Trabajo Practico 2

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar INTRODUCCIN
14.797.652
Pg. 1/49
La auditoria informtica es de suma importancia dentro de las organizaciones hoy en da, ya que a travs de ella se pueden determinar errores que se pueden corregir a tiempo siguiendo ciertos lineamientos o recomendaciones. Ya sean en el mbito de la seguridad indispensable tanto para los equipos como para la informacin; el control de acceso fundamental para evitar fugas de informacin. En el mbito o factor humano que es lo ms importante dentro de las organizaciones as como su capacitacin constante. Como la informacin es de vital importancia y constituye una herramienta poderosa para la toma de decisiones que se ve reflejada en la obtencin de los resultados que espera la organizacin, se ha desarrollado una auditoria informtica para la empresa TELVEN con el fin de verificar la existencia de controles en reas importantes y vitales como la explotacin, la calidad, la Base de datos y el sistema fsico y/o lgico de la red. Los resultados de dicha evolucin con sus respectivos informes particulares para cada auditoria as como el informe final de la auditoria, se encuentran reflejados en el presente informe de la siguiente manera: objetivo 7 auditoria de la explotacin y de la calidad; objetivo 8 auditoria de la base de datos, auditoria del sistema fsico y/o lgico de la red; objetivo 9 informe final de la auditoria informtica y los principios deontolgicos presentes tanto en el auditor, en el informe, como tambin en el Sistema. De esta manera a futuro si se cumplen con los lineamientos dados en las auditorias se obtendrn sistemas que no van a necesitar mantenimiento excesivo, y el computo va hacer parte de la solucin y no del problema como ocurre en muchos casos.
wuilane_sequera@hotmail.com Sistemas de Informacin III 338
TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar
14.797.652
Pg. 2/49
TABLA DE CONTENIDO Portada... Introduccin... Tabla de Contenido........................................................ OBJETIVO 7...... Auditoria de la Explotacin... Informe de la Auditoria de la Explotacin. Auditoria de la Calidad...... Informe de la Auditoria de la Calidad OBJETIVO 8.. Auditoria de la Base de Datos Informe de la Auditoria de la Base de Datos. Auditoria del Sistema fsico y/o lgico de la red... Auditoria de la red Fsica...... Auditoria de la red Lgica......... reas criticas de redes reas criticas de seguridad........ Informe de la auditoria del sistema fsico y/o lgico de la red.. OBJETIVO 9.. Informe Final de la Auditoria Informtica. Principios deontolgicos presentes Principios deontolgicos presentes en el auditor... Principios deontolgicos presentes en el informe.. Principios deontolgicos presentes en el Sistema...... APNDICE.... Grafico 1................................ Grafico 2................................ Grafico 3................................ Grafico 4 Y 5......................... Grafico 6................................ Grafico 7 Y 8.......................... Grafico 9 y 10........................ ANEXOS... La organizacin...... Sistema de Consignacin de equipos SICOE BIBLIOGRAFIA...
Pg. 1 2 4 4 7 9 10 11 11 13 15 16 18 21 24 28 30 30 35 35 35 36 37 38 39 40 41 42 43 44 45 46 47 49
14.797.652
Pg. 3/49
OBJETIVO # 7 AUDITORIA DE LA EXPLOTACIN 1. Alcance de la auditoria a. Esta auditoria comprende el sistema de informacin (Sistema para la consignacin de equipos SICOE), desarrollado para la empresa de TELVEN, con respecto al cumplimiento del proceso Gestin de la explotacin de la norma COBIT b. Evaluacin del personal y coherencia de cargos de la propia institucin c. Normas y Procedimientos del rea de informtica 2. Objetivos Realizar un informe de Auditoria con el objeto de verificar la adecuacin de las funciones que sirven de apoyo a los sistemas de informacin Cliente: TELVEN Fecha de Auditoria: 22/04/2008 wuilane_sequera@hotmail.com Sistemas de Informacin III 338
TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar Dominio: Suministro y Mantenimiento Proceso: Gestin de la Explotacin Ttulo: Cuestionario de Control Interno Controles sobre la explotacin del servicio de Si Informacin 1. Existen normas y procedimientos escritos sobre el funcionamiento del servicio de informacin? 2. El Servicio de Informacin, esta separado del resto de los departamentos? 3. Es adecuada la segregacin de funciones entre el servicio de Informacin y los departamentos de Usuarios? 4. El personal de explotacin participa en funciones de anlisis y desarrollo de aplicaciones? 5. Existe Organigrama del funcionamiento del servicio de Informacin? 6. Se describen con detalle las funciones y responsabilidades del personal? 7. El personal de Explotacin Conoce Perfectamente cuales son sus funciones y sus responsabilidades? 8. Es imposible que los operadores accedan a programas y datos no necesarios para su trabajo? 9. Se rotan las asignaciones de trabajo de los operadores? 10. Existen normas de cmo deben hacerse los cambios de turno para que exista la seguridad de que las aplicaciones continan su proceso? 11. Existe Personal con conocimientos y experiencia suficiente que organiza el trabajo para que resulte lo ms eficaz posible? 12. Existen procedimientos de salvaguarda, fuera de la instalacin, en relacin con ficheros maestros, manuales y programas, que permitan reconstruir las operaciones que sean necesarias? 13. Se aprueban por personal autorizado las solicitudes de nuevas aplicaciones? 14. Existe personal con autoridad suficiente que es el que aprueba los cambios de unas aplicaciones por otras? 15. Existen procedimientos adecuados para mantener la documentacin al da? 16. Tienen manuales todas las aplicaciones? 17. Existen controles que garanticen el uso
14.797.652
Pg. 4/49
No
N/A
Observaciones
TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar adecuado de discos y cintas? 18. Existen procedimientos adecuados para conectarse y desconectarse de los equipos remotos? 19. Se aprueban los programas nuevos y los que se revisan antes de ponerlos en funcionamiento? 20. Participan los departamentos de usuarios en la evaluacin de los datos de prueba? 21. Revisan y evalan los departamentos de usuarios los resultados de las pruebas finales dando su aprobacin antes de poner en funcionamiento las aplicaciones? 22. Al poner en funcionamiento nuevas aplicaciones o versiones actualizadas, Funcionan en paralelo las existentes durante un cierto tiempo? 23. Se comprueban los resultados con datos reales? 24. Existe personal con los conocimientos y experiencia adecuados que revisa con periodicidad los componentes fsicos de los equipos siguiendo las instrucciones de los fabricantes? 25. Se cumplen las condiciones ambientales: temperatura, humedad, etc., que recomienda el fabricante para el equipo, cintas, etc.? 26. Existen controles apropiados para que slo las personas autorizadas tengan acceso a los equipos, cintas, discos, documentacin de programas, etc.? 27. Existen normas sobre horas extras y se controlan las entradas y salidas del personal fuera de su horario de trabajo? 28. Se tiene relacin del personal autorizado para firmar la salida de archivos confidenciales? 29. Existe un procedimiento para registrar los equipos que se prestan y la fecha en que se devolvern? 30. En los procesos que manejan archivos en lnea, Existen procedimientos para recuperar los archivos? 31. Estos procedimientos los conocen los operadores? 32. Existe un responsable en caso de falla? 33. Existe un procedimiento escrito que indique como tratar la informacin invalida (sin firma ilegible)?
