4. PLAN GENERAL DE AUDITORIA by Edward González

Universidad Mariano Gálvez Planeación de Auditoria de Informática al Proyecto Caritas de la Diócesis de San Marcos

Curso: Auditoria de Sistemas Cat.: Lic. Otoniel Sánchez Gómez Ciclo: Décimo Segundo Semestre

Contenido PLAN DE AUDITORIA: ................................................................................................................. 4 Identificación del Origen de la Auditoria: .......................................................................... 4 Origen de Auditoria: Solicitud Externa otras Instituciones: ................................... 4 Tipos de Auditoria que se Ejecutaran: ............................................................................... 5 Auditoria con la Computadora: ................................................................................................... 5 Auditoria Sin la Computadora: ................................................................................................... 5 Tipos de Auditorias en Informática a Ejecutar: ............................................................... 5 Auditoría Informática ........................................................................................................... 5 Auditoría al Sistema de Cómputo .................................................................................... 6 Auditoría de la seguridad de sistemas computacionales ......................................... 6 Auditoría a los sistemas de redes .................................................................................... 6 Auditoría ergonómica de sistemas computaciones y mobiliarios .......................... 7 Cronograma General de Actividades:.................................................................................. 8 Diagramas de Gantt....................................................................................................................... 18 Presupuesto del Proyecto de Auditoria: ........................................................................... 22 Establecimiento de metas de la auditoria ....................................................................... 23 Programas de Trabajo ................................................................................................................... 23 Análisis de Viabilidad de la Auditoria: ........................................................................................... 24 Viabilidad técnica. ..................................................................................................................... 24 Viabilidad económica. ............................................................................................................... 24 Factibilidad operativa. ............................................................................................................... 25 Inicio de la Auditoria ..................................................................................................................... 25 Visita Preliminar ........................................................................................................................ 25 Evaluación de la estructura Organizacional: ................................................................................. 26 Estructura Orgánica:.................................................................................................................. 26 Funciones ...................................................................................................................................... 27 Auditoría al Sistema de Cómputo .................................................................................. 27 Auditoría de la seguridad de sistemas computacionales ....................................... 28 Auditoría a los sistemas de redes .................................................................................. 29 Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

Auditoría ergonómica de sistemas computaciones y mobiliarios ........................ 31 Auditoria Ergonómica........................................................................................................................ 31 Objetivos ....................................................................................................................................... 32 Objetivo General ....................................................................................................................... 32 Objetivos Específicos ................................................................................................................. 32 Alcances de la Auditoria Ergonómica ............................................................................................ 32 HERRAMIENTAS A APLICAR DURANTE LA AUDITORIA: ......................................... 32 Herramientas de recopilación de información tradicionales: ................................ 32 Herramientas tecnológicas a utilizar: ............................................................................... 34 Aplicaciones para Auditoria de Sistemas ........................................................................ 35 Open-Audit ............................................................................................................................ 35 NMAP ....................................................................................................................................... 35 Belarc Advisor....................................................................................................................... 36 Total Network Inventory 2 ................................................................................................ 36 Cristal Disk Info ................................................................................................................... 37 OCCT ....................................................................................................................................... 38 Global Network Inventory ................................................................................................. 39 Nitro PDF: .............................................................................................................................. 39 Adobe Professional 10: ...................................................................................................... 39 E-Encuestas .......................................................................................................................... 40

Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

Auditor铆a de Sistemas de Informaci贸n Proyecto Caritas, Pastoral Social Di贸cesis de San Marcos

PLAN DE AUDITORIA: Identificación del Origen de la Auditoria: Origen de Auditoria: Solicitud Externa otras Instituciones:

La presente auditoria tiene su origen en la solicitud que se ha realizado por parte de los estudiantes al proyecto Caritas de la Diócesis de San Marcos, por lo tanto tiene una naturaleza dentro de la clasificación de las Auditorias de Solicitud de Otras Instancias. Dicha auditoria se realiza cuando una entidad externa a la empresa solicita la realización de la auditoria para evaluar algunos aspectos de su interés ya sea económicos, de inversión, financiamiento entre otros. En este caso particular la auditoria se solicita para poder desarrollar el proyecto del curso Auditoria de Sistemas y poner en práctica todos los conocimientos adquiridos en el desarrollo del curso antes mencionados. También esta auditoría entra en la clasificación de Auditoria por orden de Gerencia o dirección General debido a que la administración del Proyecto Caritas y del Pastoral Social en general solicita que pueda auditarse las dependencias siguientes:      

Caritas Caritas Caritas Caritas Caritas Caritas

Secretaria Administración Agricultura Salud Alimentos Organización Social

En las cuales por mandato de la dirección general presidida por Sor Bernarda Rojas y la administración presidida por Antonio Cifuentes, Amaya Espinoza, Vinicio Navarro y Gladys López, se desea que se auditen dichas dependencias. Posteriormente en la planificación se especificaran las personas encargadas de cada uno de los proyectos y el personal que colabora en ellos.

Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

Tipos de Auditoria que se Ejecutaran: A continuación se presentan los tipos de auditorías con las cuales se auxiliaran los ejecutores de la evaluación al momento de realizar la auditoria:  Auditoría con la computadora  Auditoría sin la computadora A continuación se describen brevemente cada una de los tipos de auditorías a utilizar Auditoria con la Computadora:

Es la auditoría que se realiza con el apoyo de los equipos de cómputo y sus programas para evaluar cualquier tipo de actividades y operaciones, no necesariamente computarizadas, pero sí susceptibles de ser automatizadas. Auditoria Sin la Computadora:

Es la auditoria cuyos métodos, técnicas y procedimientos están orientados únicamente a la evaluación tradicional del comportamiento y validez de las transacciones económicas, administrativas y operacionales de un área de cómputo.

