INDICE

1. Introduccin 2. Aspectos Generales 2.1. Estructura Organizacional 2.2. Matriz de Riesgo 2.3. Programa de Auditoria 3. Informe Final 3.1. Informe Relativo al Examen Motivo del Examen Naturaleza y Objetivos Alcance Comunicacin de Observaciones 3.2. Informe Relativo a la Entidad Examinada Antecedentes y Base Legal Relacin de las Personas comprendidas en las Observaciones

AUDITORA AL CENTRO DE CMPUTO A LA MUNICIPALIDAD DE VENTANILLA

1.-

Introduccin

En la presente investigacin Realizamos una auditoria de seguridad informtica a la Municipalidad de ventanilla. Con el fin de mirar cmo estn funcionando los distintos Controles de seguridad, para as nosotros como auditores poder aportar a la compaa mejorando la seguridad de todo el sistema que maneja. El principal objetivo de realizar una auditora informtica a la Municipalidad de ventanilla, es conocer como est organizado el centro de operaciones o centro de cmputo, verificar si tiene las instalaciones adecuadas, as como tambin los problemas que tiene. La presente prctica de auditora pretende efectuar un conjunto eficaz de directivas y controles de seguridades que requieren el uso de mtodos y tcnicas que ayuden a recopilar informacin para poder determinar los puntos vulnerables que existen en la institucin. Adems la auditoria tiene como propsito poner en prctica los conocimientos adquiridos en materia de auditora efectuando procedimientos relativos al rea informtica, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificacin, control, eficacia, seguridad y adecuacin del servicio informtico a la Municipalidad de Ventanilla.

2-

Aspectos generales

Los aspectos relativos al control de la Seguridad de la Informacin tienen tres lneas bsicas en la auditoria del sistema de informacin: Aspectos generales relativos a la seguridad. En este grupo de aspectos habra que considerar, entre otros: la seguridad operativa de los programas, seguridad en suministros y funciones auxiliares, seguridad contra radiaciones, atmsferas agresivas, agresiones y posibles sabotajes, seguridad fsicos de las instalaciones, del personal informtico, etc. Aspectos relativos a la confidencialidad y seguridad de la informacin. Estos aspectos se refieren no solo a la proteccin del

material, el logicial, los soportes de la informacin, sino tambin al control de acceso a la propia informacin (a toda o a parte de ella, con la posibilidad de introducir modificaciones en la misma). Aspectos jurdicos y econmicos relativos a la seguridad de la informacin. En este grupo de aspectos se trata de analizar la adecuada aplicacin del sistema de informacin en la empresa en cuanto al derecho a la intimidad y el derecho a la informacin, y controlar los cada vez ms frecuentes delitos informticos que se cometen en la empresa. La propia dinamicidad de las tecnologas de la informacin y su cada vez ms amplia aplicacin en la empresa, ha propiciado la aparicin de estos delitos informticos. En general, estos delitos pueden integrarse en dos grandes grupos: delitos contra el sistema informtico y delitos cometidos por medio del sistema informtico. En el primer grupo se insertan figuras delictivas tipificadas en cualquier cdigo penal, como hurto, robo, revelacin de secretos, etc. Otro conjunto de delitos que ya no es tan frecuente encontrar, al menos con carcter general, perfectamente tipificados, como el denominado hurto de tiempo, destruccin de logiciales y datos, delitos contra la propiedad (material, terminales, cintas magnticas).

Estructura Organizacional
ESTRUCTURA GENERAL DE LA ORGANIZACIN

1.1 Nombre Municipalidad de Ventanilla 1.2. Objetivo Social: auditora informtica en el centro de cmputo 1.3. Organigrama del municipio

1.4. Funciones Sub Gerencia De Contabilidad: se encarga de Programar, dirigir, coordinar y supervisar las actividades y cambios del sistema de contabilidad gubernamental. Participa en la formulacin de lineamientos Polticos del Sistema Contable. Elaborar y solicitar reportes de informacin a las reas involucradas con el Sistema De Contabilidad Gubernamental para el cierre contable anual. Recursos Humanos (RR.HH.): Es el encargado de la gestin de talento en la Municipalidad, se encarga de actividades como la celebracin de cumpleaos, etc. oficina de tecnologa de la informacin y estadstica: Se encarga de gestionar todo lo relacionado con el manejo de la informacin, de desarrollo de aplicaciones, de los contratos con las empresas prestadoras de servicio telefnico y de internet, administracin de harware, soporte al usuario final etc.

