Auditoría-De-Redes-Uepvi Ejemplo PDF

AUDIT SYSTEM EMPRESA AUDITORA
PROPUESTA DE SERVICIOS
AUDITORÍA DE REDES
INTEGRANTES:
Carla Caranqui
Jonathan Lara
Víctor Molina
Cristina Morán
Andrea Muñoz
Fernanda Vallejos
CURSO
9no C2
1. ANTECEDENTES
Actualmente un proceso de auditoría informática realizado correctamente es esencial para
determinar vulnerabilidades y deficiencias existentes en los sistemas de información, los
sistemas informáticos son considerados como bases fundamentales en el desarrollo de
empresas e instituciones sean estas públicas como privadas.
La auditoría informática es un examen de carácter objetivo, crítico y sistemático ejecutado
dentro de una entidad para evaluar la eficacia y eficiencia del uso adecuado de los recursos
informáticos, una adecuada gestión informática y el adecuado cumplimiento de los
objetivos y metas institucionales.
El grupo de auditores “AUDIT SYSTEM” conformada por seis socios: Carla Caranqui,
Jonathan Lara, Víctor Molina, Cristina Morán, Andrea Muñoz, Fernanda Vallejos;
registrada y con su residencia permanente en la ciudad de Ibarra desde el año 2014; plantea
elaborar un programa de auditoría para la AUDIT SYSTEM, con el propósito de realizar
una evaluación al departamento de tecnologías de la información; mediante un diagnóstico
de todos los componentes informáticos, levantamiento de información de procesos y sobre
el cumplimiento de la normativa de control interno que haga referencia al manejo de las
tecnologías de la información.
Para llevar a cabo este proceso de auditoría la firma de auditores se apoyará en los
siguientes marcos: COSO 1, Normas de Control Interno de la Contraloría General del
Estado, Cobit 4.1, ISO, Normativa y políticas de la entidad para la verificación de los
controles de las operaciones y procesos sistematizados, con lo que se podrá determinar sus
2
niveles de fortaleza, el reconocimiento de falencias; todo esto de forma documentada y
estructurada reforzando así el área de tecnología.
Una vez concluido el proceso de auditoría, se elabora un informe sobre posibles
deficiencias encontradas así como las conclusiones y recomendaciones más apropiadas a
los responsables para solucionarlas.
Finalmente es importante tener en cuenta que la auditoría informática no busca errores para
culpabilizar o buscar responsables, sino que pretende ser una guía para la mejora de la
seguridad empresarial en todos los sentidos.
2. OBJETIVOS
OBJETIVO GENERAL
Realizar una auditoría informática a la institución con la finalidad de asegurar la integridad,
confidencialidad y disponibilidad de los datos e información.
OBJETIVOS ESPECÍFICOS
ᴥ Evaluar que los controles garanticen la seguridad del personal, los datos, el
hardware, el software y las instalaciones.
ᴥ Prever la existencia de riesgos en el uso de Tecnologías de información.
ᴥ Evaluar la aplicación de las normas, las políticas, y los procedimientos informáticos.
3
3. ALCANCE DEL PROYECTO
El alcance del proyecto comprende:
1. Evaluación de la dirección de informática en lo que corresponde a:
Su organización
ᴥ Misión
Trascender en brindar servicio personalizado de Auditoría Informática a empresas dedicada
a satisfacer sus necesidades de nuestros clientes, ser un asesor estratégico implementando
soluciones con oportunidad y dedicación al servicio y logro de las metas de nuestros
empresarios emprendedores.
ᴥ Visión
Ser un asesor estratégico líder en brindar atención personalizada de servicios de Auditoría
Informática. Ser el apoyo idóneo de las decisiones empresariales de nuestros clientes.
Respaldadas en la más alta confidencialidad y calidad técnica de nuestros profesionales que
dirigen, basadas en principios y valores a fin de contribuir al logro de los objetivos a corto,
mediano y largo plazo garantizando la confidencialidad, disponibilidad e integridad de la
información.
4
Estructura
JUNTA GENERAL
DE SOCIOS
GERENTE
Victor Molina
AUDITOR
SENIOR SUPERVISOR TRAINEES
JUNIORS
Jonathan Lara Andrea Muñoz Cristina Moran Carla Caranqui
Fernanda Vallejo
Recursos humanos
GERENTE Sr. Víctor Molina

SUPERVISOR Srta. Andrea Muñoz
SENIOR Sr. Jonathan Lara
AUDITOR JUNIOR Srta. Cristina Moran
AUDITOR JUNIOR Srta. Fernanda Vallejo
TRAINEE Srta. Carla Caranqui
Víctor Molina Gerente de auditoria: Profesional que cuenta con el perfil requerido por la
empresa auditora, con más de 10 años de experiencia y compromiso con su trabajo lo cual
le ha permitido administrar dirigir gestionar y liderar la firma auditora la misma que nos ha
venido representando nacional e internacionalmente dejando en alto el nombre de nuestra
organización.
5
Andrea Muñoz Supervisor: Profesional que cuenta con 7 años experiencia en la
realización de auditorías por lo cual ha llega a obtener los conocimientos adecuados para
desempeñar la funciones como supervisor de la firma auditora encargándose de: verificar,
revisar y supervisar el trabajo realizado por el equipo de trabajo de auditoria; revisar el
borrador del informe preliminar; revisar los papeles de trabajo y al avance conforme al
presupuesto de tiempo.
Jonathan Lara Auditor Senior: Profesional con 5 años de experiencia, cuenta con actitud
y aptitud para lo cual le han hecho merecedor de liderar el equipo de trabajo en las
diferentes auditorías realizadas. Destacándose en la calidad de su trabajo al momento de
entregar sus informes por los mismos que ha sido reconocida dentro y fuera del país
participando en diferentes seminarios, lo cual le ha permitido fortalecer su conocimiento.
Cristina Morán y Fernanda Vallejo Auditoras Junior: Profesionales con 5 años de
experiencia, cuentan con los conocimientos requeridos para la ejecución de auditorías en
todas sus fases. Lo cual le ha permitido cumplir con todas expectativas del grupo de
auditoria, contribuyendo al reconocimiento de la firma auditora.
Carla Caranqui Trainer: Profesional en Sistemas Informáticos, cuenta con
conocimientos en el manejo de herramientas de office, disponibilidad de tiempo sin
limitaciones y capacidad analítica, alto nivel de responsabilidad, proactivo y dinámico;
cumplir sus funciones y objetivos, de modo oportuno y eficiente en concordancia con las
Normas de Auditoría Generalmente Aceptadas, Normas Internacionales de Auditoría y de
conformidad con el Código de Ética y con los procedimientos.
6
A continuación, se describen los gastos que incurren en la realización de la Auditoria
Informática:
RECURSOS FÍSICOS VALOR
Suministros de oficina $ 25,00
Internet, investigaciones $ 20,00
Impresiones, anillados, copias $ 15,00
RECURSOS ECONÓMICOS VALOR
Movilización y Alimentación $ 50,00
Normas y Políticas
AUDIT SYSTEM brinda sus servicios apoyándose en diferentes normas y políticas, las
mismas que le facilitan la realización de las auditorias con el fin de entregar un trabajo de
calidad satisfaciendo las necesidades de sus clientes.
El marco legal comprende:
Ley fundamental del Estado Ecuatoriano, con rango superior

CONSTITUCION DE
al resto de las leyes, que define el régimen de los derechos y
LA REPUBLICA DEL
libertades de los ciudadanos y delimita los poderes e
ECUADOR
instituciones de la organización política.
Las NIA contienen principios y procedimientos básicos y

NIA esenciales para el auditor. Estos deberán ser interpretados en
el contexto de la aplicación en el momento de la auditoría.
7
Son las normas contables emitidas por el Consejo de
Normas Internacionales de Contabilidad (IASB, por sus
NIIF siglas en inglés) con el propósito de uniformizar la
aplicación de normas contables en el mundo, de manera que
sean globalmente aceptadas, comprensibles y de alta calidad.
Son Los principios fundamentales de auditoría a los que

deben enmarcarse su desempeño los auditores durante el
NAGA
proceso de la auditoria. El cumplimiento de estas normas
garantiza la calidad del trabajo profesional del auditor.
Define normas que regulan los comportamientos de las

CODIGO DE ETICA personas dentro de una empresa u organización, el código de
DEL AUDITOR ética supone una normativa interna de cumplimiento
obligatorio.
Es precisamente un modelo para auditar la gestión y control

de los sistemas de información y tecnología, orientado a
COBIT todos los sectores de una organización, es decir,
administradores IT, usuarios y por supuesto, los auditores
involucrados en el proceso.
Es un proceso llevado a cabo por la dirección y el resto del

personal de una entidad, diseñado con el objeto de
COSO proporcionar un grado de seguridad razonable en cuanto a la
consecución de objetivos dentro de las siguientes categorías:
Eficacia y eficiencia de las operaciones.
Proporciona una descripción de los servicios de seguridad y

