Reporte de Auditoria

HC-RA/03/2011

No está permitida la reproducción total o parcial, ni su tratamiento o transmisión por cualquier método o medio electrónico sin autorización escrita de hellow communications.

Contenido
Índice de Tablas ............................................................................................................................. 2 Introducción................................................................................................................................... 3 Objetivos........................................................................................................................................ 3 Objetivos Principales .................................................................................................................. 3 Objetivos Generales ................................................................................................................... 3 Justificación ................................................................................................................................... 4 Desarrollo ...................................................................................................................................... 4 Instrumentos Aplicados .............................................................................................................. 4 Seguridad ............................................................................................................................... 4 Sistemas ................................................................................................................................. 6 Redes ................................................................................................................................... 10 Áreas de Oportunidad .............................................................................................................. 14 Seguridad ............................................................................................................................. 14 Sistemas ............................................................................................................................... 15 Redes ................................................................................................................................... 16 Tecnología Emergente .............................................................................................................. 16 Seguridad ............................................................................................................................. 16 Sistemas ............................................................................................................................... 17 Redes ................................................................................................................................... 18 Conteo Estadístico .................................................................................................................... 18 Seguridad ............................................................................................................................. 18 Sistemas ............................................................................................................................... 18 Redes ................................................................................................................................... 18 Conclusiones ................................................................................................................................ 20

Índice de Tablas
Tabla 1Check-list de Seguridad ....................................................................................................... 6 Tabla 1 Checklist Sistemas ............................................................................................................ 10 Tabla 1 Checklist Redes ................................................................................................................ 14

y . asi como los resultados arrojados por las mismas. que arroje resultados de provecho a la organización auditada así como las soluciones propuestas. Se presenta también con el fin de la mejora continua un análisis de recomendaciones basados en tecnologías emergentes. en la Universidad Tecnologica Emiliano Zapata (UTEZ). y El equipo de trabajo será capaz de proponer soluciones basadas en la tecnología emergente. La información contenida en este docuemnto esta conformada por los objetivos de la auditoria. Objetivos Objetivos Principales El equipo de trabajo logre identificar en todos los procesos a analizar áreas de oportunidad. que sirvan como base para la implementación de nuevas técnologias dentro del departamento administrativo de la carrera de TIC en la isntitucion antes mencionada. y El equipo de trabajo será capaza de realizar y aplicar de manera efectiva las herramientas necesarias para la realización de la auditoria y Realizar una auditoría eficaz. justificación y las actividades realizadas para su desarrollo. también se incluyen las herramientas utilizadas para su elaboración.Introducción En el siguiente documento se presentan los generales de la la auditoria informática realizada al departamento adminustrativo de la carrera de TIC. y El equipo de trabajo será capaz de proponer soluciones coherentes con respecto de las áreas de oportunidad identificadas en el desarrollo del proyecto. y Objetivos Generales El equipo de trabajo será capaz de exponer de manera adecuada y asertiva los resultados obtenidos de las actividades que corresponden al proyecto.

Justificación Hoy en dia las Tecnologias de la Informacion están presentes en todas las areas de una organización. aunque la tendencia formada en el uso de esta tecnología a sido de manera abierta. No Descripción 1 Considera que la información de los equipos está correctamente respaldada 2 Existe algún estándar de elaboración de contraseñas 3 Son apropiadas las instalaciones para los equipos 4 Existe sistemas de seguridad para el acceso a las instalaciones 5 Cuenta con equipo necesario en caso de SI x NO Observaciones x x x x . Justamente por esta razón el departamento administrativo de la carrera de TIC de la Universidad Tecnoligica Emiliano Zapata. con el paso de los años se a hecho necesario mejorar l aplanificacion de las adquisiciones tecnoligcas y la organización del personal que lo utiliza. Desarrollo Instrumentos Aplicados Seguridad El Check-list de Seguridad que se muestra a continuación es elaborado con el fin de poder analizar y establecer cuáles son los puntos fuertes y débiles dentro de la organización y poder identificar sus áreas de oportunidad todo con el fin de poder aportar las mejores soluciones posibles. Es por esto que implementar actividades de auditoria y control en el uso de las tecnologías ha acelerado el dessenvolviemiento de las demás actividades económicas dentro de un aorganizacion.acepta se realicen las practicas de auditoria informática en sus instalaciones con el fin de consolidar sus objetivos estratégicos y su participación dentro de la división academica a la que pertenece.

