Está en la página 1de 33

TRABAJO FINAL DE AUDITORIA OBSERVACION: Al final de la explosin se presento en el proyector como quedo el DATA CENTER DE PIRAMIDE despus de la auditoria

realizada, el profesor le gusto fuimos el nico grupo que lo hizo

EL PROFESOR NOS DIO +2 ptos extra por que los grupos anteriores ni los posteriores presentaron el trabajo, fuimos el nico grupo en presentar el trabajo en la fecha indicada. Con respecto a las OBSERVCIONES 1. La direccin de informtica y : Me puso de nota 15, las recomendaciones estaban mal redactadas as que en el profe me dijo que no me guiara de lo que se haba impreso (el profesor lee el trabajo mientras se expone) y que diera mis propias recomendaciones, lo hice y al profesor estuvo de acuerdo por que las dije correctamente. Es mi rea entonces no tuve problema en eso; mientras se expone si un compaero se equivoca el profesor pregunta si alguien del grupo puede corregir y/o ayudar al compaero que expone, lo hice y me subi un punto mas; al final obtuve 18 ;) 2. La direccin de sistemas no cuenta con un plan de seguridad : la nota fue 10; pero no porque este mal la observacin si no por que mi amiga se puso nerviosa; el profesor dijo que la exposicin de ese punto no era la misma que el informe en su totalidad, le recomend leer y profundizar mas. Nota final 12 3. El rea de sistemas no cuenta con optimas polticas : la nota fue 14, esta bien hecho, mi amigo Cesar aparte de las recomendaciones realizadas en el informe aumento, mientras expona, sobre la seguridad que ofrece implementar software libre, es su campo, lo hizo muy bien, el profesor le dio 1 pto mas por ayudar a uno de nuestros compaeros, al final obtuvo 17. Bien!! 4. La direccin de informtica de sistemas de ladrillos pirmide, no cuenta con estndares de programacin : Que se puede decir de mi gran amigo Juca este punto no estuvo bien redactado, pero como es un genio, expuso y hablo todo con respecto a la programacin que es su campo, y la seguridad que implicaba toda la parte de la misma, el profesor le puso 14 por lo bien expuesto, pero dijo que todo lo que expuso no estaba en el informe; Juca es un genio. Nota final 16.

Espero haberte ayudado your friend Ronald ;)

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

UNIVERSIDAD INCA GARCILASO DE LA VEGA


FACULTAD DE INGENIERIA DE SISTEMAS, CMPUTO Y TELECOMUNICACIONES

AUDITORIA INFORMATICA

EMPRESA:

CERAMICOS PERUANOS S.A LADRILLOS PIRAMIDES

INTEGRANTES: Carbonel Honor, Juan Carlos Daz Caruhamaca, Ronald Merino Palomino, Stephanny Montoya Quispe, Csar

DOCENTE:

Ing. Rodrguez Sulca, Juan Carlos

CICLO:

2011

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

INDICE

I.

INTRODUCCION 1. Origen del Examen................................................ pg. 03 2. Naturaleza y Objetivo del Examen........................ pg. 03 3. Alcance del Examen.............................................. pg. 03 4. Antecedentes y Base Legal.................................... pg. 04 5. Comunicacin de Hallazgos.................................. pg. 04

II. OBSERVACIONES IV. RECOMENDACIONES V. ANEXOS

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

INFORME DE AUDITORIA I. INTRODUCCION 1. ORIGEN DEL EXAMEN


El Examen Especial sobre la Seguridad Informtica; cableado estructurado, servidores y conectividad del centro de cmputo, es una accin de control programada, que se efecta en mrito a la Directiva N 00142-2011-CP/GSI de fecha 24 de Abril de.2011, emitido por la Gerencia de Control de Sistemas Informticos. A travs del cual se hace de conocimiento la existencia de la accin de control "Verificacin de la Seguridad Informtica en el DataCenter-Cableado estructurado, servidores y conectividad", por lo cual se comunica al Departamento de Auditoria de Sistemas, la programacin de la accin de control, registrndose en el Cronograma de Actividades con el cdigo N 22485-2011-264, del Plan Anual de Control 2011.