Informacin General del Departamento de Sistemas El departamento de sistemas tiene como rea de soporte y mantenimiento, esta compuesto por 2 personas que son las encargadas de llevar a cabo las tareas que se plantean; con un ambiente de trabajo sano y con valores humanos lograr superar las metas propuestas desde comienzos del ao con el fin de mejorar la gestin de la informacin para el municipio.

Responsabilidades

Cotizacin y adquisicin de hardware y software Revisin de los recibos de las facturas de telefona e internet desarrollo de aplicaciones empresariales soporte al usuario final en cada una de las aplicaciones del sistema revisin peridica y mantenimiento del hardware mantenimiento de las paginas web de la empresa

Cargos de la Oficina de Sistemas Jefe de sistemas Desarrollador Auxiliar de desarrollo Jefe de soporte y mantenimiento Auxiliar de soporte y mantenimiento Funciones de cada Empleado del Departamento Jefe de sistema: Encargado de encaminar el cumplimiento con calidad de los objetivos planteados por el departamento y a su vez presenta los informes ante las directivas de la organizacin sobre el avance en los mismos. Desarrollador. Encargado de el diseo y desarrollo de aplicaciones empresariales. Auxiliar de desarrollo: Encargado de la programacin en un nivel menor al del desarrollador, alimenta de informacin el sistema, y vigila la veracidad de la informacin consolidada. Jefe de soporte y mantenimiento: Encardo de las contrataciones con las compaas prestadoras de servicios de telefona e internet, administrador del sistema de red de la compaa, organiza cronolgicamente los casos a resolver para asgnaselos a su auxiliar, cotiza y compra tanto hardware como software para la empresa. Auxiliar de sistemas: Encargado de llevar a cabo la solucin de los casos propuestos, el monitoreo a usuarios, mantenimiento de los equipos e instalacin de software, revisin personalizada de los equipos de computo. Coordinacin La coordinacin del departamento de sistemas esta a cargo del jefe de sistemas quien monitorea cada uno de los procesos que cada persona

realiza, esta coordinacin es peridica permitiendo frecuencias los logros alcanzados por el departamento. Capacitacin

evaluar

con

La capacitacin que brinda el departamento de sistemas se hace principalmente a los auxiliares de soporte que son por lo general estudiantes que hacen su practica laboral, a quienes se les hace un repaso de los contenidos que debe tener encuentra para el desarrollo de las funciones dentro del departamento, contando con acompaamiento personalizado y con guas estndares sobre las tareas que desempeara. Para los jefes de sistemas de rea se esta analizando la posibilidad de hacer diplomados con el fin de apoyar el desarrollo intelectual del colaborador y el fortalecimiento del departamento.

 Matriz de riesgos
La decisin de abordar una Auditora Informtica de Seguridad Global en una Municipalidad, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que est sometida. Se elaboran "matrices de riesgo", en donde se consideran los factores de las "Amenazas" a las que est sometida una instalacin y los "Impactos" que aquellas puedan causar cuando se presentan.
N 01 Informacin de los procesos crticos Gestin informtica. 1.1. Plan Operativo informtico 1.2. Plan de Contingencia. 1.3. Polticas y directivas. Gestin del 2.1. Polticas y procedimientos funcionamiento de los relativos al uso y proteccin del aplicativos. software existente. 2.2. Manuales de usuario para los aplicativos. 2.3. Desarrollo de procedimientos de acceso a los aplicativos. Gestin de Base de 3.1. Polticas de deteccin de errores Datos 3.2. Polticas de Backup y de recuperacin. 3.3. Controles programados para evitar el acceso no autorizado a la BD. 3.3. Controles de seguridad fsica para proteger la BD Gestin del rea mantenimiento soporte. de 4.1. Polticas y procedimientos y relativos al uso y proteccin de la organizacin 4.2 Ubicacin fsica de los equipos de Procesos crticos % de subprocesos 40% 35% 35% 35% 35% 30% Porcentaje de proceso 100%

02

100%

03

25% 25% 25% 25%

100%

04

40% 30%

100%

cmputo. 4.3. Personal de mantenimiento y seguridad encargado de la salvaguarda de los equipos de cmputo.

30%

 PROGRAMA DE AUDITORIA
El programa de auditora que contiene los procedimientos a ser aplicados se encuentran detallados en los siguientes Objetivos Generales a continuacin.
N 01 Objetivos Generales Objetivos Especficos Horas 4 h.

