1

FACULTAD DE INGENIERA
ESCUELA ACADEMICA PROFESIONAL DE INGENIERA DE SISTEMAS

AUDITORA A LA RED FSICA DE DATOS DE LA
MUNICIPALIDAD DE ANCN

CURSO:
AUDITORA Y SEGURIDAD DE TECNOLOGAS DE INFORMACIN
PROFESOR:
NICHO VIR, WIGBERTO MARTN
INTEGRANTES:
LOZADA CHIRA GABRIEL AARN
QUISPE ZUIGAVICTOR MANUEL
GUZMAN MERCADO POOL MARTIN
MOSTACERO CABANILLAS ANDREW STEVEN
CUBAS ROMAINA OLINDA ESTELA
MARQUEZ ROJAS, ALEXIS ANDRE
PANDURO CARDENAS, KEVIN CARLOS
AULA: 216
CICLO: VIII
TURNO: NOCHE



2014

2

NDICE

I. MOTIVO DE LA REALIZACIN DEL INFORME ......................................................... 3
II. OBJETIVO Y ALCANCE DE LA EVALUACIN .......................................................... 3
III. PROCEDIMIENTOS Y TCNICAS DE AUDITORA EMPLEADOS ......................... 4
IV. BASE LEGAL ..................................................................................................................... 4
V. ASPECTOS DE IMPORTANCIA ..................................................................................... 6
VI. DEFICIENCIAS DE DESARROLLO DE SOFTWARE DEL PERODO 2013 .......... 6
VII. CONCLUSIONES ............................................................................................................. 12
VIII. ANEXOS ............................................................................................................................ 12




3

I. MOTIVO DE LA REALIZACIN DEL INFORME

La UNIDAD INFORMTICA es una oficina general de la
MUNICIPALIDAD DE ANCN, cuya funcin es el Desarrollo,
Mantenimiento y Soporte a los Sistemas Informticos y Tecnologas de
Informacin y Comunicacin que se utilizan.

Un Sistema de Cableado Estructurado es un conjunto de productos
de cableado, conectores, y equipos de comunicacin que integran los
servicios de voz, data y video en conjunto con sistema de administracin
que implica informacin y control en una Edificacin.

Al implementar un Sistema de Cableado Estructurado se tiene que
basar en una metodologa y un conjunto de estndares, el cual
proporciona una infraestructura de cableado, un desempeo predefinido
y la flexibilidad de acomodar futuros crecimientos por un perodo
extendido de tiempo.

Por tal motivo, la finalidad de este informe es dar a conocer los
distintos hallazgos encontrados en la auditora realizada y orientar a los
Administradores de Red a la correccin de estos, tomando en cuenta las
Normas Internacionales y los Dominios establecidos por Cobit 4.1.

II. OBJETIVO Y ALCANCE DE LA EVALUACIN

El presente trabajo tiene como alcance el levantamiento de la
informacin sobre la estructura fsica de red y verificar mediante
documentos y activos fsicos el cumplimiento de los estndares de
calidad y buenas prcticas.
4

El Objetivo principal es Realizar la Auditora a la Red Fsica de
Datos de la Municipalidad de Ancn, especficamente al Cableado
Estructurado, del cual se pretende encontrar las vulnerabilidades y dar a
conocer los respectivos hallazgos.

III. PROCEDIMIENTOS Y TCNICAS DE AUDITORA EMPLEADOS

Se emplearn herramientas como Entrevistas, CheckList,
Encuestas, Levantamiento de Inventario, Tcnicas de Observacin,
Tcnicas de revisin documental, Matriz FODA.

As mismo se emplearan herramientas como encuestas personales
para obtener informacin de cmo los desarrolladores perciben el
proceso.

IV. BASE LEGAL

En el presente trabajo se aplicar las Normas de Auditora
Generalmente Aceptadas, Normas de Auditora Gubernamental (NAGU)
aprobadas por la Contralora General, mediante Resolucin N 162-95
de 95.09.22, las otras normas que a continuacin se detallan:

Resolucin de Contralora N 114-2003-CG - Reglamento de los
rganos de Control Institucional y sus modificatorias.

