A&J | Auditoria de Sistemas | 12 de julio de 2014 Auditora para el laboratorio El Ingenio INFORME FINAL A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 1- Contenido INTRODUCCIN ..................................................................................................................................... 4 PRESENTACIN DE LA EMPRESA...................................................................................................... 5 DESARROLLO DE LA AUDITORA FSICA ........................................................................................ 7 1.1. TTULO DE LA AUDITORA ............................................................................................... 7 1.2. IDENTIFICACIN DEL CLIENTE ......................................................................................... 7 1.3. IDENTIFICACIN DE LA ENTIDAD AUDITADA ............................................................... 7 1.4. ALCANCE DE LA AUDITORA ............................................................................................ 7 1.5. OBJETIVOS DE LA AUDITORA ........................................................................................ 7 1.5.1. Objetivo General ............................................................................................................. 7 1.5.2. Objetivos Especficos ..................................................................................................... 8 1.6. EVALUACIN......................................................................................................................... 9 1.7. RESULTADOS ........................................................................................................................ 0 1.8. CONCLUSIONES: .................................................................................................................. 0 1.9. FECHA DE INFORME ........................................................................................................... 0 1.10. IDENTIFICACIN Y FIRMA DEL AUDITOR........................................................................1 1.11. DISTRIBUCIN DEL INFORME ............................................................................................1 DESARROLLO DE LA AUDITORA OFIMTICA .................................................................................1 2.1. TTULO DE LA AUDITORA.....................................................................................................1 2.2. IDENTIFICACIN DEL CLIENTE ...............................................................................................1 2.3. IDENTIFICACIN DE LA ENTIDAD AUDITADA.....................................................................1 2.4. OBJETIVOS DE LA AUDITORA .............................................................................................1 2.5. ALCANCE DE LA AUDITORA ................................................................................................ 2 2.6. EVALUACIN ............................................................................................................................. 2 2.7. RESULTADOS ............................................................................................................................ 4 2.8. CONCLUSIONES: ...................................................................................................................... 0 2.9. FECHA DE INFORME ............................................................................................................... 0 2.10. IDENTIFICACIN Y FIRMA DEL AUDITOR ............................................................................1 2.11. DISTRIBUCIN DEL INFORME ................................................................................................1 DESARROLLO DE LA AUDITORA DE DESARROLLO .....................................................................1 3.1. TTULO DE LA AUDITORIA.....................................................................................................1 3.2. IDENTIFICACIN DEL CLIENTE ...............................................................................................1 A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 2- 3.3. IDENTIFICACIN DE LA ENTIDAD AUDITADA.....................................................................1 3.4. OBJETIVOS DE LA AUDITORA .............................................................................................1 3.4.1. Objetivo General ..................................................................................................................1 3.4.2. Objetivos Especficos ..........................................................................................................1 3.5. ALCANCE DE LA AUDITORA ................................................................................................ 2 3.6. EVALUACION ............................................................................................................................. 2 3.7. RESULTADOS ............................................................................................................................ 0 3.8. CONCLUSIONES ....................................................................................................................... 0 2.12. FECHA DE INFORME ............................................................................................................... 0 2.13. IDENTIFICACIN Y FIRMA DEL AUDITOR ............................................................................1 2.14. DISTRIBUCIN DEL INFORME ................................................................................................1 DESARROLLO DE LA AUDITORA DE BASE DE DATOS .............................................................. 0 4.1. TTULO DE LA AUDITORA.................................................................................................... 0 4.2. IDENTIFICACIN DEL CLIENTE .............................................................................................. 0 4.3. IDENTIFICACIN DE LA ENTIDAD AUDITADA.................................................................... 0 4.4. OBJETIVOS DE LA AUDITORA ............................................................................................ 0 4.1.1. Objetivo General ................................................................................................................. 0 4.1.2. Objetivos Especficos ......................................................................................................... 0 4.5. ALCANCE DE LA AUDITORA .................................................................................................1 4.6. EVALUACIN ..............................................................................................................................1 4.7. RESULTADOS ............................................................................................................................ 0 4.8. CONCLUSIONES: ...................................................................................................................... 0 4.9. FECHA DE INFORME ................................................................................................................1 4.10. DISTRIBUCIN DEL INFORME ................................................................................................1 DESARROLLO DE LA AUDITORA DE APLICACIONES .................................................................. 3 5.1. TTULO DE LA AUDITORIA.................................................................................................... 3 5.2. IDENTIFICACIN DEL CLIENTE .............................................................................................. 3 5.3. IDENTIFICACIN DE LA ENTIDAD AUDITADA.................................................................... 3 5.4. OBJETIVOS DE LA AUDITORA ............................................................................................ 3 5.4.1. Objetivo General ................................................................................................................. 3 5.4.2. Objetivos Especficos ......................................................................................................... 3 5.5. ALCANCE.................................................................................................................................... 4 A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 3- 5.6. EVALUACION ............................................................................................................................. 4 5.7. RESULTADOS ............................................................................................................................ 5 4.11. FECHA DE INFORME ............................................................................................................... 9 4.12. DISTRIBUCIN DEL INFORME ............................................................................................... 9 DESARROLLO DE LA AUDITORA DE REDES ................................................................................ 11 5.1. TTULO DE LA AUDITORA .............................................................................................. 11 5.2. IDENTIFICACIN DEL CLIENTE ........................................................................................ 11 5.3. IDENTIFICACIN DE LA ENTIDAD AUDITADA .............................................................. 11 5.4. OBJETIVOS DE LA AUDITORIA ....................................................................................... 11 5.5. ALCANCE DE LA AUDITORA ........................................................................................... 12 5.6. EVALUACION........................................................................................................................ 12 5.7. RESULTADOS ....................................................................................................................... 12 5.8. CONCLUSIONES ................................................................................................................... 0 5.9. FECHA DEL INFORME ..........................................................................................................1 5.10. DISTRIBUCIN DEL INFORME ............................................................................................1 CONCLUSIONES DEL TRABAJO ........................................................................................................ 2 RECOMENDACIONES GENERALES...................................................................................................... 3 BIBLIOGRAFIA ......................................................................................................................................... 5 INTEGRANTES DEL GRUPO AUDITOR .............................................................................................. 5
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 4- INTRODUCCIN
Se puede afirmar que desde los tiempos ms remotos ha existido la figura del revisor, que hoy conocemos con el nombre de Auditor. Estos revisores de sistemas de informacin han venido utilizando normas y mtodos ajustados al nivel de desarrollo tecnolgico de su momento. Como consecuencia de la continua evolucin, o mejor dicho revolucin del mundo informtico (cada da se consiguen ordenadores ms pequeos, ms rpidos y ms baratos), el auditor debe estar al da tanto en los avances de las nuevas tecnologas como en los nuevos riesgos inherentes a estas tecnologas. EI auditor adems debe cubrir los objetivos tradicionales de la auditora cuando una empresa requiera de sus servicios. En el estado actual de la tecnologa el papel del auditor es triple: En primer lugar debe poner de manifiesto a la direccin de la empresa los importantes cambios que se estn produciendo, y los riesgos asociados que se han de tener en cuenta (aconsejar). En segundo lugar, con anterioridad a la puesta en funcionamiento de estas nuevas tecnologas, el auditor debe asegurarse de que los controles que se hayan implementado, o se vayan a implementar, son los adecuados. En tercer lugar el auditor debe evaluar la efectividad de los nuevos controles como consecuencia de la utilizacin de estas tecnologas (comprobar). Para que los auditores puedan cumplir con su nuevo papel necesitan nuevos conocimientos, nuevas normas y nuevos mtodos de trabajo.
