INSTITUCION DE EDUCACION SUPERIOR CERES RICAURTE
Auditoria de sistemas de la organización de piscinas
Auditoria de hardware y software en las oficinas de trabajo.
Auditoria de sistemas
- 1 -
INSTITUCION DE EDUCACION SUPERIOR CERES RICAURTE
Índice. Alcance
3
Objetivo
3
Recursos
3
Etapas de trabajo
4
Identificación de riesgos potenciales
4
Objetivos de control
4
III.
Determinacion de los procedimientos de control
4
IV.
Pruebas a realizar.
5
V.
Obtencion de los resultados.
6
VI.
Conclusiones y Comentarios
6
Redaccion del borrador del informe
7
I. II.
VII. VIII.
Recopilacion de informacion básica
Auditoria de sistemas
12
- 2 -
INSTITUCION DE EDUCACION SUPERIOR CERES RICAURTE
Fecha de iniciación La auditoría de la organización de piscinas de Girardot se inició el septiembre 21
de 2011
Fecha de finalización La audito auditoría ría de la organiz organizació ación n de piscin piscinas as de Girardo Girardott tiene tiene como como fecha fecha de finalización el día 12 de octubre de 2011.
Alcance La auditoria se ejecutara en los computadores de la organizaion evaluando sus componentes de software y hardware en cuanto sus capacidades y rendimiento de los equipos y la red interna de la organización.
Objetivo Tener una vision real de los equipos informaticos de la organización y examinar sus procesos y politicas politicas en cuanto a transferencia transferencia de datos y seguridad logica logica y fisicas de los equipos, politicas y seguridad en cuanto a la utilizacion de los recursos informaticos y seguridad en la copia de archivos (Backups).
Recursos El equi equipo po de audit auditori oria a esta esta confo conform rmad ado o por por cuatr cuatro o estud estudian iante tess de Tecni Tecnico co profesional de sistemas y computacion de quinto semestre que son:
Ana Sofia Gordo Arias Edwin Ferney Vallejo Diaz Osca Ivan Salguero Jimenez Jhonatan Josue Sanchez Prada Contamos con los siguientes equipos para realizar los respectivos informes y trabajos: Computador portatil toshiba y un computador de mesa, se tuvieron en cuenta como recursos de papeleria y transporte en vehiculo como motos de propiedad de los integrantes y contamos con una casa de uno de los integrantes del grupo de auditoria de sistemas la cual utilizamos como instalacion para el desarrollo del trabajo de auditoria.
Auditoria de sistemas
- 3 -
INSTITUCION DE EDUCACION SUPERIOR CERES RICAURTE
Etapas de trabajo 1.
Identificación de riesgos potenciales
Se detecto la existencia de riesgos potenciales en uno solo de los equipos ya que no cuentan con un antivirus y esto es un riesgo muy alto para la organización ya que hay informacion importante que se pueden perder y tiene unas fallas en excel ya que no pueden realizar copia de seguridad. Tambien hacen faltan instalar canaletas para sus respectivos cableado de la red ya que hay partes partes donde estan expuestos expuestos a cualquier tipo de daño ocasionados ocasionados por ejemplo ejemplo liquidos derramados, mordeduras de roedores, etc. Se detecto que por no realizar el debido mantenimiento a los estabilizadores de los equipos y la upc al haber ocurrido una recarga de energia en la red esto ocaciono que se quemara algunos discos duros y esto genero perdidas de informacion lo cual habria podido ocacionar muchos mas daños en la red y en los equipos de la organización. El manejo inadecuado de la informacion al tener un archivo donde se guarda la informacion en AZ en las cuales hay riesgos potenciales de perdida de informacion valiosa para la organización y no se puede llevar un control adecuado de seguridad de la misma porque no se puede realizar backups y protegerla de agentes externos (incendios, humedad, roedores, insectos, etc.) 2. Ob Objet jetivo ivoss de de cont control rol
La organización no cuentan con un plan de contingencia ya que esta no realiza back ups para el archivo de informacion valiosa va liosa como facturas, contratos, etc. La organización organización de piscinas piscinas no cuenta con manuales de politica de la empresa, asi que los procedimientos no son claros para el comprendimiento del personal de la organización. En la organización tiene un convenio con la compañía SUN COMPUTER que se encarga de realizar el mantenimie mantenimiento nto preventivo y correctivo correctivo de los equipos de la organización, organización, lo cual permite que estos desarrollen sus procesos y operaciones con un alto rendimiento mejorando la calidad de atención a los clientes y también el desempeño de la organización para ser cada día mas competitiva en el mercado. 3.
