Está en la página 1de 40

Repblica Bolivariana de Venezuela

Ministerio del Poder Popular Para la Educacin Universitaria


Universidad Politcnica de Valencia
Valencia - Edo. Carabobo

Auditora Informtica del Sistema Informtico para el Registro y Seguimiento


del Mantenimiento Mecnico de los Equipos Industriales de Eje Rotatorio,
Caso Grupo Vibrotek, C.A

Profesor:

Integrantes

Ing. Juan Carlos Guadama

T.S.U Carvajal, Aleixer. CI. 15.612.613


T. S.U Torres, Fiorela. CI. 18.412.579
T. S.U Valdivieso, Diego. CI. 17.484.216
IV Trayecto, Seccin: 03EN

Valencia, Enero de 2016

Fecha:22/01/2016
Elaborado por:

Revisado y aprobado por:

TSU. Carvajal Aleixer,


TSU. Torres Fiorela,
TSU. Valdivieso Diego

Ing. Juan Carlos Guadama

Nota

Fase 1.- Objetivos

1.1.- Objetivo General

Realizar una Auditora Informtica del Sistema Informtico para el


Registro y Seguimiento del Mantenimiento Mecnico de los Equipos
Industriales de Eje Rotatorio, Caso Grupo Vibrotek, C.A.

1.2.- Objetivos Especficos de la Auditora Informtica.

Realizar un estudio inicial del entorno auditable.

Determinacin de los recursos necesarios para realizar la auditora.

Realizar una revisin del sistema, especficamente los aspectos

relacionados con la seguridad lgica y fsica.

Evaluar el diseo de la interfaz del usuario.

Realizar las propuestas necesarias que permitan mejoras el sistema

actual, en el caso de que lo amerite.

1.3.- Alcances de la Auditora Informtica

El presente trabajo de investigacin est orientado a la Gestin de


Calidad y Auditora Informtica del Sistema Informtico para el Registro y
Seguimiento del Mantenimiento Mecnico de los Equipos Industriales de Eje
Rotatorio, Caso Grupo Vibrotek, C.A.

La investigacin actual se plantea considerando los objetivos antes


descritos al principio de este documento, entre los cuales se realizar una
revisin del sistema en los aspectos de seguridad fsica y lgica del software,

adicionalmente determinar y evaluar los procesos actuales del sistema


informtico y su interfaz, haciendo un anlisis de los antes mencionado, para
elaborar propuestas o consideraciones que determinen los riesgos del
sistema informtico actual de la Empresa Grupo Vibrotek, C.A.

Fase 2. Estudio Inicial.


2.1.- Organigrama de la empresa.

Fig. N1. Organigrama de la Empresa


Autor: los autores

2.2.- Departamentos.
El punto anterior se muestra el organigrama de la empresa, en este
punto describiremos las funciones de cada uno de los departamentos a
continuacin:

Departamento de Finanzas, Administracin y RRHH: Se


describe como los encargados de llevar toda la administracin de la
empresa, adems de realizar las bsquedas de los empleados.
Departamento de Sistemas: Se encarga de todas las reas
especficas en cuanto a los sistemas de cmputos utilizados en la empresa,
as como su infraestructura actual en la misma.
Departamento de Servicios: Encargados de realizar los servicios
de vibracin, anlisis predictivo, preventivo y correctivo.

2.3.- Relaciones jerrquicas y funcionales entre rganos de la


organizacin.

Tal como se aprecia en el punto anterior los diferentes departamentos


y en el organigrama de la empresa, se puede apreciar que la estructura
jerrquica se cumple de acuerdo a los departamentos antes mencionados.

2.4.- Flujos de Informacin.


Los flujos de informacin se puede verificar que la informacin es
coherente y comunicacional entre los departamentos. Esta a su vez en el
departamento de servicios de la empresa se cumple de forma correcta.

2.5.- Nmero de Puestos de Trabajos.


La Empresa se encuentra constituida por un (1) gerencia general, un
(1) departamento de RRHH y Administracin, un (1) departamento de
Sistemas, y un (1) departamento de servicio, contemplado de la siguiente
manera: un (1) jefe de departamento de servicios, dos (2) inspectores de
equipos rotativos I, dos (2) inspectores de equipos rotativos II, y un (1)
inspector de equipos rotativos III.

2.6.- Nmero de personas por puestos de trabajos.


Departamento

N de personas que
labora en el dpto.

Gerencia General.

Dpto. de RRHH y Administracin

Dpto. de Sistemas

Dpto. de Servicios

Tabla N 1: Nmeros de personas por puestos de trabajos


Autor: Los Autores

Fase 3. Entorno Operacional.

