ETAPA 1 PLANEACION DE LA AUDITORIA DE SISTEMAS DE INFORMACION
Identificación del Cliente: Universidad Insurgentes S.A.
Área o Departamento: Departamento de Sistemas, Laboratorio de computo (3).
VISION, MISION Y OBJETIVOS
Desde 1995 y bajo el concepto de Universidad Insurgentes nos hemos fijado como Misión: “Contribuir al desarrollo académico de nuestros estudiantes para el logro de su mejor desempeño laboral y de su calidad de vida”.
De la misma forma, nuestra VISIÓN consiste en “Ser una Institución centrada en el estudiante, reconocida por la calidad de su docencia y de sus programas académicos; con procesos continuos de evaluación institucional y acreditación académica, con amplia cobertura en el país y con convenios de cooperación nacional e internacional.”
Nuestro objetivo es impartir educación en los niveles básico, medio superior y superior, creando, preservando y difundiendo la cultura en beneficio de la sociedad.
ORGANIGRAMA DE LA EMPRESA
1.1. IDENTIFICAR EL ORIGEN DE LA AUDITORIA.
23 de jul.
Actualmente en la institución educativa se tiene con muy poco control en los laboratorios de computo, donde se tiene un reglamento el cual no tiene fondo de aplicación, el aunado y profesores no tiene el cuidado y no cumplen con las reglas de cuidado y protección de los equipos, además de que no se cuenta con un plan de mantenimiento, los equipos son de buenas características de hardware pero tiene muy poco rendimiento y optimización por el numero de aplicaciones, paquetes y programas utilizados además de que algunos nunca se utilizan. Se tiene un antivirus el cual no tiene licencia y esta caduca, en ocasiones hay robo hormiga de mouse o de partes internas de hardware. Se requiere que aclarar que se les de un buen uso a los equipos y mantenimiento para la mejora de los alumnos, profesores y optimizar el funcionamiento de los equipos de los 3 laboratorios de la institución educativa. Se evaluara Hardware, infraestructura, software, personal, redes y seguridad. En resumen se tendrá la verificación de los siguientes puntos:
Eficiencia en el uso de los recursos informáticos. Efectividad de los controles establecidos.
REALIZAR UNA VISITA PRELIMINAR AL AREA QUE SERA EVALUADA El plantel esta ubicado en: Calzada de Tlalpan No. 1064 Col. Nativitas.
1.2. PLANTEAMIENTO DEL PROBLEMA. Es la exposición de las circunstancia negativas que motivan la ASI. Puntualizarlos.
o del presupuesto del las gastos para el mantenimiento de los laboratorios de computo.
físicas que garanticen la integridad del personal, equipos e
información. des efectuados con los encargados de los laboratorios de computo.
de políticas, objetivos, normas, metodología, asignación
de tareas y adecuada administración del Recurso Humano
23 de jul.
1.3. OBJETIVOS a. GENERAL.toría Interna V Verificar el desempeño del los 3 laboratorios de computo de la Universidad Insurgentes a través de la revisión de sus procesos y cumplimiento de los requisitos de el reglamento y las normas establecidos. b. ESPECÍFICOS. Se diseñan en función a las metas que se propone alcanzar de manera específica,
relacionados a la justificación, planteamiento del problema y alcances.
1. Mediante un conjunto de herramientas hacer una evaluación de la red y el equipo de cómputo. 2. Hacer un inventario de hardware y software del equipo 3. Hacer un análisis de situaciones riesgosas para el equipo 4. Revisión del funcionamiento de los equipos. 5. Comunicar los controles mínimos que se deben cumplir en la gestión de TI. 6. Propiciar la adopción de prácticas de control interno para la gestión de la tecnología de la información,
alineadas con estándares locales.
1.4. JUSTIFICACION. Plantear de forma analítica, las razones de por qué vale la pena desarrollar el examen.
1. Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados. 2. Incrementar la satisfacción de los usuarios de los sistemas computarizados 3. Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la
recomendación de seguridades y controles. 4. Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr
los objetivos propuestos. 5. Seguridad de personal, datos, hardware, software e instalaciones 6. Apoyo de función informática a las metas y objetivos de los alumnos y usuarios generales. 7. Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático 8. Minimizar existencias de riesgos en el uso de Tecnología de información 9. Decisiones de inversión y gastos innecesarios.
1.5. ALCANCES. Qué elementos y aspectos se estima solucionar con el desarrollo de la auditoria. Se menciona todo lo que será capaz de detectar o corregir.
El análisis de auditoría se realizara en el laboratorio 3 y se auditara las siguientes funciones hacia tres laboratorios de la Universidad insurgentes:
Calidad en el servicio
Seguridad en los sistemas
Medición de el personal de laboratorios y responsables.
Cumplimiento de controles internos.
23 de jul.
Procesos para planeación y seguimiento a mantenimiento de equipos
Software utilizado.
Hardware en condiciones, uso y funcionamiento.
2 . METODOLOGÍA DE DESARROLLO. Efectúe una descripción cronológica de cómo se desarrollarán las actividades y los métodos de investigación, así como los recursos que empleará (humanos, financieros, equipo, controles, entre otros).
