AUDITORIA DE SISTEMAS

DOCENTE ALEX SIERRA

PRESENTADO POR ENILDA LLAMAS SOSSA JHEISON ALVAREZ PERNETH ERVIN LOPEZ ALANDETE YERINA OLIVO MUOZ SHIRLEY SANCHEZ RUIZ

UNIVERSIDAD LIBRE, IX SEMESTRE DE CONTADURIA PBLICA

CARTAGENA DE INDIAS DISTRITO TURISTICO Y CULTURAL, 21 DE NOVIEMBRE DE 2011

AUDITORIA DE TECNOLOGIAS Y SISTEMAS DE INFORMACION Seguridad Fsica y del Entorno. o o o o o o o o o o o Permetro de Seguridad. Controles fsicos de entrada. Seguridad de oficinas, despachos e instalaciones. Proteccin contra amenazas externas y ambientales. Trabajo en reas seguras. reas de acceso pblico, reas de carga y descarga. Instalacin y proteccin de los equipos. Suministro elctrico. Seguridad del cableado. Mantenimiento de equipos. Seguridad de los equipos fuera de los locales de la Seguridad en la neutralizacin, enajenacin o desechado de Salida de las instalaciones.

organizacin. o equipos. o

Control de Acceso

o o o o o o o

Poltica de control de acceso. Gestin de accesos de usuarios. Gestin de privilegios. Revisin de derechos de acceso de usuarios. Equipo informtico de usuario desatendido. Polticas de limpieza de escritorio y pantalla. Informtica mvil y comunicaciones.

AUDITORIA DE LA SEGURIDAD FISICA CUESTONARIO DE SEGURIDAD FISICA PROCEDIMIENTOS GENERALES

Control Existe una poltica de seguridad fsica en la empresa y esta actualizada? Existen y se difunden los planes de contingencia / emergencia? Existe un registro de todos los incidentes de seguridad y estn clasificados segn su gravedad? Se dan conferencias sobre Seguridad Fsica a todos los empleados al incorporarse al trabajo y de forma peridica? En los contratos de comunicaciones, estn claramente reflejados los parmetros que definen la calidad de servicio, como ancho de banda, CIR, tiempo de respuesta de averas, etc.? Se ha hecho un anlisis de riesgos de la Seguridad Fsica? Tiene todo el personal disponible un listado con los nmeros de telfono ms importantes en caso de emergencia? Se realizan simulacros / ejercicios en caso de emergencia? Tiene la empresa contratados seguros generales? Tiene la empresa contratados seguros especficos de las tecnologas de la informacin?

Estado 4

Observaciones

3 5

Tiene la empresa un seguro especfico de responsabilidad civil?

Control Existen planos sobre las rutas de emergencia? Estn bien sealizadas las rutas y salidas de emergencia? La ubicacin del CPD esta estudiada y documentada? Se ha evaluado el riesgo del edificio y zonas aledaas? Existe un estudio de las condiciones estructurales del edificio (Tipo y espesor de paredes, vigas, suelos y techos)? Existen planos de todas las conducciones y estn actualizados (climatizacin, agua, elctrica, comunicaciones)? Tiene el edificio escaleras de emergencia? Cuenta el edificio con pararrayos y respetan la normativa vigente? Las salas de ordenadores estn alejadas y aisladas de los ruidos y las vibraciones? El tiempo de respuesta de los servicios de emergencia (bomberos, ambulancia, polica, etc.) es inferior a 15 minutos? Existe un sistema de climatizacin adecuado? Existe un sistema de climatizacin

Estado 5

Observaciones

4 3 4

2 5

de emergencia? Hay un sistema de vigilancia de la instalacin, de climatizacin y de medida de las caractersticas ambientales (humedad, temperatura, partculas en suspensin)? Se realiza un mantenimiento adecuado del sistema de climatizacin (inspecciones, cambio de filtros, limpieza de conductos... CONTROL DE ACCESO Control Se ha realizado un estudio de riesgo de intrusin en el edificio? Se ha realizado un anlisis de riesgos de acceso al CPD? El CPD esta completamente aislado del resto del edificio y sus accesos controlados? Existe un circuito cerrado de televisin que controle el acceso al CPD y las puertas de emergencia? Existe un registro escrito o impreso de todos los accesos a todas las salas de equipos informticos? Existe un sistema de control de acceso biomtrico? Todas las personas con acceso autorizado tienen una tarjeta de identificacin y estn controlados? Todo el personal, ajeno o no a la empresa, exhibe de forma clara la tarjeta de identificacin? Se utiliza un sistema de control de acceso automtico para el acceso al

Estado 2 3

Observaciones

Solo en el rea de produccin.

