INACAP RANCAGUA

INGENIERA EN
INFORMTICA Auditora
Computacional

INFORME FINAL GUIA

ISACA
SALA CUNA Y JARDN INFANTIL
TUXITOS

Nombre Alumno (s): Viviana Castro G.

Pablo Morales
S. Juan
Ramrez O.
Nombre Profesor: Bianka Barrios S.
Fecha: 09 de diciembre de 2011

AGENDA
INTRODUCCIN............................................................................................................. 3
ALCANCE........................................................................................................................ 4
OBJETIVOS .................................................................................................................... 6
PERIODO DE COBERTURA........................................................................................... 8
NATURALEZA Y EXTENSIN DEL TRABAJO DE AUDITORA .................................... 9
GESTIN ..................................................................................................................... 9
SEGURIDAD LGICA (CHICOCOSOFT).................................................................... 9
SEGURIDAD LGICA (SISTEMAS) .......................................................................... 10
SEGURIDAD FSICA ................................................................................................. 10
BASE DE DATOS ...................................................................................................... 11
COMUNICACIONES .................................................................................................. 11
PRODUCCIN........................................................................................................... 11
HERRAMIENTAS Y TCNICAS PARA LA AUDITORA INFORMTICA .................. 12
ORGANIZACIN ........................................................................................................... 13
DESTINATARIOS DEL INFORME ................................................................................ 14
RESTRICCIONES ......................................................................................................... 15
HALLAZGOS ................................................................................................................. 17
CONCLUSIONES .......................................................................................................... 18
RECOMENDACIONES ................................................................................................. 18

INTRODUCCIN
El presente informe est referido a la Auditoria Informtica realizada bajo la Gua ISACA
a la organizacin Sala Cuna y Jardn Infantil Tuxitos.
Es importante destacar la relevancia de realizar dicha tarea bajo el marco que ofrece la
organizacin ISACA, ya que es una organizacin profesional e internacional que
establece las pautas para los profesionales del gobierno, control, seguridad y auditora
de informacin. Sus normas de auditora y control de SI son seguidas por profesionales
de todo el mundo (ms de 95.000 miembros en ms de 160 pases) y sus
investigaciones abordan temas profesionales que son desafos para sus constituyentes,
que a la vez retroalimentan de forma continua a sus asociados, la que ha sido
considerada durante mucho tiempo una de las mayores fortalezas de ISACA.
La Gua ISACA proporciona las prcticas recomendadas para preparar un informe de
auditora.

ALCANCE
El alcance de la Auditoria especificara requerimientos para planificar, establecer,
implementar, operar, monitorear, revisar, probar, mantener y mejorar un Sistema de
Gestin de Salas Cunas y Jardines Infantiles Tuxitos, para controlar los principales
riesgos de la organizacin.
A continuacin se detalla lo que se incluir el alcance en esta auditoria:
Instalaciones de la Organizacin
Oficinas
Sala de Profesores
Laboratorio de Computacin
Cableado Estructurado, Puntos de Red
Instalacin Elctrica
Sala de Comunicaciones
Enlace
Equipos de Comunicaciones
Cableado Estructurado
Instalacin Elctrica
Dispositivo de alimentacin elctrica ininterrumpida - UPS
Temperatura

Servidores
Software
o Sistema Operativo
o Aplicaciones
o Base de Datos
o Servicios
o Carga
o Seguridad
o Respaldos
o Documentacin
Hardware
Equipos PC
Software
o Sistema Operativo
o Aplicaciones Cliente-Servidor
o Seguridad
Hardware

OBJETIVOS
Dentro de la organizacin es necesario auditar la funcin informtica, ya que es
de mucha importancia para el buen desempeo de los sistemas de informacin,
proporcionando los controles necesarios para que los sistemas sean confiables y
robustos a nivel de seguridad.
Comprobar la eficiencia y eficacia de los sistemas y recursos informticos.
Dentro de la organizacin se necesita que los procesos productivos se
mantengan continuos en el tiempo.
Gestionar la seguridad y el riesgo, que en su forma general contiene cuatro
fases:
o Anlisis:

