Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Plan de parcticas

primer paso antes de aser la uiditoria de redes

  • Login to see the comments

  • Be the first to like this

Plan de parcticas

  1. 1. UNIVERSIDAD TECNOLÓGICA DE LOS ANDES FACULTAD DE INGENIERÍA CARRERA PROFESIONAL DE INGENIERÍA DE SISTEMAS E INFORMÁTICA PLAN DE PRACTICAS PRE-PROFESIONALES ASESOR: ING. YURI ARGAMONTE HUAMANI PRESENTADO POR: ANATOLY ROZAS CORDOVA ABANCAY – PERU 2014
  2. 2. ÍNDICE. 1. Título de la Practica....................................3 2. Justificación............................................3 2.1. Justificación Social................................3 2.2. Justificación Económica.............................3 2.3. Justificación Técnica...............................4 3. Objetivos................................................4 3.1. Objetivo General....................................4 3.2. Objetivos secundarios...............................5 4. Marco teórico de la Practica.............................5 4.1. Auditoria...........................................5 4.2. Auditoria interna...................................5 4.3. Auditoria externa...................................5 4.4. Auditoria informática...............................6 5. Metodología..............................................7 5.1. COBIT.............................................. 8 a) Planeamiento.....................................9 b) Ejecución........................................9 c) Formulación Del Informe.........................10 d) Estructura del Informe..........................10 6. Presupuesto y Cronograma................................11 a) Presupuesto..........................................11 b) Cronograma...........................................12 7. Bibliografia............................................13
  3. 3. 1. TITULO DE LA PRACTICA Prácticas Pre-Profesionales (PPP) - Auditoria de red informática - Centro de Salud Pueblo Joven Centenario- Abancay 2. JUSTIFICACIÓN 2.1. Justificación Social Las redes de área local van tomando un papel muy importante en la sociedad en lo referente a la transferencia y acceso a la información. En la actualidad el desarrollo de la sociedad está enmarcada en un nivel tecnológico: “la tecnología no se puede distinguir fácilmente de lo humano pues se tiene dentro, cerca, fuera lo habitamos y nos habita”. Hoy en día se considera a las redes como indispensables por que permiten la transmisión de toda clase de información, pero también facilitan el acceso de intrusos que desean abusar de la red. La simple encripcion con llaves estáticas no es suficiente para proteger una red. Es por ello que es necesario un modelo de auditoria de seguridad ya que si la tecnología va en aumento también el riesgo va aumentando. 2.2. Justificación Económica
  4. 4. Una metodología de auditoria de redes, facilita el control de la información en la empresa u organización. Para una mejor productividad empresarial, los responsables de los sistemas que usan los distintos departamentos o areas de negocio, deben conocer los riesgos derivados de una inadecuada administración de la información lo que puede causar pérdidas económicas en la empresa y organización. Una auditoria de red ayudara ayer como se están empleando los recursos de la red. 2.3. Justificación Técnica Es elevado el porcentaje de redes que son instaladas sin tener consideración la seguridad, convirtiendo las mismas en redes abiertas o vulnerables, sin proteger la información que por ellas circulan. Todos los sistemas de comunicación, desde el punto de vista de auditoria, presentan en general una problemática común: la información transita por lugares alejados de las personas responsables. Esto presupone un compromiso en la seguridad ya que no existen procedimientos para garantizar la inviolabilidad de la información. Por causas fraudulentas, es posible interceptar la información por lo cual es importante un modelo de auditoria para encontrar los puntos de acceso vulnerables a nuestra red 3. OBJETIVOS
  5. 5. 3.1. Objetivo General Desarrollar una auditoria de red informática como un modelo de gestión para el Centro de Salud Pueblo Joven centenario con la finalidad de verificar la vulnerabilidad, riesgos en las redes de computadoras y ayudar a toma de decisiones. 3.2. Objetivos secundarios  Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.  Evaluar la red  garantizar el control de todos los puntos de acceso a la red  establecer políticas de seguridad 4. MARCO TEORICO DE LA PRACTICA 4.1. Auditoria La auditoría es una función de dirección cuya finalidad es analizar y apreciar, con vistas a las eventuales las acciones correctivas, el control interno de las organizaciones para garantizar la integridad de su patrimonio, la verdad de su información y el mantenimiento de la eficacia de sus sistemas de gestión. Normalmente se puede hablar de: 4.2. Auditoria interna Es realizada con medios y recursos propios de la organización por un departamento propio de la empresa en el caso de que se haya creado y cumpla con todos los requisitos necesarios para realizar de forma fehaciente y clara sus funciones.