Evaluar la gestin de Verificar los procedimientos las normas y detallados para la recuperacin de procedimientos para la las operaciones crticas de la administracin de organizacin. contingencias. Verificar la descripcin de responsabilidades, composicin de equipos de trabajo y tareas de recuperacin. Verificar los procedimientos aplicados para el mantenimiento, pruebas y distribucin del plan de contingencias. Verificar la aplicacin de procedimientos para la proteccin de bienes tecnolgicos en el rea de sistemas. Verificar la existencia de acuerdos y plizas de seguros que tengan por objetivo la proteccin de los bienes tecnolgicos.

4 h.

4 h.

2 h.

2h

02

Evaluar la gestin de los mecanismos y procedimientos utilizados para la administracin de cuentas de usuario.

Verificar el establecimiento de polticas y normas para realizar la administracin de contraseas. Evaluar los procedimientos de alta, baja y modificacin de usuarios.

4 h.

2 h. 2h.

Evaluar la administracin de claves de acceso para los usuarios privilegiados. Evaluar, para los usuarios del rea de sistemas, si los mismos tienen acceso a datos en lnea.

2h.

03

Evaluar el Revisar las normas y cumplimiento de las procedimientos empleados para la normas y clasificacin de datos. procedimientos tanto para la clasificacin de Revisar las normas y datos como para la procedimientos para la emisin de emisin de reportes y reportes de violacin y actividades actividades de de seguridad. seguridad. Revisar las normas y procedimientos aplicados para la prevencin, deteccin y correccin de software malicioso. Revisar la estructura de seguridad en los canales de telecomunicacin (firewall). Revisar los mecanismos de control de acceso fsico a los dispositivos de comunicacin. Evaluar la estructura de seguridad del sistema operativo. Evaluar la estructura de seguridad del acceso a la red.

4h.

4h.

2h.

4h.

2h.

6h. 4h.

04

Evaluar la gestin de Verificar la existencia de acuerdos acuerdos polticas y y plizas de seguros que tengan procedimientos que por objetivo la proteccin de los tengan como objetivo bienes tecnolgico. la proteccin de los bienes tecnolgicos. Verificar la aplicacin de procedimientos para la proteccin de bienes tecnolgicos en el rea de sistemas.

2h.

2h.

 Verificar la aplicacin de procedimientos para el ingreso y salida del hardware.

05

3h.

Evaluar la gestin de Verificar que la transferencia de los procedimientos informacin sensible se realice a existentes para el travs de mecanismos que almacenamiento, permitan la proteccin de los datos respaldo y destruccin (encriptacin de datos). de informacin sensible (Backups y otros). Evaluar los procedimientos existentes para la destruccin de medios que contengan informacin sensible. Revisar las normas y procedimientos para autentificar los datos, verificar la integridad de las transacciones electrnicas y la integridad de los datos almacenados.

6h.

6h.

6h.

3) INFORME FINAL

3.1.

INFORME RELATIVO AL EXAMEN

La informacin obtenida a travs de las encuestas realizadas a un determinado nmero de clientes fue muy valiosa ya que de ah realizamos el anlisis en lo que se debe mejorar en el servicio que presta el centro del computo. ENTORNO HARDWARE 1. SOBRE EL SERVIDOR El equipo que hace de servidor tiene caractersticas similares a las de los usuarios, como recomendacin se debe aumentar o actualizar las caractersticas del equipo que hace de servidor ya que por la falta de recursos no se puede adquirir un servidor y tambin sera un gasto

infructuoso ya que el centro no es tan grande y no se maneja mucha informacin. 2. SOBRE LOS EQUIPOS PARA USUARIOS Las caractersticas de los equipos que son destinados para el uso de los clientes son buenas, existe dos equipos que necesitan actualizar el hardware ya que en los equipos se trabaja con programas de diseo y estos necesitan una mayor velocidad en los equipos.

ENTORNO SOFTWARE 1. SOBRE LOS PROGRAMAS Y UTILITARIOS Como hicimos mencin anteriormente la auditoria no realiza el anlisis de permisos ni licencias del software, es as que los programas instalados en la maquinas el 90% de ellos no tienen licencias, ya que se hace como en la mayora de estos negocios que se baja de internet aquellos programas que se va a necesitar, pero de manera general todos estn funcionando ptimamente.

2. SOBRE MALAS INSTALACIONES En ocasiones existen problemas de incompatibilidad entre programas, esto ocasiona que se deba prescindir de alguno de ellos y en el peor de los casos toque formatear el equipo. Lo que conlleva a prdidas de tiempo y malestar en los usuarios.

