Mi Informe de Auditoria (2)[1] Nelly

8/6/2019 Mi Informe de Auditoria (2)[1] Nelly

1/20

AUDITORES LTDA

AUDITORIA FISICA

AUDITOR xxxxxxx

AUDITOR ASESOR Ing. xxxxxxxxxxxxxxxxxxxxxx

EMPRESA AUDITADA Cyberplace

DESTINATARIOS xxxxxxxxxxxxxxxxx


2/20

AUDITORES LTDA

INFORME DE AUDITORIA

TIPO DE AUDITORIA: Auditoria Fsica

DESTINATARIOS: xxxxxxxxxxx

ENTIDAD AUDITADA: Cyberplace

DIRECCIN: Carrera 35 No 11-16

CIUDAD: Bucaramanga

CYBERPLACE es un establecimiento que ofrece servicios de acceso a internet,impresiones, fotocopiado, llamadas nacionales e internacionales, entre otrosfunciones propias del rea de las comunicaciones.

Naci como una alternativa de empleo para quien es hoy aun su dueo,inicialmente solo contaba con 5 computadores no muy bien dotados en cuantoHardware, Software y adems la inexperiencia de quien lo administraba.

MISION

CYBERPLACE tiene como objetivo ofrecer un servicio oportuno, equiposeficientes con el Hardware necesario para que el cliente pueda realizar lasactividades que dentro del contexto informtico necesite adems buscamosasesorar en las dudas y necesidades a nuestros usuarios sobre los servicios queofrecemos.

VISION

CYBERPLACE en el 2012 espera convertirse en el caf internet lder en nuestrorea geogrfica brindando espacios ms amplios donde cada usuario puedaadems de utilizar nuestros equipos contar con un espacio especial para que ellosse conecten inalmbricamente desde su propio porttil.


3/20

AUDITORES LTDA

Actualmente los recursos informticos existentes son:

1 servidor.10 computadores (usuarios).2 impresoras.1 escner.1 fotocopiadora.

1. ORIGEN DE LA AUDITORIA:

La audito

ria aq

u presen

tad

a se realiz

a en cu

mplimien

todel plan

de a

uladeterminado en el rea de Auditoria Informtica del programa Diseo y

Administracin de Sistemas de las Unidades Tecnolgicas de Santander.

2. OBJETIVOS Y ALCANCE

2.1 OBJETIVO GENERAL

Evaluar a travs de un trabajo investigativo la seguridad lgica, fsica y laseguridad de las comunicaciones de los equipos de cmputo; adems de losplanes de contingencia y contratos de seguros.

2.2 OBJETIVOS ESPECIFICOS

Evaluar los procesos que se realizan en el establecimientoRevisar las normas de seguridadfsica y lgica del sistema informticoAnalizar los planes de contingencia que se tengan.Evaluar la forma como se administran los recursos HardwareRevisar la aplicacin de normas elctricas.Plantearun criterioobjetivo basado en pruebas sobre el rea de sistemas delestablecimiento


4/20

AUDITORES LTDA

3. ALCANCE DE LA AUDITORIA

La auditoria informtica basada en el campo fsico abarco especficamente laseguridad fsica y cierta parte de la seguridad lgica del rea de sistemas deCYBERPLACE, contratos de seguros y planes de contingencia para verificar laaplicacin de las normas y dems disposiciones aplicables al efecto.

El periododel examen comprende desde el 7 de septiembre del 2010 hasta el 25de noviembre del 2010.

4. ENFOQUE UTILIZADO

El trabajo realizadotoma en cuenta las Normas Internacionales de Auditoria (NIA)se aplicaron procedimientos propios del rea de auditora de acuerdo a lasnecesidades que se presentaron en la ejecucin de la misma.

La auditoria presentada se desarrollo en el establecimiento CYBERPLACEubicado en la carrera 35 No 11-16 en la ciudadde Bucaramanga,departamentode Santander.

Esta auditora informtica se baso especficamente en la parte fsica de rea de

sistema.

5. DOCUMENTOS REQUERIDOS

Contratos y plizas de segurosPlanes de seguridad.Planes de contingencia.Entrevistas y cuestionarios.Registros de informes tcnicos y de mantenimiento.

