Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Presentacion Auditoria Informatica P1 - 2015

No description
by

Alexander Contreras

on 21 March 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Presentacion Auditoria Informatica P1 - 2015

AUDITORIA INFORMATICA
I PERIODO 2015
ING. MAE. JUAN CARLOS INESTROZA

Secretaría de Trabajo y Seguridad Social (STSS)
INTEGRANTES

Dennis Edgardo Chirinos Ponce 31051334

Erim Osmin Zelaya Lagos 30911207

Ricardo Arturo Valdés Osorto 31111329

Luis Alexander Contreras Quiroz 31111500

Jorge Eduardo Altamirano Canaca 30921537

Secretaría de Trabajo y Seguridad Social (STSS)
INTRODUCCION
En el primer capítulo se presenta una breve descripción de STSS, incluyendo la visión, misión, su historia y el organigrama de la Institución.

El segundo capítulo trata sobre la auditoría física, en la cual se busca evidenciar el nivel de seguridad física en el ámbito en que se desarrolla la actividad profesional.

El tercer capítulo consiste en verificar si se cuenta con planes de contingencia, plan de recuperación ante desastres y verificación de la existencia de sitio alterno.

En cada uno de los capítulos, a excepción del capítulo uno, se concluye con los puntos fuertes, puntos débiles, hallazgos, propuesta de solución y una conclusión final.
OBJETIVO GENERAL
Aplicar los conocimientos adquiridos en la clase de Auditoría Informática, para poder evaluar, al momento de realizar la auditoría en la empresa denominada STSS, el cumplimiento de las mejores prácticas del área de IT, los procesos que se siguen, cumplimiento de estándares internacionales, así como la seguridad adecuada dentro de la institución.
OBJETIVOS ESPECIFICOS
Conocer y describir la empresa donde se realizara la auditoria con el fin de verificar el cumplimiento de las mejores prácticas en el Departamento del IT.

Proporcionar la evidencia del nivel de seguridad física del mismo, sin limitarse a comprobar que existen los medios físicos, funcionales y de seguridad.

Auditar las actividades básicas de la dirección como organización, control de manuales, funciones, puestos de trabajo, perfiles y responsabilidades, analizarlos y luego alcanzar posteriormente un perfeccionamiento del mismo.

Auditar la seguridad informática del sistema, estructura de red, base de datos y sistemas operativos existentes, con el objeto de analizar y crear hallazgos (FODA) para posteriormente realizar propuestas de solución y mejorarlos.
CAPITULO I:
DESCRIPCION DE LA EMPRESA AUDITADA

