Este documento presenta el plan de prácticas pre-profesionales para realizar una auditoría de red informática en el Centro de Salud Pueblo Joven Centenario en Abancay. El objetivo general es desarrollar un modelo de gestión mediante la verificación de vulnerabilidades y riesgos en la red. Se utilizará la metodología COBIT para la planificación, ejecución e informe de la auditoría. La auditoría evaluará aspectos como la seguridad, recursos humanos y sistemas informáticos para mejorar el control y toma de
1. UNIVERSIDAD TECNOLÓGICA DE
LOS ANDES
FACULTAD DE INGENIERÍA
CARRERA PROFESIONAL DE INGENIERÍA DE SISTEMAS E
INFORMÁTICA
PLAN DE
PRACTICAS PRE-PROFESIONALES
ASESOR:
ING. YURI ARGAMONTE HUAMANI
PRESENTADO POR:
ANATOLY ROZAS CORDOVA
ABANCAY – PERU
2014
2. ÍNDICE.
1. Título de la Practica....................................3
2. Justificación............................................3
2.1. Justificación Social................................3
2.2. Justificación Económica.............................3
2.3. Justificación Técnica...............................4
3. Objetivos................................................4
3.1. Objetivo General....................................4
3.2. Objetivos secundarios...............................5
4. Marco teórico de la Practica.............................5
4.1. Auditoria...........................................5
4.2. Auditoria interna...................................5
4.3. Auditoria externa...................................5
4.4. Auditoria informática...............................6
5. Metodología..............................................7
5.1. COBIT.............................................. 8
a) Planeamiento.....................................9
b) Ejecución........................................9
c) Formulación Del Informe.........................10
d) Estructura del Informe..........................10
6. Presupuesto y Cronograma................................11
a) Presupuesto..........................................11
b) Cronograma...........................................12
7. Bibliografia............................................13
3. 1. TITULO DE LA PRACTICA
Prácticas Pre-Profesionales (PPP) - Auditoria de red
informática - Centro de Salud Pueblo Joven Centenario-
Abancay
2. JUSTIFICACIÓN
2.1. Justificación Social
Las redes de área local van tomando un papel muy
importante en la sociedad en lo referente a la
transferencia y acceso a la información. En la
actualidad el desarrollo de la sociedad está enmarcada
en un nivel tecnológico: “la tecnología no se puede
distinguir fácilmente de lo humano pues se tiene
dentro, cerca, fuera lo habitamos y nos habita”.
Hoy en día se considera a las redes como
indispensables por que permiten la transmisión de toda
clase de información, pero también facilitan el acceso
de intrusos que desean abusar de la red. La simple
encripcion con llaves estáticas no es suficiente para
proteger una red. Es por ello que es necesario un
modelo de auditoria de seguridad ya que si la
tecnología va en aumento también el riesgo va
aumentando.
2.2. Justificación Económica
4. Una metodología de auditoria de redes, facilita el
control de la información en la empresa u organización.
Para una mejor productividad empresarial, los
responsables de los sistemas que usan los distintos
departamentos o areas de negocio, deben conocer los
riesgos derivados de una inadecuada administración de
la información lo que puede causar pérdidas económicas
en la empresa y organización. Una auditoria de red
ayudara ayer como se están empleando los recursos de la
red.
2.3. Justificación Técnica
Es elevado el porcentaje de redes que son instaladas
sin tener consideración la seguridad, convirtiendo las
mismas en redes abiertas o vulnerables, sin proteger la
información que por ellas circulan.
Todos los sistemas de comunicación, desde el punto de
vista de auditoria, presentan en general una
problemática común: la información transita por lugares
alejados de las personas responsables.
Esto presupone un compromiso en la seguridad ya que no
existen procedimientos para garantizar la
inviolabilidad de la información.
Por causas fraudulentas, es posible interceptar la
información por lo cual es importante un modelo de
auditoria para encontrar los puntos de acceso
vulnerables a nuestra red
3. OBJETIVOS
5. 3.1. Objetivo General
Desarrollar una auditoria de red informática como un
modelo de gestión para el Centro de Salud Pueblo
Joven centenario con la finalidad de verificar la
vulnerabilidad, riesgos en las redes de computadoras
y ayudar a toma de decisiones.
3.2. Objetivos secundarios
Ayudar a descubrir y planificar las medidas
oportunas para mantener los riesgos bajo control.
Evaluar la red
garantizar el control de todos los puntos de
acceso a la red
establecer políticas de seguridad
4. MARCO TEORICO DE LA PRACTICA
4.1. Auditoria
La auditoría es una función de dirección cuya finalidad es
analizar y apreciar, con vistas a las eventuales las
acciones correctivas, el control interno de las
organizaciones para garantizar la integridad de su
patrimonio, la verdad de su información y el mantenimiento
de la eficacia de sus sistemas de gestión.
Normalmente se puede hablar de:
4.2. Auditoria interna
Es realizada con medios y recursos propios de la
organización por un departamento propio de la empresa en el
caso de que se haya creado y cumpla con todos los
requisitos necesarios para realizar de forma fehaciente y
clara sus funciones.