2. NATURALEZA Y OBJETIVO DEL EXAMEN


La presente accin de control constituye un Examen Especial sobre la Seguridad Informtica del Datacenter, de la Empresa CERMICOS PERUANNOS S.A., por el periodo comprendido entre el 10 al 20 de Mayo del 2011, teniendo en cuenta los aspectos crticos de la seguridad de la Informacin. Presentar el resultado del examen especial a la seguridad de las tecnologas de informacin que soportan los procesos de la Empresa CERAMICOS PERUANOS S.A., lo cual posibilitar comunicar al titular de la entidad los riesgos detectados con la finalidad de contribuir con la gestin de los recursos tecnolgicos. Los objetivos del Examen Especial son los siguientes: a. Determinar las conexiones a los servidores, el cableado estructurado y la conectividad en el DataCenter, para verificar si se realiz de acuerdo a la normativa vigente y a las Especificaciones tcnicas y de seguridad requeridas. b. Verificar el cableado de data teniendo en consideracin el Estndar TIA/ 568 B de tal manera que se garantice un rendimiento aceptable en la transferencia de informacin. c. Verificar la conectividad del Datacenter teniendo en cuenta el estndar TIA 942. d. Evaluar los servidores (UTM ASTERISK, etc.) para determinar el grado de confiabilidad para la prestacin de los servicios Internet a la red de Ladrillos Pirmides. e. Evaluar los servidores para determinar el grado de confiabilidad para la prestacin de los diversos servicios informticos (correo, base de datos, etc.).

3. ALCANCE DEL EXAMEN


El examen especial se llevo acabo de conformidad con la Directiva N 00142-2011CP/GSI y se efectu del 10 al 20 de Mayo del 2011, comprendiendo la revisin de los documentos que sustentan la seguridad informtica, as como las pruebas necesarias 4

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

para verificar la funcionalidad, operatividad y seguridad informtica de las conexiones de datos, servidores y conectividad en el Datacenter, en concordancia con las especificaciones tcnicas requeridas por el rea usuaria, a fin de determinar que en su elaboracin se haya cubierto todos los puntos necesarios que permitan una correcta y efectiva ejecucin del mismo.

4. ANTECEDENTES Y BASE LEGAL


LADRILLOS PIRMIDE fue creado el 14 de abril de 1970, iniciando sus actividades comerciales el 15 de octubre de 1972. Es una empresa privada con capitales 100% peruanos, iniciando sus actividades hace 38 aos, dedicndose a la fabricacin y comercializacin de ladrillos de arcilla. Cuenta con una planta modelo, en una extensin de 34 hectreas, ubicada en la ex hacienda San Lorenzo, distrito de Carabayllo. CEPERSA participa en el desarrollo nacional; creando puestos de trabajo directos a 422 familias e indirectamente lo brinda a ms de 91 familias. Su marca LADRILLOS PIRAMIDE, ha logrado una notable posicin como lderes en el mercado, durante los ltimos aos obteniendo distinciones internacionales a la calidad.

5. COMUNICACION DE HALLAZGOS
Durante el trabajo de campo se determinaron hallazgos de auditora, los mismos que fueron comunicados a los funcionarios y servidores responsables, dndoles oportunidad de ejercer su derecho a rplica, por lo que sus comentarios fueron evaluados y considerados en el presente informe.

II.

OBSERVACIONES
Como resultado del Examen Especial sobre Seguridad Informtica, realizado a la empresa CERAMICOS PERUANOS S.A., se han determinado las observaciones siguientes: 1. LA DIRECCIN DE INFORMATICA Y SISTEMAS DE CERAMICOS PERUANOS, NO CUENTA CON STANDARES DE CABLEADO Y ESTRUCTURADO EN LAS DIFERENTES AREAS DEL DATACENTER, SITUACION QUE EXPONE A UN RIESGO INMINENTE EN EL FUNCIONAMIENTO DEL AREA Y DE LOS SERVIDORES. Condicin En la revisin In Situ realizada el 10 de Mayo del 2011 al rea de Sistemas de la Empresa CERAMICOS PERUANOS S.A., se encontr que no se cumpla con los estndares adecuados de cableado estructurado para el DataCenter En el rea de sistemas los servidores se encontraban dispersos en el piso del ambiente, sin gabinetes, solamente contaban con un switch que alimentaba a toda la planta de la empresa dentro del cual se encontraba el rea de Sistemas.

