Auditori A

UNIVERSIDAD TECNOLGICA DEL
SUR DEL ESTADO DE MXICO
INGENIERA EN TECNOLOGAS DE LA
INFORMACIN Y COMUNICACIN
AUDITORIA
EDGAR MACEDO DOMINGUEZ

HUGO CESAR TINOCO BENITEZ
M.T.I. ANTONIO DE JESUS FLORES
1002
NDICE GENERAL
PLANEACIN DE LA AUDITORIA DE SISTEMAS. ..................................................................................4
1. IDENTIFICACIN DE ORIGEN DE LA AUDITORIA. ........................................................................4
2. VISITA PRELIMINAR AL REA QUE SER EVALUADA...................................................................4
2.1 FORMATO DE VISITA PRELIMINAR........................................................................................6
3. RAZN SOCIAL DE LA EMPRESA. ..............................................................................................14
3.1 OBJETIVO DE LA AUDITORIA. ..............................................................................................15
4. CRONOGRAMA. ........................................................................................................................17
5. PUNTOS A EVALUAR. ................................................................................................................18
5.1 DOCUMENTOS A SOLICITAR. ..............................................................................................20
6. PLANES PROGRAMAS Y PRESUPUESTOS DE AUDITORIA ..........................................................20
6.1 METODOLOGA ...................................................................................................................20
6.2 PRESUPUESTO ....................................................................................................................22
7 METODOS, HERRAMIENTAS, INSTRUMENTOS Y PROCEDIMIENTOS PARA AUDITORIA. ............23
7.1 RECOLECCIN DE INFORMACIN. ......................................................................................23
7.2 LISTAS DE CHEQUEO ...........................................................................................................26
EJECUCIN DE AUDITORIA DE SISTEMAS .........................................................................................27
ANEXO CUESTIONARIOS
DICTAMEN DE AUDITORIA DE SISTEMAS .........................................................................................28
1. DOCUMENTOS DE OPORTUNIDADES DE MEJORAMIENTO ENCONTRADAS .............................28
1.1. ANLISIS Y EVALUACIN DE RIESGOS................................................................................28
1.1.1. LISTA DE RIESGOS ENCONTRADOS. ................................................................................28
1.1.2 VALORACIN DE RIESGOS ...............................................................................................29
1.2 RIESGOS ENCONTRADOS HALLAZGOS ................................................................................30
1.3 PRUEBAS .............................................................................................................................38
3 DICTAMEN FINAL .......................................................................................................................42
DATOS GENERALES DE LA EMPRESA.
Escuela Secundaria Oficial No. 0347 Pedro Ascencio de Alquisiras
C.C.T: 15EES0020E
Director: Joel Rosado Orive.
Servicios que Ofrece: Educacin Secundaria (Nivel Bsico)
Fecha de Inicio: 21/11/2014
Direccin: Doctor Gustavo Baz S/N, Villa Luvianos, Estado de Mxico.
Telfono: 7242520461
PLANEACIN DE LA AUDITORIA DE SISTEMAS.
1. IDENTIFICACIN DE ORIGEN DE LA AUDITORIA.
La presente Auditoria se realiza con el fin de analizar las problemticas que se estn dando
en las reas de Informtica de la Escuela Secundaria Oficial No. 0347 Pedro Ascencio de
Alquisiras.
La finalidad de realizar este proceso de Auditora de TI, es con el objetivo de buscar las
problemticas con las que cuenta la institucin como es el control de acceso a las reas de
computo con las que cuenta, as como tambin analizar los tipos de control que llevan
para altas y bajas de equipos, control de inventarios, soporte tcnico, entre otros
conceptos a Auditar.
2. VISITA PRELIMINAR AL REA QUE SER EVALUADA.
Objetivos de la Visita Preliminar:
Conocer a la Empresa.
Definir qu Tipo de Auditora requiere el Cliente.
Determinar los Recursos necesarios para llevar a cabo la Auditora.
Herramientas a utilizar para conocer mejor a la empresa:
Investigacin Documental: sta implica requerir a la empresa documentos que

muestren informacin relevante de la empresa, como son: misin, visin, planes
de trabajo, descripcin de puestos, organigrama, procedimientos ISO, etc.
Entrevista Formal: Se utiliza un guion de preguntas con respuestas cerradas o de

opcin mltiple.
Entrevista no Guiada: Se realizan preguntas ms generales donde la persona

puede ser muy amplia en su respuesta, siendo stas grabadas y despus
transcritas.
Encuesta: Es un cuestionario que se aplica a todos o parte de los empleados de la

empresa.
Observacin en Sitio: Implica que un miembro del equipo auditor sea observador
de alguna actividad o procedimiento de la empresa, tomando nota de cmo se
realizan y sin interactuar con el personal laborando.
2.1 FORMATO DE VISITA PRELIMINAR.
Teniendo en cuenta la aplicacin de los instrumentos para recoleccin de informacin, los