2.1 PLANEACION DE RECURSOS HUMANOS. Asignación de recursos humanos para la auditoria. (Personal). 1 Jefe auditor. a) Consultar y consensuar con el cliente el alcance de la auditoría. b) Obtener la información de respaldo relevante como ser los detalles de actividades, los productos, los servicios, en la empresa y sus áreas de actuación, los detalles de previas auditorias realizadas al auditado. c) Formación del equipo auditor. d) Dirigir las actividades del equipo auditor. 2 Auditores (documentadores). a) Planear y desarrollar las tareas asignadas, objetiva, efectiva y eficientemente, b) Recopilar y analizar las evidencias de auditoría relevantes y suficientes para determinar los resultados de la auditoría. c) Preparar los documentos de trabajo. d) Documentar los resultados individuales de la auditoría. e) La redacción del informe de auditoria.
Realizar las acciones programadas para la auditoría
Aplicar los
instrumentos y
herramientas
para la auditoría
Asignar los
recursos y
actividades
conforme a los
planes y
programas
Recopilar la
documentación y
evidencias de la
auditoria
Identificar y elaborar los documentos de desviaciones
Elaborar los
documentos y
presentarlos a
discusión
Integrar
el legajo
de
papeles
de
trabajo
en la
auditoría
Integrar
los
documen
tos y
pruebas
en
papeles
de
trabajo
Elaborar el borrador de desviaciones
23 de jul.
2 Encuestadores. El plan debe incluir: a) Los objetivos y alcance de la auditoria, b) El criterio a ser usado para la realización de la auditoría, c) La identificación de las unidades organizacionales y funcionales a ser auditadas, d) La identificación de las funciones y/o individuos dentro de la organización del auditado que tengan responsabilidades relativas a aspectos de la calidad. e) Identificación de los aspectos de calidad que son de alta prioridad. f) Identificación de los documentos de referencia. g) El tiempo y duración esperados para las entrevistas e inspecciones. h) Las fechas y lugares donde se va a realizar la auditoria. i) El Cronograma de reuniones que se van a tener con la gerencia del auditado. j) Requerimientos confidenciales. k) El contenido, formato y estructura del informe
2.2 Manejo de controles internos.
Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.
Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc.
Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.
Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados:
Entorno de red: esquema de la red, descripción de la configuración hardware de comunicaciones, descripción del software que se utiliza como acceso a las telecomunicaciones, control de red, situación general de los ordenadores de entornos de base que soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red.
Configuración del ordenador base: Configuración del soporte físico, en torno del sistema operativo, software con particiones, entornos( pruebas y real ), bibliotecas de programas y conjunto de datos.
Entorno de aplicaciones: Procesos de transacciones, sistemas de gestión de base de datos y entornos de procesos distribuidos.
Productos y herramientas: Software para desarrollo de programas, software de gestión de bibliotecas y para operaciones automáticas.
Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e información, integridad del sistema, controles de supervisión, etc.
23 de jul.
Para la implantación de un sistema de controles internos informáticos habrá que definir:
Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base para el diseño y la implantación de los sistemas de información y de los controles correspondientes.
Administración de sistemas: Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.
Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
Gestión del cambio: separación de las pruebas y la producción a nivel del software y controles de procedimientos para la migración de programas software aprobados y probados
2.3 RECOLECCIÓN DE EVIDENCIAS.
a. Documento de notificación de Auditoria.
México D. F a 26 de julio de 2010
Lic. Juan Sandoval Blanco
DIRECCIÓN GENERAL DE TECNOLOGÍAS
DE INFORMACIÓN E INNOVACIÓN
(UNIVERSIDAD INSURGENTES)
Presente
Por este medio se les notifica que se ha programado la ejecución de la 1ra. Auditoria Interna los
equipos de computo de su área a si como a la seguridad en el acceso a los laboratorios de computo.
La fecha asignada para la realización de dicho evento será el 26 de Julio de 2010; en la cual se realizará
una reunión de apertura general a las 14:00 horas, con el personal responsable de cada área y
c con el equipo auditor asignado para atender la auditoria; posteriormente ya realizada dicha auditoria,
se realizará un cierre de esta a las 18:30 hrs. en el piso 3 sala 4 de el área que usted representa.
Sin mas por el momento reciba un cordial saludo.
Atentamente
_______________________________
Lic. Hildeberto Tovar Moreno
Jefe Auditor
b. Las limitaciones. Directivos de la Universidad, jefes y encargados de laboratorio, no obtención clara de información, falta de manuales de operación, tutoriales, diagramas de red, planes y programas de mantenimiento, negatividad de la gente al levantar la información de auditoria. .
23 de jul.
c. Solicitud de información
De acuerdo a la planeación de auditoria de sistemas, se elaboró una carta de requerimientos en atención a quien corresponda en el area de laboratorios de la universidad quien fue el que solicito la auditoria de sistemas.
d. INSTRUMENTOS DE RECOPILACION. Selección de la herramienta de obtención de eventos. Se
debe incluir el reporte de cada herramienta aplicada. Describir como se llevará a cabo:
23 de jul.
Análisis, Comparación de programas, Benchmarking interno
Inspección, Mapeo y rastreo de programas
Confirmación, Datos de prueba
Investigación, Análisis de bitácoras
Declaración, Monitoreo del proceso
Observación, Obtención de aseguramiento independiente
Cálculo, Manipulación de la información, Examen de registros
Levantamiento preliminar
• Entrevista con el encargado de TI y la solicitud de entrega de información de:
o Políticas y Procedimientos de:
• Seguridad.