Tipos de Auditorias en Informática a Ejecutar: A continuación se enlistan las auditorías a ejecutar dentro de las dependencias del proyecto Caritas de la Diócesis de San Marcos     

Auditoría Auditoría Auditoría Auditoría Auditoría

Informática al Sistema de Cómputo de la seguridad de sistemas computacionales a los sistemas de redes ergonómica de sistemas computaciones y mobiliarios

A continuación se presenta una breve descripción de cada una de ellas y principales activos a auditar: Auditoría Informática

Revisión técnica, especializada y exhaustiva que se realiza a:  Sistemas computacionales  Software  Información de la empresa Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

Auditoría al Sistema de Cómputo

Auditoria más especializada y concreta. Enfocada a la actividad y operación de los sistemas computacionales. Aquí se utiliza más Evaluación técnica y especializada. Evalúa:      

Funcionamiento y uso correcto del equipo de cómputo. Hardware Software y periféricos asociados Arquitectura física y componentes de hardware Desarrollo y uso de software de operación. Lenguajes de desarrollo.

Auditoría de la seguridad de sistemas computacionales

Revisión exhaustiva, técnica y especializada a la seguridad de un sistema a:     

Áreas y el personal. Actividades de los funcionarios Acciones preventivas y Correctivas que se tengan. Planes de contingencia. Medidas de protección de la información

Auditoría a los sistemas de redes

Revisión exhaustiva, específica y especializada que se realiza a los sistemas computacionales de redes de una empresa.            

Arquitectura Topología Protocolos de Comunicación Conexiones Accesos Privilegios Administración Instalación Funcionalidad Aprovechamiento Bases de datos compartidas Software y Hardware de la red

Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

Auditoría ergonómica de sistemas computaciones y mobiliarios

Es la revisión técnica, específica y especializada que se realiza para evaluar:  Calidad  Eficiencia  Utilidad del entorno hombre-máquina-medio ambiente. Evaluación:  Correcta adquisición y uso de mobiliario y equipo y sistemas.  Bienestar – confort – comodidad que necesita un usuario.  Detección de problemas y repercusiones con la salud física y bienestar del usuario

Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

Cronograma General de Actividades: No.

Actividad

Fecha

Recursos

Encargados

Identificar el origen de la 14/09/2012 Agenda Apuntes, auditoria lapicero

de Edward González

Realizar una preliminar

de Edward González

Solicitud Formal de 17/09/2012 Equipo de Edward cómputo, Autorización del Proyecto González Impresora, papelería

Revisión 14/09/2012 Agenda Apuntes

Planeación de la Auditoria

4.1

Redacción de documentación

4.1.1 Introducción, objetivos de la 18/09/2012 Equipo auditoria computo 4.2

de Edward González, Luis Escobar

Descripción General de la Pastoral Social de la Diócesis de San Marcos

4.2.1 Recolección de Información

18/09/2012 Equipo de Edward cómputo, Sitio González, Luis Web de la Escobar Diócesis

de Edward 4.2.2 Selección y Clasificación de 18/09/2012 Equipo cómputo, Sitio González, Luis Información Web de la Escobar Diócesis 4.2.1 Redacción documentación

de 18/09/2012 Equipo de Edward al cómputo, Sitio González, Luis 19/09/2012 Web de la Escobar Diócesis Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

4.3

Marco Teórico

4.3.1 Recolección de Información

19/09/2012 Equipo de Edward cómputo, González, Luis Sitios Web, Escobar Libros de texto

4.3.2 Redacción del Marco Teórico

19/09/2012 Información Edward Obtenida en González, Luis etapa anterior Escobar

Planeación de la auditoria

5.1

Justificación del proyecto

Información Edward 24/09/2012 Obtenida, González, Luis Equipos de Escobar computo

5.2

Alcance de la Auditoria

Información Edward 24/09/2012 Obtenida, González, Luis Equipos de Escobar Computo

5.3

Tipo de auditoria a Realizar

Información Edward 24/09/2012 Obtenida, González, Luis Equipos de Escobar Computo

5.4

Determinación Herramientas

Información Edward 24/09/2012 Obtenida, González, Luis Equipos de Escobar Computo

5.5

Perfil del Auditor

Información Edward 25/09/2012 Obtenida, González, Luis Equipos de Escobar Computo

5.5

Perfil del Auditor

Información Edward 25/09/2012 Obtenida, González, Luis Equipos de Escobar

Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

Computo 5.6

Metodologรญa de auditoria de Informaciรณn Edward 26/09/2012 Obtenida, Gonzรกlez, Luis informaciรณn Equipos de Escobar Computo

5.7

Esquema Proyecto

5.8

Redacciรณn de Identificaciรณn 27/09/2012 Informaciรณn Edward Obtenida, Gonzรกlez, Luis de origen de auditoria Equipos de Escobar Computo

5.9

Tipos de Auditoria a Aplicar

27/09/2012 Informaciรณn Edward Obtenida, Gonzรกlez, Luis Equipos de Escobar Cรณmputo, Libro de Texto

5.10

Cronograma de Actividades

01/10/2012 Informaciรณn Edward Obtenida, Gonzรกlez, Luis Equipos de Escobar Cรณmputo, Libro de Texto

General

del

Informaciรณn Edward 26/09/2012 Obtenida, Gonzรกlez, Luis Equipos de Escobar Computo

5.8

Elaboraciรณn de Graficas de 02/10/2012 Informaciรณn Edward Obtenida, Gonzรกlez, Luis Gantt Equipos de Escobar Cรณmputo, Libro de Texto

5.9

Establecimiento del Alcance 03/10/2012 Informaciรณn Edward Obtenida, Gonzรกlez, Luis de la Auditoria Equipos de Escobar Cรณmputo, Libro de Texto

Auditorรญa de Sistemas de Informaciรณn Proyecto Caritas, Pastoral Social Diรณcesis de San Marcos

5.10

Determinación de recursos 03/10/2012 Información Edward Obtenida, González, Luis necesarios Equipos de Escobar Cómputo, Libro de Texto