objetivos planteados con anterioridad y el anlisis de informacin se obtienen los
resultados preliminares y se describen en las siguientes tablas.
Aulas de Informtica Institucin Educativa.
R/PT: C1
Nombre del rea:
Nombre del Jefe:
Laboratorio de Computo.
Joel Rosado Orive.
Dominio
Planeacin y Organizacin (PO)
Proceso
PO3. Determinar la Direccin Tecnolgica.
Objetivo de Control
Aprovechar al Mximo la Tecnologa Disponible.
Descripcin
El Laboratorio de Computo con el que cuenta la Institucin se utiliza con poca
frecuencia a pesar de que cuenta con equipos de cmputo recientes, el acceso a esta
rea es algo restringido.
Recomendacin
Asignar a un encargado en el Laboratorio para que se pueda utilizar con ms
frecuencia para trabajos o actividades de los Alumnos.
Causa
La falta de una persona responsable o encargado en esta rea hace que el Laboratorio
no se use con Frecuencia.
Nivel del Riesgo
En Cuanto a la Probabilidad de Ocurrencia est Clasificado en Medio Alto, en cuanto al
Impacto es Moderado.
Aulas de informtica Institucin Educativa
R/PT: C2
Nombre del rea:
Nombre del Jefe:
Joel Rosado Orive.
Dominio
Proceso
PO5. Manejar la Inversin en TI.
Objetivo de Control
Satisfaccin de los Requerimientos de la Organizacin.
Descripcin
La Institucin tiene programados Horarios de mantenimiento, estas estn sujetas a las
programaciones que realiza el Directos de la Escuela al inicio del Ciclo escolar, El rea
administrativa solo da de baja equipos no funcionales, pero no hace solicitudes de
cambio de nuevos equipos ya que el nuevo hardware est supeditado a los recursos de
inversin y proyectos presentados a nivel local y nacional.
Recomendacin
El Encargado de la Administracin de las aulas de informtica debe sujetarse a los
Horarios de mantenimiento y cambios por lo menos una vez al ao, las actualizaciones
de cambio o repotenciacin de equipos se deben presupuestar para las vigencias
futuras.
Causa
El Director Escolar y el Encargado del rea Administrativa del aula de informtica
deben realizar planes de actualizacin de equipos y de mantenimiento preventivo,
asignando los recursos econmicos necesarios para vigencias futuras.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio, en cuanto al
impacto es moderado.
R/PT: C3
Nombre del rea:
Nombre del Jefe:
Joel Rosado Orive.
Dominio
Adquisicin e Implementacin (AI)
Proceso
AI2. Adquisicin y Mantener Software de Aplicacin.
Objetivo de Control
Proporcionar Funciones Automatizadas.
Descripcin
En las aulas de informtica no se lleva un registro de mantenimiento y de cambios de
hardware, adems no existe personal de mantenimiento dedicado a este proceso, el
mantenimiento est sujeto a las indicaciones del Director Escolar de acuerdo al
presupuesto y el inventario no se actualiza peridicamente cuando se han realizado
cambios.
Recomendacin
El Encargado de la Administracin debe sugerir las indicaciones de inventario y
mantenimientos de hardware.
Causa
La falta de recursos econmicos y la falta de planeacin por parte del encargado de la
administracin de las aulas de informtica en la institucin.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio alto, en cuanto al
R/PT: C4
Nombre del rea:
Nombre del Jefe:
Joel Rosado Orive.
Dominio
Proceso
AI3. Adquirir y Mantener Arquitectura de TI.
Objetivo de Control
Proporcionar
Plataformas
Apropiadas
para
Soportar
Aplicaciones.
Descripcin
En las Aulas de Informtica de la Institucin no se lleva a cabo una buena Adquisicin e
Implementacin de los Recursos destinado para la Mejora de TI, dentro de estas reas.
Recomendacin
El Encargado de la Administracin debe sugerir una forma apropiada de Adquirir e
Implementar los Recursos de TI, dentro de estas reas.
Causa
Nivel del Riesgo
R/PT: C5
Nombre del rea:
Nombre del Jefe:
Joel Rosado Orive.
Dominio
Servicios y Soporte (DS)
Proceso
DS3. Administrar Desempeo y Calidad.
Objetivo de Control
Asegurar que la Capacidad Adecuada est Disponible.
Descripcin
En las aulas de informtica no se lleva a cabo una buena Administracin y control de
Calidad para que los laboratorios tengan el Desempeo deseado por la Direccin
Escolar.
Recomendacin
El Encargado de la Administracin debe sugerir cambios en la Administracin para
poder sacar el mximo provecho de las TI, con las que cuenta la Institucin.
Causa
Nivel del Riesgo
R/PT: C6
Nombre del rea:
Nombre del Jefe:
Joel Rosado Orive.
Dominio
Proceso
DS7. Capacitar Usuarios.
Objetivo de Control
Asegurar un Conocimiento Correcto Atribuido a los Servicios

de TI.
Descripcin
La Institucin Educativa le ofrece a sus empleados y alumnos cursos de capacitacin en
las reas bsicas para el control de TI.
Recomendacin
El Encargado de la administracin de las aulas de informtica debe guiarse de las
indicaciones establecidas por la Direccin Escolar para las capacitaciones a los
Alumnos y Docentes de la Institucin.
Causa
El Director y el Encargado de la administracin de las aulas de informtica deben
realizar planes para la actualizacin o cursos que se impartirn a alumnos y docentes.
Nivel del Riesgo
R/PT: C7
Nombre del rea:
Nombre del Jefe:
Joel Rosado Orive.
Dominio
Monitoreo (M)
Proceso
M1. Monitorear los Procesos.
Objetivo de Control
Asegurar el Logro de los Objetivos Establecidos para los