Determinacion de los procedimientos de control
Se establecieron los controles de acceso a los equipos y los procedimientos convenientes para un mejor uso de esto.
Auditoria de sistemas
- 4 -
INSTITUCION DE EDUCACION SUPERIOR CERES RICAURTE
Objetivo N 1: Existencia de normativa de hardware. El hardware cuentan con las facturas de compras pero se desconoce su paradero. Los equipos están plenamente identificados y se maneja de acuerdo al área de trabajo dentro de la organización. Los equipos cuentan con un cronograma de mantenimiento el cual lo realiza la compañía SUN COMPUTER y se lleva un registro de fechas de los mantenimientos que se han realizado y su próxima mantenimiento a realizar. Objetivo N 2: Política de acceso a equipos. Cada usuario cuentan con su nombre de usuario y contraseña para acceder a los equipos. Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y alternando mayúsculas y minúsculas). Los usuarios no se bloquean después de 5 minutos sin actividad. A los nuevo evos empleado ados no cuen uentan con una cláusula de confidencialidad a la hora del ingreso y que deberán mantenerse luego de finalizada la relación laboral con la organización. Uso restri restringi ngido do de medios medios removi removible bless (USB, (USB, CD-ROM CD-ROM,, discos discos externos etc.). 4.
Pruebas a realizar.
Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de los objetivos establecidos. Entre ellas podemos mencionar las siguientes técnicas: Se realizo pruebas a los diferentes equipos y comprobamos que el grado de dificultad es alto para acceder a los mismos. Los datos o información de la organización es vulnerable ya que el uso de los dispositivos externos como USB por partes de los empleados no tienen ningún control
Auditoria de sistemas
- 5 -
INSTITUCION DE EDUCACION SUPERIOR CERES RICAURTE
Los componentes del hardware son vulnerables ya que no cuentan con con segu seguri rida dadd físi física ca que los los prot protej ejaa como como por ejem ejempl ploo las las cade cadenas nas de seguridad, permitiendo con estos robos por partes de los empleados o clientes. Se observo que los usuarios tienen claves que restringen al acceso a difere diferente ntess docume documento ntos, s, mejora mejorando ndo con esto esto la seguri seguridad dad de inform informaci ación ón confidencial, con esto no se permite que esta sea expuesta a la competencia directa. Verificación de contratos. 5. Ob Obten tencio cion n de los resul resultad tados. os.
Se realizo la sugerencia a la organización de que contara con la documentacion en regla de los equipos a fin de evitar inconvenientes legales que pongan en riesgo en funcionamiento vital de la organización. Se realizo la sugerencia de restringir a los empleados el uso de USB o discos externos para evitar la filtracion vital para la organización. Tambien se le recomendo de que los equipos se bloquearan para evitar el uso de los equipos a personas externas o agenas de la organización. Como medida a todas estas sugerencias la organizacion las esta tomando en cuenta para realizar un mejor desempeño y ser cada dia mas competitiva. 6.