5.11

Establecimiento de metas de 05/10/2012 Información Edward Obtenida, González, Luis la auditoria Equipos de Escobar Cómputo, Libro de Texto

5.12

Programas de trabajo de la 08/10/2012 Información Edward Obtenida, González, Luis auditoria Equipos de Escobar Cómputo, Libro de Texto

5.12

Seleccionar Herramientas 09/10/2012 Información Edward que serán utilizadas para la Obtenida, González, Luis Equipos de Escobar realización de actividades Cómputo, Libro de Texto

5.13

Presupuestos auditoria

5.14

Desarrollo de la propuesta 10/10/2012 Información Edward Obtenida, González, Luis de servicios de Auditoria Equipos de Escobar Cómputo,

General

6 6.1

de 09/10/2012 Información Edward Obtenida, González, Luis Equipos de Escobar Cómputo, Libro de Texto

Revisión Preliminar de la auditoria Ejecutar la Preliminares

Visitas 12/10/2012 Información Edward Obtenida, González, Luis Equipos de Escobar Cómputo, Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

6.2

Contactar a los interesados

12/10/2012 Información Obtenida, Reunión

6.3

Recolección de Evidencias

12/10/2012 Información Edward Obtenida, González, Luis Equipos de Escobar Cómputo,

Edward González, Luis Escobar

Revisión detallada Caritas Administración 15/10/2012 Información Edward Obtenida, González, Luis Equipos de Escobar Cómputo, Reuniones, Herramientas evaluación

7.1

Evaluación Administrativa

7.2

Evaluación de Equipos de 15/10/2012 Información Edward Obtenida, González, Luis computo Equipos de Escobar Cómputo, Reuniones, Herramientas evaluación

7.3

Evaluación Ergonómica

15/10/2012 Información Edward Obtenida, González, Luis Equipos de Escobar Cómputo, Reuniones, Herramientas evaluación

7.4

Evaluación Acceso Físico

15/10/2012 Información Edward Obtenida, González, Luis Equipos de Escobar Cómputo, Reuniones, Herramientas

Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

evaluación 7.5

Evaluación de sistemas de 15/10/2012 Información Edward Obtenida, González, Luis Redes Equipos de Escobar Cómputo, Reuniones, Herramientas evaluación

7.6

Revisión de red de Caritas 15/10/2012 Información Edward Obtenida, González, Luis en proyecto REMHI Equipos de Escobar Cómputo, Reuniones, Herramientas evaluación

Revisión detallada Caritas Secretaria y Organización social 16/10/2012 Información Edward Obtenida, González, Luis Equipos de Escobar Cómputo, Reuniones, Herramientas evaluación

8.1

Evaluación Administrativa

8.2

Evaluación de Equipos de 16/10/2012 Información Edward Obtenida, González, Luis computo Equipos de Escobar Cómputo, Reuniones Herramientas evaluación

8.3

Evaluación Ergonómica

16/10/2012 Información Edward Obtenida, González, Luis Equipos de Escobar Cómputo, Reuniones

Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

Herramientas evaluación 16/10/2012 Información Edward Obtenida, González, Luis Equipos de Escobar Cómputo, Reuniones Herramientas evaluación

8.4

Evaluación Acceso Físico

8.5

Evaluación de sistemas de 16/10/2012 Información Edward Obtenida, González, Luis Redes Equipos de Escobar Cómputo, Reuniones Herramientas evaluación

Revisión detallada Caritas Agricultura y Oficina Obispado 17/10/2012 Información Edward Obtenida, González, Luis Equipos de Escobar Cómputo, Reuniones Herramientas evaluación

9.1

Evaluación Administrativa

9.2

Evaluación de Equipos de 17/10/2012 Información Edward Obtenida, González, Luis computo Equipos de Escobar Cómputo, Reuniones Herramientas evaluación

9.3

Evaluación Ergonómica

17/10/2012 Información Edward Obtenida, González, Luis Equipos de Escobar

Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

Cómputo, Reuniones Herramientas evaluación 17/10/2012 Información Edward Obtenida, González, Luis Equipos de Escobar Cómputo, Reuniones Herramientas evaluación

9.4

Evaluación Acceso Físico

9.5

Evaluación de sistemas de 17/10/2012 Información Edward Obtenida, González, Luis Redes Equipos de Escobar Cómputo, Reuniones Herramientas evaluación

Revisión detallada Caritas Salud 18/10/2012 Información Edward Obtenida, González, Luis Equipos de Escobar Cómputo, Reuniones Herramientas evaluación

10.1

Evaluación Administrativa

10.2

Evaluación de Equipos de 18/10/2012 Información Edward Obtenida, González, Luis computo Equipos de Escobar Cómputo, Reuniones Herramientas evaluación

10.3

Evaluación Ergonómica

18/10/2012 Información Obtenida,

Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

Edward González, Luis

Equipos de Escobar Cรณmputo, Reuniones Herramientas evaluaciรณn 18/10/2012 Informaciรณn Edward Obtenida, Gonzรกlez, Luis Equipos de Escobar Cรณmputo, Reuniones Herramientas evaluaciรณn

10.4

Evaluaciรณn Acceso Fรญsico

10.5

Evaluaciรณn de sistemas de 18/10/2012 Informaciรณn Edward Obtenida, Gonzรกlez, Luis Redes Equipos de Escobar Cรณmputo, Reuniones Herramientas evaluaciรณn

Pruebas de Consentimiento

22/10/2012 Al 23/10/2012 Si aplicaran

Informaciรณn Edward Obtenida, Gonzรกlez, Luis Equipos de Escobar Cรณmputo, Reuniones Herramientas evaluaciรณn

Pruebas Sustantivas

24/10/2012 Informaciรณn Edward Al Obtenida, Gonzรกlez, Luis 26/10/2012 Equipos de Escobar Cรณmputo, Reuniones Herramientas evaluaciรณn

