AUDITORIA DE TI EN EL INSTITUTO UNIVERSITARIO DE ESTUDIOS DE MÉXICO [IUDEM]

UNIVERSIDAD TECNOLÓGICA DE LA SELVA

INGENIERÍA EN TECNOLOGÍAS

DE LA INFORMACIÓN

(AUDITORIA DE TI EN EL INSTITUTO UNIVERSITARIO DE

ESTUDIOS DE MÉXICO [IUDEM])

INTEGRANTES1. LUIS ARTURO DÍAZ OLETA

2. JESÚS VÁZQUEZ GORDILLO3. BERSAIN DE JESÚS OLETA PÉREZ

4. TADEUS EDOARDO SARAGOS MORENO

1. (MTRO. IRAM YOVAN SÁNCHEZ GÓMEZ)2. (MTRA. BEATRIZ MARLENE CANCINO MOLINA)3. (MTRO. ARMANDO MÉNDEZ MORALES)

OCOSINGO, CHIAPAS; OCTUBRE 2010.

Contenido

INTRODUCCIÓN..................................................................................................................6

RESUMEN............................................................................................................................7

ABSTRACT...........................................................................................................................9

I.- DATOS DE LA EMPRESA..............................................................................................11

I.1.- Nombre.....................................................................................................................11

I.2.- Giro...........................................................................................................................11

I.3.- Ubicación..................................................................................................................11

I.4.- Antecedentes...........................................................................................................11

I.5.- Filosofía Organizacional..........................................................................................12

I.5.1.- Misión................................................................................................................12

I.5.2.- Visión.................................................................................................................12

I.5.3.- Objetivos............................................................................................................12

I.6.- Políticas....................................................................................................................13

I.6.1.- Políticas para el uso del laboratorio de Informática..........................................13

I.7.- Estructura Organizacional de la Empresa................................................................14

II.- DIAGNÓSTICO DE LAS ÁREAS DE OPORTUNIDAD DE LA ORGANIZACIÓN.........15

II.1.- Análisis de la Situación Actual de la Empresa (FODA)...........................................15

II.2.- Minutas de acuerdo sobre las áreas a auditar........................................................18

III.- PLAN DE AUDITORÍA..................................................................................................21

III.1.- Formato de Plan de Auditoria................................................................................25

IV.- DISEÑO DE FORMATOS DE SEGUIMIENTO DE LA AUDITORÍA............................29

IV.1.- Lista de verificación...............................................................................................29

IV.2.- Técnicas de Recopilación de la Información.........................................................30

IV.2.1.- Cuestionario Evaluación Hardware y software...............................................30

IV.2.2.- Cuestionario Evolución de Red.......................................................................35

2

V.- EJECUCIÓN DE AUDITORIA.......................................................................................39

V.1.- Orden del día y lista de asistencia de la reunión de apertura y cierre....................39

V.2.- Evidencias de la realización de la auditoría (lista de cotejo, cuestionario, etc.).....41

VI.- MEJORES PRÁCTICAS...............................................................................................51

VI.1.- ITIL Gestión de Servicios TI..................................................................................51

VI.1.1.- Centro de Servicio IUDEM..............................................................................52

VII.- INTERPRETAR LOS RESULTADOS DE LA AUDITORÍA INFORMÁTICA................54

VII.1.- Informe final de auditoría informática...................................................................54

VII.- CIERRE Y CONCLUSIÓN DE LA AUDITORIA INFORMÁTICA.................................63

VII.1.- Dictamen Final......................................................................................................63

VII.2.- Conclusión General de la Auditoria Informática de la áreas Auditadas................69

VIII.- TOMA DE DECISIONES............................................................................................70

VIII.1.- Reconocimiento del problema.............................................................................70

VIII.2.- Interpretación del problema.................................................................................71

VIII.3.- Atención al problema...........................................................................................71

VIII.4.- Cursos de acción.................................................................................................72

VIII.5.- Consecuencias....................................................................................................72

VIIII.- PROPUESTA DE SOLUCIÓN BASADA EN TECNOLOGÍAS EMERGENTES........73

VIIII.1.- Cuadro Comparativo...........................................................................................74

VIIII.1.1- Descripción de las Alternativas Seleccionadas.............................................76

VIIII.2.- Determinar la Tecnología de Emergente a Implantar.........................................77

VIIII.2.1.- Descripción de la Virtualización...................................................................78

VIIII.2.2.- Objetivos......................................................................................................79

VIIII.2.3.- Actores.........................................................................................................79

VIIII.2.4.- Alcances.......................................................................................................80

VIIII.2.5.- Definición de los tiempos.............................................................................80

VIIII.2.6.- Costo-valor-beneficio...................................................................................80

3

VIIII.2.7.- Construcción/Interpretación.........................................................................82

VIIII.2.8.- Punto de equilibrio.......................................................................................83

VIIII.3.- Diagnóstico de la situación actual del uso de las T.I. en los procesos de la

organización....................................................................................................................83

VIIII.4.- Justificación de la viabilidad de la Virtualización................................................83

VIIII.6.- Mejoras a los procesos realizados en la institución basándose en los

lineamientos del ITIL.......................................................................................................85

CONCLUSIÓN....................................................................................................................87

BIBLIOGRAFÍA...................................................................................................................89

ANEXOS.............................................................................................................................91

4

Contenido de Figuras

Figura 1.- Organigrama del Instituto Universitario de Estudios de México (IUDEM)..........14

Figura 2.- Visita al Instituto Universitario de Estudios de México.......................................18

Figura 3.- Entrega de Carta Compromiso...........................................................................19

Figura 4.- Carta Compromiso..............................................................................................20

Figura 5.- Orden del día......................................................................................................39

Figura 6.- Lista de asistencia de la reunión de apertura y cierre........................................40

Figura 7.- Lista de Verificación Hardware...........................................................................41

Figura 8.- Cuestionario evaluación de hardware................................................................42

Figura 9.- Cuestionario evaluación de hardware................................................................43

Figura 10.- Lista de Verificación Software..........................................................................44

Figura 11.- Cuestionario evaluación de software................................................................45

Figura 12.- Cuestionario evaluación de software................................................................46

Figura 13.- Lista de Verificación Red..................................................................................47

Figura 14.- Cuestionario evaluación red.............................................................................48



Contenido de Tablas

Tabla 1.- Análisis de la Situación Actual del Instituto Universitario de Estudios de México

(FODA)................................................................................................................................15

Tabla 2.- Plan de Auditoria..................................................................................................21

Tabla 3.- Cronograma de actividades del Plan de Auditoria...............................................24

Tabla 4.- Formato Plan de Auditoria...................................................................................25

Tabla 5.- Formato Lista de Verificación..............................................................................29

Tabla 6.- Dictamen final de software..................................................................................64

Tabla 7.- Dictamen final de hardware.................................................................................65

Tabla 8.- Dictamen final de red...........................................................................................67

Tabla 9.- Cuadro Comparativo de Tendencias Tecnológicas.............................................74

Tabla 10.- Valor-costo-beneficio de la Virtualización..........................................................82

5

INTRODUCCIÓN

La complejidad y dimensiones que han adquirido los sistemas de información han

hecho que sea crítica la implantación de normas y procedimientos para su

utilización, desarrollo, implantación y mantenimiento. El garantizar el cumplimiento

de estas normas y procedimientos establecidos son parte de la auditoría

informática que vela por el adecuado cumplimiento de las normas que rigen los

sistemas informáticos y por qué el sistema informático:

Funcione de manera continuada.

Sirva a los objetivos para los que fue diseñado.

Sea seguro.

Haga una utilización de los recursos óptima.

Nuestro trabajo se centra en estos objetivos. En este documento abordaremos la

elaboración de una metodología para la realización de la auditoría informática para

la evaluación de hardware y software y evaluación de la red del IUDEM.

IUDEM cuenta con una infraestructura de intranet basada en estándares y

tecnología de Internet que soporta el compartir información dentro de un grupo

bien definido y limitado. Pero aunque esta sea una red privada en la que se tengan

grupos bien definidos y limitados, no se encuentra a salvo de ataques que

pudiesen poner en riesgo la información que maneja.

Los asuntos más complicados en la seguridad de las áreas a auditar no son de

carácter técnico, sino organizacional o estratégico. La auditoría informática con

sus métodos, técnicas y procedimientos permitirán el uso eficaz y eficiente de los

sistemas de información, proporcionando seguridad, integridad, disponibilidad y

confiabilidad para garantizar el correcto funcionamiento de las TI.

6

RESUMEN

La función de la auditoria informática en las instalaciones del Instituto Universitario

de México (IUDEM) está relacionada con detectar errores en los procedimientos

relacionados con el procesamiento de la información a través del uso de

Tecnologías de Información.

En esta institución educativa la información es uno de los principales

activos, este recurso crítico involucra los siguientes elementos que

deben ser protegidos:

- Datos, que son todos los objetos de la información.

- Aplicaciones, son el conjunto de sistemas de información.

- Tecnología, es el conjunto de hardware y software de base.

- Instalaciones, son los recursos necesarios para alojar a los

sistemas de información.

- Recursos Humanos, es el personal relacionado directamente con el

desarrollo y producción de los sistemas de información.

La auditoría informática en un proceso formal vera su entendimiento previo de los

elementos anteriores para que cada uno de los responsables lleven a cabo sus

procesos en la institución. El objetivo final es brindar a los responsables de dichas

áreas un camino estructurado por el que obtengan los resultados esperados por la

institución, siguiendo un plan.

La auditoría informática al detectar errores generara las siguientes ventajas:

Orientar a la obtención de servicios de calidad.

Definir y formalizar documentos de alcances para las áreas de la institución.

Facilitar la administración y seguimiento de las actividades.

7

Planificación detallada bajo criterios de normas y políticas.

Superación profesional y personal de los individuos, orientando a la

especialización de su área y responsabilidad de sus funciones.

Capacitación o actualización de sus procesos metodológicos en el área

respectiva.

Actualización de metodologías.

En fin la auditoria fue una comparación conforme a lo que hace y lo dice hacer de

acuerdo de acuerdo a las políticas internas del departamento de informática

evaluados, el objetivo principal de esta auditoria no es encontrar puntos

vulnerables que puedan evidenciar al auditado, en este caso al Instituto

Universitario de México (IUDEM), para perjudicar de alguna u otra forma. Si no

identificar áreas de mejora, identificar necesidades y tratar de solucionarlos

mediante la aplicación de alguna tecnología emergente, o proponer alternativas

para la mejora y eficacia de los procesos de los puntos débiles encontrados,

mediante toma de decisiones.

8

ABSTRACT

The function of the informatics audit in the facilities of the Instituto Universitario de

Estudios de México (IUDEM), it is related with detecting errors in the related

procedures with the prosecution of the information through the use of Technologies

of Information.