3. Sobre proteccin de virus

En la actualidad se utiliza el antivirus Avira, el cual no es tan confiable ya que por la mala utilizacin y tambin la utilizacin de informacin no segura del internet, lo que causa es que ingresen virus los cuales son una molestia, y causantes de prdida de tiempo e informacin. Lo aconsejable seria de prohibir o configurar el acceso a pginas e informacin dudosa para evitar estos contratiempos.

4. SOBRE LA SEGURIDAD DE INTERNET No existe seguridad mxima ya que por ser un centro en el cual se dictan cursos de computacin e ingls no se puede poner prohibiciones, existe solo el antivirus antes mencionado y el FIREWALL nativo de Windows.

C. EN EL ASPECTO DE SEGURIDAD GENERAL.

a. Sobre los riesgos en los equipos del centro de computo - Poner carteles sobre las normas de comportamiento cuidado dentro del centro como ejemplo, no ingresar con alimentos, etc. y

- Realizar frecuentemente actualizaciones de los programas de seguridad en este caso los antivirus.

Naturaleza y objetivo El objetivo del presente trabajo consiste en relevar y evaluar las estructuras de control que sustentan el ambiente de seguridad del rea de informtica de la Municipalidad de ventanilla. El Control Interno entorno a la incorporacin y uso de tecnologas de informacin en el municipio de modo de satisfacer sus requerimientos tecnolgicos presentes y futuros a nivel integral.

Este anlisis ser realizado en trminos de examinar las principales caractersticas que sustentan su organizacin y sus controles internos asociados al rea de Informtica de la municipalidad de la Oficina Central mediante la verificacin de la existencia, calidad y aplicacin de polticas, normas y procedimientos especficos asociados al tema de esta auditora.

ALCANZE El presente trabajo de auditora se llevar a cabo en un periodo de 30 das hbiles habindose iniciado el 19 de Mayo del 2012 y culminado el 19 de Junio del 2012. y se ha realizado en la Municipalidad de Ventanilla, de acuerdo a las normas y dems disposiciones aplicables. Los puntos que se tomarn son, Revisin de: Polticas de mantenimiento, licencias, desempeo del software existente, seguridad de la data. Comunicacin de observacin Para la presentacin de las observaciones y recomendaciones hechas en esta auditora se espera terminar el informe final, el cual ser presentado a la Gerencia General. 3.2. IMFORME RELATIVO A LA ENTIDAD EXAMINADA I. IDENTIFIACION DEL IMFORME

Auditoria Fsica y Lgica

II.

IDENTIFICACION DEL CLIENTE Centro de Cmputo

III.

IDENTIFICACION DE LA ENTIDAD AUDITADA Municipalidad de Ventanilla

IV.

OBJETIVOS

 V.

Verificar la legalizacin del software utilizado. Verificar la seguridad en la data. Revisar la correcta utilizacin de los equipos Determinar y evaluar la poltica de mantenimiento y distribucin de los equipos.

HALLAZGOS POTENCIALES

No existe un calendario de mantenimiento. Uso no adecuado de las Normas de seguridad, polticas. Realizar un mantenimiento preventivo de equipos informticos para reducir el ndice de equipos daados, minimizar la interrupcin en las tareas del usuario con el equipo daado y evitar el pago a terceros por el soporte tcnico. La municipalidad de ventanilla no cuenta con un plan de seguridad ante un desastre que afecte tanto a la parte fsica como lgica.

VI.

ALCANZE DE AUDITORIA

Nuestra auditoria, habindose iniciado el 19 de Mayo del 2012 y culminado el 19 de Junio del 2010 y se ha realizado especialmente al Departamento de centro de cmputo de acuerdo a las normas y dems disposiciones aplicable al efecto.

VII.

CONCLUCIONES

Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditora. El Departamento de centro de cmputo presenta deficiencias sobre todo en el debido cumplimiento de Normas de seguridad. No realizan mantenimientos preventivos.

 VIII.

El software no cuentan con licencias. RECOMENDACIONES

Implantacin de equipos de ltima generacin. Elaborar un calendario de mantenimiento de rutina peridico. Realizar un mantenimiento preventivo de equipos informticos para reducir el ndice de equipos daados, minimizar la interrupcin en las tareas del usuario con el equipo daado y evitar el pago a terceros por el soporte tcnico. Capacitacin sobre normas de seguridad al personal informtico.

IX.