Resolucin de Contralora N 368-2003-CG Directiva N 003-
2003-CG/AC "Normas de Transparencia en la Contralora y Desempeo
de los Funcionarios y Servidores de la Contralora General de la
Repblica y de los rganos de Control Institucional".

Resolucin de Contralora N 077-99-CG - Cdigo de tica del
Auditor Gubernamental.

5

Resolucin de Contralora N 072-98-CG - Normas de Control
Interno para el Sector Pblico y normas modificatoria.


Resolucin de Contralora N 162-95-CG - Normas de Auditora
Gubernamental, y normas modificatoria.

a) Estndar de calidad ISO 9001 es una familia de estndares para
sistemas de gerencia de la calidad.

b) Norma TIA-942, TIA-568-A, Norma para construccin comercial de
cableado de Telecomunicaciones.

c) TIA-569, Norma de construccin comercial para vas y espacios de
telecomunicaciones que proporciona directrices para conformar
ubicaciones, reas, y vas a travs de las cuales se instalan los equipos
y medios de telecomunicaciones.

d) IEEE 802.1 Definicin Internacional de Redes.

e) IEEE 802.2 Control de enlaces.

f) IEEE 802.3 Redes CSMA/CD IEEE 802.4 Redes Token pero para una
red con topologa en anillo o la conocida como Token bus.

g) IEEE 802.9 Estndar que pretende integrar servicios de voz y datos en
una misma red.

h) IEEE 802.11i aborda el problema de la seguridad en redes inalmbricas.

i) ISO 17799 Gestin de la Seguridad de Informacin



6


V. ASPECTOS DE IMPORTANCIA

Podrn referirse bajo el presente rubro aquella informacin verificada
que la comisin auditora basada en su opinin, cuya revelacin permita
mostrar la objetividad e imparcialidad del trabajo desarrollado por la
comisin tal como:

El reconocimiento de las dificultades o limitaciones.
El reconocimiento de logros significativos alcanzados durante la
gestin examinada.
La adopcin de correctivos por la propia administracin.
Informar de aquellos asuntos importantes que requieran un
trabajo adicional.
Eventos posteriores a la ejecucin del trabajo de campo.

VI. DEFICIENCIAS DEL CONTROL INTERNO DEL PERODO 2013

Las deficiencias de control interno encontradas estn
especificadas bajo los siguientes hallazgos:


7

HALLAZGO N 1
TTULO:
EL CABLEADO ESTRUCTURADO CUENTA CON UN PROTECCIN ADECUADA,
PERO NO EN SU TOTALIDAD, LOS CABLES NO TIENEN CANALETAS EN PTIMO
ESTADO EN LOS PUNTOS ESTRATEGICOS
CONDICIN:
La revisin y anlisis de la informacin proporcionada por la Municipalidad de
Ancn:
Segn nuestras observaciones con las fotos tomadas a la Municipalidad vimos
que los cables UTP estn expuestos ante cualquier incidencia o eventos de
amenazas y vulnerabilidades, no estn protegidos por las canaletas.
Por lo tanto en las reas observadas se puede apreciar que estos cables si no
se los protege podrn ser daados observar el Anexo 01.

CRITERIO:
Segn COBIT 4.0, menciona en el dominio PO9 Evaluar y administrar los riesgos de
TI y en el subdominio PO9.3 Identificacin de eventos nos dice que: Identificar
todos aquellos eventos (amenazas y vulnerabilidades) con un impacto potencial sobre
las metas o las operaciones de laempresa, aspectos de negocio, regulatorios, legales,
tecnolgicos, de sociedad comercial, de recursos humanos y operativos. Determinarla
naturaleza del impacto positivo, negativo o ambos y dar mantenimiento a esta
informacin.
Segn COBIT 4.0, menciona en el dominio PO9 Evaluar y administrar los riesgos de
TI y en el subdominio PO9.4 IT Evaluacin de riesgos nos dice que: Evaluar de
forma recurrente la posibilidad e impacto de todos los riesgos identificados, usando
mtodos cualitativos y cuantitativos. La posibilidad e impacto asociados a los riesgos
inherentes y residuales se debe determinar de forma individual, por categora y con
baseen el portafolio.
CAUSA:
Irresponsabilidad por parte de los supervisores del rea de soporte, quienes por querer
avanzar lo ms rpido posible eviten que no se protejan los cables UTP, dejndolos
expuestos ante cualquier incidencia.

