Empresa Universo S.A.

LUNES, 10 DE MAYO DE 2010

AUDITORIA AL AREA DE REDES

JUSTIFICACION ADECUACION Y FORMALIZACION

1. ORIGEN DE LA AUDITORA
La siguiente auditora surge como necesidad de llevar a la prctica los
conocimientos adquiridos en las aulas y realizar el trabajo designado para la
aprobacin del curso
La empresa escogida para efectos de esta prctica, es la ya mencionada
Universo S.A.
2. ALCANCE DE LA AUDITORA
La auditora realizada fue aplicada a la Empresa Universo S.A. en su totalidad, y
con un enfoque especifico en las redes, que permitir comprobar su seguridad
y vulnerabilidades, as como, determinar que la funcin de redes est
claramente definida
3. ANTECEDENTES
La Empresa Universo S.A. ha sido auditada en todas sus reas por la sede
principal de sus oficinas que se encuentra en Cali, con resultados privados,
adems que estos se encuentran en la mencionada ciudad
4. ENFOQUE A UTILIZAR
El enfoque utilizado, en el presente informe, est basado principalmente en las
ctedras del docente, los libros y las bibliotecas informticas que usamos
como apoyo para el desarrollo de esta materia.
Libros de ayuda conceptual como son:

DE LA PEA, Alberto, Auditora un Enfoque Prctico, Editorial Thompson,

2008.
PIATTINI, Mario. Auditora de Tecnologas y Sistemas de Informacin
Editorial Alfaomega-Rama. 2008.
WHITTINGTON. Principios de Auditora, Mxico, Mac Graw Hill, 2004,
Dcimo Cuarta Edicin.
PIATTINI, Mario. Auditora Informtica: Un Enfoque Prctico. Editorial
Alfaomega-Rama. Segunda Edicin. 2004.
MUOZ, Carlos. Auditora en Sistemas Computacionales. Mxico:
Pearson Education, 2002.

5. CRONOGRAMA

6. DOCUMENTOS A SOLICITAR

Razn social
Misin
Visin
Objetivos de la empresa
Organigrama
Descripcin general de la empresa
Conocimiento general del rea de sistemas
Organigrama del rea de sistemas
Objetivos del departamento
Funciones por reas
Funciones principales de algunos empleados
Distribucin fsica de equipos
Inventario de software
Inventario de hardware
Contratos de mantenimiento

7. MOTIVO O NECESIDAD DE UNA AUDITORIA INFORMATICA

El motivo principal de esta auditoria tiene fines acadmicos, buscando poner
en prctica los conocimientos adquiridos en esta materia y favorecer a la
Empresa Universo S.A. en los siguientes puntos:

Deficiente Seguridad de los Equipos de Computo

Distribucin Inadecuada de los Equipos de Computo
Deficiente confidencialidad de la informacin
Uso ineficiente de los equipos de computo

8. JUSTIFICACION
El punto principal por el cual se realiza esta auditoria tiene que ver
directamente con objetivos acadmicos, pero teniendo en cuenta las falencias
encontradas en el rea de redes de la empresa se lleg a la conclusin:

La empresa debe aprovechar al mximo el espacio fsico con el que

cuenta el centro de cmputo
Los equipos deben tener una mayor seguridad tanto en el ingreso de
personal como para la informacin

Para mejorar el uso de los equipos se debe contar con manuales tcnicos
y documentos de gestin

8.1 AREA A AUDITAR:

La auditora realizada a la Empresa Universo S.A. se encuentra enfocada al
rea de redes, ya que es un rea muy importante y compleja en un centro de
cmputo
8.2 MATRIZ DE RIESGO:

8.3 PLAN DE AUDITORIA EN INFORMATICA:

Esta auditoria cuenta con la aprobacin y supervisin de la Gerente General de
la empresa de la ciudad de Bucaramanga, la cual aprob las siguientes tareas
realizadas:

9. ADECUACIN
9.1 MTODOS

Verificacin de las funciones, seguridad de los equipos, cableado, etc

Verificacin de documentos de gestin

9.2 TCNICAS
Observacin
Anlisis y revisin de documentos
9.3 HERRAMIENTAS

Libreta de apuntes
Papel
Lapicero
Microsoft Office Word 2007
Microsoft Office Excel 2007
Microsoft Office Power Point 2007
Internet

9.4 PLAN DE AUDITORIA DE ACUERDO AL CLIENTE:

La Empresa Universo S.A. ha solicitado al equipo auditor lo siguiente:

Reestructurar la red existente tanto con normas de cableado

estructurado como la Ubicacin adecuada de sus equipos
Ver el estado de sus equipos de cmputo
Dar ms seguridad fsica y a sus datos
Ensear una utilizacin eficiente y satisfactoria de los equipos a sus
empleados