• Respaldos y recuperación de la información
• Acceso a los recursos de la red
• Altas, bajas y cambios de los usuarios
• Control físico y ambiental
• Monitoreo y administración de sistemas
• Procedimiento de mantenimiento y cambios a sistemas.
• Políticas y procedimientos de adquisición de hardware y software
o Políticas de reporte de actividades del personal de TI
o Organigrama funcional del departamento de sistemas.
o Diagrama de la estructura de la red.
o Inventario de Hardware y Software principal
o Bitácora de respaldos de Enero a Junio 2010 (revisar y obtener evidencias)
o Lista de usuarios del sistema (revisar y obtener evidencias)
o Diagrama de interfaces entre módulos y/o sistemas (revisar y obtener evidencias)
o Documentación de la parametrización de cada módulo del sistema (revisar y obtener evidencias)
o Bitácoras de cambios a programas realizados (revisar y obtener evidencias)
o Contratos de los proveedores de servicio o consultaría (revisar y obtener evidencias)
Revisión de información relevante.
Llenado del cuestionario al responsable del área de sistemas.
Observaciones
Pruebas a los controles generales de cómputo.
Control Interno de sistemas (revisar y obtener evidencias)
Cambios al ERP (Confirmar)
23 de jul.
Controles operativos y seguridad (revisar y obtener evidencias)
Controles físicos y ambientales (revisar y obtener evidencias)
Sistemas e interfaces (revisar y obtener evidencias)
Pruebas de recorridos a los controles de aplicación.
Ciclo de Ingresos
o Por alumno y usuarios
o Usabilidad de los equipos
o Políticas de mantenimiento
o Confiabilidad Formato general de recopilación de evidencias de auditoria:
e. Técnicas de recopilación de evidencias
La recopilación de material de evidencia es un paso clave en el proceso de la auditoría, el auditor de sistemas debe tener conocimiento de cómo puede recopilar la evidencia examinada. Algunas formas son las siguientes:
23 de jul.
Revisión de las estructuras organizacionales de sistemas de información.
Revisión de documentos que inician el desarrollo del sistema, especificaciones de diseño funcional, historia de cambios a programas, manuales de usuario, especificaciones de bases de datos, arquitectura de archivos de datos, listados de programas, etc.; estos no necesariamente se encontrarán en documentos, sino en medios magnéticos.
Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de descubrimiento no de acusatoria.
Observación de operaciones y actuación de empleados, esta es una técnica importante para varios tipos de revisiones, para esto se debe documentar con el suficiente grado de detalle como para presentarlo como evidencia de auditoría.
Auto documentación, es decir el auditor puede preparar narrativas en base a su observación, flujogramas, cuestionarios de entrevistas realizados. Aplicación de técnicas de muestreo para saber cuando aplicar un tipo adecuado de pruebas (de cumplimiento o sustantivas) por muestras.
Cuestionario a usuarios finales. Cuestionario a realizar a los usuarios de laboratorio 3 para determinar aéreas de oportunidad.
Formato de asignación de tareas y actividades.
Evaluar la información recopilada con la finalidad de desarrollar una opinión. Utilizar una matriz de control con la que se evaluará el nivel de los controles identificados, la matriz muestra las áreas en que los controles no
23 de jul.
existen o son débiles, obviamente el auditor debe tener el suficiente criterio para juzgar cuando no lo hay si es necesario el control
Nombre del auditor:_________________________ fecha:__________________ lugar:_______________
Actividad:_________________________ Área:__________________ Control de tiempo: ____________
Actividad Área % Avance Observaciones Encargados
___________________________
Firma del Jefe Auditor
3. CRONOGRAMA DE ACTIVIDADES. Actividades, tiempos, porcentaje de desarrollo y responsables.
Fases de la auditoria:
23 de jul.
Folio:__________ Programa de auditoria: Fase I.
Empresa: Universidad Insurgentes Plantel Sur
Firma de responsable:
Fecha: 23/07/10
Hoja No. 1
Fase Actividad Observaciones Tiempo %
Avance Encargados
I 1.1 Identificación del cliente 1.1.1 Datos generales de la empresa 1.1.2 Áreas o departamentos de la
empresa 1.1.3 Misión, visión y objetivo 1.1.4 Localización geográfica de la
empresa 1.2 Origen de la auditoria 1.2.1 Situación actual 1.2.2 Problemática 1.3 Visita preliminar 1.3.1 Escrito de notificación 1.3.2 Analizar lo que se va a auditar 1.4 Planteamiento del problema 1.4.1 Razones en lista de la
problemática a resolver 1.5 Objetivos 1.5.1 Objetivo General 1.5.1.1 Planteamiento del objetivo
general 1.5.2 Objetivos Específicos 1.5.2.1 Planteamiento de los objetivos
específicos
Todo sobre cómo se llevarán a cabo las actividades hasta la finalización de la auditoría, a partir de la investigación hasta la presentación del informe.
ANTECEDENTES.
Como parte de la evaluación del laboratorio de computo de la Universidad insurgentes , realizamos la revisión
de los controles, manuales, políticas, (ciclo de ingresos) y controles generales de Tecnologías de Información
de las actividades de sistemas.
23 de jul.
OBJETIVO.
Comprobar y revisar que las instalaciones de el laboratorio 3 de la Universidad Insurgentes y controles de
acceso y uso de equipos sean las adecuadas de acuerdo a reglamente y políticas de sistemas al 31 de
noviembre del 2010 este funcionando acorde los objetivos generales de la Universidad.