3.1.- Situacin Geogrfica de los Sistemas


En la siguiente Figura N1. Se muestra la interconexin de la red
actual del Grupo Vibrotek, C.A. el mismo se encuentra reflejado por
departamentos.

Fig. N 2: Diseo de la red Actual Vibrotek, C.A.


Autor: Los Autores

3.2.- Arquitectura y configuracin de Hardware y Software.

El sistema al cual se le est realizando la auditora cuenta con la


siguiente configuracin de:
En cuanto al hardware: se cuenta con PC tipo Desktop y Laptop, sus
caractersticas son las siguientes.
Laptop.
Procesador Core i5. 2.5Ghz.
Disco Duro de 500Gb.
4 gigas de Memoria Ram.
Desktop.
Procesador Core i7. 3.0 Ghz.
Disco Duro 1000Gb.
8 Gigas de Ram
Teclado y Mouse Microsoft.
Monitor HP de 24.
Mini Ups.
En Cuanto al Software:

Sistema Operativo Windows 7 Profesional

Paquete de Office 2013.

Paquete de Antivirus Avast.

Paquete de Sistema de Mantenimiento de Vibrotek.

3.3.- Inventario de hardware y software

En el siguiente tabla N 2. Se muestra a continuacin en el inventario


del hardware y software del grupo Vibrotek, C.A.
Cantidad

Descripcin

Tipo

Laptop.

Hardware.

Desktop.

Hardware.

Monitor HP de 24.

Hardware.

Teclados y Mouse Microsoft.

Hardware.

Mini Ups.

Hardware.

11

Licencias del Sistema Operativo Windows 7 Profesional.

Software.

11

Licencias Paquete de Office 2013.

Software

11

Licencias Antivirus Avast

Software

11

Sistema de Mantenimiento

Software

Tabla N 2: Inventario de Hardware y Software.


Autor: Los Autores.

3.4.- Comunicacin y redes de comunicacin.

3.4.1.- Funcionamiento
Una vez finalizada la inspeccin de la red del Sistema Informtico para
el Registro y Seguimiento del Mantenimiento Mecnico de los Equipos
Industriales de Eje Rotatorio, Caso Grupo Vibrotek, C.A, se determin que la
red de la empresa Grupo Vibrotek, C.A. se encuentran en el Piso N 8,
Edificio Torre Valencia de la Avenida Bolvar, la misma es una red local LAN,
cliente-servidor, cuenta con un switch principal de 24 puertos, que distribuye
la conexin a once (11) computadores que se encuentran en el
departamento. Adicionalmente est conectado un router estndar y un
modem.

3.4.2.- Conectividad
El personal de la empresa Grupo Vibrotek, C.A cuenta con tabletas
para realizar la inspeccin de los equipos industriales, lo que permite cargar
los datos de las mediciones en tiempo real, evitando el uso directo del
computador.

3.4.3.- Indicador de Disponibilidad


Grupo Vibrotek, C.A. cuenta con una conexin empresarial de 4
megas de ABA de CANTV (no dedicada), por lo que est sujeta a fallas de
conectividad de acuerdo al proveedor de servicios.

3.4.4.- MDF (Cuarto de Dispositivos Centrales de Comunicacin)


Actualmente la empresa Grupo Vibrotek C.A, no cuenta con un cuarto
de dispositivos propiamente dicho, sin embargo disponen de un gabinete
ubicado en el Departamento de Sistema donde se encuentran ubicados los
dispositivos de la red.

El gabinete metlico tipo rack de aproximadamente 2,20 m de altura,


con puertas metlicas frontales y traseras aseguradas, conteniendo en su
interior cuatro perfiles metlicos verticales con perforaciones para el montaje
de bandejas fijas, adems, se encuentran los reguladores de corriente que
protege al servidores de bajones de elctricos. Se utiliza cableado UTP
categora 5e para comunicar cada estacin de trabajo.

3.4.5.- Proveedores de servicio


El proveedor de servicios de internet de la empresa Grupo Vibrotek,
C.A es CANTV. El servicio de interconexin de la empresa es de 4 Mbps.

3.5.- Volumen, antigedad y complejidad de las aplicaciones.

3.5.1.- Volumen.
El volumen encontrado en la base de datos de la aplicacin del
sistema, es aproximadamente de unos 4000 registros.

10

3.5.2.- Antigedad.
La base de datos evaluada tiene un tiempo de vida de 3 aos de
antigedad, desde que fue implantado el sistema.

3.5.3.- Complejidad.
La aplicacin est desarrollada en el sistema de PHP, interactuando
con el usuario a travs de una plataforma web (Firefox, Chrome, Internet
Explorer), el sistema genera informes en el formato PDF.

