Mi Informe de Auditoria (2)[1] Nelly
Transcript of Mi Informe de Auditoria (2)[1] Nelly
-
8/6/2019 Mi Informe de Auditoria (2)[1] Nelly
1/20
AUDITORES LTDA
AUDITORIA FISICA
AUDITOR xxxxxxx
AUDITOR ASESOR Ing. xxxxxxxxxxxxxxxxxxxxxx
EMPRESA AUDITADA Cyberplace
DESTINATARIOS xxxxxxxxxxxxxxxxx
-
8/6/2019 Mi Informe de Auditoria (2)[1] Nelly
2/20
AUDITORES LTDA
INFORME DE AUDITORIA
TIPO DE AUDITORIA: Auditoria Fsica
DESTINATARIOS: xxxxxxxxxxx
ENTIDAD AUDITADA: Cyberplace
DIRECCIN: Carrera 35 No 11-16
CIUDAD: Bucaramanga
CYBERPLACE es un establecimiento que ofrece servicios de acceso a internet,impresiones, fotocopiado, llamadas nacionales e internacionales, entre otrosfunciones propias del rea de las comunicaciones.
Naci como una alternativa de empleo para quien es hoy aun su dueo,inicialmente solo contaba con 5 computadores no muy bien dotados en cuantoHardware, Software y adems la inexperiencia de quien lo administraba.
MISION
CYBERPLACE tiene como objetivo ofrecer un servicio oportuno, equiposeficientes con el Hardware necesario para que el cliente pueda realizar lasactividades que dentro del contexto informtico necesite adems buscamosasesorar en las dudas y necesidades a nuestros usuarios sobre los servicios queofrecemos.
VISION
CYBERPLACE en el 2012 espera convertirse en el caf internet lder en nuestrorea geogrfica brindando espacios ms amplios donde cada usuario puedaadems de utilizar nuestros equipos contar con un espacio especial para que ellosse conecten inalmbricamente desde su propio porttil.
-
8/6/2019 Mi Informe de Auditoria (2)[1] Nelly
3/20
AUDITORES LTDA
Actualmente los recursos informticos existentes son:
1 servidor.10 computadores (usuarios).2 impresoras.1 escner.1 fotocopiadora.
1. ORIGEN DE LA AUDITORIA:
La audito
ria aq
u presen
tad
a se realiz
a en cu
mplimien
todel plan
de a
uladeterminado en el rea de Auditoria Informtica del programa Diseo y
Administracin de Sistemas de las Unidades Tecnolgicas de Santander.
2. OBJETIVOS Y ALCANCE
2.1 OBJETIVO GENERAL
Evaluar a travs de un trabajo investigativo la seguridad lgica, fsica y laseguridad de las comunicaciones de los equipos de cmputo; adems de losplanes de contingencia y contratos de seguros.
2.2 OBJETIVOS ESPECIFICOS
Evaluar los procesos que se realizan en el establecimientoRevisar las normas de seguridadfsica y lgica del sistema informticoAnalizar los planes de contingencia que se tengan.Evaluar la forma como se administran los recursos HardwareRevisar la aplicacin de normas elctricas.Plantearun criterioobjetivo basado en pruebas sobre el rea de sistemas delestablecimiento
-
8/6/2019 Mi Informe de Auditoria (2)[1] Nelly
4/20
AUDITORES LTDA
3. ALCANCE DE LA AUDITORIA
La auditoria informtica basada en el campo fsico abarco especficamente laseguridad fsica y cierta parte de la seguridad lgica del rea de sistemas deCYBERPLACE, contratos de seguros y planes de contingencia para verificar laaplicacin de las normas y dems disposiciones aplicables al efecto.
El periododel examen comprende desde el 7 de septiembre del 2010 hasta el 25de noviembre del 2010.
4. ENFOQUE UTILIZADO
El trabajo realizadotoma en cuenta las Normas Internacionales de Auditoria (NIA)se aplicaron procedimientos propios del rea de auditora de acuerdo a lasnecesidades que se presentaron en la ejecucin de la misma.
La auditoria presentada se desarrollo en el establecimiento CYBERPLACEubicado en la carrera 35 No 11-16 en la ciudadde Bucaramanga,departamentode Santander.
Esta auditora informtica se baso especficamente en la parte fsica de rea de
sistema.
5. DOCUMENTOS REQUERIDOS
Contratos y plizas de segurosPlanes de seguridad.Planes de contingencia.Entrevistas y cuestionarios.Registros de informes tcnicos y de mantenimiento.
Auditorias anteriores.
