Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Presentación de Auditoria

Presentación de la auditoria informatica
by

johansen pineda

on 4 January 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Presentación de Auditoria

Auditoria Informática Presentación El presente informe lo hemos realizado con el propósito de aplicar las diferentes etapas de auditoría informática aprendidas hasta ahora en el curso de Auditoria Informática, nuestra misión es llevar a la práctica los conocimientos adquiridos en la clase de Auditoria Informática. Introducción El siguiente informe trata sobre la Auditoria informática realizada por nuestro equipo de trabajo en la Secretaria de Educación de Honduras en la división de ESCALAFON, en el siguiente informe presentaremos varios temas de importancia para nuestra formación como futuros Ingenieros en Informática. Contenido El siguiente informe está conformado por seis capítulos cada uno detallando una parte única de la auditoría.
Capítulo 1: Organización
Descripción de la empresa donde se aplicó la auditoría
Capítulo 2: Auditoría Física y Auditoría Aplicaciones
Proporciona la evidencia del nivel de seguridad física en el ámbito en el que se desarrollara la actividad profesional no limitándose a comprobar que existen los medios físicos sino también la funcionalidad, la racionalidad y seguridad. Contenido Capítulo 3: Auditoría de la Dirección
Se audita algunas de las actividades básicas de la dirección como la organización y control, manuales de puestos, funciones, perfiles y responsabilidades. Secretaria de Educación Contenido Contenido Auditoria Informática Capítulo 4: Auditoria de redes
En esta área se trata de controlar los equipos de comunicaciones con el fin de prevenir los accesos no deseados, protección y tendido adecuado de cables y líneas de comunicaciones para evitar accesos físicos, controles de utilización y monitoreo de la red y su tráfico; controles específicos en caso de que se utilicen líneas telefónicas con acceso a la red de datos para prevenir accesos no autorizados. Capítulo 5: Conclusiones y Recomendaciones
Se establecen las conclusiones y recomendaciones para el presente proyecto.
Capítulo 6Bibliografíasas y Anexos
Se presentan las referencias bibliográficas con las que se contó para el desarrollo del presente.
Secretaria de Educación Johansen Pineda Marlon Lizardo Eggly Gonzalez Datos Generales Descripción Capitulo 1: Organización Nombre: Secretaria de Educación
Rubro: Servicio del estado
Dirección: Colonia El Prado, frente a CEUTEC Prados
Teléfono: (504) 2238-4325
Fax: (504) 2222-8571
La Unidad de Infotecnología (UIT) es el ente técnico responsable del acompañamiento de los procesos educativos y administrativos de la Secretaría de Educación, facilitando a la organización las tecnologías de información para la implantación y aprovechamiento hacia la mejora en el servicio, calidad y transparencia de la educación en Honduras. Misión Visión Alcances y Limitaciones
del Proyecto Capitulo 1: Organización Dotar a la Secretaría de Educación con las herramientas informáticas, facilitando y garantizando el uso de las mismas con el propósito de apoyar de manera eficiente, efectiva y oportuna en los fines educativos de la institución. Contribuir al desarrollo educativo de Honduras, mediante procesos innovadores que hagan uso de las tecnologías de información y comunicación, garantizando servicios de calidad para todos los niños, niñas, jóvenes y adultos. Alcance Limitaciones •La organización nos brindó la información necesaria para el desarrollo de nuestra auditoria profesional.
•Nos permitieron fotografiar tanto los ambientes de trabajo como los equipos con los que cuenta la empresa.
•En la empresa el Coordinador del Área de Métodos y Procedimientos y los demás colaboradores nos trataron con amabilidad y respeto, lo cual nos brindó confianza para trabajar con la empresa.
•Se logró aplicar la auditoria de manera positiva ya que se investigó cada uno de los puntos a tocar
•Tiempo Limitado
•Recopilación de la información a veces no en el tiempo requerido
•Nos brindaron información en algunas ocasiones restringida.
•No se obtuvo alguna documentación ya que la mayor parte no se encuentra documentada.
Historia La modernización y descentralización de la gestión administrativa publica osuna de las reformas institucionales clave en casi todos los países de la región latinoamericana en los últimos años.
En la mayoría de los casos, estos procesos fueron precedidos o sucedidos por transformaciones en la estructura organizacional del Estado en general y de los objetivos y estrategias específicas de los sistemas educativos en particular (Gajardo, M 1999:17, Rapalo, 2003).
Dos de los más importantes objetivos de la reforma han sido una mayor democratización del poder y una preocupación por el mejoramiento de la calidad de la educación bajo la expectativa de que si la toma de decisiones se encuentra más cercana al nivel de la escuela, los rendimientos académicos y compromisos serían mayores y se generaría un mayor sentido de la pertenencia y estimulo hacia los actores de la comunidad educativa (Hanson, 1997). Organigrama Capitulo 2: Auditoria Física Objetivos
•Conocer el conjunto de acciones utilizadas para evitar algún fallo.