Procesos de TI.
Descripcin
La Institucin Educativa tiene programados Horarios de revisin de las Actividades
realizadas diariamente dentro de los laboratorios o reas cmputo de la Institucin.
Recomendacin
El Encargado de la administracin de las aulas de informtica debe programar los
cursos que se impartirn en el trascurso del ciclo escolar para capacitar a alumnos y
Docentes.
Causa
realizar planes de actualizacin para alumnos y docentes.
Nivel del Riesgo
R/PT: C8
Nombre del rea:
Nombre del Jefe:
Joel Rosado Orive.
Dominio
Monitoreo (M)
Proceso
M4. Proveer Auditora independiente.
Objetivo de Control
Incrementar los Niveles de Confianza y Beneficiarse de

Recomendaciones Basadas en Mejores Prcticas de su
Implementacin.
Descripcin
La Institucin Educativa realiza auditorias independientes una vez al ao en diferentes
reas con el fin de buscar fallos en su sistema y as tratar de corregirlos y mejorar.
Recomendacin
El Encargado de la administracin de las aulas de informtica debe estar capacitado
para participar en las auditoras realizadas por terceras personas dentro de la
institucin.
Causa
El encargado de la Administracin no cuenta la capacitacin necesaria para participar
como apoyo en las auditoras realizadas por la institucin.
Nivel del Riesgo
impacto es moderado
3. RAZN SOCIAL DE LA EMPRESA.
Direccin Fsica:
Doctor Gustavo Baz S/N, Villa Luvianos, Estado de Mxico.
Conocimiento Inicial de la Entidad.
El giro al cual pertenece la Institucin es al Giro Educativo ya que ofrece servicios de

Educacin Secundaria (Nivel Bsico).
Personal que Integra la Organizacin
Nombre Completo
Cargo
Joel Rosado Orive
Director Escolar
Relacin de Funcionarios o Personal a Cargo del Area a Examinar
Nombre Completo
Cargo
Joel Rosado Orive
Director Escolar
Periodo de Gestin
Del
Al
21/11/2014
Domicilio
Doctor
Gustavo
Baz S/N, Villa
24/11/2014 Luvianos, Estado
de Mxico.
Situacin actual
Giro de la Empresa
La Empresa se dedica al Giro Educativo ya que ofrece servicios de Educacin Secundaria
(Nivel Bsico) como actividad Primaria.
Recursos Informticos Existentes
Dispositivos
CPU
Monitores
Teclados y Mouse
Reguladores
Laptops
Bocinas
Cantidad
23
23
23
10
3
20
3.1 OBJETIVO DE LA AUDITORIA.
La auditora de sistemas tiene por objeto, monitorear, evaluar y examinar la seguridad

dirigida a que sus normas, planes operativos anuales, programas, polticas,
procedimientos, prcticas y estructuras organizacionales, de sistematizacin y tecnologa
de informacin se est cumpliendo.
3.1.1 OBJETIVO GENERAL.
Ejercer el control de gestin sobre los procesos de Tecnologa de la Informacin que se

cumplen en el nivel educativo, por parte de Verificar el cumplimiento de normas y
polticas referidas a la operacin de Sistemas de Informacin y al desarrollo de procesos
de Tecnologa de Informacin TI.
3.1.2 OBJETIVOS ESPECFICOS.
Establecer un plan de auditoria para garantizar que se obtenga un aseguramiento

regular e independiente con respecto a la efectividad, eficiencia y economa de la
seguridad y de los procedimientos de control interno.
Asegurar que los estndares de auditoria sean aplicados, para asegurar la

obtencin de evidencia confiable, relevante y til para alcanzar los objetivos de
auditoria de forma efectiva.
3.2 ALCANCE.
El alcance de la Auditoria dentro de la Institucin es Organizar y calificar los procesos que

se llevan a cabo para controlar los servicios dentro de las reas de informticas de la
institucin as como evaluar los servicios que ofrece el Administrador de estas reas.
4. CRONOGRAMA.
5. PUNTOS A EVALUAR.
Programa de Auditoria
Esc. Sec. Ofic. No. 0347 Pedro Asencio de Alquisiras
Fase
Fecha
Horas
Actividad
Estimadas
VISITA PRELIMINAR
Solicitud
de
Manuales
Documentaciones.
I
Elaboracin de los cuestionarios.
Recopilacin de la informacin
Organizacional: estructura orgnica,
8 Hrs.
recursos humanos, presupuestos.

DESARROLLO DE LA AUDITORIA
Aplicacin
del
cuestionario
al
personal.
Entrevistas a lderes y usuarios ms

relevantes de la direccin.
Anlisis de las claves de acceso,

control, seguridad, confiabilidad y
II
respaldos.
Evaluacin de la estructura orgnica:

departamentos, puestos, funciones,
autoridad y responsabilidades.
Evaluacin de los Recursos Humanos

y de la situacin Presupuestal y
Financiera:
Desempeo,
capacitacin,
condiciones de trabajo, recursos en
8 Hrs.
Hoja N
Encargados
materiales y financieros mobiliario y

equipos.
Evaluacin
relevamiento
de
de
los
sistemas:
Hardware
Software, evaluacin del diseo lgico

y del desarrollo del sistema.
Evaluacin del Proceso de Datos y de

los Equipos de Cmputos: seguridad
de los
datos,
control
de
operacin,
seguridad fsica y procedimientos de

respaldo.
REVISION Y PRE-INFORME
II
Revisin de los papeles de trabajo.
Determinacin
del
Diagnostico
Implicancias.
Elaboracin de la Carta de Gerencia.
Elaboracin del Borrador.
16 Hrs.
INFORME
IV
Elaboracin y presentacin del