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 5- PRESENTACIN DE LA EMPRESA
El laboratorio El Ingenio fue creado, pensando en cubrir las necesidades de las Instituciones de Salud dedicadas principalmente a la atencin de grandes o medianos grupos poblacionales, buscando optimizar los recursos tecnolgicos y administrativos, para trasladar al usuario una gran calidad en todo lo relacionado con el Diagnstico Clnico. Cuenta con un Laboratorio con esquemas de tecnologa para el anlisis en todas las lneas de diagnstico como de un manejo sistematizado de la informacin. Este Laboratorio est en capacidad de suplir sus requerimientos sujetos a programas de control de calidad y apoyos externos con Laboratorios Referencia en la ciudad. El Laboratorio puede proveer garanta y respaldo a sus resultados Adems de una reduccin de los costos, los riesgos y problemas de manejo que implica un Laboratorio anexo a su institucin. As, podemos garantizar un servicio integral, una atencin gil y eficiente, junto con una ptima calidad en los anlisis de diagnstico, para la total satisfaccin de su empresa, sus colaboradores y los usuarios. Es una empresa lder a nivel regional en el campo de los anlisis clnicos y formamos parte del prestigioso consorcio de salud Los Fresnos de la ciudad de Cajamarca. Se caracteriza por realizar una gran variedad de exmenes clnicos, empleando los ms avanzados procedimientos de control de calidad con la finalidad de ofrecer resultados confiables, oportunos y seguros a los pacientes, clientes y empresas que nos entregan su confianza.
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 6-
AUDITORA FSICA
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 7-
DESARROLLO DE LA AUDITORA FSICA
1.1. TTULO DE LA AUDITORA
Auditora fsica.
1.2. IDENTIFICACIN DEL CLIENTE
Tec. Lab. Carlos Ramn Valentn.
1.3. IDENTIFICACIN DE LA ENTIDAD AUDITADA
Laboratorio El Ingenio especficamente en el rea de Sistemas y Mantenimiento de Equipos.
1.4. ALCANCE DE LA AUDITORA
Nuestra auditora se centrar en la sede central de la empresa y abarca el rea de Sistemas y Mantenimiento de Equipos, as como tambin otras subdivisiones que dependan de la supervisin del comit de calidad de la organizacin, esta tiene por misin controlar los procesos de las actividades de toda la empresa, por el hecho de ser la gestora de la certificacin y cumplimiento de las buenas prcticas especificadas por el ISO 9001.
1.5. OBJETIVOS DE LA AUDITORA 1.5.1. Objetivo General Brindar una solucin o recomendacin a los riesgos identificados con respecto a la seguridad fsica. A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 8- 1.5.2. Objetivos Especficos
Planificar entrevistas con el personal que haya delegado la encargada del comit de calidad para promover el desarrollo de la auditora. Realizar visitas a la empresa para analizar su infraestructura. Revisin de las polticas y normas sobre seguridad fsica. Verificar la seguridad de personal, datos, hardware, software e instalaciones Verificar la estructura de distribucin de los equipos. Revisar la correcta utilizacin de los equipos. Realizar las debidas recomendaciones de los riesgos y vulnerabilidades que se pueda identificar con el desarrollo de la auditora.
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 9-
1.6. EVALUACIN Se emple el mtodo de entrevista para la evaluacin de los respectivos controles. A continuacin presentamos lo que se obtuvo:
tem a evaluar Cumple No Cumple Observaciones El edificio se ubica en una zona segura? X La edificacin cumple con el estndar de la legislacin impartida por el municipio? X Cuenta con materiales de construccin apropiados para la seguridad de la informacin? X El edificio es de material noble Las reas de la organizacin se encuentran protegidas de fenmenos climatolgicos? X La organizacin en general est protegida con techo a 2 aguas sobresaliente y una pequea zona desprotegida para casos de lluvias. Cuenta con un sistema contra incendios? X Posee control de accesos para las oficinas. X Cmaras de video vigilancia en solo puertas de acceso La empresa tiene un distribucin del cableada adecuada X Se evalan y controlan permanentemente la seguridad fsica de las instalaciones de cmputo y del edificio donde funciona la empresa? X No existe seguridad fsica en oficinas donde se encuentran los CPD. Los CPD (servidores) se encuentran en una zona restringida de acceso? X solo es protegida por una llave de acceso para esa oficina Se tiene un plan de contingencia frente a cualquier incidente? X No se tiene conocimiento sobre el proceso de este plan por parte de los empleados de la empresa. Se realiza Backups en la empresa? X. Los Backups se realizan de acuerdo a la disponibilidad de tiempo. En algunos casos se hace por da o en ltimas instancias se hace mensual. A&J AUDITORA PARA EL LABORATORIO EL INGENIO
1.7. RESULTADOS
El rea de Sistemas y Mantenimiento de equipos del laboratorio El ingenio, delega a su personal las actividades relacionadas con el soporte, mantenimiento y otras actividades de competencia similar. Sin embargo este no tiene un organigrama bien definido.