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

Adems, los trabajadores laboran en el mismo ambiente, encontrndose el cableado al alcance de personas no autorizadas y disperso sin ningn orden. (Ver Anexo 01) Criterio Lo expuesto transgrede lo indicado en las normas internacionales basados en los Objetivos de Control para la informacin y tecnologas relacionadas -COBIT, Edicin 4.1 publicada en el ao 2009, donde se menciona: Dominio Adquirir e Implementar AI3 Adquirir y Mantener Infraestructura Tecnolgica AI3.1 Plan de Adquisicin de Infraestructura Tecnolgica Generar un plan para adquirir, Implementar y mantener la infraestructura tecnolgica que satisfaga los requerimientos establecidos funcionales y tcnicos del negocio, y que est de acuerdo con la direccin tecnolgica de la organizacin. El plan debe considerar extensiones futuras para adiciones de capacidad, costos de transicin, riesgos tecnolgicos y vida til de la inversin para actualizaciones de tecnologa. Evaluar los costos de complejidad y la viabilidad comercial del proveedor y el producto al aadir nueva capacidad tcnica. AI3.2 Proteccin y Disponibilidad del Recurso de Infraestructura Integracin y mantenimiento del hardware y del software de la infraestructura para proteger los recursos y garantizar su disponibilidad e integridad. Se deben definir y comprender claramente las responsabilidades al utilizar componentes de infraestructura sensitivos por todos aquellos que desarrollan e integran los componentes de infraestructura. Se debe monitorear y evaluar su uso. AI3.3 Mantenimiento de la Infraestructura Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios, de acuerdo con el procedimiento de administracin de cambios de la organizacin. Incluir una revisin peridica contra las necesidades del negocio, administracin de parches y estrategias de actualizacin, riesgos, evaluacin de vulnerabilidades y requerimientos de seguridad. AI3.4 Ambiente de Prueba de Factibilidad Establecer el ambiente de desarrollo y pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e integracin de aplicaciones e infraestructura, en las primeras fases del proceso de adquisicin y desarrollo. Hay que considerar la funcionalidad, la configuracin de hardware y software, pruebas de integracin y desempeo, migracin entre ambientes, control de la versiones, datos y herramientas de prueba y seguridad. Dominio Monitorear y Evaluar ME1 Monitorear y Evaluar el Desempeo de TI 6

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

ME1.3 Mtodo de Monitoreo Garantizar que el proceso de monitoreo implante un mtodo (Ej. Balanced Scorecard), que brinde una visin sucinta y desde todos los ngulos del desempeo de TI y que se adapte al sistema de monitoreo de la empresa. ME1.4 Evaluacin del Desempeo Comparar de forma peridica el desempeo contra las metas, realizar anlisis de la causa raz e iniciar medidas correctivas para resolver las causas subyacentes. Causa Lo expuesto se debe a una deficiente gestin en el rea de TI con respecto al mantenimiento del data center por parte del gerente de Sistemas al no haber implementado polticas de mantenimiento y proteccin mnimas necesarias de los recursos de TI de acuerdo a estndares internacionales. Efecto Esta situacin puede traer como consecuencia en el mal funcionamiento de los equipos de TI al igual que la perdida de informacin que se encuentra vulnerable, lo cual perjudicara a la empresa en el funcionamiento de sus actividades; obligando a la empresa a tener que implementar un plan de contingencia perjudicando en sus procesos internos y externos. Comunicacin de hallazgo En cumplimiento con lo establecido en la Directiva N 00142-2011-CP/GSI, se comunic a el Sr. Manuel De La Torre, Director de la OSI, y al Sr. Jorge Gonzales, Jefe del rea de Soporte de la OSI, mediante los Oficios N 004 y N 007-2010-CP-GSI respectivamente, quienes a la fecha no han presentado descargo alguno, por lo que persiste el hecho observado. Determinacin de responsabilidad De conformidad con lo establecido en la Primera y Novena Disposicin Final del Decreto Ley N 26162 y Ley N 27785, respectivamente; se determina Responsabilidad administrativa al Ing. Manuel De La Torre, Director de la Oficina de Sistemas de Informacin, por haber realizado una gestin deficiente e incumplir con sus funciones inherentes al cargo. Conclusiones Como resultado del examen realizado, se concluye: Que existe una deficiente gestin al no contar con Plan de Adquisicin de Infraestructura tecnolgica exponiendo a un riesgo el funcionamiento de los servidores y del rea.

