Auditoria informatica de Biblioteca

UNIVERSIDAD NACIONAL DEL CALLAO

FACULTAD DE INGENIERIA INDUSTRIAL Y DE SISTEMAS

AUDITORÍA A LA BIBLIOTECA CENTRAL UNAC

CURSO: AUDITORÍA DE SISTEMAS

ALUMNOS:

SALAZAR CARLOS,JAVIER

UNTIVEROS MORALES,MIRIAM

CALLAO – PERÚ

2011


Escuela Profesional de Ingeniería de Sistemas

Auditoria de Sistemas pág. 2

INDICE

Capítulo 1. Institución

1.1. Datos de la institución

1.2. Objetivos 1.3. Funciones 1.4. Servicios Capítulo 2. Área informática-Diagnostico

2.1. Recursos de información

2.2. Documentación de políticas y procedimientos

2.3. Roles y responsabilidades

2.4. Manual de procedimientos administrativos informáticos

2.5. Documentos de gestión que poseen en informática

Capítulo 3. Justificación adecuación y formalización.

3.1. Origen de la auditoría

3.2. Alcance de la auditoría

3.3. Objetivo

3.4. Recursos

3.5. Cronograma de trabajo

3.6. Documentos a solicitar

3.7. Motivo o necesidad de una auditoria informática

3.8. Justificación

3.8.1. Áreas a auditar

3.8.2. Riesgos

3.8.3. Plan de auditoría en informática

3.9. Adecuación

3.9.1. Métodos

3.9.2. Técnicas

3.9.3. Herramientas

Capitulo 4: auditoría de sistema operativo

4.1. Alcance

4.2. Objetivos

4.3. Desarrollo de la auditoría

Informe de Auditoria

Anexos




CAPÍTULO 1. INSTITUCIÓN

1.1. DATOS DE LA INSTITUCIÓN

Logo:

Dirección:

Av. Juan Pablo II 306 Bellavista - Callao.

Ubicación:

Se Ubica en el interior de la Universidad Nacional del Callao (ver Anexo1)

Página Web:

http://biblioteca.unac.edu.pe/

Organigrama:




1.2. OBJETIVOS

La Biblioteca de la Universidad Nacional del Callao, es una Unidad de Servicios, cuyo objetivo es apoyar la actividad universitaria en aspectos relacionados con:

a) La Formación Académica b) La Investigación c) La Extensión Universitaria

1.3. FUNCIONES

a) Selecciona, adquiere y organiza el material documental, bibliográfico y

electrónico de la Biblioteca.

b) Genera instrumentos bibliotecológicos que optimicen la búsqueda y

recuperación de información.

c) Mantiene y controla la calidad del Catálogo Automatizado, y supervisa sus

equipos informáticos.

d) Garantiza a la comunidad académica interna y externa el acceso y uso de sus

fondos a través de diversos servicios.

e) Facilita a la comunidad académica interna y externa el acceso a la información

disponible en otras unidades de información y en Internet.

1.4. SERVICIOS

En el Piso 1 se encuentran: Hemeroteca, Aula virtual 01 y Salas de atención 01 y 02. En la Piso 2 está ubicada la sala 03, Auditorio, Jefatura, Dirección y Procesamiento de Datos En el piso 3 está ubicado el Banco de Libros de la Biblioteca y tratamiento de Caja. Servicios descentralizados

El servicio de atención es de lunes a viernes, de 8.00 a 21.00 horas, y los sábados de 9.00 a 18.00 horas. Se cuenta también con un servicio de fotocopiado.




CAPITULO 2: ÁREA INFORMÁTICA-DIAGNOSTICO

2.1. RECURSOS DE INFORMACIÓN

2.2.1 ACTIVOS DE INFORMACIÓN

Los activos de información con los que cuenta la Institución son los siguientes:

INVENTARIO DE ACTIVOS DE INFORMACIÓN




2.2.2. ACTIVOS DE SOFTWARE

INVENTARIO DE ACTIVOS DE SOFTWARE

Conformado por el software de aplicación, sistemas, herramientas y programas de desarrollo.