Para la labor de esta rea se cuenta con 2 personas, los cuales desarrollan las actividades de soporte, mantenimiento y asistencia al patrimonio informtico y otros equipos de la empresa.
La divisin de sistemas y mantenimiento de Equipos, tiene un ambiente en el segundo piso, que es destinado para el servidor de base de datos y los dems controles de cmaras de video vigilancia.
El desarrollo del anlisis en este punto identifica la mala implementacin de los ambientes del rea que mencionamos en el alcance, que relativamente se convierte en un grave riesgo para la empresa. La carencia de gabinetes u otros equipos, que salvaguarden el patrimonio de las reas involucradas y en general el de la empresa, dejan en grave riesgo al correcto funcionamiento de las actividades de la entidad.
El funcionamiento de las actividades de la empresa no necesita de muchos recursos informticos, sin embargo son necesarios. Las computadoras estn interconectadas mediante red al igual que la impresora matricial. Adems la empresa desarrolla las actividades de la gestin de clientes mediante un sistema conectado a la base de datos del servidor.
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 1- La sede central est vigilada por un sistema de cmaras de video vigilancia, que enfocan algunos ambientes de la empresa. El diseo del sistema tiene falencias, puesto que las cmaras estn mal ubicadas y tienen un considerable nmero de puntos ciegos.
Con respecto a las medidas contingentes para salvaguardar el patrimonio de la empresa, se observ que la empresa cuenta con extintores (que no es el nmero recomendable).
Mencionamos tambin que la empresa no cuenta con una alarma contra robos u otros incidentes; a eso le sumamos tambin que no cuentan con un seguro que proteja sus activos.
Indistintamente de lo mencionado anteriormente, debemos acotar tambin que la empresa no ha elaborado un plan de contingencia donde se debe analizar los riesgos de sus sistemas crticos y establecer el perodo crtico de recuperacin en caso de una incidencia de cualquier tipo, entre otros puntos importantes.
Toda organizacin y/o empresa debera tener reglas para las actividades de labor de sus empleados por lo que muchos especialistas recomiendan establecer un ROF (Reglamento de operaciones y funciones), y adems de tener un MOF (Manual de operaciones y funciones).
El laboratorio clnico El ingenio ha establecido normas y polticas adecuadas para el normal funcionamiento de las operaciones diarias, pero eso no deja de lado la mejora de estos.
Concluyendo sobre los resultados se ha elaborado el siguiente cuadro donde especificamos los resultados ms importantes a tener en cuenta as como su respectiva recomendacin y valoracin. A&J AUDITORA PARA EL LABORATORIO EL INGENIO
RESULTADO RIESGO C CONSECUENCIA ANLISIS RECOMENDACIONES Las reas no se encuentran protegidas contra fenmenos climatolgicos Inundaciones en diversas reas de la empresa. Filtracin de humedad principalmente en la zona que tiene entrada hacia la oficina principal afectando el cableado, documentacin. Vulnerabilidad media Mejorar la infraestructura para proteger las zonas que se encuentran propensas a filtraciones de agua, mediante una re- ubicacin del rea. Sistema contra incendios incompleto Propagacin del fuego rpidamente en la empresa Prdida de recursos materiales, humanos e informacin.
Vulnerabilidad media Disear un plano de ubicaciones de las reas e Instalar extintores en zonas estratgicas de la empresa.
Escasa seguridad fsica de las instalaciones donde se encuentran CPD (Centro Procesador de Datos o Servidor). . Fallos lgicos en los componentes CPD
Averas Fsicas en el CPD. Prdida de informacin importante de la empresa. Vulnerabilidad alta Controlar el acceso a personas no autorizadas con cmaras de seguridad.
Desarrollar polticas de seguridad para el acceso al CPD. Falta de control y evaluacin permanente de la seguridad fsica en el rea donde se aloja el CPD (Servidor) Nuevas opciones de perjuicios al CPD. Prdida de informacin.
Gastos en Mantenimiento para el soporte del CPD Vulnerabilidad alta Elaborar un cronograma de revisin para prevalecer la seguridad fsica donde se encuentra el CPD.
Inadecuada ubicacin de las instalaciones de alojamiento de los CPD (Servidores) Fcil acceso del personal, ajeno al rea. Sabotaje de los CPDs. Robo de informacin. Robo de equipos. Vulnerabilidad alta Promover el acondicionamiento de un ambiente exclusivo para los servidores, donde solo tenga acceso el personal inmerso con el rea, a fin de prevenir los sabotajes.
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
1.8. CONCLUSIONES:
Habitualmente en la empresa el personal no tiene en consideracin la seguridad cuando hacen uso de un sistema, ya que, frecuentemente se ignoran los aspectos relacionados con la seguridad, ms aun si hablamos de cuestiones fsicas. Pude que los usuarios a veces puedan tener una imagen negativa de la seguridad, por considerarlo algo molesto y que interrumpe su capacidad de realizacin de su trabajo. En un entorno seguro, se limitan el acceso a los recursos que se consideren importantes.
Ello, contrastado con nuestra opinin, es favorable con salvedades, puesto que, la empresa cumple algunos tems de control que hemos evaluado, sin embargo muchos de ellos son desfavorables en la evaluacin. Por tanto debera reforzar los puntos dbiles para salvaguardar la informacin y no tener gastos innecesarios en caso de producirse incidentes en la empresa.
Eso implica tambin reforzar la seguridad en cuanto a las instalaciones donde se encuentran los equipos de cmputo.
1.9. FECHA DE INFORME El desarrollo de esta auditoria inicio el 27de mayo del 2014, estableciendo las actividades necesarias para el cumplimiento de los objetivos trazados al inicio del informe de esta auditora. Esta se desarroll conforme a lo planificado, con una entrevista con Marcos Antonio Mendoza Campos. No sucedi ningn tipo de percance, por lo que la fecha de culminacin, Como lo previsto, fue el 31 de mayo 2014.
