Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Proyecto de Auditoria Informatica

Proyecto realizado en la empresa Ashonplafa
by

Paola Solano

on 15 December 2012

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Proyecto de Auditoria Informatica

Introducción Capitulo I Capitulo II Se realiza una auditoría de algunas de las actividades básicas de la dirección de la empresa como la organización y control, manuales de puestos, funciones, perfiles y responsabilidades, asi como tambien se verifico la existencia de planes de contingencia, recuperacion ante desastres y si existe un sitio alterno. Auditores:
-Roberto Rivera
-Paola Solano
-Carlos Menjivar
-Abilio Garcia Para nuestro proyecto hemos elegido la empresa Ashonplafa para realizar nuestro trabajo. En este proyecto tenemos como meta auditar cada parte del departamento de informática y encontrar los puntos debiles, fuertes, hallazgos, y dar recomendaciones de como algunos procesos podrian hacerse de mejor manera. En el capitulo I se da a conocer información general de la empresa, con el fin d conocer mas sobre esta. En el capitulo II se pretende evaluar los sistemas de la empresa para asegurar la seguridad tanto de la información como la del personal y el equipo.

Realizar una verificación de licencias y los equipos de computo que en la empresa se utilizan. Capitulo III Auditoría de la dirección Proyecto de Auditoría Informática Auditoría al departamento de informática de la empresa Ashonplafa Auditoria Informatica Ing. Juan Carlos Inestroza Empresa: Ashonplafa Descripcion de la empresa
Ashonplafa es una organización privada, sin fines de lucro, fundada el 01 de Julio de 1963.
En Honduras es la organización privada líder en proveer servicios de planificación familiar, salud sexual y reproductiva. Ashonplafa será reconocida como empresa líder en la entrega de servicios de salud de calidad para la mujer y la familia, con solidez técnica, administrativa y financiera. Contribuir a mejorar la calidad de vida de la población hondureña, facilitando el acceso a servicios de salud de alta calidad, promover y defender su derecho a la información y educación en salud sexual y reproductiva. Misión Visión Organigrama Se realizó una auditoría a la seguridad informática de la empresa, la estructura de red y la base de datos. Capitulo IV Auditoria de Redes Organigrama de IT Diagrama de infraestructura de red Las Instalaciones El área de IT tiene un espacio reducido y cuenta con un control de acceso, también cuenta con tres cubículos el cual están repartidos entre el Jefe de Unidad de Informática, Administrador de Redes y Datos y Soporte Técnico. El Data Center se encuentra ubicado justo detrás del cubículo del Administrador de Redes y Datos el cual cuenta con una puerta de vidrio y aluminio con cerradura normal para ingresar al Data Center. El Equipamiento El Data center de Ashonplafa cuenta con un conjunto de servidores que cumplen las funciones de Base de Datos, Servidores de Archivos, Web Server, Aplicaciones, Correo Electrónico. Señalización
No contaban con ningún tipo de señalización dentro del lugar de trabajo, las maquinas no estaban debidamente identificadas para su inventario solo contenían lo que parecía ser una dirección IP en una etiqueta.

No había señalización para la ruta de evacuación del edificio.

Los puntos inalámbricos no se encuentran señalizados.

Los cables y toma corrientes no tienen ningún tipo de señalización Equipo de Computo Solamente cuentan con 3 modelos de maquinas, 2 modelos de maquinas (Dell Optiplex 390 y HP COMPAQ DC7900) que se utilizan como computadoras de escritorio y otro modelo (Dell XPS) que son las laptops utilizadas por la alta gerencia. Controles de acceso El acceso a las instalaciones es limitado, se cuentan con varias medidas de seguridad como ser los guardias en las entradas, el sistema de vigilancia, las puertas con control de acceso.

Dentro de los procedimientos de seguridad en acceso a las instalaciones, podemos mencionar que cada empleado posee un perfil de accesos de acuerdo a las necesidades que el puesto requiere. Puntos Fuertes El internet está limitado solo para pocas personas, solo las personas de alta gerencia o el departamento de informática.

Tienen un programa de bloqueo de aplicaciones para que las personas se enfoquen en su trabajo. Sin distracciones.

La política de contraseñas es muy eficiente, las contraseñas tiene que tener como mínimo 8 caracteres incluyendo mayúsculas, minúsculas, caracteres especiales, números. Cada 30 días se tiene que cambiar la contraseña por una totalmente nueva no permite cambio de algunos caracteres.

Personal altamente capacitado para el manejo y la implementación de nuevas tecnologías en el Data Center.

Circuito de electricidad independiente.