-
8/6/2019 Mi Informe de Auditoria (2)[1] Nelly
5/20
AUDITORES LTDA
6. LA METODOLOGIA UTILIZADA FUE LA SIGUIENTE:
La metodologa que se sigui en el procesode auditora fue la siguiente:
Para la evaluacin del funcionamientodel sistema en cuanto al rea informtica serealizo:
Solicitud de informacin sobre los procesos que se realizan en elestablecimiento.
Aplicacin de cuestionarios al administrador y a los usuarios.
Visita tcnica de reconocimientodel rea
Anlisis y evaluacin de la informacin recibida.
Para la evaluacin de los sistemas en cuanto a seguridad en sus operaciones sellevo a cabo los siguientes pasos:
Solicitudde documentacin que especifique contratos o plizas de seguridad.
Anlisis de los procedimientos que se realizan normalmente en el sistema.
Anlisis de controles de accesofsico y lgico.
Solicitudde planes de contingencia.
Anlisis de medidas preventivas contra varios tipos de riesgos.
Entrevista con el administrador.
Identificacin de medidas de seguridadtomadas en el establecimiento.
-
8/6/2019 Mi Informe de Auditoria (2)[1] Nelly
6/20
AUDITORES LTDA
Para la evaluacin de los equipos de cmputo el procedimiento aplicado es:
Anlisis de la parte elctrica.
Solicitudde contratos de seguros.
Solicitudde compras y mantenimientos de los equipos.
Anlisis de la topografa de la red.
Visita tcnica.
Usode los equipos.
7. FACTORES Y RIESGOS.
AUDITAR LTDA
NIC 00215487 Cliente CIBERPLACE
Tipo deauditoria
fsicaDireccin: carrera 35 No 11-16
Seccin 1- Detalles de la No Conformidad:
Descripcin
Auditor :xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Auditoria Fsica
Verificar controles y tomardecisiones
Fecha: 16 Noviembre 2010
Factor SEGURIDADSubfactor CONTROL DE ACCESO
Descripcin del proceso aanalizar
Acceso fsico de los usuarios al centro de internet.
Acceso lgico a la maquina.
Tipo de prueba Sustantivas
-
8/6/2019 Mi Informe de Auditoria (2)[1] Nelly
7/20
Controles existencia de dos cmaras de seguridad.En cuanto a el acceso lgico de la maquina se
cuenta con un servidor que bloquea o concede
permiso de uso a los computadores de los usuarios.
No hay guardia humana.
Situaciones de riesgo Acceso no autorizadosExposicin a Robos
Exposicin a sabotajes
Revelacin de contraseas de acceso a la red.
Hallazgos No se encontraron mecanismos de control queregulen de manera adecuada el acceso fsico de los
usuarios a las instalaciones a exencin de las
cmaras de seguridad.
En cuanto al acceso lgico se maneja un software
que regula el acceso al equipo, guarda registros enel disco del servidor.
El acceso fsico a las impresoras y fotocopiadoras
solo est abierto para el administrador pero el
acceso lgico a estas maquinas est abierto para
cada computador de el establecimiento.
No se cuenta con una salida de emergencia.
EvidenciaCAMARA
INTERIOR
Registra todo lo que en el
interior del establecimiento
pueda estar sucediendo y lo
guarda en el disco del servidor.
Es manejada desde el router
por IP.
-
8/6/2019 Mi Informe de Auditoria (2)[1] Nelly
8/20
CAMARA
EXTERIOR
Registra todo lo que en la
entrada del establecimiento
pueda estar sucediendo y lo
guarda en el disco del servidor.
Es manejada desde el router
por IP.
La puerta no ofrece mayor
seguridad ya que no posee
ningn mecanismo de cierre
que no permita el acceso al
interior del establecimiento o
la salida sin autorizacin.
Conclusiones yrecomendaciones
CIBERPLACE implementa cmaras de seguridad conectadas
al servidor, el administrador puede observar lo que est
sucediendo en la totalidad del local pero no est exento de
que el servidor falle y todo lo registrado por las cmaras
pueda borrarse.
En cuanto al acceso lgico el software es confiable ya que en
varios aos de uso no ha presentado fallas, los registros van
siendo guardados de manera automtica y solo se perderan
en caso de dao en el disco duro.Cabe resaltar la importancia de tener un servidor de
respaldo para poder asegurar la informacin
obtenida de las cmaras.
La utilizacin de medios de seguridad eficientes en
cuanto a la puerta para que esta sea segura y
utilizada solo bajo la autorizacin del administrador.
Guardia humana.
