Tesis en La Ucv Piura

Universidad Csar Vallejo Piura
Escuela de Ingeniera de Sistemas
UNIVERSIDAD CSAR VALLEJO PIURA FACULTAD DE INGENIERA ESCUELA DE INGENIERA DE SISTEMAS
EVALUACIN DE LA GESTIN EN REDES, COMUNICACIONES Y SERVIDORES EN LA OFICINA DE TECNOLOGAS DE INFORMACIN DE LA UNIVERSIDAD CSAR VALLEJO PIURA MEDIANTE LA APLICACIN DE UNA AUDITORA INFORMTICA BASADA EN COBIT
Tesis para obtener el Ttulo Profesional de Ingeniero de Sistemas
Autores Jorge Armando Burgos Merino Adrin Leonardo Namuche Correa Asesor Ing. CIP. Mario Nizama Reyes Piura-Per 2011
Auditora Gestin en Redes- OTI-Piura
Burgos & Namuche
EVALUACIN
TTULO: EVALUACIN DE LA GESTIN EN REDES, COMUNICACIONES Y
SERVIDORES EN LA OFICINA DE TECNOLOGAS DE INFORMACIN DE LA UNIVERSIDAD CSAR VALLEJO-PIURA MEDIANTE LA APLICACIN DE UNA AUDITORA INFORMTICA BASADA EN COBIT
AUTORES: BURGOS MERINO, JORGE ARMANDO NAMUCHE CORREA, ADRIN LEONARDO
ASESOR:
___________________________ ING. CIP MARIO NIZAMA REYES
JURADOS:
____________________________ JURADO 01
______________________________ JURADO 02
____________________________ JURADO 03 Auditora Gestin en Redes- OTI-Piura 2 Burgos & Namuche
DEDICATORIA A nuestros profesores, por brindarnos sus conocimientos, gua y apoyo para ejercer con xito esta maravillosa profesin. A nuestros padres, por brindarnos su apoyo y por su preocupacin de que nosotros seamos mejores personas A Dios, por darnos esta maravillosa vida que apenas estamos empezando a vivir.
Burgos & Namuche
AGRADECIMIENTOS
Agradecemos a la Universidad Csar Vallejo Filial Piura, al personal de las subreas de redes y soporte de la Oficina de Tecnologas de Informacin a nuestro asesor especialista, y al asesor metodolgico quienes nos han apoyado para poder culminar esta investigacin que ayudar a mejorar la evaluacin de la gestin de redes, comunicaciones y servidores que realiza la Oficina de Tecnologas de Informacin.
Burgos & Namuche
PRESENTACIN
Seores Miembros del Jurado:
Colocamos en sus manos, el
presente el trabajo de Investigacin, cuyo ttulo es
Evaluacin de la Gestin en Redes, Comunicaciones y Servidores en la Oficina de Tecnologas de Informacin de la Universidad Csar Vallejo Piura mediante la aplicacin de una Auditora Informtica basada en COBIT, el mismo que solicitamos sea aceptado para su sustentacin y defensa. Esperando contar con una respuesta aprobatoria a lo solicitado, nos despedimos. Atentamente.
____________________________ Jorge Armando Burgos Merino DNI: 70482758
______________________________ Adrin Leonardo Namuche Correa DNI: 46042820
Burgos & Namuche
ndice
CAPTULO I.................................................................................................................................... 23 GENERALIDADES ........................................................................................................................ 23 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7. Titulo: ............................................................................................................................... 24 Tipo de Investigacin: ................................................................................................... 24 rea de Investigacin: .................................................................................................. 24 Localidad o institucin donde se realiza la investigacin: ....................................... 24 Autores: ........................................................................................................................... 24 Asesor: ............................................................................................................................ 24 Duracin del Proyecto: ................................................................................................. 24
CAPTULO II .................................................................................................................................. 25 PLAN DE INVESTIGACIN ........................................................................................................ 25 2.1. 2.2. Descripcin de la Realidad Problemtica .................................................................. 26 Formulacin del Problema ........................................................................................... 29 Pregunta General .................................................................................................. 29 Preguntas de Investigacin .................................................................................. 29 Objetivos ..................................................................................................................... 29 Objetivo General .................................................................................................... 29 Objetivos Especficos ............................................................................................ 29
2.2.1. 2.2.2. 2.3. 2.3.1. 2.3.2. 2.4. 2.5. 2.6.
Justificacin de la Investigacin .................................................................................. 30 Limitaciones de la Investigacin ................................................................................. 30 Marco Referencial Cientfico ........................................................................................ 31 Antecedentes (internacional, nacional, regional y local) ................................. 31
2.6.1. 2.7.
Marco Terico ................................................................................................................ 36 La Institucin: La Universidad Csar Vallejo Piura ......................................... 36 Oficina de Tecnologas de Informacin.............................................................. 39 Descripcin de la Red de la Universidad Csar Vallejo Filial Piura. .......... 42 La Gestin de Redes, Comunicaciones y Servidores ..................................... 43 El Control Interno Informtico y la Auditora Informtica ................................. 48 La Auditora en Redes .......................................................................................... 51 COBIT y otros estndares aplicados a auditora informtica ......................... 53
2.7.1. 2.7.2. 2.7.3. 2.7.4. 2.7.5. 2.7.6. 2.7.7. 2.8.
Marco Conceptual ......................................................................................................... 56 6 Burgos & Namuche
2.8.1. 2.8.2. 2.8.3. 2.8.4. 2.9. 2.10. 2.10.1.
Auditora Informtica ............................................................................................. 56 Control Interno ....................................................................................................... 57 COBIT...................................................................................................................... 57 Red Informtica...................................................................................................... 58
Hiptesis ......................................................................................................................... 58 Variables e Indicadores ............................................................................................ 58 Variables ................................................................................................................. 58
Variable Independiente ................................................................................................. 58 Variable Dependiente ................................................................................................... 59 Variable Interviniente .................................................................................................... 59 Indicadores ......................................................................................................... 59
2.10.2.
CAPTULO III ................................................................................................................................. 63 METODOLOGA ............................................................................................................................ 63 3.1. 3.2. 3.3. 3.4. 3.5. 3.6. Tipo de Estudio .............................................................................................................. 64 Diseo del Estudio......................................................................................................... 64 Poblacin y Muestra...................................................................................................... 65 Mtodos de Investigacin............................................................................................. 65 Tcnicas e instrumentos de recoleccin de datos ................................................... 66 Mtodos de anlisis de datos ...................................................................................... 69
CAPTULO IV ................................................................................................................................. 70 DESARROLLO DE LA PROPUESTA ........................................................................................ 70 4.1. 4.2. Introduccin .................................................................................................................... 71 Planificacin de la Auditora......................................................................................... 73 Definicin del Objetivo y alcance de la auditoria .............................................. 73 Anlisis del ambiente a auditar............................................................................ 78 Actividades a realizar en la Auditora ................................................................. 83 Recursos a utilizar en la Auditora Informtica ................................................. 88
4.2.1. 4.2.2. 4.2.3. 4.2.4. 4.3.
Ejecucin de la Auditora .............................................................................................. 90 Evaluacin del Entorno de Control ..................................................................... 90 Evaluacin de la Gestin de Riesgos............................................................... 103 Evaluacin de las Actividades de Control Interno de la Gestin de la Red. 114
4.3.1. 4.3.2. 4.3.3.
CAPTULO V ................................................................................................................................ 168 RESULTADOS ............................................................................................................................. 168 Auditora Gestin en Redes- OTI-Piura 7 Burgos & Namuche
5.1. 5.2. 5.3.
Marco Lgico ................................................................................................................ 169 Comparacin de la situacin actual con la situacin deseada ............................. 171 Plan de Mejora ............................................................................................................. 186
5.3.1. Indicador N 01: Nmero de procesos crticos de negocio no incluidos en un plan de contingencia. (NPC) .............................................................................................. 186 5.3.2. Indicador N 02: Porcentaje de Incidentes de Red resueltos en un tiempo ptimo (PIR) ......................................................................................................................... 187 5.3.3. Indicador N 03: Nmero promedio de horas perdidas por usuario al mes, debido a interrupciones de red (NHP) .............................................................................. 190 5.3.4. 5.3.5. Indicador N 04: Nmero de controles aplicados a terceros (NCT) ............ 192 Indicador N 05: Porcentaje de inversin para cubrir los costos en TI (PIATI) 193
5.3.6. Indicador N 06: Nmero promedio de veces por mes que se ha realizado mantenimiento a la red (NMR) .......................................................................................... 194 5.3.7. Indicador N 07: Nmero de controles fsicos para garantizar la continuidad del servicio (NCF) ................................................................................................................ 195 5.3.8. Indicador N 08: Nmero de controles lgicos para garantizar la continuidad del servicio (NCL) ................................................................................................................ 197 5.3.9. Indicador N 09: Nivel de Madurez de la Gestin de Redes de la OTI (NMGR) 198 5.4. Post-Test ....................................................................................................................... 199
5.4.1. Indicador N 01: Nmero de procesos crticos de negocio no incluidos en un plan de contingencia. (NPC). ............................................................................................. 199 5.4.2. Indicador N 02: Porcentaje de incidentes de red resueltos en un tiempo ptimo (PIR) ........................................................................................................................ 201 5.4.3. Indicador N 03: Nmero promedio de horas perdidas por usuario al mes, debido a interrupciones a la red. (NHP) ......................................................................... 201 5.4.4. (NCT) 5.4.5. Indicador N 04: Nmero de controles aplicados a servicios de terceros. 202 Indicador N 05: Porcentaje de inversin para cubrir los costos en TI (PIATI) 203
5.4.6. Indicador N 06: Nmero promedio de veces por mes que se ha realizado mantenimiento a la red (NMR) .......................................................................................... 204 5.4.7. Indicador N 07: Nmero de controles fsicos para garantizar la continuidad del servicio (NCF) ................................................................................................................ 205 5.4.8. Indicador N 08: Nmero de controles Lgicos para garantizar la continuidad del servicio (NCL) ................................................................................................................ 206 5.4.9. Indicador N 09: Nivel de madurez de la gestin de redes de la OTI (NMGR) 207 8 Burgos & Namuche
CAPTULO VI ............................................................................................................................... 209 CONCLUSIONES Y RECOMENDACIONES .......................................................................... 209 6.1. 6.2. 6.3. Conclusiones ................................................................................................................ 210 Contrastacin de Hiptesis ........................................................................................ 211 Recomendaciones ....................................................................................................... 211
CAPTULO VII .............................................................................................................................. 214 REFERENCIAS BIBLIOGRFICAS ......................................................................................... 214 ANEXOS ....................................................................................................................................... 220 ANEXO 1 ................................................................................................................................. 221 CUADRO DE CONSISTENCIA DEL PROYECTO ............................................................ 221 ANEXO 2 .................................................................................................................................. 223 ENCUESTA: DOCUMENTACIN MANEJADA POR LA OFICINA DE TECNOLOGAS DE LA INFORMACIN (OTI) DE LA UCV - PIURA .......................................................... 223 ANEXO 3 .................................................................................................................................. 225 SOLICITUD 01: FACILIDADES PARA REVISAR DOCUMENTACIN ......................... 225 ANEXO 4 .................................................................................................................................. 226 SOLICITUD 02: FACILIDADES PARA REVISAR REGISTROS DE INCIDENTES ..... 226 ANEXO 5 .................................................................................................................................. 227 FICHAS BIBLIOGRFICAS ................................................................................................... 227 ANEXO 6 .................................................................................................................................. 229 GUA DE ENTREVISTA N01: APLICACIN DE POLTICAS Y PROCEDIMIENTOS DE SEGURIDAD EN EL REA DE REDES DE LA OFICINA DE TECNOLOGAS DE INFORMACIN ....................................................................................................................... 229 ANEXO 7 .................................................................................................................................. 231 GUA DE ENTREVISTA N02: APLICACIN DE GESTIN DE RIESGOS Y PLAN DE CONTINGENCIA EN EL REA DE REDES DE LA OFICINA DE TECNOLOGAS DE INFORMACIN ....................................................................................................................... 231 ANEXO 8 .................................................................................................................................. 234 GUA DE ENTREVISTA N03: EVALUACIN DE LA ATENCIN DE INCIDENTES EN LA RED ..................................................................................................................................... 234 ANEXO 9 ................................................................................................................................. 235 GUA DE ENTREVISTA N04: MANTENIMIENTO A LA RED DE LA UNIVERSIDAD .................................................................................................................................................... 235 ANEXO 10 ............................................................................................................................... 236 GUA DE ENTREVISTA N05: CONTROLES FSICOS IMPLEMENTADOS EN LA RED DE LA UNIVERSIDAD ............................................................................................................ 236
Burgos & Namuche
ANEXO 11 ............................................................................................................................... 237 GUA DE ENTREVISTA N06: CONTROLES LGICOS IMPLEMENTADOS EN LA RED DE LA UNIVERSIDAD .................................................................................................. 237 ANEXO 12 ............................................................................................................................... 238 GUA DE ENTREVISTA N07: EVALUACIN DE CONTROLES APLICADOS A TERCEROS.............................................................................................................................. 238 ANEXO 13 ............................................................................................................................... 239 CUESTIONARIO N01: GESTIN DE RIESGOS DE RED ............................................. 239 ANEXO 14 ............................................................................................................................... 240 CUESTIONARIO N02: MANTENIMIENTO DE LA RED .................................................. 240 ANEXO 15 ............................................................................................................................... 241 CUESTIONARIO N03: CUESTIONARIO N04: INVERSIN EN TI (REDES) ............ 241 ANEXO 16 ............................................................................................................................... 242 PROYECTO N01 ................................................................................................................... 242 ANEXO 17 ............................................................................................................................... 245 PROYECTO N02 ................................................................................................................... 245 ANEXO 18 ............................................................................................................................... 248 PROYECTO N03 ................................................................................................................... 248 ANEXO 19 ............................................................................................................................... 251 PROYECTO N04 ................................................................................................................... 251 ANEXO 20 ............................................................................................................................... 254 PROYECTO N05 ................................................................................................................... 254 ANEXO 21 ............................................................................................................................... 256 PROYECTO N06 ................................................................................................................... 256 ANEXO 22 ............................................................................................................................... 258 PROYECTO N07 ................................................................................................................... 258 ANEXO 23 ............................................................................................................................... 260 PROYECTO N08 ................................................................................................................... 260 ANEXO 24 ................................................................................................................................ 262 GUA DE ENTREVISTA N08 ............................................................................................... 262 ANEXO 25: GUA DE OBSERVACIN N01 ..................................................................... 263 ANEXO 26: GUA DE OBSERVACIN N02 ..................................................................... 265 ANEXO 27 ................................................................................................................................ 267 GUA DE OBSERVACIN N03 ........................................................................................... 267 ANEXO 28 ................................................................................................................................ 268 Auditora Gestin en Redes- OTI-Piura 10 Burgos & Namuche
PRESUPUESTO...................................................................................................................... 268 ANEXO 29 ................................................................................................................................ 269 CRONOGRAMA DE ACTIVIDADES .................................................................................... 269 ANEXO 30 ................................................................................................................................ 270 CONSTANCIA DE DESARROLLO DE TESIS ................................................................... 270 ANEXO 31 ................................................................................................................................ 271 CARTA DE PRESENTACIN DE INFORME DE AUDITORA ....................................... 271
11
Burgos & Namuche
ndice de Tablas
Tabla N01: Tabla de Indicadores del Proyecto ...................................................................... 61 Tabla N02: Personal (poblacin) para medir los instrumentos de investigacin (OTI Piura). .......................................................................................................................................... 64 Tabla N03: Tcnicas e Instrumentos usados ......................................................................... 68 Tabla N04: Plan de Trabajo de la Auditora Informtica ....................................................... 72 Tabla N05: Comparacin de los indicadores del proyecto con los procesos de COBIT (Dominio: Dar Soporte) ............................................................................................................. 77 Tabla N06: Planificacin de la Auditora Actividades del plan de trabajo. ...................... 84 Tabla N07: Evaluacin del Entorno de Control Actividades del plan de trabajo............ 84 Tabla N08: Evaluacin de la Gestin de Riesgos Actividades del plan de trabajo ....... 85 Tabla N09: Evaluacin de las Actividades de Control Interno de la Gestin de la Red. Actividades del plan de trabajo ............................................................................................... 87 Tabla N10: Revisin y Anlisis de Resultados. Actividades del plan de trabajo ........... 88 Tabla N11: Elaboracin del Informe de Auditora. Actividades del plan de trabajo ...... 88 Tabla N12: Presupuesto de la ejecucin de la auditora informtica .................................. 89 Tabla N13: Procesos Crticos considerados en el plan de contingencia ......................... 107 Tabla N14: Valores de Impacto .............................................................................................. 109 Tabla N15: Probabilidad de Ocurrencia................................................................................. 110 Tabla N16: Probabilidad de Ocurrencia para Riesgos Fsicos .......................................... 110 Tabla N17: Probabilidad de Ocurrencia para Riesgos Lgicos ......................................... 111 Tabla N18: Impacto para riesgos fsicos ............................................................................... 111 Tabla N19: Impacto para riesgos lgicos .............................................................................. 112
12
Burgos & Namuche
Tabla N20: Tiempo de atencin de incidentes ..................................................................... 123 Tabla N21: Incidentes resueltos dentro del tiempo ptimo ................................................ 127 Tabla N22: Tiempo de atencin de interrupciones de red .................................................. 133 Tabla N23: Frecuencia de atencin de incidentes de Enero a Setiembre (2011). ......... 136 Tabla N24: Clculo del NHP.(2011). ...................................................................................... 137 Tabla N25: Clculo del NHP (2011). ...................................................................................... 142 Tabla N26: Clculo del NHP (2011). ...................................................................................... 143 Tabla N27: Precios unitarios de equipos y elementos de red usado en la UCV - Piura 146 Tabla N28: Frecuencia de atencin de incidentes de mantenimiento de Red de Enero a Setiembre(2011). ..................................................................................................................... 152 Tabla N29: Controles fsicos aplicados por OTI a la red de la UCV- Piura. .................... 156 Tabla N30: Controles lgicos aplicados por OTI a la red de la UCV- Piura .................... 160 Tabla N33: Resumen de Cuestionario N03: Mantenimiento de la Red. ......................... 166 Tabla N34: Comparacin situacin real vs deseada para el indicador NCP ................... 172 Tabla N35: Comparacin situacin real vs deseada para los indicadores PIR y NHP .. 175 Tabla N36: Comparacin situacin real vs deseada para el indicador NCT ................... 176 Tabla N37:Comparacin situacin real vs deseada para el indicador PIATI................... 177 Tabla N38: Comparacin situacin real vs deseada para el indicador NMR .................. 178 Tabla N39: Comparacin situacin real vs deseada para el indicador NCF ................... 181 Tabla N40: Comparacin situacin real vs deseada para el indicador NCL ................... 184 Tabla N41:Plan de mejora para el indicador NPC ............................................................... 186 Tabla N42: Plan de mejora para el indicador PIR ................................................................ 189 Tabla N43: Plan de mejora para el indicador NHP .............................................................. 191 Tabla N44: Plan de mejora para el indicador NCT .............................................................. 192 Tabla N45: Plan de mejora para el indicador PIATI ............................................................ 193 Tabla N46: Plan de mejora para el indicador NMR ............................................................. 194
13
Burgos & Namuche
Tabla N47: Plan de mejora para el indicador NCF .............................................................. 196 Tabla N48: Plan de mejora para el indicador NC................................................................. 197 Tabla N49: Anlisis Pre-Test y Post-Test para el indicador NPC ..................................... 199 Tabla N50: Anlisis Pre-Test y Post-Test para el indicador PIR ....................................... 200 Tabla N51: Anlisis Pre-Test y Post-Test para el indicador NHP ..................................... 201 Tabla N52: Anlisis Pre-Test y Post-Test para el indicador NCT...................................... 202 Tabla N53: Anlisis Pre-Test y Post-Test para el indicador PIATI .................................... 203 Tabla N54: Anlisis Pre-Test y Post-Test para el indicador NMR ..................................... 203 Tabla N55: Anlisis Pre-Test y Post-Test para el indicador NCF...................................... 204 Tabla N56: Anlisis Pre-Test y Post-Test para el indicador NCL ...................................... 205 Tabla N57: Anlisis Pre-Test y Post-Test para el indicador NMGR.................................. 206
14
Burgos & Namuche
ndice de Grficos
Grfico N01: Diagrama de Flujo para el procedimiento de dar de alta a un usuario ....... 94 Grfico N02: Diagrama de Flujo para el procedimiento de dar de baja a un usuario ...... 95 Grfico N03: Diagrama de Flujo para el procedimiento de verificacin de accesos........ 96 Grfico N04: Diagrama de Flujo para el procedimiento de chequeo del trfico de la red ...................................................................................................................................................... 97 Grfico N05: Diagrama de Flujo para el procedimiento de resguardo de copias de seguridad .................................................................................................................................... 98 Grfico N06: Diagrama de Flujo para el procedimiento de monitoreo de los puertos en la red ................................................................................................................................................ 99 Grfico N07: Diagrama de Flujo para el procedimiento de dar a conocer las nuevas normas de seguridad implantadas ........................................................................................ 100 Grfico N08: Diagrama de Flujo para el procedimiento para recuperar informacin .... 101 Grfico N09: Diagrama de Flujo para el procedimiento para la atencin de incidentes 102 Grfico N10: Proporcin de procesos crticos no incluidos en plan de contingencia de OTI ............................................................................................................................................. 108 Grfico N11: Tiempo Promedio de Atencin de Incidentes (TPAI) por OTI en la UCV Piura .......................................................................................................................................... 129 Grfico N12: Tiempo Perdido Mensual por Interrupciones de Servicio de acuerdo a tipo de incidente en la UCV - Piura .............................................................................................. 138 Grfico N13: Proporcin de los controles aplicados a terceros aplicados por las reas de OTI y Logstica ......................................................................................................................... 143 Grfico N14: Porcentaje de inversin para cubrir los costos de TI................................... 148 Grfico N15: Frecuencia mensual de tareas de mantenimiento en la UCV - Piura ....... 153
15
Burgos & Namuche
Grfico N16: Controles fsicos aplicados para mitigar riesgos a la infraestructura fsica de la redde la UCV - Piura ..................................................................................................... 156 Grfico N17: Diagrama deflujo para la gestin de software malicioso aplicado por OTI .................................................................................................................................................... 159 Grfico N18: Controles lgicos aplicados para mitigar riesgos a la infraestructura fsica de la red de la UCV - Piura .................................................................................................... 161 Grfico N19: Anlisis Pre-Test y Post-Test para el indicador NPC .................................. 199 Grfico N20: Anlisis Pre-Test y Post-Test para el indicador PIR.................................... 200 Grfico N21: Anlisis Pre-Test y Post-Test para el indicador NHP .................................. 201 Grfico N22: Anlisis Pre-Test y Post-Test para el indicador NCT .................................. 202 Grfico N23: Anlisis Pre-Test y Post-Test para el indicador PIATI ................................ 203 Grfico N24: Anlisis Pre-Test y Post-Test para el indicador NMR ................................. 204 Grfico N25: Anlisis Pre-Test y Post-Test para el indicador NCF .................................. 205 Grfico N26: Anlisis Pre-Test y Post-Test para el indicador NCF .................................. 206 Grfico N27: Anlisis Pre-Test y Post-Test para el indicador NMGR .............................. 207
16
Burgos & Namuche
ndice de Ilustraciones
Ilustracin N01: Estructura Organizacional de la Universidad Csar Vallejo - Piura...... 37 IlustracinN02: Estructura organizacional de la Oficina de Tecnologas de Informacin de la Universidad Csar Vallejo - Piura ................................................................................. 39 Ilustracin N03: Frmula Diseo Cuasi-experimental Post-Prueba .................................. 63 Ilustracin N04: Desarrollo de los Procesos Acadmicos de la Universidad ................. 105 Ilustracin N05: Prioridades de Atencin ............................................................................. 113
17
Burgos & Namuche
INTRODUCCIN
En la actualidad, las tecnologas de informacin (TI) han dejado de ser una rara curiosidad para convertirse en una necesidad de las organizaciones contemporneas; no obstante la percepcin de la mayora de personas parece detenida en el tiempo. La necesidad de contar con el ltimo grito de las tecnologas emergentes, de jugar con soluciones tecnolgicas exticas sin considerar su impacto, de solucionar un problema de conectividad o de software y olvidarse de l, entre otras prcticas que, si bien es cierto, no son malas, (la curiosidad es buena) se convierten en inapropiadas dentro del contexto equivocado. En casa podemos experimentar, en una organizacin debemos gestionar. Gestionar las tecnologas de informacin (o cualquier otro tipo de gestin) no es tarea fcil, porque implica planificar, administrar, evaluar y controlar, lo que significa que las tecnologas de informacin son elevadas al nivel de recursos que de no ser bien gestionados significan prdidas para la organizacin, para evitarlo, surgen los conceptos (entre muchos otros relacionados con la gestin) de control interno y de auditora. El control interno es una evaluacin constante de los recursos informticos, ya sean las TI propiamente dichas como la informacin que procesan o las personas que los manejan. La auditora es la evaluacin de la gestin en una determinada situacin en el tiempo y el espacio, pero todava persiste el problema de cmo hacerlo o qu se va a auditar. Afortunadamente las buenas prcticas de gestin estn agrupadas en estndares, marcos de trabajo o metodologas que permiten que los gestores de TI se acerquen, explcita o implcitamente a la visin de un FODA del departamento de TI a su cargo. Lo que los convierten en una gua inefable para los altos directivos, gestores de TI, personal de soporte, personal de desarrollo, administradores de red, personal administrativo, auditores, responsables del control interno, etc. Por las razones expuestas se considera necesario aplicar una auditora informtica al rea de redes de la Oficina de Tecnologas de Informacin (OTI) de la UCV Piura usando el marco de trabajo COBIT. La decisin de basar esta auditora, solamente a redes (y no a las TI en general), radica en la importancia de sta en el desarrollo de las actividades educativas y administrativas de la Universidad Csar Vallejo porque stas se basan en una red en la cual depositan toda su confianza. Por otro lado, se escogi COBIT (como estndar de buenas prcticas) porque brinda una visin general de la gestin de TI gracias a sus dominios que tratan los aspectos de una gestin, de los
18
Burgos & Namuche
cuales se han escogido slo los que son ms relevantes al alcance y objetivos de esta investigacin. Para finalizar, es deseo de los investigadores, que el proyecto, una vez terminado, contribuya al mejoramiento del rea de Redes de la OTI en la gestin de la red de la UCV Piura y, adems, sirva de referente para futuras investigaciones al respecto.
19
Burgos & Namuche
RESMEN
Este trabajo de investigacin se realiz con el objetivo de mejorar la gestin de redes, comunicaciones y servidores en la Universidad Csar Vallejo Piura, para ello se aplic una auditora informtica basada en COBIT a la Oficina de Tecnologas de Informacin(OTI) - Subrea de redes y comunicaciones que es la que se encarga de la gestin y administracin de la red de la universidad, para lo cual fue necesario un anlisis previo del ambiente a auditar con el propsito de utilizar COBIT con el enfoque adecuado acorde a la realidad de la subrea de redes y a las posibilidades y limitaciones del grupo investigador. Finalizado el anlisis, se entrevist al jefe del rea sobre la documentacin que se maneja y los procedimientos y polticas de seguridad aplicados, donde se pudo comprobar algunas deficiencias como el no tener la documentacin organizada. Concluida la revisin de documentacin y polticas se procedi a evaluar la gestin de redes utilizando, para ello, nueve indicadores basados en los procesos de los dominios: Dar Soporte y Planear y Organizar de COBIT (consultar tabla de indicadores en los apartados 2.10.2 y 4.2.1).La evaluacin se bas en entrevistas, revisiones bibliogrficas y cuestionarios, complementando a lo anterior la observacin directa de los procedimientos y actividades realizados en la OTI. Como resultado de esta evaluacin, se encontraron algunas deficiencias primero, en lo relacionado a la documentacin la cual es poca y est desorganizada y, en algunos casos, desactualizada; segundo, en lo que respecta a la seguridad, porque OTI aplica controles fsicos y lgicos bsicos pero que no son los adecuados para salvaguardar los activos de informacin de la universidad, adems OTI no realiza seguimiento a los incidentes ms frecuentes ni tampoco realiza tareas de mantenimiento preventivo con regularidad; tercero, en lo que respecta a inversin, OTI no invierte lo suficiente en actualizacin de equipos. En la siguiente tabla se presentaran los resultados obtenidos en cada indicador respectivamente.
20
Burgos & Namuche
Indicador
Resultado
Nmero de procesos crticos de OTI no incluye 3 Procesos crticos de negocio no incluidos en un plan de negocio en el plan de contingencia. contingencia. (NPC) Porcentaje de incidentes de red El 81.81 % de los incidentes de red son resueltos en un tiempo ptimo (PIR) resueltos en un tiempo optimo no mayor de 5.5 horas. Nmero promedio de horas perdidas Se pierden aproximadamente 15 horas por usuario al mes, debido a (14.990) por interrupciones al servicio al interrupciones a la red (NHP) mes. Nmero de controles aplicados servicios de terceros. (NCT) a Se aplican 4 controles a servicios de terceros.
Porcentaje de inversin para cubrir los El porcentaje de inversin para cubrir los costos en TI son de 14.92 %. costos en TI (PIATI) Nmero promedio de veces por mes que se ha realizado mantenimiento a la red.(NMR) Nmero de controles fsicos para garantizar la continuidad del servicio (NCF) Se realiza 7 veces mantenimiento a la red. por mes
Son 6 los controles fsicos que se aplican para garantizar la continuidad del servicio.
Nmero de controles lgicos para Son 6 los controles lgicos que se garantizar la continuidad del servicio aplican para garantizar la continuidad del (NCL) servicio. Nivel de madurez de la gestin de La gestin de Redes de OTI se redes de la OTI (NMGR) encuentra en un nivel de madurez que se ubica entre el nivel Repetible y el nivel Definido, segn la escala que establece COBIT.
Los hallazgos anteriores se resumen en el clculo del nivel de madurez del rea, el cual ubica a OTI entre el nivel 2 REPETIBLE y el nivel 3 o DEFINIDO segn la escala establecida por COBIT lo que significa que el rea aplica la mayora de sus procesos de manera emprica, no obstante el rea maneja cierta documentacin (plan de contingencia, instructivo de funciones, mapa topolgico de la red, descripcin de la red de la UCV - Piura) y aplica algunos estndares; para todos estos hallazgos se proponen mejoras las cuales se sustentan en base a propuestas de proyectos (Del anexo 17 al 24)
21
Burgos & Namuche
los cuales se espera se ejecuten en el corto o mediano plazo y se hace una comparacin entre los hallazgos de auditora (Pre-Test) junto con la aplicacin de las propuestas que corrigen las deficiencias encontradas (Post-Test) para definir una lnea de accin en caso de aplicarse las propuestas recomendadas, con lo que segn ala proyeccin que se obtuvo el nivel de madurez subira un nivel ms, se encontrara en un nivel 4 o Administrado en el cual los procesos estn en constante mejora y se aplican buenas prcticas con las cuales se disminuye el nivel de riesgo.
22
Burgos & Namuche
CAPTULO I
GENERALIDADES
23
Burgos & Namuche
1.1. Titulo: Evaluacin de la Gestin en Redes, Comunicaciones y Servidores en la Oficina de Tecnologas de Informacin de la Universidad Csar Vallejo Piura mediante la aplicacin de una Auditora Informtica basada en COBIT.
1.2. Tipo de Investigacin: Investigacin Explicativa
1.3. rea de Investigacin: rea Tecnolgica
1.4. Localidad o institucin donde se realiza la investigacin: Universidad Csar Vallejo S.A.C Filial Piura
1.5. Autores: Burgos Merino, Jorge Armando Namuche Correa, Adrian Leonardo
1.6. Asesor: Ing. CIP. Mario Nizama Reyes
1.7. Duracin del Proyecto: Inicio: 29 Marzo de 2011 Fin: 17 Diciembre de 2011
24
Burgos & Namuche
CAPTULO II PLAN DE INVESTIGACIN
25
Burgos & Namuche
2.1. Descripcin de la Realidad Problemtica La Oficina de Tecnologas de Informacin (OTI) se encarga de apoyar las labores administrativas de la universidad (RIEGA 2010) originalmente formaba una sola rea junto al Centro de Informtica y Sistemas, sin embargo a partir del 2009, ste ltimo slo se avoc a la parte acadmica mientras que OTI se encarga de administrar, hasta el da de hoy, las tecnologas de informacin de la universidad. Actualmente laboran, en la oficina, nueve personas, con el apoyo de tres practicantes. OTI se conforma en tres subreas: La subrea de redes, la subrea de desarrollo y la subrea de soporte tcnico. A partir de este ao, la oficina de Audiovisuales ha pasado formar parte de OTI. La subrea de redes est a cargo del Ing. Alfredo Enrique Iwasaki Vargas entre cuyas principales funciones (Descripcin de la Red UCV Piura, 2009) tenemos: Administracin y configuracin de dispositivos de comunicacin: Switches, routers, Access point. Administracin del servicio de internet para administrativos y laboratorios. Administracin de dispositivos de seguridad (Firewall). Configuracin de VLANs Instalacin, administracin y monitoreo de servidores: Servidores de dominio (Windows 2003), servidores Proxy, etc. Cableado estructurado de voz y datos. Implementacin del sistema de videoconferencia sobre IP-VPN. Implementacin de telefona IP.
El responsable de la subrea de redes refiere que el servidor Web es el ms propenso a recibir ataques de hackers (ataques externos) incluso refiere que, en Febrero de 2011, hubo una infeccin por virus por parte de un hacker chino aunque no fue nada grave como para reinstalar el servidor. En cuanto a la red de la universidad, no se ha registrado ataques internos, sin embargo siempre existe la posibilidad de que suceda o peor an, los responsables de la subrea de redes desconocen que exista esta posibilidad.
26
Burgos & Namuche
En el ao 2009 se hizo una auditora en seguridad a las Tecnologas de Informacin (TI) de la universidad a cargo del Ing. Marco Antonio Riega Reto1 como marco de su trabajo de tesis de pregrado. Este trabajo fue el primero en su tipo ya que anteriormente (segn la realidad problemtica presentada por el autor) nunca se haba realizado una auditora a las TI de la universidad. La auditora tuvo un alcance demasiado general, de acuerdo a la estructura del estndar, y abarc las funciones de todas las subreas de OTI desde el punto de vista de la seguridad de la informacin; si bien la auditora no analiz casos de violacin de seguridad por intrusin, situaciones muy comunes en el mbito de redes, servidores y comunicaciones, no obstante dio alcance de varias carencias presentes en OTI hasta esa fecha, de las cuales algunas todava persisten. Es necesario recalcar que la situacin en la que se desarroll el trabajo de investigacin no es la misma que la situacin actual, por ende jams existirn dos auditoras iguales, ninguna de las dos encontrar los mismos problemas y excepciones ni obtendrn los mismos resultados. Adems del problema principal mencionado, la Oficina de Tecnologas de Informacin presenta los siguientes problemas. El rea de OTI no cuenta con una persona que puede reemplazar al administrador de la red en caso se requiera La persona encargada de administrar y monitorear las redes, comunicaciones y servidores es el Ing. Alfredo Iwasaki quien adems es el jefe de la OTI; l recibe el apoyo del personal de soporte (cuatro personas) y del personal de la subrea de desarrollo, especficamente los encargados de los sistemas web (una persona); no obstante, es el nico administrador de la red con el que cuenta el rea y, en caso de ausencia, lo reemplaza en funciones el ingeniero de mayor antigedad quien es el jefe de la subrea de desarrollo pero l no es el administrador de la red, ni est autorizado a realizar procedimientos que slo el administrador puede hacer como el alta (o baja) de usuarios de dominio, la configuracin de equipos de redes y comunicaciones y el monitoreo de la red de la universidad. Cuando se requiere cumplir con cualquiera de estos procedimientos, se comunica al administrador de la red, pero esto no evita una
Auditora basada en ISO/IEC 17799 para la Gestin de Seguridad de las Tecnologas de Informacin en la Universidad Csar Vallejo. Tesis realizada para alcanzar el ttulo profesional de Ingeniero de Sistemas.
27
Burgos & Namuche
mayor demora al hacerlo lo que puede causar malestar en el usuario, este retraso, aparentemente inofensivo, puede ser grave si ocurriese una violacin en la seguridad de las redes y los servidores de la universidad. No se ha efectuado una auditora informtica previa a las redes, comunicaciones y servidores de la UCV- Piura. Como se mencion antes, el trabajo anterior de auditora no tom el aspecto de redes, servidores y comunicaciones a profundidad. Inconvenientes como la cada relativamente frecuente del servidor Web no se han solucionado del todo. Al revisar la bitcora de atenciones de OTI (Ficha Bibliogrfica - Anexo 5), se constat que entre Enero y Abril del 2011 se registraron 9 cadas del servidor web, lo que impide el acceso a la pgina institucional de la UCV Piura, por medio de la cual los trabajadores pueden ingresar a la Intranet y al correo corporativo; adems existen otros sucesos frecuentes a considerar como los problemas de conectividad en el chat interno de la universidad (se utiliza el Pidgin) el cual ha fallado en 6 ocasiones entre Enero y Abril del 2011. Adems se han registrado otros problemas de conectividad en la red de la universidad que sumados, dan un total de 52 incidentes entre Enero y Abril del 2011 Las funciones de la subrea de redes no estn formalmente documentadas OTI no cuenta con manuales de los principales procedimientos del rea, ni manuales de configuracin de los equipos de redes y comunicaciones. La documentacin de OTI (subrea de redes) se basa en una breve descripcin de las funciones y responsabilidades de OTI, el mapa topolgico de la red, un documento que describe brevemente la red de la universidad, una bitcora de atenciones y un plan operativo que se realiza cada ao; pero esa documentacin est desorganizada, siendo susceptible de perderse. El rea cuenta tambin con un plan de contingencia que fue producto de una tesis de pregrado desarrollada en el 2010, dicho documento no tiene la presentacin formal de lo que debera ser un plan de contingencia.
28
Burgos & Namuche
2.2. Formulacin del Problema 2.2.1. Pregunta General De qu manera la aplicacin de una auditoria informtica basada en COBIT permitir la evaluacin de la gestin en redes, comunicaciones y servidores en la Universidad Csar Vallejo Piura? 2.2.2. Preguntas de Investigacin En qu momentos y circunstancias la Oficina de Tecnologas de Informacin aplica controles internos a la red de la universidad? De qu manera la Oficina de Tecnologas de Informacin alinea la gestin de la red con las metas de la universidad? En qu momento la Oficina de Tecnologas de Informacin reporta los riesgos, el control, el cumplimiento y el desempeo de la gestin de la red de la universidad? De qu manera la Oficina de Tecnologas de Informacin basa su gestin de la red de la universidad con el cumplimiento de un estndar de buenas prcticas como COBIT? 2.3. Objetivos 2.3.1. Objetivo General Evaluar la gestin en redes, comunicaciones y servidores en la Universidad Csar Vallejo Piura. 2.3.2. Objetivos Especficos Evaluar en qu momentos y circunstancias la Oficina de Tecnologas de Informacin aplica controles internos a la red de la universidad. Evaluar el alineamiento de la gestin de redes con las metas de la universidad. Evaluar si la Oficina de Tecnologas de Informacin reporta los riesgos, el control, el cumplimiento y el desempeo de la red de la universidad. Determinar el nivel de madurez de la gestin de la red de la universidad de acuerdo a COBIT. Determinar controles a implementar de acuerdo a las deficiencias encontradas.
29
Burgos & Namuche
