ALEJANDRO SARABIA ARANGO

TECNLOGO EN SISTEMAS DE INFORMACIN

TEL: 3013371600

Institucin Educativa Laura Vicua

Contrato de Planeacin de Auditoria No. 12-2011

Plan de Auditoria de Sistemas.

Integrantes
Juan Santiago Rodrguez Sierra
Alejandro Sarabia Arango
Julio 2012

ALEJANDRO SARABIA ARANGO

TECNLOGO EN SISTEMAS DE INFORMACIN
TEL: 3013371600

1.- COMPONENTE A AUDITAR: Recurso informtico (software y Hardware) de la

Institucin Educativa Laura Vicua

2.- OBJETIVOS:
Objetivo General: Analizar el funcionamiento de la red de la institucin y entregar una
informacin concreta,
confiable, sobre el estado del componente auditar,
recomendando la implementacin de medidas para mejorar el servicio y as lograr un
excelente desempeo a futuro.
Objetivos Especficos:
1. Evaluar la conexin cuando los alumnos accedan a internet.
2. Observar la que paginas son las que los alumnos ms acceden y mirara si el
sistema est protegido y su seguridad.
3. Evaluar las polticas y normas de infraestructura fsica lgica en las salas
para el correcto funcionamiento y as lograr una buena integracin en este
espacio.
4. Revisar el licenciamiento del software
5. Revisar el inventario de los computadores y la parte red
6. Evaluar las copias de seguridad y sus fichas tcnicas
7. Revisar el inventario de los computadores para su mantenimiento y su
respectivas actualizaciones Repotenciar las maquinas si es necesario
8. Evaluar el reglamento de las reas informtica y que este conocido y
comprendido por los usuarios
9. Verificar cumplimiento de las normas de certificacin para el cableado de datos
10. Validar pruebas que validen el cumplimiento de polticas de TI.
11. Verificar la existencia y manejo adecuado de claves de acceso al software
administrativo.

3.- ALCANCE: Evaluar los recursos tecnolgicos de la institucin, en todas las

dependencias en donde se utilizan recursos informticos para Planes y procedimientos
a realizar en los Sistemas tcnicos de Seguridad y Proteccin.

ALEJANDRO SARABIA ARANGO

TECNLOGO EN SISTEMAS DE INFORMACIN
TEL: 3013371600

4.-METODOLOGIA:
1. Ejecutar una encuesta de todos los usuarios que acceden a los computadores
de y preguntarles que programas son los que ms ejecutan.
2. Analizar la informacin obtenida por la encuesta.
3. Revisar documentacin como planillas, inventario y reglamento.
4. Revisin de todo el inventario de los computadores, cables, dispositivos.
5. Anlisis de llaves, redundancia, control, seguridad, confidencial y respaldos
6. Pruebas de laboratorio (validaciones del sistema).
7. Elaboracin y presentacin del informe final las recomendaciones que se
deben tener para la buena ejecucin de la red estudiantil.
5.-NORMAS:
LEGALES:

LEY 1273 DEL 5 DE ENERO 2009,Por medio de la cual se modifica el cdigo

penal, se crea un nuevo bien jurdico tutelado-denominado de la proteccin de
la informacin y de los datos , y se preservan integralmente los sistemas que
utiliza las tecnologas de la informacin y las comunicaciones, entre otras
disposiciones.

PROYECTO DE ACUERDO No. 153 DE 2005

"Por medio del cual se crea el programa permanente de alfabetizacin digital en las
instituciones y centros educativos distritales.

Ley de Comercio Electrnico en Colombia. (Ley 527 de 1999)

El 18 de agosto de 1999 fue expedida en Colombia la Ley 527 de 1999, por medio de
la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio
electrnico y de las firmas digitales, se establecen las entidades de certificacin y se
dictan otras disposiciones.

DECRETO NUMERO 1360 DE 1989

(Junio 23)
Por el cual se reglamenta la inscripcin del soporte lgico (software) en el registro
nacional del derecho de autor.
6.- PROCEDIMIENTOS: Va de acuerdo a la metodologa utilizada.
7.- AREAS O CARGOS CON LA QUE SE HACE CONTACTO:

Aula virtual

ALEJANDRO SARABIA ARANGO

TECNLOGO EN SISTEMAS DE INFORMACIN
TEL: 3013371600

Sala de informtica.
Biblioteca
Secretaria
Rectora
Coordinacin CREM.
Sala de profesores.
Coordinacin.