-
8/6/2019 Mi Informe de Auditoria (2)[1] Nelly
9/20
Auditor : xxxxxxxxxxxxxxx
Fecha: 19-11-2010
Representante de la empresa xxxxxxxxxxx
Subfactor HARDWARE Y SOFTWARE
Descripcin del proceso aanalizar
Seguridad de los elementos de Hardware.
Adquisicin y uso de Hardware por parte del
administrador.
Mantenimiento de Software.
Ambiente adecuado para el montaje de la red.
Tipo de prueba Sustantivas.
Controles No se tienen controles de seguridad como cadenas
u otro tipo de elementos que garanticen que nosean sacados ilegalmente del establecimiento.
Uso de reguladores de energa.
Uso de extintores.
Manejo de sistema de aireacin.
Aplicacin de mantenimiento preventivo y
correctivo trimestralmente.
Situaciones de riesgo Robo de elementos de HardwareDao fsico de los elementos
InundacionesIncendios
Perdida de equipos por variacin de la potencia
elctrica
Virus
Hallazgos Los elementos de Hardware no estn aseguradosfsicamente al escritorio o equipo.
Solo se monitorea de manera muy superficial el uso
que el usuario da a los elementos de Hardware a
travs de las cmaras de seguridad.
El sistema de aire acondicionado funciona
correctamente pero el sistema de tuberas pasa
encima de varios equipos de modo que es un factor
de riesgo.
Se almacena elementos ajenos a un ambiente
informtico y que generan riesgos como gaseosas.
Antivirus free No licenciado.
-
8/6/2019 Mi Informe de Auditoria (2)[1] Nelly
10/20
Evidencia
Elementos como sillas,
diademas o mauses no estn
asegurados en los escritorios
de modo que pueden ser
fcilmente desconectados y
movilizados.
El extintor es multipropsito,se encuentra en buen estado,
recargado con fecha de
vencimiento en MARZO DEL
2011.
Se encuentra en un lugar
visible.
La tubera adyacente al sistema
de aire acondicionado se
encuentra visible sobre los
equipos de cmputo y esto
puede ocasionar dao en los
equipos en caso de averas en
los tubos.
Conclusiones yrecomendaciones El Hardware con que se cuenta no est asegurado de la
manera correcta dentro del establecimiento por lo cual estexpuesto a sufrir daos o a ser hurtado entre otros riesgos.
Se debera tener en cuenta aspectos como:
Guardia humana.
Mejorar el sistema de aire acondicionado para que
su tubera este fsicamente oculta.
Ubicar fuera del rea de cmputo los elementos
ajenos a este medio.
-
8/6/2019 Mi Informe de Auditoria (2)[1] Nelly
11/20
Implantacin de equipos ininterrumpibles.Instalacin de alarmas contra incendio e
inundaciones.
Legalizar el antivirus free.
Auditor : xxxxxxxxxxxxxxxxxxxxxFecha: 19-11-2010
Representante de la empresa xxxxxxxxxxxxxxxxxxxxxx
Subfactor CABLEADO Y ELECTRICIDAD
Descripcin del proceso aanalizar
Conexiones elctricas.
Riesgos elctricos.
Elementos de Previsin de riesgos elctricos.
Cableado estructurado.
Tipo de prueba Sustantivas
Controles Para cada equipo se cuenta con un Regulador deVoltaje
Cada enchufe cuenta con polo a tierra
Cyberplace est ubicado estratgicamente de modo
que se ve beneficiado por varias antenas para
rayos.
Algunos escritorios son totalmente cerrados de
modo que guardan el cableado y el regulador.
Situaciones de riesgo Daos elctricos en los equiposPerdida de equipos por variacin de la potencia
elctrica.
Daos fsicos en equipos o cables.
Hallazgos No se aplican las normas de cableado estructurado.no cuenta con una proteccin para la humedad o
hechos que involucre el dao fsico.
El local no cuenta con una antena para rayos propia
pero si se ve beneficiada de este servicio ya que en
el barrio hay varias de ellas.Uso de contadores y reguladores.
Sistema de alumbrado de mala distribucin de la
luz.
enchufes, cables y reguladores elctrico se ven
fsicamente en buen estado y se cuenta con el
nmero necesario para cubrir todos los equipos de
cmputo.
-
8/6/2019 Mi Informe de Auditoria (2)[1] Nelly
12/20
Evidencia
Se cuenta con todos los
elementos necesarios para
garantizar un ptimo servicio
elctrico, pero los cables estn
visibles y expuestos a ser
manipulados por cualquier
persona.