2.2. DOCUMENTACIÓN DE POLÍTICAS Y PROCEDIMIENTOS

Plan Estratégico de Tecnología de Información

El gran objetivo es tener una concepción amplia de gerencia para manejar el cambio y ser partícipes activos de él, teniendo en cuenta las Tendencias Tecnológicas del mercado, todos los posibles usos de la Tecnología Informática, la Infraestructura actual de la Organización, generándole ventajas competitivas.

Con la Planeación Estratégica de Tecnología Informática, es posible optimizar el uso de los recursos financieros, humanos y técnicos, encaminados todos a una gestión eficiente y eficaz La PETI (Planeación Estratégica de Tecnología de Información) es ampliamente reconocida como una herramienta para ordenar los esfuerzos de incorporación de TI. Establece las políticas requeridas para controlar la adquisición, el uso y la administración de los recursos de TI. Integra la perspectiva de negocios/organizacional con el enfoque de TI, estableciendo un desarrollo informático que responde a las necesidades de la organización y contribuye al éxito de la empresa. Su desarrollo está relacionado con la creación de un plan de transformación, que va del estado actual en que se encuentra la organización, a su estado final esperado de automatización, esto, en concordancia con la estrategia de negocios y con el propósito de crear una ventaja competitiva. La PETI consiste en un proceso de planeación dinámico, en el que las estrategias sufren una continua adaptación, innovación y cambio, que se refleja en los elementos funcionales que componen toda la organización.

Trabajos relacionados con la construcción de un PETI, han sido desarrollados desde hace tres décadas, pero presentan limitaciones importantes

Normas y Procedimientos de Sistemas referidos a:

Alta de usuarios

El procedimiento que se tiene en cuenta para dar de alta a un usuario es decir que su usuario sea validado y rectificado para que pueda tener acceso sólo a la información necesaria para el desarrollo de sus actividades.




Baja de usuarios La norma que se tiene en la empresa cuando un empleador deja de laborar en la empresa, el área de sistemas se encarga de realizar un backup de la información que posee el usuario en su cuenta y así recién podrá dar de baja al usuario en el directorio activo.

Inventario de hardware y software

Los procedimientos que se tienen para realizar inventario de hardware es de acuerdo a un formato donde se toma en cuenta el código de búsqueda, marca, modelo, tipo, serie, etc. y con respecto al inventario de software se sabe que se cuenta con los ya mencionados y que están correctamente licenciados.

Atención de problemas de hardware / software / aplicaciones

El procedimiento que se tiene con respecto a la atenciones con problemas de Hardware: La empresa trabaja con proveedores como LENOVO, HP, EPSON que nos proporcionan garantía es decir que si se daña una parte del equipo o el equipo completo ellos realizan el cambio respectivo, lo que se refiere a problemas con el software la empresa maneja todas las licencias necesarias para no tener ningún tipo de problema y respecto al problema con las aplicaciones de la empresa se manejan dos que son indispensables que son OPEN VIEW y EL SERVICE MANAGER de los cuales se manejan las incidencias de los clientes y de los cuales proveedor que brinda en constante mantenimiento del software es INEXO, ya que si el software presenta problemas el proveedor tiene un tiempo limitado para resolver y no perjudicar las labores ya que sería pérdidas de dinero.

Copia de Respaldo

Políticas para realizar los backup del servidor Exchange se da una vez por mes y 4 veces incrementadas. La política para realizar los backup de las pc’s de los usuarios se hacen siempre y cuando sean requeridos por el usuario.

Instalación de hardware y software base

La instalación de hardware que se da en la Institución es de acuerdo a las áreas, es decir si son áreas que realizan labores que no pueden paralizar, se les realiza la instalación en horarios que no afecten su trabajo y a las demás áreas de acuerdo a un cronograma ya planificado, con respecto a las normas que se tiene con el software base, manejan el Sistema Operativo Windows XP, Server 2003 además de Office 2007 Estándar, Utilitarios necesario para la labor, etc.