Determina

los

componentes

que

requiere

proteccin

en

ChicocoSoft, sus vulnerabilidades que lo debilitan y las amenazas que lo

ponen en peligro, con el resultado de revelar su grado de riesgo.
o Clasificacin: Determina si los riesgos encontrados y los riesgos restantes
son aceptables.
o Reduccin: Define e implementa las medidas de proteccin. Adems
sensibiliza y capacita los usuarios conforme a las medidas.
o Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las
medidas, para determinar y ajustar las medidas deficientes y sanciona el
incumplimiento.
Todo el proceso est basado en las llamadas polticas de seguridad, normas y
reglas institucionales, que forman el marco operativo del proceso, con el
propsito de:
o Potenciar las capacidades de la organizacin, reduciendo la vulnerabilidad y
limitando las amenazas con el resultado de reducir el riesgo.
o Orientar el funcionamiento organizativo y funcional.
o Garantizar comportamiento homogneo.
o Garantizar correccin de conductas o prcticas que nos hacen vulnerables.
o Conducir a la coherencia entre lo que se piensa, se dice y se hace.
6

Correcto cumplimiento de las normas y procedimientos del rea TI. Es sumamente

importante que el personal de la organizacin realice su trabajo con base a objetivos
y metas comunes. Para lograrlo, todos deben ajustarse a las normas de trabajo que
la organizacin establece. Las razones que justifican tener normas y procedimientos
en el rea, son que la unin de criterios evita confusiones y errores, ahorra recursos,
reduce el esfuerzo y aumenta la seguridad, contribuyendo as a alcanzar los
objetivos operacionales de la organizacin. Para lograr el cumplimiento efectivo de
dichas normas y procedimientos de trabajo, stas se deben ser comunicadas al
personal mediante: capacitacin, reuniones de trabajo, distribucin de copias
impresas de los reglamentos vigentes, y con la colocacin en sitios estratgicos de
letreros claros y visibles con las reglas del rea. El jefe o supervisor del rea TI debe
asegurarse

que

sus subordinados

comprendan

los

reglamentos

y hagan

correctamente su trabajo.

Asegurar la continuidad de las operaciones. El ambiente de negocios actual, obliga a

las empresas a mantener una adecuada administracin de la continuidad de las
operaciones. Cada da se tienen ms aplicaciones que ayudan a la produccin, que
se basan en la tecnologa de informacin, por lo que las organizaciones en
prcticamente todos los sectores se han hecho ms dependientes de TI, provocando
que cualquier falla de esta les puede afectar severamente.

PERIODO DE COBERTURA
Debido a la reciente implementacin del Sistema de Gestin de Salas Cunas y Jardines
Infantiles ChicocoSoft, se program la primera Auditoria al sistema entre los das 5 al
8 de diciembre de 2011.
El equipo auditor perteneciente a la empresa ISACA-CHILE est compuesto por los
Ingenieros en Informtica:
Viviana Castro Gaete (experta en Administracin y Gestin Informtica).
Pablo Morales Salinas (experto en Sistemas Unix, Seguridad Informtica y
Comunicaciones).
Juan Ramrez Ordenes (experto

en Desarrollo de Sistemas, Seguridad

Informtica y Bases de Datos).

NATURALEZA Y EXTENSIN DEL TRABAJO DE AUDITORA

Las caractersticas de esta Auditoria Informtica son de mbito amplio, es un trabajo
integral, y engloba variables importantes como:
Gestin
Proteccin de Datos
Seguridad Base
de Datos
Comunicaciones
Produccin

GESTIN
Dentro de este tipo de auditoria tenemos que tener en cuenta lo siguiente:
Contrato con ISP (Enlace Dedicado).
Contrato con ChicocoSoft.
Contrato con empresa de Soporte Informtico.
Licencias de garantas (Hardware).
Documentacin de aplicaciones.
Licencias de Software (solo si existen).
Registro de series (inventario) de Hardware.
Documentacin legal.