EFECTO:
La situacin descrita podra originar drsticos problemas y pueda que los equipos de
comunicacin ya no se comuniquen y todo el sistema de red se dae para dar solucin
a este problema primero tenemos que identificar estos eventos como nos dice COBIT.

8

RECOMENDACIN:
Por efectos de buenas prcticas, segn TIA-568B, los cables de transferencia de datos
se debe ubicar por medio de racks, y consideracin arquitectnicas (Altura de techo,
ancho de las puertas), mecnicas (Deteccin y extincin de Incendios, Temperatura,
Humedad), etc.
Como tambin segn COBIT primero identificamos estos eventos que puedan ocurrir
para luego evaluar los riesgos que puedan suceder segn los eventos identificados.

9

HALLAZGO N 2
TTULO:
NO CUENTA CON UNA PROTECCIN CONTRA AMENAZAS EXTERNAS Y DEL
ENTORNO
CONDICIN:
La revisin y anlisis de la informacin proporcionada por la Municipalidad de Ancn:
Segn nuestras observaciones tomadas de la Municipalidad encontramos que los
cables de datos y los cables de corriente elctrica estn unidos.
Por el mismo hecho que estn unidas al momento puede suceder un incendio el cable
de UTP se puede daar observar el Anexo 02.
CRITERIO:
Segn COBIT 4.0, menciona en el dominio PO9 Evaluar y administrar los riesgos de
TI y en el subdominio PO9.3 Identificacin de eventos nos dice que: Identificar
todos aquellos eventos (amenazas y vulnerabilidades) con un impacto potencial sobre
las metas o las operaciones de la empresa, aspectos de negocio, regulatorios, legales,
tecnolgicos, de sociedad comercial, de recursos humanos y operativos. Determinarla
naturaleza del impacto positivo, negativo o ambos y dar mantenimiento a esta
informacin.
CAUSA:
Irresponsabilidad por parte de los supervisores del rea de soporte, quienes no
verifican que los cables de datos y los de corriente no pueden estar juntos.
EFECTO:
La situacin descrita podra originar drsticos problemas y la prdida de conexin de
los equipos de cmputo y que toda la red se dae.
RECOMENDACIN:
Por efectos de buenas prcticas y desarrollarnos en un ambiente de normas, es
recomendable que los cables de datos y los cables de corriente estn separados y
ante todo esto estimar los niveles de riesgo cuando vamos hacer estas misma
instalacin de juntar los dos tipos de cable.


10

HALLAZGO N 3
TTULO:
LA RED CUENTA CON CABLEADO UTP CAT 6 PERO NO EN SU TOTALIDAD
CONDICIN:
La revisin y anlisis de la informacin proporcionada por la Municipalidad de Ancn:
Segn nuestras observaciones y fotos tomadas a la municipalidad y al rea
donde encontramos que tienen cables de categoras diferentes.
Los cables tambin se encontr que tiene menos de 15 metros por 3
conexiones en el canal.
CRITERIO:
Segn COBIT 4.0, menciona en el dominio PO9 Evaluar y administrar los riesgos de
TI y en el subdominio PO9.3 Identificacin de eventos nos dice que: Identificar
todos aquellos eventos (amenazas y vulnerabilidades) con un impacto potencial sobre
las metas o las operaciones de la empresa, aspectos de negocio, regulatorios, legales,
tecnolgicos, de sociedad comercial, de recursos humanos y operativos. Determinar la
naturaleza del impacto positivo, negativo o ambos y dar mantenimiento a esta
informacin.
Segn COBIT 4.0, menciona en el dominio DS5 Garantizar la seguridad de los
sistemas y en el subdominio DS5.10 "Seguridad de la red" Garantizar que se utilizan
tcnicas de seguridad y procedimientos de administracin asociados (por ejemplo,
firewalls, dispositivos de seguridad, segmentacin de redes, y deteccin de intrusos)
para autorizar acceso y controlar los flujos de informacin desde y hacia las redes.
CAUSA:
Falta de un buen presupuesto para realizar la compra del cable de categora 6 para
todas las reas.
EFECTO:
La situacin descrita podra originar drsticos problemas y excesivo prdidas de
conexiones con los sistemas que cuenta la Municipalidad.
RECOMENDACIN:
Por efectos de buenas prcticas y por la norma TIA 568.B1 recomienda utilizar en
cobre UTP la categora 6 ante de todo esto primero tenemos que analizar qu tipo de
Data Centers tenemos en la organizacin y si el cableado rene los requisitos para
ello.
Como tambin segn COBIT primero se garantizar que se utilizan tcnicas de
seguridad y procedimientos de administracin asociados