10. FORMALIZACIN
10.1 PLAN APROBADO
La entrevista realizada a la seora Martha Villamizar, Gerente General de la
empresa en Bucaramanga, permiti tener acceso a la informacin concerniente
a la Empresa Universo S.A., quien acept y aprob el plan descrito con
anterioridad
10.2 COMPROMISO EJECUTIVO
De acuerdo al plan ya mencionado, hubo un compromiso de entregar el
informe de auditora Informtica a la empresa en mencin en el momento de
terminada dicha auditoria

DESARROLLO DE LA AUDITORIA
1. AUDITORIA DE REDES

1.1 ALCANCE
La auditora de redes fue aplicada en centro de cmputo de la empresa. Los
puntos a tomar en cuenta sern los siguientes:

Organizacin y calificacin del tendido de red

Planes y procedimientos
Sistemas tcnicos de Seguridad y Proteccin

1.2 OBJETIVOS

Llevar un registro actualizado de mdems, controladores, terminales,

lneas y todo equipo relacionado con las comunicaciones
Mantener una vigilancia constante sobre cualquier accin en la red
Mejorar el rendimiento y la resolucin de problemas presentados en la
red

1.3 DESARROLLO DE LA AUDITORIA

Para el Desarrollo de esta auditora especfica se emplear el modelo comn de
referencia que se denomina OSI (Open Systems Interconection), y consta de
siete capas, las cuales se tomarn para realizar la auditora

El modelo de interconexin de sistemas abiertos (ISO/IEC

7498-1), tambin llamado OSI (en ingls, Open System
Interconnection) es el modelo de red descriptivo, que fue creado
por la Organizacin Internacional para la Estandarizacin (ISO) en
el ao 1984. Es un marco de referencia para la definicin de
arquitecturas en la interconexin de los sistemas de
comunicaciones.

reas controladas para los equipos de comunicaciones,

previniendo as accesos inadecuados

Los equipos de comunicaciones (Switch, Router) no se mantienen en

habitaciones cerradas
La seguridad fsica de los equipos de comunicaciones (Switch, Router) es
inadecuada
No se restringe el acceso a persona no autorizadas a los dispositivos
mayores ni menores

Proteccin y tendido adecuado de cables y lneas de

comunicacin, para evitar accesos fsicos

Cable canal deteriorado

Cable dificultando el paso de la persona
Cable en el piso
El cableado de la red se encuentra junto al de la red elctrica
No existen carteles que prohban comer y/o fumar dentro del centro de
cmputo

Revisar las polticas y normas sobre redes y el funcionamiento

de la red y la seguridad de los datos dentro de la Red LAN

A. MODELO OSI, CAPA FSICA

Capa Fsica: Transforma la informacin en seales fsicas adaptadas al medio
de comunicacin.
El cableado utilizado para el tendido de red presenta las siguientes
caractersticas:
Tipo de Cable: Par trenzado (UTP Categora 5)
Conectores: RJ-45
El tipo de cables y conectores utilizados para este tipo de red es adecuado, el
problema radica en que los cables de comunicacin de datos se encuentran
juntos con los de la red elctrica, lo cual genera interferencias en la
comunicacin
B. MODELO OSI, CAPA DE ENLACE
Capa de Enlace: Transforma los paquetes de informacin en tramas
adaptadas a los dispositivos fsicos sobres los cuales se realiza la transmisin.
De acuerdo al inventario de hardware se resumen los siguientes componentes:
Topologa de la Red: Estrella Especificaciones: Ethernet Tarjeta de Red: Encore
PCI Fast Ethernet 10/100 MBps Se pudo identificar que no todos los equipos
tienen el mismo tipo de tarjeta de red, por lo cual se producen errores de bits
en la ruta de transmisin Ojo
C. MODELO OSI, CAPA DE RED
Capa de Red: Establece las rutas por las cuales se puede comunicar el emisor
con el receptor, lo que se realiza mediante el envo de paquetes de informacin
En la institucin se utilizan los siguientes componentes:
Velocidad de transmisin 10/100 MBps
Router D-link de 4 puertos
Switch Encore de 8 puertos
Protocolo TCP/IP
De acuerdo a las necesidades de la empresa, el Switch y el Router empleado
presenta problemas en la transmisin de datos ya que se encuentran en un
rea expuesta a la humedad
D. MODELO OSI, CAPA DE TRANSPORTE
Capa de Transporte: Comprueba la integridad de los datos transmitidos (que
no ha habido prdidas ni corrupciones)
En la Empresa se utiliza el Protocolo TCP/IP para la transmisin datos, lo cual es
lo ptimo debido a que es ms seguro, sin embargo la mala distribucin de la
red fsica dificulta esta trasmisin de datos
E. MODELO OSI, CAPA DE SESIN
Capa de Sesin: Establece los procedimientos de aperturas y cierres de
sesin de comunicaciones, as como informacin de la sesin en curso.

