AUDITORIA A LOS SISTEMAS DE INFORMACIÓN DEL VICEMINISTERIO

DE VIVIENDAS

1.-Fases de la auditoria

1.1 Sujeto de Auditoría

Áreas relacionadas al manejo de la Información

1.2. Objetivo de auditoría

 Identificar las vulnerabilidades y amenazas existentes en la
organización, relacionados con las tecnologías de Información
 Evaluar los riesgos que enfrenta la organización.
 Identificar requisitos externos legales, normativos, reglamentarios y
contractuales.
 Identificar requisitos internos, principios objetivos y requisitos para el
procesamiento de la información que ha desarrollado la organización.
 identificar el nivel de madurez existente para proteger la información
registrada independientemente del lugar en que se localice.

1.3. Alcance de auditoria

Identificar los sistemas de información manejadas en el Viceministerio de Viviendas

1.4. Ubicación de instalación a ser auditada

Calles Yanacocha Esq. Mercado La Paz- Bolivia

2.- Recopilación de la información

Métodos de auditoria.- Norma 17799, COBIT V.04, muestreo aleatorio simple

en para la recopilación de datos.

Personas entrevistadas.-

 Responsable de Sistemas Informáticos: Ing. Ivan Flores

 Directores de las Diferentes Áreas:
 Director Presupuesto y Tesoreria: Lic Carlos Gardeazabal
 Director General de Asuntos administrativos: Lic. Rocio Monrroy

SITUACION ACTUAL

El área de cómputo e informática orgánicamente depende de la

oficina de planificación y presupuesto, asumiendo la responsabilidad de
dirigir los procesos técnicos de informática
Recursos Humanos:

Actualmente en el área de cómputo e informática labora una sola persona

quien cumple las funciones de administración, capacitación, soporte y
procesamiento de datos.

Recursos informáticos existentes:

Servidores (Windows 2003 Server) 3

Computadoras Personales 20
5
Impresoras

Organigrama de la Institución:
Ley 1178, que tiene como aspectos fundamentales:

 Lograr la Administración eficaz y eficiente de los recursos públicos

 Generar información que muestre con transparencia la gestión
 Logar que todo servidor público asuma plena responsabilidad por el
desempeño de sus funciones, Responsabilidad pública.
 Desarrollar la Capacidad de administración del sector público
 También se puede mencionar su reglamento interno.

Introducción

Este documento se basa en la principal norma de Evaluación e Implementación de

medidas de Seguridad en Tecnologías de la Información, que es la NORMA ISO
17799. Que tiene
CONTROLES que conforman cada uno de los 10 DOMINIOS de la ISO17799.:

1. Política de Seguridad

2. Organización de Seguridad

3. Clasificación y Control de Activos

4. Aspectos humanos de la seguridad

5. Seguridad Física y Ambiental

6. Gestión de Comunicaciones y Operaciones

7. Sistema de Control de Accesos

8. Desarrollo y Mantenimiento de Sistemas

9. Plan de Continuidad del Negocio

10. Cumplimiento

Ubicaremos algunos dominios en un nivel de madurez De acuerdo a COBIT.

DOMINIO 1 POLÍTICA DE SEGURIDAD

El nivel gerencial tiene establecido una dirección política que aun no es muy
clara, se demuestra interés con respecto a la seguridad de la información. Pero aun no
tiene definido el grado de compromiso con las políticas de seguridad.

DOMINIO 2 ORGANIZACIÓN DE LA SEGURIDAD

2.1 Infraestructura de seguridad de la información

Debe establecerse un marco gerencial para iniciar y controlar la

implementación de la seguridad de la información dentro de la organización, a
fin de aprobar la política de seguridad de la información, asignar funciones de
seguridad y coordinar la implementación de la seguridad en toda la organización.

2.2 Seguridad frente al acceso por parte de terceros

Se Mantiene la seguridad de las instalaciones de procesamiento de información y de

los recursos de información de la organización a los que con control acceden
terceras partes.

2.3 Tercerización

Mantener la seguridad de la información cuando la responsabilidad por el

procesamiento de la misma fue delegada a otra organización.
3 CLASIFICACIÓN Y CONTROL DE ACTIVOS

3.1 Responsabilidad por rendición de cuentas de los activos

Mantiene una adecuada protección de los activos relacionados con la

información en la organización.