CAPITULO III:
AUDITORIA DE LA DIRECCION

CAPITULO II:
AUDITORIA FISICA

DESCRIPCIÓN DEL CLIENTE
Secretaría de Trabajo y Seguridad Social de Honduras es el encargado de lo concerniente a la formulación, coordinación, ejecución y evaluación de las políticas de empleo, inclusive de los minusválidos, el salario, la formación de mano de obra, el fomento de la educación obrera y de las relaciones obreras patronales, la inmigración laboral selectiva, la coordinación del sistema de Seguridad Social, el reconocimiento y registro de la personalidad jurídica de Sindicatos y demás organizaciones laborales, lo relativo a la higiene y seguridad ocupacional, el manejo de los procedimientos administrativos de solución de los conflictos individuales y colectivos de trabajo.
MISION
“Somos una institución que desarrolla procesos de mejora continua; que rectora las políticas y estrategias del mercado laboral, los sistemas de previsión y seguridad social, que promueve una cultura de diálogo y concertación en las relaciones obrero-patronales, contribuyendo a la paz y desarrollo nacional.”
VISION
“Para el 2038 seremos una institución posicionada que goza de credibilidad y respeto por parte de patronos y trabajadores, que garantiza: el empleo decente, una adecuada formación profesional, las buenas relaciones entre los sectores, la protección social en materia de previsión y seguridad social, para el logro del desarrollo del ser humano.”
HISTORIA
Hace un poco más de 70 años, exactamente el 5 de abril de 1930, a través del Decreto No. 200 , se creó la Secretaría de Trabajo como una dependencia indiferenciada adscrita a la entonces Secretaría de Fomento y Agricultura. Es hasta el 19 de diciembre de 1951, con el Decreto legislativo No. 14, que se desliga de la Secretaría de Fomento y Agricultura y pasa a llamarse Secretaría de Fomento y Trabajo, atribuyéndosele la función principal de atender los asuntos relativos al Trabajo y la Previsión Social.
ORGANIGRAMA
Conocer como está estructurada la red de STSS.
Verificar si las instalaciones cuentan con seguridad física, tanto para el personal que labora como para el equipo tecnológico que utilizan.
Verificar si IT cuenta con políticas de seguridad que protejan el activo principal de la institución, la información.
Conocer el equipo tecnológico que utilizan.
OBJETIVOS ESPECIFICOS
OBJETIVO GENERAL
Proporcionar la evidencia del nivel de seguridad física en el ámbito en el que se desarrollará la actividad profesional, no limitándose a comprobar que existen los medios físicos, sino también la funcionalidad, la racionalidad y seguridad.

El departamento de IT se encuentra ubicado en el 4to piso del Edificio Plaza Azul, Avenida Berlín, Entre calles París y Viena, Lomas del Guijarro Sur.
El departamento de IT no cuenta con seguridad de acceso, la única seguridad está en la entrada al asesor en el segundo piso donde tienen personal de la secretaria solicitando una identificación para entrar al ascensor.
El cuarto de servidores se encuentra en el 5to piso y la entrada de acceso no cuenta con seguridad adecuada.


El departamento no cuenta con señalización que indique la vía de evacuación en caso que ocurra un incidente y la que existe es de poca relevancia ya que se acaban de mudar.
La señalización en el ministerio de trabajo esta aun en un proceso de renovación ya que la mayoría que se puede observar era de la empresa anterior que se ubicaba en el mismo edificio.


El DataCenter no reúne las condiciones óptimas de seguridad en caso de que ocurra algún accidente que involucre la integridad de todo el personal próximo al DataCenter,
Carece de medidas en caso de que ocurra un incendio como ser detectores de humo y extintores con gas FM200 especial para DataCenter


Al momento de iniciarse una interrupción eléctrica se cuenta con varios UPS
Se realiza mantenimiento preventivo cada dos meses, por una compañía externa, de los equipos instalados en el Data Center.
Equipo de cómputo relativamente reciente y con suficientes recursos para las actividades de desarrollo.
Implementación de virtualización de servidores.
Presupuesto aprobado por administración.
Direccionamiento IP establecido por usuario.

No existen políticas de acceso adecuado al DataCenter.
En el DataCenter solo se cuenta con un aire acondicionado de uso general para oficinas, no uno especializado para la adecuada aclimatación del mismo.
Actualmente IT no es auditado de forma externa, solo de forma interna.
Seguridad física casi nula.
No hay bitácora de entrada al DataCenter.
DataCenter con cableado enredado en cielo falso y rack.
No existe señalización de ningún tipo a excepción de ruta de evacuación.
No cuentan con extintores.
No tienen redundancia eléctrica.

La baja calidad general del Data Center, como el enfriamiento del mismo, la distribución del equipo, prevención en caso de alguna interrupción eléctrica, en caso de una alerta de incendio, etc.
Las llaves del Data Center son guardadas por el Gerente IT y el responsable del departamento de redes.
Vulnerabilidad física al acceso al departamento IT y DataCenter.
No se sabe cuándo fue el último mantenimiento a las baterías del UPS.

Colocar señalizaciones que indiquen cuál es la ruta de evacuación para salir del departamento de IT.