En la Empresa existe un control de las sesiones ya que la entrada y salida de

sesin de cada usuario queda registrada en un servidor
F. MODELO OSI, CAPA DE PRESENTACIN
Capa de Presentacin: Define el formato de los datos que se van a presentar
a la aplicacin.
Actualmente existe una aplicacin en red de un Sistema contable llamada
(UnoE), que se encarga de la parte comercial, financiera etc de la organizacin
y actualmente esta en funcionamiento
G. MODELO OSI, CAPA DE APLICACIN
Capa de Aplicacin: Es donde la aplicacin que necesita comunicaciones
enlaza, mediante API (Application Program Interface) con el sistema de
comunicaciones.
Se utiliza el Protocolo FTP para el intercambio de informacin, el cual se usa
para las impresoras.
Correo de la empresa: Existe un servidor de correo basado en Outlook, por lo
cual cada empleado posee su propia cuenta de usuario
1.4 INFORME FINAL
1. Titulo
Auditoria de Redes.
2. Cliente
El rea de Informtica
3. Entidad Auditada
Empresa Universo S.A.
4. Objetivos

Llevar un registro actualizado de mdems, controladores, terminales,

lneas y todo equipo relacionado con las comunicaciones
Mantener una vigilancia constante sobre cualquier accin en la red
Mejorar el rendimiento y la resolucin de problemas presentados en la
red
5. Normativa aplicada y excepciones
La especificacin utilizada en esta auditora de redes es la Normativa actual
IEEE 802.3 para redes LAN Ethernet 10/100MBps (utilizada por la empresa),
adems de las normas de auditoria aceptadas en Colombia.
Estudiantes Redes Cisco
Protocolo de LAN de IEEE que especifica una implementacin de la capa fsica y la subcapa MAC de la capa de enlace de datos. IEEE
802.3 utiliza el acceso CSMA/CD a una serie de velocidades a travs de diversos medios fsicos. Las extensiones del estndar IEEE
802.3 especifican implementaciones para Fast Ethernet. Las variaciones fsicas de la especificacin IEEE 802.3 original
incluyen10Base2, 10Base5, 10BaseF, 10BaseTy10Broad36. Las variaciones fsicas para Fast Ethernet incluyen 100BaseT, 100BaseT4y
100BaseX.

6. Alcance
El presente trabajo de auditoria de red, comprende el presente periodo 2010 y
se ha realizado en la Empresa Universo S.A. de acuerdo a las normas y dems
disposiciones aplicables

7. Resultados
A) reas controladas para los equipos de comunicaciones, previniendo as
accesos inadecuados
Los equipos de comunicaciones (Switch, Router) no se mantienen en
habitaciones cerradas
La seguridad fsica de los equipos de comunicaciones (Switch, Router) es
inadecuada
No se restringe el acceso a persona no autorizadas a los dispositivos
mayores ni menores
B) Proteccin y tendido adecuado de cables y lneas de comunicacin, para
evitar accesos fsicos

Cable canal deteriorado

Cable dificultando el paso de la persona
Cable en el piso
El cableado de la red se encuentra junto al de la red elctrica
No existen carteles que prohban comer y/o fumar dentro del centro de
cmputo

C) Revisar las polticas y normas sobre redes y el funcionamiento de la red

y la seguridad de los datos dentro de la Red Lan

No existen reas de equipo de comunicacin con control de acceso
No hay un tendido adecuado de cables y lneas de comunicacin por lo
cual permite accesos fsicos no autorizados
No existen revisiones peridicas de la red por tanto se presentan errores
y/o daos a la misma
CONCLUSIN:
Nuestra opinin es que, los controles sobre los recursos de la red de rea local
de la empresa deben ser mejorados puesto que presenta importantes
dificultades. Esto se debe a la ausencia de lineamientos claros para su gestin.
RECOMENDADIONES:

Se recomienda, en primer lugar que se coloquen los centros de cableado

en lugares adecuados, fuera del alcance de personas no autorizadas

Tambin recomendamos que se identifiquen los dispositivos principales

De igual forma recomendamos que se escriban los lineamientos

generales para la gestin de la red y se difundan a los encargados

Tambin recomendamos que se capacite al personal en los aspectos

referidos a la seguridad de la red fsica

Recomendamos, por ltimo, que los encargados del centro de cmputo

realicen las acciones necesarias para:
Mantener el cableado en buenas condiciones
Mantener los conectores en buen estado
Estas acciones deben ejecutarse en forma peridica

8. Fecha del Informe

El presente Informe se inici el 04 de Marzo de 2010 y se concluy el 13 de
Mayo del 2010

9. Identificacin y Firma del Auditor