3.2 Clasificación de la información

El nivel de madurez de este dominio esta en 5 ya que se garantiza que los

recursos de información reciban un apropiado nivel de protección.

4 SEGURIDAD DEL PERSONAL

4.1 Seguridad en la definición de puestos de trabajo y la asignación de

recursos

El nivel de madurez de este dominio esta en 2 ya que no se puede aun controlar los
riesgos de error humano, robo, fraude o uso inadecuado de instalaciones.

4.2 Capacitación del usuario

El nivel de madurez de este dominio esta en 3 ya que se encuentra en proceso el

proyecto de garantizar que los usuarios conozca las amenazas y sus responsabilidades
en materia de seguridad de la información en el transcurso de sus tareas normales.

4.3 Respuesta a incidentes y anomalías en materia de seguridad

El nivel de madurez de este dominio esta en 4 ya que se esta en proceso de

implementar políticas que intentan minimizar el daño producido por incidentes y
anomalías en materia de seguridad, y monitorear dichos incidentes y aprender de los
mismos.

5 SEGURIDAD FÍSICA Y AMBIENTAL

5.1 Áreas seguras

El nivel de madurez de este dominio esta en 5 ya que se impide de manera eficaz los
accesos no autorizados, daños e interferencia a las sedes e información de la empresa.
Por que se cuenta con guardias en la puerta de ingreso la institución y a Sistemas.
 5.2 Seguridad del equipamiento

El nivel de madurez de este dominio esta en 3 ya que no se puede por completo

impedir pérdidas, daños o exposiciones al riesgo de los activos e interrupción de las
actividades de la empresa.

5.3 Controles generales

El nivel de madurez de este dominio esta en 5 ya que se impide la exposición al

riesgo o robo de la información o de las instalaciones de procesamiento de la
misma.

6 GESTIÓN DE COMUNICACIONES Y OPERACIONES

6.1 Procedimientos y responsabilidades operativas

El nivel de madurez de este dominio esta en 4 ya que se Garantiza el

funcionamiento correcto y seguro de las instalaciones de procesamiento de la
información, aunque aun le faltan normas y procedimientos que certifiquen esto.

6.2 Planificación y aprobación de sistemas

El nivel de madurez de este dominio esta en 3 ya que aun no se minimiza el riesgo de

fallas en los sistemas.

6.3 Protección contra software malicioso

El nivel de madurez de este dominio esta en 1 ya que no se Protege la

integridad del software y la información. Por que no se cuenta con un software
legal.

6.4 Mantenimiento

El nivel de madurez de este dominio esta en 5 ya que mantienela integridad

y disponibilidad de los servicios de procesamiento y comunicación de información.

6.5 Administración de la red

El nivel de madurez de este dominio esta en 4 ya que se Garantizar la seguridad

de la información en las redes y la protección de la infraestructura de apoyo.

6.6 Administración y seguridad de los medios de almacenamiento

El nivel de madurez de este dominio esta en 3 ya que los medios de almacenamiento

deben ser controlados y protegidos lógica y físicamente.
 6.7 Intercambios de información y software

Impedir la pérdida, modificación o uso inadecuado de la información que

intercambian las organizaciones.

7 CONTROL DE ACCESOS

7.1 Requerimientos de negocio para el control de accesos

Existe un nivel de madurez 4 en el control al acceso de información.

7.2 Administración de accesos de usuarios

Existe un nivel de madurez 4 en el acceso no autorizado a los sistemas de

información.

7.3 Responsabilidades del usuario

Existe un nivel de madurez 5 al Impedir el acceso a usuarios no autorizados

7.4 Control de acceso a la red

Existe un nivel de madurez 4 en la protección de los servicios de red ya que el Data

center compuesto por un UPS y un rack se encuentran en un ambiente compartido,
pero aislado con mamparas, donde solo 2 personas tiene acceso a este ambiente, el
encargado de soporte técnico y el encargado de servicios generales, esto en la parte
física de la red, pero en cuanto a la parte lógica existe la posibilidad de ingresos a
equipos a los cuales determinados usuarios no deberían tener acceso.