14.797.652
Pg. 5/49
TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar 34. En caso de resguardo de informacin de entrada de sistemas, Se custodian en un lugar seguro? 35. Existe un registro de anomalas? 36. Se aprovecha adecuadamente el papel de los listados inservibles?
14.797.652
Pg. 6/49
INFORME DE AUDITORIA 1. Identificacin del Informe Auditoria de la Explotacin 2. Identificacin del Cliente rea de Informtica Sistema para la consignacin de equipos SICOE 3. Identificacin de la Entidad Auditada Entidad Auditada: TELVEN 4. Norma Aplicada: wuilane_sequera@hotmail.com Sistemas de Informacin III 338
14.797.652
Pg. 7/49
COBIT, especficamente el proceso de TI 3.13 Gestin de la Explotacin, perteneciente al dominio Suministro y Mantenimiento 5. Objetivos de la Auditoria a. Verificar la existencia de normas generales escritas para el personal de explotacin en lo que se refiere a sus funciones. b. Verificar la realizacin de muestreos selectivos de la documentacin de las aplicaciones explotadas c. Verificar la existencia de un responsable de sala. d. Revisar la adecuacin de los locales en que se almacenan cintas y discos, as como la perfecta y visible identificacin de estos medios. 6. Hallazgos Potenciales a. El sistema referido SICOE no contempla las interfaces con los sistemas de inventario y ventas, es decir no estn enlazados, lo cual ocasiona una recarga en las labores que realiza el personal de la OAC, y una inconsistencia en los datos que albergan los sistemas debido a las actualizaciones rezagadas. b. El sistema de inventario no refleja con precisin los equipos y accesorios disponibles ya que la desincorporacin e incorporacin de equipos se efecta en diferido. c. Inexistencia y falta de uso de los manuales de operacin d. Falta de planes de Formacin e. No existe programas de capacitacin y actualizacin al personal 7. Conclusiones El rea de informtica presenta deficiencias con respecto a las normas COBIT en cuanto al proceso de Gestin de Explotacin en los siguientes aspectos: 1. Manuales de procedimientos de las operaciones 2. documentacin de los procesos puestos en marcha 3. planificacin del trabajo del personal, sobre todo en el debido cumplimiento de sus funciones y por la falta de ellas. 4. Registro del suceso del sistema
8. Recomendaciones Por lo tanto, podemos especificar que para que la empresa TELVEN cumpla con las normas COBIT en cuanto al proceso de Gestin de la explotacin deber: a. Crear y hacer uso de manuales de operacin de manera que los empleados puedan identificar cuales son las tareas que deben realizar de acuerdo a su puesto y funciones b. Disear y establecer procedimientos para salvaguardar informacin fuera del rea donde se encuentra el sistema c. Disear y establecer procedimientos para recuperar informacin d. Llevar los registros de las anomalas presentadas e. Proporcionar entrenamiento al personal de manera de tener al personal capacitado y actualizado
TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar 9. Fecha del Informe PLANEAMIENTO FECHAS 10. Identificacin y Firma del Auditor APELLIDOS Y NOMBRES
14.797.652
Pg. 8/49
EJECUCION
INFORME
CARGO
AUDITORIA DE CALIDAD 1. Objetivos : a. Verificar los procesos aplicables en cada programa, la calidad para los cuales han sido desarrollados y documentados b. Evaluar la capacidad de realizar un trabajo Lista de Control PREGUNTAS Se refleja el software codificado tal como en el diseo en la documentacin? SI NO N/A
TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar Fueron probados con xito los productos de software usados en el centro de cmputo? Se cumplen las especificaciones de la documentacin del usuario del software? Los procesos de gestin administrativa aplicados en el rea de informtica de la institucin son lo suficientemente ptimos? El funcionamiento del software dentro del rea de trabajo est de acuerdo con los requerimientos especficos? Los documentos de gestin administrativa se cumplen satisfactoriamente en el rea de cmputo? Los productos de software que utilizan en el rea de informtica esta de acuerdo con los estndares establecidos? Los dispositivos de trabajo en el rea de informtica se les realizan una revisin tcnica correcta? Los costos fijados en la revisin tcnica se encuentran dentro de los lmites fijados?
14.797.652
Pg. 9/49
INFORME DE AUDITORIA 1. Identificacin del Informe Auditoria de Calidad 2. Identificacin del Cliente rea de Informtica Sistema para la consignacin de equipos SICOE 3. Identificacin de la Entidad Auditada Entidad Auditada: TELVEN 4. Objetivos de la Auditoria wuilane_sequera@hotmail.com Sistemas de Informacin III 338
14.797.652
Pg. 10/49
a. verificar la calidad del servicio que ofrece el software b. Revisar que el equipo utilizado tiene suficiente poder de procesamiento y velocidad en red para optimizar el desempeo de la organizacin c. Evaluar el Software 5. Hallazgos Potenciales a. Los procesos de gestin administrativa aplicados en el rea de informtica de la institucin no son lo suficientemente ptimos b. Los documentos de gestin administrativa no se cumplen satisfactoriamente en el rea de cmputo 6. Conclusiones Como resultado de la auditoria podemos manifestar que el rea de informtica presenta deficiencias sobre todo con el debido cumplimiento de normas de seguridad de datos y administracin de la Base de datos con respecto a calidad 7. Recomendaciones a. Fijar limites reales en cuanto a los costos por conceptos de revisin tcnica b. Realizar la respectiva y correcta revisin tcnica a los dispositivos de trabajo en el rea de informtica 8. Fecha del Informe PLANEAMIENTO FECHAS 9. Identificacin y Firma del Auditor APELLIDOS Y NOMBRES CARGO EJECUCION INFORME
OBJETIVO # 8 AUDITORIA DE LA BASE DE DATOS 1. Alcance de la auditoria Esta auditoria comprende solamente el rea del centro de computo del Sistema de Consignacin de equipos de la empresa TELVEN, con respecto al cumplimiento del proceso de Gestin de los Datos de la manera que abarca la gestin de base de datos (SGBD), Software de auditoria, sistemas operativos protocolos y sistemas distribuidos 2. Objetivos wuilane_sequera@hotmail.com Sistemas de Informacin III 338
14.797.652
Pg. 11/49