Objetivos Específicos:
7. Mediante un conjunto de herramientas hacer una evaluación de la red y el equipo de cómputo. 8. Hacer un inventario de hardware y software del equipo 9. Hacer un análisis de situaciones riesgosas para el equipo
23 de jul.
INTRODUCCION
Con relación a la evaluación y revisión de del control interno de el laboratorio 3 hemos evaluado la estructura de los controles del proceso de ingresos y de tecnología de información, únicamente hasta el grado que consideramos necesario para tener una base sobre la cual determinar la naturaleza, extensión y oportunidad de las pruebas de auditoria, aplicadas en nuestra evaluación del control interno, políticas de uso de los equipos, funcionalidad del hardware y software. Nuestra evaluación de la estructura del control interno comprendió un estudio detallado de sus elementos de hardware y software, y fue ejecutada con el propósito de desarrollar recomendaciones detalladas o evaluar la eficacia con la cual la estructura del control interno de la Compañía permite prevenir o detectar todos los errores irregularidades que pudieran ocurrir. El informe adjunto también incluye comentarios y sugerencias con respecto al control interno del proceso de ingresos y TI, los cuales notamos durante el curso de nuestro examen de los controles internos, políticas de los equipos y condiciones de hardware, software y red de el laboratorio 3 de la universidad Insurgentes..
Todos estos comentarios se presentan como sugerencias constructivas para la consideración de la Administración, como parte del proceso continuo de modificación y mejoramiento de la estructura del control interno existente y de otras prácticas y procedimientos administrativos y financieros.
Este informe es para uso exclusivo de la Administración de la Compañía y no debe ser utilizado con ningún otro fin.
Deseamos expresar nuestro agradecimiento por la cortesía y cooperación extendida a nuestros
representantes durante el curso de su trabajo. Nos agradaría discutir estas recomendaciones en mayor
detalle, de ser necesario y, asimismo, proporcionar la ayuda necesaria para su implantación.
LOS SISTEMAS DE INFORMACIÓN Y COMUNICACIONES
a) Evaluación de los Controles Generales de Tecnología de Información.
• Organización del área de sistemas.
El departamento de sistemas de la Universidad en caso particular el Laboratorio de computo 3 de se
compone de una sola persona quien es el responsable de proporcionar soporte técnico a los usuarios,
administrar la red de correos electrónicos e Internet y hacer el mantenimioento de los equipos.
Identificamos que no existe diagrama funcional del departamento de sistemas debido a que es una sola
persona que le reporta a la coordinación de Informática del Campus.
Verificamos que no existe un plan de capacitación al responsable de la administración de TI.
Identificamos que la compañía para la administración y operación cuenta con 1 sistema, principalmente:
Sistema de Excel : Interface de reloj checador, registros de incidencias de los alumnos.
Captura de mantenimiento a los equipos esporádica.
23 de jul.
• Políticas de uso de los equipos y perfiles.
Identificamos que no existen políticas y procedimientos para la asignación, bajas y cambios de perfiles de
usuario, asi como sus autorizaciones respectivas; únicamente existe un formato que es llenado por el
usuario de nuevo ingreso de nombre “Uso de Sistemas y programas de PC”.
Identificamos que las altas o cambios de perfiles para un nuevo usuario son asignadas en base a los perfiles
del usuario anterior que ocupo el mismo puesto, este proceso se solicita a través de correos electrónicos por
parte del gerente o supervisor de departamento hacia el personal responsable de sistemas.
Identificamos que existe un listado de usuarios de los sistemas, sin embargo no existe documentación o
alguna evidencia de los perfiles específicos que están vigentes para cada usuario.
Verificamos que los usuarios definen sus contraseñas en los sistemas; sin embargo no existe una política
de creación y mantenimiento de contraseñas que indique las reglas a seguir y dificulte ser descifrados y el
ser compartido con otros usuarios.
• Acceso físico al Laboratorio de computo de Cómputo
Identificamos que no existe política de seguridad para el acceso al centro de cómputo; así como tampoco
existe una bitácora para registrar a las personas que ingresan al área; no obstante el área permanece
cerrada por algunas horas sin un responsable y solo el cuentan con llave para el acceso.
• Controles Ambientales del Centro de Cómputo
Identificamos que no existen los controles ambientales adecuados para salvaguardar los activos
informáticos del centro de cómputo, únicamente en área cuenta con aire acondicionado.
• Respaldos y recuperación de la información
Correos y archivos de usuario.
Identificamos que la compañía no cuenta con políticas y procedimientos para realizar los respaldos y
recuperación de la información.
Verificamos que actualmente el responsable de los laboratorios realiza los respaldos diarios de correos,
archivos de usuario y bases de datos de las operaciones, mantenimiento uso de los equipos, los cuales se
guardan en discos CD-ROM, son etiquetadas y almacenadas en una gaveta de la sala de juntas de la
compañía y la mensual en la caja fuerte de la oficina del Gerente de Contraloría.
23 de jul.
Identificamos que no es posible recuperar la información respaldada en caso de una contingencia debido a
que la estructura de la bases de datos actual es distinta a los respaldos en general de meses y años
pasados.