8.-PERSONAL PARTICIPANTE DE AUDITORIA:

Juan Santiago Rodrguez Sierra
Alejandro Sarabia Arango
.
9.- CRONOGRAMA DE ACTIVIDADES:

ACTIVIDAD

FECHA

HORARIO

Planeacin

Nov.1,
3, y 5

RESPONSABLE
S
Auditoras
encargadas

Indagacin
bibliogrfica

Nov. 2,y
3

Auditoras
encargadas

Elaboracin de
encuestas

Nov. 6

Auditoras
encargadas

Aplicacin de
entrevistas

Auditoras
encargadas

Coordinacin CREM: Nov. 16

Juan Carlos
Secretaria de Rectora Nov. 16

11 Am
3 Pm

Auditoras
encargadas
Auditoras
encargadas

Bibliotecario

Nov.16

2 Pm

Auditoras
encargadas

Sala de profesores:.

Nov.17

10.30 Am

Auditoras

OBSERVACION
ES
Junta para
mostrar la
ejecucin de la
Auditoria,
esquema
Normatividad
informtica
investigar sobre
el estado del
componente
auditar
Diseo y
Planillas de la
encuesta.
Conocer el
listado del
personal a
encuestar.

Encargada de
manejar la parte
de copias de
seguridad
Quienes Manejan
la parte de los
equipos

ALEJANDRO SARABIA ARANGO

TECNLOGO EN SISTEMAS DE INFORMACIN
TEL: 3013371600

Coordinacin:

Nov.18

11Am.

Anlisis de
documentos
Verificacin de
informacin
(Inspeccin)
Tabulacin de
encuestas
Redaccin de
conclusiones,
resultados y
recomendaciones.
Presentacin de
informes.

Nov.19

2.Pm

Nov.19
Nov. 20
Nov. 20

Nov. 22

10.- RECURSOS:
- Humano:
. - Personal encargado de cada dependencia.
. -Ingeniero de sistemas.
Diego Chaverra
Bibliotecario
Jaime Bernat
Rector
Juan Diego Cano
Coordinadora
Juan Cardona
Encargado sala informtica
Logstico:
.-Equipos informticos de la Institucin Educativa.
.-Archivo de la Institucin,
Bibliogrfico:
.-PEI de la Institucin.
.-Manual de convivencia.

encargadas
Auditoras
encargadas
Auditoras
encargadas
Auditoras
encargadas
Auditoras
encargadas
Auditoras
encargadas
Auditoras
encargadas

Velan por el
cumplimiento de
las normas
Velar por la
documentacin
Verificacin de
las licencias por
software
Ingresar los
datos al sistema.
Elaboracin de
informe y
sugerencias
Terminar con la
auditorio
teniendo la
conclusin del
problema y su
respectiva
solucin

ALEJANDRO SARABIA ARANGO

TECNLOGO EN SISTEMAS DE INFORMACIN
TEL: 3013371600

Reglamento de la Sala de Informtica

ENTREVISTA ADMINISTRATIVOS.
Lugar: I.E.Laura Vicua
Fecha: Julio de 2012.
Funcionario a entrevistar:
Objetivo: Aplicar algunos manejos administrativos de los equipos informticos en la I.E.
Laura Vicua.
Lea cuidadosamente cada pregunta y si conoce la respuesta proceda a marcar segn
corresponda.
1.- Cuantos equipos informticos maneja esta dependencia.
1. -------------- 2, ---------------- 3, ------ -----4, ------------------ms de 4, cuantos-------------2.-Programas bsicos que maneja:
A---------------------------------- B----------------------------C------------------------------------3.- Otros programas a los que tiene acceso.
A---------------------B---------------------C---------------------------D---------------------------E----------------------------------F------------------------------------.
4.- Sabe si estos programas tienen licencia.
Si---------------------------- No--------------------------5.-Cuales?
A-----------------------B----------------------------D------------------------F-------------------------6.-Conoce la referencia de cada equipo?
Si----------------------------- No--------------------

C----------------------------

S
CONOCIMIENTO DEL SISTEMA: INVENTARIO
Hay un inventario en la institucin de Hardware y software ?
Ha hecho revisar el inventario por un especialista (auditor,
consultor, experto en informtica...) externo a la empresa?
Se sabe quines son los propietarios de los elementos del
inventario?
Se sabe quines son los usuarios de los elementos del
inventario?
Existe un criterio para valorar cules son los elementos crticos
del inventario?