Evaluaciรณn del Riesgo de la 29/10/2012 Informaciรณn Edward Obtenida, Gonzรกlez, Luis Auditoria Equipos de Auditorรญa de Sistemas de Informaciรณn Proyecto Caritas, Pastoral Social Diรณcesis de San Marcos

Cómputo, Escobar Reuniones Matriz de riesgos 14

Análisis de Recabada

Información 30/10/2012 Información Edward Al Obtenida, González, Luis 31/10/2012 Equipos de Escobar Cómputo, Reuniones Matriz de riesgos

Redacción Final

Presentación de resultado 06/11/2012 Dictamen con los encargados de la final Diócesis de San Marcos evidencias

Edward y González, Luis Escobar

Presentación del Proyecto en 10/11/2012 Dictamen final la Universidad evidencias

Edward y González, Luis Escobar

Dictamen 01/11/2012 Información Edward Al Obtenida, González, Luis 04/11/2012 Equipos de Escobar Cómputo, Información Obtenida

Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

Diagramas de Gantt

Auditor铆a de Sistemas de Informaci贸n Proyecto Caritas, Pastoral Social Di贸cesis de San Marcos

Presupuesto del Proyecto de Auditoria: A continuación se presenta el presupuesto de la auditoria de Sistemas a realizar al proyecto Caritas, se describen este presupuesto para tener referencia del costo que tendrá el proyecto, cabe mencionar que este gasto no lo desembolsara la institución a auditar debido a que por el ámbito del proyecto no habrán gastos de honorarios y otros y los gastos de papelerías y útiles será cubiertos por los auditores (estudiantes). Planeación de Auditoria Periodo de tiempo Material y Papelería Depreciación de Equipos de Computo Visitas Técnicas (2 Visitas Técnicas) Software a utilizar Salario de Auditores Total Ejecución de Auditoria Periodo de tiempo Material y Papelería Equipos de Cómputo periodo utilizado 2 meses por equipo) depreciación del 33.33% anual Visitas Técnicas (6 Visitas Técnicas) Software a utilizar Salario de Auditores Total Dictamen de Auditoria Periodo de tiempo Material y Papelería Equipos de Cómputo periodo utilizado 2 meses por equipo) depreciación del 33.33% anual Visitas Técnicas (2 Visitas Técnicas) Software a utilizar Herramientas Tecnológicas a Utilizar Salario de Auditores Total Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

3 semanas Q 50.00 Q 150.00 Q 150.00 Q 150.00 Q 1,500.00 Q 2,000.00

3 semanas Q 150.00 Q 150.00

Q 450.00 Q 350.00 Q 1,500.00 Q 2,600.00

2 semanas Q 250.00 Q 100.00

Q 150.00 Q 150.00 Q 150.00 Q 1,000.00 Q 1,800.00

Consolidado Planeación de Auditoria Ejecución de Auditoria Dictaminar Auditoria Total

Q Q Q Q

2,000.00 2,600.00 1,800.00 6,400.00

Establecimiento de metas de la auditoria Las principales metas que se persiguen con la realización de esta auditoría al proyecto Caritas de la Pastoral Social de la Diócesis de San Marcos se enumeran a continuación.  Ejecutar una evaluación en las dependencias del proyecto Caritas de San Marcos con el objetivo de auditar los activos de información con los que cuente.  Hallar desviaciones y anomalías en los equipos de cómputo tanto en el software y en el hardware de las entidades a auditar.  Detectar amenazas y vulnerabilidades en los sistemas operativos y software de aplicación de los equipos de cómputo a auditar  Mitigar el riesgo en la utilización de los equipos de cómputo.  Establecimiento de medidas o cursos alternos de acción que beneficien el proceso de operación en el área de informática de las entidades a auditar.  Garantizar la protección de los activos de información de las dependencias de Caritas San Marcos.  Dictaminar de forma profesional sobre los hallazgos detectados en el proceso de auditoría a las dependencias del proyecto Caritas de San Marcos.  Presentar los resultados obtenidos al personal adecuado del proyecto Caritas de San Marcos

Programas de Trabajo Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

En la actualidad el proyecto Caritas de la Diócesis de San Marcos se puede observar fácilmente la importancia de implementar una auditoria de sistemas, ya que la mayoría de información se procesa en las computadoras, lo que conlleva a tener dependencia de las mismas y por ende una mayor necesidad de ejercer los controles necesarios para su correcto funcionamiento. Por ello es importante tener claros los objetivos que se quieren alcanzar al implementar la auditoria, que debe realizarse de una forma seria siguiendo algunos lineamientos para que se desarrolle de una forma ordenada y planificada, pues de la forma como se realice dependerán los resultados que se obtengan. A continuación se detallan los pasos a seguir para desarrollar la auditoria de sistemas de una forma ordenada, lo que ayudara a obtener resultados más confiables, sin embargo se deben planear las actividades de auditoria que permitirán dimensionar el tamaño y las características del área a auditar, sus sistemas, organización y equipo.

Análisis de Viabilidad de la Auditoria: Viabilidad técnica.

El análisis de Factibilidad Técnica se determinar que el Proyecto Caritas de la Diócesis de San Marcos cuenta con el equipo informático necesario para poder implementar la evaluación de auditoria. En el análisis se consideraron los recursos que están involucrados directamente en el desarrollo y ejecución de la auditoria, tales como: hardware, software y recurso humano con el que actualmente se cuenta. Viabilidad económica.

Este punto es importante mencionarlo debido a que la viabilidad económica del proyecto puede darse ya que no tendrá ningún costo para la institución a auditar debido a que el ámbito de la auditoria es de tipo académica los auditores destinados a dicha auditoria realizarán el trabajo gratuitamente como colaboración a la institución y apertura de la misma para llevar a cabo el proyecto en sus dependencias. Los costos que se tendrán serán únicamente los relacionados a tiempo invertido y si fuera necesario a los cambios que haya que realizar para mitigar las desviaciones encontradas pero eso dependerá de la disponibilidad que tengan los encargados del Proyecto Caritas para realizar dichos cambios y mejoras. Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

Factibilidad operativa.