6. Este equipos deberá estar formado por expertos en la
materia y deberán dar cuenta ante el responsable.
4.3. Auditoria externa
Es realizada con medios y recursos ajenos, normalmente
remunerada como un servicio contratado, participa un
profesional de este campo de formar independiente y con una
experiencia y perfil contrastado para poder realizar esa
función.
4.4. Auditoria informática
Según Ron Weber en Auditing Coneptual Foundations And
Parctice, la auditoria informática.
Es la revisión y evaluación de los controles, sistemas y
procedimientos de la información de los equipos de cómputo,
su utilización, eficacia y seguridad; de la organización
que participa en el procesamiento de la información a fin
de que por medio del señalamiento de cursos alternativos se
logre una utilización más eficiente, confiable y segura de
la información que sirve para una adecuada toma de
decisiones.
Es un con junto de procedimientos y técnicas para evaluar
y controlar parcialmente un sistema informático, con el fin
de proteger sus activos y recursos, verificar es sus
actividades se desarrollan eficientemente y de acuerdo con
la normativa informática y general existente en cada
empresa y para conseguir la eficacia exigida en el marco de
la organización correspondiente y estableciendo
recomendaciones y planes de acción para la eliminación de
aquellas.
La auditoría informática tiene la función de:
7. Vigilancia y evaluación mediante dictámenes y todas
sus metodologías van encaminadas a esta función.
Tiene sus propios objetivos distintos a los auditores
de cuentas, aunque necesarios para que estos puedan
utilizar la información de sus sistemas para sus
evaluaciones financieras y operativas.
Operan según el plan auditor.
Utilizar metodologías de valuación de tipo
cualitativo con la característica de las pruebas de
auditoria.
Establecen planes quincenales como ciclos completos.
Sistemas de valuación de repetición de la auditoria
por nivel de exposición del área auditada y el
resultado de la última auditoria de esta área.
La función de soporte informático de todos los
auditores aunque no se debe pensar con esto
que la auditoria informática consiste en solamente.
5. METODOLOGÍA
Para el desarrollo del presente trabajo de investigación
utilizare diferentes métodos y técnicas según la etapa.
El método utilizando en el presente trabajo de
investigación. Está basado en el método científico.
Se va hacer un estudio a la institución entrevistando a
los encargados de las áreas receptivas.
Revise diferentes metodologías, normas y buenas prácticas
para auditar las redes.
Dichas metodologías y normas son las siguientes:
ISO 27002.
COBIT 4.1.
Funcionamiento de las redes.
8. Metodología para administrar redes.
Seguridad en redes.
Seguridad física.
Seguridad lógica.
COBIT
Es un acrónimo para Control Objectives for Information and
related Technology (Objetivos de Control para tecnología
de la información y relacionada).desarrollada por la
Information Systems Audit and Control Association (ISACA)
y el IT Governance Institute
(ITGI)........................
COBIT es una metodología aceptada mundialmente para el
adecuado control de proyectos de tecnología, los flujos de
información y los riesgos que éstas implican. La
metodología COBIT se utiliza para planear, implementar,
controlar y evaluar el gobierno sobre TIC; incorporando
objetivos de control, directivas de auditoría, medidas de
rendimiento y resultados, factores críticos de éxito y
modelos de madurez.
Permite a las empresas aumentar su valor TIC’s y reducir
los riesgos asociados a proyectos tecnológicos. Ello a
partir de parámetros generalmente aplicables y aceptados,
para mejorar las prácticas de planeación, control y
seguridad de las Tecnologías de
información.................................
COBIT contribuye a reducir las brechas existentes entre los
objetivos de negocio, y los beneficios, riesgos,
necesidades de control y aspectos técnicos propios de un
9. proyecto TIC; proporcionando un Marco Referencial Lógico
para su dirección efectiva.
Para la aplicación de la auditoria hojas de trabajo e
informe de auditoría se basó en el estándar de
International Standarsds For The Profesional Practice Of
Internal Auditing Copyright 2001 By Institute Of Internal
Auditors , tales como:
En cuanto a la fase de planificación de la auditoria me
base en NAGU 2.10 (Planificación general) y NAGU 2.20
(planeamiento de la auditoria).
En cuanto a la fase de ejecución e informe me basare en
NAGU 4.10 (elaboración del informe) y NAGU 4.40
(estructura del informe).
Entre las técnicas de auditoria se utilizaron técnicas de
verificación ocular como las observaciones, técnicas de
verificación oral como indagación, entrevistas y encuestas,
técnicas de verificación física como inspección, además de
la utilización de herramientas asistidas por el computador.
A continuación una breve explicación de la metodología que
se usar en aplicación de la auditoria.
a) Planeamiento: Plan de Auditoria Programa de Auditoria.