  6. 6. Este equipos deberá estar formado por expertos en la materia y deberán dar cuenta ante el responsable. 4.3. Auditoria externa Es realizada con medios y recursos ajenos, normalmente remunerada como un servicio contratado, participa un profesional de este campo de formar independiente y con una experiencia y perfil contrastado para poder realizar esa función. 4.4. Auditoria informática Según Ron Weber en Auditing Coneptual Foundations And Parctice, la auditoria informática. Es la revisión y evaluación de los controles, sistemas y procedimientos de la información de los equipos de cómputo, su utilización, eficacia y seguridad; de la organización que participa en el procesamiento de la información a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente, confiable y segura de la información que sirve para una adecuada toma de decisiones. Es un con junto de procedimientos y técnicas para evaluar y controlar parcialmente un sistema informático, con el fin de proteger sus activos y recursos, verificar es sus actividades se desarrollan eficientemente y de acuerdo con la normativa informática y general existente en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente y estableciendo recomendaciones y planes de acción para la eliminación de aquellas. La auditoría informática tiene la función de:
  7. 7.  Vigilancia y evaluación mediante dictámenes y todas sus metodologías van encaminadas a esta función.  Tiene sus propios objetivos distintos a los auditores de cuentas, aunque necesarios para que estos puedan utilizar la información de sus sistemas para sus evaluaciones financieras y operativas.  Operan según el plan auditor.  Utilizar metodologías de valuación de tipo cualitativo con la característica de las pruebas de auditoria.  Establecen planes quincenales como ciclos completos.  Sistemas de valuación de repetición de la auditoria por nivel de exposición del área auditada y el resultado de la última auditoria de esta área.  La función de soporte informático de todos los auditores aunque no se debe pensar con esto que la auditoria informática consiste en solamente. 5. METODOLOGÍA Para el desarrollo del presente trabajo de investigación utilizare diferentes métodos y técnicas según la etapa. El método utilizando en el presente trabajo de investigación. Está basado en el método científico. Se va hacer un estudio a la institución entrevistando a los encargados de las áreas receptivas. Revise diferentes metodologías, normas y buenas prácticas para auditar las redes. Dichas metodologías y normas son las siguientes:  ISO 27002.  COBIT 4.1.  Funcionamiento de las redes.
  8. 8.  Metodología para administrar redes.  Seguridad en redes.  Seguridad física.  Seguridad lógica. COBIT Es un acrónimo para Control Objectives for Information and related Technology (Objetivos de Control para tecnología de la información y relacionada).desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI)........................ COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez. Permite a las empresas aumentar su valor TIC’s y reducir los riesgos asociados a proyectos tecnológicos. Ello a partir de parámetros generalmente aplicables y aceptados, para mejorar las prácticas de planeación, control y seguridad de las Tecnologías de información................................. COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los beneficios, riesgos, necesidades de control y aspectos técnicos propios de un
  9. 9. proyecto TIC; proporcionando un Marco Referencial Lógico para su dirección efectiva. Para la aplicación de la auditoria hojas de trabajo e informe de auditoría se basó en el estándar de International Standarsds For The Profesional Practice Of Internal Auditing Copyright 2001 By Institute Of Internal Auditors , tales como:  En cuanto a la fase de planificación de la auditoria me base en NAGU 2.10 (Planificación general) y NAGU 2.20 (planeamiento de la auditoria).  En cuanto a la fase de ejecución e informe me basare en NAGU 4.10 (elaboración del informe) y NAGU 4.40 (estructura del informe). Entre las técnicas de auditoria se utilizaron técnicas de verificación ocular como las observaciones, técnicas de verificación oral como indagación, entrevistas y encuestas, técnicas de verificación física como inspección, además de la utilización de herramientas asistidas por el computador. A continuación una breve explicación de la metodología que se usar en aplicación de la auditoria. a) Planeamiento: Plan de Auditoria Programa de Auditoria. NAGU 2.10: Planificación General  Objetivos  Alcance  Metodologías a utilizar NAGU 2.20: Planeamiento de la Auditoria  Objetivos del examen  Alcance del examen  Descripción de las actividades dela entidad  Normas aplicadas a la entidad  Informes a emitir y fecha de entrega