ISO 7498-2
mecanismos asociados de la informática.
8
Capacitación
Los gerentes y empleados de Recursos Humanos de la organización deben permanecer
alertas a los tipos de capacitación que se requieren, cuando se necesitan, quien lo precisa y
que métodos son los mejores para dar a los empleados el conocimiento, habilidades y
capacitaciones necesarios. La evaluación de necesidades comienza con un análisis de la
organización. En el cual se deben establecer un contexto para la capacitación diciendo
donde es más necesaria, como se relaciona con las metas estratégicas y el cual es la mejor
manera de utilizar los recursos organizacionales el análisis de tareas se utiliza para
identificar los conocimientos, habilidades y capacidades que se requieren.
Planes de trabajo:
Una vez se haya seleccionado la empresa, el área o sistema a evaluar lo primero que se
debe hacer es determinar el objetivo que se pretende en la auditoría.
La metodología de trabajo para la evaluación del Área de Informática se llevarán a cabo las
siguientes actividades:
 Solicitud de los estándares utilizados y programa de trabajo
 Aplicación del cuestionario al personal
 Análisis y evaluación de la información
 Elaboración del informe.
9
Para la evaluación de los sistemas tanto en operación como en desarrollo se llevarán a cabo
las siguientes actividades:
Solicitud del análisis y diseño de los sistemas en desarrollo y en operación.
 Solicitud de la documentación de los sistemas en operación (manuales técnicos, de
operación del usuario, diseño de archivos y programas).
 Recopilación y análisis de los procedimientos administrativos de cada sistema (flujo
de información, formatos, reportes y consultas).
 Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos.
 Análisis del avance de los proyectos en desarrollo, prioridades y personal asignado.
 Entrevista con los usuarios de los sistemas.
 Evaluación directa de la información obtenida contra las necesidades y
requerimientos del usuario.
 Análisis objetivo de la estructuración y flujo de los programas.
 Análisis y evaluación de la información recopilada.
 Elaboración del informe
Controles
ᴥ Controles generales
Los controles generales tienen como fin el asegurar las operaciones de la institución, su
continuidad apropiada el cual se fundamentan en la estructura, políticas y procedimientos
que se aplican a las operaciones del sistema informático.
El objetivo final de los controles generales es suministrar un nivel razonable de seguridad
10
sobre el logro de los objetivos globales del control interno: efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la
información.
CONTROL
Procesos de gestión / transacciones. -Principales
ES procesos de la organización, subdivididos en
GENERAL subprocesos formados por actividades individuales.
ES Controles de
Aplicaciones de gestión. -Elementos automatizados de aplicación
. Marco
los procesos de la entidad, las aplicaciones informáticas
organizativo
propiamente dichas • Validez •
• Gestión de Integridad
cambios Sistemas TI de base Sistemas de Gestión de Bases de
datos, middleware, etc. • Exactitud
•Operaciones
TI •Confidencialidad
• Acceso Sistemas operativos • Disponibilidad.

lógico
•Continuidad Infraestructura física Elementos materiales de la

del servicio infraestructura TI.
Sistemas IT
En este modelo, vemos a la izquierda que los controles generales afectan a todos los niveles
de los sistemas de información, si bien están relacionados con mucha mayor intensidad con
aquellos niveles de carácter general que afectan a toda la organización y a los sistemas TI.
Es decir, los controles generales existentes en el sistema de información de una entidad
pueden establecerse en los siguientes niveles:
11
2. Evaluación de los sistemas
a) Evaluación de los diferentes sistemas de operación
La firma de auditores AUDIT SYSTEM alineándose al cumplimiento de los objetivos de
la auditoría realizará las respectivas evaluaciones a la empresa para conocer y determinar
el estado de los flujos de información, procedimientos, documentación, redundancia de los
datos, organización de archivos, estándares de programación, controles y la forma que están
siendo utilizados los sistemas. Llegando a determinar hallazgos o desviaciones en los
diferentes sistemas de operación existentes.
b) Evaluación de avance de los sistemas en desarrollo y congruencia con el diseño

general.
El Equipo Auditor “AUDIT SYSTEM” evaluará y se dará seguimiento al desarrollo de los
nuevos sistemas a que se pretendan implantar para determinar si de acoplan favorablemente
al cumplimento de los objetivos de la empresa, tomando en cuenta: el costo para diseñarlo e
instalarlo, beneficios a económicos que generará, reducción de tiempo, agilización de los
procesos, eficiencia, entre otros aspectos a considerarse para que guarde congruencia con el
diseño general de la empresa
c) Evaluación de las prioridades y recursos asignados
El equipo de la firma de Auditores “AUDIT SYSTEM” se realizará controles de existencia
para conocer la continua disponibilidad de los recursos del sistema. Se evaluará si el
12
presupuesto asignado a los diferentes componentes y áreas es adecuado o pertinente para la
empresa, además, evaluará el espacio y distribución asignada para cada uno de los equipos
de cómputo, área de recepción, materiales e insumos, costos de mantenimiento y
reparación, roles del personal, etc., para determinar si guarda una relación adecuada que
permita la consecución eficiente de los objetivos de la empresa
d) Seguridad física y lógica de los sistemas, su confidencialidad y respaldos
Se realizará controles de protección de activos para conocer si todos los recursos del
sistema están protegidos contra destrucción o deterioro; como por ejemplo: extinguidores,
barreras físicas, passwords. Se analizará el nivel de seguridad contra el robo de
componentes, descargas eléctricas y mal uso al que están expuestos los equipos
tecnológicos, por otra parte, se realizarán controles de exactitud, autenticidad, redundancia,
privacidad, etc., para determinar si la información o los datos están protegidos contra el
acceso o uso de ellos en forma inadvertida o no autorizada
3. Evaluación de los equipos
a) Capacidades
La firma de auditores “AUDIT SYSTEM” examinará que el centro de cómputo cuente con
los equipos, instalaciones, infraestructura y sistemas que sean acorde a las necesidades de la
empresa y que cumplan con la finalidad para la que fueron adquiridos.
Los computadores deben contar con la capacidad requerida y las especificaciones técnicas
13
estipuladas por el área para la ejecución efectiva de las operaciones de la empresa.
b) Utilización
La firma de auditores AUDIT SYSTEM evaluará que los equipos cumplan con la
normatividad establecida para su uso y administración, procurando identificar si existen
riesgos que contribuyan a minimizar la efectividad de las actividades del centro de cómputo
c) Nuevos proyectos
La firma de auditores “AUDIT SYSTEM” examinará los contratos o convenios para
evaluar sus términos y verificar el cumplimiento de responsabilidades, así como la
integridad, confidencialidad y disponibilidad de los datos e información.
d) Seguridad física y lógica
A través de la técnica de observación del entorno y entrevistas realizadas en el área a
auditar se identificará los riesgos a los que están expuestos los equipos, programas y redes
de nuestros clientes; se analizará la aplicación de barreras físicas y procedimientos de
control, como medidas de prevención y contramedidas ante amenazas a los recursos e
información confidencial, además se analizará la seguridad en el uso del software, la
protección de los datos e información, procesos y programas, así como la del acceso
regulado y autorizado de los usuarios a la información.
14
e) Evaluación física y lógica
La firma de auditores “AUDIT SYSTEM” deberá evaluar el control interno y los planes de
acción para mitigar riesgos en las instalaciones, accesos, documentación, personal, equipos,
contratos, sistemas, redes, bases de datos, etc.
4. METODOLOGÍA
La metodología de investigación a utilizar en el proyecto se presenta a continuación:
1. Para la evaluación de la dirección de informática se llevaran a cabo las siguientes
actividades:
 Solicitud de los manuales administrativos, estándares utilizados y programa de
trabajo
 Elaboración de un cuestionario para la evaluación de la dirección
 Aplicación del cuestionario al personal
 Entrevistas y evaluación de la información
2. Para la evaluación de los sistemas tanto en operación como en desarrollo se llevaran a
cabo las siguientes actividades:
 Solicitud del análisis y diseño de los sistemas de desarrollo y en operación
 Solicitud de la documentación de los sistemas en operación (manuales técnicos, de
operación, del usuario, diseño de archivos y programas)
15
 Recopilación y análisis de los procedimientos administrativos de cada sistemas
(flujo de información, formatos, reportes y consultas)
 Análisis de llaves, redundancia, control, seguridad, confidencialidad y respaldos
 Análisis del avance de los proyectos en desarrollo, prioridades y personal asignado
 Entrevista con los usuarios del sistema
 Evaluación directa de la información obtenida contra las necesidades y
requerimientos del usuario
 Análisis objetivo de la estructuración y flujo de los programas
 Análisis y evaluación de la información recopilada
3. Para la evaluación de los equipos se llevaran a cabo las siguientes actividades:
 Solicitud de los estudios de viabilidad y características de los equipos actuales,
proyectos sobre ampliación de equipo, actualizaciones
 Solicitud de contratos de compra y mantenimiento de equipo y sistemas
 Solicitud de contratos y convenios de respaldo
 Solicitud de contratos de seguros
 Elaboración de un cuestionario sobre la utilización de equipos, memoria, archivos,
unidades de entrada/salida, equipos periféricos y seguridad
 Visita técnica de comprobación de seguridad física y lógica de las instalaciones de
la dirección de informática
16
 Evaluación técnica del sistema eléctrico y ambiental de los equipos y del local
utilizado
 Evaluación de la información recopilada, obtención de gráficas, porcentaje de
utilización de los equipos y su justificación
4. Elaboración y presentación del informe final (conclusiones y recomendaciones)
5. TIEMPO Y COSTO.
TIEMPO Y COSTO DE LA AUDITORIA.
COSTO POR TIEMPO DE

FASES A REALIZAR FORMA DE PAGO
FASE TRABAJO
Planificación $300
Análisis del control interno $300

50% a la firma del
Análisis de riesgos y amenazas $400 30 días laborables. contrato.
Confirmación de vulnerabilidades. $200 50% al finalizar el

proyecto.
Análisis y evaluación de controles $300
Informe final de auditoria. $700
COSTO TOTAL $2200 + IVA (Dos mil doscientos dólares americanos +

