Reporte de Auditoria
-
Upload
gustavo-resendis -
Category
Documents
-
view
227 -
download
1
Transcript of Reporte de Auditoria
No está permitida la reproducción total o parcial, ni su tratamiento o transmisión por cualquier método o medio electrónico sin autorización escrita de hellow communications.
ContenidoÍndice de Tablas..................................................................................................................................2
Introducción.......................................................................................................................................3
Objetivos............................................................................................................................................3
Objetivos Principales......................................................................................................................3
Objetivos Generales.......................................................................................................................3
Justificación........................................................................................................................................3
Desarrollo...........................................................................................................................................3
Instrumentos Aplicados..................................................................................................................3
Seguridad...................................................................................................................................3
Sistemas.....................................................................................................................................5
Redes..........................................................................................................................................9
Áreas de Oportunidad..................................................................................................................13
Seguridad.................................................................................................................................13
Sistemas...................................................................................................................................14
Redes........................................................................................................................................15
Tecnología Emergente..................................................................................................................15
Seguridad.................................................................................................................................15
Sistemas...................................................................................................................................15
Redes........................................................................................................................................15
Conteo Estadístico........................................................................................................................16
Seguridad.................................................................................................................................16
Sistemas...................................................................................................................................16
Redes........................................................................................................................................16
Conclusiones....................................................................................................................................16
Índice de Tablas
Tabla 1Check-list de Seguridad..........................................................................................................6Tabla 1 Checklist Sistemas................................................................................................................10Tabla 1 Checklist Redes....................................................................................................................14
Introducción En el siguiente documento se presentan los generales de la la auditoria informática realizada al departamento adminustrativo de la carrera de TIC, en la Universidad Tecnologica Emiliano Zapata (UTEZ).
La información contenida en este docuemnto esta conformada por los objetivos de la auditoria, justificación y las actividades realizadas para su desarrollo, también se incluyen las herramientas utilizadas para su elaboración, asi como los resultados arrojados por las mismas.
Se presenta también con el fin de la mejora continua un análisis de recomendaciones basados en tecnologías emergentes, que sirvan como base para la implementación de nuevas técnologias dentro del departamento administrativo de la carrera de TIC en la isntitucion antes mencionada.
Objetivos
Objetivos Principales
El equipo de trabajo logre identificar en todos los procesos a analizar áreas
de oportunidad.
El equipo de trabajo será capaz de proponer soluciones coherentes con
respecto de las áreas de oportunidad identificadas en el desarrollo del
proyecto.
El equipo de trabajo será capaz de proponer soluciones basadas en la
tecnología emergente.
Objetivos Generales
El equipo de trabajo será capaz de exponer de manera adecuada y asertiva
los resultados obtenidos de las actividades que corresponden al proyecto.
El equipo de trabajo será capaza de realizar y aplicar de manera efectiva
las herramientas necesarias para la realización de la auditoria
Realizar una auditoría eficaz, que arroje resultados de provecho a la
organización auditada así como las soluciones propuestas.
JustificaciónHoy en dia las Tecnologias de la Informacion están presentes en todas las areas de una organización, aunque la tendencia formada en el uso de esta tecnología a sido de manera abierta, con el paso de los años se a hecho necesario mejorar l aplanificacion de las adquisiciones tecnoligcas y la organización del personal que lo utiliza.
Es por esto que implementar actividades de auditoria y control en el uso de las tecnologías ha acelerado el dessenvolviemiento de las demás actividades económicas dentro de un aorganizacion.
Justamente por esta razón el departamento administrativo de la carrera de TIC de la Universidad Tecnoligica Emiliano Zapata,acepta se realicen las practicas de auditoria informática en sus instalaciones con el fin de consolidar sus objetivos estratégicos y su participación dentro de la división academica a la que pertenece.
Desarrollo
Instrumentos Aplicados
SeguridadEl Check-list de Seguridad que se muestra a continuación es elaborado con el fin
de poder analizar y establecer cuáles son los puntos fuertes y débiles dentro de la
organización y poder identificar sus áreas de oportunidad todo con el fin de poder
aportar las mejores soluciones posibles.