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

Lo expuesto infringe el marco de normas y procedimientos internacionales basados en los Objetivos de Control para la informacin y tecnologas relacionadas -COBIT, Edicin 4.1 publicada en el ao 2009, en el Dominio Adquirir e Implementar, AI3 Adquirir y Mantener Infraestructura Tecnolgica - AI3.1 Plan de Adquisicin de Infraestructura Tecnolgica, A I3.2 Proteccin y Disponibilidad del Recurso de Infraestructura, AI3.3 Mantenimiento de la Infraestructura, AI3.4 Ambiente de Prueba de Factibilidad; Dominio Monitorear y Evaluar, ME.1 Monitorear y Evaluar el Desempeo de TI - ME1.3 Mtodo de Monitoreo, ME1.4 Evaluacin del Desempeo. Recomendaciones A fin de superar las deficiencias encontradas se sugiere a la Gerencia General, disponga la implementacin de las siguientes recomendaciones tendentes a optimizar la gestin de la Direccin de Informtica y Sistemas: 1. Se observa que en el rea de sistemas los servidores se encontraban dispersos en el piso del ambiente, sin gabinetes que los proteja. 2. La empresa solamente contaba con un switch que alimentaba a toda la planta de la empresa dentro del cual se encontraba el are de sistemas. 3. Los trabajadores se encontraban laborando en la mismo ambiente de los servidores, encontrndose el cableado expuesto a riesgos de manipulacin. 4. Se observa que los puntos de red se encontraban en muy mal estado; y en algunos casos estos puntos se encontraban rotos.

2. LA DIRECCION DE SISTEMAS NO CUENTA CON UN PLAN DE SEGURIDAD DE CABLEADO Y CONEXIONES ELECTRICAS Y PLAN DE CONTINGENCIA PARA LA IMPLEMENTACION DEL DATACENTER, EXPONIENDO QUE LOS EQUIPOS SE DESCONECTEN Y DETERIOREN, CON EL RIESGO DE PERDIDA DE LOS RECURSOS DE INFORMACION E INFRAESTRUCTURA. Mediante Carta N 026-2011-GSI del 09 Abril de 2011, se informo al Director de la Oficina de Sistemas de Informacin, Sr. Manuel De La Torre, la realizacin de la Auditoria para que lo comunique a las personas encargadas. El 10 de Mayo la Comisin de Auditora, se junto para analizar la informacin remitida por el Sr. Manuel De La Torre, y designo un grupo encargado de inspeccionar las instalaciones del Centro de Cmputo de CERAMICOS PERUANOS S.A., en compaa del Sr. Manuel De La Torre y el Sr. Gonzalo Mayer, Administrador de Redes. El grupo encargado inspeccion las instalaciones, cableado y conexiones elctricas en el Datacenter acorde con la documentacin brindada, a fin de determinar si se realizo una correcta implementacin. Condicin - Durante la auditora realizada a la Oficina de Sistemas, en los ambientes donde se encuentran los concentradores de red, se evidenci que los cables de red se 8

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

encontraban sin proteccin de canaletas, desordenados y sin etiquetas que los identifiquen. - Adems, se observ que los cables saturaban las conexiones elctricas, no contaban con punto a tierra. (Ver Anexo 02) - El centro de cmputo tena instalado 2 tableros trifsicos de 100 Amperes cada uno, los cuales controlaban a travs de interruptores termo-magnticos las siguientes cargas: Tablero 01: Iluminacin Luminarias de pasillo (2 interruptores). Luminarias interiores del centro de cmputo (4 interruptores). Aires acondicionados Minisplits del centro de cmputo (4 interruptores). Tablero 02 : Contactos (con voltaje regulado) Contactos del centro de cmputo (3 interruptores). Evidenciando que el sistema elctrico presentaba visiblemente problemas de sobrecalentamiento en el conductor neutro de ambos tableros, encontrndose que no tenan una distribucin adecuada de la alimentacin elctrica. (Ver Anexo 03) F Criterio Lo expuesto transgrede lo indicado en las normas internacionales basados en los Objetivos de Control para la informacin y tecnologas relacionadas -COBIT, Edicin 4.1 publicada en el ao 2009, donde se menciona: Dominio Entregar y Dar Soporte DS4. Garantizar la Continuidad del Servicio DS4.2 Planes de Continuidad de TI Desarrollar planes de continuidad de TI con base en el marco de trabajo, diseado para reducir el impacto de una interrupcin mayor de las funciones y los procesos clave del negocio. Los planes deben considerar requerimientos de resistencia, procesamiento alternativo, y capacidad de recuperacin de todos los servicios crticos de TI. Tambin deben cubrir los lineamientos de uso, los roles y responsabilidades, los procedimientos, los procesos de comunicacin y el enfoque de pruebas. DS5. Garantizar la Seguridad de los Sistemas DS5.2 Plan de Seguridad de TI Trasladar los requerimientos de negocio, riesgos y cumplimiento dentro de un plan de seguridad de TI completo, teniendo en consideracin la infraestructura de TI y la cultura de seguridad. Asegurar que el plan esta implementado en las polticas y procedimientos de seguridad junto con las inversiones apropiadas en