2.4. Justificacin de la Investigacin Justificacin de los Investigadores La realizacin de este trabajo de investigacin nos permiti obtener un mayor conocimiento acerca de la gestin de redes realizadas por los departamentos, oficinas o reas de TI presentes en las organizaciones actuales y, tambin, sobre cmo esta gestin puede evaluarse para mejorar mediante la aplicacin de una auditora informtica. Justificacin de la Organizacin Actualmente, las empresas necesitan de las TI para cumplir con sus metas y objetivos. Por este motivo se aplic una auditora informtica a la gestin de redes, servidores y comunicaciones de la Oficina de Tecnologas de Informacin de la UCV Piura, la cual evalu si la gestin de la red (por parte de OTI) est alineada con los objetivos de la organizacin en beneficio de sta. Justificacin Tecnolgica La aplicacin de una auditora informtica basada en COBIT ha permitido mejorar la gestin de la red de la universidad por parte de la Oficina de Tecnologas de Informacin mediante la evaluacin de los controles efectuados por la OTI de acuerdo a lo recomendado por COBIT lo que permiti que el rea determine controles que ayuden a mejorar las deficiencias encontradas durante la aplicacin de la auditora. Justificacin Cientfica La realizacin de este trabajo de investigacin permiti comparar la situacin real de la gestin de la red (por OTI) con la situacin ideal recomendada por COBIT. Adems, este trabajo servir de referente para futuras investigaciones relacionadas con el tema. 2.5. Limitaciones de la Investigacin El acceso a las fuentes primarias fue limitado debido a la falta de disponibilidad de tiempo del personal que labora en el rea (rea de redes de la OTI). La consulta de las fuentes secundarias se vio dificultada por la falta de disponibilidad de toda la documentacin que detalla los procesos y las funciones de la OTI.
30
Burgos & Namuche
No se tuvo acceso a todas las fuentes secundarias de OTI, porque algunos documentos eran demasiado confidenciales. No se tuvo a acceso a los activos de informacin de la informacin como servidores, switches y otros equipos de telecomunicaciones, tampoco fue posible realizar pruebas de penetracin o escaneos de puertos. El tiempo de investigacin asignado fue muy corto (4 meses) para poder evaluar el impacto positivo del plan de mejora propuesto, lo que significara aplicar la auditora nuevamente para lo cual demandara un tiempo mnimo de 5 meses ms. 2.6. Marco Referencial Cientfico 2.6.1. Antecedentes (internacional, nacional, regional y local) Antecedentes Internacionales Auditora de la gestin de seguridad en la red de datos del Swissotel basada en COBIT. MATUTE Macas, Mara del Carmen & QUISPE Cando, Trnsito del Rosario. 2006. Escuela Politcnica Nacional, Quito, Ecuador. Metodologa: Marco de trabajo COBIT, el cual, si bien es cierto no es una metodologa, proporciona un conjunto de normas y buenas prcticas para el gobierno de las TI. Los investigadores han abarcado todos los cuatro dominios de COBIT (descritos en el concepto de COBIT dentro del marco conceptual) pero de ellos han seleccionado algunos procesos y uno o dos objetivos de control para cada uno (como se aprecia en el ndice del trabajo de investigacin). La metodologa usada ha tomado en cuenta evaluar, primero, la planificacin y organizacin de TI; luego, la adquisicin de TI; a continuacin, el servicio de soporte y, por ltimo, el monitoreo de los procesos de gestin de TI, poniendo nfasis en la seguridad, que se refleja en la evaluacin del servicio de soporte (garantizar la continuidad del servicio y garantizar la seguridad de los sistemas). Los investigadores, respecto a la metodologa usada, concluyen lo siguiente: COBIT proporciona una visin general de las fortalezas y debilidades en la gestin de TI de una empresa pero no da una respuesta tecnolgica.
31
Burgos & Namuche
COBIT no es una metodologa, pero presenta un conjunto de guas que permiten analizar y evaluar las actividades de control interno en TI realizadas por una empresa (por el rea responsable). COBIT es un proceso estndar, demasiado general, por eso es necesario, primero, conocer la empresa y el rea a auditar y alinearlo con lo que sugiere COBIT. Este trabajo proporcion, a nuestra investigacin, una gua para realizar una auditora informtica basada en COBIT porque nos permiti adecuar un framework tan general, como COBIT, en el marco de una investigacin que tiene limitaciones tanto de fuentes de informacin como de tiempo de investigacin, no obstante el alcance se limit solo a un dominio de COBIT, aspecto del cual tuvieron influencia los dems antecedentes consultados. Este trabajo fue la primera referencia que se consult para contar con una primera impresin de lo que sera la auditora informtica que estamos presentando. Seguridad en Informtica (Auditora de Sistemas). BASALDA lvarez, Luis Daniel. 2005. Institucin: Universidad Iberoamericana, Mxico D.F, Mxico Metodologa: El investigador, propone una serie de lineamientos (que se asume como metodologa) a tomar en cuenta al desarrollar una auditora en Seguridad en Informtica. Los puntos tratados se distribuyen en cinco captulos (el trabajo consta de seis captulos). Los temas tratados hablan de las polticas de seguridad, uso y responsabilidades de la red, planeacin de seguridad en redes, etc. (consultar el ndice del trabajo). El sexto captulo trata sobre los estndares usados en auditora de seguridad, en este captulo se describe el marco de trabajo COBIT. Para finalizar, el investigador engloba las conclusiones de su trabajo en una sola conclusin de la cual rescatamos algunas ideas importantes La informacin tiene un valor muy alto en las organizaciones, por eso debe protegerse junto a la tecnologa usada para su manejo y tratamiento (Tecnologas de Informacin) Auditora Gestin en Redes- OTI-Piura 32 Burgos & Namuche
Una auditora informtica en seguridad, primero, debe detectar los fallos en seguridad de la organizacin, documentar esos resultados, informar a los responsables y sugerir medidas correctivas. Una auditora en seguridad permite la gestin proactiva de las tecnologas de informacin. Una auditora informtica permite conocer la situacin actual y exacta de las TI. Este trabajo proporcion, a nuestra investigacin, una gua para definir qu buenas prcticas, usos y responsabilidades deben aplicarse para la administracin de la red en una organizacin, lineamientos que recogimos y aplicamos para desarrollar los indicadores de la investigacin referidos a cuestiones tcnicas, los cuales son: PIR, NHP, NMR, NCF y NCL (ver tabla de indicadores en seccin 2.10.2) Modelo para la Auditora de la Seguridad Informtica en la Red de Datos de la Universidad de los Andes. MAYOL Arnao, Reinaldo N.2006. Universidad de los Andes,Mrida, Venezuela Metodologa: El investigador aclara que su trabajo desarrolla un modelo no una metodologa porque, ste se aplica slo a la realidad de la RedULA (no es universal), sin embargo se conoce que el autor emple la Metodologa Abierta para Pruebas de Seguridad (HMAST). La estructura del modelo se conforma de cuatro mdulos: Definicin de las condiciones, Definicin de las caractersticas tcnicas, Pruebas de Penetracin y Revisin. Algunas de las conclusiones ms resaltantes son: El modelo se us para auditar la red del Rectorado de la universidad Los Andes demostrando que es vlido. Este modelo puede evolucionar y convertirse en un estndar de buenas prcticas.
33
Burgos & Namuche
Este modelo puede trascender del contexto aplicado porque aplica una visin intermedia: ni tan alejada de la arquitectura ni muy dependiente de la misma.
Este trabajo proporcion, a nuestra investigacin, una nocin para medir el nmero de controles lgicos y fsicos aplicados a la red de la universidad (secciones 4.3.3.5 y 4.3.3.6 respectivamente), aunque evaluar estos controles de acuerdo a lo indicado por Mayol no iba a ser posible porque implicaba una manipulacin directa a los activos de informacin de la organizacin (UCV - Piura) lo que era imposible de hacer (consultar limitaciones del proyecto en la seccin 2.5), pero si indicaba una visin general de los controles que deben aplicarse. Antecedentes Nacionales Sistema de Gestin de Seguridad de Informacin para una Institucin Financiera. VILLENA Aguilar, Moiss Antonio. 2006. Pontificia Universidad Catlica del Per - Facultad de Ciencias e Ingeniera- Lima El investigador utiliza el Modelo de seguridad de informacin de McCumber, el cual es un modelo que se caracteriza por ser, independiente del entorno, arquitectura o tecnologa que gestiona la informacin de una organizacin. El modelo se aplica para todo tipo de organizaciones (es universal). Las principales conclusiones del autor son las siguientes: Se concluye que no necesariamente la tecnologa de informacin por s sola garantiza la seguridad de informacin. Se vuelve imperativo gestionarla de acuerdo siempre a los objetivos de negocio. De nada sirve contar con los ltimos adelantos tecnolgicos, si no se da la importancia debida a la proteccin de la informacin, la cual se ver reflejada en el cumplimiento de todas las polticas de seguridad de informacin, siempre actualizadas de acuerdo a los cambios constantes en los negocios propios de una institucin financiera. Este trabajo proporcion, a nuestra investigacin, el enfoque dado durante el desarrollo de la auditora informtica donde no slo importa la evaluacin del aspecto tcnico puro, sino de la gestin de Auditora Gestin en Redes- OTI-Piura 34 Burgos & Namuche
estos TI (que nuestra investigacin se centr en la parte de redes y comunicaciones). La influencia ms concreta se nota en el criterio que tomamos en cuenta para evaluar los procedimientos de seguridad que OTI debe realizar para la administracin de la red (seccin 4.3.3.1), criterio que se reforz con la ayuda del propio framework COBIT. Metodologa para la Auditora Integral de la Gestin de la Tecnologa de Informacin ALFARO Paredes, Emigdio Antonio. 2008. Pontificia Universidad Catlica del Per Facultad de Ciencias e Ingeniera Lima El investigador propone una metodologa de auditora integral (MAIGTI) la cual divide en 63 procedimientos diseados para elaborar una auditora a las TI, basados en los siguientes estndares: COBIT, ISO/IEC 12207, ISO/IEC 17799, ISO/IEC 20000, PMBOK (estndar para gestin de proyectos), ISO 19001. Al finalizar su investigacin el autor concluye que se ha cumplido el objetivo de elaborar una metodologa basada en los estndares internacionales, lo que ayudara en su rpida aceptacin por parte de auditores informticos y expertos en TI. Este trabajo ha desarrollado una metodologa cuyos procesos son muy similares a COBIT, adems estn redactados de manera simple y directa de tal forma que mediante este documento se pudieron reforzar algunos objetivos y procesos de COBIT lo que sirvi de mucho para plantear la auditora informtica basada en COBIT que proponemos. Antecedentes Locales Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I en la UCV-Piura. RIEGA Reto, Marco Antonio. 2010. Universidad Cesar Vallejo - Piura Metodologa: El investigador aplica el estndar ISO/IEC 17799, el cual se organiza en diez secciones que tratan diversos tpicos en gestin de seguridad de las TI: Planificacin contnua del Negocio, Sistema de Control de Acceso, Sistema de Desarrollo y
Mantenimiento, Seguridad Fsica y del Entorno, Conformidad, Seguridad Personal, Seguridad Organizacional, Administracin de
35
Burgos & Namuche
Redes y Ordenadores, Clasificacin y Control de Activos, y Polticas de Seguridad. El investigador concluye que la aplicacin de la auditora ayuda a mejorar la gestin de la seguridad de las T.I en los aspectos siguientes de los cuales citar algunos: Identificacin de amenazas que afectan a la seguridad de las T.I Debe implementarse, en OTI, un procedimiento formal para la concesin, administracin de derechos y perfiles. Se recomienda desarrollar e implementar un procedimiento de respaldo (uso de backups). Este trabajo proporcion, a nuestra investigacin, el conjunto de actividades que deben tenerse en cuenta para el desarrollo de la auditora, las cuales se plasmaron en el plan de trabajo que es presentado, en detalle, en la seccin 4.2.3 2.7. Marco Terico 2.7.1. La Institucin: La Universidad Csar Vallejo Piura La Universidad Csar Vallejo S.A.C (UCV) fue fundada el 12 de noviembre de 1991 por el Ing. Csar Acua Peralta en Trujillo y entr en funcionamiento el 1 de abril de 1992. En la actualidad cuenta con filiales en las ciudades de Chiclayo, Piura, Chimbote, Tarapoto y Lima e integra un consorcio universitario junto con la Universidad Seor de Sipn (USS) y la Universidad Autnoma del Per (UA) denominada Consorcio USS-UCVUA. (<http://www.creditosperu.com.pe/pp-universidad-cesar-vallejo-s-a-
c.php>,2011). La razn de ser de la Universidad Csar Vallejo Piura, est reflejada en su Misin institucional la cual, segn su portal Web, es la siguiente: La UCV forma profesionales idneos, productivos, competitivos, creativos con sentido humanista y cientfico; comprometidos con el desarrollo socioeconmico del pas; constituyndose en un referente innovador y de conservacin del medio ambiente. (<http://www.ucvpiura.edu.pe/>,20111).
36
Burgos & Namuche
As mismo la Visin Institucional (hallada en su mismo portal Web) de la Universidad es la siguiente: La UCV ser reconocida como una de las mejores universidades a nivel nacional, por la calidad de sus graduados, su produccin acadmica y su contribucin al desarrollo de la sociedad (<http://www.ucvpiura.edu.pe/>,2011). La Universidad Csar Vallejo filial Piura cuenta actualmente con quince carreras profesionales: Administracin, Administracin en Turismo y Hotelera, Contabilidad, Derecho, Educacin Inicial, Educacin Primaria, Enfermera, Estomatologa, Idiomas, Ingeniera Agroindustrial, Ingeniera de Sistemas, Ingeniera Industrial, Marketing, Medicina y Psicologa (<http://www.ucvpiura.edu.pe/>,2011). Adems de las Escuelas, la UCV-Piura est conformada por diversas reas las cuales forman parte de su estructura organizacional plasmada en el organigrama de la institucin (Imagen N01); una de ellas es la Oficina de Tecnologas de Informacin (OTI), la cual (segn el organigrama institucional) ocupa un lugar clave dentro de la organizacin de la Universidad porque depende directamente de Direccin General. Sobre la OTI hablaremos ms detalladamente en la siguiente seccin.
37
Burgos & Namuche
Ilustracin N01: Estructura Organizacional de la Universidad Csar Vallejo - Piura Fuente: Direccin General de la UCV
38
Burgos & Namuche
2.7.2.
Oficina de Tecnologas de Informacin La Oficina de Tecnologas de Informacin (OTI) es, segn su gua de Planeamiento Estratgico, un rea que brinda soporte, mantenimiento y controles informticos y tecnolgicos en la comunidad universitaria; esto se traduce en la responsabilidad que tiene la OTI de intervenir en los procesos vitales de la organizacin debido a que estos se soportan en las tecnologas de informacin (Hardware y Software) (Gua de planeamiento estratgico, instructivo de funciones y proyecto para (OTI), 2010,p.1). La oficina, como rea independiente, inici formalmente sus funciones en el mes de noviembre del ao 2010, siendo antes parte del Centro de Informtica y Sistemas (CIS). La jefatura de la oficina est a cargo del Ingeniero Alfredo Enrique Iwasaki Vargas y, actualmente, laboran diez personas junto a tres practicantes. La Misin de la OTI es la siguiente: La oficina de tecnologas de la informacin (OTI), tiene el compromiso de gestionar el uso de las tecnologas informticas para optimizar los procesos de la comunidad universitaria UCV- Piura. (Gua de planeamiento estratgico, instructivo de funciones y propuesta de proyecto para (OTI), 2010, p. 2) La Visin de la OTI es la siguiente: La oficina de tecnologas de la informacin (O.T.I), ser reconocida como el rea lder en la Universidad Csar Vallejo - Piura; por la calidad, eficacia y eficiencia en los servicios brindados. (Gua de planeamiento estratgico, instructivo de funciones y propuesta de proyecto para (OTI), 2010, p. 2). La estructura organizacional de la OTI se plasma en su organigrama (Imagen N02) segn el cual la oficina se subdivide en tres subreas: Soporte Tcnico, Desarrollo de Sistemas, Redes y Comunicaciones. Estas subreas las describiremos a continuacin: propuesta de
39
Burgos & Namuche
IlustracinN02: Estructura organizacional de la Oficina de Tecnologas de Informacin de la Universidad Csar Vallejo - Piura Fuente: Gua de Planeamiento Estratgico, Instructivo de Funciones y Propuesta de Proyecto para OTI, 2010, p. 5.
Subrea de Soporte Tcnico La Subrea de Soporte Tcnico se encarga de reparar equipos de cmputo en software y hardware en la UCV-Piura (Gua de planeamiento estratgico, instructivo de funciones y propuesta de
proyecto para (OTI), 2010, p. 7). Dentro del marco de sus funciones, la subrea de soporte colabora con la subrea de redes, especialmente cuando se trata de dar mantenimiento al cableado de la red y a la instalacin de puntos de red en los diversos ambientes de la universidad, adems, la subrea se encarga de:
Mantenimiento y configuracin de las PCs de la Universidad. Mantenimiento, instalacin, configuracin y reparacin de otros equipos tales como: laptops, impresoras, telfonos I.P, caones multimedia, fuentes de alimentacin, etc.
Realizar y verificar que el inventario fsico de equipos coincida con el que posee Patrimonio.
Subrea de Desarrollo de Sistemas
40
Burgos & Namuche
La Subrea de Desarrollo de Sistemas se encarga de Analizar, disear e implementar Sistemas de Informacin en la UCV-Piura (Gua de planeamiento estratgico, instructivo de funciones y propuesta de proyecto para (OTI), 2010, p. 6) y de verificarlos y controlarlos. La subrea tambin se encarga de desarrollar nuevos sistemas de informacin, de capacitar a los usuarios en su uso, de administrar las bases de datos, y administrar los servidores de la Universidad. La subrea se divide en: El rea de Desarrollo de Sistemas para Plataforma Web y el rea de Desarrollo de Sistemas para Plataforma Windows. El rea de Desarrollo de Sistemas para Plataforma Web tiene la funcin de administrar los portales Web de la UCV Piura, de la I.E.A Harvard College, campus virtual, sistema PEL (Programa de Experiencia Laboral) y otros servicios virtuales. El rea de Desarrollo de Sistemas para Plataforma Windows tiene la funcin de administrar los principales sistemas, bajo plataforma Windows, de la universidad (tales como Premium .NET y SEUSS) y sistemas externos. rea de Redes y Telecomunicaciones La subrea de redes y telecomunicaciones se encarga de la administracin y configuracin de los dispositivos de conexin: Switches, routers, Access point (Gua de planeamiento estratgico, instructivo de funciones y propuesta de proyecto para (OTI), 2010, p. 8) en otras palabras el rea gestiona la red de la UCV-Piura. De esta funcin principal se desglosan las siguientes funciones especficas: Administracin y Monitoreo administrativos y laboratorios. Administracin y Monitoreo de Dispositivos de Seguridad (Firewall). Configuracin y Actualizacin de VLANs. del Servicio de Internet para
41
Burgos & Namuche
Instalacin,
administracin
y monitoreo de Servidores:
Servidores de Dominio (Windows 2003); Servidores Proxy, servidor Web y servidor de Datos. Habilitacin, Revisin y Verificacin de Cableado Estructurado de voz y datos. Administracin del Sistema de Videoconferencia sobre IPVPN. Instalacin de Telfonos IP. (Gua de planeamiento estratgico, instructivo de funciones y propuesta de proyecto para (OTI), 2010, p. 8). Uno de los objetivos de la subrea de Redes y Telecomunicaciones, para este ao, es supervisar las actividades de cableado en el nuevo edificio de medicina actualmente en proceso de construccin. 2.7.3. Descripcin de la Red de la Universidad Csar Vallejo Filial Piura. La Red de la Universidad Csar Vallejo- Filial Piura cuenta, en primer lugar, con un switch de fibra ptica, marca Allied Telesis, modelo AT9816GB que interconecta todos los edificios del campus, conformando el backbone de fibra ptica; adems cuenta con servidores de dominio
(Windows server 2003); servidores proxy, servidor web (Windows server 2008); todos estos equipos sealados anteriormente se ubican en el datacenter, ubicado en el tercer piso del edificio principal. (Descripcin de la Red UCV Piura, 2010, p. 1). Se cuenta con 22 switches administrables, distribuidos en diferentes edificios y ambientes del campus. La Red de la universidad est dividida en las siguientes VLANs (Red de rea Local Virtual) (Descripcin de la Red UCV-Piura, 2010, p. 1): Administrativos Laboratorios DMZ Internet Servicios IP-VPN 42 Burgos & Namuche
Telefona
Para el acceso a Internet, la red de la universidad cuenta con 2 Circuitos Digitales en fibra ptica, contratados con Telefnica, con velocidad de 2 Mbps cada uno (Descripcin de la Red UCV-Piura, 2010,p. 1 ). Para el acceso a la IP-VPN la red cuenta con un Circuito Digital adicional con 512 Kbps de ancho de banda, tambin en fibra ptica(Descripcin de la Red UCV-Piura, 2010, p. 1). A partir del ao pasado se implement el sistema de Telefona IP, el cual tambin utiliza el enlace IP-VPN; adems se cuenta con un Acceso Primario contratado con Telefnica (30 lneas), para la comunicacin con el exterior. Con la seccin 2.6.3 hemos terminado de describir el escenario donde se desarrollara este trabajo de investigacin, el cual estar enfocado (tal como dice el titulo) en la Oficina de Tecnologas de Informacin de la UCVPiura; especficamente en la subrea de Redes y Telecomunicaciones. Las secciones siguientes trataran acerca de lo que es una auditoria, su relacin con el control interno y el marco de trabajo a usar. 2.7.4. La Gestin de Redes, Comunicaciones y Servidores Dado el importante papel de la informacin en la actualidad, las organizaciones se han visto en la necesidad de invertir en tecnologas que permitan su manejo eficiente para lograr sus metas y objetivos (Tecnologas de Informacin o TI), sin embargo, no slo basta con tener la tecnologa o contar con el personal que sepa usarla, sino, en saber gestionarla, he aqu es donde entra el casi omnipresente trmino de gestin en el ambiente empresarial y, en el caso de las TI, la gestin aplicada a ellas puede subdividirse. En este caso particular y atenindonos a los fines de nuestra investigacin, hablaremos de la gestin de redes. Una definicin, a primera mano, de gestin de redes la hallamos en el blog de Meja (2009): La gestin de red consiste en monitorizar y controlar los recursos de una red con el fin de evitar que esta llegue a funcionar incorrectamente degradando sus prestaciones
(<http://servidorespararedes.blogspot.com/2009/01/que-es-aplicacionesweb.html >, 2009).
43
Burgos & Namuche
Otra definicin, segn Roberto Hernando (2002), refiere que la gestin de red es el conjunto de actividades dedicadas al control y vigilancia de recursos de telecomunicacin. Su principal objetivo es garantizar un nivel de servicio en los recursos gestionados con el mnimo coste (<http://www.rhenardo.net/modules/tutorials/doc/redes/Gredes.html>,2002). De acuerdo a Mendoza (2010), la gestin de redes se compone de los elementos de toda gestin, en otras palabras, es la planificacin, organizacin, operacin, mantenimiento y control de los elementos que forman una red para garantizar un nivel de servicio de acuerdo a un costo. (<http://www.slideboom.com/presentations/84669/Gesti%C3%B3n-deRedes-de-Telecomunicaciones >, 2010,p. 3). T.Saydam y T.Magedanz (1996) refieren puntualmente que los elementos que una gestin de redes debe considerar: La gestin de redes incluye el despliegue, integracin y coordinacin del hardware, software y los elementos humanos para monitorizar, probar, sondear, configurar, analizar, evaluar y controlar los recursos de la red para conseguir los requerimientos de tiempo real, desempeo operacional y calidad de servicio a un precio razonable (<http://lacnic.net/documentos/lacnicx/Intro_Gestion_Redes.pdf>, p. 2) De todas estas definiciones podemos concluir que la gestin de redes no se diferencia de cualquier otro tipo de gestin en lo que respecta a los elementos de control: Planificacin, organizacin, direccin y control); a la consideracin de los elementos humanos y a la persecucin de un mismo fin: El eficiente uso de recursos para evitar prdidas. Lo nuevo de este tipo de gestin es que se mueve en el marco de las Tecnologas de Informacin (TI) lo que implica considerar hardware y software de los equipos a gestionar. De las definiciones anteriores se infiere que la importancia fundamental de una gestin en redes es minimizar los gastos y, sobretodo, prdidas, que pueden producirse de darse una mala gestin. Para Mendoza (2010), esta importancia general puede desglosarse en las siguientes (de las cuales citamos algunas): Los sistemas de informacin son imprescindibles y estn soportados sobre las redes.
44
Burgos & Namuche
La informacin manejada tiende a ser cada da mayor y estar ms dispersa. Aumentar la satisfaccin de los usuarios. Tecnologa heterognea: Existen productos y servicios de mltiples fabricantes los cuales incorporan diversas
tecnologas que provocan un aumento constante de la complejidad de los recursos gestionados tanto en cantidad como en heterogeneidad (<http://www.slideboom.com/presentations/84669/Gesti%C3%B3n-deRedes-de-Telecomunicaciones>, 2010, p. 5, p. 6) A estas razones podemos agregar la exigencia de los usuarios quienes, cada vez, requieren un servicio de mayores prestaciones: mayor ancho de banda, realizar videoconferencia con los altos directivos de la organizacin o instalar caones multimedia en todas las aulas de una universidad, interconexin de un nuevo edificio, etc. Requerimientos que deben ser atendidos dentro de los plazos previstos. Otra importancia es el adecuado manejo de problemas, la empresa, especialmente, el rea responsable de gestionar las TI debe saber qu hacer para evitar, segn Mendoza (2010), un aumento de costos de operacin, entonces, para disminuirlos, recomienda la aplicacin de una gestin ms proactiva que reactiva(<http://www.slideboom.com//presentations/84669/Gestin-deRedes-de-Telecomunicaciones>, 2010, p. 9), para la deteccin de fallos antes de que estos sucedan (Orozco, 2010, <http://www.slideshare.net/pakus/gestion-de-red>, p. 51), en otras palabras minimizar los riesgos. La gestin de redes con un enfoque proactivo debe abarca varios aspectos (reas funcionales) a tomarse en cuenta, segn lo recomendado por la OSI, son: Configuracin: Facilidades que permiten controlar, identificar, recoger y proporcionar datos a objetos gestionados, con el propsito de asistir a operar servicios de interconexin. Prestaciones: Facilidades dedicadas a evaluar el
comportamiento de objetos gestionados y la efectividad de determinadas actividades.
45
Burgos & Namuche
Supervisin y Fallos: Conjunto de facilidades que permiten la deteccin, anormal. aislamiento y correccin de una operacin
Seguridad: Aspectos que son esenciales en la gestin de red y que permiten proteger los objetos gestionados. Contabilidad: Facilidades que permiten establecer cargos por el uso de determinados objetos e identificar costes por el uso de stos.
(<http://www.edicionsupc.es/ftppublic/pdfmostra/TL01304M.pdf>,1998,p. 1) Para Mendoza (2010), las reas funcionales de la gestin definen lo que se va a gestionar (qu?), la forma cmo se gestiona la red (cmo?) se realiza por medio del monitoreo (monitorizacin) y control de la misma. La monitorizacin, segn Roberto Hernando (2002), se ocupa de la observacin y anlisis del estado y el comportamiento de los recursos gestionados. y la parte del control (segn el mismo autor) es: la encargada de modificar parmetros e invocar acciones en los recursos gestionados. (<http://www.rhernando.net/modules/tutorials/doc/redes/Gredes.html>,2002 ) En otras palabras, la monitorizacin observa y analiza; el control aplica y modifica. Ambas actividades requieren un personal de TI calificado con amplia y con experiencia as como una slida formacin moral y compromiso con la organizacin. En el aspecto estrictamente tecnolgico, la gestin de redes se basa, por lo general, en el modelo o paradigma Gestor-Cliente el cual agrupa los componentes de una red sean de hardware o de software en gestores y clientes. Tal como dice Roberto Hernando (2002), los gestores son los elementos que interaccionan con los operadores humanos, y desencadenan las acciones pertinentes para llevar a cabo las operaciones solicitadas, por otro lado, los agentes (segn el mismo autor) llevan a cabo las operaciones de gestin invocadas por los gestores de la red. (<http://www.rhernando.net/modules/tutorials/doc/redes/Gredes.html>,2002 ) Junto a este paradigma encontramos los modelos normalizados de gestin, los cuales segn Mendoza (2010), son:
46
Burgos & Namuche
TMN: Gestin de las redes de telecomunicacin. Ms que un modelo de gestin, define una estructura de red de gestin, basada en modelos de ms bajo nivel.
Gestin OSI: Gestin de la torre de protocolos OSI. Emplea CMIS/CMIP Gestin Internet: Gestin de redes TCP/IP. Emplea SNMP.
(<http://www.slideboom.com/presentations/84669/Gestin-de-Redes-deTelecomunicaciones>, 2010, p. 25). Cualquier modelo que se aplique, siempre requerir la ayuda de herramientas tecnolgicas que apoyen (no realicen) la gestin de redes. Segn Thortonm, Garibaldi y Mahdi (1998), la incorporacin de estas herramientas a la gestin de redes facilita la incorporacin de una gestin proactiva porque la informacin de rendimiento que se puede recuperar de una red es tan extensa que urge la necesidad de emplear medios automticos que ayuden al personal de TI (de redes en particular) a elaborar data histrica para tomar las salvaguardas del caso que minimicen los riesgos. (<http://tonet.0catch.com/doc/datamine1.pdf>,1998, p. 2). Adems las herramientas permiten que los administradores de redes las configuren a su medida y permiten la integracin con otras herramientas de gestin (Mendoza, 2010). Las principales herramientas en el mercado son: Netsaint ISM (Bull) Nessus Netflow, etc.
A manera de conclusin, la gestin de redes abarca varios aspectos que van ms all de lo tecnolgico (como vimos en los primeros prrafos de la seccin), su propsito es no tener la mejor tecnologa en redes sino es cumplir con los objetivos de la organizacin minimizando costos, disminuyendo los riesgos y minimizando prdidas (consecuencia no deseable de los riesgos). La tecnologa presente en la gestin de las redes (herramientas tecnolgicas y desarrollo tecnolgico) forma parte, junto con los recursos humanos (personal capacitado y responsable) y los mtodos de trabajo (preferir una gestin proactiva a una reactiva), de un sistema integrado de gestin de redes. (Mendoza, 2010) la cual engloba todos los
47
Burgos & Namuche
elementos y factores que influyen en la eficiencia de la operacin de la red de una organizacin. 2.7.5. El Control Interno Informtico y la Auditora Informtica En la seccin anterior (2.6.4) se afirm que uno de los cmos de la gestin de redes era el control (junto con la monitorizacin), este control se le puede tipificar dentro del marco de control interno, que est muy asociado con lo que es una auditora; en la actualidad podemos hablar de control interno informtico y de auditora interna informtica. Llevar el control interno en una organizacin fue, durante mucho tiempo, un enfoque que no iba ms all de la informacin financiera y de las auditoras internas orientadas en ese punto. Este enfoque tradicional desechaba el impacto que las actividades operativas clave pueden tener en las finanzas de la empresa lo que originaba la quiebra de numerosas cajas de ahorro que, supuestamente, estaban bajo control. (Piattini & Valriberas, 2008, 3) Dada esta situacin se necesitaba otro enfoque de control interno. Un referente de mucho prestigio que apoya la visin contempornea de control interno es el informe COSO (citado por Amat, 2006, 5), el cual define el control interno como: El proceso que se encarga de realizar el Consejo de
Administracin, La Direccin y el colectivo restante de una entidad, con el propsito de otorgar un nivel razonable de confianza en la consecucin de los siguientes objetivos: Asegurar la exactitud y confiabilidad de los datos de la contabilidad y de las operaciones financieras. Proteger los recursos contra el despilfarro, el fraude o el uso ineficiente, as como evaluar el desempeo de todas las divisiones administrativas y funcionales de la entidad
(eficiencia y eficacia de las operaciones). (<http://www.gestiopolis.com/recursos6/Docs/Eco/contrinter.htm>, 2006,p. 5).
48
Burgos & Namuche
El informe COSO (Commitee Of Sponsoring Organization of the Treadway Commission), de acuerdo al artculo Los Nuevos Conceptos de Control Interno (2008) tiene el objetivo de definir un nuevo marco conceptual de control interno capaz de integrar las diversas definiciones y conceptos que se utilizan sobre este tema. (<http://www.auditoria.uady.mx/arts/INFORME >,2008, p. 1). Segn COSO (citando a del Toro y Segura, 12-25) existen cinco elementos interrelacionados del control interno: Ambiente de Control: Se debe considerar la existencia de: Integridad y valores ticos, compromiso de competencia profesional, consejo de Administracin o un Comit de Auditora, polticas y prcticas de Recursos Humanos. Anlisis de Riesgos: Tiene en cuenta los siguientes aspectos: Objetivos organizacionales globales, identificacin de riesgos, administracin del riesgo y del cambio. Actividades de Control: Entre las cuales tenemos: Anlisis efectuados por la direccin, indicadores de rendimiento, control de los procesos de informacin, control en la segregacin de funciones, etc. Informacin y Comunicacin: Tiene en cuenta los siguientes aspectos: El uso de la informacin (interna y externa) para el establecimiento de objetivos organizacionales, la descripcin de funciones y responsabilidades, canales adecuados de comunicacin para denunciar actos indebidos, etc. Monitoreo: El monitoreo debe ser continuo. Existen varios aspectos de la organizacin que deben ser supervisados como la eficacia de las actividades de auditora interna y receptividad ante las recomendaciones de auditora. COSO agrega al control interno puramente financiero tres aspectos nuevos: La necesidad de controlar las funciones administrativas y funcionales de la empresa; la nocin de seguridad, es decir, proteger los Auditora Gestin en Redes- OTI-Piura 49 Burgos & Namuche COSO (RESUMEN).pdf
recursos de la organizacin y la nocin de totalidad, lo que significa que el control interno involucra a toda la organizacin como si fuera, citando el artculo de Amat (2006, 6), el sistema nervioso de una empresa. Piattini afirma que el control interno se encuentra ligado al concepto de auditora (Piattini & Valriberas, 2008, 8) el cual, segn Snchez (2006) un proceso sistemtico para obtener y evaluar de manera objetiva las evidencias relacionadas con informes sobre actividades econmicas y otros acontecimiento relacionados, cuyo fin consiste en determinar el grado de correspondencia del contenido informativo con las evidencias que el dieron origen, as como establecer si dichos informes se han elaborado observando los principios establecidos para el caso. (<http://www.gestiopolis.com/canales5/fin/funteadu.htm>,2005). Por otra parte, citando nuevamente a Snchez (2006), la auditora es una herramienta de control y supervisin que contribuye a la creacin de una cultura de la disciplina de la organizacin y permite descubrir fallas en las estructuras o vulnerabilidades existentes en la organizacin. Al definir una auditora como una herramienta de control, reafirma la analoga a la que se refiere Piattini, lo que permite que los encargados del control interno puedan auditar una empresa. Pese a estas similitudes, control interno y auditora no son procesos idnticos por dos diferencias determinantes: La primera, que el control interno es efectuado por el personal de la organizacin, por el contrario, una auditora puede pertenecer (auditor interno) o no pertenecer (auditor externo) a la empresa. La segunda diferencia es la frecuencia de realizacin. Los controles internos son constantes, en algunos casos pueden ser diarios (controles da a da), por el contrario las auditoras analizan un momento dado, por ese motivo no existen dos auditoras que arrojen los mismos resultados pese a realizarse en la misma organizacin. Con el desarrollo e implantacin de las TI se comienza a hablar de controles internos informticos y de auditoras informticas lo que significa
50
Burgos & Namuche
el arribo de un nuevo tipo de profesionales quienes sean capaces de conocer las tcnicas informticas. El control interno informtico sugiere abarcar varios niveles de control, si nos enfocamos en el alcance de nuestra investigacin (seguridad en redes, comunicaciones y servidores) podemos identificar dos niveles (Piattini & Valriberas, 2008, 11) Entorno de Red: Esquema de la red, descripcin de la configuracin hardware de comunicaciones, descripcin del software que se utiliza como acceso a las telecomunicaciones, control de red, situacin general de los computadores de entornos de base que soportan aplicaciones crticas y consideraciones relativas a la seguridad de la red. Seguridad del Computador Base: Identificar y verificar usuarios, control de acceso, registro e informacin, integridad del sistema, controles de supervisin. Las nuevas tcnicas requeridas para el control interno informtico y la auditora informtica no significan un desligamiento de los controles anteriores porque las tecnologas de informacin deben alinearse con los objetivos de la organizacin, no obstante imposible negar que exista un cambio respecto a los controles existentes (financieros, de personal, organizacionales) respecto a los procedimientos empleados en las auditoras informtica. Este motivo explica la existencia del COBIT como herramienta de control interno y auditora informticos que no significa que el COSO quede relegado, por el contrario, COBIT toma muchas referencias de COSO pero el alcance del primero slo es para Tecnologas de Informacin, por el contrario COSO es ms general abarcando toda la organizacin. 2.7.6. La Auditora en Redes La auditora en redes es un tipo de auditora informtica junto a la auditora en base de datos, de aplicaciones o de Internet, segn la clasificacin propuesta por Piattini (2008). La auditora en redes consiste en la evaluacin de la gestin de la telemtica (informtica ms comunicaciones) que se ha convertido en una Auditora Gestin en Redes- OTI-Piura 51 Burgos & Namuche
funcin clave de la empresa, por ese motivo la seguridad de la red y las comunicaciones es muy importante, en este mbito, los riesgos presentes en la red pueden darse por causas propias de la tecnologa o por causa de personas malintencionadas. Por problemas tcnicos, la transmisin de datos en la red puede fallar debido a alteracin de bits (error en los medios de transmisin), alteracin de secuencia (orden de los paquetes enviados no coincide) o por ausencia de paquetes (desaparicin de las tramas por sobrecarga, error del medio o error del direccionamiento) Por causas dolosas (delitos informticos) los riesgos principales son: Indagacin (lectura de un paquete por un tercero), Suplantacin (Introduccin de un paquete por un tercero que el receptor del mensaje cree que es legtimo), Modificacin (Un tercero modifica el contenido de un paquete) (Piattini & Boixo, 2008, 497). Un aspecto que debe tenerse en cuenta y que lo avalan tanto Piattini (2008) como Miranda, es el conocimiento que el auditor informtico debe conocer sobre el modelo OSI (Open System Interconection) y las siete capas que lo conforman. Adems, ambos autores concuerdan que tanto la red fsica como la red lgica deben ser auditadas. (<http://www.slideshare.net/GeekMelomano/auditora-de-redes>, p.4). Por otro lado, Muoz propone la ejecucin de un anlisis de vulnerabilidad usando cualquiera de los mtodos existentes: El de la caja negra (el auditor intentar vulnerar la red sin conocer nada de ella) y el de caja blanca (donde la empresa le facilita cierta informacin de la red). (<http://www.slideshare.net/GeekMelomano/auditora-de-redes>, p. 15). A pesar de ser dos tipos de pruebas muy interesantes no son de carcter obligatorio y, puede ser, que la organizacin no permita a cualquier auditor realizarla salvo que ste pertenezca a alguna empresa certificada en Hacking tico cuyos servicios son muy costosos. El monitoreo de la red puede ser efectuado sin problemas por los administradores de la red de una empresa como parte del control interno informtico de la red (que puede incluir o no las pruebas propuestas por Muoz o ceirse a los niveles propuestos por Piattini, depende de lo Auditora Gestin en Redes- OTI-Piura 52 Burgos & Namuche
establecido por los responsables de la red) lo que ayuda a la gestin proactiva (recordemos la seccin de gestin de redes) que se ayuda mediante herramientas tecnolgicas que facilitan la labor de los responsables, sin embargo estas actividades se vern facilitadas si el departamento de TI, especialmente el rea de redes cuenta con una poltica de seguridad escrita, aprobada formalmente, actualizada, entendible, entendida y seguida(Piattini & Boixo, 2008, 505), que permita al personal del rea conocer lo que deben defender de lo contario no se tomarn las decisiones correctas en caso de sobrevenir situaciones que rompen la rutina de la administracin de la red. El error de muchas empresas y organizaciones es no alinear la administracin de las TI con sus principios, objetivos o metas corporativas, adems muchos expertos en redes, sistemas informticos o soporte adoptan una postura demasiada tcnica olvidando las implicaciones de su labor en los objetivos de la empresa. Consideramos que este aspecto no debe ser obviado por ninguna auditora informtica de redes sea la metodologa o marco de trabajo que se use. Sobre el marco de trabajo con el que se basar la auditora a hacerse hablaremos en la siguiente seccin incidiendo en la justificacin de nuestra eleccin de COBIT (estndar con el que trabajaremos) por sobre otras metodologas o estndares. 2.7.7. COBIT y otros estndares aplicados a auditora informtica La investigacin que estamos desarrollando aplica COBIT para aplicar una auditora a la OTI (rea de redes), por tal motivo, dedicaremos esta seccin a explicar brevemente en qu consiste COBIT y justificar la eleccin de este estndar por sobre el MAGERIT y el ITIL. COBIT (Control Objectives for Information and related Tecnology) es un modelo, marco de trabajo (framework) o marco de referencia creado por ISACA y lanzado en 1996; la ltima versin estable es la 4.1 y su ltima actualizacin es la 5 (disponible slo en ingls). COBIT permite a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas tcnicos y riesgos de negocio, y comunicar ese nivel de control a los interesados, con ese fin, COBIT incorpora las mejores prcticas de gestin de TI (se incluye COSO, ITIL, Norma ISO/IEC 17799, etc.). La misin de COBIT es investigar, desarrollar, hacer pblico y promover un marco de control de Auditora Gestin en Redes- OTI-Piura 53 Burgos & Namuche
gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopcin por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento (COBIT 4.1, 2007,9). El gobierno o administracin de las TI, segn COBIT, significa que las TI estn orientadas al negocio (alineacin estratgica) y, por tanto, maximizan los beneficios de la organizacin (entrega de valor); que las TI son administradas
responsablemente (administracin de recursos) y los riesgos de las TI son administrados apropiadamente (administracin de riesgos); lo anterior es sometido a medicin y monitoreo constante (medicin del desempeo). COBIT est orientado al negocio, orientado a procesos, basado en controles y orientado por la medicin. COBIT est orientado al negocio porque est diseado como gua integral para la gerencia y para los dueos de los procesos de negocio (COBIT 4.1, 2007,10) dndole un papel importante a la informacin para que la empresa u organizacin alcance sus objetivos, cuando los objetivos y metas se han definido. Los dominios de COBIT engloban 34 procesos que son tiles para identificar si las actividades y responsabilidades de la organizacin se cumplen, y a pesar de que no se recomienda aplicar todos los procesos del COBIT, el marco de trabajo rene una lista completa de ellos. COBIT est basado en controles porque reconoce que cada proceso necesita ser controlado para asegurar que los objetivos del negocio puedan llevarse a cabo y para detectar, corregir y prevenir sucesos no deseados. (COBIT 4.1, 2007,13) Aunque se quisiera, todos los controles del COBIT no pueden ser implementados, sino que deben seleccionar aqullos que se van a aplicar, decidir los que se van a implementar y, por ltimo, aceptar el riesgo de no implementar los controles que podran aplicarse. COBIT est impulsado por la medicin porque proporciona una visin del nivel en el que la empresa se encuentra, en el que se est proyectando, el avance hacia esa meta y la relacin costo beneficio por alcanzar ese nivel deseado; para ello COBIT propone modelos de madurez para conocer qu tan bien una organizacin est administrando las TI de tal manera que Auditora Gestin en Redes- OTI-Piura 54 Burgos & Namuche
puede estar en uno de los seis niveles de madurez desde el nivel 0, es decir, no existente, hasta un nivel 5 u optimizado (COBIT 4.1, 2007,17). Los niveles de madurez son inversamente proporcionales al riesgo existente en la administracin de las TI; a mayor madurez en los procesos, menos nivel de riesgo y viceversa. Los niveles de madurez no slo se dirigen a la comprensin de la situacin actual de la empresa sino que es una herramienta de benchmarking en la que se compara la empresa con el estatus actual de la industria, con lo cual se crea(n) el(los) objetivos(s) para mejorar la situacin actual. A continuacin y para terminar con esta breve descripcin del marco de trabajo propuesto por COBIT describimos los niveles de madurez segn el modelo genrico de madurez (COBIT 4.1, 2007, 19) 0 No Existente: carencia completa de cualquier proceso reconocible dentro de la empresa. 1 Inicial: La empresa ha reconocido que existen problemas que deben ser resueltos, pero no existen procesos estndar sino procesos ad-hoc y una administracin con enfoque an no organizado. 2 Repetible: Los procesos siguen procedimientos similares en reas diferentes que realizan la misma tarea, pero todava no son estandarizados. 3 Definido: Los procedimientos se han estandarizado y documentado y se han difundido a travs de entrenamiento. 4 Administrado: Los procesos estn en constante mejora y proporcionan buenas prcticas. Se usa la automatizacin fragmentada y limitadamente. 5 Optimizado: Los procesos estn al nivel de mejor prctica y se encuentran en mejoramiento continuo. COBIT es un marco de trabajo recomendado para la gestin de TI, otro marco similar que pudiese haber escogido es el ITIL, el cual incluso tiene la ventaja de ser ms especfico que el COBIT porque, segn Velzquez (2008), COBIT define el qu? e ITIL define el cmo? , sin embargo se Auditora Gestin en Redes- OTI-Piura 55 Burgos & Namuche
critica a ITIL de que sus medidas no puedan implementarse en pequeos y medianos departamentos de TI (como es el caso de OTI). El otro candidato era MAGERIT, esta metodologa propone realizar un anlisis de riesgos y, luego, aplicar las salvaguardas necesarias para minimizarlos. Si bien es una opcin interesante, MAGERIT slo se aplica al anlisis de riesgos (que corresponde al proceso PO9 de COBIT) y es ms idneo para realizar un plan de contingencia que una auditora. COBIT rene caractersticas de ITIL y MAGERIT, lo que posibilita una visin ms amplia, sin embargo la desventaja de COBIT es su generalidad, en otras palabras se limita al qu debe hacerse y no cmo hacerse, lo que significa que debe ayudarse de otras metodologas y estndares para estudiar un aspecto es particular, por ejemplo, citando el caso de MAGERIT. En el proceso PO9, COBIT recomienda un anlisis de riesgos pero no dice cmo, en cambio MAGERIT propone los procedimientos y tcnicas a aplicarse; lo mismo sucede respecto a las auditoras en redes, para ese fin existen numerosos estndares muchos de ellos son modelos y paradigmas como los que tratamos brevemente en la seccin de gestin de redes (paradigma gestor agente o la gestin OSI) o tambin son estndares de organizaciones prestigiosas como la IEEE o la ISO que especifican caractersticas tecnolgicos del hardware y software de las redes. Estos estndares enmarcados en COBIT servirn de base para el desarrollo de esta auditora en redes en la OTI de la UCV- Piura. 2.8. Marco Conceptual 2.8.1. Auditora Informtica Es el conjunto de tcnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificacin, control, eficiencia, seguridad y adecuacin del servicio informtico en la empresa, por lo que comprende un examen metdico, puntual y discontinuo del servicio informtico, con vistas a mejorar en: Rentabilidad Seguridad
56
Burgos & Namuche
Eficacia
(<http://www.ctmsoftware.es/wp/servicios-2/auditoria-informatica/>,2011). Este tipo de Auditoria se llevar a cabo en la Oficina de Tecnologas de Informacin de la UCV Piura. 2.8.2. Control Interno El control interno es un proceso ejecutado por el consejo de directores, la administracin y todo el personal de una entidad, diseado para proporcionar una seguridad razonable con miras a la consecucin de objetivos en las siguientes reas: Efectividad y eficiencia en las operaciones. Confiabilidad en la informacin financiera. Cumplimiento de las leyes y regulaciones aplicables.
Comprende el plan de organizacin y el conjunto de mtodos y medidas adoptadas dentro de una entidad para salvaguardar sus recursos, verificar la exactitud y veracidad de su informacin financiera y administrativa, promover la eficiencia en las operaciones, estimular la observacin de las polticas prescrita y lograr el cumplimiento de las metas y objetivos programados. (<http://www.gestiopolis.com/canales/financiera/articulos/no11/controlintern o.htm>, 2001). 2.8.3. COBIT COBIT (Control Objectives for Information and related Tecnology) es un modelo, marco de trabajo (framework) o marco de referencia creado por ISACA en 1996 con la misin de investigar, desarrollar, hacer pblico y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopcin por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento (COBIT 4.1, 2007,9). COBIT toma en cuenta 4 dominios: 1. Planear y Organizar: Proporciona direccin para la entrega de soluciones y la entrega del servicio Auditora Gestin en Redes- OTI-Piura 57 Burgos & Namuche
2. Adquirir e Implementar: Proporciona las soluciones y las pasa para convertirlas en servicios. 3. Entregar y Dar Soporte: Recibe las soluciones y las hace utilizables para los usuarios finales. 4. Monitorear y Evaluar: Monitorear todos los procesos para asegurar que se sigue la direccin provista. (COBIT 4.1, 2007, 12) El cuarto dominio de COBIT ser tomado en cuenta para la aplicacin de la Auditora informtica en redes, comunicaciones y servidores de la Oficina de Tecnologas de la Informacin de la UCV Piura. 2.8.4. Red Informtica Una red informtica est formada por un conjunto de ordenadores intercomunicados entre s que utilizan distintas tecnologas de hardware y software. Las tecnologas que utilizan (tipos de cables, de tarjetas, dispositivos) y los programas (protocolos) varan segn la dimensin y funcin de la propia red. De hecho, una red puede estar formada por slo dos ordenadores, aunque tambin por un nmero casi infinito; muy a menudo, algunas redes se conectan entre s creando, por ejemplo, un conjunto de mltiples redes interconectadas, es decir, lo que conocemos por Internet.(MailxMail. Recuperado el 21 de abril del 2011, de http://www.mailxmail.com/curso-introduccion-internet-redes/que-es-red). 2.9. Hiptesis La aplicacin de una auditora basada en COBIT permitir determinar el nivel de madurez de la gestin de redes, comunicaciones y servidores aplicada por la Oficina de Tecnologas de Informacin (OTI) a la red de la Universidad Csar Vallejo Piura. 2.10. Variables e Indicadores 2.10.1.
Variables
Variable Independiente Auditora informtica
58
Burgos & Namuche
Variable Dependiente Evaluacin de la gestin en redes, comunicaciones y servidores de la Oficina de Tecnologas de Informacin de la UCV Piura.
Variable Interviniente Marco de trabajo COBIT.
2.10.2.
Indicadores
59
Burgos & Namuche
Indicador
Nmero de procesos crticos de negocio no incluidos en un plan de contingencia. (NPC)
Definicin Conceptual Es el total de procesos crticos que no estn considerados en un plan de contingencia y que, de presentarse una eventualidad, pueden afectar las actividades administrativas de la universidad
Definicin Operacional
Unidad de Medida
Tcnica
Instrumento
Fuente
Informante
NPC =Num. P.C.N.P