a. verificar la responsabilidad para la planificacin de planillas y control de los activos de datos de la organizacin (Administrador de datos) b. Verificar la responsabilidad de la administracin del entorno de la base de datos (Administrador de la Base de Datos) c. Proporcionar servicios de apoyo en aspectos de organizacin y mtodos, mediante la definicin, implantacin y actualizacin de base de datos y/o procedimientos administrativos con la finalidad de contribuir a la eficiencia Lista de Control PREGUNTAS 1. Existe equipo o Software de SGBD 2. La organizacin tiene un sistema de gestin de base de datos SGBD 3. Los datos son cargados correctamente en la interfaz grafica 4. se verificara que los controles y relaciones de datos se realizan de acuerdo a Normalizacin libre de error 5. Existe personal restringido que tenga acceso a la BD 6. El SGBD es dependiente de los servicios que ofrece el Sistema Operativo 7. La interfaz que existe entre el SGBD y el SO es el adecuado 8. Existen procedimientos formales para la Operacin del SGBD? 9. Estn actualizados los procedimientos de SGBD? 10. La periodicidad de la actualizacin de los procedimientos es anual? 11. Son suficiente claras las operaciones que realiza la BD? 12. Existe un control que asegure la justificacin de los procesos del computador? (Que los procesos que estn autorizados tengan una razn de ser procesados) 13. Se procesa las operaciones dentro del departamento de cmputo? 14. Se verifican con frecuencia la validez de los inventarios de los archivos magnticos? 15. Existe un control estricto de las copias de estos archivos? 16. Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos? SI NO N/A
TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar 17. Se registran como parte del inventario las nuevas cintas magnticas que recibe el centro de cmputo? 18. Se tiene un responsable del SGBD? 19. Se realizan auditorias peridicas de los medios de almacenamiento? 20. Se tiene relacin del personal autorizado para manipular la BD? 21. Se lleva control sobre los archivos transmitidos por el sistema? 22. Existe un programa de mantenimiento preventivo para el dispositivo del SGBD? 23. Existe integridad de los componentes y de seguridad de datos? 24. De acuerdo con los tiempos de utilizacin de cada dispositivo del sistema de computo, Existe equipo capaces de soportar el trabajo? 25. El SGBD tiene capacidad de teleproceso? 26. Se ha investigado si ese tiempo de respuesta satisface a los usuarios? 27. La capacidad de almacenamiento mximo de la BD es suficiente para atender el proceso por lotes y el proceso remoto?
14.797.652
Pg. 12/49
INFORME DE AUDITORIA 1. Identificacin del Informe Auditoria de la Base de Datos 2. Identificacin del Cliente rea de Informtica Sistema para la consignacin de equipos SICOE 3. Identificacin de la Entidad Auditada Entidad Auditada: TELVEN wuilane_sequera@hotmail.com Sistemas de Informacin III 338
14.797.652
Pg. 13/49
4. Norma Aplicada: COBIT, especficamente el proceso de TI 3.11 Gestin de los Datos, perteneciente al dominio Suministro y Mantenimiento 5. Objetivos de la Auditoria a. Evaluar el tipo de Base de Datos, relaciones, plataforma o sistema operativo que trabaja, administracin y dems aspectos que repercuten en su trabajo b. Revisar el software para la Base de Datos c. Verificar la Actualizacin de la Base de Datos d. Verificar la optimizacin de almacenes de los datos e. Revisar que el equipo utilizado tiene suficiente poder de procesamiento y velocidad en red para optimizar el desempeo de la base de datos 6. Hallazgos Potenciales 1. No existe un plan de actualizacin de tecnologa, teniendo en cuenta los posibles cambios tecnolgicos y el incremento de la base de datos. 2. No existe un calendario de mantenimiento de rutina peridico del software definido por la Base de datos. 3. No existe un calendario de actualizaciones de los procedimientos de los SGBD 4. No existe un plan peridico de respaldo de la Base de datos 5. El sistema SICOE no presenta mdulos para realizar respaldo y restauracin de los datos 6. No se realizan auditorias peridicas de los medios de almacenamiento 7. Conclusiones Como resultado de la auditoria podemos manifestar que el rea de informtica presenta deficiencias en el debido cumplimiento de normas de seguridad de los datos y administracin de la Base de datos
8. Recomendaciones a. Evaluar e implementar un Software que permita mantener el resguardo de acceso de los archivos b. Elaborar un calendario de mantenimiento de rutina peridico a la BD c. Elaborar un plan para mantener actualizado al SGBD debido a la influencia y los cambios que se presentan en el medio ambiente donde este se encuentra d. Elaborar un plan peridico de respaldo a la Base de Datos e. Desarrollar los mdulos de respaldo y restauracin de datos en el sistema SICOE f. Elaborar un plan peridico de Auditoria interna para los medios de almacenamiento wuilane_sequera@hotmail.com Sistemas de Informacin III 338
14.797.652
Pg. 14/49
g. Capacitar al personal al manejo de la Base de Datos h. Dar a conocer la importancia del SGBD al usuario 9. Fecha del Informe PLANEAMIENTO FECHAS 10. Identificacin y Firma del Auditor APELLIDOS Y NOMBRES CARGO EJECUCION INFORME
AUDITORIA DEL SISTEMA FISICO Y LOGICO DE LA RED 1. Alcance de la Auditoria 1. Sistema fsico y/o lgico de la red 2. mecanismos de seguridad y mantenimiento de la red 2. Objetivos de la auditoria Realizar un informe de auditoria con el objeto de verificar hasta que punto las instalaciones fsicas ofrecen garantas y han sido estudiadas las vulnerabilidades existentes, as mismo evaluar los errores o situaciones anmalas que se puedan wuilane_sequera@hotmail.com Sistemas de Informacin III 338
14.797.652
Pg. 15/49
producir y verificar la existencia de procedimientos para detectar equipos que pudiesen estar produciendo estas situaciones anmalas. 2.1 Objetivos de la auditoria fsica Evaluar la existencia de: a. reas controladas para los equipos de comunicaciones, previniendo as accesos inadecuados b. Proteccin y tendido adecuado de cables y lneas de comunicaciones, para evitar accesos fsicos c. Controles de utilizacin de los equipos de pruebas de comunicaciones, usados para monitorizar la red y su trafico, que impidan su utilizacin inadecuada d. Atencin especifica a la recuperacin de los sistemas de comunicacin de datos en el plan de recuperacin de desastres en sistemas de informacin e. Controles especficos en caso de que se utilicen lneas telefnicas normales con acceso a la red de datos para prevenir accesos no autorizados al sistema o a la red 2.2 Objetivos de la auditoria lgica Evaluar la existencia de: a. Contraseas y otros procedimientos para limitar y detectar cualquier intento de acceso no autorizado a la red de comunicaciones b. Facilidades de control de errores para detectar errores de transmisin y establecer las retransmisiones apropiadas c. Controles para asegurar que las transmisiones van solamente a usuarios autorizados y que los mensajes no tienen por qu seguir siempre la misma ruta d. Registro de la actividad de la red, para ayudar a reconstruir incidencias y detectar accesos no autorizados e. Tcnicas de cifrado de datos donde haya riesgos de accesos impropios a transmisiones sensibles f. Controles adecuados que cubran la importacin o exportacin de datos a travs de puertas, en cualquier punto de la red, a otros sistemas informticos
AUDITORIA DE LA RED FSICA Lista de control PREGUNTA F1. El equipo de comunicaciones se mantiene en habitaciones cerradas con acceso limitado a personas autorizadas F2. La seguridad fsica de los equipos de comunicaciones, tales como controladores de comunicacin, dentro SI NO N/A
TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar de la salas de computadores es adecuada F3. Slo personas con responsabilidad y conocimientos estn incluidas en la lista de personas permanentemente autorizadas para entrar en las salas de los equipos de comunicaciones F4. Se toman medidas para separar las actividades de electricistas y personal de tendido y mantenimiento de lneas telefnicas, as como sus autorizaciones de acceso, de aquellas del personal bajo control de la gerencia de comunicaciones F5. En las zonas adyacentes a las salas de comunicaciones, todas la lneas de comunicaciones estn fuera de la vista F6. Las lneas de comunicaciones, en las salas de comunicaciones, armarios, distribuidores y terminaciones de los despachos, estn etiquetados con un cdigo gestionado por la gerencia de comunicaciones F7. Existen procedimientos para la proteccin de cables y bocas de conexin que dificulten el que sean interceptados o conectados por personas no autorizadas F8. Se revisa peridicamente la red de comunicaciones, buscando intercepciones activas o pasivas F9. Los equipos de prueba de comunicaciones usados para resolver los problemas de comunicacin de datos tienen propsitos y funciones definidas F10. Existen controles adecuados sobre los equipos de prueba de comunicaciones usados para monitorizar lneas y fijar problemas incluyendo: a. procedimiento restringiendo el uso de estos equipos a personal autorizado b. Facilidades de traza y registro del trafico de datos que posean los equipos de monitorizacin c. procedimientos de aprobacin y registro ante las conexiones a lneas de comunicaciones en la deteccin y correccin de problemas F11. En el plan general de recuperacin
14.797.652
Pg. 16/49
TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar de desastres para servicios de informacin presta adecuada atencin a la recuperacin y vuelta al servicio de los sistemas de comunicacin de datos F12. Existen planes de contingencia para desastres que solo afecten a las comunicaciones, como el fallo de una sala completa de comunicaciones F13. Las alternativas de respaldo de comunicaciones, bien sea con las mismas salas o con salas de respaldo, consideran la seguridad fsica de estos lugares F14. Las lneas telefnicas usadas para datos, cuyo nmeros no deben ser pblicos, tienen dispositivos / procedimientos de seguridad tales como retrollamada, cdigos de conexin o interrupciones para impedir accesos no autorizados al sistema informtico
14.797.652
Pg. 17/49
AUDITORIA DE LA RED LGICA Lista de Control PREGUNTA L.1. El software de comunicaciones, para permitir el acceso, exige cdigo de usuario y contrasea L.2.1. los usuarios no pueden acceder a ningn sistema, ni siquiera de ayuda, antes de haberse identificado correctamente SI NO N/A
TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar L.2.2. Se inhabilita al usuario que sea incapaz de dar la contrasea despus de un numero determinado de intentos de infructuosos L2.3. Se obliga a cambiar las contraseas regularmente L.2.4. Las contraseas son mostradas en pantalla cuando se teclean L.2.5. Durante el proceso de identificacin, los usuarios son informados de cundo fue su ultima conexin para ayudar a identificar potenciales suplantaciones o accesos no autorizados L.3. Cualquier procedimiento del fabricante, mediante hardware o software, que permita el libre acceso y que haya sido utilizado en la instalacin original, ha de haber sido inhabilitado o cambiado L.4. Se toman estadsticas que incluyan tasas de errores y de retransmisin L.5. Los protocolos utilizados, revisados con el personal adecuado de comunicaciones, disponen de procedimientos de control de errores con la seguridad suficiente L.6. Los mensajes lgicos transmitidos identifican el originante, la fecha, la hora y el receptor L.7. El Software de comunicaciones ejecuta procedimientos de control y correctivos ante mensajes duplicados, fuera de orden, perdidos, o retrasados L.8. La arquitectura de comunicaciones utiliza indistintamente cualquier ruta disponible de transmisin para minimizar el impacto de una escucha de datos sensibles en una ruta determinada L.9. Existen controles para que los datos sensibles solo puedan ser incorporados en las impresoras designadas y vistos desde los terminales autorizados L.10. Existen procedimientos de registro para capturar y ayudar a reconstruir todas las actividades de las transacciones. L.11. Los archivos de registro son revisados, si es posible a travs de
14.797.652
Pg. 18/49
TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar herramientas automticas, diariamente, vigilando intentos impropios de acceso L.12. Existen anlisis de riesgo para las aplicaciones de proceso de datos a fin de identificar aquellas en las que el cifrado resulte apropiado L.13. Se utiliza cifrado L.13.1. Si se utiliza cifrado, existen procedimientos de control sobre la generacin e intercambio de claves L.13.2. Las claves de cifrado son cambiadas regularmente L.13.3. El transporte de las claves de cifrado desde donde se generan a los equipos que la utilizan sigue un procedimiento adecuado. L.14. Se utilizan canales de comunicacin uniendo diversos edificios de la misma organizacin L.14.1. Estos canales se cifran automticamente, para evitar que una intercepcin sistemtica a un canal comprometa a todas las aplicaciones L.15. Si la organizacin tiene canales de comunicacin con otras organizaciones se analiza la conveniencia de cifrar estos canales L.16. En la transmisin de datos sensibles a travs de redes abiertas como Internet, van cifrados L.17. Se han revisado los controles de seguridad asociados a los mdems como el cortafuego para impedir el acceso de equipos forneos a la red local L.18. Existe una poltica de prohibicin de introducir programas personales o conectar equipos privados a la red L.19. Todas las Puertas traseras y accesos no especficamente autorizados estn bloqueados. En equipos activos de comunicaciones, como puentes, encaminadotes, conmutadores, etc. Es decir los accesos para servicio remoto estn inhabilitados o tienen procedimientos especficos de control. L.20. Peridicamente se ejecutan, mediante los programas actualizados y adecuados, ataques para descubrir vulnerabilidades, que los resultados se
14.797.652
Pg. 19/49
TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar documentan y se corrigen las deficiencias observadas.
14.797.652
Pg. 20/49
AREAS CRTICAS DE REDES Listado de verificacin de auditoria de redes Gestin Administrativa de la red 100 % Excelente 1. Objetivos de la red de cmputos 2.Caractersticas de la red de computo 3. Componentes fsicos de la red de 80 % Buena 60% Regular 40% Mnima 20% No cumple
TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar computo 4. Conectividad y las comunicaciones de la red de computo 5. Los Servicios que proporciona la red de computo 6. Configuraciones, topologas, tipos y cobertura de la red de cmputo. 7. Los protocolos de comunicacin interna de la red 8. La administracin de la red de cmputos 9. La seguridad de la red de cmputos
14.797.652
Pg. 21/49