3.6.- Metodologa del diseo.


La aplicacin evaluada se encuentra desarrollado en el lenguaje de
programacin de PHP, con una base de datos desarrollada en MySQL, el
mismo se encuentra alojado en un servidor local de la empresa.

Para el desarrollo de esta aplicacin fue utilizada la metodologa XP,


las cuales se orientan en cuatro fases de desarrollo para el software, que se
indican a continuacin:
Planificacin.
Diseo.
Desarrollo.
Pruebas.

11

3.7.- Documentacin.
En la verificacin de la aplicacin se encontr muy poco material de
apoyo en cuanto al contenido de la aplicacin, es decir, el manual de usuario
desarrollado para esta aplicacin es muy deficiente, ya que no es explcito de
todos los procesados utilizados en el sistema informtico.

3.8.- Cantidad y complejidad de base de datos y ficheros.


Propsito de la Base de Datos

Almacenar informacin referente al control y


seguimiento de los informes tcnicos y de las
rdenes de trabajo.

Gestor de la Base de Datos

MySQL

Versin del Gestor

5.0

Nombre del Esquema

Vibrotek

Fecha

06 de Julio de 2014

Usuario

Administrador

Tabla N 3: Documento Referencial de Base de Datos


Autor: Los Autores

12

Fig. N 3: Modelo Entidad/Relacin Base de Datos Vibrotek


Autor: Los Autores

3.8.1.- Descripcin de las tablas


AREA: Tabla para registrar el rea de la planta donde se encuentran
las mquinas.
AUDITORIA: Tabla para registrar las operaciones realizadas en el
sistema.

13

AUXILIAR: Tabla para registrar las mquinas que sirven de respaldo,


en el caso de que las mquinas de planta presenten fallas.
CAMBIO: Tabla para almacenar los cambios de componentes que se
le realizan a una mquina luego de haber realizado una orden de trabajo.
COMPONENTE: Tabla para registrar repuestos y consumibles que
usa las mquinas
INSPECCION: Tabla para almacenar los datos que el inspector
genera a medida que le realiza los exmenes necesarios a cada mquina, la
misma se genera cuando en una solicitud de mantenimiento se especifica es
predictivo.
MAQUINA: Tabla para registrar la informacin sobre las mquinas.
OBRERO: Tabla para registrar los obreros.
ORDEN_TRABAJO: Tabla para almacenar las ordenes de trabajo.
PROVEEDOR_SERVICIO: Tabla para registrar los proveedores de
servicio.
SISTEMA: Tabla para registrar sistema.
SOLICITUD_MANTENIMIENTO: Tabla para registrar las solicitudes
de mantenimiento.
TAREA: Tabla para registrar el detalle de las solicitudes de
mantenimiento.
TAREA_OBRERO: Tabla para registrar las tareas que realizar un
obrero por cada tarea generada de una solicitud de mantenimiento a realizar.

14

TIPO_MANTENIMIENTO:

Tabla

para

registrar

los

tipos

de

mantenimientos.
TIPO_MAQUINA: Tabla para almacenar los diversos tipos de
mquinas que pueden existir en la empresa.
USUARIO: Tabla para registrar los usuarios que manipulan el sistema.

Fase 4. Determinacin de Recursos de auditora informtica.

4.1.- Recursos materiales de software.

Para el desarrollo de esta auditora se requiere de los siguientes


materiales de software. Ver Tabla N 4.
Aplicativo de Software

Tiempo

Windows 7 Profesional

Todos los das

Paquete de Office 2013.

Todos los das

Navegador Firefox

Todos los das

Acrobar Reader

Todos los das

MySql

Todos los das

Tabla N 4. Recursos Materiales de Software.


Autor: Los Autores.

15

4.2.- Recursos materiales de hardware.

Para el desarrollo de esta auditora se requiere de los siguientes


materiales de software. Ver Tabla N 5.
Cantidad

Descripcin de Hardware

Tiempo

PC Laptop

Todos los das

Impresora

Todos los das

Tabla N 5. Recursos Materiales de Hardware.


Autor: Los Autores.

4.3.- Recursos humanos.


A continuacin se muestra la siguiente Tabla N 6, matriz de
responsabilidades del proyecto de auditora informtica.

16

17

Tabla N 6. Matriz de Responsabilidades del Proyecto.


Autor: Los Autores.

18

4.4.- Elaboracin del plan de trabajo.

Fig. N 4: Diagrama de Gantt del Proyecto. Parte 1


Autor: Los Autores

19

Fig. N 5: Diagrama de Gantt del Proyecto. Parte 2


Autor: Los Autores

Fase 5. Actividades de la auditora informtica.