Donde: Num.P.C.N.P= Nmero de crtico no incluido en el plan. proceso Nmero Revisin Bibliogrfi ca, Entrevista Fichas Bibliogrficas, Gua de Entrevista 02 rea de Redes OTI Jefe y Asistente del rea de Redes de la OTI
Porcentaje de incidentes de red resueltos en un tiempo ptimo (PIR)
Es el porcentaje de incidentes de red, comunicaciones y servidores que el rea de redes ha resuelto en el menor tiempo posible (estimado en 5.5 h)
Donde: Porcentaje Num.I.R = Nmero de Incidentes de Red Total.I= Nmero total de incidentes. n=nmero de meses i=mes
Revisin Bibliogrfi ca, Entrevista
Fichas Bibliogrficas, Gua de Entrevista 03
rea de Redes OTI
Jefe y Asistente del rea de Redes de la OTI
Nmero promedio de horas perdidas por usuario al mes, debido a interrupciones a la red. (NHP)
Es el total de horas perdidas promedio por interrupciones del servicio planeadas (mantenimiento de lneas telefnicas) como no planeadas (corte del fluido elctrico)
Donde: TPMISi= Tiempo perdido mensual por interrupcin del servicio de cada interrupcin n=nmero de interrupciones
Nmero
Revisin Bibliogrfi ca, Entrevista
Fichas Bibliogrficas, Gua de Entrevista 03
rea de Redes (OTI) rea de Soporte Tcnico (OTI)
Jefe y Asistente del rea de Redes de la OTI Jefe y Asistente del rea de Soporte Tcnico
60
Burgos & Namuche
Indicador Nmero de controles aplicados a servicios de terceros. (NCT)
Definicin Conceptual Es el total de controles aplicados a proveedores (terceros) de servicio de cableado de red.
Unidad de Medida
Tcnica
Instrumento
Fuente
Informante
NCT=Num. CT
Donde: CT= Nmero de controles aplicado a terceros. Nmero Entrevista
Gua de Entrevista 07
rea de Redes OTI
(
Porcentaje de inversin para cubrir los costos en TI (PIATI) Es el porcentaje del presupuesto invertido en la actualizacin en TI (hardware y software) para mejorar la red de la universidad. Donde:
)
Revisin Bibliogrfi ca Fichas Bibliogrficas rea de Redes OTI Jefe y Asistente del rea de Redes de la OTI
Porcentaje IATI =Inversin en actualizacin TI P = Presupuesto i=ao n=nmero de aos de
Nmero promedio de veces por mes que se ha realizado mantenimiento a la red.(NMR)
Es el total (suma) de veces que se ha realizado mantenimiento preventivo a la red de la universidad por parte de la OTI.
Donde: Num M. R = Numero mantenimiento a la red (por mes) n=nmero de meses i=mes de
Nmero
Entrevista, Observaci n
Gua de Entrevista 04, Gua de Observacin 01
rea de Redes OTI
61
Burgos & Namuche
Indicador
Definicin Conceptual
Unidad de Medida
Tcnica
Instrumento
Fuente
Informante Jefe y Asistente del rea de Redes de la OTI Jefe y Asistente del rea de Soporte Tcnico
NCF=CF
7 Nmero de controles fsicos para garantizar la continuidad del servicio (NCF) Es el total de controles aplicados a la red fsica de la universidad por parte de la OTI. (Por ej: controles biomtricos al datacenter, infraestructura de cableado ) Donde: NCF= Nmero de controles fsicos. CF= Controles Fsicos. Nmero Entrevista, Observacin Gua de Entrevista05, Gua de Observacin 02 rea de Redes OTI rea de Soporte Tcnico (OTI)
Nmero de controles lgicos para garantizar la continuidad del servicio (NCL)
Es el total de controles lgicos aplicados a la red lgica de la universidad (Por ej: Encriptacin de datos, cambio de contraseas, deteccin de virus y malware, etc.)
NCL=CL
Donde: NCL= Nmero de controles lgicos. CL= Controles lgicos. Nmero Entrevista, Observacin
Gua de Entrevista06, Gua de Observacin 03
rea de Redes OTI rea de Soporte Tcnico (OTI)
Jefe y Asistente del rea de Redes de la OTI Jefe y Asistente del rea de Soporte Tcnico
Nivel de madurez de la gestin de redes de la OTI (NMGR) Es la sumatoria de los niveles de madurez de los controles aplicados a la red de la Universidad dividido entre el total de controles considerados. Donde: NMC = Nivel de Madurez de un control aplicado a la red de la Universidad. i = Control i aplicado a la red de la universidad N = Nmero de controles aplicados a la red de la Universidad considerados. Nivel de Madurez
Encuesta
Cuestionario 01 Cuestionario 02 Cuestionario 03 Cuestionario 04
rea de Redes OTI rea de Soporte Tcnico (OTI)
Jefe y Secretaria de cada escuela. Jefe y Asistente del rea de Soporte Tcnico
Tabla N01: Tabla de Indicadores del Proyecto Fuente: Elaborado por los autores.
62
Burgos & Namuche
CAPTULO III
METODOLOGA
63
Burgos & Namuche
3.1. Tipo de Estudio Segn Vsquez (2005), el tipo de estudio determina el el tipo de informacin que espera obtener, as como el nivel de anlisis que deber realizar. Nuestra investigacin sigui el paradigma cuantitativo porque se ha probado una hiptesis, es de funcin aplicada y es de tipo Cuasi- Experimental porque no es posible crear grupos de forma aleatoria debido a que la muestra de estudio (personal del rea de redes de OTI) fue muy pequea para realizar un estudio experimental, en cambio, fue posible adoptar ciertos aspectos del diseo experimental en la programacin de procedimientos para la recoleccin de datos (Campbell y Stanley, 1973). 3.2. Diseo del Estudio Segn Cabrero y Martnez (2011), el diseo del estudio (o de la investigacin) constituye el plan general del investigador para obtener respuestas a sus interrogantes o comprobar la hiptesis de la investigacin (<http://www.aniortenic.net/apunt_metod_investigac4_4.htm >,2011). El diseo de investigacin se bas en el tipo de investigacin cuasi-experimental, tomando como modelo un solo grupo al que se le aplic un pre-test y post-test bajo un esquema de marco lgico. Su representacin simblica es la siguiente
Frmula G1 G1 Donde: G1: Trabajadores Administrativos de la OTI -X O1 O2
O1-O2: Observacin del grupo de Investigador X: lgico) Ilustracin N03: Frmula Diseo Cuasi-experimental Post-Prueba Fuente: Investigadores basndose en el modelo presentado por Guevara y Tejada (2010). Tratamiento al grupo de trabajo (usando marco
En este trabajo de investigacin, se consider, como pre-test, la evaluacin de la situacin actual de la OTI, mediante la aplicacin de la auditora informtica. Auditora Gestin en Redes- OTI-Piura 64 Burgos & Namuche
Dada la imposibilidad de aplicar un post-test tradicional (lo que significara volver a aplicar nuevamente la auditora despus de emitidas las recomendaciones), se opt por usar un modelo de marco lgico causa-efecto, en el que se analizaron las causas y efectos de los problemas identificados durante el pre-test (desarrollo de la auditora), a partir del cual se elaboraron, primero, una comparacin entre la situacin actual (pre-test) y la situacin deseada (lo que recomienda COBIT) y, segundo, un plan de mejora donde se enumeran las recomendaciones para cada uno de los problemas identificados durante la auditora. Estas recomendaciones se compararon con la situacin actual a manera de proyeccin del impacto positivo que generar la aplicacin de las recomendaciones por parte de OTI en un futuro inmediato. 3.3. Poblacin y Muestra Levin & Rubin (1996) definen como poblacin al conjunto de todos los elementos que estamos estudiando, acerca de los cuales intentamos sacar conclusiones. Por otro lado, muestra, en palabras de Murria R. Spiegel (1991) es una parte de la poblacin a estudiar que sirve para representarla. En nuestra investigacin, se consider a la muestra equivalente a la poblacin dado que el grupo de estudio (Personal de la OTI) fue pequeo, tal como se detalla en la siguiente tabla.
rea rea de la Oficina de Tecnologa de Informacin
Encargados Jefe del rea de OTI Personal de la Sub-rea de Redes Personal de la Sub-rea de Desarrollo Personal de la Sub-rea de Soporte
Cantidad 1 1 3 4
Total de Informantes
Tabla N02: Personal (poblacin) para medir los instrumentos de investigacin (OTI - Piura). Fuente: Elaborado por los autores
3.4. Mtodos de Investigacin El mtodo de investigacin se bas en tres etapas: Etapa 1: Se recopil informacin de la OTI mediante los instrumentos de medicin. Auditora Gestin en Redes- OTI-Piura 65 Burgos & Namuche
Etapa 2: Se aplic la auditoria informtica a la gestin de redes de la OTI. Etapa 3: Se aplic un marco lgico causa-efecto donde, a partir de l, se elabor un plan de mejora para cada indicador, por ltimo se compar la situacin real (recogida en etapa 1 y 2) con la situacin deseada (que se especific en el plan de mejora) 3.5. Tcnicas e instrumentos de recoleccin de datos 3.5.1. Tcnicas Entrevista: Edison Morales Lizarazo las define como las tcnicas que se utilizan para obtener informacin de forma verbal, a travs de preguntas, acerca de las necesidades de la organizacin. Los entrevistados deben ser personas relacionadas de alguna manera con la organizacin, el sistema actual o el sistema propuesto. En nuestro trabajo de investigacin se realizaron entrevistas al personal de la OTI mediante la aplicacin de Guas de entrevistas. Encuestas: Para Edison Morales Lizarazo es una tcnica para recopilar
informacin tomando una muestra de la poblacin objetivo, se obtiene informacin sobre las necesidades y preferencias de usuarios o clientes, difiere de un censo en donde toda la poblacin es estudiada, se pueden obtener datos estadsticos de la informacin recolectada, las preguntas suelen ser cerradas. (http://www.slideshare.net/edimor72/la-recoleccin-de-datos-1384547 ,2009) Se realiz esta tcnica al personal de OTI mediante la aplicacin de cuestionarios. Revisin Bibliogrfica: Reyero Eusebio dice Es el proceso por cual se considera la literatura existente sobre el tema que se va a investigar. (http://wwff.thespacer.net/blog/revision-bibliografica/ ,2010). Auditora Gestin en Redes- OTI-Piura 66 Burgos & Namuche
Para nuestro trabajo de investigacin utilizamos esta tcnica para la revisin de fuentes bibliogrficas existentes en la OTI. Observacin: Para Mara Soledad Fabbri, la observacin es un proceso cuya funcin primera e inmediata es recoger informacin sobre el objeto que se toma en consideracin (http://www.fhumyar.unr.edu.ar/escuelas/3/materiales%20de%20catedras/tr abajo%20de%20campo/solefabri1.htm) Se realiz est tcnica mediante la aplicacin de guas de observacin. 3.5.2. Instrumentos Los Cuestionarios: Para Eunice Ugel Garrido, los cuestionarios pueden ser la nica forma posible de relacionarse con un gran nmero de personas para conocer varios aspectos del sistema, se pueden obtener respuestas ms honestas debido al anonimato de los participantes, las preguntas estandarizadas pueden arrojar datos ms confiables. En nuestro proyecto se utilizaron cuestionarios para recolectar informacin en el indicador de Nivel de madurez de la gestin de redes de la OTI (NMGR) definidos en el apartado 2.9.2. Gua de Entrevista: Eunice Ugel Garrido expresa que es una gua que contiene los temas, preguntas sugeridas y aspectos a analizar en una entrevista de trabajo. Dentro de los temas que se encuentran: Experiencia profesional, estudios y formacin, historia familiar entre otros. (http://www.formasminerva.com/BancoForma/G/guia_de_entrevista/guia_de_e ntrevista.asp?CodIdioma=ESP, 2010). Las guas de entrevista se utilizaron para los indicadores: PIR, NHP, NCT, NMR, NCF y NCL definidos en el apartado 2.9.2. Auditora Gestin en Redes- OTI-Piura 67 Burgos & Namuche
Fichas Bibliogrficas: Quiroz Vctor manifiesta que es una ficha pequea, destinada a anotar meramente los datos de un libro o articulo. Estas fichas se hacen para todos los libros o documentos que eventualmente son tiles a nuestra investigacin. (http://es.scribd.com/doc/44263841/FICHAS-BIBLIOGRAFICAS) Las fichas bibliogrficas se utilizaron para recoger informacin de los documentos de OTI en los indicadores NPC y PIATI Guas de Observacin: Segn Carmina Makar, es un documento que propone algunas lneas sobre las cuales puedes trabajar al momento de hacer tu diagnstico (http://mail.udgvirtual.udg.mx/biblioteca/bitstream/20050101/1290/1/Guia_de_o bservaci%C3%B3n.pdf) Las guas de observacin se utilizaron para recoger informacin para los indicadores NMR, NCF y NCL Tcnicas Entrevista Revisin Bibliogrfica Entrevista Revisin Bibliogrfica Entrevista Revisin Bibliogrfica Entrevista Revisin Bibliogrfica Entrevista, Observacin Entrevista, Observacin Entrevista, Observacin Instrumentos Gua de Entrevista 02, Fichas Bibliogrficas Gua de Entrevista 03, Fichas Bibliogrficas Gua de Entrevista 03, Fichas Bibliogrficas Gua de Entrevista 07 Fichas Bibliogrficas Gua de Entrevista 04, Gua de Observacin 01 Gua de Entrevista 05, Gua de Observacin 02 Gua de Entrevista 06, Gua de Observacin 03 Fuente de Investigacin rea de Redes OTI. rea de Redes OTI. rea de Redes OTI. rea de Redes (OTI), rea de Soporte Tcnico (OTI). rea de Redes OTI. rea de Redes OTI. rea de Redes (OTI), rea de Soporte Tcnico (OTI). rea de Redes (OTI), rea de Soporte Tcnico (OTI).
68
Burgos & Namuche
Encuesta
Cuestionario 01 Cuestionario 02 Cuestionario 03 Cuestionario 04
rea de Redes (OTI), rea de Soporte Tcnico (OTI).
Tabla N03: Tcnicas e Instrumentos usados Fuente: Elaborado por los autores
3.6. Mtodos de anlisis de datos El anlisis de la informacin se realizar utilizando los siguientes mtodos de anlisis de datos: Anlisis estadstico: Para la recoleccin, anlisis e interpretacin de datos. Se aplic el anlisis estadstico para cada uno de los indicadores considerados (9 indicadores). El anlisis estadstico se realiz en base a los resultados reflejados en la tabulacin de datos y en los grficos estadsticos realizados para cada indicador (9 indicadores). Tabulacin: Se aplic tabulacin en los indicadores PIR, NHP y NMR ya que en los tres se requiri consultar y contra el tipo de incidente registrado en la bitcora de atenciones de la OTI. Representaciones grficas: Se aplicaron representaciones grficas parar cada uno de los indicadores aplicados. Se elaboraron de grficos estadsticos de barras, aplicados en los indicadores: PIR, NHP, NMR, NCF y NCL; y grficos estadsticos de torta (para datos muy pequeos o para comparaciones porcentuales), aplicados en los indicadores: NPC, NCT y PIATI. Adems se aplicaron grficos de barras para comparar el pre-test (resultados de auditora) con el post-test (medidas del plan de mejora) para cada indicador.
69
Burgos & Namuche
CAPTULO IV
DESARROLLO DE LA PROPUESTA
70
Burgos & Namuche
4.1. Introduccin Como se indic en el planteamiento del problema, la Universidad Cesar Vallejo Piura, al contar con sistemas informticos que automatizan gran parte de sus procesos, la OTI se convierte en una de las reas ms importantes y con gran responsabilidad en apoyar a la Universidad a lograr sus objetivos, por lo que la aplicacin de la Tesis Evaluacin de la Gestin en Redes, Comunicaciones y Servidores en la Oficina de Tecnologas de Informacin de la Universidad Csar Vallejo Piura mediante la aplicacin de una Auditora Informtica basada en COBIT. permitir mejorar la gestin de la red de la universidad de la Oficina de Tecnologas de Informacin mediante la evaluacin de los controles efectuados por la OTI de acuerdo a lo recomendado por COBIT lo que permitir que el rea determine controles que ayuden a mejorar las deficiencias encontradas durante la aplicacin de la auditora, por lo que estara apoyando considerablemente a lograr los objetivos definidos por la Universidad. Para el desarrollo de la propuesta nos basamos en el marco de trabajo COBIT, especficamente del dominio Dar Soporte (DS), porque abarca actividades diarias de OTI destinadas directamente al cliente y, por tanto ms asequibles de medir, cuestin que no suceda con los dems dominios (Planificar y Organizar y Adquirir e Implementar) dado que requeran la revisin exhaustiva de documentos, como por ejemplo, los planes operativos del rea, los cuales no tuvimos acceso por ser muy confidenciales, no obstante se hizo una excepcin con el proceso P09, porque consideramos que la gestin de riesgos un punto esencial dentro de la gestin de redes y de las TI en general, por tanto (y dada la asequibilidad del plan de contingencia del rea) se trata de un punto aspecto de suma importancia que no debe de dejar de ser evaluado.2 Considerando lo anterior, hemos considerado las siguientes actividades a realizar para llevar a cabo la propuesta, las cuales definimos en el siguiente cuadro:
El dominio Monitorear y evaluar (ME) est considerado implcitamente dado que considera los dominios anteriores pero dndole un enfoque de evaluacin y monitoreo constante.
71
Burgos & Namuche
Actividades
Procedimientos Definicin de los Objetivos y alcances de la auditoria. Anlisis del ambiente a auditar.
Planificacin de la Auditora
Determinar actividades a realizar en la auditoria. Determinar recursos para la auditoria informtica.
EJECUCIN DE LA AUDITORA Revisin de manuales y documentacin Evaluacin del Entorno de Control del rea y recopilacin de polticas y estndares aplicados a los procesos del rea Evaluacin de la Gestin de Riesgos Evaluacin de la gestin de riesgos y plan de contingencia del rea Evaluacin de la atencin de incidentes en la red Evaluacin de las interrupciones a la Red Evaluacin de los costos para cubrir la inversin en actualizacin en TI Evaluacin de controles aplicados a Evaluacin de las Actividades de Control Interno de la Gestin de la Red terceros Evaluacin de la frecuencia de las tareas de mantenimiento de la red Evaluacin de controles fsicos a la red Evaluacin de controles lgicos a la red Evaluacin de las actividades de
actualizacin del personal del rea de redes Determinar el Nivel de Madurez de la gestin de Redes de la OTI Auditora Gestin en Redes- OTI-Piura 72 Burgos & Namuche
Revisin de los papeles de trabajo Anlisis de Resultados y contrastacin de Resultados con las normas del REVISIN Y ANLISIS DE RESULTADOS framework COBIT Determinacin del Diagnstico de
acuerdo a los indicadores considerados Determinacin de recomendaciones en base del diagnstico ELABORACIN DEL INFORME DE AUDITORA Elaboracin del Informe de Auditora
Tabla N04: Plan de Trabajo de la Auditora Informtica Fuente: Elaborado por los autores
4.2. Planificacin de la Auditora 4.2.1. Definicin del Objetivo y alcance de la auditoria En este punto definimos lo que la propuesta va a estudiar (alcances) y con qu propsito (objetivos), estableciendo que actualmente, las empresas necesitan de las TI para cumplir con sus metas y objetivos. La Universidad Cesar Vallejo Piura no es la excepcin por lo que la evaluacin de la
gestin en redes, comunicaciones y servidores de su OTI (Oficina de Tecnologas de la Informacin) comprueba el alineamiento de la gestin de la Red de la UCV Piura con los objetivos de la misma, como tambin ayudar a la mejora de la gestin de la red de la universidad por parte de la OTI en funcin de lo especificado por COBIT, del cual abarcaremos el dominio de Dar Soporte (DS), debido a la naturaleza de los procesos realizados (procesos de atencin al usuario), a la asequibilidad de los mismos y, por ltimo, a la falta de acceso a documentos muy confidenciales como los planes operativos anuales del rea; tomando como base el DS se han determinado los indicadores los cuales tambin estn alineados con las preguntas de investigacin y los objetivos de la auditora los cuales son los siguientes: Evaluar la efectividad de la aplicacin de controles internos a la red de la universidad.
73
Burgos & Namuche
Evaluar el alineamiento de la gestin de redes con las metas de la universidad. Analizar el riesgo inherente a la gestin de la red de la universidad. Determinar el nivel de madurez de la gestin de la red de la universidad de acuerdo a COBIT. Determinar controles a implementar de acuerdo a las deficiencias encontradas.
Para poder lograr estos objetivos, se han implementado 9 indicadores los cuales se han relacionado con los procesos de COBIT de la siguiente manera:
74
Burgos & Namuche
tem 1
Indicadores
Procesos COBIT
Nmero de procesos crticos de PO9: Evaluar y Administrar los riesgos de TI. negocio no incluidos en un plan de contingencia. (NPC) Identificacin de eventos (P09.3)
Porcentaje de incidentes de red DS8: Administrar la mesa de servicio y los incidentes. resueltos en el tiempo acordado (PIR) Porcentaje de incidentes resueltos dentro de un lapso de tiempo aceptable/acordado. DS10: Administrar los problemas. Porcentaje de problemas resueltos dentro del
perodo de tiempo solicitado. 3 Nmero de horas perdidas por DS4: Garantizar la continuidad del servicio. usuario al mes, debido a Nmero de horas perdidas por usuario por mes, debido a interrupciones no planeadas.
interrupciones a la red. (NHP) 4
Nmero de controles aplicados a DS2: Administrar los servicios de terceros. servicios de terceros. (NCT) Identificacin de todas las relaciones con los proveedores. (DS2.1)
Porcentaje
de
inversin
en DS6: Identificar y asignar costos Porcentaje de costos totales de TI que son distribuidos de acuerdo con los modelos acordados.
actualizacin de TI (PIATI)
Nmero de veces por mes que DS13: Administracin de Operaciones se ha realizado mantenimiento a la red.(NMR) Programacin de tareas (DS13.2)
75
Burgos & Namuche
7 8 9
Monitoreo de la infraestructura de TI. (DS13.3)
Nmero de controles fsicos para DS12: Administracin del ambiente fsico garantizar la continuidad del Medidas de seguridad fsica (DS12.2) Acceso fsico (DS12.3) Proteccin contra factores ambientales (DS12.4)
servicio (NCF)
Nmero de controles lgicos DS5: Garantizar la seguridad de los sistemas para garantizar la continuidad del servicio (NCL) Administrar las cuentas de usuario (DS5.4) Pruebas, Vigilancia y Monitoreo de la Seguridad. (DS5.5). Prevencin, Deteccin y Correccin de Software Malicioso. (DS5.9). Seguridad de la red (DS5.10)
Nivel de madurez de la gestin PO9: Evaluar y Administrar los riesgos de TI. de redes de la OTI (NMGR) Identificacin de eventos (P09.3)
DS2: Administrar los servicios de terceros Identificacin de todas las relaciones con los proveedores. (DS2.1) DS4: Garantizar la continuidad del servicio. Nmero de horas perdidas por usuario por mes, debido a interrupciones no planeadas. DS5: Garantizar la seguridad de los sistemas. Administrar las cuentas de usuario (DS5.4)
76
Burgos & Namuche
Pruebas, Vigilancia y Monitoreo de la Seguridad. (DS5.5). Prevencin, Deteccin y Correccin de Software Malicioso. (DS5.9). Seguridad de la red (DS5.10)
DS6: Identificar y asignar costos. Porcentaje de costos totales de TI que son distribuidos de acuerdo con los modelos acordados. DS10: Administracin de problemas Porcentaje de problemas resueltos dentro del
perodo de tiempo solicitado. DS12: Administracin del Ambiente Fsico. Medidas de seguridad fsica (DS12.2) Acceso fsico (DS12.3) Proteccin contra factores ambientales (DS12.4)
DS13: Administracin de Operaciones. Programacin de tareas (DS13.2) Monitoreo de la infraestructura de TI. (DS13.3)
Tabla N05: Comparacin de los indicadores del proyecto con los procesos de COBIT (Dominio: Dar Soporte) Fuente: Elaborado por los autores
77
Burgos & Namuche
Donde: DS2: Administrar los servicios de terceros. DS3: Administrar el desempeo y la capacidad. DS4: Garantizar la continuidad del servicio. DS5: Garantizar la seguridad de los sistemas. DS6: Identificar y asignar costos. DS7: Educar y entrenar a los usuarios. DS8: Administrar la mesa de servicios y los incidentes. DS9: Administrar la configuracin. DS10: Administracin de problemas. DS11: Administracin de datos. DS12: Administracin del ambiente fsico. DS13: Administracin de Operaciones.
4.2.2. Anlisis del ambiente a auditar Se describe la realidad problemtica y la forma de trabajo de la Oficina de Tecnologas de Informacin (OTI), informacin que se obtuvo gracias a la aplicacin de entrevistas (Gua de entrevista realizada para conocer la realidad de la oficina tecnologas de informacin (OTI) Anexo 25) y revisin bibliogrfica (Ficha Bibliogrfica Anexo 5) a los trabajadores del rea, como tambin a la observacin del ambiente. La OTI se encarga de apoyar las labores administrativas de la universidad originalmente formaba una sola rea junto al Centro de Informtica y Sistemas, sin embargo a partir de noviembre del 2010, ste ltimo slo se avoc a la parte acadmica mientras que OTI se encarga de administrar, hasta el da de hoy, las tecnologas de informacin de la universidad. Al inicio de esta investigacin laboraban, en la oficina, trece personas y tres practicantes, no obstante, debido a los ltimos cambios de personal, solamente laboran nueve personas, quienes se reparten en las tres reas que conforman la OTI de la siguiente manera: rea de Soporte Tcnico: cuatro trabajadores y un practicante.
78
Burgos & Namuche
rea de Desarrollo de Sistemas: tres trabajadores y dos practicantes, de los cuales, un trabajador (ayudado de un practicante) pertenece a la subrea de desarrollo para Windows; los otros dos trabajadores (junto al otro practicante) pertenecen a la subrea de desarrollo Web. rea de Redes y Comunicaciones: 1 trabajador (administrador de la red) El administrador de la red tiene a cargo la jefatura del rea (OTI) lo que le obliga a tomar mayor prioridad a las responsabilidades del cargo de mayor jerarqua (jefatura de la OTI) descuidando sus funciones como administrador. El personal tcnico de la OTI es de slo 8 personas resulta insuficiente para atender las necesidades de todas las reas de la universidad. De todas las reas, soporte tcnico es la que recibe mayor nmero de peticiones de atencin y, como vemos en la distribucin de personal, slo cuenta con cuatro trabajadores y un practicante a medio tiempo. Segn Soporte, las reas de la Universidad con el mayor ndice de atenciones son: Caja, admisin, promocin, unidades mviles, seguridad y CEPRE (Centro de Preparacin para la Vida Universitaria). Ha habido casos en que el personal de Soporte no puede atender a determinados usuarios de manera inmediata porque se encuentra en otra rea solucionando un problema o realizando tareas de mantenimiento a la red o sus equipos. Cuando el jefe de la OTI se ausenta por motivo de viaje o por vacaciones. La jefatura de la oficina pasa al trabajador de mayor antigedad, esa persona pertenece al rea de Desarrollo de Sistemas, no obstante, l no es el administrador de la Red. Esta ausencia se hace notar, cuando se requiere realizar procedimientos que slo el administrador est autorizado a ejecutar, por ejemplo, el alta de la cuenta de usuario, procedimiento3 que se ejecuta con regularidad despus de formatear una PC infectada por malware. En ese caso, se llama al administrador de red va celular o anexo (si se encuentra en otra filial), quien se encarga de crear un usuario de dominio va remota por medio de la conexin VPN, de ocurrir un incidente ms serio relacionado con el trfico de la red se perdera tiempo valioso contactando al nico
3
Este procedimiento se explica con mayor detalle en el punto siguiente.
79
Burgos & Namuche
administrador disponible con la autorizacin de monitorear el trfico de la red con las herramientas adecuadas. Ambas situaciones (alta de usuarios y monitoreo del trfico de la red) nos hacen pensar que el administrador es el nico responsable de la gestin de la red, pero, revisando la Gua de Planeamiento Estratgico (2009) de la OTI, se colige que las actividades de la gestin de redes se reparten entre las tres reas como se observa en un extracto de este documento4 rea de Desarrollo de Sistemas (Subrea de Desarrollo Web) Administrar y Monitorear la Replica de Datos de la Filial - Piura. Administrar y Monitorear Yaesta_Piura. rea de Soporte Tcnico Mantenimiento y/o Monitores, Can reparacin de PCs, Impresoras, Laptop, Multimedia, Fuentes de Alimentacin y Backups y Trazas de la BD
Telfonos I.P. Mantenimiento en el Cableado y ubicacin de puntos de Red. Revisin de instalaciones de equipos de red en todo el edificio.
rea de Redes y Comunicaciones Administracin y Monitoreo administrativos y laboratorios. Administracin (Firewall). Configuracin y Actualizacin de VLANs. Instalacin, administracin y monitoreo de Servidores: Servidores de Dominio (Windows 2003); Servidores Proxy, servidor Web y servidor de Datos y Monitoreo de Dispositivos de Seguridad del Servicio de Internet para
Se han seleccionado slo las funciones relacionadas con la Gestin de Redes.
80
Burgos & Namuche
Habilitacin, Revisin y Verificacin de Cableado Estructurado de voz y datos. Administracin del Sistema de Videoconferencia sobre IP-VPN Instalacin de Telfonos IP.
Este documento data del 2009 y no se ha actualizado acorde al ltimo cambio que se ha dado este ao en el que el servidor de datos han pasado a ser gestionado totalmente por Trujillo, dejando a Piura el servidor de dominio y el servidor web. De acuerdo a este documento, OTI todava tiene
responsabilidad con este servidor. Respecto a los servidores, stos se hallan en el datacenter ubicado en el tercer piso de la universidad, en ese mismo recinto tambin se ubican los equipos siguientes: Firewall CISCO ASA. Servidor de dominio Servidor de distribucin del grupo administrativos Servidor Web 2 proxys: Para administrativos y para laboratorios. Router de voz para uso multimedia. El Firewall CISCO ASA se conecta con los tres servidores de la Universidad (Dominio, distribucin y web) y con el router de voz; a su vez existe una conexin entre el servidor web y el de dominio. Los edificios del campus se interconectan por medio de fibra ptica y la interconexin con Trujillo, por VPN. El mantenimiento de estos equipos es responsabilidad del rea de Soporte (como se consta en la Gua de Planeamiento Estratgico), lo que les convierte, junto al administrador de la red, en personas autorizadas en acceder al datacenter de la universidad. Para proteger el ingreso fsico no autorizado, el datacenter cuenta con una puerta de madera con ventana de vidrio, cerrada con llave (igual a las puertas
81
Burgos & Namuche
de las aulas de clases que estn alrededor). Para ser el recinto que guarda los activos de informacin ms importantes de la universidad, debera contar con un medio de proteccin contra accesos fsicos no autorizados ms eficiente, ya que la puerta puede ser forzada con relativa facilidad. En una primera impresin la seguridad del datacenter se est dejando de lado, lo mismo ocurre con las medidas para asegurar la continuidad del servicio en caso de cortes no planeados del suministro elctrico ya sea en Piura como en Trujillo5. Otra causa de interrupcin no deseada es provocada por saturacin que hace a los sistemas lentos mermando la productividad, aunque, los responsables de soporte (cuando se le pregunt al respecto) perciben este inconveniente como un problema menor, lo que explica que las interrupciones por saturacin (la causa ms comn de la cada del servicio de mensajera instantnea del campus) sean un problema latente de la red de la universidad; pero no todo es negativo para la OTI, porque recientemente las reas de redes y soporte han estado trabajando en etiquetar y ordenar el cableado de los gabinete de red de los edificios del campus, uno de esos gabinetes de red se encuentra en la misma OTI, donde se ha podido observar, de primera mano, estas tareas de mantenimiento y mejora. De la situacin analizada podemos inferir lo siguiente: Primero, la administracin de la red es responsabilidad de una sla persona, segundo, los documentos no se actualizan lo que es una seal de una posible falta de atencin a la documentacin en OTI, tercero, no existe una cultura de seguridad preventiva, el hecho de que el datacenter no cuente proteccin contra accesos no autorizado o el no considerar las interrupciones de la red (por saturacin o por corte de energa) como problemas que requieren atencin, significa que no ha pasado ningn incidente o problema serio para que surja un cambio importante en las medidas de seguridad.
En Trujillo se encuentran instalados los sistemas informticos. Slo los sistemas Web de campus virtual estn en Piura
82
Burgos & Namuche
Un anlisis ms detallado ser posible despus de haber revisado la documentacin del rea y de realizar entrevistas enfocadas a aspectos especficos de la gestin. Como conclusin final, el anlisis ha demostrado la necesidad de aplicarse una auditora informtica a la OTI para que la oficina pueda mejorar la gestin de la red de la universidad. 4.2.3. Actividades a realizar en la Auditora Este punto abarca la descripcin breve de las actividades que se llevaron a cabo durante el desarrollo de la auditoria. Estas actividades (incluyendo las dos primeras actividades de la fase de planificacin) son las siguientes:
PLANIFICACIN DE LA AUDITORA Definicin de los objetivos y alcance de la auditora