Evaluacin de anlisis de la red de cmputo 100 % Excelente 1. Evaluacin de la existencia y uso de metodologas, normas, estndares y polticas para el anlisis y diseo de redes de cmputo 2. La forma de repartir los recursos 80 % Buena 60% Regular 40% Mnima 20% No cumple
TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar informticos de la organizacin, especialmente la informacin y los activos 3. La cobertura de servicios informticos para la captura, el procesamiento y la emisin de informacin en la organizacin 4. La cobertura de servicios de comunicacin 5. La frecuencia con que los usuarios recurren a los recursos de la red 6. La escalabilidad y migracin de los recursos computacionales de la organizacin 7. La satisfaccin de las necesidades de poder computacional de la organizacin, sea con redes, cliente/servidor 8. La solucin a los problemas de comunicacin de informacin y datos en las reas de la organizacin Anlisis de la red de rea local (LAN) 100 % Excelente 1. Uso adecuado y confiable de la tecnologa utilizada internamente para la transmisin de datos 2. Restriccin adoptada para establecer el tamao de la red 80 % Buena
14.797.652
Pg. 22/49
60% Regular
40% Mnima
20% No cumple
TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar 3. Evaluar velocidad la
14.797.652
Pg. 23/49
AREAS CRTICAS DE SEGURIDAD Evaluacin en el acceso al sistema 100 % Excelente 1. Evaluar los atributos de acceso ala sistema 2. Evaluar los niveles de acceso al sistema 3. Evaluar la administracin de 80 % Buena 60% Regular 40% Mnima 20% No cumple
TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar contraseas al sistema 4. Evaluar el monitoreo en el acceso al sistema 5. Evaluar las funciones del administrador del acceso al sistema Evaluacin en el acceso al rea fsica 100 % Excelente 1. Evaluar el acceso del personal al centro de computo 2. Evaluar el acceso de los usuarios y terceros al centro de computo 3. Evaluar el control de entradas y salidas de bienes informticos del centro de computo 4. Evaluar la vigilancia del centro de computo 80 % Buena
14.797.652
Pg. 24/49
60% Regular
40% Mnima
20% No cumple
Evaluacin de los sistemas computacionales 100 % Excelente 1. Evaluar el rendimiento y uso del sistema computacional y de sus perifricos asociados 2. Evaluar la existencia, proteccin y periodicidad de los 80 % Buena 60% Regular 40% Mnima 20% No cumple
TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar respaldos de base de datos, software e informacin importante de la organizacin 3. Evaluar la configuracin, instalaciones y seguridad del equipo de computo, mobiliario y dems equipos 4. Evaluar el rendimiento, aplicacin y utilidad del equipo de computo, mobiliario y dems equipos 5. Evaluar la seguridad en el procesamiento de informacin 6. Evaluar los procedimientos de captura, procesamiento de datos y emisin de resultados de los sistemas computacionales
14.797.652
Pg. 25/49
Evaluacin de la proteccin contra la piratera y robo de informacin 100 % Excelente 1. Medidas preventivas 2. Proteccin de archivos 3. Limites de acceso 4. Proteccin contra robos 5. Proteccin ante copias ilegales 80 % Buena 60% Regular 40% Mnima 20% No cumple
14.797.652
Pg. 26/49
Evaluacin de la proteccin contra virus informticos 100 % 80 % 60% Excelente Buena Regular 1. Medidas preventivas y correctivas 2. Uso de vacunas y buscadores de virus 3. Proteccin de archivos, programas e informacin Evaluacin del Hardware 100 % Excelente 1. Evaluar la configuracin del equipo de computo (hardware) 2. Evaluar el rendimiento y uso del sistema computacional y sus perifricos asociados 3. Evaluar el estado fsico del hardware, perifricos y equipos asociados 80 % Buena 60% Regular
40% Mnima
20% No cumple
40% Mnima
20% No cumple
Evaluacin del software 100 % Excelente 1. Evaluar las licencias permisos y usos de los sistemas computacionales. 2. Evaluar el rendimiento y uso del software de los sistemas computacionales 80 % Buena 60% Regular 40% Mnima 20% No cumple
TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar 3. Verificar que la instalacin del software, paqueteras y sistemas en la empresa sea la adecuada para cubrir las necesidades de esta ultima.
14.797.652
Pg. 27/49
INFORME DE AUDITORIA 1. Identificacin del Informe Auditoria del sistema fsico y lgico de la red 2. Identificacin del Cliente rea de Informtica Sistema para la consignacin de equipos SICOE 3. Identificacin de la Entidad Auditada Entidad Auditada: TELVEN 4. Objetivos de la Auditoria wuilane_sequera@hotmail.com Sistemas de Informacin III 338
14.797.652
Pg. 28/49
a. Evaluar el tipo de red, arquitectura, topologa, protocolos de comunicacin, las conexiones, accesos privilegios, administracin y dems aspectos que repercuten en su instalacin. b. Revisin del software institucional para la administracin de la red. 5. Hallazgos Potenciales a. no se cuenta con un software que permita la seguridad de restriccin y/o control a la red b. No existe un plan que asegure acciones correctivas asociadas a la conexin con redes externas c. No existe un plan a largo plazo de tecnologas de redes, teniendo en cuenta los posibles cambios tecnolgicos d. No existe un calendario de mantenimiento de rutina peridico del hardware definido para las redes e. No existe un plan pro-activo de tareas a fin de anticipar los problemas y solucionarlos antes de que los mismos afecten el desempeo de la red f. El sistema de informacin SICOE no posee niveles de acceso a travs de contraseas 6. Conclusiones Como resultado de la auditoria podemos manifestar que el rea de informtica presenta deficiencias en el debido cumplimiento de normas y funciones de redes 7. Recomendaciones a. Elaborar toda la documentacin tcnica correspondiente a los sistemas de redes. b. Evaluar e implementar un software que permita mantener el resguardo de acceso al sistema como por ejemplo un cortafuego. c. Elaborar un calendario de mantenimiento de rutina peridico del hardware d. Las lneas telefnicas como el cableado de la red debe estar fuera de la vista de los usuarios e. Se deben etiquetar todo el cableado de la red para poder identificar de una manera ms rpida algn equipo que este generando anomala o colisin f. Se deben proteger los cables y bocas de conexin (cajetines) de tal manera que las personas no autorizadas no puedan conectarse g. Disear y establecer un plan de monitoreo de la red y de acceso al sistema SICOE h. Implementar un plan de contingencia en caso de desastres en el rea de comunicaciones i. Desarrollar los mdulos de contraseas para el acceso al sistema SICOE j. Despus de una cierta cantidad de intentos de acceso al sistema SICOE el usuario se debe inhabilitar k. Establecer un limite de intentos de acceso al sistema por cada usuario l. Establecer un plan peridico para cambiar las contraseas m. Elaborar informes estadsticos de la red a cierto tiempo n. En la medida de lo posible usar cifrado o encriptamiento para los datos con software tales como: PGP, DES, RSA, entre otros wuilane_sequera@hotmail.com Sistemas de Informacin III 338
TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar o.
14.797.652
Pg. 29/49