Auditorias anteriores.


5/20

AUDITORES LTDA

6. LA METODOLOGIA UTILIZADA FUE LA SIGUIENTE:

La metodologa que se sigui en el procesode auditora fue la siguiente:

Para la evaluacin del funcionamientodel sistema en cuanto al rea informtica serealizo:

Solicitud de informacin sobre los procesos que se realizan en elestablecimiento.

Aplicacin de cuestionarios al administrador y a los usuarios.

Visita tcnica de reconocimientodel rea

Anlisis y evaluacin de la informacin recibida.

Para la evaluacin de los sistemas en cuanto a seguridad en sus operaciones sellevo a cabo los siguientes pasos:

Solicitudde documentacin que especifique contratos o plizas de seguridad.

Anlisis de los procedimientos que se realizan normalmente en el sistema.

Anlisis de controles de accesofsico y lgico.

Solicitudde planes de contingencia.

Anlisis de medidas preventivas contra varios tipos de riesgos.

Entrevista con el administrador.

Identificacin de medidas de seguridadtomadas en el establecimiento.


6/20

AUDITORES LTDA

Para la evaluacin de los equipos de cmputo el procedimiento aplicado es:

Anlisis de la parte elctrica.

Solicitudde contratos de seguros.

Solicitudde compras y mantenimientos de los equipos.

Anlisis de la topografa de la red.

Visita tcnica.

Usode los equipos.

7. FACTORES Y RIESGOS.

AUDITAR LTDA

NIC 00215487 Cliente CIBERPLACE

Tipo deauditoria

fsicaDireccin: carrera 35 No 11-16

Seccin 1- Detalles de la No Conformidad:

Descripcin

Auditor :xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Auditoria Fsica

Verificar controles y tomardecisiones

Fecha: 16 Noviembre 2010

Factor SEGURIDADSubfactor CONTROL DE ACCESO

Descripcin del proceso aanalizar

Acceso fsico de los usuarios al centro de internet.

Acceso lgico a la maquina.

Tipo de prueba Sustantivas


7/20

Controles existencia de dos cmaras de seguridad.En cuanto a el acceso lgico de la maquina se

cuenta con un servidor que bloquea o concede

permiso de uso a los computadores de los usuarios.

No hay guardia humana.

Situaciones de riesgo Acceso no autorizadosExposicin a Robos

Exposicin a sabotajes

Revelacin de contraseas de acceso a la red.

Hallazgos No se encontraron mecanismos de control queregulen de manera adecuada el acceso fsico de los

usuarios a las instalaciones a exencin de las

cmaras de seguridad.

En cuanto al acceso lgico se maneja un software

que regula el acceso al equipo, guarda registros enel disco del servidor.

El acceso fsico a las impresoras y fotocopiadoras

solo est abierto para el administrador pero el

acceso lgico a estas maquinas est abierto para

cada computador de el establecimiento.

No se cuenta con una salida de emergencia.

EvidenciaCAMARA

INTERIOR

Registra todo lo que en el

interior del establecimiento

pueda estar sucediendo y lo

guarda en el disco del servidor.

Es manejada desde el router

por IP.


8/20

CAMARA

EXTERIOR

Registra todo lo que en la

entrada del establecimiento

pueda estar sucediendo y lo

guarda en el disco del servidor.

Es manejada desde el router

por IP.

La puerta no ofrece mayor

seguridad ya que no posee

ningn mecanismo de cierre

que no permita el acceso al

interior del establecimiento o

la salida sin autorizacin.

Conclusiones yrecomendaciones

CIBERPLACE implementa cmaras de seguridad conectadas

al servidor, el administrador puede observar lo que est

sucediendo en la totalidad del local pero no est exento de

que el servidor falle y todo lo registrado por las cmaras

pueda borrarse.

En cuanto al acceso lgico el software es confiable ya que en

varios aos de uso no ha presentado fallas, los registros van

siendo guardados de manera automtica y solo se perderan

en caso de dao en el disco duro.Cabe resaltar la importancia de tener un servidor de

respaldo para poder asegurar la informacin

obtenida de las cmaras.