•Garantizar la integridad de los activos humanos, lógicos y materiales.
•Verificar si las medidas de control interno y los procedimientos administrativos funcionan correctamente
•Verificar si la cobertura de los seguros de las existencias es adecuada
• Control de las unidades físicas
•Revisión de las políticas y Normas sobre seguridad Física.
•Verificar la seguridad de personal, datos, hardware, software e instalaciones
•Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático
Hallazgos Instalaciones Organigrama IT ESCALAFON está ubicado en el Boulevard Kuwait, intercepción calle Golán frente a CEUTEC Prado, las instalaciones del departamento de Sistemas de Información están en la parte superior (cuarto piso) del edificio, para acceder a al departamento de IT hay que anunciarse en recepción, IT está dividido en varias oficinas incluyendo el DataCenter. •No hay personal de seguridad en el departamento de IT, si en el edificio (no es necesario identificarse para entrar al edificio).
•No hay accesos de tarjetas o biométricos (Anotación en bitácora por medio de libros).
•No tienen CCTV.
•No cuentan con botiquines de primeros auxilios.
•Solo un extintor para el DataCenter (en oficinas de departamento IT no cuentan con ninguno).
•No cuentan con estantería de cubículos.
•No hay detectores de humo, ni controles de humedad.
Diagrama de los puntos Diagrama de las Instalaciones Diagrama de red DataCenter DATACENTER El DataCenter está ubicado adentro del departamento de IT, tiene un cubículo cerrado de dimensiones adecuadas con una puerta de vidrio con un llavín normal, no tienen ningún sistema de monitoreo de acceso no cuenta con piso falso, tienen un sistema de aire acondicionado de precisión marca Canata, tienen equipo de medición de humedad que funciona con los aires acondicionados, no cuenta con detectores de humo la temperatura se maneja en base a los termómetros del aire acondicionado, no tienen ningún extintor de clase A, B, C para el área de las oficinas ni del DataCenter, las conexiones eléctricas son las mismas del edificio aunque hay planes verbales de adquirir una planta eléctrica solo para el DataCenter El Equipamiento. Las computadoras que usan en UIT (Infotecnología) son de marcas IBM y en su mayoría HP, todas de diferentes capacidades según el tiempo de compra. El número de equipos supera los 30, utilizan varios sistemas operativos tales como Windows XP Professional, Windows Vista Business, Windows 7 Ultímate; tales que su licencia vigente fue comprobada en Microsoft Licensing. El DataCenter está equipado con 3 racks, 2 dedicados al montaje de los servidores y uno dedicado al montaje de los patch panels y switches, el DataCenter cuentan con servidores HP Proliant DL380, Dell Power Edge T1900 y R910; estos servidores distribuidos de la manera diferente uno principal, uno para perfiles de usuario, uno para carpetas compartidas, uno para controlador de Domino (active directory), otro para servidor de archivos e impresoras, Firewall, Servidor Web, Servidor de Correo Electrónico, Base de datos, entre otros sus respectivas replicas para prevenir la interrupción de la operación de la Institución. Cuenta con una conexión de fibra óptica con un ancho de banda aproximado de 1000 megabits/segundo, separado del tráfico de usuarios por Ethernet, tienen UPS de 1500va Tripplite. Características del Rack Características Promedio de las PC Características de los servidores Características Marca: HP
Procesador: AMD Phenom II x4 2.0
Memoria: 4GB
Almacenamiento: 500GB
Monitor: 17”

Cantidad: 2
Marca: HP
Dimensiones: 2 metros alto, 64 cm ancho, 97 cm profundidad.
Seguridad: Llave

Cantidad: 1
Marca: ICC MSR4P84
Dimensiones: 7 pies, 45U
Seguridad: No tiene puerta.
Cantidad: 6
Marca: HP
Modelo: DL580 G5 Server 4X Quad Core XEON 2.93GHz X7350
Memoria: 32GB
Almacenamiento: 4x300GB
Cantidad: 5
Marca: HP
Modelo: PROLIANT 193706-001 DL380 G1
Memoria: 4GB
Almacenamiento: 4x147GB SAS
Cantidad: 1
Marca: DELL
Modelo: POWEREDGE R910 SERVER 4 X INTEL 6C E7530 1.86GHZ
Memoria: 96GB
Almacenamiento: 2x600GB SAS
Señalización No existen señalizaciones de prohibición, de advertencia o peligro, de obligación, de salvamento, existe señalización de ruta de evacuación la cual conduce a un portón cerrado con candado, existe un pequeño rotulo de “Solo personal autorizado” el cual no está a simple vista y es una hoja de papel impresa nada llamativa. Propuesta de Solución Puntos Fuertes Puntos Débiles Hallazgos. Resumen General •Planeación de mejoramiento del DataCenter.
