Está en la página 1de 20

UNIVERSIDAD SAN PEDRO

VICERRECTORADO DE INVESTIGACIN
Direccin General de Investigacin

"Auditora Informtica a laboratorios de

TITULO

cmputo

Facultad

de

Ingeniera

Universidad San Pedro Chimbote, 2015".

INTEGRANTES
Fabian E. Guerrero Medina
Jorge Arroyo Tirado
Olga R. Zumarn Alayo
Kenedy J. Gutirrez Mendoza

FACULTAD DE INGENIERA

Chimbote, 2728/01/2016

RESUMEN
El presente proyecto tuvo por finalidad, aplicar una propuesta de plan de auditora
informtica a los laboratorios de cmputo de la Facultad de Ingeniera que nos
permiti establecer el estado de los controles internos en las que se encuentran.
Para la ejecucin de este proyecto se ha utilizado normas y metodologas de diversos
autores que han permitido establecer una propuesta metodolgica de Plan de
Auditora, cuyo trabajo es de carcter aplicativo y descriptivo.
Finalmente, como resultado de la aplicacin de la propuesta del Plan de Auditora, ha
permitido establecer los hallazgos o evidencias, el impacto o peligro de lo auditado
as como una serie de recomendaciones al respecto; con miras a establecer polticas,
aplicacin de normas y la seguridad en el trabajo en los laboratorio de cmputo de la
Facultad de Ingeniera.

PALABRAS CLAVE:
Palabras claves: Auditora Informtica.
Keys words: Computer Audit.
Lnea de investigacin:
Plan Nacional
General:

04 TRANSVERSALES DEL CONOCIMIENTO

Especfica:

0403 INDUSTRIAS DE LA INFORMACION Y


DEL CONOCIMIENTO
0403 02 Redes y Telecomunicaciones.

INTRODUCCIN
Problema:

La falta de verificacin de los controles de seguridad de las dimensiones fsicas y

lgicas de los equipos que forman parte de los laboratorios de cmputo, nos lleva a plantearnos
la siguiente interrogante:
Cmo aplicar un plan de auditora informtica a los laboratorios de cmputo facultad de
ingeniera Universidad San Pedro Chimbote, 2015?

Justificacin de la investigacin:
La aplicacin del Plan de auditora nos lleva a establecer nuevas polticas de seguridad a nivel de
recomendaciones para solucionar la problemtica social de inseguridad de los equipos y de los programas as
como para el control de acceso a los mismos.

OBJETIVOS
General:
Implementar un Plan de Auditora Informtica a los Laboratorios de Cmputo de la Facultad de
Ingeniera de la Universidad San Pedro de Chimbote para establecer su estado de los controles
internos propuestos.
Objetivos Especficos:
1. Analizar la situacin actual de los Laboratorios de Cmputo de la Facultad de Ingeniera.
2. Aplicar la propuesta del Plan de Auditora Informtica para los Laboratorios de Cmputo de la
Facultad de Ingeniera.
3. Establecer los estados de control internos propuestos en las diferentes fases de la propuesta del
plan de auditora informtica para los laboratorios de cmputos de la Facultad de Ingeniera.

METODOLOGA DEL TRABAJO

Tipo de Investigacin: Tecnolgica.

Diseo de Investigacin: No experimental, descriptivo.

Tcnicas e instrumentos de investigacin:

TECNICA
ENTREVISTA

INSTRUMENTOS
CUESTIONARIO

MATERIALES
Encargado
Personal de Apoyo

Poblacin y muestra: La poblacin estuvo constituida por los 9 Laboratorios adscritos a la


Facultad de Ingeniera a nivel de la Sede Central de Chimbote.

RESULTADOS
El 100% de las personas que laboran y utilizan los laboratorios de cmputo desconocen
de la existencia de polticas de seguridad, para manejar de manera adecuada la
infraestructura de los laboratorios de cmputo en estudio tanto fsico como lgico.
Asimismo, de la informacin recopilada a travs de los instrumentos utilizados para tal
fin, se llega a determinar la necesidad urgente de establecer un Plan de Auditora
Informtica, cuya propuesta de implementacin viene a ser la razn por la cual
ejecutamos la investigacin.
Finalmente, a partir de la evaluacin de la matriz de riesgos se establecen
recomendaciones para minimizar el impacto de los hallazgos encontrados en la auditora
a los laboratorios de cmputo.