Se cuenta con los recursos técnicos, humanos, informáticos necesarios para realizar la auditoria por ello que se procede a realizarla en el Proyecto Caritas de la Diócesis de San Marcos, es importante contar con todos estos aspectos que permitan llevar a buena conclusión el proyecto de auditoria.

Inicio de la Auditoria Visita Preliminar

El iniciar una investigación preliminar ayudará a la persona que realizara la auditoria a obtener información acerca de la estructura de la empresa, tener una visión general del sistema de cómputo, usando para eso herramientas como la observación, entrevistas preliminares y solicitud de documentos. Todo con el fin de definir el objetivo y alcance de la auditoria, así como el programa detallado de la investigación. La planeación de la auditoria de sistemas debe señalar en forma detallada el alcance y dirección esperada, adjuntando un plan de trabajo de todas las actividades que se van a realizar, para que estas sean justificadas por escrito en caso de existencia de cambios o condiciones inesperadas que ocasionen modificaciones al plan general. Al comenzar la investigación preliminar se debe iniciar con una visita a Caritas, cuyas oficinas se encuentran ubicadas en el edificio de Casa Diocesana de San Marcos, así también fijar la atención en los aspectos relevantes de la auditoria de sistemas. También se deben solicitar documentos que brinden información acerca de las áreas que componen la organización, ya que esto contribuirá a tener un esquema global de dicha organización. Los documentos que deben solicitarse para poder analizar y dimensionar la estructura de los sistemas de cómputo, ya que puede variar según la actividad a la que se dedique cada departamento de la organización y el tamaño de cada uno de estos. A continuación dividiremos los documentos básicos necesarios en 4 grupos, así podremos realizar la auditoria de sistemas de forma eficiente. a) Organización Total  Objetivos a corto y largo plazo.  Manual de la Organización. Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

 Antecedentes e historia de la Organización.  Políticas Generales. b) Sistema de Cómputo  Número de puestos.  Número de personas.  Procedimientos administrativos.  Presupuestos y costos. c) Recursos y Materiales  Estudios de viabilidad.  Número de equipos, localización y características de los mismos.  Planes de expansión.  Ubicación general de los equipos.  Políticas de operación.  Políticas de uso de los equipos.

Evaluación de la estructura Organizacional: Dentro de la realización de la auditoria de Sistemas para el proyecto Caritas de la Diócesis de san Marcos se evaluará la estructura organizacional de la empresa para tener una idea clara de la forma en que están divididos las dependencias y la relación que tienen con el proyecto general de Pastoral Social, cabe mencionar que en este proyecto no existe un departamento o centro de cómputo especifico por lo cual la auditoria estará enfocada sobre todo al análisis de los equipo de cómputo, software, políticas entre otros aspectos que se detallaran más adelante. Estructura Orgánica:

Para evaluar de mejor forma la organización se hará la siguiente solicitud a cada una de las dependencias del Proyecto Caritas de Guatemala que comprenderá lo siguiente: Organigrama por departamento o del proyecto en general en su defecto Manual de Funciones de puestos. Políticas y objetivos del Proyecto o Pastoral Social Como adicional a la información anterior descrita se solicitaran a los encargados de cada dependencia de Caritas los objetivos y políticas de cada dependencia. Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

Funciones Se deben analizar las funciones que tiene cada puesto dentro de la organización, en este caso las funciones realizadas en cada una de las entidades de Caritas, esto será importante en los resultados obtenidos dentro de la evaluación, así también se debe analizar el puesto y la autoridad que acompaña a cada puesto para poder cumplir con las funciones. Nos vamos a auxiliar del siguiente cuestionario para realizar la evaluación de funciones. Auditoría al Sistema de Cómputo Auditoria más especializada y concreta. Enfocada a la actividad y operación de los sistemas computacionales. Aquí se utiliza más Evaluación técnica y especializada. Evalúa:     

Funcionamiento y uso correcto del equipo de cómputo. Hardware Software y periféricos asociados Arquitectura física y componentes de hardware Desarrollo y uso de software de operación.

El objetivo de esta evaluación es el análisis de los equipos de cómputo existentes dentro de las dependencias del proyecto Caritas de la Diócesis de San Marcos. Con ello se pretende establecer la forma de utilización de los equipos de cómputo y periféricos dentro de cada dependencia de la organización con el objetivo de poder detectar los siguientes aspectos:        

Inventario General de los equipos de computo Evaluación del hardware y componentes periféricos Evaluación del sistema operativo de los equipos Evaluación del software de aplicación de los equipos Licenciamiento de los equipos de computo Equipos deficientes dentro de las organizaciones Equipos que funcionan de forma adecuada Persona que utiliza los equipos de cómputo.

Para poder establecer los puntos anteriores es importante realizar una auditoria física a los equipos de cómputo utilizando herramientas Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

adecuadas para obtener información oportunidad de los puntos que se deseen evaluar, Para ellos es importante poder realizar visitas a cada una de las instituciones del proyecto Caritas y llevar a cada las actividades que se mencionan a continuación:  Entrevistas con el personal de cada dependencia para indagar sobre la utilización y aprovechamiento de equipos de computo  Realización de Inventarios de cada equipo de cómputo con herramientas de auditoria que se adecuen a las necesidades  Evaluación del software de cada equipo de computo  Análisis de vulnerabilidades y amenazas que puedan existir  Detección de hardware y periféricos  Indagar la forma de utilización que le proporciona el personal a cada equipo de cómputo. Con base a cuestionarios se desea poder evaluar de alguna forma como el personal de cada dependencia del proyecto Caritas hacen una utilización de los equipos de computo y así mismo tener una idea general sobre los principales factores de riesgo que puedan existir en los equipos de computo. Además de los cuestionarios la auditoria se hará acompañar de utilización de herramientas tecnológicas que puedan ayudar a realizar las siguientes actividades:     