•Suficiente equipo asignado al DataCenter.
•Equipo de cómputo relativamente reciente y con suficientes recursos para las actividades de desarrollo.
•Implementación de virtualización de servidores.
•Presupuesto aprobado por administración.
•Direccionamiento IP establecido por usuario.
•Aire acondicionado de precisión adecuado para el DataCenter
•Ambiente de trabajo pequeño.
•Seguridad física casi nula.
•No hay sistemas de acceso de proximidad o biométricos.
•No hay bitácora de entrada al DataCenter.
•Difícil movilización adentro del DataCenter.
•DataCenter con cableado enredado en el piso y rack.
•Algunos servidores ubicados en el piso.
•Aire acondicionado no adecuado para el DataCenter.
•No existe señalización de ningún tipo a excepción de ruta de evacuación.
•No cuentan con extintores.
•No tienen sistemas de CCTV en el departamento IT ni en el DataCenter
•No tienen redundancia eléctrica, aunque hay planes verbales de adquirir una planta eléctrica dedicada al DataCenter y algunos puntos del área.
•No cuentan con botiquines, ni teléfonos para emergencia.
•No cuentan con un comedor adecuado.
•No tienen luces de emergencia.
•No cuentan con un reloj marcador, que sirva para controlar el ingreso del personal a la oficina.
•No cuentan con alarmas de seguridad en caso de robo.
•Las llaves del DataCenter son guardadas por el Gerente IT, el Coordinador de Métodos y Procedimientos y el responsable del departamento de redes.
•Vulnerabilidad física al acceso al departamento IT y DataCenter.
•El departamento de UIT está formado por dos unidades más ubicadas en diferentes partes de la ciudad y conectadas por VPN.
•No se sabe cuándo fue el último mantenimiento a las baterías del UPS.
Propuestas de solución. •Implementar seguridad de acceso de proximidad o biométrica.
•Implementar sistema de CCTV de alta resolución.
•Contratar personal de seguridad.
•Implementar bitácora de acceso al DataCenter.
•Adquirir extinguidores de clase A, B, C y ubicarlos en las zonas respectivas.
•Colocar señalizaciones de notificaciones de equipos delicados, conexiones eléctricas peligrosas, etc.
•Implementar un sistema contra incendios automatizado con sensores detectores de humo.
•Establecimiento de permisos a usuarios para la instalación de software.
•Ordenar de forma adecuada los separadores y cables en el rack de switches y patch panels.
•Implementación de sistema de detección de humedad y temperatura.
•Instalación de conexiones eléctricas independientes con planta de respaldo.
•Verificar el buen funcionamiento y duración de las baterías del UPS.
•Compra de 2 botiquines de emergencia
•Instalación de luces de emergencia.
•Compra de un reloj para llevar el control de entrada y salida de los empleados.
•Instalación de alarmas de seguridad.
Planta Conclusiones Propuesta Recomendada •Se necesita implementar un plan de seguridad para todo el departamento y específicamente para el Datacenter para evitar vulnerabilidades.
•Establecimientos de procedimientos de mejora continua.
•Mantenimiento de los servidores.
•Trabajar en la creación de un plan de contingencia.
•Implementar medidas de seguridad básicas, las que son importantes en el caso de que se presenten posibles desastres naturales o daños humanos (robos).
Sistemas Operativos Microsoft Office Bases de Datos Virtualización Auditoria de Aplicaciones •Microsoft Windows 7 Professional.
•Microsoft Windows 7 Ultimate 64-Bits.
•Microsoft Windows 7 Ultimate 32-Bits.
•Microsoft Windows Vista.
Microsoft Windows 8.
•Microsoft Windows XP Professional 32-Bits.
•Microsoft Windows Server 2000.
•Microsoft Windows Server 2003.
•Microsoft Windows Server 2008.
•Microsoft Windows Server 2012.
•Microsoft Office 2010.
•Microsoft Office 2003.
•Microsoft Office 2007.
•Microsoft Office 2013.
Microsoft Project •Microsoft Project 2010.
•Microsoft Project 2003.
•Microsoft Project 2007.
•Microsoft Project 2013.
•PostgreSQL 8.3
•SQL Server Enterprise 2008.
•SQL Server Enterprise 2005.
•SQL Server Enterprise 2012.
•MySql Server 5.5.3
•Microsoft Access
Antivirus •Karspersky EndPoint Security 8 Corporativo. •VMware Server 2.0.1 Herramientas de Soporte •Teamviwer.
•VNC Server
Switches Servidores Verificación de Existencia de Licenciamiento •5 PROLIANT 193706-001 DL380 G1 (Virtualization).
•1 DL580 G5 Server (DSS).
•1 DL580 G5 Server (SIAR HD_SIAFI).