impuestos)
Gerente Supervisor Auditor Senior Auditor Junior Auditor Trainer
17
ACUERDO DE CONFIDENCIALIDAD.
La empresa y el personal de trabajo acuerdan que cualquier información intercambiada entre la empresa y los
auditores será manifestada confidencialmente.
Toda información que se transmita exclusivamente por medios de comunicación seguros, bajo acuerdo mutuo entre las
partes.
18
FASE I.
PLANEACIÓN Y
PROGRAMACIÓN
DE LA AUDITORÍA
19
FASE I. PLANEACIÓN Y PROGRAMACIÓN DE LA AUDITORÍA
1. PLANIFICACIÓN PREVIA
Alcance de trabajo
La revisión y evaluación de los elementos informáticos que conforman el centro de
cómputo, se llevará a cabo en un periodo de 31 días durante el mes de Julio de 2018, con el
fin de evaluar y verificar la integridad, confidencialidad y disponibilidad de los datos e
información, desde una perspectiva amplia, clara y concisa, la cual a su vez permitirá
comprobar su seguridad y vulnerabilidad relacionada con la estructura de la institución
educativa a ser auditada, determinando factores internos y externos de las TI.
Administración
Antecedentes
La escuela posee 62 años de vida institucional formando a los estudiantes en el nivel básico
actualmente la Unidad Educativa Modelo Velasco Ibarra se fusiono con la Escuela América
y actualmente cuenta con 1181 estudiantes desde el nivel inicial, nivel medio, nivel
elemental y nivel de preparatoria.
El presente centro de cómputo se crea derivado de las necesidades que tiene la Institución
Educativa Mediante una donación del Municipio de Ibarra çon el fin de proporcionar las
herramientas necesarias para adquirir los conocimientos y habilidades básicas en el
aprendizaje de las Tecnologías de la Información y la Comunicación TIC´s y lograr la
20
formación de sus estudiantes, así como para facilitar las labores de docentes y
administrativos y mantenerse en un nivel competitivo dentro de las Instituciones de
Educación Básica de la ciudad de Ibarra.
Visión
La Unidad Educativa “Pdte. Velasco Ibarra”, será una Institución con oferta académica
interdisciplinaria que responda a las exigencias de la Educación actual; comprometida en la
formación holística de estudiantes con valores éticos, morales, cívicos, sensibles a la
realidad y emprendedores. Formadora de ciudadanos libres, democráticos, creativos,
tolerantes, respetuosos de la naturaleza, orientados a alcanzar el Sumak Kausay.
Misión
La Unidad Educativa Pdte. Velasco Ibarra, es una Institución educativa pública de
reconocido prestigio, al servicio de la niñez y adolescencia de la ciudad de Ibarra, su lema
es “Formar mente y corazón” ya que se brinda una educación de calidad y calidez,
fortaleciendo el trabajo en equipo, para promover en los alumnos el desarrollo de destrezas
con criterios de desempeño para la vida y la práctica de valores universales, mediante la
acción coordinada de directivos, docentes, padres de familia y estudiantes, con talento
humano altamente capacitado y con medios didácticos acordes a la oferta y
21
Valores
Todas las actividades planificadas se orientan a fortalecer el desarrollo integral de los niños,
niñas y adolescentes, utilizando las estrategias metodológicas acorde a su edad como el
juego, el arte, el emprendimiento y el aprendizaje.
En la Institución se propende empoderarse de los siguientes valores como prácticas que
generen una convivencia armónica. Como ejes transversales en todas las asignaturas.
Respeto
Responsabilidad
Equidad
Solidaridad
Autoestima
Puntualidad
Honestidad
22
23
Objetivos del centro de cómputo
General
El Centro de Cómputo de la UEPVI tiene como objetivo general proporcionar servicio de
asistencia, uso y aplicación de sus instalaciones y equipo a la Comunidad Escolar, Docente,
y Administrativa, a fin de coadyuvar a fortalecer el aprendizaje, la investigación y la
extensión del Nivel Básico.
Específicos
ᴥ El Centro de Cómputo de la UEPVI debe brindar equipamiento adecuado para
responder a las demandas y necesidades de los estudiantes, académicos y
administrativos.
ᴥ Incorporar de la sociedad el computador como una herramienta didáctica, que sirva
de apoyo en el desarrollo de actividades en distintas áreas del ámbito escolar.
ᴥ Que los estudiantes logren utilizar correctamente los distintos programas para la
realización de tareas habituales.
Recursos que posee el centro de cómputo
ᴥ 36 computadores de escritorio con sus respectivos componentes CPU, teclado,
monitor, mouse, parlantes y regulador.
ᴥ 2 computadores portátiles con su cargador individual
ᴥ 5 proyectores
ᴥ 1 impresora multifunciones
24
ᴥ 1 router CNT
ᴥ Cableado de redes para cada equipo y sus componentes
ᴥ Detalle de inventario de los equipos con sus características
ᴥ Documentos que avalan la donación legal de los equipos de cómputo
ᴥ Acuerdo del servicio de internet
Riesgos inherentes
RIESGO MANIFESTACIÓN
Es una falla fuera del alcance de la protección de
riesgos de la institución, se ocasiona cuando existe
Caída de la red
un error de conexión por parte de la operadora que
proporciona el servicio de internet.
Un apagón eléctrico es la pérdida del suministro
de energía eléctrica en un área. Las razones para la
caída del suministro normalmente estarán en el fallo
de alguno de los elementos que componen el sistema
de suministro eléctrico, por ejemplo, un defecto de
Corte de energía eléctrica la subestación eléctrica, daños en una línea
eléctrica (accidentales o intencionados, como en el
caso de robos de cable, ataques terroristas), o en otra
parte del sistema de distribución, un cortocircuito,
una sobrecarga o, incluso, un error humano en la
operación sobre elementos del sistema.
Después de haber ocurrido un corte de energía
eléctrica es posible que se produzca una llegada de la
Descargas eléctricas electricidad con fuerza o más potencia de la normal
lo que ocasiona una sobrecarga eléctrica en la
conexión de los equipos.
Todo aquel fuego grande que se produce en forma
Incendios no deseada, propagándose y destruyendo lo que no
debía quemarse. Ocasiona explosiones.
25
Serie de vibraciones de la superficie terrestre
generadas por un movimiento brusco y repentino de
Sismos las capas internas (corteza y manto). Puede
ocasionar caídas de los equipos y consecuentemente
daños en los mismos.
es la ocupación por parte del agua de zonas que
habitualmente están libres de esta,1 por
desbordamiento de ríos, torrentes o ramblas, por
Inundaciones
lluvias torrenciales, deshielo, por subida de
las mareas por encima del nivel habitual,
por maremotos, huracanes, entre otros
Una desviación de las especificaciones de diseño
Defectos de fábrica de equipos durante la producción resultante en un defecto,
fragilidad o deficiencia del equipo.
Estudios de viabilidad
Las 36 computadoras del centro de cómputo de la UEPVI fueron donadas por el GAD
Municipal de Ibarra con sus respectivos componentes en el mes de octubre de 2016. Los
programas no constan con las licencias de uso correspondientes, pues no cuentan con los
recursos económicos para adquirirlos. El proveedor de Internet es la empresa CNT quienes
les han proporcionado un router para internet fijo e inalámbrico además de las conexiones
de cable correspondientes.
Por el momento no se cuenta con contratos de seguros de ningún tipo y el número de
equipos, características, fechas de ingreso, datos del custodio de cada equipo, codificación
del componente y valor monetario, se detallan en la siguiente tabla misma que ha sido
proporcionada por el centro de cómputo de la institución:
Inventario
26
Campos
Campos Campos Campo
Campos obligatorios Campo no obligatorio obligatori Campos obligatorios Campos obligatorios Campos obligatorios Campos no obligatorios
obligatorios obligatorios obligatorio
os
INFORMACIÓN BÁSICA DEL BIEN DATOS DEL CUSTODIO ACTUAL CARACTERÍSTICAS BÁSICAS DEL BIEN DETALLE DE INFORMACIÓN FINANCIERA BIENES MUEBLES
Fecha de ingreso Valor

Costo de Nombre Custodio o Número de la Dimension
del Bien de Larga Catálogo de Bienes Descripción Características del Bien Cantidad Serie Modelo Marca Valor Contable Valor Residual Valor en Libros Depreciación Color Material
Adquisición Usuario Ubicación es
Duración Acumulada
EQUIPO COMPUTADOR DE ESCRITORIO

SALA DE COMARIGYGA83200815 PROCESADOR AMD FX8320 3
10/1/2016 ELECTRONICO/COMPUTADOR PROCESADOR AMD Fx8320 3 5 GHZ 1 750,00 IGNACIO PAUCAR ARI 750,00 75,00 750,00 0,00 NEGRO ACRILICO 19 5
COMPUTO 2533C 5 GHZ
DE ESCRITORIO MONITOR 19 5 RAM 4 GB DDR3 DD 500 G

COMPUTO 2544C 5 GHZ

COMPUTO 2552C 5 GHZ

COMPUTO 2538C 5 GHZ

COMPUTO 2537C 5 GHZ

COMPUTO 2540C 5 GHZ

COMPUTO 2534C 5 GHZ

COMPUTO 2532C 5 GHZ
27
Campos
Campos Campos
Campos obligatorios Campo no obligatorio obligatori Campos obligatorios Campos obligatorios Campos obligatorios Campo obligatorio Campos no obligatorios
obligatorios obligatorios
os

Duración Acumulada

COMPUTO 2526C 5 GHZ

COMPUTO 2521C 5 GHZ

COMPUTO 2527C 5 GHZ

COMPUTO 2523C 5 GHZ

COMPUTO 2550C 5 GHZ

COMPUTO 2553C 5 GHZ

COMPUTO 2536C 5 GHZ

COMPUTO 2542C 5 GHZ

COMPUTO 2555C 5 GHZ

COMPUTO 2529C 5 GHZ
28
Campos
Campos Campos
os

Duración Acumulada

COMPUTO 2588C 5 GHZ

COMPUTO 2551C 5 GHZ

COMPUTO 2547C 5 GHZ

COMPUTO 2541C 5 GHZ

COMPUTO 2528C 5 GHZ

COMPUTO 2556C 5 GHZ

COMPUTO 2525C 5 GHZ

COMPUTO 2524C 5 GHZ

COMPUTO 2522C 5 GHZ

COMPUTO 2546C 5 GHZ
29
Campos
Campos Campos
os

Duración Acumulada

COMPUTO 2549C 5 GHZ

COMPUTO 2530C 5 GHZ

COMPUTO 2539C 5 GHZ

COMPUTO 2545C 5 GHZ

COMPUTO 2535C 5 GHZ

COMPUTO 2531C 5 GHZ

COMPUTO 2543C 5 GHZ

COMPUTO 2554C 5 GHZ
30
Campos
Campos Campos
os

Duración Acumulada
BIENES SUJETOS A CONTROL/REGULADOR DE REGULADOR

10/1/2015 VOLTAJE DE VOLTAJE 1 15,00 IGNACIO PAUCAR COMPUTACION 1601252086831 R2C AVR1008 CDP 15,00 NEGRO BLANCO PLASTICO 12X7X14

















10/1/2015 VOLTAJE DE VOLTAJE 1 5,00 IGNACIO PAUCAR COMPUTACION 09062504608793 1006 BAVR 5,00 NEGRO BLANCO PLASTICO 16X6X14
31
Políticas
Como políticas adicionales se establece que toda persona que necesite utilizar los equipos
del centro de cómputo no debe:
ᴥ Ingresar alimentos
ᴥ Ingresar bebidas
ᴥ Ingresar substancias toxicas
ᴥ Mantener en el interior substancias inflamables
ᴥ Botar basura
ᴥ Protagonizar escándalos o generar ruidos molestos
ᴥ Apropiarse de cualquier pieza de los equipos
ᴥ Maltratar los equipos de cómputo o mobiliario del área.
ᴥ Dar a los equipos un uso distinto a su fin específico
ᴥ Ingresar a páginas prohibidas o restringidas
ᴥ Instalar nuevos software sin la autorización correspondiente
Sistemas
En cuanto a las políticas de uso del centro de cómputo se maneja un procedimiento para el
uso de laboratorio de informática, detallado así:
1. Se recibe la solicitud para el préstamo de laboratorio al responsable del área.