cortafuegos o software anti espías 15 Son adecuadas las áreas de trabajo del personal 16 Cuenta con salidas de emergencia en caso de contingencia 17 Los equipos se encuentran aislados de componentes que los pueden perjudicar 18 Existe algún suministro de energía en caso de algún apagón 19 Las instalaciones cuentan con canaletas o tuberías para cada aparato eléctrico 20 Las instalaciones cuenta con termómetros de x x x x x x x x x .algún accidente (primeros auxilios ) 6 La organización tiene elaborados planes de prevención y contingencias 7 Considera el acceso y salida de las x x instalaciones adecuadas o segura 8 Existen bitácoras de actividades y registro del personal 9 Las instalaciones cuentan con ventilación adecuada para los equipos 10 Cuentan con algún método de vigilancia ya sea por equipos o de manera personal 11 Cuentan con equipos de soporte para x x x x emergencias ambientales 12 Existen señalamientos de ayuda. restricción y prevención. 13 Cuenta la organización con alarmas en caso de algún incidente 14 La red de la organización cuenta con antivirus.

así como buscar recomendaciones para contenerlos. No. Concepto de cumple Observaciones .temperatura 21 22 Las instalaciones cuenta con tierra física Las instalaciones cuentan con detector de humo 23 ¿Existen cambios frecuentes en las x x x contraseñas de seguridad para los equipos? 24 ¿Cuenta con los seguros necesarios que cubran las pérdidas económicas en caso de desastre? 25 Cuenta con alguna norma o estándar de seguridad que garantice la integridad de los equipos e instalaciones de la empresa 26 Cuenta con algún servicio de seguridad privada 27 Cuenta con alguna política de confidencialidad para evitar la fuga de información de la empresa 28 Existe alguna política para evitar la instalación de software no permitido dentro de los equipos de la organización Tabla 1Check-list de Seguridad x x x x x Sistemas Es un estudio de factibilidad que pretende detectar posibles riesgos. El objetivo de evaluar un sistema es saber si puede habilitar los requerimientos. En seguida se muestran los puntos que serán evaluados durante la auditoría en la Universidad Tecnológica Emiliano Zapata (UTEZ) sobre el tema de sistemas. atributos de calidad y restricciones para asegurar que el sistema a ser construido cumple con las necesidades de los stakeholders.

sistemas SI El soporta 1 sistema X las NO necesidades de la empresa EL sistema X cuenta con una 2 arquitectura de diseño El sistema tiene X 3 disponibilidad El 4 sistema X cuenta con un atributo de confidencialidad El sistema es X funcional 5 todos usuarios El 6 sistema X para sus cuenta con el atributo confiabilidad El sistema X de cuenta con un 7 atributo seguridad interna El sistema tiene X 8 la capacidad de de .

mantenibilidad El sistema tiene 9 capacidad prueba. El sistema es realizado 10 alguna bajo norma X de X En el área de TIC no se pueden hacer pruebas pero si en el CEVICET No porque fue desarrollado antes de la certificación en Mo-Prosoft de prácticas de desarrollo. El sistema es X 14 integral El 15 sistema X a cuenta con un nivel de . El sistema es X 11 multiplataforma ¿Se implementan contraseñas para 12 evitar el al de no X acceso sistema personas autorizadas? El sistema X Solo soporta 200 usuarios simultáneamente responde rápidamente 13 solicitudes múltiples de los usuarios.

Los 18 UML del son de X de En el área de TIC no cuenta con los diagramas sistema fácil interpretar El cumple todos 19 sistema con los X Los necesitan stakeholders un sistema/ modelo que calculen los horarios requerimientos de stakeholders. es X .desempeño ideal. El sistema es X 16 configurable El 17 sistema X Es un sistema web con conexión a internet se puede accesar cuenta con un nivel portabilidad. El sistema 21 escalable El sistema está X 22 documentado. El puede ejecutado cualquier sistema X ser en los 20 hardware con requerimientos de capacidad mínimos.

Concentradores. No. En seguida se muestran los puntos que serán evaluados durante la auditoría en la Universidad Tecnológica Emiliano Zapata (UTEZ) sobre el tema de Redes. Líneas. 1 Conceptos de Redes La red cuenta con el estándar 568-a o 568-b sobre el cableado Cumple SI NO X Observaciones comercial para productos y servicios de telecomunicaciones 2 La red cuenta con X cableado estructurado 3 La red cuenta con un etiquetado de nodos 4 La red cuenta con el estándar 569 sobre las rutas y espacios de X X Algunos de los nodos no cuentan con el etiquetado correspondiente . Redes Locales. Multiplexores. etc.El sistema está desarrollado 23 bajo la norma de Mo-ProSoft ¿La 24 estructura X X El sistema fue desarrollado antes de la certificación del sistema es amigable? Tabla 2 Checklist Sistemas Redes El checklist de Redes es el entramado conceptual que constituyen las Redes Nodales. no son sino el soporte físico-lógico del Tiempo Real.