Identificamos que la compañía solo cuenta con un disco CD-ROM del último cierre de mes (julio), esto
ocasiona el riesgo de que en caso de haber un desastre o contingencia, no sea posible recuperar la
información anterior a junio 2010, además de que no cuentan con respaldos adicionales, almacenados en
un lugar seguro fuera de la empresa.
• Cambios y modificaciones a programas
Verificamos que la compañía no cuenta con políticas y procedimientos de cambios a programas para la
administración de los cambios realizados a los sistemas.
Identificamos que los cambios a los sistemas los realiza el encargado de sistemas donde no lleva un control
de los cambios y de el software que se requiere para los nuevos cuatrimestres y en algunas ocasiones el
software tiene ya 8 años instalado y sin usarse
Los usuarios son los responsables de las pruebas a los cambios en los sistemas, sin embargo no existen
autorizaciones documentadas por parte de los gerentes de área.
Identificamos que el responsable de no lleva el control o bitácoras de los cambios que se realizan a los
sistemas.
Verificamos que los manuales de programas , paquetes y aplicaciones de usuario de estos sistemas no
existen
• Monitoreos
Identificamos que el responsable no realiza periódicamente monitoreos de los accesos a los sistemas,
diariamente hace revisión de ítems acuerdo a las 18 actividades del listado del formato llamado “CHEQUEO
DIARIO DE CPD”.
Verificamos que no existe un procedimiento de monitoreo, a la seguridad de los servicios informáticos y uso
correcto de los equipos.
En cuanto a intentos fallidos en el sistema, identificamos que el responsable de no lleva una bitácora de
incidencias, sin embargo si el usuario intenta 5 veces ingresar al sistema y no lo logra acude con el
responsable , para ser desbloqueado del sistema.
23 de jul.
• Procedimientos de Emergencia
Identificamos que en laboratorio 3 no se lleva un procedimientos de emergencia para el departamento de TI
en caso de siniestros o contingencias que asegure la continuidad de las operaciones, utilizando los recursos
Informáticos.
Conclusión
Derivado de nuestra revisión al Control Interno de T, política de uso de los equipos, condicione de hardware y
software determinamos que la compañía no cuenta con los controles mínimos necesarios para una mejor
administración de las tecnologías de información.
b) Evaluación del Control del Ciclo de Ingresos
Realizamos una prueba del recorrido del proceso de ingresos donde identificamos 3 controles instalados,
desde como se genera el la entrada de un alumno hasta la salida, realizamos el diagrama de flujo y la
matriz de controles, y determinamos que el funcionamiento de los controles se lleva adecuadamente, sin
embargo:
De acuerdo al recorrido del proceso de ingresos determinamos los siguientes hallazgos:
• Identificamos que en el laboratorio el alumno permite reutilizar varias computadoras, instalar software, cambiar cables e inclusive abrir físicamente los equipos por lo que existe el riesgo de errores o malos manejos de información, robo y perdida de quipo, fallas frecuentes por parte de los usuario
• Identificamos que los los usuarios ingieren alimentos, bebidas donde son derramados en los equipos, ocasionando la falla total o parcial de los equipos.
• Identificamos que a esta fecha solo se han emitido bitácoras actualizadas de ingreso.
Conclusión
Del derivado de nuestra revisión a los controles del proceso de ingresos concluimos que los controles no se
encuentran funcionando razonablemente y no son aceptables, sin embargo los controles existen pero no se
aplican o se no encontramos deficiencias, y deberán ser corregidas y aplicados.
23 de jul.
CARTA DE SUGERENCIAS
Control Interno de Sistemas
1. Se recomienda documentar las políticas y procedimientos, para un mejor control de la información y de la infraestructura tecnológica, que continuación mencionamos:
a. Perfiles de usuarios, para uso correcto de los equipos
b. Asignación de planes de mantenimiento, bitácoras de procesos
c. Levantamiento correcto de inventarios físicos para un mejor control de hardware
d. Cambios a programas con correcto control, y seguimiento de actualizaciones
e. Plan de seguridad, configuración y optimización de red
2. Crear y documentar los perfiles de usuario personalizados para una mejor identificación y mayor seguridad de los procesos realizados en los sistemas por cada departamento.
3. Documentar los cambios a los sistemas para mantener el control sobre los cambios e identificar los niveles de autorización y el detalle de las modificaciones, así como el impacto en otros procesos.
4. Crear un plan de contingencias para que los usuarios tengan el conocimiento de cómo trabajar o que hacer en caso de contingencia.
5. Almacenar una copia de las un disco duro de respaldo en un lugar fuera de las instalaciones.
6. Solicitar capacitación al responsable de sistemas para un mejor control y conocimiento de los sistemas.
Control Interno del Ciclo de Ingresos
1. Se recomienda hacer las modificaciones necesarias al sistema de ingreso para aplicar tal cual los controles establecidos.
2. Se recomienda hacer las modificaciones y pruebas necesarias al las condiciones de hardware, software, red para una continuidad, seguimiento correcto a el funcionamiento del laboratorio de computo 3.
3. Realizar una auditoria a los usuarios que se encuentran en los sistemas con la finalidad de confirmar la autorización de cada programa, paquete o aplicación instalado sobre las funciones y operaciones del software; de igual manera analizar el adecuado cumplimiento de la segregación de funciones en los módulos de los sistemas.
Fecha de la Auditoría: 11-08-2010
Firma del Jefe Auditor: Hildeberto Tovar Moreno.