7.5 Control de acceso al sistema operativo

Existe un nivel de madurez de nivel 5, ya que existen cuentas de usuario para cada
usuario lo cual impide el acceso no autorizado a los recursos informáticos.

7.6 Control de acceso a las aplicaciones

Existe un nivel de madurez de nivel 5, ya que existen cuentas de usuario que impiden
el acceso no autorizado a la información contenida en los sistemas de información.
Además de existir niveles de administrador y usuario.

7.7 Monitoreo del acceso y uso de los sistemas

Existe un nivel de madurez de nivel 4, ya que en las aplicaciones existen logs que
registran al usuario que realiza los cambio y la hora en que lo realiza, pero no existe
este mismo monitoreo en el acceso a la red.
 7.8 Computación móvil y trabajo remoto

Existe un nivel de madurez de nivel 5, ya que se garantizar la seguridad de la información

cuando se utiliza computación móvil e instalaciones de trabajo remotas, por el control de
IP estáticas y con llave en la red inalámbrica.

8 DESARROLLO Y MANTENIMIENTO DE SISTEMAS

8.1 Requerimientos de seguridad de los sistemas

Existe un nivel de madurez de nivel 4. ya que se garantiza que la seguridad es incorporada

a los sistemas de información.

8.2 Seguridad en los sistemas de aplicación

El nivel de madurez de este dominio esta en 5 ya que se Previene la

pérdida, modificaciones o uso inadecuado de los datos del usuario en los
sistemas de aplicación. Con la creación de logs.

8.3 Controles criptográficos

El nivel de madurez de este dominio esta en 3 ya que se tiene protocolos en el servidor

que están abiertos a los ataques, por lo que es dificultoso proteger la
confidencialidad, autenticidad o integridad de la información a través del uso de
técnicas criptográficas.

8.4 Seguridad de los archivos del sistema

El nivel de madurez de este dominio esta en 3 ya que se Garantiza con ciertas

restricciones que los proyectos y actividades de soporte de TI se lleven a cabo de manera
segura.

8.5 Seguridad de los procesos de desarrollo y soporte

El nivel de madurez de este dominio esta en 4 ya que se tiene políticas (no plasmadas en
papel) para mantener la seguridad del software y la información del sistema de
aplicación en los distintos entornos de los proyectos y sistemas.
9 ADMINISTRACIÓN DE LA CONTINUIDAD DE LOS NEGOCIOS

9.1 Aspectos de la administración de la continuidad de los negocios

El nivel de madurez de este dominio esta en 2 ya que no existen planes de

contingencia para contrarrestar las interrupciones de las actividades comerciales y
proteger los procesos críticos de los negocios de los efectos de fallas significativa o
desastres.

10 CUMPLIMIENTO

10.1 Cumplimiento de requisitos legales

El nivel de madurez de este dominio esta en 4 ya que se impide las

infracciones y
violaciones de las leyes del derecho civil y penal; de las obligaciones
establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos
de seguridad.

10.2 Revisiones de la política de seguridad y la compatibilidad técnica

El nivel de madurez de este dominio esta en 2 ya que aun no se Garantiza la

compatibilidad de los sistemas con las políticas y estándares (normas) de seguridad de la
organización. Por la utilización de sistemas de aplicación no compatibles.

10.3 Consideraciones de auditoria de sistemas

El nivel de madurez de este dominio esta en 4 ya que se Optimiza la eficacia del proceso
de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los
obstáculos que pudieran afectarlo.

11 VULNERABILIDADES

Fallas publicadas de los sistemas operativos y las aplicaciones no

reparadas pueden representar accesos indebidos a los equipos. Son entradas
usadas por hackers y virus. Ubicación insegura de documentos, equipos o
personas. Estructura organizacional que no permita los cambios en materia de
seguridad.
IDENTIFICACIÓN DE AMENAZAS, RIESGOS Y
VULNERABILIDADES DE LA INFORMACIÓN

VULNERABILIDAD DESCRIPCIÓN

Física Disposición desorganizada de cables de

energía y de red.

Disposición inadecuada del Rack. Ya que

el
ambiente carece de pisos y pareces falsas,
y refrigeración inadecuada.

Natural Infraestructura incapaz de resistir a las

manifestaciones de la naturaleza
como terremotos, inundaciones, etc.