Informe.
6 Hrs.
5.1 DOCUMENTOS A SOLICITAR.
Polticas, estndares, normas y procedimientos.
Plan de sistemas.
Planes de seguridad y continuidad
Contratos, plizas de seguros.
Organigrama y manual de funciones.
Manuales de sistemas.
Registros
Entrevistas
Archivos
Requerimientos de Usuarios
6. PLANES PROGRAMAS Y PRESUPUESTOS DE AUDITORIA
6.1 METODOLOGA
Para la evaluacin del rea de Informtica se llevarn a cabo las siguientes actividades:
Solicitud de los estndares utilizados y programa de trabajo.
Aplicacin del cuestionario al personal.
Anlisis y evaluacin del a informacin.
Elaboracin del informe.
Para la evaluacin de los sistemas tanto en operacin como en desarrollo se

llevarn a cabo las siguientes actividades:
Solicitud del anlisis y diseo del os sistemas en desarrollo y en operacin.
Solicitud de la documentacin de los sistemas en operacin (manuales tcnicos, de

operacin del usuario, diseo de archivos y programas).
Recopilacin y anlisis de los procedimientos administrativos de cada sistema

(flujo de informacin, formatos, reportes y consultas).
Anlisis de llaves, redundancia, control, seguridad, confidencial y respaldos.
Anlisis del avance de los proyectos en desarrollo, prioridades y personal asignado
Entrevista con los usuarios de los sistemas.
Evaluacin directa de la informacin obtenida contra las necesidades y

requerimientos del usuario.
Anlisis objetivo de la estructuracin y flujo de los programas.
Anlisis y evaluacin de la informacin recopilada.
Elaboracin del informe.
Para la evaluacin de los equipos se llevarn a cabo las siguientes actividades:
Solicitud de los estudios de viabilidad y caractersticas de los equipos actuales,

proyectos sobre ampliacin de equipo, su actualizacin.
Solicitud de contratos de compra y mantenimientos de equipo y sistemas.
Solicitud de contratos y convenios de respaldo.
Solicitud de contratos de Seguros.
Elaboracin de un cuestionario sobre la utilizacin de equipos, memoria, archivos,

unidades de entrada/salida, equipos perifricos y su seguridad.
Visita tcnica de comprobacin de seguridad fsica y lgica de las instalaciones de

la Direccin de Informtica.
Evaluacin tcnica del sistema electrnico y ambiental de los equipos y del local
utilizado.
Evaluacin de la informacin recopilada, obtencin de grficas, porcentaje de

utilizacin de los equipos y su justificacin.
6.2 PRESUPUESTO
Auditores Tejupilco Estado de Mxico

Auditores y Consultores en Informtica
DURACION DE LA
Cliente: Esc. Sec. Ofic. No. 0347
AUDITORIA
Pedro Asencio de Alquisiras
18 de Noviembre al 21 de
Noviembre del 2014
Recurso
Sueldo/Mensual
Precio a Facturar
Tinoco
$ 4,000.00
$ 4,000.00
Macedo
$ 2,000.00
$ 2,000.00
$ 1,000.00
$ 1,000.00
Papelera
$ 800.00
$ 800.00
Software
$ 200.00
$200
Lder De Auditoria
Hugo
Csar
Bentez.
Auditor Junior
Edgar
Domnguez.
Viticos
TOTAL:
$ 8,000.00
Viticos.
Consta de los gastos que llevaran los auditores en las visitas que tengan que realizar los
auditores, se planea con una visita por semana en caso de ser necesarios.
Papelera.
Consta de los insumos de oficina (Impresiones, Plumas, Etc.) que se requerir en el

proceso de la auditoria
Software.
Consta de todo el software que se requerir para realizar la auditoria en los equipos de
cmputo que manejen la informacin.
7 METODOS, HERRAMIENTAS, INSTRUMENTOS Y PROCEDIMIENTOS PARA AUDITORIA.
7.1 RECOLECCIN DE INFORMACIN.
Observacin.
Es una de las tcnicas ms utilizadas para examinar los diferentes aspectos que
intervienen en el funcionamiento del rea informtica y los sistemas software, permite
recolectar la informacin directamente sobre el comportamiento de los sistemas, del rea
de informtica, de las funciones y actividades, los procedimientos y operacin de los
sistemas, y de cualquier hecho que ocurra en el rea.
En el caso especfico de la auditoria se aplica para observar todo lo relacionado con el rea
informtica y los sistemas de una organizacin con el propsito de percibir, examinar, o
analizar los eventos que se presentan en el desarrollo de las actividades del rea o de un
sistema que permita evaluar el cumplimiento de las funciones, operaciones y
procedimientos.
Entrevistas.
Esta tcnica es la ms utilizada por los auditores ya que a travs de esta se obtiene
informacin sobre lo que est auditando, adems de tips que permitirn conocer ms
sobre los puntos a evaluar o analizar. La entrevista en general es un medio directo para la
recoleccin de informacin para la captura de los datos informados por medio de
grabadoras digitales o cualquier otro medio. En la entrevista, el auditor interroga,
investiga y conforma directamente sobre los aspectos que se est auditando. En su
aplicacin se utiliza una gua general de la entrevista, que contiene una serie de preguntas
sobre los temas que se quiere tocar, y que a medida que avanza pueden irse adaptando
para profundizar y preguntar sobre el tema.
Cuestionarios.
Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado

responde de acuerdo a su criterio, de esta manera el auditor obtiene informacin que
posteriormente puede clasificar e interpretar por medio de la tabulacin y anlisis, para
evaluar lo que se est auditando y emitir una opinin sobre el aspecto evaluado.
Encuestas.
Las encuestas son utilizadas frecuentemente para recolectar informacin sobre aspectos
como el servicio, el comportamiento y utilidad del equipo, la actuacin del personal y los
usuarios, entre otros juicios de la funcin informtica. No existen reglas para el uso de las
encuestas, solo los que regulan los aspectos tcnicos y estadsticos tales como la eleccin
del universo y la muestra, que se contemplan dentro de la aplicacin de mtodos
probabilsticas y estadsticos para hacer la mejor eleccin de las muestras y recoleccin de
opiniones.
Inventarios.
Consiste en hacer el recuento fsico de lo que se est auditando, con el fin de compararla
con la que existe en los documentos en la misma fecha. Consiste en comparar las
cantidades reales existentes con las que debera haber para comprobar que sean iguales,
de lo contrario iniciar la investigacin de la diferencia para establecer las causas. Con la
aplicacin de esta herramienta de la auditoria tradicional, el auditor de sistemas tambin
puede examinar las existencias de los elementos disponibles para el funcionamiento del
rea informtica o del sistema, contabilizando los equipos de cmputo, la informacin y
los datos de la empresa, los programas, perifricos, consumibles, documentos, recursos
informticos, y dems aspectos que se desee conocer, con el fin de comparar la cantidad
real con las existencias que se registra en los documentos.
7.2 LISTAS DE CHEQUEO
Definicin: Actualmente es difcil definir lo que es un centro de cmputo, puesto que en

una organizacin pequea dos equipos PC son todo su centro de cmputo, en una
escuela, su centro de cmputo lo conforman sus aulas y las oficinas administrativas, y en
un corporativo, su centro de cmputo lo forman varios edificios o un sitio central y
oficinas regionales.
Para poder englobar todos estos extremos, se definir al centro de cmputo no en funcin
del nmero de equipos con que cuente, ni en funcin del espacio que ocupa, sino en
cuanto al servicio que proporciona. En este entorno un centro de cmputo es la
infraestructura necesaria para satisfacer todas las necesidades de procesamiento de
informacin y brindar los servicios que la organizacin requiere, contando para ello con
recursos humanos, tcnicos y materiales.
CUESTIONARIO DE CONTROL C1
R/PT
Cuestionario de Control
C1
Dominio
Proceso
Objetivo de Control
Cuestionario
Pregunta
SI
NO
N/A
EJECUCIN DE AUDITORIA DE SISTEMAS
DICTAMEN DE AUDITORIA DE SISTEMAS

1. DOCUMENTOS DE OPORTUNIDADES DE MEJORAMIENTO ENCONTRADAS
1.1. ANLISIS Y EVALUACIN DE RIESGOS
Para el listado de riesgos enumerados a continuacin se realizaron visitas a las
instalaciones de la institucin educativa, y especficamente a las instalaciones de las aulas
de cmputo, adems de la aplicacin de instrumentos como listas de chequeo o checklist
de verificacin y cuestionarios al personal de la administracin de los recursos
tecnolgicos.
1.1.1. LISTA DE RIESGOS ENCONTRADOS.

R1 No existe caja de breakers de los circuitos del aula.
R2 No existen sistemas contra incendios.
R3 Los usuarios no son capacitados en el uso adecuado de extintores.
R4 No existen controles sobre el acceso de personas al aula.
R5 No hay un control de asistencia sobre los responsables del aula.
R6 No hay sistemas de vigilancia para detectar posibles movimientos fraudulentos a los
equipos de cmputo.
R7 Falta definir polticas para la asignacin de contraseas de los equipos de cmputo.
R8 No se lleva un registro detallado de los usuarios que hacen uso de los equipos.
R9 No hay una hoja de vida de la existencia de los equipos.
R10 No se llevan bitcoras para la realizacin de procesos de mantenimiento.
R11 No existe personal encargado del mantenimiento de los equipos.
R12 No se hace inventario de existencias de equipos de cmputo.
R13 No se realiza un escaneo para evitar intrusiones en la red.
R14 No se definen fechas para cambios del proveedor de servicios de internet.
R15 No se hace monitoreo sobre la prestacin de servicios del ISP contratado.
1.1.2 VALORACIN DE RIESGOS
De acuerdo a los riesgos citados, se realiza la valoracin de los riesgos teniendo en cuenta
la probabilidad de ocurrencia y el impacto del riesgo dentro de las aulas de informtica de
la institucin educativa, para ello se realiza la siguiente tabla 1 donde se valoran los
riesgos para su posterior clasificacin.
Tabla 1. Valoracin de riesgos
Riesgos / Valoracin
R1
R2
R3
R4
R5
R6
Probabilidad
A
Elctricos
No existe conexin de polo a tierra
No existe instalacin de sistema elctrico regulado
No existe sistema de proteccin en cadas de energa
No hay medidores de voltaje elctrico en sus tres fases
La fase neutra no se encuentra bien identificada
No existe caja de breakers de los circuitos del aula
Impacto
x
x
x
x
x
x
x
x
x
x
x
Siniestros y Catstrofes
R7 No existen sistemas contra incendios
Los usuarios no son capacitados en el uso adecuado de
R8
extintores
R9 No existen sistemas de censores de humo
R10 No existen sistemas Extractores de calor
x
x
x
x
x
x
Manejo y Control de Personal

No hay un control de asistencia sobre los responsables
del aula
No hay sistemas de vigilancia para detectar posibles
R12
movimientos fraudulentos a los equipos de cmputo.
No se lleva un registro detallado de los usuarios que
R13
hacen uso de los equipos
R11
Manejo y Control de Hardware