23 de jul.
RESUMEN TÉCNICO
A continuación se exponen algunas herramientas utilizadas para el levantamiento de la auditoria con sus
datos respectivos, para el inventario de hardware, auditoria ala red y auditoria a el software.
WinAudit. Con esta aplicación se tomo el inventario y auditoria de un equipo
de cómputo, muy útil a la hora de hacer un recuento de equipos en la
empresa.
Con esta herramienta podremos conocer cada detalle de la computadora tanto hardware como software, entre
los que considero más importantes puedo mencionar:
Información del CPU
Discos duros instalados y sus especificaciones
Software instalado, detalles de su uso y ruta de instalación (incluso el instalador)
Puertos abiertos (TCP y UDP)
Usuarios de la computadora y políticas para los mismos
Variables de Entorno
Procesos de inicio y procesos en ejecución (útil para encontrar virus)
Dispositivos de hardware
Memoria RAM usada y disponible
Servicios de Windows
Logs de Errores (sucesos de Windows)
Otra cosa muy útil es la posibilidad de salvar los reportes generados en formatos como PDF, CSV, HTML u
otros; también puede enviarlo por correo (por medio del cliente de correo configurado para el sistema).
Hice una recolección de información de un equipo de el laboratorio 3 y entre los resultados que mas puedo
destacar son los siguientes:
Vista General
23 de jul.
Aquí se puede ver el tipo de CPU instalado, cuanta memoria RAM detectó e sistema, la suma de todos los
discos duros (Total Hard Drive), la versión del BIOS y el tiempo que la computadora lleva encendida sin
apagarse (System Uptime).
Software Instalado
Aquí observamos que el 19% de los programas instalados tiene capacidades de actualizarse
automáticamente (Active Setup: 39 aplicaciones), el otro 81% de mis aplicaciones no son actualizables o
muchos de ellos requieren intervención humana para actualizarse.
23 de jul.
Sistema Operativo
Muestra la versión del service pack instalada (en mi caso Service Pack 2) y el sistema operativo (Windows
XP), a nombre de que usuario se hizo la instalación y la ubicación de las carpetas temporales.
Red TCP/IP
23 de jul.
Acá vemos información de la Red, la dirección IP de la tarjeta de red (o tarjetas si se cuenta con varias), los
DNS configurados y la dirección MAC de la tarjeta de red.
Determina la velocidad de la tarjeta (100 Mbps), otra cosa que podemos ver es si tenemos activado el servicio
de DHCP (en mi caso no).
Uso de los Discos Duros
En esta gráfica podemos apreciar cuanto se ha uso de los discos duros, en mi caso están casi llenos. (La
unidad A es la disquetera, la unidad Y es un CD-ROM Virtual).
Carpetas y Recursos Compartidos
23 de jul.
En vista de que desde mi PC hago instalaciones remotas hacia otras computadoras tengo varias unidades
compartidas (eso si, con password).
Esto puede representar un peligro para la PC pero claro si se pone una contraseña difícil y un usuario para
validar poder acceder a uno de estos recursos entonces es muy difícil que pueda ocurrir algo malo.
En la columna Connections, podemos saber si hay mas usuarios utilizando esta carpeta, podemos apreciar
que solo sale un 1, esto es porque la PC que comparte cuenta como conexión.
Sumario de periféricos
23 de jul.
Observo el tipo de dispositivos que hay conectados a la computadora y si esta cuenta con acceso a la red,
además de las impresoras (físicas y virtuales) que están instaladas.
Aparece una unidad mapeada llamada T: que es un servidor de archivos donde antes se ejecutaba un
programa viejo de contabilidad (el cual ha quedado como histórico).
Uso de Memoria RAM
Esta gráfica muestra cuanta memoria RAM tiene instalada el sistema y cuanta se está usando para
intercambio y para las aplicaciones.
Normalmente cuando una PC tiene Virus la memoria usada (USED) llega a ocupar casi el 100% de la
memoria total, esta gráfica muestra que el % de memoria usada es balanceado (25%) y por lo tanto ninguna
aplicación está consumiendo totalmente los recursos del sistema.
23 de jul.
Programas en ejecución
Aquí podemos ver que aplicaciones se estaban ejecutando a la hora de tomar los datos, esta parte es útil para
determinar si la PC está infectada con algún Virus o si es necesario impedir que muchas de estas sigan
ejecutándose en el futuro. Por ejemplo puedo saber si una PC está ejecutando el LogMeIn y quizá no tenga
autorización para hacerlo.
Procesos de Inicio
Al igual que Ccleaner con WinAudit podemos saber que programas se ejecutan al iniciar Windows, aquí es
posible detectar Virus que se autoejecutan al encender la computadora.
23 de jul.
Este informe lo veo mas completo que el de Ccleaner porque además de las aplicaciones que se que se
inician veo aquellas que están ocultas como ser los desktop.ini ubicados en la carpeta de INICIO de Windows.
Estos desktop.ini son simples archivos de texto por lo tanto no los considero un peligro.
User Accounts
Se nos desglosa aquellas cuentas de usuario que están configuradas en la computadora, si vemos alguna que
no consideramos sea permitida aquí lo sabremos.
Si hacemos clic en alguna de las cuentas podemos obtener información sobre la misma:
Es posible saber si la cuenta de Administrador tiene configurado Password (Si Password Age es mayor a
CERO), podemos saber cuando fue la fecha del último inicio de sesión con ese usuario (Last Logon), a que
hora se cerró sesión por ultima vez (Las Logoff).