Descripcin Se establece lo que la auditora en redes va a estudiar (alcance) y con qu propsito
(objetivos). Producto Fecha Inicio Fecha Fin Objetivos y Alcances definidos 12/09/2011 12/09/2011
Anlisis del ambiente a auditar

Descripcin El anlisis consiste en describir la realidad problemtica y la forma de trabajo del rea de Redes, informacin que ha sido recogida gracias a la observacin del ambiente y a entrevistas aplicadas a los trabajadores del rea. Producto Fecha Inicio Fecha Fin Enfoque definido del Ambiente a Auditar 13/09/2011 15/09/2011
Determinar actividades a realizar en la auditora

Descripcin Se describen brevemente las actividades que se ejecutarn en el desarrollo de la auditora informtica Producto Fecha Inicio Fecha Fin Plan de Trabajo 16/09/2011 16/09/2011
83
Burgos & Namuche
Determinar recursos para la auditora informtica

Descripcin Se enumeran y consignan costos de los materiales y servicios que se usarn durante el desarrollo de la auditora informtica. Producto Fecha Inicio Fecha Fin Recursos para la Auditora Informtica determinados 19/09/2011 19/09/2011
Tabla N06: Planificacin de la Auditora Actividades del plan de trabajo. Fuente: Elaborado por los autores
EJECUCIN DE LA AUDITORA Evaluacin del Entorno de Control Revisin de manuales y documentacin del rea y recopilacin de polticas y estndares aplicados a los procesos del rea
Descripcin Se realiza una entrevista previa para familiarizarse con los procedimientos y polticas del rea de redes (OTI), luego, se solicita la documentacin correspondiente al jefe de OTI para su revisin donde se puede contrastar lo obtenido en la entrevista con la documentacin. Producto Fecha Inicio Fecha Fin Polticas y procedimientos revisados 20/09/2011 30/09/2011
Tabla N07: Evaluacin del Entorno de Control Actividades del plan de trabajo. Fuente: Elaborado por los autores
84
Burgos & Namuche
Evaluacin de la Gestin de Riesgos Evaluacin de la gestin de riesgos y plan de contingencia del rea
Descripcin Se solicita al jefe de OTI el plan de contingencia del rea para su revisin para conocer y evaluar la gestin de riesgos del rea de redes. Producto Informe sobre la gestin de la seguridad de la OTI, Procesos no incluidos en el plan de contingencia Fecha Inicio Fecha Fin 05/10/2011 07/10/2011
Tabla N08: Evaluacin de la Gestin de Riesgos Actividades del plan de trabajo. Fuente: Elaborado por los autores
Evaluacin de las Actividades de Control Interno de la Gestin de la Red Evaluacin de la atencin de incidentes en la red
Descripcin Se evala la atencin de incidentes y se determina el nmero de incidentes de red atendidos y desarrollados en un tiempo ptimo Producto Porcentaje de incidentes de red resueltos en el tiempo acordado. Fecha Inicio Fecha Fin 10/10/2011 12/10/2011
Evaluacin de las interrupciones a la Red

Descripcin Se evala el nmero de horas perdidas por interrupcin del servicio de red en la universidad. Producto Nmero de horas perdidas por usuario al mes, debido a interrupciones a la red Fecha Inicio Fecha Fin 13/10/2011 14/10/2011
Evaluacin de los costos para cubrir la inversin en actualizacin en TI

Descripcin Se evala los costos destinados para la inversin en TI,
85
Burgos & Namuche
de ello se obtiene un porcentaje destinado para ello. Producto Fecha Inicio Fecha Fin Porcentaje de costos para la inversin en actualizacin de TI 17/10/2011 19/10/2011
Evaluacin de controles aplicados a terceros

Descripcin Se identifican y evalan los controles aplicados a terceros (personas externas a OTI) Producto Fecha Inicio Fecha Fin Nmero de controles aplicados a servicios de terceros 20/10/2011 24/10/2011
Evaluacin de la frecuencia de las tareas de mantenimiento de la red

Descripcin Se evalan las tareas de mantenimiento de la red y su frecuencia de realizacin Producto Nmero de veces por ao que se ha realizado mantenimiento a la red Fecha Inicio Fecha Fin 25/10/2011 26/10/2011
Evaluacin de controles fsicos a la red

Descripcin Se evala si los controles fsicos son los adecuados, as como cuntos de ellos se aplican. Producto Fecha Inicio Fecha Fin Nmero de controles fsicos aplicados a la red 27/10/2011 28/10/2011
Evaluacin de controles lgicos a la red

Descripcin Se evala si los controles lgicos son los adecuados, as como cuntos de ellos se aplican. Producto Fecha Inicio Fecha Fin Nmero de controles lgicos aplicados a la red 31/10/2011 01/11/2011
Evaluacin de las actividades de actualizacin del personal del rea de redes

Descripcin Se evala si los profesionales de OTI (rea de redes) cuentan con un programa de capacitacin idneo. Producto Nivel de Madurez de la Gestin de Redes de la OTI
86
Burgos & Namuche
Fecha Inicio Fecha Fin
02/11/2011 03/11/2011
Determinar el Nivel de Madurez de la gestin de Redes de la OTI

Descripcin Se determina el nivel de madurez de la OTI basndose en la escala propuesta por el framework COBIT Producto Fecha Inicio Fecha Fin Nivel de Madurez de la Gestin de Redes de la OTI 04/11/2011 09/11/2011
Tabla N09: Evaluacin de las Actividades de Control Interno de la Gestin de la Red. Actividades del plan de trabajo. Fuente: Elaborado por los autores
REVISIN Y ANLISIS DE RESULTADOS
Revisin de los papeles de trabajo

Descripcin Se revisan los cuestionarios, entrevistas y productos obtenidos en cada actividad del desarrollo de la auditora como primer paso para redactar un informe consolidado. Producto Fecha Inicio Fecha Fin Papeles de trabajo revisados 10/11/2011 10/11/2011
Anlisis de Resultados y contrastacin de Resultados con las normas del framework COBIT
Descripcin Se analizan los resultados tomando como base los procesos y buenas prcticas del framework COBIT. Producto Fecha Inicio Fecha Fin Hallazgos de auditora 11/11/2011 16/11/2011
Determinacin del Diagnstico de acuerdo a los indicadores considerados

Descripcin Se elaboran las conclusiones en base a los hallazgos de auditora. Con ello se diagnostica la situacin actual de la OTI
87
Burgos & Namuche
Producto Fecha Inicio Fecha Fin
Conclusiones de auditora 17/11/2011 17/17/2011
Determinacin de recomendaciones en base del diagnstico

Descripcin Se elaboran las recomendaciones de mejora de acuerdo al diagnstico de auditora Producto Fecha Inicio Fecha Fin Recomendaciones en base a los hallazgos encontrados 18/11/2011 18/11/2011
Tabla N10: Revisin y Anlisis de Resultados. Actividades del plan de trabajo. Fuente: Elaborado por los autores
ELABORACIN DEL INFORME DE AUDITORA
Elaboracin del Informe de Auditora

Descripcin Se consolidan los hallazgos, conclusiones y recomendaciones en un solo informe final que se presentar a la OTI. Producto Fecha Inicio Fecha Fin Informe de Auditora 21/11/2011 23/11/2011
Tabla N11: Elaboracin del Informe de Auditora. Actividades del plan de trabajo. Fuente: Elaborado por los autores
4.2.4. Recursos a utilizar en la Auditora Informtica Definimos y consignamos costos de los materiales y servicios que se usaran durante el desarrollo de la auditoria. Para la auditora informtica se usarn los siguientes recursos:
88
Burgos & Namuche
RECURSO
DESCRIPCIN Papel Bond A4 CD ROM Lapiceros Castell Corrector Castell Resaltador Faber Faber
CANTIDAD 1 millar 5 unidades
PREC. UNIT S/. 22.00 S/. 0.80
SUBTOTAL S/. 22.00 S/. 4.00
5 unidades
S/. 0.50
S/. 2.50
2 unidades 2 unidades
S/. 2.50 S/. 2.00
S/. 5.00 S/. 4.00 S/. 5.00 S/. 0.50
MATERIAL DE
Flder Manila A4 Clips
10 unidades S/. 0.50 1 caja S/. 0.50
ESCRITORIO Cartucho de Tinta HP negra Cartucho de Tinta HP a color Grapas FastenerArtesco Perforador Artesco SUBTOTAL 1000 Fotocopias: Internet Anillados SERVICIOS Empastados unidades 3 Meses S/. 0.10 S/. 99.00 S/. 100.00 S/. 297.00 S/. 50.00 S/. 42.50 1 unidad 1 caja 1 caja 1 unidad S/. 120.00 S/. 2.00 S/. 3.50 S/. 12.00 S/. 120.00 S/. 2.00 S/. 3.50 S/. 12.00 S/. 255.50 1 unidades S/. 75.00 S/. 75.00
10 unidades S/. 5.00 5 unidades 1000 S/. 8.50
Impresiones Transporte SUBTOTAL TOTAL
Unidades 2 personas
S/. 0.10 S/. 150.00
S/. 100.00 S/. 300.00 S/. 889.50 S/. 1,145.00
Tabla N12: Presupuesto de la ejecucin de la auditora informtica. Fuente: Elaborado por los autores.
89
Burgos & Namuche
4.3. Ejecucin de la Auditora 4.3.1. Evaluacin del Entorno de Control 4.3.1.1. Revisin de manuales y documentacin del rea y recopilacin de polticas y estndares aplicados a los procesos del rea Este punto se conforma de dos procedimientos realizados, el primero consisti en realizar un cuestionario (Encuesta: Documentacin del rea. Anexo 2) al jefe del rea sobre la documentacin que manejaba el rea (OTI), para luego solicitar la documentacin correspondiente (Solicitud: Facilidad para revisar documentos, y Solicitud: Facilidad para revisar el registro de incidentes. Anexos 3 y 4 respectivamente). El segundo procedimiento consisti en realizar una entrevista (Gua de Entrevista: Aplicacin de Polticas y Procedimientos de Seguridad en el rea de Redes de la Oficina de Tecnologas de Informacin. Anexo 6)al jefe de OTI, con la intensin de definir los procedimientos y polticas que se realizan en el rea (OTI). Estos procedimientos se realizaron con la finalidad de revisarla y contrastarlos con la informacin obtenida con la entrevista realizada al jefe de la OTI. A. Revisin Preliminar de Manuales y Documentacin del rea Se consult al jefe del rea, mediante un cuestionario (Encuesta: Documentacin del rea. Anexo 2), sobre la documentacin que maneja el rea; como resultado del cuestionario, la OTI maneja los siguientes documentos: Gua de Planeamiento Estratgico, Instructivo de Funciones y Propuesta de Proyecto Tal como su ttulo describe, el documento consta de un planeamiento estratgico, una descripcin de funciones
especficas de cada subrea y una propuesta de trabajo donde, como refiere la introduccin del documento, como parte de atencin al cliente (Gua de planeamiento estratgico, instructivo de funciones y propuesta de proyecto para (OTI), Auditora Gestin en Redes- OTI-Piura 90 Burgos & Namuche
2010). De las tres partes del documento slo tuvimos acceso a las dos primeras las cuales comentaremos y analizaremos a continuacin: El planeamiento estratgico en su primera parte se limita solamente a la exposicin de la misin, visin y valores de la institucin. El documento no cuenta con un anlisis del ambiente interno o externo o de una matriz FODA, los cuales son fundamentales en un planeamiento estratgico. El instructivo de funciones es ms detallado, primero, expone los objetivos del documento, luego, presenta el organigrama del rea y, por ltimo, menciona cada una de las funciones de las subreas de la OTI, pero, cada funcin est presentada de manera enunciativa no entra en detalles de los pasos de los procedimientos que implica cada funcin del rea, adems (como se ha sealado en el anlisis del ambiente a auditar) es un documento de dos aos de antigedad y se han dado cambios importantes que han afectado las funciones del rea. Descripcin de la Red UCV Piura El documento consta de dos partes en realidad, la primera aborda la descripcin de la red y la segunda menciona las funciones de la subrea de Redes y Comunicaciones. La descripcin (de la red y las funciones) es muy ligera y breve, adems no se incluye el mapa topolgico, el cual se maneja como un documento aparte. Plan de Contingencia El plan que maneja el rea es el resultado del trabajo de tesis de dos alumnos egresados de la Universidad Csar Vallejo Piura, el cual fue propuesto y desarrollado durante el ao 2010. Adems es importante aclarar que el rea cuenta con un trabajo de tesis no con un documento formal. Auditora Gestin en Redes- OTI-Piura 91 Burgos & Namuche
Mapa Topolgico de la Red Es un documento que data del 2009 y que se ha ido actualizando conforme los cambios se han venido dando. Tuvimos acceso a una versin del mapa que no presentaba informacin sensible como las direcciones IP de los equipos. Bitcora de incidentes y problemas en la red La bitcora se gestiona manualmente mediante archivos en Excel los cuales son manejados por la asistente de la oficina. En estos archivos se anota el tipo de problema y el usuario. Como todo sistema manual la bsqueda de incidentes registrados es tediosa e incluso existe el riesgo de que los registros se pierdan, aunque se est implementando un sistema web que permitir no solo registrar sino gestionar los incidentes. El mdulo de registro estuvo usndose hasta mitad de ao, luego se volvi a gestionar los incidentes de forma manual. Bitcora de registro de atenciones al usuario Se registra en archivos de Excel (como en el caso de los incidentes) por la asistente. Con el nuevo sistema de gestin de incidentes se tomarn en cuenta, adems las atenciones al usuario. De los documentos anteriores, slo el plan de contingencia y las bitcoras de atenciones e incidentes se guardan en formato fsico (Registro en plantillas que luego son archivados), los dems documentos se almacenan en la PC del jefe de la OTI, en formato digital especficamente archivos de Word. Los documentos que no estn en formato fsico no se encuentran organizados dndose el riesgo de prdida de estos documentos. De la documentacin propuesta en el cuestionario, el rea no maneja los siguientes documentos: Bitcora de Acceso al Datacenter Auditora Gestin en Redes- OTI-Piura 92 Burgos & Namuche
No se registra el acceso de las personas al datacenter. No existe un documento ni fsico ni virtual Manuales de configuracin para servidores, firewall,
routers, etc. El rea no cuenta con manuales de configuracin de los equipos del datacenter. La gestin de ambos es, como se refiri en al anlisis del ambiente a auditar, emprica, cada trabajador de las subreas de redes y de soporte, sabe lo que tiene que hacer debido a su propia experiencia. B. Recopilacin de Polticas y Estndares aplicados a los procesos del rea de Redes Se realiz una entrevista al jefe del rea de redes, Ing. Alfredo Enrique Iwasaki Vargas quien es el administrador de la red del campus de la UCV Filial Piura. La entrevista se bas en una gua (Gua de Entrevista: Aplicacin de Polticas y Procedimientos de Seguridad en el rea de Redes de la Oficina de Tecnologas de Informacin Anexo 6) que trat las polticas y procedimientos de seguridad que debe implementar un rea de TI, las cuales estn referidas en el COBIT 4.1 y en el ISO 270016. Los puntos tratados fueron los siguientes:
El framework COBIT trata de integrar las mejores prcticas en TI. Por tanto muchos procesos del COBIT guardan relacin con otros estndares y metodologas como MAGERIT, ISO 27001, ISO 27002, entre otras.
93
Burgos & Namuche
Procedimiento de dar de alta una cuenta de Usuario El procedimiento para dar de alta a un usuario es el siguiente:
Inicio
Solicitud enviada a OTI por parte del rea responsable del trabajador.
OTI Valida al trabajador con RR.HH
No Es Trabajador
Si Crear Cuenta
Informar al Usuario
Terminar
Grfico N01: Diagrama de Flujo para el procedimiento de dar de alta a un usuario Fuente: Gua de Entrevista: Aplicacin de Polticas y Procedimientos de Seguridad en el rea de Redes de la Oficina de Tecnologas de Informacin Anexo 6. Elaborado por los autores
Para crear el identificador de un usuario se toma la primera letra de su nombre ms el apellido paterno completo. La contrasea no la establece el administrador, sino el mismo usuario cuando inicia sesin (con sus usuarios de dominio) por primera vez.
El rea no regula si los usuarios usan contraseas seguras o fuertes para sus cuentas.
94
Burgos & Namuche
El administrador no establece restricciones horarias para los usuarios. El acceso est habilitado para cualquier da de la semana sea laborable o no.
Slo el Ing. Iwasaki (Administrador de la red) est autorizado a dar alta o baja a las cuentas de usuario.
Procedimiento de baja de cuenta de usuario. El procedimiento para dar de baja a un usuario es el siguiente:
Inicio
Solicitud de desactivacin de cuenta por parte del responsable del rea
Desactivar Cuenta
Terminar
Grfico N02: Diagrama de Flujo para el procedimiento de dar de baja a un usuario Fuente: Gua de Entrevista: Aplicacin de Polticas y Procedimientos de Seguridad en el rea de Redes de la Oficina de Tecnologas de Informacin Anexo 6. Elaborado por los autores
La baja de un usuario consiste en la desactivacin, no en la eliminacin de una cuenta, porque, ha habido casos de trabajadores que han vuelto a laborar en la Universidad.
95
Burgos & Namuche
Procedimiento de verificacin de accesos. El procedimiento para verificacin de accesos es el siguiente:

Inicio
Revisar log de sucesos del servidor
Se registran los sucesos externamente
Terminar
Grfico N03: Diagrama de Flujo para el procedimiento de verificacin de accesos. Fuente: Gua de Entrevista: Aplicacin de Polticas y Procedimientos de Seguridad en el rea de Redes de la Oficina de Tecnologas de Informacin Anexo 6. Elaborado por los autores.
La revisin del log de sucesos se realiza semanalmente por el administrador de la red. Los sucesos son registrados en una bitcora. No se tiene control sobre el tiempo de permanencia (se desconoce) de los logs en el servidor.
Procedimiento de chequeo del trfico de la red. El chequeo de trfico de la red es el siguiente:
96
Burgos & Namuche
Inicio
Se monitorea mediante las herramientas: Wireshark y el CISCO ASDM
No
Inconveniente en el trfico de la red
Si Se identifica el origen y se verifica el problema
No El problema es grave
Si Se soluciona el problema Se asla el equipo
Se procede a dar mantenimiento al equipo
Terminar
Grfico N04: Diagrama de Flujo para el procedimiento de chequeo del trfico de la red. Fuente: Gua de Entrevista: Aplicacin de Polticas y Procedimientos de Seguridad en el rea de Redes de la Oficina de Tecnologas de Informacin Anexo 6. Elaborado por los autores.
Se monitorea el trafico de la red mediante 02 herramientas de software: Wireshark y el CISCO ASDM.
97
Burgos & Namuche
Si no hay inconvenientes en el trfico de red, entonces el proceso se da por concluido, caso contrario si se identifica el origen y se verifica el problema.
Si el problema presentado no es grave (problema con el conector de red) se da una solucin inmediata, caso contrario se asla el equipo y se procede a dar solucin a esta (Mantenimiento del equipo o formateo) dependiendo cual sea el problema.
5. Procedimiento para el monitoreo de los volmenes de correo. El correo corporativo se maneja desde Trujillo (Departamento de Tecnologas de Informacin - DTI) por lo tanto, no es gestionado por OTI. Procedimientos para el resguardo de copias de seguridad.
Inicio
Realizar copias de respaldo
Grabar copias en DVD
Terminar
Grfico N05: Diagrama de Flujo para el procedimiento de resguardo de copias de seguridad. Fuente: Gua de Entrevista: Aplicacin de Polticas y Procedimientos de Seguridad en el rea de Redes de la Oficina de Tecnologas de Informacin Anexo 6. Elaborado por los autores.
98
Burgos & Namuche
Las copias de respaldo (backup) se realizan al servidor de datos y al servidor Web, dos veces al da: una copia en la maana y otra en la noche. Las copias de respaldo se almacenan en DVD, en un armario, pero dentro de la misma oficina de OTI, lo que no es conveniente porque existe el riesgo de prdida de los backups de ocurrir un incendio o terremoto.
Se usa el software CoverBackup. Los responsables de realizar los backups son los integrantes del rea de Desarrollo de Sistemas.
Procedimientos para el monitoreo de los puertos en la red.
Inicio
Monitorear switches
Si
Existe un problema
No
Verificar switch
Terminar
Grfico N06: Diagrama de Flujo para el procedimiento de monitoreo de los puertos en la red. Fuente: Gua de Entrevista: Aplicacin de Polticas y Procedimientos de Seguridad en el rea de Redes de la Oficina de Tecnologas de Informacin Anexo 6. Elaborado por los Autores.
99
Burgos & Namuche
Para monitorear los switches se usan las herramientas: Wireshark y CISCO ADSM.
Procedimientos de cmo dar a conocer las nuevas normas de seguridad implantadas.
Inicio
Asistente redacta nueva norma
Envo de norma por correo a todas las reas
Terminar
Grfico N07: Diagrama de Flujo para el procedimiento de dar a conocer las nuevas normas de seguridad implantadas. Fuente: Gua de Entrevista: Aplicacin de Polticas y Procedimientos de Seguridad en el rea de Redes de la Oficina de Tecnologas de Informacin Anexo 6. Elaborado por los autores
OTI organiza capacitaciones para el manejo de los sistemas principales pero ninguna relacionada con poltica de seguridad.
El medio para hacer conocer una nueva norma es mediante documento interno.
100
Burgos & Namuche
Procedimientos para la determinacin de identificacin de usuario y grupo de pertenencia por defecto. Los usuarios cuentan con perfiles iguales, no obstante, existen restricciones de acceso a ciertas pginas de Internet. Las restricciones no son las mismas en todas las reas.
Procedimientos para recuperar informacin.
Inicio
No
Prdida de informacin
Si
Restaurar copias de respaldo
Terminar
Grfico N08: Diagrama de Flujo para el procedimiento para recuperar informacin. Fuente: Gua de Entrevista: Aplicacin de Polticas y Procedimientos de Seguridad en el rea de Redes de la Oficina de Tecnologas de Informacin. Anexo 6. Elaborado por los autores
101
Burgos & Namuche
De acuerdo al administrador de la red, hasta la fecha, no ha existido un suceso lo suficientemente grave como para restaurar la data del servidor web
Procedimientos para la Atencin de Incidentes.
Inicio
Solicitud de Atencin
Registro de Incidentes.
Llamada a experto
Si Incidente resuelto? Terminar
No
Escalamiento de Incidentes
Grfico N09: Diagrama de Flujo para el procedimiento para la atencin de incidentes. Fuente: Gua de Entrevista: Aplicacin de Polticas y Procedimientos de Seguridad en el rea de Redes de la Oficina de Tecnologas de Informacin. Anexo 6. Elaborado por los autores
102
Burgos & Namuche
La atencin de incidentes se realiza con ayuda de un escritorio de ayuda (helpdesk) que atiende solicitudes por lnea telefnica o por correo electrnico.
4.3.2. Evaluacin de la Gestin de Riesgos La evaluacin de la gestin de riesgos tom como base la revisin y anlisis del plan de contingencia que maneja la OTI (Plan de Contingencia, 2010), mediante Guas Bibliogrficas (Anexo 5). Este plan fue elaborado como trabajo de tesis de dos alumnos egresados de la Universidad Csar Vallejo Piura, uno de ellos labora en la OTI. El plan tuvo como alcance el rea de OTI, y tom la metodologa del INEI de gestin de riesgos, la cual, de acuerdo a los tesistas, es ms completa y detallada que MAGERIT. Cuando se le pregunt al jefe de la OTI, respecto a este plan, l se refiri que an no cuentan con un plan organizado, lo cual es un indicador de que todava no se ha aplicado el plan de contingencia ni se ha revisado para mejorarlo, esto podra deberse a que se trata de un documento relativamente reciente, elaborado y corregido por los tesistas durante el segundo semestre del 2010 y los primeros meses del 2011, fecha en el que le fue entregada al jefe de la OTI por lo tanto an es muy poco tiempo como para que el rea lo implemente completamente, pero debe considerarse su revisin como una tarea primordial. Respecto a la evaluacin de la gestin de riesgos de OTI, sta se har desde dos frentes: Primero se evaluar si el plan ha incluido todos los procesos de negocio crticos de la universidad y, luego se evaluar la gestin de riesgos en s, basndonos en: Clasificacin del riesgo, de donde se tomarn los riesgos de mayor ocurrencia y ms alto impacto para evaluar si las medidas de contingencia se cumplen o no en la organizacin. Contrastacin de procedimientos del plan con la informacin obtenida en las entrevistas. Auditora Gestin en Redes- OTI-Piura 103 Burgos & Namuche
Medidas de contingencia para redes, ya sea de seguridad fsica o lgica, lo cual se realizar a lo largo de toda la auditora 4.3.2.1. Procesos Claves del Negocio El siguiente grfico, extrado del plan de contingencia ilustra los procesos crticos de la universidad.
104
Burgos & Namuche
ADMISIN
R.R.H.H
REGISTRA PERSONAL
CAJA
ASIGNA COSTOS CREA PERFIL
ASISTENTA SOCIAL
SEUUS REGISTROS ACADEMICOS
ESCUELA REGISTRO HORARIO ASIGNAR HORARIO A DOCENTE REGISTRO MATRICULA CAMPUS VIRTUAL
DOCENTES
ALUMNOS
SLABOS NOTAS CREA PERFIL
VER NOTAS ENVIAR TRABAJOS LINK DE INTERS
Ilustracin N04: Desarrollo de los Procesos Acadmicos de la Universidad Fuente: Plan de Contingencia - 2010.
105
Burgos & Namuche
Como punto siguiente, el plan de contingencia analiza las operaciones crticas del sistema de informacin sobre los que se soportan los procesos del grfico superior, seguido del anlisis de las operaciones actuales, mediante la observacin de este grfico y la lectura de las operaciones crticas en el documento (plan de contingencia) se encontrar el Nmero de procesos crticos de negocio no incluidos en un plan de contingencia, indicador que operacionalmente se define as.
NPC =Num. P.C.N.P