In this educational institution the information is active one of the main ones, this

critical resource involves the following elements that should be protected:

o Data that are all the objects of the information.

o Applications are the group of systems of information.

o Technology is the hardware group and base software.

o Installations are the necessary resources to house to the systems of

information.

o Human resources, is directly the related personnel with the development

and production of the systems of information.

The informatics audit in a formal process will see its previous understanding of the

previous elements, previous so that each one of the responsible ones carries out

their processes in the institution. The final objective is to help to those responsible

of this area a structured road for the one that obtain the prospective results

The informatics audit when detecting errors generated the following advantages:

o To guide to the obtaining of services of quality.

o To define and to formalize documents of reaches for the areas of the

institution.

o To facilitate the administration and pursuit of the activities.

o Planning detailed low criterion of norms and political.

o Overcoming professional and personal of the individual’s, guiding to the

specialization of their area and responsibility of their functions.

9

o Training or modernize of their methodological processes in the respective

area.

o Modernize of methodologies.

In end audit went a comparison ago according to that and tells it to make of

agreement according to the internal politicians of computer science department

evaluated, the main objective of this audit is not to find points vulnerable that can

evidence to the personal audit, in this case to the Instituto Universitario de Estudios

de México (IUDEM), to harm in some or another way, to if not identify areas of

improvement, to identify necessities and to try to solve them by means of the

application of some emergent technology, or to propose alternative for the

improvement and effectiveness of the processes of the opposing weak points, by

means of taking of decisions.

10

I.- DATOS DE LA EMPRESA

I.1.- Nombre

IUDEM (Instituto Universitario de Estudios de México)

I.2.- Giro

IUDEM (Instituto Universitario de Estudios de México) es una institución educativa

comprometida con la calidad de la educación para los alumnos de esta misma.

I.3.- Ubicación

IUDEM (Instituto Universitario de Estudios de México) se encuentra ubicada en

Periférico Oriente Sur No. 15-A, Barrio Nuevo, Ocosingo Chiapas.

I.4.- Antecedentes

El Instituto Universitario de Estudios de México (IUDEM) fue tramitada en el

municipio de Ocosingo, Chiapas por el mes de Marzo del 2007, se logra la

aprobación y apertura de esta institución el 17 de Mayo del 2007 con la carrera de

Ingeniería en Sistemas Computacionales. El 22 de Agosto del 2007 se aprobaron

otras dos nuevas carreras las de: Licenciatura en Turismo y Licenciatura en

Trabajo Social. Febrero de 2008 se aprueba la carrera de Licenciatura en

Informática Administrativa, Marzo 2008 se aprueba la carrera de Licenciatura en

Contaduría e Informática ese mismo mes se obtiene una extensión a la carrera de

Derecho con la IUDEM de Comitán.

Se inicia labores con 140 alumnos y 14 catedráticos, 9 aulas y un laboratorio de

informática. Actualmente la institución cuenta con 22 aulas, un laboratorio de

informática y uno de turismo. El 16 de Enero del 2009 la institución pasa a ser de

Persona Física a Sociedad Cooperativa.

11

I.5.- Filosofía Organizacional

La filosofía organizacional es el sentir de la empresa a través de su misión, visión

y objetivos.

I.5.1.- MisiónEl instituto de Estudios Superiores México tiene como misión formar profesionistas

con valores, conocimientos, habilidades y conciencia para que pueda competir en

su campo profesional y al mismo tiempo puedan contribuir con el desarrollo y

crecimiento económico, político, social y cultural de nuestro país.

I.5.2.- Visión El Instituto de Estudios Superiores México tiene como visión ser reconocida como

una de las mejores instituciones educativas de Chiapas como resultado del éxito

obtenido por alumnos egresados de nuestro colegio.

I.5.3.- ObjetivosCon el compromiso educativo se pretende formar profesionista aptos para el

desempeño laboral, mercantil con objetivos precisos en la comunicación virtual del

futuro.

12

I.6.- Políticas

I.6.1.- Políticas para el uso del laboratorio de Informática

Los alumnos deben de traer siempre una memoria USB (System Bus

Universal), para el resguardo de su información.

No está permitido guardar información en los discos duros de los equipos

de cómputo.

Los profesores no se hacen responsables de cualquier pérdida de

información que se guarden en los discos duros de los equipos.

Informar inmediatamente de cualquier fallo que este surgiendo en algunos

de los equipos de cómputo.

No está permitido abrir o destapar los equipos de cómputo, tanto para los

alumnos y profesores, en caso de que suceda eso, el individuo recibirá una

sanción o una carta de amonestación.

Los alumnos no podrán entrar al laboratorio de informática cuando estos no

se encuentren adscritos a la clase, en caso de previa autorización de un

catedrático este tendrá el permiso de acceder al laboratorio.

No está permitido acceder a sitios web como: páginas de juegos, páginas

pornográficas, páginas de correos electrónicos.

No está permitido el uso de celulares, a menos que este en vibrador o

apagado.

Apaga correctamente el equipo: Recuerda que la mejor manera de

conservar un equipo de cómputo es conservarlo no lo maltrates.

Prohibido introducir alimentos al laboratorio de cómputo.

Favor de guardar silencio.

Se les recomienda el buen uso de su equipo.

Recuerda: Solo tienes 10 minutos de tolerancia para Ingresar al laboratorio

de cómputo después de la hora de clase.

13

I.7.- Estructura Organizacional de la Empresa

Figura 1.- Organigrama del Instituto Universitario de Estudios de México (IUDEM)

Fuente: Dirección Operativa del Instituto Universitario de Estudios de México (IUDEM)

14

II.- DIAGNÓSTICO DE LAS ÁREAS DE OPORTUNIDAD DE LA

ORGANIZACIÓN

II.1.- Análisis de la Situación Actual de la Empresa (FODA)

El análisis FODA1 sirve para detectar todos aquellos factores que pueden ayudar a

mejorar los servicios con respecto al cliente y así aprovechar sus oportunidades

utilizando sus fuerzas y al mismo tiempo combatir sus amenazas y debilidades

para la consolidación frente a la competencia.

Es por ello que aplicamos el análisis FODA, al Instituto Universitario de Estudios

de México (IUDEM).

Tabla 1.- Análisis de la Situación Actual del Instituto Universitario de Estudios de México (FODA)

Fortalezas Oportunidades

- Calidad de servicio.

- Campus en varios municipios

del estado.

- Estructura organizacional

definida.

- Formación de profesionistas

con valores, conocimientos y

habilidades.

- Contribución para el desarrollo

y crecimiento del municipio.

- Funcional laboratorio de

cómputo.

- Servicio de: cafetería,

biblioteca, orientación

- Crecimiento de población

estudiantil.

- Mejorar la atención y servicio

al alumnado.

- Aprobación de nuevas

carreras.

- Mayor reconocimiento en el

estado de Chiapas.

- Implantación tendencias en

tecnologías Informáticas.

- Creación de nuevos

laboratorios informáticos.

1 F= Fuerzas, O= Oportunidades, D= Debilidades y A= Amenazas.

15

vocacional y papelería.

- Profesores altamente

calificados.

- Servicio educativo con validez

oficial y reconocimiento a nivel

nacional.

- Intercambio estudiantil.

- Planes de estudio: semestrales

(8 semestres), tetramestrales (9

tetramestres) y

semiescolarizado.

- Licenciaturas de 2 años y 8

meses.

- El personal con los

conocimientos y capacitación el

área de T.I.

- Aplicación de políticas en el

laboratorio de informática.

Debilidades Amenazas

- No cuenta con Aire

acondicionado ni equipos

contra incendios.

- No cuenta con personal

responsable de la seguridad en

T.I.

- No cuenta con rutas de

evacuación en el área de T.I

- No cuentan con el lugar

suficiente para todos los

equipos de cómputos

obsoletos.

- Existencia de universidades

públicas y privadas.

- Perdida de alumnos.

- Costo de Hardware y

Software.

- Uso inadecuado de la red de

intranet.

16

- No cuenta con registro de

entrada y salida de los equipos

de cómputo.

- Escaso equipo de cómputo.

- No contar con un control del

equipo de informática.

- Instalación de informática

reducida.

Fuente: Diseñado por el equipo de auditoría informática.

El análisis e interpretación de la matriz de fortalezas se realizó en base a la

búsqueda de opiniones para poder saber el grado de satisfacción y confianza que

tienen los servicios y recursos de informática en la institución. Al igual de un

diagnóstico de la institución, que incluye a la dirección operativa y el área

informática.

Con esta fase, se visualiza los primeros síntomas, que posteriormente serán los

puntos claves relevantes para nuestra auditoria informática y buscar las áreas de

oportunidad que van a facilitar la implementación de soluciones brindadas por el

equipo de auditoría y que tendrán un impacto sobre alguna función del área. Estas

acciones pueden ser inmediatas o corto plazo, todo en busca de beneficios para la

institución.

17

II.2.- Minutas de acuerdo sobre las áreas a auditar

Minutas y documentos que describe las áreas a auditar en el Instituto Universitario

de estudios de México.

18

Figura 2.- Visita al Instituto Universitario de Estudios de México

Fuente: Formato diseñado por el equipo de auditoría informática.

19

Figura 3.- Entrega de Carta Compromiso


20

Figura 4.- Carta Compromiso

Fuente: Oficio UTS/REC/TIC Universidad Tecnológica de la Selva.

21

III.- PLAN DE AUDITORÍA

Tabla 2.- Plan de Auditoria

Objetivos de la

Auditoria

1. Valorar la situación actual de la empresa.

2. Realizar una comparación de la situación actual

del área informática con respecto a las normas y

políticas establecidas en ella.

3. Que el procesamiento de datos cumpla con las

normas y procedimientos institucionales y

legales vigentes.

4. Que existan procedimientos adecuados para la

selección, uso y resguardo de los recursos

informáticos de la organización.

5. Que la consistencia, confiabilidad y seguridad de

los datos sean suficientes.

6. Que esté asegurada la adecuada y eficaz

operación de los sistemas informáticos de la

organización.

7. Identificar las No conformidades encontradas en

el área informática.

8. Proponer acciones correctivas para las No

conformidades.

Alcance de la

Auditoria

En esta auditoría, los auditores buscaron al cliente y le

ofreció los servicios de auditoría informática para

posteriormente poder proponer acciones correctivas.

El área a auditar es el siguiente:

Área Informática

a. Evaluación de Hardware y Software

22

b. Evaluación de la Red

Al finalizar la auditoria se le entregara a la Dirección

Operativa el reporte final que contiene;

Plan de auditoria

Documento de referencia normas y políticas

Las observaciones obtenidas

Las no conformidades detectadas

Las propuestas de acciones correctivas

Personas

Involucradas

Lic. Francisco Paulo Cruz Santos.

Lic. Mario

Documentos de

Referencia

Se tomara como referencia las normas y políticas

establecidas por la Instituto Universitario de Estudios

de México (IUDEM).