2. Se verifica que exista disponibilidad de laboratorio
3. Se efectúa el registro en las hojas de préstamo a cargo del responsable
4. Ingreso de Datos requeridos: materia, docente, tema, curso, fecha, firma y
observaciones.
5. Ingreso de los estudiantes al laboratorio
6. Uso de los equipos por parte de los estudiantes
7. Salida de los estudiantes y entrega de laboratorio
8. Constatación del área de informática que se reciba en correctas condiciones
32
Flujograma del procedimiento de uso del laboratorio
33
2. INFORMACIÓN PRELIMINAR QUE SE DEBE RECOPILAR
2.1.Información General
En el Centro de cómputo de la Unidad Educativa Pdte. Velasco Ibarra, se observó la
existencia de 36 computadoras en buen estado con sus periféricos (mouse, teclado, monitor,
parlantes) y 6 computadores que no se encuentran en funcionamiento por fallas en el
hardware, 1 impresora multifunción y 5 proyectores.
El centro de cómputo cuenta con 2 personas que son custodios de los bienes informáticos,
el Ing. Ignacio Paucar y la Lcda. Teresa Cueva. EL laboratorio está a disponibilidad de los
estudiantes de la institución y de los docentes que soliciten el uso de los equipos para
actividades educativas.
Los custodios son docentes de la unidad educativa encargados de la materia de
computación que se imparte en el laboratorio a estudiantes de 4to a 10mo grado de
educación básica, poseen formación profesional como ingenieros en sistemas y pedagogía
básica y laboran 5 años en la institución.
Funciones del centro de cómputo
Entre las funciones que se realizan en el centro de cómputo se encuentran:
Realizar la instalación, configuración y puesta en funcionamiento de equipos nuevos;
instalación de software, diagnóstico y reparación de hardware, configuración de redes.
Asesorar y adiestrar a los usuarios para maximizar los resultados que se obtengan de los
medios informáticos.
34
 Diseñar la arquitectura y definir la infraestructura de redes de una organización para
adecuarlas a las necesidades de la institución.
 Supervisión y administración del servicio de red (LAN), de comunicaciones
internet.
 Administrar copias de seguridad de los datos de los usuarios y recuperación de estos
en casos de pérdidas.
 Mantener controlado el buen funcionamiento del antivirus.
 Implementar medidas de prevención para resguardar los activos de información y
preservar equipos.
 Proveer soluciones de tecnologías de información a los centros, programas docentes
y áreas de apoyo.
 Planear, organizar, dirigir y controlar las actividades propias del departamento.
 Formular y proponer al rectorado el proyecto de las actividades específicas a cargo
de las áreas de su departamento.
 Rendir informes acordados o requeridos sobre las actividades del departamento a la
máxima autoridad, al distrito y circuito.
 Proponer y acordar el programa de capacitación del personal del departamento.
 Planificar las acciones que conlleven a una implementación exitosa de la Seguridad
Informática de servicios y/o recursos de tecnologías de información que soporten la
operatividad del Banco.
 Diagnosticar fallas y errores, reparar o informar sobre la necesidad de una
reparación externa.
 Acondicionar los equipos, para su remisión a las empresas cuando se realicen las
reparaciones externas, verificar la calidad de estas al reingresar el equipo.

35
 Asesorar a los funcionarios del Servicio en el uso correcto de microcomputadores y
del software.
 Mantener y supervisar las defensas antivirus del sistema informático.
 Instalar, inspeccionar la instalación de redes y asistir a los usuarios en la operación
de estas.
 Respaldar información y programas.
 Ampliar o cambiar memorias y realizar actualizaciones.
 Realizar otras tareas relacionadas con el cargo a solicitud del supervisor.
 Ingreso de notas en el sistema
2.2. Software
De acuerdo a las necesidades enmarcadas en el plan operativo institucional, la unidad
educativa cuenta con el siguiente software
Sistema Operativo
ᴥ Windows 7 y 8
Paquetería
ᴥ Office 2013
ᴥ Microsoft Word
ᴥ Microsoft Excel
ᴥ Microsoft Publisher
ᴥ Microsoft Power Point
36
ᴥ Microsoft One Note
ᴥ Paint
ᴥ Visor de fotos Picasa
ᴥ Reproductor multimedia
ᴥ Internet Explorer
ᴥ Mozilla Firefox
ᴥ Google Chrome
ᴥ Mineduc
ᴥ Eset NOD32 Antivirus
ᴥ Manual Epson L38
Sistema Operativo
El SO instalado en 23 de las máquinas del centro de cómputo es el Windows 7 y en 13 de
estas unidades está instalado el Windows 8. Este Sistema Operativo que permite al
computador administrar los programas y realizar tareas básicas, y su Interfase Gráfica para
el Usuario (GUI) (Graphical User Interface) permite interactuar visualmente con las
funciones del equipo de una manera lógica, divertida y fácil.
Paquete Microsoft Office
Conjunto de programas informáticos para desarrollado por la compañía Microsoft Corp,
este paquete está instalado en cada computador para que los estudiantes y docentes realicen
tareas automatizadas en los programas que contienen procesador de textos, hojas de
cálculo, plantillas para presentaciones visuales, hojas de creación de dibujos.
37
Antivirus
En el centro de cómputo todos los equipos cuentan con la instalación del antivirus Eset
NOD 32 con el propósito de mantener en las mejores condiciones los equipos para
protegerlos de virus informáticos que puedan afectar el sistema operativo, información o la
red y evitar gastos de reparación por daños en las unidades.
Navegadores
Son herramientas informáticas que permiten navegar en internet facilitando esta acción a
los usuarios, en las unidades del centro de cómputo están instalados Mozilla Firefox y
Google Chrome.
Servicio de Internet
Dentro de la unidad educativa el servicio de internet es proporcionado por CNT quienes les
brindan una velocidad desde 5Mbps hasta 15Mbps, posee un router para las 36 unidades y
éstas se conectan a través de cableado por red.
2.3.Seguridad
Seguridad física
El área de informática cuenta con las siguientes seguridades físicas para proteger la
integridad de los bienes informáticos de la institución.
Seguridad del área de Informática
38
SEGURIDAD MARCA MODELO CANTIDAD OBSERVACIONES
No se encuentra
Extintor Amerex Sin modelo 1 ubicado en el lugar
correspondiente
Cámara de DS-2CB3321-
HKVISION 1 Sin funcionamiento
seguridad M
Candados Globe Sin modelo 3
Puertas de
S/M Sin modelo 1
acceso
Rejas S/M Sin modelo 1
Personal de seguridad de la institución y del área
Personal Cantidad
Encargados del área de

2
cómputo
Guardia nocturno 1
Seguridad Lógica
Para la seguridad en el uso de software y los sistemas, la protección de los datos, procesos y
programas, así como la del acceso ordenado y autorizado de los usuarios a la información
se toman en cuenta las siguientes seguridades:
 Configuración de los routers inalámbricos para bloquear sitios web como redes
sociales y páginas de juegos.
39
 Uso del programa NetCut, como herramientas de administración de redes.
 Controles de acceso a los computadores con contraseña en la cuenta de
administrador e invitado.
 Uso de antivirus ESET NOD 32
Gestión De Riesgos
La gestión de riesgos es el proceso de identificar, analizar y responder a factores de riesgo
en un área determinada para que la ocurrencia de un fenómeno no la afecte y tampoco
ocasione una interrupción de sus objetivos o la prestación adecuada de sus servicios. La
gestión de riesgos adecuada implica el control de posibles eventos futuros, dentro de la
seguridad del centro de cómputo de la UEPVI se mantiene un plan de contingencia
desarrollado en base a todos los posibles riesgos y la forma de actuar ante estos.
Plan De Contingencia
El Plan debe contemplar todas las amenazas, condiciones de vulnerabilidad y riesgo, así
como los recursos y capacidades de la comunidad educativa, para poder trabajar en las
medidas correctivas y prospectivas que garanticen la seguridad humana y reduzcan las
pérdidas materiales y el impacto social que provocan las situaciones de emergencias
Parte del plan de manejo de riesgos que contiene las acciones a ejecutar en caso de la
materialización del riesgo, con el fin de dar continuidad a los objetivos de la Unidad
Educativa Presidente Velasco Ibarra.
40
Dentro del plan de contingencia del centro de cómputo se toman en cuenta tres factores
básicos que son:
Prevención
Mantener en óptimas condiciones los recursos para eliminar el siniestro que en su momento
pueda surgir, así como tomar todas las medidas necesarias para evitar cualquier tipo de
contingencia dentro la Unidad Educativa Presidente Velasco Ibarra de acuerdo con las
normas de seguridad.
Detección
Al momento de detectar algo anormal dentro de las instalaciones proceder a la eliminación
y/o corrección del desperfecto.
Recuperación
Abarca el mantenimiento de partes críticas entre la pérdida de los recursos, así como de su
recuperación o restauración.
Infraestructura
En la sala de servidores se encuentra un ventanal con vidrio que no es de seguridad el cual
podría ocasionar un incidente en la sala de servidores por una persona mal intencionado en
contra de la Unidad educativa.
41
Cableado
El cableado de uno de ellos no está en la ubicación adecuada y puede producir un incidente
al ser enredado ya sea con un elemento o una persona, estos dos dispositivos sean ubicados
en una base correcta y no encima del servidor, el cable no puede estar tirado en el piso.
Caída o interrupción del sistema eléctrico.
Riesgo externo.
Corresponde al corte del servicio de energía eléctrica en la Unidad educativa Presidente
Velasco Ibarra, por parte de falla externa en el proveedor del servicio, corte eléctrico que
genera interrupción del funcionamiento de los equipos donde se alojan los aplicativos
críticos de la institución, que puede dejar los servicios y aplicativos ineficaces.
2.4. Mantenimiento de los sistemas de información
El flujograma proceso de mantenimiento correctivo de los sistemas de cómputo se detalla
de la siguiente forma:
42
43
Evaluación de los sistemas
Para la evaluación de los sistemas de redes se hará uso de la siguiente herramienta:
 Cuestionario
 Checklist
Área de sistemas de redes y procedimientos.
Razones
1) Revisar el manual de procedimientos de los sistemas de redes