2.3. ROLES Y RESPONSABILIDADES




2.4. MANUAL DE PROCEDIMIENTOS ADMINISTRATIVOS INFORMÁTICOS Se pudo verificar que Actualmente La Biblioteca de la Universidad Nacional del

Callao no cuenta con dicho documento.

2.5. DOCUMENTOS DE GESTIÓN QUE POSEEN EN INFORMÁTICA

La Biblioteca de la Universidad Nacional del Callao tampoco dispone de la

documentación requerida en este caso considerada como son:

Manual de organización y funciones actualizado

Organigrama actualizado.

Documentación detallada sobre procedimientos informáticos.




CUADRO № 1

CRONOGRAMA DE TRABAJO

CAPÍTULO 3. JUSTIFICACIÓN ADECUACIÓN Y FORMALIZACIÓN

3.1. ORIGEN DE LA AUDITORÍA

La presente auditoría surge como necesidad de llevar a la práctica los conocimientos adquiridos en el aula. Ha elección del equipo de trabajo, la institución auditada, es la ya mencionada BIBLIOTECA UNIVERSITARIA de la UNIVERSIDAD NACIONAL DEL CALLAO, a la cual se pudo acceder mediante una solicitud (Ver Anexo 2)

3.2. ALCANCE DE LA AUDITORÍA

La auditoria que se realizara será a los sistemas operativos en las computadoras y servidores de la BIBLIOTECA UNIVERSITARIA – UNAC

3.3. OBJETIVO

Tener un panorama actualizado de los sistemas operativos en cuanto a adquisición, instalación, actualización, las políticas de utilización, y seguridad.

3.4. RECURSOS

El número de personas que integraran el equipo de auditoría será de dos, con un tiempo máximo de ejecución de 2 a 3 semanas.

3.5. CRONOGRAMA DE TRABAJO




3.6. DOCUMENTOS A SOLICITAR

Políticas, estándares, normas y procedimientos.

Plan de sistemas.

Planes de seguridad de información

Documentos de Gestión: MOF, ROF, TUPA, CAP

Manuales de sistemas.

Requerimientos de Usuarios.

Plan de mantenimiento

Inventario de sistemas de información

Plan de Contingencia

Misión – Visión.

Organigrama.

Registros.

Entrevistas.

Archivos.

3.7. MOTIVO O NECESIDAD DE UNA AUDITORIA INFORMATICA

En realidad no existe una razón específica para realizar este tipo de auditoría solo se realiza por motivos académicos. 3.8. JUSTIFICACION

Desconocimiento en el nivel directivo de la situación informática de la Biblioteca universitaria.

Falta de una planificación informática. Organización que no funciona correctamente, falta de políticas, objetivos, normas,

metodología, asignación de tareas y adecuada administración del Recurso Humano. Descontento general de los usuarios por incumplimiento de plazos y mala calidad de

los resultados. Falta de documentación o documentación incompleta de sistemas.

3.8.1. ÁREAS A AUDITAR

La Auditoría realizada por el equipo, de acuerdo a lo establecido en el alcance de la

misma, comprende la institución en su totalidad, a todos los equipos de cómputo con

los que cuenta la BIBLIOTECA UNIVERSITARIA.