Miembros del Equipo

Auditor

Las personas que realizaran la auditoria son:

TSU. Luis Arturo Díaz Oleta

TSU. Jesús Vázquez Gordillo

TSU. Bersain de Jesús Oleta Pérez

TSU. Tadeus Edoardo Saragos Moreno

Estas personas se encargaran de elaborar el plan de

auditoría, aplicar la lista de verificación y finalmente

realizar el reporte final.

Área Organizacional

Auditada

El área organizacional a auditar es:

Área Informática

23



Fecha Estimada y

Duración de las

Actividades

La fecha estimada para la verificación de las listas de

verificación serán:

Área Informática: 6 de Noviembre de 2010

c. Evaluación de Hardware y Software

d. Evaluación de la Red

La duración de las actividades será no más de tres

horas para cada sub-área.

Programar las

Reuniones con la

Dirección

Las reuniones con la dirección serán dos, una al

principio de la auditoria y otra al finalizar la auditoria.

Requisitos de

Confidencialidad

La organización auditada ha solicitado un cuidado

especial de la documentación sobre toda aquella que

implica los procedimientos para la realización del

servicio.

Distribución del

Informe de Auditoría y

Fecha de Emisión

La entrega del reporte final estará estimada para a

mediados de Noviembre. El reporte incluye las no

conformidades detectadas así como también la

propuesta a las acciones correctivas.


24

Tabla 3.- Cronograma de actividades del Plan de Auditoria

Cronograma del Plan de Auditoria Fecha1.- Objetivos de Auditoria

1.1.- Visita a la IUDEM 09/10/2010

1.2.- Valorar la situación actual de la empresa. 18/10/20101.3.- Realizar una comparación de la situación actual del área informática con respecto a las normas y políticas establecidas en ella.

19/10/2010

1.4.- Establecer nuestros objetivos de auditoría en para la IUDEM. 20/10/2010

2.- Alcance de la Auditoria

2.1.- Establecer nuestros alcances de auditoría en para la IUDEM. 21/10/2010

2.2.- Establecer las áreas a auditar. 22/10/2010

2.3.- Realización del plan y documentos de auditoría.2.4.- Entrega de carta compromiso a la IDEM para formalizar la auditoria. 26/10/2010

3.- Entregar de primer reporte

3.1.- Entrega de primer reporte. 29/10/2010

4.- Realización de la auditoria

4.1.- Evaluación de Hardware y Software 06/11/2010

4.2.- Evaluación de la Red 06/11/2010

5.- Entregar de segundo reporte

5.1.- Entrega de evidencias de la auditoria 08/11/2010

6.- Elaborar un reporte final de auditoría

6.1.- Interpretar los resultados de la Auditoría Informática. 10/11/2010

6.2.- Proponer alternativas de solución y mejora de las Tecnologías de la Información.

12/11/2010

6.3.- Cierre y conclusión de la Auditoria Informática 18/11/2010

7.- Entregar de Tercer reporte

7.1.- Generar el dictamen final de la auditoría informática. 19/11/2010

8.- Presentar propuesta de tecnologías emergentes

8.1.- Determinar las Tecnologías emergentes a implementar. 22/11/2010

8.2.- Determinar el Análisis costo - beneficio de la implementación de las tecnologías emergentes.

24/11/2010

9.- Entregar de Tercer reporte9.1.- Implantar fundamentado en las conclusiones de la auditoría a través de un plan estratégico.

30/11/2010

10.- Exposición del proyecto.

10.1.- Exposición del proyecto dic-10Fuente: Diseñado por el equipo de auditoría informática.

25

III.1.- Formato de Plan de Auditoria

Tabla 4.- Formato Plan de Auditoria

PLAN DE AUDITORÍA

EMPRESA:EMPRESA:Instituto Universitario de Estudios de Mexico (IUDEM). Campus: Ocosingo, Chiapas. Periferico Oriente Sur # 15-A Barrio Nuevo. Tel: 099196731762.

No. deNo. de auditoría: 01auditoría: 01

ÁREA / PROCESO:ÁREA / PROCESO:

Informatica

- Evaluacion de Hardware y Software- Evaluacion de la Red

AUDITADOS:AUDITADOS:

Lic. Loisa Guadalupe Gutiérrez Valdez.


RESPONSABILIDADES:RESPONSABILIDADES:

Laboratorista

Director Operativo

OBJETIVO:

9. Valorar la situación actual de la empresa.

10. Realizar una comparación de la situación actual del área informática con respecto a las normas

y políticas establecidas en ella.

11. Que el procesamiento de datos cumpla con las normas y procedimientos institucionales y

legales vigentes.

12. Que existan procedimientos adecuados para la selección, uso y resguardo de los recursos

informáticos de la organización.

13. Que la consistencia, confiabilidad y seguridad de los datos sean suficientes.

14. Que esté asegurada la adecuada y eficaz operación de los sistemas informáticos de la

organización.

15. Identificar las No conformidades encontradas en el área informática.

16. Proponer acciones correctivas para las No conformidades.

ALCANCE: En esta auditoría, los auditores buscaron al cliente y le ofreció los servicios de auditoría informática para

posteriormente poder proponer acciones correctivas.

El área a auditar es el siguiente:

Área Informática



26

Al finalizar la auditoria se le entregara a la Dirección Operativa el reporte final que contiene;

Plan de auditoria

Documento de referencia normas y políticas

Las observaciones obtenidas

Las no conformidades detectadas

Las propuestas de acciones correctivas

AUDITOR LÍDER: Nombre: Luis Arturo Díaz Oleta

EQUIPO AUDITOR: Nombres: Luis Arturo Díaz Oleta, Jesús Vázquez Gordillo, Bersain de Jesús Oleta Pérez y Tadeous Edoardo Saragos Moreno.

CRITERIOS DE AUDITORÍA

ISO 9001:2000

Detalle:

Manual de la calidad

Detalle:

Procedimientos

Detalle:

Políticas

Detalle: Políticas de Informática IUDEM

Registros

Detalle:

Funciones de auditores: Alumnos en Ingenierías en Tecnologías Información de la Universidad Tecnológica de la Selva, Ocosingo, Chiapas.

Nombres Auditados:

Lic. Loisa Guadalupe Gutiérrez Valdez.


Encargado del laboratorio del Instituto Universitario de Estudios de México.

Director operativo del Instituto Universitario de Estudios de México.

ACTIVIDADES DE AUDITORÍA

27

FECHARequisito de la Norma y/o documentos

Horario AuditorÁreas y personal

responsable

06/11/10

Procedimiento de la Auditoría Informática. 10:00 am –

11:30am

TSU. Luis Arturo Díaz

Oleta.

Evaluación de la Red (Lic. Loisa Guadalupe

Gutiérrez Valdez.)

06/11/10


11:30am

TSU. Tadeous Edoardo Saragos Moreno.

Evaluación del Hardware (Lic. Loisa Guadalupe Gutiérrez

Valdez.)

06/11/10


11:30am

TSU. Bersain

de Jesús Oleta Pérez.

Evaluación del Software (Lic. Loisa Guadalupe Gutiérrez

Valdez.)

Comentarios:

Se tomara como referencia las normas y políticas establecidas por la Instituto Universitario de Estudios de México

(IUDEM).

La organización auditada ha solicitado un cuidado especial de la documentación sobre toda aquella que implica los

procedimientos para la realización del servicio.

28

Nombre y firma del Auditor Líder:

Bersain de Jesús Oleta Pérez

Recursos necesarios: Descripción:

Cliente de la auditoría:

Lic. Paolo Cruz Santos Director Operativo.

Instituto Universitario de Estudios de Mexico (IUDEM). Campus: Ocosingo, Chiapas. Periferico Oriente Sur # 15-A Barrio Nuevo.


29

IV.- DISEÑO DE FORMATOS DE SEGUIMIENTO DE LA AUDITORÍA

IV.1.- Lista de verificación

Tabla 5.- Formato Lista de Verificación

Empresa Auditada: Fecha:Área Auditada: Auditoría No. Hora Inicio:Responsable de área auditada: Hora Cierre:Auditor Líder :Equipo Auditor:

Auditados:

Aseveraciones: Observaciones/Comentarios

1.-

2.-

3.-

4.-

5.-

6.-

7.-

8.-

9.-

10.-

11.-

12.-

13.-

14.-


30

IV.2.- Técnicas de Recopilación de la Información

IV.2.1.- Cuestionario Evaluación Hardware y software

Evaluación de hardware

1. ¿Con que frecuencia se le da mantenimiento preventivo a los equipos

de cómputo?

a) Cada mes b) Cada seis meses c) Cada año

2. ¿Los equipos de cómputo que se adquieren, cuentan con algún tipo

de garantía?

a) Si b) No

3. ¿El personal encargado de los equipos de cómputo cuenta con los

conocimientos adecuados o alguna capacitación para desempeñarse

en el área de mantenimiento?

a) Si b) No

4. En cuanto al área de trabajo, se cumple con los siguientes datos,

marque con una x dentro del paréntesis, si cuenta con las siguientes

especificaciones :

Localización física: ( )

Aire acondicionado. ( )

Equipos contra incendios. ( )

Rutas de evacuación. ( )

31

5. ¿La ubicación física del área de trabajo es la más adecuada pensando en los diversos desastres que se pueden presentar (inundaciones, incendios, entre otros)?

a) Si b) No

6. ¿Existen políticas relacionadas con el ingreso y salida de los equipos

de cómputo?

A) Si b) No

7. ¿Hay políticas y procedimientos relativos al uso y protección del

hardware de los equipos de cómputo?

a) Si b) No

8. Si existen, indique si están formalmente identificados los siguientes

aspectos de seguridad, marque con una x dentro del paréntesis, si

cuenta con las siguientes especificaciones:

Administración del hardware. ( )

Descripción del hardware (características básicas) ( )

Registro del hardware instalado, dado de baja, en proceso de adquisición, etc. ( )

Monitoreo. ( )

32

9. Mencione si existen políticas relacionadas con el ingreso y salida del

los equipos de cómputo que aseguren al menos lo siguiente, marque

con una x dentro del paréntesis, si cuenta con las siguientes

especificaciones:

Que la entrada y salida de los equipos sea: revisada (contenido, cantidad,

destino). ( )

Justificada (compra, pruebas, reemplazo, devolución, dado de baja, otros).

( )

Aprobada por el responsable de informática que va a recibirlo. ( )

Registrada (responsables, hora, motivo, etc.). ( )

Devuelta en las mismas condiciones de entrada. ( )

Devolución autorizada por medio de un responsable de informática. ( )

33

Evaluación del software

1. ¿Cómo se aseguran de que el personal que va a utilizar el Software de la

institución se encuentre capacitado en el uso de los mismos?

2. ¿El software que se adquieren cuenta con algún tipo de garantía?

a) Si b) No

3. ¿Qué les garantiza que se está utilizando el software idóneo?