El cableado de la red a pesar deestar en cierta parte protegido
por los escritorios no est
organizado por canaletas
convirtindose en un factor de
riesgo.
El escritorio brinda cierto
orden y seguridad al cableado y
a los reguladores de voltaje.
-
8/6/2019 Mi Informe de Auditoria (2)[1] Nelly
13/20
Por cada dos computadores se
cuenta con un regulador de
voltaje para evitar daos
debido a fallas en el suministro
electico.
La iluminacin no est bien
ubicada teniendo en cuenta la
distribucin de los equipos de
cmputo.
Conclusiones yrecomendaciones
En cuanto a los riesgos propios de la parte elctrica
Cyberplace ha tomado las medidas ms comunes y la
ubicacin fsica del establecimiento le son favorables.
No se aplican normas de cableado estructurado.
Pero en caso de una falla en el servicio elctrico, no se
cuenta con un lugar como apoyo para continuar con las
actividades cotidianas de modo que la actividad se ver
afectada considerablemente hasta que se cuenten con los
medios para solucionar el problema que se haya
presentado.
Se debera invertir en el cableado estructurado del
establecimiento para adecuarlo segn conviene por
las Normas Vigentes (utilizacin de canaletas).
Cambiar la ubicacin de los focos de luz.
Mejorar la conexin elctrica utilizando canaletas o
paredes falsas.
Auditor : xxxxxxxxxxxxxxxxxxxx
Fecha: 19-11-2010
Representante de la empresa xxxxxxxxxxxxxxxxxxxxx
Subfactor PERSONAL
Descripcin del proceso aanalizar
Capacidad y administracin del personal.
-
8/6/2019 Mi Informe de Auditoria (2)[1] Nelly
14/20
Tipo de prueba Sustantiva (indagacin).
Controles Capacitacin constante del administrador.
Situaciones de riesgo Incapacidad para manejar algn tipo de software.
Hallazgos Inexistencia de un manual de funciones.
EvidenciaENTREVISTA AL UNICO ADMINISTRADOR DEL
ESTABLECIMIENTO ANEXO 1.
Conclusiones yrecomendaciones
Podemos deducir que al poseer un nico dueo y
administrador el manejo se hace ms seguro.
Se sugiere la existencia de un manual de funciones.
Auditor : xxxxxxxxxxxxxx
Fecha: 19-11-2010
Representante de la empresa xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Factor PLAN DE CONTIGENCIA
Subfactor COPIAS DE SEGURIDAD
Descripcin del proceso aanalizar
Uso de Back-up
T
ipo de prueba Sustantivas
Controles El control de los tiempos de cada usuario esguardado en el disco automticamente en intervalos
de tiempo muy cortos, estos registros son de fcil
recuperacin a menos que falle el disco.
Situaciones de riesgo Deterioro total del Disco Duro de modo que no searecuperable.
Hallazgos Un software capaz de guardar de manerainmediata los registro de tiempo usado por cada
usuario en el disco duro, si el servidor se apaga de
manera imprevista la informacin hasta ese
momento registrada no se perder.
-
8/6/2019 Mi Informe de Auditoria (2)[1] Nelly
15/20
Evidencia
Conclusiones yrecomendaciones
El modelo que utiliza Ciberplace no es totalmente seguro ya
que no cuenta con un servidor de respaldo en caso de que el
servidor central presente un dao grave y esto producira la
prdida total de datos.
Recuperar la informacin sera imposible en caso de perder
el Disco Duro.
Se sugiere:
Tener un servidor o Disco de respaldo.
Auditor : xxxxxxxxxxxxxxxx
Fecha: 19-11-2010
Representante de la empresa xxxxxxxxxxxxxxxxxxxxx
Subfactor PLAN DE RECUPERACION
Descripcin del proceso aanalizar
Existencia de planes de recuperacin.
Tipo de prueba Sustantivas
Controles Recuperacin de copias de seguridad del softwarede control de tiempos.
Situaciones de riesgo Prolongacin en el tiempo de reanudacin delproceso normal de servicio.
Imposibilidad de restauracin de los datos.
No disponibilidad de Hardware y Software
necesario para reanudar labores.
Hallazgos Inexistencia de un plan de recuperacin
-
8/6/2019 Mi Informe de Auditoria (2)[1] Nelly
16/20
Inexistencia de servidores de respaldo
Inexistencia de otro espacio fsico para reanudar
labores en caso de siniestros.
Evidencia Indagaciones anexo 1
Conclusiones yrecomendaciones
No se ha previsto un plan de recuperacin.