Dnde: NPC: Nmero de Procesos Crticos no incluidos en un plan de contingencia P.C.N.Pi: Cada procesos crtico no incluido en el plan de contingencia analizado Considerando lo anterior, hemos observado y constatado que el plan de contingencia no menciona los procesos de matrcula para los cursos de ingls, computacin ni actividades integradoras, por tanto los procesos crticos no considerados son los siguientes: Proceso de matrcula a los cursos de computacin. Proceso de matrcula a los cursos de ingls (Centro de idiomas) Proceso de matrcula a los cursos de actividades integradoras Identificamos 3 procesos crticos no considerados en el plan de contingencia; con ayuda de la frmula el resultado se obtiene as:
NPC = 3
Se estableci la proporcin de los procesos no incluidos con respecto a los procesos crticos considerados (en el plan de contingencia), para ello
106
Burgos & Namuche
se enumeraron los procesos crticos de la Ilustracin 4 que se incluyen en la siguiente tabla
rea o Persona (que ejecuta proceso)
Proceso Crtico
Registro de Personal RR.HH Asignacin de costos Creacin de perfiles de los
colaboradores Registro de Horarios Escuela Asignacin de horarios a docentes Registro de matrcula Subir slabos al Campus virtual Docente Registro de notas de los alumnos. Crear perfiles de alumnos. Ver notas Alumnos Enviar trabajos Acceder a links de inters TOTAL DE PROCESOS 12
Tabla N13: Procesos Crticos considerados en el plan de contingencia Fuente: Elaborado por los autores
Se han considerado 12 procesos crticos, junto con los 3 procesos no considerados suman 15 procesos, de ese total, la proporcin de los procesos crticos no considerados se reflejan en el siguiente grfico:
107
Burgos & Namuche
Procesos Crticos
Procesos considerados Procesos no considerados
20%
80%
Grfico N10: Proporcin de procesos crticos no incluidos en plan de contingencia de OTI Fuente: Plan de Contingencia 2010. Elaborado por los autores
De acuerdo al grfico, Los procesos crticos no considerados representan el 20% del total de procesos crticos. Estos procesos se consideran crticos porque un alumno no puede graduarse si no ha llevado estos cursos durante el tiempo que dura el estudio de la carrera, de ocurrir un problema con los sistemas, OTI se ve involucrada en el problema. Otra carencia que hemos encontrado es la no consideracin de operaciones crticas de la administracin de la red de la universidad para cada proceso crtico considerado en el plan de contingencia; el plan se limita slo a describir los procesos crticos desde el punto de vista de la usabilidad de los sistemas informticos que soportan las operaciones.
108
Burgos & Namuche
Es recomendable que esta visin, se ample considerando estas operaciones y procesos desde el punto de vista de las redes, comunicaciones e, incluso de soporte. Esta visin, creemos ser posible si se analizan los registros de atenciones que las subreas de redes y soporte realizan a las reas involucradas en los procesos crticos, aspecto que se evaluar en los puntos siguiente 4.3.2.2. Gestin de Riesgos y Plan de Contingencia Los riesgos que considera el plan de contingencia se dividen en riesgos fsicos y lgicos: Riesgos Fsicos: Altas temperaturas de calor, fenmeno de El Nio, terremotos, inundaciones, incendios, vandalismo/terrorismo, robo de equipos, fraude, acceso no autorizado a recursos, errores humanos. (Plan de Contingencia, 2010). Riesgos Lgicos: Robo de datos, fallo de servicio de telefona IP, fallo de servicios elctricos, software malicioso, ausencia del personal de OTI, falta de concientizacin en seguridad en TI. (Plan de Contingencia, 2010). El plan de contingencia de OTI gestiona los riesgos teniendo en cuenta el impacto y la probabilidad de ocurrencia. El impacto se mide usando una escala del 5 al 20 cada una de ellas tiene una definicin conceptual llamada Nivel de Impacto como lo muestra la siguiente tabla.
109
Burgos & Namuche
Valor de Impacto 5
Nivel de Impacto Leve
Descripcin Prdidas insignificantes, lo que genera el menor grado de incumplimiento en metas y objetivos. Prdidas considerables, con posibilidad de un alto grado de incumplimiento en metas y objetivos Prdidas enormes, con dao en la imagen de la entidad, alto grado de incumplimiento en metas y objetivos
10
Moderado
20
Catastrfico
Tabla N14: Valores de Impacto. Fuente: Plan de Contingencia 2010
Para las probabilidades, la escala va desde el 1 al 3, su definicin conceptual se denomina Nivel de probabilidad como se observa a continuacin:
Valor de Probabilidad 1 2 3
Nivel de Probabilidad Bajo (Rara vez) Medio (Posible) Alto (Casi cierto)
Descripcin Puede ocurrir solo en circunstancias excepcionales(una vez en 1 ao) Es posible que ocurra algunas veces (entre 1 y 3 veces al ao) Se espera que ocurra en la mayora de las circunstancias (ms de 3 veces al ao)
Tabla N15: Probabilidad de Ocurrencia. Fuente: Plan de Contingencia 2010
El plan de contingencia considera como riesgos ms probables a suceder, los siguientes (aquellos cuya probabilidad sea igual o mayor al 50%)
110
Burgos & Namuche
Descripcin Inundaciones Altas temperaturas Fenmeno de El Nio Vandalismo y/o Terrorismo Errores Humanos
Probabilidad 0.53 0.53 0.57 0.57 0.53
Tabla N16: Probabilidad de Ocurrencia para Riesgos Fsicos Fuente: Plan de Contingencia 2010. Elaborado por los autores
Descripcin Robo de Datos Fallo de Telefona IP Fallo de Servicios elctricos Software malicioso Errores Humanos Ausencia del Personal de OTI Falta de concientizacin en seguridad de TI
Probabilidad 0.50 0.70 0.60 0.67 0.53 0.67 0.70
Tabla N17: Probabilidad de Ocurrencia para Riesgos Lgicos Fuente: Plan de Contingencia 2010. Elaborado por los autores
De acuerdo al impacto, el plan de contingencia considera como riesgos de alto y medio impacto los siguientes: Riesgo Incendios Altas temperaturas Fenmeno de El Nio Vandalismo y/o Terrorismo Impacto Alto Alto Alto Medio
111
Burgos & Namuche
Robo de Equipos Acceso no autorizado
Alto a Alto
recursos/Informacin fsica Errores humanos Medio
Tabla N18: Impacto para riesgos fsicos Fuente: Plan de Contingencia 2010. Elaborado por los autores
Riesgo Robo de datos Fallo de servicio de telefona Ip Fenmeno de El Nio Fallo de servicios elctricos Software malicioso Ausencia del Personal de OTI Falta de Concientizacin y Seguridad de TI
Impacto Alto Medio Alto Medio Alto Medio Medio
Tabla N19: Impacto para riesgos lgicos Fuente: Plan de Contingencia 2010. Elaborado por los autores
El plan especifica acciones a seguir para cada uno de estos riesgos los cuales se tomarn como tems de evaluacin para los controles fsicos y lgicos de la red. La evaluacin de los riesgos est bastante clara, no obstante, en la clasificacin de los riesgos (fsicos y lgicos) deben hacerse unas aclaraciones: Las siguientes amenazas: Ausencia del personal de OTI y falta de concientizacin en seguridad de TI quedaran mejor definidas si se les considera como riesgos de un nivel administrativo superior a un error lgico. Auditora Gestin en Redes- OTI-Piura 112 Burgos & Namuche
El plan ordena las reas por orden de prioridad de atencin de incidentes, como se muestra en el grfico siguiente:
Caja Contabilidad Tesorera Direccin General Registros Acadmicos Escuelas Laboratorios de Cmputo
Ilustracin N05: Prioridades de Atencin. Fuente: Plan de Contingencia - 2010
Segn el jefe de la OTI, las dos reas con mayor prioridad de atencin son Caja y Direccin General, pero el grfico ubica a Direccin General en cuarto lugar, lo que indica que, en la prctica la realidad es diferente. Otro aspecto a considerar es que el plan de contingencia no considera los laboratorios de cmputo de la Escuela de Ingeniera de Sistemas dentro de su anlisis, slo considera los laboratorios del CIS (Centro de Informtica y Sistemas). Como observacin final, debe recalcarse que el plan de contingencia debe revisarse y actualizarse, cuando se le pregunt al jefe de la OTI si actualizaban el plan, el respondi que no era necesario porque se tratan de normas estndar, no obstante consideramos que el plan debe revisarse y actualizarse por las siguientes razones:
113
Burgos & Namuche
La OTI debe formalizar su plan de contingencia a travs de la aprobacin y aceptacin por parte de las autoridades responsables de la universidad. Es un trabajo de pregrado que puede tener errores, por tanto debe revisarse. La situacin interna (del rea y de la universidad) puede cambiar y afectar a OTI como rea dentro de una organizacin. La situacin externa (llegada de nuevas tecnologas) puede cambiar y consigo trae nuevos riesgos junto a las soluciones. 4.3.3. Evaluacin de las Actividades de Control Interno de la Gestin de la Red. 4.3.3.1. Evaluacin de la Gestin de Atencin de Incidentes (de Redes) y de la Gestin de la Continuidad del Servicio en la OTI. Se entrevist al Jefe de la OTI (Anexo 7) sobre cmo se llevaba la gestin de incidentes y la gestin de la continuidad del servicio en el rea (Gua de Entrevista: Gestin de Riesgos en la Oficina de Tecnologas de Informacin UCV Piura). La descripcin que sigue a continuacin es producto de la informacin obtenida en la entrevista. La gestin de incidentes de OTI est conformada por un helpdesk que utiliza dos canales de comunicacin para atender a los usuarios: Por llamada telefnica (marcando el nmero de anexo del helpdesk) Por envo de solicitud mediante el correo corporativo. La gestin de incidentes que maneja OTI se caracteriza por lo siguiente: El registro de incidentes es manual. Se usa una bitcora de incidentes (ver el tem de revisin preliminar de documentacin) donde se indica el incidente dado, el tipo de incidente (si es un incidente de soporte, de red o de los sistemas de informacin) y la persona que lo va a atender. Es un proceso emprico, porque se basa en la experiencia diaria de los participantes del proceso de atencin: Asistente, clientes y Auditora Gestin en Redes- OTI-Piura 114 Burgos & Namuche
expertos de cada rea. La asistente, por la naturaleza del incidente, sabe a quin llamar; el experto, por su propia experiencia, sabe qu hacer, y el cliente, en algunos casos, sabe a qu experto llamar (la asistente se limita a llamar al experto) Se tiene una nocin de urgencia por atencin de incidentes de acuerdo al rea que solicita una atencin, segn ello existen reas con mayor prioridad que otras. De acuerdo al administrador de la red (jefe de la oficina), las reas a las cuales les da mayor prioridad son Caja y Direccin General. Considera el escalamiento de incidentes. En el caso de redes, el nivel ms bajo lo ocupan los trabajadores del rea de soporte, luego, le sigue el administrador de la red y, en el nivel ms alto, se encuentran los encargados de DTI de Trujillo. En el caso de Trujillo, slo se derivan problemas que se relacionen con el servidor de datos. De la informacin anterior se detectaron algunas deficiencias en la gestin de incidentes de la OTI: No se ha estandarizado el uso del correo corporativo como canal para el envo de solicitud de servicio. Muchos clientes usan sus correos personales. Los incidentes no se analizan una vez terminados, no se hace un anlisis de tendencias ni se construye una base de conocimiento. No se clasifican los incidentes por impacto. Por otro lado, respecto a la gestin de la continuidad del servicio, el jefe del rea nos refiri (durante la entrevista) que las siguientes interrupciones de red son las ms comunes: Corte de fluido elctrico. Corte de las lneas VPN. Infeccin por virus al servidor Web.
115
Burgos & Namuche
Problemas con el IIS del servidor Web. De acuerdo al jefe del rea, OTI no tiene un plan o procedimiento para atender las dos primeras interrupciones del servicio, porque en el primer caso (corte del fluido elctrico), la universidad no cuenta con generador y, en la segunda situacin, ocurre cuando hay un corte de fluido elctrico en Trujillo, pero, el jefe del rea nos asegur, que el servicio se repone lo ms rpido posible. La infeccin de virus al servidor Web, segn el jefe del rea, no es un evento comn pero reconoce que es probable que pueda darse nuevamente. Respecto al IIS, el jefe del rea nos refiri que estaba dando muchos problemas a principios del 2011, porque se trataba de una versin antigua (que vena junto al Windows Server 2003) que provocaba que el servidor se cayera con mucha frecuencia. La situacin mejor cuando se actualiz el sistema operativo a Windows Server 2008 (actualizndose el IIS), pero no significa que la situacin puede volver a repetirse. Al finalizar la entrevista se revisaron las bitcoras de atenciones que maneja el rea (los registros del sistema Web y los archivos de Excel) usando fichas bibliogrficas (Anexo 5). De acuerdo a esa fuente descubrimos que las interrupciones son ms numerosas de lo que se recogi en la entrevista: Problemas de Conectividad: No hay red o no hay Internet Se colg un switch El punto de red est daado El cable est cortado La tarjeta de red est daada Bucle en la red (poco probable) Conflicto de direcciones IP 116 Burgos & Namuche
Problemas con el Anexo (Problemas con los telfonos IP) No hay red VPN (Trujillo) Se cae el servicio de Telefnica Punto no est ubicado en la VLAN correcta El power injector7 est daado (comn)
Problemas con la conectividad en el Pidgin8 (no hay conectividad) Problema con el servidor de Trujillo. Usuarios malogran el pidgin.
Problemas con la red inalmbrica El Access Point debe ser reiniciado El Access Point se ha desconfigurado totalmente
Problemas al ingresar al SEUSS9 por escritorio remoto El Firewall de las PC est activo. La PC de destino est apagada. PC infectada por virus (se muestra pantalla del Active Desktop) Problemas con los marcadores10 El marcador se cuelga
Son equipos que usan la tecnologa POE (Power Over Ethernet) que les permite tomar energa de la conexin LAN. Se utilizan en los telfonos IP. 8 Cliente de mensajera Instantnea. Es software libre. 9 Sistema Estandarizado de la Universidad Seor de Sipn. Es un sistema integral que gestiona los procesos acadmicos y econmicos del consorcio UCV-USS 10 Los nuevos marcadores para el personal son sistemas de identificacin biomtrica (huella digital). Existe un marcador en cada edificio de la UCV-Piura.
117
Burgos & Namuche
En la bitcora tambin se han encontrado los siguientes incidentes de red (que no generan interrupcin del servicio). Configuracin e Instalacin de Equipos Instalacin de marcadores Configuracin de marcadores Configuracin del pidgin Configuracin del escritorio remoto Configuracin de un switch Configuracin de cuentas de outlook
Ordenamiento de cableado y colocacin de canaletas La revisin de la bitcora de incidentes e interrupciones11 fue tediosa debido a aspectos relacionados ntimamente con la gestin de estos registros entre los cuales tenemos: Se manejan dos fuentes: La primera es un sistema informtico (sistema web) y la segunda son archivos de Excel. El sistema se us hasta principios de setiembre del ao en curso (2011). No se pueden filtrar los incidentes y/o interrupciones por rea que los atendi (Desarrollo, Redes y Soporte). No se maneja un lenguaje uniforme para describir un incidentes y /o interrupcin. Algunas descripciones son muy generalizadas por ejemplo: Problema en la red, y otras son ms especficas como: Falla en la tarjeta de red, aludiendo ambos a una problemtica muy similar por no decir idntica. En algunos incidentes se indica la solucin del problema, otros no.
11
Consideramos que las interrupciones forman un subconjunto de los incidentes, porque existen incidentes que no necesariamente implican una interrupcin del servicio.
118
Burgos & Namuche
Un aspecto positivo de la bitcora es que se registra los tiempos de demora para cada atencin. Se ha registrado los tiempos que se demora en atender cada tipo de incidente/interrupcin hallado en la bitcora; en algunos casos se ha estimado un tiempo mnimo y un tiempo mximo para lo cual se calcula el tiempo promedio de esta manera:
Donde: TP: Tiempo Promedio TMin: Tiempo Mnimo TMax: Tiempo Mximo
Como la bitcora no maneja denominaciones uniformes para un tipo de incidentes, se ha agrupado los incidentes para formar un incidente general, por ejemplo: Si el switch se cuelga o existe un bucle en la red, son sucesos que se agrupan en el incidente general Problemas de Conectividad. Cada incidente general tiene un tiempo promedio el cual se calcula de la siguiente manera:
Donde:
119
Burgos & Namuche
TPAI: Tiempo Promedio de Atencin de Incidentes TPi: Tiempo Promedio (para cada incidente) n: Nmero de incidentes
A continuacin presentamos una tabla donde se muestran los incidentes que implican la interrupcin del servicio. Para cada incidente se calculan el TP y el TPAI de acuerdo a las frmulas definidas:
120
Burgos & Namuche
Tiempo de Atencin Estimado (horas) Incidentes Tiempo Mnimo Tiempo Mximo Tiempo Promedio (TP) PROBLEMAS DE CONECTIVIDAD Se colg un switch El punto de red est daado El cable est cortado La tarjeta de red est daada Bucle en la red Conflicto de direcciones IP Tiempo Promedio de Atencin de Incidente (TPAI) PROBLEMAS CON LOS ANEXOS (PROBLEMAS CON LOS TELFONOS IP) No hay red VPN Se cae el servicio de Telefnica Punto no est ubicado en la VLAN correcta El powerinjector est daado Tiempo Promedio de Atencin de Incidente (TPAI) PROBLEMAS CON LA CONECTIVIDAD EN EL PIDGIN (NO HAY CONECTIVIDAD) Problema con el servidor de Trujillo Usuarios malogran el pidgin Tiempo Promedio de Atencin de Incidente (TPAI) 0.167 --0.25 --0.2085 0.033 0.121 0.083 0.083 --38 1 1 --47.5 0.542 0.542 0.083 42.75 10.979 ----0.333 0.167 0.033 0.167 ----0.5 47.5 0.167 0.25 0.033 0.067 0.4165 23.8335 0.1 0.2085 4.109
121
Burgos & Namuche
PROBLEMAS CON LA RED INALMBRICA El Access Point debe ser reiniciado El Access Point se ha desconfigurado totalmente Tiempo Promedio de Atencin de Incidente (TPAI) PROBLEMAS AL INGRESAR AL SEUSS POR ESCRITORIO REMOTO El Firewall de las PC est activo La PC de destino est apagada --------14.5 0.033 0.083 14.667 --------0.033 0.167 0.1
PC infectada por virus (se muestra pantalla del Active 0.167 Desktop) Tiempo Promedio de Atencin de Incidente (TPAI) PROBLEMAS CON LOS MARCADORES El marcador se cuelga Tiempo Promedio de Atencin de Incidente (TPAI) PROBLEMAS CON EL SERVIDOR Ataque por malware Reiniciar servidores Tiempo Promedio de Atencin de Incidente (TPAI) CORTE DE FLUIDO ELCTRICO Corte de fluido elctrico Tiempo Promedio de Atencin de Incidente (TPAI) CONFIGURACIN E INSTALACIN DE EQUIPOS DE RED Y SOFTWARE Instalacin de un marcador --1 -------
4.928
---
0.067 0.067
-----
4 0.083 2.0415
3 3
---
0.083
122
Burgos & Namuche
Configuracin de un marcador Instalacin del pidgin Configuracin de un switch Configuracin de cuenta de Outlook Sincronizacin de archivos (Outlook) Tiempo Promedio de Atencin de Incidente (TPAI)
--------0.167
--------1
0.033 0.033 0.167 0.133 0.5835 0.1722
COLOCACIN DE CANALETAS Y ORDENAMIENTO DE CABLEADO. Colacin de canaletas (Habilitar puntos de red) Ordenamiento de cableado Tiempo Promedio de Atencin de Incidente (TPAI) CREACIN DE USUARIOS Y PERMISOS. Crear usuario de dominio Habilitacin de acceso al facebook Tiempo Promedio de Atencin de Incidente (TPAI) --------0.033 0.033 0.033 --4 --19 4 11.5 7.75
Tabla N20: Tiempo de atencin de incidentes Fuente: Bitcora de atenciones de la OTI (2011). Elaborado por los autores
123
Burgos & Namuche
Una vez calculado el TPAI, podemos determinar los siguientes indicadores (consultar tem Indicadores): Porcentaje de incidentes de red resueltos en un tiempo ptimo Nmero promedio de horas perdidas por usuario al mes, debido a interrupciones de red. Empecemos por los incidentes de red, especificados en la tabla 20, de los cuales identificaremos aquellos que se atendieron en un tiempo considerado ptimo, que hemos establecido en 5.5 horas, lo que equivale a media jornada de trabajo. Es necesario aclarar que la OTI no ha establecido un tiempo ptimo de servicio, no obstante, en la prctica, siempre procuran no dejar atenciones pendientes antes de cumplirse la media jornada de trabajo que coincide con la hora de descanso de los trabajadores administrativos de la UCV. (De 1:00 pm a 2:00 pm). Para identificarlos mejor, mostramos, a continuacin, la misma tabla 20 pero resaltando los incidentes atendidos en un tiempo (TPAI de cada incidente) menor o igual a las 5.5 horas (tiempo ptimo)
124
Burgos & Namuche
Tiempo de Atencin Estimado (horas) Incidentes Tiempo Mnimo Tiempo Mximo Tiempo Promedio (TP) PROBLEMAS DE CONECTIVIDAD Se colg un switch El punto de red est daado El cable est cortado La tarjeta de red est daada Bucle en la red Conflicto de direcciones IP Tiempo Promedio de Atencin de Incidente (TPAI) PROBLEMAS CON LOS ANEXOS (PROBLEMAS CON LOS TELFONOS IP) No hay red VPN Se cae el servicio de Telefnica Punto no est ubicado en la VLAN correcta El power injector est daado Tiempo Promedio de Atencin de Incidente (TPAI) PROBLEMAS CON LA CONECTIVIDAD EN EL PIDGIN (NO HAY CONECTIVIDAD) Problema con el servidor de Trujillo Usuarios malogran el pidgin Tiempo Promedio de Atencin de Incidente (TPAI) PROBLEMAS CON LA RED INALMBRICA 0.167 --0.25 --0.2085 0.033 0.121 0.083 0.083 --38 1 1 --47.5 0.542 0.542 0.083 42.75 10.979 ----0.333 0.167 0.033 0.167 ----0.5 47.5 0.167 0.25 0.033 0.067 0.4165 23.8335 0.1 0.2085 4.109
125
Burgos & Namuche
El Access Point debe ser reiniciado El Access Point se ha desconfigurado totalmente Tiempo Promedio de Atencin de Incidente (TPAI)
-----
-----
0.033 0.167 0.1
PROBLEMAS AL INGRESAR AL SEUSS POR ESCRITORIO REMOTO El Firewall de las PC est activo La PC de destino est apagada --------14.5 0.033 0.083 14.667
PC infectada por virus (se muestra pantalla del Active 0.167 Desktop) Tiempo Promedio de Atencin de Incidente (TPAI) PROBLEMAS CON LOS MARCADORES El marcador se cuelga Tiempo Promedio de Atencin de Incidente (TPAI) PROBLEMAS CON EL SERVIDOR Ataque por malware Reiniciar servidores Tiempo Promedio de Atencin de Incidente (TPAI) CORTE DE FLUIDO ELCTRICO Corte de fluido elctrico Tiempo Promedio de Atencin de Incidente (TPAI) CONFIGURACIN E INSTALACIN DE EQUIPOS DE RED Y SOFTWARE Instalacin de un marcador Configuracin de un marcador ----1 -------
4.928
---
0.067 0.067
-----
4 0.083 2.0415
3 3
-----
0.083 0.033
126
Burgos & Namuche
Instalacin del pidgin Configuracin de un switch Configuracin de cuenta de Outlook Sincronizacin de archivos (Outlook) Tiempo Promedio de Atencin de Incidente (TPAI)
------0.167
------1
0.033 0.167 0.133 0.5835 0.1722
COLOCACIN DE CANALETAS Y ORDENAMIENTO DE CABLEADO. Colacin de canaletas (Habilitar puntos de red) Ordenamiento de cableado Tiempo Promedio de Atencin de Incidente (TPAI) CREACIN DE USUARIOS Y PERMISOS. Crear usuario de dominio Habilitacin de acceso al facebook Tiempo Promedio de Atencin de Incidente (TPAI)
Tabla N21: Incidentes resueltos dentro del tiempo ptimo
--4
--19
4 11.5 7.75
-----
-----
0.033 0.033 0.033
Fuente: Bitcora de atenciones de la OTI (2011). Elaborado por los autores Incidentes resueltos en un tiempo menor o igual a 5.5 horas (tiempo ptimo)
127
Burgos & Namuche
Los incidentes junto a sus tiempos promedio (TPAI) pueden reflejarse en el siguiente grfico:
128
Burgos & Namuche
12 10 8 6
10.979
4.928
4.109 3
2.0415
2 0.121 0.1 0 0.067 0.1722 0 0.033
Tiempo Promedio de Atencin de Incidentes Grfico N11: Tiempo Promedio de Atencin de Incidentes (TPAI) por OTI en la UCV - Piura Fuente: Bitcora de Atenciones de OTI (2011). Elaborado por los autores
129
Burgos & Namuche
Una vez identificados los incidentes resueltos en el tiempo ptimo, se saca un porcentaje respecto del total de incidentes, de esta manera:
Donde: PIR: Porcentaje de Incidentes de Red resueltos en un tiempo ptimo Num.I.R: Nmero total de incidentes de Red resueltos en un tiempo ptimo Total.I: Total de Incidentes de Red.
Se han contabilizado un total de 11 incidentes (Total.I), de los cuales 9 fueron solucionados en u tiempo ptimo. Con estos datos aplicamos la frmula anterior
Se obtiene que el 81.81% de los incidentes de red son atendidos en un tiempo ptimo, es decir en un tiempo no mayor de las 5.5 horas. De ellos (haciendo referencia a la tabla 21), la creacin de usuarios de dominio es el que demora menos con un tiempo de 0.033 horas (2 minutos) y donde se invierte ms tiempo es la solucin de problemas con la conexin al escritorio remoto (para conectarse al sistema SEUSS) con un tiempo de 4.198 horas en promedio.12 De las actividades que pasan el tiempo ptimo concluimos lo siguiente: Los problemas de anexo rebasan el tiempo de atencin ptimo cuando se malogra un power injector. Para repararlo se invierten aproximadamente unas 42.75 horas.
12
Para este caso los tiempos de atencin son cortos salvo cuando una PC se infecta con virus, para lo que se invierte unas 14.5 horas en el peor de los casos. (ver tabla 8).
130
Burgos & Namuche
La colocacin de canaletas y el ordenamiento de cableado son actividades de muy larga duracin, especialmente, el
ordenamiento de cableado que puede llevar unas 19 horas como mximo. Se concluye que OTI tiene en cuenta que los incidentes deben atenderse lo ms rpido posible. No obstante la labor mejorara bastante si el personal de soporte (principal apoyo el rea de redes) aumentase y tambin, que la administracin de la red y la jefatura de la OTI recaigan en dos personas diferentes, situacin que se explic en el anlisis del ambiente a auditar. Finalizado el anlisis de incidentes, nos toca abordar el tema de solucin de interrupciones de red. Como se explic anteriormente, se ha considerado a las interrupciones como un subconjunto de los incidentes del rea, que ya han sido especificados en las tablas 20 y 21, sin embargo el anlisis de las interrupciones de red se enfocar a encontrar el nmero de horas perdidas por usuario al mes. Lo que corresponde al indicador 3 del proyecto (ver Indicadores), de acuerdo a esto consideramos las siguientes interrupciones de red que han sido registradas en la bitcora de atenciones:
131
Burgos & Namuche
Tiempo de Atencin Estimado (horas) Interrupcin Tiempo Mnimo Tiempo Mximo Tiempo Promedio (TP) PROBLEMAS DE CONECTIVIDAD Se colg un switch El punto de red est daado El cable est cortado La tarjeta de red est daada Bucle en la red Conflicto de direcciones IP Tiempo Promedio de Atencin de Incidente (TPAI) PROBLEMAS CON LOS ANEXOS (PROBLEMAS CON LOS TELFONOS IP) No hay red VPN Se cae el servicio de Telefnica Punto no est ubicado en la VLAN correcta El power injector est daado Tiempo Promedio de Atencin de Incidente (TPAI) PROBLEMAS CON LA CONECTIVIDAD EN EL PIDGIN (NO HAY CONECTIVIDAD) Problema con el servidor de Trujillo Usuarios malogran el pidgin Tiempo Promedio de Atencin de Incidente (TPAI) PROBLEMAS CON LA RED INALMBRICA 0.167 --0.25 --0.2085 0.033 0.121 0.083 0.083 --38 1 1 --47.5 0.542 0.542 0.083 42.75 10.979 ----0.333 0.167 0.033 0.167 ----0.5 47.5 0.167 0.25 0.033 0.067 0.4165 23.8335 0.1 0.2085 4.109
132
Burgos & Namuche
El Access Point debe ser reiniciado El Access Point se ha desconfigurado totalmente Tiempo Promedio de Atencin de Incidente (TPAI)
-----
-----
0.033 0.167 0.1
PROBLEMAS AL INGRESAR AL SEUSS POR ESCRITORIO REMOTO El Firewall de las PC est activo La PC de destino est apagada --------14.5 0.033 0.083 14.667
PC infectada por virus (se muestra pantalla del Active 0.167 Desktop) Tiempo Promedio de Atencin de Incidente (TPAI) PROBLEMAS CON LOS MARCADORES El marcador se cuelga Tiempo Promedio de Atencin de Incidente (TPAI) PROBLEMAS CON EL SERVIDOR Ataque por malware Reiniciar servidores Tiempo Promedio de Atencin de Incidente (TPAI) CORTE DE FLUIDO ELCTRICO Corte de fluido elctrico Tiempo Promedio de Atencin de Incidente (TPAI)
Tabla N22: Tiempo de atencin de interrupciones de red. Fuente: Bitcora de atenciones de la OTI (2011). Elaborado por los autores.
4.928
---
---
0.067 0.067
-----
-----
4 0.083 2.0415
3 3
133
Burgos & Namuche
A las interrupciones anteriores se hizo seguimiento desde Enero hasta Setiembre del 2011, esto con el objetivo de establecer la frecuencia de la atencin por mes. El clculo de esta frecuencia se obtiene del promedio del nmero de veces que se ha atendido un incidente en un mes determinado.
Donde: F: Frecuencia Promedio de Atencin de Incidentes fi: Frecuencia de Atencin de Incidentes por mes n: Nmero de meses
Para el caso de las interrupciones, la frecuencia F se multiplica por el valor de TPAI para cada interrupcin, obteniendo un Tiempo perdido mensual por interrupcin del servicio (TPMIS):
Donde: TPMIS: Tiempo Perdido Mensual por Interrupcin del Servicio F: Frecuencia Promedio de Atencin de Incidentes TPAI: Tiempo Promedio de Atencin de Incidentes
El TPMIS de cada interrupcin se suma y se saca un promedio que es el Nmero promedio de horas perdidas por usuario al mes, debido a interrupciones a la red. (NHP). Auditora Gestin en Redes- OTI-Piura 134 Burgos & Namuche
Donde: NHP: Nmero promedio de horas perdidas por usuario al mes, debido a interrupciones a la red. TPMISi: Tiempo Perdido Mensual por Interrupcin del Servicio de cada interrupcin n: Nmero de interrupciones
A continuacin mostramos el cuadro de la frecuencia de atencin de interrupciones junto a los cuadros donde se calculan el TPMIS y el NHP. Adems presentamos los resultados del TPMIS en un grfico para una mejor visualizacin
135
Burgos & Namuche
Mes Incidente/Interrupcin Ene Feb Mar Abr May Jun Jul Ago Set
N de Atenciones Promedio (mensual) (F) 16.22 16 4.33 4 1.33 1 0.44 1 1 0.55 1 1 1
Problemas de Conectividad Problemas con los Anexos (Problemas con los telfonos IP)
17 8
19 7
16 0
22 4
21 8
14 3
12 2
11 3
14 4
Problemas con la conectividad en el Pidgin (no 4 hay conectividad) Problemas con la red inalmbrica 0
Problemas al ingresar al SEUSS por escritorio remoto Problemas con los marcadores Problemas con el Servidor Corte de Fluido Elctrico
0 8 1
1 0 0
1 0 1
1 1 0
2 0 0
0 0 0
0 0 0
0 0 0
0 0 0
Tabla N23: Frecuencia de atencin de incidentes de Enero a Setiembre (2011). Fuente: Bitcora de atenciones de la OTI (2011). Elaborado por los autores.
136
Burgos & Namuche
N de Atenciones Promedio Interrupcin (mensual) (F)
Tiempo perdido por interrupcin del servicio (en horas) (TPAI)
Tiempo perdido mensual por interrupciones de servicio (en horas) (TPMIS)
Problemas de Conectividad Problemas con los Anexos (Problemas con los telfonos IP)
16 4
4.109 10.979
65.744 43.916
Problemas con la conectividad en el Pidgin (no 1 hay conectividad) Problemas con la red inalmbrica Problemas al ingresar al SEUSS por escritorio remoto Problemas con los marcadores Problemas con el Servidor Corte de Fluido Elctrico 1 1 1 1 1
0.121
0.121
0.1 4.928
0.1 4.928
0.067 2.0415 3
0.067 2.0415 3 119.918 14.990
Nmero total de horas perdidas por mes debido a interrupciones de red Nmero promedio de horas perdidas por usuario al mes, debido a interrupciones a la red. (NHP)
Tabla N24: Clculo del NHP(2011). Fuente: Bitcora de atenciones de la OTI (2011). Elaborado por los autores
137
Burgos & Namuche
70 60 50 40 30 20 10
65.744
43.916
4.928 0.121 0.1
0.067 2.0415
Tiempo perdido mensual por interrupciones de servicio Grfico N12: Tiempo Perdido Mensual por Interrupciones de Servicio de acuerdo a tipo de incidente en la UCV - Piura Fuente: Bitcora de Atenciones de OTI (2011). Elaborado por los autores
138
Burgos & Namuche
De los resultados anteriores se observa lo siguiente: Los usuarios pierden aproximadamente 15 horas (14.990) por interrupciones al servicio por mes. Considerando que en un da se trabajan 9.5 horas diarias y, en un mes se hacen un total de 285 horas, entonces la prdida de horas por interrupcin del servicio (15 horas) representa el 5.2 % de las horas mensuales trabajadas. Los problemas ms comunes son los relacionados con la conectividad, ya sea que no tiene red o que no tiene internet (16 veces al mes); le siguen, en frecuencia, los problemas con los anexos que usan telefona IP (4 veces al mes). Respecto al tiempo perdido mensual (TPMIS), las interrupciones que provocan ms prdida de horas son las interrupciones de red (65.74 horas/mes), seguido de los problemas con los anexos (43.92 horas/mes). Los problemas por ingresar al SEUSS (por escritorio remoto), el corte de fluido elctrico y los problemas con los servidores, son las interrupciones de mayor duracin entre las que registran la menor frecuencia de ocurrencia. Tomando en cuenta los resultados del anlisis de incidentes y de interrupciones podemos observar: La mayora de interrupciones se solucionan en el tiempo ptimo observado (menor o igual a 5.5 horas) Los problemas con el anexo son el nico tipo de interrupciones que no solucionan en el tiempo ptimo (10.98 horas) pese a ser la segunda ms frecuente. Como conclusin general, podemos afirmar que la atencin de incidentes se maneja bien en OTI pero no de la manera ptima porque adolece de aspectos como la creacin de un sistema completo de gestin de incidentes, que permita reportar incidentes, filtrarlos por el rea que los atendi y, sobretodo, usar un lenguaje estndar para definir un incidente. El resultado arrojado por la prdida de horas no est mal (15 horas), no obstante es preocupante que los problemas de conectividad sean los Auditora Gestin en Redes- OTI-Piura 139 Burgos & Namuche
ms frecuentes de los problemas de Red porque inciden en la calidad de servicio que puedan ofrecer otras reas de la universidad. 4.3.3.2. Evaluacin de controles aplicados a terceros. En este punto se evaluarn los controles a terceros que OTI realiza, comenzando por una descripcin de las relaciones de OTI con terceros13, luego se identificarn los controles aplicados y, finalmente, se enunciarn las conclusiones y recomendaciones de acuerdo a las deficiencias encontradas. Para conocer las relaciones de OTI con terceros, se entrevist al jefe de la OTI (Gua de Entrevista: Evaluacin de Controles aplicados a Terceros Anexo 12) y se obtuvo la siguiente informacin. La principal relacin de tercerizacin que mantiene OTI es con Telefnica del Per, empresa que proporciona los enlaces VPN y el enlace a Internet al campus Piura. Pero Telefnica no es la nica empresa proveedora de productos y servicios; OTI tambin se relaciona con los siguientes proveedores: J&C Telecomunicaciones (Trujillo) Brinda servicios de cableado estructurado, fibra ptica, y equipos de comunicaciones (switches, routers y antenas). Red Hardware (Piura) Empresa proveedora de PCs, tarjetas de red, Access Point y otros componentes de Hardware. Logicalis (Lima) Empresa proveedora de equipos de telefona IP. Viditek (Lima) Empresa proveedora de equipos para videoconferencias. Es importante destacar que OTI no mantiene relaciones de tercerizacin directas sino que tiene un intermediario que es el rea de Logstica, quien
13
Se refiere con terceros a empresas externas a la Universidad Csar Vallejo que son prestadoras de servicios o son proveedores.
140
Burgos & Namuche
gestiona los contratos con proveedores de servicios y equipos14, no obstante OTI puede asumir ciertos controles sobre estos proveedores, por lo general (segn el jefe de la OTI) en dos situaciones: La primera es cuando se va a cablear un nuevo edificio del campus (situacin que ya se ha dado y se dar de nuevo con el nuevo edificio de medicina), tarea que OTI puede realizar, pero, prefiere dejarla a manos de un tercero debido a la certificacin de que el trabajo (cableado) ha sido realizado por una empresa o marca autorizada, dicha certificacin tiene una duracin de 20 a 25 aos. La segunda situacin es cuando se va a efectuar la compra de un nuevo equipo de red o de telecomunicaciones ya sea para implementar soluciones nuevas (como los marcadores de los docentes) o para tener en stock en caso de averas. En este caso, OTI, dado su conocimiento en TI, puede sugerir a Logstica el/los proveedores con las propuestas ms idneas teniendo en cuenta la calidad y el precio; adems puede supervisar las propuestas de stos (enviadas por Logstica va correo corporativo al jefe de OTI) para su aprobacin, para que Logstica gestione la compra del equipo correspondiente. OTI tambin se asegura de estar presente cuando el rea de Logstica visita al proveedor para realizar la compra. De la descripcin anterior, obtendremos el resultado del indicador Nmero de Controles aplicados a terceros (NCT), el cual
operacionalmente se define:
NCT=CT
Donde: NCT: Nmero de controles aplicados a terceros. CT: Control a terceros Para aplicar esta frmula, primero debemos determinar cada uno de los controles, de los cuales slo tomaremos aqullos que aplica la OTI.
14
Las funciones del rea de Logstica son mucho ms amplias, pero nos referimos a esta rea desde el contexto de OTI a quien provee de equipos tales como PC, cable, conectores, etc.
141
Burgos & Namuche
Control
Tercero (a quien se dirige el control)
Apoyo y supervisin J&C Telecomunicaciones 1 de las tareas de de un
cableado
edificio nuevo Inspeccin 2 al J&C Telecomunicaciones
finalizar las tareas de cableado de un
edificio nuevo Revisin 3 propuestas proveedores Supervisin 4 Red Hardware, Logicalis, de Red Hardware, Logicalis, de Viditek, Telefnica del Per
presencial durante la Viditek compra de equipos

Tabla N25: Controles de OTI aplicados a terceros Fuente: Elaborado por los autores.
Aplicando la frmula del indicador
NCT=4
Segn la descripcin brindada por el jefe de la OTI, el rea aplica 4 controles para con los terceros con los que se relaciona. Esta cifra puede compararse con los controles aplicados por Logstica pudiendo obtener la proporcin de la participacin de OTI respecto a los controles a terceros. Para ello, preguntamos al jefe del rea de Logstica, cmo es el proceso de compra de equipos y elementos de redes y comunicaciones (en conjunto de OTI), producto de esta narracin pudimos identificar los siguientes controles.
142
Burgos & Namuche
N 1
Control Seleccin de proveedores considerando criterios de calidad de servicio y precios.
2 3 4
Supervisin del cumplimiento de los trminos de los contratos Trato directo con los proveedores (Visita personal) Manejo de documentos mercantiles: Facturas, rdenes de compra y cotizaciones
Archivar documentos mercantiles: Facturas, rdenes de compra y cotizaciones
Negociar los trminos de las lneas de crdito con los proveedores.

Tabla N26: Controles de Logstica aplicados a terceros Fuente: Elaborado por los autores.
Del lado de Logstica se contabilizan 6 controles aplicados a terceros, por tanto, el siguiente grfico refleja la proporcin de la participacin de OTI con respecto a los controles aplicados a terceros.
Controles aplicados a Terceros

Controles aplicados por Logstica Controles aplicados por OTI
40% 60%
Grfico N13: Proporcin de los controles aplicados a terceros aplicados por las reas de OTI y Logstica Fuente: Elaborado por los autores
143
Burgos & Namuche
De lo anterior (resultado del indicador y grfico) podemos concluir lo siguiente: Los controles a terceros, referidos a TI, son aplicados por la OTI y por Logstica. OTI tiene una participacin menor que Logstica pero sta no es nada despreciable porque abarca con el 40% de los controles a terceros OTI aplica los controles de ndole tcnico, mientras que Logstica cumple con los controles referidos al contrato y al cumplimiento del mismo. OTI acude a la tercerizacin cuando se requiere de nuevo cableado estructurado para certificar la calidad del trabajo. De lo anterior se recomienda que OTI debe intervenir ms en la relacin con proveedores de servicios y equipos de TI, porque el rea de Logstica no se ocupa slo de TI sino de proveer materiales diversos a las diversas reas como tiles de escritorio y bidones de agua y esto puede provocar demoras en la atencin de pedidos de equipos de TI y cableado (si no estn en stock) en caso se deterioren. 4.3.3.3. Evaluacin de los costos para cubrir la inversin en TI
En este punto se tratarn cules son los costos que cubren la inversin en TI. Durante los ltimos aos, OTI ha invertido en los siguientes que forman parte de la infraestructura de la red de la universidad. Power Injector para Telfono IP (Cisco Unified IP Phone Power Injector) Telfonos IP Cisco 7911g Reloj Marcador de Asistencia IClock 2500 (marcador biomtrico) Switch AT-8326GB Switch AT-8524M Switch AT-9816GB Switch AT-8000SF 144 Burgos & Namuche
Switch AT-8000S Switch AT-9000GB Switch Cisco 2960 (48p) Switch Cisco 3750 G12 Switch Cisco 2960 (24p) ASA Cisco 5510 Gateway de Voz Cisco 2821 Router Cisco 2800 Servidor Hp-Proliant ML 350 (G3)
Para conocer el costo de inversin es necesario conocer el precio de cada uno de estos equipos, multiplicarlo por la cantidad con los que la universidad cuenta y obtener un total invertido, por ltimo se comparar ese resultado con el presupuesto asignado a OTI durante todo ese perodo de tiempo. Para la evaluacin se necesit consultar los planes operativos de OTI, donde se consigna el presupuesto asignado al rea y la inversin requerida por cada proyecto de TI que el rea desee implementar para cada una de sus subreas (desarrollo, redes y soporte),
desgraciadamente se trataba de un documento demasiado confidencial para poder ser revisado, no obstante se tuvo acceso a algunos registros del ltimo inventario que realiz OTI (documento revisado mediante fichas bibliogrficas Anexo 5) a los equipos de la universidad, de esta manera se pudo listar los equipos de comunicaciones indicados en el prrafo anterior. Los precios para cada equipo tuvieron que ser investigados por los autores, los cuales se consignan en la siguiente tabla
145
Burgos & Namuche
Equipo o elemento de Precio infraestructura de Red Unitario (s/.) Cisco Unified IP Phone 255.66 Power Injector Telfono IP Cisco 7911g 264.18 Reloj Marcador de Asistencia 2548.94 IClock 2500 Switch AT-8326GB 179.21 Switch AT-8524M 1049.44 Switch AT-9816GB 234.74 Switch AT-8000SF 1469.93 Switch AT-8000S 1175.49 Switch AT-9000GB 3023.78 Switch Cisco 2960 (48p) 7449.35 Switch Cisco 3750 G12 20967.20 Switch Cisco 2960 (24p) 2478.23 ASA Cisco 5510 9505.37 GW Voz Cisco 2821 3688.96 Router Cisco 2800 12169.25 Servidor HP-Proliant ML 350 1497.87 (G3) TOTAL (IATI)
Cantidad 80 80 4 3 6 1 3 2 2 4 1 1 1 1 3 3
Precio Total (s/.) 20452.8 21134.4 10195.76 537.63 6296.64 234.74 4409.79 2350.98 6047.56 29797.4 20967.20 2478.23 9505.37 3688.96 36507.75 4493.61 s/. 179098.82
Tabla N27: Precios unitarios de equipos y elementos de red usado en la UCV Piura Fuente: Elaborado por los autores.
El jefe de la OTI nos refiri que el monto anual asignado al rea es, aproximadamente, s/. 600000, de los cuales se invierte el 0.20 como mximo (en ocasiones hasta menos); si se conoce que el rea ha estado funcionando desde el 2001 (en ese tiempo estaba unido con el CIS), es posible hacer un estimado de la cantidad invertida en esos ao por la compra de equipos de comunicaciones y contrastarla con el presupuesto asignado al rea, desde cuando empez a funcionar, para obtener un porcentaje, que representa el Porcentaje de inversin para cubrir los costos en TI (PIATI) el cual es uno de los indicadores considerados en el proyecto. Antes de exponer el clculo el PIATI es importante recalcar que se trata de una cifra aproximada ya que no se tuvo acceso a los documentos oficiales donde se consigna lo que OTI ha invertido o est a punto de invertir.
146
Burgos & Namuche
Para empezar, primero se calcul el total de inversin (TI) obtenido de la multiplicacin del monto asignado (MA) con el nmero de aos de servicio (N), la frmula usada fue la siguiente. TI = MA * N TI = (s/.600000*0.20)*10 = s/.1200000 Considerando que MA es el 20% de s/.600000y que han transcurrido 10 aos (N), el TI en ese tiempo se estim en 1200000 soles. Conociendo que el total invertido por la compra de equipos es de 179098.82 soles, es posible calcular el Porcentaje de inversin para cubrir los costos en TI (PIATI) el cual operacionalmente se define
(
Donde:
IATI = Inversin en actualizacin en TI P = Presupuesto i = ao n = nmero de aos Siendo el IATI el total de inversin estimado en s/. 179098.82 y el TI en s/. 1200000, entonces: PIATI = ( PIATI = 14.92 % El PIATI puede ser reflejado en el siguiente grfico estadstico.
147
Burgos & Namuche
Clculo del PIATI