No Descripción SI NO Observaciones
1 Considera que la información de los equipos
está correctamente respaldada
x
2 Existe algún estándar de elaboración de
contraseñas
x
3 Son apropiadas las instalaciones para los
equipos
x
4 Existe sistemas de seguridad para el acceso a
las instalaciones
x
5 Cuenta con equipo necesario en caso de
algún accidente (primeros auxilios )
x
6 La organización tiene elaborados planes de
prevención y contingencias
x
7 Considera el acceso y salida de las
instalaciones adecuadas o segura
x
8 Existen bitácoras de actividades y registro del
personal
x
9 Las instalaciones cuentan con ventilación
adecuada para los equipos
x
10 Cuentan con algún método de vigilancia ya
sea por equipos o de manera personal
x
11 Cuentan con equipos de soporte para
emergencias ambientales
x
12 Existen señalamientos de ayuda, restricción y
prevención.
x
13 Cuenta la organización con alarmas en caso
de algún incidente
x
14 La red de la organización cuenta con antivirus,
cortafuegos o software anti espías
x
15 Son adecuadas las áreas de trabajo del
personal
x
16 Cuenta con salidas de emergencia en caso de
contingencia
x
17 Los equipos se encuentran aislados de
componentes que los pueden perjudicar
x
18 Existe algún suministro de energía en caso de
algún apagón
x
19 Las instalaciones cuentan con canaletas o
tuberías para cada aparato eléctrico
x
20 Las instalaciones cuenta con termómetros de x
temperatura
21 Las instalaciones cuenta con tierra física x
22 Las instalaciones cuentan con detector de
humo
x
23 ¿Existen cambios frecuentes en las
contraseñas de seguridad para los equipos?
x
24 ¿Cuenta con los seguros necesarios que
cubran las pérdidas económicas en caso de
desastre?
x
25 Cuenta con alguna norma o estándar de
seguridad que garantice la integridad de los
equipos e instalaciones de la empresa
x
26 Cuenta con algún servicio de seguridad
privada
x
27 Cuenta con alguna política de confidencialidad
para evitar la fuga de información de la
empresa
x
28 Existe alguna política para evitar la instalación
de software no permitido dentro de los
equipos de la organización
x
Tabla 1Check-list de Seguridad
Sistemas Es un estudio de factibilidad que pretende detectar posibles riesgos, así como
buscar recomendaciones para contenerlos. El objetivo de evaluar un sistema es
saber si puede habilitar los requerimientos, atributos de calidad y restricciones
para asegurar que el sistema a ser construido cumple con las necesidades de los
stakeholders.
En seguida se muestran los puntos que serán evaluados durante la auditoría en la
Universidad Tecnológica Emiliano Zapata (UTEZ) sobre el tema de sistemas;
No.Concepto de
sistemascumple Observaciones
SI NO
1
El sistema
soporta las
necesidades de
la empresa
X
2
EL sistema
cuenta con una
arquitectura de
diseño
X
3El sistema tiene
disponibilidad
X
4
El sistema
cuenta con un
atributo de
confidencialidad
X
5
El sistema es
funcional para
todos sus
usuarios
X
6
El sistema
cuenta con el
atributo de
confiabilidad
X
7
El sistema
cuenta con un
atributo de
seguridad
interna
X
8
El sistema tiene
la capacidad de
mantenibilidad
X
9
El sistema tiene
capacidad de
prueba.
X En el área de TIC no se
pueden hacer pruebas
pero si en el CEVICET
10
El sistema es
realizado bajo
alguna norma
de prácticas de
desarrollo.
X No porque fue
desarrollado antes de la
certificación en Mo-Prosoft
11El sistema es
multiplataforma
X
12
¿Se
implementan
contraseñas
para evitar el
acceso al
sistema de
personas no
autorizadas?
X
13
El sistema
responde
rápidamente a
solicitudes
múltiples de los
usuarios.
X Solo soporta 200 usuarios
simultáneamente
14El sistema es
integral
X
15
El sistema
cuenta con un
nivel de
desempeño
ideal.
X
16El sistema es
configurable
X
17
El sistema
cuenta con un
nivel de
portabilidad.
X Es un sistema web con
conexión a internet se
puede accesar
18
Los UML del
sistema son
fácil de
interpretar
X En el área de TIC no
cuenta con los diagramas
19
El sistema
cumple con
todos los
requerimientos
de los
stakeholders.
X Los stakeholders
necesitan un sistema/
modelo que calculen los
horarios
20
El sistema
puede ser
ejecutado en
cualquier
hardware con
requerimientos
de capacidad
mínimos.
X
21El sistema es
escalable
X
22El sistema está
documentado.
X
23 El sistema está
desarrollado
bajo la norma
X El sistema fue
desarrollado antes de la
certificación
de Mo-ProSoft
24
¿La estructura
del sistema es
amigable?
X
Tabla 2 Checklist Sistemas
RedesEl checklist de Redes es el entramado conceptual que constituyen las Redes
Nodales, Líneas, Concentradores, Multiplexores, Redes Locales, etc. no son sino
el soporte físico-lógico del Tiempo Real.