Considerar colocar una salida de emergencia.

Se recomienda contar con los servicios de una compañía aseguradora para que los equipos del Data Center estén asegurados, esto en caso de ocurrir algún desastre.

Se observó que el equipo de IT cuenta con un agradable ambiente de trabajo y cada integrante desempeña las funciones que les corresponden. Se logró observar una vasta debilidad en lo que se refiere a la seguridad física del personal que labora en el área.
INSTALACIONES
SEÑALIZACIONES
SEGURIDAD FISICA PERSONAL
PUNTOS FUERTES
PUNTOS DEBILES
Hallazgos
PROPUESTA DE SOLUCIÓN
CONCLUSIÓN FINAL
OBJETIVO GENERAL
Se auditan algunas de las actividades básicas de la dirección como la organización y control, manuales de puestos, funciones, perfiles y responsabilidades.
OBJETIVO ESPECÍFICOS
• Verificar que IT cuente con un plan de contingencia.
• Verificar que IT cuente con un plan de recuperación ante desastres.
• Verificar que IT cuente con un sitio alterno.
• Conocer si se sigue alguna norma o estándar que trate sobre el tema de un plan de contingencias, así como de un plan para la recuperación ante desastres.

Verificación de existencia de plan de contingencia
La Secretaria de Trabajo y Seguridad Social no cuenta con un plan de Contingencia para la continuidad del negocio, debido a que está en proceso el traslado del Data Center a una ubicación con mejores ambientes de seguridad y espacio. Por los momentos solo cuentan con garantía de todos los equipos del Data Center.
Verificación de existencia de un plan de recuperación ante desastres.
La Secretaria de Trabajo y Seguridad Social no cuenta con un plan de recuperación ante cualquier desastre, por ende se le recomienda la implantación de un plan ante cualquier desastre, que como se mencionó estos pueden ser catástrofes, incendio, fallos en los suministros eléctrico, fallos en el equipo, virus, amenazas, ataques informáticos y errores humanos, en concreto el plan al que nos referimos es el de Continuidad del negocio (la encontramos más detallada en las propuestas de solución).
Verificación de existencia de un sitio alterno
La STSS cuenta con un sito alterno el cual se encuentra ubicado en San Pedro Sula, pero por situaciones externas como ser cambios de Gobierno no se está utilizando, se hizo la gestión y el planteamiento al ministro pero este al día de hoy no ha brindado ninguna respuesta. En administraciones anteriores se quiso realizar un convenio con la asociación de maquiladores de nuestro País para realizar la replicación de la información por medio de esta entidad, pero al final no se llegó a ningún acuerdo.
Puntos fuertes
Las responsabilidades van de acuerdo a su autoridad.
Puntos débiles
Se cuenta con un sitio alterno pero por el cambio de gobierno no se la implementado a su totalidad.
Carecen de personal que se dedique a realizar pruebas a los sistemas que se implementan.
IT no cuenta con plan de recuperación ante desastres.
IT no cuenta con un plan de contingencias interno.
Inadecuada ubicación del Data Center (Quinto Piso).
Hallazgos
Al no contar con un plan de recuperación de datos, son una institución gubernamental que seguramente cesaran sus actividades por tiempo indefinido.
No tienen idea de la magnitud del daño o de un análisis de impacto que les permita conocer o cuantificar las pérdidas económicas referentes el equipo y la información perdida.

Propuesta de solución
Es importante tomar la iniciativa de lograr certificar el dataCenter de la STSS, esto brindaría prestigio y un ambiente de confianza a los clientes e incluso a los mismos empleados, vale la pena concientizar al persona que el dataCenter es el corazón de la STSS y debe ser cuidado como demandan los estándares, ignorar los estándares es ignorar una de las principales metas y persecuciones de las instituciones del estado y esta es la tecnología, la tecnología se mueve al son de los estándares en la diferentes áreas de las ciencias computacionales.