Inversin en actualizacin de TI Presupuesto
13%
87%
Grfico N14: Porcentaje de inversin para cubrir los costos de TI Fuente: Elaborado por los autores
El grfico muestra un PIATI de 13%, un valor muy cercano al calculado mediante la frmula, pero despreciando la diferencia de resultados, se puede llegar a las siguientes conclusiones. La utilizacin del 13% del presupuesto es demasiado bajo para TI, lo que es un indicador de que los equipos de comunicaciones no se han renovado. Un indicador de la no renovacin de equipos es el bajo precio con el que actualmente se venden algunos switches en la actualidad, como se puede constatara en la tabla N27 Se recomienda que OTI, en lo futuro invierta ms en lo que es equipos de comunicaciones, sobretodo en la renovacin de equipos que ya tienen cierta antigedad as como tambin en la adquisicin de nuevos equipos para mejorar la infraestructura de la red. 4.3.3.4. Evaluacin de la frecuencia de las tareas de mantenimiento de la Red. En este punto procederemos a evaluar las tareas de mantenimiento de la Red ejecutadas por OTI comenzando por una breve descripcin de las Auditora Gestin en Redes- OTI-Piura 148 Burgos & Namuche
tareas de mantenimiento, la evaluacin y juicio de las mismas para finalizar con determinar la frecuencia de tareas de mantenimiento realizadas en OTI. Para conocer cmo se efectan las tareas de mantenimiento de la Red en OTI, se entrevist al jefe del rea de Redes (Gua de Entrevista: Mantenimiento a la Red de la Universidad- Anexo 9) con lo que obtuvimos la siguiente informacin: Las actividades de mantenimiento del rea de Redes se planifican anualmente y se indican dentro del plan operativo. De estas actividades, las principales realizadas en el transcurso del 2011 son las siguientes: Limpieza de equipos del datacenter. Ampliacin de puntos de red y cambio de cableado (activacin de puntos y colocacin de canaletas) Ordenamiento de cableado Etiquetado de cableado. Reinicio de switches (en caso de borrarse la configuracin por causa de un apagn) Anlisis de switches para resolver problemas detectados por monitoreo de red (ver Diagrama de Flujo del Procedimiento para el monitoreo de puertos en la red) Las actividades de mantenimiento se registran en la Bitcora de atenciones de la OTI15, tal como vimos en la evaluacin de la gestin de incidentes e interrupciones. De las actividades mencionadas, las ms usuales son las relacionadas con el cableado de la Red (ampliacin de puntos y ordenamiento de cableado), pero no se trata de mantenimientos preventivos sino de mantenimientos correctivos; el jefe del rea explic que la causa de ello es el constante deterioro de los patch,( especialmente en los laboratorios de cmputo) porque no se usan patch
15
La limpieza de equipos y el etiquetado de cableado se han realizado durante el mes de octubre del 2011, por ese motivo no se ha considerado en el anlisis de incidentes del apartado anterior que toma una muestra desde Enero hasta Setiembre del 2011.
149
Burgos & Namuche
de fbrica (cable multifilal y es ms flexible) sino patch artesanales (cable comn unifilal). Respecto a la limpieza de equipos de equipos del datacenter, sta se da pero no se trata de una actividad comn, segn el encargado del rea de Soporte, no se ha hecho limpieza a los equipos del datacenter desde hace tres aos aproximadamente, no obstante el ambiente fsico del datacenter es limpiado con mayor regularidad labor que se encarga el rea de Soporte. El jefe de la OTI no refiri en la entrevista sobre la regularidad de las tareas de limpieza de equipos del datacenter, pero, en base a la observacin directa (Gua de Observacin N01 Anexo 26) y a la revisin de la bitcora de atenciones, no se ha encontrado la realizacin de esta actividad en la muestra de meses considerada (De Enero a Setiembre del 2011) El etiquetado de cableado es una actividad que se est realizando en el transcurso del mes de Octubre del 2011 que se consider para el plan operativo del 2011 y que se hablaba de su ejecucin desde abril del mismo ao. Respecto al monitoreo de red, no se encontr ninguna entrada de este tipo en la bitcora (por mantenimiento correctivo de problema detectado por el monitoreo), por lo que se infiere que no ha ocurrido un problema lo suficientemente grave que obligue a revisar los equipos de Red (especficamente switches) para darles mantenimiento (correctivo), no obstante, el jefe de la OTI refiri que el monitoreo es constante. Las actividades anteriores, segn lo refiri el jefe de la OTI, son realizadas por las Subreas de Redes y Soporte, la asignacin de responsabilidades de las actividades entre las dos Subreas son las siguientes: Subrea de Redes (Administrador de la Red): Cambio de equipos de Red, configuracin de equipos de Red y medicin del desempeo de la Red Subrea de Soporte: Instalacin de puntos de red, ordenamiento de cableado, etiquetacin de cableado. Auditora Gestin en Redes- OTI-Piura 150 Burgos & Namuche
Es conocido tambin que las actividades de mantenimiento pueden acarrear el riesgo de producir una interrupcin del servicio; por eso, segn lo que dijo el jefe de OTI en la entrevista, las actividades de
mantenimiento se programan para los fines de semana o despus de terminado el horario de trabajo (6:00 pm), si se trata de darle mantenimiento a los equipos del datacenter (limpieza) o del etiquetado de cableado en los gabinetes de red. El mantenimiento de los laboratorios (cambio de patch) se realiza en horarios cuando stos estn libres. No obstante, algunas tareas de instalacin (ampliacin) de puntos de red y ordenamiento de cableado, se realizan dentro de los horarios de trabajo (si no es un cambio de gran magnitud) pero esto causa cierta incomodidad en los usuarios. Al trmino de la entrevista, el jefe de la OTI refiri que el rea se ha propuesto el objetivo (dentro del plan operativo para el 2012) de realizar el cambio de todos los equipos que conforman la Red de la Universidad, debido a la antigedad de los mismos (el tiempo promedio de vida de los equipos es de 5 aos) excepto el edificio de biblioteca por tratarse de equipos recientes. Descritas las actividades de mantenimiento procederemos a medir la frecuencia de las tareas de mantenimiento de la Red, que se define conceptualmente en el indicador: Nmero de veces por mes que se ha realizado mantenimiento a la red. Para lo cual tomaremos la informacin de las actividades registradas en la bitcora de atenciones tomando las tareas de mantenimiento de la Red. En la bitcora, se encuentra de manera recurrente las actividades de cableado, las actividades de limpieza de equipos, anlisis de switches, reinicio de switches y etiquetado de cableado son actividades que se dan rara vez y, en el lapso tomado no se han producido. Las actividades de cableado las hemos agrupado en el tem: Colocacin de Canaletas y Ordenamiento de Cableado, la cual engloba las siguientes actividades: (consultar Tablas 20 y 21) Colocacin de canaletas (habilitar de puntos de red) Ordenamiento de cableado
151
Burgos & Namuche
De esta actividad hemos registrado la frecuencia por mes. De Enero a Setiembre del 2011, para obtener una frecuencia promedio mensual para cada actividad, de esta manera
Donde: NMR: Nmero Promedio de Mantenimiento Mensual de la Red. : Frecuencia de Atencin de Incidentes por mes : Nmero de meses N de Mes Ene Feb Mar Abr May Jun Jul Ago Set Atenciones Promedio (mensual) (F)
Incidente (Tareas de mantenimiento) Colocacin de canaletas y ordenamiento de cableado. 1 6 6 39
7.11 7
Tabla N28: Frecuencia de atencin de incidentes de mantenimiento de Red de Enero a Setiembre(2011). Fuente: Bitcora de atenciones de la OTI (2011). Elaborado por los autores.
Los mismos datos se reflejan grficamente en el siguiente grfico:
152
Burgos & Namuche
Mantenimiento a la Red
40 35 30 25 20 15 10 5 0 Mantenimiento a la Red
Grfico N15: Frecuencia mensual de tareas de mantenimiento en la UCV - Piura Fuente: Bitcora de Atenciones de OTI (2011). Elaborado por los autores
Con los datos obtenidos aplicamos la frmula anterior
Aplicando la frmula obtenemos que el Nmero de veces que se realiza mantenimiento, en promedio es de 7 veces al mes, no obstante el mantenimiento es netamente correctivo ms que proactivo y se basa por lo general al mantenimiento de cableado. 4.3.3.5. Evaluacin de Controles Fsicos a la Red. Se entrevist al Jefe de la OTI sobre Control Fsicos aplicados a la red de la Universidad (Gua de entrevista: Controles fsicos implementados en la red de la Universidad, Anexo 10), de la cual pudimos obtener los siguientes datos. Los controles fsicos aplicados a la red se caracterizan por lo siguiente:
153
Burgos & Namuche
Desastres Naturales: Controles aplicados a Incendios. Se cuenta con extinguidores implementados en el DataCenter y el personal cuenta con el conocimiento necesario para el uso de estos. Altas temperaturas. Se cuenta con aire acondicionado dentro del Datacenter. Robo de Equipos. Para lo que es equipos en el data center se cuenta con gabinetes con sus respectivas llaves, las cuales son manejadas por el administrador de red Errores Humanos. Se maneja mediante las cuentas de usuario, las cuales manejan sus respectivos privilegios. Fallo de servicio elctrico. Se cuenta con UPS conectados a los servidores dentro del DataCenter. Respaldo de informacin. Los respaldos de informacin se almacenan en DVD y se almacenan en un lugar adecuado fuera del DataCenter. De la informacin anterior y por medio de la observacin directa (Gua de Observacin N02 Anexo 27) se detectaron algunos controles fsicos que no se aplican: Para lo que concerniente a desastres naturales, el aire
acondicionado dentro del DataCenter no es de precisin, lo cual no es adecuado, no aplican controles para los movimientos ssmicos (terremotos), por lo que el jefe del rea nos refiri (durante la entrevista) que estos se debieron de haber considerado en el diseo de la infraestructura del edificio central donde se encuentra el DataCenter. Solo se controla el robo de equipos que se encuentran en el DataCenter, y no para equipos en las diferentes reas de la Universidad, en las cuales el personal ajeno a OTI puede tener un mayor contacto con equipos y donde pueden hay mayor posibilidad de prdida de estos.
154
Burgos & Namuche
La documentacin que se maneja en OTI es digital y no se lleva una adecuada gestin de esta, y que nos refiri el jefe del rea (durante la entrevista) que en una oportunidad haba perdido parte de esta documentacin, debido a infecciones de virus en la PC (PC del jefe del rea, donde se contiene la mayor parte de la documentacin) donde se encontraba almacenada la documentacin. No se cuenta con un grupo electrgeno en la universidad con lo que se podr mitigar las fallas en el servicio elctrico. No se controla el ingreso al DataCenter, pero el jefe nos refiri que es uno de los puntos considerados dentro del plan operativo del siguiente ao. A continuacin mostramos un cuadro, el cual implica los controles fsicos aplicados a la red de la UCV-Piura por parte de la OTI. Con los datos del siguiente cuadro calculamos el NCF de acuerdo a la frmula definida:
Riesgo Fsico ALTAS TEMPERATURAS DE CALOR Aire acondicionado dentro del DataCenter N total de controles fsicos aplicados FENMENOS DEL NIO N total de controles fsicos aplicados TERREMOTOS N total de controles fsicos aplicados INUNDACIONES N total de controles fsicos aplicados INCENDIOS Extintores N total de controles fsicos aplicados VANDALISMO / TERRORISMO N total de controles fsicos aplicados ROBO DE EQUIPOS Gabinetes con llave
N Controles
1 1
1 1
155
Burgos & Namuche
N total de controles fsicos aplicados
ACCESO NO AUTORIZADO A RECURSOS Y/ INFORMACIN FSICA N total de controles fsicos aplicados ERRORES HUMANOS Se manejan mediantes las cuentas de usuario N total de controles fsicos aplicados FALLOS EN EL SERVICIO ELCTRICO Servidores con UPS implementados N total de controles fsicos aplicados RESPALDO DE LA INFORMACIN Se realizan en DVDs N total de controles fsicos aplicados 1 1 1 1 1 1 0
Tabla N29: Controles fsicos aplicados por OTI a la red de la UCV- Piura. Fuente: Bitcora de atenciones de la OTI (2011). Elaborado por los autores.
N Controles Fsicos
N Controles Fsicos 1 1 1 1 1 1
Grfico N16: Controles fsicos aplicados para mitigar riesgos a la infraestructura fsica de la red de la UCV - Piura Fuente: Gua de entrevista: Controles fsicos implementados en la red de la Universidad, Anexo 10 (2011). Elaborado por los autores
156
Burgos & Namuche
Una vez identificados los controles fsicos aplicados a la red de la UCV, procedemos a definir el nmero total de estos controles, de la siguiente manera:
NCF=CF
Donde: NCF: Nmero de controles fsicos. CF: Controles Fsicos. I: Mes. N: Nmero de meses.
Se identificaron 6 controles fsicos aplicados. Con estos datos obtenidos aplicamos la frmula anterior
Como conclusin final, podemos afirmar que OTI cuenta con controles fsicos bsicos como la regulacin de temperatura, presencia de un UPS en el datacenter, sealizacin y extintores, no obstante, se pasan por alto controles fsicos muy importantes que podemos agrupar en dos: Controles relacionados con la seguridad de acceso al datacenter (proteccin contra robos) Controles relacionados con la seguridad de los equipos respecto a bajas de corriente o a interrupciones del suministro elctrico (continuidad del servicio) Se recomienda que OTI considere mejorar los controles en estos dos aspectos dentro de sus prximos planes operativos para mejorar la seguridad de la infraestructura fsica de la red de la universidad. 4.3.3.6. Evaluacin de Controles Lgicos a la Red. De la misma manera se entrevist al Jefe de la OTI sobre Controles Lgicos aplicados a la red de la Universidad (Gua de entrevista: Controles lgicos implementados en la red de la Universidad, Anexo 11), de la cual pudimos obtener los siguientes datos. Auditora Gestin en Redes- OTI-Piura 157 Burgos & Namuche
Los controles lgicos aplicados a la red se caracterizan por lo siguiente: Robo de Datos: Accesos no autorizados. Estos se gestionan desde las mismas cuentas de usuario, ya que cada una de estas cuentas con sus respectivos privilegios, y restringe el acceso a recursos de la red. Revisin de accesos no autorizados. Se monitorea el acceso no autorizado mediante una herramienta informtica llamada Wireshark.
Software Maliciosos. Se cuentan con software (Antivirus) de deteccin de software maliciosos, Kaspersky. Para gestionar estos software maliciosos, se aplican los siguientes procedimientos:
158
Burgos & Namuche
Gestin de Software Maliciosos
Identifica el equipo infectado
Se analiza el equipo con el antivirus
Se elimin el virus y soluciono el problema
SI
NO Se moviliza el equipo a Soporte Informtico
Se formatea el equipo
Terminar
Grfico N17: Diagrama de flujo para la gestin de software malicioso aplicado por OTI Fuente: Gua de entrevista: Controles lgicos implementados en la red de la Universidad, Anexo 11(2011). Elaborado por los autores
Software no autorizados Se cuenta con una relacin de software licenciado con los que cuenta la universidad. Mediante los privilegios de las cuentas de usuario, se gestiona la instalacin de software no autorizados en los equipos de la red de la universidad, ya que las cuentas de usuarios comunes no cuentan con los privilegios para la instalacin de software, este procedimiento se realiza Auditora Gestin en Redes- OTI-Piura 159 Burgos & Namuche
con una cuenta de administrador, las cuales solo maneja el personal de soporte informtico y jefe de red de la OTI. En el siguiente cuadro definimos los controles lgicos aplicados a la red de la UCV-Piura por parte de la OTI. Con dichos datos calculamos el NCL de acuerdo a la frmula definida. Riesgo Lgicos ROBO DE DATOS Accesos no autorizados (Se manejan mediante los privilegios de las cuentas de usuarios). Revisin de accesos no autorizados (se lleva un monitoreo de los accesos mediante la herramienta Wireshark) N total de controles lgicos aplicados SOFTWARE MALICIOSO Software de deteccin de virus (antivirus) en todos los equipos de la red de la universidad. Procedimientos aplicados para la gestin de software maliciosos N total de controles lgicos aplicados SOFTWARE NO AUTORIZADOS Inventario de software licenciado (Se cuenta con un listado de software licenciados pertenecientes a la universidad). Instalacin de software no autorizado en los equipos de la red (Se manejan mediante los privilegios de las cuentas de usuario). N total de controles lgicos aplicados 2 1 1 1 2 1 1 N Controles
1 2
Tabla N30: Controles lgicos aplicados por OTI a la red de la UCV- Piura. Fuente: Bitcora de atenciones de la OTI (2011). Elaborado por los autores.
160
Burgos & Namuche
N Controles Lgicos
2 1.8 1.6 1.4 1.2 1 0.8 0.6 0.4 0.2 0 Robo Datos Soft. Maliciosos Soft. No autorizados
N Controles Lgicos
Grfico
N18:
Controles
lgicos
aplicados
para mitigar
riesgos
a la
infraestructura fsica de la red de la UCV - Piura Fuente: Gua de entrevista: Controles lgicos implementados en la red de la Universidad, Anexo 11(2011). Elaborado por los autor
Una vez identificados los controles lgicos aplicados a la red de la UCV, procedemos a definir el nmero total de dichos controles, de la siguiente manera:
NCL=CL
Dnde: NCL: Nmero de controles lgicos. CL: Controles Lgicos. I: Mes. N: Nmero de meses.
Se identificaron 6 controles lgicos aplicados. Con estos datos obtenidos aplicamos la frmula anterior Auditora Gestin en Redes- OTI-Piura 161 Burgos & Namuche
NCL=6
Se aplican los controles bsicos, en cuanto a la seguridad lgica, no obstante se identific, por observacin directa (Gua de Observacin N03 Anexo 28) una deficiencia en cuanto al acceso de archivos compartidos, ya que, desde cualquier mquina de la universidad que haya iniciado sesin con un usuario de dominio puede visualizar las carpetas compartidas de cualquier PC incluyendo las de la OTI, con lo que un usuario puede copiar contenido de sistemas y base de datos de estos equipos y llevarse informacin vital. Por lo que se recomienda restringir el acceso a estas carpetas, desde los privilegios de los usuarios del dominio. Otro control de seguridad extra es encriptar los archivos de vital importancia de los sistemas, tales como los sistemas de la universidad y/o Bases de Datos. 4.3.3.7. Determinar el Nivel de Madurez de la gestin de Redes de la OTI Para determinar el Nivel de Madurez de la Gestin de Redes de la OTI se aplicaron tres cuestionarios al personal de la OTI, por medio de los cuales se defini el Nivel de Madurez de la OTI, cada cuestionario trat un aspecto de la gestin de redes tal como se muestra a continuacin: Gestin de Riesgos (Cuestionario N01: Gestin de riesgos de red) Mantenimiento de la red (Cuestionario N03: Mantenimiento de la Red) Inversin de TI (Cuestionario N04: Inversin en TI (redes)). Los cuestionarios se conforman por un conjunto de controles (45 en total), a los cuales se le asigna un nivel de madurez (del 0 al 5), estos niveles se suman y se dividen por el nmero de controles considerados obteniendo el nivel de madurez, tal como se refleja en la siguiente frmula:
162
Burgos & Namuche
Donde: NMGR: Nivel de Madurez de la Gestin de Redes NMC: Nivel de Madurez de un control aplicado a la red de la Universidad. i: control i aplicado a la red de la universidad N: Nmero de controles aplicados a la red de la universidad considerados. A continuacin calculamos el nivel de madurez segn el mtodo propuesto.
163
Burgos & Namuche
Nivel de Madurez de los controles aplicados a la red de la Universidad Csar Vallejo - Piura NIVEL DE MADUREZ 0 N PREGUNTAS 1 Se monitorea la red y constantemente? servidores 1 2 X X 3 4 5 NIVEL ALCANZADO 2 2
2 El monitoreo de la red se rige en base a estndares ya establecidos o mediante el uso de software que cumplen dichos estndares? 3 Se realizan evaluaciones de vulnerabilidad de manera regular? 4 Existen procedimientos de control para mitigar los riesgos identificados? 5 Se han clasificado los incidentes de red X segn su impacto? 6 Se han documentado los procedimientos de control interno del rea de redes? 7 La misma se encuentra disponible y es conocida por los responsables del rea? 8 Los responsables y colaboradores de la administracin de la red cuentan con funciones bien definidas y documentadas? 9 El rea cuenta con un contingencia para TI (redes)? plan de
X X
1 1 0 X X X 3 3 3
X X
3 2
10 Los procedimientos del plan de contingencia son de conocimiento de los responsables del rea? 11 Se documentan los principales incidentes de red? 12 Se analizan los anteriores para mejorar el control interno y realimentar la gestin de riesgos? 13 La documentacin de incidentes de red es la adecuada? 14 Se revisan con frecuencia las polticas y procedimientos de gestin de riesgos en el rea? 15 Se actualizan las polticas y procedimientos de gestin de riesgos en el rea? Auditora Gestin en Redes- OTI-Piura 164
X X
3 2
X X
2 2
Burgos & Namuche
16 Se establece un proceso de planificacin para la revisin del desempeo y la capacidad de los recursos de redes? 17 Se reporta continuamente los monitoreos de la red de la universidad? 18 Las tareas de mantenimiento interrumpen X el servicio momentneamente? 19 Lo anterior est previamente documentado junto con las medidas a ejecutarse? 20 Se realiza mantenimiento a la configuracin de servidores y proxys? 21 Se notifican las fallas encontradas? 22 Se les da seguimiento a las anteriores? 23 Existen salvaguardas para mitigar los riesgos a presentarse durante el mantenimiento? 24 Las anteriores se consideran dentro de un plan de contingencia? 25 Se controla el acceso a los espacios fsicos cuando se est realizando las actividades de mantenimiento? 26 Se lleva un registro de mantenimientos realizados? 27 Se realizan mediciones del desempeo futuro de los recursos de red? 28 Existe un procedimiento para determinar si un equipo necesita ser cambiado? 29 Existe un programa de mantenimiento correctivo para los equipos de la red? 30 Se maneja un inventario de equipos de red dentro del datacenter y fuera de l? 31 Se considera significativa la inversin en TI? 32 Se considera el presupuesto dentro del plan estratgico del rea? 33 Las polticas y procesos para inversiones se encuentran documentados? 34 Se analizan inversiones? las propuestas de X X X X X X X
2 0 X 4
X X X
4 3 3 2
X X
3 3
3 1 2 1
3 2 X 4 3 3 2
X X
35 Se establecen prioridades dentro del presupuesto asignado a TI?
165
Burgos & Namuche
36 Se asignan responsables para administrar el presupuesto de TI? 37 Se realizan pronsticos y asignacin de presupuestos? 38 Se realiza seguimiento al presupuesto de TI de acuerdo a la estrategia de TI y decisiones de inversin? 39 Se identifican y se resuelven las diferencias en el presupuesto? 40 Se planifica la inversin en TI a largo plazo? 41 Se da mantenimiento al portafolio de proyectos del rea? 42 Se da mantenimiento al portafolio de programas de inversin? 43 El rea maneja un plan de infraestructura tecnolgica? 44 Se miden los resultados despus de una inversin? 45 El rea define un procedimiento de adquisicin despus de planificada la inversin? TOTAL
X X X
0 2 1
X X X X X X X
1 3 3 2 3 3 1
100
Tabla N33: Tabla de los Niveles de madurez de los controles aplicados por la OTI a la red de la Universidad Csar Vallejo Piura. Fuente: Elaborado por los autores.
Por ltimo calculamos el nivel de madurez dividiendo la sumatoria de los NMC de los controles considerados por el nmero de controles considerados
El resultado obtenido al no dar un nmero entero (que corresponda a un nivel de madurez de acuerdo a la escala de valores de 0 al 5) debe interpretarse que est entre dos valores de madurez, en este caso
166
Burgos & Namuche
particular el resultado 2.22 indica que el nivel de madurez se ubica entre los niveles 2 y 3, que corresponden a los niveles REPETIBLE y DEFINIDO respectivamente, lo que significa que OTI utiliza varios procedimientos que no estn formalmente documentados y son aplicados prcticamente de manera emprica, lo que le ubica prcticamente en el nivel 2 o REPETIBLE; no obstante, OTI ha
comenzado a manejar cierto tipo de documentacin como el plan de contingencia, el mapa topolgico de la red, el plan operativo o el uso de una bitcora de atenciones que demuestra que el rea est iniciando un proceso de mejora de sus procesos con miras a una estandarizacin, lo que le aproxima al nivel 3 o DEFINIDO.
167
Burgos & Namuche
CAPTULO V
RESULTADOS
168
Burgos & Namuche
5.1. Marco Lgico Con el desarrollo de la auditora se han entrado hallazgos que nos permiten conocer la situacin actual de la gestin de redes y telecomunicaciones de la OTI, dichos hallazgos se han reunido en un consolidado que se presentar en este punto de la auditora, el cual se dividir, a su vez, en tres partes: En la primera parte se presentar el marco lgico de la auditora mediante un diagrama causa efecto. En la segunda parte de har una comparacin de los hallazgos (situacin actual) con el marco de trabajo COBIT (situacin deseada o ideal), dicha comparacin se har por cada indicador. Para terminar, la tercera parte presentar el plan de mejora que condensar la comparacin con la situacin ideal y los hallazgos especficos de la auditora por cada indicador. A continuacin se muestra el Marco Lgico, el cual est constituido por cada uno de los indicadores definidos y evaluados anteriormente:
169
Burgos & Namuche
170
Burgos & Namuche
5.2. Comparacin de la situacin actual con la situacin deseada Para detallar el Marco Lgico presentado anteriormente, se procedi a realizar las siguientes tablas de comparacin en donde se detalla por cada indicador la situacin actual (Producto de la evaluacin realizada) y la situacin deseada (Lo que establece el marco de trabajo COBIT), las cuales nos ayudaran a tener una visin ms amplia de la manera como se lleva a cabo la gestin por parte de la OTI y de cmo se debe de manejar.
171
Burgos & Namuche
Indicador N1
Nmero de procesos crticos de negocio no incluidos en un plan de contingencia. (NPC) Situacin deseada (Segn COBIT)
Situacin actual (Evaluacin)
La OTI cuenta con un plan de contingencia el cual fue elaborado COBIT propone considerar la documentacin de evaluacin de riesgos, como trabajo de tesis de PRE-GRADO, el cual no cuanta con el la que incluye: formato adecuado de un plan de contingencia. Un marco adecuado para los resultados y propuestas de mejora de cada riesgo hallado. una descripcin de la metodologa de evaluacin de riesgos, la identificacin de exposiciones significativas y los riesgos correspondientes, los riesgos y exposiciones correspondientes considerados, se incluyen tcnicas de probabilidad, frecuencia y anlisis de amenazas en la identificacin de riesgos, el personal asignado a evaluacin de riesgos est
adecuadamente calificado
No se lleva una revisin regular de los procedimientos de Evaluar de forma recurrente la probabilidad e impacto de todos los contingencia que maneja. riesgos identificados, usando mtodos cualitativos y cuantitativos.
El plan de contingencia hace referencia a los procesos crticos de Identificacin de Eventos Identificar eventos (una amenaza importante y la organizacin slo desde la ptica del rea de sistemas realista que explota una vulnerabilidad aplicable y significativa) con un (subrea de desarrollo) impactopotencial negativo sobre las metas o las operaciones de la empresa, incluyendo aspectos tales como:
172
Burgos & Namuche
De negocio, regulatorios, legales, tecnolgicos, sociedad comercial, de recursos humanos y operativos.

Tabla N34: Comparacin situacin real vs deseada para el indicador NCP. Fuente: Elaborado por los autores.
173
Burgos & Namuche
Indicador N2 Indicador N3
Porcentaje de incidentes de red resueltos en el tiempo acordado (PIR) Nmero promedio de horas perdidas por usuario al mes, debido a interrupciones en la red. (NHP) Situacin deseada (Segn COBIT)
Situacin actual (Evaluacin)
La gestin de incidentes de OTI est conformada por un COBIT propone gestionar la atencin de incidentes considerando los helpdesk que utiliza dos canales de comunicacin para atender siguientes puntos: a los usuarios: Por llamada telefnica (marcando el nmero Contar con un Bur de Ayuda (helpdesk), del cual en cuanto a su de anexo del helpdesk) naturaleza sea efectiva, esto en cuanto a la forma en la que las Por envo de solicitud mediante el correo requisiciones de ayuda son procesadas y la ayuda es proporcionada. corporativo. Registro de incidentes. El registro de incidentes es manual. Se usa una bitcora de incidentes (ver el tem de revisin preliminar de documentacin) donde se indica el incidente dado, el tipo de incidente (si es un incidente de soporte, de red o de los sistemas de informacin) y la persona que lo va a atender. Manejo de Incidentes Es un proceso emprico, porque se basa en la experiencia diaria de los participantes del proceso de atencin: Asistente, clientes y expertos de cada
Registro de preguntas del Usuario Debe existir un proceso real para registrar requisiciones de servicios y si se hace uso de dicha bitcora, del cual podamos luego generar una lista o reporte de los problemas reportados durante un perodo representativo, incluyendo la fecha de ocurrencia, la fecha de solucin y los tiempos de solucin.
Sistema de manejo de Problemas Existe un proceso de manejo de problemas que asegure que todos los eventos operacionales que no son parte de las operaciones estndar son registrados, analizados y 174 Burgos & Namuche
rea. La asistente, por la naturaleza del incidente, abe a quien llamar, el experto, por su propia experiencia, sabe qu hacer, y el cliente, en algunos casos, sabe a qu experto llamar (la asistente se limita a llamar al experto)
resueltos de manera oportuna. Existen procedimientos de manejo de problemas para: o o o o Definir e implementar un sistema de manejo de problemas, Registrar, analizar y resolver de manera oportuna todos los eventos no-estndar, Establecer reportes de incidentes para los eventos crticos y la emisin de reportes para usuarios, Identificar tipos de problemas y metodologa de priorizacin que permitan una variedad de soluciones tomando el riesgo como base, o o o Distribuir salidas con una base de necesidad de conocimiento, Notificar los escalamientos al nivel apropiado de administracin, Determinar si la administracin evala peridicamente el proceso de manejo de problemas en cuanto a una mayor efectividad y eficiencia, o Asegurar la integracin entre los cambios, la disponibilidad, el sistema y el personal de manejo de la configuracin
Tiempo de atencin al incidente. Se tiene una nocin
Monitoreo de atencin a clientes
175
Burgos & Namuche
de urgencia por atencin de incidentes de acuerdo al rea que solicita una atencin, segn ello existen reas con mayor prioridad que otras. De acuerdo al administrador de la red (jefe de la oficina), las reas a las cuales les da mayor prioridad son Caja y Direccin General. Considera el escalamiento de incidentes. En el caso de redes, el nivel ms bajo lo ocupan los trabajadores del rea de soporte, luego, le sigue el administrador de la red y, en el nivel ms alto, se encuentran los encargados de DTI de Trujillo. En el caso de Trujillo, slo se derivan problemas que se relacionen con el servidor de datos.
El perodo de tiempo para atender las preguntas recibidas es adecuado, Tiempo apropiado de respuesta tomando como base la prioridad del evento.
Escalamiento de preguntas del cliente Escalamiento de problemas para eventos crticos, El proceso para la escalacin de preguntas y la intervencin de la administracin para su solucin son suficientes.
Tabla N35: Comparacin situacin real vs deseada para los indicadores PIR y NHP. Fuente: Elaborado por los autores.
176
Burgos & Namuche
Indicador N4 Situacin actual (Evaluacin)
Nmero de controles aplicados a servicios de terceros. (NCT) Situacin deseada (Segn COBIT)
Los controles aplicados a terceros por la OTI son los siguientes, En cuanto a controles aplicados a terceros, COBIT establece los en donde cabe recalcar que OTI no mantiene relaciones de siguientes tercerizacin directas sino que tiene un intermediario que es el rea de Logstica, quien gestiona los contratos con proveedores de servicios y equipos, pero si en cuanto a la implementacin del cableado red de edificio nuevo, como tambin en la compra de equipos de cmputo nuevos. Apoyo y supervisin de las tareas de cableado de un edificio nuevo, Inspeccin al finalizar las tareas de cableado de un edificio nuevo, Revisin de propuestas de proveedores Monitoreo El monitoreo continuo de liberacin y entrega de servicios por parte de terceros es llevado a cabo por la administracin, Se llevan a cabo auditoras independientes de las
operaciones de la parte contratante.
Tabla N36: Comparacin situacin real vs deseada para el indicador NCT. Fuente: Elaborado por los autores.
177
Burgos & Namuche
Indicador N5 Situacin actual (Evaluacin)
Porcentaje de inversin en actualizacin de TI (PIATI) Situacin deseada (Segn COBIT)
La OTI gestiona la inversin en actualizacin de TI de la siguiente En cuanto a la Identificacin y asignacin de costos OBIT establece: manera: Definicin de TI necesarias: La OTI implementa su plan operativo cada ao, en donde se especifica las TI necesarias a adquirir para seguir con la continuidad y mejora del servicio Definicin de servicios Crear un plan anual de desarrollo y mantenimiento Generar un presupuesto anual para la funcin de servicios de informacin, incluyendo: o o o Cumplimiento con los requerimientos organizacionales en cuanto a la preparacin de presupuestos Consistencia en cuanto a cules costos deben ser asignados por los departamentos Actualizacin de las TI, con nuevas TI que surgen.
Tabla N37: Comparacin situacin real vs deseada para el indicador PIATI. Fuente: Elaborado por los autores.
178
Burgos & Namuche
Indicador N6
Nmero de veces por mes que se ha realizado mantenimiento a la Red. (NMR) Situacin deseada (Segn COBIT) Programacin de Tareas Para lo que COBIT establece: Organizar la programacin de trabajos, procesos y tareas en la secuencia ms eficiente, maximizando el desempeo y la utiliza para cumplir con los requerimientos del negocio. Deben autorizarse los programas inciales as como los cambios a estos programas. Los procedimientos deben implementarse para identificar, investigar y aprobar las salidas de los programas estndar agendados.
Situacin actual (Evaluacin) Las actividades de mantenimiento del rea de Redes se planifican anualmente y se indican dentro del plan operativo. De estas actividades, las principales realizadas en el transcurso del 2011 son las siguientes: Limpieza de equipos del datacenter. Ampliacin de puntos de red y cambio de cableado (activacin de puntos y colocacin de canaletas) Ordenamiento de cableado Etiquetado de cableado. Reinicio de switches (en caso de borrarse la configuracin por causa de un apagn) Anlisis de switches para resolver problemas
detectados por monitoreo de red (ver Diagrama de Flujo del Procedimiento para el monitoreo de puertos en la red).
Tabla N38: Comparacin situacin real vs deseada para el indicador NMR. Fuente: Elaborado por los autores.
179
Burgos & Namuche
Indicador N7
Nmero de controles Fsicos para garantizar la continuidad del servicio (NCF) Situacin deseada (Segn COBIT) Proteccin contra Factores Ambientales Polticas y procedimientos aplicados a factores ambientales, tales como: Altas temperaturas, Inundaciones, terremotos. Revisin de los procedimientos de control de aire acondicionado, ventilacin, humedad y las respuestas esperadas en los distintos escenarios de prdida o extremos no anticipados. Seguridad Fsica Se debe contar con: Los procedimientos y prcticas de administracin de llaves son adecuados.
Situacin actual (Evaluacin) Se aplican controles fsicos comunes; tales como: Desastres Naturales: se cuenta con aire acondicionado dentro del data center para controlar el aumento de temperatura, as como tambin de extintores en caso de incendios. Robo de equipo: se cuenta con gabinetes con sus respectivos candados dentro del datacenter.
Errores Humanos: mediante las cuentas de usuario se controla lo correspondiente a la instalacin de software ajeno a los de la universidad, como tambin la eliminacin de archivos del sistema que puedan afectar a este.
Coordinan los escenarios de prueba de penetracin fsica Realizacin de pruebas de penetracin fsica a la red La organizacin es responsable del acceso fsico, por lo que se debe tener en cuenta: Desarrollo, mantenimiento y revisiones continuas de polticas y procedimientos de seguridad, Establecimiento de relaciones con proveedores
relacionados con la seguridad, Contacto con la administracin de las instalaciones en cuanto a problemas de tecnologa relacionados con
180
Burgos & Namuche
seguridad, Coordinacin del entrenamiento y conciencia sobre
seguridad para la organizacin, Coordinacin de actividades que afecten en control de acceso lgico va aplicaciones centralizadas y software de sistema operativo, Proporcionar entrenamiento y crear conciencia de
seguridad no slo dentro de la funcin de servicios de informacin, sino para los servicios de usuarios. Servicio Elctrico: Se cuanta con UPS implementados en los servidores dentro del DataCenter. Suministro Ininterrumpido de Energa Se debe contar con un grupo electrgeno y su correspondiente abastecimiento permanente de combustible para asegurar el suministro de energa en caso de apagones, adems debe contarse con una subestacin para evitar las bajas de voltaje en los dems edificios del campus para evitar el deterioro de los equipos. DataCenter: Se cuenta con la sealizacin adecuada dentro del data center, as como de elementos de seguridad (extintores) en caso de algn problema. Escolta de Visitantes. Son apropiadas para reas ms sensibles tales como el DataCenter , por lo que debe contar con:
Polticas de acceso y autorizacin de entrada/salida. Escolta, Registro, Pases temporales requeridos, cmaras de vigilancia.
Se lleva a cabo una revisin de los siguientes registros:
181
Burgos & Namuche
visitantes, Asignacin de pases, Escolta, Persona responsable del visitante, Bitcora. Se debe contar con elementos de infraestructura especficos
alternativos necesarios para implementar seguridad: Fuente de poder ininterrumpida (UPS) Alternativas o reruteo de lneas de telecomunicacin Recursos alternativos de agua, gas, aire acondicionado. Respaldo de informacin. Los procedimientos para los respaldos de informacin se realizan de la siguiente manera: Se realizan en DVD y Aplicando controles tales como: El contenido del centro de cmputo de respaldo est actualizado Almacenamiento de la informacin fuera del centro de cmputo. Adems de contar con la informacin logstica de la localizacin de recursos clave, incluyendo el centro de cmputo de respaldo para la recuperacin de sistemas operativos, aplicaciones y archivos de datos.
Tabla N39: Comparacin situacin real vs deseada para el indicador NCF Fuente: Elaborado por los autores.
182
Burgos & Namuche
Indicador N8
Nmero de controles Lgicos para garantizar la continuidad del servicio (NCL) Situacin deseada (Segn COBIT) Considerar los siguientes controles lgicos, segn COBIT: Seguridad de Acceso a Datos en Lnea Se deben aplicar los siguientes controles: procedimientos de administracin de cuentas de usuario Poltica de seguridad del usuario o de proteccin de la informacin Esquema de clasificacin de datos Plano de los edificios/habitaciones que contienen recursos de sistemas de informacin Inventario o esquema de los puntos de acceso fsico a los de accesos no autorizados. Se recursos de sistemas de informacin (por ejemplo, mdems, lneas telefnicas y terminales remotas). Al entrar, aparece un mensaje de advertencia preventivo en relacin al uso adecuado del hardware, software o conexin, y que los accesos no autorizados podran causar
Situacin actual (Evaluacin) Los controles lgicos aplicados a la red por parte de la OTI son los siguientes: Robo de Datos: El robo datos se mitiga mediante los siguientes controles: Accesos no autorizados. Estos se gestionan desde las mismas cuentas de usuario, ya que cada una de estas cuentas con sus respectivos privilegios, y restringe el acceso a recursos de la red. Revisin
monitorea el acceso no autorizado mediante una herramienta informtica llamada Wireshark.
responsabilidades legales. Control de acceso a carpetas compartidas mediante polticas de grupos de usuarios. Encriptacin de archivos importantes, como cdigos fuente,
183
Burgos & Namuche
registros de bases de datos, mapa topolgico, planes operativos, etc. Software Maliciosos. Los controles aplicados para este punto son los siguientes: Se cuentan con software (Antivirus) de Prevencin, Deteccin y Correccin del Software Daino Aplicar controles aplicados software maliciosos tales como: Procedimientos de control de cambios de software de seguridad Procedimientos de seguimiento, solucin y escalamiento de problemas Por lo que se debe considerar los siguientes procedimientos para la proteccin contra software maligno: Todo el software adquirido por la organizacin se revisa contra los virus antes de su instalacin y uso, Existe una poltica por escrito para bajar archivos (downloads), aceptacin o uso de aplicaciones gratuitas y compartidas y esta poltica est vigente, Los usuarios tienen instrucciones para la deteccin y reportes de virus, como el desempeo lento o crecimiento misterioso de archivos. Software no autorizados Se cuenta con una relacin de software licenciado con los que cuenta la universidad. Mediante los privilegios de las cuentas de usuario, Proteccin de las Funciones de Seguridad Inventario de software de control de acceso, procedimientos de control de cambios de software de seguridad
deteccin de software maliciosos, Kaspersky. Para gestionar estos softwares maliciosos, se aplican procedimientos especficos para
mitigar estos softwares maliciosos.
184
Burgos & Namuche
se
gestiona
la
instalacin
de
software
no
El hardware y software de seguridad, estn protegidos contra la intromisin o divulgacin. Se cuenta con perfiles de seguridad de usuario que representen los menos accesos requeridos y que muestren revisiones regulares a los perfiles por parte de la
autorizados en los equipos de la red de la universidad.
administracin con fines de reacreditacin.
Tabla N40: Comparacin situacin real vs deseada para el indicador NCL Fuente: Elaborado por los autores.
Como se pudo apreciar en la comparacin realizada, es necesario implementar procesos a la gestin de Redes de la UCV-Piura por parte de la OTI, los que proponemos en un Plan de Mejora(Definido en el siguiente apartado) para la gestin, con lo que se contrasto la hiptesis planteada La aplicacin de una auditora basada en COBIT permitir determinar el nivel de madurez de la gestin de redes, comunicaciones y servidores aplicada por la Oficina de Tecnologas de Informacin (OTI) a la red de la Universidad Csar Vallejo Piura (CAPITULO II: PLAN DE INVESTIGACIN - 2.9: Hiptesis). .
185
Burgos & Namuche
5.3. Plan de Mejora Se presenta el plan de mejora para cada indicador considerado en la auditora. El plan de mejora consta de un conjunto de recomendaciones para mitigar las deficiencias encontradas durante el desarrollo de la auditora. 5.3.1. Indicador N 01: Nmero de procesos crticos de negocio no incluidos en un plan de contingencia. (NPC) En el anlisis efectuado se encontr con la siguiente situacin: De acuerdo al grfico, Los procesos crticos no considerados representan el 20% del total de procesos crticos. Estos procesos se consideran crticos porque un alumno no puede graduarse si no ha llevado estos cursos durante el tiempo que dura el estudio de la carrera, de ocurrir un problema con los sistemas, OTI se ve involucrada en el problema. Otra carencia que hemos encontrado es la no consideracin de operaciones crticas de la administracin de la red de la universidad para cada proceso crtico considerado en el plan de contingencia; el plan se limita slo a describir los procesos crticos desde el punto de vista de la usabilidad de los sistemas informticos que soportan las operaciones.(CAPITULO IV: DESARROLLO DE LA PROPUESTA 4.3.3.1Evaluacin de la Gestin de Atencin de Incidentes (de Redes) y de la Gestin de la Continuidad del Servicio en la OTI.) Para lo cual las recomendaciones que deben llevar a cabo para mitigar estas deficiencias son las siguientes: Hallazgo de Auditora Recomendacin
El rea no maneja un plan de contingencia OTI debe revisar la propuesta de plan de formal, sino tiene por tal a una tesis de contingencia (tesis de pregrado), para pregrado. obtener un documento formal el cual, una vez finalizado, debe ser aprobado por las autoridades de la universidad. (Proyecto N01 Anexo 17) El rea no revisa de regularmente contingencia los OTI debe revisar el plan de contingencia que continuamente y actualizarlo conforme
procedimientos maneja.
cambios de ndole tcnico o administrativo se vayan dando.
186
Burgos & Namuche
El plan de contingencia hace referencia a OTI debe recopilar los procedimientos de los procesos crticos de la organizacin cada subrea no considerada e identificar
slo desde la ptica del rea de sistemas los que son crticos. Se recomienda que (subrea de desarrollo) esta actividad se haga en el marco de las revisiones para obtener un documento formal. Tomando la afirmacin anterior. El plan no OTI debe identificar los procedimientos trata sobre procedimientos crticos de la crticos de la subrea de redes, adems subrea de redes. debe identificar los riesgos especficos a redes y aplicar controles preventivos,
detectivos y correctivos. El plan de contingencia no considera los OTI, en primer lugar, debe estudiar el siguientes procesos crticos: Matrcula en impacto de estos procedimientos para los cursos de ingls, matrcula en los determinar que tan crticos pueden ser para
cursos de computacin, matrcula en las darles un orden de prioridad de atencin a actividades integradoras. las reas que manejan estos
procedimientos desde la ptica de las tres subreas. (redes, desarrollo y soporte)
Tabla N41: Plan de mejora para el indicador NPC Fuente: Elaborado por los autores.
5.3.2. Indicador N 02: Porcentaje de Incidentes de Red resueltos en un tiempo ptimo (PIR) En el anlisis efectuado se encontr con la siguiente situacin: Se obtiene que el 81.81% de los incidentes de red son atendidos en un tiempo ptimo, es decir en un tiempo no mayor de las 5.5 horas. De ellos (haciendo referencia a la tabla 8), la creacin de usuarios de dominio es el que demora menos con un tiempo de 0.033 horas (2 minutos) y el en que se invierte ms tiempo es la solucin de problemas con la conexin al escritorio remoto (para conectarse al sistema SEUSS) con un tiempo de 4.198 horas en promedio. De las actividades que pasan el tiempo ptimo concluimos lo siguiente:
187
Burgos & Namuche
Los problemas de anexo rebasan el tiempo de atencin ptimo cuando se malogra un power injector. Para repararlo se invierten aproximadamente unas 42.75 horas. La colocacin de canaletas y el ordenamiento de cableado son actividades de muy larga duracin, especialmente, el ordenamiento de cableado que puede llevar unas 19 horas como mximo. (CAPITULO IV: DESARROLLO DE LA PROPUESTA 4.3.3.1Evaluacin de la Gestin de Atencin de Incidentes (de Redes) y de la Gestin de la Continuidad del Servicio en la OTI.)
Para lo cual las recomendaciones que deben llevar a cabo para mitigar estas deficiencias son las siguientes: Hallazgo de Auditora El registro de incidentes de OTI es manual Se debe Recomendacin implementar un sistema
usando software de hoja de clculo (MS informtico de gestin de incidentes que Excel 2007) permita automatizar el registro de incidentes. (Proyecto N03 Anexo 19 ) Los incidentes registrados (en la bitcora El sistema los informtico incidentes debe permitir de
de incidentes) no son analizados; tampoco reportar
atendidos
pueden ser filtrados por subrea que los acuerdo a subreas (tambin por intervalo atendi. de fechas), adems, se recomienda que los histricos de incidentes sean sometidos a un anlisis de tendencia para identificar problemas recurrentes (COBIT DS8.2), los incidentes deben clasificarse por impacto y por ocurrencia. Si el incidente es demasiado recurrente (en OTI los incidentes ms recurrentes son los problemas de conectividad) debe rastrearse y darle solucin (COBIT DS10.2). De esta manera la calidad de servicio mejorar y la resolucin de incidentes tomar menos tiempo porque stos ya se tendran formalmente identificados. La bitcora de incidentes no maneja un Se deben clasificar los incidentes de la lenguaje estndar para referirse a los bitcora Auditora Gestin en Redes- OTI-Piura 188 por tipo (previamente deben
Burgos & Namuche
incidentes, es comn ver varios incidentes clasificarse por subrea), luego, identificar diferentes pero que en realidad aquellos que tienen una causa comn o que presentan el mismo impacto negativo, por ultimo englobar ese grupo de incidentes en una denominacin pero es general y
constituyen ser el mismo tipo.
estandarizada,
recomendable,
incluir, dentro de un campo detalle las implicancias especficas de cada incidente. Una vez hecho esto comunicar al personal de OTI acerca de las medidas adoptadas, y, finalmente, documentar el criterio de clasificacin como una nueva disposicin del rea. Algunos incidentes (de la bitcora) no se Se recomienda que el sistema informtico indica la solucin lo que dificulta la propuesto solicite (como campo obligatorio) posterior tarea de clasificacin de la solucin a un determinado incidente, y
incidentes y de creacin de una base de slo as el sistema pueda reconocer a un conocimiento incidente como terminado o cerrado
(COBIT DS8.4 y COBIT DS10.3) Se maneja un orden de prioridad de La prioridad de atencin debe definirla el atencin por reas, no obstante lo que est jefe de la OTI en consenso con los registrado en la documentacin (OTI) trabajadores del rea, una vez definida, la difiere del criterio que se lleva en la asistente del rea debe actualizar el plan de prctica. contingencia donde se consigna el orden de prioridad de atencin. OTI cuenta con personal insuficiente en las OTI debe coordinar con el departamento de subreas de soporte y de redes cuando los RR.HH para solicitar ms personal para incidentes que involucran estas subreas esas dos subreas. En el caso especfico son los ms frecuentes. Se comprob que de la subrea de redes, OTI debe contar el incidente que ms tiempo toma es la con un segundo administrador de la red, reparacin de un power injector (42.75 h) porque el actual administrador comparte las que es responsabilidad de la subrea de responsabilidades propias de su funcin soporte. con las de la jefatura de OTI y, a veces, se ausenta de la universidad. OTI no maneja un tiempo ptimo de OTI debe establecer un tiempo ptimo de atencin. Slo se maneja la consigna de atencin estndar para tener una referencia
189
Burgos & Namuche
atender un incidente en el menor tiempo que indique la calidad de las atenciones de posible la OTI.
Tabla N42: Plan de mejora para el indicador PIR Fuente: Elaborado por los autores.
5.3.3. Indicador N 03: Nmero promedio de horas perdidas por usuario al mes, debido a interrupciones de red (NHP) En el anlisis efectuado se encontr con la siguiente situacin: Los usuarios pierden aproximadamente 15 horas (14.990) por interrupciones al servicio por mes. Considerando que en un da se trabajan 9.5 horas diarias y, en un mes se hacen un total de 285 horas, entonces la prdida de horas por interrupcin del servicio (15 horas) representa el 5.2 % de las horas mensuales trabajadas. Los problemas ms comunes son los relacionados con la conectividad, ya sea que no tiene red o que no tiene internet (16 veces al mes); le siguen, en frecuencia, los problemas con los anexos que usan telefona IP (4 veces al mes). Respecto al tiempo perdido mensual (TPMIS), las interrupciones que provocan ms prdida de horas son las interrupciones de red (65.74 horas/mes), seguido de los problemas con los anexos (43.92 horas/mes). Los problemas por ingresar al SEUSS (por escritorio remoto), el corte de fluido elctrico y los problemas con los servidores, son las interrupciones de mayor duracin entre las que registran la menor frecuencia de ocurrencia. Tomando en cuenta los resultados del anlisis de incidentes y de interrupciones podemos observar: La mayora de interrupciones se solucionan en el tiempo ptimo observado (menor o igual a 5.5 horas) Los problemas con el anexo son el nico tipo de interrupciones que no solucionan en el tiempo ptimo (10.98 horas) pese a ser la segunda ms frecuente. (CAPITULO IV: DESARROLLO DE LA PROPUESTA 4.3.3.1Evaluacin de la Gestin de Atencin de Incidentes (de Redes) y de la Gestin de la Continuidad del Servicio en la OTI.) Auditora Gestin en Redes- OTI-Piura 190 Burgos & Namuche
Para lo cual las recomendaciones que deben llevar a cabo para mitigar estas deficiencias son las siguientes: Hallazgo de Auditora Recomendacin
Las interrupciones ms comunes son Se debe revisar estas interrupciones y aquellos relacionados con la conectividad: catalogarlas como problemas para
Problemas con la red, problemas con encontrar una solucin o para mitigar su Internet y problemas con los anexos impacto negativo (COBIT DS10.3). Adems (telfonos IP) debe realizarse un plan de monitoreo y mejora del servicio de la red de la Universidad. (ProyectoN02 Anexo 18) Las anteriores tambin son las que ms A la aplicacin de la recomendacin tiempo perdido generan a los usuarios. anterior se le adiciona monitorear
constantemente la interrupcin detectada para determinar cules son aquellas con el mayor impacto negativo (prdida de tiempo por cada del servicio) El plan de contingencia de OTI no contiene Se recomienda, primero, identificar los medidas para mitigar el riesgo de riesgos ms frecuentes y ms peligrosos (mayor impacto negativo), luego, formular las medidas de contingencia y las acciones a seguir antes, durante y despus de la interrupcin, por ltimo, las nuevas medidas deben darse a conocer a los involucrados de las subreas de redes y soporte para su conocimiento y aprobacin. No se ha podido constar (en la La subrea de redes debe identificar los crticos que pueden verse
interrupcin por falta de conectividad.
documentacin revisada) la identificacin recursos
de los recursos crticos de la red de la afectados al producirse una interrupcin a universidad. la red de la universidad (COBIT DS4.3). El resultado de este estudio debe consignarse dentro del plan de contingencia (Revisar las recomendaciones para el indicador 1 para ms informacin sobre la actualizacin del plan de contingencia) OTI almacena los backups dentro de un El rea debe almacenar una copia de los Auditora Gestin en Redes- OTI-Piura 191 Burgos & Namuche
armario ubicado en la misma oficina.
backups en un lugar fuera de la oficina (donde funciona OTI) o incluso fuera del campus (COBIT DS4.9)
El datacenter no cuenta con equipos OTI replicadores, interrupciones. muy tiles en caso
debe
considerar
adquirir
equipos
de replicadores, para ello, debe consignar esta necesidad operativos. en los prximos planes
La universidad no cuenta con un grupo OTI debe solicitar la adquisicin de un electrgeno en caso de apagones. (una de grupo electrgeno lo antes posible para las interrupciones registradas en la evitar retrasos innecesarios de los procesos de la universidad.
Tabla N43: Plan de mejora para el indicador NHP Fuente: Elaborado por los autores.
bitcora)
5.3.4. Indicador N 04: Nmero de controles aplicados a terceros (NCT) En el anlisis efectuado se encontr con la siguiente situacin: Los controles a terceros, referidos a TI, son aplicados por la OTI y por Logstica. OTI tiene una participacin menor que Logstica pero sta no es nada despreciable porque abarca con el 40% de los controles a terceros OTI aplica los controles de ndole tcnico, mientras que Logstica cumple con los controles referidos al contrato y al cumplimiento del mismo. OTI acude a la tercerizacin cuando se requiere de nuevo cableado estructurado para certificar la calidad del trabajo. (CAPITULO IV: DESARROLLO DE LA PROPUESTA 4.3.3.2 Evaluacin de controles aplicados a terceros)
Para lo cual las recomendaciones que deben llevar a cabo para mitigar estas deficiencias son las siguientes:
192
Burgos & Namuche
Hallazgo de Auditora Los documentos
Recomendacin
mercantiles (facturas, El rea debe contar con una copia de estos
rdenes de compra y cotizaciones) son documentos para identificar las relaciones manejadas slo por el rea de Logstica. de los proveedores con los que Logstica tiene contacto (COBIT DS2.1). Sera
recomendable si estos documentos deben gestionarse con la ayuda de un sistema informtico (Proyecto N04 Anexo 20) Del lado de OTI, no hay constancia de OTI debe fijar medidas de contingencia para medidas de contingencia con respecto a la mitigar riesgos del proveedor en consenso administracin de riesgos del proveedor. con el rea de Logstica. Esta actividad debe realizarse en el marco de la revisin y actualizacin del plan de contingencia de la OTI referida en las recomendaciones el indicador 1
Tabla N44: Plan de mejora para el indicador NCT Fuente: Elaborado por los autores.
5.3.5. Indicador N 05: Porcentaje de inversin para cubrir los costos en TI (PIATI) En el anlisis efectuado se encontr con la siguiente situacin: El porcentaje de actualizacin de TI es de 13%, un valor muy cercano al calculado mediante la frmula (14.92%), pero despreciando la diferencia de resultados, se puede llegar a las siguientes conclusiones. La utilizacin del 13% del presupuesto es demasiado bajo para TI, lo que es un indicador de que los equipos de comunicaciones no se han renovado. Un indicador de la no renovacin de equipos es el bajo precio con el que actualmente se venden algunos switches en la actualidad, como se puede constatar en la tabla N27 Se recomienda que OTI, en lo futuro invierta ms en lo que es equipos de comunicaciones, sobretodo en la renovacin de equipos que ya tienen cierta antigedad as como tambin en la adquisicin Auditora Gestin en Redes- OTI-Piura 193 Burgos & Namuche
de
nuevos
equipos
para
mejorar
la
infraestructura
de
la
red.(CAPITULO IV: DESARROLLO DE LA PROPUESTA 4.3.3.3 Evaluacin de los costos para cubrir la inversin en TI) Para lo cual las recomendaciones que deben llevar a cabo para mitigar estas deficiencias son las siguientes: Hallazgo de Auditora Recomendacin
El porcentaje en actualizaciones de TI es La OTI debe realizar una mayor inversin muy bajo, por lo que OTI no ha realizado en equipos de comunicacin y actualizar una actualizacin de las diferentes TI con los equipos con mayor antigedad para las que cuenta. mejorar la infraestructura de la red de la universidad. (Proyecto N05 Anexo 21)
Tabla N45: Plan de mejora para el indicador PIATI Fuente: Elaborado por los autores.
5.3.6. Indicador N 06: Nmero promedio de veces por mes que se ha realizado mantenimiento a la red (NMR) En el anlisis efectuado se encontr con la siguiente situacin: El mantenimiento es netamente correctivo ms que proactivo y se basa por lo general al mantenimiento de cableado.(CAPITULO IV: DESARROLLO DE LA PROPUESTA 4.3.3.4Evaluacin de la frecuencia de las tareas de mantenimiento de la Red)
Para lo cual las recomendaciones que deben llevar a cabo para mitigar estas deficiencias son las siguientes: Hallazgo de Auditora Las actividades de mantenimiento son, en OTI debe Recomendacin realizar actividades de
su mayora, reactivas, es decir, cuando mantenimiento proactivo, es decir aqul ocurre el problema que se adelanta a los problemas o errores que pueden darse en la red. (Proyecto N06 Anexo 22) No son comunes las tareas de limpieza de Las tareas de limpieza de equipos deben los equipos del datacenter (no se encontr darse con mayor frecuencia, adems debe entradas en la bitcora de atenciones entre realizarse un cronograma de actividades Enero y Setiembre del 2011) Auditora Gestin en Redes- OTI-Piura de limpieza de equipos y, por extensin, 194 Burgos & Namuche
de todas las actividades de mantenimiento a realizarse En el plan de contingencia no hay mencin OTI debe considerar acciones de
de acciones para mitigar el riesgo de las contingencia para mitigar riesgos como actividades de mantenimiento de equipos de imprevistos, o fallas en el servicio durante redes y telecomunicaciones. las tareas de mantenimiento. Dichas
acciones deben considerarse dentro del marco de actualizacin del plan de
contingencia (referido en el indicador 1) Las actividades de monitoreo de la red Las actividades de monitoreo deben
(anlisis de switches) no se registran en la registrarse en la bitcora y no limitarse a bitcora de atenciones sucesos extraordinarios o fuera de lo comn
Tabla N46: Plan de mejora para el indicador NMR Fuente: Elaborado por los autores.
5.3.7. Indicador N 07: Nmero de controles fsicos para garantizar la continuidad del servicio (NCF) En el anlisis efectuado se encontr con la siguiente situacin: OTI cuenta con controles fsicos bsicos como la regulacin de temperatura, presencia de UPS en el datacenter, sealizacin y extintores, no obstante, se pasan por alto controles fsicos muy importantes que podemos agrupar en dos: Controles relacionados con la seguridad de acceso al datacenter (proteccin contra robos) Controles relacionados con la seguridad de los equipos respecto a bajas de corriente o a interrupciones del suministro elctrico (continuidad del servicio). (CAPITULO IV: DESARROLLO DE LA PROPUESTA 4.3.3.5 Evaluacin de Controles Fsicos a la Red)
Para lo cual las recomendaciones que deben llevar a cabo para mitigar estas deficiencias son las siguientes:
195
Burgos & Namuche
Hallazgo de Auditora
Recomendacin
En cuanto a controles fsicos aplicados a OTI debe implementar aire acondicionado desastres naturales, la OTI solo aplica para de precisin al igual de un constante el aumento de temperatura e incendios, anlisis de desastres ambientales a los para los cuales se ha implementado aire cuales es propensa la regin de Piura, acondicionado (el cual no es el adecuado ya tales como las lluvias e inundaciones, asi que no es de precisin) y extintores dentro como el riesgo del fenmeno del nio, e del datacenter implementar controles fsicos para estos riesgos. Adems OTI debe mejorar la seguridad de acceso al datacenter (Proyecto N07 Anexo 23) La OTI solo aplica controles fsicos Se debe implementar controles fsicos
relacionados con el robo de equipos a para los procedimientos y prcticas de aquellos que se encuentran dentro del administracin de llaves. DataCenter, y no a todos los quipos de cmputo de la red (Oficinas, Laboratorios). Para garantizar la seguridad de la red se debe realizar pruebas de penetracin fsica a la red, as como desarrollo, dar mantenimiento y revisiones continas de las polticas y procedimientos de
seguridad adems
implementadas por
la OTI
proporcionar entrenamiento y
crear conciencia de seguridad a los usuarios. Solo se cuenta con la implementacin de Para mitigar el problema de la perdida de UPS como controles para mitigar la prdida fluida elctrico la OTI debera implementar del fluido elctrico. controles tales como de contar con un grupo electrgeno y su correspondiente abastecimiento permanente de
combustible para asegurar el suministro de energa en caso de apagones, adems debe contarse con una subestacin para evitar las bajas de voltaje en los dems edificios del campus para evitar el
deterioro de los equipos. Auditora Gestin en Redes- OTI-Piura 196 Burgos & Namuche
El
DataCenter
solo
se as
cuenta como
con Por
lo
que
la
OTI
debe
tambin
sealizacin
adecuada,
de implementar adems de lo recomendado
elementos de seguridad (extintores) en caso anteriormente, polticas que gestionen el de algn problema, UPS y gabinetes con ingreso al DataCenter, asi como
llave, los cuales son muy pocos tratndose actualizacin y revisin de las mismas. del DataCenter. Los respaldos de informacin, los cuales se Para lo que la OTI debe aplicar controles realizan en DVD no se alma en un lugar para gestionar las copias de respaldo adecuado fuera del DataCenter. (este actualizado y que se encuentre fuera del datacenter).
Tabla N47: Plan de mejora para el indicador NCF Fuente: Elaborado por los autores.
5.3.8. Indicador N 08: Nmero de controles lgicos para garantizar la continuidad del servicio (NCL) En el anlisis efectuado se encontr con la siguiente situacin: Se aplican los controles bsicos, en cuanto a la seguridad lgica, no obstante se identific (por observacin directa) una deficiencia en cuanto al acceso de archivos compartidos, ya que, desde cualquier maquina de la universidad que haya iniciado sesin con un usuario de dominio puede visualizar las carpetas compartidas de cualquier PC incluyendo las de la OTI, con lo que un usuario puede copiar contenido de sistemas y base de datos de estos equipos y llevarse informacin vital. Por lo que se recomienda restringir el acceso a estas carpetas, desde los privilegios de los usuarios del dominio. Otro control de seguridad extra es encriptar los archivos de vital importancia de los sistemas, tales como los sistemas de la universidad y/o Bases de Datos.(CAPITULO IV: DESARROLLO DE LA PROPUESTA 4.3.3.6 Evaluacin de Controles Lgicos a la Red) Para lo cual las recomendaciones que deben llevar a cabo para mitigar estas deficiencias son las siguientes:
197
Burgos & Namuche
Hallazgo de Auditora
Recomendacin
La OTI aplica controles lgicos para evitar el La OTI debera tambin aplicar controles robo de datos, tales como: Controles para como encriptacin de archivos
evitar los accesos no autorizados y una importantes, as como controles a accesos revisin de estos a carpetas compartidas, que como hemos especificado en la evaluacin de este indicador, cualquier usuario puede
visualizar y realizar una copia de la informacin de los equipos de la red, as como polticas de seguridad del usuario y sancin a usuarios que hurtan
informacin. Se propone la creacin de nuevas polticas para regular el acceso a las carpetas compartidas (Proyecto N08 Anexo 24) Para mitigar los software maliciosos, la OTI La aplica controles como de contar OTI debe implementar controles
con aplicados al anlisis de software adquirido
software (Antivirus) de deteccin de virus y por la UCV-Piura, as como tambin de procedimientos para gestionar estos polticas para la descarga de archivos por parte de los usuarios de la red.
software maliciosos.
Tabla N48: Plan de mejora para el indicador NCL Fuente: Elaborado por los autores.
5.3.9. Indicador N 09: Nivel de Madurez de la Gestin de Redes de la OTI (NMGR) En el anlisis efectuado se encontr con la siguiente situacin: Se Pudo definir que el Nivel de madurez de la gestin de redes de la OTI se encuentra en un nivel intermedio entre el Repetible y el Definido, donde sus procesos son mayormente empricos, y se maneja una incipiente documentacin de los mismos que le permitir ir en pos de la estandarizacin de los mismos, por lo que se recomienda que la OTI debe mejorar la forma como se est gestionando los procesos dentro de Auditora Gestin en Redes- OTI-Piura 198 Burgos & Namuche
ella con los que propone COBIT e identificar las acciones necesarias para mejorarlos y hacer que aporten al negocio el valor necesario. (CAPITULO IV: DESARROLLO DE LA PROPUESTA 4.3.3.6 Determinar el Nivel de Madurez de la gestin de Redes de la OTI) Como se especifico en la evaluacin del indicador (Nivel de Madurez de la Gestin de Redes de la OTI), la OTI se encuentra en un nivel de madurez intermedio, por lo que debera implementar los controles especificados en los puntos anteriores y de esa forma mejorar la Gestin de redes y elevar su nivel de madurez. Lo que implica la aplicacin de las propuestas de proyectos recomendadas (Del Anexo 17 al 24) 5.4. Post-Test En el punto 5.3 se ha concluido los puntos que obligatoriamente debe contener todo informe tcnico de auditora, pero, desde el punto de vista de un trabajo de investigacin, sera interesante saber si la aplicacin del plan de mejora tendr un impacto positivo, sin embargo esto no es posible debido a las restricciones del tiempo asignado a la investigacin (ver Limitaciones de la Investigacin en el apartado 2.5), no obstante, lo anterior no es ninguna limitacin para comparar los resultados de auditora con la situacin deseada si se implementasen las recomendaciones del plan de mejora, en otras palabras, un supuesto de la situacin de OTI (rea de subredes) en un futuro cuando implemente las mejoras, sustentadas en propuestas de proyectos, para cada indicador evaluado durante el desarrollo de la auditora informtica. Esta situacin deseada (que sera un post-test tradicional de implementarse y evaluarse) cumple, adems, la funcin de servir de referencia para que la subrea de redes de la OTI establezca metas con el propsito de mejorar las deficiencias encontradas. Por esas dos razones hemos credo conveniente presentar el apartado 5.4. PostTest.
5.4.1. Indicador N 01: Nmero de procesos crticos de negocio no incluidos en un plan de contingencia. (NPC). A continuacin de muestran los resultados finales de los procesos crticos de negocio no incluidos en un plan de contingencia, tanto en el Pre-Test como Post-Test, como se pudo observar en el estudio del indicador N1 (Nmero de Auditora Gestin en Redes- OTI-Piura 199 Burgos & Namuche
procesos crticos de negocio no incluidos en un plan de contingencia. (NPC)), se encontraron 15 procesos crticos de negocio existentes, de los cuales se consideran 12 dentro del plan de contingencia y a otros 3 procesos no se consideran, los cuales son: Proceso de matrcula a los cursos de computacin. Proceso de matrcula a los cursos de ingls (Centro de idiomas) Proceso de matrcula a los cursos de actividades integradoras Realizado el plan de mejora, se procedi a realizar un nuevo anlisis (PostTest) del indicador, de cual obtuvimos el siguiente resultado y comparaciones: Anlisis Pre-Test Post-Test N Procesos no incluidos 3 0
Tabla N49: Anlisis Pre-Test y Post-Test para el indicador NPC Fuente: Elaborado por los autores.
Total Procesos No Incluidos