R14 No hay una hoja de vida de la existencia de los equipos
No se llevan bitcoras para la realizacin de procesos de
R15
mantenimiento
Tabla 2. Clasificacin de Riesgos
LEVE
MODERADO
CATASTROFICO
R7,R9,R10,
ALTO
R16
R12,R13,R15
MEDIO
R8,R11
BAJO
R1,R2,R3,R4,R5,R6
R14
1.2 RIESGOS ENCONTRADOS HALLAZGOS
Teniendo en cuenta la aplicacin de los instrumentos para recoleccin de informacin, los

objetivos planteados con anterioridad y los riesgos definidos en la Matriz se obtienen las
siguientes tablas de hallazgos para cada uno de ellos.
HALLAZGO H1.
R/PT: C3
Nombre del rea:
Nombre del Jefe:
Joel Rosado Orive.
Dominio
Proceso
Objetivo de Control
Riesgos Asociados
R15,R5,R8
Descripcin
El Laboratorio de Computo con el que cuenta la Institucin se utiliza con poca
frecuencia a pesar de que cuenta con equipos de cmputo recientes, el acceso a esta
rea es algo restringido.
Recomendacin
Asignar a un encargado en el Laboratorio para que se pueda utilizar con ms frecuencia
para trabajos o actividades de los Alumnos.
Causa
La falta de una persona responsable o encargado en esta rea hace que el Laboratorio
no se use con Frecuencia.
Nivel del Riesgo
En Cuanto a la Probabilidad de Ocurrencia est Clasificado en Medio Alto, en cuanto al
Impacto es Moderado.
HALLAZGO H2.
R/PT: C5
Nombre del rea:
Nombre del Jefe:
Joel Rosado Orive.
Dominio
Proceso
Objetivo de Control
Riesgo Asociado
R5,R4,R7,R8
Descripcin
La Institucin tiene programados Horarios de mantenimiento, estas estn sujetas a las
programaciones que realiza el Directos de la Escuela al inicio del Ciclo escolar, El rea
administrativa solo da de baja equipos no funcionales, pero no hace solicitudes de
cambio de nuevos equipos ya que el nuevo hardware est supeditado a los recursos de
inversin y proyectos presentados a nivel local y nacional.
Recomendacin
El Encargado de la Administracin de las aulas de informtica debe sujetarse a los
Horarios de mantenimiento y cambios por lo menos una vez al ao, las actualizaciones
de cambio o repotenciacin de equipos se deben presupuestar para las vigencias
futuras.
Causa
El Director Escolar y el Encargado del rea Administrativa del aula de informtica deben
realizar planes de actualizacin de equipos y de mantenimiento preventivo, asignando
los recursos econmicos necesarios para vigencias futuras.
Nivel del Riesgo
HALLAZGO H3.
R/PT: D2
Nombre del rea:
Nombre del Jefe:
Joel Rosado Orive.
Dominio
Proceso
Objetivo de Control
Riesgos Asociados
R1,R7,R10,R2
Descripcin
En las aulas de informtica no se lleva un registro de mantenimiento y de cambios de
hardware, adems no existe personal de mantenimiento dedicado a este proceso, el
mantenimiento est sujeto a las indicaciones del Director Escolar de acuerdo al
presupuesto y el inventario no se actualiza peridicamente cuando se han realizado
cambios.
Recomendacin
El Encargado de la Administracin debe sugerir las indicaciones de inventario y
mantenimientos de hardware.
Causa
Nivel del Riesgo
HALLAZGO H4.
R/PT: D3
Nombre del rea:
Nombre del Jefe:
Joel Rosado Orive.
Dominio
Proceso
Objetivo de Control
Proporcionar
Aplicaciones.
Riesgos Asociados
Descripcin
R5,R9,R7,R3
Plataformas
Apropiadas
para
Soportar
En las Aulas de Informtica de la Institucin no se lleva a cabo una buena Adquisicin e

Implementacin de los Recursos destinado para la Mejora de TI, dentro de estas reas.
Recomendacin
El Encargado de la Administracin debe sugerir una forma apropiada de Adquirir e
Implementar los Recursos de TI, dentro de estas reas.
Causa
Nivel del Riesgo
HALLAZGO 5.
R/PT: E5
Nombre del rea:
Nombre del Jefe:
Joel Rosado Orive.
Dominio
Proceso
Objetivo de Control
Riesgos Asociados
R2,R8,R9,R10
Descripcin
En las aulas de informtica no se lleva a cabo una buena Administracin y control de
Calidad para que los laboratorios tengan el Desempeo deseado por la Direccin
Escolar.
Recomendacin
El Encargado de la Administracin debe sugerir cambios en la Administracin para
poder sacar el mximo provecho de las TI, con las que cuenta la Institucin.
Causa

Nivel del Riesgo
HALLAZGO H6
R/PT: E7
Nombre del rea:
Nombre del Jefe:
Joel Rosado Orive.
Dominio
Proceso
Objetivo de Control

de TI.
Riesgos Asociados
R4,R11,R12,R9
Descripcin
La Institucin Educativa le ofrece a sus empleados y alumnos cursos de capacitacin en
las reas bsicas para el control de TI.
Recomendacin
El Encargado de la administracin de las aulas de informtica debe guiarse de las
indicaciones establecidas por la Direccin Escolar para las capacitaciones a los Alumnos
y Docentes de la Institucin.
Causa
realizar planes para la actualizacin o cursos que se impartirn a alumnos y docentes.
Nivel del Riesgo
HALLAZGO H7.
R/PT: F1
Nombre del rea:
Nombre del Jefe:
Joel Rosado Orive.
Dominio
Monitoreo (M)
Proceso
Objetivo de Control

