Post on 29-Jun-2015
transcript
UNIVERSIDAD TECNOLÓGICA DE LA SELVA
INGENIERÍA EN TECNOLOGÍAS
DE LA INFORMACIÓN
(AUDITORIA DE TI EN EL INSTITUTO UNIVERSITARIO DE
ESTUDIOS DE MÉXICO [IUDEM])
INTEGRANTES1. LUIS ARTURO DÍAZ OLETA
2. JESÚS VÁZQUEZ GORDILLO3. BERSAIN DE JESÚS OLETA PÉREZ
4. TADEUS EDOARDO SARAGOS MORENO
1. (MTRO. IRAM YOVAN SÁNCHEZ GÓMEZ)2. (MTRA. BEATRIZ MARLENE CANCINO MOLINA)3. (MTRO. ARMANDO MÉNDEZ MORALES)
OCOSINGO, CHIAPAS; OCTUBRE 2010.
Contenido
INTRODUCCIÓN..................................................................................................................6
RESUMEN............................................................................................................................7
ABSTRACT...........................................................................................................................9
I.- DATOS DE LA EMPRESA..............................................................................................11
I.1.- Nombre.....................................................................................................................11
I.2.- Giro...........................................................................................................................11
I.3.- Ubicación..................................................................................................................11
I.4.- Antecedentes...........................................................................................................11
I.5.- Filosofía Organizacional..........................................................................................12
I.5.1.- Misión................................................................................................................12
I.5.2.- Visión.................................................................................................................12
I.5.3.- Objetivos............................................................................................................12
I.6.- Políticas....................................................................................................................13
I.6.1.- Políticas para el uso del laboratorio de Informática..........................................13
I.7.- Estructura Organizacional de la Empresa................................................................14
II.- DIAGNÓSTICO DE LAS ÁREAS DE OPORTUNIDAD DE LA ORGANIZACIÓN.........15
II.1.- Análisis de la Situación Actual de la Empresa (FODA)...........................................15
II.2.- Minutas de acuerdo sobre las áreas a auditar........................................................18
III.- PLAN DE AUDITORÍA..................................................................................................21
III.1.- Formato de Plan de Auditoria................................................................................25
IV.- DISEÑO DE FORMATOS DE SEGUIMIENTO DE LA AUDITORÍA............................29
IV.1.- Lista de verificación...............................................................................................29
IV.2.- Técnicas de Recopilación de la Información.........................................................30
IV.2.1.- Cuestionario Evaluación Hardware y software...............................................30
IV.2.2.- Cuestionario Evolución de Red.......................................................................35
2
V.- EJECUCIÓN DE AUDITORIA.......................................................................................39
V.1.- Orden del día y lista de asistencia de la reunión de apertura y cierre....................39
V.2.- Evidencias de la realización de la auditoría (lista de cotejo, cuestionario, etc.).....41
VI.- MEJORES PRÁCTICAS...............................................................................................51
VI.1.- ITIL Gestión de Servicios TI..................................................................................51
VI.1.1.- Centro de Servicio IUDEM..............................................................................52
VII.- INTERPRETAR LOS RESULTADOS DE LA AUDITORÍA INFORMÁTICA................54
VII.1.- Informe final de auditoría informática...................................................................54
VII.- CIERRE Y CONCLUSIÓN DE LA AUDITORIA INFORMÁTICA.................................63
VII.1.- Dictamen Final......................................................................................................63
VII.2.- Conclusión General de la Auditoria Informática de la áreas Auditadas................69
VIII.- TOMA DE DECISIONES............................................................................................70
VIII.1.- Reconocimiento del problema.............................................................................70
VIII.2.- Interpretación del problema.................................................................................71
VIII.3.- Atención al problema...........................................................................................71
VIII.4.- Cursos de acción.................................................................................................72
VIII.5.- Consecuencias....................................................................................................72
VIIII.- PROPUESTA DE SOLUCIÓN BASADA EN TECNOLOGÍAS EMERGENTES........73
VIIII.1.- Cuadro Comparativo...........................................................................................74
VIIII.1.1- Descripción de las Alternativas Seleccionadas.............................................76
VIIII.2.- Determinar la Tecnología de Emergente a Implantar.........................................77
VIIII.2.1.- Descripción de la Virtualización...................................................................78
VIIII.2.2.- Objetivos......................................................................................................79
VIIII.2.3.- Actores.........................................................................................................79
VIIII.2.4.- Alcances.......................................................................................................80
VIIII.2.5.- Definición de los tiempos.............................................................................80
VIIII.2.6.- Costo-valor-beneficio...................................................................................80
3
VIIII.2.7.- Construcción/Interpretación.........................................................................82
VIIII.2.8.- Punto de equilibrio.......................................................................................83
VIIII.3.- Diagnóstico de la situación actual del uso de las T.I. en los procesos de la
organización....................................................................................................................83
VIIII.4.- Justificación de la viabilidad de la Virtualización................................................83
VIIII.6.- Mejoras a los procesos realizados en la institución basándose en los
lineamientos del ITIL.......................................................................................................85
CONCLUSIÓN....................................................................................................................87
BIBLIOGRAFÍA...................................................................................................................89
ANEXOS.............................................................................................................................91
4
Contenido de Figuras
Figura 1.- Organigrama del Instituto Universitario de Estudios de México (IUDEM)..........14
Figura 2.- Visita al Instituto Universitario de Estudios de México.......................................18
Figura 3.- Entrega de Carta Compromiso...........................................................................19
Figura 4.- Carta Compromiso..............................................................................................20
Figura 5.- Orden del día......................................................................................................39
Figura 6.- Lista de asistencia de la reunión de apertura y cierre........................................40
Figura 7.- Lista de Verificación Hardware...........................................................................41
Figura 8.- Cuestionario evaluación de hardware................................................................42
Figura 9.- Cuestionario evaluación de hardware................................................................43
Figura 10.- Lista de Verificación Software..........................................................................44
Figura 11.- Cuestionario evaluación de software................................................................45
Figura 12.- Cuestionario evaluación de software................................................................46
Figura 13.- Lista de Verificación Red..................................................................................47
Figura 14.- Cuestionario evaluación red.............................................................................48
Figura 15.- Cuestionario evaluación red.............................................................................49
Figura 16.- Cuestionario evaluación red.............................................................................50
Contenido de Tablas
Tabla 1.- Análisis de la Situación Actual del Instituto Universitario de Estudios de México
(FODA)................................................................................................................................15
Tabla 2.- Plan de Auditoria..................................................................................................21
Tabla 3.- Cronograma de actividades del Plan de Auditoria...............................................24
Tabla 4.- Formato Plan de Auditoria...................................................................................25
Tabla 5.- Formato Lista de Verificación..............................................................................29
Tabla 6.- Dictamen final de software..................................................................................64
Tabla 7.- Dictamen final de hardware.................................................................................65
Tabla 8.- Dictamen final de red...........................................................................................67
Tabla 9.- Cuadro Comparativo de Tendencias Tecnológicas.............................................74
Tabla 10.- Valor-costo-beneficio de la Virtualización..........................................................82
5
INTRODUCCIÓN
La complejidad y dimensiones que han adquirido los sistemas de información han
hecho que sea crítica la implantación de normas y procedimientos para su
utilización, desarrollo, implantación y mantenimiento. El garantizar el cumplimiento
de estas normas y procedimientos establecidos son parte de la auditoría
informática que vela por el adecuado cumplimiento de las normas que rigen los
sistemas informáticos y por qué el sistema informático:
Funcione de manera continuada.
Sirva a los objetivos para los que fue diseñado.
Sea seguro.
Haga una utilización de los recursos óptima.
Nuestro trabajo se centra en estos objetivos. En este documento abordaremos la
elaboración de una metodología para la realización de la auditoría informática para
la evaluación de hardware y software y evaluación de la red del IUDEM.
IUDEM cuenta con una infraestructura de intranet basada en estándares y
tecnología de Internet que soporta el compartir información dentro de un grupo
bien definido y limitado. Pero aunque esta sea una red privada en la que se tengan
grupos bien definidos y limitados, no se encuentra a salvo de ataques que
pudiesen poner en riesgo la información que maneja.
Los asuntos más complicados en la seguridad de las áreas a auditar no son de
carácter técnico, sino organizacional o estratégico. La auditoría informática con
sus métodos, técnicas y procedimientos permitirán el uso eficaz y eficiente de los
sistemas de información, proporcionando seguridad, integridad, disponibilidad y
confiabilidad para garantizar el correcto funcionamiento de las TI.
6
RESUMEN
La función de la auditoria informática en las instalaciones del Instituto Universitario
de México (IUDEM) está relacionada con detectar errores en los procedimientos
relacionados con el procesamiento de la información a través del uso de
Tecnologías de Información.
En esta institución educativa la información es uno de los principales
activos, este recurso crítico involucra los siguientes elementos que
deben ser protegidos:
- Datos, que son todos los objetos de la información.
- Aplicaciones, son el conjunto de sistemas de información.
- Tecnología, es el conjunto de hardware y software de base.
- Instalaciones, son los recursos necesarios para alojar a los
sistemas de información.
- Recursos Humanos, es el personal relacionado directamente con el
desarrollo y producción de los sistemas de información.
La auditoría informática en un proceso formal vera su entendimiento previo de los
elementos anteriores para que cada uno de los responsables lleven a cabo sus
procesos en la institución. El objetivo final es brindar a los responsables de dichas
áreas un camino estructurado por el que obtengan los resultados esperados por la
institución, siguiendo un plan.
La auditoría informática al detectar errores generara las siguientes ventajas:
Orientar a la obtención de servicios de calidad.
Definir y formalizar documentos de alcances para las áreas de la institución.
Facilitar la administración y seguimiento de las actividades.
7
Planificación detallada bajo criterios de normas y políticas.
Superación profesional y personal de los individuos, orientando a la
especialización de su área y responsabilidad de sus funciones.
Capacitación o actualización de sus procesos metodológicos en el área
respectiva.
Actualización de metodologías.
En fin la auditoria fue una comparación conforme a lo que hace y lo dice hacer de
acuerdo de acuerdo a las políticas internas del departamento de informática
evaluados, el objetivo principal de esta auditoria no es encontrar puntos
vulnerables que puedan evidenciar al auditado, en este caso al Instituto
Universitario de México (IUDEM), para perjudicar de alguna u otra forma. Si no
identificar áreas de mejora, identificar necesidades y tratar de solucionarlos
mediante la aplicación de alguna tecnología emergente, o proponer alternativas
para la mejora y eficacia de los procesos de los puntos débiles encontrados,
mediante toma de decisiones.
8
ABSTRACT
The function of the informatics audit in the facilities of the Instituto Universitario de
Estudios de México (IUDEM), it is related with detecting errors in the related
procedures with the prosecution of the information through the use of Technologies
of Information.
In this educational institution the information is active one of the main ones, this
critical resource involves the following elements that should be protected:
o Data that are all the objects of the information.
o Applications are the group of systems of information.
o Technology is the hardware group and base software.
o Installations are the necessary resources to house to the systems of
information.
o Human resources, is directly the related personnel with the development
and production of the systems of information.