Conclusiones y Comentarios:
La organización organización como tal cuenta con un área de informática informática fuerte pues tienen equipos de cómputo con buenas capacidades técnicas de hardware como disco duros, memorias, procesador. etc. que le permiten realizar buenos procesos y convertir a esta en una organización y llevar a cabo las metas trazadas. Cuentan con personal capacitado en el manejo de esta área que permite realizar los procesos de acuerdo las exigencias de los clientes y problemas a resolver a la operación día a día de la organización permitiendo con esto un mejor aprovechamiento de los recursos informáticos de la empresa. En materia de mantenimiento de los equipos la organización lleva a cabo un convenio con la empres empresaa SUN COMPUTER para que se real realic icee el mant manten enim imie ient ntoo prev preven enti tivo vo y COMPUTER para correctivo mensual, evitando con esto el deterioro de los equipos y evitando inconvenientes o percances al momento de desarrollar procesos internos de la organización que conlleven a Auditoria de sistemas
- 6 -
INSTITUCION DE EDUCACION SUPERIOR CERES RICAURTE
la perdida de información como también inconformidad por partes de los clientes en la atención o en el cumplimiento de peticiones por parte de ellos. La organización tiene que realizar unas correcciones mínimas en cuanto al área de sistemas ya que son muchas más sus fortalezas que sus debilidades, en cuanto la parte física de la red falta mejorar al instalar canaletas en partes donde los cableados son visibles y corren el riesgo de ser averiados. El archivo de la organización como tal se sugiere sistematizarlo para tener mayor seguridad en cuanto al manejo de esta información como facturas, contratos, etc. permitiendo un mejor acceso a esta con mayor rapidez y evitando el deterioro y perdida de información valiosa de la organización y recuperando con esto espacio desperdiciado con el uso adecuados de AZ. La seguridad lógica de los equipos hay una pocas cosas por mejorar entre ellas el restringir el uso de discos portables (USB) para evitar tráficos de información y permitir en casos especiales el uso de correos por partes de los empleados. Mejorar el bloqueo automático de los equipos al haber inactividad de estos durante un tiempo mínimo y en área de contratación de los empleados que tengan acceso a cierta información valiosa para la organización exigir un a cláusula de confidencialidad. En cuanto seguridad física de los equipos se recomienda colocar cadenas que sujeten las partes del hardware al escritorio evitando con esto robos o pérdidas de las partes de los equipos las cuales las pueden realizar clientes o también parte de los trabajadores, las cuales pueden afectar el funcionamiento como tal de la organización. 7. Redaccion Redaccion del borra borrador dor del del informe informe
Se detalla de manera concisa y clara un informe de todos los problemas encontrados, anotando los datos técnicos de cada una de las maquinas auditadas: Marca
Problema encontrado
Modelo
Solución recomendada
Numero de Serie
Auditoria de sistemas
- 7 -
PROPIEDADES DE LOS EQUIPOS PISCINAS Nombre del equipo
Equipo No. 1 Gerencia
Equipo No. 2 Secretaria
Características Sistema Operativo: Windows xp profesional versión 2002 service pack 2. Procesador: Intel core II duo 2,66 Ghz. Memoria RAM: 2GB. Disco duro: 300 GB Buses: Intel AGTL+ Ancho de bus: 64 bits Velocidad de reloj: 2667 Mhz BIOS AMI: American Megatrens Inc. Antivirus: Avast 2010 Monitor: Samsung LCD 19 Problema: ninguno encontrado con las capacidades técnicas del equipo que se requiere. Recomendación: actualización del sistema operativo. Sistema Operativo: Windows xp profesional versión 2002 service pack 2. Procesador: Intel Pentium Dual Core III Xeon 2,50 GHz Memoria RAM: 2GB. Nombre de la memoria RAM: Kingston DDR2 SDRAM Velocidad de DDR2: 800 (400 MHz) Fecha de fabricación: semana 4/2009 Disco duro: 300 GB Buses: Intel AGTL+ Ancho de bus: 64 bits Velocidad de reloj: 2500 Mhz BIOS AMI: American Megatrens Inc. Antivirus: Avast 2010 Monitor: Benq LCD 19” Problema: ninguno encontrado con las capacidades técnicas del equipo que se requiere.
Recomendación: actualización del sistema operativo.
Equipo No.3 Contabilidad
Sistema Operativo: Windows xp profesional versión 2002 service pack 2. Procesador: Intel Pentium Dual Core III Xeon 2,80 GHz Memoria RAM: 512MB. Nombre de la memoria RAM: Hexon DDR SDRAM D 820, 2800 MHz Velocidad de DDR2: 800 (400 MHz) Fecha de fabricación: semana 4/2009 Disco duro: 150 GB Buses: Intel Netburst Ancho de bus: 64 bits Velocidad de reloj: 2800 Mhz Bios AWARD: Phoenix – Award Bios v6 Nombre de la compañía de la BIOS: Phoenix Technologies Ltd. Antivirus: Avast 2010 Monitor: Samsung LCD 19” Impresora: Epson LX – 300 + II (impresora de facturación) Problema: encontramos inconvenientes con las capacidades técnicas del equipo ya que no se puede actualizar por esta son las requeridas por un software de contabilidad que maneja la organización por tal motivo no se puede actualizar este equipo. Recomendación: actualización del software de contabilidad y del equipo.
Recomendación: actualización del sistema operativo.