3.8.2. RIESGOS

Como no tienen un servidor de respaldo y solo realizan backups, la Institución corre el riesgo de no dejar de funcionar. Como solo tienen cámaras de vigilancia en la Administración y la única seguridad que tienen es el tener a una persona con llave que es la única encargada de un ambiente determinado, cualquier otra área puede ser víctima de: robos de información, fraudes informáticos o cualquier otro problema de seguridad. Como no tienen un área dedicada únicamente a seguridad, los Roles de seguridad son repartidos entre las personas de varias áreas y no tienen un control




preciso de la seguridad y de los controles de seguridad Al no realizar imágenes de los discos duros, corren el riesgo de que al malograrse alguno de ellos, no puedan recuperar toda la información y solo puedan recuperar la información que se encuentra en los backups Al no tener UPS corren el riesgo de que, al ser una institución que maneja bastante información y tiene bastantes equipos, de ocurrir un problema eléctrico, éste pueda afectar a todos los equipos y se pierda gran parte de información Como se confía totalmente en el personal administrativo y no se les controla, corre el riesgo de que pueda existir mal uso de equipos e información, fraudes informáticos y otros incidentes similares; además de que se le está dando control total al personal administrativo sobre los sistemas y la información que manejan.(tomado del plan de seguridad de la información – UNAC)

3.8.3. PLAN DE AUDITORÍA

Para el Plan para el desarrollo de este proyecto Se cuenta con el apoyo de la dirección de la empresa, ésta fue la primera acción que se realizó, solicitando la participación de los trabajadores de la biblioteca y en donde se realizaran las siguientes acciones.

ID Tarea

1 Observación general de la Biblioteca Universitaria

2 Entrevistas

3 Analizar con que documentos de gestión y técnicos cuentan en la actualidad concuerda con su inventario.

4 Evaluación de los sistemas operativos.

5 Evaluación de la seguridad en la información NTP-ISO/IEC 17799

3.9. ADECUACIÓN

3.9.1. MÉTODOS

Para la evaluación se llevarán a cabo las siguientes actividades:

Solicitud de los estándares utilizados y programa de trabajo. Aplicación del cuestionario.

3.9.2. TÉCNICAS

Observación Entrevistas Cuestionarios

3.9.3. HERRAMIENTAS

Papel Lapicero Scanner Microsoft Office Word 2007 Microsoft Office Excel 2007 Microsoft Office Project 2003




CAPITULO 4: AUDITORÍA DE SISTEMA OPERATIVO

4.1. ALCANCE

La auditoria de sistemas fue aplicada en todas las áreas de la Biblioteca Universitaria Los puntos que se tomarán son, Revisión de: inventario, políticas de mantenimiento, licencias, desempeño del software existente, seguridad de la información. 4.2. OBJETIVOS

Determinar si el inventario de sistemas operativos y licencias de estos refleja con exactitud los existentes en la organización.

Determinar y evaluar la política de mantenimiento definida en la organización Verificar el desempeño del sistema operativo empleado en la institución Verificar la legalización del software utilizado. Verificar la seguridad en la información

4.3. DESARROLLO DE LA AUDITORÍA Todas las opiniones profesionales vertidas en este documento están respaldadas por las entrevistas, inventarios y observaciones realizadas durante las visitas a la Institución.

INVENTARIO De acuerdo a la investigación realizada la Biblioteca Universitaria, cuenta con un inventario, sabiendo con exactitud cuántos y cuáles son los sistemas operativos que posee la institución. (Ver Anexo 5)

MANTENIMIENTO

La Biblioteca Universitaria., cuenta con una política de mantenimiento preventivo de sus equipos, se hace mantenimiento de manera constante. (Ver Anexo 3)

LICENCIAMIENTO

Los sistemas operativos que se utilizan en la Biblioteca Universitaria cuentan con licencias. (Ver Anexo 5)

COPIAS DE SEGURIDAD

La Biblioteca Universitaria realizan copias de seguridad (backup) de sus datos, ya que ante un desastre físico (robo, hurto) o lógico (virus) se pierde toda la data. (Ver 2.2. Documentación de políticas y procedimientos)

INFORME DE AUDITORIA

1. Título Auditoria Sistemas Operativos

2. Cliente

Gerencia De Informática Y Sistemas

3. Entidad Biblioteca Universitaria – UNAC

4. Objetivos

Determinar si el inventario de sistemas operativos y licencias de estos refleja con exactitud los existentes en la organización.