The informatics audit in a formal process will see its previous understanding of the
previous elements, previous so that each one of the responsible ones carries out
their processes in the institution. The final objective is to help to those responsible
of this area a structured road for the one that obtain the prospective results
The informatics audit when detecting errors generated the following advantages:
o To guide to the obtaining of services of quality.
o To define and to formalize documents of reaches for the areas of the
institution.
o To facilitate the administration and pursuit of the activities.
o Planning detailed low criterion of norms and political.
o Overcoming professional and personal of the individual’s, guiding to the
specialization of their area and responsibility of their functions.
9
o Training or modernize of their methodological processes in the respective
area.
o Modernize of methodologies.
In end audit went a comparison ago according to that and tells it to make of
agreement according to the internal politicians of computer science department
evaluated, the main objective of this audit is not to find points vulnerable that can
evidence to the personal audit, in this case to the Instituto Universitario de Estudios
de México (IUDEM), to harm in some or another way, to if not identify areas of
improvement, to identify necessities and to try to solve them by means of the
application of some emergent technology, or to propose alternative for the
improvement and effectiveness of the processes of the opposing weak points, by
means of taking of decisions.
10
I.- DATOS DE LA EMPRESA
I.1.- Nombre
IUDEM (Instituto Universitario de Estudios de México)
I.2.- Giro
IUDEM (Instituto Universitario de Estudios de México) es una institución educativa
comprometida con la calidad de la educación para los alumnos de esta misma.
I.3.- Ubicación
IUDEM (Instituto Universitario de Estudios de México) se encuentra ubicada en
Periférico Oriente Sur No. 15-A, Barrio Nuevo, Ocosingo Chiapas.
I.4.- Antecedentes
El Instituto Universitario de Estudios de México (IUDEM) fue tramitada en el
municipio de Ocosingo, Chiapas por el mes de Marzo del 2007, se logra la
aprobación y apertura de esta institución el 17 de Mayo del 2007 con la carrera de
Ingeniería en Sistemas Computacionales. El 22 de Agosto del 2007 se aprobaron
otras dos nuevas carreras las de: Licenciatura en Turismo y Licenciatura en
Trabajo Social. Febrero de 2008 se aprueba la carrera de Licenciatura en
Informática Administrativa, Marzo 2008 se aprueba la carrera de Licenciatura en
Contaduría e Informática ese mismo mes se obtiene una extensión a la carrera de
Derecho con la IUDEM de Comitán.
Se inicia labores con 140 alumnos y 14 catedráticos, 9 aulas y un laboratorio de
informática. Actualmente la institución cuenta con 22 aulas, un laboratorio de
informática y uno de turismo. El 16 de Enero del 2009 la institución pasa a ser de
Persona Física a Sociedad Cooperativa.
11
I.5.- Filosofía Organizacional
La filosofía organizacional es el sentir de la empresa a través de su misión, visión
y objetivos.
I.5.1.- MisiónEl instituto de Estudios Superiores México tiene como misión formar profesionistas
con valores, conocimientos, habilidades y conciencia para que pueda competir en
su campo profesional y al mismo tiempo puedan contribuir con el desarrollo y
crecimiento económico, político, social y cultural de nuestro país.
I.5.2.- Visión El Instituto de Estudios Superiores México tiene como visión ser reconocida como
una de las mejores instituciones educativas de Chiapas como resultado del éxito
obtenido por alumnos egresados de nuestro colegio.
I.5.3.- ObjetivosCon el compromiso educativo se pretende formar profesionista aptos para el
desempeño laboral, mercantil con objetivos precisos en la comunicación virtual del
futuro.
12
I.6.- Políticas
I.6.1.- Políticas para el uso del laboratorio de Informática
Los alumnos deben de traer siempre una memoria USB (System Bus
Universal), para el resguardo de su información.
No está permitido guardar información en los discos duros de los equipos
de cómputo.
Los profesores no se hacen responsables de cualquier pérdida de
información que se guarden en los discos duros de los equipos.
Informar inmediatamente de cualquier fallo que este surgiendo en algunos
de los equipos de cómputo.
No está permitido abrir o destapar los equipos de cómputo, tanto para los
alumnos y profesores, en caso de que suceda eso, el individuo recibirá una
sanción o una carta de amonestación.
Los alumnos no podrán entrar al laboratorio de informática cuando estos no
se encuentren adscritos a la clase, en caso de previa autorización de un
catedrático este tendrá el permiso de acceder al laboratorio.
No está permitido acceder a sitios web como: páginas de juegos, páginas
pornográficas, páginas de correos electrónicos.
No está permitido el uso de celulares, a menos que este en vibrador o
apagado.
Apaga correctamente el equipo: Recuerda que la mejor manera de
conservar un equipo de cómputo es conservarlo no lo maltrates.
Prohibido introducir alimentos al laboratorio de cómputo.
Favor de guardar silencio.
Se les recomienda el buen uso de su equipo.
Recuerda: Solo tienes 10 minutos de tolerancia para Ingresar al laboratorio
de cómputo después de la hora de clase.
13
I.7.- Estructura Organizacional de la Empresa
Figura 1.- Organigrama del Instituto Universitario de Estudios de México (IUDEM)
Fuente: Dirección Operativa del Instituto Universitario de Estudios de México (IUDEM)
14
II.- DIAGNÓSTICO DE LAS ÁREAS DE OPORTUNIDAD DE LA
ORGANIZACIÓN
II.1.- Análisis de la Situación Actual de la Empresa (FODA)
El análisis FODA1 sirve para detectar todos aquellos factores que pueden ayudar a
mejorar los servicios con respecto al cliente y así aprovechar sus oportunidades
utilizando sus fuerzas y al mismo tiempo combatir sus amenazas y debilidades
para la consolidación frente a la competencia.
Es por ello que aplicamos el análisis FODA, al Instituto Universitario de Estudios
de México (IUDEM).
Tabla 1.- Análisis de la Situación Actual del Instituto Universitario de Estudios de México (FODA)
Fortalezas Oportunidades
- Calidad de servicio.
- Campus en varios municipios
del estado.
- Estructura organizacional
definida.
- Formación de profesionistas
con valores, conocimientos y
habilidades.
- Contribución para el desarrollo
y crecimiento del municipio.
- Funcional laboratorio de
cómputo.
- Servicio de: cafetería,
biblioteca, orientación
- Crecimiento de población
estudiantil.
- Mejorar la atención y servicio
al alumnado.
- Aprobación de nuevas
carreras.
- Mayor reconocimiento en el
estado de Chiapas.
- Implantación tendencias en
tecnologías Informáticas.
- Creación de nuevos
laboratorios informáticos.
1 F= Fuerzas, O= Oportunidades, D= Debilidades y A= Amenazas.
15
vocacional y papelería.
- Profesores altamente
calificados.
- Servicio educativo con validez
oficial y reconocimiento a nivel
nacional.
- Intercambio estudiantil.
- Planes de estudio: semestrales
(8 semestres), tetramestrales (9
tetramestres) y
semiescolarizado.
- Licenciaturas de 2 años y 8
meses.
- El personal con los
conocimientos y capacitación el
área de T.I.
- Aplicación de políticas en el
laboratorio de informática.
Debilidades Amenazas
- No cuenta con Aire
acondicionado ni equipos
contra incendios.
- No cuenta con personal
responsable de la seguridad en
T.I.
- No cuenta con rutas de
evacuación en el área de T.I
- No cuentan con el lugar
suficiente para todos los
equipos de cómputos
obsoletos.
- Existencia de universidades
públicas y privadas.
- Perdida de alumnos.
- Costo de Hardware y
Software.
- Uso inadecuado de la red de
intranet.
16
- No cuenta con registro de
entrada y salida de los equipos
de cómputo.
- Escaso equipo de cómputo.
- No contar con un control del
equipo de informática.
- Instalación de informática
reducida.
Fuente: Diseñado por el equipo de auditoría informática.
El análisis e interpretación de la matriz de fortalezas se realizó en base a la
búsqueda de opiniones para poder saber el grado de satisfacción y confianza que
tienen los servicios y recursos de informática en la institución. Al igual de un
diagnóstico de la institución, que incluye a la dirección operativa y el área
informática.
Con esta fase, se visualiza los primeros síntomas, que posteriormente serán los
puntos claves relevantes para nuestra auditoria informática y buscar las áreas de
oportunidad que van a facilitar la implementación de soluciones brindadas por el
equipo de auditoría y que tendrán un impacto sobre alguna función del área. Estas
acciones pueden ser inmediatas o corto plazo, todo en busca de beneficios para la
institución.
17
II.2.- Minutas de acuerdo sobre las áreas a auditar
Minutas y documentos que describe las áreas a auditar en el Instituto Universitario
de estudios de México.
18
Figura 2.- Visita al Instituto Universitario de Estudios de México
Fuente: Formato diseñado por el equipo de auditoría informática.
19
Figura 3.- Entrega de Carta Compromiso
Fuente: Formato diseñado por el equipo de auditoría informática.
20
Figura 4.- Carta Compromiso
Fuente: Oficio UTS/REC/TIC Universidad Tecnológica de la Selva.
21
III.- PLAN DE AUDITORÍA
Tabla 2.- Plan de Auditoria
Objetivos de la
Auditoria
1. Valorar la situación actual de la empresa.
2. Realizar una comparación de la situación actual
del área informática con respecto a las normas y
políticas establecidas en ella.
3. Que el procesamiento de datos cumpla con las
normas y procedimientos institucionales y
legales vigentes.
4. Que existan procedimientos adecuados para la
selección, uso y resguardo de los recursos
informáticos de la organización.
5. Que la consistencia, confiabilidad y seguridad de
los datos sean suficientes.
6. Que esté asegurada la adecuada y eficaz
operación de los sistemas informáticos de la
organización.
7. Identificar las No conformidades encontradas en
el área informática.
8. Proponer acciones correctivas para las No
conformidades.
Alcance de la
Auditoria
En esta auditoría, los auditores buscaron al cliente y le
ofreció los servicios de auditoría informática para
posteriormente poder proponer acciones correctivas.
El área a auditar es el siguiente:
Área Informática
a. Evaluación de Hardware y Software
22
b. Evaluación de la Red
Al finalizar la auditoria se le entregara a la Dirección
Operativa el reporte final que contiene;
Plan de auditoria
Documento de referencia normas y políticas
Las observaciones obtenidas
Las no conformidades detectadas
Las propuestas de acciones correctivas
Personas
Involucradas
Lic. Francisco Paulo Cruz Santos.
Lic. Mario
Documentos de
Referencia
Se tomara como referencia las normas y políticas
establecidas por la Instituto Universitario de Estudios
de México (IUDEM).
Miembros del Equipo
Auditor
Las personas que realizaran la auditoria son:
TSU. Luis Arturo Díaz Oleta
TSU. Jesús Vázquez Gordillo
TSU. Bersain de Jesús Oleta Pérez
TSU. Tadeus Edoardo Saragos Moreno
Estas personas se encargaran de elaborar el plan de
auditoría, aplicar la lista de verificación y finalmente
realizar el reporte final.
Área Organizacional
Auditada
El área organizacional a auditar es:
Área Informática
23
a. Evaluación de Hardware y Software
b. Evaluación de la Red
Fecha Estimada y
Duración de las
Actividades
La fecha estimada para la verificación de las listas de
verificación serán:
Área Informática: 6 de Noviembre de 2010
c. Evaluación de Hardware y Software
d. Evaluación de la Red
La duración de las actividades será no más de tres
horas para cada sub-área.