Inventario General de Hardware del los equipos de computo Inventario General del Software de los equipos de computo Aspectos de Seguridad de sistemas Amenazas y vulnerabilidades de los equipos Servicios y otros aspectos

Mas adelante se especificarán y detallaran las herramientas a utilizar para realizar la auditoria de los equipos de computo y recabar información para hallar evidencias sobre desviaciones en los equipos de computo de las dependencias del proyecto Caritas de la Diocesís de San Marcos. Auditoría de la seguridad de sistemas computacionales Revisión exhaustiva, técnica y especializada a la seguridad de un sistema a:  Áreas y el personal. Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

   

Actividades de los funcionarios Acciones preventivas y Correctivas que se tengan. Planes de contingencia. Medidas de protección de la información

Auditoría a los sistemas de redes Revisión exhaustiva, específica y especializada que se realiza a los sistemas computacionales de redes de una empresa.            

Arquitectura Topología Protocolos de Comunicación Conexiones Accesos Privilegios Administración Instalación Funcionalidad Aprovechamiento Bases de datos compartidas Software y Hardware de la red

El propósito de esta auditoria es la identificación de los sistemas de redes con los que cuentan las dependencias del Proyecto Caritas de Guatemala, con el objetivo de tener en cuenta los siguientes aspectos: Desde el momento en que se realiza una acción que reúna las características que delimitan el concepto de delito, y sea llevada a cabo utilizando un elemento informático o vulnerando un elemento informático, ya sea de hardware o de software, estamos en presencia de un delito informático. Estos delitos informáticos pueden adoptar alguna de las siguientes formas:  Robos, hurtos, vaciamientos, desfalcos, estafas o fraudes cometidos mediante manipulación y uso de computadoras.  Apropiación no autorizada de los datos de entrada o de salida.  Violación de la privacidad.

Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

 Interceptación de comunicaciones.  Robo de servicios.- se alude a las conductas que tienen por objeto el acceso ilícito a los equipos físicos o a los programas informáticos, para utilizarlos en beneficio del delincuente. Así mismo es importante realizar la auditoria de otros aspectos importantes como lo son los siguientes:  Sistemas o Programas compartidos en red si existieran  Evaluación de los equipos de red (Router, Switch, Cables, NIC)  Evaluación de Recursos compartidos  Evaluación de Archivos compartidos  Evaluación de la privacidad de los recursos de información Para la realización de esta actividad de auditoria se deberán de llevar acciones que tengan como principal objetivo la evaluación física y lógica de los sistemas de redes. Para ello se realizará una evaluación del funcionamiento de los equipos auditando para ellos los puntos anteriormente descritos utilizando.  Medidores de voltaje de cables (Tester)  Evaluación de la topología de red  Utilización de software para auditoria de redes  Mapeo de la red  Evaluación de las velocidades de conexiones a Internet y eficiencia de la misma  Detección de deficiencias  Evaluación de equipos servidores y clientes si existieran En esta parte no se ejecutaran cuestionarios para la ejecución debido a que en el proyecto Caritas no existe un departamento específico de sistemas con el cual se pueda obtener información para poder profundizar en el conocimiento de las redes del proyecto. También es importante la evaluación de los diversos servidores que existan o no dentro del proyecto, como también lo son los perfiles de usuario para cada uno de los integrantes de los proyectos. Al finalizar dicha evaluación de deberá obtener lo siguiente:  Mapeo Global de las Redes Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

Evaluación de vulnerabilidades existentes Protocolos de comunicación de redes Evaluación de amenazas de seguridad de red por equipos deficientes Seguridad física de los equipos de red y computo Seguridad lógica de los equipos de red o Accesos Autorizados o Complejidad de contraseñas  Evaluación y seguridad de Equipos Inalámbricos o Protocolos WEP o Contraseñas Seguras  Detección y bloqueo de personal que acceda a las redes de forma no autorizada  Evaluación del uso y aprovechamiento de Internet.     

Auditoría ergonómica de sistemas computaciones y mobiliarios Es la revisión técnica, específica y especializada que se realiza para evaluar:  Calidad  Eficiencia  Utilidad del entorno hombre-máquina-medio ambiente. Evaluación:  Correcta adquisición y uso de mobiliario y equipo y sistemas.  Bienestar – confort – comodidad que necesita un usuario.  Detección de problemas y repercusiones con la salud física y bienestar del usuario

Auditoria Ergonómica La auditoría ergonómica que se realizará en Caritas de la Diócesis de San Marcos consiste en una revisión técnica, específica y especializada que se realiza para evaluar la calidad y eficiencia del entorno hombre, máquina y medio ambiente, esto con el objetivo de mejorar las condiciones del servicio que esta organización brinda a la comunidad.

Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

Objetivos Objetivo General

Realizar una auditoria ergonómica a Caritas de la Diócesis de San Marcos, con el propósito de buscar alternativas que mejoren la eficiencia y calidad en cuanto a su entorno de trabajo. Objetivos Específicos

 Examinar el sistema visual, el ruido y la seguridad que presenta Caritas de la Diócesis de San Marcos.  Evaluar las instalaciones y comodidad que presentan las oficinas de Caritas de la Diócesis de San Marcos.  Determinar las condiciones del medio ambiente de trabajo que presenta Caritas de la Diócesis de San Marcos.

Alcances de la Auditoria Ergonómica En la auditoría ergonómica aplicada en el proyecto de Caritas de la Diócesis de San Marcos se tomaran en cuenta aspectos como:    

El entorno de trabajo, específicamente la seguridad, El sistema visual, El sistema muscular esquelético, entre otros.

Esta información se recopilará por medio de encuestas aplicadas a un grupo de empleados que en este caso fungen el papel de usuarios, ya que estos son los que utilizan el sistema de cómputo dentro de la organización.