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 1- 1.10. IDENTIFICACIN Y FIRMA DEL AUDITOR Grupo A&J 1.11. DISTRIBUCIN DEL INFORME
Representante rea Carlos Ramn Valentn Gerencia
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
AUDITORA OFIMTICA
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 1-
DESARROLLO DE LA AUDITORA OFIMTICA
2.1. TTULO DE LA AUDITORA
Auditora Ofimtica.
2.2. IDENTIFICACIN DEL CLIENTE
Tec. Lab. Carlos Ramn Valentn.
2.3. IDENTIFICACIN DE LA ENTIDAD AUDITADA
Laboratorio El Ingenio especficamente en el rea de Sistemas y Mantenimiento de Equipos.
2.4. OBJETIVOS DE LA AUDITORA 2.4.1. Objetivo General La auditora se centrar en la sede central de la empresa y abarca el rea de Sistemas y Mantenimiento de Equipos. 2.4.2. Objetivos Especficos Planificar entrevistas con el personal que haya delegado la encargada del comit para promover el desarrollo de la Auditora. Verificar si el hardware y software se adquieren siempre y cuando proporcionen costo/beneficio. Verificar los procesos de compra de tecnologa de informacin sustentados con procedimientos, normas, polticas para el marco de legalidad. Verificar la existencia de un plan de actividades previo a la instalacin. A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 2- Verificar si existen garantas para proteger la integridad de los recursos informticos. Realizar las debidas recomendaciones de los riesgos y vulnerabilidades que se pueda identificar con el desarrollo de la auditora.
2.5. ALCANCE DE LA AUDITORA
El alcance est delimitado con el anlisis de los planes y procedimientos, polticas de mantenimiento, inventarios ofimticos, capacitacin del personal que tengan competencia con el rea de Sistemas y Mantenimiento de Equipos.
2.6. EVALUACIN La evaluacin de los controles que respectan a esta auditoria se resume en el siguiente cuadro: tem a evaluar Cumple No Cumple Observaciones Existe un informe tcnico en el que se justifique la adquisicin del equipo, software y servicios de computacin, incluyendo un estudio costo-beneficio X
Existe un responsable que coordine todo el proceso de adquisicin e instalacin? X
Han elaborado un instructivo con procedimientos a seguir para la seleccin y adquisicin de equipos adems de programas? X
Se cuenta con software licenciado requerido para el cumplimiento de las actividades? X
Se ha asegurado un respaldo de mantenimiento y asistencia tcnica? X
Se han implantado claves o password para garantizar operacin de equipos a personal autorizado? X
Se han formulado completamente polticas respecto a seguridad, privacidad y proteccin de las facilidades de procesamiento ante eventos como incendios, robos, etc., que perjudiquen la informacin? X Existe pero no son las necesarias. A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 3- Se mantiene un registro permanente de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos? X An no se tiene la suficiente informacin para definir una respuesta real. Los operadores del equipo central estn entrenados para recuperar o restaurar informacin en caso de destruccin de archivos? X
Los backups se guardan en lugares seguros y adecuados, preferentemente en bvedas u otros lugares externos? X
Se establecen procedimientos para obtencin de backups de paquetes y de archivos de datos? X
Todas las actividades del rea Informtica estn normadas mediante manuales, instructivos, normas, reglamentos? X
Se han instalado equipos que protejan la informacin y los dispositivos en caso de variacin de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energa? X
Se han contratado plizas de seguros para proteger la informacin, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operacin? X
Se hacen revisiones peridicas y sorpresivas del contenido del disco para verificar la instalacin de aplicaciones no relacionadas a la gestin de la empresa? X
Se mantiene programas y procedimientos de deteccin e inmunizacin de virus en copias no autorizadas o datos procesados en otros equipos? X
Mantienen una estandarizacin del sistema operativo en los equipos de la organizacin? X
Se pretende a la estandarizacin del Sistema Operativo, software utilizado y se mantienen actualizadas las versiones y la capacitacin sobre modificaciones incluidas? X
Cada rea de la organizacin responde por los equipos a su cargo? X
Estn actualizadas las adquisiciones de equipos realizadas por la organizacin? X
El mantenimiento de los equipos informticos lo realiza el responsable del rea de informtica? X
Existe compatibilidad entre versiones de software instalada? X
Cuentan los usuarios con un manual de actividades a realizar con relacin a la funcin que realiza? X
El sistema cumple con los requerimientos del usuario final? X
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 4- El sistema es flexible a las necesidades de la organizacin? X
El manejo de claves est restringido y resguardado adecuadamente? X
La disponibilidad de datos de aquellos procedimientos crticos est al alcance del responsable del rea de informtica? X
La informacin que es comunicada a otras reas est compartida mediante archivos restringidos? X
La manipulacin del contenido de los archivos es restringida? X
La informacin que se comparte se realiza por medio de dispositivos extrables? X
2.7. RESULTADOS Para dar relevancia al excelente inventariado de los equipos que estn a cargo del rea, mencionamos que esta labor se establece mediante formatos elaborados donde se especifica puntos importantes como: Nombre de equipo, rea de ubicacin, Fecha de mantenimiento y otras descripciones. Adems adicionalmente se cuenta con un documento donde se especifica el tiempo de vida del equipo. En cuanto a las facturas, boletas y otros comprobantes de las compras de equipos o repuestos, el rea hace llegar los comprobantes originales al rea de contabilidad y la copia los archiva en la carpeta a su cargo. Aclaramos que la compra de los equipos no se hacen en conjunto, si no de acuerdo a la necesidad de estos. De ello tambin se destaca que cada compra siempre tendr que estar avalada para un ao de garanta. El mantenimiento y control de aplicaciones o software a los equipos se hacen diariamente. La finalidad es mantener el estndar operativo de los equipos, controlando los programas instalados, actualizaciones y los fallos de estos.