4. ¿Existe algún manual de procedimiento para la instalación de un nuevo

software?

a) Si b) No

5. ¿Se cuenta con procedimientos de respaldo de programas y de archivos

en operación, en caso de desastres?

a) Si b)No

6. ¿Se tienen controles para que sólo personal autorizado tenga acceso a

dichos respaldos?

a) Si b)No

7. ¿Existen políticas y procedimientos relativos al uso y protección del

software existente en el área de trabajo?

34

8. Si las hay, indique si los siguientes aspectos de seguridad están

formalmente identificados, marque con una x dentro del paréntesis, si

cuenta con las siguientes especificaciones.

Administración del software. ( )

Sistemas operativos, utilerías, paquetes, etc. ( )

Cuantificación del software (original y copias). ( )

Descripción (por original). ( )

9. ¿Cómo se aseguran que al estar el sistema en operación se cumplan

formal y oportunamente los procedimientos de seguridad contemplados

en el desarrollo del mismo?

a) Con una auditoria de sistemas

b) Con revisiones de consultores externos

c) Con revisiones del personal de informática

35

IV.2.2.- Cuestionario Evolución de Red

Cuestionario para Evaluación de Red

1. Existen normas en comunicaciones al menos para las siguientes áreas:

Procedimientos de autorización para conectar nuevo equipamiento en la

red.

(Si) (No)

Procedimientos para el uso de cualquier conexión digital con el exterior,

como línea de red telefónica conmutada o internet. (Si)

(No)

Planes y procedimientos de autorización para la introducción de línea y

equipos fuera de las horas normales de operación. (Si)

(No)

2. El equipo de comunicaciones se mantiene en habitaciones cerradas con acceso limitado a personas autorizadas.

a) Si b)No

3. Se revisan periódicamente la red de comunicaciones, buscando intercepciones activas o pasivas.

a) Si b)No

4. ¿Cuáles son los mayores riesgos que tienen las redes?

36

5. ¿El lugar donde se encuentra los equipos de cómputo está situado a salvo de:

Inundación ( )

Terremoto ( )

Fuego ( )

Sabotaje ( )

1. ¿Existe lugar suficiente para los equipos informáticos?

a) Si b) No

2. ¿El cableado se encuentra debidamente instalado?

a) Si b) No

3. ¿Los cables se encuentran debidamente identificados (Positivo, Negativo, Tierra física)?

a) Si b) No

4. ¿Se cuentan con los planos de instalación eléctrica actualizados?

a) Si b) No

37

5. ¿Los cables de red y suministro de energía eléctrica están dentro de paneles y canales?

a) Si b) No

6. ¿Cuentan con reguladores para los equipos de cómputo?

a) Si b) No

7. ¿Existe una persona responsable de la seguridad en el laboratorio?

a) Si b) No

8. ¿Cómo se controla el acceso al laboratorio? marque con una x dentro del paréntesis, si cuenta con las siguientes especificaciones:

Vigilante ( )

Recepcionista ( )

Tarjeta de control de acceso ( )

Puerta de combinación ( )

Registro de entradas ( )

Alarmas ( )

Identificación personal ( )

9. ¿Existen extintores de fuego? marque con una x dentro del paréntesis, si cuenta con las siguientes especificaciones

Manuales ( )

Automáticos ( )

No existen. ( )

38

Cuantos ( )

10.¿Existen salidas de emergencia?

a) Si b) No

39

V.- EJECUCIÓN DE AUDITORIA

V.1.- Orden del día y lista de asistencia de la reunión de apertura y cierre.

Figura 5.- Orden del día


Figura 6.- Lista de asistencia de la reunión de apertura y cierre


41

V.2.- Evidencias de la realización de la auditoría (lista de cotejo, cuestionario, etc.).

En este apartado se verán las evidencias de la realización de la Evaluación de Hardware y Software y Evaluación de la Red.

Figura 7.- Lista de Verificación Hardware


42

Figura 8.- Cuestionario evaluación de hardware


43

Figura 9.- Cuestionario evaluación de hardware


44

Figura 10.- Lista de Verificación Software


45

Figura 11.- Cuestionario evaluación de software


Figura 12.- Cuestionario evaluación de software


Figura 13.- Lista de Verificación Red


48

Figura 14.- Cuestionario evaluación red


49



50



51

VI.- MEJORES PRÁCTICAS

VI.1.- ITIL Gestión de Servicios TI

ITIL es un conjunto de las mejores prácticas para la gestión de servicios de TI que

ha evolucionado desde 1989, comenzó como un conjunto de procesos que

utilizaba el gobierno del Reino Unido para mejorar la gestión de los servicios de TI

y ha sido adoptado por la industria, como base de una gestión satisfactoria de los

servicios de TI.

ITIL resume un extenso conjunto de procedimientos de gestión ideados para

ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI.

Estos procedimientos son independientes del proveedor y han sido desarrollados

para servir como guía que abarque toda infraestructura, desarrollo y operaciones

de TI.

El objetivo de ITIL en todas sus disciplinas es la definición de las mejores prácticas

para los procesos y responsabilidades que hay que establecer para gestionar de

forma eficaz los servicios de TI de la organización, y cumplir así los objetivos

empresariales en cuanto a la distribución de servicios y la generación de

beneficios.

ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más

de la Informática para alcanzar sus objetivos corporativos. Esta dependencia en

aumento ha dado como resultado una necesidad creciente de servicios

informáticos de calidad que se correspondan con los objetivos del negocio, y que

satisfagan los requisitos y las expectativas del cliente. A través de los años, el

énfasis pasó de estar sobre el desarrollo de las aplicaciones TI a la gestión de

servicios TI.

La aplicación TI (a veces nombrada como un sistema de información) sólo

contribuye a realizar los objetivos corporativos si el sistema está a disposición de

52

los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los

procesos de mantenimiento y operaciones.

Al auditor en informática toma a ITIL como una de las mejores prácticas; evalúa

contra ésta el área a auditar y emite recomendaciones para que los auditados

emitan estas mejores prácticas.

“A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza

cerca del 70 - 80% del total del tiempo y del coste, y el resto se invierte en el

desarrollo del producto (u obtención).”

Podemos percibir de acuerdo a lo anterior, que los procesos eficaces y eficientes

de la Gestión de Servicios TI se convierten en esenciales para el éxito de los

departamentos de TI. Esto se aplica a cualquier tipo de organización, grande o

pequeña, pública o privada, con servicios TI centralizados o descentralizados, con

servicios TI internos o suministrados por terceros. En todos los casos, el servicio

debe ser fiable, consistente, de alta calidad y de coste aceptable.

VI.1.1.- Centro de Servicio IUDEM

El centro de servicio se preocupa de todos los aspectos que garanticen la

continuidad, disponibilidad y calidad del servicio prestado al usuario.

Es el punto de contacto de toda la organización TI con clientes y usuarios, es por

lo tanto imprescindible que:

Sea fácilmente accesible.

Ofrezca un servicio de calidad consistente y homogénea.

Mantenga puntualmente informados a los usuarios y lleve un registro de

toda la interacción con los mismos.

Sirva de soporte a la institución.

53

ISO/IEC 27001 - Es la certificación que deben obtener las organizaciones. Norma

que especifica los requisitos para la implantación del SGSI. Es la norma más

importante de la familia. Adopta un enfoque de gestión de riesgos y promueve la

mejora continua de los procesos. Fue publicada como estándar internacional en

octubre 2005.

54

VII.- INTERPRETAR LOS RESULTADOS DE LA AUDITORÍA INFORMÁTICA

VII.1.- Informe final de auditoría informática

Nombre de la Institución Auditada


Lugar y Fecha

6 de Octubre de 2010, Ocosingo Chiapas.

Nombre del jefe del área de informática.


De nuestra consideración:

Considerando las atenciones prestadas por parte del Lic. Francisco Paulo Cruz

Santos, procedemos a dar una breve descripción sobre lo que es la auditoria

informática; La auditoría informática es el proceso de recoger, agrupar y evaluar

evidencias para determinar si un Sistema de Información salvaguarda el activo

empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines

de la organización y utiliza eficientemente los recursos.

Este proceso fue realizado en el departamento de informática en las principales

áreas de Redes, Software y Hardware, de la institución educativa IUDEM,

teniendo como fecha de inicio el día 9 de Octubre del año en curso y con una

fecha de término del día 10 de Diciembre del año en curso.

Consideramos importante este proceso ya que es una manera de conocer

posibles debilidades dentro de la institución educativa, principalmente en el área

de informática.

55

Síntesis de la revisión realizada, clasificado en las siguientes secciones:

1. Infraestructura del Centro de Cómputo.

2. Entorno

3. Mobiliario y Equipo

4. Recurso Humano

5. Hardware

6. Software

7. Área de Redes

El contenido del informe ha sido dividido de la siguiente forma a efectos de

facilitar su análisis.

a. Situación. Describe brevemente las debilidades resultantes de nuestro análisis.

b. Efectos y/o implicancias probables. Enuncian los posibles riesgos a que se

encuentran expuestos las operaciones realizadas por el Auditor.

1.- Infraestructura del Centro de Cómputo:

Objetivo:

Dar a conocer el estado actual del centro de cómputo.

a. Situación.

Actual mente la infraestructura del centro de cómputo se encuentra en condiciones

de operar con la capacidad de máquinas antes mencionadas.

b. Efectos y/o implicancias probables.

56

Aumentar el número de equipos de cómputo.

2.- Entorno del Centro de Cómputo:

Objetivo:

Conocer el entorno del centro de cómputo.

a. Situación.

Actualmente el entorno del centro de cómputo se encuentra en un 50% de su

aceptación, debido a que las instalaciones de la institución no son muy

adecuadas ya que no cuenta con el espacio suficiente para operar.


Las posibles implicaciones que esta podría tener es la falta del alumnado ya que

estos buscan comodidad y buenas instalaciones para su instancia.

3.- Mobiliario y Equipo del Centro de Cómputo:

Objetivo:

Dar a conocer el estado actual del mobiliario y equipos del centro de cómputo.

a. Situación.

El centro de cómputo del instituto se encuentra en condiciones aceptables ya que

cada equipo cuenta con un juego de escritorio para su debido funcionamiento.


Sin comentarios.

4.- Recurso Humano del Centro de Cómputo:

Objetivo:

Saber con qué recursos humanos cuenta el centro de cómputo.

57

a. Situación.

Actualmente el centro de cómputo se encuentra en un 25% de su aceptación,

debido a que no existe personal encargado para su administración, ya que el

ingreso a este es bajo la responsabilidad del asesor académico que haga uso de

este.


Uno de los principales efectos que esta puede tener es la perdida de información,

así como el extravió de equipos del laboratorio entre otros factores.

5.- Hardware del Centro de Cómputo:

Objetivo:

Conocer el estado actual del Hardware

a. Situación.

1. El mantenimiento preventivo que se le da a los equipos de cómputo es

a cada seis meses, pero no existe un documento donde especifique:

Fechas de mantenimiento.

Numero de máquinas.