3.5 3 2.5 2 Pre-Test 1.5 1 0.5 0 Pre-Test Post-Test Post-Test
Grfico N19: Anlisis Pre-Test y Post-Test para el indicador NPC Fuente: Elaborado por los autores
200
Burgos & Namuche
5.4.2. Indicador N 02: Porcentaje de incidentes de red resueltos en un tiempo ptimo (PIR) Como se observo en el estudio del indicador N2 (Porcentaje de incidentes de red resueltos en un tiempo ptimo (PIR)), se encontr que el 81.81% de los incidentes de red la OTI resuelve en un tiempo ptimo (5.5 Horas). Propuesto el plan de mejora, se procedi a realizar el un nuevo anlisis (Post-Test) al indicador N2, del cual se pudo obtener los siguientes resultados y comparaciones: Anlisis Pre-Test Post-Test Porcentaje (%) 81.81 92.55
Tabla N50: Anlisis Pre-Test y Post-Test para el indicador PIR. Fuente: Elaborado por los autores
Porcentaje de Incidentes atendidos en un tiempo ptimo

94 92 90 88 86 84 82 80 78 76 Pre-Test Post-Test
Pre-Test Post-Test
Grfico N20: Anlisis Pre-Test y Post-Test para el indicador PIR Fuente: Elaborado por los autores
5.4.3. Indicador N 03: Nmero promedio de horas perdidas por usuario al mes, debido a interrupciones a la red. (NHP) En el anlisis del indicador N3 (Nmero promedio de horas perdidas por usuario al mes, debido a interrupciones a la red. (NHP)), se encontr que los Auditora Gestin en Redes- OTI-Piura 201 Burgos & Namuche
usuarios pierden un aproximado de 15 horas (14.990 horas), en donde los problemas que mayormente afectan al constante servicio por parte de los usuarios son los problemas con la conectividad. Implementado el plan de mejora para mitigar las horas perdidas por los usuarios, se procedi a realizar el un nuevo anlisis (Post-Test) al indicador N3, del cual se pudo obtener los siguientes resultados y comparaciones: Anlisis Pre-Test Post-Test Horas Perdidas 15 7
Tabla N51: Anlisis Pre-Test y Post-Test para el indicador NHP Fuente: Elaborado por los autores
Horas perdidas por usuario al mes

16 14 12 10 8 6 4 2 0 Pre-Test Post-Test Pre-Test Post-Test
Grfico N21: Anlisis Pre-Test y Post-Test para el indicador NHP Fuente: Elaborado por los autores
5.4.4. Indicador N 04: Nmero de controles aplicados a servicios de terceros. (NCT) En el anlisis del indicador N4 (Nmero de controles aplicados a servicios de terceros. (NCT)), se encontr que la OTI solo aplica 4 controles a servicios de terceros, cabe recalcar que es el rea de Logstica quien se encarga del establecer un contacto directo los servicios brindados por terceros (contratos
202
Burgos & Namuche
y cumplimiento de estos), mientras que la OTI aplica controles de ndole tcnico. Implementado el plan de mejora para, se procedi a realizar el un nuevo anlisis (Post-Test) al indicador N4, del cual se pudo obtener los siguientes resultados y comparaciones: Anlisis Pre-Test Post-Test N Controles 4 6
Tabla N52: Anlisis Pre-Test y Post-Test para el indicador NCT Fuente: Elaborado por los autores
Controles aplicados a terceros

7 6 5 4 3 2 1 0 Pre-Test Post-Test Pre-Test Post-Test
Grfico N22: Anlisis Pre-Test y Post-Test para el indicador NCT Fuente: Elaborado por los autores
5.4.5. Indicador N 05: Porcentaje de inversin para cubrir los costos en TI (PIATI) En el anlisis del indicador N5 (Porcentaje de inversin para cubrir los costos en TI(PIATI)), se encontr que la OTI solo invierte un 13% del porcentaje que la Universidad le asigna, lo cual es un porcentaje muy bajo, tal y como se
203
Burgos & Namuche
detalla en el anlisis del indicador (4.3.3.3 Evaluacin de los costos para cubrir la inversin en TI).
Implementado el plan de mejora para, se procedi a realizar el un nuevo anlisis (Post-Test) al indicador N5, del cual se pudo obtener los siguientes resultados y comparaciones: Anlisis Pre-Test Post-Test Porcentaje Inversin en costos de TI (%) 13 20
Tabla N53: Anlisis Pre-Test y Post-Test para el indicador PIATI Fuente: Elaborado por los autores
Porcentaje invertido en costos de TI (%)

25 20 15 Pre-Test 10 5 0 Pre-Test Post-Test Post-Test
Grfico N23: Anlisis Pre-Test y Post-Test para el indicador PIATI Fuente: Elaborado por los autores
5.4.6. Indicador N 06: Nmero promedio de veces por mes que se ha realizado mantenimiento a la red (NMR) En el anlisis del indicador N6 (Nmero promedio de veces por mes que se ha realizado mantenimiento a la red (NMR)), se encontr que la OTI realiza mantenimiento a la red 7 veces al mes, cabe recalcar que el mantenimiento
204
Burgos & Namuche
que se realiza es netamente correctivo (4.3.3.4 Evaluacin de la frecuencia de las tareas de mantenimiento de la Red).
Implementado el plan de mejora para, se procedi a realizar el un nuevo anlisis (Post-Test) al indicador N6, del cual se pudo obtener los siguientes resultados y comparaciones: Anlisis Pre-Test Post-Test Nmero de veces 7 13
Tabla N54: Anlisis Pre-Test y Post-Test para el indicador NMR Fuente: Elaborado por los autores
Veces que se realiza mantenimiento a la Red

Grfico N24: Anlisis Pre-Test y Post-Test para el indicador NMR Fuente: Elaborado por los autores
5.4.7. Indicador N 07: Nmero de controles fsicos para garantizar la continuidad del servicio (NCF)
En el anlisis del indicador N7(Nmero de controles fsicos para garantizar la continuidad del servicio (NCF)), se encontr que la OTI solo aplica 7 controles fsicos a la red (4.3.3.5 Evaluacin de Controles Fsicos a la Red).
205
Burgos & Namuche
Implementado el plan de mejora para, se procedi a realizar el un nuevo anlisis (Post-Test) al indicador N7, del cual se pudo obtener los siguientes resultados y comparaciones: Anlisis Pre-Test Post-Test Nmero de Controles Fsicos 7 15
Tabla N55: Anlisis Pre-Test y Post-Test para el indicador NCF Fuente: Elaborado por los autores
Nmero controles fsicos aplicados

16 14 12 10 8 6 4 2 0 Pre-Test Post-Test Pre-Test Post-Test
Grfico N25: Anlisis Pre-Test y Post-Test para el indicador NCF Fuente: Elaborado por los autores
5.4.8. Indicador N 08: Nmero de controles Lgicos para garantizar la continuidad del servicio (NCL) En el anlisis del indicador N8(Nmero de controles lgicos para garantizar la continuidad del servicio (NCL)), se encontr que la OTI solo aplica 6 controles Lgicos a la red (4.3.3.6 Evaluacin de Controles Lgicos a la Red).
206
Burgos & Namuche
Implementado el plan de mejora para, se procedi a realizar el un nuevo anlisis (Post-Test) al indicador N7, del cual se pudo obtener los siguientes resultados y comparaciones: Anlisis Pre-Test Post-Test Nmero de Controles Fsicos 6 13
Tabla N56: Anlisis Pre-Test y Post-Test para el indicador NCL Fuente: Elaborado por los autores
Nmero controles lgicos aplicados

