mandato equipo 5

25
EVEREST MANDATO DEL PROYECTO “AUDITORIA EN EL CENTRO DE CÓMPUTO DEL INSTITUTO TECNOLÓGICO DE TUXTEPEC” Información del documento Sistema del documento Iniciado Versión 1 Fecha 21/11/13 Nombre del documento Mandato Lista de distribución del documento Firma Fecha Preparado por Sánchez Valdez z. Jesús 21/11/1 3 Revisador por Bautista Maldonado Inés Encamación 25/11/1 3 Revisado por Feliciano patricio Beatriz 27/11/1 3 Revisado por Sánchez Rayón Lili 28/11/1 3

Transcript of mandato equipo 5

EVEREST

MANDATO DEL PROYECTO

“AUDITORIA EN EL CENTRO DE CÓMPUTO DEL INSTITUTO TECNOLÓGICO

DE TUXTEPEC”

Información del documento

Sistema del documento Iniciado

Versión 1

Fecha 21/11/13

Nombre del documento Mandato

Lista de distribución del documento Firma Fecha

Preparado por Sánchez Valdez z. Jesús 21/11/13

Revisador por Bautista Maldonado Inés

Encamación

25/11/13

Revisado por Feliciano patricio Beatriz 27/11/13

Revisado por Sánchez Rayón Lili 28/11/13

Revisado por Sánchez Valdez z. Jesús 29/11/13

Aprobado por Lic. María de los Angeles

Martínez Morales

Rev. 2.0

“AUDITORIA EN EL CENTRO DE CÓMPUTO DEL INSTITUTO

TECNOLÓGICO DE TUXTEPEC”

Fecha: 21/11/13

Elaboró: Sánchez Valdez z. Jesús Versión: 1.0

ÍNDICE

MANDATO DEL PROYECTO............................................................................................................1

PLANTEAMIENTO DEL PROBLEMA................................................................................................3

OBJETIVOS....................................................................................................................................... 4

ALCANCES........................................................................................................................................ 5

o ORGANIZATIVO.................................................................................................................... 5

o FUNCIONAL........................................................................................................................... 7

o TEMPORAL............................................................................................................................ 8

o COSTO................................................................................................................................... 8

ENTREGABLES PROPUESTAS.......................................................................................................9

REPORTE...................................................................................................................................... 9

o REPORTE PROVISIONAL:...................................................................................................9

o REPORTE DEFINITIVO:.......................................................................................................9

CALENDARIO.................................................................................................................................. 10

INFORMES PROVISIONALES Y DEFINITIVOS..............................................................................11

INFORME PROVISIONAL:...........................................................................................................11

INFORME DEFINITIVO:...............................................................................................................12

EXCLUSIONES................................................................................................................................ 13

RESTRICCIONES............................................................................................................................ 14

CONTACTOS Y DIRECCIONES......................................................................................................15

TIPO DE PROYECTO...................................................................................................................... 16

RIESGOS DE NO LLEVAR ACABO EL PROYECTO......................................................................17

BENEFICIOS.................................................................................................................................... 18

Página 2 de 21

FECHA:21/11/13

ELABORO: Sánchez Valdez z. JesúsVERSIÓN:

1.0

PLANTEAMIENTO DEL PROBLEMA

El edifico del centro de cómputo cuenta con una infraestructura de 4 laboratorios

habilitadas: L.S.I (laboratorio tratamiento de la información), L5 (laboratorio redes y

computación), Lsc (laboratorio software de base y arquitectura de base), LR

(laboratorio de redes). Además cuenta con un servidor capaz de brindar el servicio

de internet inalámbrico y al mismo tiempo proporcionar la característica de

consultar a sus bases de datos.

Dada la complejidad del sistema se puede suponer que los datos que manejan

son muy sensibles, el centro de cómputo del instituto tecnológico no está

cumpliendo con sus procedimientos estándar de control y por ello presenta varios

problemas en cuanto al control del mismo.