CPD? El acceso al CPD esta auditado, tanto para la entrada como para la salida? Existen procedimientos especficos de control de acceso para el personal ajeno a la empresa? Existe una vigilancia exterior por medio de detectores de intrusin, conectado a un puesto permanente de vigilancia? Existe una vigilancia interior por medio de detectores de intrusin, conectado a un puesto permanente de vigilancia? Todas las salidas de emergencia estn equipadas con un dispositivo de control, unido a un puesto permanente de vigilancia que alerte de su apertura? Control Las oficinas se cierran con llave y se verifica su cierre al terminar la jornada laboral? Se aplica en la empresa la poltica de mesas vacas? Se ha verificado la resistencia de los muros del edificio ante un intento de intrusin? Se ha verificado la resistencia de las puertas (calidad de los marcos, resistencia de las puertas, calidad de los cerrojos y cerraduras)? Se ha verificado la resistencia de las ventanas? Las ventanas de las plantas bajas disponen de rejas o barrotes y se ha verificado su resistencia? 2 1

Estado 5

Observaciones

Se necesita un permiso expreso para acceder al CPD? Se notifican al CPD con suficiente antelacin las vistas previstas? Hay un control y archivo diarios de las grabaciones del sistema de vigilancia? Existe un servicio de vigilantes de seguridad? Existe un procedimiento de rondas y de verificacin de la seguridad fsica? Existe un procedimiento de recepcin de materiales, que garanticen su inspeccin antes de su traslado al interior del edificio? Existe un control de la entrada y salida de material?

5 5 5

Estado Existe un sistema de deteccin de metales? Existe un procedimiento especfico de control de acceso del personal de limpieza? CUESTIONARIO SOBRE INCENDIO Control Estad o 1

Observaciones

Observaciones

Se ha realizado un estudio de los riesgos de incendio que cubra tanto la prevencin como la proteccin? Los tabiques y revestimientos de

muros, techos y suelos estn fabricados con materiales ignfugos? El mobiliario del edificio del CPD es ignifugo? Existe un sistema automtico de deteccin de incendios y esta conectado a una central de alarmas? Los conductos de aire acondicionados / ventilacin estn equipados con vlvulas automticas contra incendios? Se activa automticamente el sistema de corte de energa elctrica tras la deteccin de un incendio? Hay barreras como puertas antifuego y/o cortinas antihumos en los lugares susceptibles de ser utilizadas? Las puertas cortafuegos se cierran automticamente al saltar la alarma? Existe una instalacin fija de contra incendios en el CPD? Existe un suministro adecuado de agua para los sistemas de extincin de incendios?

Control La instalacin de deteccin automtica de incendios est compuesta por al menos dos tipos de detectores (por ejemplo: detectores de humo inico y ptico)?

Estad o 3

Observaciones

Existe un indicador luminoso y sonoro fuera del CPD cuando el sistema contra incendios se dispara? Estas instalaciones son revisadas peridicamente, conforme a la reglamentacin y tienen un mantenimiento adecuado? El numero y distribucin de dispositivos de alarma contra incendios es el adecuado? las instalaciones de extincin automtica estn realizadas segn la normativa vigente y estn certificadas como tales? Las instalaciones de extincin automtica se verifican peridicamente de acuerdo con la normativa y su mantenimiento se realiza regularmente? Cuando las instalaciones de extincin automtica se quedan fuera de servicio Se sealiza automticamente en un puesto permanente de vigilancia ocupado por dos personas como mnimo? Existe una instalacin de extintores porttiles en el conjunto de los locales informticos y el equipamiento del entorno? La instalacin de extintores porttiles cumple la normativa vigente? Existen indicaciones claramente visibles acerca de las condiciones de uso de los extintores?

Control

Estad o

Observaciones

Los extintores porttiles se verifican peridicamente de acuerdo con la normativa y su mantenimiento se realiza adecuadamente? Se utiliza solo papeleras metlicas en el edificio y papeleras ignifugas con sus correspondientes tapas en las salas de ordenadores? La cantidad de papel almacenada en las salas de impresin es inferior a las necesidades de un da de produccin? Los productos diversos de mantenimiento, fcilmente inflamables se almacenan fuera del CPD? Los documentos o soportes informticos de inters para la empresa se guardan en armarios ignfugos? Est prohibido fumar en el CPD y se respeta la prohibicin? Se efecta una limpieza peridica de los espacios ocultos (bajo el falso suelo, escaleras, etc.)? Se evita la acumulacin de material innecesario en el CPD? Se utilizan contenedores de basura resistentes al fuego? AGUA Control Los problemas relacionados con el agua (lluvia, goteras, agua a presin de dispositivos contra incendios, inundaciones), han sido tratados adecuadamente (filtracin, drenaje, sifones, sumideros)?