Programar las
Reuniones con la
Dirección
Las reuniones con la dirección serán dos, una al
principio de la auditoria y otra al finalizar la auditoria.
Requisitos de
Confidencialidad
La organización auditada ha solicitado un cuidado
especial de la documentación sobre toda aquella que
implica los procedimientos para la realización del
servicio.
Distribución del
Informe de Auditoría y
Fecha de Emisión
La entrega del reporte final estará estimada para a
mediados de Noviembre. El reporte incluye las no
conformidades detectadas así como también la
propuesta a las acciones correctivas.
Fuente: Diseñado por el equipo de auditoría informática.
24
Tabla 3.- Cronograma de actividades del Plan de Auditoria
Cronograma del Plan de Auditoria Fecha1.- Objetivos de Auditoria
1.1.- Visita a la IUDEM 09/10/2010
1.2.- Valorar la situación actual de la empresa. 18/10/20101.3.- Realizar una comparación de la situación actual del área informática con respecto a las normas y políticas establecidas en ella.
19/10/2010
1.4.- Establecer nuestros objetivos de auditoría en para la IUDEM. 20/10/2010
2.- Alcance de la Auditoria
2.1.- Establecer nuestros alcances de auditoría en para la IUDEM. 21/10/2010
2.2.- Establecer las áreas a auditar. 22/10/2010
2.3.- Realización del plan y documentos de auditoría.2.4.- Entrega de carta compromiso a la IDEM para formalizar la auditoria. 26/10/2010
3.- Entregar de primer reporte
3.1.- Entrega de primer reporte. 29/10/2010
4.- Realización de la auditoria
4.1.- Evaluación de Hardware y Software 06/11/2010
4.2.- Evaluación de la Red 06/11/2010
5.- Entregar de segundo reporte
5.1.- Entrega de evidencias de la auditoria 08/11/2010
6.- Elaborar un reporte final de auditoría
6.1.- Interpretar los resultados de la Auditoría Informática. 10/11/2010
6.2.- Proponer alternativas de solución y mejora de las Tecnologías de la Información.
12/11/2010
6.3.- Cierre y conclusión de la Auditoria Informática 18/11/2010
7.- Entregar de Tercer reporte
7.1.- Generar el dictamen final de la auditoría informática. 19/11/2010
8.- Presentar propuesta de tecnologías emergentes
8.1.- Determinar las Tecnologías emergentes a implementar. 22/11/2010
8.2.- Determinar el Análisis costo - beneficio de la implementación de las tecnologías emergentes.
24/11/2010
9.- Entregar de Tercer reporte9.1.- Implantar fundamentado en las conclusiones de la auditoría a través de un plan estratégico.
30/11/2010
10.- Exposición del proyecto.
10.1.- Exposición del proyecto dic-10Fuente: Diseñado por el equipo de auditoría informática.
25
III.1.- Formato de Plan de Auditoria
Tabla 4.- Formato Plan de Auditoria
PLAN DE AUDITORÍA
EMPRESA:EMPRESA:Instituto Universitario de Estudios de Mexico (IUDEM). Campus: Ocosingo, Chiapas. Periferico Oriente Sur # 15-A Barrio Nuevo. Tel: 099196731762.
No. deNo. de auditoría: 01auditoría: 01
ÁREA / PROCESO:ÁREA / PROCESO:
Informatica
- Evaluacion de Hardware y Software- Evaluacion de la Red
AUDITADOS:AUDITADOS:
Lic. Loisa Guadalupe Gutiérrez Valdez.
Lic. Francisco Paulo Cruz Santos.
RESPONSABILIDADES:RESPONSABILIDADES:
Laboratorista
Director Operativo
OBJETIVO:
9. Valorar la situación actual de la empresa.
10. Realizar una comparación de la situación actual del área informática con respecto a las normas
y políticas establecidas en ella.
11. Que el procesamiento de datos cumpla con las normas y procedimientos institucionales y
legales vigentes.
12. Que existan procedimientos adecuados para la selección, uso y resguardo de los recursos
informáticos de la organización.
13. Que la consistencia, confiabilidad y seguridad de los datos sean suficientes.
14. Que esté asegurada la adecuada y eficaz operación de los sistemas informáticos de la
organización.
15. Identificar las No conformidades encontradas en el área informática.
16. Proponer acciones correctivas para las No conformidades.
ALCANCE: En esta auditoría, los auditores buscaron al cliente y le ofreció los servicios de auditoría informática para
posteriormente poder proponer acciones correctivas.
El área a auditar es el siguiente:
Área Informática
a. Evaluación de Hardware y Software
b. Evaluación de la Red
26
Al finalizar la auditoria se le entregara a la Dirección Operativa el reporte final que contiene;
Plan de auditoria
Documento de referencia normas y políticas
Las observaciones obtenidas
Las no conformidades detectadas
Las propuestas de acciones correctivas
AUDITOR LÍDER: Nombre: Luis Arturo Díaz Oleta
EQUIPO AUDITOR: Nombres: Luis Arturo Díaz Oleta, Jesús Vázquez Gordillo, Bersain de Jesús Oleta Pérez y Tadeous Edoardo Saragos Moreno.
CRITERIOS DE AUDITORÍA
ISO 9001:2000
Detalle:
Manual de la calidad
Detalle:
Procedimientos
Detalle:
Políticas
Detalle: Políticas de Informática IUDEM
Registros
Detalle:
Funciones de auditores: Alumnos en Ingenierías en Tecnologías Información de la Universidad Tecnológica de la Selva, Ocosingo, Chiapas.
Nombres Auditados:
Lic. Loisa Guadalupe Gutiérrez Valdez.
Lic. Francisco Paulo Cruz Santos.
Encargado del laboratorio del Instituto Universitario de Estudios de México.
Director operativo del Instituto Universitario de Estudios de México.
ACTIVIDADES DE AUDITORÍA
27
FECHARequisito de la Norma y/o documentos
Horario AuditorÁreas y personal
responsable
06/11/10
Procedimiento de la Auditoría Informática. 10:00 am –
11:30am
TSU. Luis Arturo Díaz
Oleta.
Evaluación de la Red (Lic. Loisa Guadalupe
Gutiérrez Valdez.)
06/11/10
Procedimiento de la Auditoría Informática. 10:00 am –
11:30am
TSU. Tadeous Edoardo Saragos Moreno.
Evaluación del Hardware (Lic. Loisa Guadalupe Gutiérrez
Valdez.)
06/11/10
Procedimiento de la Auditoría Informática. 10:00 am –
11:30am
TSU. Bersain
de Jesús Oleta Pérez.
Evaluación del Software (Lic. Loisa Guadalupe Gutiérrez
Valdez.)
Comentarios:
Se tomara como referencia las normas y políticas establecidas por la Instituto Universitario de Estudios de México
(IUDEM).
La organización auditada ha solicitado un cuidado especial de la documentación sobre toda aquella que implica los
procedimientos para la realización del servicio.
28
Nombre y firma del Auditor Líder:
Bersain de Jesús Oleta Pérez
Recursos necesarios: Descripción:
Cliente de la auditoría:
Lic. Paolo Cruz Santos Director Operativo.
Instituto Universitario de Estudios de Mexico (IUDEM). Campus: Ocosingo, Chiapas. Periferico Oriente Sur # 15-A Barrio Nuevo.
Fuente: Diseñado por el equipo de auditoría informática.
29
IV.- DISEÑO DE FORMATOS DE SEGUIMIENTO DE LA AUDITORÍA
IV.1.- Lista de verificación
Tabla 5.- Formato Lista de Verificación
Empresa Auditada: Fecha:Área Auditada: Auditoría No. Hora Inicio:Responsable de área auditada: Hora Cierre:Auditor Líder :Equipo Auditor:
Auditados:
Aseveraciones: Observaciones/Comentarios
1.-
2.-
3.-
4.-
5.-
6.-
7.-
8.-
9.-
10.-
11.-
12.-
13.-
14.-
Fuente: Diseñado por el equipo de auditoría informática.
30
IV.2.- Técnicas de Recopilación de la Información
IV.2.1.- Cuestionario Evaluación Hardware y software
Evaluación de hardware
1. ¿Con que frecuencia se le da mantenimiento preventivo a los equipos
de cómputo?
a) Cada mes b) Cada seis meses c) Cada año
2. ¿Los equipos de cómputo que se adquieren, cuentan con algún tipo
de garantía?
a) Si b) No
3. ¿El personal encargado de los equipos de cómputo cuenta con los
conocimientos adecuados o alguna capacitación para desempeñarse
en el área de mantenimiento?
a) Si b) No
4. En cuanto al área de trabajo, se cumple con los siguientes datos,
marque con una x dentro del paréntesis, si cuenta con las siguientes
especificaciones :
Localización física: ( )
Aire acondicionado. ( )
Equipos contra incendios. ( )
Rutas de evacuación. ( )
31
5. ¿La ubicación física del área de trabajo es la más adecuada pensando en los diversos desastres que se pueden presentar (inundaciones, incendios, entre otros)?
a) Si b) No
6. ¿Existen políticas relacionadas con el ingreso y salida de los equipos
de cómputo?
A) Si b) No
7. ¿Hay políticas y procedimientos relativos al uso y protección del
hardware de los equipos de cómputo?
a) Si b) No
8. Si existen, indique si están formalmente identificados los siguientes
aspectos de seguridad, marque con una x dentro del paréntesis, si
cuenta con las siguientes especificaciones:
Administración del hardware. ( )
Descripción del hardware (características básicas) ( )
Registro del hardware instalado, dado de baja, en proceso de adquisición, etc. ( )
Monitoreo. ( )
32
9. Mencione si existen políticas relacionadas con el ingreso y salida del
los equipos de cómputo que aseguren al menos lo siguiente, marque
con una x dentro del paréntesis, si cuenta con las siguientes
especificaciones:
Que la entrada y salida de los equipos sea: revisada (contenido, cantidad,
destino). ( )
Justificada (compra, pruebas, reemplazo, devolución, dado de baja, otros).
( )
Aprobada por el responsable de informática que va a recibirlo. ( )
Registrada (responsables, hora, motivo, etc.). ( )
Devuelta en las mismas condiciones de entrada. ( )
Devolución autorizada por medio de un responsable de informática. ( )
33
Evaluación del software
1. ¿Cómo se aseguran de que el personal que va a utilizar el Software de la
institución se encuentre capacitado en el uso de los mismos?
2. ¿El software que se adquieren cuenta con algún tipo de garantía?
a) Si b) No
3. ¿Qué les garantiza que se está utilizando el software idóneo?
4. ¿Existe algún manual de procedimiento para la instalación de un nuevo
software?
a) Si b) No
5. ¿Se cuenta con procedimientos de respaldo de programas y de archivos
en operación, en caso de desastres?
a) Si b)No
6. ¿Se tienen controles para que sólo personal autorizado tenga acceso a
dichos respaldos?
a) Si b)No
7. ¿Existen políticas y procedimientos relativos al uso y protección del
software existente en el área de trabajo?