FECHA DE IMFORME

PLANEAMIENTO FECH AS X. 20/05/2012 AL 05/06/2012

EJECUCION 06/06/2012 AL 10/06/2012

INFORME 13/06/2012 AL 18/06/2012

IDENTIFICACION Y FIRMA DEL AUDITOR Apellidos y Nombres Flix Romero Lama Cargo Auditor Superior

Antecedentes Como Entidad, municipalidad de ventanilla, no ha sido auditada con anterioridad. Base Legal La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que suele tener una duracin entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la informacin y el alcance, entendiendo por alcance el mbito de la organizacin que va a estar sometido al Sistema de Gestin de la Seguridad de la Informacin (en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos. Segn las normas de Auditora Gubernamental NAGU, especficamente la NAGU 500, Los documentos validos ante GRPP son:

500-04 Mantenimiento de equipos de computacin: La direccin de cada entidad debe establecer polticas respecto al mantenimiento de los equipos de computacin que permitan optimizar su rendimiento. 500-05 Seguridad de programas de datos y equipos de cmputo: Deben establecerse mecanismos de seguridad en los programas y datos del sistema para proteger la informacin procesa da por la entidad, garantizando su integridad y exactitud, as como respecto de los equipos de computacin. 500-06 Plan de contingencias: El rea de Informtica debe elaborar el Plan de Contingencias de la entidad que establezca los procedimientos a utilizarse para evitar interrupciones en la operacin del sistema de cmputo. Relacin de las Personas comprendidas en las Observaciones Encargado Cargo Auditador Cristian Sandoval Data Center Gustavo Vera Avalos Vargas Erick Leon Soporte Tcnico Feliz Romero Lama Jean Ramos Infraestructura Gino Hiplito Vargas

3.3

OBSERVACIONES RESUMIDAS

Observacin N 1 Al realizar una Auditoria al rea de Seguridad Informtica de la municipalidad de ventanilla, se dio nfasis a verificar si contaban con los mecanismos y procedimientos relativos al uso y proteccin de las cuentas de los usuarios debido a que se mostro que cumplan con algunas normas pero no respetaban la privacidad y seguridad de los usuarios.

Observacin N 2 Al realizar una Auditoria al rea de Seguridad Informtica de la municipalidad de ventanilla, se dio nfasis a verificar si cumplan con las normas de seguridad lgica de los sistemas de informacin. Observacin N 3 Al realizar una Auditoria al rea de Seguridad Informtica de la municipalidad de ventanilla, se verifico que no cumplan con el uso de de manuales o formularios especficos para los usuarios tanto para el acceso a red como para realizar solicitudes. Observacin N 4 Al realizar una Auditoria al rea de Seguridad Informtica de la municipalidad de ventanilla, se verifico que no cumplan con las normas y procedimientos para la clasificacin de datos. Observacin N 5 Al realizar una Auditoria al rea de Seguridad Informtica de la municipalidad de ventanilla, se dio en nfasis en la verificacin del manejo de incidentes, el cual mostro que la municipalidad no tena aun definidas las normas y los procedimientos para estos. Observacin N 6 Al realizar una Auditoria al rea de Seguridad Informtica de la municipalidad de ventanilla, se pudo verificar que la municipalidad no contaba con una poltica para el uso de Internet por parte de los usuarios, dejando esto vulnerables a los equipos de la municipalidad. Observacin N 7 Al realizar una Auditoria al rea de Seguridad Informtica de la municipalidad de ventanilla, se pudo verificar que la municipalidad era vulnerable en lo referente a su seguridad fsica, debido tanto a la ubicacin de los equipos como tambin a la estructura de las reas de trabajo. Observacin N 8 Al realizar una Auditoria al rea de Seguridad Informtica de la

municipalidad de ventanilla, se pudo verificar que la empresa no cumpla con las normas ni llevaba a cabo las buenas prcticas para la administracin y manejo de backups.