•1 DL580 G5 Server (SPSS).
•1 DL580 G5 Server (INFOTEC).
•1 DL580 G5 Server (APP).
•1 DL580 G5 Server (INFRA02).
•1 DELL POWEREDGE R910 (Virtualizacion, Netbeans).
•HP Procurve 2524 (24 Puertos)
•HP Procurve 2525 (24 Puertos)
Routers •Cisco Catalyst WS-C3550 (24 Puertos).
•3com (24 puertos)
Se mantiene un control las licencias para aplicaciones como MS Office, MS Project, MS Windows y MS SQL Server por medio de la página de Microsoft Licensing que pudo ser visto y comprobado en la misma, para aplicaciones como ser el Antivirus se tiene una licencia Corporativa, para la administración, Servidores, FTP, WEB usan aplicaciones OpenSource y así solo se preocupan por la actualización de la aplicación.
En los equipos de escritorio usan las licencias OEM que viene integrado al computador por defecto, que suele ser la más actual al momento de la compra del computador.
Metodología del Sistema Requerimientos Funcionales Requerimientos No Funcionales Centralización de Logs Auditoria de un Sistema Dentro del margen del desarrollo del sistema, el análisis se ha realizado bajo la metodología de “Rápido Prototipo” (Rapid Prototyping).
El desarrollo de rápido prototipo del sistema futuro puede ser de gran ayuda, permitiendo a los usuarios visualizar el sistema e informar sobre el mismo pudiéndose utilizar para aclarar opciones sobre los requerimientos de usuario y para especificar detalles de la interfaz de usuario a incluir en el sistema futuro. 1.El sistema permite ingresar una nueva boleta al Sistema.
2.El sistema permite actualizar las boletas del Sistema.
3.El sistema permite la visualización de las boletas al Sistema, a través de la interfaz del mismo.
4.El sistema permite actualizar la información del estado legal de los predios.
5.El sistema permite agregar información sobre los predios de donde están ubicados los centros educativos.
6.El sistema permite crear un proceso de legalización de los predios de cada centro educativo
1.El sistema será manejado vía web.
2.El sistema deberá ser visualizado al menos, en los 3 navegadores más comunes.
3.El sistema será desarrollado bajo el lenguaje Python utilizando Django como framework.
4.El sistema tendrá un módulo de geo posicionamiento.
5.Se usan los servidores ubicados en la unidad de Infotecnología, en el edificio del ESCALAFON.
6.El sistema interactúa con el Sistema de Estadística Educativa de la Secretaría de Educación y el Sistema de Costos del FHIS.
La estrategia del uso de los Logs (Registro oficial de eventos durante un periodo de tiempo en particular. Para los profesionales en seguridad informática este es usado para registrar datos o información sobre quién, que, cuando, donde y por qué, un evento ocurre para un dispositivo en particular o aplicación). En resumen un Log es un registro de actividad de un sistema, que generalmente se guarda en un fichero de texto, al que se le va añadiendo líneas a medida que se realizan acciones sobre el sistema. Puntos Fuertes Puntos Débiles Hallazgos Resumen En este paso de la auditoria de aplicaciones se encontraron varios defectos en cuanto a los respaldos de las bases de datos.
A continuación nuestros puntos débiles, fuertes, hallazgos y propuesta de solución:
•Se realizan mantenimientos del software programado.
•Dentro del entorno de las aplicaciones utilizadas, se pone en práctica la virtualización de sistemas como medida para agilizar procedimientos, reducir costos y mejorar las prácticas cotidianas del entorno de desarrollo.
•Cada persona cuenta con una contraseña según la función que desempeñe, para evitar posibles confusiones en el registro de la información.
•No existe un Sistema de Tickets para resolución de problemas de usuarios.
•No hay un servidor de correos electrónicos y el filtrado de contenido respectivo. Con la utilización del mismo se enfatiza el correcto uso de las aplicaciones y provee un mecanismo para evitar conflictos por el uso y manipulación de información indebida dentro del entorno de trabajo y todo tipo de información no pertinente a las actividades de trabajo.
•El uso de aplicaciones con licencia pública general, es común por parte de los desarrolladores de aplicaciones y el encargado de administrar las bases de datos y el resto del personal en el área de IT, es común por lo que se genera un contraste entre el equipo utilizado que posee licencias tipo propietario y las demás aplicaciones de licencia GPL.
•El personal designado para el desarrollo de aplicaciones es contratado de acuerdo a las necesidades que tenga la institución en ese momento, la mayor parte de aplicaciones no cuenta con manual analítico del proyecto.
•Los proyectos se van programando de acuerdo a las necesidades que van surgiendo no existe un plan de trabajo, sino que cada vez que surge una necesidad la planean en ese momento.