2) Evaluar los sistemas de información en general desde sus entradas,
procedimientos controles, archivos, seguridad y obtención de la información.
3) Verificar que la documentación relativa al sistema de sistema sea clara, precisa
actualizada y completa.
Evaluación de los equipos de cómputo
Razones
1) Revisar el número de equipos, localización y las características

2) Conocer las fechas de instalación de los equipos y planes de instalación
3) Revisar la configuración de los equipos y sus capacidades actuales
4) Revisar las políticas de uso de los equipos
5) Revisar el manual que se encuentra estructurado la forma en que se da
mantenimiento al equipo informático.
Red Física
Garantizar que exista:
 Áreas de equipo de comunicación con control de acceso

 Protección y tendido adecuado de cables y líneas de comunicación para evitar
accesos físicos.
44
 Control y utilización de equipos de prueba de comunicaciones para monitorear
la red y el tráfico en ella.
 Prioridad de recuperación del sistema.
Comprobar que:
 El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso

limitado.
 La seguridad física del equipo de comunicaciones sea adecuada.
 Se tome medidas para separar las actividades de los electricistas y de cableado
de líneas.
 Haya procedimientos de protección de los cables y las bocas de conexión para
evitar pinchazos a la red.
Red lógica
Para este tipo de situaciones
 Se deben dar contraseñas de acceso

 Controlar errores
 Garantizar que en una trasmisión esta solo sea recibida por el destinatario. Para
esto regularmente se cambia la ruta de acceso de la información de la red.
 Registrar actividades de los usuarios en la red
 Encriptar la información pertinente.
 Evitar la importación y exportación de datos.
Que se comprueba que:
 El sistema pide el nombre de usuario y la contraseña para cada sesión habilitar el

software o hardware con acceso libre.
 Crear protocolos con detección de errores
 Los mensajes lógicos de transmisión han de llevar origen fecha, hora, receptor.
 El software de comunicación ha de tener procedimientos correctivos y de control
ante mensajes duplicados fuera de orden, perdidos o retrasados.
 Si en la LAN hay equipos con modem entonces si se deben revisar el control de
seguridad.
45
CUESTIONARIO
Procedimiento Objetivo
El objetivo del Cuestionario de control interno es evaluar
la seguridad de la red general de la Unidad Educativa
Cuestionario de evaluación de redes Presidente Velasco Ibarra.
Tipo de
Documento: CUESTIONARIO
Auditores: P/T:
Unidad Educativa Pdte Velasco
Institución: Ibarra
PREGUNTAS SI NO OBSERVACION
¿Se observan problemas de perdida de
1 información
2 ¿Existen intermitencias en la red?

¿Ha observado problemas de conexión con equipos u
3 otros dispositivos de red?
¿La impresión en red mantiene una
4 velocidad apropiada?
¿Considera que los usuarios que concurren a los
5 servicios afectan el rendimiento?
¿Las aplicaciones de sistema ERP se encuentra
6 siempre disponible?
¿Ha observado algún tipo de error al almacenar o

registrar su información?
7
¿Existen responsables de las políticas normas y
8 procedimientos?
¿Existe un diagrama de red, que muestra las conexiones
9 físicas y lógicas entre los equipos de red, ha preparado?
10 ¿Son los códigos de acceso periódicamente cambiados?
46
4. Comprensión del control Interno
4.1 Evaluación de los controles
AUDIT SYSTEM
CUESTIONARIO DE CONTROL INTERNO
ENTIDAD Unidad Educativa Presidente Velasco Ibarra

ACCION DE CONTROL Centro de Cómputo
PERIODO DE ANÁLISIS Del 1 al 31 de Julio 2018
No. Preguntas Si No Observaciones
¿La institución cuenta con un

1 Departamento de Informática?
¿Existe un documento donde este

especificado la relación de las
2
funciones y obligaciones del
personal?
¿Existen procedimientos de
3 notificación y gestión de
incidencias?
¿Existen documentos con los
4
procedimientos para el uso de la red?
¿Existe un inventario de equipos de
red de datos, incluidas las líneas,
5 terminales, módems, controladores,
etc.?
¿Existe un diagrama de red, que

6 muestra las conexiones físicas y
lógicas entre los equipos de red?
¿Están los cables y pantallas de

visualización de vídeo
7 eléctricamente protegido para evitar
emanaciones eléctricas o de
manipulación física?
47
¿Tiene documentación de la red
incluyen una descripción de:
¿Los equipos de red que se utiliza
8 para apoyar a cada uno de las
aplicaciones de red?
¿Protocolos utilizados?
¿Puertas de enlace con otras redes?
¿Existe una relación del personal
autorizado a acceder a los locales
9
donde se encuentren ubicados los
equipos?
¿Han sido etiquetados los equipos de
10 redes para facilitar la referencia
cruzada a la documentación?
¿Existe un terminal específico
11 diseñado para monitorizar la
actividad dentro del sistema online?
¿La gestión rutinaria revisión de los
12 servicios de proveedores es
realizado?
¿Tiene el sistema de desconectar a
13 los usuarios?
¿Son controlados los problemas
físicos y ambientales adecuadamente
14 para proteger los equipos de red de
entornos de trabajo adversos?
¿El sistema cuenta con personal
15 técnico que ayude cuando se
produzcan inconvenientes?
autorizado a conceder, alterar o
16 anular el acceso sobre datos y
recursos?
¿La calidad de información está
estructurada con distintos niveles de
17 detalle según sea el nivel al que está
dirigida?
¿Los comunicados o informes
18 generados cumplen con todas las
especificaciones?
¿Están los mecanismos
19 instituidos para garantizar la
comunicación en todos los sentidos?
TOTAL
48
5. Desarrollo de la estrategia de auditoría
5.1 Establecimiento de términos de referencia
La naturaleza del trabajo de la presente auditoria es de Redes mediante mecanismos que
prueban una red informática, evaluando la seguridad y su desempeño, para lograr mayor
eficiencia y aseguramiento de la información. A continuación, se describen las
actividades principales que deban cumplirse, así como las fechas claves, en tal forma
que se asegure cabalmente el entendimiento de responsabilidades:
FASE ACTIVIDAD RESPONSABLE FECHA
Recopilación de información
PLANIFICACIÓN De 1 al 4 de
para conocer el departamento Equipo de auditoría
PRELIMINAR Julio
de sistemas
Elaboración de cuestionarios
PLANIFICACIÓN Del 5 al 10
Equipo de auditoría
ESPECÍFICA de Julio
Elaboración de checklist
Aplicación de cuestionarios Equipo de auditoría
Determinar los riesgos Equipo de auditoría

Evaluar y determinar la matriz
de riesgos
Determinar el nivel de Del 11 al 25
EJECUCIÓN Equipo de auditoría
confianza de Julio
Elaboración de papeles de
trabajo
Determinación de hallazgos Equipo de auditoría
Elaboración de comentarios Equipo de auditoría
Elaboración de informe de
Del 27 al 31
INFORMACIÓN auditoría, conclusiones y Jefe de equipo
de Julio
recomendaciones
49
5.2 Hechos y transacciones individuales de significación
 la Unidad Educativa Modelo Velasco Ibarra se fusiono con la Escuela América.
5.3 Seguimiento de hallazgos y recomendaciones
N° RECOMENDACIÓN RESPONSABLE FRECUENCIA
Elaborar un cronograma de actividades

Personal Técnico
1 para cada laboratorista que ayuden a Anual
informático
mantener un control continuo de redes.
Aplicar los procedimientos y manual de

funciones que ayuden a mantener mayor
Personal Técnico
2 comunicación entre el personal Permanentemente
informático
laboratorista para evitar la duplicidad
innecesaria de funciones
Tener por lo menos un reporte físico Personal Técnico

3 Mensual
mensual de los movimientos informático
Personal Técnico
4 En lo posible implementar un sistema de Permanentemente
informático
alarmas y cámaras de vigilancia
Asegurar el cableado eléctrico y de red

Personal Técnico
5 mediante canaletas y asesorarse en el Anual
informático
manejo de este.
50
5.4 Programación de la estrategia de auditoría
Controles de seguridad
Se analizará los siguientes controles de seguridad:
 Físico
 Técnico
 Administrativo
Controles físicos
 Cámaras de circuito cerrado
 Sistemas de alarmas térmicos o de movimiento
 Guardias de seguridad
 Biométrica
Controles técnicos
 Encriptación
 Tarjetas inteligentes
 Autenticación a nivel de la red
 Listas de control de acceso
 Software de auditoría de integridad de archivos
Controles administrativos
 Entrenamiento y conocimiento
 Manual de funciones
51
AUDIT SYSTEM
P/T: PT001
Institución Auditada: Unidad Educativa Pdte. Velasco Ibarra
Periodo Auditado: Julio 2018
Área Auditada: Centro de cómputo
PROGRAMA DE AUDITORÍA
Tiempo
No. Procedimiento Responsable Fecha Observaciones
Estimado
PLANIFICACIÓN
Víctor Molina, Cristina
1 Visite a las instalaciones el centro de cómputo 1 día 2/7/2018
Morán
Recopile información sobre normativa legal: leyes, Andrea Muñoz, Jonathan
2 1 día 2/7/2018
manuales, reglamentos. Lara
Recopile información organizacional:

Carla Caranqui, Fernanda
3 estructura orgánica, inventario de equipos 2 día 3/7/2018
Vallejos
informáticos, instalaciones, mobiliario.
Solicite documento de planificación del centro de Andrea Muñoz, Jonathan

4 2 días 3/7/2018
computo Lara
52
5 Solicite diagramas de flujo de los procesos 1 día 4/7/2018
Vallejos
6 Elabore el cuestionario de control interno 1 día 5/7/2018
Morán
Elabore el cuestionario para la evaluación de los Andrea Muñoz, Jonathan
7 1 día 6/7/2018
equipos Lara
EJECUCIÓN
1 Aplique el cuestionario de control interno 2 días 11/7/2018
Morán
Aplique el checklist para referencia, control, Carla Caranqui, Fernanda