Grfico N26: Anlisis Pre-Test y Post-Test para el indicador NCF Fuente: Elaborado por los autores
5.4.9. Indicador N 09: Nivel de madurez de la gestin de redes de la OTI (NMGR)
En el anlisis del indicador N9 (Nivel de madurez de la gestin de redes de la OTI (NMGR)), en cual la OTI se encontraba en un nivel de madurez definido (3), el cual es un nivel intermedio de madurez (4.3.3.7Determinar el Nivel de Madurez de la gestin de Redes de la OTI)
207
Burgos & Namuche
Implementado el plan de mejora para, se procedi a realizar el un nuevo anlisis (Post-Test) al indicador N9, del cual se pudo obtener los siguientes resultados y comparaciones:
Anlisis Pre-Test Post-Test
Nivel de Madurez 3 4
Tabla N57: Anlisis Pre-Test y Post-Test para el indicador NMGR Fuente: Elaborado por los autores
Nivel de Madurez
4.5 4 3.5 3 2.5 2 1.5 1 0.5 0 Pre-Test Post-Test Grfico N27: Anlisis Pre-Test y Post-Test para el indicador NMGR Fuente: Elaborado por los autores Pre-Test Post-Test
208
Burgos & Namuche
CAPTULO VI
CONCLUSIONES Y RECOMENDACIONES
209
Burgos & Namuche
6.1. Conclusiones De acuerdo a los resultados obtenidos en el indicador N04: Nmero de controles aplicados a terceros (NCT), el indicador N06: Nmero promedio de veces por mes que se ha realizado mantenimiento a la red (NMR), el indicador N07: Nmero de controles fsicos para garantizar la continuidad del servicio (NCF) y el indicador N08: Nmero de controles lgicos para garantizar la continuidad del servicio (NCL); se puede apreciar que la Oficina de Tecnologas de Informacin (OTI) s aplica controles internos a la red de la universidad; estos controles se caracterizan por implementar medidas de seguridad bsica (controles fsicos y lgicos) que necesitan mejorar, sobretodo, en el aspecto de controles de acceso al datacenter (controles fsicos) y controles para el acceso de archivos compartidos (controles lgicos); por ser estrictamente tcnicos (controles a terceros); y por ser, en su mayor parte, correctivos (controles asociados con las tareas de mantenimiento, que pueden ser lgicos y fsicos). De acuerdo a los resultados obtenidos en el indicador N03: Nmero promedio de horas perdidas por usuario al mes, debido a interrupciones de red (NHP) y el indicador N05: Porcentaje de inversin para cubrir los costos en TI(PIATI); se puede concluir que la Oficina de Tecnologas de Informacin (OTI) s alinea la gestin de la red con las metas de la universidad, al existir un proceso definido de manejo de interrupciones, donde se resalta el uso de una bitcora y el escalamiento de incidentes; y, tambin, al destinar parte de su presupuesto para cubrir los costos en TI; no obstante se han encontrado ciertas deficiencias que deben mejorarse, destacando la necesidad de hacer un seguimiento detallado de los incidentes ms frecuentes registrados; y la necesidad de destinar una mayor parte del presupuesto para invertir en la modernizacin de los equipos que forman parte de la infraestructura de la red. De acuerdo a los resultados obtenidos en el indicador N02: Porcentaje de incidentes de red resueltos en un tiempo ptimo (PIR), el indicador N07: Nmero de controles fsicos para garantizar la continuidad del servicio (NCF) y el indicador N08: Nmero de controles lgicos para garantizar la continuidad del servicio (NCL) se concluye que OTI s reporta los controles y mide el desempeo de la gestin de la red, mediante el uso de una bitcora de incidentes donde se consignan datos como la persona responsable, la subrea que atendi, el rea que solicit la atencin y el tiempo de atencin, Auditora Gestin en Redes- OTI-Piura 210 Burgos & Namuche
sin embargo, existen deficiencias como es el caso de los problemas con los anexos (telfonos IP), que, pese a ser uno de los ms frecuentes es uno de los que lleva ms tiempo en resolverse (10.98 h) a pesar que el tiempo ptimo se estima en media jornada de trabajo (5.5 h); adems algunos controles (fsicos y lgicos) necesitan mejorar para brindar mayor seguridad a los activos de informacin(tal como se detall en la conclusin 1). De acuerdo a los resultados obtenidos en el indicador N01: Nmero de procesos crticos de negocio no incluidos en un plan de contingencia (NPC) y el indicador N09: Nivel de madurez de la gestin de redes de la OTI (NMGR) se concluye que OTI s aplica algunas prcticas de gestin de TI recomendadas por los estndares de buenas prcticas, como es el caso de COBIT, porque, el rea cuenta un plan de contingencia y, adems se ubica en un nivel intermedio entre el nivel 2 REPETIBLE y un nivel 3 DEFINIDO, pues OTI utiliza procesos que, en su mayora son empricos y que no estn documentados, pero se ha comprobado que ha establecido algunas prcticas recomendadas por los estndares como el registro de incidentes o el constante monitoreo de la red, y, adems, cuenta con ciertos documentos como su plan de contingencia, mapa topolgico de la red, un instructivo de funciones, etc. los cuales contienen varios aspectos que agregar, corregir y mejorar, como la necesidad de revisar, mejorar, ampliar el plan de contingencia del plan entre otras observaciones comentadas durante el desarrollo de la auditora, los resultados y las tres primeras conclusiones. 6.2. Contrastacin de Hiptesis Habiendo establecido la hiptesis La aplicacin de una auditora basada en COBIT permitir determinar el nivel de madurez de la gestin de redes, comunicaciones y servidores aplicada por la Oficina de Tecnologas de Informacin (OTI) a la red de la Universidad Csar Vallejo Piura, se ha obtenido un nivel de madurez intermedio entre el 2 REPETIBLE y el nivel 3 DEFINIDO, resultado que ha sido con los hallazgos encontrados en cada indicador considerado, junto con las
recomendaciones expuestas para mejorar la situacin actual, es posible afirmar que la hiptesis se PRUEBA TOTALMENTE, 6.3. Recomendaciones Para los hallazgos de auditora del indicador N04: Nmero de controles aplicados a terceros (NCT), el indicador N06: Nmero promedio de veces por mes que se ha realizado mantenimiento a la red (NMR), el indicador Auditora Gestin en Redes- OTI-Piura 211 Burgos & Namuche
N07: Nmero de controles fsicos para garantizar la continuidad del servicio (NCF)y el indicador N08: Nmero de controles lgicos para garantizar la continuidad del servicio (NCL), se recomienda que OTI, en primer lugar, cuente con un sistema informtico de gestin de documentos (Proyecto N04 Anexo 20) que le permita manejar una copia de los documentos mercantiles para realizar un control de terceros que vaya ms all del punto de vista tcnico; adems, el rea debe incidir en realizar tareas de mantenimiento preventivo (Proyecto N06 Anexo 22) en el transcurso del ao 2012; por ltimo, se recomienda que OTI mejore tanto sus controles lgicos como fsicos mediante la implementacin de un plan de acceso al datacenter mediante la implementacin de un plan de mejoramiento de la seguridad de acceso (Proyecto N07 Anexo 23) y, tambin, con la creacin de nuevas polticas de seguridad (Proyecto N08 Anexo 24) que regulen el acceso a carpetas compartidas. Para los hallazgos de auditora del indicador N03: Nmero promedio de horas perdidas por usuario al mes, debido a interrupciones de red (NHP) y el indicador N05: Porcentaje de inversin para cubrir los costos en TI(PIATI), se recomienda que OTI revise las interrupciones ms frecuentes y organice un plan de monitoreo y mejora (Proyecto N02 Anexo 18); adems, OTI debe realizar un plan de actualizacin de equipos para modernizar la infraestructura de red de la universidad y elevar los niveles de seguridad (Proyecto N05 Anexo 23), todo esto para corregir estas deficiencias y mejorar el servicio para respaldar los objetivos y metas de la universidad. Para los hallazgos de auditora del indicador N02: Porcentaje de incidentes de red resueltos en un tiempo ptimo (PIR), el indicador N07: Nmero de controles fsicos para garantizar la continuidad del servicio (NCF) y el indicador N08: Nmero de controles lgicos para garantizar la continuidad del servicio (NCL), se recomienda que OTI automatice la gestin de incidentes mediante la ayuda de un sistema informtico, el cual no slo le permitir registrar sino realizar un anlisis de incidentes a partir de los registros histricos (Proyecto N03 Anexo 19), lo cual ayudar a mejorar, tambin las medidas de control interno para la red de la universidad. Para los hallazgos de auditora del indicador N01: Nmero de procesos crticos de negocio no incluidos en un plan de contingencia (NPC) y el indicador N09: Nivel de madurez de la gestin de redes de la OTI Auditora Gestin en Redes- OTI-Piura 212 Burgos & Namuche
(NMGR), se recomienda que OTI realice una revisin y mejora de la propuesta de plan de contingencia con el que cuenta para obtener un documento formal y que pueda aplicarse. (Proyecto N01 Anexo 17); adems, OTI debe aspirar a un nivel de madurez ADMINISTRADO en el cual los procesos estn en constante mejora y se aplican buenas prcticas con las cuales se disminuye el nivel de riesgo, aumentando, al mismo tiempo, el nivel de madurez.
213
Burgos & Namuche
CAPTULO VII
REFERENCIAS BIBLIOGRFICAS
214
Burgos & Namuche
ALFARO Paredes, Emigdio Antonio. (2008). Metodologa para la Auditora Integral de la Gestin de la Tecnologa de Informacin. Recuperado el 15 de abril del 2011: http://tesis.pucp.edu.pe/repositorio/bitstream/handle/123456789/1048/ALFARO_ PAREDES_EMIGDIO_AUDITORIA_GESTION_TECNOLOGIA_INFORMACION. pdf?sequence=1 LVAREZ Amat. Gestipolis (2006). El control interno en la economa empresarial. Recuperado el 15 de junio del 2011: http://www.gestiopolis.com/recursos6/Docs/Eco/contrinter.htm. reas funcionales de gestin (1998). Recuperado el 15 de junio del 2011: http://www.edicionsupc.es/ftppublic/pdfmostra/TL01304M.pdf. Auditora. Recuperado el 15 de junio del 2011: http://www.google.com/url?sa=t&source=web&cd=1&ved=0CBcQFjAA&url=http %3A%2F%2Fwww.itescam.edu.mx%2Fprincipal%2Fsylabus%2Ffpdb%2Frecurs os%2Fr29412.PPT&rct=j&q=Es%20el%20conjunto%20de%20t%C3%A9cnicas% 2C%20actividades%20y%20procedimientos%2C%20destinados%20a%20analiz ar%2C%20evaluar%2C%20verificar%20y%20recomendar%20en%20asuntos%2 0relativos%20a%20la%20planificaci%C3%B3n%2C&ei=OKz7Ta6tJcbw0gG6qYy eAw&usg=AFQjCNECy8yibkMJSsyC30lt8-hS1aycYQ&cad=rja http://www.ctmsoftware.es/wp/servicios-2/auditoria-informatica/. BASALDA lvarez, Luis Daniel (2005). Seguridad en Informtica. Recuperado el 15 de abril del 2011: http:5//www.bib.uia.mx/tesis/pdf/014663/014663.pdf BRAVO Cervantes, Miguel (1995). Auditora del Sistema Informtico. (1 Ed.). Edit. Manuel Chahu. Per. CABRERO Garca, J. & Richart Martnez, M. (2011). Diseo de la Investigacin. Recuperado el 23 de junio del 2011: http://www.aniorte-nic.net/apunt_metod_investigac4_4.htm. Comit Ejecutivo de COBIT &Information Systems Audit and Control Information (1998). [version electrnica]. COBIT. Directrices de Auditora
215
Burgos & Namuche
ECHENIQUE Garca, Jos (2001). Auditora en Informtica. (2. Ed). McGraw Hill. Mxico FABBRI, Mara Soledad. Las tcnicas de observacin: la observacin. Recuperado el 15 de junio del 2011: http://www.fhumyar.unr.edu.ar/escuelas/3/materiales%20de%20catedras/trabajo %20de%20campo/solefabri1.htm GARIBALDI, J. & Mahdi, A.E. IEEE (1998). Gestin de Red Proactiva usando Minera de Datos. Recuperado el 15 de junio del 2011: http://tonet.0catch.com/doc/datamine1.pdf GMEZ, G. Gestipolis. (2001). Control Interno. Una responsabilidad de todos los integrantes de la organizacin empresarial. Recuperado el 16 de junio del 2011: http://www.gestiopolis.com/canales/financiera/articulos/no11/controlinterno.htm. HERNANDO Roberto (2001). Gestin de red. Recuperado el 14 de junio del 2011: http://www.rhernando.net/modules/tutorials/doc/redes/Gredes.html ISO/IEC. (2005). [versin electrnica]. Estndar Internacional 27001. ISO/IEC. (2005). [versin electrnica]. Estndar Internacional 27002. IT Governance Institute. (2007). [versin electrnica]. COBIT 4.1. IT Governance Institute (2008). [versin electrnica]. Alineando COBIT, ITIL V3 e ISO/IEC 27002 en beneficio del negocio. Un reporte para gestin del ITGI y la OGC. Los Nuevos Conceptos de Control Interno. Recuperado el 17 de junio del 2011: http://www.auditoria.uady.mx/arts/INFORME COSO (RESUMEN).pdf MATUTE Macas, Mara del Carmen & QUISPE Cando (2006), Trnsito del Rosario. Auditora de la Gestin de Seguridad en la Red de Datos del Swisstel basada en COBIT. Recuperado el 15 de abril del 2011: http://biblioteca.epn.edu.ec/catalogo/fulltext/CD-0049.pdf
216
Burgos & Namuche
MAKAR, Carmina. (2006).Gua de Observacin. Recuperado el 15 de junio: http://mail.udgvirtual.udg.mx/biblioteca/bitstream/20050101/1290/1/Guia_de_obs ervaci%C3%B3n.pdf MAYOL Arnao, Reinaldo N (2006). Modelo para la Auditora de la Seguridad Informtica en la Red de Datos de la Universidad de los Andes. Recuperado el 16 de abril del 2011: http://tesis.ula.ve/postgrado/tde_busca/arquivo.php?codArquivo=114 MEJA Herrera, Luis Fernando. (2009). Qu es Gestin y monitoreo de red. Recuperado el 14 de junio del 2011: http://servidorespararedes.blogspot.com/2009/01/que-es-aplicaciones-web.html MENDOZA, M & Toledo, A. (2010). Gestin de Redes de Telecomunicaciones. Recuperado el 14 de junio del 2011: http://www.slideboom.com/presentations/84669/Gesti%C3%B3n-de-Redes-deTelecomunicaciones. MUOZ Alemn, Jonathan. Auditora de Redes. Recuperado el 18 de junio del 2011: http://www.slideshare.net/GeekMelomano/auditora-de-redes. MIRANDA Guevara, E. Auditora de Redes. Recuperado el 18 de junio del 2011: http://www.slideshare.net/GeekMelomano/auditora-de-redes MORALES Lizarazo. E. La Recoleccin de Datos. Recuperado el 23 de junio del 2011: http://www.slideshare.net/edimor72/la-recoleccin-de-datos-1384547 OROZCO P. (2010). Gestin y Organizacin de Sistemas y Redes de Comunicaciones en el Departamento de T.I. Recuperado el 16 de junio del 2011: http://www.slideshare.net/pakus/gestion-de-red PIATTINI Velthuis, Mario (2008). Auditora de Tecnologas y Sistemas de
Informacin. (1 Ed.). Alfaomega Grupo Editor SA, Mxico DF. PIATTINI Velthuis, Mario (2001). Auditora Informtica: Un Enfoque Prctico (2 Ed.). Alfaomega Grupo Editor SA, Bogot, Colombia QUIROZ, Vctor. Fichas Bibliogrficas. Recuperado el 20 de junio del 2011: http://es.scribd.com/doc/44263841/FICHAS-BIBLIOGRAFICAS
217
Burgos & Namuche
Resumen de Caractersticas COBIT. (2010). Recuperado el 28 de junio del 2011: http://www.buenastareas.com/ensayos/Resumen-De-CaracteristicasCobit/382208.html. REUERO, Eusebio (2010). Revisin Bibliogrfica. Recuperado el 28 de junio del 2011: http://wwff.thespacer.net/blog/revision-bibliografica/ RIEGA Reto, Marco Antonio (2010). Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I en la UCV-Piura. SNCHEZ Gmez, A. R. (2005). Fundamentos tericos de auditora vinculados a temas de calidad. Recuperado el 17 de junio del 2011: http://www.gestiopolis.com/canales5/fin/funteadu.htm Tech, V. Introduccin a Internet y las redes. (2001). Recuperado el 16 de junio del 2011: http://www.mailxmail.com/curso-introduccion-internet-redes/que-es-red Tcnicas de Investigacin Social- Concepto de poblacin y muestra. Recuperado el 20 de julio del 2011: http://www.edukanda.es/mediatecaweb/data/zip/940/page_07.htm UGEL Garrido, E. Tcnicas de Recoleccin de Datos. Recuperado el 23 de junio del 2011: http://www.ucla.edu.ve/dmedicin/departamentos/medicinapreventivasocial/SEB/i nvestigacion/recoleccion.pdf Universidad de Len. (2004). Auditora Informtica. Recuperado el 07 de junio del 2011: http://www.oocities.org/mx/alexbg_udl/AuditoriaInformatica.pdf. VALENCIA del Toro, J. Generacin de publicaciones creativas segn el estilo APA. [versin electrnica]. Adoptando los modelos de control interno COSO y COBIT. VELAZQUEZ Friederichsen, E (2008). ITIL vs COBIT. Recuperado el 17 de junio del 2011: http://www.sg.com.mx/content/view/720/99999999/ VILLENA Aguilar, Moiss Antonio (2006). Sistema de Gestin de Seguridad de Informacin para una Institucin Financiera. Recuperado el 18 de abril del 2011:
218
Burgos & Namuche
http://tesis.pucp.edu.pe/repositorio/bitstream/handle/123456789/362/VILLENA_M OIS%C3%89S_SISTEMA_DE%20GESTI%C3%93N_DE_SEGURIDAD_DE_INF ORMACI%C3%93N_PARA_UNA_INSTITUCI%C3%93N_FINANCIERA.pdf?seq uence=1 VICENTE, C. Universidad de Oregn. Introduccin a la Gestin de Redes. Recuperado el 15 de junio del 2011: http://lacnic.net/documentos/lacnicx/Intro_Gestion_Redes.pdf
219
Burgos & Namuche
ANEXOS
220
Burgos & Namuche
ANEXO 1
CUADRO DE CONSISTENCIA DEL PROYECTO
Ttulo del Proyecto Localidad o institucin donde se realiza la investigacin Pregunta General Preguntas de Investigacin
Evaluacin de la Gestin en Redes, Comunicaciones y Servidores en la Oficina de Tecnologas de Informacin de la Universidad Csar Vallejo Piura mediante la aplicacin de una Auditora Informtica basada en COBIT. Universidad Csar Vallejo S.A.C Filial Piura De qu manera la aplicacin de una auditoria informtica basada en COBIT permitir la evaluacin de la gestin en redes, comunicaciones y servidores en la Universidad Csar Vallejo Piura? En qu momentos y circunstancias la Oficina de Tecnologas de Informacin aplica controles internos a la red de la universidad? De qu manera la Oficina de Tecnologas de Informacin alinea la gestin de la red con las metas de la universidad? En qu momento la Oficina de Tecnologas de Informacin reporta los riesgos, el control, el cumplimiento y el desempeo de la gestin de la red de la universidad? De qu manera la Oficina de Tecnologas de Informacin basa su gestin de la red de la universidad con el cumplimiento de un estndar de buenas prcticas como COBIT? Evaluar de la gestin en redes, comunicaciones y servidores en la Universidad Csar Vallejo Piura Evaluar la efectividad de la aplicacin de controles internos a la red de la universidad. Evaluar el alineamiento de la gestin de redes con las metas de la universidad. Analizar el riesgo inherente a la gestin de la red de la universidad. Determinar el nivel de madurez de la gestin de la red de la universidad de acuerdo a COBIT. La aplicacin de una auditora basada en COBIT permitir determinar el nivel de madurez de la gestin de redes, comunicaciones y servidores aplicada por la Oficina de Tecnologas de Informacin (OTI) a la red de la Universidad Csar Vallejo Piura. Variable Independiente: Auditora informtica Variable Dependiente: La gestin en redes, comunicaciones y servidores de la Oficina de Tecnologas de Informacin de la UCV Piura. Variable Interviniente: Marco de trabajo COBIT . 1. Nmero de procesos crticos de negocio no incluidos en un plan de contingencia. (NPC) 2. Porcentaje de incidentes de red resueltos en el tiempo acordado (PIR) 3. Nmero de horas perdidas por usuario al mes, debido a interrupciones a la red. (NHP)
Objetivo General Objetivos Especficos
Hiptesis
Variables e Indicadores
Indicadores
221
Burgos & Namuche
Tcnicas e Instrumentos (Los nmeros enumeran los indicadores, la primera columna seala las tcnicas y la segunda, los instrumentos)
Tipo de Estudio
Diseo del Estudio Poblacin y Muestra
4. Nmero de controles aplicados a servicios de terceros. (NCT) 5. Porcentaje de inversin en actualizacin de TI (PIATI) 6. Nmero de veces por ao que se ha realizado mantenimiento a la red.(NMR) 7. Nmero de controles fsicos para garantizar la continuidad del servicio (NCF) 8. Nmero de controles lgicos para garantizar la continuidad del servicio (NCL) 9. Nivel de madurez de la gestin de redes de la OTI (NMGR) 1. Entrevista, Revisin Bibliogrfica Gua de Entrevista 02, Fichas Bibliogrficas 2. Entrevista, Revisin Bibliogrfica Gua de Entrevista 03, Fichas Bibliogrficas 3. Entrevista, Revisin Bibliogrfica Gua de Entrevista 03, Fichas Bibliogrficas 4. Entrevista Gua de Entrevista 07 5. Revisin Bibliogrfica Fichas Bibliogrficas 6. Entrevista, Observacin Gua de Entrevista 04, Gua de Observacin 01 7. Entrevista, Observacin Gua de Entrevista 05, Gua de Observacin 02 8. Entrevista, Observacin Gua de Entrevista 06, Gua de Observacin 03 9. Encuestas Cuestionario 01, Cuestionario 02, Cuestionario 03, Cuestionario 04 Paradigma: Cuantitativo Funcin: Aplicada Tipo: Cuasi-experimental Se toma un solo grupo al que se le aplicar el pre-test y el post-test (modelo de marco lgico) La muestra se considera igual a la poblacin (el grupo de estudio es muy pequeo) quienes lo conforman son el personal que labora en la OTI de la UCV- Piura.
222
Burgos & Namuche
ANEXO 2 ENCUESTA: DOCUMENTACIN MANEJADA POR LA OFICINA DE TECNOLOGAS DE LA INFORMACIN (OTI) DE LA UCV - PIURA
223
Burgos & Namuche
224
Burgos & Namuche
ANEXO 3 SOLICITUD 01: FACILIDADES PARA REVISAR DOCUMENTACIN
225
Burgos & Namuche
ANEXO 4 SOLICITUD 02: FACILIDADES PARA REVISAR REGISTROS DE INCIDENTES
226
Burgos & Namuche
ANEXO 5 FICHAS BIBLIOGRFICAS
227
Burgos & Namuche
228
Burgos & Namuche
ANEXO 6 GUA DE ENTREVISTA N01: APLICACIN DE POLTICAS Y PROCEDIMIENTOS DE SEGURIDAD EN EL REA DE REDES DE LA OFICINA DE TECNOLOGAS DE INFORMACIN
229
Burgos & Namuche
230
Burgos & Namuche
ANEXO 7 GUA DE ENTREVISTA N02: APLICACIN DE GESTIN DE RIESGOS Y PLAN DE CONTINGENCIA EN EL REA DE REDES DE LA OFICINA DE TECNOLOGAS DE INFORMACIN
231
Burgos & Namuche
232
Burgos & Namuche
233
Burgos & Namuche
ANEXO 8 GUA DE ENTREVISTA N03: EVALUACIN DE LA ATENCIN DE INCIDENTES EN LA RED
234
Burgos & Namuche
ANEXO 9
GUA DE ENTREVISTA N04: MANTENIMIENTO A LA RED DE LA UNIVERSIDAD
235
Burgos & Namuche
ANEXO 10 GUA DE ENTREVISTA N05: CONTROLES FSICOS IMPLEMENTADOS EN LA RED DE LA UNIVERSIDAD
236
Burgos & Namuche
ANEXO 11 GUA DE ENTREVISTA N06: CONTROLES LGICOS IMPLEMENTADOS EN LA RED DE LA UNIVERSIDAD
237
Burgos & Namuche
ANEXO 12 GUA DE ENTREVISTA N07: EVALUACIN DE CONTROLES APLICADOS A TERCEROS
238
Burgos & Namuche
ANEXO 13
CUESTIONARIO N01: GESTIN DE RIESGOS DE RED
239
Burgos & Namuche
ANEXO 14
CUESTIONARIO N02: MANTENIMIENTO DE LA RED
240
Burgos & Namuche
ANEXO 15
CUESTIONARIO N03: CUESTIONARIO N04: INVERSIN EN TI (REDES)
241
Burgos & Namuche
ANEXO 16
PROYECTO N01 I. DENOMINACIN ELABORACIN DEL PLAN DE CONTINGENCIA PARA LA OFICINA DE TECNOLOGAS DE INFORMACIN II. RESPONSABLES Jefe de la Oficina de Tecnologas de Informacin (OTI) Representantes de las tres subreas de OTI: Subrea de Desarrollo, subrea de soporte tcnico y subrea de redes y comunicaciones. III. FUNDAMENTACIN Actualmente la Oficina de Tecnologas de Informacin cuenta con una propuesta para plan de contingencia producto de una tesis de pregrado desarrollada en el 2010, no obstante no es un documento formal que ha sido revisado y aceptado por el toda el rea, aprobado tanto por el jefe de la OTI como por las autoridades de la Universidad. Este es el motivo por el cual es necesaria una revisin de la propuesta de plan de contingencia para la correccin del documento, su ampliacin y su aceptacin final. IV. OBJETIVOS a) General Obtener un documento formal de plan de contingencia revisado, ampliado y aceptado por la Oficina de Tecnologas de Informacin (OTI) b) Especficos Revisar el documento de propuesta de plan de contingencia para corregirlo y ampliarlo. Revisar y aprobar la metodologa de gestin de riesgos propuesta Contar con un plan de contingencia que contenga las medidas de contingencia antes, durante y despus de un suceso y que involucre las tres subreas de la OTI Auditora Gestin en Redes- OTI-Piura 242 Burgos & Namuche
V.
DESCRIPCIN Con el objetivo de obtener un documento que refleje la gestin de riesgos del rea, se propone este proyecto de revisin y aprobacin de la propuesta de plan de contingencia con la que cuenta la Oficina de Tecnologas de Informacin. Esta propuesta fue un trabajo de tesis de pregrado desarrollado en el 2010, el cual propone un conjunto de acciones de contingencia para mitigar riesgos usando una metodologa del INEI. Este trabajo debe ser revisado y ampliado debido a un conjunto de carencias que deben tenerse en cuenta, y que han sido detectadas durante la realizacin de la auditora informtica en el 2011 entre los que destacan. Revisin de los procesos crticos de la universidad e inclusin, en el plan, de los procesos que no se estn considerando. Documentacin de los procedimientos crticos de las subreas de soporte y redes, que no estn considerados. Actualizacin del orden de atencin de reas por prioridad, en la auditora se encontr que el orden (propuesto por el documento) difera del criterio tomado en la prctica. Una vez revisado y ampliado estos aspectos, el documento debe ser aprobado por las subreas, luego, por el jefe de la OTI y, por ltimo por las autoridades de la universidad.
VI.
METAS Documentar los 10 procedimientos crticos aplicados al rea de redes y telecomunicaciones Considerar este proyecto en el plan operativo del 2012. Aprobar el plan de contingencia definitivo en el transcurso del 2012
VII.
DURACIN La fecha de inicio y finalizacin deben ser establecidos a criterio de la Oficina de Tecnologas de Informacin de acuerdo al plan operativo establecido.
VIII.
ORGANIZACIN
243
Burgos & Namuche
Conformacin de una comisin revisora de la propuesta de plan de contingencia. Planificacin de las tareas y actividades Reuniones de la comisin para la revisin de la propuesta Aprobacin de la propuesta junto a las mejoras acordadas Redaccin de un documento formal de plan de contingencia Aprobacin del documento por parte de las tres subreas, el jefe de OTI y las autoridades de la universidad Capacitacin al personal de OTI de las medidas de contingencia consideradas en el plan definitivo. IX. PRESUPUESTO El presupuesto lo determinar la jefatura de la OTI en conjunto con las tres subreas. X. FUENTE DE FINANCIAMIENTO La fuente de financiamiento proviene del presupuesto anual asignado a OTI.
244
Burgos & Namuche
ANEXO 17
PROYECTO N02 I. DENOMINACIN PLAN DE MONITOREO Y MEJORA DEL SERVICIO DE LA RED DE LA
UNIVERSIDAD CSAR VALLEJO - PIURA II. RESPONSABLES III. Jefe de la Oficina de Tecnologas de Informacin (OTI) Jefe de la Subrea de Redes y Comunicaciones (Administrador de la Red)
FUNDAMENTACIN Producto de la auditora informtica a redes comunicaciones y servidores que se realiz en la Universidad Csar Vallejo Piura se encontraron incidentes en la red de la universidad que ya alcanzan el rango de problemas por su alta frecuencia (Auditora Informtica a la OTI basada COBIT, 2011) los cuales deben mitigarse para mejorar la disponibilidad del servicio de la red de la universidad.
IV.
OBJETIVOS a) General Elaborar un plan de monitoreo y mejora del servicio de la red de la Universidad Csar Vallejo para perfeccionar la calidad de la disponibilidad de servicio de la red del campus. b) Especficos Establecer un procedimiento de anlisis de incidentes para establecer tendencias por ocurrencia de incidentes. Contar con medidas especficas de mejora para cada incidente o interrupcin frecuente en la red. Establecer un procedimiento constante de incidentes ms comunes de la red y que pueden ser potencialmente peligrosos.
V.
DESCRIPCIN
245
Burgos & Namuche
Con el objetivo de mejorar la calidad del servicio de la red de la universidad, se ha visto necesario la creacin de un plan de monitoreo y mejora el cual debe considerar dos aspectos fundamentales. Mitigar el impacto de los incidentes ms frecuentes identificados(mejora del servicio) en la auditora informtica basada en COBIT realizada el 2011. Establecer un plan de monitoreo para identificar incidentes ms o menos frecuentes, mediante revisiones de los registros de bitcora en conjunto con el monitoreo constante a la red. VI. METAS Analizar y mitigar los dos incidentes ms frecuentes identificados durante la ltima auditora informtica (falta de conexin de internet y problemas con los anexos) Considerar este proyecto en el plan operativo del 2012. VII. DURACIN La fecha de inicio y finalizacin deben ser establecidos a criterio de la Oficina de Tecnologas de Informacin de acuerdo al plan operativo establecido. VIII. ORGANIZACIN Conformacin de una comisin para la elaboracin del plan de mantenimiento y mejora Revisin del informe de auditora (auditora informtica 2011) Revisin de la bitcora de atenciones del rea Determinar medidas para mejorar el servicio teniendo en cuenta los incidentes ms frecuentes. Definir un plan de monitoreo de los incidentes ms frecuentes identificados Determinar un equipo para que realice las tareas de monitoreo y mejora Realizacin de reuniones peridicas para revisar los resultados. IX. PRESUPUESTO 246 Burgos & Namuche
El presupuesto lo determinar la jefatura de la OTI en conjunto con las tres subreas. X. FUENTE DE FINANCIAMIENTO La fuente de financiamiento proviene del presupuesto anual asignado a OTI.
247
Burgos & Namuche
ANEXO 18
PROYECTO N03 I. DENOMINACIN SISTEMA DE INFORMACIN PARA LA GESTIN DE INCIDENTES DE TI PARA LA OFICINA DE TECNOLOGAS DE INFORMACIN II. RESPONSABLES III. Jefe de la Oficina de Tecnologas de Informacin (OTI) Subrea de Desarrollo de Sistemas
FUNDAMENTACIN Producto de la auditora informtica a redes comunicaciones y servidores que se realiz a la Oficina de Tecnologas de Informacin (OTI) de la Universidad Csar Vallejo Piura se encontr que el rea realiza el registro de incidentes de manera manual usando planillas de Excel, registros que, luego, son almacenados sin que se realice un anlisis posterior de los incidentes lo que podra servir para construir una base de conocimientos de incidentes ms comunes registrados, por tal motivo se propone la creacin de un sistema informtico para automatizar el proceso de anlisis y gestin de incidentes facilitando las tareas a las personas que laboran en la OTI.
IV.
OBJETIVOS a) General Elaborar un sistema informtico que permita automatizar la gestin de incidentes b) Especficos Elaborar un sistema informtico que permita registrar los incidentes de TI. Elaborar un sistema informtico que permita reportar los incidentes de TI e imprimir estos reportes. Elaborar un sistema informtico que permita realizar un anlisis de tendencia de los incidentes registrados.
248
Burgos & Namuche
V.
DESCRIPCIN Con el objetivo de mejorar la gestin de incidentes de la OTI, se propone el desarrollo de un sistema informtico el cual permitir lo siguiente: Registrar los incidentes considerando: Denominacin estndar de incidente, rea que solicita atencin, responsable que solucin el incidente, subrea que atendi el incidente, hora de llamada al help-desk, duracin de solucin de incidente. Reportar los incidentes atendidos por fechas, por personas (que atendieron los incidentes) o por subreas. Clasificar los incidentes por frecuencia de ocurrencia
VI.
METAS Generar por lo menos cuatro tipos de reportes: Reporte por subrea, reporte por fechas, reporte por persona y reporte por frecuencia de ocurrencia. Considerar este proyecto en el plan operativo del 2012.
VII.
DURACIN La fecha de inicio y finalizacin deben ser establecidos a criterio de la Oficina de Tecnologas de Informacin de acuerdo al plan operativo establecido.
VIII.
ORGANIZACIN Conformacin de un equipo de desarrollo para el desarrollo del proyecto Estudiar los tipos de incidentes registrados en la bitcora de atenciones de OTI Definir una denominacin estndar para los incidentes registrados. Toma de requerimientos para el proyecto. Establecer roles dentro del equipo de desarrollo. Creacin de la base de datos y el diagrama de clases Codificacin y pruebas
249
Burgos & Namuche
Integracin y presentacin del software Capacitacin del manejo del software a todos los trabajadores del rea. IX. PRESUPUESTO El presupuesto lo determinar la jefatura de la OTI en conjunto con la subrea de desarrollo X. FUENTE DE FINANCIAMIENTO La fuente de financiamiento proviene del presupuesto anual asignado a OTI.
250
Burgos & Namuche
ANEXO 19
PROYECTO N04 I. DENOMINACIN SISTEMA INFORMTICO PARA LA GESTIN DE DOCUMENTOS
COMERCIALES II. RESPONSABLES III. Jefe de la Oficina de Tecnologas de Informacin (OTI) Subrea de Desarrollo de Sistemas
FUNDAMENTACIN Producto de la auditora informtica a redes comunicaciones y servidores que se realiz a la Oficina de Tecnologas de Informacin (OTI) de la Universidad Csar Vallejo Piura se encontr que el rea no maneja una copia de los documentos mercantiles (facturas, boletas, rdenes de compra) que maneja el rea de Logstica con los cuales realiza un control a los proveedores de equipos de redes y comunicaciones, de acuerdo a las recomendaciones emitidas en la ltima auditora informtica (2011), es necesario que la OTI cuente con una copia de estos documentos para controlar ms de cerca el proceso de compra y venta de equipos y que, adems estos documentos sean gestionados mediante un sistema informtico
IV.
OBJETIVOS a) General Elaborar un sistema informtico que permita gestionar documentos comerciales. b) Especficos Desarrollar un sistema informtico que permita archivar documentos mercantiles tales como: facturas, rdenes de compra, cotizaciones Desarrollar un sistema informtico que permita realizar seguimiento a los documentos archivados
251
Burgos & Namuche
Desarrollar un sistema informtico que permita el trabajo conjunto entre OTI y el rea de Logstica en materia de control de terceros (proveedores de equipos y servicios de TI). V. DESCRIPCIN Con el objetivo de mejorar el control a terceros, se propone crear un sistema de gestin de documentos que le permitir a OTI y a Logstica poder trabajar en conjunto con el control a terceros en lo que respecta a TI. Dicho sistema permitir: Archivar documentos mercantiles (archivos escaneados) Filtrar documentos mercantiles por tipo de documento (facturas, rdenes de compra, cotizaciones, contratos) Rastrear un documento determinado para verificar si el proveedor cumple con las condiciones del contrato. VI. METAS Aumentar el grado de participacin de OTI (control de terceros de TI) en un 50% Considerar este proyecto en el plan operativo del 2012. VII. DURACIN La fecha de inicio y finalizacin deben ser establecidos a criterio de la Oficina de Tecnologas de Informacin de acuerdo al plan operativo establecido. VIII. ORGANIZACIN Conformacin de un equipo de desarrollo para el desarrollo del proyecto Presentacin formal de la propuesta al rea Logstica Coordinar con el rea de Logstica para definir el alcance del proyecto. Toma de requerimientos para el proyecto. Establecer roles dentro del equipo de desarrollo. Creacin de la base de datos y el diagrama de clases Codificacin y pruebas Auditora Gestin en Redes- OTI-Piura 252 Burgos & Namuche
Integracin y presentacin del software Capacitacin del manejo del software al rea de Logstica y a la asistente de OTI IX. PRESUPUESTO El presupuesto lo determinar la jefatura de la OTI en conjunto con la subrea de desarrollo y el rea de Logstica X. FUENTE DE FINANCIAMIENTO La fuente de financiamiento proviene del presupuesto anual asignado a OTI.
253
Burgos & Namuche
ANEXO 20
PROYECTO N05 I. DENOMINACIN PLAN PIURA II. RESPONSABLES III. Jefe de la Oficina de Tecnologas de Informacin (OTI) Subrea de Redes y Comunicaciones DE ACTUALIZACIN DE EQUIPOS QUE FORMAN LA
INFRAESTRUCTURA DE LA RED DE LA UNIVERSIDAD CSAR VALLEJO -
FUNDAMENTACIN Producto de la auditora informtica a redes comunicaciones y servidores que se realiz a la Oficina de Tecnologas de Informacin (OTI) de la Universidad Csar Vallejo Piura se encontr que el rea no ha invertido en actualizar algunos equipos de redes y comunicaciones, por lo que se detect la necesidad de crear un plan de actualizacin para aumentar la inversin en equipos de comunicacin.
IV.
OBJETIVOS a) General Elaborar un plan de actualizacin de equipos que conforman la infraestructura de red de la universidad. b) Especficos Renovar los equipos de comunicaciones ms antiguos Mejorar el servicio de TI de la universidad
V.
DESCRIPCIN Con el objetivo de actualizar los equipos de redes y comunicaciones se plantea la creacin de un plan de mejora en el cual se evaluarn los equipos teniendo en cuenta dos criterios: Equipos que por su antigedad requieren su reemplazo inmediato para prevenir fallas futuras.
254
Burgos & Namuche
Equipos que, se cree conveniente, reemplazarlos por otros que ofrecen mayores prestaciones que los existentes. VI. METAS Considerar este proyecto en el plan operativo del 2012. Reemplazar, por lo menos el 25% de equipos (de red) antiguos Cumplir con los objetivos del plan al finalizar el 2012 VII. DURACIN La fecha de inicio y finalizacin deben ser establecidos a criterio de la Oficina de Tecnologas de Informacin de acuerdo al plan operativo establecido. VIII. ORGANIZACIN Formacin de una comisin para la elaboracin, seguimiento y cumplimiento del plan. Revisin de los equipos de redes y comunicaciones (durante las tareas de mantenimiento de equipos o durante tareas de revisin de equipos) Comunicar al rea de Logstica para coordinar la compra de equipos Formacin de una comisin de OTI para la supervisin de la compra de los equipos. Instalacin y configuracin de los equipos instalados. IX. PRESUPUESTO El presupuesto lo determinar la jefatura de la OTI en conjunto con la subrea de redes. X. FUENTE DE FINANCIAMIENTO La fuente de financiamiento proviene del presupuesto anual asignado a OTI.
255
Burgos & Namuche
ANEXO 21
PROYECTO N06 I. DENOMINACIN PLAN DE ACTIVIDADES DE MANTENIMIENTO PREVENTIVO PARA LA RED DE LA UNIVERSIDAD CSAR VALLEJO - PIURA II. RESPONSABLES III. Jefe de la Oficina de Tecnologas de Informacin (OTI) Subrea de Redes y Comunicaciones Subrea de Soporte Tcnico
FUNDAMENTACIN Producto de la auditora informtica a redes comunicaciones y servidores que se realiz a la Oficina de Tecnologas de Informacin (OTI) de la Universidad Csar Vallejo Piura se encontr que las tareas de mantenimiento preventivo son mnimas respecto a las tareas de mantenimiento correctivo, por lo que se pretende mejorar esta situacin mediante la realizacin de un plan que programe las tareas de mantenimiento preventivo durante un ao.
IV.
OBJETIVOS a) General Elaborar un plan de actividades de mantenimiento preventivo para la red de la Universidad Csar Vallejo b) Especficos Elaborar un cronograma de actividades de mantenimiento preventivo para un ao. Encontrar equipos que necesitan ser reemplazados. Definir medidas para mitigar el riesgo existente en las tareas de mantenimiento.
V.
DESCRIPCIN
256
Burgos & Namuche
Con el objetivo de prevenir errores futuros es conveniente darle prioridad a tareas de mantenimiento preventivo, dichas actividades se plasmarn en un plan que permitir organizar esas tareas en un cronograma de actividades a realizarse en un ao. Para cada actividad debe indicarse el o los responsables, el tipo de tarea, los equipos que se les darn mantenimiento y duracin de la tarea (incluyendo fecha de inicio y fecha de finalizacin). Las tareas de mantenimiento pueden ser de limpieza de equipos, revisin de la configuracin de equipos, cambio de patch en los laboratorios. Otro objetivo de las tareas de mantenimiento es encontrar equipos que pueden ser reemplazados, en este aspecto, se trabajara junto con el plan de actualizacin de equipos (Anexo 21) VI. METAS Considerar este proyecto en el plan operativo del 2012. Realizar un mnimo de cinco tareas de mantenimiento preventivo por ao Cumplir con los objetivos del plan al finalizar el 2012 VII. DURACIN La fecha de inicio y finalizacin deben ser establecidos a criterio de la Oficina de Tecnologas de Informacin de acuerdo al plan operativo establecido. VIII. ORGANIZACIN Formacin de una comisin para la elaboracin, seguimiento y cumplimiento del plan. Elaboracin de un cronograma de actividades de mantenimiento preventivo Definir roles y responsabilidades IX. PRESUPUESTO El presupuesto lo determinar la jefatura de la OTI en conjunto con lassubreas de redes y soporte X. FUENTE DE FINANCIAMIENTO La fuente de financiamiento proviene del presupuesto anual asignado a OTI. Auditora Gestin en Redes- OTI-Piura 257 Burgos & Namuche
ANEXO 22
PROYECTO N07 I. DENOMINACIN PLAN DE MEJORAMIENTO DE LA SEGURIDAD DE ACCESO AL
DATACENTER DE LA UNIVERSIDAD CSAR VALLEJO - PIURA II. RESPONSABLES III. Jefe de la Oficina de Tecnologas de Informacin (OTI) Subrea de Redes y Comunicaciones
FUNDAMENTACIN Producto de la auditora informtica a redes comunicaciones y servidores que se realiz a la Oficina de Tecnologas de Informacin (OTI) de la Universidad Csar Vallejo Piura se encontr que el datacenter cuenta con controles de seguridad de acceso que no son los adecuados y que pueden ser burlados fcilmente, por tal motivo, es necesaria el mejoramiento de la seguridad de acceso al datacenter ya que en l se guardan los principales activos de la informacin de la universidad.
IV.
OBJETIVOS a) General Elaborar un plan de mejoramiento de la seguridad de acceso al datacenter de la Universidad Csar Vallejo b) Especficos Mejorar las polticas de seguridad en torno al datacenter. Mejorar la infraestructura de seguridad de acceso al datacenter
V.
DESCRIPCIN Con el objetivo de mejorar la seguridad fsica del datacenter, se ve conveniente realizar un plan de mejoramiento de seguridad de acceso que propone lo siguiente. Adquisicin de un equipo de acceso biomtrico al datacenter
258
Burgos & Namuche
Adquisicin de dos cmaras de seguridad, una al exterior y otra al exterior del recinto VI. METAS Considerar este proyecto en el plan operativo del 2012. Adquirir dos cmaras de seguridad Adquirir un equipo bimetrico de acceso. VII. DURACIN La fecha de inicio y finalizacin deben ser establecidos a criterio de la Oficina de Tecnologas de Informacin de acuerdo al plan operativo establecido. VIII. ORGANIZACIN Formacin de una comisin para la elaboracin, seguimiento y cumplimiento del plan. Redaccin de las nuevas polticas de seguridad. Comunicar al rea de Logstica para coordinar la compra de equipos Formacin de una comisin de OTI para la supervisin de la compra de los equipos. Instalacin y configuracin de los equipos instalados Capacitacin y difusin de las nuevas polticas de seguridad de acceso IX. PRESUPUESTO El presupuesto lo determinar la jefatura de la OTI en conjunto con la subrea de redes X. FUENTE DE FINANCIAMIENTO La fuente de financiamiento proviene del presupuesto anual asignado a OTI.
259
Burgos & Namuche
ANEXO 23
PROYECTO N08 I. DENOMINACIN CREACIN DE NUEVAS POLTICAS PARA REGULAR EL ACCESO DE LOS USUARIOS A LAS CARPETAS COMPARTIDAS. II. RESPONSABLES III. Jefe de la Oficina de Tecnologas de Informacin (OTI) Subrea de Redes y Comunicaciones
FUNDAMENTACIN Producto de la auditora informtica a redes comunicaciones y servidores que se realiz a la Oficina de Tecnologas de Informacin (OTI) de la Universidad Csar Vallejo Piura se encontr que los perfiles de usuario de dominio tienen permisos de lectura y escritura en las carpetas compartidas, lo cual expone informacin y recursos sensibles que slo el personal de una determinada rea debe acceder, por tal motivo se propone la creacin y aplicacin de nuevas polticas que permitan regular los permisos de acceso.
IV.
OBJETIVOS a) General Crear un conjunto de nuevas polticas para regular el acceso de los usuarios a las carpetas compartidas. b) Especficos Definir grupos de usuario por cada rea clave de la universidad Definir los permisos y privilegios de cada grupo de usuario Mejorar los controles lgicos de seguridad aplicados en OTI Registrar las nuevas polticas de seguridad en un documento fsico
V.
DESCRIPCIN Las nuevas polticas que deben proponerse se orientan a lo siguiente:
260
Burgos & Namuche
Creacin de grupos por cada rea considerada clave como: Logstica, Contabilidad, OTI, Planificacin, Direccin General, etc. Creacin de polticas de acceso para cada grupo respecto a los recursos manejados por su mismo grupo o por otro. VI. METAS Considerar este proyecto en el plan operativo del 2012. Ejecutar este proyecto y redactar un informe a los tres mese de haber iniciado. VII. DURACIN La fecha de inicio y finalizacin deben ser establecidos a criterio de la Oficina de Tecnologas de Informacin de acuerdo al plan operativo establecido. VIII. ORGANIZACIN Formacin de una comisin para la elaboracin, seguimiento y cumplimiento del plan. Redaccin de las nuevas polticas de seguridad de acceso. Aplicacin de las polticas de seguridad Capacitacin al personal administrativo de la universidad. Monitoreo de las polticas implantadas IX. PRESUPUESTO El presupuesto lo determinar la jefatura de la OTI en conjunto con la subrea de redes. X. FUENTE DE FINANCIAMIENTO La fuente de financiamiento proviene del presupuesto anual asignado a OTI.
261
Burgos & Namuche
ANEXO 24 GUA DE ENTREVISTA N08
262
Burgos & Namuche
ANEXO 25: GUA DE OBSERVACIN N01
263
Burgos & Namuche
264
Burgos & Namuche
ANEXO 26: GUA DE OBSERVACIN N02
265
Burgos & Namuche
266
Burgos & Namuche
ANEXO 27 GUA DE OBSERVACIN N03
267
Burgos & Namuche
ANEXO 28 PRESUPUESTO
RECURSO DESCRIPCIN CANTIDAD 1 millar 5 unidades 5 unidades 2 unidades 2 unidades 10 unidades 1 caja 1 unidades 1 unidad 1 caja 1 caja 1 unidad 1000 unidades 3 Meses 10 unidades 5 unidades 1000 Unidades 2 personas TOTAL PREC. UNIT S/. 22.00 S/. 0.80 S/. 0.50 S/. 2.50 S/. 2.00 S/. 0.50 S/. 0.50 S/. 75.00 S/. 120.00 S/. 2.00 S/. 3.50 S/. 12.00 SUBTOTAL S/. 0.10 S/. 99.00 S/. 5.00 S/. 8.50 S/. 0.10 S/. 150.00 SUBTOTAL SUBTOTAL S/. 22.00 S/. 4.00 S/. 2.50 S/. 5.00 S/. 4.00 S/. 5.00 S/. 0.50 S/. 75.00 S/. 120.00 S/. 2.00 S/. 3.50 S/. 12.00 S/. 255.50 S/. 100.00 S/. 297.00 S/. 50.00 S/. 42.50 S/. 100.00 S/. 300.00 S/. 889.50 S/. 1,145.00
Papel Bond A4 CD ROM Lapiceros Faber Castell Corrector Faber Castell Resaltador MATERIAL Flder Manila A4 DE Clips ESCRITORIO Cartucho de Tinta HP negra Cartucho de Tinta HP a color Grapas Fastener Artesco Perforador Artesco
SERVICIOS
Fotocopias Internet Anillados Empastados Impresiones Transporte
268
Burgos & Namuche
ANEXO 29 CRONOGRAMA DE ACTIVIDADES
269
Burgos & Namuche
ANEXO 30 CONSTANCIA DE DESARROLLO DE TESIS
270
Burgos & Namuche
ANEXO 31 CARTA DE PRESENTACIN DE INFORME DE AUDITORA
271
Burgos & Namuche

Tesis en La Ucv Piura

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tesis en La Ucv Piura

Cargado por

Copyright:

Formatos disponibles

Universidad Csar Vallejo Piura

Escuela de Ingeniera de Sistemas

UNIVERSIDAD CSAR VALLEJO PIURA FACULTAD DE INGENIERA ESCUELA DE INGENIERA DE SISTEMAS

Auditora Gestin en Redes- OTI-Piura

Burgos & Namuche

Universidad Csar Vallejo Piura

Escuela de Ingeniera de Sistemas

TTULO: EVALUACIN DE LA GESTIN EN REDES, COMUNICACIONES Y

AUTORES: BURGOS MERINO, JORGE ARMANDO NAMUCHE CORREA, ADRIN LEONARDO

___________________________ ING. CIP MARIO NIZAMA REYES

____________________________ JURADO 03 Auditora Gestin en Redes- OTI-Piura 2 Burgos & Namuche

Universidad Csar Vallejo Piura

Escuela de Ingeniera de Sistemas

Auditora Gestin en Redes- OTI-Piura

Burgos & Namuche

Universidad Csar Vallejo Piura

Escuela de Ingeniera de Sistemas

Auditora Gestin en Redes- OTI-Piura

Burgos & Namuche

Universidad Csar Vallejo Piura

Escuela de Ingeniera de Sistemas

Seores Miembros del Jurado:

Colocamos en sus manos, el

presente el trabajo de Investigacin, cuyo ttulo es

____________________________ Jorge Armando Burgos Merino DNI: 70482758

______________________________ Adrin Leonardo Namuche Correa DNI: 46042820

Auditora Gestin en Redes- OTI-Piura

Burgos & Namuche

Universidad Csar Vallejo Piura

Escuela de Ingeniera de Sistemas

2.2.1. 2.2.2. 2.3. 2.3.1. 2.3.2. 2.4. 2.5. 2.6.

2.7.1. 2.7.2. 2.7.3. 2.7.4. 2.7.5. 2.7.6. 2.7.7. 2.8.

Marco Conceptual ......................................................................................................... 56 6 Burgos & Namuche

Auditora Gestin en Redes- OTI-Piura

Universidad Csar Vallejo Piura

Escuela de Ingeniera de Sistemas

2.8.1. 2.8.2. 2.8.3. 2.8.4. 2.9. 2.10. 2.10.1.

4.2.1. 4.2.2. 4.2.3. 4.2.4. 4.3.

4.3.1. 4.3.2. 4.3.3.

Universidad Csar Vallejo Piura

Escuela de Ingeniera de Sistemas

5.1. 5.2. 5.3.

Auditora Gestin en Redes- OTI-Piura

Universidad Csar Vallejo Piura

Escuela de Ingeniera de Sistemas

Auditora Gestin en Redes- OTI-Piura

Burgos & Namuche

Universidad Csar Vallejo Piura

Escuela de Ingeniera de Sistemas

Universidad Csar Vallejo Piura

Escuela de Ingeniera de Sistemas

Auditora Gestin en Redes- OTI-Piura

Burgos & Namuche

Universidad Csar Vallejo Piura

Escuela de Ingeniera de Sistemas

Auditora Gestin en Redes- OTI-Piura

Burgos & Namuche

Universidad Csar Vallejo Piura

Escuela de Ingeniera de Sistemas

Auditora Gestin en Redes- OTI-Piura

Burgos & Namuche

Universidad Csar Vallejo Piura

Escuela de Ingeniera de Sistemas

Auditora Gestin en Redes- OTI-Piura