sin embargo cuando esta por la red inalámbrica velocidad 7 La red cuenta seguridad con la la X no es la misma X para transmisión de los datos 8 La red siempre está X disponible para el uso de esta 9 La red es escalable para que varios usuarios la utilicen al mismo tiempo 10 La red cuenta con el estándar 607 tierra física 11 La red cuenta con el estándar 570 alambrado telecomunicaciones residencial liviano 12 La red cuenta con el estándar 606 administración sobre la de la X y comercial sobre el de X sobre la X X .telecomunicaciones 5 La red cuenta con un firewall instalado 6 La red tiene una velocidad rápida para la transmisión de datos X Cuando el usuario está conectado directamente por el cableado de red es rápida la transferencia.

sin embargo cuando esta por la red inalámbrica no existen los niveles de acceso .infraestructura 13 La red cuenta con el estándar 802 sobre la X comunicación inalámbrica 14 15 La red tiene QoS La red cuenta con tendido de fibra óptica 16 Los equipos cuenta con autentificación acceder a la red 17 El cableado de la red utilizado en la empresa para realizar la conexión entre el Site y de los X para X X X comunicaciones nodos de la red es inferior de 90 metros 18 La red cuenta con el estándar que que debe establece haber de un dos X mínimo tomacorrientes dobles de 110V C.A. 19 La red cuenta con niveles de acceso acorde a los distintos servicios que se ofrecen esta X Cuando el usuario está conectado directamente por el cableado a la red si existe los niveles de acceso. dedicados de tres hilos.

X sobrecargas que puedan dañar dichos equipos evitando la perdida de información 22 La empresa cuenta con una persona encargada de brindar el debido tanto como X mantenimiento correctivo preventivo para procurar su correcto funcionamiento de la red 23 El cable utilizado permite la protección contra X interferencias eléctricas y . cuentan con una salida alterna o desfogue de acceso de energía (tierra física). con el fin de evitar switches. etc.20 La empresa cuenta con un lugar específico donde se almacenados encuentren todos los X dispositivos que permiten el funcionamiento de la red 21 Los equipos conectaos a la red como son las PCs. routers.. conmutadores. impresoras.

magnéticas 24 La red soporta tráfico en tiempo real en todo tipo de entornos y situaciones 25 La red está diseñada en base a un estándar de calidad 26 La red cuenta con X X X Wireless 27 La empresa cuenta con manuales de la red 28 La empresa cuenta con planos de la red Tabla 3 Checklist Redes X X Áreas de Oportunidad Seguridad A continuación se muestran las áreas de oportunidad encontradas en el área de Seguridad: No Descripción 2 Existe algún estándar de elaboración de contraseñas 4 Existe sistemas de seguridad para el acceso a las instalaciones 7 Considera el acceso y salida de las x x SI NO x Observaciones instalaciones adecuadas o segura 18 Existe algún suministro de energía en caso de algún apagón 20 Las instalaciones cuenta con termómetros de x x .

Los 18 UML del son de X En el área administrativa de de TIC no cuenta con los diagramas de su sistema fácil interpretar El cumple sistemas. Concepto de sistemas El sistema tiene capacidad 9 prueba. de cumple SI NO X Observaciones En el área administrativa de TIC no se pueden hacer pruebas pero si en el CEVICET El sistema es realizado 10 alguna bajo norma X No porque fue desarrollado antes de la certificación en Mo-Prosoft de prácticas de desarrollo. El sistema X Solo soporta 200 usuarios simultáneamente a responde rápidamente 13 solicitudes múltiples de los usuarios.temperatura Sistemas A continuación se muestran las áreas de oportunidad encontradas en el área de Sistemas: No. X Los necesitan stakeholders un sistema/ sistema con los 19 todos modelo que calculen los horarios requerimientos .