Inhabilitar ciertos servicios remotos del servidor de la red como por ejemplo servicios de accesos como el telnet, ping, ftp, entre otros p. Incrementar la proteccin contra robos q. Mantener un programa de proteccin y actualizacin de los antivirus, as como el de realizar una campaa para dar a conocer a los usuarios la importancia al respecto 8. Fecha del Informe PLANEAMIENTO FECHAS 9. Identificacin y Firma del Auditor APELLIDOS Y NOMBRES CARGO EJECUCION INFORME
OBJETIVO # 9 INFORME FINAL DE LA AUDITORIA INFORMATICA 1. Identificacin del Informe Informe Final de la Auditoria 2. Identificacin del Cliente rea de Informtica Sistema para la consignacin de equipos SICOE 3. Identificacin de la Entidad Auditada Entidad Auditada: TELVEN wuilane_sequera@hotmail.com Sistemas de Informacin III 338
TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar 4. Objetivos y alcance de la Auditoria
14.797.652
Pg. 30/49
General: Revisar y evaluar los controles, sistemas y procedimientos de informtica; de los equipos de computacin, su utilizacin, eficiencia y seguridad, a fin de que por medio del sealamiento de algunas recomendaciones se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. Especficos: Evaluar el diseo y prueba de los sistemas del rea de informtica Determinar la veracidad de la informacin del rea de informtica Evaluar los procedimientos de control de operacin Evaluar la forma como se administran los dispositivos de almacenamiento bsico del rea de informtica Evaluar el control sobre el mantenimiento y las fallas del sistema Verificar las disposiciones y reglamentos que ayuden al mantenimiento del orden dentro del rea de informtica 5. Normativa Aplicada COBIT, especficamente en los proceso de TI 3.13 Gestin de la Explotacin y 3.11 Gestin de los Datos, perteneciente al dominio Suministro y Mantenimiento
6. Conclusiones Seores de TELVEN rea de Informtica El departamento de Informtica es la parte medular de la empresa, es en donde los datos se convierten en informacin til a las diferentes reas, y en donde, en la mayora de los casos se toman las decisiones importantes para la empresa Como resultado de la Auditoria Informtica les presento este informe que en mi opinin es con salvedades. Sntesis de la revisin realizada, clasificado en las siguientes secciones: 1. Explotacin 2. Del aseguramiento de la calidad wuilane_sequera@hotmail.com Sistemas de Informacin III 338
TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar 3. De la gestin de los Datos 4. Del sistema fsico y lgico de la red
14.797.652
Pg. 31/49
A efectos de facilitar su anlisis la informacin resultante de la auditoria se ha dividido de la siguiente manera: 1. Situacin: Describe brevemente las debilidades resultantes del anlisis. 2. Efectos: enuncian los posibles riesgos a que se encuentran expuestos 3. Sugerencias: se recomiendan las posibles soluciones a las situaciones presentadas Segn el anlisis realizado se encontr deficiencias en que no existe un plan informtico de formacin al personal, no existen manuales de procedimientos, deficiencias en el sistema fsico y lgico de la red, no existe la auditoria interna del sistema, falta de procedimientos peridicos de respaldo de los medios de almacenamiento, acceso a usuarios, plan de contingencias. Los detalles de las sugerencias de solucin se encuentran especificados en las secciones llamadas objetivos 7 y 8. La aprobacin y puesta en prctica de estas sugerencias ayudarn a la empresa a brindar un servicio ms eficiente a los ciudadanos y clientes de la Empresa TELVEN Plan Informtico de Formacin al personal Situacin: 1. No existe un plan formalmente establecido para capacitar al personal de TELVEN Efectos: 1. Posibilidad de que las soluciones que se implementan para resolver problemas sean parciales. Sugerencias: 1. establecer un plan de formacin peridica para capacitar al personal de TELVEN 2. Implementar los lineamientos, normas y/o procedimientos que aseguren la eficaz administracin de los recursos informticos. Sistema Fsico y Lgico de la red Situacin: 1. No se cuenta con un software que permita la seguridad de restriccin y/o control a la red 2. No existe la documentacin tcnica correspondiente a los sistemas de redes. 3. Los cables y bocas de conexin (cajetines) de la red no se encuentran protegidos del acceso por personas no autorizadas Efectos: 1. Alta facilidad para cambios involuntarios o intencionales de datos, debido a la falta de controles internos 2. Probable difusin de datos confidenciales Sugerencias: a los efectos de minimizar los riesgos descritos de sugiere:
14.797.652
Pg. 32/49
1. Elaborar toda la documentacin tcnica correspondiente a los sistemas de redes. 2. proteger los cables y bocas de conexin (cajetines) de tal manera que las personas no autorizadas no puedan conectarse 3. Incrementar la proteccin contra robos 4. Realizar peridicamente un estudio de vulnerabilidad, documentando efectivamente el mismo, a los efectos de implementar las acciones correctivas sobre los puntos dbiles que se detecten Auditoria Interna Situacin: 1. Se ha observado que la empresa TELVEN no cuenta con auditoria Interna Efectos: 1. posibilidad de que adulteraciones voluntarias o involuntarias sean realizadas a los elementos del procesamiento de datos (programas, archivos de datos, etc.) o bien acceso a datos confidenciales por personas no autorizadas que no sean detectadas oportunamente. Sugerencias: 1. Establecer normas y procedimientos en los que se fijen responsables, periocidad y metodologa para poder realizar auditoria interna. Respaldo de Datos: Situacin: 1. El sistema SICOE no posee los mdulos para respaldo y restauracin de datos 2. No se encuentran establecido procedimientos peridicos para realizar respaldo de la Base de Datos ni de los medios de almacenamiento 3. No existen normas y/o procedimientos que indiquen como se deben realizar los respaldo ni tampoco aquellos que exijan la prueba sistemtica de las mismas a efectos de los mnimos niveles de confiabilidad Efectos: 1. La empresa TELVEN esta expuesta a la perdida de informacin por no poseer un sistema peridico de respaldos Sugerencias: 1. Desarrollar normas y procedimientos generales que permitan realizar los respaldos necesarios 2. Tener copias de Seguridad de los respaldos fuera del rea de informtica de TELVEN 3. Implementar pruebas sistemticas semanales de las copias de seguridad 4. Desarrollar los mdulos de Respaldo y Restauracin de datos en el sistema SICOE Acceso a Usuarios: Situacin:
14.797.652
Pg. 33/49
1. El sistema SICOE no cuenta con un mdulo de acceso a travs de contraseas 2. No existe un mdulo para administrar las contraseas de acceso al sistema. Efectos: 1. La falta de Seguridad en las contraseas, podran ocasionar fraudes por terceros Sugerencias: 1. Desarrollar el mdulo para permitir el acceso al sistema SICOE a travs de contrasea y el mdulo para la administracin de dichas contraseas 2. Establecer una metodologa que permita realizar un control efectivo sobre el uso y modificacin de las contraseas 3. Establecer un limite de intentos de acceso al sistema por cada usuario Plan de Contingencias Situacin: 1. Ausencia de un plan de contingencia debidamente formalizado en el rea de informtica 2. No existen normas y procedimientos que indiquen las tareas que son necesarias para realizar y recuperar la capacidad de procesamiento ante una eventual contingencia Efectos: 1. Perdida de Informacin vital 2. Perdida de capacidad de procesamiento Sugerencias: 1. Establecer un plan de contingencia escrito, en donde se establezcan los procedimientos para reestablecer la operatividad de la empresa TELVEN 2. Realizar simulacros peridicamente 7. Resultados: Otros Informes Los detalles de las deficiencias encontradas as como las sugerencias de solucin se encuentran especificados en las secciones llamas objetivos 7 y 8