Los laboratorios del instituto tienen deficiencias en todos los puntos a auditar

desde el control de acceso hasta la medidas de seguridad en las instalaciones.

Es recomendable revisar todos estos puntos por medio de una auditoria para

comprobar realmente el nivel de control que implementan.

Rev. 2.0

“AUDITORIA EN EL CENTRO DE CÓMPUTO DEL INSTITUTO

TECNOLÓGICO DE TUXTEPEC”

Fecha: 21/11/13

Elaboró: Sánchez Valdez z. Jesús Versión: 1.0

OBJETIVOS

OBJETIVO GENERAL

Realizar una prueba de auditoria para el mejoramiento administrativo y académico

en el centro de cómputo del Instituto Tecnológico Tuxtepec Oaxaca.

OBJETIVOS ESPECIFICOS

o Realizar un estudio preliminar en el área del centro de cómputo.

o Revisar y evaluar los controles de seguridad de la red.

o Llevar acabo un examen detallado de áreas críticas del centro de cómputo.

o Realizar un informe de los resultados.

Página 4 de 21

FECHA:21/11/13

ELABORO: Sánchez Valdez z. JesúsVERSIÓN:

1.0

ALCANCES

o ORGANIZATIVO

La auditoría se llevara a cabo en el centro de cómputo, el cual depende directamente de la subdirección administrativa y

está constituido de la siguiente manera.

CAPTURISTACAPTURISTACAPTURISTAS

PROGRAMADOR

COORDINADOR DE SERVICIOS

DE CÓMPUTO

COORDINADOR DE

DESARROLLO DE SISTEMAS

SECRETARIA

C. MARCELINA BALDERAS

VELAZQUEZ

JEFE DE DEPARTAMENTO

ING. FELIPE DE JESUS NIÑO DE

LA CRUZ

FECHA:21/11/13

ELABORO: Sánchez Valdez z. JesúsVERSIÓN:

1.0

o FUNCIONAL

Etapa 1: Instalaciones

Se cuenta con un sistema central de aire acondicionado

En este punto se realizará una comprobación en las instalaciones, si estas

cuentan con sistema de aire acondicionado para mantener el equipo de

cómputo fresco.

Con cuántos equipos estacionarios se cuenta

Se contabilizaran los equipos informáticos para asegurarse que las listas de

relación que manejan en el área administrativa concuerden con las que se

encuentran existentes.

Cada cuánto se hace mantenimiento a estos equipos

Por motivos de seguridad a los usuarios se asegurara el tiempo de

mantenimiento en los laboratorios.

Es buena la iluminación del área

Por estándares en un laboratorio debe tener una buena iluminación para no

cansar la vista de los usuarios

¿Hay líquidos inflamables en el área?

Se buscará la presencia de cualquier sustancia inflamable en los

alrededores del centro de cómputo asegurando que estos se encuentren

lejos del alcance de los usuarios finales

La ubicación de los muebles es buena, tal que ayuda a la protección

de los cables de los equipos

Los laboratorios deben estar organizados de tal forma que el cableado

usado en los equipos informáticos este fuera del alcance de los muebles

para evitar daños en el recubrimiento de los cables y así mantener

protegido el suministro eléctrico o evitar accidentes.

Rev. 2.0

“AUDITORIA EN EL CENTRO DE CÓMPUTO DEL INSTITUTO

TECNOLÓGICO DE TUXTEPEC”

Fecha: 21/11/13

Elaboró: Sánchez Valdez z. Jesús Versión: 1.0

Etapa 2: Control de acceso

Existe un sistema de control de acceso en el centro de cómputo

Se comprobara si dicho control de acceso existe y cuáles son los métodos

usados por el centro de cómputo para gestionar la entrada a sus

laboratorios.

Dependiendo del Usuario, se define su área y horario de acceso

En caso de que exista un control de acceso, detectar que este sea el

adecuado para el horario del estudiante.