•El respaldo de las informaciones manipulada y administrada por los servidores se ejecuta mediante un servidor SAM dedicado para realizar los back-ups de los demás equipos, pero aún no se ha configurado para que todos los servidores se almacenen en la misma.
Propuesta de solucion •Se recomienda de manera formal, la adquisición del respectivo certificado para el portal de la Secretaria de Educación ya que al no tener dicho certificado el portal de esta institución tiene vulnerabilidades y por lo tanto los riesgos pueden materializarse y causar un impacto crítico en el portal como medio de comunicación. •Implementar la centralización de Logs para guardar información sobre la actividad de sistemas variados (No precisamente en todos), Un modelo de centralización cumpla con los requerimientos necesarios para mantener el carácter de evidencia digital de los registros de eventos, permitiendo así poder ser presentados en un juzgado cuando sea requerido. Así mismo, da la posibilidad de realizar una correlación de registros de eventos en un futuro. Ya que la SE, específicamente en área de Sistemas usa mucho Software de carácter Open Source, cabe mencionar que las herramientas de software utilizadas para la centralización, son herramientas de libre distribución lo que permite a cualquier organización implementar un modelo. •Debido a que los Logs proporcionan información tan valiosa, es necesario que éstos mantengan siempre su carácter de evidencia digital, y de esta manera poder ser presentados ante un proceso jurídico en el momento en que se requiera. Es necesario, al implementar la centralización de Logs hacer uso del protocolo NTP para asegurar que todos los relojes de tiempo presentes en los dispositivos conectados a la red se encuentren sincronizados, de esta manera se tendrá un efectivo archivo de evidencias que podrá utilizarse en cualquier momento que se necesite y los cuales cumplirán con los requisitos legales. •Uno de los aspectos que se deben tomar en cuenta acerca de la centralización de Logs es definir un servidor de Logs, el cual será encargado de recibir los registros de eventos y almacenarlos en un repositorio ubicado en la misma máquina, En este caso se requiere una buena capacidad de almacenamiento, y de acuerdo a la disponibilidad deseada es recomendable utilizar disco duros redundantes o un RAID que se maneje dentro de las SAN, de éste modo se garantiza que todos los registros de eventos queden ubicados en un punto central para efectos de la correlación. Descripción de los puestos de trabajo Descripción del área

Desarrollo de Sistemas (Base de Datos)
FunciónVelar por el buen funcionamiento de los sistemas de información institucionales existentes en la ESCALAFON, y dar soporte ante problemas que se presente
Obligaciónes el responsable de programar sistemas de información a la medida de las crecientes necesidades de las diferentes unidades y direcciones que conforman la ESCALAFON.
Descripción del área

Redes y Servidores
FunciónDebe velar por el correcto funcionamiento de la red de cables e inalámbrica de ESCALAFON, como realizar los términos técnicos para implementación de nuevas redes.
ObligaciónDebe velar por el mantenimiento, implementación y correcta operación de los servidores.
Descripción del área

Soporte usuario
FunciónEncargado de realizar las atenciones y asesoramiento en el uso de las herramientas ofimáticas.
ObligaciónRealizar capacitaciones a los usuarios internos de ESCALFON según las necesidades y falencias detectadas en lo que respecta a uso de sistemas informáticos usados actualmente.
Capitulo 3: Auditoria de la Dirección La descripción de puesto es simplemente un documento en el que se enlistan los objetivos y las funciones del puesto, así como el entorno social y las dimensiones que influyen o afectan a dicho puesto. La descripción del puesto es un documento que consiste en definir los objetivos y funciones que lo conforman y que lo diferencian de otros puestos de la organización. En este documento se detalla lo que idealmente debe hacer el ocupante del puesto, no necesariamente lo que hace, así como la frecuencia en que lo hace, cómo lo hace y para que lo hace. Las contingencias son un aspecto importante en los sistemas de información. Las amenazas a la información pueden provenir de muchas fuentes, tanto de origen natural (terremotos, tormentas, etc.), de origen humano (retaliaciones, celos profesionales, competencia, huelga, problemas laborales, entre otros), como de origen técnico (fallas del hardware, del software, con el suministro de energía, etc.). •La unidad de sistemas de información anualmente redacta un reporte sobre el grado de avance en el cumplimiento de los objetivos.
•Cuentan con algunas medidas de seguridad como por ejemplo extintores de fuego.
•Hacen respaldo de los correos electrónicos en cintas magnéticas todos los días.
•Se ajustó la instalación del suministro de energía, para que sea independiente del circuito del edificio y no cuenta con su propia planta de energía.
•Cuentan con un plan estratégico que definen los objetivos a largo plazo y las metas necesarias para lograrlo.
•Cuentan con una planificación de actividades en la cual se detalla el nombre de actividad y el plazo para cumplirla.
Puntos Débiles Plan de Contingencia Puntos Fuertes •Los departamentos, áreas y oficinas en que está dividido ESCALAFON son adecuadas para el buen funcionamiento de la organización.
