Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

AUDITORIA INFORMATICA

No description
by

Andres Aleman

on 1 May 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of AUDITORIA INFORMATICA


COORPORACION DINANT
DESCRIPCION DE LA EMPRESA
AUDITORIA DE LA DIRECCION
Verificación de existencia plan de contingencia
Verificación de existencia de Sitio Alterno
AUDITORIA FISICA EN DINANT

AUDITORIA DE APLICACIONES

AUDITORIA DE REDES
CONCLUSIONES
MISION
Producir más, con calidad y eficiencia para generar bienestar social y rentabilidad económica, procurando a la vez, mejorar nuestro medio ambiente.
HISTORIA
Esta empresa fue fundada en el año de 1960 por el Ingeniero Miguel Facusse Barjum, que concibió la idea de formar una empresa, cuya solidez contribuyera a la satisfacción de necesidades económicas y sociales de Honduras.
ORGANIGRAMA
ORGANIGRAMA IT
LAS INSTALACIONES
El departamento de IT está dividido en 5 aéreas:
1. Comunicaciones.
2. Proyectos.
3. Desarrollo.
4. Soporte técnico y Servidores.
5. Gerencia

EQUIPAMIENTO

INVENTARIO DE SOFTWARE EXISTENTE

IT cuenta con el paquete original de todas las aplicaciones de Microsoft como ser:
• Windows Servers.
• Windows XP, 7, 8
• Office
• Sharepoint
• Lync
• Project
• Visual
• SQL
• Visio

VERIFICACIÓN DE EXISTENCIA DE LICENCIAMIENTO
AUDITORIA DE UN SISTEMA DE LA EMPRESA
Manual de puestos de IT
Descripción de puestos
Planta Eléctrica
Corporación DINANT cuenta con un sitio alterno que está conformado por un grupo de Servers virtuales de ciertas aplicaciones ubicados en Grupo POPA.
INVENTARIO DE DISPOSITIVOS DE RED


VISION

Ser una compañía líder de clase mundial.










AUDITORIA INFORMATICA

P R O Y E C T O

EMPRESA D I N A N T

CATEDRATICO: Ingeniero Juan Carlos Inestroza
SECCION: 815
FECHA: 20 de Marzo del 2014

INTEGRANTES: CUENTA:
1. Andrés Francisco Alemán. 30921760
2. Edwyn Omar Pavón. 30951433
3. José Guadalupe Zuniga. 30811156
4. Manuel Alejandro Palma. 30741342
5. Nidia Arely Romero Oliva 30641038

Monitoreo Remoto de los Servidores y Centro de Trabajo
Ubicación del Centro de Datos
Piso Elevado o Cámara Plena


Aire Acondicionado
Mapa general de los enlaces en CA y RDO

Mapa de servidores físicos y virtuales del Datacenter

Rack de servidores y Comunicaciones
Área de colocación del extintor
Instalación Eléctrica y Suministro de Energía
SEÑALIZACION
En las instalaciones del departamento de IT se encontró una escasa señalización de prevención, detención, salvaguarda física y lógica relacionada a los Equipos de cómputo y Centro de Datos. Solamente estaba señalado el encendedor de la Luz dentro del Datacenter y donde están los Extinguidores que no estaban en el momento de la visita ya que los andaban cambiando.
LAS PERSONAS (Seguridad física personal)

Cada área de trabajo y desarrollo del departamento de IT tiene sus accesos de pasillos libres no hay cables donde puedan tropezarse o equipos mal colocados.
LOS AMBIENTES
(Ambiente de trabajo y desarrollo personal)


CONSOLIDADO

Puntos Fuertes
• Estructura a la vanguardia de la tecnología de la información. (Adquisición de hardware nuevo y actualizado).
• Se cuenta con tres SAN de suficiente capacidad para el almacenamiento de datos.
• En cuanto a los arreglos de Disco, la SAN y los servidores de SAP están en RAID50.
• Poseen dos enlaces de Internet dedicados, configurados en redundancias con
los proveedores Columbus (40 mb) y Tigo (20 mb)
• Existe control de acceso al Centro de Datos, a través de tarjetas magnéticas y claves de accesos.
• Existe un control de Bitácora del acceso al Centro de Datos.
• Sitio alterno ubicado en POPA.
• El Centro de Datos cuenta con piso falso.
• Se cuenta con una planta eléctrica, disponible las 24 horas.
• Existe redundancia en swichets, lo cual provee alta disponibilidad en los servidores de SAP y las SAN.
• Se cuenta con un cortafuego actualizado.
• Se cuenta con un anti spam.
• Se cuenta con una planta de telefonía IP CCM
• Se cuenta con un concentrador Cisco VPN
• Se cuenta con un Router de SIP TRUNK