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 5- Otro Punto importante es la compra de licencias para las aplicaciones o software en los equipos computadores. Las licencias son originales (ello no est corroborado) y se mantiene un contrato con ello segn afirma el encargado del rea de sistemas y soporte. Especficamente cada computador tiene instalado: Sistema Operativo Windows XP, 7 y 8 (LICENCIA OM) Paquete Microsoft Office 2007(Licencia estndar) Sistema SIGLA (Software comprado con licencia de por vida) Teamviewer V 9.0 (Licencia Free) Adobe Reader PDF (Licencia Free) Antivirus Eset Endpoint Security.(Licencia Standard) Simbiosys. Estos programas son comprados de acuerdo a la necesidad general de la empresa. El cambio de versiones de las aplicaciones se actualiza uniformemente, a modo de que los equipos mantengan un estndar. Panormica general de la seguridad.- Habitualmente en la empresa los usuarios nales no tienen en consideracin la seguridad cuando hacen uso de un sistema, ya que, frecuentemente se ignoran los aspectos relacionados con la seguridad. Los usuarios a veces puedan tener una imagen negativa de la seguridad, por considerarlo algo molesto y que interrumpe su capacidad de realizacin de su trabajo. En un entorno seguro, un usuario se encuentra con tareas que le pueden resultar incmodas (como por ejemplo, recordar contraseas, cambiarlas peridicamente, etc.) y que pueden limitar las operaciones que puede realizar as como los recursos a los que se le permite acceder. Inconvenientes que generalmente no suceden dado que la totalidad de la gestin de contraseas, esta manejada por Marcos Mendoza Campos quien tiene inventariado manualmente todas las contraseas en un cuaderno. Probablemente el gran riesgo es la falta de copia de respaldo y la falta A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 6- de proteccin de ste, donde su prdida implicara importantes consecuencias a la empresa. La comunicacin est centralizada por un servidor con usuarios que hacen uso de la misma red de comunicaciones. No sabemos a ciencia cierta la totalidad de software que proteja al servidor, por lo tanto no podemos dar un diagnstico certero, ya que el acceso a ello y otras acciones importantes para la evaluacin de la auditora est sujeta de una respuesta de permiso. Fsicamente el acceso al servidor est controlado por cmaras y la supervisin del encargado del rea de sistemas. La gestin de documentos est regulado por las polticas de la empresa, con la prohibicin del uso de dispositivos de almacenamiento extrable (USB, CD-s, DVD-s, etc.). Estos documentos estn almacenados en el disco duro del servidor y su acceso se establece por comunicacin de la red, porque cada rea tiene una carpeta especfica para el almacenamiento de cada documento. Empero estos documentos no tienen copias de respaldo y pueden ser accesibles para manipulacin del archivo en general, mas no del contenido por estar protegidas por contraseas. Mediante el siguiente cuadro damos relevancia a tems importantes que se obtuvieron a partir de lo descrito anteriormente.
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
RESULTADOS RIESGOS CONSECUENCIAS ANLISIS RECOMENDACIONES No cuentan con inventarios de hardware y hojas de vida de manera fsica que los refleje fielmente. Equipos no garantizados a un plano de legalidad. Robo (hurto fsico) de informacin de equipos. Equipos con mayor posibilidad de desuso. Vulnerabilidad media. Inventariado digital de la informacin de los equipos.
Inadecuado mantenimiento y control de aplicaciones o software a los equipos. Instalacin de software malicioso que afecte la proteccin de datos Prdida de informacin privada. Instalacin de virus que ralenticen el funcionamiento del equipo. Vulnerabilidad alta Mantener un adecuado y repentino control de los equipos. Falta de conocimiento del personal sobre riesgos de seguridad. Falta de induccin, capacitacin y sensibilizacin sobre riesgos de seguridad.
Dao en equipos. Interrupcin de las labores y retardo en el tiempo de repuesta al cliente. Vulnerabilidad media Ampliar las polticas y/o normas que regulen la privacidad, proteccin y seguridad de la informacin ante posibles incidentes.
Promover capacitaciones al personal para el uso adecuado de la tecnologa ofimtica y de la seguridad. Falta de formulacin de polticas respecto a seguridad, privacidad y proteccin de datos ante incidentes como robos y otros que perjudiquen o alteren la informacin.
Personal curioso que tenga acceso a ciertas zonas que contengan datos sensibles.
Prdida de informacin a causa de un descuido. Acceso a informacin sensible en reas poco controladas.
Posible dao a la data por causa de algn desperfecto.
Vulnerabilidad media Implementacin de polticas que queden documentadas. Realizar un plan de contingencia frente a estos posibles incidentes. Operadores de la sede central estn entrenados En ausencia del responsable puede haber un desperfecto o alguna Retraso en las operaciones que requieran la utilizacin de Vulnerabilidad media. Establecer una documentacin en simples pasos para que alguna A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 1- para recuperar o restaurar informacin en caso de destruccin de archivos. falla que pueda retrasar las operaciones normales. reportes digitalizados y hacia otras sedes. persona autorizada pueda resolver el incidente. Falta de backups que se guarden en lugares seguros y adecuados. Actualizaciones de backups no muy frecuentes con fcil prdida de data actualizada. Prdida de datos actualizados que permitan operar de manera eficiente. Vulnerabilidad alta Adecuar o extender ambientes fsicos para salvaguardar los back-ups o copias de respaldo de la informacin de la organizacin. Segn el volumen de data contenido. Falta de procedimientos para la obtencin de backups de paquetes y de archivos de datos. Posibilidad de ocurrencia de algn incidente con prdida de datos y de volver a incurrir en el mismo problema. Prdida de tiempo al momento de volver a analizar el problema y de requerir una documentacin de ayuda para dicha operacin. Vulnerabilidad media Documentacin del procedimiento con informes que sean aprobadas por mecanismos estndar de evaluacin.
Planificar las fechas para la generacin de back-ups y copias de respaldo de la informacin de la empresa. Falta de instructivos de actividades realizadas en el rea de informtica normadas mediante manuales y/o reglamentos. Ocurrencia de actividades repetidas que pueden suponer prdida econmica a la organizacin. Prdida de tiempo en actividades que son repetitivas en el rea. Vulnerabilidad media Realizar una documentacin de las actividades realizadas en el rea. No estn actualizadas las adquisiciones de equipos realizadas por la organizacin. Falta de informacin al momento de entregar un reporte al rea de Contabilidad y Calidad para su respectiva documentacin y posteriores resultados. Informacin poco actualizada de las adquisiciones, aunque estas se den de forma espordica. Vulnerabilidad media Realizar el respectivo informe de adquisicin de equipos apenas realice la compra. A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 2- El manejo de claves de los archivos de informacin no est restringida y resguardada adecuadamente Acceso a las claves de usuario y con ello los privilegios que resguarda. Uso de informacin sensible por parte de algunos usuarios que puedan utilizar la ingeniera social para el robo de informacin.