5 5 5

Estad o

Observaciones

10

Se ha hecho un estudio acerca de la posibilidad de inundaciones en la zona? El techo de la sala donde se encuentran los equipos informticos es impermeable? Control Existe un sistema automtico de deteccin de fugas de agua (en los locales superiores al CPD? Existen planos actualizados con la situacin de todas las tuberas (agua potable, desages, aire acondicionados)? Existe un sistema de llaves de paso, as como planos claros, actualizados y fcilmente disponibles de las canalizaciones? Existe un sistema de drenaje adecuado en falso suelo y en salas adyacentes al CPD? Hay instaladas bombas de achique por si fueran necesarias? Se realiza una revisin peridica del estado de las tuberas, llaves de paso y canalizaciones? Existen detectores de humedad / agua en el falso suelo? Estn los sistemas de deteccin conectados con un puesto permanente de vigilancia con al menos dos personas? Se revisan peridicamente los detectores? Todo el sistema de cableado est protegido contra inundaciones / humedad?

Estad o 2

Observaciones

5 4

5 2

2 5

11

Hay instaladas bombas de achique como mecanismo de emergencia en caso de inundacin?

SUMINISTRO ELECTRICO Control Existe un sistema de vigilancia de la calidad y continuidad del suministro elctrico? El suministro elctrico es redundante (dos compaas, dos lneas de entrada diferentes)? Existe un sistema de alimentacin ininterrumpida? El tipo de SAI y el mantenimiento del SAI es adecuado (inspecciones, pruebas, revisin de bateras)? Qu autonoma proporciona el SAI (tiempo)? Existe un sistema automtico de generacin de energa elctrica? La capacidad de generacin de estos grupos electrgenos, Es suficiente para garantizar la seguridad de los edificios y el funcionamiento de los equipos informticos? Se realizan pruebas peridicas de las instalaciones de los grupos electrgenos? Los paneles de control de energa elctrica estn cerrados con llave? La instalacin elctrica del edificio cumple con la normativa vigente? Se realizan peridicas de inspecciones todas las Estad o 4 5 Observaciones

5 4 5 Da hora y media de proporcin de tiempo

5 5

12

instalaciones elctrico?

de

suministro 5

Existen elementos de proteccin contra sobre tensin? Existe un dispositivo de corte manual de energa para emergencias (machete de corte)? se verifica su funcionamiento?

Control Se encuentran los interruptores de emergencia ubicados cerca de las salidas de emergencia? Est restringido el acceso a los cuadros de alimentacin? Cumple el edificio la normativa vigente en cuanto a la instalacin elctrica? Estn claramente indicados los locales o puntos de riesgo de descarga elctrica? Est el personal instruido y existen carteles claramente visibles sobre las acciones a tomar en caso de descarga elctrica? Tienen los equipos informticos placas para que el personal se descargue de la electricidad esttica? COMUNICACIONES Control Existen sistemas de comunicacin alternativos en caso de avera o fallo? Se dispone de dos proveedores de comunicaciones, o en su defecto de

Estad o 4 5

Observaciones

Estad o 5

Observaciones

13

un nico proveedor con dos puntos de acceso distintos y que recorran distintos caminos? En los contratos de comunicaciones, estn claramente reflejados los parmetros que definen la calidad de servicio, como ancho de banda, CIR, tiempo de respuesta de averas, etc.? Existe algn plano de la instalacin del cableado y sistemas de comunicaciones en el edificio? Se realizan pruebas peridicas para garantizar la calidad de las lneas y sistemas de comunicacin? El cableado de comunicaciones, es fcilmente accesible para las labores de mantenimiento? Control El personal de mantenimiento, es custodiado mientras realiza sus labores? Los panales de control de las comunicaciones, son revisados peridicamente? El cableado, est protegido frente a accesos no autorizados, sabotaje, interceptacin, etc.? Los equipos de comunicaciones se encuentran en un lugar de acceso restringido? El cableado de comunicaciones est separado de la instalacin elctrica? Existe alguna proteccin fsica para los principales cables de conexin con el proveedor de comunicaciones?

Estad o 3

Observaciones

5 5

14

Se ha realizado un estudio sobre la problemtica TEMPEST? HARDWARE / SOFTWARE Control Existe un plan establecido para el mantenimiento y la proteccin del hardware y de los soportes de almacenamiento de la informacin? Existe un control de configuracin del hardware y del software? Existe un plan de mantenimiento del hardware? Existe un registro de la entrada y salida del hardware? Existe algn procedimiento fsico de identificacin del hardware (grabado con el logotipo de la empresa)? Se registran y documentan todos los fallos software que se detectan?