Se cumplen estas restricciones

En este punto se define si el sistema de control.

Siempre que personas ajenas a la empresa visitan el CDP, se les

acompaña a todo momento durante la misma

Se auditara el sistema de acceso comprobado si personas ajenas a la

institución pueden tener acceso a los laboratorios.

Este personal está totalmente identificado

Todo personal deberá portar su credencial de identificación para tener

acceso a los laboratorios en horarios no laborales.

Se complementa el sistema de control de acceso con un circuito

cerrado de televisión

Comprobar que el sistema de control este respaldado por un sistema de

vigilancia.

Se cuenta con un programa de señalización de las áreas restringidas?

Página 8 de 21

FECHA:21/11/13

ELABORO: Sánchez Valdez z. JesúsVERSIÓN:

1.0

Buscar en el centro de cómputo que las señalizaciones concuerden con la

estructura del edificio.

Se tiene identificado el cargo que custodiará las llaves de las puertas de

acceso a las áreas restringidas

Buscar el personal encargado de custodiar las llaves, en caso de que exista en

los organigramas

Etapa 3: Seguridad de la información

Están claramente identificadas las personas autorizadas para

entregar/retirar información del CPD, en cualquier medio

Buscar en el sistema de control que las personas con acceso a los datos

del servidor sea fácilmente identificable.

Existe algún formato en el cual se registre la entrega/retiro del CPD del

medio de información

Comprobar la existencia de una relación que registre los movimientos

administrativos para cada usuario dentro del servidor

Se hacen copias de soporte de la información

Se buscara comprobar si el personal que tiene acceso al servidor realiza

copias de seguridad regularmente.

Las copias de soporte están almacenada en un sitio de acceso

restringido

En caso de existir esta práctica, ver si las copias del servidor están

protegidas contra personas ajenas al área

El sitio de almacenamiento de las copias es cerrado?

Rev. 2.0

“AUDITORIA EN EL CENTRO DE CÓMPUTO DEL INSTITUTO

TECNOLÓGICO DE TUXTEPEC”

Fecha: 21/11/13

Elaboró: Sánchez Valdez z. Jesús Versión: 1.0

Comprobar que el almacenamiento de los datos sea seguro.

o TEMPORAL

El tiempo que se llevara a cabo para realizar la auditoria en el centro de cómputo

será de un mes.

o COSTO

La auditoría que vamos a realizar en el centro de cómputo tendrá un costo mínimo

de $3000 por cada uno de los consultores, la cual sería un total de $12000 P/M.

Página 10 de 21

FECHA:21/11/13

ELABORO: Sánchez Valdez z. JesúsVERSIÓN:

1.0

ENTREGABLES PROPUESTOS

REPORTE

o REPORTE PROVISIONAL:

Se realizara reporte en cada 3 días de actividad y deberá mencionar los

problemas encontrados durante las pruebas.

o REPORTE DEFINITIVO:

El reporte definitivo se realizará una vez a la semana, que son:

1. El resultados de pruebas realizadas

2. Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de

Cómputo durante un proceso.

3. Mantener un registro permanente (bitácora) de todos los procesos

realizados, dejando constancia de suspensiones o cancelaciones de

procesos.

4. Todas las actividades del Centro de Computo deben normarse mediante

manuales, instructivos, normas, reglamentos, etc.

Rev. 2.0

“AUDITORIA EN EL CENTRO DE CÓMPUTO DEL INSTITUTO

TECNOLÓGICO DE TUXTEPEC”

Fecha: 21/11/13

Elaboró: Sánchez Valdez z. Jesús Versión: 1.0

CALENDARIO

FASES ACTIVIDADES TAREASTIEMPO (DIA)

RECURSOS

Estudio preliminar

Definir el grupo de trabajo

Seleccionar personal y asignar roles. 1 Zoe jesús

Programas de auditoria. 1 Lili

Investigación preliminar

Visitas a la unidad informática. 1 Inés

Elaborar cuestionario para la obtención de información.