IMPLEMENTACIN DE LA AUDITORIA
1. Administracin de la Seguridad Fsica
a.

Solicitud de polticas para el acceso a los laboratorios de cmputo.

b.

Verificacin de acceso a los laboratorios de cmputo.

c.

Solicitud y Verificacin del diagrama fsico y lgico de los laboratorios de cmputo.

d.

Visita tcnica para comprobacin de seguridades fsicas de las instalaciones del laboratorio de cmputo.

e.

Visita tcnica para comprobacin de que existan medidas de prevencin contra eventos de la naturaleza o producidos por el hombre.

f.

Verificacin de inventarios de los equipos informticos del laboratorio de cmputo dentro de la organizacin.

g.

Entrevistas al personal encargado de los laboratorios de cmputo sobre manejo de equipos dentro y fuera del rea laboratorio de
cmputo.

h.

Entrevistas al personal para darle de baja a los equipos de los laboratorios cmputo.

i.

Verificacin de procedimientos de fallas de los equipos de los laboratorios de cmputo.

2. Administracin de la Seguridad Lgica


j.

Solicitud de lista de acceso y polticas de control de acceso.

k.

Evaluacin de las polticas de acceso y autenticaciones de las aplicaciones.

l.

Solicitud de polticas para la administracin de contraseas.

m. Verificacin de las polticas para cambios de contraseas de cuentas genricas y de usuarios.


n.

Verificacin de las activaciones del logs de auditora para aplicaciones.

RESULTADOS
3. Adquisicin, Instalacin y Mantenimiento (Software)
a.

Solicitud de planificaciones de compra de software.

b.

Solicitud de las licencias de software instaladas en los equipos.

c.

Identificacin de los responsables para autorizar actualizacin del software.

d.

Solicitud de Bitcoras de actualizaciones de las aplicaciones y sistemas operativos.

e.

Solicitud y Verificacin de los programas instalados en los equipos.

4. Administracin de Redes
f.

Solicitud del diagrama y configuraciones de red

g.

Entrevista para la verificacin del cumplimiento de Polticas y procedimientos de mantenimiento y soporte de la red

h.

Solicitud y Verificacin de Incidentes o Fallas de la red

i.

Verificacin de que los programas y PCs se encuentren conectado por medio de la red.

j.

Verificacin de que los recursos se encuentren asignados de manera correcta.

k.

Verificacin de las actualizaciones del antivirus instalado

l.

Evaluacin del monitoreo de la red

ANLISIS Y DISCUSIN DE RESULTADOS


Hallazgo

Impacto

Nivel de Riesgo

Recomendaciones

Control del acceso fsico a los Laboratorio de Cmputo


No se tienen polticas o

Personas no autorizado puede

procedimientos formales

ingresar al laboratorio sin

acceso para personas internas

para el acceso a los

ninguna restriccin.

o externas.

Laboratorios de Cmputo.

Se evidenci que los

Existe dependencia en el

servidores propios de la

trabajo propio de la

de la Facultad se habilite

Facultad no son

administracin de los

totalmente.

administrados por el rea

laboratorios de cmputo.

Laboratorio de Cmputo de

Se sugiere tener polticas de

Se sugiere que el Data Center

la Facultad.
Durante la visita tcnica se Personal no autorizado puede

Se sugiere implementar

comprob que se puede

ingresar al Data Center sin

controles para el acceso de

ingresar al Data Center sin

ninguna restriccin.

personal interno y externo no

ninguna restriccin.

autorizado al Data Center.

ANLISIS Y DISCUSIN DE RESULTADOS


Ambiente de los Laboratorio de Cmputo
Se evidenci que no se tiene
La universidad vende servicios

Se recomienda

conocimiento como usar los

educativos y cuenta con equipos

implementar planes o

extintores en los laboratorios de

muy caros se corre el riesgo de

mecanismos para la

cmputo, por parte de los

que un incendio pueda daar o

prevencin de incendios.

encargados.

perderse los equipos.