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

los servicios, personal, software y hardware. Comunicar las polticas y procedimientos de seguridad a los interesados y a los usuarios. DS13. Administrar las Operaciones DS13.5 Mantenimiento Preventivo del Hardware Definir e implementar procedimientos para garantizar el mantenimiento oportuno de la infraestructura para reducir la frecuencia y el impacto de las fallas o de la disminucin del desempeo. Causa Lo expuesto se debe a la falta de cautela por parte de los funcionarios encargados del rea de Redes, al momento de implementar el sistema de cableado y conexiones elctricas en la institucin. Efecto Las situaciones descritas podran generar riesgos de prdida de conexin y deterioro de los cables que abastecen de datos y de electricidad a los equipos, con la consecuente interrupcin de las operaciones, avera en los recursos tecnolgicos, y perdidas de informacin. Comunicacin del Hallazgo En cumplimiento con lo establecido en la Directiva N 00142-2011-CP/GSI, se comunic a el Sr. Manuel De La Torre, Director de la OSI, y al Sr. Gonzalo Mayer, Administrador de Redes de la OSI, mediante los oficios N 002 y N 009 -2010-CP-GSI respectivamente, quienes a la fecha no han presentado descargo alguno, por lo que persiste el hecho observado. Determinacin de Responsabilidad De conformidad con lo establecido en la Primera y Novena Disposicin Final del Decreto Ley N 26162 y Ley N 27785, respectivamente; se determina Responsabilidad administrativa al Ing. Manuel De La Torre, Director de la Oficina de Sistemas de Informacin, por haber realizado una gestin deficiente e incumplir con sus funciones inherentes al cargo. Conclusin Como resultado del examen realizado, se concluye: Que existe una deficiente gestin al no contar con Planes de Contingencia, Plan de Seguridad para el cableado y conexiones elctricas, poniendo en alto riesgo la perdida de los recursos de informacin e infraestructura. Lo expuesto infringe el marco de normas y procedimientos internacionales basados en los Objetivos de Control para la informacin y tecnologas relacionadas -COBIT, Edicin 4.1 publicada en el ao 2009, en el Dominio Entregar y Dar Soporte, DS4. Garantizar la Continuidad del Servicio - DS4.2 Planes de Continuidad de TI, DS5.

10

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

Garantizar la Seguridad de los Sistemas - DS5.2 Plan de Seguridad de TI, DS13. Administrar las Operaciones - DS13.5 Mantenimiento Preventivo del Hardware. Recomendaciones A fin de superar las deficiencias encontradas se sugiere a la Gerencia General, disponga la implementacin de las siguientes recomendaciones tendentes a optimizar la gestin de la Direccin de Informtica y Sistemas: 1. Implementacin de un Plan de Seguridad para la operatividad de los equipos del centro de cmputo. 2. Implementacin de un Plan de Contingencias a fin de salvaguardar los datos y garantizar la recuperacin y continuidad de los servicios en caso de eventualidades. 3. Elaboracin de un plan de mantenimiento preventivo para los equipos de cmputo.

