Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ejemplo Auditoria Isaca
Ejemplo Auditoria Isaca
INGENIERA EN
INFORMTICA Auditora
Computacional
AGENDA
INTRODUCCIN............................................................................................................. 3
ALCANCE........................................................................................................................ 4
OBJETIVOS .................................................................................................................... 6
PERIODO DE COBERTURA........................................................................................... 8
NATURALEZA Y EXTENSIN DEL TRABAJO DE AUDITORA .................................... 9
GESTIN ..................................................................................................................... 9
SEGURIDAD LGICA (CHICOCOSOFT).................................................................... 9
SEGURIDAD LGICA (SISTEMAS) .......................................................................... 10
SEGURIDAD FSICA ................................................................................................. 10
BASE DE DATOS ...................................................................................................... 11
COMUNICACIONES .................................................................................................. 11
PRODUCCIN........................................................................................................... 11
HERRAMIENTAS Y TCNICAS PARA LA AUDITORA INFORMTICA .................. 12
ORGANIZACIN ........................................................................................................... 13
DESTINATARIOS DEL INFORME ................................................................................ 14
RESTRICCIONES ......................................................................................................... 15
HALLAZGOS ................................................................................................................. 17
CONCLUSIONES .......................................................................................................... 18
RECOMENDACIONES ................................................................................................. 18
INTRODUCCIN
El presente informe est referido a la Auditoria Informtica realizada bajo la Gua ISACA
a la organizacin Sala Cuna y Jardn Infantil Tuxitos.
Es importante destacar la relevancia de realizar dicha tarea bajo el marco que ofrece la
organizacin ISACA, ya que es una organizacin profesional e internacional que
establece las pautas para los profesionales del gobierno, control, seguridad y auditora
de informacin. Sus normas de auditora y control de SI son seguidas por profesionales
de todo el mundo (ms de 95.000 miembros en ms de 160 pases) y sus
investigaciones abordan temas profesionales que son desafos para sus constituyentes,
que a la vez retroalimentan de forma continua a sus asociados, la que ha sido
considerada durante mucho tiempo una de las mayores fortalezas de ISACA.
La Gua ISACA proporciona las prcticas recomendadas para preparar un informe de
auditora.
ALCANCE
El alcance de la Auditoria especificara requerimientos para planificar, establecer,
implementar, operar, monitorear, revisar, probar, mantener y mejorar un Sistema de
Gestin de Salas Cunas y Jardines Infantiles Tuxitos, para controlar los principales
riesgos de la organizacin.
A continuacin se detalla lo que se incluir el alcance en esta auditoria:
Instalaciones de la Organizacin
Oficinas
Sala de Profesores
Laboratorio de Computacin
Cableado Estructurado, Puntos de Red
Instalacin Elctrica
Sala de Comunicaciones
Enlace
Equipos de Comunicaciones
Cableado Estructurado
Instalacin Elctrica
Dispositivo de alimentacin elctrica ininterrumpida - UPS
Temperatura
Servidores
Software
o Sistema Operativo
o Aplicaciones
o Base de Datos
o Servicios
o Carga
o Seguridad
o Respaldos
o Documentacin
Hardware
Equipos PC
Software
o Sistema Operativo
o Aplicaciones Cliente-Servidor
o Seguridad
Hardware
OBJETIVOS
Dentro de la organizacin es necesario auditar la funcin informtica, ya que es
de mucha importancia para el buen desempeo de los sistemas de informacin,
proporcionando los controles necesarios para que los sistemas sean confiables y
robustos a nivel de seguridad.
Comprobar la eficiencia y eficacia de los sistemas y recursos informticos.
Dentro de la organizacin se necesita que los procesos productivos se
mantengan continuos en el tiempo.
Gestionar la seguridad y el riesgo, que en su forma general contiene cuatro
fases:
o Anlisis:
Determina
los
componentes
que
requiere
proteccin
en
que
sus subordinados
comprendan
los
reglamentos
y hagan
correctamente su trabajo.
PERIODO DE COBERTURA
Debido a la reciente implementacin del Sistema de Gestin de Salas Cunas y Jardines
Infantiles ChicocoSoft, se program la primera Auditoria al sistema entre los das 5 al
8 de diciembre de 2011.
El equipo auditor perteneciente a la empresa ISACA-CHILE est compuesto por los
Ingenieros en Informtica:
Viviana Castro Gaete (experta en Administracin y Gestin Informtica).
Pablo Morales Salinas (experto en Sistemas Unix, Seguridad Informtica y
Comunicaciones).
Juan Ramrez Ordenes (experto
GESTIN
Dentro de este tipo de auditoria tenemos que tener en cuenta lo siguiente:
Contrato con ISP (Enlace Dedicado).
Contrato con ChicocoSoft.
Contrato con empresa de Soporte Informtico.
Licencias de garantas (Hardware).
Documentacin de aplicaciones.
Licencias de Software (solo si existen).
Registro de series (inventario) de Hardware.
Documentacin legal.
ser confidenciales
autentificables.
9
Acceso a los datos e informacin del nio con restricciones (perfiles, seguridad
de la red y del sistema).
A nivel de sistema, mtodos de autentificacin seguros y auditables, para evitar
corrupciones de nivel externo e interno.
El cumplimiento de la normativa legal respecto al manejo de informacin e
imagen del nio.
SEGURIDAD FSICA
BASE DE DATOS
COMUNICACIONES
PRODUCCIN
11
de
forma coherente,
organizadas,
secuenciadas
12
ORGANIZACIN
La Sala Cuna y Jardn Infantil Tuxitos es un moderno establecimiento con
empadronamiento JUNJI ubicado en la calle Ignacio de la Carrera 0571, poblacin
Manuel Rodrguez de la ciudad de Rancagua. Comienza su actividad en el mes de
marzo del ao 2004 y ya con siete aos de funcionamiento tiene un importante apoyo y
reconocimiento por parte de la comunidad rancagina y del sector.
