ÍNDICE

1. Identificación del informe....................................................................................................2

1.1 Objetivo:.......................................................................................................................2
1.2 Metodología.................................................................................................................2
1.3 Identificación del cliente..............................................................................................2
1.4 Identificación de la entidad auditada...........................................................................2
1.5 Hallazgos potenciales...................................................................................................2
1.6 Alcance.........................................................................................................................3
2. Marco referencial.................................................................................................................3
3. Hallazgos positivos y Negativos de la auditoria....................................................................4
3.1 Diseño...........................................................................................................................4
3.2 Manuales......................................................................................................................4
3.3 Recursos de plataforma software.................................................................................4
3.4 Seguridad de la información.........................................................................................5
3.5 Redes............................................................................................................................5
3.6 Operaciones.................................................................................................................5
3.7 Plan de contingencia....................................................................................................6
4. Informe.................................................................................................................................6
4.1 Observación (con imágenes)........................................................................................6
5. Conclusiones........................................................................................................................8
6. Recomendaciones Generales...............................................................................................8

1
1. Identificación del informe:
1.1. Objetivo:
El objetivo de esta auditoría consiste en reportar el estado del área y las condiciones de los
equipos del área de informática de la Universidad Nacional Tecnológica de Lima
Sur(UNTELS), asimismo las licencias de los software que se encuentran instalados en los
equipos .

1.2.Metodologías:

Se realiza el siguiente procedimiento:

Evaluación

Consiste en analizar mediante pruebas la calidad y cumplimiento de funciones, actividades y

procedimientos que se realizan en una organización o área.

Inspección

La inspección permite evaluar la eficiencia y eficacia del sistema, en cuanto a operación y

procesamiento de datos para reducir los riesgos y unificar el trabajo hasta finalizarlo. La
inspección se realiza a cualquiera de las actividades, operaciones y componentes que rodean
los sistemas.

Confirmación

El aspecto más importante en la auditoria es la confirmación de los hechos y la certificación de

los datos que se obtienen en la revisión, ya que el resultado final de la auditoria es la emisión
de un dictamen donde el auditor expone sus opiniones, este informe es aceptado siempre y
cuando los datos sean veraces y confiables.

1.3.Identificación del cliente:

El cliente al cual se le realiza la siguiente auditoría son los usuarios de los equipos de la
Universidad Nacional Tecnológica de Lima Sur.

1.4. Identificación de la entidad auditada:

La entidad auditada para la realización de este trabajo es el encargado del área de

informática,debido a que posee la responsabilidad del área de informática.

1.5.Hallazgos potenciales:

En la revisión que se realizó de forma presencial, se obtuvo los siguientes puntos:

-Los cables de red que se poseen en el área donde se ubican usuarios (denominado como
Laboratorio), poseen cables que se encuentran expuestos.

-De la cantidad total de equipos presentes en el “laboratorio”, existen equipos con periféricos
dañados además de equipos en mal funcionamiento.

-De la cantidad total de tomacorrientes que posee el laboratorio , un porcentaje de estos no

poseen un mal estado.

-De la cantidad total de equipos revisados, se puede observar que un gran porcentaje de estos
poseen software no originales.

2
-En un análisis de compartimiento de información de un “laboratorio”, un porcentaje de estos
posee problemas para el acceso de esta.

-En el análisis de los usuarios haciendo uso de los equipos se observo que el tráfico de red
estaba limitado, causando problemas con la búsqueda de información.

1.6. Alcance

El presente informe corresponde al período comprendido hasta el 22/05/20 ,usando los

estándares ISO además de herramientas de inspección, evaluación y confirmación, hacia la
Universidad Nacional Tecnológica de Lima Sur

2. Marco Referencial

Para la presente auditoría se basará en las siguientes normas:

• ISO 27000: es un conjunto de estándares internacionales sobre la Seguridad de la

Información. Contiene un conjunto de buenas prácticas para el establecimiento,
implementación, mantenimiento y mejora de Sistemas de Gestión de la Seguridad de
la Información.