Puntos Débiles
• Falta de Carteles de seguridad en cuanto al uso del Centro de Datos.
• Falta de señalización preventiva al acceso al cuarto de servidores.
• Desorden en el cableado de los servidores.
• Ineficiente control de temperatura en el Centro de Datos.
• Violación a los requerimientos establecidos en cuanto a invasión de personal dentro del área de los Centros de Datos.
• No se cuenta con aire de Precisión.
• El área en donde están las llaves de los equipos y bodega no se encuentran en un lugar protegido.
• Mala iluminación en el Data center.

Hallazgos
• Posee un sitio alterno de información ubicado en POPA.
• Tienen una planta eléctrica disponible las 24 horas del día.
• Se realizan respaldos de toda la información a cintas magnéticas.


Propuestas de Solución
• Compren aires de precisión.
• Coloquen carteles en cuanto a la seguridad del acceso al centro de cómputo,
la seguridad de los servidores, personal y demás equipos.
• Colocación del extintor en el lugar debido.
• Poner un controlador de temperatura aceptable.
• Reparar las lámparas que están en mal estado.
• Ordenar los cables en los servidores y los del piso falso.


Dentro del centro de datos todo el piso es elevado con espacios de aire acondicionado en excelente estado para mantener la temperatura adecuada en los servidores y espacio para el trazado del cableado.
Aire Acondicionado no son de precisión.
Así como la aplicación de su ERP que es SAP y los módulos que lo componen como ser:

• MM
• SD
• FI
• LETRA
• DSD
• ABAP
• BASIC

Dentro de la data center se encuentran dos bodegas y un área donde se encuentra la instalación eléctrica:
• Bodega de equipo eléctrico.
• Bodega de suministros
• Cajas y breakers (interruptores)

Sensores de humo
Control de alarma
Seguridad de Autorización de Accesos fuera y dentro del departamento de IT
Temperatura
Lámparas con baterías en caso de que la luz falle
Área de llaves
Se corroboró la existencia de las licencias que tuvimos acceso como ser:
• SAP
• McAfee
• Exactus

De las cuales no se nos permitió copia ni tomar foto de las mismas.

Se solicitó el acceso a una de sus aplicaciones, siendo esta la desarrollada internamente de nombre SICOM (Sistema de Combustible) de la cual obtuvimos la siguiente información:

Características:
 Reducción de costos de consumo de combustibles.
 Control total de suministros.
 Control de consumo por camión, tractor, etc.
 Seguridad, Facilidad de Uso.
 Otros.
 Mantener vigilado de forma permanente el consumo, mal uso e incluso las posibles fugas de combustible.
 Medir el rendimiento de horas/galones por cada equipo.
 Obtener reportes de consumo de combustibles por actividad, equipos, cultivos.
 Obtener los inventarios al día de las diferentes bodegas y cisternas.

CONSOLIDADO
Área de enlaces de Proveedores
Puntos fuertes
• El sistema evaluado es muy amigable y fácil de usar, a la vez muy importante
para el control de los combustibles.
• Cuentan con licenciamiento en sus aplicaciones.
• Buenos controles en cuanto al acceso a la información.
• Uso del directorio activo de su servidor de Dominio.
• Uso de DHCP y DNS
• Uso de perfiles de usuarios de acceso a la red y a las aplicaciones, principalmente a SAP y Exactus.
• Manejo de Políticas de Navegación de internet.
• Software de respaldos de la información como ser: Veeam y Symantec Exec
• Uso de VMWare para virtualización.
• Contratos de soporte con proveedores de las aplicaciones.
• Software de control remoto para soporte técnico.
• Aplicación de SAP actualizada a la versión ECC 6

Puntos Débiles
• Versión del Sistema Exactus obsoleto, actualmente usan la V.R3, y la última es la R7.
• No cuentan con un software de Help Desk, actualmente están evaluando y tienen en prueba
la adquisición de Panda Cloud Security Management así como KACE de Cisco.
• Falta de personal para el monitoreo y mantenimiento preventivo de las diferentes aplicaciones.
• Falta de cintas para mantener más respaldos de la información.
• No cuentan con un ambiente de pruebas.