3.4

CONCLUSIONES

Como resultado de nuestro trabajo, hemos detectado aspectos que afectan la confiabilidad, integridad y adecuacin a normas vigentes de los sistemas y su informacin, entre los que se destacan los siguientes: Confidencialidad Dentro del diseo general del ambiente de seguridad hemos visto aspectos que afectan la confidencialidad de la informacin, y deben ser mejorados en cuanto a: - segregacin inadecuada de las funciones de administracin de seguridad, - segregacin inadecuada de otras funciones tcnicas de sistemas (por ejemplo: desarrollo e implantacin en el ambiente de produccin) - el mecanismo de asignacin, modificacin y construccin de contraseas no cumple con las mejores prcticas, - no se cuenta con funciones de auditora interna de sistemas, - no se cuenta con una clasificacin de la informacin en cuanto a su criticidad (que incluye el concepto de confidencialidad) y por lo tanto tampoco con medidas de proteccin asociadas a cada categora. - existen oportunidades de mejora en la seguridad fsica (piso falso, paredes de vidrio, alarmas de incendio, detectores de humo, etc.) - falta de formalizacin de procedimientos, - falta de reas de apoyo (Auditora Interna de Sistemas), Disponibilidad Hemos detectado que existen una serie de debilidades en esta rea, entre las que podemos mencionar: - no existe Plan de Contingencia del negocio - no existe uniformidad en la obtencin y custodia de copias de respaldo 3.5 RECOMENDACIONES

A continuacin les presentamos las recomendaciones que surgieron como

resultado de esta auditoria

3.6

Restringir el conocimiento de claves de usuario por parte de la USI Modificar la parametrizacin de los passwords Definir un documento especfico para el acceso de usuarios a la red. Definir normas y procedimientos para la clasificacin de datos Definir normas y procedimientos para el manejo de incidentes Definir una poltica para el uso de Internet Mejorar la seguridad fsica Mejorar la administracin de los backups Documentar las operaciones Definir procedimientos para la proteccin de los datos Mejorar los parmetros de seguridad de los sistemas 2003 Observaciones Detalladas

Observacin N 1 Al realizar una Auditoria al rea de Seguridad Informtica de la municipalidad de ventanilla, se dio nfasis a verificar si contaban con los mecanismos y procedimientos relativos al uso y proteccin de las cuentas de los usuarios debido a que se mostro que cumplan con algunas normas pero no respetaban la privacidad y seguridad de los usuarios. Sumilla: Restringir el conocimiento de claves de usuario por parte de la USI. Condicin: Durante la auditora realizada al rea de Seguridad Informtica de la municipalidad de ventanilla, se pudo verificar que el mecanismo de asignacin, modificacin y construccin de contraseas no cumple con las mejores prcticas. Criterio: Desde el punto de vista de los criterios y mtodos que contemplan las directivas de esta poltica, indican que las contraseas de los usuarios deben de ser privadas. Causa: La generacin de claves (passwords) para todos los usuarios de la municipalidad y para los usuarios externos (clientes) es realizado mediante un programa generador de claves, el cual est conformado por cuatro letras, tres nmeros y un carcter especial. Efecto: Por este proceso el rea de produccin de la USI tiene

conocimiento de todas las claves de usuarios. Recomendacin: De acuerdo a normas internacionales de seguridad lgica, cada usuario debera ser responsable de su clave y debe ser la nica persona que conozca la misma. El sistema debera permitir el cambio de clave al usuario el momento de ingresar por primera vez al sistema. Adems se deberan tomar en cuenta los siguientes aspectos: Cada usuario debera contar con una clave distinta para cada uno Permitir la misma clave para todos los sistemas solamente con Cambio de clave por parte del usuario el momento de la sospecha Las claves no deben ser escritas y dejadas al alcance de otras Prohibicin de la utilizacin de claves comunes de los sistemas. autorizacin expresa de conocimiento de la clave por parte de alguna otra persona personas

Observacin N 2 Al realizar una Auditoria al rea de Seguridad Informtica de la municipalidad de ventanilla, se dio nfasis a verificar si cumplan con las normas de seguridad lgica de los sistemas de informacin. Sumilla: Parametrizar el control de algunas caractersticas de los passwords. Condicin: No se cuentea con algunas de las caractersticas de las mejores prcticas en cuanto a la seguridad lgica de los sistemas de informacin. Criterio: Todo sistema de administracin de claves se debe tener un respaldo, de las claves usadas por los usuarios. Causa: Los sistemas no controlan algunas caractersticas de las claves que son importantes para incrementar la seguridad y la confidencialidad de la informacin. Efecto: Baja seguridad y confidencialidad de la informacin. Recomendacin: Las caractersticas que debera tener la administracin de claves son: Los sistemas deben guardar al menos las ltimas tres claves para No debe ser posible repetir el mismo carcter varias veces en la que las mismas no puedan repetirse.

construccin de la clave. Debe existir al menos un dgito numrico en la clave.