Para la realizacin de la auditora informtica, que permita la correcta


evaluacin de los aspectos relacionados con el sistema en cuestin,
seguidamente se detallan las actividades a realizarse, clasificadas de acuerdo a
los diferentes aspectos a evaluar:

20

21

Realizado por:

Auditoria:
Sistema Informtico para el Registro y Seguimiento del Mantenimiento Mecnico de
los Equipos Industriales de Eje Rotatorio, Caso Grupo Vibrotek, C.A
PROCEDIMIENTO
1

Inicio:

Fecha de Revisin:
OBSERVACIN

Evaluacin de Calidad
Calidad Interna y Externa

1.1
1.1.1

Funcionabilidad
Las funciones que ofrece el sistema son adecuadas para la realizacin de
las tareas y objetivos especificada por los usuarios?

Ver Gestin de Calidad, gestionar y presentar


los resultados de la calidad externa e interna y

1.1.2

El sistema provee resultados acordes?

calidad

1.1.3

El sistema interacta con otras aplicaciones?

Funcionabilidad.

1.1.4

Existe mdulo de seguridad, autenticacin y permisologa para los usuarios?

1.1.5

Funciona el sistema segn lo esperado por los usuarios?

1.2
1.2.1

de

uso,

caracterstica

Confiabilidad
El Sistema en algn momento se detuvo inesperadamente?

Ver Gestin de Calidad, gestionar y presentar


los resultados de la calidad externa e interna y

1.2.2

Si el Sistema llegase a detenerse por alguna falla inesperada es fcil

22

reiniciarlo?

calidad de uso, caracterstica Confiabilidad.

Los datos pueden ser recuperados luego de un evento o situacin


1.2.3

inesperada?
Usted considera que las tareas en el proceso de otorgacin de citas

1.2.4

mdicas pueden ser realizadas de una manera sencilla utilizando este


sistema?

1.3
1.3.1

Usabilidad
Las instrucciones e indicaciones en pantalla son tiles?

Ver Gestin de Calidad, gestionar y presentar


los resultados de la calidad externa e interna y

1.3.2

Cree usted que el sistema es coherente, adaptado a los requerimientos?

1.3.3

El sistema tiene una presentacin atractiva?

1.3.4

Usted podr aprender fcilmente todas las funcionalidades del sistema?

1.3.5

Le parece que las necesidades del usuario han sido tomadas en cuenta?

1.4

1.4.1

calidad de uso, caracterstica Usabilidad

Eficiencia
El programa responde rpidamente a la entrada de los datos, consultas y

Ver Gestin de Calidad, gestionar y presentar

reportes?

los resultados de la calidad externa e interna y

23

El tiempo de impresin de los distintos reportes que genera el sistema, es el


1.4.2

calidad de uso, caracterstica Eficiencia

rpido?
Considera usted que los procesos ofrecidos por el sistema, se realizan con

1.4.3

1.5

1.5.1

pocos pasos?
Capacidad de Mantenimiento
El rea o departamento de informtica, posee el programa fuente del

Ver Gestin de Calidad, gestionar y presentar

sistema?

los resultados de la calidad externa e interna y


calidad de uso, caracterstica Capacidad de

1.5.2

Se almacenan las versiones o mejoras del sistema?

Mantenimiento

El sistema, muestra estabilidad despus de ser implementado una nueva


1.5.3

versin?

1.5.4

Se cuenta con un ambiente adecuado de pruebas?


Permite establecer programacin de servicio de mantenimiento, en un

1.5.5

1.6
1.6.1

tiempo establecido?
Portabilidad
El sistema es fcilmente adaptable a cualquier organizacin o ente?

Ver Gestin de Calidad, gestionar y presentar

24

1.6.2

La aplicacin se instala fcilmente?

los resultados de la calidad externa e interna y


calidad de uso, caracterstica Portabilidad

El sistema puede coexistir con otros dentro del mismo entorno y compartir
1.6.3

recursos?

1.6.4

El sistema podra ser reemplazado por otro?

1.6.5

El sistema est adaptado a estndares de desarrollo y calidad de software?