Defectos que estas presenten y que se hayan presentado.

Etc.

2. Los equipos de cómputo que adquieren no cuentan con garantías que

avale su rendimiento.

3. Aseguran que el personal encargado para administrar los equipos de

cómputo cuenta con los conocimientos adecuados para administrar

estos y por consiguiente en el área de soporte técnico, pero en realidad

no existe tal encargado.

4. En cuanto al área de trabajo si cumple con los siguientes requisitos:

Localización física, Aire acondicionado y Rutas de evacuación.

5. La ubicación física del centro de cómputo se encuentra en el área

adecuada para diversos desastres que se presenten.

58

6. Existencia de políticas relacionadas con el ingreso y salida de equipos

de cómputo.

7. Aseguran tener políticas y procedimientos al uso y protección de

hardware, pero en realidad no existe tal documento que avale la

existencia del mismo.

8. En los aspectos de seguridad “dicen” que si cuentan con una

identificación formal, para el punto: Administración del Hardware,

Descripción del Hardware (características básicas), Registro del

hardware instalado, Dados de baja, En proceso de adquisición, etc.;

Pero en realidad no existe un documento que avale su existencia.

Actualmente existen 20 equipos de cómputo en el centro de cómputo, 19

equipos de cómputo se encuentran en buen estado y una se encuentra fuera

de servicio.

Existen 20 reguladores todos se encuentran en buen estado.


1. Uno de los principales efectos que esta puede traernos es la falta de

servicios (acceso a internet, investigaciones, practicas, entre otras),

posibles fallas sin saber sus causas, etc.

2. En caso de presentar fallas no existe manera de hacer devoluciones al

proveedor.

3. Perdida de información, extravió de equipos, mal uso del software,

entre otras.

4. Mal uso de equipos de cómputo, pérdidas de información, daños

físicos.

5. Presentación de daños físicos, ignorancia del hardware (uso,

mantenimiento, funcionalidad, fallas, entre otras), desconocimiento de

59

fechas de eliminación y por consiguiente la adquisición (Fechas,

Cantidad, Proveedor, Costo, etc.).

6.- Software del Centro de Cómputo:

Objetivo:

Conocer las condiciones en que se encuentra el Software del centro de Cómputo

a. Situación.

1. El software que se está usando funcionan correctamente.

2. Uno de los principales puntos a tomar en consideración son las

garantías que el proveedor nos da como requisito de calidad del

producto que adquirimos, por este motivo es desaprobatorio que el

software que se está utilizando no cuente con estos.

3. El software cumple con las expectativas del usuario, por lo tanto es un

producto eficaz.

4. Actualmente la institución “dice contar” con manuales para la

instalación de un nuevo software, pero en realidad no existe tal

documento, por lo tanto se considera desaprobatorio para fines de un

buen servicio.

5. También “dicen contar” con procedimientos para el respaldo de

programas y archivos, en caso de desastres; pero en realidad no existe

tal documento que avale lo antes mencionado.

6. Actualmente cuenta con controles para que solo personal autorizado

tenga acceso a dichos respaldos, no existe tal documento.

7. También tenemos la existencia de políticas y procedimientos para el

uso y protección del software, el cual estas políticas se encuentran

especificadas en este mismo documento.

60

8. En los aspectos de seguridad “dicen” que si cuentan con una

identificación formal, para el punto: Administración del software, y de la

misma manera para Sistemas operativos, Utilerías, Paquetes,

Cuantificación del software (original y copias). pero en realidad no

existe un documento que avale su existencia,

9. Según se aseguran que el sistema en operación cumple formalmente

con los procedimientos de seguridad en el desarrollo del mismo, pero

en realidad esta aseveración no es verdadera por que no cuentan con

un personal encargado para el área de informática.


1. Probabilidad de que el Software sea adquirido de manera ilegal,

Rendimiento inapropiado.

2. Existencia de posibles fallas en el funcionamiento por no contar con: la

características específicas del software tales como: Capacidad (Mb),

Opciones de rendimiento, Pasos para su instalación.

3. Perdida de información total por no contar con especificaciones, en

dichos respaldos.

4. Probabilidad de extravió, robo, de dichos respaldos por falta de

especificaciones.

5. Mal uso del software, extravíos entre otras.

6. Mal funcionamiento de los equipos, por lo tanto un bajo rendimiento.

7.- Área de Redes del Centro de Cómputo:

Objetivo:

Conocer el estado actual del área de Redes

a. Situación.

61

1. Existencia de normas para las siguientes áreas:

a. Aseguran tener procedimientos para conectar nuevos equipos en

la red, pero no es cierto, porque no existe un documento que

avale la existencia de este.

b. Falta de procedimiento para conectar cualquier conexión a

internet, como red telefónica conmutada o internet.

c. Existencia de planes y procedimientos para la introducción de

equipos fuera del horario de servicio.

2. El centro de cómputo cuenta con la seguridad física para el acceso a

este mismo.

3. Aseguran revisar la red de comunicaciones buscando intercepciones, de

lo cual no es posible ya que no existe un procedimiento de cómo se

lleve a cabo este.

4. Existencia de riesgos en la red.

5. El centro de cómputo se encuentra exento de los siguientes puntos:

inundación e incendios.

6. No existe espacio suficiente para los equipos.

7. La conexión a internet es vía inalámbrica, la cual proporciona una

inseguridad indeseable.

8. Existencia de planos de instalación eléctrica.

9. Existencia de reguladores para cada equipo de cómputo.

10.No existe personal encardo para la seguridad de la información.

11.El acceso al laboratorio se lleva a cabo a través de los siguientes

puntos: Vigilante, Registro de entradas e identificación personal.

62

12.No existen extintores de fuego.

13.Existencia de rutas de evacuación.


1. Mal funcionamiento de los dispositivos conectados a la red.

2. Si no existe un procedimiento de cómo monitorear direcciones ip

(Protocolos de internet), es más vulnerable de sufrir pérdidas de

información.

3. Uno de los principales riesgos en que se pueden dar a través de la red

son los robos de información, así como las pérdidas de datos.

4. La falta de espacio para los equipos puede causar daños físicos tanto

para el usuario y el mismo equipo.

5. Uno de los principales efectos es que cualquier persona ajena puede

acceder a la información y disponer de ella lo que quiera.

6. Si no existe una persona indicada para la seguridad de información,

están más propensos a posibles pérdidas de información.

7. Sin la existencia de extintores de fuego, es más posible perder

información por causas de incendios.

A T E N T A M E N T E

TSU. LUIS ARTURO DÍAZ OLETA

TSU. JESÚS VÁZQUEZ GORDILLO

TSU. BERSAIN DE JESÚS OLETA PÉREZ

TSU. TADEUS EDOARDO SARAGOS MORENO

(EQUIPO AUDITOR)

63

VII.- CIERRE Y CONCLUSIÓN DE LA AUDITORIA INFORMÁTICA

VII.1.- Dictamen Final

Elaborado por:

Equipo auditor

Elaborado para:



Introducción

La elaboración de la auditoria en el instituto de la IUDEM, Auditoria en las

áreas de Hardware, Software y de Red en el Centro de Computo del

Instituto Universitario de Estudios de México, se desarrolló con el

cronograma establecido por ambas partes en el contrato de prestaciones de

servicios.

Para esta auditoría se ha considerado las tres áreas de Hardware, Software

y de Red, (software, programas especiales de evaluación informática y

todos los demás elementos del sistema computacional, con el propósito de

evaluar las funciones, operaciones y actividades informáticas que se

realizan, tanto en los propios sistemas computacionales del centro de

cómputo.

64

Aseveraciones

Tabla 6.- Dictamen final de software

Empresa auditada:IUDEM (Instituto Universitario de Estudios de México)


Áreas: Software

Fecha: 06/10/2010

Ref. Situaciones Causas Posibles Soluciones Fec. inicio

Responsable

1Inexistencia de documentos de garantías

No existen garantías para los equipos de cómputo.

Seleccionar a proveedores de prestigio y calidad, que avalen su servicio, a través de garantías válidas.

Desconocido

Director de la institución

2

Falta de documentación para instalaciones de equipos.

No existe un documento en donde se especifiquen los procedimientos para la instalación de un nuevo Hardware.

Realizar un documento con los procedimientos para la instalación de un nuevo Software.

Desconocido


3

Inoperancia en los registros de respaldos de la información del centro de cómputo

No existe la responsabilidad en un solo funcionario

Asignar mediante un formato técnico apropiado la responsabilidad de los respaldos de la información

Desconocido


4

Inexistencia de documentos en el aspecto de seguridad.

No existe un documento en donde se especifiquen los aspectos de seguridad en los siguientes puntos: Administración del software, y de la misma manera para Sistemas operativos, Utilerías, Paquetes, Cuantificación del software (original y copias).

Redactar un documento en donde se especifiquen los aspectos de seguridad en dichos puntos.

Desconocido


5Falta de personal capacitado.

No existe un personal para el laboratorio de cómputo.

DesconocidoDirector de la institución


65

Fuente: Formato por el equipo de auditoría informática.

Se detectó que no se cuenta con garantías que avalen el rendimiento de los

equipos.

No se encuentra documento donde se plasmen los procedimientos para la

instalación de nuevos equipos de cómputo.

Los respaldos no son periódicamente elaborados por una persona asignada

para su responsabilidad.

Se detectó la inexistencia de un documento en donde se especifique los

aspectos de seguridad.

La institución no cuenta con el personal adecuado para el área de

informática.

Tabla 7.- Dictamen final de hardware

Empresa auditada:



Áreas: Hardware

Fecha: 06/10/2010

Ref. Situaciones Causas

Posibles Soluciones Fec. inicio

Responsable

1

Inexistencia de documentos en el aspecto de mantenimiento.

No existe documento en donde se detallen los procedimientos adecuados para el mantenimiento.

Redactar un documento en donde se detallen los requisitos para darle mantenimiento preventivo y correctivo a los equipos de computo

Desconocido


2Inexistencia de documentos de garantías.

No existen garantías para los equipos de cómputo.

Seleccionar a proveedores de prestigio y calidad, que avalen su servicio, a través de garantías válidas.

Desconocido


66

3

Inexistencia de personal encargado del área de cómputo.

No existe un encargado para el área de informática.

Contratación de personal.

Desconocido


4

Inexistencia de documentos, políticas y procedimientos al uso y protección de de hardware.

No existen documentos en donde se especifiquen las políticas y procedimientos para el uso y protección del software.

Redactar un documento en donde se especifiquen las políticas y procedimientos.

Desconocido


5

Falta de documento en el aspecto de seguridad.

No existe documento en donde estén plasmados los siguientes puntos de seguridad: Administración del Hardware, Descripción del Hardware (características básicas), Registro del hardware instalado, Dados de baja, En proceso de adquisición, etc.

Redactar un documento en donde se especifiquen los aspectos de seguridad.