Las licencias de software se encuentran guardadas en una bóveda dentro del Data Center. Puntos Débiles El datacenter no cuenta con un acceso restringido dentro del departamento de IT puede entrar cualquiera.

Los extintores del datacenter no son los adecuados para este tipo de equipo electrónico.

La señalización dentro del edificio es mínima solo hay rutas de evacuación en la primera planta.

No cuentan con sistemas de redundancia en caso de alguna contingencia solo el servidor de Active Directory tiene un sistema redundante.

No hay una debida organización en el datacenter y el espacio es reducido. Hallazgos El sistema de vigilancia, solamente graba un mes luego este se borra y empieza de nuevo. No tienen respaldos de las grabaciones ya que salia costoso y no hay eventos que lo ameriten. Boveda de Seguridad En la boveda se seguridad estan almacenados documentos de importancia, piezas de hardware, licencias, respaldos de la Base de Datos, pero aunque esten en la boveda esta siempre permanece abierta por lo que no es del todo seguro La Señalización La mayoría de los equipos no están debidamente señalizados, el cableado tampoco está señalizado. Los Extintores Los extintores dentro del centro de datos no son los correctos, estos son de tipo AB y este tipo de equipo requiere de extintores tipo ABC para equipo electrónico, algunos de los extintores no estaban debidamente ubicados. No se pudo apreciar ningún tipo de cableado estructurado, algunos de los cables estaban regados y no se sabía de qué eran. El Cableado Propuestas de Solución En vista de la razón social del negocio, el flujo de transacciones diarias, y la capacidad de crecimiento de la empresa, se recomienda adecuar el Data Center para lograr un TIER nivel I, para obtener la confiabilidad y seguridad tanto del equipo como de la información como capital principal de la empresa.

Se debe implementar un control de acceso a los servidores solamente para el personal que los administra podría ser un sistema biométrico.

Cambio de extintores existentes, con unos especiales para equipo electrónico, que son los de tipo ABC o para todo tipo de incendios. Propuestas de solucion
señalización debida tanto para los equipos como para las rutas de evacuación del edificio en caso de algún desastre.

Implementar algún tipo de organización con los cables ya que pudimos observar que estaban algo desordenados, deberían estar correctamente señalizados y de diferentes colores para identificarlos adecuadamente.

Elaborar la documentación necesaria para dicha organización del Data Center. Conclusión Final Habiendo realizado la auditoria del Data Center podemos concluir que la buena administración del centro de datos es de suma importancia para la empresa ya que esta depende de ella para seguir su funcionamiento normal, es cierto que existen muchas debilidades pero el departamento de IT hace todo lo posible por mantenerlo en funcionamiento 24/7 los recursos son escasos pero se hace lo posible para conseguir mas donantes y así poder llegar a tener una infraestructura mucho mas grande y mas segura.
El crecimiento de la infraestructura lo cual se tiene pensado hacerla ya se están elaborando planes para implementarla dentro de algún tiempo y poder tener un Data Center de alta seguridad y disponibilidad. Auditoria De Aplicaciones Se realizo una exploración en la documentación y equipo de ordenadores, para poder obtener el sumario del software instalado y las aplicaciones utilizadas para el proceso de trabajo de cada uno de los departamentos principales.

Se encontró que debido al rubro de la empresa, la necesidad de software para el proceso de trabajo de cada uno de los departamentos es limitado, y por lo tanto se cuenta con dos aplicaciones principales que logran cubrir todas y cada una de las necesidades de los usuarios y clientes de la empresa; Así como software utilizado para la manipulación de información y procesos de trabajo rutinarios. Verificacion de existencia de licencias En el análisis realizado en cuanto a la existencia de licenciamiento del software, la empresa posee en su mayoría las licencias de los sistemas que se utilizan. Tanto en el software de sistemas operativos, en suite de ofimáticas, antivirus, y en especial para los sistemas principales como ser el Exactus y SIGH. Todas estas se encuentran almacenadas en una boveda de seguridad. Algunas de estas licencias han sido donadas por Microsoft ya que por ser una empresa sin fines de lucro y las demas han sido compradas por la empresa. Puntos Fuertes Se cuenta con licenciamiento en la mayoría de las aplicaciones formales que utiliza la empresa.

Se posee una infraestructura de aplicaciones robusta que permite realizar las labores de una manera organizada.

Existe documentación que permite corroborar el estado de las licencias y el inventario de las aplicaciones formales utilizadas.

Se cuenta con sistema de soporte por parte de los proveedores del sistema.

La distribución del software esta realizado en base a las necesidades de las funciones del puesto.