3. EL REA DE SISTEMAS NO CUENTA CON OPTIMAS POLITICAS DE COPIAS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIN, ESTO DEBIDO HA QUE NO SIGUEN NINGUN ESTANDAR DE SEGURIDAD, LO QUE PODRIA CAUSAR PERDIDA DE LA INFORMACIN A GRAN ESCALA. Condicin En la revisin In Situ realizada el 11 de Mayo del 2011 al rea de Sistemas de la Empresa CERAMICOS PERUANOS S.A., se encontr que no se cumpla con las copias respectivas de seguridad mensual. Cualquier copia de seguridad se hace cuando el Director de Sistemas, el Sr. Manuel De La Torre, lo solicite al rea para hacer una consulta o entregar unos reportes al Gerente General de la Empresa. Adems que la informacin pedida por el Director de Sistemas se guarda en su propio ordenador de la oficina, su laptop personal y en el ordenador de su casa. Tambin se observ que la copia de seguridad segn las polticas de la Empresa se implementa una vez al ao y esta data se almacena en un servidor Linux q est conectado a Internet 24x7. Por ltimo se observ que no se cuenta con un servidor externo a la Empresa donde se pueda guardar la data salvaguardada por la Empresa. Criterio Lo expuesto transgrede lo indicado en las normas internacionales basados en los Objetivos de Control para la informacin y tecnologas relacionadas -COBIT, Edicin 4.1 publicada en el ao 2009, donde se menciona: Dominio Entregar y Dar Soporte DS4. Garantizar la Continuidad del Servicio. DS4.2. Planes de Continuidad de TI. Desarrollar planes de continuidad de TI con base en el marco de trabajo, diseado para reducir el impacto de una interrupcin mayor de las funciones y los procesos clave del negocio. Los planes deben considerar requerimientos de 11

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

resistencia, procesamiento alternativo, y capacidad de recuperacin de todos los servicios crticos de TI. Tambin deben cubrir los lineamientos de uso, los roles y responsabilidades, los procedimientos, los procesos de comunicacin y el enfoque de pruebas. DS4.5. Pruebas del Plan de Continuidad de TI. Probar el plan de continuidad de TI de forma regular para asegurar que los sistemas de TI pueden ser recuperados de forma efectiva, que las deficiencias son atendidas y que el plan permanece aplicable. Esto requiere una preparacin cuidadosa, documentacin, reporte de los resultados de las pruebas y, de acuerdo con los resultados, la implementacin de un plan de accin. Considerar el alcance de las pruebas de recuperacin en aplicaciones individuales, en escenarios de pruebas integrados, en pruebas de punta a punta y en pruebas integradas con el proveedor. DS4.9. Almacenamiento de Respaldo Fuera de las Instalaciones. Almacenar fuera de las instalaciones todos los medios de respaldo, documentacin y otros recursos de TI crticos, necesarios para la recuperacin de TI y para los planes de continuidad del negocio. El contenido de los respaldos a almacenar debe determinarse en conjunto entre los responsables de los procesos de negocio y el personal de TI. La administracin del sitio de almacenamiento externo a las instalaciones, debe apegarse a la poltica de clasificacin de datos y a las prcticas de almacenamiento de datos de la empresa. La gerencia de TI debe asegurar que los acuerdos con sitios externos sean evaluados peridicamente, al menos una vez por ao, respecto al contenido, a la proteccin ambiental y a la seguridad. Asegurarse de la compatibilidad del hardware y del software para poder recuperar los datos archivados y peridicamente probar y renovar los datos archivados. Causa Lo expuesto se debe a que existe una deficiente gestin en las copias de Seguridad y por ende en la gestin del rea de Sistemas por parte del Gerente de Sistemas al no haber implementado polticas de seguridad tomando como base estndares internacionales de copias de seguridad en TI, lo que podra permitir perdidas de la informacin vitales para la empresa. Efecto Esta situacin puede traer como consecuencia en primer lugar que la informacin se encuentre vulnerable a perdida y/o mal uso de esta, lo cual perjudicara a la empresa econmicamente. Y tambin conllevara q la empresa tenga que implementar medidas de recuperacin de la informacin causando demora en los procesos internos y externos. Comunicacin del Hallazgo En cumplimiento con lo establecido en la Directiva N 00142-2011-CP/GSI, se comunic el presente hallazgo al Sr. Manuel De La Torre, Director de la OSI, y al Sr. Gonzalo Mayer, Administrador de Redes de la OSI, mediante los oficio N 002-201012