HERRAMIENTAS A APLICAR DURANTE LA AUDITORIA: A continuación se realiza la descripcion de las herramientas que se utilizarán para llevar a cabo la auditoria a las dependencias del proyecto Caritas de la Diocesis de San Marcos. Herramientas de recopilación de información tradicionales: Entrevistas:

El objetivo de la utilización de entrevistas en la auditoria a realizar a las dependencias del proyecto Caritas es la obtención de información que sera relevante para la realización de la auditoria y sobre todo para poder comprender la forma de pensar de los involucrados en la auditoria realizar. Una de las ventajas de utilizar este tipo de herramienta es que se puede obtener información relevante y de forma directa al entablar un dialogo Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

con el personal de proyecto Caritas. Para ello es importante realizarla de manera adecuada para obtener el maximo beneficio de las mismas La evaluación de las entrevistas deben abarcar lo siguiente:  Opinion del personal auditado sobre las funciones de cada dependencia del proyecto Caritas en especial en la que labora  Evaluar los aspectos que el auditado indique como relevantes para la evaluacion  Analisis de la disponibilidad del auditado para colaborar con la auditoria a ejecutar  Obtencion de información que ayude a comprender y detectar la forma en que cada persona utiliza los activos de informatica del proyecto Caritas

Cuestionarios:

Debido a que los cuestionarios son una de las formas de recopilación de información más utilizadas para la realización de la auditoria constituirán una parte importante dentro del proceso de auditoría de informática al proyecto Caritas. Dichos cuestionarios serán utilizados para la recolección de información que la auditoria requiere para poder analizar información que permita la detección de anomalías y realizar hallazgos significativos que conduzcan a que al aprovechamiento de la auditoria. Con los cuestionarios a aplicar se deberá obtener información en los siguientes áreas:      

Estructura Organizacional Manuales y políticas de la organización Funciones y Responsabilidades del Personal Uso y Aprovechamiento de Equipos de computo Uso y Aprovechamiento de Sistemas de Software Análisis de la percepción de los empleados en relación a los equipos de computo  Análisis ergonómico de los sistemas en general

Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

Herramientas tecnológicas a utilizar: Esta es un área muy importante dentro de la auditoria de Sistemas debido a que con ellas la auditoria se podrá realizar de mejor forma, para que sea más efectiva la obtención de evidencias que ayuden a facilitar el trabajo de la auditoria. Es muy importante para la realización de la presente auditoria auxiliarnos de herramientas que sean efectivas y confiables en la obtención de información oportuna que ayuden al auditor a dictaminar de forma profesional con relación a los aspectos relevantes en los cuales se centrará la auditoria informática a las dependencias del proyecto Caritas de la Diócesis de San Marcos. Las principales herramientas que se utilizaran dentro de la auditoria informática son las siguientes:  Software de Auditoria de Redes:  Nmap  Total Network Monitor  Software de Inventarios de Equipos:  Open-Audit  Belarc Advisor  Total Network Inventory  Software de Auditoria de Periféricos y Componentes de Hardware  OCCT  Core Temp  Cristal Disk Info  Herramientas Adicionales: las necesarias para la presentación del Dictamen Final de Auditoria. A continuación se hace una descripción de cada una de las herramientas a utilizar dentro de la auditoria de sistemas para tener una mejor comprensión de sus funcionalidades y beneficios.

Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

Aplicaciones para Auditoria de Sistemas Open-Audit

Open-Audit es una aplicación de auditoría de red. Está basado en los lenguajes de script de PHP, Bash y VBScript. Éste puede decirle que hay en su red, cómo está configurado y cuando hay cambios. Los datos se recuperan con Bash y / o VBScript, son almacenados en un base de datos y ver a través de una interfaz web. El servidor sólo necesita un servidor web (Apache e IIS han ambos han probado) y una instalación de MySQL. Ambas aplicaciones son de uso libre. NMAP

Nmap es un programa de código abierto que sirve para efectuar rastreo de puertos, se usa para evaluar la seguridad de sistemas informáticos, así como para descubrir servicios o servidores en una red informática. Características     

Descubrimiento de servidores: Identifica computadoras en una red, por ejemplo listando aquellas que responden ping. Identifica puertos abiertos en una computadora objetivo. Determina qué servicios está ejecutando la misma. Determinar qué sistema operativo y versión utiliza dicha computadora. Obtiene algunas características del hardware de red de la máquina objeto de la prueba.

Entornos de trabajo    

Unix Mac GNU/Linux Windows

Aplicaciones Nmap permite hacer el inventario y el mantenimiento del inventario de computadores de una red. Se puede usar entonces para auditar la seguridad de una red, mediante la identificación de todo nuevo servidor que se conecte. Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

URL de Descarga http://nmap.org/download.html Belarc Advisor

Es una aplicación que nos ayudará a tener información muy precisa sobre todo el Software y el Hardware instalado en nuestro computador. En realidad es un excelente Auditor de Sistemas, similar a otros productos del mercado, que sin embargo ofrece varias ventajas a su favor: pesa muy poco, muestra una clara y ordenada Auditoría en el Browser que utilicemos por defecto (para imprimirlo) y recupera todas las versiones y claves de producto. Por las cualidades descritas la considero una de mis herramientas imprescindibles. Es libre sólo para uso personal. Caracteristicas  Una de las características más importantes de Belarc Advisor es que los informes son creados con suma rapidez, además podremos acceder a ellos en cualquier momento y de forma fácil, ya que estos informes se muestran en nuestro navegador predeterminado y pueden ser guardados como un documento HTML para luego ser vistos en cualquier ocasión u ordenador que estemos utilizando.  Belarc expone el uso de los dispositivos USB en los últimos 30 días, mostrando si alguien se llevó información de nuestro sistema.  Test de seguridad aceptablemente riguroso, donde se analiza al detalle la seguridad de tu sistema en base a las opciones que tienes seleccionadas al respecto. Simple, gratis y bastante útil, no se le puede pedir mucho más. Entornos de Trabajo  Windows  Windows Server 2008 R2 Aplicaciones  Auditoria de sistemas.  Creación de perfiles personales de computadoras. URL de Descarga http://www.belarc.com/free_download.html