Estad o 5

Observaciones

5 5 5 5

Control

Estad o 3

Observaciones

Existe algn procedimiento o norma de registro y custodia de los soportes? Es necesaria una autorizacin para permitir la salida de soporte de su lugar de almacenamiento? Existen mecanismos para verificar la integridad de los datos almacenados en los soportes? Existe algn procedimiento etiquetado de soportes? de

5 5

15

Se respetan los tiempos de vida medios de los soportes y las condiciones de almacenamiento de los mismos? Se siguen los consejos del fabricante en cuanto a condiciones de almacenamiento de los soportes? Existen al menos dos copias de software de aplicacin y de base, alimentadas en lugares distintos al de su utilizacin (al menos una de las copias) para el caso de que se tenga que realizar una nueva instalacin? La adquisicin de los soportes, se realiza en diferentes lotes? Los soportes, se encuentran almacenados en un lugar lo suficientemente alejados del CPD? Se procede a un borrado seguro de los soportes antes de ser reutilizados? Existen maquinas adecuadas de destruccin de soportes magnticos?

2. A qu se dedica la empresa encuestada? Es una empresa dedicada a la comercializacin de pollo (entero y despresado) 3. Funciones bsicas del personal integrante del departamento de sistemas?

16

DIRECTOR: Responsable del funcionamiento del software y todos los equipos. ASISTENTE DEL DIRECTOR: Responsable de toda la parte hardware. 4. Establecer que software utilizan la empresa encuestada, adems si tiene alguna implementacin de tipo extranet. La empresa utiliza un programa de software llamado SISTEMA 1, bajo el lenguaje de programacin COBOL. implementacin EXTRANET. 6 Deben realizar un promedio de cada uno de los 7 campos evaluados en la encuesta. Para el campo de Procedimientos generales los resultados son los siguientes: 48% --------------------Nivel de Satisfaccin 5 28%--------------------Nivel de Satisfaccin 12%--------------------Nivel de Satisfaccin 12%--------------------Nivel de Satisfaccin 4 3 3 La empresa no utiliza

Para el campo de Control de Acceso los resultados son los siguientes: 50%--------------------Nivel de Satisfaccin 5 18%--------------------Nivel de Satisfaccin 2 15%--------------------Nivel de Satisfaccin 1 10%--------------------Nivel de Satisfaccin 4 7%---------------------Nivel de Satisfaccin 3

Para el campo de Incendio los resultados son los siguientes: 51%---------------------Nivel de Satisfaccin 5 32%---------------------Nivel de Satisfaccin 1

17

14%---------------------Nivel de Satisfaccin 3 3%-----------------------Nivel de Satisfaccin 2 0%-----------------------Nivel de Satisfaccin 4

Para el campo de Agua los resultados son los siguientes: 48%-----------------------Nivel de Satisfaccin 5 24%-----------------------Nivel de Satisfaccin 4 16%-----------------------Nivel de Satisfaccin 2 9%-------------------------Nivel de Satisfaccin 3 3%-------------------------Nivel de Satisfaccin 1 Para el campo de Comunicaciones los resultados son los siguientes: 69%-------------------------Nivel de Satisfaccin 5 15%-------------------------Nivel de Satisfaccin 4 8%--------------------------Nivel de Satisfaccin 8%--------------------------Nivel de Satisfaccin 0%--------------------------Nivel de Satisfaccin 3 1 2

Para el campo de Hardware y Software los resultados son los siguientes: 82%------------------------Nivel de Satisfaccin 12%------------------------Nivel de Satisfaccin 6%--------------------------Nivel de Satisfaccin 0%--------------------------Nivel de Satisfaccin 0%--------------------------Nivel de Satisfaccin 5 3 1 2 4

18

Para el campo de Suministro Elctrico los resultados son los siguientes: 57%-------------------------Nivel de Satisfaccin 31%-------------------------Nivel de Satisfaccin 6%---------------------------Nivel de Satisfaccin 6%---------------------------Nivel de Satisfaccin 0%---------------------------Nivel de Satisfaccin 5 4 3 1 2

19

7. Deben citar 5 fallas encontradas en la empresa con el respectivo costo de posibles soluciones. 1) No hay sensores de Incendio Bosch Fmm-7045-d Interruptor Alarma De Incendio

Precio: $ 250.000

20

2) Paredes Ignfugos

Precio: 700.000 cada lado. 3) No hay registro de acceso al CPD Esta solucin no tiene mayor costo, lo nico que debemos emplear es un poco ms de tiempo en tomar los datos de las personas que ingresan y a que hora ingresan y salen del CPD.

21

4) No hay detector de Humedad

Precio: 350.000

5) No hay detectores de metales Detector De Metales Garrett Sper Scanner De Mano

Precio: 280.000

22