Conclusión final
En la visita realizada a las instalaciones de STSS, específicamente al departamento de IT, pudimos observar que por la ubicación de la secretaria se encuentra en una zona no muy estable, desde el punto de vista geológico, es propensa a derrumbes, lo cual pone en riesgo la infraestructura de las instalaciones así como al personal humano de la institución. Es por ello que IT tiene pensado implementar un personal de seguridad para elaborar un plan de recuperación ante desastres y de contingencia para que los sistemas críticos y servicios que se ofrecen puedan estar disponibles en el menor tiempo.

CAPITULO IV: AUDITORÍA DE REDES
OBJETIVO GENERAL
En este capítulo se pretende auditar: Seguridad informática, estructura de red, base de datos y sistemas operativos existentes.

Objetivos Específicos
• Conocer los dispositivos de red de STSS.

• Conocer el direccionamiento IP.

• Verificar si IT cuenta con las políticas de seguridad informática.

• Verificar la utilización de estándares internacionales para regulación de tecnologías de la información.

• Verificar los controles de seguridad en base de datos.

INVENTARIO DE DIRECCIONAMIENTO IP
Verificación de existencia de políticas de seguridad informática
Dentro de la institución el Departamento de Informática, cuentan con diferentes tipos de políticas a nivel de seguridad informática, están políticas están regidas por un reglamento interno que obliga a la institución a cumplirlas, debido a la información que en la institución se maneja.
Como parte de sus políticas a nivel de seguridad informática, estas se encuentran administradas por el ingeniero administrador de redes, la Secretaria del trabajo cuenta con algunas herramientas para el manejo de la seguridad informática entre estas herramientas esta: Bos TecApro y NextBox
Verificación de utilización de estándares internacionales para regulación de tecnologías de información
Basado en la información recolectada verbalmente con el Director de TIC y el jefe de Infotecnología, se pudo observar que la STSS no cuenta con la aplicación de estándares internaciones dentro de la Dirección de Tecnología de Información y Comunicación.

Controles de seguridad en base de datos
Refiriéndonos a la seguridad física, el ingreso al Data Center puede ser accesado por personal autorizado por medio de una llave, la cual la tiene el jefe de Infotecnología.
Existen dos DBA encargados de la seguridad lógica con procesos de base de datos automatizados a través de instrucciones programadas para la realización de respaldos así como de mantener las bases de datos 24/7 disponibles, integras y estables.


Consolidado
Puntos fuertes
Se cuenta con un switch de capa 3 para ciertos pisos vitales en el edificio.
Cuentan con políticas y normas de seguridad establecidas pero desactualizadas.
Se cuenta con cámaras de seguridad en los diferentes pasillos de la institución.
Cada equipo (servidores y computadoras) que se utilizará dentro de la institución cuenta con su propia Ip estática.
EL dispositivo para marcar la asistencia de los empleados de la institución cuenta con una penalización para los que llegan tarde (descarga eléctrica).

Puntos débiles
 Inadecuada seguridad al ingreso al Datacenter.
 Falta de reglas para el uso del internet dentro de la institución por parte de los empleados fuera del departamento de IT.
 Protección física inadecuada de los dispositivos de red (swithes, routers) y del Datacenter.
 Las laptops no cuentan con el cifrado correspondiente para la protección de la información.

Hallazgos
 Todas las actividades que deben realizar cada uno de los miembros de IT se apunta en una tabla la actividad y quien o quienes la deben realizar, donde es tachada cuando es completada.
 Cuando algún dispositivo deja de funcionar el equipo de IT intenta arreglarlo ya sea si es un problema físico como de configuración para ahorrar gastos.