2 2 días 11/7/2018
comparación, verificación e identificación Vallejos

3 Evalúe el control interno el centro de cómputo 2 días 13/7/2018
Morán
4 Evalúe el sistema de redes del centro de cómputo 1 día 13/7/2018
Vallejos
Tome una muestra y realice comprobaciones de Jonathan Lara, Cristina

5 2 días 16/7/2018
funcionamiento del equipo de cómputo Morán, Andrea Muñoz,
Identifique y evalué los riesgos a los que está Andrea Muñoz, Jonathan
6 2 días 18/7/2018
expuesto el centro de cómputo Lara, Cristina Morán
53
7 Elabore y revise los papeles de trabajo 3 días Morán, Andrea Muñoz, 20/7/2018
Jonathan Lara
Víctor Molina, Andrea
8 Prepare el informe borrador 2 días 25/7/2018
Muñoz Jonathan Lara
INFORME
1 Elaboración del Informe Final 2 días 27/7/2018
Muñoz
2 Presentación del informe final 1 día 31/7/2018
Muñoz
Elaborado por: Fernanda Vallejos Fecha: 09/07/2018
Revisado por: Víctor Molina Fecha: 11/07/2018
54
CRONOGRAMA DE AUDITORÍA
55
FASE II.
EJECUCIÓN DE LA
0
AUDITORÍA
56
FASE 2. EJECUCIÓN
OBJETIVO GENERAL
Realizar los procedimientos establecidos en el programa de auditoría con el objetivo de
obtener evidencia suficiente, pertinente y competente que permita sustentar los
hallazgos.
OBJETIVOS ESPECÍFICOS
 Verificar si existen controles físicos y lógicos en el centro de cómputo
 Evaluar el control interno de la institución y determinar las vulnerabilidades,
amenazas y riesgos a los que está expuesto el centro de cómputo.
 Evaluar la velocidad de subida y bajada de la conexión de internet.
 Elaborar papeles de trabajo en los cuales se integre evidencia suficiente,
competente y pertinente.
 Elaborar las hojas de hallazgos con sus componentes condición, criterio, causa,
efecto, conclusiones y recomendaciones, como sustento de la opinión del
auditor.
57
Empresa Auditora Audit System S.A.
Dirección: Av. 17 de Julio PT-003
Teléfonos: 062548796 – 0998799123 1 de 1
Institución Auditada: U.E. Presidente Velasco Ibarra
Área Auditada: Centro de Cómputo Hecho por: FSVV
Periodo auditado: Del 1 al 31 de Julio de 2018 Revisado por: ACMC
CHECKLIST COMPONENTE: Redes
DETALLE SI NO
¿Existe un registro detallado sobre quién y cuándo
se utilizan los equipos? 
¿El software de la institución cuenta con antivirus

para proteger a los equipos de programas

maliciosos?
¿Se cuenta con un inventario de los equipos


que conforman el centro de cómputo?
¿Se realiza el debido mantenimiento a todos


los equipos?
¿Se tiene una distribución del espacio
adecuada, de forma que facilite el trabajo y no X
existan distracciones?
¿El cableado dentro del centro de cómputo se

X
encuentra en buen estado?
¿El servicio de internet por parte de la

X
compañía CNT es eficiente?
¿Para el acceso a la información que posee la


institución se utilizan claves o contraseñas?
¿Se cuenta con sistemas de emergencia como

son detectores de humo, alarmas, extintores u X
otro tipo de censores?
¿La seguridad física que posee el centro de
cómputo es suficiente? (puerta de acceso, una
X
reja con doble candado y un vigilante
nocturno)
58
CENTRO DE CÓMPUTO DE LA UNIDAD EDUCATIVA PDTE. VELASCO IBARRA PT-004
AUDITORÍA DE REDES A LOS EQUIPOS DEL LABORATORIO DE CÓMPUTO
DEL 1 AL 31 DE JULIO DEL 2018
1 de 1
CUESTIONARIO DE CONTROL INTERNO
No. Preguntas Si No Observaciones
El área asignada para laboratorio

¿La institución cuenta con un funciona como departamento de
1 Departamento de Informática? X
informática, además, está funcionando
otro departamento en el mismo
¿Existe un documento donde este
Si existe, pero los funcionarios no
especificado la relación de las
2 X tienen claro sus funciones y
funciones y obligaciones del
obligaciones
personal?
¿Existen procedimientos de
3 X
notificación y gestión de incidencias?
¿Existen documentos con los

4 X Se usa de manera empírica
procedimientos para el uso de la red?
Existe un inventario general de los
¿Existe un inventario de equipos de componentes básicos de una
red de datos, incluidas las líneas, computadora, pero no se ha llevado un
5 terminales, módems, controladores, X registro de inventario sobre los
etc.? terminales, modem, router,
componentes electrónicos,
controladores, cables, etc.
¿Existe un diagrama de red, que No se ha diseñado un diagrama de red
6 muestra las conexiones físicas y X que muestre la forma que está
lógicas entre los equipos de red? conectados los equipos entre sí.
Los cables están expuestos a ser
¿Están los cables y pantallas de manipulados por cualquier persona,
visualización de vídeo eléctricamente además se presenció que los enchufes
7 protegido para evitar emanaciones X están en malas condiciones ya que se
eléctricas o de manipulación física? encuentran fuera de sus cajas de
protección, siendo un riesgo eléctrico
inminente.
¿Tiene documentación de la red
incluyen una descripción de:
¿Los equipos de red que se utiliza No cuentan con un método que registre
8 para apoyar a cada uno de las X o documente toda la actividad en la
aplicaciones de red? red.
¿Protocolos utilizados?
¿Puertas de enlace con otras redes?
59
Cuentan con una persona responsable
de los equipos, tanto en horario
autorizado a acceder a los locales
9 X matutino como en vespertino, pero
donde se encuentren ubicados los
cualquier persona ingresa sin previa
equipos?
autorización al laboratorio
¿Han sido etiquetados los equipos de
10 redes para facilitar la referencia X
cruzada a la documentación?
¿Existe un terminal específico Únicamente tienen bloqueados ciertas
páginas sociales en el internet, pero no
11 diseñado para monitorizar la X
actividad dentro del sistema online? tienen un sistema que les permita
monitorear la actividad en tiempo real.
¿La gestión rutinaria revisión de los
12 servicios de proveedores es X
realizado?
¿Tiene el sistema de desconectar a
13 los usuarios? X
¿Son controlados los problemas No cuentan con extintor de fuego

físicos y ambientales adecuadamente especial para componentes
14 para proteger los equipos de red de
electrónicos, además se pudo notar
entornos de trabajo adversos? había humedad en las paredes
¿El sistema cuenta con personal
15 técnico que ayude cuando se X
produzcan inconvenientes?
autorizado a conceder, alterar o
16 anular el acceso sobre datos y X
recursos?
¿La calidad de información está
estructurada con distintos niveles de
17 detalle según sea el nivel al que está X
dirigida?
¿Los comunicados o informes
18 generados cumplen con todas las X
especificaciones?
¿Están los mecanismos
19 instituidos para garantizar la X
comunicación en todos los sentidos?
11 8
ELABORADO POR: MOLINA VÍCTOR

FECHA: 11/07/2018
REVISADO POR: MUÑOZ ANDREA
FECHA: 13/07/2018
60
Calificación total = 8
Ponderación total = 19
ó
Calificación Porcentual = X 100
ó
CP= x100 = 42.11%
Tabla de valoración del riesgo
NIVEL DE CONFIANZA
BAJO MEDIO ALTO
15%-50% 51%-75% 76%-95%
ALTO MEDIO BAJO
NIVEL DE RIESGO
Resultados:
 Nivel de confianza= Bajo

 Nivel de riesgo = Alto
Vulnerabilidades:
1. Falta un departamento de informática
2. Falta de un inventario completo de todos los equipos
3. Inexistencia de un diagrama de red
4. Falta de protocolos
61
5. Ausencias de control en el acceso a las instalaciones
6. Falta de instrumentos contra incendios.
7. Equipos obsoletos
8. Ausencia de copias de seguridad.
9. Falta monitoreo en tiempo real de los equipos
10. Falta de confidencialidad de la información
11. Copias ilegales de sistemas operativos y programas
Amenazas
1. Fallos de luz eléctrica.
2. Manipulación de los cables que alimentan a los equipos
3. Robo de componentes físicos y virtuales de las computadoras
4. Posibles ataques de virus
5. Cortocircuitos por manipulación de enchufes o cables de poder
6. Modificación o alteración de la configuración de los equipos
7. Espionaje de la información.
Riesgos
1. Perdida de los diferentes componentes de las computadoras
2. Incendios causados por cortocircuitos.
3. Infección en serie de las computadoras y dispositivos portátiles.
4. Robo o fuga de información.
5. Modificación de la integridad de la información de los equipos
6. Sanciones económicas y administrativas por perdida de equipos
7. Usuarios no autorizados haciendo uso del internet.
8. Daños severos en los diferentes componentes del computador.
62
1 de 2
MATRIZ DE EVALUACIÓN DEL RIESGO

IMPORTANCIA PROBABILIDAD IMPACTO
N° DESCRIPCIÓN
BAJA MEDIA ALTA BAJA MEDIA ALTA LEVE MODERADO CATASTRÓFICO
Perdida de los diferentes componentes de

R1 x x x
las computadoras
Ataques de virus informáticos en

R2 x x x
dispositivos portátiles.
Modificación o alteración de la
R3 x x x
configuración de los equipos
R4 Incendios causados por cortocircuitos. x x x
R5 Robo o fuga de información. x x x
ELABORADO POR: Cristina Morán

FECHA: 18/07/2018
REVISADO POR: Andrea Muñoz
FECHA: 18/07/2018
63
CENTRO DE CÓMPUTO DE LA UNIDAD EDUCATIVA PDTE. VELASCO IBARRA PT -005
2 de 2
MATRIZ DE EVALUACIÓN DEL RIESGO

IMPORTANCIA PROBABILIDAD IMPACTO
N° DESCRIPCIÓN
BAJA MEDIA ALTA BAJA MEDIA ALTA LEVE MODERADO CATASTRÓFICO
Modificación de la integridad de la
R6 x x x
información de los equipos
Sanciones económicas y administrativas por
R7 x x x
perdida de equipos
Usuarios no autorizados haciendo uso del
R8 x x x
internet.
Daños severos en los diferentes
R9 x x x
componentes del computador.
ELABORADO POR: Cristina Morán