Procesos de TI.
Riesgos Asociados
R2,R7,R8
Descripcin
La Institucin Educativa tiene programados Horarios de revisin de las Actividades
realizadas diariamente dentro de los laboratorios o reas cmputo de la Institucin.
Recomendacin
El Encargado de la administracin de las aulas de informtica debe programar los
cursos que se impartirn en el trascurso del ciclo escolar para capacitar a alumnos y
Docentes.
Causa
realizar planes de actualizacin para alumnos y docentes.
Nivel del Riesgo
HALLAZGO H8.
R/PT: F4
Nombre del rea:
Nombre del Jefe:
Joel Rosado Orive.
Dominio
Monitoreo (M)
Proceso
Objetivo de Control

Implementacin.
Riesgos Asociados
R1,R5,R7,R6
Descripcin
La Institucin Educativa realiza auditorias independientes una vez al ao en diferentes
reas con el fin de buscar fallos en su sistema y as tratar de corregirlos y mejorar.
Recomendacin
El Encargado de la administracin de las aulas de informtica debe estar capacitado
para participar en las auditoras realizadas por terceras personas dentro de la
institucin.
Causa
El encargado de la Administracin no cuenta la capacitacin necesaria para participar
como apoyo en las auditoras realizadas por la institucin.
Nivel del Riesgo
impacto es moderado
1.3 PRUEBAS
Realizadas las visitas y las entrevistas propuestas con anterioridad se han obtenido la
siguiente coleccin de pruebas para los riesgos seleccionados previamente.
PRUEBA P1.

Pruebas
Dominio
R/PT: C3
P1
Proceso
Objetivo de Control
Riesgos Asociados
R15,R5,R8
No
1
Descripcin
En las aulas de informtica no se lleva un registro
adecuado para la arquitectura de TI
Evidencia
No existe un nivel
de arquitectura de
TI
No existe un plan
establecido para la
direccin
tecnolgica
Ho hay planes estratgicos para la toma de direccin

tecnolgica.
PRUEBA P2.

Pruebas
Dominio
R/PT: C5
P2
Proceso
Objetivo de Control
Riesgos Asociados
R5,R4,R7,R8
No
1
Descripcin
La Institucin educativa no tiene pensado en cambiar su
infraestructura ya que el gobierno del estado no se los
proporciona tan fcilmente.
Evidencia
No se tiene
pensado en la
estructura
tecnolgica
PRUEBA 3

Pruebas
Dominio
R/PT: D2
P3
Proceso
Objetivo de Control
Riesgos Asociados
R1,R7,R10,R2
No
1
Descripcin
No se cuenta con la instalacin completa del office
Evidencia
No se cumple con
los aplicativos
PRUEBA 4

Pruebas
Dominio
R/PT: D3
P4
Proceso
Objetivo de Control
Proporcionar Plataformas Apropiadas para Soportar

Aplicaciones.
Riesgos Asociados
R5,R9,R7,R3
No
1
Descripcin
Base a que es de gobierno ellos no tienen pensado en
comprar cosas que no les corresponden
Las paredes cuentan a salinidad gracias a la humedad
Evidencia
No se realizan
cotizaciones
No es adecuada la
infraestructura de
TI
PRUEBA 5

Pruebas
Dominio
R/PT: E5
P5
Proceso
Objetivo de Control
Riesgos Asociados
R2,R8,R9,R10
No
1
Evidencia
Descripcin
No existe software No cuenta con sistemas el cual monitoreen la red as
para las incidencias mismo tampoco cuentan con cmaras de vigilancia
de seguridad
PRUEBA 6

Pruebas
Servicios
y Soporte (DS)
Dominio
R/PT: E7
P6
Proceso
Objetivo de Control

de TI.
Riesgos Asociados
R4,R11,R12,R9
No
1
Descripcin
No hay asesoras de parte de la institucin al personal
encargado del laboratorio
Evidencia
No existen
capacitaciones de
usuarios
PRUEBA 7

Pruebas
Monitoreo (M)
Dominio
R/PT: F1
P7
Proceso
Objetivo de Control

Procesos de TI.
Riesgos Asociados
R2,R7,R8
No
1
Descripcin
Es decir no hay horarios para la utilizacin de dicho
laboratorio
No se cuanta con un sistema el cual mida el tiempo de
utilizacin del equipo y las horas de trabajo y quien lo
trabajo.
Evidencia
No existe con
ejecucin estable
No se cuanta con
un sistema
informtico el cual
mida el
desempeo del
computador
PRUEBA 8.