11

HALLAZGO N 4
TTULO:
NO CUENTA CON UN DOCUMENTO APROBADO QUE ESPECIFIQUE LA
TOPOLOGA REDES APLICADA POR LO TANTO NO SE APLIC NI UNA"
CONDICIN:
La revisin y anlisis de la informacin proporcionada por la Municipalidad de Ancn:
Segn nuestras observaciones tomadas de la Municipalidad encontramos que no
se tom en cuenta hacer una topologa red solo tienen un plano de la red observar
el Anexo 04.
CRITERIO:
Segn COBIT 4.0, menciona en el dominio DS5 Garantizar la seguridad de los
sistemas y en el subdominio "DS5.11 Intercambio de datos sensitivos" Garantizar que
las transacciones de datos sensibles sean intercambiadas solamente a travs de una
ruta o medio confiable con controles para brindar autenticidad de contenido, prueba de
envo, prueba de recepcin y no rechazo del origen.
CAUSA:
Irresponsabilidad por parte de los supervisores del rea de soporte, que no solicito
que esta sea aplicada, y no supervisan como se estaba haciendo la arquitectura de la
red.
EFECTO:
No se est aprovechando al mximo la red instalada, as como falta seguridad al
envo de mensajes entre redes, lentitud en traspaso de informacin entre otras cosas.
RECOMENDACIN:
Por efectos de buenas prcticas y desarrollarnos en un ambiente de normas, es
recomendable que se aplique una topologa de red, facilitar el uso compartida de
archivos ms seguridad, rapidez y confiabilidad en los datos y segn COBIT 4.0, nos
indica que se debe garantizar una ruta o medio confiable con controles para brindar
autenticidad de contenido, prueba de envo, prueba de recepcin y no rechazo del
origen.

12

VII. CONCLUSIONES

COBIT es una metodologa aceptada mundialmente para el
adecuado control de proyectos de tecnologa, los flujos de informacin y
los riesgos que stas implican. La metodologa COBIT se utiliza para
planear, implementar, controlar y evaluar el gobierno sobre TIC;
incorporando objetivos de control, directivas de auditora, medidas de
rendimiento y resultados, factores crticos de xito y modelos de
madurez.

Los Beneficios que nos va traer la utilizacin de Cobit son:

Optimizar los servicios el coste de las TI y la tecnologa
Apoyar el cumplimiento de las leyes, reglamentos, acuerdos
contractuales y las polticas
Gestin de nuevas tecnologas de informacin

Por tal motivo Cobit nos ayudar a poder evaluar, los resultados
extrados, para validar la correcta instalacin del cableado estructurado
de la municipalidad distrital de Ancn.

VIII. ANEXOS

De acuerdo a los procesos que nos indica Cobit nos vemos con la
necesidad de extraer evidencias de la Institucin que vamos auditar de
tal manera proporcione y apoye a una identificacin en base a criterios,
normas y herramientas que dicha metodologa nos proporciona.

13

ANEXO 01: Cableado sin una proteccin adecuada


14




ANEXO 02: Cableado de comunicacin (UTP) junto al cableado de corriente
elctrica

15


ANEXO 03: Cable CAT 5 / Cable CAT 6