NO

N/A

ALEJANDRO SARABIA ARANGO

TECNLOGO EN SISTEMAS DE INFORMACIN
TEL: 3013371600

NO

N/A

NO

N/A

CONOCIMIENTO DEL SISTEMA: SOFTWARE

Ha tenido en cuenta las distintas versiones de los elementos
Software?
Es posible modificar y mejorar el cdigo fuente de sus
programas a medida?
Est disponible el cdigo fuente?
Se han hecho estudios coste/beneficio sobre si cambiar los
sistemas del departamento o mejorarlos?
Se han hecho estudios que revelan cul es la manera ms
sencilla y menos costosa de cambiar y mejorar el sistema?
Ha identificado qu cdigos fuente son propiedad de otras
entidades?
Existe un contrato de utilizacin con los propietarios?
Va a exigirles a los propietarios de dichos cdigos un informe de
progresos?
Tiene asesoramiento legal para asegurarse de que dichos
contratos son correctos y puede exigir compensaciones
econmicas en caso de incumplimiento?

Ha verificado en general los productos adquiridos

recientemente? (contratos de utilizacin, cdigos fuente,...)
Su suministrador de software sigue el negocio?
Va a utilizar un software especial para ello?
Ha sido validado dicho software por auditores?
Tiene el equipo del proyecto un plan de prueba que incluya, al
menos, una especificacin del tipo de pruebas, la fecha de
comienzo de las pruebas, los recursos (de hardware, humanos y
tiempo) para realizar las pruebas y la especificacin de los casos
de pruebas satisfactorias?
Los responsables de realizar las pruebas tienen la formacin

ALEJANDRO SARABIA ARANGO

TECNLOGO EN SISTEMAS DE INFORMACIN
TEL: 3013371600

adecuada?
Si es necesario probar datos confidenciales, se asegura que sean
ficticios o no relevantes, y si deben ser reales, se asegura que
sean eliminados despus de la prueba?
Si no es posible eliminar datos confidenciales usados en las
pruebas, se asegura que slo algunos empleados tienen
autoridad y acceso para hacer las pruebas y que estn
debidamente registrados todos los accesos que realizan?

CONOCIMIENTO DEL SISTEMA:

PLANES DE CONTINGENCIA

SI

NO

N/A

El personal de la organizacin sabe que tiene

soporte si ocurren problemas?
Existen planes de contingencia y
continuidad que garanticen el buen
funcionamiento del Repositorio o Diccionario
de Datos?
SI
En el plan se identifican todos los riesgos y
sus posibles alternativas?
REPOSITORIO: SEGURIDAD
Existe un administrador de sistemas que
controle a los usuarios?
Gestiona los perfiles de los usuarios dicho
administrador?
Existe un administrador de bases de datos
que gestione las instancias de las bases de
datos?
Gestiona el administrador de bases de datos
los accesos a las distintas instancias de las

NO

N/A

ALEJANDRO SARABIA ARANGO

TECNLOGO EN SISTEMAS DE INFORMACIN
TEL: 3013371600

bases de datos?
Existe un acceso restringido a las instancias
que contienen el Repositorio?
Es autocambiable la clave de acceso al
Repositorio?
Pueden los administradores del Repositorio
cambiar la contrasea?
Se obliga, cada cierto tiempo, a cambiar la
contrasea automticamente?
Se renueva peridicamente la contrasea?
SI
Existen listados de intentos de accesos no
satisfactorios o denegados a estructuras,
tablas fsicas y lgicas del repositorio?
Existe un diseo fsico y lgico de las bases
de datos?
Dispone tambin el Diccionario de datos de
un diseo fsico y lgico?
Existe una instancia con copia del
Repositorio para el entorno de desarrollo?
Est restringido el acceso al entorno de
desarrollo?
Se utilizan datos reales en el entorno de
desarrollo?
Existen copias de seguridad del Repositorio?

NO

N/A

ALEJANDRO SARABIA ARANGO

TECNLOGO EN SISTEMAS DE INFORMACIN
TEL: 3013371600

Se hacen copias de seguridad diariamente?