Pruebas
Monitoreo (M)
Dominio
R/PT: F4
P5
Proceso
Objetivo de Control

Implementacin.
Riesgos Asociados
R1,R5,R7,R6
No
1
Evidencia
No existen roles
adecuados
No se cumplen con
las polticas de
seguridad
Descripcin
Debido a la falta de un registro no se tiene control de
horarios de los trabajadores y no se cuanta con un
acuerdo entre ellos
Como antes mencionado no se cuenta con registro
adecuado de cada usuario y tampoco se da monitoreo a
sus sistemas de informacin.
3 DICTAMEN FINAL
Profre. Joel rosado orive
Director escolar de secundaria pedro Asencio de alquisiras
1. Hemos auditado el rea informtica correspondiente al servicio del laboratorio de

sistemas y he evaluado el nivel de riesgo de informtica que presenta, con las notas y
anexos que se adjuntan, preparados por los alumnos Edgar Macedo Domnguez,
Hugo Cesar Tinoco Bentez. Los hechos presentes en el rea de informtica del
laboratorio, son responsabilidad de quienes hacen uso del servicio de informtica;
nuestra responsabilidad es expresar una opinin sobre dichos hechos basados en
nuestra auditora.
2. Hemos conducido la prctica de acuerdo con los lineamientos de las Normas
Internacionales de Auditoria (NIA), Normas de Auditora Generalmente Aceptadas y a
las Normas Ecuatorianas de Auditora aplicables a la auditora informtica. No existen
normas formales expresas relacionadas directamente con la auditora informtica por
lo que ha sido preciso adoptar Normas generales para la ejecucin de nuestro
trabajo. Estas normas requieren planear y efectuar el proceso de auditora para
obtener seguridad razonable con el propsito de informar si los hechos a revisar
presentan riesgos significativos.
Se realiz un chequeo general al ambiente hardware para conocer el estado actual
de los equipos de cmputo.
Se efectu una revisin general del ambiente software para conocer el estado
actual de los programas. Se evalu el servicio de informtica de acuerdo a
cuestionarios de estudio o seguimiento, con el propsito de conocer los
principales
inconvenientes
y requerimientos tanto de catedrticos como de
alumnos y adems se incluy en este estudio la opinin del laboratorista.
Se examin la estructura del laboratorio con respecto a la distribucin de las

mquinas con el propsito de conocer la factibilidad de una distribucin ms
ptima.
3. Este dictamen est destinado para ser utilizado segn estime conveniente de acuerdo
a su criterio y aclaramos que esta prctica de auditora informtica se realiz con el
propsito principal de poner en prctica los conocimientos adquiridos, ofrecer un
aporte al mejoramiento del servicio que brinda la universidad respecto al rea
informtica.
4. El rea informtica del laboratorio de sistemas presenta un nivel de riesgo medio en
sus aspectos ms significativos, aunque su nivel de servicio se presta razonablemente
de acuerdo a los medios existentes para ofrecerse.

Auditori A

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Auditori A

Hochgeladen von

Copyright:

Verfügbare Formate

UNIVERSIDAD TECNOLGICA DEL

SUR DEL ESTADO DE MXICO

EDGAR MACEDO DOMINGUEZ

M.T.I. ANTONIO DE JESUS FLORES

DATOS GENERALES DE LA EMPRESA.

Escuela Secundaria Oficial No. 0347 Pedro Ascencio de Alquisiras

Director: Joel Rosado Orive.

Servicios que Ofrece: Educacin Secundaria (Nivel Bsico)

Fecha de Inicio: 21/11/2014

Direccin: Doctor Gustavo Baz S/N, Villa Luvianos, Estado de Mxico.

PLANEACIN DE LA AUDITORIA DE SISTEMAS.

1. IDENTIFICACIN DE ORIGEN DE LA AUDITORIA.

2. VISITA PRELIMINAR AL REA QUE SER EVALUADA.

Objetivos de la Visita Preliminar:

Definir qu Tipo de Auditora requiere el Cliente.

Determinar los Recursos necesarios para llevar a cabo la Auditora.

Herramientas a utilizar para conocer mejor a la empresa:

Investigacin Documental: sta implica requerir a la empresa documentos que

Entrevista Formal: Se utiliza un guion de preguntas con respuestas cerradas o de

Entrevista no Guiada: Se realizan preguntas ms generales donde la persona

Encuesta: Es un cuestionario que se aplica a todos o parte de los empleados de la

2.1 FORMATO DE VISITA PRELIMINAR.

Teniendo en cuenta la aplicacin de los instrumentos para recoleccin de informacin, los

Aulas de Informtica Institucin Educativa.

Nombre del rea:

Nombre del Jefe:

Joel Rosado Orive.

Planeacin y Organizacin (PO)

PO3. Determinar la Direccin Tecnolgica.

Aprovechar al Mximo la Tecnologa Disponible.

Aulas de informtica Institucin Educativa

Nombre del rea:

Nombre del Jefe:

Joel Rosado Orive.

Planeacin y Organizacin (PO)

PO5. Manejar la Inversin en TI.

Satisfaccin de los Requerimientos de la Organizacin.

Aulas de Informtica Institucin Educativa.

Nombre del rea:

Nombre del Jefe:

Joel Rosado Orive.

Adquisicin e Implementacin (AI)

AI2. Adquisicin y Mantener Software de Aplicacin.

Proporcionar Funciones Automatizadas.

Aulas de informtica Institucin Educativa

Nombre del rea:

Nombre del Jefe:

Joel Rosado Orive.

Adquisicin e Implementacin (AI)

AI3. Adquirir y Mantener Arquitectura de TI.

Aulas de Informtica Institucin Educativa.

Nombre del rea:

Nombre del Jefe:

Joel Rosado Orive.

Servicios y Soporte (DS)

DS3. Administrar Desempeo y Calidad.

Asegurar que la Capacidad Adecuada est Disponible.

Aulas de informtica Institucin Educativa

Nombre del rea:

Nombre del Jefe:

Joel Rosado Orive.

Servicios y Soporte (DS)

DS7. Capacitar Usuarios.

Asegurar un Conocimiento Correcto Atribuido a los Servicios