• ISO 27002: se trata de una recopilación de buenas prácticas para la Seguridad de la

Información que describe los controles y objetivos de control. Actualmente cuentan
con 14 dominios, 35 objetivos de control y 114 controles.

• ISO 27004: describe una serie de recomendaciones sobre cómo realizar mediciones

para la gestión de la Seguridad de la Información. Especifica cómo configurar métricas,
qué medir, con qué frecuencia, cómo medirlo y la forma de conseguir objetivos.

• ISO 27005: es una guía de recomendaciones sobre cómo abordar la gestión de riesgos
de seguridad de la información que puedan comprometer a las organizaciones. No
especifica ninguna metodología de análisis y gestión de riesgos concreta, pero incluye
ejemplos de posibles amenazas, vulnerabilidades e impactos.

3
3. Hallazgos positivos y negativos de la auditoría:

3.1. Diseño: Esquema base de la zona revisada

4 equipos 4 equipos
4 equipos

1 equipo

Puerta de

4 equipos
4 equipos 4 equipos

3.2.Manuales:

Los manuales que se obtuvieron contenían información y normativas en caso de cambios de

equipos, mantenimiento de estos y sobre el uso referido a esto.

3.3.Recursos de la plataforma software:

-Posee una estructura de seguridad debido al control de ingreso que poseen, que es de tipo
biométrico.

4
-Los equipos de computo poseen un seguro hecho de metal, lo cual evita que se extraiga del
lugar.

3.4.Seguridad de información.

Se realizó distintos casos de prueba, asegurando que la información se encuentra solamente

compartida dentro de la institución.

3.5.Redes:

El diseño de redes está establecido de la siguiente manera:

Cable de red

SWITCH

3.6.Operaciones

Las operaciones realizadas durantes la ejecución de la auditoría para la obtención de

información fue realizar :

*Prueba del equipo:

-Conexión a una fuente eléctrica.

-Prender el equipo

*Manejo de la red compartiendo archivos

-Creación de un archivo

5
-Subir un archivo hacia la carpeta destino “Compartido”

*Búsqueda de información

-Se realizó la búsqueda en Google

-El tiempo de espera es demasiado extenso o es interrumpido por “Fortinet”

3.7.Plan de contingencia:

El plan de contingencia presentado fueron sobre:

-Caso de Terremotos.

-Caso de cortocircuito.

-Caso de incendio.

4.Informe:

4.1.Observaciones:

Se muestran las pruebas pertinentes al proceso de auditoría, que consistieron en la

verificación de la seguridad del área, de equipos, estado de los equipos, red, software.

-Seguridad del área: Posee un equipo biométrico, que posee registrado docentes y personal de
informática.

-Seguridad de los equipos:Posee cubierta metálica, que está sellada con un candado para
evitar la extracción del equipo.

6
-Estado de los equipos: Los equipos se encontraban en su gran mayoría en buen estado, pero
los periféricos estaban dañados.

-Red limitada: La red se encontraba limitada en la búsqueda por Fortinet.

-Software: Se encontró rastros de licencias activadas de manera no formal.

7
5.Conclusiones:

-La entidad auditada posee seguridad sobre la infraestructura estudiada.

-Los equipos dañados, reducen la calidad ofrrecida hacia los clientes (Docentes y alumnos), se
recomienda cambiar los equipos dañados.

-La entidad auditada posee Software que no ha sido conseguido de la forma estándar, se
recomienda cambiar esto por los originales

-La limitación de la red posee defectos en algunos usuarios(docentes y alumnos) debido al uso
que se le da.

6.Recomendaciones:

-Se recomienda dar un mejor mantenimiento a los contenedores de equipos de computo.

-Se recomienda cambiar los equipos dañados.

-Se recomienda cambiar los software por los software originales

-Se recomienda gestionar mejor la limitación de la red, debido al uso que se da.