Se recomienda la redaccin de un plan de recuperacin que
sea accesible econmicamente teniendo en cuenta que el
local no representa mayores ingresos.
Auditor : xxxxxxxxxxxxx
Fecha: 19-11-2010
Representante de la empresa xxxxxxxxxxxxxxxxx
Factor CONTRATOS DE SEGUROS
Subfactor Adquisicin de seguros.
Descripcin del proceso aanalizar
Peticin y anlisis de los seguros con que se cuente.
Tipo de prueba Sustantivas y de cumplimiento.
Controles Cyberplace no cuenta con ningn tipo de seguro.
Situaciones de riesgo No compensacin de las prdidas, gastos o
responsabilidades derivadas de un fallo (robo,incendio, inundacin, desastre natural, error u
omisin, transporte, garanta de fabricacin).
Dificultad para resarcir los daos ocasionados.
Hallazgos No se cuenta con ningn tipo de pliza o seguro.
Evidencia
NO SE PUDOOBTENER NINGUN TIPO DEDOCUMENTACION
Conclusiones yrecomendaciones
El establecimiento no se encuentra asegurado en ningn
aspecto.
Se hace oportuno y urgente la adquisicin de algn
tipo de seguro contra robo bsicamente teniendo
en cuenta que los niveles de seguridad son bajos.
Adquisicin de seguro contra incendios dado que se
-
8/6/2019 Mi Informe de Auditoria (2)[1] Nelly
17/20
trabaja con la parte elctrica.
Auditor : xxxxxxxxxxxxxx
Fecha: 19-11-2010
Representante de la empresa xxxxxxxxxx
8. Fecha Del Informe
PLANEAMIENTO EJECUCIN INFORME
FECHAS 07-09-2010 AL20 -10-2010
21 - 10 - 2010 AL
12- 11-2010
25- 11- 2010
9. Identificacin Y Firma Del Auditor
____________________________________________________.xxxxxxxxxxxx
Tarjeta profesional 000000000000000Representante AUDITAR LTDA.
-
8/6/2019 Mi Informe de Auditoria (2)[1] Nelly
18/20
AUDITORES LTDA
ANEXOS
1. E.V. encuesta para administradores (pg. 14).
2. E.V. encuesta para usuarios (pg. 14).
3. Contratode auditora.
4. Carta de auditora.
-
8/6/2019 Mi Informe de Auditoria (2)[1] Nelly
19/20
AUDITORES LTDA
Bucaramanga, 25 de Noviembre del 2010.
SEORESCYBERPLACE
REF: DICTAMEN DE AUDITORIA
Hemos efectuado una auditoria fsica al sistema informtico del caf internetCYBERPLACE, examinando la seguridadfsica, lgica y de personal; los planesde contingencia (Back-up, plan de recuperacin) y los contratos de seguros que setienen en el periododel ao 2010.
Obtuve la informacin necesaria para cumplir mis funciones y efectu misexmenes de acuerdo con las Normas Internacionales de Auditoria y normas deauditora generalmente aceptadas en Colombia. Dichas normas exigen laadecuada planificacin y ejecucin la auditora de modo que brinde las bases paraestablecer un veredicto razonable sobre el nivel adecuado de seguridad del
sistema informtico. La auditoria comprende bsicamente la aplicacin de pruebassustantivas y de cumplimiento de modo que se respalde las afirmaciones yevaluaciones de aquellas estimaciones importantes realizadas al establecimiento.
Examinados los factores mencionados se evidencia la carencia de polticas deproteccin lgica de los datos (registros de tiempo);una aplicacin deficiente delas Normas de Cableado Estructurado Legales; la inexistencia de manuales paraempleados y de reglamentos tanto para el usuario como para el administradordonde se limiten espacios, se determinen compromisos y responsabilidades y lano previsin de medidas para afrontar el antes,durante y despus de un falloo
siniestro.Cabe resaltar que se cuenta con buenos elementos de Hardware,de seguridadelctrica y previsiones para incendios (extintores en buen estado).
En mi opinin la seguridad fsica del sistema informtico no cumple losrequerimientos mnimos establecidos y en la actualidad se encuentra frgil antela materializacin eventual de cualquiertipode riesgo y susceptible a ellos.
-
8/6/2019 Mi Informe de Auditoria (2)[1] Nelly
20/20
AUDITORES LTDA
Este informe es presentado a los 25 das del mes de Noviembre del 2010.
____________________________________________________.xxxxxxxxxxxxxxxxxxxxxxxTarjeta profesional 00000000000000
Representante AUDITAR LTDA.
Bucaramanga calle 58 No 13-23
Registro 1872535.