Hallazgos
• Equipos con sistemas operativos Mac
• Servidores Web, CCM y Asterisk con Linux.
• Aplicaciones móviles compradas y algunas desarrolladas en Dinant.
• Personal especializado en los diferentes módulos de SAP.


Propuestas de solución



• Implementar un ambiente de pruebas de aplicaciones.
• Implementar un servidor de actualizaciones.
• Implementar y publicar políticas de seguridad informática.
• Mantener un banco de conocimientos especialmente sobre los módulos de SAP.
• Realizar un constante monitoreo de las aplicaciones existentes, al fin de encontrar vulnerabilidades y corregirlas.
• Capacitación continua al personal de IT.

La corporación DINANT cuenta con un departamento de recursos humanos, el cual dispone de un manual de puestos para el personal del área de IT que contiene el perfil, responsabilidades y funciones para dichos cargos.

Durante nuestra tercera visita a la corporación DINANT el departamento de recursos humanos
facilito el perfil de puestos de los empleados del área de IT.

Comprobamos la existencia de dicho manual de puestos y adjuntamos en este documento
los perfiles para el área de IT:

• Gerente de IT
• Jefe de comunicaciones
• Jefe de desarrollo de IT
• Jefe de HelpDesk y Servidores IT
• Jefe de Proyectos IT

El área de llaves se encuentra localizada dentro del data center.
Corporación DINANT no cuenta con un procedimiento formal donde se establezcan los mecanismos para la recuperación de información debidamente documentado.
Verificación de existencia de plan de recuperación ante desastres
RACK 1
Servidor de contingencias (redundancia con servidores de popa).
Servidor productivo de SAP.
2 servidores de dialogo de SAP.
Servidor de Backup.
Unidad de Backup cintas magnéticas.
2 servidores de virtualización en clúster.
2 SAN (1,2).
2 SWITCH en espejo para balanceo de carga de los servidores.
2 SWITCH en espejo para balanceo de carga de SAN.

Al verificar y al pedir evidencias físicas de un Plan de Recuperación de Desastres (DRP) hacemos constar por nuestra tercera visita que la Corporación Dinant no cuenta con un DRP.

Se puede definir que cuenta con un procedimiento informal pero si realizan prácticas operativas que garantizan la recuperación de datos, hardware y software.

RACK 2
SAN (N.3).
Servidor físico de dominio.
Servidor de aplicaciones de ventas.
Servidor Web.
2 Servidores de pruebas de SAP.
UPS.

RACK 3
SWITCH core principal.
2 Router Cisco Siptronk.
2 servidores cisco de telefonía IP en clúster MCS 7800.
Firewall WhachGuard.
Barracuda antispam.
2 servidores de SAP (pro y des) escuela del campo.
Router principal.
2 Router de telefonía de Hondutel.
Cisco VPN concentrador.

RACK 4
SWITCH de fibra de enlace de bodega de Tegucigalpa.
Equipo de comunicación escuela del campo.
2 SWITCH en balanceo de carga SAN (N.3).
SWITCH de conexiones de oficinas de IT.
SWITCH de proveedores.
Media Converte, enlace de todos los proveedores.

Para construir su Plan de Recuperación de Desastres damos las siguientes recomendaciones a la Corporación Dinant:

Levantar un inventario del equipo.
Revisar y analizar los sistemas críticos.
Determinar los tiempos críticos de las diferentes funciones del negocio.
Análisis del Sistema de Transaccional.
Revisión de control de operaciones.
Aplicación de la Norma ISO 27001.
Analizar eventos Inesperados.

CONSOLIDADO
Puntos Fuertes
• Existencia de un Manual de puestos detallado.
• Disponen de un sitio alterno.
• Cuentan con respaldos de la información.