34
8. Si las hay, indique si los siguientes aspectos de seguridad están
formalmente identificados, marque con una x dentro del paréntesis, si
cuenta con las siguientes especificaciones.
Administración del software. ( )
Sistemas operativos, utilerías, paquetes, etc. ( )
Cuantificación del software (original y copias). ( )
Descripción (por original). ( )
9. ¿Cómo se aseguran que al estar el sistema en operación se cumplan
formal y oportunamente los procedimientos de seguridad contemplados
en el desarrollo del mismo?
a) Con una auditoria de sistemas
b) Con revisiones de consultores externos
c) Con revisiones del personal de informática
35
IV.2.2.- Cuestionario Evolución de Red
Cuestionario para Evaluación de Red
1. Existen normas en comunicaciones al menos para las siguientes áreas:
Procedimientos de autorización para conectar nuevo equipamiento en la
red.
(Si) (No)
Procedimientos para el uso de cualquier conexión digital con el exterior,
como línea de red telefónica conmutada o internet. (Si)
(No)
Planes y procedimientos de autorización para la introducción de línea y
equipos fuera de las horas normales de operación. (Si)
(No)
2. El equipo de comunicaciones se mantiene en habitaciones cerradas con acceso limitado a personas autorizadas.
a) Si b)No
3. Se revisan periódicamente la red de comunicaciones, buscando intercepciones activas o pasivas.
a) Si b)No
4. ¿Cuáles son los mayores riesgos que tienen las redes?
36
5. ¿El lugar donde se encuentra los equipos de cómputo está situado a salvo de:
Inundación ( )
Terremoto ( )
Fuego ( )
Sabotaje ( )
1. ¿Existe lugar suficiente para los equipos informáticos?
a) Si b) No
2. ¿El cableado se encuentra debidamente instalado?
a) Si b) No
3. ¿Los cables se encuentran debidamente identificados (Positivo, Negativo, Tierra física)?
a) Si b) No
4. ¿Se cuentan con los planos de instalación eléctrica actualizados?
a) Si b) No
37
5. ¿Los cables de red y suministro de energía eléctrica están dentro de paneles y canales?
a) Si b) No
6. ¿Cuentan con reguladores para los equipos de cómputo?
a) Si b) No
7. ¿Existe una persona responsable de la seguridad en el laboratorio?
a) Si b) No
8. ¿Cómo se controla el acceso al laboratorio? marque con una x dentro del paréntesis, si cuenta con las siguientes especificaciones:
Vigilante ( )
Recepcionista ( )
Tarjeta de control de acceso ( )
Puerta de combinación ( )
Registro de entradas ( )
Alarmas ( )
Identificación personal ( )
9. ¿Existen extintores de fuego? marque con una x dentro del paréntesis, si cuenta con las siguientes especificaciones
Manuales ( )
Automáticos ( )
No existen. ( )
38
Cuantos ( )
10.¿Existen salidas de emergencia?
a) Si b) No
39
V.- EJECUCIÓN DE AUDITORIA
V.1.- Orden del día y lista de asistencia de la reunión de apertura y cierre.
Figura 5.- Orden del día
Fuente: Diseñado por el equipo de auditoría informática.
Figura 6.- Lista de asistencia de la reunión de apertura y cierre
Fuente: Formato diseñado por el equipo de auditoría informática.
41
V.2.- Evidencias de la realización de la auditoría (lista de cotejo, cuestionario, etc.).
En este apartado se verán las evidencias de la realización de la Evaluación de Hardware y Software y Evaluación de la Red.
Figura 7.- Lista de Verificación Hardware
Fuente: Formato diseñado por el equipo de auditoría informática.
42
Figura 8.- Cuestionario evaluación de hardware
Fuente: Diseñado por el equipo de auditoría informática.
43
Figura 9.- Cuestionario evaluación de hardware
Fuente: Diseñado por el equipo de auditoría informática.
44
Figura 10.- Lista de Verificación Software
Fuente: Formato diseñado por el equipo de auditoría informática.
45
Figura 11.- Cuestionario evaluación de software
Fuente: Formato diseñado por el equipo de auditoría informática.
Figura 12.- Cuestionario evaluación de software
Fuente: Diseñado por el equipo de auditoría informática.
Figura 13.- Lista de Verificación Red
Fuente: Formato diseñado por el equipo de auditoría informática.
48
Figura 14.- Cuestionario evaluación red
Fuente: Formato diseñado por el equipo de auditoría informática.
49
Figura 15.- Cuestionario evaluación red
Fuente: Formato diseñado por el equipo de auditoría informática.
50
Figura 16.- Cuestionario evaluación red
Fuente: Diseñado por el equipo de auditoría informática.
51
VI.- MEJORES PRÁCTICAS
VI.1.- ITIL Gestión de Servicios TI
ITIL es un conjunto de las mejores prácticas para la gestión de servicios de TI que
ha evolucionado desde 1989, comenzó como un conjunto de procesos que
utilizaba el gobierno del Reino Unido para mejorar la gestión de los servicios de TI
y ha sido adoptado por la industria, como base de una gestión satisfactoria de los
servicios de TI.
ITIL resume un extenso conjunto de procedimientos de gestión ideados para
ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI.
Estos procedimientos son independientes del proveedor y han sido desarrollados
para servir como guía que abarque toda infraestructura, desarrollo y operaciones
de TI.
El objetivo de ITIL en todas sus disciplinas es la definición de las mejores prácticas
para los procesos y responsabilidades que hay que establecer para gestionar de
forma eficaz los servicios de TI de la organización, y cumplir así los objetivos
empresariales en cuanto a la distribución de servicios y la generación de
beneficios.
ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más
de la Informática para alcanzar sus objetivos corporativos. Esta dependencia en
aumento ha dado como resultado una necesidad creciente de servicios
informáticos de calidad que se correspondan con los objetivos del negocio, y que
satisfagan los requisitos y las expectativas del cliente. A través de los años, el
énfasis pasó de estar sobre el desarrollo de las aplicaciones TI a la gestión de
servicios TI.
La aplicación TI (a veces nombrada como un sistema de información) sólo
contribuye a realizar los objetivos corporativos si el sistema está a disposición de
52
los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los
procesos de mantenimiento y operaciones.
Al auditor en informática toma a ITIL como una de las mejores prácticas; evalúa
contra ésta el área a auditar y emite recomendaciones para que los auditados
emitan estas mejores prácticas.
“A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza
cerca del 70 - 80% del total del tiempo y del coste, y el resto se invierte en el
desarrollo del producto (u obtención).”
Podemos percibir de acuerdo a lo anterior, que los procesos eficaces y eficientes
de la Gestión de Servicios TI se convierten en esenciales para el éxito de los
departamentos de TI. Esto se aplica a cualquier tipo de organización, grande o
pequeña, pública o privada, con servicios TI centralizados o descentralizados, con
servicios TI internos o suministrados por terceros. En todos los casos, el servicio
debe ser fiable, consistente, de alta calidad y de coste aceptable.
VI.1.1.- Centro de Servicio IUDEM
El centro de servicio se preocupa de todos los aspectos que garanticen la
continuidad, disponibilidad y calidad del servicio prestado al usuario.
Es el punto de contacto de toda la organización TI con clientes y usuarios, es por
lo tanto imprescindible que:
Sea fácilmente accesible.
Ofrezca un servicio de calidad consistente y homogénea.
Mantenga puntualmente informados a los usuarios y lleve un registro de
toda la interacción con los mismos.
Sirva de soporte a la institución.
53
ISO/IEC 27001 - Es la certificación que deben obtener las organizaciones. Norma
que especifica los requisitos para la implantación del SGSI. Es la norma más
importante de la familia. Adopta un enfoque de gestión de riesgos y promueve la
mejora continua de los procesos. Fue publicada como estándar internacional en
octubre 2005.
54
VII.- INTERPRETAR LOS RESULTADOS DE LA AUDITORÍA INFORMÁTICA
VII.1.- Informe final de auditoría informática
Nombre de la Institución Auditada
IUDEM (Instituto Universitario de Estudios de México)
Lugar y Fecha
6 de Octubre de 2010, Ocosingo Chiapas.
Nombre del jefe del área de informática.
Lic. Francisco Paulo Cruz Santos.
De nuestra consideración:
Considerando las atenciones prestadas por parte del Lic. Francisco Paulo Cruz
Santos, procedemos a dar una breve descripción sobre lo que es la auditoria
informática; La auditoría informática es el proceso de recoger, agrupar y evaluar
evidencias para determinar si un Sistema de Información salvaguarda el activo
empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines
de la organización y utiliza eficientemente los recursos.
Este proceso fue realizado en el departamento de informática en las principales
áreas de Redes, Software y Hardware, de la institución educativa IUDEM,
teniendo como fecha de inicio el día 9 de Octubre del año en curso y con una
fecha de término del día 10 de Diciembre del año en curso.
Consideramos importante este proceso ya que es una manera de conocer
posibles debilidades dentro de la institución educativa, principalmente en el área
de informática.
55
Síntesis de la revisión realizada, clasificado en las siguientes secciones:
1. Infraestructura del Centro de Cómputo.
2. Entorno
3. Mobiliario y Equipo
4. Recurso Humano
5. Hardware
6. Software
7. Área de Redes
El contenido del informe ha sido dividido de la siguiente forma a efectos de
facilitar su análisis.
a. Situación. Describe brevemente las debilidades resultantes de nuestro análisis.
b. Efectos y/o implicancias probables. Enuncian los posibles riesgos a que se
encuentran expuestos las operaciones realizadas por el Auditor.
1.- Infraestructura del Centro de Cómputo:
Objetivo:
Dar a conocer el estado actual del centro de cómputo.
a. Situación.
Actual mente la infraestructura del centro de cómputo se encuentra en condiciones
de operar con la capacidad de máquinas antes mencionadas.
b. Efectos y/o implicancias probables.
56
Aumentar el número de equipos de cómputo.
2.- Entorno del Centro de Cómputo:
Objetivo:
Conocer el entorno del centro de cómputo.
a. Situación.
Actualmente el entorno del centro de cómputo se encuentra en un 50% de su
aceptación, debido a que las instalaciones de la institución no son muy
adecuadas ya que no cuenta con el espacio suficiente para operar.
b. Efectos y/o implicancias probables.
Las posibles implicaciones que esta podría tener es la falta del alumnado ya que
estos buscan comodidad y buenas instalaciones para su instancia.
3.- Mobiliario y Equipo del Centro de Cómputo:
Objetivo:
Dar a conocer el estado actual del mobiliario y equipos del centro de cómputo.
a. Situación.
El centro de cómputo del instituto se encuentra en condiciones aceptables ya que
cada equipo cuenta con un juego de escritorio para su debido funcionamiento.
b. Efectos y/o implicancias probables.
Sin comentarios.
4.- Recurso Humano del Centro de Cómputo:
Objetivo:
Saber con qué recursos humanos cuenta el centro de cómputo.
57
a. Situación.
Actualmente el centro de cómputo se encuentra en un 25% de su aceptación,
debido a que no existe personal encargado para su administración, ya que el
ingreso a este es bajo la responsabilidad del asesor académico que haga uso de
este.
b. Efectos y/o implicancias probables.
Uno de los principales efectos que esta puede tener es la perdida de información,
así como el extravió de equipos del laboratorio entre otros factores.