Tuxitos es dirigido por su directora y fundadora la seora Mara Luisa Salinas Escalona,
quien despus de haber participado por 10 aos en la docencia en un colegio
Montessoriano, decidi independizar su pasin por los nios.
La institucin cree en una nueva y mejor educacin pre-escolar. Utiliza una metodologa
de trabajo que rescata lo mejor de los postulados del curriculum montessoriano,
cognoscitivo e integral. A travs de este currculum eclctico potencia las diversas reas
de desarrollo del nio, facilitando adems el despliegue de su autonoma y autovalor.
Adems, se preocupa de mantener a su personal en constante capacitacin y
educacin continua en tcnicas actuales de enseanza, cuidados de nios y modernos
planes de trabajos.
Su estructura organizacional es la siguiente:
13
de
Tecnologas
de
la
Informacin
Comunicaciones
(TIC)
14
RESTRICCIONES
Algunas funciones php que afectan al sistema quedan inhabilitadas.
register_globals en el archivo php.ini esta desabilitado.
Existen 3 perfiles de usuario, cada uno con una interfaz separada que en el cual
acceden solo a los datos permitidos para cada perfil de usuario.
Ninguno de estos 3 perfiles de usuario en la base de datos posee privilegios de
administrador (root).
El perfil de apoderado no puede modificar datos de ningn tipo, solo puede leer
informacin proporcionada en el sistema por la educadora del nivel de su hijo(a).
El perfil educador solo puede modificar datos respecto a su nivel y parte de la
ficha del nio(a).
El Administrativo puede modificar todo tipo de datos.
Existen 3 validaciones de datos: la primera es por Javascript, esta se hace una
vez el usuario escribe los datos en el formulario. La segunda es por los mtodos
POST o GET segn corresponda, esta se hace una vez el sistema recibe y
procesa los datos. La tercera es a travs de la base de datos, revisando que los
tipos de datos sean correctos a los campos de cada tabla alterada.
Todas las cadenas de caracteres son revisadas y "limpiadas" antes de ingresar a
la base de datos, esto para evitar exploits del tipo inyeccin SQL.
Las cmaras funcionan solo en la red local, no tienen salida directa a la web. El
servidor web (que est en la misma red local que las cmaras) se encarga de
hacer el streaming.
Se ha bloqueado el acceso a todos los puertos del servidor, a excepcin de los
puertos TCP 80 (HTTP) y 25 (SMTP). El streaming de video se hace mediante un
applet que funciona por el puerto 80.
El respaldo de la informacin se hace en un servidor remoto conectado va red
VPN al servidor principal.
El directorio donde se aloja el sistema (/www) se encuentra montada en una
particin independiente en otra unidad de disco (HDD).
15
16
HALLAZGOS
A pesar de que el sistema ya se encuentra en produccin, no existe personal
capacitado dentro de la organizacin para realizar una correcta resolucin de
incidencias o problemas informticos.
Existe demora excesiva en la llegada a la resolucin de incidencias por parte del
grupo de soporte informtico contratado para dichos efectos.
No existe en los contratos de trabajo del personal de la organizacin clusulas de
confidencialidad de informacin.
La capacitacin en el manejo de la plataforma de trabajo y del sistema no ha sido
ptima, esto qued demostrado en las etapas de recoleccin de informacin,
donde se vio a los usuarios solicitar ayuda de manera constante.
La sala de comunicaciones an no posee un sistema de ventilacin adecuado a
los equipos que en ella se encuentran.
La sala de comunicaciones se encontr abierta el primer da de la auditoria,
demostrando poco inters en la seguridad de los equipos y sistemas.
El personal de la organizacin sigue usando los mtodos de manejo de
informacin del pasado, segn ellos no confan totalmente en el nuevo sistema
de informacin implementado (ChicocoSoft).
17
CONCLUSIONES
Esta auditoria informtica se conform obteniendo informacin y documentacin de todo
tipo. Este informe final depende de las capacidades del grupo de trabajo para analizar
las situaciones de debilidad o fortaleza de los diferentes medios. Por eso fue necesario
obtener toda la informacin necesaria para emitir un juicio global objetivo, siempre
amparando las evidencias comprobatorias.
Se necesitaba un grupo capacitado de profesionales expertos para comprender los
mecanismos que se desarrollan en el procesamiento de datos de la organizacin
Tuxitos, La auditora del sistema deba hacerse por profesionales expertos, ya que
una auditoria mal hecha puede acarrear consecuencias drsticas a la organizacin,
principalmente econmicas.
ChicocoSoft es un sistema medianamente complejo, por lo que deba someterse a un
control estricto de evaluacin de eficacia y eficiencia. Toda la informacin ahora est
estructurada en este Sistema de Informacin, de aqu, la vital importancia que funcione
correctamente. Si se tiene un sistema informtico propenso a errores, lento, frgil e
inestable; la organizacin nunca saldr a adelante. El xito de Tuxitos depende de
ello, adems debe contar con personal altamente capacitado.
En conclusin, esta auditoria informtica fue la indicada para evaluar de manera
profunda a Tuxitos, a travs de su sistema de informacin automatizado, de aqu su
importancia y relevancia.
RECOMENDACIONES
Es necesario una capacitacin mejorada en el manejo del sistema ChicocoSoft y
en alfabetizacin digital.
Mejorar los contratos del personal con clusulas de confidencialidad de la
informacin.
Buscar una mejor alternativa de empresa de soporte informtico que cumpla con
plazos mnimos de tiempo en la resolucin de incidencias.
Terminar de implementar correctamente la sala de comunicaciones.
18