En seguida se muestran los puntos que serán evaluados durante la auditoría en la
Universidad Tecnológica Emiliano Zapata (UTEZ) sobre el tema de Redes;
No. Conceptos de Redes Cumple ObservacionesSI NO
1 La red cuenta con el
estándar 568-a o 568-b
sobre el cableado
comercial para productos
y servicios de
telecomunicaciones
X
2 La red cuenta con
cableado estructurado
X
3 La red cuenta con un
etiquetado de nodos
X Algunos de los nodos no cuentan
con el etiquetado correspondiente
4 La red cuenta con el
estándar 569 sobre las
rutas y espacios de
telecomunicaciones
X
5 La red cuenta con un
firewall instalado
X
6 La red tiene una velocidad X Cuando el usuario está conectado
rápida para la transmisión
de datos
directamente por el cableado de
red es rápida la transferencia, sin
embargo cuando esta por la red
inalámbrica no es la misma
velocidad
7 La red cuenta con la
seguridad para la
transmisión de los datos
X
8 La red siempre está
disponible para el uso de
esta
X
9 La red es escalable para
que varios usuarios la
utilicen al mismo tiempo
X
10 La red cuenta con el
estándar 607 sobre la
tierra física
X
11 La red cuenta con el
estándar 570 sobre el
alambrado de
telecomunicaciones
residencial y comercial
liviano
X
12 La red cuenta con el
estándar 606 sobre la
administración de la
infraestructura
X
13 La red cuenta con el
estándar 802 sobre la
comunicación inalámbrica
X
14 La red tiene QoS X
15 La red cuenta con tendido
de fibra óptica
X
16 Los equipos cuenta con
autentificación para
acceder a la red
X
17 El cableado de la red
utilizado en la empresa
para realizar la conexión
entre el Site de
comunicaciones y los
nodos de la red es inferior
de 90 metros
X
18 La red cuenta con el
estándar que establece
que debe haber un
mínimo de dos
tomacorrientes dobles de
110V C.A. dedicados de
tres hilos.
X
19 La red cuenta con niveles
de acceso acorde a los
distintos servicios que se
ofrecen esta
X Cuando el usuario está conectado
directamente por el cableado a la
red si existe los niveles de acceso,
sin embargo cuando esta por la red
inalámbrica no existen los niveles
de acceso
20 La empresa cuenta con
un lugar específico donde
se encuentren
almacenados todos los
dispositivos que permiten
el funcionamiento de la
X
red
21 Los equipos conectaos a
la red como son las PCs,
routers, switches,
conmutadores,
impresoras, etc., cuentan
con una salida alterna o
desfogue de acceso de
energía (tierra física), con
el fin de evitar
sobrecargas que puedan
dañar dichos equipos
evitando la perdida de
información
X
22 La empresa cuenta con
una persona encargada
de brindar el debido
mantenimiento tanto
correctivo como
preventivo para procurar
su correcto
funcionamiento de la red
X
23 El cable utilizado permite
la protección contra
interferencias eléctricas y
magnéticas
X
24 La red soporta tráfico en
tiempo real en todo tipo
de entornos y situaciones
X
25 La red está diseñada en
base a un estándar de
X
calidad
26 La red cuenta con
Wireless
X
27 La empresa cuenta con
manuales de la red
X
28 La empresa cuenta con
planos de la red
X
Tabla 3 Checklist Redes
Áreas de Oportunidad
SeguridadA continuación se muestran las áreas de oportunidad encontradas en el área de
Seguridad:
No Descripción SI NO Observaciones
2 Existe algún estándar de elaboración de
contraseñas
x
4 Existe sistemas de seguridad para el acceso a
las instalaciones
x
7 Considera el acceso y salida de las
instalaciones adecuadas o segura
x
18 Existe algún suministro de energía en caso de
algún apagón
x
20 Las instalaciones cuenta con termómetros de
temperatura
x
Sistemas A continuación se muestran las áreas de oportunidad encontradas en el área de
Sistemas:
No.Concepto de
sistemascumple Observaciones
SI NO
9
El sistema tiene
capacidad de
prueba.
X En el área administrativa
de TIC no se pueden
hacer pruebas pero si en
el CEVICET
10
El sistema es
realizado bajo
alguna norma
de prácticas de
desarrollo.
X No porque fue
desarrollado antes de la
certificación en Mo-Prosoft
13
El sistema
responde
rápidamente a
solicitudes
múltiples de los
usuarios.
X Solo soporta 200 usuarios
simultáneamente
18Los UML del
sistema son
fácil de
interpretar
X En el área administrativa
de de TIC no cuenta con
los diagramas de su
sistemas.
19
El sistema
cumple con
todos los
requerimientos
de los
stakeholders.