La utilizacin de medios de seguridad eficientes en

cuanto a la puerta para que esta sea segura y

utilizada solo bajo la autorizacin del administrador.

Guardia humana.


9/20

Auditor : xxxxxxxxxxxxxxx

Fecha: 19-11-2010

Representante de la empresa xxxxxxxxxxx

Subfactor HARDWARE Y SOFTWARE


Seguridad de los elementos de Hardware.

Adquisicin y uso de Hardware por parte del

administrador.

Mantenimiento de Software.

Ambiente adecuado para el montaje de la red.

Tipo de prueba Sustantivas.

Controles No se tienen controles de seguridad como cadenas

u otro tipo de elementos que garanticen que nosean sacados ilegalmente del establecimiento.

Uso de reguladores de energa.

Uso de extintores.

Manejo de sistema de aireacin.

Aplicacin de mantenimiento preventivo y

correctivo trimestralmente.

Situaciones de riesgo Robo de elementos de HardwareDao fsico de los elementos

InundacionesIncendios

Perdida de equipos por variacin de la potencia

elctrica

Virus

Hallazgos Los elementos de Hardware no estn aseguradosfsicamente al escritorio o equipo.

Solo se monitorea de manera muy superficial el uso

que el usuario da a los elementos de Hardware a

travs de las cmaras de seguridad.

El sistema de aire acondicionado funciona

correctamente pero el sistema de tuberas pasa

encima de varios equipos de modo que es un factor

de riesgo.

Se almacena elementos ajenos a un ambiente

informtico y que generan riesgos como gaseosas.

Antivirus free No licenciado.


10/20

Evidencia

Elementos como sillas,

diademas o mauses no estn

asegurados en los escritorios

de modo que pueden ser

fcilmente desconectados y

movilizados.

El extintor es multipropsito,se encuentra en buen estado,

recargado con fecha de

vencimiento en MARZO DEL

2011.

Se encuentra en un lugar

visible.

La tubera adyacente al sistema

de aire acondicionado se

encuentra visible sobre los

equipos de cmputo y esto

puede ocasionar dao en los

equipos en caso de averas en

los tubos.

Conclusiones yrecomendaciones El Hardware con que se cuenta no est asegurado de la

manera correcta dentro del establecimiento por lo cual estexpuesto a sufrir daos o a ser hurtado entre otros riesgos.

Se debera tener en cuenta aspectos como:

Guardia humana.

Mejorar el sistema de aire acondicionado para que

su tubera este fsicamente oculta.

Ubicar fuera del rea de cmputo los elementos

ajenos a este medio.


11/20

Implantacin de equipos ininterrumpibles.Instalacin de alarmas contra incendio e

inundaciones.

Legalizar el antivirus free.

Auditor : xxxxxxxxxxxxxxxxxxxxxFecha: 19-11-2010

Representante de la empresa xxxxxxxxxxxxxxxxxxxxxx

Subfactor CABLEADO Y ELECTRICIDAD


Conexiones elctricas.

Riesgos elctricos.

Elementos de Previsin de riesgos elctricos.

Cableado estructurado.


Controles Para cada equipo se cuenta con un Regulador deVoltaje

Cada enchufe cuenta con polo a tierra

Cyberplace est ubicado estratgicamente de modo

que se ve beneficiado por varias antenas para

rayos.

Algunos escritorios son totalmente cerrados de

modo que guardan el cableado y el regulador.

Situaciones de riesgo Daos elctricos en los equiposPerdida de equipos por variacin de la potencia

elctrica.

Daos fsicos en equipos o cables.

Hallazgos No se aplican las normas de cableado estructurado.no cuenta con una proteccin para la humedad o

hechos que involucre el dao fsico.

El local no cuenta con una antena para rayos propia

pero si se ve beneficiada de este servicio ya que en

el barrio hay varias de ellas.Uso de contadores y reguladores.

Sistema de alumbrado de mala distribucin de la

luz.

enchufes, cables y reguladores elctrico se ven

fsicamente en buen estado y se cuenta con el

nmero necesario para cubrir todos los equipos de

cmputo.


12/20

Evidencia

Se cuenta con todos los

elementos necesarios para

garantizar un ptimo servicio

elctrico, pero los cables estn

visibles y expuestos a ser

manipulados por cualquier

persona.