1.7

1.7.1

Calidad de Uso
Todas las tareas con respecto a las funciones que ofrece el sistema pueden

Ver Gestin de Calidad, gestionar y presentar

ser realizadas de una manera sencilla y fcil?

los resultados de la calidad externa e interna y


calidad de uso, caracterstica Calidad de Uso

Segn el aspecto de tiempo para completar los procesos y esfuerzo


empleado para lograr dicha actividad. Indique en la siguiente escala Alto,
1.7.2

Medio, Bajo, siendo Alto mucho tiempo y esfuerzo y Bajo Poco esfuerzo y
tiempo.
Segn los aspectos como Funcionalidad (Capacidad de funcionamiento),
Fiabilidad (realizar una funcin requerida), Usabilidad (Capacidad de ser

1.7.3

entendido) y Facilidad de Mantenimiento (Capacidad de ser modificado) usted


considera que existen deficiencias en estas caractersticas?

25

1.7.4
2
2.1

Las necesidades de los usuarios fueron tomadas en cuenta?


Evaluacin de Base de Datos
Administracin de la Base de Datos
En la administracin de la base de datos existen roles definidos de acuerdo
con las necesidades?

En la evaluacin se pudo determinar que no


existen roles establecidos para realizar las

2.1.1

distintas

actividades

que

implica

la

administracin de la base de datos.

2.1.2

Existe al menos una persona responsable encargada de la administracin

No

existe

un

persona

encargada

de

la

de la base de datos?

administracin de la base de datos, todos los


empleados del Dpto. de Informtica manipulan la
base de datos

2.1.3

Existe algn mecanismo implementado por medio del cual se pueda

Actualmente

no

se

cuenta

con

ningn

monitorear el rendimiento de la base de datos?

mecanismo de monitoreo de transacciones que


puedan indicar algn fallo o desmejora en el
desempeo de la base de datos del sistema

Se cuenta con un plan de actualizacin o implementacin de mejoras para

No existen planes para realizar actualizaciones a

2.1.4

el sistema gestor de base de datos del sistema?

la versin de la base de datos.

2.1.5

La base de datos posee documentacin acerca del modelo?

El departamento de informtica tiene el modelo

26

E/R de la base de datos.


2.2

2.2.1

2.2.2

2.2.3

2.3

2.3.1

2.3.2

2.3.3

Revisin de los objetos de la Base de Datos


Se cuenta con algn documento que especifique el estndar a seguir para la

No se cuenta con ningn estndar para la

creacin de nuevos objetos en la base de datos?

creacin de objetos en la base de datos.

Existen procedimientos almacenados en la base de datos, son utilizados

Se observ que no se emplean procedimientos

correctamente?

almacenados

Las tablas estn diseadas correctamente, de acuerdo al estndar de bases

Todas las tablas poseen sus claves primarias.

de datos relacionales?

Estn normalizadas y estn relacionadas.

Revisin del Plan de Mantenimiento, Respaldo y Recuperacin


Se cuenta con un correcto mecanismo de respaldo que garantice la

Si, se cuenta con un procedimiento encargado de

disponibilidad de la informacin en caso de una prdida de datos?

realizar respaldos de la base de datos

Los respaldos se realizan en una localizacin distinta a la de los servidores

No se realizan respaldos fuera del rea de los

de en produccin?

servidores

Existe algn mecanismo que permita conocer los resultados de los

No existe implementado algn mecanismo que

respaldos automticos, en caso de que exista alguna falla al momento en que

permita corroborar si el respaldo se

se realizan?

correctamente

realiz

27

2.3.4

Existe un plan de recuperacin, el cual sirva como gua a seguir en el caso

El proceso es realizado por el personal de

de una prdida de datos?

sistemas de la empresa, pero no existe un plan


de recuperacin real.

3
3.1

3.1.1

3.1.2

3.1.3

3.1.4

3.2

Evaluacin de la Seguridad del Sistema


Seguridad Fsica
El rea de servidores cuenta con adecuadas barreras fsicas y

Ver Gestin de Seguridad Fsica y Lgica de la

procedimientos de control?

Red. Definir patrones de seguridad. Fsica

Se cuenta con adecuadas medidas de seguridad fsica especficas para el

Ver Gestin de Seguridad Fsica y Lgica de la

sistema de gestin?

Red. Definir patrones de seguridad. Fsica

Existen medidas de seguridad fsica en caso de desastres?

Ver Gestin de Seguridad Fsica y Lgica de la


Red. Definir patrones de seguridad. Fsica

El cuarto de datos cuenta con un sistema contra incendio adecuado para

Ver Gestin de Seguridad Fsica y Lgica de la

instalaciones elctricas?

Red. Definir patrones de seguridad. Fsica

Seguridad Lgica
Se encuentra implementada al menos una herramienta de deteccin de

Ver Gestin de Seguridad Informtica.

3.2.1

intrusos y ataques informticos

Identificacin de las amenazas

3.2.2

Los computadores cuentan con software antivirus?

Ver Gestin de Seguridad Informtica.

