Trabajo Final auditoria informática

7/26/2019 Trabajo Final auditoria informtica

1/17

unidep hermosillo | Hermosillo, sonora a 31 de mayo de 2016.

Auditora en InformInterantes!

"oreno "ares #ste$an

%li&ares 'orres Andrea

(reciado )end*n Hiram

+alle iueroa -uan


2/17

1

umario

'a$la de contenido

Carta al director 2

Objetivo de la auditora 3

Alcance de auditora 4

Informe de auditora 5

)oles de la empresa y falta de polticas, procedimientos y metodoloas. 6

alta de seuridad en acceso, reistro, transmisi*n y posesi*n de los datos de

informaci*n ocumentaci*n 10

Base de datos 11

Anexos 12


3/17

1

4arta al director!

Hermosillo, onora a 05 de -unio 2016

A quien corresponda

PRESENTE:

Con la presente le hago extender una cordial invitacin a participar auditoria

en informtica que ofrecemos nosotros como empresa contamos con el me!or

personal certificado el cual dar resultados so"re su empresa# El cual resultara en

fuer$as % de"ilidades& dicho estudio le a%udara a minimi$ar costos % maximi$ar

produccin# Evitar desperdicios de recursos % permitiendo esto elevar los

estndares de la empresa

A'#'A"#'#

In. -uan iueroa


4/17

1

%7-#'I+% # A8I'%)9A#n las o$ser&aciones peri*dicas :ue estu&imos haciendo a latransmisi*n del canal tele&isi&o 'elema; y mediante las auditorasrealiadas de manera directa a la empresa, se detectaron dos erroresto por parte de cada departamento.

iendo ms e;plcitos! dicha empresa padece una pro$lemticaparticular, en la :ue sus empleados, pertenecientes a los di&ersosdepartamentos ?producci*n, continuidad, deportes y noticias@, utilianun mismo ser&idor para carar y descarar archi&os diitales desde susrespecti&os e:uipos dentro de un mismo tiempo, siendo el mane>o

constante de &ideos la principal causa de entorpecimiento por lo :ue seocasiona la saturaci*n del sistema a causa del ele&ado tr=co de datos.

#sta pro$lemtica conlle&a a una seunda cuesti*n, en la :ue cadadepartamento se atrasa en la realiaci*n y entrea de sus archi&os,siendo :ue la prioridad de$iera enfocarse en el departamento denoticias ya :ue su transmisi*n es lle&ada en &i&o.

eclarando :ue la empresa 'elema; no est cumpliendo con lae=ciencia :ue de$e ser o$ser&ada en el desempe/o de su empleo, caroo comisi*n como lo dicta la Bey de )esponsa$ilidades de los er&idores

(C$licos del #stado y los "unicipios de onora.


5/17

1

AB4A4# # A8I'%)9A

Ba empresa 'elema; de$e a$stenerse de todo acto u omisi*n :ue causeo pueda causar la suspensi*n o de=ciencia del ser&icio.

4omprometiendo a 'elema; a la instalaci*n de un ser&idor adicional :uesea destinado para el uso e;clusi&o de los interantes del departamentode noticias, enfatiando :ue este es el de mayor necesidad de estamanera se mantendr el ser&idor ya e;istente para el uso de losdepartamentos restantes ?producci*n, continuidad y deportes@.

e pre&< :ue aCn, contando con dos ser&idores a disposici*n, lapro$lemtica de saturaci*n del sistema por el tr=co ele&ado de datos,

pueda pre&alecer. (ara e&itar la propaaci*n del DmalE uso del ser&idor,tam$i


6/17

1

Informe de auditora#ste informe de auditora es enerado acerca de la empresa '#B#"AG,la cual consiste en e&aluar los controles e;istentes enfocados a las'ecnoloas de informaci*n. e e&aluar el departamento de sistemas dedicha empresa :ue cuentan con sistemas computariado y $ases dedatos centraliadas donde se procesa la informaci*n o$tenida por losdems departamentos, as mismo dndole soporte t


7/17

1

)oles de la empresa y falta depolticas, procedimientos y

metodoloas.#l departamento de 4oordinaci*n de istemas es el encarado de &ariasacti&idades el cual nadie ms tiene acceso a dichos ser&icios.

%$>eti&o! %ptimiar uso y apro&echamiento de los ser&icios deinformtica en las reas adscritas a tra&oras de esta.

4ondici*n! o e;iste un manual de planes de mitiaci*n de riesos


8/17

1

)ecomendaci*n! e recomienda poder ela$orar un manual decontinencias.

4ondici*n! o se encuentran manuales fsicos de procesos paramantenimiento

)ecomendaci*n! e recomienda ela$orar lo antes posi$le este manualde soporte para un $uen control.