Desconocido



Se detectó que no se cuenta con documentos que avalen el aspecto de

mantenimiento.

Se cuenta con los equipos adecuados pero no existe documentos de

garantías.

Falta de personal capacitado en área del centro de cómputo.

Se detectó la falta de documentos donde se especifiquen las políticas y

procedimientos para el uso y protección del software.

Inexistencia de documentos en el aspecto de seguridad.

67

Tabla 8.- Dictamen final de red

Empresa auditada:IUDEM (Instituto Universitario de Estudios de México)


Áreas: Red

Fecha: 06/10/2010

Ref. Situaciones Causas

Posibles Soluciones Fec. inicio Responsable

1

Inexistencia de documentos de procedimientos para conectar nuevos equipos en la red

No existe documento en donde se detallen los procedimientos para conectar nuevos equipos de cómputo a la red.

Se propone la redacción de estos documentos detallando cada uno de los pasos

Desconocido


2Falta de procedimiento de monitoreo en la red.

No existen procedimientos ni software que colaboren en la administración del mismo.

Adquisición de software, para el monitoreo.

Desconocido


3 Riesgos en la red

No existe una seguridad adecuada en la red.

Contratación de personal capacitado.

Desconocido


4Instalaciones del centro de informática

No existe un espacio adecuado para todos los equipos de cómputo.

Expansión del espacio o infraestructura institucional.

Desconocido


5 Red insegura No existen restricciones para la conexión a internet, por lo cual se torna

Establecer medidas de seguridad en la red.

Desconocido


68

una red insegura.

6Falta de personal capacitado.

No existe un personal encargado de la seguridad informática.

Contratación de personal encargado de la seguridad de la información.

Desconocido


7 Falta de extintores

La inexistencia de extintores puede causar graves consecuencias, en lo que es la información y los equipos.

Adquisición de extintores.

Desconocido



Se detectó que no existen documentos con procedimientos para conectar

nuevos equipos en la red.

Falta de procedimientos que contribuyan en el monitoreo de la red

monitorear la red.

Se detectó riesgos en la red, por no contar con personal especializado.

Las instalaciones no brinda espacio suficiente para los equipos de cómputo.

S e detecto que en la red no existen restricciones para las conexiones.

Se encontró que no cuentan con personal especializado en lo que es la

seguridad del centro de cómputo.

Se encontró la inexistencia de extintores de fuego.

69

VII.2.- Conclusión General de la Auditoria Informática de la áreas Auditadas

Principales debilidades de Seguridad encontradas en el Instituto Universitario de

México

• En general no existe conciencia de Seguridad Informática.

• No existe un Área de Seguridad dedicada a tiempo completo a

proteger la disponibilidad, integridad y confidencialidad de la

información.

• No existen políticas de seguridad a nivel institucional que protejan el

activo “información”.

• No existe segmentación en la arquitectura de la red, los servidores

de producción están en el mismo segmento de red que las

estaciones de trabajo.

• No existe control sobre las carpetas compartidas en la red.

• En la institución no existe un sistema automatizado que permita la

actualización de seguridad en los sistemas operativos.

• La navegación a Internet se realiza desde la red interna lo cual

expone tanto la red interna como todas las redes a las cuales esté

conectado el usuario.

• En la institución no están instalados Sistemas de Prevención o

Detección de Intrusos a nivel de red.

70

VIII.- TOMA DE DECISIONES

La toma de decisiones es el proceso mediante el cual se realiza una elección entre

las alternativas o formas de resolver diferentes situaciones de la vida, estas se

pueden presentar en diferentes contextos: a nivel laboral, familiar, sentimental y

empresarial (utilizando métodos cuantitativos que brinda la administración). La

toma de decisiones consiste básicamente, en elegir una alternativa entre las

disponibles, a los efectos de resolver un problema actual o potencial.

VIII.1.- Reconocimiento del problema

En esta etapa se reconoce el problema existente en el Instituto Universitario de

Estudios de México IUDEM, mediante el proceso de auditoria en las áreas de

Redes, Hardware y Software de la institución. El problema detectado implica una

amenaza para la institución si no se llegaran a tomar alternativas de solución para

la erradicar estos problemas.

El Instituto Universitario de Estudios de México IUDEM cuenta con muy pocos

equipos de cómputo, para ofrecer servicios informáticos. Los usuarios de estos

equipos demandan contar con una infraestructura de cómputo y de

comunicaciones de alta disponibilidad y con capacidades de crecimiento.

Sin embargo, cada equipo de cómputo del laboratorio de informática le cuesta al

IUDEM casi $15.000 pesos, lo cual incluye mantenimiento, administración y

licencias de hardware y software.

De acuerdo a investigación de auditoria, muchos de los equipos de cómputo son

comunes que corran entre un 20% y 25% de utilización, lo cual representa una

subutilización de su capacidad. De ahí la necesidad de recurrir a tecnologías

71

emergentes como la virtualización que ayudan a reducir el costo total de propiedad

en TI y a contar con un alto retorno de inversión.

VIII.2.- Interpretación del problema

En esta etapa el equipo auditor examina si las probables amenazas u

oportunidades son lo suficiente importante como para justificar el esfuerzo de

tomar una decisión al respecto.

Aquí se define la prioridad basándose en el impacto y en la urgencia que se tiene

para atender y resolver el problema.

VIII.3.- Atención al problema

En esta etapa el equipo auditor desarrolla distintas posibles soluciones al problema.

Tomando en cuenta la auditoría realizada en el Instituto Universitario de Estudios

de México IUDEM en las áreas de Redes, Software y Hardware, se realizan las

siguientes propuestas de mejora para cada área auditada, mediante análisis

minucioso de la interpretación de los problemas obtenidos en proceso de

auditoría.

A continuación se hace un listado de las posibles tecnologías que se podrían

implementar para la solución de dicho problema las cuales son:

La Virtualización

El Cloud

La Virtualización de Escritorios

Variabilización del factor forma en el Hardware

Software 'Low Cost'

72

Para generar estas alternativas de solución, fue necesario el uso de técnicas tales

como la lluvia de ideas, donde se analizaron y valoraron los mismos considerando

las ventajas y limitaciones de cada alternativa.

VIII.4.- Cursos de acción

En esta etapa se pone en marcha la decisión tomada para así poder evaluar si la

decisión fue o no acertada.

En nuestro caso como auditores llegamos a la conclusión de utilizar tecnologías

emergentes que ayuden a realizar las actividades de manera eficiente dentro de la

institución, procurando el ahorro de tiempo, esfuerzo y por supuesto en lo

económico ya que este es un factor muy importante en el desarrollo de

organizaciones. La alternativa de solución que brinda todo lo anterior es la

virtualización.

VIII.5.- Consecuencias

Después de poner en marcha la decisión es necesario evaluar si soluciono o no el

problema, es decir si la decisión está teniendo el resultado esperado.

Los resultados que nosotros como equipo auditor esperamos al implantar esta

tecnología emergente es:

La protección de datos que incluya procesos de respaldo y restauración

ininterrumpidos.

Alta disponibilidad a través de caídas del sistema planeadas y no

planeadas.

Recuperación de desastre con recuperación independiente del hardware.

Debe consolidar servidores.

Reducir costos en la adquisición de equipos de cómputo.

73

Mejorar la continuidad de la institución.

Mejorar la infraestructura de la institución.

Llegar a hacer líderes en la educación mediante implantación de

tecnologías emergentes de alto impacto en la educación.

Modificar los estándares referentes al cómputo en servidores y sistemas de

escritorio.

VIIII.- PROPUESTA DE SOLUCIÓN BASADA EN TECNOLOGÍAS EMERGENTES

Tomando en cuenta la auditoría realizada en el Instituto Universitario de Estudios

de México IUDEM en las áreas de Redes, Software y Hardware, procedemos a

realizar las siguientes propuestas de mejora para cada área auditada ya que se

hizo un análisis minucioso de los resultados obtenidos en dicha auditoria, y se

llegó a la conclusión que el instituto necesita tecnologías emergentes que ayuden

a realizar sus actividades de manera eficiente, procurando el ahorro de tiempo,

esfuerzo y por supuesto en lo económico ya que este es un factor muy importante

en el desarrollo de organizaciones.

A continuación se hace un listado de las posibles tecnologías que se podrían

implementar las cuales son:

La Virtualización

El Cloud

La Virtualización de Escritorios

Variabilización del factor forma en el Hardware

Software 'Low Cost'

74

VIIII.1.- Cuadro Comparativo

Tabla 9.- Cuadro Comparativo de Tendencias Tecnológicas

Virtualización Cloud Computing (Nubes de Computación)

Ventajas Rápida incorporación de nuevos recursos para los servidores virtualizados.

Reducción de los costes de espacio y consumo necesario de forma proporcional al índice de consolidación logrado.

Reducción de los costes de TI gracias al aumento de la eficiencia y la flexibilidad en el uso de recursos.

Administración global centralizada y simplificada.

Nos permite gestionar nuestro CPD como un pool de recursos o agrupación de toda la capacidad de procesamiento, memoria, red y almacenamiento disponible en nuestra infraestructura

Mejora en los procesos de clonación y copia de sistemas: Mayor facilidad para la creación de entornos de test que permiten poner en marcha nuevas aplicaciones sin impactar a la producción, agilizando el proceso de las pruebas.

Aislamiento: un fallo general de sistema de una máquina virtual no afecta al resto de máquinas virtuales.

No sólo aporta el beneficio directo en la reducción del hardware necesario, así como de sus costes asociados

Integración probada de

servicios Red. Prestación de servicios a nivel

mundial. Una infraestructura 100% de

"Cloud Computing" no necesita instalar ningún tipo de hardware.

Implementación más rápida y con menos riesgos.

Actualizaciones automáticas que no afectan negativamente a los recursos de TI.

75

Reduce los tiempos de parada.

Migración de máquinas virtuales (sin pérdida de servicio) de un servidor físico a otro, eliminando la necesidad de paradas planificadas por mantenimiento de los servidores físicos.

Balanceo dinámico de máquinas virtuales entre los servidores físicos que componen el pool de recursos, garantizando que cada máquina virtual ejecute en el servidor físico más adecuado y proporcionando un consumo de recursos homogéneo y óptimo en toda la infraestructura.

Alto grado de satisfacción general.

Desventajas Rendimiento inferior. No dispondremos de

aceleración de vídeo por hardware.

La avería del servidor anfitrión de virtualización afecta a todas las máquinas virtuales alojadas en él.

No es posible utilizar hardware que no esté gestionado o soportado por el hypervisor.

La centralización de las aplicaciones y el almacenamiento de los datos origina una dependencia de los proveedores de servicios.

La disponibilidad de las aplicaciones está atadas a la disponibilidad de acceso a internet.

Los datos "sensibles" del negocio no residen en las instalaciones de las empresas por lo que podría generar un contexto de alta vulnerabilidad para la sustracción o robo de información.