5.- Hardware del Centro de Cómputo:
Objetivo:
Conocer el estado actual del Hardware
a. Situación.
1. El mantenimiento preventivo que se le da a los equipos de cómputo es
a cada seis meses, pero no existe un documento donde especifique:
Fechas de mantenimiento.
Numero de máquinas.
Defectos que estas presenten y que se hayan presentado.
Etc.
2. Los equipos de cómputo que adquieren no cuentan con garantías que
avale su rendimiento.
3. Aseguran que el personal encargado para administrar los equipos de
cómputo cuenta con los conocimientos adecuados para administrar
estos y por consiguiente en el área de soporte técnico, pero en realidad
no existe tal encargado.
4. En cuanto al área de trabajo si cumple con los siguientes requisitos:
Localización física, Aire acondicionado y Rutas de evacuación.
5. La ubicación física del centro de cómputo se encuentra en el área
adecuada para diversos desastres que se presenten.
58
6. Existencia de políticas relacionadas con el ingreso y salida de equipos
de cómputo.
7. Aseguran tener políticas y procedimientos al uso y protección de
hardware, pero en realidad no existe tal documento que avale la
existencia del mismo.
8. En los aspectos de seguridad “dicen” que si cuentan con una
identificación formal, para el punto: Administración del Hardware,
Descripción del Hardware (características básicas), Registro del
hardware instalado, Dados de baja, En proceso de adquisición, etc.;
Pero en realidad no existe un documento que avale su existencia.
Actualmente existen 20 equipos de cómputo en el centro de cómputo, 19
equipos de cómputo se encuentran en buen estado y una se encuentra fuera
de servicio.
Existen 20 reguladores todos se encuentran en buen estado.
b. Efectos y/o implicancias probables.
1. Uno de los principales efectos que esta puede traernos es la falta de
servicios (acceso a internet, investigaciones, practicas, entre otras),
posibles fallas sin saber sus causas, etc.
2. En caso de presentar fallas no existe manera de hacer devoluciones al
proveedor.
3. Perdida de información, extravió de equipos, mal uso del software,
entre otras.
4. Mal uso de equipos de cómputo, pérdidas de información, daños
físicos.
5. Presentación de daños físicos, ignorancia del hardware (uso,
mantenimiento, funcionalidad, fallas, entre otras), desconocimiento de
59
fechas de eliminación y por consiguiente la adquisición (Fechas,
Cantidad, Proveedor, Costo, etc.).
6.- Software del Centro de Cómputo:
Objetivo:
Conocer las condiciones en que se encuentra el Software del centro de Cómputo
a. Situación.
1. El software que se está usando funcionan correctamente.
2. Uno de los principales puntos a tomar en consideración son las
garantías que el proveedor nos da como requisito de calidad del
producto que adquirimos, por este motivo es desaprobatorio que el
software que se está utilizando no cuente con estos.
3. El software cumple con las expectativas del usuario, por lo tanto es un
producto eficaz.
4. Actualmente la institución “dice contar” con manuales para la
instalación de un nuevo software, pero en realidad no existe tal
documento, por lo tanto se considera desaprobatorio para fines de un
buen servicio.
5. También “dicen contar” con procedimientos para el respaldo de
programas y archivos, en caso de desastres; pero en realidad no existe
tal documento que avale lo antes mencionado.
6. Actualmente cuenta con controles para que solo personal autorizado
tenga acceso a dichos respaldos, no existe tal documento.
7. También tenemos la existencia de políticas y procedimientos para el
uso y protección del software, el cual estas políticas se encuentran
especificadas en este mismo documento.
60
8. En los aspectos de seguridad “dicen” que si cuentan con una
identificación formal, para el punto: Administración del software, y de la
misma manera para Sistemas operativos, Utilerías, Paquetes,
Cuantificación del software (original y copias). pero en realidad no
existe un documento que avale su existencia,
9. Según se aseguran que el sistema en operación cumple formalmente
con los procedimientos de seguridad en el desarrollo del mismo, pero
en realidad esta aseveración no es verdadera por que no cuentan con
un personal encargado para el área de informática.
b. Efectos y/o implicancias probables.
1. Probabilidad de que el Software sea adquirido de manera ilegal,
Rendimiento inapropiado.
2. Existencia de posibles fallas en el funcionamiento por no contar con: la
características específicas del software tales como: Capacidad (Mb),
Opciones de rendimiento, Pasos para su instalación.
3. Perdida de información total por no contar con especificaciones, en
dichos respaldos.
4. Probabilidad de extravió, robo, de dichos respaldos por falta de
especificaciones.
5. Mal uso del software, extravíos entre otras.
6. Mal funcionamiento de los equipos, por lo tanto un bajo rendimiento.
7.- Área de Redes del Centro de Cómputo:
Objetivo:
Conocer el estado actual del área de Redes
a. Situación.
61
1. Existencia de normas para las siguientes áreas:
a. Aseguran tener procedimientos para conectar nuevos equipos en
la red, pero no es cierto, porque no existe un documento que
avale la existencia de este.
b. Falta de procedimiento para conectar cualquier conexión a
internet, como red telefónica conmutada o internet.
c. Existencia de planes y procedimientos para la introducción de
equipos fuera del horario de servicio.
2. El centro de cómputo cuenta con la seguridad física para el acceso a
este mismo.
3. Aseguran revisar la red de comunicaciones buscando intercepciones, de
lo cual no es posible ya que no existe un procedimiento de cómo se
lleve a cabo este.
4. Existencia de riesgos en la red.
5. El centro de cómputo se encuentra exento de los siguientes puntos:
inundación e incendios.
6. No existe espacio suficiente para los equipos.
7. La conexión a internet es vía inalámbrica, la cual proporciona una
inseguridad indeseable.
8. Existencia de planos de instalación eléctrica.
9. Existencia de reguladores para cada equipo de cómputo.
10.No existe personal encardo para la seguridad de la información.
11.El acceso al laboratorio se lleva a cabo a través de los siguientes
puntos: Vigilante, Registro de entradas e identificación personal.
62
12.No existen extintores de fuego.
13.Existencia de rutas de evacuación.
b. Efectos y/o implicancias probables.
1. Mal funcionamiento de los dispositivos conectados a la red.
2. Si no existe un procedimiento de cómo monitorear direcciones ip
(Protocolos de internet), es más vulnerable de sufrir pérdidas de
información.
3. Uno de los principales riesgos en que se pueden dar a través de la red
son los robos de información, así como las pérdidas de datos.
4. La falta de espacio para los equipos puede causar daños físicos tanto
para el usuario y el mismo equipo.
5. Uno de los principales efectos es que cualquier persona ajena puede
acceder a la información y disponer de ella lo que quiera.
6. Si no existe una persona indicada para la seguridad de información,
están más propensos a posibles pérdidas de información.
7. Sin la existencia de extintores de fuego, es más posible perder
información por causas de incendios.
A T E N T A M E N T E
TSU. LUIS ARTURO DÍAZ OLETA
TSU. JESÚS VÁZQUEZ GORDILLO
TSU. BERSAIN DE JESÚS OLETA PÉREZ
TSU. TADEUS EDOARDO SARAGOS MORENO
(EQUIPO AUDITOR)
63
VII.- CIERRE Y CONCLUSIÓN DE LA AUDITORIA INFORMÁTICA
VII.1.- Dictamen Final
Elaborado por:
Equipo auditor
Elaborado para:
IUDEM (Instituto Universitario de Estudios de México)
Lic. Francisco Paulo Cruz Santos.
Introducción
La elaboración de la auditoria en el instituto de la IUDEM, Auditoria en las
áreas de Hardware, Software y de Red en el Centro de Computo del
Instituto Universitario de Estudios de México, se desarrolló con el
cronograma establecido por ambas partes en el contrato de prestaciones de
servicios.
Para esta auditoría se ha considerado las tres áreas de Hardware, Software
y de Red, (software, programas especiales de evaluación informática y
todos los demás elementos del sistema computacional, con el propósito de
evaluar las funciones, operaciones y actividades informáticas que se
realizan, tanto en los propios sistemas computacionales del centro de
cómputo.
64
Aseveraciones
Tabla 6.- Dictamen final de software
Empresa auditada:IUDEM (Instituto Universitario de Estudios de México)
Lic. Francisco Paulo Cruz Santos.
Áreas: Software
Fecha: 06/10/2010
Ref. Situaciones Causas Posibles Soluciones Fec. inicio
Responsable
1Inexistencia de documentos de garantías
No existen garantías para los equipos de cómputo.
Seleccionar a proveedores de prestigio y calidad, que avalen su servicio, a través de garantías válidas.
Desconocido
Director de la institución
2
Falta de documentación para instalaciones de equipos.
No existe un documento en donde se especifiquen los procedimientos para la instalación de un nuevo Hardware.
Realizar un documento con los procedimientos para la instalación de un nuevo Software.
Desconocido
Director de la institución
3
Inoperancia en los registros de respaldos de la información del centro de cómputo
No existe la responsabilidad en un solo funcionario
Asignar mediante un formato técnico apropiado la responsabilidad de los respaldos de la información
Desconocido
Director de la institución
4
Inexistencia de documentos en el aspecto de seguridad.
No existe un documento en donde se especifiquen los aspectos de seguridad en los siguientes puntos: Administración del software, y de la misma manera para Sistemas operativos, Utilerías, Paquetes, Cuantificación del software (original y copias).
Redactar un documento en donde se especifiquen los aspectos de seguridad en dichos puntos.
Desconocido
Director de la institución
5Falta de personal capacitado.
No existe un personal para el laboratorio de cómputo.
DesconocidoDirector de la institución
Director de la institución
65
Fuente: Formato por el equipo de auditoría informática.
Se detectó que no se cuenta con garantías que avalen el rendimiento de los
equipos.
No se encuentra documento donde se plasmen los procedimientos para la
instalación de nuevos equipos de cómputo.
Los respaldos no son periódicamente elaborados por una persona asignada
para su responsabilidad.
Se detectó la inexistencia de un documento en donde se especifique los
aspectos de seguridad.
La institución no cuenta con el personal adecuado para el área de
informática.
Tabla 7.- Dictamen final de hardware
Empresa auditada:
IUDEM (Instituto Universitario de Estudios de México)
Lic. Francisco Paulo Cruz Santos.
Áreas: Hardware
Fecha: 06/10/2010
Ref. Situaciones Causas
Posibles Soluciones Fec. inicio
Responsable
1
Inexistencia de documentos en el aspecto de mantenimiento.
No existe documento en donde se detallen los procedimientos adecuados para el mantenimiento.
Redactar un documento en donde se detallen los requisitos para darle mantenimiento preventivo y correctivo a los equipos de computo
Desconocido
Director de la institución
2Inexistencia de documentos de garantías.
No existen garantías para los equipos de cómputo.
Seleccionar a proveedores de prestigio y calidad, que avalen su servicio, a través de garantías válidas.
Desconocido
Director de la institución
66
3
Inexistencia de personal encargado del área de cómputo.
No existe un encargado para el área de informática.
Contratación de personal.
Desconocido
Director de la institución
4
Inexistencia de documentos, políticas y procedimientos al uso y protección de de hardware.
No existen documentos en donde se especifiquen las políticas y procedimientos para el uso y protección del software.