En Bad Password Count es possible saber cuantas veces alguien se ha equivocado adivinando la contraseña
(útil para saber si nos quieren atacar), el Number of Logons es un contador de cuantas veces alguien ha
iniciado sesión con esta cuenta.
23 de jul.
Password Expired nos indica si la contraseña ha expirado y si dicha cuenta está configurada para que la
contraseña expire (Account Expires), esto es importante porque al expirar una cuenta cualquier puede
cambiarle el password.
Un ejemplo de uso es ver el Number of Logons en una PC donde rara vez nosotros intervenimos para hacer
algo como administradores, si este es alto entonces significa que alguien tiene acceso como Administrador
por lo tanto es conveniente tomar medidas.
Puertos Abiertos
Acá podemos ver cuales son los puertos que tiene abiertos nuestra computadora, esto es algo bien delicado
porque por medio de ellos un atacante puede ingresar a nuestra red, en mi caso tengo varios puertos abiertos
como ser el puerto 25 (por mi cliente de correo), el puerto 80 (porque aquí tengo un servidorcito apache de
pruebas), otros como el 443 (HTTP seguro) y otros relacionados con algunas aplicaciones que utilizo.
En el caso de usuarios con pocos privilegios lo mas conveniente es cerrar los puertos que no se van a utilizar,
como en el caso del puerto 80, el puerto 23 del TELNET (si no lo usamos en la empresa), o el puerto para el
SSH (el 22).
En fin los puertos abiertos pueden usarse por alguien malintencionado para ganar acceso a una PC y atacarla
o tomar información delicada.
23 de jul.
En la imagen se ve un ejemplo de la información que WinAudit recopila de un puerto, vemos el nombre del
servicio (service name: smtp) el número del puerto (25), si este está escuchando (LISTEN), y el nombre del
proceso de Windows que controla dicho puerto (Process Name).
Procesos
En esta sección se puede ver que procesos (programas que ejecutan algún servicio en el sistema) están
configurados.
Muchos de estos son útiles, como por ejemplo la Cola de Impresión o el Plug and Play, pero hay Virus que
pueden ejecutarse como servicios de Windows y aparecerán en esta lista.
Si hacemos clic en alguno de los procesos de la lista podemos ver sus detalles:
23 de jul.
Como en este caso estoy viendo el servicio proveído por mi antivirus, este proceso se encarga de mantener
protegido al sistema de la entrada de cualquier amenaza de virus.
En State vemos que está en Running, esto quiere decir que el servicio del antivirus se está ejecutando,
muchos virus detienen a los servicios del antivirus o sea que si el State estuviera en Stopped entonces habría
problemas en la computadora.
En mi caso tengo al servicio TELNET detenido:
Observar que el State está en Stopped, porque no quiero que alguien pueda conectarse a mi PC vía Telnet.
Los informes de WinAudit son muy extensos como para ponerlos aquí pero son una herramienta útil para
diagnosticar e inventariar una PC, en Internet encontramos herramientas similares como Aida o Sandra pero
no había visto una aplicación con reportes tan completos y con tantas posibilidades de exportación como
WinAudit.
Mi próximo inventario lo haré con esta versátil herramienta que ni siquiera necesita instalarse lo que la hace
altamente portable.
23 de jul.
IPTools
Es una completa suite de herramientas para hacer pruebas en red las cuales antes era necesario instalar
programas por separado o usar los comandos de Windows.
A continuación desgloso las herramientas que trae que más me llamaron la atención:
Monitor de conexiones (Monitor)
El monitor permite ver los puertos que tenemos abiertos y saber la IP remota que está accediendo por ellos,
además del estado del puerto y el proceso asociado al mismo.
Por ejemplo aquí estoy viendo que a través del puerto 1362 estoy conectado a la IP 64.94.18.205 y el proceso
que está utilizando este puerto es TmProxy.exe, esto se debe a que dicho proceso pertenece a mi antivirus y
por medio de el se conecta al servidor de Trend Micro para descargar una actualización del mismo.
Escaner de Recursos Compartidos
El NB Scanner permite ver los recursos compartidos de una o varias direccions IP, por ejemplo aquí muestro
los recursos compartidos de mi dirección IP:
23 de jul.
Tengo 6 recursos compartidos, salen las rutas de los mismos y el tipo de recurso.
SNMP Scanner
Permite localizar aquellos dispositivos que soportan SNMP (Protocolo Simple de Administración de Red) por
ejemplo aquellos que pueden administrarse a través de red sin necesidad de estar conectados directamente a
una PC.
En mi red encontró 3:
El primero (192.168.60.106) es un NAS que tenemos instalado en la red, el segundo (192.168.60.201) es una
fotocopiadora/impresora de red y el tercero (192.168.60.200) es un Print Server instalado para una impresora
Laser marca HP.
Name Scanner
Con el podemos ver que nombre tiene los equipos en una Red, podemos poner un rango de direcciones y el
nos va dando el nombre de cada uno.
En la imagen muestro los nombres de los equipos en mi Red desde la 192.168.60.100 hasta la
192.168.60.106.
23 de jul.
El DB es un servidor de bases de datos, el apps.cofisa.hn es un servidor de aplicaciones, el Proxy es mi
servidor para el Internet y el NAS es un dispositivo de almacenamiento en red.