El cableado de la red a pesar deestar en cierta parte protegido

por los escritorios no est

organizado por canaletas

convirtindose en un factor de

riesgo.

El escritorio brinda cierto

orden y seguridad al cableado y

a los reguladores de voltaje.


13/20

Por cada dos computadores se

cuenta con un regulador de

voltaje para evitar daos

debido a fallas en el suministro

electico.

La iluminacin no est bien

ubicada teniendo en cuenta la

distribucin de los equipos de

cmputo.


En cuanto a los riesgos propios de la parte elctrica

Cyberplace ha tomado las medidas ms comunes y la

ubicacin fsica del establecimiento le son favorables.

No se aplican normas de cableado estructurado.

Pero en caso de una falla en el servicio elctrico, no se

cuenta con un lugar como apoyo para continuar con las

actividades cotidianas de modo que la actividad se ver

afectada considerablemente hasta que se cuenten con los

medios para solucionar el problema que se haya

presentado.

Se debera invertir en el cableado estructurado del

establecimiento para adecuarlo segn conviene por

las Normas Vigentes (utilizacin de canaletas).

Cambiar la ubicacin de los focos de luz.

Mejorar la conexin elctrica utilizando canaletas o

paredes falsas.

Auditor : xxxxxxxxxxxxxxxxxxxx

Fecha: 19-11-2010

Representante de la empresa xxxxxxxxxxxxxxxxxxxxx

Subfactor PERSONAL


Capacidad y administracin del personal.


14/20

Tipo de prueba Sustantiva (indagacin).

Controles Capacitacin constante del administrador.

Situaciones de riesgo Incapacidad para manejar algn tipo de software.

Hallazgos Inexistencia de un manual de funciones.

EvidenciaENTREVISTA AL UNICO ADMINISTRADOR DEL

ESTABLECIMIENTO ANEXO 1.


Podemos deducir que al poseer un nico dueo y

administrador el manejo se hace ms seguro.

Se sugiere la existencia de un manual de funciones.

Auditor : xxxxxxxxxxxxxx

Fecha: 19-11-2010

Representante de la empresa xxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Factor PLAN DE CONTIGENCIA

Subfactor COPIAS DE SEGURIDAD


Uso de Back-up

T

ipo de prueba Sustantivas

Controles El control de los tiempos de cada usuario esguardado en el disco automticamente en intervalos

de tiempo muy cortos, estos registros son de fcil

recuperacin a menos que falle el disco.

Situaciones de riesgo Deterioro total del Disco Duro de modo que no searecuperable.

Hallazgos Un software capaz de guardar de manerainmediata los registro de tiempo usado por cada

usuario en el disco duro, si el servidor se apaga de

manera imprevista la informacin hasta ese

momento registrada no se perder.


15/20

Evidencia


El modelo que utiliza Ciberplace no es totalmente seguro ya

que no cuenta con un servidor de respaldo en caso de que el

servidor central presente un dao grave y esto producira la

prdida total de datos.

Recuperar la informacin sera imposible en caso de perder

el Disco Duro.

Se sugiere:

Tener un servidor o Disco de respaldo.

Auditor : xxxxxxxxxxxxxxxx

Fecha: 19-11-2010

Representante de la empresa xxxxxxxxxxxxxxxxxxxxx

Subfactor PLAN DE RECUPERACION


Existencia de planes de recuperacin.


Controles Recuperacin de copias de seguridad del softwarede control de tiempos.

Situaciones de riesgo Prolongacin en el tiempo de reanudacin delproceso normal de servicio.

Imposibilidad de restauracin de los datos.

No disponibilidad de Hardware y Software

necesario para reanudar labores.

Hallazgos Inexistencia de un plan de recuperacin


16/20

Inexistencia de servidores de respaldo

Inexistencia de otro espacio fsico para reanudar

labores en caso de siniestros.

Evidencia Indagaciones anexo 1


No se ha previsto un plan de recuperacin.

Se recomienda la redaccin de un plan de recuperacin que

sea accesible econmicamente teniendo en cuenta que el

local no representa mayores ingresos.