Se cuenta con manuales de usuario para la utilización de cada uno de los módulos que brinda el aplicativo Exactus y el Sistema Clínico. Puntos Débiles La administración de aplicaciones es realizada por el administrador de redes y no por un delegado de procesos de aplicaciones.

No se cuenta con departamento o personal de desarrollo de aplicaciones.

Las actualizaciones de las aplicaciones no se realiza en base a las necesidades.

El sistema no cuenta con los módulos de reportería óptimos para cubrir las necesidades que se presentan día a día. Solo se cuenta con reportes básicos en cada uno de los módulos.

En vista que el software es provisto por terceros cada cambio o mejora implica un proceso de negociación y compra para su posterior desarrollo. Hallazgos •La distribución de funciones entre el personal de Informática no esta claramente definido.

•Los usuarios del aplicativo no poseen la instrucción necesaria para el uso de las bondades que el software ofrece en los diferentes módulos.

•No existe una programación de actividades en cuanto a capacitación del personal para cada uno de los módulos del sistema.

•No se puedo verificar con un documento que avalara la compra de las licencias de software que utiliza la organización. Propuestas de Solución •Proponer un seguimiento en cuanto a la actualización de aplicaciones.

•Designar las funciones de administración de aplicaciones a un empleado específico para poder tener un responsable. Conclusión Final En términos generales la empresa cuenta con procesos y controles que garantizan en cierta medida un mejoramiento continuo en el desarrollo del departamento de informática.

Todo este trabajo y análisis ayudará a la empresa a rectificar cada uno de los puntos débiles y de los detalles que por alguna u otra razón no se habían detectado.

Así también éste análisis ayudara a ofrecer a los gerentes de la organización a la hora de tomar decisiones importantes que afecten las actividades productivas de dichas organizaciones, esta información a demás de plasmar la situación financiera de la empresa debe de ser entregada de forma oportuna para que esta sea de utilidad. Objetivos •Identificar debidamente la existencia de un plan de contingencia.

•Verificar si existen manuales d e puestos, funciones, perfiles y responsabilidades.

•Identificar debidamente la existencia de un plan de recuperación de desastres.

•Evaluar los posibles puntos fuertes, puntos débiles, riesgos y dar una solución o recomendación para estos. Verificación de existencia plan de contingencia Actualmente no existe un plan de contingencias implementado dentro de la empresa Ashonplafa pero si existe un documento elaborado por el departamento de IT en donde esta detallado el plan de contingencias pero todavía no está implementado, este documento esta en proceso de aprobación se espera que para finales de este año se hagan las pruebas y se implemente. Verificación de existencia de plan de recuperación ante desastres Al igual que el plan de contingencias, el plan de recuperación ante desastres no está implementado, pero si existe un documento del plan de recuperación ante desastres, el cual se espera también que para finales de este año se realicen las pruebas y la implementación del mismo. Verificación de existencia de Sitio Alterno Actualmente la empresa no cuenta con un sitio alterno en caso de alguna falla, el cual los deja totalmente expuestos a la perdida de la información en caso de algún desastre, pero tienen pensada la implementación de uno en San Pedro Sula, que es el lugar donde se encuentra otra de las sucursales mas grandes después de Tegucigalpa y es la más cercana. Puntos fuertes Cuentan con un documento que contiene un plan de contingencia.

Cuentan con un documento que contiene un plan de recuperación de desastres.

Estos documentos ya fueron elaborados y presentados ante la gerencia solo falta su aprobación para que sean implementados.

Aunque ninguno de estos planes este implementado el personal cuenta con la capacidad necesaria para realizar las operaciones necesarias en caso de alguna contingencia.

Ya tienen los documento necesarios para implementar un sitio totalmente nuevo con mayor disponibilidad, dentro de poco se va ser un cambio de todo el equipo del centro de datos, cableado, sitio alterno, sistema redundante. Puntos Debiles •No se ha implementado aun el plan de contingencia.

•No se ha implementado aun el de recuperación de desastres.

•No cuentan con un sitio alterno.

•Solamente el servidor de Active Directory cuenta con una garantía de 3 años, los demás carecen de estas. Hallazgos Planta Eléctrica

El departamento de informática no tiene ningún control de esta planta como sus cuidados y mantenimiento. Ellos solo necesitan que esta se encienda cuando hay un corte de la energía eléctrica. Propuestas de solución • Nuestras propuestas de solución serian que los documentos que contienen los planes de contingencia y de recuperación de desastres sean aprobados e implementados en el menor tiempo posible.

• Realizar un estudio para el montaje del sitio alterno con el fin de asegurar la continuidad del negocio en caso que el sitio principal sea interrumpido.