Puntos Débiles
• No disponen de un Plan de continuidad del negocio (BCP) que este documentado.
• No cuentan con un Plan de recuperación ante Desastres (DRP) que este documentado.
• Falta de señalización.
• No realizan simulacros de emergencia en caso de desastre


Hallazgos
• Tienen aires acondicionados de respaldo.
• Planta de eléctrica

Propuestas de solución
• Primeramente todo proceso debe estar debidamente documentado, si bien corporación DINANT realiza mecanismos para garantizar su continuidad operativa y recuperarse en caso de un desastre es necesario que formalicen dichos procesos.
• Realizar un análisis de impacto del negocio (BIA) para obtener el costo que implica la suspensión de procesos de la corporación DINANT.

AUDITORIA INFORMATICA
Corporación Dinant tiene presencia en toda Centroamérica, El departamento de IT nos proporcionó un estimado de la cantidad de dispositivos que se encuentran distribuidos en todo CA y el Caribe.
También se nos proporción el detalle de todos los componentes que se encuentran en los diferentes RACKS del data center que se detallan a continuación.
También se proporcionó información acerca de la configuración de Switch y Routers del área de Tegucigalpa.
Switches y Routers de Oficinas en TGU
Parte de la configuración del Router R1
Parte de la configuración del CORE
Corporación Dinant tiene como proyecto realizar el inventario de hardware del equipo de cómputo mediante la impresión de etiquetas, en estos momentos identifican sus equipos mediante su número de serie a través de inventarios en Excel, el proyecto de inventario mediante etiquetas se encuentra planeado pero aún no se conoce la fecha en que se desarrollara.
La conexión entre los dispositivos es mediante cableado y wifi
• UTP Cat5 y 6
• Fibra Óptica
• Wifi 802.11


Dispositivos de red del área del centro de datos.

Configuración de Equipos de Redes Firewall, VPN, OPEN DNS y Barracuda Firewall:
Configuracion de rutas
Baracuda
VPN
DNS
EPO de McAfee
Consola de administración
Árbol de sistemas
Esta BD se tiene programado un Backup diario a las 12:01 am, pero en ocasiones hay solicitudes de respaldos en otras horas, esto porque los usuarios funcionales de esta aplicación realizan cierres u otras actividades, abajo detalle del proceso de esta solicitud.

Procedimiento de Transportes en SAP
Proceso:
1. El usuario de créditos solicita el cambio o cambios al analista funcional de SAP, en este caso un ejemplo de cambio de vendedores.
2. El analista funcional realiza los cambios en el mandante de desarrollo y crea la orden.
3. El analista funcional solicita al Basis de SAP, pasar esa orden al mandante de producción.
4. El Basis de SAP sigue la ruta de transporte pasándola del ambiente de desarrollo al de calidad, una vez hecho esto, avisa al analista funcional para que haga pruebas y verifique antes de pasarla a producción.

5. El analista funcional verifica y si todo está correcto, libera la orden en el ambiente de calidad e informa al Basis de SAP para que lo pase a Producción.
6. El Basis de SAP procede a liberar la orden en calidad y procede a pasarla a producción.

Procedimiento de Transportes en SAP
Server de DNS en TGU
Server de AD DC en TGU
INVENTARIO DE DIRECCIONAMIENTO IP
Server DHCP de TGU
Wifi Red 192.168.206.0/24
VERIFICACION DE EXISTENCIA POLITICA DE SEGURIDAD INFORMATICA
Verificación de utilización de estándares internacionales para regulación de tecnologías de la información. (ITIL, COBIT, PCI, ISO 27001, SOX, etc.)
Debido a la necesidad de mejorar los servicios que el área de IT brinda al personal se encuentran evaluando la herramienta Panda Cloud Systams Management que sigue lineamientos de ITIL la cual tiene un costo de 20000 dólares.
CONTROLES DE SEGURIDAD EN BASE DE DATOS
Uno de los servers de base de datos de TGU: Name = TGU-DB1
Respaldos de DB´s:
CONSOLIDADO
Puntos fuertes
• Red segmentada en VLAN
• Separación de la red WIFI de la red de producción
• Equipo de red Cisco
• Telefonía IP
• Existencia de SIP TRUNK (Telefonía Digital con TIGO y CLARO)
• Equipos de Marca Dell
• Políticas de Seguridad.
• Certificaciones internacionales.
• Respaldos de la información diaria.
• Sites externos de contingencia.
• Direccionamiento IP dinámico.
• Controles de Seguridad de Bases de Datos y aplicaciones.
• Manejo del Directorio Activo, DHCP, DNS.
• Centralización de inventarios de equipos.
• Consola EPO de antivirus, anti spam y DLP
• Firewall potente.
• Accesos a VPN
• Perfiles de acceso de usuarios de SAP
• Procesos de autorizaciones de accesos de internet, usuarios de SAP,
creaciones de usuarios del dominio, etc.
• Servidores de pruebas (Ambiente de Calidad) en SAP
• Uso de Exchange como servidor de correo.