Total Network Inventory 2

Total Network Inventory realiza un escaneo en profundidad para obtener multitud de datos, como el hardware instalado, los procesos en ejecución y los parches aplicados al sistema, basándose en funciones de red. Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

Al completar el proceso, Total Network Inventory puede exportar un informe de aspecto elegante a formatos PDF, RTF, HTML, CSV o enviarlo por correo electrónico. Características  Inventario profundo de hardware y software  Escaneo rápido y detallado a través de la red  Interfaz intuitiva, poderosa y fácil de usar  Campos personalizados y reportes exportables  Excelente complemento para soluciones de gestión de TI Aplicaciones  Escaneo de redes  Inventarios  Informes  Contabilidad de Software URL de Descarga http://www.softinventive.com/es/products/total-network-inventory/ Cristal Disk Info

La protección de los archivos que están almacenados ordenadores es una de las cosas de las que más deberían de evaluarse. Como primera medida de precaución, se debería de realizar copias de seguridad periódicamente y en segundo lugar, cerciorarse cada cierto tiempo de que los disco duro se encuentra en buen estado. Aplicaciones     

Estado del S.M.A.R.T., La temperatura de los discos, El número de serie, fabricante, Cantidad de horas que lleva encendido, Listado de errores, etc . Además,

Se puede configurar a Crystal Disk Info para que alerte cuando cualquiera de los discos duros se caliente de forma excesiva. Ventajas

Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

Una ventaja de Crystal Disk Info es que no requiere instalación. Se trata simplemente de un archivo ZIP que se debe descomprimir, para luego abrir el ejecutable contenido en él. Por ende, podemos guardarla en una unidad USB y llevarla con nosotros cuando tengamos que revisar la salud de otros PCs. URL de Descarga http://crystalmark.info/download/index-e.html OCCT

OCCT (que son las siglas de es OverClock Checking Tool), nos permite medir el rendimiento de la CPU de nuestro ordenador así como de su Memoria. Características 



  

Ofrece 3 tipos diferentes de tests:  CPU, donde se intenta exprimir al máximo la CPU para evaluar su rendimiento.  RAM, para intentar detectar el máximo número de errores prubando la memoria de nuestro PC.  Mix, realizando las pruebas tanto en la CPU como sobre la RAM. Proporciona 3 modos de tests:  Auto, realizando un text de tipo Mix durante 1 hora de duración.  Personalizado (Infinito), permitiendo realizar un bucle infinito del test que elijamos.  Personalizado (fijado), donde elegimos el tipo de test y la duración del mismo. Ofrece una monitorización integrada de la información del sistema gracias al motor de CPU-Z y HWmonitor. Ofrece soporte a programas externos de monitorización a través de plugins (Everest, Speedfan…) Proporciona gráficos mostrando las temperaturas y los voltajes del pc.

OCCT es totalmente gratuito, funciona en Windows 98, Me, 2000, 2003, XP y Vista y está disponible tanto en versión portable como en versión instalable. URL de Descarga http://www.ocbase.com/index.php/download Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

Global Network Inventory

Global Network Inventory 2007 es una excelente herramienta que realiza automáticamente inventario de todo el software y hardware instalado en cada equipo de una LAN. Así puedes realizar periódicamente toda serie de repaso a todos los programas y dispositivos instalados en cada uno de los equipos de la red local, verificando además el correcto funcionamiento de cada uno de ellos, también informa de los servicios compartidos para varios de los PCs. URL de Descarga http://global-network-inventory.programas-gratis.net/ Es importante mencionar que para la presentación final del informe de auditoria se tiene pensado la utilización de varias herramientas tecnológicas que se describirían mas adelante cuando se termine de analizar cuan factible y practica es su utilización para los fines de presentación final.

Nitro PDF: Nitro Pro 8 le permite crear fácilmente archivos PDF estándar a partir de casi cualquier formato de archivo. Además, compartir los archivos se convierte en un proceso armonizado: Los PDF creados en Nitro Pro pueden abrirse y verse prácticamente en cualquier equipo, y se mostrarán exactamente de la forma que usted espera. Aspectos destacados   

Cree PDF con un solo clic a partir de archivos de Microsoft® Word, Excel® y PowerPoint®. Combine diferentes formatos de archivo en un solo PDF, incluidas hojas de cálculo, imágenes, documentos, presentaciones, etc. Edite documentos fácilmente: añada, elimine o reordene las páginas, modifique el contenido de las páginas, como texto, imágenes u otros elementos.

Adobe Professional 10: Conversión o digitalización a PDF Con independencia del tipo de contenido que necesite convertir o digitalizar a PDF (documentos en papel, correos electrónicos, fotos, hojas de cálculo, sitios web, vídeo compatible con Adobe® Flash® Player, etc.), Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos

podrá hacerlo con rapidez y confianza gracias al software Adobe Acrobat® X. Cree y comparta archivos PDF que pueden visualizarse en dispositivos móviles y teléfonos inteligentes. Exportación y edición de archivos PDF Edite fácilmente archivos PDF y exporte con rapidez PDF a documentos de Word o Excel. Pase menos tiempo introduciendo información en su equipo y más tiempo reutilizando el contenido. Use Acrobat X para reducir el número de errores, aumentar la productividad y finalizar los proyectos más rápido. Recopilación de datos mediante formularios PDF rellenables Cree, distribuya y realice fácilmente el seguimiento de formularios PDF interactivos fáciles de usar que parecen formularios comunes, sin tener que recurrir al departamento de TI. E-Encuestas e-encuesta es una herramienta ágil, amigable, rápida y confiable que se distingue por su presencia global y agilidad en respuesta, además de ofrecer precios competitivos. Otros Software a Utilizar:   

Microsoft Office Word 2010 Microsoft Office Excel 2010 Microsoft Office Visio 2010

Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos