Versión : 01-2015

MDLO INFORME FINAL DE AUDITORIA Fecha : 08-07-15

Página : 1 de 5

1. Objetivo de la auditoria:

Evaluar el área de Soporte de Redes y Telecomunicaciones de la Municipalidad

Distrital de Los Olivos, los componentes de la red, su desempeño y seguridad;
asimismo, determinar su situación actual, enfocándonos en identificar
vulnerabilidades utilizando metodologías como criterio de análisis.

2. Alcance de la auditoria

Abarca el área de Soporte de Redes y Telecomunicaciones, con una duración de 3

meses y una semana; y un costo de S/ 21 177.50.

3. Fechas de la auditoria

Se realizó desde el 06 abril al 10 de julio de 2015.

4. Equipo auditor

Función en equipo auditor Apellidos y Nombres

Auditor Lider Bernabel Soto, Dahiana J. Cristy
Auditor de Comunicaciones Mendo Aguilar, Heidi
Auditor de Red Física Contreras Paima, Angel Pool
Auditor de Seguridad Hernández Rodas, Miguel Ángel
Informática
Auditor de Red Lógica Urbizagastegui Uribe, Ángel

5. Personas entrevistadas.

Nombre Cargo
César Peña Anticona Gerente de Tecnología de la Información y Comunicaciones

David Vizcarra Rivera Encargado de Soporte

6. Resumen del proceso

En la reunión inicial se revisó la propuesta de auditoría, el cual contenía el alcance,

los objetivos y la metodología, en acuerdo con el Gerente se autorizó la realización de
la misma.
Durante la Auditoría se revisaron los puntos normativos correspondientes en base a
documentación de la Institución y material bibliográfico consultado.
Como resultado de la Auditoría se encontraron hallazgos expresados como No
Conformidades. Se determinó que existen muchas falencias en cuanto a
incumplimiento de normativa existente respecto a la red.
 Versión : 01-2015
MDLO INFORME FINAL DE AUDITORIA Fecha : 08-07-15
Página : 2 de 5

7. Resultados

7.1 No conformidades detectadas

Cláusula Reporte de Auditoría Evidencia

Área: Soporte de Redes y Comunicaciones

Anexo N° 02: Acta de Hallazgo N° 01

ISO/IEC 27002:2013 (11.1.2) La puerta del ambiente del servidor se
seguridad física y ambiental: encuentra sin control de acceso, Anexo N° 07: Directiva N° 006-2012/GTIC/MDLO
controles físicos de entrada incluso abierta. “Procedimientos y Evaluación del análisis de riesgo
informático de la MDLO”. Pág. 10 Ítem 7.6.7 – (a)

Anexo N° 02: Acta de Hallazgo N° 02

Anexo N° 05: Directiva N° 004-2011-MDLO
ISO/IEC 11801: Normas de El cableado no se encuentra en
“Disposiciones Generales para la Adquisición y
seguridad para el cableado canaletas, y los que si se encuentran,
Administración de equipos Informáticos de la MDLO”.
estructurado muestran sus canaletas rotas.
Folio 11 / 6.2.5.2 (K)
ROF 2015 Pág. 42 Item 37.21

Anexo N° 02: Acta de Hallazgo N° 03

ISO/IEC 11801: Controles
ambiente para el servidor
El aire acondicionado del ambiente
de Anexo N° 05: Directiva N° 004-2011-MDLO
donde se encuentra el servidor se
“Disposiciones Generales para la Adquisición y
encontró malogrado
Administración de equipos Informáticos de la MDLO”.
Folio 11 / 6.2.5.2 (D)

Anexo N° 02: Acta de Hallazgo Nº 04

ISO/IEC 27002:2013
seguridad física y ambiental:
controles físicos de entrada.
(11.1.2) El acceso hacia el área de Soporte de
Anexo N° 08: Directiva N° 006-2012/GTIC/MDLO
Informática no cuenta con controles de
“Procedimientos y Evaluación del análisis de riesgo
seguridad, pese a que los equipos
informático de la MDLO”.
están en dicha área.
7.6.7 (b) (página 10)

Anexo N° 02: Acta de Hallazgo N° 05

COBITENTREGAR Y DAR
SOPORTE (DS) en su Proceso
El firewall de las computadoras se Anexo N° 06: Directiva N° 004-2012/GTIC/MDLO
5 Garantizar la seguridad de los
encuentra deshabilitado “Procedimientos y medidas de Seguridad ante la
sistemas de acuerdo con el objetivo
presencia del software malicioso en la MDLO”.
de control 5.10Seguridad de red
5.3.4 (página 8)

Anexo N° 02: Acta de Hallazgo N° 06

Anexo N° 05: Directiva N° 004-2011-MDLO

ISO/IEC 27002:2013 (9.1.2) Control
de Accesos: Control de acceso a las
redes y servicios asociados
“Disposiciones Generales para la Adquisición y
Se encontró realizando un mal uso en
Administración de equipos Informáticos de la MDLO”.
la red, compartiendo archivos de
Folio 10 / 6.2.3.9 y 6.2.3.10
interés personal y no laboral.
Anexo N° 08: Directiva N° 006-2012/GTIC/MDLO
“Procedimientos y Evaluación del análisis de riesgo
informático de la MDLO”.
7.6.5 (c) (página 09)

MDLO INFORME FINAL DE AUDITORIA
ISO/IEC 11801: Este Estándar para
Cableado de Telecomunicaciones en
Edificios Comerciales expone los
requisitos mínimos de cableado para
telecomunicaciones, la topología
recomendada y los límites de
distancia, entre otros puntos.
COBIT ENTREGAR Y DAR
SOPORTE (DS) DS4.2 Planes de
continuidad de TI
COBIT DS5.9 Prevención, Detección
y corrección de software malicioso
Poner medidas preventivas,
detectives y correctivas (en especial
contar con parches de seguridad y
control de virus actualizados) en toda
la organización para proteger los
sistemas de la información y a la
tecnología contra malware (virus,
gusanos, spyware, correo basura).
ISO/IEC 27002:2013 (8.1.1) Gestión
de activos. Inventario de activos
ISO/IEC 27002:2013 (15.1)
Relaciones con suministradores.
Párrafo 4
ISO/IEC 27002:2013 (8.1.1) Gestión
de activos. Inventario de activos
ISO/IEC 27002:2013 (15.1)
Relaciones con suministradores.
Párrafo 4
ISO/IEC 27002:2013 (9.1.2) Control
de acceso a las redes y servicios
asociados
COBIT ENTREGAR Y DAR
SOPORTE DS8: Administrar la mesa
de servicio y los incidentes.
Se realizaron cambios en la topología
física de la red de la MDLO, los cuales
no se actualizaron en los planos de
dicha topología.
No se cuenta con equipo UPS para
prever una continuidad de procesos en
la red en caso de falta de suministro de
energía eléctrica por parte del
proveedor.
Los antivirus instalados no se
encuentras actualizados, carecen de
licencia y convierten vulnerable la Red.
No se han registrado los equipos de
red en un inventario para llevar el
control de los mismos
No se han registrado los softwares de
los equipos conectados a la red en un
inventario para llevar el control de los
mismos
Las IP’s asignadas a los usuarios son
aleatoriamente y en base a los
disponibles, no hay un control de
usuarios-IP-equipo.
No se registran las incidencias que
ocurran en la red, se solucionan en el
momento pero no se guarda el registro
de ello.
Versión : 01-2015
Fecha : 08-07-15
Página : 3 de 5
Anexo N° 03: Entrevista N° 1 (Preg. 1)
Anexo Nº 10: Memoria Descriptiva de Servicio de
instalación de cableado estructurado Cat 6ª para las
Sedes: Palacio Municipal de Los Olivos, Caja
Municipal de Los Olivos, Hospital Municipal de Los
Olivos. (Ítem 5.1)
Anexo N° 12: ROF 2015 Pag. 41-42 Ítem 37.20
Anexo N° 03: Entrevista Nº 1 (Preg. 2)
Anexo N° 07: Directiva N° 005-2012-GTIC-MDLO
“Plan de Contingencia de los Sistemas de Información
de la MDLO” Pág. 12 Riesgo: Corte prolongado de la
energía eléctrica (Medidas de prevención) – Riesgo:
Caída de circuitos integrados (Medidas de previsión}
Anexo N° 10: Término de Referencia de Servicio de
Internet (2. –g)
Anexo N° 03: Entrevista Nº 1 (Preg. 3)
Anexo N° 06: Directiva N° 004-2012/GTIC/MDLO
“Procedimientos y medidas de Seguridad ante la
presencia del software malicioso en la MDLO”.
5.3.8 (página 8), 5.2.2 (página 7)
Anexo N° 08: Directiva N° 006-2012/GTIC/MDLO
“Procedimientos y Evaluación del análisis de riesgo
informático de la MDLO”.
7.6.8 (A) (página 10)
Anexo N° 03: Entrevista Nº 1 (Preg. 4)
Anexo N° 05: Directiva N° 004-2011-MDLO
“Disposiciones Generales para la Adquisición y
Administración de equipos Informáticos de la MDLO”.
Folio 19 / 6.2.14
Anexo N° 07: Directiva N° 005-2012-GTIC-MDLO
“Plan de Contingencia de los Sistemas de Información
de la MDLO” Pág. 7 – 5.2.4.1 (b)
Anexo N° 03: Entrevista Nº 1 (Preg. 5) Anexo N° 05:
Directiva N° 004-2011-MDLO “Disposiciones
Generales para la Adquisición y Administración de
equipos Informáticos de la MDLO”.
Folio 19 / 6.2.14
Anexo N° 07: Directiva N° 005-2012-GTIC-MDLO
“Plan de Contingencia de los Sistemas de Información
de la MDLO” Pág. 7 – 5.2.4.1 (b)
Anexo N° 11: MOF – 2015 Pág. 30 Ítem 8
Anexo N° 03: Entrevista Nº 1 (Preg. 6)
Anexo N°12: ROF – 2015 Pág. 41 Ítem 37.6
Anexo N° 03: Entrevista Nº 1 (Preg. 7)
 Versión : 01-2015
MDLO INFORME FINAL DE AUDITORIA Fecha : 08-07-15
Página : 4 de 5

COBIT ENTREGAR Y DAR

SOPORTE (DS) DS2.3
Cuentan con servicio de internet pero Anexo N° 03: Entrevista Nº 1 (Preg. 8) Anexo Nº 10:
Administración de Riesgo del
no bajo un contrato, temporalmente. Término de Referencia de Servicio de Internet - Lima
Proveedor

ISO/IEC 27002:2013 /
Anexo N° 03: Entrevista Nº 1 (Preg. 9)
11.2.4)Seguridad Física y ambiental.
Anexo N° 05: Directiva N° 004-2011-MDLO
Mantenimiento de los equipos No se suelen realizar mantenimientos
“Disposiciones Generales para la Adquisición y
- COBIT ENTREGAR Y DAR preventivos, por ello la realización de
Administración de equipos Informáticos de la MDLO”.
SOPORTE (DS) DS13.5 mantenimientos correctivos incrementa.
Folio 12 / 6.2.5.3 - 6.2.5.4
Mantenimiento preventivo de
Anexo N° 12: ROF – 2015 Pág. 41 Ítem 37.9
Hardware.
Anexo N° 03: Entrevista Nº 1 (Preg. 10)
Anexo N°: ROF 2015 Pag. 42 Ítem 37.21
COBIT ENTREGAR Y DAR No se cuentan con routers redundantes Anexo N° 07: Directiva N° 005-2012-GTIC-MDLO
SOPORTE (DS) DS4.2 Planes de para caminos alternos de la “Plan de Contingencia de los Sistemas de Información
continuidad de TI comunicación en la red de la MDLO” Pág. 13 Riesgo: Falla en componentes
de la red de comunicación de datos (Medidas de
prevención)

Anexo N° 02: Acta de Hallazgo N° 07

ISO/IEC 270012:2013 (9.1.2) Control Las computadoras del área de Soporte Anexo N° 05: Directiva N° 004-2011-MDLO
de Accesos: Control de acceso a las tienen acceso a redes sociales, y otras “Disposiciones Generales para la Adquisición y
redes y servicios asociados páginas de entretenimiento. Administración de equipos Informáticos de la MDLO”.
Folio 16 / 6.2.9.1

Anexo N° 02: Acta de Hallazgo N° 08

ISO/IEC 27002:2013 (9.1.1) Control
de accesos: Requisitos de negocio
para el control de accesos: Política
de control de accesos. Refiere que
hay que asegurarse que el acceso de
los usuarios a las redes y sus
servicios no
comprometan la seguridad de dichos
servicios
Anexo N° 05: Directiva N° 004-2011-MDLO
“Disposiciones Generales para la Adquisición y
Administración de equipos Informáticos de la MDLO”.
Se logró introducir un dispositivo USB
Folio N°13, VI. Disposiciones Específicas. /6.2 de la
en una de las estaciones de trabajo del
administración y recepción y salida de los equipos de
área, incumpliendo la norma de
informática. /6.2.8 de la seguridad de los equipos
restricción de reconocimiento de
informáticos de la Red/ 6.2.8.4.
dispositivos extraíbles
Anexo N° 07: Directiva N° 005-2012-GTIC-MDLO
“Plan de Contingencia de los Sistemas de Información
de la MDLO” Pág. 15 Riesgo: Daños en los archivos
por virus informáticos (Medidas de prevención)

7.2 Resumen de Hallazgos

Ítem Total
Hallazgos menores 8
Hallazgos mayores 10

8. Conclusiones

- En la auditoría realizada se encontraron hallazgos los cuales fueron:

1. Ausencia de control de acceso físico a los servidores

2. Deficiencia de seguridad física del cableado
3. Deficiencia en el cuidado del ambiente del servidor
4. Ausencias de controles físicos frente a equipos informáticos de red
5. Ausencia de seguridad en la red mediante firewall
 Versión : 01-2015
MDLO INFORME FINAL DE AUDITORIA Fecha : 08-07-15
Página : 5 de 5

6. Deficiencia de control de políticas de uso de red.

7. No cuenta con la topología de red física actualizada
8. Ausencia de equipos para la continuidad de procesos
9. Ausencia de Seguridad la Información de la Red contra malware.
10. No existen inventarios de equipos de red
11. No existen inventarios de software instalados por equipo
12. No existe un registro de IP’s asignadas por usuario
13. No existe registro de incidencias de la red
14. Ausencia de contrato de servicio de internet
15. Deficiencias en la realización de mantenimiento preventivo y correctivo
16. Ausencia de rutas alternas de la red
17. Deficiente Control sobre las políticas de uso de los servicios de red
18. Se permite la conexión y reconocimiento de dispositivos extraíbles a los ordenadores

9. Fecha del informe:

26 / 06 / 2015

10. Distribución del informe

El Informe de Auditoria de Redes y Telecomunicaciones será remitido las siguientes

autoridades:

Cargo Nombre

Gerente de Tecnología de la Información y

César Peña Anticona
Comunicaciones

11. Nombre y firma del Auditor Lider

Bernabel Soto, Dahiana J. Cristy