Puntos débiles
• Carencia de ambiente de pruebas de sistemas Microsoft entre otros.
• Falta de actualizaciones físicas y software de las computadoras.
• Falta de documentación de diferentes procesos, como ser desarrollos internos
(Ejemplo SICOM=Sistema de Combustible desarrollado en Dinant) entre otros.
• Falta de certificaciones del departamento de IT como tal.
• Falta de personal especializado para las diferentes áreas de redes o infraestructura, ya que la administración se centraliza en una sola persona.


Hallazgos
Propuestas de solución
El departamento de tecnologías de Información de la empresa DINANT, cuenta con una amplia y moderna infraestructura en el Data Center, conocen lineamientos sobre normas a seguir para garantizar el mantenimiento de los equipos y accesos, algunos de los cuales son llevados a cabos, en cambio otros no, razón por lo cual concluimos que deben de adoptarse medidas preventivas y tomar un plan de acción inmediato, para garantizar la utilización máxima de los equipos, el ambiente de trabajo y la continuidad de la operación.
Referente al sistema que más evaluamos, en este caso SICOM, concluimos que este cuenta con una interfaz muy amigable y se adapta a las necesidades de la empresa.

Referente a las demás aplicaciones, vemos que la empresa DINANT está a la vanguardia del software, adquiriendo productos de muy alto prestigio en el mundo como ser SAP.


El departamento de IT de la empresa DINANT cuenta con personal calificado para cada labor encomendada, sin embargo, se deben de definir mejor los roles, principalmente en el caso de Infraestructura, donde una sola persona está cubriendo 3 puestos que son: Jefe de Help Desk y Servidores, DBA y Basis de SAP, y Jefe de Comunicaciones y Seguridad de la Red, dicha persona no se da abasto por lo tanto existen riesgos por falta de mantenimientos preventivos.

Proceso de Solicitudes de Backup manual de la BD de Agrícola Palmerola
• Data center cumple los requisitos de un tiers 2
Centro de datos Redundante
• Existe una insuficiencia de personal ya que la gestión de diversas tareas ha recaído a una sola persona.

Como recomendación Corporación Dinant puede certificar su red para verificar que la red posee los parámetros técnicos necesarios de normas internacionales. Esto les garantizara que la instalación fue realizada correctamente y asegurar futuras ampliaciones.
La Corporación DINANT cuenta con un data center que perfectamente cumple con los requisitos de un Tiers 2, posee redundancia en sus componentes, dispone de una red debidamente estructurada además ya tienen un presupuesto disponible para realizar mejoras en el data center para la organización de cableado y colocar tapaderas en los RACKS las cuales poseen llaves lo cual contribuye a la seguridad.
A lo largo de periodo podemos decir que la Corporación DINANT presto una disponibilidad total para el uso de la información requerida, plasmada en este informe como también del acceso al del departamento de TI según las visitas requeridas para llevar acabo la realización de la auditoria informática académica.
Dentro del conocimiento obtenido por la clase de auditoria informática y el conocimiento impartido por Ingeniero Juan Carlos Inestroza se realizó la inspección del centro de datos y los equipos de cómputo de TI y las herramientas utilizadas por el mismo.
Le damos las gracias a Corporación DINANT por la atención y la información brinda para fines académicos y al Ingeniero Juan Carlos Inestroza por la supervisión y retroalimentación del conocimiento de la información levantada para el presente informe.

GRACIAS POR SU VALIOSA A TENCION
Full transcript