Redactar un documento en donde se especifiquen las políticas y procedimientos.
Desconocido
Director de la institución
5
Falta de documento en el aspecto de seguridad.
No existe documento en donde estén plasmados los siguientes puntos de seguridad: Administración del Hardware, Descripción del Hardware (características básicas), Registro del hardware instalado, Dados de baja, En proceso de adquisición, etc.
Redactar un documento en donde se especifiquen los aspectos de seguridad.
Desconocido
Director de la institución
Fuente: Formato diseñado por el equipo de auditoría informática.
Se detectó que no se cuenta con documentos que avalen el aspecto de
mantenimiento.
Se cuenta con los equipos adecuados pero no existe documentos de
garantías.
Falta de personal capacitado en área del centro de cómputo.
Se detectó la falta de documentos donde se especifiquen las políticas y
procedimientos para el uso y protección del software.
Inexistencia de documentos en el aspecto de seguridad.
67
Tabla 8.- Dictamen final de red
Empresa auditada:IUDEM (Instituto Universitario de Estudios de México)
Lic. Francisco Paulo Cruz Santos.
Áreas: Red
Fecha: 06/10/2010
Ref. Situaciones Causas
Posibles Soluciones Fec. inicio Responsable
1
Inexistencia de documentos de procedimientos para conectar nuevos equipos en la red
No existe documento en donde se detallen los procedimientos para conectar nuevos equipos de cómputo a la red.
Se propone la redacción de estos documentos detallando cada uno de los pasos
Desconocido
Director de la institución
2Falta de procedimiento de monitoreo en la red.
No existen procedimientos ni software que colaboren en la administración del mismo.
Adquisición de software, para el monitoreo.
Desconocido
Director de la institución
3 Riesgos en la red
No existe una seguridad adecuada en la red.
Contratación de personal capacitado.
Desconocido
Director de la institución
4Instalaciones del centro de informática
No existe un espacio adecuado para todos los equipos de cómputo.
Expansión del espacio o infraestructura institucional.
Desconocido
Director de la institución
5 Red insegura No existen restricciones para la conexión a internet, por lo cual se torna
Establecer medidas de seguridad en la red.
Desconocido
Director de la institución
68
una red insegura.
6Falta de personal capacitado.
No existe un personal encargado de la seguridad informática.
Contratación de personal encargado de la seguridad de la información.
Desconocido
Director de la institución
7 Falta de extintores
La inexistencia de extintores puede causar graves consecuencias, en lo que es la información y los equipos.
Adquisición de extintores.
Desconocido
Director de la institución
Fuente: Diseñado por el equipo de auditoría informática.
Se detectó que no existen documentos con procedimientos para conectar
nuevos equipos en la red.
Falta de procedimientos que contribuyan en el monitoreo de la red
monitorear la red.
Se detectó riesgos en la red, por no contar con personal especializado.
Las instalaciones no brinda espacio suficiente para los equipos de cómputo.
S e detecto que en la red no existen restricciones para las conexiones.
Se encontró que no cuentan con personal especializado en lo que es la
seguridad del centro de cómputo.
Se encontró la inexistencia de extintores de fuego.
69
VII.2.- Conclusión General de la Auditoria Informática de la áreas Auditadas
Principales debilidades de Seguridad encontradas en el Instituto Universitario de
México
• En general no existe conciencia de Seguridad Informática.
• No existe un Área de Seguridad dedicada a tiempo completo a
proteger la disponibilidad, integridad y confidencialidad de la
información.
• No existen políticas de seguridad a nivel institucional que protejan el
activo “información”.
• No existe segmentación en la arquitectura de la red, los servidores
de producción están en el mismo segmento de red que las
estaciones de trabajo.
• No existe control sobre las carpetas compartidas en la red.
• En la institución no existe un sistema automatizado que permita la
actualización de seguridad en los sistemas operativos.
• La navegación a Internet se realiza desde la red interna lo cual
expone tanto la red interna como todas las redes a las cuales esté
conectado el usuario.
• En la institución no están instalados Sistemas de Prevención o
Detección de Intrusos a nivel de red.
70
VIII.- TOMA DE DECISIONES
La toma de decisiones es el proceso mediante el cual se realiza una elección entre
las alternativas o formas de resolver diferentes situaciones de la vida, estas se
pueden presentar en diferentes contextos: a nivel laboral, familiar, sentimental y
empresarial (utilizando métodos cuantitativos que brinda la administración). La
toma de decisiones consiste básicamente, en elegir una alternativa entre las
disponibles, a los efectos de resolver un problema actual o potencial.
VIII.1.- Reconocimiento del problema
En esta etapa se reconoce el problema existente en el Instituto Universitario de
Estudios de México IUDEM, mediante el proceso de auditoria en las áreas de
Redes, Hardware y Software de la institución. El problema detectado implica una
amenaza para la institución si no se llegaran a tomar alternativas de solución para
la erradicar estos problemas.
El Instituto Universitario de Estudios de México IUDEM cuenta con muy pocos
equipos de cómputo, para ofrecer servicios informáticos. Los usuarios de estos
equipos demandan contar con una infraestructura de cómputo y de
comunicaciones de alta disponibilidad y con capacidades de crecimiento.
Sin embargo, cada equipo de cómputo del laboratorio de informática le cuesta al
IUDEM casi $15.000 pesos, lo cual incluye mantenimiento, administración y
licencias de hardware y software.
De acuerdo a investigación de auditoria, muchos de los equipos de cómputo son
comunes que corran entre un 20% y 25% de utilización, lo cual representa una
subutilización de su capacidad. De ahí la necesidad de recurrir a tecnologías
71
emergentes como la virtualización que ayudan a reducir el costo total de propiedad
en TI y a contar con un alto retorno de inversión.
VIII.2.- Interpretación del problema
En esta etapa el equipo auditor examina si las probables amenazas u
oportunidades son lo suficiente importante como para justificar el esfuerzo de
tomar una decisión al respecto.
Aquí se define la prioridad basándose en el impacto y en la urgencia que se tiene
para atender y resolver el problema.
VIII.3.- Atención al problema
En esta etapa el equipo auditor desarrolla distintas posibles soluciones al problema.
Tomando en cuenta la auditoría realizada en el Instituto Universitario de Estudios
de México IUDEM en las áreas de Redes, Software y Hardware, se realizan las
siguientes propuestas de mejora para cada área auditada, mediante análisis
minucioso de la interpretación de los problemas obtenidos en proceso de
auditoría.
A continuación se hace un listado de las posibles tecnologías que se podrían
implementar para la solución de dicho problema las cuales son:
La Virtualización
El Cloud
La Virtualización de Escritorios
Variabilización del factor forma en el Hardware
Software 'Low Cost'
72
Para generar estas alternativas de solución, fue necesario el uso de técnicas tales
como la lluvia de ideas, donde se analizaron y valoraron los mismos considerando
las ventajas y limitaciones de cada alternativa.
VIII.4.- Cursos de acción
En esta etapa se pone en marcha la decisión tomada para así poder evaluar si la
decisión fue o no acertada.
En nuestro caso como auditores llegamos a la conclusión de utilizar tecnologías
emergentes que ayuden a realizar las actividades de manera eficiente dentro de la
institución, procurando el ahorro de tiempo, esfuerzo y por supuesto en lo
económico ya que este es un factor muy importante en el desarrollo de
organizaciones. La alternativa de solución que brinda todo lo anterior es la
virtualización.
VIII.5.- Consecuencias
Después de poner en marcha la decisión es necesario evaluar si soluciono o no el
problema, es decir si la decisión está teniendo el resultado esperado.
Los resultados que nosotros como equipo auditor esperamos al implantar esta
tecnología emergente es:
La protección de datos que incluya procesos de respaldo y restauración
ininterrumpidos.
Alta disponibilidad a través de caídas del sistema planeadas y no
planeadas.
Recuperación de desastre con recuperación independiente del hardware.
Debe consolidar servidores.
Reducir costos en la adquisición de equipos de cómputo.
73
Mejorar la continuidad de la institución.
Mejorar la infraestructura de la institución.
Llegar a hacer líderes en la educación mediante implantación de
tecnologías emergentes de alto impacto en la educación.
Modificar los estándares referentes al cómputo en servidores y sistemas de
escritorio.
VIIII.- PROPUESTA DE SOLUCIÓN BASADA EN TECNOLOGÍAS EMERGENTES
Tomando en cuenta la auditoría realizada en el Instituto Universitario de Estudios
de México IUDEM en las áreas de Redes, Software y Hardware, procedemos a
realizar las siguientes propuestas de mejora para cada área auditada ya que se
hizo un análisis minucioso de los resultados obtenidos en dicha auditoria, y se
llegó a la conclusión que el instituto necesita tecnologías emergentes que ayuden
a realizar sus actividades de manera eficiente, procurando el ahorro de tiempo,
esfuerzo y por supuesto en lo económico ya que este es un factor muy importante
en el desarrollo de organizaciones.
A continuación se hace un listado de las posibles tecnologías que se podrían
implementar las cuales son:
La Virtualización
El Cloud
La Virtualización de Escritorios
Variabilización del factor forma en el Hardware
Software 'Low Cost'
74
VIIII.1.- Cuadro Comparativo
Tabla 9.- Cuadro Comparativo de Tendencias Tecnológicas
Virtualización Cloud Computing (Nubes de Computación)
Ventajas Rápida incorporación de nuevos recursos para los servidores virtualizados.
Reducción de los costes de espacio y consumo necesario de forma proporcional al índice de consolidación logrado.
Reducción de los costes de TI gracias al aumento de la eficiencia y la flexibilidad en el uso de recursos.
Administración global centralizada y simplificada.
Nos permite gestionar nuestro CPD como un pool de recursos o agrupación de toda la capacidad de procesamiento, memoria, red y almacenamiento disponible en nuestra infraestructura
Mejora en los procesos de clonación y copia de sistemas: Mayor facilidad para la creación de entornos de test que permiten poner en marcha nuevas aplicaciones sin impactar a la producción, agilizando el proceso de las pruebas.
Aislamiento: un fallo general de sistema de una máquina virtual no afecta al resto de máquinas virtuales.
No sólo aporta el beneficio directo en la reducción del hardware necesario, así como de sus costes asociados
Integración probada de
servicios Red. Prestación de servicios a nivel
mundial. Una infraestructura 100% de
"Cloud Computing" no necesita instalar ningún tipo de hardware.
Implementación más rápida y con menos riesgos.
Actualizaciones automáticas que no afectan negativamente a los recursos de TI.
75
Reduce los tiempos de parada.
Migración de máquinas virtuales (sin pérdida de servicio) de un servidor físico a otro, eliminando la necesidad de paradas planificadas por mantenimiento de los servidores físicos.
Balanceo dinámico de máquinas virtuales entre los servidores físicos que componen el pool de recursos, garantizando que cada máquina virtual ejecute en el servidor físico más adecuado y proporcionando un consumo de recursos homogéneo y óptimo en toda la infraestructura.
Alto grado de satisfacción general.
Desventajas Rendimiento inferior. No dispondremos de
aceleración de vídeo por hardware.
La avería del servidor anfitrión de virtualización afecta a todas las máquinas virtuales alojadas en él.
No es posible utilizar hardware que no esté gestionado o soportado por el hypervisor.