Observacin N 3 Al realizar una Auditoria al rea de Seguridad Informtica de la municipalidad de ventanilla, se verifico que no cumplan con el uso de de manuales o formularios especficos para los usuarios tanto para el acceso a red como para realizar solicitudes. Sumilla: Definir un documento especfico para el acceso de usuarios a la red. Condicin: No se cuenta con un formulario especfico para el requerimiento de acceso de los usuarios. Criterio: Las normas indican que deben de existir documentos especficos para cada requerimiento realizado por los usuarios. Causa: El formulario SU01 es utilizado para todo tipo de requerimientos de las reas usuarias. Efecto: Mal control de las solicitudes de los usuarios. Recomendacin: Debera existir un formulario especfico para la solicitud de acceso de los usuarios a la red y a los sistemas. De esta manera podra tenerse un archivo separado de todas las solicitudes de los usuarios y posibilitar un mejor control de las mismas. Observacin N 4 Al realizar una Auditoria al rea de Seguridad Informtica de la municipalidad de ventanilla, se verifico que no cumplan con las normas y procedimientos para la clasificacin de datos. Sumilla: Definir normas y procedimientos para la clasificacin de datos. Condicin: No se cuenta con una clasificacin de los datos manejados por la Unidad de Sistemas de Informacin. Criterio: Desde el punto de vista de los criterios las normas indican que se debe contar con una clasifican de los datos, para poder llevar un buen control. Causa: Falta de orden en la restriccin de acceso a datos. Efecto: Manipulacin indebida de la informacin de la organizacin. Recomendacin: Normas internacionales de seguridad mencionan que los datos deberan

ser separados en cuatro clases de informacin con requerimientos separados de manipulacin para cada caso: Secretos, Confidenciales, Privados y No Clasificados. Esta clasificacin estndar de datos podra ser usada dentro de la Organizacin. La clasificacin es definida de la siguiente manera: Secretos: Esta clase es aplicada a la informacin ms sensitiva del negocio cuyo uso es permitido estrictamente slo a personal Ejecutivo de la Organizacin. El uso no autorizado de esta informacin puede causar un impacto muy fuerte para la Organizacin y los clientes. Confidenciales: Esta clase es aplicada a la informacin menos sensitiva del negocio, cuyo uso es permitido slo a personal de la Organizacin. El uso no autorizado de esta informacin puede causar un impacto para la Organizacin y los clientes. Privados: Esta clase es aplicada a informacin personal cuyo uso es permitido dentro de la Organizacin. El uso no autorizado de esta informacin puede causar un impacto fuerte a la Organizacin o a sus empleados. No Clasificados: Esta clase es aplicada a toda la dems informacin que no se encuentre claramente definida dentro de las tres anteriores clases. El uso no autorizado de esta informacin no supone un impacto para la Organizacin o los clientes. En la medida de lo aplicable los aspectos anteriormente mencionados deberan ser considerados en el caso de los mensajes enviados y recibidos mediante correo electrnico y otros medios.

Observacin N 5 Al realizar una Auditoria al rea de Seguridad Informtica de la municipalidad de ventanilla, se dio en nfasis en la verificacin del manejo de incidentes, el cual mostro que la empresa no tena aun definidas las normas y los procedimientos para estos. Sumilla: Definir normas y procedimientos para el manejo de incidentes. Condicin: Actualmente se cuenta, en el rea de produccin, con una

planilla Excel, en la cual deben registrarse todos los requerimientos de soporte de los usuarios. Criterio: La normas y buenas prcticas indican que se debe contar con un registro de los requerimientos realizados por los usuarios. Causa: No se cuenta con normas ni procedimientos formalmente establecidos para el manejo de incidentes. Efecto: No se puede realizar un registro de los requerimientos realizados por los usuarios a fin de contar con un historial de los problemas y sus resoluciones, para atender futuras consultas. Recomendacin Segn las mejores prcticas de seguridad, deberan existir normas y procedimientos establecidos para asegurar que todos los eventos de operacin que no sean comunes (incidentes, errores o problemas) sean correctamente registrados, analizados y resueltos en un tiempo prudente. Adems se debera consolidar la informacin generada por todos los operadores para realizar luego un anlisis y emitir estadsticas sobre el tipo de incidentes que se producen y los usuarios que ms soporte requieren. Asimismo el anlisis gerencial permitir tomar decisiones para solucionar los principales problemas en forma definitiva. Observacin N 6 Al realizar una Auditoria al rea de Seguridad Informtica de la municipalidad de ventanilla, se pudo verificar que la empresa no contaba con una poltica para el uso de Internet por parte de los usuarios, dejando esto vulnerables a los equipos de la empresa Sumilla: Definir una poltica para el uso de Internet. Condicin: No existe una poltica de Internet formalmente definida. Criterio: Una poltica en el uso del internet asegura un mejor uso y control de este medio as como tambin reduce el riesgo de los equipos de la empresa. Causa: Problemas ocasionados por la navegacin indebida y la descarga de informacin peligrosa. Efecto: Mal funcionamiento y daos a los equipos de la organizacin. Recomendacin Las mejores prcticas relacionadas con la seguridad sealan que el uso de