Determinar y evaluar la política de mantenimiento definida en la organización Verificar el desempeño del sistema operativo empleado en la institución Verificar la legalización del software utilizado. Verificar la seguridad en la información

5.- Normativa aplicada

Para esta auditoría se ha tomado en cuenta la norma ISO 17799. 6. Alcance

El presente trabajo de auditoría de sistemas operativos, comprende el presente periodo 2011 y se ha realizado en la Biblioteca Central de la Universidad Nacional del Callao, de acuerdo a las normas y demás disposiciones aplicables.

7. Conclusiones

El aspecto de sistemas operativos de la Institución, en la opinión del auditor en base de las normativas aplicadas, es favorable.

8. Recomendaciones

Elaboración de documentación detallada sobre procesos informáticos. Reforzar seguridad de acceso físico a computadoras. Establecer un control de riesgos e implementarlo. Elaborar un manual de políticas y procedimientos para conocimiento total de los

colaboradores de la empresa, lo cual causa confusión y restringe procesos. 9. Fecha del Informe PLANEAMIENTO EJECUCION INFORME

FECHAS 30/06/2011 al 04/07/2011

04/07/2011 al 06/07/2011

07/07/2011 al 08/07/2011

10. Identificación y Firma del Auditor

Untiveros Morales, Miriam Salazar Carlos, Javier




ANEXOS

ANEXO 1

UBICACIÓN DE BIBLIOTECA UNIVERSITARIA

UNAC

ANEXO 2

SOLICITUD DE AUDITORIA

ANEXO 3

PLAN DE MANTENIMIENTO – UNAC

ANEXO 4

CUESTIONARIO

Desarrollado por: Untiveros Morales, Miriam

Revisado por: Salazar Carlos, Javier

Cuestionario realizado al jefe de sistemas

PREGUNTAS NORMATIVA SI NO N/A OBS.

¿Se tiene documentados procesos de adquisición de Sistemas operativos para aquellos que la requieren?

Ley Nº 26850

X

¿Se tienen en cuenta mediciones y análisis

del sistema operativo para adquirir la licencia?

Guía técnica sobre evaluación de software para la. Administración pública.

X

¿Al momento de comprar las licencias se asesoran de un distribuidor?

Ley Nº 26850

X

¿Se cuentan con procedimientos de instalación para sistemas operativos cuya adquisición es libre?

POI

X

¿Cuentan con un procedimiento de actualización de los sistemas operativos?

Plan De Mantenimiento UNAC

X

¿Cuenta la empresa con estándares de configuración para el SO?


X

¿Se tiene registro de las modificaciones y/o actualizaciones de la configuración del sistema?


X

¿Se cuenta con documentación de la instalación?


X

¿Se tienen definidas características y/o aspectos específicos para la instalación del SO?


X

¿Se tienen políticas o estándares definidos para realizar actualizaciones al SO?


X

¿Se tiene definida la distribución de los recursos del SO para cada usuario?

Plan De Seguridad De La Información UNAC

X

¿Se tienen análisis con paralelos de

diferentes sistemas operativos?

Guía técnica sobre evaluación de software para la. Administración pública.

X

¿Se han modificado los parámetros establecidos por el proveedor?


X

¿Se cuenta con un procedimiento formal para hacer modificaciones en el sistema?


X

¿Se han definido las características mínimas del hardware para soportar eficientemente el funcionamiento del sistema operativo?

Plan De Mantenimiento

UNAC

X

¿Se llevan los correctos informes de relacionados con la implementación y uso del sistema operativo?


X

¿Se encuentra la organización al día en cuanto a regulaciones y leyes correspondientes al uso del sistema operativo dentro de la empresa?

Directiva N° 006-208-R Del Uso De Software Legal

UNAC

X

¿Los sistemas con los que cuentan la organización actualmente tienen las licencias al día?