La confiabilidad de los servicios depende de la "salud" tecnológica y financiera de los proveedores de servicios en nube. Empresas emergentes o alianzas entre empresas podrían crear un ambiente propicio para el monopolio y el crecimiento exagerado en los servicios.

La disponibilidad de servicios altamente especializados podría tardar meses o incluso años para que sean factibles de ser desplegados en la red.

La madurez funcional de las aplicaciones hace que continuamente estén

76

modificando sus interfaces por lo cual la curva de aprendizaje en empresas de orientación no tecnológica tenga unas pendientes pequeñas.

Seguridad. La información de la empresa debe recorrer diferentes nodos para llegar a su destino, cada uno de ellos ( y sus canales) son un foco de inseguridad. Si se utilizan protocolos seguros, HTTPS por ejemplo, la velocidad total disminuye debido a la sobrecarga que requieren estos protocolos.

Escalabilidad a largo plazo. A medida que más usuarios empiecen a compartir la infraestructura de la nube, la sobrecarga en los servidores de los proveedores aumentará, si la empresa no posee un esquema de crecimiento óptimo puede llevar a degradaciones en el servicio o jitter altos.


VIIII.1.1- Descripción de las Alternativas Seleccionadas

1. La Virtualización: Permite usar dispositivos simples como soporte de

aplicaciones complejas. Se refiere a la disponibilidad de tecnologías capaces

de ofrecer virtualización de aplicaciones, entornos, y equipos, lo que permitirá

acceder a una amplísima gama de servicios sin obligar al usuario a contar con

múltiples dispositivos que requieren sustitución y actualización.

La virtualización transforma los recursos de hardware de una computadora

tales como el CPU, RAM, disco duro y controlador de red en una máquina

virtual completamente funcional que pueda correr su propio sistema operativo y

aplicaciones como si fuera una computadora real.

La vitalización, que permite usar dispositivos simples como soporte de

aplicaciones complejas. Se refiere a la disponibilidad de tecnologías capaces

77

de ofrecer vitalización de aplicaciones, entornos, y equipos, lo que permitirá a

una amplísima gama de servicios sin obligar al usuario a contar múltiples

dispositivos que requieren sustitución y actualización.

2. El Cloud (o nubes de computación) que aspira a convertirse en

infraestructura básica sobre la que se ejecutan las aplicaciones informáticas

aprovechando la disponibilidad de comunicación y el abaratamiento de los

componentes electrónicos.

En este tipo de computación todo lo que puede ofrecer un sistema informático

se ofrece como servicio, de modo que los usuarios puedan acceder a los

servicios disponibles "en la nube de Internet" sin conocimientos (o, al menos

sin ser expertos) en la gestión de los recursos que usan.

VIIII.2.- Determinar la Tecnología de Emergente a Implantar

El Instituto Universitario de Estudios de México IUDEM cuenta con muy pocos

equipos de cómputo, para ofrecer servicios informáticos. Los usuarios de estos

equipos demandan contar con una infraestructura de cómputo y de

comunicaciones de alta disponibilidad y con capacidades de crecimiento.

Sin embargo, cada equipo de cómputo del laboratorio de informática le cuesta al

IUDEM casi $15.000 pesos, lo cual incluye mantenimiento, administración y

licencias de hardware y software.

De acuerdo a investigación de auditoria, muchos de los equipos de cómputo es

común que corran entre un 20% y 25% de utilización, lo cual representa una

subutilización de su capacidad. De ahí la necesidad de recurrir a tecnologías

emergentes como la virtualización que ayudan a reducir el costo total de propiedad

en TI y a contar con un alto retorno de inversión.

78

Con la virtualización no solamente se pretende reducir costos en el crecimiento de

los equipos de laboratorio sino que se busca mejorar la calidad de atención de los

usuarios.

VIIII.2.1.- Descripción de la Virtualización

La virtualización transforma los recursos de hardware de una computadora, tales

como el CPU, RAM, Disco Duro y Controlador de Red en una máquina virtual

completamente funcional que pueda correr su propio sistema operativo y

aplicaciones como si fuera una computadora real.

La virtualización promete hacer los negocios más ágiles, más seguros, más

eficientes, más disponibles y más productivos.

Una máquina virtual (VM) es un contenedor de software firmemente aislado que

corre sus propios sistemas operativos y aplicaciones como si fuera una

computadora física.

Las máquinas virtuales trabajan mediante hypervisor que es una capa delgada de

software que corre arriba del hardware de la computadora y debajo de uno o más

sistemas operativos, su propósito principal es proveer ambientes de ejecución

aislados llamados particiones.

El hypervisor es un simple binario que contiene varios componentes como el

scheduler, para la administración de particiones y la administración del procesador

virtual.

Al emplear la tecnología de máquinas virtuales se obtienen los siguientes

beneficios claves: aislamiento, estandarización, consolidación, facilidad de prueba

y movilidad.

Una infraestructura virtualizada mejora la continuidad del negocio y automatiza el

mantenimiento.

La virtualización dentro del laboratorio del IUDEM pretende soluciones que

buscan:

79


ininterrumpidos.


planeadas.


VIIII.2.2.- Objetivos

Al implementar la virtualización en el Instituto Universitario de Estudios de México

IUDEM se pretende los siguientes objetivos:


ininterrumpidos.


planeadas.


Debe consolidar servidores.

Reducir costos en la adquisición de equipos de cómputo.

Mejorar la continuidad de la institución.

Mejorar la infraestructura de la institución.

Llegar a hacer líderes en la educación mediante implantación de

tecnologías emergentes de alto impacto en la educación.

Modificar los estándares referentes al cómputo en servidores y sistemas de

escritorio.

VIIII.2.3.- Actores

Aquí haremos mención de las áreas de la institución y elementos que se

involucran en la implantación y uso de la tendencia de Virtualización.

80

Las áreas más involucradas con la implantación de esta tecnología emergente

son los siguientes: Informática, Finanzas, Desarrollo y Mercadotecnia.

VIIII.2.4.- Alcances

La infraestructura virtual que dará como resultado disminución de costos,

aumento de eficiencia y tiempo de respuesta.

La infraestructura virtualizada mejora la continuidad de la institución

La protección de datos mediante infraestructura virtualizada incluyen

procesos de respaldo y restauración ininterrumpidos.

La infraestructura virtual ofrece alta disponibilidad a través de caídas del

sistema planeadas y no planeadas.

VIIII.2.5.- Definición de los tiempos

El tiempo en que se tardara para implementar esta tendencia dentro de la

institución es de 3 meses, con una capacitación de un mes y se plantea que el

tiempo de vida útil sea de 10 años.

VIIII.2.6.- Costo-valor-beneficio

El análisis costo/beneficio es el proceso de colocar cifras en pesos en los

diferentes costos y beneficios de una actividad utiliza medidas cuantitativas para

evaluar los costos y beneficios de los S.I.

Este criterio se recomienda usualmente para evaluar sistemas cuyos costos y

beneficios primarios son tangibles.

La técnica de análisis costo/beneficio tiene como objetivo fundamental

proporcionar una medida de los costos en que se incurre en la realización de un

81

proyecto y comparar dichos costos previstos con los beneficios esperados en la

realización de dicho proyecto.

Se debe utilizar el Análisis Costo / Beneficio al comparar los costos y beneficios

de las diferentes decisiones. Un Análisis de Costo / Beneficio por si solo puede no

ser una guía clara para tomar una buena decisión. Existen otros puntos que

deben ser tomados en cuenta, ej. la moral de los empleados, la seguridad, las

obligaciones legales y la satisfacción del cliente.

El análisis Costo/Beneficio involucra los siguientes seis pasos:

1.- Llevar a cabo una lluvia de ideas o reunir datos provenientes de factores

importantes relacionados con cada una de sus decisiones.

2.- Determinar los costos relacionados con cada factor. Algunos costos, como la

mano de obra serán exactos mientras que otros serán estimados.

3.- Sumar los costos totales para cada decisión propuesta.

4.- Determinar los beneficios en dólares para cada decisión.

5.- Poner las cifras de los costos y beneficios totales en la forma de una relación

donde los beneficios son el numerador y los costos son el denominador:

Costo/Beneficio.

El cuerpo académico y el director de la IDEM decidieron aumentar el rendimiento

de los equipos adquiriendo equipo con características superiores, para que en

este mismo alojaran algunos servicios extras. El nuevo equipo permitirá el

alojamiento de múltiples servicios y para realizar este se necesita personal

capacitado para manipular el mismo. El análisis de Costo / Beneficio del cuerpo

académico el primer año es el siguiente.

82

Tabla 10.- Valor-costo-beneficio de la Virtualización

Costos Beneficios

Virtualización Mayor demanda estudiantil

Adquisición del equipo. $35,000.00 Consolidación de

sistemas operativos

$25,000.00

Contratación de personal

experto.

$60,000.00 Crecimiento del

alumnado

$45,000.00

Adquisición de nuevos

libros de mantenimiento.

$2,000.00

Publicidad de servicios $6,000.00 Crecimiento del

alumnado

$45,000.00

Servicios de

mantenimiento

$1,600.00

Costos totales $98,600.00 Beneficios totales $115,000.00


Este análisis hizo que el cuerpo académico hiciera una pausa para pensar.

Estaban muy entusiasmados con la idea de contratar a un experto y los cálculos

demostraron un beneficio deseable para el primer año (19,000). Sin embargo, la

relación beneficios a costos es de $1.11 de retorno por cada peso gastado. Este

sería un retorno positivo.

VIIII.2.7.- Construcción/Interpretación

Aunque es deseable que los beneficios sean más grandes que los costos, no

existe una respuesta única de cuál es la relación ideal de beneficio a costo.

83

Como se indicó anteriormente, los beneficios tales como la moral de los

empleados, las responsabilidades legales, y la seguridad pueden ser beneficios

escondidos que no son evidentes en el análisis original.

VIIII.2.8.- Punto de equilibrio

Observar el punto de equilibrio para realizar un esfuerzo por mejorar es una de las formas más sencillas de hacer el análisis de Costo/ Beneficio. El punto de equilibrio es el tiempo que tomaría para que el total de los ingresos incrementados y/o la reducción de gastos sea igual al costo total. Sin embargo, no toma en cuenta el valor del dinero en el tiempo.

Fórmula: PE = (Costo / Total Ingresos incrementados y/o reducción de gastos) x 12 (Meses)

Costo = $98,600.00

Total de ingresos = $115,000.00

PE = (98600/115000)* 12 meses

El Punto de Equilibrio es: 10.2886

VIIII.3.- Diagnóstico de la situación actual del uso de las T.I. en los procesos

de la organización.

Actualmente la institución cuenta con un laboratorio con 20 computadoras, 19

están en servicio y una se encuentra fuera de, estas están bajo la plataforma

Windows. También cuenta con 20 reguladores todos en buen estado. Se cuenta

con servicio de internet el cual es vía inalámbrica con un ancho de banda de 2mb.