X Los stakeholders
necesitan un sistema/
modelo que calculen los
horarios
23
El sistema está
desarrollado
bajo la norma
de Mo-ProSoft
X El sistema fue
desarrollado antes de la
certificación
RedesA continuación se muestran las áreas de oportunidad encontradas en el área de
Redes:
No. Conceptos de Redes Cumple ObservacionesSI NO
3 La red cuenta con un
etiquetado de nodos
X Algunos de los nodos no cuentan
con el etiquetado correspondiente
6 La red tiene una velocidad
rápida para la transmisión
de datos
X Cuando el usuario está conectado
directamente por el cableado de
red es rápida la transferencia, sin
embargo cuando esta por la red
inalámbrica no es la misma
velocidad
19 La red cuenta con niveles
de acceso acorde a los
distintos servicios que se
ofrecen esta
X Cuando el usuario está conectado
directamente por el cableado a la
red si existe los niveles de acceso,
sin embargo cuando esta por la red
inalámbrica no existen los niveles
de acceso
Tecnología Emergente
SeguridadEs importante saber quien hace uso de las instalaciones ya que no cualquier
persona puede hacer uso de los dispositivos y módulos que existen en el área
administrativa, solo el personal autorizado. Es por eso importante que exista un
sistema de verificación de usuario para poder acceder a ella.
Actualmente existen diferentes mecanismos de identificación de usuario como por
ejemplo -verificadores de huella digital, de voz y de contraseña que pueden ser de
mucha utilidad para el ingreso a dicha área reforzando así su seguridad.
Otro punto importante que se debe tomar en cuenta es que ante alguna falla en el
suministro de energía eléctrica exista una fuente alterna de energía la cual brinde
al área administrativa un tiempo de respaldo necesario para que no se sufra con
algún tipo de corrupción de la información ó en el peor de los casos de pérdida de
la misma.
Ante este problema se puede hacer uso de plantas de luz portátiles, dispositivos
UPS, No break los cuales brindaran el respaldo de energía necesario ante alguna
contingencia.
Sistemas
El sistema que actualmente se emplea no está certificado, es por eso que es
conveniente tener una metodología adecuada para el desarrollo de las
actividades diarias dentro del área administrativa a fin cubrir todas y cada una de
las solicitudes que se realizan en la misma.
Una de las normas que pueden ayudar a mejorar el rendimiento del sistema es la
de Mo-prosoft una norma Mexicana.
Es necesario contar con un sistema que realice la asignacion de horario a los
docentes de laboran en la institucio y asi reducir el tiempo en la estructuracion de
los horarios, estructuracion y asignacion de las horas a laborar
Redes
Es muy elemental saber que la estructura del cableado es la correcta, dicha
estructura hará llevar una optima administración del área.
Existen normas que nos permiten una óptima estructuración y administración del
cableado presente en el área administrativa, unas de las normas que actualmente
se ponen en práctica es la ANSI/TIA/EIA-606 de Administración para la
Infraestructura de Telecomunicaciones.
Ante la pobre calidad del sistema de red inalámbrica es importante tomar en
cuenta y aplicar normas y estándares que ayuden a resolver esta falla. Existen
estándares que aplicados en el área mitigarían las necesidades del personal que
hace uso de la red inalámbrica. Entre los estándares que se pueden incorporar
están el estándar IEEE 802.11 que se adecua al incorporar una infraestructura en
la red inalámbrica.
Conteo Estadístico
SeguridadLos puntos que se encuentran en la parte superior arrojaron un porcentaje de
aceptación del 82.14% lo cual es un resultado aprobatorio en el área de seguridad.
Sistemas Los puntos que se encuentran en la parte superior arrojaron un porcentaje de
aceptación del 75% lo cual es un resultado ponderadamente bajo en el área de
sistemas.
RedesLos puntos que se encuentran en la parte superior arrojaron un porcentaje de
aceptación del 89.28% lo cual es un resultado aprobatorio en el área de redes.
Grafica Estadística
SeguridadA continuación se muestra gráficamente el resultado del checklist de seguridad.
123
SistemasA continuación se muestra gráficamente el resultado del checklist de sistemas.
123
RedesA continuación se muestra gráficamente el resultado del checklist de redes.
17.85
82.14%
25%
75%
123
Conclusiones
Al termino de las actividades de esta auditoría, se cpncluye que las actividades
fueron culminadas con el éxito esperado en cuanto al trabajo en equipo realizado
para llevar a cabo el desarrollo de la auditoria.
En cuanto al contenido de la misma, una vez obtenidos los resultado arrojados de
la implemetacion de las gerramientas de evaluación y la realización de un análisis
de la información obtenidas los resulatodo obtenidos no han rebasdo las
expectativas iniales de este proyecto, sin embargo se ha realizado un análisis de
tecnología emergente que propone soluciones de implementación para mejorar y
superar dichas areas de oportunidad, esperando se tome en cuenta y se le de la
importancia debida y el seguimiento adecuado para evitar fracasos futuros.
Todo esto mencionado como una recomendación para obtener resultados mucho
más satisfactorios en auditorias futuras.
10.71
89.28