Prdida de claves por descuido y el reinicio de todo el sistema generando prdidas econmicas. Vulnerabilidad alta Tener un uso adecuado de las mejores prcticas en cuestin de manejo de informacin.
Establecer medidas de proteccin para salvaguardar la informacin sensible de la empresa.
La disponibilidad de datos de los procedimientos crticos est al alcance del responsable del rea de informtica. Desconocimiento del sistema y menor apoyo en los incidentes del sistema. Disminucin del tiempo de respuesta a posibles incidentes ocurridos en el sistema. Vulnerabilidad alta Tener disponibilidad de recursos que impliquen un mayor conocimiento del funcionamiento del sistema en todos sus mdulos. No existe restriccin de archivos compartidos que es comunicada a otras reas. El posible uso inadecuado de la informacin por parte de algunos usuarios que tienen informacin que no es de su competencia. El mal uso que pueden dar algunos usuarios con esta informacin y/o el robo de esta informacin. Vulnerabilidad media Realizar una comparticin de archivos que est restringida por reas para que la visualizacin de esta informacin sea de competencia de la respectiva rea implicada. A&J AUDITORA PARA EL LABORATORIO EL INGENIO
2.8. CONCLUSIONES:
Se tiene en cuenta de manera clara que la gestin de archivos y documentacin por el uso de medios extrables est restringida segn la poltica de la empresa, esto va en conformidad con los principios establecidos y normas de la organizacin.
Existe una limitacin al alcance con respecto al alcance de la documentacin se seala que cuenta con un manual de actividades relativas al usuario de la organizacin donde el grupo acepta la opinin dada por la organizacin a travs del encargado de sistemas, pero con la salvedad que dicho documento no consta al grupo auditor de su existencia, por lo que el grupo auditor no pudo continuar con los respectivos procedimientos que concibe la auditora.
2.9. FECHA DE INFORME El 27 de mayo del 2014 se nos consign el desarrollo de esta auditora, por lo que planificamos el apersonamiento y la entrevista respectiva para recabar la informacin. Aunque desarrollamos gran parte de lo planificado, quedo pendiente la tarea de auditar con una aplicacin auditora (Software), el cual no se pudo desarrollar por falta de tiempo y considerarse riesgoso para la empresa. Sin embargo la auditoria obtuvo la suficiente informacin. Dando hincapi para la elaboracin del informe con resultados satisfactorios. La fecha de culminacin del informe fue el 31 de mayo del 2014, quedando solo para revisin con la docente.
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 1- 2.10. IDENTIFICACIN Y FIRMA DEL AUDITOR Grupo A&J 2.11. DISTRIBUCIN DEL INFORME
Representante rea Carlos Ramn Valentn Gerencia
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
AUDITORA DE DESARROLLO
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 1-
DESARROLLO DE LA AUDITORA DE DESARROLLO
3.1. TTULO DE LA AUDITORIA
Auditora de Desarrollo.
3.2. IDENTIFICACIN DEL CLIENTE
Tec. Lab. Carlos Ramn Valentn.
3.3. IDENTIFICACIN DE LA ENTIDAD AUDITADA
Laboratorio El Ingenio sede central.
3.4. OBJETIVOS DE LA AUDITORA 3.4.1. Objetivo General Brindar una solucin o recomendacin a los riesgos identificados con respecto al plano del desarrollo de la gestin organizacional de proyectos y de los SI. 3.4.2. Objetivos Especficos Evaluar los controles de seguridad. Verificar los procedimientos de seguridad en la red interna. Verificar la implementacin de su centro de red. Planificacin de reunin para la entrevista y apersonamiento correspondiente
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 2-
3.5. ALCANCE DE LA AUDITORA
El alcance est delimitado con el anlisis de acuerdo a las normas aplicables a la existencia y aplicacin de procedimientos de control adecuados que permitan garantizar el desarrollo de Sistemas de Informacin as como tambin del plano de Desarrollo para la Gestin Proyectos referente a la sede principal de la empresa en el rea de Sistemas y Mantenimiento de Equipos. 3.6. EVALUACION Como en cada auditoria, la evaluacin se hizo mediante el siguiente cuadro: tem a evaluar Cumple No Cumple Observaciones Existe un organigrama con la estructura de organizacin del rea? X Existe un documento de la organizacin detallando las funciones de las persona implicadas en una determinada rea? X El Documento es claro y realista? X Se cuenta con un plan Organizacional? X Solo se toman planes a nivel Informativo Se revisa y actualiza con periodicidad en funcin de las nuevas situaciones. X Se difunde a todos los empleados para que se sientan partcipes. X Cuentan con documentos al alcance de los empleados Estn establecidos los procedimientos de promocin de personal a puestos superiores, teniendo en cuenta la experiencia y formacin? X La Organizacin lleva su propio control presupuestario? X . El presupuesto est en concordancia con los objetivos a cumplir? X A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 3- Existe procedimientos de contratacin? X Las ofertas de puestos del rea se difunden suficientemente fuera de la organizacin? X Las personas seleccionadas cumplen con requisitos del puesto al que acceden.