SEGURIDAD LGICA (CHICOCOSOFT)

Dentro de este tipo de auditoria tenemos que tener en cuenta lo siguiente:
Los datos

deben ser ntegros, estar disponibles,

ser confidenciales

autentificables.
9

Acceso a los datos e informacin del nio con restricciones (perfiles, seguridad
de la red y del sistema).
A nivel de sistema, mtodos de autentificacin seguros y auditables, para evitar
corrupciones de nivel externo e interno.
El cumplimiento de la normativa legal respecto al manejo de informacin e
imagen del nio.

SEGURIDAD LGICA (SISTEMAS)

Dentro de este tipo de auditoria tenemos que tener en cuenta lo siguiente:

El Sistema Operativo debe corresponder a una versin estable.
La red debe contar con un Firewall-Proxy (iptables-squid), servidor fsico como
mejor opcin.
Antivirus para control de trfico (clamav).
Correcta poltica de respaldos (con procedimientos documentados).

SEGURIDAD FSICA

Dentro de este tipo de auditoria tenemos que tener en cuenta lo siguiente:

Los equipos (hardware) deben estar ubicados en lugares sin riesgo y tratando
que los equipos crticos (servidores, equipos de comunicaciones) estn en zonas
privadas, sin informacin confidencial a la vista.
Solo personal autorizado debe ingresar a sala de comunicaciones.
Los equipos de comunicaciones deben estar empotrados en un rack.
La sala de comunicaciones debe estar a una temperatura adecuada, estar libre
de objetos que no tengan relacin con el medio y limpia.
Se debe contar con equipos de alimentacin elctrica ininterrumpida (UPS) y/o
un generador elctrico si es necesario.
10

BASE DE DATOS

Dentro de este tipo de auditoria tenemos que tener en cuenta lo siguiente:

La Base de Datos debe estar correctamente normalizada para evitar problemas
de redundancia, evitar problemas en actualizaciones de datos y proteger la
integridad de estos mismos.
El sistema debe contar con registros de los accesos al sistema, cuando se
realizan ingresos, actualizaciones, modificaciones, etc.

COMUNICACIONES

Dentro de este tipo de auditoria tenemos que tener en cuenta lo siguiente:

El cableado estructurado debe estar de acuerdo a la norma (IEEE 802.3), bajo
una topologa de red, rotulado y ordenado.
Los puntos de red deben estar rotulados y sealizados, de acuerdo a la
normativa.

PRODUCCIN

Dentro de este tipo de auditoria tenemos que tener en cuenta lo siguiente:

El sistema debe evitar caer en errores.
La base de datos debe tener una correcta mantencin.
El sistema operativo y sus aplicaciones deben ser optimizados cada cierto
tiempo.
El Soporte Tcnico debe ser rpido y oportuno en la solucin de problemas.

11

HERRAMIENTAS Y TCNICAS PARA LA AUDITORA INFORMTICA

Observacin
o Permite la recoleccin de datos mediante la exploracin, la descripcin, la
comprensin, la identificacin y la generacin de hiptesis sobre el
entorno de la organizacin. En esta observacin se puede ser participe
directo o no en las tareas o situaciones.
Cuestionarios
o Mediante este mtodo se obtiene gran informacin. El cuestionario es un
documento formado por un conjunto de preguntas que deben estar
redactadas

de

forma coherente,

organizadas,

secuenciadas

estructuradas de acuerdo con una determinada planificacin, con el fin de

que sus respuestas nos puedan ofrecer toda la informacin que se
precisa.
Entrevistas
o Mediante este acto de comunicacin oral o escrita que se establece entre
el entrevistador y el entrevistado (o los entrevistados) se espera obtener
informacin clara desde la fuente ms concreta.
Checklist
o Es un tipo de material de apoyo informativo que se utiliza para reducir el
fracaso mediante la compensacin de los posibles lmites de la memoria
humana y la atencin. Esto ayuda a garantizar la coherencia e integridad
en el desempeo de una tarea. Es un documento que detalla uno por uno
distintos aspectos que se deben analizar, comprobar, verificar, etc.
Registros (Log)
o Son registros oficiales de eventos durante un rango de tiempo en
particular. Sirve para registrar datos o informacin sobre un evento en
particular ocurrido en los sistemas.