•Los puestos actuales son adecuados a las necesidades que tiene el área para llevar a cabo sus funciones.
•La línea autoridad se encuentra definida adecuadamente.
•Las responsabilidades van de acuerdo a su autoridad.
•Las funciones por área están establecidas y escritas en un documento.(ESTA EN VEREMOS)
•Las funciones que tienen asignadas al personal son acorde a las actividades desarrolladas en el área de sistemas de información.
•Los objetivos del área están establecidos, son claros y precisos, son realistas y se pueden alcanzar.
•El número de personas no es el adecuado para algunos puestos, ya que muchos de estos tienen sobrecarga trabajo.
•Los recursos financieros con que cuenta el área no es suficiente para alcanzar los objetivos y metas establecidos.
•No cuentan con un sitio alterno para redundancia en caso de que se presentara una catástrofe.
•Hay poca documentación sobre los puestos, sus funciones, perfiles y responsabilidades.
•Las cintas magnéticas con los respaldos no se mantienen en un lugar seguro
•No hay medidas de seguridad visibles al momento de ingresar al Centro de Datos, no se llevan registros de entradas y salidas del lugar.
•Cuentan con poco personal, pero a pesar de esto han logrado salir adelante ya que mantienen los sistemas funcionando.
Hallazgos •Debido al tiempo no han logrado organizar completamente el centro de datos ya que algunos servidores no se encuentran dentro del área que cumple esta función.
•A pesar de que el área sistemas de información es muy pequeña y cuenta con poco personal, logran cumplir con todos los procedimientos importantes.
•El personal está capacitado para cumplir las funciones del área de sistemas de información.
•Han logrado utilizar adecuadamente su presupuesto ya que se han valido en su mayoría de programas y aplicaciones Open Source.
•Con respecto a las condiciones ambientales, el espacio del área es pequeño, pero satisface las necesidades básicas. Cuentan con buena iluminación, ventilación, equipo de oficina, mobiliario y no hay contaminación auditiva.
Propuesta de Solución •Terminar lo antes posible con el plan de contingencia y de recuperación ante desastres, el cual deberá contar con los siguientes pasos:
o Análisis y valoración de riesgos.
o Jerarquización de las aplicaciones.
o Establecimientos de requerimientos de recuperación.
o Ejecución.
o Pruebas.
o Documentación.
o Difusión y mantenimiento.
•Crear un sitio alterno para redundancia de datos en caso de una catástrofe.
•Mejorar la política de seguridad del área de sistemas de información.
•Completar el manual de organización de la dirección, el cual comprende como mínimo del organigrama con jerarquías, funciones, objetivos y políticas, análisis, descripción y evaluación de puestos; manual de procedimientos, manual de normas e instructivos de trabajo o guías de actividad.
•Implementar un sistema de tickets para que los usuarios reciban ayuda vía e-mail, además que permite la evaluación del servicio brindado por la unidad de sistemas de información.
Pruebas al Plan de Continuidad de TI Recursos críticos Sitio y Hardware de Respaldo Almacenamiento de respaldo en sitio alterno Crear Plan de Continuidad Para contar con un Plan de Continuidad efectivo, la gerencia necesita evaluar su adecuación de manera regular o cuando se presenten cambios mayores en el negocio o en la infraestructura de TI.
Esto requiere una preparación cuidadosa, documentación, reporte de los resultados de las pruebas e implementar un plan de acción de acuerdo con los resultados.
Considerar la extensión de las pruebas de recuperación de aplicaciones individuales, escenarios punto a punto e integradas.
El plan de continuidad deberá identificar los programas de aplicación, servicios de terceros, sistemas operativos, personal, insumos, archivos de datos que resultan críticos así como los tiempos necesarios para la recuperación después de que se presenta un desastre.
Los datos y las operaciones críticas deben ser identificadas, documentadas, priorizadas y aprobadas por los dueños de los procesos del negocio, en cooperación con la Gerencia de TI.
La Gerencia deberá asegurar que la metodología de continuidad incorpora la identificación de alternativas relativas al sitio y al hardware de respaldo, así como una selección alternativa final.
• En caso de aplicar, deberá establecerse un contrato formal para este tipo de servicios.
El almacenamiento externo de copias de respaldo, documentación y otros recursos de TI, catalogados como críticos, debe ser establecido para soportar los planes de recuperación y continuidad de negocio.
Los propietarios de los procesos del negocio y el personal de la función de TI deben involucrarse en determinar que recursos de respaldo deben ser almacenados en el sitio alterno.
Procedimientos de respaldo Recuperación y reanudación de servicios Conclusiones Es muy importante que se cuente con un plan de contingencia y un plan de recuperación ante desastres, ya que permite a la organización desarrollar la habilidad y los medios de sobrevivir y mantener sus operaciones, en caso de que un evento fuera de su alcance le pudiera ocasionar una interrupción parcial o total en sus funciones.