Port Scanner
Con el es posible ver los puertos TCP que se tiene abiertos en un dispositivo, por ejemplo aquí hice un port
scanner a la PC que tenemos para nuestra Intranet (192.168.60.6), estos fueron los resultados:
Puedo ver que solo está abierto el puerto 80 para esa PC porque es donde se presta el servicio para nuestra
Intranet (servicio HTTP por dicho puerto).
UDP Scanner
Permite saber que puertos UDP están abiertos para un dispositivo, en el ejemplo muestro un escaneo de este
tipo que le hice a la PC para mi Intranet (192.168.60.6):
23 de jul.
Solo sale un puerto UDP abierto, es el 123 correspondiente an Network Time Protocol, es lógico porque tengo
mis servidores sincronizados a un servidor de tiempo el cual está instalado en la misma PC del servidor de
correo electrónico, por eso tuve que abrir dicho puerto en los demás servidores, así de esta forma todos
tienen la misma hora.
Con estas herramientas puedo ver todos los puertos abiertos para un bloque de direcciones IP, en auditoria
eso es de gran ayuda para revisar la cantidad de vulnerabilidades que puede tenerse en una red.
Ping Scanner
Permite hacer ping a uno o varios hosts al mismo tiempo, de esta forma es posible monitorear el tiempo de
respuesta en la red de cada uno.
Trace
Permite saber por cuantos host se debe pasar para llegar a un host determinado, o sea seguir el rastro para
llegar a un servidor.
Por ejemplo para visitar la página de COFISA desde dentro de mi empresa debe pasarse por los host
siguientes:
23 de jul.
Esto sirve para evaluar si la conexión se cae en algún punto de la conexión para determinar di el problema es
de nuestro proveedor de Internet o de el servidor que nos presta el webhosting.
WhoIS
Permite obtener información acerca de una dirección IP o de una DNS, por ejemplo aquí hice un WHOIS al
sitio WEB de COFISA:
Veo información detallada sobre mi HOST, esta información está disponible para toda la gente que quiera
consultar, WHOIS puede resultar útil a la hora de identificar un servidor o dirección IP desconocido.
IP Monitor
Permite monitorear cuantos paquetes para los protocolos TCP, UDP, ICMP y aquellos que generan error:
Esta gráfica es para TCP
Esta gráfica es para UDP Esta gráfica es para ICMP
23 de jul.
Si alguien nos estuviera haciendo PING la gráfica de ICMP se levantaría, sería una buena forma de saber si
alguien está intentando localizarnos o haciéndonos un escaneo, la siguiente imagen muestra que pasaría con
la gráfica para ICMP si alguien nos está haciendo PING:
La gráfica ICMP se disparó hacia el tope cuando alguien comenzó
a hacer ping hacia mi HOST
Host Monitor
Esta es una de la herramientas que me llamó la atención, con ella podemos saber si una HOST está inactivo o
no puede comunicarse con él.
En la siguiente imagen estos observando 7 hosts que son útiles en mi trabajo (COFISA:
Con esta herramienta puedo saber si alguno tiene problemas, además que permite configurarlo para que
ocurra algo en caso de que algun HOST esté caído, por ejemplo: mandarme un correo electrónico, generar un
mensaje de alerta, o ejecutar algún programa a mi gusto hasta incluso reproducir un sonido de alarma.
23 de jul.
Las IPTools son realmente un completo conjunto de herramientas para monitorear una red, son livianas, son
gratis y tienen todo lo que necesito en un solo lugar.
CONCLUSIONES GENERALES.
El trabajo anterior se realizo durante el periodo de cuatrimestre de la maestría de Sistemas de información
desde una parte inicial de planeación, metodología, informe y finalmente las posibles sugerencias encontradas
en cuanto a el estudio, en verdad trajo muy buenos conocimientos en el campo de revisión, estudio y análisis
en los sistemas, además de cómo llevar una metodología correcta para realizarla. En cuanto al trabajo de la
auditoria en sí, podemos remarcar que se precisa de gran conocimiento de Informática, seriedad, capacidad,
minuciosidad y responsabilidad; la auditoria de Sistemas debe hacerse por gente altamente capacitada, una
auditoria mal hecha puede acarrear consecuencias drásticas para la empresa auditada, principalmente
económicas. El profesor nos iba indicando y asesorando cada uno de estos puntos hasta totalizar el proceso.
23 de jul.
BIBLIOGRAFIA.
5. ALONSO RIVAS, GONZALO Auditoria Informática. Díaz de Santos. Madrid 1998. 187 págs.
6. JUAN RIVAS, ANTONIO DE y PÉREZ PASCUAL, AURORA La Auditoria en el desarrollo de Proyectos Informáticos. Díaz de Santos. Madrid 1998. 178 págs.
7. MILLS, DAVID Manual de Auditoria de la calidad. Gestión 2000. Barcelona 1997. 242 págs.
8. PIATTINI VELTHUIS, MARIO y DEL PESO NAVARRO EMILIO (Editores) Auditoria Informática: Un enfoque práctico. y Alfaomega. México 1998. 609 págs. PIATTINI VELTHUIS, MARIO DEL
A. SITIOS WEB.
Auditoria de Sistemas. [ON LINE] Disponible en:
3. http://www.geocities.com/lsialer/NotasInteresantes.htm