8. Fecha del Informe PLANEAMIENTO FECHAS 9. Identificacin y Firma del Auditor APELLIDOS Y NOMBRES CARGO EJECUCION INFORME
14.797.652
Pg. 34/49
PRINCIPIOS DEONTOLGICOS PRESENTES 1. Principios deontolgicos presentes en el Auditor a. Principios de calidad El auditor presta un servicio a medidas de las posibilidades y medios a su alcance y con absoluta libertad para utilizarlos b. Principio de comportamiento profesional En los comentarios que se realizan se trata de transmitir una imagen de precisin y exactitud evitando exageraciones o atemorizaciones innecesarias c. Principio de criterio propio
14.797.652
Pg. 35/49
d. e. f. g.
h. i. j.
El auditor no esta subordinado a otros profesionales y acta segn sus propios criterios Principios de discrecin El auditor esta comprometido con la no divulgacin de los datos obtenidos en la auditoria Principio de independencia Los Intereses del auditado son asumidos con objetividad Principio de integridad moral El auditor se compromete a no aprovecharse de los conocimientos adquiridos durante la auditoria, ni usarlos en contra del auditado Principio de legalidad En ningn caso se colaborara con la desactivacin o eliminacin de dispositivos de seguridad todo lo contrario se dan mejoras a dichos dispositivos o medidas de seguridad Principio de no injerencia El auditor respeta el trabajo realizado por otros profesionales Principios de responsabilidad El auditor es responsable de todo lo que haga, diga o aconseje Principio de secreto profesional El auditor se compromete en guardar en secreto los hechos e informaciones encontradas en la auditoria
2. Principios deontolgicos presentes en el Informe a. principio de beneficio del auditado Tanto en los informes propios de cada auditoria (Explotacin, Calidad, Base de datos, sistema fsico y lgico de la red), como en el informe final de la auditoria informtica se presentan una serie de recomendaciones a los inconvenientes encontrados en el sistema, y lo que se quiere con ello es que el cliente pueda corregir y obtener el mximo provecho b. Principio de confianza En el presente informe se trata de no hacer alardes cientficos con el fin de que sea entendible y no se le reste credibilidad c. Principio de economa: A travs de las recomendaciones realizadas se pretende que el auditado actu de manera oportuna para solventar los problemas detectados y a su vez esto se traduce en economa de tiempo
d. Principio de Informacin Suficiente Se informa de forma clara y precisa todo lo relacionado con cada uno de los puntos o tipos de auditoria realizadas e. Principio de precisin En el informe se realizan las conclusiones y recomendaciones tratando de ser lo suficientemente crtico y poner de manifiesto aquellos aspectos que se consideren importantes y que pueden tener cierta incidencia en la calidad de la auditoria. 3. Principios deontolgicos presentes en el Sistema wuilane_sequera@hotmail.com Sistemas de Informacin III 338
14.797.652
Pg. 36/49
a. Principio del servicio al publico El sistema SICOE ofrece servicio a los aliados de TELVEN y no solamente con esto se cumple con el principio del servicio pblico sino que tambin se cuenta con una serie de medidas para evitar software daino como los virus informticos que se pueden propagar a otros sistemas. (Ver grafico 8 del apndice) b. Principio de legalidad Aunque el sistema SICOE tiene deficiencias en cuanto a la seguridad en el acceso al sistema a travs de contraseas presenta legalidad en cuanto a la propiedad intelectual ya que el sistema fue desarrollado en software de licencias libres como lo son PHP para el desarrollo del cdigo fuente del sistema y MySQL para el motor de Base de datos, as mismo existen algunas medidas contra la ilegalidad de la piratera (ver grafico 7 en el apndice) c. Principio de Integridad A pesar de las deficiencias de seguridad en el acceso al sistema SICOE, la informacin o los datos almacenados en la BD no sufren ningn tipo de modificacin o alteracin. d. Principio de precisin Aunque existen deficiencias de seguridad en el SICOE, la informacin que se encuentra en la base de datos y que se muestra a los aliados de TELVEN a travs del SICOE se puede considerar una informacin fiable sin indefiniciones ni ambigedades e. Principio de Veracidad La informacin almacenada en la BD se puede considerar exacta, pero debido a las deficiencias en cuanto a la seguridad en el acceso al sistema SICOE, esta informacin puede ser comprobada para determinar su certeza.
14.797.652
Pg. 37/49
APNDICE
AREAS CRTICAS DE REDES Gestin Administrativa de la red
14.797.652
Pg. 38/49
Grafico 1
100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%
60% 60% 60% 60% 40%
60% 40%
60% 40%
1. Objetivos de la red de cmputos 2.Caractersticas de la red de computo 3. Componentes fsicos de la red de computo 4. Conectividad y las comunicaciones de la red de computo 5. Los Servicios que proporciona la red de computo 6. Configuraciones, topologas, tipos y cobertura de la red de cmputo. 7. Los protocolos de comunicacin interna de la red 8. La administracin de la red de cmputos 9. La seguridad de la red de cmputos
Evaluacin de anlisis de la red de cmputo
14.797.652
Pg. 39/49
Grafico 2
100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%
60% 40% 40%
60% 60% 40%
60% 60%
1. Evaluacin de la existencia y uso de metodologas, normas, estndares y polticas para el anlisis y diseo de redes de cmputo 2. La forma de repartir los recursos informticos de la organizacin, especialmente la informacin y los activos 3. La cobertura de servicios informticos para la captura, el procesamiento y la emisin de informacin en la organizacin 4. La cobertura de servicios de comunicacin 5. La frecuencia con que los usuarios recurren a los recursos de la red 6. La escalabilidad y migracin de los recursos computacionales de la organizacin 7. La satisfaccin de las necesidades de poder computacional de la organizacin, sea con redes, cliente/servidor 8. La solucin a los problemas de comunicacin de informacin y datos en las reas de la organizacin
Anlisis de la red de rea local (LAN) wuilane_sequera@hotmail.com Sistemas de Informacin III 338
14.797.652
Pg. 40/49
Grafico 3
100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 80% 60% 60%
1. Uso adecuado y confiable de la tecnologa utilizada internamente para la transmisin de datos 2. Restriccin adoptada para establecer el tamao de la red 3. Evaluar la velocidad
AREAS CRTICAS DE SEGURIDAD wuilane_sequera@hotmail.com Sistemas de Informacin III 338
14.797.652
Pg. 41/49
Evaluacin en el acceso al sistema