Seuridad del "ersonal!

Objetivo eneral!

+eri=car si se han adoptado medidas de seuridad en los diferentesdepartamentos del rea informtica con respecto al personal :ue la$oraen dicha instituci*n.

4ondici*n! (udimos constatar :ue no e;iste salida de emerencias.

)ecomendaci*n! #s necesario crear una puerta de emerencias.

4ondici*n! o e;isten e;tintores de fueo.

)ecomendaci*n! e recomienda comprar e;tintores lo ms prontoposi$le.

Seuridad del soft#are $ %ard#are!

Objetivo eneral!

4ompro$ar :ue la adecuaci*n de hardare, sistema operati&o, &ersionesdel softare utiliado, como tam$iecuci*n,lenua>e utiliado y la documentaci*n necesaria haa constar :ue e;isteuna administraci*n adecuada :ue arantice la seuridad de la partetani$le e intani$le de los e:uipos de c*mputo.

4ondici*n! o se encontraron las licencias de "icrosoft %Jce.

)ecomendaci*n! e recomienda mantener toda la lealidad necesaria.

Seuridad en los datos!

Objetivo eneral!


9/17

1

4orro$orar si e;iste interidad y seuridad en los sistemas de esti*n delas $ases de datos o si se han formulado polticas respecto a suseuridad, pri&acidad y protecci*n de las facilidades de procesamientoante e&entos como! incendio, &andalismo, ro$o y uso inde$ido, intentosde &iolaci*n etc.

4ondici*n! o se encontraron normas y polticas para el resuardo de las$ases de datos.

)ecomendaci*n! e solicita crear normas y polticas lo ms prontoposi$le.

4ondici*n! o se ela$orar $acKups.

)ecomendaci*n! 4omenar lo ms pronto posi$le a crear respaldos detoda la informaci*n.


10/17

1

alta de seuridad en acceso,reistro, transmisi*n y posesi*n

de los datos y de la informaci*n'ras la realiaci*n de la auditoria se ha podido concluir :ue e;istennumerosas &ulnera$ilidades :ue pueden comprometer la seuridad delsistema en la empresa!

L Acceso a i=! #l acceso a la red inalm$rica de la empresa no estsu=cientemente proteida, ya :ue la cla&e de acceso esta al alcance decual:uier usuario y no cuenta con la correcta con=uraci*n de $lo:ueo.

L 87 y dispositi&os *pticos no $lo:ueados! Bos 87 y los dispositi&os*pticos de los ordenadores de la empresa no estn $lo:ueados, lo :uepermitira :ue un usuario malintencionado tomar documentos y datos decarcter con=dencial para la empresa.

L (ri&ileios de los usuarios ?pueden hacer alo ms :ue consultas@! eah o$ser&ado :ue estos no tienen la su=ciente seuridad y restricci*nnecesarias para e&itar instalaci*n de softare indeseado y na&eaci*npoco profesional de la empresa.

L #l sistema de contrase/as no se renue&a cada cierto tiempo! o e;isteuna poltica clara de periodicidad de cam$io de contrase/a ni un controlso$re la forma de cam$io de


11/17

1

ocumentaci*n

#n la documentaci*n :ue nos ha facilitado la empresa, a tra&


12/17

1

7ase de datos


13/17

1

Ane;os! 4uestionarios

A&'I(O)IA I*+O),-(ICA A*./OS! C&.S(IO*A)IO '.S.0&)I'A' +SICA

reunta SI *O1 Se %an ado"tado medidas de seuridad en elde"artamento de sistemas de informacin62 Se %a dividido la res"onsabilidad "ara tener un mejorcontrol de la seuridad63 .xiste "ersonal de viilancia en la institucin64 Se investia a los viilantes cuando son contratadosdirectamente65 .xiste una "ersona encarada de velar el e7ui"o $accesorios en el centro de cm"uto de cm"uto las 24%oras68 Se reistra el acceso al centro de cm"uto de "ersonasajenas a la direccin de inform9tica6: ;os interru"tores de enera $ cables de red est9ndebidamente "roteidos< eti7uetados $ sin obst9culos"ara alcan=arlos6> Se revisa frecuentemente 7ue no est? abierta odescom"uesta la cerradura de esta "uerta $ de lasventanas< si es 7ue existen6@ Se %a "ro%ibido a los o"eradores el consumo de

alimentos $ bebidas en el interior del de"artamento decm"uto "ara evitar daos al e7ui"o61 Se lim"ia con frecuencia el "olvo acumulado en el "iso$ los e7ui"os611 Se tiene una calendari=acin de mantenimiento"reventivo "ara el e7ui"o612 ;as caractersticas fsicas del centro de cm"uto sonseuras613 ;a distribucin de los 7ui"os de cm"uto esadecuada614 .xisten "olticas de seuridad "ara el centro de