Existe un protocolo de recepcin/abandono para las personas que se incorporan o dejan el rea. Se debe comprobar que: X El protocolo existe y se respeta para cada incorporacin/abandono X En la incorporacin se incluye estndares definidos, manual de organizacin del rea, definicin de puestos, etc X En los abandonos de personal se garantiza la proteccin del rea. X Existe una biblioteca y una hemeroteca accesibles al personal del rea. X Existe un mecanismo que permita que los empleados hagan sugerencias sobre las mejoras en la organizacin del rea X No existe una gran rotacin de personal y hay un buen ambiente de trabajo. X Hay gran rotacin pero en una determinada rea Existe un procedimiento para la propuesta de realizacin de nuevos proyectos. X Existe un plan de sistemas, los proyectos que se lleven a cabo, y se lo mantiene actualizado? X Los nuevos proyectos se basan en el plan de sistemas en cuanto a objetivos y en el marco general X Las fechas de realizacin coinciden con las del plan de sistemas. X La documentacin relativa a cada proyecto contiene los objetivos, los requisitos generales y un plan inicial X Solo se toman planes a nivel Informativo El plan de sistemas se actualiza con la informacin que se genera a lo largo del proceso de desarrollo X Cuentan con documentos al alcance de los empleados
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
3.7. RESULTADOS RESULTADO RIESGO CONSECUENCIA ANLISIS RECOMENDACIONES No existe el rea encargados para la gestin de desarrollo del el organigrama. Disgregacin Organizacional a nivel tctico.
Crear desconocimiento al personal frente a los responsables que lideran la gestin de desarrollo de la organizacin. Vulnerabilidad media Evaluar, Organizar y Re-estructurar el Organigrama de acuerdo al actual nivel organizacional y visin de la empresa Se cuenta con un documento ROF Y MOF que carece claridad y realismo Crear Falsas identidades en la realizacin de tareas en el personal Inestabilidad en el flujo de tareas en un proceso determinado Redundancia de tareas en el personal Vulnerabilidad media Evaluar, analizar y corregir dichos documentos de acuerdo a la estructura organizativa, adems la aprobacin de esta para garantizar la veracidad. Falta de actualizacin y revisin del plan Organizacional Falsa Planificacin de recursos. Prdida de Recursos Humanos, econmicos Incumplimiento de plazos y calendarios de tratamientos y entrega de proyectos u otros. Vulnerabilidad Alta Asignar a un responsable con conocimiento a nivel estratgico para actualizacin de acuerdo a las nuevas situaciones de la organizacin. No existe un mecanismo de sugerencias para el control de aplicaciones por parte del personal Incumplimiento o prolongacin de tareas Usuarios insatisfechos en la labor de sus actividades.
Retardo de la informacin en un cronograma estipulado afectando el flujo de la informacin. Vulnerabilidad media Crear procedimientos documentados para la mejora de tareas, procesos o actividades para la satisfaccin del personal. No existe mecanismo documentado para el control de aplicaciones
Control de las aplicaciones de forma no garantizada dejando algunos puntos sin revisin. Vulnerabilidad media Desarrollar un documento para el control de aplicaciones de forma especfica para cada problema de forma independiente. Inexistencia de un plan de sistemas y tecnologas Falsa Planificacin de recursos. Mantenimiento constante de soporte a tecnologas. Prdida de recursos humanos y econmicos Objetivos inconclusos a nivel estratgico. Vulnerabilidad Alta Desarrollar un plan claro con actualizacin peridica para dar soporte a la gestin de tecnologas de la organizacin con coste/beneficio de acuerdo a nuevas tendencias. A&J AUDITORA PARA EL LABORATORIO EL INGENIO
3.8. CONCLUSIONES
El principal problema de la empresa en lo que respecta a desarrollo es la carencia de un plan de desarrollo. No cuenta con un MOF y un ROF especfico para esta rea.
Ello se contrasta en la falta de un plan de sistemas y tecnologas, por lo que se infiere que el rea de sistemas no es valorada como tal. Sin embargo, ser mejor valorada en la medida que la tecnologa de informacin tome mayor importancia estratgicamente en la toma de decisiones, puesto que hoy en da muchas empresas que encuentran la clave del xito en ello.
Con estas lneas tratamos de que la empresa, en su integridad, tome conciencia del tremendo potencial que tiene la tecnologa de informacin tiene para brindar un servicio eficiente y de calidad a los ciudadanos y a las empresas. De ser as podran dar pasos agigantados en mejorar an ms la competitividad general en el mercado.
Si la empresa toma conciencia de lo que quiere alcanzar se dar cuenta de que la planificacin es un punto importante. As como tambin la buena administracin de sus recursos y las capacidades de su personal.
2.12. FECHA DE INFORME
La planificacin del desarrollo del informe de esta auditora, enmarcaba una reunin el 07 de junio del 2014, la cual se desarroll como lo planificado. Empero, dado a que la informacin que se recogi no fue la suficiente, se propuso la presentacin de un documento, donde informbamos lo sucedido. La respuesta de este tardo unos cuantos das. A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 1-
En fin luego de obtener la respuesta, el grupo empez la redaccin del informe correspondiente. Dndole fin el 5 de julio (en paralelo con la auditoria de aplicacin y la auditoria de base de datos) y quedando solo para revisin.
2.13. IDENTIFICACIN Y FIRMA DEL AUDITOR Grupo A&J 2.14. DISTRIBUCIN DEL INFORME
Representante rea Carlos Ramn Valentn Gerencia A&J AUDITORA PARA EL LABORATORIO EL INGENIO
AUDITORA DE BASE DE DATOS
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
DESARROLLO DE LA AUDITORA DE BASE DE DATOS
4.1. TTULO DE LA AUDITORA
Auditora de Base de Datos
4.2. IDENTIFICACIN DEL CLIENTE
Tec. Lab. Carlos Ramn Valentn.
4.3. IDENTIFICACIN DE LA ENTIDAD AUDITADA
Laboratorio El Ingenio especficamente en el rea de Sistemas y Mantenimiento de Equipos.
4.4. OBJETIVOS DE LA AUDITORA 4.1.1. Objetivo General Garantizar la integridad y seguridad de los datos e informacin que se generan y guardan en la Base de Datos mediante la recopilacin y anlisis de todos los registros pertinentes en el rea de sistemas y referentes a la base de Datos. 4.1.2. Objetivos Especficos Recopilar informacin acerca de actividades especficas de la BD. Adquirir la informacin necesaria del SGBD y las actividades que realiza el Administrador de Base de Datos. Mitigar los riesgos asociados con el manejo inadecuado de los datos.
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 1-
4.5. ALCANCE DE LA AUDITORA
Controlar la definicin y existencia de todos los objetos que son necesarios en la BD y que son utilizados por los distintos sistemas de la empresa. El alcance est delimitado por la evaluacin del rea de Calidad en lo que corresponde a: Funciones. Normas y Polticas. Capacitacin.