Deben realizarse pruebas para determinar la eficacia del plan de contingencia y de los procedimientos de recuperación ante desastres.
La metodología de continuidad deberá asegurar que los departamentos usuarios establezcan procedimientos alternativos de procesamiento, que puedan ser utilizados hasta que la función de TI sea capaz de restaurar completamente sus servicios después de un evento o un desastre. Planear las acciones a tomar para el período en el que TI recupera y reanuda servicios. Incluye: activación se sitios de respaldo, inicio de procesamiento alternativo, comunicación con clientes e interesados, y procedimientos de reanudación.
Asegurar que la compañía entiende los tiempos de recuperación de TI y las inversiones de tecnología necesarias para soportar las necesidades de recuperación y reanudación.
Al tener los manuales de puestos, funciones, perfiles y responsabilidades al día permitirá contar con todas las características e información relativa a cada uno de los cargos. Además el uso de esta información permitirá establecer la descripción y especificación de cada puesto, y a su vez en un futuro facilitará las actividades de reclutamiento, selección, contratación, inducción y capacitación de personal. Inventario de dispositivos de red Seguimiento de la Red Puntos Fuertes Puntos Débiles Cap. 4 Auditoria de Redes Todo el equipo de cómputo que se encuentra dentro de las instalaciones en el departamento de tecnología, se encuentra debidamente archivado en un inventario físico, actualizado en este caso, hasta el mes de Junio del 2012. De igual forma los dispositivos o equipo adquirido recientemente pasa a ser verificado y se procesa la información relevante para ser asignado al respectivo inventario.
El inventario ya mencionado, se encuentra segmentado por categorías, acorde a las unidades o departamento dentro del área de IT.
•Director UIT.
•Personal Administrativo.
•Coordinación, Ingeniería y desarrollo.
•Coordinación Métodos y Procedimientos.
•Coordinación Soporte Técnico.
•Se pudo observar que los cables dentro de la empresa se encuentran correctamente canalizados hasta llegar a su respectiva estación por lo que no hay forma que se produzca un accidente informático.
•Se debe revisar que el ancho de banda con el que se trabaja es adecuada a las necesidades de la institución.
•Se debe verificar que se tengan comunicaciones veloces y fiables con respuesta rápida, eficaz y clara para los usuarios al momento de utilizar la red.
•La red cuenta con un buen protocolo de seguridad para evitar robo o cambio de la información.
•El cableado de la red no tiene ningún control desde el día que se ha implementado.
•Controlar para asegurar que las transmisiones van solamente a usuarios autorizados.
•El uso del protocolo DHCP para asignar el direccionamiento en los dispositivos de Red y host en las subredes, facilita el apropiado rastreo y control de acceso al contenido que es manipulado por los usuarios.
•Cuentan con escritorios remotos ya que cualquier jefe de la sede puede observar lo que el trabajador hace o realiza en la institución.
•El cableado de la red se encuentra a la altura adecuada, lejos de las conexiones eléctricas.
•Todas las máquinas de la empresa trabajan en red.
•El DataCenter no cuenta con los aires necesarios para mantenerlo a la temperatura ambiente.•Hasta la fecha no se ha realizado una verificación del estado de los cables para ver si los mismos necesitan cambios.•En el DataCenter los cables se encuentran entrelazados unos con otros.•No se realizan pruebas periódicas donde se simulen ataques para descubrir vulnerabilidades, documentando los resultados y corrigiendo las deficiencias encontradas.•No se cuenta con un buen protocolo de seguridad para la red.
•La red no cuenta con filtros para evitar el mal uso de la red.
Realizar Mantenimiento de la red
Tiempo: 3 semanas
Para realizar el mantenimiento de la red, es necesario que los técnicos de la empresa expertos es redes se involucren en dicha actividad.
Beneficios
•Evitar que los cables estén en malas condiciones
•Transporte de la información rápida y eficaz.
Consecuencias
•Caída de la red
•Cables dañados
•Enredo entre los cables

Instalar aires acondicionados adecuados

Instalación de aires acondicionados adecuados para mantener el DataCenter a la temperatura adecuada, para evitar que los servidores se sobrecalienten y se caiga la red de la institución.
Propuesta de Solucion •Aplicar la Auditoria Informática en toda la empresa de manera secuencial.
•Ofrecimiento de propuestas de solución en cada sección de la Auditoria Informática.
•Las auditorias son necesarias para evaluar y planificar la funcionalidad del departamento IT.
•Establecimiento de planes de acción integrales de mejora continua.
•Facilitar el desarrollo de las actividades en la empresa mediante el ofrecimiento de las propuestas de solución que se dieron en auditorias anteriores.