La centralización de las aplicaciones y el almacenamiento de los datos origina una dependencia de los proveedores de servicios.
La disponibilidad de las aplicaciones está atadas a la disponibilidad de acceso a internet.
Los datos "sensibles" del negocio no residen en las instalaciones de las empresas por lo que podría generar un contexto de alta vulnerabilidad para la sustracción o robo de información.
La confiabilidad de los servicios depende de la "salud" tecnológica y financiera de los proveedores de servicios en nube. Empresas emergentes o alianzas entre empresas podrían crear un ambiente propicio para el monopolio y el crecimiento exagerado en los servicios.
La disponibilidad de servicios altamente especializados podría tardar meses o incluso años para que sean factibles de ser desplegados en la red.
La madurez funcional de las aplicaciones hace que continuamente estén
76
modificando sus interfaces por lo cual la curva de aprendizaje en empresas de orientación no tecnológica tenga unas pendientes pequeñas.
Seguridad. La información de la empresa debe recorrer diferentes nodos para llegar a su destino, cada uno de ellos ( y sus canales) son un foco de inseguridad. Si se utilizan protocolos seguros, HTTPS por ejemplo, la velocidad total disminuye debido a la sobrecarga que requieren estos protocolos.
Escalabilidad a largo plazo. A medida que más usuarios empiecen a compartir la infraestructura de la nube, la sobrecarga en los servidores de los proveedores aumentará, si la empresa no posee un esquema de crecimiento óptimo puede llevar a degradaciones en el servicio o jitter altos.
Fuente: Formato diseñado por el equipo de auditoría informática.
VIIII.1.1- Descripción de las Alternativas Seleccionadas
1. La Virtualización: Permite usar dispositivos simples como soporte de
aplicaciones complejas. Se refiere a la disponibilidad de tecnologías capaces
de ofrecer virtualización de aplicaciones, entornos, y equipos, lo que permitirá
acceder a una amplísima gama de servicios sin obligar al usuario a contar con
múltiples dispositivos que requieren sustitución y actualización.
La virtualización transforma los recursos de hardware de una computadora
tales como el CPU, RAM, disco duro y controlador de red en una máquina
virtual completamente funcional que pueda correr su propio sistema operativo y
aplicaciones como si fuera una computadora real.
La vitalización, que permite usar dispositivos simples como soporte de
aplicaciones complejas. Se refiere a la disponibilidad de tecnologías capaces
77
de ofrecer vitalización de aplicaciones, entornos, y equipos, lo que permitirá a
una amplísima gama de servicios sin obligar al usuario a contar múltiples
dispositivos que requieren sustitución y actualización.
2. El Cloud (o nubes de computación) que aspira a convertirse en
infraestructura básica sobre la que se ejecutan las aplicaciones informáticas
aprovechando la disponibilidad de comunicación y el abaratamiento de los
componentes electrónicos.
En este tipo de computación todo lo que puede ofrecer un sistema informático
se ofrece como servicio, de modo que los usuarios puedan acceder a los
servicios disponibles "en la nube de Internet" sin conocimientos (o, al menos
sin ser expertos) en la gestión de los recursos que usan.
VIIII.2.- Determinar la Tecnología de Emergente a Implantar
El Instituto Universitario de Estudios de México IUDEM cuenta con muy pocos
equipos de cómputo, para ofrecer servicios informáticos. Los usuarios de estos
equipos demandan contar con una infraestructura de cómputo y de
comunicaciones de alta disponibilidad y con capacidades de crecimiento.
Sin embargo, cada equipo de cómputo del laboratorio de informática le cuesta al
IUDEM casi $15.000 pesos, lo cual incluye mantenimiento, administración y
licencias de hardware y software.
De acuerdo a investigación de auditoria, muchos de los equipos de cómputo es
común que corran entre un 20% y 25% de utilización, lo cual representa una
subutilización de su capacidad. De ahí la necesidad de recurrir a tecnologías
emergentes como la virtualización que ayudan a reducir el costo total de propiedad
en TI y a contar con un alto retorno de inversión.
78
Con la virtualización no solamente se pretende reducir costos en el crecimiento de
los equipos de laboratorio sino que se busca mejorar la calidad de atención de los
usuarios.
VIIII.2.1.- Descripción de la Virtualización
La virtualización transforma los recursos de hardware de una computadora, tales
como el CPU, RAM, Disco Duro y Controlador de Red en una máquina virtual
completamente funcional que pueda correr su propio sistema operativo y
aplicaciones como si fuera una computadora real.
La virtualización promete hacer los negocios más ágiles, más seguros, más
eficientes, más disponibles y más productivos.
Una máquina virtual (VM) es un contenedor de software firmemente aislado que
corre sus propios sistemas operativos y aplicaciones como si fuera una
computadora física.
Las máquinas virtuales trabajan mediante hypervisor que es una capa delgada de
software que corre arriba del hardware de la computadora y debajo de uno o más
sistemas operativos, su propósito principal es proveer ambientes de ejecución
aislados llamados particiones.
El hypervisor es un simple binario que contiene varios componentes como el
scheduler, para la administración de particiones y la administración del procesador
virtual.
Al emplear la tecnología de máquinas virtuales se obtienen los siguientes
beneficios claves: aislamiento, estandarización, consolidación, facilidad de prueba
y movilidad.
Una infraestructura virtualizada mejora la continuidad del negocio y automatiza el
mantenimiento.
La virtualización dentro del laboratorio del IUDEM pretende soluciones que
buscan:
79
La protección de datos que incluya procesos de respaldo y restauración
ininterrumpidos.
Alta disponibilidad a través de caídas del sistema planeadas y no
planeadas.
Recuperación de desastre con recuperación independiente del hardware.
VIIII.2.2.- Objetivos
Al implementar la virtualización en el Instituto Universitario de Estudios de México
IUDEM se pretende los siguientes objetivos:
La protección de datos que incluya procesos de respaldo y restauración
ininterrumpidos.
Alta disponibilidad a través de caídas del sistema planeadas y no
planeadas.
Recuperación de desastre con recuperación independiente del hardware.
Debe consolidar servidores.
Reducir costos en la adquisición de equipos de cómputo.
Mejorar la continuidad de la institución.
Mejorar la infraestructura de la institución.
Llegar a hacer líderes en la educación mediante implantación de
tecnologías emergentes de alto impacto en la educación.
Modificar los estándares referentes al cómputo en servidores y sistemas de
escritorio.
VIIII.2.3.- Actores
Aquí haremos mención de las áreas de la institución y elementos que se
involucran en la implantación y uso de la tendencia de Virtualización.
80
Las áreas más involucradas con la implantación de esta tecnología emergente
son los siguientes: Informática, Finanzas, Desarrollo y Mercadotecnia.
VIIII.2.4.- Alcances
La infraestructura virtual que dará como resultado disminución de costos,
aumento de eficiencia y tiempo de respuesta.
La infraestructura virtualizada mejora la continuidad de la institución
La protección de datos mediante infraestructura virtualizada incluyen
procesos de respaldo y restauración ininterrumpidos.
La infraestructura virtual ofrece alta disponibilidad a través de caídas del
sistema planeadas y no planeadas.
VIIII.2.5.- Definición de los tiempos
El tiempo en que se tardara para implementar esta tendencia dentro de la
institución es de 3 meses, con una capacitación de un mes y se plantea que el
tiempo de vida útil sea de 10 años.
VIIII.2.6.- Costo-valor-beneficio
El análisis costo/beneficio es el proceso de colocar cifras en pesos en los
diferentes costos y beneficios de una actividad utiliza medidas cuantitativas para
evaluar los costos y beneficios de los S.I.
Este criterio se recomienda usualmente para evaluar sistemas cuyos costos y
beneficios primarios son tangibles.
La técnica de análisis costo/beneficio tiene como objetivo fundamental
proporcionar una medida de los costos en que se incurre en la realización de un
81
proyecto y comparar dichos costos previstos con los beneficios esperados en la
realización de dicho proyecto.
Se debe utilizar el Análisis Costo / Beneficio al comparar los costos y beneficios
de las diferentes decisiones. Un Análisis de Costo / Beneficio por si solo puede no
ser una guía clara para tomar una buena decisión. Existen otros puntos que
deben ser tomados en cuenta, ej. la moral de los empleados, la seguridad, las
obligaciones legales y la satisfacción del cliente.
El análisis Costo/Beneficio involucra los siguientes seis pasos:
1.- Llevar a cabo una lluvia de ideas o reunir datos provenientes de factores
importantes relacionados con cada una de sus decisiones.
2.- Determinar los costos relacionados con cada factor. Algunos costos, como la
mano de obra serán exactos mientras que otros serán estimados.
3.- Sumar los costos totales para cada decisión propuesta.
4.- Determinar los beneficios en dólares para cada decisión.
5.- Poner las cifras de los costos y beneficios totales en la forma de una relación
donde los beneficios son el numerador y los costos son el denominador:
Costo/Beneficio.
El cuerpo académico y el director de la IDEM decidieron aumentar el rendimiento
de los equipos adquiriendo equipo con características superiores, para que en
este mismo alojaran algunos servicios extras. El nuevo equipo permitirá el
alojamiento de múltiples servicios y para realizar este se necesita personal
capacitado para manipular el mismo. El análisis de Costo / Beneficio del cuerpo
académico el primer año es el siguiente.
82
Tabla 10.- Valor-costo-beneficio de la Virtualización
Costos Beneficios
Virtualización Mayor demanda estudiantil
Adquisición del equipo. $35,000.00 Consolidación de
sistemas operativos
$25,000.00
Contratación de personal
experto.
$60,000.00 Crecimiento del
alumnado
$45,000.00
Adquisición de nuevos
libros de mantenimiento.
$2,000.00
Publicidad de servicios $6,000.00 Crecimiento del
alumnado
$45,000.00
Servicios de
mantenimiento
$1,600.00
Costos totales $98,600.00 Beneficios totales $115,000.00
Fuente: Diseñado por el equipo de auditoría informática.
Este análisis hizo que el cuerpo académico hiciera una pausa para pensar.
Estaban muy entusiasmados con la idea de contratar a un experto y los cálculos
demostraron un beneficio deseable para el primer año (19,000). Sin embargo, la
relación beneficios a costos es de $1.11 de retorno por cada peso gastado. Este
sería un retorno positivo.
VIIII.2.7.- Construcción/Interpretación
Aunque es deseable que los beneficios sean más grandes que los costos, no
existe una respuesta única de cuál es la relación ideal de beneficio a costo.
83
Como se indicó anteriormente, los beneficios tales como la moral de los
empleados, las responsabilidades legales, y la seguridad pueden ser beneficios
escondidos que no son evidentes en el análisis original.
VIIII.2.8.- Punto de equilibrio
Observar el punto de equilibrio para realizar un esfuerzo por mejorar es una de las formas más sencillas de hacer el análisis de Costo/ Beneficio. El punto de equilibrio es el tiempo que tomaría para que el total de los ingresos incrementados y/o la reducción de gastos sea igual al costo total. Sin embargo, no toma en cuenta el valor del dinero en el tiempo.