Control de acceso a equipos


Se evidenci que no se tiene una

Se tiene dependencia de otra rea

descripcin de las

(OIT) para solucionar problemas

Se sugiere capacitar al
personal del rea o

configuraciones de las PCs en los de configuracin.

contratar personal

laboratorios de cmputo.

calificado.

Se evidenci que los equipos

No se tiene las acciones de

dados de baja son enviados a

actualizar el inventario.

Se sugiere tener un
Sistema Informtico para

bodega sin verificar su

el control de inventarios

inventario.

de las PCs de los


laboratorios de cmputo.

ANLISIS Y DISCUSIN DE RESULTADOS


Durante la entrevista al

Se tiene el riesgo de no tener un

Se sugiere realizar planos

encargado de la oficina se

control adecuado en servicios de

fsicos o electrnicos de las

evidenci que no se tienen

hardware en un futuro

redes de datos de los

diagramas fsicos de redes,

crecimiento afectando el

laboratorios con un

electrnicos o planos de los

performance que se tiene en las

responsable en la

laboratorios de cmputo.

redes o equipos compartidos.

actualizacin de estos
diagramas.

Se evidenci que no se tiene un

Interrupcin del servicio de

plan de contingencia formal, en

manera continua al no tener un

caso de haber una falla en las PC

plan de contingencia a seguir.

Se sugiere tener un plan de


contingencia bsico.

s de los laboratorios de cmputo.

PROCESO

EFECTIVIDAD SOBRE EL OBJETIVO


DE CONTROL

CONTROL DE ACCESO FSICO A LOS

NO CUMPLE

LABORATORIOS DE COMPUTO
AMBIENTE DE LOS LABORATORIOS DE

NO CUMPLE

COMPUTO
CONTROL DE ACCESO A EQUIPOS

NO CUMPLE

No se tiene una lista de control Al tener una lista de usuarios


de

existeYlaDISCUSIN
posibilidad de tener
un
ANLISIS
DE RESULTADOS

acceso de los usuarios a la red

control para cualquier toma de

Hallazgo
de los laboratorios
de cmputo. decisiones. Impacto
Administracin de Cuentas
No se realiza la administracin Se carece de informacin sobre este
de Cuentas.

NR
M

control.

Administracin de usuarios
Durante
la
revisin
comprob

que

el

se Al tener acceso todo el personal

Recomendaciones
Para los usuarios es necesario la
administracin de cuentas.

personal encargado y el personal de limpieza a

Se sugiere limitar el acceso a las


llaves reubicando su posicin.

encargado de los laboratorios las llaves de los laboratorios de

de cmputo tiene el acceso a cmputo existe la posibilidad de que


todas las llaves as como el peligre la perdida de equipos y PCs
personal de limpieza.

de los laboratorios.

Durante la revisin de acceso a Se posibilita trabajar en cualquier PC


trabajar con las PCs, no se
cuenta con cuentas de acceso.

s.

El rea encargada debe


establecer polticas para su
acceso.

ANLISIS Y DISCUSIN DE RESULTADOS


Administracin de contraseas
Durante la revisin se
Al no tener una clave individual
comprob que no existe una

o universal se tiene el riesgo de

Se sugiere implementar claves


de acceso.

administracin de contrasea no tener un control de acceso.


en las PCs de los
laboratorios de Cmputo.

Registro de Auditora
No se tiene habilitado esta No se tiene informacin sobre
opcin.

este control.
PROCESO

Es necesario tener un servidor


para controlar.

EFECTIVIDAD SOBRE EL OBJETIVO


DE CONTROL

ADMINISTRACIN DE CUENTAS

NO CUMPLE

AUTENTICACION DE USUARIOS

NO CUMPLE

ADMINISTRACION DE CONTRASEAS

NO CUMPLE

REGISTROS DE AUDITORA

NO CUMPLE

ANLISIS Y DISCUSIN DE RESULTADOS


Hallazgo

Impacto

NR

Recomendaciones

Adquisicin de Software
No se tienen licencias de

No se tiene soporte o actualizaciones del

Licenciar el software que

Software instalado en los

software no licenciado dentro de la

se tiene en los equipos de

equipos de los laboratorios de

institucin.

los

cmputo.