•La auditoría aplicada a la organización es importante y necesaria para planificar el avance de la institución, mediante un plan de acción de seguridad integral, para así fortalecer la seguridad de la institución.
•El departamento de IT no cuenta con prácticas o estándares ni políticas de seguridad. Es importante el conocimiento de tales como ser ITIL y COBIT, para la mejora continua del departamento.
•Como en toda empresa, el activo más importante es la información, sin embargo en cuanto a tecnología se refiere en la Secretaria de Educación no se le brinda la importancia que este departamento requiere.
•Cuentan con gran cantidad de equipo, pero muy poco personal para poder prestar un servicio de excelencia. Con el personal que se cuenta que hace un gran esfuerzo y se mantienen nada más.
•Enfocarse en el mejoramiento del departamento debe ser fundamental para la dirección del departamento crecer en desorden no es la mejor alternativa.
Recomendaciones •Utilización de archivos cifrados y firmas digitales en los documentos que son privados para la empresa, para esta tarea se recomienda GNU Privacy Guard ya que es una herramienta de cifrado y firmas digitales y es software libre.
•Trabajar en lo que es la centralización de los LOGS de la institución, para así asegurar el correcto monitoreo de las actividades que realizan los usuarios en los servidores, para esta tarea se recomienda Alert Logic- Log Manger ya que proporciona la forma más fácil de asegurar las redes y cumplir con las políticas de la institución. Ayudando a detectar amenazas, vulnerabilidades, eliminar y gestionar los datos de registros. Como resultado la institución de la seguridad fácil y accesible, además de eso Log Manger trabaja con regulaciones tales como PCI, SOX, HIPAA, GLBA y los datos de registros son mandados, recolectados y revisados regularmente y se archivan con seguridad.
•El departamento de IT no cuenta con prácticas o estándares ni políticas de seguridad. Es importante el conocimiento de tales como ser ITIL y COBIT, para la mejora continua del departamento.
•Se recomienda implementar la encriptación de datos en línea y evitar que los usuarios copien información confidencial.
Capitulo 5: Conclusiones •Mantener la información disponible y evidente para el desarrollo de Auditorias Informáticas a futuro.
•Implementar las propuestas de solución establecidas por nuestro equipo de trabajo.
•Ejecutar los planes de acción integral lo más pronto posible.
•Realización de manuales de usuario.
•Tomar medidas necesarias en la parte de la encriptación de los archivos, en cuanto a las computadoras que están asignadas a los consultores y al jefe de redes, para esta parte se recomienda encriptar con un software que trabaje en base a SHA-1. Ya que en la actualidad es una de las herramientas más seguras para dicho trabajo.
•Cuentan con gran cantidad de equipo, pero muy poco personal para poder prestar un servicio de excelencia. Con el personal que se cuenta que hace un gran esfuerzo y se mantienen nada más.
•Implementar herramientas de seguridad (Software Especializado) que ayude a la protección de la información ya sea cuando se reemplace un disco duro, o cualquier dispositivo ya que la forma que utilizan es abstracta y compleja, es de la siguiente forma: al extraer la información del disco duro de una pc, se retira la platina y la almacenan o lo que antes hacían era golpear los discos duros y los enterraban.
•La recomendación es utilizar un software que sobre-escriba varias veces un sector en el disco duro, como es la herramienta open source “Eraser”, para evitar que una herramienta de recuperación de archivos (Después de un formateo normal de disco duro) pueda recuperar los archivos borrados.
•Implementar el uso de herramientas open source para mantener la seguridad de la información tales como “TrueCrypt” que permite encriptar particiones de disco duro para almacenar información confidencial de la empresa, o bien el disco duro completo. Esta recomendación es muy importante sobre todo para los usuarios que utilizan laptop y se movilizan fuera de la oficina. •Utilizar ITIL v3, que es un conjunto de prácticas para la gestión de servicios de tecnologías de la información, para el desarrollo de sistemas de información y las operaciones relacionadas con la misma en general, con el fin de prestar servicio de calidad que brinda el departamento de IT al cliente interno y permitiendo medir a través de métricas los tiempos de solución para la mejora continua. •Utilizar Nessus que es un software open source para el escaneo de vulnerabilidades de un host con IP.
•Utilizar Software Ansurance para el licenciamiento de sistemas operativos ya que la estructura de la red es grande.
•Utilizar Garantía de misión crítica para los servidores y mitigar el riesgo al momento de daño físico.
Recomendaciones Hallazgos Configurar el servidor donde esta instalado el código fuente pro medio de FAQ-97, además de eso deshabilitar las propiedades del servidor que muestra porque puerto sale el servidor, el nombre de la base de datos que tiene y el sistema operativo instalado. se recomienda que se realicen pruebas con programas de terceros para probar mas vulnerabilidades y así saber como eliminarlas antes de que puedan ocurrir desastres.
Full transcript