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

CP-GSI, quien a la fecha no han presentado descargo alguno, por lo que persiste el hecho observado. Determinacin de Responsabilidad De conformidad con lo establecido en la Primera y Novena Disposicin Final del Decreto Ley N 26162 y Ley N 27785, respectivamente; se determina Responsabilidad Administrativa al Ing. Manuel De La Torre, Director de la Oficina de Sistemas de Informacin, por haber realizado una gestin deficiente en la seguridad del rea de Sistemas. Conclusin Como resultado de la revisin In situ realizada al rea de Sistemas de la Empresa CERAMICOS PERUANOS S.A. se concluye: Se observa que no existe una correcta poltica de Backups, a parte que no se cuenta con un lugar ptimo donde almacenar los Backups. Lo expuesto inflige el Marco de Control COBIT Objetivos de Control para la Informacin y Tecnologa afines COBIT. Edicin 4.1 en el Dominio de Entregar y Dar Soporte DS4 Garantizar la Continuidad del Servicio - DS4.2. Planes de Continuidad de TI - DS4.5. Pruebas del Plan de Continuidad de TI - DS4.9. Almacenamiento de Respaldo Fuera de las Instalaciones. Recomendaciones A fin de superar las deficiencias encontradas durante el presente examen, se sugiere al Gerente General disponga la implementacin de las recomendaciones tendentes a optimizar la gestin del rea de Tecnologa de Informacin, a fin de que: Elabore e implemente medidas de copias de seguridad e implemente un lugar ptimo donde almacenarlas, es recomendable que se brinde las medidas de seguridad necesarias para evitar perdida o mala manipulacin de los backups e/o informacin de la Empresa.

4. LA DIRECCIN DE INFORMATICA Y SISTEMAS DE LADRILLOS PIRAMIDE, NO CUENTA CON ESTANDARES DE PROGRAMACION EN EL DESARROLLO DE LOS APLICATIVOS QUE DARAN SOPORTE A LAS DIFERENTES AREAS, SITUACION QUE EXPONE A MULTIPLES ERRORES EN EL TEST Y EN LA APLICACIN EN VIVO. TOMANDO DEMASIADO TIEMPO EN PODER SER UBICADOS DICHOS ERRORES. Condicin En la revisin In Situ realizada el 12 de Mayo del 2011 al rea de Sistemas de la Empresa CERAMICOS PERUANOS S.A., se encontr que no contaba con un

estndar apropiado en el cdigo de programacin. Dificultando a otros programadores el manejo y entendimiento del cdigo fuente. (Anexo 04)

13

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

Criterio Dominio Adquirir e Implementar AI2 Adquirir y mantener software aplicativo AI2 2.4 Seguridad y disponibilidad de las aplicaciones. Abordar la seguridad de las aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos identificados y en lnea la clasificacin de datos, la arquitectura de la informacin, la arquitectura de seguridad de la informacin y la tolerancia a riesgos la organizacin. AI2 2.7 Desarrollo de software aplicativo. Garantizar que la funcionalidad de automtica de desarrollo y documentacin, los requerimientos de calidad y estndares de aprobacin. Asegurar que todos los aspectos legales y contractuales se identifican y direccionan para el software aplicativo desarrollado por terceros. AI2 2.8 Aseguramiento de la calidad de Software. Desarrollar, Implementar los recursos y ejecutar un plan de aseguramiento de calidad del software, para obtener la calidad que se especifica en la definicin de los requerimientos y en las polticas y procedimientos de calidad de la organizacin. AI2 2.9 Administracin de los requerimientos de aplicaciones. Seguir el estado de los requerimientos individuales (incluyendo todos los requerimientos rechazados) durante el diseo, desarrollo e implementacin, y aprobar los cambios a los requerimientos a travs de un proceso de gestin de cambios establecido. AI2 2.10 Mantenimiento de software aplicativo. Desarrollar una estrategia y un plan para el mantenimient o de aplicaciones de software. Causa Lo expuesto se debe a una deficiente gestin por parte de los funcionarios encargados del rea de desarrollo de software al no contar con las polticas mnimas necesarias para dar inicio a un desarrollo de software. Efecto Se debe de exponer los riesgos a los que est expuesto las operaciones al mantener una condicin como la encontrada, si son hechos pasados que han ocasionado alguna prdida para la empresa, se debe de indicar cules fueron estas prdidas.