Al no tener licenciado el software, estn

cmputo de la Facultad.

laboratorios

de

expuestos a tener fuertes sanciones


legales que pueden ser motivos de
encarcelamiento al representante legal
de la empresa y multas.
No existe un procedimiento para Al no evaluar un software que se

Se sugiere tener un

Adquisiciones o compra de

requiere comprar se pone en riesgo que

procedimiento de

software de manera formal

no cumplan con los requerimientos

adquisiciones de software.

acorde a los requerimientos de

planteados por el usuario.

la Facultad.
Mantenimiento
Durante la entrevista realizada al

Al no tener un control de los parches y

encargado se evidenci que no existe

actualizaciones que deben tener cierto

para la actualizacin de los

un registro o bitcora de los parches,

software, pueden causar un mal

parches y actualizaciones de

actualizaciones del software.

funcionamiento del mismo.

software.

Se sugiere tener un registro

Instalacin
En la entrevista con el

Al no tener un anlisis de
B
Se sugiere establecer
ANLISIS
Y
DISCUSIN
DE
RESULTADOS
encargado del rea, se
requerimiento puede que no se
polticas para la definicin
evidenci que no se tiene

cumplan con las solicitudes de los

de requerimientos de

un anlisis de los

usuarios.

software.

requerimientos del software


a ser instalado.
Se evidenci que no existen Operacin inadecuada de cierto
manuales tcnicos o

software por parte de los usuarios,

manuales de usuario

debido al desconocimiento de

actualizados para el manejo

funcionalidades.

del software.

PROCESO

EFECTIVIDAD SOBRE EL
OBJETIVO DE CONTROL

ADQUISICONES

NO CUMPLE

INSTALACION

NO CUMPLE

MANTENIMIENTO

NO CUMPLE

ANLISIS Y DISCUSIN DE RESULTADOS


Hallazgo

Impacto

NR

Configuracin y Diagramas de red


En la actualidad no se cuenta con un Crecimiento desordenado de la red.

Recomendaciones

Se debe de realizar un esquema del

diagrama de configuracin de redes

No se tiene una ubicacin exacta de

diagrama de configuracin de red y como

ni de cmo se encuentra diseada.

los equipos en la red

est diseada

Polticas de mantenimiento y soporte de red


No se tiene polticas o
Deterioro de equipos y canales de
procedimientos formales para la

comunicacin.

Establecer un plan de mantenimiento y


niveles de soporte de la red, que contemple:

planificacin de los mantenimientos

Limpieza de los componentes.

de la red.

Ordenamiento de la red.

Monitoreo de Red
No se tiene herramientas destinadas

Intentos de accesos no autorizados y

para el monitoreo de la red.

amenazas de intrusos en la red.

Se recomienda realizar un monitoreo de la


red donde se contemple:
Verificacin de deteccin de Intrusos.
Negacin de Servicios
Sniffing

PROCESO

EFECTIVIDAD SOBRE EL
OBJETIVO DE CONTROL

CONFIGURACION Y DIAGRAMA DE RED

NO CUMPLE

POLITICAS DE MANTENIMIENTO Y SOPORTE

NO CUMPLE

DE RED
MONITOREO DE RED

NO CUMPLE

CONCLUSIONES

Se determin que la situacin actual de la seguridad de los laboratorios de cmputo es muy


vulnerable puesto que no cumple los niveles mnimos establecidos por la auditora realizada.

Se aplic una propuesta de plan de auditora informtica en sus niveles de planificacin,


ejecucin y evaluacin de los patrones establecidos en las guas anexo de la presente
investigacin.

Se establecieron los niveles de seguridad para los laboratorios de cmputo a nivel de


recomendaciones a ejecutar.

RECOMENDACIONES

Se recomienda elaborar un manual de seguridad para los laboratorios de cmputo que


incluya las recomendaciones efectuadas por el equipo.

Se recomienda utilizar esta investigacin en las auditoras a laboratorios de toda la


universidad para establecer y uniformizar las polticas de seguridad.

MUCHAS GRACIAS