Professional Documents
Culture Documents
Marzo, 2011.
INDICE
Pag.
INTRODUCCIN
Objetivo General
Objetivos Especficos
Alcances y Limitaciones
Metodologa de la Auditoria
10
ANEXO
Cuestionarios
BIBLIOGRAFIA
15
17
INTRODUCCIN
Auditar consiste principalmente en estudiar los mecanismos de control
que estn implantados en una empresa u organizacin, determinando si los
mismos son adecuados y cumplen unos determinados objetivos o
estrategias, estableciendo los cambios que se deberan realizar para la
consecucin de los mismos. Los mecanismos de control pueden ser
directivos, preventivos, de deteccin, correctivos o de recuperacin ante una
contingencia.
Por esto esta permite detectar de forma sistemtica el uso de los
recursos y los flujos de informacin dentro de una organizacin y determinar
qu informacin es crtica para el cumplimiento de su misin y objetivos,
identificando necesidades, duplicidades, costos, valor y barreras, que
obstaculizan flujos de informacin eficientes.
De acuerdo a esto la unidad de sistemas juega un papel importante en
la consecucin de procesos administrativos, acadmicos entre otros. En ella
se encuentran los servidores que ejecutan procesos crticos que necesitan
alto grado de disponibilidad, eficiencia, exactitud.
Por tanto se hace necesario realizar una auditoria informtica, que
permita conocer el estado del parque informtico e infraestructura de la
unidad de sistemas del instituto universitario de tecnologa de los llanos.
Objetivo General
Realizar auditoria de los servidores de la unidad de sistemas del
Instituto Universitario de Tecnologa de los Llanos ncleo valle de la pascua.
Objetivos Especficos
Evaluar
responsabilidad
del
uso
adecuado
del
equipamiento
computacional.
Verificar la existencia de
mantenimiento.
Alcances y Limitaciones
A travs de esta auditoria se evaluar el entorno Informtico del rea
de servidores de la unidad de sistemas, con el objeto de determinar los
puntos crticos, y como afectan estos el desarrollo de las tareas de la
institucin y como apoya la unidad de sistemas los objetivos institucionales.
Para que dicho objetivo general se cumpla se
evaluarn la
Mapa
Iut de los
Llanos
Compras
Biblioteca
Control de
Estudios
Planif.
Bienes Nac.
Pasantitas
Ejecucin
Unidad de
Sistemas
Personal
Org. Y
Met
Internet
Desarrollar, mantener y administrar la pgina web oficial del IUT de los
Llanos.
Mantener los servicios web y de correo electrnico de la institucin.
Crear y mantener las cuentas de usuarios de los diferentes
departamentos que tienen espacio en la pagina web.
Evaluar plataformas de desarrollo para el entorno web.
Gestin del sistema administrativo
Administrar el Sistema nico de Gestin Administrativa Universitaria
(SUGAU)
Mantener en linea y operativo el sistema SUGAU.
Administrar las cuentas de usuarios.
Gestionar planes de mantenimiento para la base de datos de
produccin del sistema SUGAU.
Proporcionar pautas de desarrollo de actualizaciones para el sistema
SUGAU.
10
COORDINACION
SERVICIO TCNICO
ADMINISTRACIN DE
REDES
DESARROLLO DE
SISTEMAS
INTERNET
GESTIN DEL
SISTEMA
ADMINISTRATIVO
7
11
Matriz Foda/Rola.
Unidad de Sistemas
Fortalezas/Recursos
Personal Capacitado.
Herramientas de Red
Manejo de Intrprete
de rdenes segura.
Software para probar
seguridad online.
Oportunidades
Estrategias Fo / Ro
Disposicin de la
Incrementar niveles
Direccin de Mejorar el
de seguridad de la
Servicio.
red.
Cercana de la Mayoria
Corregir rpidamente
de los equipos de la
red.
fallas fsicas.
Configuracin y
pruebas remotas.
Probar seguridad de
los servidores desde
Internet.
Debilidad/Limitaciones
Limite de Recursos
Financieros.
Cables empalmados o
en mal estado
Poco uso de recursos
compartidos.
Parches de Seguridad.
Estrategias Do / Lo
Exposicin de la
necesidad para compra
de elementos
requeridos.
Fcil reemplazado del
cable.
Compartir recursos
(Impresoras, Carpetas)
Instalar actualizaciones
de seguridad
constantemente.
Amenazas
Estrategias Fa / Ra
Estrategias Da / La
Disponibilidad limitada
de Recursos
Financieros.
Justificar compra de
materiales y equipos
necesarios.
Vulnerabilidad de la
informacin.
Configurar recursos
compartidos.
No contar con
informacin de
posibles
vulnerabilidades.