28

Identificacin de las amenazas


3.2.3
4
4.1

El sistema cuenta con una autenticacin de usuarios para su utilizacin?

El Sistema cuenta con la autenticacin de


usuario y contrasea de acceso.

Evaluacin de Riesgos
El cableado elctrico se encuentra en buen estado?

Se observ que la estructura elctrica se


encuentra deficiente

Existen altos riesgos de prdidas de datos por virus informticos?


4.2

Los PC cuentas con software antivirus, pero se


observa que poseen acceso a internet lo que
facilita que un pc pueda ser contaminado.

4.3

El cableado de red se encuentra normalizado y correctamente documentado

El cableado de red no est identificado y no

que ayude a solventar una falla rpidamente?

existe documentacin al respecto.

Existe un alto riesgo de prdida de datos por falla en los respaldos?

Se evidencia un alto riesgo de que ocurra una

4.4

prdida de datos debido a la falta de polticas de


respaldo correctas
En caso de una falla elctrica, los equipos se mantienen en funcionamiento?

Los servidores pueden mantener una autonoma


corta, ya que poseen unidades de respaldo de

4.5

poder (UPS) pero no cuentan con una planta


elctrica que garantice el funcionamiento por
mayor tiempo.

29

4.6

4.7

4.8

En caso de incendios, la sala de servidores cuenta con un mecanismo de

Ver Gestin de Seguridad Fsica y Lgica de la

control de incendios adecuado?

Red. Definir patrones de seguridad. Fsica

Se efecta un mantenimiento o inspeccin preventiva a los servidores del

No se realiza ningn mantenimiento preventivo a

sistema?

ninguno de los servidores

En el caso de fallas de hardware en alguno de los servidores del sistema, se

No se cuenta con ninguna medida que posibilite

puede realizar un cambio por otro de backup?

un cambio de servidor backup para poner en


funcionamiento los servicios en corto tiempo.

Evaluacin de la Infraestructura de la Red

5.1

Se cuenta con la documentacin de la red?

No se cuenta con documentacin de la red.

El cableado est normado de acuerdo a los estndares de calidad?

No se encuentra normado de acuerdo a los

5.2

5.3

5.4

estndares de calidad.
Se lleva algn inventario de los equipos que conforman la red?

Ver Gestin de Seguridad Informtica.


Identificacin de Activos.

Se lleva algn registro de las modificaciones o cambios en la arquitectura de

Se pudo apreciar que el departamento de

la red?

informtica de la institucin, no lleva registro


alguno de las modificaciones o cambios en la
red.

5.5

Se lleva a cabo un monitoreo del desempeo de la red?

Ver Gestin de Seguridad Fsica y Lgica de la

30

Red. Esquema de trfico en la red

5.6

La capacidad de transmisin de datos del cableado de red, se encuentra

Se evidenci que el cableado de red no

adecuado para soportar las actuales tecnologas de transmisin de datos?

soportara transmisiones de datos de 1 Gbps.


Solo soporta transmisin de datos de hasta 100
Gbps

Tabla N 7. Desarrollo de la Auditora.


Autor: Los Autores.

31

5.2.- Resultados

A continuacin se plantean los resultados obtenidos a partir de la


evaluacin realizada

5.2.1.- Revisin de los Aspectos Relacionados con la Base de Datos del


Sistema.

Definicin de roles para la administracin de la base de datos

2.1.1

Se determin que no existen roles establecidos para realizar las


distintas actividades que implica la administracin de la base de datos, lo
cual puede traer como consecuencia, una manipulacin indebida de los
datos confidenciales que utiliza el sistema estudiado.

Se recomienda definir una persona o grupo de personas responsables


de administrar la base de datos, as como asignar funciones o permisologas
claras en la misma para cada una.

Existencia de una persona responsable de la administracin de la base de

2.1.2

datos

Se observ que no existe una persona encargada de la administracin


de la base de datos, por lo que aumenta las posibilidades de no detectar a

32

tiempo un mal funcionamiento de la base de datos, un acceso no autorizado


y una posible prdida de informacin.

Se sugiere establecer claramente y definir la permisologa del usuario


que actuar como Administrador de la Base de Datos que posee toda la
permisologa para desempear todo tipo de acciones sobre la base de datos,
esta persona debe dedicarse a esta actividad por lo cual debe estudiarse con
detenimiento al asignar tal responsabilidad.

Implementacin de mecanismos para el monitoreo del rendimiento de la

2.1.3

base de datos.

Se observ que actualmente no se cuenta con ningn mecanismo de


monitoreo de transacciones que puedan indicar algn fallo o desmejora en el
desempeo de la base de datos del sistema. Es importante mantener un
control estadstico de transacciones para verificar el rendimiento, el uso y la
cantidad de usuarios que acceden al sistema.