2 Beatriz

Evaluar el control interno. 4 Zoe jesús

Solicitar el plan de actividades enfocado a la informática.

2 Inés

Revisar manuales de políticas. 1 LiliRevisar reglamentos. 1 Beatriz

Hacer entrevistas. 2 Inés

Revisión y evaluacion de

controles y seguridad

Revisión de control físico del centro de

cómputo.

Revisión de los diagramas de flujo de procesos.

3 Zoe jesús

Realización de pruebas de cumplimiento de las seguridades.

2 Lili

Revisión de procesos históricos (backups). 1 Beatriz

Revisión de documentación y archivos 2 Inés

Revisión de seguridad de

la red inalámbrica.

Revisión de aplicaciones de las áreas críticas.

5 Zoe jesús

Establecer objetivos. 1 Inés

Examenes detallados de areas criticas

Hacer un estudio y análisis

profundo en las áreas críticas.

Establecerá los motivos.2 Lili

Definirá la metodología de trabajo.2 Lili

Durante la auditoria

Presentará el plan de trabajo. 2 Beatriz

Analizara detalladamente cada problema encontrado.

2 Zoe jesús

Comunicación de resultados

Elaborará el borrador del

informe definitivo.

Analizara detalladamente cada problema encontrado.

3 Zoe jesús

Alcance. 2 Inés

Estructurar orgánico-funcional del área informática.

5 Zoe jesús

Página 12 de 21

FECHA:21/11/13

ELABORO: Sánchez Valdez z. JesúsVERSIÓN:

1.0

Configuración del hardware y software instalado.

5 Lili

Control interno. 3 Beatriz

Rev. 2.0

“AUDITORIA EN EL CENTRO DE CÓMPUTO DEL INSTITUTO

TECNOLÓGICO DE TUXTEPEC”

Fecha: 21/11/13

Elaboró: Sánchez Valdez z. Jesús Versión: 1.0

INFORMES PROVISIONALES Y DEFINITIVOS

No. Informes Fecha

1 Informe provisional 02 /12/ 2013

2 Informe definitivo 05 /12/ 2013

INFORME PROVISIONAL:

Este informe será realizado cada 3 días de actividad y deberá mencionar los

problemas encontrados durante las pruebas, cabe mencionar que al ser solo un

informe provisional solo informará de los detalles descubiertos más no la

naturaleza ni el origen de los mismos.

Estos informes deberán contener los siguientes datos:

Nombre del auditor

Nombre del encargado del área

Fecha del informe

Pequeño resumen de los

resultados

Tiempo que abarcaron las pruebas

Listado de observaciones

Firma del auditor

Firma de recibido del encargado

del área

Página 14 de 21

FECHA:21/11/13

ELABORO: Sánchez Valdez z. JesúsVERSIÓN:

1.0

INFORME DEFINITIVO:

El informe definitivo se realizar una vez a la semana, luego de la redacción del

informe provisional, de haber confirmado las fallas, anexado nuevas faltas y

realizado pruebas exhaustivas sobre las observaciones encontradas, este informe

buscará especificar la naturaleza de cada falla así como de otorgar detalles al

encargado del área sobre el origen de las mismas.

El informe debe contener los siguientes datos:

Nombre del auditor

Nombre del encargado del área

Fecha del informe

Resumen detallado de los resultados

Tiempo que abarcaron las pruebas

Listado de observaciones

Soluciones propuestas a cada falla

Grafica de la gravedad de cada caso

Firma del auditor

Firma de recibido del encargado del

área

Rev. 2.0

“AUDITORIA EN EL CENTRO DE CÓMPUTO DEL INSTITUTO

TECNOLÓGICO DE TUXTEPEC”

Fecha: 21/11/13

Elaboró: Sánchez Valdez z. Jesús Versión: 1.0

EXCLUSIONES

La auditoría no aplicara en los siguientes puntos:

o Servidor: no se realizara ninguna revisión al hardware encargado de

sustentar las bases de datos del servidor.

o Administración: La auditoría solo se realiza en las áreas del laboratorio, o

lugares donde personas ajenas al centro de cómputo usen equipos

informáticos.