FECHA: 18/07/2018
REVISADO POR: Andrea Muñoz
FECHA: 18/07/2018
64
65
ANALITICA DE REDES EN LOS EQUIPOS DEL LABORATORIO DE CÓMPUTO
DEL 1 AL 31 DE JULIO DEL 2018 1 de 1
ELABORADO POR: LARA JONATHAN

FECHA: 16/07/2018
REVISADO POR: MUÑOZ ANDREA
FECHA: 18/07/2018
66
Dirección: Av. 17 de Julio
Teléfonos: 062548796 - 0998799123
Institución
U.E. Presidente Velasco Ibarra PT PT-H001
Auditada:
Área Auditada: Centro de Cómputo Hecho por: VEMG
Fecha: 20/07/2018
Hallazgo Falta de inventario de los componentes de red
No se ha llevado un registro del inventario sobre los terminales, modem,

Condición
Reuter, controladores, cables, etc.
Normativa de Control Interno 410-09 Mantenimiento y control de la

Criterio
infraestructura tecnológica. Numeral 7.
Causa Administrador del laboratorio de informática.
Que no se pueda conocer con exactitud la cantidad exacta de los equipos que
Efecto integran la red, además esto puede dar apertura a pérdidas de los equipos sin
que lo noten los responsables o autoridades.
La Unidad Educativa Presidente Velasco Ibarra, no cuenta con un inventario de

Conclusión los diferentes componentes que integran la red como: servidores, router,
controladores, cables, switch, tarjetas de red, entre otros.
Realizar el inventario de los elementos de la red, detallando cada una de sus

Recomendación
características.
67
Teléfonos: 062548796 - 0998799123
Institución
Auditada:
Área Auditada: Centro de Cómputo Hecho por: JALC
Fecha: 20/07/2018
Hallazgo Inexistencia de protección de las conexiones físicas

Los cables de red, de alimentación, de trasferencia de datos y otros, están
expuestos a ser manipulados por cualquier persona, además se presenció que
Condición
los enchufes están en malas condiciones ya que se encuentran fuera de sus
cajas de protección, siendo un riesgo eléctrico inminente.
Normativa de Control Interno 410-10 Seguridad de tecnología de información,
Criterio
numeral 5 y 6.
Causa Administrador del centro de cómputo.
Que exista la posibilidad que se produzca un cortocircuito por el contacto

Efecto inapropiado del cableado, además, el maniobrar indebido de los cables puede
causar un daño severo al computador o su desconfiguración.
La Unidad Educativa Presidente Velasco Ibarra, no cuenta con medidas de

Conclusión seguridad para las conexiones físicas que garanticen la integridad de los equipos
de computación.
Proteger el cableado correctamente con los productos de protección de cables

Recomendación
que existen.
68
Teléfonos: 062548796 - 0998799123
Institución
Auditada:
Fecha: 21/07/2018
Hallazgo La velocidad de carga y descarga de datos es baja
De la conexión a la red CNT dentro del laboratorio de computación de la U.E.

Condición
Presidente Velasco Ibarra presenta una velocidad de carga y descarga baja.
Incumpliendo la normativa de control interno 400-05 Entrada y Salida de Datos

Criterio
410-12 Administración de soporte de tecnología de información
El hecho es responsabilidad del Jefe Del Centro de Cómputo y este problema se

Causa produce a razón de una sobrecarga de equipos en la red incluidos los del
personal docente de la unidad, además de una velocidad de red baja.
Ocasionando lentitud en las aplicaciones que frecuentan el uso de internet,

Efecto
además de una capacidad limitada de equipos para la Institución Educativa.
Se evidencia la existencia de una red que no cumple con la demanda de la

institución si bien el Ministerio de Educación no considera importante la materia
Conclusión
de computación, un presupuesto limitado recae en la contratación de un servicio
de internet no apto a las necesites del centro de computación.
Incluir en el presupuesto próximo el aumento del rubro necesario para obtener

Recomendación
un servicio de internet acorde a las necesidades de la institución.
69
Teléfonos: 062548796 - 0998799123
Institución
Auditada:
Fecha: 21/07/2018
Hallazgo El centro de cómputo no cuenta con un cableado estructurado
De la inspección física del equipo auditor se evidencio que no existe un cableado

Condición
estructurado dentro del centro de cómputo.
Incumpliendo la normativa de control

400 – 01 ORGANIZACIÓN DEL AREA INFORMÁTICA
Criterio 400 – 03 OPERACIÓN Y MANTENIMIENTO
400 – 09 SEGURIDAD GENERAL EN LOS CENTROS DE PROCESAMIENTO DE
DATOS.
EL hecho es responsabilidad del Jefe Del Centro de Computo al establecer la
Causa distribución física del área de sistemas no se llevó a cabo un proceso de cableado
estructurado
Convivencia de cable de varios tipos diferentes, deficiente o nulo etiquetado del
cable, imposibilidad de aprovechar el mismo tipo de cable para equipos
diferentes, peligro de interferencias, averías y daños personales, coexistencia de
Efecto
diferentes tipos de conectores, recableado por cada traslado de un terminal,
saturación de ductos y tuberías para cableado y dificultades en el mantenimiento
en trazados y accesibilidad de estos.
Se evidencia que el centro de cómputo no cuenta con un cableado estructurado

Conclusión los cual puede ocasionar problemas que afectan la disponibilidad e integridad de
los equipos de computación.
Recomendación Realizar un cableado estructurado con la implementación de canaletas.
70
Teléfonos: 062548796 - 0998799123
Institución
Auditada:
Área Auditada: Centro de Cómputo Hecho por: FSVV - CPC
Fecha: 22/07/2018
Hallazgo Seguridad física del centro de cómputo.
De la seguridad física para el centro de cómputo de la U.E. Presidente Velasco

Condición Ibarra cuenta con una reja, doble candado, una puerta metálica de acceso y un
vigilante nocturno.
Incumpliendo las normas ISO 17799 que es proporcionar una base para
desarrollar normas de seguridad dentro de las organizaciones y ser una práctica
Criterio eficaz de la gestión de la seguridad y la ISO 15408 que trata sobre las normas de
seguridad para los centros de cómputo.
EL hecho se produce debido a que el personal encargado del centro de cómputo

Causa no realizo el debido requerimiento para adecuación de seguridad física del
mismo..
Ocasionando posibles pérdidas o daños a los equipos de computación que se
Efecto encuentran dentro del centro de cómputo, debido a la falta de seguridad física
que posee.
Se observa que el centro de cómputo no posee la debida seguridad física que

requiere, incumpliendo las normas ISO 17799 Y 15408, además de que los
Conclusión
requerimientos hechos por parte del personal a cargo han pasado a segundo
plano para la institución.
Informar a las principales autoridades sobre la importancia de adecuar el centro

Recomendación de cómputo con respecto a la seguridad física, de acuerdo a la normativa vigente
y el presupuesto de la institución.
71
FASE III.
INFORME DE
AUDITORÍA
72
3. INFORME DE AUDITORÍA

Teléfonos: 062548796 – 0998799123
Ibarra, 31 de julio 2018
Licenciada
Dra. Nubia Trejo
Rectora
Unidad Educativa Velasco Ibarra
Cordial saludo
Es de nuestro agrado presentar ante usted el informe final correspondiente a la auditoría realizada
por el equipo auditor Audit Sytem, el cual inició el 1 de julio y culminó el 31 de julio del 2018 con
la entrega del informe final.
Para dar cumplimiento a los objetivos y a los términos planteados en el proceso auditor, se
requirió la colaboración de los funcionarios del área de centro de cómputo de la institución, con
el suministro de información y los demás requerimientos que se solicitaron por el equipo auditor.
Entre las herramientas aplicadas para ejecutar el plan de auditoría se encuentran: cuestionarios
aplicados a todo el personal del área de operaciones, revisión de documentos, observación directa a
los procesos operacionales, checklists y la realización de papeles de trabajo.
En el informe se establecen las posibles soluciones que contribuyen a disminuir los errores en el
área, así como también se expresan de manera clara las recomendaciones elaboradas por el equipo
consultor que apoyan a la toma de decisiones.
Atentamente
Ing. Víctor Molina
73
Fecha del Informe: 31 de Julio de 2018
Nombre de la entidad: Unidad Educativa Presidente Velasco Ibarra
Auditoria de Redes
Objetivo
Evaluar que el sistema de redes del centro de cómputo de la Unidad Educativa Pdte. Velasco
Ibarra, cumpla la función de suministrar los equipos informáticos necesarios para el
desenvolvimiento de las actividades curriculares en la institución, realizando una auditoria en
la cual se verifique la correcta instalación, infraestructura, uso, acceso por parte de los
usuarios autorizados.
Lugar de la auditoria:
Oviedo 9-59 y Chica Narváez
Grupo Auditor:
Ing. Víctor Molina
Ing. Andrea Muñoz
Ing. Jonathan Lara
Ing. Cristina Moran
Ing. Fernanda Vallejo
Ing. Carla Caranqui
Fecha de inicio de la Auditoria: 1 de Julio de 2018
Fecha de finalización de la Auditoria: 31 de Julio del 2018
Alcance
Con la presente auditoría informática se pretende llevar a cabo un análisis de riesgos