Grafico 4
100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%
40% 40% 20% 20%
40%
1. Evaluar los atributos de acceso al sistema 2. Evaluar los niveles de acceso al sistema 3. Evaluar la administracin de contraseas al sistema 4. Evaluar el monitoreo en el acceso al sistema 5. Evaluar las funciones del administrador del acceso al sistema Evaluacin en el acceso al rea fsica
Grafico 5
100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 80%
40% 40% 20%
1. Evaluar el acceso del personal al centro de computo 2. Evaluar el acceso de los usuarios y terceros al centro de computo 3. Evaluar el control de entradas y salidas de bienes informticos del centro de computo 4. Evaluar la vigilancia del centro de computo Evaluacin de los sistemas computacionales wuilane_sequera@hotmail.com Sistemas de Informacin III 338
14.797.652
Pg. 42/49
Grafico 6
100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%
60% 40%
60% 60% 40% 40%
1. Evaluar el rendimiento y uso del sistema computacional y de sus perifricos asociados 2. Evaluar la existencia, proteccin y periodicidad de los respaldos de base de datos, software e informacin importante de la organizacin 3. Evaluar la configuracin, instalaciones y seguridad del equipo de computo, mobiliario y dems equipos 4. Evaluar el rendimiento, aplicacin y utilidad del equipo de computo, mobiliario y dems equipos 5. Evaluar la seguridad en el procesamiento de informacin 6. Evaluar los procedimientos de captura, procesamiento de datos y emisin de resultados de los sistemas computacionales
Evaluacin de la proteccin contra la piratera y robo de informacin wuilane_sequera@hotmail.com Sistemas de Informacin III 338
14.797.652
Pg. 43/49
Grafico 7
100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%
60% 60% 40% 20%
60%
1. Medidas preventivas 2. Proteccin de archivos 3. Limites de acceso 4. Proteccin contra robos 5. Proteccin ante copias ilegales Evaluacin de la proteccin contra virus informticos
Grafico 8
100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%
60% 40% 40%
1. Medidas preventivas y correctivas 2. Uso de vacunas y buscadores de virus 3. Proteccin de archivos, programas e informacin Evaluacin del Hardware wuilane_sequera@hotmail.com Sistemas de Informacin III 338
14.797.652
Pg. 44/49
Grafico 9
100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%
60% 40% 40%
1. Evaluar la configuracin del equipo de computo (hardware) 2. Evaluar el rendimiento y uso del sistema computacional y sus perifricos asociados 3. Evaluar el estado fsico del hardware, perifricos y equipos asociados Evaluacin del software
Grafico 10
100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%
60% 60% 40%
1. Evaluar las licencias permisos y usos de los sistemas computacionales. 2. Evaluar el rendimiento y uso del software de los sistemas computacionales 3. Verificar que la instalacin del software, paqueteras y sistemas en la empresa sea la adecuada para cubrir las necesidades de esta ultima.
14.797.652
Pg. 45/49
ANEXOS
La Organizacin wuilane_sequera@hotmail.com Sistemas de Informacin III 338
14.797.652
Pg. 46/49
La empresa de telecomunicaciones de Venezuela (TELVEN) es una Organizacin que tiene por misin prestar servicios de telecomunicaciones a la poblacin venezolana mediante el uso de la ms avanzada tecnologa y recursos humanos responsables y capacitados. El proceso de integracin entre TELVEN y sus asociados, se entiende como el establecimiento de una alianza estratgica con aquellas personas preactivas y trabajadoras que estn dispuestas a emprender un negocio, pasando estos empresarios a ser aliados de TELVEN. Los aliados crean y operan, los llamados Mdulos de Comunicaciones (MODCOM), a fin de ofrecer productos y servicios a la comunidad que constituye su entorno. Entre los servicios se encuentran: el acceso a Internet a travs de las salas de navegacin de los MODCOM, lneas Telefnicas (almbricas e inalmbricas), identificador de llamadas, buzn de voz, bloqueo de llamadas, llamadas en conferencia, Internet (en sus modalidades de banda ancha y Dial UP), pginas amarillas, gua viajera, encomiendas, fax, fotocopias, impresiones, receptoria de avisos, entre otros. Entre los productos que ofrecen a la venta, estn celulares y accesorios, tarjetas telefnicas, artculos de oficina entre otros. La empresa TELVEN ofrece en consignacin a sus aliados que estn bajo la jurisdiccin comercial de las Oficinas de Atencin Comercial (OAC), algunos de los equipos antes mencionados, como celulares y accesorios, a fin de que los ofrezcan a la venta. Durante el proceso de consignacin, los equipos y accesorios pueden adquirir los siguientes estados: 1. Equipos consignados pendientes por pagar 2. Equipos consignados devueltos 3. Equipos consignados pagados El proceso de consignacin puede dividirse en las siguientes tareas: 1. Entrega de equipos y accesorios En la OAC, el aliado solicita los equipos que desea le sean consignados. El responsable de la consignacin de equipos y accesorios de la OAC, verifica si el aliado posee deudas de consignaciones anteriores. En caso positivo, debe cancelar la misma a fin de que se le pueda asignar otros equipos. En caso negativo, se procede a llenar en original y copia, el formulario denominado nota de entrega, que esta identificado por un nmero secuencial. En la nota se registran los datos (Serial, tipo, marca y modelo) de los equipos a consignar. El original queda en manos del aliado, y la copia en los archivos de la OAC. Posteriormente, se rebaja del sistema de inventario, el equipo entregado pendiente de pago, y se hace la actualizacin de los equipos entregados. 2. Devolucin de equipos y accesorios En la OAC, se extrae del archivo la copia de la nota de entrega que identifica los seriales de los equipos que el aliado desea devolver y se le coloca una observacin con los datos de fecha y motivo de la devolucin. Luego, el(los) equipo(s) devuelto(s) se coloca(n) como disponible(s) en el sistema de inventario y se registran como devuelto(s)
14.797.652
Pg. 47/49
3. Pago de Equipos y Accesorios En la OAC, se extrae del archivo la copia de la nota de entrega que identifica los seriales de los equipos que desean pagar, y se emite la factura en original y copia mediante el sistema de venta. La factura original se entrega al aliado MODCOM, la copia se anexa a la nota de entrega y se archiva; y finalmente, el pago de los equipos se registra. El Sistema para la consignacin de equipos (SICOE) EL objetivo del SICOE es llevar un control ptimo de los equipos que se consignan a los aliados, y del mismo modo, suministrar informacin pertinente y precisa sobre los equipos pendientes por pagar, vendidos y devueltos. Las salidas del sistema son las siguientes: 1. Catalogo de Mdulos de Comunicaciones Contiene todos los mdulos de comunicaciones que estn bajo la jurisdiccin comercial de cada OAC. Los datos que contiene son: Cdigo de sumaria (se entiende por sumaria el cdigo nico que TELVEN asigna a cada aliado), nombre del aliado, razn social, rif, direccin comercial, correo electrnico, telfono comercial1, telfono comercial 2, nombre del encargado, telefono1 del encargado, telfono 2 del encargado 2. Catlogo de equipos Contiene todos los equipos y accesorios posibles de consignar a un aliado. Los datos que contiene son: serial del equipo, tipo del equipo, marca del equipo, modelo del equipo y monto unitario. 3. Nota de entrega Contiene el (los) equipo(s) entregado(s) a un aliado bajo una misma nota. Los datos que contiene son: numero de la nota de entrega, fecha de la nota de entrega, cdigo sumaria, nombre del aliado, telfono 1 del aliado, direccin el aliado, serial del equipo, tipo del equipo, marca del equipo, modelo del equipo, monto unitario del equipo, monto total de los equipos, impuesto por el total de los equipos, monto total, observaciones, nombre y cedula de la persona autorizada por TELVEN para la entrega, nombre y cedula de la persona autorizada para el aliado. 4. Nota de devolucin Contiene el (los) equipo(s) devueltos por un aliado en un mismo momento. Los datos que contiene son: nmero de la nota de entrega, fecha de la nota de entrega, cdigo de sumaria, nombre del aliado, serial del equipo, tipo del equipo, marca del equipo, modelo del equipo, fecha de devolucin y motivo de la devolucin 5. Equipos vendidos Contiene el (los) equipo(s) vendido(s) a un aliado en un mismo momento. Los datos que contiene son: serial del equipo, tipo del equipo, marca del equipo, modelo del equipo, monto unitario del equipo, fecha de cancelacin y numero de factura 6. Estado de los equipos y accesorios a una fecha dada Esta salida requiere para su ejecucin de tres parmetros: identificacin del equipo (serial, tipo, marca, modelo), estado (pendiente, devuelto, vendido), y rango de fechas (fecha desde y fecha hasta). En caso que un parmetro se coloque en blanco o en cero, se entender que se deben considerar todos los valores posibles wuilane_sequera@hotmail.com Sistemas de Informacin III 338
14.797.652
Pg. 48/49
7. Equipos Consignados a un MODCOM y pendientes de pago Contiene los equipos consignados a un aliado en particular y pendientes por pagar. Los datos que contiene son: cdigo de sumaria, nombre del aliado, identificacin del equipo (serial, tipo, marca, modelo), numero y fecha de la nota de entrega La aplicacin del Sistema SICOE se ejecuta en el servidor de la intranet corporativa de TELVEN y el cliente de cada MODCOM solo puede solicitar la ejecucin de la salida nmero 7. Equipos Consignados a un MODCOM y pendientes de pago
BIBLIOGRAFIA
14.797.652
Pg. 49/49
Piattini, M.G. y del Peso, E [2001] Auditoria Informtica: un enfoque prctico. Madrid, Espaa. Editorial Ra-ma, Alfaomega Grupo Editor, S.A. 2 edicin Roberto Sobrinos Snchez, [1999] Planificacin y Gestin de Sistemas de Informacin, Normas COBIT, Trabajo de Teora, Escuela superior de informtica de la Ciudad Real De Castilla-La Mancha IT Governance Institute, [2005] COBIT 4.0, Estados Unidos de Amrica Mamani P. Orlando J, Orohuanca A. Michella, y Otros [2004] auditoria informtica Municipalidad provincial mariscal, Trabajo de Auditoria informtica y Auditoria de sistemas de computo; Ing. De sistemas e Informtica de la Universidad Jos Carlos Maritegui.

Trabajo Practico 2

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Trabajo Practico 2

Загружено:

Авторское право:

Доступные форматы

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar INTRODUCCIN

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar 3. Evaluar velocidad la

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar o.

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar 4. Objetivos y alcance de la Auditoria

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

AREAS CRTICAS DE REDES Gestin Administrativa de la red

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

60% 60% 60% 60% 40%

Evaluacin de anlisis de la red de cmputo

wuilane_sequera@hotmail.com Sistemas de Informacin III 338

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

60% 40% 40%

60% 60% 40%

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

AREAS CRTICAS DE SEGURIDAD wuilane_sequera@hotmail.com Sistemas de Informacin III 338

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

Evaluacin en el acceso al sistema

40% 40% 20% 20%

40% 40% 20%

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

60% 60% 40% 40%

TP N 2 338 2008-1 Luis Wuilane Sequera Aguilar

60% 60% 40% 20%

60% 40% 40%