Equipo No.3 Contabilidad
Equipo No. 4 Ventas
Sistema Operativo: Windows xp profesional versión 2002 service pack 2. Procesador: Intel Pentium Dual Core III Xeon 2,80 GHz Memoria RAM: 512MB. Nombre de la memoria RAM: Hexon DDR SDRAM D 820, 2800 MHz Velocidad de DDR2: 800 (400 MHz) Fecha de fabricación: semana 4/2009 Disco duro: 150 GB Buses: Intel Netburst Ancho de bus: 64 bits Velocidad de reloj: 2800 Mhz Bios AWARD: Phoenix – Award Bios v6 Nombre de la compañía de la BIOS: Phoenix Technologies Ltd. Antivirus: Avast 2010 Monitor: Samsung LCD 19” Impresora: Epson LX – 300 + II (impresora de facturación) Problema: encontramos inconvenientes con las capacidades técnicas del equipo ya que no se puede actualizar por esta son las requeridas por un software de contabilidad que maneja la organización por tal motivo no se puede actualizar este equipo. Recomendación: actualización del software de contabilidad y del equipo. Sistema Operativo: Windows xp profesional versión 2002 service pack 2. Procesador: Intel Core 2 Duo 2,93 GHz Memoria RAM: 2 GB. Nombre de la memoria RAM: Kreton DDR2 SDRAM 800 (400MHz), Velocidad de DDR2: 800 (400 MHz) Disco duro: 320 GB Buses: Intel AGTL+ Ancho de bus: 64 bits Velocidad de reloj: (TRIAL VERSION) BIOS: AMI
Nombre de la compañía de la BIOS: American Megatrens Inc. Antivirus: No instalado Monitor: Lg LCD 21” Problema: ninguno encontrado con las capacidades técnicas del equipo que se requiere. Recomendación: formateo en general de todo el sistema computo ya que presenta algunas inconsistencias.
Equipo No. 5 Departamento administrativo
Sistema Operativo: Windows 7. Procesador: Intel Core 2 Duo 2,93 GHz Memoria RAM: 3 GB. Tipo de memoria RAM: DDR2 SDRAM Velocidad de DDR2: 800 (400 MHz) Disco duro: 320 GB Ancho de bus: 64 bits Antivirus: Avast 2010 Marca del Laptop: Toshiba Tarjeta de Video: AMD Visión Problema: ningún problema encontrado. Recomendación: no hay recomendación necesaria.
Nombre de la compañía de la BIOS: American Megatrens Inc. Antivirus: No instalado Monitor: Lg LCD 21” Problema: ninguno encontrado con las capacidades técnicas del equipo que se requiere. Recomendación: formateo en general de todo el sistema computo ya que presenta algunas inconsistencias.
Equipo No. 5 Departamento administrativo
Sistema Operativo: Windows 7. Procesador: Intel Core 2 Duo 2,93 GHz Memoria RAM: 3 GB. Tipo de memoria RAM: DDR2 SDRAM Velocidad de DDR2: 800 (400 MHz) Disco duro: 320 GB Ancho de bus: 64 bits Antivirus: Avast 2010 Marca del Laptop: Toshiba Tarjeta de Video: AMD Visión Problema: ningún problema encontrado. Recomendación: no hay recomendación necesaria.
Impresoras de la Compañía Hp Deskjet 1000
Micro Laser Printer SCX – 3205w
Las impresoras trabajan en red con los siguientes equipos: Gerencia, Secretaria, Ventas y Departamento Administrativo. En todos los equipos se hizo su respectivo mantenimiento el día 1 de octubre del 2011 con la empresa SUN COMPUTER que es la encargada de realizar su labor.
Las impresoras trabajan en red con los siguientes equipos: Gerencia, Secretaria, Ventas y Departamento Administrativo. En todos los equipos se hizo su respectivo mantenimiento el día 1 de octubre del 2011 con la empresa SUN COMPUTER que es la encargada de realizar su labor.
8. Recopi Recopilac lacion ion de inform informaci acion on básica básica Antes de realizar la auditoria de sistemas se envio una carta de propuesta a la organiz organizaci ación ón piscin piscinas as a punto punto tenien teniendo do la aprovaci aprovacion on procede procedemos mos a realiza realizarr las respectivas cuestionarios y visitas realizadas a la organización con el fin de conocer a fondo los equipos y procesos que realizan en ellos y tambien conocer los emleados que estan a cargo y tienen acceso a los equipos para tener de esta forma un panorama completo del sistema de la organización.