12

ORGANIZACIN
La Sala Cuna y Jardn Infantil Tuxitos es un moderno establecimiento con
empadronamiento JUNJI ubicado en la calle Ignacio de la Carrera 0571, poblacin
Manuel Rodrguez de la ciudad de Rancagua. Comienza su actividad en el mes de
marzo del ao 2004 y ya con siete aos de funcionamiento tiene un importante apoyo y
reconocimiento por parte de la comunidad rancagina y del sector.
Tuxitos es dirigido por su directora y fundadora la seora Mara Luisa Salinas Escalona,
quien despus de haber participado por 10 aos en la docencia en un colegio
Montessoriano, decidi independizar su pasin por los nios.
La institucin cree en una nueva y mejor educacin pre-escolar. Utiliza una metodologa
de trabajo que rescata lo mejor de los postulados del curriculum montessoriano,
cognoscitivo e integral. A travs de este currculum eclctico potencia las diversas reas
de desarrollo del nio, facilitando adems el despliegue de su autonoma y autovalor.
Adems, se preocupa de mantener a su personal en constante capacitacin y
educacin continua en tcnicas actuales de enseanza, cuidados de nios y modernos
planes de trabajos.
Su estructura organizacional es la siguiente:

13

Aqu es importante que la organizacin este diseada de la siguiente forma:

Jerarquizacin de autoridad de manera que los grupos o individuos separados
por la divisin del trabajo acten coordinadamente.
Divisin del trabajo: Consiste en la designacin de tareas especficas a cada una
de las partes de la organizacin.
Unidad de Direccin: Debe tener un solo jefe y un solo plan.
Jerarqua o Cadena Escala: Debe hacer una lnea de autoridad, del escaln ms
alto al escaln ms bajo de la organizacin.

DESTINATARIOS DEL INFORME

El presente informe est dirigido a la Sra. Bianka Barrios Soto, Directora Nacional del
Departamento

de

Tecnologas

de

la

Informacin

Comunicaciones

(TIC)

correspondiente al Ministerio de Educacin del Gobierno de Chile.

14

RESTRICCIONES
Algunas funciones php que afectan al sistema quedan inhabilitadas.
register_globals en el archivo php.ini esta desabilitado.
Existen 3 perfiles de usuario, cada uno con una interfaz separada que en el cual
acceden solo a los datos permitidos para cada perfil de usuario.
Ninguno de estos 3 perfiles de usuario en la base de datos posee privilegios de
administrador (root).
El perfil de apoderado no puede modificar datos de ningn tipo, solo puede leer
informacin proporcionada en el sistema por la educadora del nivel de su hijo(a).
El perfil educador solo puede modificar datos respecto a su nivel y parte de la
ficha del nio(a).
El Administrativo puede modificar todo tipo de datos.
Existen 3 validaciones de datos: la primera es por Javascript, esta se hace una
vez el usuario escribe los datos en el formulario. La segunda es por los mtodos
POST o GET segn corresponda, esta se hace una vez el sistema recibe y
procesa los datos. La tercera es a travs de la base de datos, revisando que los
tipos de datos sean correctos a los campos de cada tabla alterada.
Todas las cadenas de caracteres son revisadas y "limpiadas" antes de ingresar a
la base de datos, esto para evitar exploits del tipo inyeccin SQL.
Las cmaras funcionan solo en la red local, no tienen salida directa a la web. El
servidor web (que est en la misma red local que las cmaras) se encarga de
hacer el streaming.
Se ha bloqueado el acceso a todos los puertos del servidor, a excepcin de los
puertos TCP 80 (HTTP) y 25 (SMTP). El streaming de video se hace mediante un
applet que funciona por el puerto 80.
El respaldo de la informacin se hace en un servidor remoto conectado va red
VPN al servidor principal.
El directorio donde se aloja el sistema (/www) se encuentra montada en una
particin independiente en otra unidad de disco (HDD).