Página 16 de 21

FECHA:21/11/13

ELABORO: Sánchez Valdez z. JesúsVERSIÓN:

1.0

RESTRICCIONES

o La auditoría deberá ser llevada a cabo solo bajo permisos y supervisión de

un encargado legitimo del área.

o Reportar las fallas encontradas únicamente al jefe del departamento de

cómputo.

o No es posible interferir con las actividades diarias de los laboratorios, se

realizaran las pruebas en horas libres.

o No es posible sustraer equipos de cómputo de los laboratorios, si han de

realizar revisiones, se tendrán que hacer dentro de la instalación con

supervisión.

Rev. 2.0

“AUDITORIA EN EL CENTRO DE CÓMPUTO DEL INSTITUTO

TECNOLÓGICO DE TUXTEPEC”

Fecha: 21/11/13

Elaboró: Sánchez Valdez z. Jesús Versión: 1.0

CONTACTOS Y DIRECCIONES

Nombre correo Número de

celular

Inés E. Bautista Maldonado [email protected] 2871245617

Lili Sánchez Rayón [email protected] 2871083314

Zoe Jesús Sánchez Valdez [email protected] 2871210183

Beatriz Feliciano Patricio [email protected] 2871103751

Página 18 de 21

FECHA:21/11/13

ELABORO: Sánchez Valdez z. JesúsVERSIÓN:

1.0

TIPO DE PROYECTO

El proyecto que estamos realizando es un proyecto social; ya que su finalidad es

mejorar la calidad de los laboratorios que se encuentran en la Instituto Tecnológico

de Tuxtepec.

Rev. 2.0

“AUDITORIA EN EL CENTRO DE CÓMPUTO DEL INSTITUTO

TECNOLÓGICO DE TUXTEPEC”

Fecha: 21/11/13

Elaboró: Sánchez Valdez z. Jesús Versión: 1.0

RIESGOS DE NO LLEVAR ACABO EL PROYECTO

El centro de cómputo es el corazón de las conexiones en el tecnológico, de no

realizar revisiones periódicas a su seguridad como a su integridad se correría los

siguientes riegos.

o Acceso no autorizados (desde exterior): personas malintencionadas

puedan lograr accesos con permisos privilegiados gracias a

vulnerabilidades de seguridad lógica y así comprometer la integridad de los

datos, provocando fuga de información o daño grave en los componentes

físicos dependiendo de las intenciones del atacante.

o Acceso no autorizado (desde interior): Personas no precisamente

malintencionadas que logran acceso al área del servidor ya sea por motivos

casuales o maliciosos pueden llegar a perjudicar el hardware que soporta la

base de datos y que este llegue fallar definitivamente.

o Falla técnicas en algún laboratorio: La falta de cuidado en el cableado

estructural puede ocasionar pérdidas de conectividad en los equipos de

cómputo laborando en ese momento.

Página 20 de 21

FECHA:21/11/13

ELABORO: Sánchez Valdez z. JesúsVERSIÓN:

1.0

BENEFICIOS

El propósito por el cual se va llevar acabo la auditoria es para darle mejor

funcionamientos a los 4 Laboratorios que se tiene dentro del centro de cómputo

del Tecnológico de Tuxtepec. Esto es con la finalidad que los usuarios que vayan

a entrar a dicho lugar se sientan satisfechos realizando sus trabajos.

o El control de información que entra y sale de los laboratorios.

o Las restricciones de algunos sitios web (YouTube, Facebook entre otros)

beneficiara para que el internet sea más rápido en los laboratorios.