Configurar recursos
compartidos, orientar al
personal de las ventajas
de su uso.
Realizar test de
seguridad y tomar
acciones encaminadas a
corregirlos.
12
Diagrama de Venn.
MPPES
Directiva IUT
de los Llanos
Laboratorio
s
rea
Administrativ
a
Unidad de
Sistemas
Coordinacion
es de carreras
13
14
Intereses
MPPES
Mantener
operativa
pgina web
institucional
Mantener
operativa la
infraestructura
tecnolgica
Unidad de
Sistemas
rea
Administrativa
Coordinacin
de Carreras
Laboratorios
Problemas
Percibidos
Cadas del
servidor web.
Aportes
Apoyo para
realizacin
de mejoras a
la plataforma
Carencias de
Contribuir a
Instrumentos mejorar la
de Trabajo,
plataforma
Recursos y
tecnolgica
Personal.
de la
institucin.
Apoyan el
Falta de
Creacin de
establecimient Recursos,
Recursos
o de polticas
Vunerabilidad Compartidos
de la
, que cuenten
Informacin( con los
uso de
niveles de
pendrive)
seguridad
Requeridos
Cumplir las
Falta de
Apoyar en el
directrices
programas
desarrollo de
emanadas de la para apoyo a
actividades
subdireccin
la toma de
educativas de
acadmica.
decisiones
la institucin.
Contribuir a la
formacin de
los estudiantes,
a travs de estos
espacios
destinados para
tal fin.
Falta de
Equipos de
Computacin,
Inclusin a la
red
institucional,
acceso a
internet.
Exigencias
Disponibilidad
del sitio web .
Instrumentos de
Trabajo, compra
de equipos de
computacin,
red.
Elevar el nivel
de seguridad de
la red.
Acceso a
Programas para
apoyo a toma de
decisiones,
acceso a la red
institucional.
Contribuir a la Inclusin a la red
formacin de institucional,
los
acceso a internet,
estudiantes.
adquisicin de
equipos.
15
Aumento de seguridad
Seguridad fsica
Disminucin de riesgos,
ataques internos o externos
a la red
Instalacin de software
actualizado
Garantizar servicio
Establecimiento de normas
para elevar niveles
Configuracin avanzada
Proteccin de servidores
Objetivo
Establecer polticas de seguridad en la intranet del Iut de los Llanos
Medi
Creacin de manual de
polticas de seguridad
Establecimiento de polticas de
Establecimiento de polticas de
seguridad por parte de la unidad
seguridad por parte de la unidad
de sistema
de sistema
Material de apoyo
(Presentaciones, folletos).
Buscar cursos
Gestin de cursos
Gestin de cursos
actualizados en materia de
actualizados en materia de
seguridad
seguridad
Ampliacin de seguridad
Ampliacin de seguridad
fsica
fsica
16
Anlisis de Factibilidad
Factibilidad
TIEMPO
1.- Largo Plazo
2.- Mediano Plazo
3.- Corto Plazo
BENEFICIARIOS
1.- Pocos
2.- Suficientes
3.- Muchos
COSTOS
1.- Alto
2.- Medios
3.- Bajos
IMPACTO
1.- Bajo
2.- Medio
3.- Alto
FACTIBILIDAD
1.- Poco Probable
2.- Medianamente
Probable
3.- Probable
TOTAL:
Objetivos Especficos
Creacin de Manual
Capacitacin de
con Polticas de
Personal (Bsico,
Seguridad (Aplicables Medio y Avanzado).
tanto a servidores
como a clientes).
Configuracin de
Seguridad en
Servidores y clientes,
as como seguridad
fsica de servidores.
12
13
14
17
Anlisis de Criterios
Criterios
Estrategias
Financieros
Establecimiento
de Polticas de
Seguridad
Charla sobre
polticas de
seguridad.
Gasto de
consumibles,
tinta, papel,
carpetas,
copias.
Gastos en
material del
apoyo,
refrigerio.
Sociales
Cambio de la
forma en que
los usuarios
manejan sus
cuentas, claves,
archivos
compartidos,
entre otros.
Conocimiento
por parte de los
usuarios acerca
del valor de la
informacin hoy
en da.
Ambientales
Ninguno
Polticos
Ninguno
Ninguno
Ninguno
Gestin de
Cursos
Configuracin
Avanzada de
Servidores
Gastos de
viticos y costo
de curso.
Personal
altamente
capacitado en
seguridad
informtica.
Ninguno
Ninguno
Seguridad fsica
de servidores
Gastos en
adecuacin del
rea
Resguardo de
los equipos.
Ninguno
Ninguno
18
Fines
Calidad de servicio
Propsito
Componentes
Actividades
Aumento de seguridad
lgica
Seguridad
fsica
Creacin de manual de
polticas de seguridad
Material de apoyo
(Presentaciones, folletos).