Fórmula: PE = (Costo / Total Ingresos incrementados y/o reducción de gastos) x 12 (Meses)
Costo = $98,600.00
Total de ingresos = $115,000.00
PE = (98600/115000)* 12 meses
El Punto de Equilibrio es: 10.2886
VIIII.3.- Diagnóstico de la situación actual del uso de las T.I. en los procesos
de la organización.
Actualmente la institución cuenta con un laboratorio con 20 computadoras, 19
están en servicio y una se encuentra fuera de, estas están bajo la plataforma
Windows. También cuenta con 20 reguladores todos en buen estado. Se cuenta
con servicio de internet el cual es vía inalámbrica con un ancho de banda de 2mb.
VIIII.4.- Justificación de la viabilidad de la Virtualización
84
Las máquinas virtuales suelen encapsularse en ficheros, esto otorga una
importante flexibilidad a los despliegues, ya que el salvado, copia o eliminación de
los encapsulados virtuales es rápida, cómoda y sencilla. Luego de aquí se
deducen dos importantes ventajas: flexibilidad y escaso o nulo tiempo de
recuperación ante un incidente.
Por otro lado, las máquinas virtuales pueden contener sistemas de muy distinta
índole: es absolutamente posible y factible tener en nuestro servidor de
virtualización, coexistiendo, una solución Windows, otra Linux, un BSD y un
Solaris, por ejemplo, todo ello en una única máquina física. De aquí emanan otras
dos ventajas: bajo coste y aprovechamiento óptimo de los recursos.
La disociación entre lo físico y lo virtual permite obtener otras ventajas. La
principal es la seguridad, ya que las máquinas virtuales sólo pueden comunicarse
con otras máquinas virtuales y con el exterior a través de conexiones
correctamente configuradas. Esto hace ideales a las máquinas virtuales como
cajas de arena experimentales, en las que es posible contaminar un sistema y
observar su comportamiento con fines de conocer la seguridad del mismo.
Además de lo anterior brinda:
Aislamiento: las máquinas virtuales son totalmente independientes, entre sí
y con el hypervisor. Por tanto un fallo en una aplicación o en una máquina
virtual afectará únicamente a esa máquina virtual. El resto de máquinas
virtuales y el hypervisor seguirán funcionando normalmente.
Seguridad: cada máquina tiene un acceso privilegiado (root o
administrador) independiente. Por tanto, un ataque de seguridad en una
máquina virtual sólo afectará a esa máquina.
Flexibilidad: podemos crear las máquinas virtuales con las características
de CPU, memoria, disco y red que necesitemos, sin necesidad de
“comprar” un ordenador con esas características. También podemos tener
máquinas virtuales con distintos sistemas operativos, ejecutándose dentro
de una misma máquina física.
85
Agilidad: la creación de una máquina virtual es un proceso muy rápido,
básicamente la ejecución de un comando. Por tanto, si necesitamos un
nuevo servidor lo podremos tener casi al instante, sin pasar por el proceso
de compra, configuración, etc.
Portabilidad: toda la configuración de una máquina virtual reside en uno o
varios ficheros. Esto hace que sea muy fácil clonar o transportar la máquina
virtual a otro servidor físico, simplemente copiando y moviendo dichos
ficheros que encapsulan la máquina virtual.
Recuperación rápida en caso de fallo: si se dispone de una copia de los
ficheros de configuración de la máquina virtual, en caso de desastre la
recuperación será muy rápida, simplemente arrancar la máquina virtual con
los ficheros de configuración guardados. No es necesario reinstalar,
recuperar backups y otros procedimientos largos que se aplican en las
máquinas físicas.
VIIII.6.- Mejoras a los procesos realizados en la institución basándose en los lineamientos del ITIL
Al emplear la tecnología de máquinas virtuales se obtienen los siguientes
beneficios: aislamiento, estandarización, consolidación, facilidad de prueba
y movilidad.
Las máquinas virtuales son un block de construcción fundamental de
soluciones más grandes como la infraestructura virtual que representa los
recursos de hardware interconectados de una infraestructura de TI – que
incluye computadoras, dispositivos de red y recursos de almacenamiento
compartido - lo cual mejora la disponibilidad, seguridad y administración.
La virtualización puede hacer los procesos y/o actividades más ágiles, más
seguras, más eficientes, más disponibles y más productivas.
86
En cuanto a aprovechamiento del hardware, un mal extendido en los CPDs
actuales es el gran número de servidores, muchos de ellos infrautilizados.
Si se virtualiza un número de esos sistemas infrautilizados en un solo
servidor físico, se ahorrará energía, espacio, capacidad de refrigeración y
administración, debido a que se ha reducido el número de servidores
físicos.
Una máquina virtual (VM) es un contenedor de software firmemente aislado
que corre sus propios sistemas operativos y aplicaciones como si fuera una
computadora física.
Todas estas ventajas tienen un precio, que consiste fundamentalmente en
una pérdida de rendimiento, es decir, una aplicación generalmente correrá
más despacio en una máquina virtual que en un servidor físico. La
degradación dependerá de la tecnología de virtualización utilizada, de la
configuración realizada a nivel hypervisor y de la propia aplicación. Por
regla general, las aplicaciones que más repercuten la pérdida de
rendimiento son las que realizan operaciones frecuentes de entrada/salida.
Otro aspecto a tener en cuenta es que la máquina física deberá contar con
suficiente memoria para poder arrancar todas las máquinas virtuales. Si
queremos crear, por ejemplo, 20 máquinas virtuales en un servidor físico y
que estén funcionando simultáneamente, hay tecnologías que permiten
hacerlo con 1 sola CPU física (HP Integrity Virtual Machines). Pero al
menos necesitaremos 1 GB de memoria para cada máquina virtual, más la
requerida por el hypervisor, lo que daría lugar a unos requerimientos de
unos 22 GB de memoria. Es decir, necesitaríamos un servidor con 1 CPU y
22 GB de memoria (lo que es una configuración bastante extraña).
87
CONCLUSIÓN
El trabajo realizado ha servido par a ver un panorama de la situación de la
Auditoria en Informática, muchas veces se habla de controles y de seguridad pero
pocas veces uno se concientiza de que estos son de poca utilidad si no se les
evalúa objetivamente, el mundo hoy en día avanza tan rápidamente que la
tecnología se vuelve anticuada u obsoleta con gran facilidad y las empresas
buscan estar a la vanguardia de esta tecnología para así ser más competitivas,
pero el tener la última tecnología no significa que esta sea utilizada correctamente
o muchas veces que la necesitemos realmente.
El concientizar a las empresas sobre la importancia de la Auditoria en Informática
es el primer paso para una adecuada implementación de controles y de TI, porque
debemos tener en cuenta que actualmente las empresas no sobreviven si no es
con la tecnología de información y si esta es poco eficaz, o bien insuficiente, hace
menos completa a las empresas, sin importar que tan grande sea su avance
tecnológico este no deja de ser operado por un ser humano directa o
indirectamente, por lo que una correcta evaluación nos puede ayudar a explotar
mejor cada herramienta tecnológica que tengamos a nuestro alcance.
Por esta y muchas otras razones se decidió llevar a cabo una Auditoria Informática
en el Instituto Universitario de Estudios de México (IUDEM), ubicado en Ocosingo
Chiapas, auditando tres principales áreas las cuales son: Hardware, Software y
Red.
En el análisis minucioso que se le hizo a los resultados obtenidos de la Auditoria,
se detectaron muchas irregularidades en el funcionamiento de las áreas
mencionadas anteriormente, para tales irregularidades se procedió a proponer
mejoras o innovaciones con respecto los servicios que esta brinda, para esto se
tomó la decisión de implementar la Virtualización, la cual esta es una tecnología
88
emergente que está disponible para todas aquellas organizaciones deseosas
brindar un mejor servicio.
Durante este tiempo aprendimos cosas nuevas como el de tener idea de lo que
implica trabajar en una empresa y lo que conlleva sacar adelante un proyecto, por
otra parte hay que recalcar que en la mayoría de los proyectos se presentan
dificultades y obstáculos durante el proceso de la misma, y nuestro caso no fue la
excepción por que al igual se presentaron algunas dificultades en la realización de
algunas tareas y/o actividades, la cual fue un obstáculo que afortunadamente no
paso a mayores gracias a los apuntes y los manuales que teníamos a la mano y
no hay que olvidar que todo lo aprendido en las aulas nos permitió realizas
actividades con el mínimo error posible.
La información que contiene este documento fue realizado desde el momento en
que el equipo desarrollador del proyecto se presentó en la IUDEM, cabe
mencionar que todo este trabajo fue producto de investigaciones, recopilación de
información mediante encuestas y entrevistas directas con el director del Instituto.
Además agradecemos ampliamente a la Universidad Tecnológica de la Selva
porque fue el punto clave para el desarrollo profesional dándonos la oportunidad
de desempeñar la actividad dentro del organismo social logrando adquirir nuevos
conocimientos que nos serán de utilidad para el día de mañana.
89
BIBLIOGRAFÍA AUDITORÍA
Artículo: “Auditoria en Informática.”
Fecha de publicación: 21-Enero-2002
Dirección URL: http://dmi.uib.es/~bbuades/auditoria/sld003.htm
Artículo: “La Auditoria Informática: métodos, reglas, normas.”
Autor: Thorin, Marc
Fecha de publicación: Diciembre 1997
Dirección URL: http://html.rincondelvago.com/auditoria-informatica_1.html
Artículo “Mejores prácticas de la auditoria informática.”
Dirección URL: http://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-
organo-legislativo/ch03s02.html
Artículo “Fundamentos de la Gestión TI.”
Autor: María Teresa
Fecha de publicación: 28/03/2007
Dirección URL:
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_T
I/que_es_ITIL/q ue_es_ITIL.php
CLOUD COMPUTING (NUBES DE COMPUTACIÓN)
http://es.wikipedia.org/wiki/Computaci%C3%B3n_en_nube
http://www.itnews.ec/marco/000035.aspx
http://redusers.com/expandit/seguridad-en-la-nube/
90
http://www.arturogoga.com/2010/05/11/especial-cloud-computing-o-computacion-
en-nube-que-es-para-qu-sirve/
VIRTUALIZACIÓN
http://www.techweek.es/virtualizacion/tech-labs/1003109005901/ventajas-
desventajas-virtualizacion.1.html
http://www.techweek.es/virtualizacion/tech-labs/1003109005901/ventajas-
desventajas-virtualizacion.3.html
http://www.techweek.es/virtualizacion/tech-labs/1003109005901/ventajas-
desventajas-virtualizacion.4.html
http://www.itnews.ec/marco/000171.aspx
http://www.itnews.ec/marco/000039.aspx
http://www.itnews.ec/marco/000047.aspx
http://www.itnews.ec/marco/000038.aspx
http://www.virtualizados.com/10-desventajas-de-la-virtualizacion
http://www.techweek.es/virtualizacion/tech-labs/1003109005901/ventajas-
desventajas-virtualizacion.1.html
http://www.techweek.es/virtualizacion/tech-labs/1003109005901/ventajas-
desventajas-virtualizacion.2.html
http://www.techweek.es/virtualizacion/tech-labs/1003109005901/ventajas-
desventajas-virtualizacion.3.html
http://www.techweek.es/virtualizacion/tech-labs/1003109005901/ventajas-
desventajas-virtualizacion.4.html
91
ANEXOS
92