• Presionar a la alta gerencia para que apruebe estos documentos lo mas rápido posible y se pueda implementar el nuevo equipo totalmente nuevo y poseer una mayor disponibilidad. Conclusión final La empresa al contar con los documentos que contienen los planes de contingencia y recuperación de desastres tienen más seguridad en la misma y con esto más seguridad para la información que es uno de sus activos más importantes.
Sin embargo a estos planes no estar implementados la empresa sigue siendo vulnerable a cualquier tipo de contingencia o siniestros.

Todo este trabajo y análisis ayudará a la empresa a rectificar cada uno de los puntos débiles relacionados con la auditoria de la dirección y de los detalles que por alguna u otra razón no se habían detectado. Inventario de dispositivos de red El inventario de dispositivos de red se lleva de manera informal, contando solamente con un documento el cual especifica los dispositivos de red utilizados en la organización en el cual se especifica el modelo de cada dispositivo y en donde está ubicado cada uno de ellos. Aparte del software de cisco (Cisco Network Assistant) en el cual realizan la administración de los switchs, con este software se lleva un control de los dispositivos, como están distribuidos, cuales están activos y cuáles no. Inventario de direccionamiento IP Se lleva un inventario de direcciones IP que son asignadas por servicio DHCP del servidor, el inventario se lleva mediante un documento elaborado por el equipo de informática en el cual se detallan las direcciones IP, el nombre del equipo a la que pertenece, a qué departamento pertenece, el área de trabajo, direcciones IP disponibles y direcciones IP de dispositivos de impresión. Puntos fuertes •En los controles de seguridad de las bases de datos solamente el gerente del departamento de informática y el administrador de base de datos tienen acceso a estas.
•Se hacen respaldos y son probados diariamente.
•Se lleva un inventario de los dispositivos de red mediante el software Cisco Network Assistant.
•Todos los dispositivos de red son administrados por una sola persona.
•Documento en el cual se lleva el control de las direcciones IP asignadas por el servidor DHCP.
•Buen manejo de políticas de accesos por medio de Active Directory.
•Usuarios Administradores asignados de acuerdo a funciones y roles de trabajo.
•Realización de respaldos mensuales con sitios alternos.
Puntos débiles •No cuentan con ningún otro tipo de control además del de las contraseñas en la seguridad de las bases de datos.
•Se podría tomar como punto débil el hecho de que no tienen ningún tipo de estándar para la regulación de tecnologías de la información implementado en la empresa.
•La documentación sobre los dispositivos de red es escasa.
•No cuentan con dispositivos de respaldo en caso de que algún dispositivo de red deje de funcionar.
•Carencia de documentos formales que permitan constar las políticas y normas establecidas.
•Acceso a internet indiscriminado en algunos casos.
•Utilización de dispositivos USB y discos portátiles para el manejo de información.
Hallazgos •Utilización de dispositivos USB y discos portátiles para el manejo de información.

•Ningún tipo de estándar para el manejo de la información, el equipo de cómputo, seguridad de la información.

•Las computadoras personales usadas por los ejecutivos no están encriptadas.

•Al realizar los respaldos de la base de datos se hacen 3 copias la cuales 2 de ellas se quedan en la sucursal de Tegucigalpa una en el departamento de informática la otra es enviada a San Pedro Sula ninguno de estos respaldos es encriptado.
Propuestas de solución •Deberían tener otro tipo de seguridad además de los controles de acceso y los respaldos como ser:
Garantizar la confiablidad de los respaldos que se hacen diariamente.
La encriptación de las contraseñas que utilizan para ingresar a las bases de datos.
•Se recomienda la utilización de estándares internacionales para regulación de tecnologías de la información, ya que estos proveen una serie de buenas prácticas que podrían serles de mucha ayuda a la hora de realizar los respaldos de la información, administración de licencias y garantías de hardware y software, mantener un control más estricto de los riesgos sus probabilidades de ocurrencia y cómo lidiar con estos en caso de una contingencia, optimizar los servicios de la empresa, se tendría información más precisa que haría más eficiente la toma de decisiones. Además la obtención de este tipo de certificaciones en estos estándares da cierto nivel de prestigio a las organizaciones ya que habría más confiabilidad de la información.
Conclusión final Después de haber realizado un proceso completo de auditoria tocando varios puntos como ser las instalaciones, el equipo de cómputo, las aplicaciones, las redes etc. Podemos decir que Ashonplafa es una institución que cumple con algunas de los controles de seguridad de la información generalmente aceptados. Aunque siguen existiendo brechas de seguridad en los sistemas y no cuentan con instalaciones adecuadas el espacio es reducido y debe ser más ordenado.
Full transcript