Se recomienda configurar y activar el log de transacciones del cual


dispone MySQL, para monitorear el rendimiento de la base de datos, y
prever desmejoras en el acceso a las bases de datos.

Contar con un plan de actualizacin o implementacin de mejoras para el

2.1.4

sistema gestor de base de datos del sistema.

Se evidenci que no existen planes para realizar actualizaciones a la


versin de la base de datos. Esto puede traer como consecuencia la
33

reduccin de la escalabilidad del SGBD y entrara en obsolescencia al no


adaptarse a las nuevas tecnologas.

Se sugiere establecer un plan de actualizacin de versin para el


SGBD, en este caso de MySQL. La versin instalada actualmente es la 8.3 y
la ltima versin del mismo, es la 5.0. Si se cuenta con las ltimas versiones,
se obtiene mayor fiabilidad y robustez, ya que se corrigen fallas y brechas de
seguridad, y se mejora el rendimiento con respeto a las versiones anteriores.

Contar con un documento que especifique el estndar a seguir para la

2.2.1

creacin de nuevos objetos en la base de datos

Se observ que no se cuenta con ningn estndar para la creacin de


objetos en la base de datos. Sin la existencia de un documento como ste,
existe el riesgo de que se creen funciones o procedimientos almacenados
que ya existen, lo que confunde y muchas veces retrasa el mantenimiento.

Se sugiere elaborar un documento que rena y detalle, los pasos a


seguir para todos los procedimientos que suelen ser realizados en la base de
datos.

Localizar respaldos de los datos, en una localizacin distinta a la de los

2.3.2

servidores en produccin

Se verific que actualmente no se realizan respaldos fuera del rea de


los servidores, lo que significa un fuerte riesgo en caso de que ocurra alguna

34

eventualidad que comprometa el rea de los servidores, lo que significara


una gran prdida de informacin.

Se recomienda la utilizacin de respaldos remotos, de modo que se


garantice la disponibilidad de los datos del sistema, aun cuando se vea
comprometida la integridad del rea donde se encuentran los servidores de
la institucin.

Visualizacin o monitoreo de la efectividad en la realizacin de los

2.3.3

respaldos de datos.

Se evidenci que al realizarse los respaldos, no est implementado


algn mecanismo que permita corroborar si el respaldo se realiz
correctamente. Esto pudiese traer como consecuencia la imposibilidad de
contar con un respaldo coherente a la hora de requerir la recuperacin de
datos importantes.

Se sugiera la creacin de un mecanismo que permita reportar el


resultado del respaldo automtico al administrador de la base de datos, ms
an en caso de que ocurra algn fallo en el mismo. De esta manera el
administrador contar con una herramienta ms que le ayudar a saber si ha
ocurrido una falla y poder aplicar las correcciones necesarias lo ms pronto
posible.

Existencia de un plan de recuperacin, en caso de prdida de datos

2.3.4

35

Se verific que no existe un plan de recuperacin en caso de prdida


de datos, lo que puede ocasionar demora en el restablecimiento de la
disponibilidad de los datos de los respaldos.

Se deben tener bien claro los pasos a seguir en caso de que ocurra
cualquier eventualidad que dae total o parcialmente la base de datos; por lo
tanto se recomienda la elaboracin de un plan de recuperacin de datos que
especifique de manera detallada cules seran los pasos a seguir en el
supuesto caso de que ocurriese una cada del sistema por estos motivos. As
mismo se debern realizar pruebas peridicas de recuperacin de los datos
respaldados en un ambiente o servidor de pruebas.

5.2.2.- Revisin de los Aspectos Relacionados con la Evaluacin de


Riesgos del Sistema.

Estado del Cableado Elctrico

4.1

Se observ que la estructura del cableado elctrico se encuentra


deficiente. Al encontrarse el cableado en malas condiciones aumentan las
probabilidades de que ocurra un incendio que pudiera afectar a los
servidores y por ende, a los sistemas de la institucin.

Se recomienda reestructurar y modernizar el cableado elctrico de la


institucin, mediante la aplicacin de las normas de seguridad en cuanto a
circuitos elctricos, con la finalidad de evitar un incendio debido al estado
actual de los mismos.

36

Perdidas de datos a causa de virus informtico

4.2

Se constat que los equipos tienen instalados software antivirus que


puede mitigar el contagio virus informticos que puede causar la prdida de
informacin, sin embargo los usuarios tienen acceso ilimitado a pginas web
engaosas que pudieran dar autorizacin a la ejecucin de virus sin su
conocimiento.