Propuesta de solución
• Se debe tener asegurado el Data Center, también contar con normas y políticas de seguridad para una mejor protección de la información y los activos del departamento de tecnologías.
• Se recomienda llevar control de bitácora del ingreso, salida, mantenimiento o cambios respectivo que se realicen en el Data Center.
• Se recomienda llevar un control de inventario de los dispositivos de la red, el cual se puede implementar a través de la adquisición de una herramienta de software ya sea licenciado u Open Source.
• Adopción del estándar ITIL y la ISO 20000 para el conjunto de buenas prácticas en la gestión de servicios de IT, automatización de procesos y generar eficiencia en la Dirección de TIC y a su vez Cobit para el control y supervisión de IT. ISO 27001 para la gestión de la seguridad de la informacion, ISO 22301 para la continuidad del negocio e ISO 31000 para gestión del riesgo.

Conclusión Final.
La auditoría realizada determino que la STSS no cuenta con ningún estándar que le permita a la organización brindar servicios de calidad así como eficientes en las operaciones de IT a su vez se investigó en encontrar un estándar o guía de buenas prácticas para el control y supervisión de IT determinado que no cuentan aún con ello.
En el manejo de soporte y peticiones de los empleados ya sea por mal funcionamiento de hardware o software, se ha constatado que es inadecuado y en muchas veces ineficiente.
Los respaldos son guardados en el mismo servidor donde se encuentran las bases de datos, lo cual es un error fatal en caso de un desastre o alguna contingencia la información corre un grave peligro ya que puede desaparecer por completo y por ende traería graves consecuencias para la organización

IMPLEMENTACION DE LA ISO 22301
¿Qué es un SGCN?
Es parte del sistema de gestión gerencial que establece, implementa, opera, evalúa, mantiene y mejora la continuidad del negocio. “Un SGCN da confianza a terceros, ya que ha identificado los procesos esenciales que soportan a los productos o servicios que se desean proteger de escenarios de amenazas producto del análisis del riesgo” (Alexander, 2007). Cada escenario de amenazas tiene una estrategia de continuidad que se materializa a través de planes de reanudación de operaciones que son ensayados regularmente. Una empresa con un SGCN ensayado periódicamente es bien difícil que deje de operar y no pueda suministrar sus productos o servicios.
El estándar ISO 22301:2012 “Seguridad de la Sociedad: Sistemas de Continuidad del Negocio-Requisitos” aplica el ciclo Plan-Do-Check-Act (PDCA por sus siglas en inglés) para la planificación, establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y la mejora continua de su efectividad. El modelo ha sido creado con consistencia con otros estándares de gestión, tales como: ISO 9001:2008, ISO 27001:2005, ISO 20000-1:2011, ISO 14001:2004 y con el ISO 28000:2007.
En el año 2012, la Organización Internacional para la Normalización (ISO) publicó el estándar “Seguridad de la Sociedad: Sistemas de Continuidad del Negocio-Requisitos”. Este estándar certificable y auditable capta los principales conceptos de los demás lineamientos publicados desde 1995.
Propuesta de solución
Se recomienda a los desarrolladores realizar la documentación del código fuente de los aplicativos que crean, ya que esto es de suma importancia porque serviría de apoyo a los próximos sucesores del personal actual, para la comprensión del código del sistema y para poder realizar las mejoras que sean necesarias en un determinado momento.
Se recomienda la creación de manuales de usuario, de cada aplicación, para que, cuando ingrese un nuevo personal que necesite hacer uso de alguna aplicación, se le provea el manual y éste pueda servirle de guía.
Realizar contratación de personal para que sirva de apoyo al Ingeniero que es el único encargado de hacer las revisiones de las aplicaciones de registro creadas en IT y de atender las solicitudes que tengan que ver con la información que éstas proporcionan.