15

El sistema ChicocoSoft y la web de la organizacin se encuentran en directorios

separados, para evitar posibles explotaciones de vulnerabilidades del sistema de
gestin de contenido (CMS) WordPress.
De la misma forma, el sistema ChicocoSoft y la web poseen distintas bases de
datos y distintos usuarios dentro de la base de datos. La cuenta de usuario de la
web no tiene acceso a la base de datos del sistema y viceversa.

16

HALLAZGOS
A pesar de que el sistema ya se encuentra en produccin, no existe personal
capacitado dentro de la organizacin para realizar una correcta resolucin de
incidencias o problemas informticos.
Existe demora excesiva en la llegada a la resolucin de incidencias por parte del
grupo de soporte informtico contratado para dichos efectos.
No existe en los contratos de trabajo del personal de la organizacin clusulas de
confidencialidad de informacin.
La capacitacin en el manejo de la plataforma de trabajo y del sistema no ha sido
ptima, esto qued demostrado en las etapas de recoleccin de informacin,
donde se vio a los usuarios solicitar ayuda de manera constante.
La sala de comunicaciones an no posee un sistema de ventilacin adecuado a
los equipos que en ella se encuentran.
La sala de comunicaciones se encontr abierta el primer da de la auditoria,
demostrando poco inters en la seguridad de los equipos y sistemas.
El personal de la organizacin sigue usando los mtodos de manejo de
informacin del pasado, segn ellos no confan totalmente en el nuevo sistema
de informacin implementado (ChicocoSoft).

17

CONCLUSIONES
Esta auditoria informtica se conform obteniendo informacin y documentacin de todo
tipo. Este informe final depende de las capacidades del grupo de trabajo para analizar
las situaciones de debilidad o fortaleza de los diferentes medios. Por eso fue necesario
obtener toda la informacin necesaria para emitir un juicio global objetivo, siempre
amparando las evidencias comprobatorias.
Se necesitaba un grupo capacitado de profesionales expertos para comprender los
mecanismos que se desarrollan en el procesamiento de datos de la organizacin
Tuxitos, La auditora del sistema deba hacerse por profesionales expertos, ya que
una auditoria mal hecha puede acarrear consecuencias drsticas a la organizacin,
principalmente econmicas.
ChicocoSoft es un sistema medianamente complejo, por lo que deba someterse a un
control estricto de evaluacin de eficacia y eficiencia. Toda la informacin ahora est
estructurada en este Sistema de Informacin, de aqu, la vital importancia que funcione
correctamente. Si se tiene un sistema informtico propenso a errores, lento, frgil e
inestable; la organizacin nunca saldr a adelante. El xito de Tuxitos depende de
ello, adems debe contar con personal altamente capacitado.
En conclusin, esta auditoria informtica fue la indicada para evaluar de manera
profunda a Tuxitos, a travs de su sistema de informacin automatizado, de aqu su
importancia y relevancia.
RECOMENDACIONES
Es necesario una capacitacin mejorada en el manejo del sistema ChicocoSoft y
en alfabetizacin digital.
Mejorar los contratos del personal con clusulas de confidencialidad de la
informacin.
Buscar una mejor alternativa de empresa de soporte informtico que cumpla con
plazos mnimos de tiempo en la resolucin de incidencias.
Terminar de implementar correctamente la sala de comunicaciones.

18