Se recomiendo la utilizacin de programas que bloqueen paginas


comerciales, dando solo acceso a pginas seguras.

Normalizacin y documentacin del cableado de red.

4.3

Se observ que el cableado de red no est implementada bajo


estndares y no existe documentacin al respecto. Esta situacin dificulta la
solucin de problemas en la red.

Se sugiere la estandarizacin del cableado de red, siguiendo para ello


las normas de cableado estructurado, con la finalidad de mitigar los riesgos
inherentes a la falta de estndares que signifiquen un aspecto que dificulte la
solucin de algn problema relacionado con el mismo.
Prdidas de datos por falla de respaldos.

4.4

Se evidenci un alto riesgo de que ocurra una prdida de datos debido


a la falta de polticas de respaldo correctas. Lo cual puede significar que
todos los datos almacenados que utilicen los sistemas se pierdan, dejando
inoperativo completamente a los sistemas, pudiendo manifestarse en
37

retrasos graves en los procesos de la institucin e inclusive prdidas


importantes a nivel econmico.

Se sugiere realizar el respaldo del sistema en otra estructura fsica; de


manera que si la estructura en donde se alojan los servidores es afectada, la
data del sistema tenga un respaldo en una edificacin segura.

Operatividad de los servidores en caso de fallas en el suministro elctrico

4.5

Se identific que los servidores slo pueden mantener una autonoma


corta, ya que poseen unidades de respaldo de poder (UPS) pero no cuentan
con una planta elctrica que garantice el funcionamiento por mayor tiempo.

Se recomienda realizar la adquisicin e instalacin de una planta


elctrica que permita el funcionamiento continuo de la sala de servidores,
pese a la cada del suministro elctrico, haciendo posible la interconexin de
las sedes del ministerio con la sede principal.

Realizacin de inspeccin o mantenimiento preventivo a los servidores.

4.7

Se verific que no se realiza ningn mantenimiento preventivo a


ninguno de los servidores. Sin la realizacin de este tipo de mantenimiento
no existe manera de prevenir daos por un mal funcionamiento del hardware
o software.

Es recomendable disear un plan para realizar manteamiento


preventivo a los servidores de manera peridica, que permita resguardar y

38

prevenir fallas en los equipos antes de que se produzca y evitar


contratiempos y cadas del sistema.

Cambios en caliente en caso de fallas en los discos duros de los

4.8

servidores.

Se observ que no se cuenta con ninguna medida que posibilite un


cambio en caliente para poner en funcionamiento el servidor en corto tiempo.
Si ocurriese un dao en el disco duro, se perder tiempo valioso en la
instalacin del nuevo disco.

Se sugiere la modernizacin del hardware de los servidores, para


contemplar la posibilidad de realizar cambios en caliente de los discos duros
en caso de ser necesario.

5.2.3.- Revisin de los Aspectos Relacionados con la Evaluacin de


Infraestructura de la Red del Sistema.

Documentacin adecuada de la infraestructura de red

5.1

Se verific que no se cuenta con una documentacin de la red, lo cual


trae como consecuencia un retraso en la solucin de inconvenientes de la
misma.

Se recomienda conformar la documentacin de la red, tomando en


cuenta la topologa, la distancia entre nodos y computadores, etc. Teniendo a
la mano una documentacin adecuada de la red, es posible localizar con
facilidad alguna falla en la misma, as mismo es posible planificar sin
mayores inconvenientes algn cambio en la estructura de la red.
39

Estandarizacin del cableado de red de acuerdo a los estndares

5.2

Se constat que el sistema de cableado de la institucin no cumple


completamente con el estndar. Esta situacin tambin dificulta el
mantenimiento a la red.

Se recomienda estandarizar y documentar el cableado de la red de la


institucin de acuerdo a lo establecido en los estndares, el cual establece
una serie de prcticas recomendadas para el diseo e instalacin de
sistemas de cableado que soporten una amplia variedad de los servicios
existentes, y la posibilidad de soportar servicios futuros que sean diseados
considerando los estndares de cableado.

Registro de modificaciones o cambios en la estructura de la red.

5.4

Se pudo apreciar que el departamento de informtica de la institucin,


no lleva registro alguno de las modificaciones o cambios en la red. Lo cual
significa que no ser posible obtener informacin acerca de las fallas ms
recurrentes, para poder realizar las modificaciones necesarias para evitarlas
o para disminuir su ocurrencia.

Se sugiere implementar una bitcora donde se registren los cambios o


modificaciones en la red, con la finalidad de poder rastrear implicaciones o
fallas derivadas de stas que pueden comprometer el funcionamiento de la
misma.

40