NOMBRE DE LA EMPRESA:
PISCINAS
8. Recopi Recopilac lacion ion de inform informaci acion on básica básica Antes de realizar la auditoria de sistemas se envio una carta de propuesta a la organiz organizaci ación ón piscin piscinas as a punto punto tenien teniendo do la aprovaci aprovacion on procede procedemos mos a realiza realizarr las respectivas cuestionarios y visitas realizadas a la organización con el fin de conocer a fondo los equipos y procesos que realizan en ellos y tambien conocer los emleados que estan a cargo y tienen acceso a los equipos para tener de esta forma un panorama completo del sistema de la organización.
NOMBRE DE LA EMPRESA: PRODUCTO A OFRECER LOCALIZACIÓN: CIUDAD O MUNICIPIO: TELEFONO Y/O CELULAR: CORREO ELECTRONICO:
PISCINAS ES UNA EMPRESA DEDICADA DESDE UN AÑO A LA LIMPIE LIMPIEZA ZA Y MANTEN MANTENIMI IMIENT ENTO O INTEGR INTEGRAL AL DE PISCINAS EN GIRARDOT Y SUS ALREDEDORES. CONJUNTO LA CAMPIÑA CASA 96 B/KENNEDY GIRARDOT – CUNDINAMARCA (098) 833 35 41 – 315 248 91 61
[email protected]
IDENTIFICACION DE LA EMPRESA:
integra integrada da por un equipo equipo de profesi profesional onales es altame altamente nte califi calificad cados, os, dispuestos a ofrecer los servicios más efectivos, con la ayuda de modernos sistemas de gestión. PISCINAS Nace con una clara vocación de servicio a sus clientes, por lo que todos nuestros procesos están diseñados para adaptarnos a sus necesidades presentes y anticiparnos a sus futuros requerimientos. Nuestros servicios de limpieza y mantenimiento son requeridos por piscinas de centros vacacionales, conjuntos residenciales, polideportivos, organismos públicos e incluso particulares. Piscinas está formada por profesionales con gran experiencia en el sector de limpieza, mantenimiento, reparaciones, rejuntado de piscinas, etc. garantizando un servicio de calidad y personalizado. Piscinas selecciona muy cuidadosamente sus proveedores asegurándonos un aprovisionamiento de primera calidad estando todos los productos homologados por el Ministerio de sanidad y consumo PISCINAS Esta
MISION PISCINAS Presta
servicios especializados con talento humano altamente calificado y con los equipos equipos,, herrami herramient entas as e insumos insumos necesar necesarios ios para garant garantizar izar la calida calidad, d, oportunidad y seguridad de las labores encomendadas, garantizando oportunidades de trabajo decente, ingresos dignos y la satisfacción del cliente.
VISION Será reconocida como la empresa líder en innovación, calidad y oportunidad del serv servic icio io,, haci hacien endo do uso uso de las las nuev nuevas as tecn tecnol olog ogía ías, s, con con un equi equipo po de trab trabaj ajo o competente e integro.
POLITICA DE CALIDAD Para nuestro equipo la calidad es un reto permanente, un compromiso ineludible, que permite permite diferenciarnos diferenciarnos de las demás empresas del mercado, garantizand garantizando o la mejora continua, por medio de la revisión de los procesos y procedimientos, capacitación, motivación y optimización de nuestros recursos. Buscamos entregar un servicio integral acorde a las necesidades de nuestros clientes, a un precio razonable y competitivo que permita garantizar el bienestar de nuestros colaboradores, lo que se evidencia en la atención brindada.
VALORES desarrolla sus actividades con una filosofía inspirada en el respeto, el cumplimiento y la calidad que se rige por los siguientes valores:
PISCINAS
Integridad Responsabilidad Respeto mutuo Calidad Seguridad Mejoramiento continuo Lealtad Disciplina Cumplimiento
Evaluación de la auditoria 1. Fueron ustedes informados previamente de nuestra practica a)
Si
b)
No
2. Los equipos funcionaban correctamente antes de realizar la actividad. a)
Si
b)
No
3. Como califica las recomendaciones dadas por el auditor a)
Malas
b)
Regulares
c)
Buenas
d)
Muy buenas
e)
Excelentes
4. Comentarios al respecto: __________________________________________________________________ __________________________________________________________________
Firma y cedula Auditor líder
Firma y cedula Gerente de Piscinas de Girardot