Se almacenan las copias de seguridad en
dispositivos externos?
Se ubican los dispositivos externos en
locales diferentes al edificio en el que se
encuentran las redes y los servidores?
SI
Existe un acceso restringido a la sala de
servidores?
Existen mecanismos de seguridad fsica en
las salas de servidores?
Se dispone de equipos auxiliares en caso de
cada o avera del equipo principal?
Se dispone de generador de energa auxiliar
para asegurar la corriente a los servidores?
REPOSITORIO: PROCESO DE
CAMBIO
Existe un formulario de peticin de cambio
o modificacin en el Repositorio?
Es necesaria la autorizacin del Manager del
Repositorio para realizar el cambio?
Se realiza la modificacin sobre una copia
del Repositorio?
Se establece un bloqueo sobre la parte del
Repositorio a modificar?
Se comunica a los distintos
usuarios/desarrolladores el bloqueo de parte

NO

N/A

ALEJANDRO SARABIA ARANGO

TECNLOGO EN SISTEMAS DE INFORMACIN
TEL: 3013371600

del Repositorio y por tanto los fallos del

funcionamiento que se pueden ocasionar?
Se establecen prioridades en los trabajos y
modificaciones del repositorio para los
bloqueos?
SI
Existe algn fichero log que almacene todos
los cambios realizados en el Repositorio?
Se comunica al solicitante del cambio que se
ha llevado a cabo la modificacin?
Se realizan pruebas sobre el cambio para
comprobar que la aplicacin funciona
correctamente?
Se comprueba que el cambio solicitado se
corresponde con lo realizado?
Se realizan dichas comprobaciones en la
copia de la instancia?
Existe una notificacin por escrito del
solicitante certificando que el cambio se
realiz satisfactoriamente?
Existe documentacin escrita sobre el
cambio (formulario de peticin, script del
cambio realizado, aprobacin del solicitante)?
Se realiza un volcado de la copia del
Repositorio el original al final del dia?
Se realizan actualizaciones peridicamente
del resto de las instancias para que tengan el
Diccionario de Datos actualizado?

NO

N/A

ALEJANDRO SARABIA ARANGO

TECNLOGO EN SISTEMAS DE INFORMACIN
TEL: 3013371600

POLITICAS DE SISTEMAS

SI

NO

CUESTIONARIO

1.

La Entidad dispone de polticas para el

mantenimiento de los equipos de cmputo?
2.

3.

Se cumplen estas polticas?

Se encuentran debidamente aprobadas las

polticas ?

4.
Estas polticas contemplan metodologas para
llevar a cabo el mantenimiento tanto de hardware como
de software ?
5.

Existen contratos de mantenimiento con

compaas especializadas?
6.

7.
8.
9.

Se encuentran vigentes ?

Quin administra el cumplimiento de tales

contratos ?
Se hacen exigibles la plizas de los contratos a
los contratistas que no cumplen ?

Se ha adquirido legalmente todo el Software

instalado en los equipos de la Entidad ?

10. Se sigue alguna metodologa de adquisicin del

Software?

11. Se ha adquirido legalmente todas las partes del

equipo?

12. Alguna metodologa de adquisicin de equipos?

13.
Se controla que solo se encuentren instalados aquellos
programas de uso constante, adems de no permitirse
la duplicidad de instalaciones o de archivos ?

14. Se encuentra debidamente licenciada la totalidad

del software que usa la Entidad ?

N/A

ALEJANDRO SARABIA ARANGO

TECNLOGO EN SISTEMAS DE INFORMACIN
TEL: 3013371600

15. Contemplan las polticas de la Entidad controles

administrativos que aseguren la confiabilidad en la
captura de los datos ?

16. Se cuenta con controles por parte del personal que

maneja la aplicacin para detectar errores u omisiones
en el momento de la captura?

17. Cuentan los sistemas con rutinas de verificacin de

la informacin que se est capturando ?

18. Son efectivas tales rutinas ?

19. Rechaza definitivamente la aplicacin aquellas

transacciones invalidas?

20. Existen y son efectivos los controles

administrativos que permitan la confiabilidad en el
procesamiento de los datos?

21. Existen y son efectivos los controles

proporcionados por la aplicacin para prevenir errores
en el procesamiento de la informacin?

22. Se cuenta con controles por parte del personal que

maneja la aplicacin para detectar errores u omisiones
en el momento del procesamiento?

23. Cuenta la aplicacin con rutinas de verificacin de

la informacin que se est procesando?

24. Son efectivos los procedimientos usados para

corregir los datos procesados erradamente ?

25. Existen y son efectivos los controles

administrativos que permitan la confiabilidad en la
salida de los datos?

26. Se cuenta con controles por parte del personal que

maneja la aplicacin para detectar errores u omisiones
en la salida de informacin?

27. Cuenta la aplicacin con rutinas de verificacin de

la informacin que sale del sistema?