Conservación inadecuada de los servidores.

De Hardware El hardware utilizado en la red no
está correctamente dimensionado
para sus funciones.

De Software La configuración de los servidores permiten

la ejecución de códigos maliciosos.

La configuración del Proxy permite el uso

indiscriminado del protocolo SMTP.

Ausencia de parches de Windows XP en

30%
de los equipos de computación
De medios de Almacenaje No existen

De Comunicación La calidad del ambiente que fue preparado

para el tránsito, tratamiento,
almacenamiento
y lectura de la información, no es la

Reconocimos como ejemplo algunas vulnerabilidades para permitir tener una idea
mucho más clara de los riesgos a los que se enfrenta la institución.
RIESGOS

El riesgo es la probabilidad de que las amenazas exploten los puntos

débiles (Vulnerabilidades), causando pérdidas o daños a los activos e impactos al
negocio, es decir, afectando: La confidencialidad, la integridad y la disponibilidad
de la información.

RECOMENDACIONES

Uno de los primeros pasos para la implementación de la seguridad es rastrear y

eliminar los puntos débiles de las tecnologías de información por lo que se
recomienda:

 La creación de estándares, políticas, procedimientos relacionada con la

seguridad de la información, orientadas hacia la eliminación de las
vulnerabilidades, para evitar o reducir la posibilidad que las potenciales
amenazas se concreten en el ambiente que se quiere proteger. Políticas
que tengan como principal objetivo es garantizar el éxito de la
comunicación segura, con información disponible, íntegra y confidencial.

 Con la aclaración de que antes de la definición de las medidas de

seguridad a ser adoptadas, se deberá conocer el ambiente en sus mínimos
detalles, buscando los puntos débiles existentes, ya que los mencionados
simplemente son una pauta para el inicio de esta actividad.

 A partir de este conocimiento de las vulnerabilidades se deben tomar las

medidas o acciones de seguridad que pueden ser de índole.

 La alta dirección de la organización debe nombrar un comité de

planeación o dirección para supervisar la función de sistemas de
información y sus actividades. Un comité de dirección de alto nivel
para tecnología informática es un factor importante para asegurar que
el departamento de sistemas de información está en armonía con la
misión y objetivos de la organización. Comité sirve como una junta
general de revisión para los proyectos importantes de SI

 Con relación a la vulnerabilidad de tipo humano, que se tiene, se

recomienda:
 Trabajar en Políticas y procedimientos de seguridad
 Trabajar en normas sobre Violación de confidencialidad y
seguridad.
 Políticas de terminación de contrato (devolución de
llaves, identificadores, eliminación de cuentas,
notificación al resto del personal, entrevista, devolución de
 bienes).
 Beneficios a los empleados, es decir expectativas de la
compañía
 Adecuadas Políticas de vacaciones
 Reglas de sobre tiempo
 Empleo externo
 Evaluaciones de desempeño
 Procedimientos de emergencia
 Acciones disciplinarias
 Ausencias excesivas
 Incumplimiento de políticas
 Rápido avance tecnológico (acceso a cursos)
 Entrenamiento cruzado
 Disminuir las dependencias (acceso a cursos)
 Sucesión de cargos (ausencias), continuidad a las operaciones

Preventivo: buscando evitar el surgimiento de nuevos puntos débiles y amenazas.

Ya que
en la institución se vienen implementando nuevas tecnologías de información
(redes inalámbricas y el uso indiscriminado de las mismas crea nuevas
vulnerabilidades,
Perceptivo: orientado hacia la revelación de actos que pongan en riesgo la
información Correctivo: orientado hacia la corrección de los problemas de
seguridad conforme su ocurrencia.

Cobit

Estrategia de Gestión
 Continuidad del servicio.
 Procedimientos de control de calidad del servicio

Creación de: Estrategia de los Sistemas de Información

 Revisar planes de largo y corto plazo para ver que concuerden con el
negocio
 Revisar y aprobar adquisiciones
 Aprobar y monitorear proyectos
 Elaborar, políticas, normas y procedimientos para los SI
 Enlace sistemas- otras áreas
 Planes de outsourcing
 Junta de revisión de los principales proyectos de SI
 Comité de Dirección