Auditor : xxxxxxxxxxxxx

Fecha: 19-11-2010

Representante de la empresa xxxxxxxxxxxxxxxxx

Factor CONTRATOS DE SEGUROS

Subfactor Adquisicin de seguros.


Peticin y anlisis de los seguros con que se cuente.

Tipo de prueba Sustantivas y de cumplimiento.

Controles Cyberplace no cuenta con ningn tipo de seguro.

Situaciones de riesgo No compensacin de las prdidas, gastos o

responsabilidades derivadas de un fallo (robo,incendio, inundacin, desastre natural, error u

omisin, transporte, garanta de fabricacin).

Dificultad para resarcir los daos ocasionados.

Hallazgos No se cuenta con ningn tipo de pliza o seguro.

Evidencia

NO SE PUDOOBTENER NINGUN TIPO DEDOCUMENTACION


El establecimiento no se encuentra asegurado en ningn

aspecto.

Se hace oportuno y urgente la adquisicin de algn

tipo de seguro contra robo bsicamente teniendo

en cuenta que los niveles de seguridad son bajos.

Adquisicin de seguro contra incendios dado que se


17/20

trabaja con la parte elctrica.

Auditor : xxxxxxxxxxxxxx

Fecha: 19-11-2010

Representante de la empresa xxxxxxxxxx

8. Fecha Del Informe

PLANEAMIENTO EJECUCIN INFORME

FECHAS 07-09-2010 AL20 -10-2010

21 - 10 - 2010 AL

12- 11-2010

25- 11- 2010

9. Identificacin Y Firma Del Auditor

____________________________________________________.xxxxxxxxxxxx

Tarjeta profesional 000000000000000Representante AUDITAR LTDA.


18/20

AUDITORES LTDA

ANEXOS

1. E.V. encuesta para administradores (pg. 14).

2. E.V. encuesta para usuarios (pg. 14).

3. Contratode auditora.

4. Carta de auditora.


19/20

AUDITORES LTDA

Bucaramanga, 25 de Noviembre del 2010.

SEORESCYBERPLACE

REF: DICTAMEN DE AUDITORIA

Hemos efectuado una auditoria fsica al sistema informtico del caf internetCYBERPLACE, examinando la seguridadfsica, lgica y de personal; los planesde contingencia (Back-up, plan de recuperacin) y los contratos de seguros que setienen en el periododel ao 2010.

Obtuve la informacin necesaria para cumplir mis funciones y efectu misexmenes de acuerdo con las Normas Internacionales de Auditoria y normas deauditora generalmente aceptadas en Colombia. Dichas normas exigen laadecuada planificacin y ejecucin la auditora de modo que brinde las bases paraestablecer un veredicto razonable sobre el nivel adecuado de seguridad del

sistema informtico. La auditoria comprende bsicamente la aplicacin de pruebassustantivas y de cumplimiento de modo que se respalde las afirmaciones yevaluaciones de aquellas estimaciones importantes realizadas al establecimiento.

Examinados los factores mencionados se evidencia la carencia de polticas deproteccin lgica de los datos (registros de tiempo);una aplicacin deficiente delas Normas de Cableado Estructurado Legales; la inexistencia de manuales paraempleados y de reglamentos tanto para el usuario como para el administradordonde se limiten espacios, se determinen compromisos y responsabilidades y lano previsin de medidas para afrontar el antes,durante y despus de un falloo

siniestro.Cabe resaltar que se cuenta con buenos elementos de Hardware,de seguridadelctrica y previsiones para incendios (extintores en buen estado).

En mi opinin la seguridad fsica del sistema informtico no cumple losrequerimientos mnimos establecidos y en la actualidad se encuentra frgil antela materializacin eventual de cualquiertipode riesgo y susceptible a ellos.


20/20

AUDITORES LTDA

Este informe es presentado a los 25 das del mes de Noviembre del 2010.

____________________________________________________.xxxxxxxxxxxxxxxxxxxxxxxTarjeta profesional 00000000000000

Representante AUDITAR LTDA.

Bucaramanga calle 58 No 13-23

Registro 1872535.

Mi Informe de Auditoria (2)[1] Nelly

Documents

Transcript of Mi Informe de Auditoria (2)[1] Nelly