Realizacin de Cursos en
Materia de Seguridad
Establecimiento de
polticas de seguridad
Charla de polticas de
seguridad
Cursos en materia de
seguridad.
Seguridad Fsica
19
Metodologa de la Auditoria
La metodologa a usar son las Pruebas sustantivas estas verifican el
grado de confiabilidad del SI del organismo. Se suelen obtener mediante
observacin, clculos, muestreos, entrevistas, tcnicas de examen analtico,
revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y
validez de la informacin. Estas segn el autor Jos A, Echenique(1998).
Evaluacin de la Seguridad.
Segn Jos A, Echenique(1998). Las computadoras son instrumentos
que estructuran gran cantidad de informacin, la cual puede ser confidencia
para individuos empresas o instituciones y puede ser mal utilizada o
divulgada.
Durante mucho tiempo se consider que los procedimientos de
auditoria y seguridad era responsabilidad de las personas que elabora los
sistemas sin considerar que son responsabilidad del rea informtica en
cuanto a la elaboracin de los sistemas, del usuario en cuanto a la utilizacin
que se le de a la informacin y a la forma de accesarla y del departamento
de auditoria interna y cuanto a la supervisin y diseo de controles
necesarios.
La seguridad del rea de informtica tiene como objetivos:
Proteger los activos ante desastres provocados por la mano del hombre y
de actos hostiles.
20
Contar con los seguros necesarios que cubran las prdidas econmicas
en caso de desastres.
Seguridad Lgica.
La seguridad lgica se encarga de los controles de acceso que estn
diseados para salvaguardar la integridad de la informacin almacenada en
los equipos de la institucin, especficamente en los servidores de la unidad
de sistemas y equipos esencial en el quehacer administrativo de la
institucin, as como de controlar el mal uso de la informacin. Estos
controles reducen el riesgo de caer en situaciones adversas.
Se puede decir entonces que un inadecuado control de acceso lgico
incrementa el potencial de la institucin para perder informacin, o bien para
que esta sea utilizada de forma inadecuada; asimismo, esto hace que se vea
disminuida su defensa ante competidores, el crimen organizado, personal
desleal y violaciones accidentales.
La falta de seguridad lgica o su violacin puede traer como
consecuencias a la institucin:
21
de
cmputo
de
la
institucin.
Actualmente
se
considera
Almacenamiento de equipos
Mesas de trabajo
22
Equipo de telecomunicaciones
rea de programacin
rea de recepcin
Computadoras
23
SI / NO
Respuesta
24
25
CUESTIONARIO
En cuanto a la seguridad Fsica
Item
SI /
NO
NO
NO
NO
NO
NO
NO
SI
NO
SI
SI
SI
NO
SI
Respuesta
SI
DIARIO
Anual Nunca)?
Se cuenta con polticas de seguridad establecidas para el acceso a
los servidores?
Se utilizan claves fuertes en estos equipos?
Se cambian con frecuencia las claves de servidores y equipos?
Existen restricciones de acceso a carpetas compartidas?
Los servidores cuentan con firewall?
Poseen antivirus en caso de los equipos tener instalado el sistema
operativo windows?
Se pide clave para ingresar a los servidores?
Lo puertos no utilizados se encuentran cerrados?
Se revisan constantemente los log para evitar solventar posibles
fallos de seguridad?
Se instalan actualizaciones de seguridad?
NO
SI
NO
SI
SI
SI
SI
SI
NO
SI
26
SI
SI
27
RECOMENDACIONES
En cuanto a seguridad fsica.
Segn el anlisis, la seguridad fsica es uno de los aspectos ms
olvidados en el rea de sistemas del IUT de Los llanos, es relativamente fcil
acceder a los servidores. Como consecuencia es ms fcil para un atacante
entrar y tomar dispositivos de almacenamiento con data sensible que realizar
un ataque lgico a los mismos. En tal sentido hacemos recomendaciones
enfocadas a cubrir amenazas ocasionadas tanto por el hombre como por la
naturaleza del medio fsico en que se encuentra ubicada la unidad de
sistemas.
Desastres naturales, incendios accidentales e inundaciones.
Deben sustituirse los muebles actuales por mobiliario incombustible.
Deben sustituirse los cestos de plsticos por unos metlicos.
Deben reducirse al mnimo
28
29
BIBLIOGRAFA
Echenique Jos(1998). Auditoria en Informtica Editorial Mc Graw Hill
Interamericana. 2da Edicin .
PIATTINI, Mario y Emilio del Peso. Auditoria Informtica. Un enfoque
prctico. Editorial RA-MA.
30