cm"uto6


14/17

1

A&'I(O)IA I*+O),-(ICAC&.S(IO*A)IO S.0&)I'A' '.;.)SO*A;

reunta SI *O1Se %an ado"tado medidas de seuridad "ara el "ersonal$ usuarios del centro de cm"uto62Se %a instruido a estas "ersonas sobre 7u? medidastomar en caso de 7ue aluien "retenda entrar sinautori=acin63.l centro de cm"uto tiene salida de emerencia64 Se %a adiestrado el "ersonal en el manejo de losextintores65 Saben 7ue %acer los o"eradores del de"artamento decm"uto< en caso de 7ue ocurra una emerenciaocasionado "or fueo68Se %a adiestrado a todo el "ersonal en la forma en 7uese deben desalojar las instalaciones en caso de

emerencia6:(ienen manuales 7ue contenan normas $ "olticas deseuridad del "ersonal6> .xisten manuales $ "olticas de mitiacin de riesos6


15/17

1

A&'I(O)IA I*+O),-(ICAS.0&)I'A' '. SO+(A). DEA)'A).

reunta SI *O1 Se %an instalado e7ui"os 7ue "rotejan la informacin $los dis"ositivos en caso de variacin de voltaje como!reuladores de voltaje< su"resores "ico< &S< eneradoresde enera62 Se %acen revisiones "eridicas $ sor"resivas delcontenido del disco "ara veriFcar la instalacin dea"licaciones no relacionadas a la estin de ;a institucin63 Se mantiene "roramas $ "rocedimientos de deteccine inmuni=acin de virus en co"ias no autori=adas o datos"rocesados en otros e7ui"os64 .xisten controles 7ue aranticen el uso adecuado dediscos $ accesorios de almacenamiento masivo65 Se a"rueban los "roramas nuevos $ se revisan antesde "onerlos en funcionamiento68 .xiste un "rorama de mantenimiento "reventivo "aracada dis"ositivo del sistema de cm"uto6: .xiste lealidad de cada sistema o"erativo o "rorama6> .xiste un "lan de actividades "revio a la instalacin6@ .xiste documentacin 7ue arantice la "roteccin einteridad de los recursos inform9ticos1 .xisten normas o "rocesos 7ue no "ermitan %acer,odiFcaciones en la conFuracin del e7ui"o o intentarlo611 .xiste un control 7ue "ro%ba ,over< desconectar $Goconectar e7ui"o de cm"uto sin autori=acin612 .xisten inventarios de %ard#are< e7ui"os $ "erif?ricosasociados $ del soft#are instalado613 ;os sistemas de %ard#are se aco"lan adecuadamentecon la funcin del soft#are614 .xisten revisiones "eridicas del %ard#are $ soft#are6


16/17

1

A&'I(O)IA I*+O),-(ICAC&.S(I*A)IO '. S.0&)I'A' .*;OS 'A(OS

reunta SI *O1 ;a orani=acin tiene un sistema de estin de base dedatos HS0B'62 ;a interfa= 7ue existe entre el S0B' $ el SO es eladecuado63 .xiste un control estricto de las co"ias de estosarc%ivos64 ;as bases de datos uardan la informacin necesaria $adecuada "ara la institucin educativa65 .xiste una "ersona res"onsable de la base de datos dela institucin68 Se mantiene un reistro "ermanente Hbit9cora detodos los "rocesos reali=ados< dejando constancia desus"ensiones o cancelaciones de "rocesos6: Se %an im"lantado claves o "ass#ord "ara aranti=aro"eracin de consola $ e7ui"o central Hmainframe< a"ersonal autori=ado6> .xisten bacJu"s $ se uardan en luares seuros $adecuados6@ Se reali=an auditorias "eridicas a los medios dealmacenamiento61 .xiste un "rorama de mantenimiento "reventivo "arael dis"ositivo del S0B'611 .xisten interidad de los com"onentes de seuridadde datos612 .xisten "rocedimientos de reali=acin de co"ias deseuridad $ de recu"eracin de datos613 .xiste un "erodo m9ximo de vida de las contraseas614 .n la "r9ctica las "ersonas 7ue tienen atribuciones $"rivileios dentro del sistema "ara conceder derec%os deacceso son las autori=adas e incluidas en el 'ocumento deSeuridad615 .xisten "rocedimientos de asinacin $ distribucin decontraseas618 .xisten "rocedimientos "ara la reali=acin de lasco"ias de seuridad61: .xisten controles sobre el acceso fsico a las co"ias deseuridad61> .xisten diferentes niveles de acceso al sistema deestin de contenidos6


17/17

1

Documents

Trabajo Final auditoria informática