NAGU 2.10: Planificación General
Objetivos
Alcance
Metodologías a utilizar
NAGU 2.20: Planeamiento de la Auditoria
Objetivos del examen
Alcance del examen
Descripción de las actividades dela entidad
Normas aplicadas a la entidad
Informes a emitir y fecha de entrega
10. Identificación de las áreas criticas
Funcionarios de la entidad a examinar
Presupuesto de tiempo
Participación de otros profesionales
Papeles de trabajo
b) Ejecución: comunicación de hallazgo. Borrador de informe
Hallazgo: condición, criterio, causa, efecto.
c) Formulación Del Informe:
NAGU 4.10: elaboración del informe:
Informe: emisión del informe.
Supervisión de la estructura y contenido del
borrador del informe administrativo y debido
en papeles de trabajo.
Evaluación de los comentarios de la entidad y
supervisión del informe administrativo final.
Supervisión de las observaciones,
conclusiones, recomendaciones, y el proceso
de determinación de las responsabilidades,
administrativas, civiles o penales.
Supervisión del informe especial de ser caso.
Revisión final y suscripción de los informes.
Trámite de aprobación y remisión del informe
a la entidad
NAGU 4.40: Contenido del Informe.
d) Estructura del Informe:
I INTRODUCCION
CAPITULO I. GENERALIDADES
CAPITULO II. MARCO TEÓRICO
CAPITULO III. AUDITORIA DE LA RED INFORMATICA
CAPITULO IV. TECNICAS Y HERRAMIENTAS DE LA AUDITORIA
CAPITULO V. ACTIVIDADES REALIZADAS
II CONCLUSIONES
III RECOMENDACIONES
IV ANEXOS
11. 6. PRESUPUESTO Y CRONOGRAMA
6.1 PRESUPUESTO
Los honorarios de nuestros auditores variarán en
función de los trabajos encomendados Auditoria
voluntaria:
El precio de una auditoria voluntaria de una empresa
variará en función del encargo realizado por el
auditor. En especial, de las áreas en las que se tenga
especial interés en revisar, del alcance y del fin del
trabajo a realizar.
La duración está en un margen entre 300-480 horas de
profesionales .Este número de horas se traduce en un
rango de tres meses. El rango de horas depende de la
complejidad de las operaciones de la Sociedad y de su
actividad. Conforme la complejidades mayor, el número
de horas aumenta.
CUADROS DE PRESUPUESTO PARA LA AUDITORIA
CONCEPTO MONTO
MATERIAL DE OFICINA (PAPELES
TINTA, ETC
S/. 120.00
TRANSPORTE Y MOVILIDAD S/. 220.00
GASTOS VARIOS S/. 200.00
TOTAL S/. 540.00
12. 6.2 CRONOGRAMA
Fase Actividad Fec./Inicio Fec./Fin
4.1.1 Realización del Plan de la auditoria:
Elaborar el plan de la Auditoria.
Elaborar el plan de cronograma de
actividades.
19/05/2014 27/05/2014
4.1.2 Revisión Documental Preliminar:
Solicitud de Manuales y documentos para
la realización de los objetivos,
funciones y metas de la institución.
Recopilación de la información
organizacional: estructura orgánica,
recursos humanos, presupuestos.
28/05/2014 10/06/2014
4.1.3 Desarrollo detallada de la Auditoria:
Entrevistas a los jefes, coordinares,
responsables y personal del centro de
salud Pueblo Joven.
Evaluar la estructura orgánica:
gerencia, coordinaciones y responsables
de cada área, funciones y
responsabilidades.
Análisis de las claves de acceso,
control, seguridad, confiabilidad y
respaldos.
11/06/2014 26/07/2014
Evaluación de los Recursos Humanos:
desempeño, capacitación, condiciones de
trabajo, recursos en materiales y
financieros mobiliarios y equipos.
Evaluación de los sistemas: relevamiento
de hardware y Software, evaluación del
diseño lógico y del desarrollo del
sistema.
Evaluación de la red: diseño topológico,
cableado estructurado, software de
administración de red, seguridad en la
13. red.
Evaluar el parque informático (Pc’s,
Laptop, servidores).
Evaluación del Proceso de Datos y de los
Equipos de Cómputos: seguridad de los
datos, control de operación, seguridad
física y procedimientos de respaldo.
4.1.4 Revisión y Pre-Informe:
Revisión de los papeles de trabajo
(cuestionarios aplicados).
Determinación del Diagnostico e
Implicancias.
Elaboración del borrador.
28/07/2014 08/08/2014
4.1.5 Entrega del Informe
Corrección del borrador
Elaboración y presentación del Informe.
09/08/2014 18/08/2014
4.1.6 Sustentación del informe. 19/09/2014 19/09/2014
7. BIBLIOGRAFIA
http://es.scribd.com/doc/20963546/Auditoria-Fisica-y-de-
La-Ofiimatica-una-pequena-ayudada
http://faca.unjbg.edu.pe/webesad/documentos/modelo_plan.p
df
http://www.javeriana.edu.co/Facultades/Arquidiseno/boleti
n/images/mar2012/guia_desarrollopracticas.doc.
http://industrial.unmsm.edu.pe/archivos/investigacion/pro
yectos/111701075.pdf