Internet presenta nuevos y serios potenciales problemas de seguridad, es por este motivo que debera contarse en principio, con una poltica claramente definida de las posibilidades y las responsabilidades de los usuarios, as como el detalle de los riesgos incluidos en la navegacin y descarga de informacin. Observacin N 7 Al realizar una Auditoria al rea de Seguridad Informtica de la empresa MPB SoftBusiness, se pudo verificar que la empresa era vulnerable en lo referente a su seguridad fsica, debido tanto a la ubicacin de los equipos como tambin a la estructura de las reas de trabajo. Sumilla: Mejorar la seguridad fsica. Condicin: Actualmente no se cuenta con algunos aspectos importantes para la administracin de la seguridad fsica. Criterio: Una mejor distribucin de los equipos, as como el empleo de material de material que asegure la privacidad de la informacin, benefician la seguridad de la informacin y la mejor distribucin de las reas de trabajo. Causa: No existen normas y procedimientos formalmente establecidos No existen alarmas contra incendio ni detectores de humo en el No existen alarmas contra intrusos Las paredes del Centro de Cmputo son de vidrio (posibilidad de No se cuenta con un registro de los visitantes al Centro de Existen tomas de corriente en el piso del Centro de Cmputo. No No se realiza el mantenimiento peridico del sistema elctrico del Las ventanas que dan al exterior no se encuentran selladas. No se poseen armarios ignfugos para el almacenamiento de copias para esta tarea Centro de Cmputo

acceso no autorizado) Cmputo y el motivo de la visita existe piso falso. Centro de Cmputo, luces de emergencia ni aire acondicionado.

de respaldo. Efecto: Mnimo ambiente de control para la seguridad fsica de la USI. Recomendacin

Las mejores prcticas de seguridad mencionan que deberan existir los aspectos mencionados en el apartado causa, para incrementar la seguridad fsica. Asimismo, es importante mencionar que las actuales instalaciones fsicas de la USI no fueron diseadas especficamente para tal efecto, lo cual no contribuye a la solucin de los aspectos anteriormente mencionados. Adicionalmente, si bien existen procedimientos de control manuales de ingreso y salida de equipos de las instalaciones de la Organizacin, es conveniente que se analice la adquisicin de un mecanismo automatizado de control el cual permita a travs de sensores identificar si una persona est ingresando y saliendo con un dispositivo de propiedad de la Organizacin y permita registrar informacin como cdigo de equipo, hora, fecha, etc. Este tipo de mecanismos fortalecera el ambiente de control y permitira que dicho proceso sea ms eficaz y eficiente. Observacin N 8 Al realizar una Auditoria al rea de Seguridad Informtica de la municipalidad de ventanilla, se pudo verificar que la empresa no cumpla con las normas ni llevaba a cabo las buenas prcticas para la administracin y manejo de backups. Sumilla: Mejorar la administracin de los backups. Condicin: Actualmente se cuenta con un cuaderno en el cual se registra el nmero del DVD y el servidor del cual se obtuvo la informacin. Criterio: El empleo de las buenas prcticas en la generacin de backups por parte de la empresa asegura que informacin de riesgo pueda ser almacenada de forma segura y as poder usarla en el momento que sea requerida. Causa: No se cuenta con la informacin del proveedor para definir la vida til evitar fallas inesperadas de estos medios (DVD) en la obtencin de respaldos. Tampoco se cuenta con un cronograma de operaciones o una bitcora para la obtencin de copias de respaldo. Efecto: No se puede contar con un control detallado de las copias de respaldo obtenidas. Recomendacin Debera llevarse un control detallado de todas las copias obtenidas para

que, en caso de ser necesario, se tenga a mano toda la informacin de los meses y gestiones anteriores. Debera existir un cronograma de operacin para que el operador conozca exactamente el orden de la obtencin de las copias de respaldo. Adems debera existir una bitcora en la cual se detalle las copias de respaldo diarias obtenidas, si es que existi algn problema al momento de realizar esta tarea y alguna observacin especial sobre el proceso para cada uno de los servidores.