  10. 10.  Identificación de las áreas criticas  Funcionarios de la entidad a examinar  Presupuesto de tiempo  Participación de otros profesionales  Papeles de trabajo b) Ejecución: comunicación de hallazgo. Borrador de informe Hallazgo: condición, criterio, causa, efecto. c) Formulación Del Informe: NAGU 4.10: elaboración del informe: Informe: emisión del informe.  Supervisión de la estructura y contenido del borrador del informe administrativo y debido en papeles de trabajo.  Evaluación de los comentarios de la entidad y supervisión del informe administrativo final.  Supervisión de las observaciones, conclusiones, recomendaciones, y el proceso de determinación de las responsabilidades, administrativas, civiles o penales.  Supervisión del informe especial de ser caso.  Revisión final y suscripción de los informes.  Trámite de aprobación y remisión del informe a la entidad NAGU 4.40: Contenido del Informe. d) Estructura del Informe: I INTRODUCCION CAPITULO I. GENERALIDADES CAPITULO II. MARCO TEÓRICO CAPITULO III. AUDITORIA DE LA RED INFORMATICA CAPITULO IV. TECNICAS Y HERRAMIENTAS DE LA AUDITORIA CAPITULO V. ACTIVIDADES REALIZADAS II CONCLUSIONES III RECOMENDACIONES IV ANEXOS
  11. 11. 6. PRESUPUESTO Y CRONOGRAMA 6.1 PRESUPUESTO Los honorarios de nuestros auditores variarán en función de los trabajos encomendados Auditoria voluntaria: El precio de una auditoria voluntaria de una empresa variará en función del encargo realizado por el auditor. En especial, de las áreas en las que se tenga especial interés en revisar, del alcance y del fin del trabajo a realizar. La duración está en un margen entre 300-480 horas de profesionales .Este número de horas se traduce en un rango de tres meses. El rango de horas depende de la complejidad de las operaciones de la Sociedad y de su actividad. Conforme la complejidades mayor, el número de horas aumenta. CUADROS DE PRESUPUESTO PARA LA AUDITORIA CONCEPTO MONTO MATERIAL DE OFICINA (PAPELES TINTA, ETC S/. 120.00 TRANSPORTE Y MOVILIDAD S/. 220.00 GASTOS VARIOS S/. 200.00 TOTAL S/. 540.00
  12. 12. 6.2 CRONOGRAMA Fase Actividad Fec./Inicio Fec./Fin 4.1.1 Realización del Plan de la auditoria:  Elaborar el plan de la Auditoria.  Elaborar el plan de cronograma de actividades. 19/05/2014 27/05/2014 4.1.2 Revisión Documental Preliminar:  Solicitud de Manuales y documentos para la realización de los objetivos, funciones y metas de la institución.  Recopilación de la información organizacional: estructura orgánica, recursos humanos, presupuestos. 28/05/2014 10/06/2014 4.1.3 Desarrollo detallada de la Auditoria:  Entrevistas a los jefes, coordinares, responsables y personal del centro de salud Pueblo Joven.  Evaluar la estructura orgánica: gerencia, coordinaciones y responsables de cada área, funciones y responsabilidades.  Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos. 11/06/2014 26/07/2014  Evaluación de los Recursos Humanos: desempeño, capacitación, condiciones de trabajo, recursos en materiales y financieros mobiliarios y equipos.  Evaluación de los sistemas: relevamiento de hardware y Software, evaluación del diseño lógico y del desarrollo del sistema.  Evaluación de la red: diseño topológico, cableado estructurado, software de administración de red, seguridad en la
  13. 13. red.  Evaluar el parque informático (Pc’s, Laptop, servidores).  Evaluación del Proceso de Datos y de los Equipos de Cómputos: seguridad de los datos, control de operación, seguridad física y procedimientos de respaldo. 4.1.4 Revisión y Pre-Informe:  Revisión de los papeles de trabajo (cuestionarios aplicados).  Determinación del Diagnostico e Implicancias.  Elaboración del borrador. 28/07/2014 08/08/2014 4.1.5 Entrega del Informe  Corrección del borrador  Elaboración y presentación del Informe. 09/08/2014 18/08/2014 4.1.6 Sustentación del informe. 19/09/2014 19/09/2014 7. BIBLIOGRAFIA  http://es.scribd.com/doc/20963546/Auditoria-Fisica-y-de- La-Ofiimatica-una-pequena-ayudada  http://faca.unjbg.edu.pe/webesad/documentos/modelo_plan.p df  http://www.javeriana.edu.co/Facultades/Arquidiseno/boleti n/images/mar2012/guia_desarrollopracticas.doc.  http://industrial.unmsm.edu.pe/archivos/investigacion/pro yectos/111701075.pdf

×