Puntos fuertes
 IT cuenta con amplio personal para el desarrollo de aplicativos y mantenimiento de los mismos.
 Se cuenta con personal para el desarrollo de aplicaciones a la medida de las necesidades de la organización.
Puntos débiles
 EL Data Center no cuenta con la adecuada seguridad y está muy alejado del departamento de IT.
 No se encontró ningún tipo de documentación (Diagramas UML, Casos de Usos, Diccionario de variables, etc...) la sobre el desarrollo de las aplicaciones de la organización.
 No cuentan con un plan de control de licenciamiento.
 No cuentan con un inventario de software existente.
Se realizó pruebas de penetración del sitio del portal de internet de SENAEH dirección url http://servicios.trabajo.gob.hn/pruebaspsicologicas/inicio.aspx
y los comandos utilizados para hacer dicho trabajo.
Con el NMAP y se encontró que hay 994 puertos filtrados
Puerto Estado Servicio
30/TCP Cerrado Desconocido
80/TCP Abierto http
301/TCP Cerrado Desconocido
443/TCP Abierto https
8090/TCP Cerrado Desconocido
16992/TCP Cerrado Amt-soap-http
Verificación de existencia de licenciamiento
y Auditoria de la aplicación
Inventario de software
MDaemon
Zimbra Server-Desktop
ISA Server (Internet Security & Acceleration )
Empléate
Auditoria de aplicaciones
Conclusión final
Observamos que en IT cuentan con algunas debilidades en cuanto a la falta de documentación del código de una aplicación que es desarrollada en dicho departamento, así como de un manual de usuario. Sin embargo, en el aspecto de licenciamiento, IT cumple con que el todo el software de uso institucional esté debidamente licenciado.
Otro punto que tienen a favor es que se cumplen los procesos de acuerdo a las políticas internas del departamento.


El nuevo estándar ISO 22301:2012 tiene por nombre “Seguridad de la Sociedad: Sistemas de Continuidad del Negocio”. Este modelo aparece como producto de una evolución de lineamientos, buenas prácticas y estándares en continuidad del negocio. En la Figura Nº 1 se presenta un bosquejo de la evolución.
NATURALEZA DEL ISO 22301:2012
Documentos y registros mínimos requeridos por ISO 22301:2012 (la norma se refiere a los documentos y registros como información documentada).
Esta no es, de ninguna forma, una lista definitiva de documentos y registros que se pueden utilizar durante la implementación de ISO 22301; la norma permite que se agregue cualquier otro documento que pueda mejorar el nivel de resistencia.
Documentos no obligatorios de uso frecuente.
Determinación del contexto de la organización (4.1)
En general, el contexto se determina a través de varios documentos; por ejemplo, el Procedimiento para identificación de requerimientos, la Política de continuidad del negocio, la Metodología de análisis de impactos en el negocio, la Metodología de evaluación de riesgos, etc.
En otras palabras, generalmente no se confecciona un único documento para determinar un contexto sino que se lo debe dejar plasmado a través de varios otros documentos.
Cómo estructurar los documentos y registros
Procedimiento para identificación de requerimientos legales y normativos aplicables y Lista de requisitos legales, normativos y de otra índole (4.2.2)

Este suele ser un procedimiento bastante corto que define quién es responsable del cumplimiento: ¿quién debe identificar todas las partes interesadas, quién tiene que respetar todas las leyes y normativas y demás requisitos de las partes interesadas, quiénes serán responsables de cumplir los requerimientos, cómo se comunicarán estos requerimientos, etc.

Este procedimiento, y el listado resultante, deben ser definidos bien al comienzo del proyecto, ya que proporcionará datos para todo el SGCN.
Cómo estructurar los documentos y registros
Alcance del SGCN y explicación de las exclusiones (4.3)

Este documento también es muy breve y debe ser confeccionado al inicio del proyecto de continuidad del negocio. Debe definir claramente a qué partes de su organización se aplicará el BCMS en base a las necesidades identificadas y a las pretensiones de la organización. También debe explicar los motivos por los que fueron excluidos del alcance algunas partes de su organización.

Muy a menudo, este documento se fusiona con la Política de continuidad del negocio.
Cómo estructurar los documentos y registros
Full transcript