referente a la razonabilidad del acceso a la base de datos para así revisar la aplicación de
políticas, procedimientos, normativa de la institución
74
1. Falta de inventario de los componentes de red
En el centro de cómputo de la Unidad Educativa Presidente Velasco Ibarra no se ha llevado un
registro del inventario sobre los terminales, modem, Reuter, controladores, cables, etc. Haciendo
caso omiso a las Normas de Control Interno de la Contraloría general del estado que en el
artículo 410-09 Mantenimiento y control de la infraestructura tecnológica. Numeral 7, expresa:
“Se mantendrá el control de los bienes informáticos a través de un inventario
actualizado con el detalle de las características y responsables a cargo, conciliado con
los registros contables.”
Por la condición mencionada anteriormente, al no existir un inventario de los componentes de la
red, no permite la correcta administración de estos equipos ya que no se conoce la cantidad
exacta de los diferentes elementos que componen la red, además esto puede dar apertura a
pérdidas de los equipos sin que lo noten los responsables o las autoridades.
Conclusión
La Unidad Educativa Presidente Velasco Ibarra, no cuenta con un inventario de los
diferentes componentes que integran la red como: servidores, router, controladores,
cables, switch, tarjetas de red, entre otros. Incumpliendo el artículo 410-09 de la Normativa
de Control Interno que trata sobre el Mantenimiento y control de la infraestructura tecnológica.
Recomendación.
Se recomienda al Administrador del Centro de Cómputo que realice el inventario de los
elementos de la red, detallando cada una de sus características.
75
2. Inexistencia de protección de las conexiones físicas
La en el centro de cómputo de la Unidad Educativa Presidente Velasco Ibarra se determinó que
los cables de red, de alimentación, de trasferencia de datos y otros, están expuestos a ser
manipulados por cualquier persona, además se presenció que los enchufes están en malas
condiciones ya que se encuentran fuera de sus cajas de protección, siendo un riesgo eléctrico
inminente.
Según la Normativa de Control Interno 410-10 Seguridad de tecnología de información, en su
numeral 5 menciona lo siguiente:
“Implementación y administración de seguridades a nivel de software y hardware, que
se realizará con monitoreo de seguridad, pruebas periódicas y acciones correctivas sobre
las vulnerabilidades o incidentes de seguridad identificados”
Y en el numeral 6 del mimo artículo expresa:
“Instalaciones físicas adecuadas que incluyan mecanismos, dispositivos y equipo
especializado para monitorear y controlar fuego, mantener ambiente con temperatura y
humedad relativa del aire controlado, disponer de energía acondicionada, esto es
estabilizada y polarizada, entre otros”
El caso omiso de este artículo de la normativa en el centro de cómputo, causa que exista la
posibilidad producirse un cortocircuito por el contacto inapropiado del cableado, además, el
maniobrar indebido de los cables puede causar un daño severo al computador o su
desconfiguración.
76
Conclusión.
La Unidad Educativa Presidente Velasco Ibarra, no cuenta con medidas de seguridad para las
conexiones físicas que garanticen la integridad de los equipos de computación, además no dio
cumplimiento al artículo 410-10 del Control Interno que norma la seguridad de tecnología de
información.
Recomendación
Se recomienda al Administrador del Centro de Cómputo que proteja el cableado correctamente
con los productos de protección de cables que existen en mercado para evitar daños permanentes
en los computadores.
3. Falta de un manual de procedimientos para el uso de la red
A través de la evaluación del cuestionario del control interno se determinó que el centro de
cómputo no cuenta con un manual que detalle los procedimientos y el accionar correcto para el
uso de la red. Según la normativa de Control Interno 410-10 Seguridad de tecnología de
información, manifiesta lo siguiente:
“Elaboración de manuales técnicos, de instalación y configuración; así como de
usuario, los cuales serán difundidos, publicados y actualizados de forma permanente.”
Por lo expuesto, la omisión de manuales guías para la configuración puede afectar la distribución
del internet a los diferentes equipos conectados a la red y otros problemas asociados como la
improductividad del centro de cómputo.
77
Conclusión
La Unidad Educativa Presidente Velasco Ibarra no cuenta con una manual de procedimientos
para el uso de la red, incumpliendo el artículo 410-10 que expresa sobre la responsabilidad de
elaborar manuales de técnicos de instalación y configuración.
Recomendación
Se recomienda al Administrador del Centro de Cómputo que elaborare los manuales técnicos
sobre la instalación y configuración de las redes y que los actualice constantemente según lo
requiera el equipo o la configuración.
4. La velocidad de carga y descarga de datos es baja
De las actividades realizadas por el Centro de Computo de la Unidad Educativa Presidente
Velasco Ibarra, se determinó que la Institución Educativa no cuenta con una red que cubra la
demanda por parte del laboratorio de computo, personal administrativo y docente que permitan
llevar acabo las actividades en la nube institucional ; incumpliendo la normativa de control
interno: 400-05 Entrada y Salida de Datos y 410-12 Administración de soporte de tecnología de
información; hecho que se produjo a razón de que la entidad no cuenta con el presupuesto para
una red mayor velocidad y a su vez que el centro de cómputo está conformado por un volumen
de equipos elevado incluidos los del personal docente.
Conclusión
Se evidencia la existencia de una red que no cumple con la demanda de la institución si bien
el Ministerio de Educación no considera importante la materia de computación, un presupuesto
78
limitado recae en la contratación de un servicio de internet no apto a las necesites del centro de
computación.
Recomendación
A la Rectora
 Gestionar el presupuesto próximo para el aumento del rubro necesario para obtener un
servicio de internet acorde a las necesidades de la institución.
 Aprobar y dar seguimiento a condiciones que permitan un manejo de red óptimo.
Al jefe del Centro de Cómputo
 Incluir en el presupuesto próximo el aumento del rubro necesario para obtener un servicio
de internet acorde a las necesidades de la institución.
 Verificar el límite de equipos conectados para no sobrecargar la red.
 Establecer bloqueos a equipos que se encuentren conectados y no persigan fines en
relación a la institución.
5. El centro de cómputo no cuenta con un cableado estructurado
Dentro del Centro de Computo de la Unidad Educativa Presidente Velasco Ibarra, se verifico
que hardware no cuenta con un cableado estructurado; incumpliendo la normativa de control
interno: 400–01 Organización del Área Informática; 400–03 Operación y Mantenimiento; y 400-
09 Seguridad General en los Centros de Procesamiento de Datos; esto se produjo a razón de la
adaptación de los nuevos equipos donados por la Municipalidad de Ibarra, y la aglomeración de
equipos dados de baja que ocupan espacio que es limitado dentro de las Instalaciones de la
Entidad.
79
Conclusión
Se evidencia que el centro de cómputo no cuenta con un cableado estructurado los cual puede
ocasionar problemas que afectan la disponibilidad e integridad de los equipos de computación.
Recomendación
A la Rectora
 Gestionar la implementación de un cableado estructurado.
Al jefe del Centro de Cómputo
 Desarrollar el cableado estructurado.
 Proponer y definir un cableado estructurado óptimo para el centro de computo
 Realizar el mantenimiento y revisión constante del cableado estructurado.
80

Auditoría-De-Redes-Uepvi Ejemplo PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Auditoría-De-Redes-Uepvi Ejemplo PDF

Uploaded by

Copyright:

Available Formats

AUDIT SYSTEM EMPRESA AUDITORA

Actualmente un proceso de auditoría informática realizado correctamente es esencial para

determinar vulnerabilidades y deficiencias existentes en los sistemas de información, los

sistemas informáticos son considerados como bases fundamentales en el desarrollo de

empresas e instituciones sean estas públicas como privadas.

La auditoría informática es un examen de carácter objetivo, crítico y sistemático ejecutado

informáticos, una adecuada gestión informática y el adecuado cumplimiento de los

objetivos y metas institucionales.

elaborar un programa de auditoría para la AUDIT SYSTEM, con el propósito de realizar

una evaluación al departamento de tecnologías de la información; mediante un diagnóstico

de todos los componentes informáticos, levantamiento de información de procesos y sobre

el cumplimiento de la normativa de control interno que haga referencia al manejo de las

siguientes marcos: COSO 1, Normas de Control Interno de la Contraloría General del

estructurada reforzando así el área de tecnología.

Una vez concluido el proceso de auditoría, se elabora un informe sobre posibles

deficiencias encontradas así como las conclusiones y recomendaciones más apropiadas a

los responsables para solucionarlas.

seguridad empresarial en todos los sentidos.

Realizar una auditoría informática a la institución con la finalidad de asegurar la integridad,

confidencialidad y disponibilidad de los datos e información.

hardware, el software y las instalaciones.

ᴥ Prever la existencia de riesgos en el uso de Tecnologías de información.

ᴥ Evaluar la aplicación de las normas, las políticas, y los procedimientos informáticos.

El alcance del proyecto comprende:

1. Evaluación de la dirección de informática en lo que corresponde a:

Trascender en brindar servicio personalizado de Auditoría Informática a empresas dedicada

a satisfacer sus necesidades de nuestros clientes, ser un asesor estratégico implementando

soluciones con oportunidad y dedicación al servicio y logro de las metas de nuestros

Ser un asesor estratégico líder en brindar atención personalizada de servicios de Auditoría

Informática. Ser el apoyo idóneo de las decisiones empresariales de nuestros clientes.

Respaldadas en la más alta confidencialidad y calidad técnica de nuestros profesionales que

mediano y largo plazo garantizando la confidencialidad, disponibilidad e integridad de la

GERENTE Sr. Víctor Molina

venido representando nacional e internacionalmente dejando en alto el nombre de nuestra

desempeñar la funciones como supervisor de la firma auditora encargándose de: verificar,

revisar y supervisar el trabajo realizado por el equipo de trabajo de auditoria; revisar el

diferentes auditorías realizadas. Destacándose en la calidad de su trabajo al momento de

participando en diferentes seminarios, lo cual le ha permitido fortalecer su conocimiento.

Cristina Morán y Fernanda Vallejo Auditoras Junior: Profesionales con 5 años de

experiencia, cuentan con los conocimientos requeridos para la ejecución de auditorías en

auditoria, contribuyendo al reconocimiento de la firma auditora.

Carla Caranqui Trainer: Profesional en Sistemas Informáticos, cuenta con

conocimientos en el manejo de herramientas de office, disponibilidad de tiempo sin

limitaciones y capacidad analítica, alto nivel de responsabilidad, proactivo y dinámico;

Normas de Auditoría Generalmente Aceptadas, Normas Internacionales de Auditoría y de

conformidad con el Código de Ética y con los procedimientos.

RECURSOS FÍSICOS VALOR

Suministros de oficina $ 25,00

Internet, investigaciones $ 20,00

Impresiones, anillados, copias $ 15,00

RECURSOS ECONÓMICOS VALOR

Movilización y Alimentación $ 50,00

calidad satisfaciendo las necesidades de sus clientes.

El marco legal comprende:

Ley fundamental del Estado Ecuatoriano, con rango superior

Las NIA contienen principios y procedimientos básicos y

Son Los principios fundamentales de auditoría a los que

Define normas que regulan los comportamientos de las

Es precisamente un modelo para auditar la gestión y control

Es un proceso llevado a cabo por la dirección y el resto del

Proporciona una descripción de los servicios de seguridad y

Los gerentes y empleados de Recursos Humanos de la organización deben permanecer

capacitaciones necesarios. La evaluación de necesidades comienza con un análisis de la