de stakeholders. sin embargo cuando esta por la red inalámbrica velocidad 19 La red cuenta con niveles de acceso acorde a los distintos servicios que se ofrecen esta X Cuando el usuario está conectado directamente por el cableado a la red si existe los niveles de acceso. los El sistema está desarrollado 23 bajo la norma de Mo-ProSoft X El sistema fue desarrollado antes de la certificación Redes A continuación se muestran las áreas de oportunidad encontradas en el área de Redes: No. sin embargo cuando esta por la red inalámbrica no existen los niveles de acceso no es la misma Tecnología Emergente Seguridad Es importante saber quien hace uso de las instalaciones ya que no cualquier persona puede hacer uso de los dispositivos y módulos que existen en el área . 3 Conceptos de Redes La red cuenta con un etiquetado de nodos 6 La red tiene una velocidad rápida para la transmisión de datos X Cumple SI NO X Observaciones Algunos de los nodos no cuentan con el etiquetado correspondiente Cuando el usuario está conectado directamente por el cableado de red es rápida la transferencia.

dispositivos UPS. No break los cuales brindaran el respaldo de energía necesario ante alguna contingencia. Sistemas El sistema que actualmente se emplea no está certificado. Una de las normas que pueden ayudar a mejorar el rendimiento del sistema es la de Mo-prosoft una norma Mexicana. Ante este problema se puede hacer uso de plantas de luz portátiles.administrativa. es por eso que es conveniente tener una metodología adecuada para el desarrollo de las actividades diarias dentro del área administrativa a fin cubrir todas y cada una de las solicitudes que se realizan en la misma. Es por eso importante que exista un sistema de verificación de usuario para poder acceder a ella. de voz y de contraseña que pueden ser de mucha utilidad para el ingreso a dicha área reforzando así su seguridad. solo el personal autorizado. Actualmente existen diferentes mecanismos de identificación de usuario como por ejemplo -verificadores de huella digital. estructuracion y asignacion de las horas a laborar . Es necesario contar con un sistema que realice la asignacion de horario a los docentes de laboran en la institucio y asi reducir el tiempo en la estructuracion de los horarios. Otro punto importante que se debe tomar en cuenta es que ante alguna falla en el suministro de energía eléctrica exista una fuente alterna de energía la cual brinde al área administrativa un tiempo de respaldo necesario para que no se sufra con algún tipo de corrupción de la información ó en el peor de los casos de pérdida de la misma.

Ante la pobre calidad del sistema de red inalámbrica es importante tomar en cuenta y aplicar normas y estándares que ayuden a resolver esta falla. Existen normas que nos permiten una óptima estructuración y administración del cableado presente en el área administrativa.Redes Es muy elemental saber que la estructura del cableado es la correcta.28% lo cual es un resultado aprobatorio en el área de redes. .11 que se adecua al incorporar una infraestructura en la red inalámbrica. Existen estándares que aplicados en el área mitigarían las necesidades del personal que hace uso de la red inalámbrica. unas de las normas que actualmente se ponen en práctica es la ANSI/TIA/EIA-606 de Administración para la Infraestructura de Telecomunicaciones. Entre los estándares que se pueden incorporar están el estándar IEEE 802. dicha estructura hará llevar una optima administración del área. Conteo Estadístico Seguridad Los puntos que se encuentran en la parte superior arrojaron un porcentaje de aceptación del 82.14% lo cual es un resultado aprobatorio en el área de seguridad. Redes Los puntos que se encuentran en la parte superior arrojaron un porcentaje de aceptación del 89. Sistemas Los puntos que se encuentran en la parte superior arrojaron un porcentaje de aceptación del 75% lo cual es un resultado ponderadamente bajo en el área de sistemas.

85% 82.14% 1 2 3 Sistemas A continuación se muestra gráficamente el resultado del checklist de sistemas. 17.Grafica Estadística Seguridad A continuación se muestra gráficamente el resultado del checklist de seguridad. .

25% 75% 1 2 3 Redes A continuación se muestra gráficamente el resultado del checklist de redes.71% 1 89.28% 2 3 Conclusiones . 10.

En cuanto al contenido de la misma. esperando se tome en cuenta y se le de la importancia debida y el seguimiento adecuado para evitar fracasos futuros. Todo esto mencionado como una recomendación para obtener resultados mucho más satisfactorios en auditorias futuras.Al termino de las actividades de esta auditoría. sin embargo se ha realizado un análisis de tecnología emergente que propone soluciones de implementación para mejorar y superar dichas areas de oportunidad. . una vez obtenidos los resultado arrojados de la implemetacion de las gerramientas de evaluación y la realización de un análisis de la información obtenidas los resulatodo obtenidos no han rebasdo las expectativas iniales de este proyecto. se cpncluye que las actividades fueron culminadas con el éxito esperado en cuanto al trabajo en equipo realizado para llevar a cabo el desarrollo de la auditoria.

Sign up to vote on this title
UsefulNot useful