Directiva N° 006-208-R Del Uso De Software Legal

UNAC

X

¿Son las instalaciones compatibles para trabajar con el sistema operativo que este implementado en cada área de su empresa?

Plan De Mantenimiento

UNAC

X

¿Cuentan con personal especializado en alguna familia de sistema operativo?

MOF X

¿Tiene documentos que soporten el por qué se usa un cierto sistema operativo en un equipo?

Evaluación De Software X

¿Los equipos servidores cumplen con los requerimientos físicos que solicita un sistema operativo en cuestión, esto con el fin de tener un mejor rendimiento?


X

¿Para la instalación del sistema operativo de equipo clientes se tiene en cuenta el perfil de usuario final?


X

¿Se cuenta con algún análisis de riesgos ante algún imprevisto?


X

¿Se ha determinado algún mecanismo de seguridad para acceder al sistema operativo?


X

¿Existe un responsable directo de los cambios que se realizan en el sistema?

MOF X

¿Se tiene una copia exacta del sistema operativo que sirva como apoyo en caso de pérdida o daños del mismo?


X

¿Se tiene conocimiento y se realizan controles en cuanto a la estabilidad que presenta el sistema operativo implementado?


X

¿Se hace mantenimiento preventivo a las computadoras?


X

¿Se tienen claras las incompatibilidades que se puedan tener con el servidor?


X

¿Se realizan informes oportunos que demuestren el desempeño eficiente del sistema operativo?


X

¿Ha tenido que cambiar de sistema operativo en algún servidor debido al mal funcionamiento de este?


X

¿Se conoce una política clara en cuanto a los passwords en el sistema operativo?

NTP ISO/IEC 17799 X

¿Permiten las claves de acceso limitar las funciones del sistema de acuerdo al perfil de cada usuario?

NTP ISO/IEC 17799

X

¿Se tienen escritas, analizadas y superadas las inconsistencias que se han tenido con el sistema operativo para el servidor?

NTP ISO/IEC 17799

X

¿Se tiene un registro de las modificaciones y/o actualizaciones de la configuración del sistema?

NTP ISO/IEC 17799

X

¿Están definidos sistemas de análisis que comparen el nivel de riesgo que presenta el sistema operativo con el definido como aceptado por la empresa?

NTP ISO/IEC 17799

X

¿Se pueden llevar a cabo en el sistema operativo las políticas de almacenamiento de datos para cumplir con la seguridad que estos requieren?

NTP ISO/IEC 17799

X

¿Es compatible el funcionamiento del sistema operativo con los acuerdos de seguridad en cuanto a la eliminación de datos?

NTP ISO/IEC 17799

X

¿Es el sistema operativo instalado en la empresa seguro en cuanto al recibo, almacenamiento, procesamiento y salida de datos?

NTP ISO/IEC 17799

X

¿Según el desempeño se toman las correspondientes acciones correctivas en cuanto a seguridad del sistema operativo?

NTP ISO/IEC 17799

X

¿Provee el sistema operativo la seguridad suficiente que se requiere en un servidor?

NTP ISO/IEC 17799 X




ANEXO 5

RECURSOS INFORMÁTICOS Y TECNOLÓGICOS EXISTENTES

SOFTWARE a. Software Libre:

CentOS

Fedora

Debian

OpenOffice

b. Software adquirido por la Universidad:

Microsoft® Windows 7™ Professional (405 licencias)

Microsoft® Windows XP™ Professional Microsoft® Office Enterprise 2010 (405

licencias)

Microsoft® SQL Server 2008 Standard Edition (1 licencia)

Fuente: http://www.unac.edu.pe/transparencia/datosgenerales/poi.html

http://www.unac.edu.pe/transparencia/datosgenerales/poi.html




ANEXO 6

DIRECTIVA PARA LA ADMINISTRACIÓN DE

SOFTWARE EN LA UNAC

Auditoria informatica de Biblioteca

Education

Transcript of Auditoria informatica de Biblioteca