14

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

En caso de cortes de fluido elctrico la situacin descrita interrumpira las operaciones y ocasionara daos en los servidores, dispositivos de conectividad y computadoras como resultado de las variaciones bruscas en la intensidad del fluido, al momento del corte y de la restauracin del mismo. Comunicacin de Hallazgos En cumplimiento con lo establecido en la Directiva N 00142-2011-CP/GSI, se comunic el presente hallazgo al Sr. Manuel De La Torre, Director de la OSI, y al Sr. Carlos Quispe, Jefe del rea de Desarrollo de la OSI, mediante los oficio N 007-2010CP-GSI, quien a la fecha no han presentado descargo alguno, por lo que persiste el hecho observado. Determinacin de Responsabilidad De conformidad con lo establecido en la Primera y Novena Disposicin Final del Decreto Ley N 26162 y Ley N 27785, respectivamente; se determina Responsabilidad Administrativa al Ing. Manuel De La Torre, Director de la Oficina de Sistemas de Informacin, por haber realizado una gestin deficiente en la seguridad del rea de Sistemas. Conclusiones Como resultado de la revisin In situ realizada al rea de Sistemas de la Empresa CERAMICOS PERUANOS S.A. se concluye: Que se observa que las cuentas de usuarios del Sistema no cuentan con la totalidad de polticas de seguridad. Lo expuesto inflige el Marco de Control COBIT Objetivos de Control para la Informacin y Tecnologa afines COBIT. Edicin 4.1 Recomendaciones A fin de superar las deficiencias encontradas durante el presente examen, se sugiere al Gerente General disponga la implementacin de las recomendaciones tendentes a optimizar la gestin del rea de Tecnologa de Informacin: - La adopcin de un estndar de programacin y la realizacin de un plan de pruebas y seguimiento de proyecto para la reduccin de los errores y el fcil seguimiento de los mismos. Tambin la adopcin de un metodologa de desarrollo tal como SCRUM el cual agilizara tanto la comunicacin entre el equipo de desarrollo como la eficiencia del mismo.

III.

RECOMENDACIONES
Del Examen Especial efectuado sobre la Seguridad Informtica del DataCenter a la Empresa Cermicos Peruanos S.A., se formulan las recomendaciones siguientes:

15

Universidad Inca Garcilaso De la Vega -

Auditoria Informtica

Dentro de los alcances de Examen Especial efectuado sobre la Seguridad Informtica del DataCenter a la Empresa Cermicos Peruanos S.A., se recomienda comunicar a la entidad, las observaciones contenidas en el presente informe, a fin de que se implementen las acciones que correspondan en la brevedad posible. Disponer que se adopten las medidas pertinentes, a fin de dar cumplimiento a la normativa considerada en las observaciones del presente informe

IV.
.

ANEXOS

16

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

ANEXO 01

17

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

ANEXO 02

18

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

ANEXO 03

19

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

ANEXO 04
Sin estndar de programacin (- Orden )

Mezcla de cdigo (java script + php)

20

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

PRESENTADO EN EL PROYECTOR
CERAMICOS PERUANOS S.A. DATA CENTER E INFRAESTRUCTURA DE RED Cableado cat 6, y el calbeado ah sido hecho siendo direccionados mediante cables, se le implemento serviodores con gabinetes, piso tcnico aire acondicionado poso a tierra y es un lugar apartado del rea de sistemas ANTES En el rea de sistemas los servidores se encontraban dispersos en el piso del ambiente, sin gabinetes, solamente contaba con un swtich que alimentaba a toda la planta de la empresa dentro del cual se encontraba el are de sistemas, los trabajadores laboran en la mismo, encontrndose el cableado disperso sin ningn orden -Servidores en el piso -puntos de red estaban rotos -gabinetes abiertos - loa switch no estaban en un gabinete -los servidores no estaban en un ambiente acondiciona -tenan switch de mala clida y antiguos -no tenan punto a tierra -ups ubicados en el piso -no tenan un control adecuado de la alimentacin elctrica tanto para los servidores como para los ups -el cableado de red en muy mal estado -no tenan todos los servicios centralizados -falta de mantenimiento a toda el rea.

21

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

22

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

CENTRO DE TRANSMICION DE DATOS

23

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

24

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

25

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

26

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

27

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

28

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

29

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

AREA DE GERENCIA Y FINANZAS

30

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

INFRA ESTRUCUTRA PARA LOGISTICA, MANTENIMIENTO, ALMACEN Y PROYECTOS

31

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

32

Universidad Inca Garcilaso De la Vega

Auditoria Informtica

33