VIIII.4.- Justificación de la viabilidad de la Virtualización

84

Las máquinas virtuales suelen encapsularse en ficheros, esto otorga una

importante flexibilidad a los despliegues, ya que el salvado, copia o eliminación de

los encapsulados virtuales es rápida, cómoda y sencilla. Luego de aquí se

deducen dos importantes ventajas: flexibilidad y escaso o nulo tiempo de

recuperación ante un incidente.

Por otro lado, las máquinas virtuales pueden contener sistemas de muy distinta

índole: es absolutamente posible y factible tener en nuestro servidor de

virtualización, coexistiendo, una solución Windows, otra Linux, un BSD y un

Solaris, por ejemplo, todo ello en una única máquina física. De aquí emanan otras

dos ventajas: bajo coste y aprovechamiento óptimo de los recursos.

La disociación entre lo físico y lo virtual permite obtener otras ventajas. La

principal es la seguridad, ya que las máquinas virtuales sólo pueden comunicarse

con otras máquinas virtuales y con el exterior a través de conexiones

correctamente configuradas. Esto hace ideales a las máquinas virtuales como

cajas de arena experimentales, en las que es posible contaminar un sistema y

observar su comportamiento con fines de conocer la seguridad del mismo.

Además de lo anterior brinda:

Aislamiento: las máquinas virtuales son totalmente independientes, entre sí

y con el hypervisor. Por tanto un fallo en una aplicación o en una máquina

virtual afectará únicamente a esa máquina virtual. El resto de máquinas

virtuales y el hypervisor seguirán funcionando normalmente.

Seguridad: cada máquina tiene un acceso privilegiado (root o

administrador) independiente. Por tanto, un ataque de seguridad en una

máquina virtual sólo afectará a esa máquina.

Flexibilidad: podemos crear las máquinas virtuales con las características

de CPU, memoria, disco y red que necesitemos, sin necesidad de

“comprar” un ordenador con esas características. También podemos tener

máquinas virtuales con distintos sistemas operativos, ejecutándose dentro

de una misma máquina física.

85

Agilidad: la creación de una máquina virtual es un proceso muy rápido,

básicamente la ejecución de un comando. Por tanto, si necesitamos un

nuevo servidor lo podremos tener casi al instante, sin pasar por el proceso

de compra, configuración, etc.

Portabilidad: toda la configuración de una máquina virtual reside en uno o

varios ficheros. Esto hace que sea muy fácil clonar o transportar la máquina

virtual a otro servidor físico, simplemente copiando y moviendo dichos

ficheros que encapsulan la máquina virtual.

Recuperación rápida en caso de fallo: si se dispone de una copia de los

ficheros de configuración de la máquina virtual, en caso de desastre la

recuperación será muy rápida, simplemente arrancar la máquina virtual con

los ficheros de configuración guardados. No es necesario reinstalar,

recuperar backups y otros procedimientos largos que se aplican en las

máquinas físicas.

VIIII.6.- Mejoras a los procesos realizados en la institución basándose en los lineamientos del ITIL

Al emplear la tecnología de máquinas virtuales se obtienen los siguientes

beneficios: aislamiento, estandarización, consolidación, facilidad de prueba

y movilidad.

Las máquinas virtuales son un block de construcción fundamental de

soluciones más grandes como la infraestructura virtual que representa los

recursos de hardware interconectados de una infraestructura de TI – que

incluye computadoras, dispositivos de red y recursos de almacenamiento

compartido - lo cual mejora la disponibilidad, seguridad y administración.

La virtualización puede hacer los procesos y/o actividades más ágiles, más

seguras, más eficientes, más disponibles y más productivas.

86

En cuanto a aprovechamiento del hardware, un mal extendido en los CPDs

actuales es el gran número de servidores, muchos de ellos infrautilizados.

Si se virtualiza un número de esos sistemas infrautilizados en un solo

servidor físico, se ahorrará energía, espacio, capacidad de refrigeración y

administración, debido a que se ha reducido el número de servidores

físicos.

Una máquina virtual (VM) es un contenedor de software firmemente aislado

que corre sus propios sistemas operativos y aplicaciones como si fuera una

computadora física.

Todas estas ventajas tienen un precio, que consiste fundamentalmente en

una pérdida de rendimiento, es decir, una aplicación generalmente correrá

más despacio en una máquina virtual que en un servidor físico. La

degradación dependerá de la tecnología de virtualización utilizada, de la

configuración realizada a nivel hypervisor y de la propia aplicación. Por

regla general, las aplicaciones que más repercuten la pérdida de

rendimiento son las que realizan operaciones frecuentes de entrada/salida.

Otro aspecto a tener en cuenta es que la máquina física deberá contar con

suficiente memoria para poder arrancar todas las máquinas virtuales. Si

queremos crear, por ejemplo, 20 máquinas virtuales en un servidor físico y

que estén funcionando simultáneamente, hay tecnologías que permiten

hacerlo con 1 sola CPU física (HP Integrity Virtual Machines). Pero al

menos necesitaremos 1 GB de memoria para cada máquina virtual, más la

requerida por el hypervisor, lo que daría lugar a unos requerimientos de

unos 22 GB de memoria. Es decir, necesitaríamos un servidor con 1 CPU y

22 GB de memoria (lo que es una configuración bastante extraña).

87

CONCLUSIÓN

El trabajo realizado ha servido par a ver un panorama de la situación de la

Auditoria en Informática, muchas veces se habla de controles y de seguridad pero

pocas veces uno se concientiza de que estos son de poca utilidad si no se les

evalúa objetivamente, el mundo hoy en día avanza tan rápidamente que la

tecnología se vuelve anticuada u obsoleta con gran facilidad y las empresas

buscan estar a la vanguardia de esta tecnología para así ser más competitivas,

pero el tener la última tecnología no significa que esta sea utilizada correctamente

o muchas veces que la necesitemos realmente.

El concientizar a las empresas sobre la importancia de la Auditoria en Informática

es el primer paso para una adecuada implementación de controles y de TI, porque

debemos tener en cuenta que actualmente las empresas no sobreviven si no es

con la tecnología de información y si esta es poco eficaz, o bien insuficiente, hace

menos completa a las empresas, sin importar que tan grande sea su avance

tecnológico este no deja de ser operado por un ser humano directa o

indirectamente, por lo que una correcta evaluación nos puede ayudar a explotar

mejor cada herramienta tecnológica que tengamos a nuestro alcance.

Por esta y muchas otras razones se decidió llevar a cabo una Auditoria Informática

en el Instituto Universitario de Estudios de México (IUDEM), ubicado en Ocosingo

Chiapas, auditando tres principales áreas las cuales son: Hardware, Software y

Red.

En el análisis minucioso que se le hizo a los resultados obtenidos de la Auditoria,

se detectaron muchas irregularidades en el funcionamiento de las áreas

mencionadas anteriormente, para tales irregularidades se procedió a proponer

mejoras o innovaciones con respecto los servicios que esta brinda, para esto se

tomó la decisión de implementar la Virtualización, la cual esta es una tecnología

88

emergente que está disponible para todas aquellas organizaciones deseosas

brindar un mejor servicio.

Durante este tiempo aprendimos cosas nuevas como el de tener idea de lo que

implica trabajar en una empresa y lo que conlleva sacar adelante un proyecto, por

otra parte hay que recalcar que en la mayoría de los proyectos se presentan

dificultades y obstáculos durante el proceso de la misma, y nuestro caso no fue la

excepción por que al igual se presentaron algunas dificultades en la realización de

algunas tareas y/o actividades, la cual fue un obstáculo que afortunadamente no

paso a mayores gracias a los apuntes y los manuales que teníamos a la mano y

no hay que olvidar que todo lo aprendido en las aulas nos permitió realizas

actividades con el mínimo error posible.

La información que contiene este documento fue realizado desde el momento en

que el equipo desarrollador del proyecto se presentó en la IUDEM, cabe

mencionar que todo este trabajo fue producto de investigaciones, recopilación de

información mediante encuestas y entrevistas directas con el director del Instituto.

Además agradecemos ampliamente a la Universidad Tecnológica de la Selva

porque fue el punto clave para el desarrollo profesional dándonos la oportunidad

de desempeñar la actividad dentro del organismo social logrando adquirir nuevos

conocimientos que nos serán de utilidad para el día de mañana.

89

BIBLIOGRAFÍA AUDITORÍA

Artículo: “Auditoria en Informática.”

Fecha de publicación: 21-Enero-2002

Dirección URL: http://dmi.uib.es/~bbuades/auditoria/sld003.htm

Artículo: “La Auditoria Informática: métodos, reglas, normas.”

Autor: Thorin, Marc

Fecha de publicación: Diciembre 1997

Dirección URL: http://html.rincondelvago.com/auditoria-informatica_1.html

Artículo “Mejores prácticas de la auditoria informática.”

Dirección URL: http://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-

organo-legislativo/ch03s02.html

Artículo “Fundamentos de la Gestión TI.”

Autor: María Teresa

Fecha de publicación: 28/03/2007

Dirección URL:

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_T

I/que_es_ITIL/q ue_es_ITIL.php

CLOUD COMPUTING (NUBES DE COMPUTACIÓN)

http://es.wikipedia.org/wiki/Computaci%C3%B3n_en_nube

http://www.itnews.ec/marco/000035.aspx

http://redusers.com/expandit/seguridad-en-la-nube/

90

http://redusers.com/expandit/seguridad-en-la-nube/


http://es.wikipedia.org/wiki/Computaci%C3%B3n_en_nube

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/q%20ue_es_ITIL.php

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/q%20ue_es_ITIL.php

http://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s02.html

http://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s02.html

http://html.rincondelvago.com/auditoria-informatica_1.html

http://www.arturogoga.com/2010/05/11/especial-cloud-computing-o-computacion-

en-nube-que-es-para-qu-sirve/

VIRTUALIZACIÓN

http://www.techweek.es/virtualizacion/tech-labs/1003109005901/ventajas-

desventajas-virtualizacion.1.html









http://www.virtualizados.com/10-desventajas-de-la-virtualizacion









91

http://www.techweek.es/virtualizacion/tech-labs/1003109005901/ventajas-desventajas-virtualizacion.4.html

http://www.techweek.es/virtualizacion/tech-labs/1003109005901/ventajas-desventajas-virtualizacion.4.html

http://www.arturogoga.com/2010/05/11/especial-cloud-computing-o-computacion-en-nube-que-es-para-qu-sirve/

http://www.arturogoga.com/2010/05/11/especial-cloud-computing-o-computacion-en-nube-que-es-para-qu-sirve/

ANEXOS

92

AUDITORIA DE TI EN EL INSTITUTO UNIVERSITARIO DE ESTUDIOS DE MÉXICO [IUDEM]

Documents

Transcript of AUDITORIA DE TI EN EL INSTITUTO UNIVERSITARIO DE ESTUDIOS DE MÉXICO [IUDEM]