4.6. EVALUACIN tem a evaluar Cumple No Cumple Observaciones Se realiza copias de seguridad (diariamente, semanalmente, mensualmente, etc.)? X Que se encuentra un administrador de sistemas en la empresa que lleve un control de los usuarios? X Se renuevan las claves de los usuarios de la Base de Datos? X Se encuentran listados de todos aquellos intentos de accesos no satisfactorios o denegados a estructuras, tablas fsicas y lgicas del repositorio? X Mediante el manejo de usuarios a la base de datos se puede identificar quien modifico o realizo algn cambio. Posee la base de datos un diseo fsico y lgico? X Posee documentacin del diseo fsico y lgico? X La documentacin del ambos diseos si existen pero las posee el DBA siendo esta persona externa a la empresa, ubicado en la ciudad de Lima. Los dispositivos que tienen las copias de seguridad, son almacenados fuera del edificio de la empresa? X No cuentan con un respaldo solo tienen los servidores de forma local. A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 2- Cundo se necesita restablecer la base de datos, se le comunica al administrador? X
Se documentan los cambios efectuados? X Se establecen procedimientos para obtencin de backups de paquetes y de archivos de datos? X Existe algn tipo de documentacin referida a la estructura y contenidos de la Base de Datos? X Existe algn plan de contingencia ante alguna situacin no deseada en la Base de Datos? X Toda la documentacin referida a la SGDB la tiene el ingeniero externo a la empresa. Se notifican las acciones realizadas a nivel de mantenimiento de software? X No se da el mantenimiento necesario, porque no tienen control total sobre la misma. Desarrollar polticas de gestin de datos. X Controlar la integridad y seguridad de lo s datos X Hasta ahora no habido ningn tipo de percance con respecto a la vulnerabilidad de los datos, pero si ha ocurrido errores en cuanto las actualizaciones. A&J AUDITORA PARA EL LABORATORIO EL INGENIO
4.7. RESULTADOS RESULTADO RIESGO CONSECUENCIA ANLISIS RECOMENDACIONES Ausencia de documentacin del diseo fsico y lgico manejado por la organizacin. Incremento de la dependencia del servicio informtico debido a la concentracin de datos. Demoras en la solucin de inconvenientes en la DB. Falta de seguridad y confiabilidad en el sistema. Vulnerabilidad alta Disponer de dichos registros en las cuales se encuentre la informacin para poder realizar modificaciones al sistema que se ajusten a las necesidades del sistema. Es necesario considerar renovar el manual de manejo de la base de datos. Las copias de seguridad no son almacenados fuera del edificio de la empresa (vaulting) Incidentes que puedan causar prdidas como incendios, sobrecargas elctricas. Prdida de la informacin. Sobrecarga de data en el CPD. Vulnerabilidad alta Realizar copias de seguridad y mover de localizacin la copia completa de los datos por lo menos una vez al mes. Tener en cuenta las polticas de restauracin de datos. Si la empresa lo cree conveniente, contratar un servicio externo para almacenar su informacin. Ausencia de un plan de contingencia que reporte una solucin ante una situacin no deseada en la Base de Datos. Menor control del sistema informtico. Prdida de informacin. Prdida econmica y de tiempo. Capacidad de respuesta lenta y no pensada. Vulnerabilidad alta Realizacin de un plan de contingencia que permita prevenir y resolver situaciones no deseadas, para solucionar de manera ms rpida en caso ocurra nuevamente dichas fallas. Poca frecuencia de copias de seguridad en distintos tipos de soporte (discos, nube)
Prdida de datos actualizados. Vulnerabilidad alta Manejo de herramientas simples que permitan el backup programado como el fwbackup. Copia en la nube es un servicio online que puede resultar alternativa pero que depende del volumen de informacin. A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 1-
Las instalaciones donde se encuentra el CPD son poco resistentes a potenciales daos causados por agua, incendios, etc. Posibilidad de ocurrencia del hecho. Instalaciones expuestas a tomas elctricas cerca del CPD. Prdida de informacin del CPD.
Vulnerabilidad alta Tener extinguidores cercanos al procesador de datos. Capacitar al personal en el manejo adecuado de estos dispositivos. Guardar la informacin local y en remoto y en soporte ptico para asegurar la permanencia de los datos. A&J AUDITORA PARA EL LABORATORIO EL INGENIO
4.8. CONCLUSIONES: Segn todos los tems especificados anteriormente podemos decir que en la Auditora de Base de Datos Laboratorios El Ingenio E.I.R.L. nuestra opinin es favorable con salvedades por los siguientes motivos: La empresa no siente que sea necesario implementar el rea de Sistemas, ya que no afecta a la organizacin en caso de ocurrir fallos, porque pueden seguir trabajando sin la ayuda del sistema. Hasta la actualidad como no le han tomado la debida importancia al rea de sistemas este informe demuestra que si no existe un buen manejo en esta rea podra generar prdidas de informacin, fallas en los reportes emitidos, prdidas econmicas innecesarias. Aun as el DBA cumple con las obligaciones a nivel medio teniendo en cuenta los recursos a su alcance para ello es indispensable: Seguir con el buen control de la base de datos e implementar la configuracin de la replicacin para mayor seguridad de los datos. Tener en cuenta que todos los procedimientos deberan estar documentados. Tener o implementar un manual de base de datos en caso de fallas, para una rpida solucin ante un problema. Se debern establecer los tipos de usuarios, perfiles y privilegios necesarios para controlar en acceso a las bases de datos. Principalmente, con la realizacin de este trabajo prctico, la principal conclusin a la que hemos podido llegar, es que toda empresa, pblica o privada, que posean Sistemas de Informacin medianamente complejos, deben de someterse a un control estricto de evaluacin de eficacia y eficiencia. A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 1- 4.9. FECHA DE INFORME Como lo dicho en la auditoria previa a esta, esta auditoria se desarroll el 05 de julio 2014, pero fue consignada el martes primero del mes. Y se present para revisin el 07 de julio del 2014. 4.10. DISTRIBUCIN DEL INFORME
Representante rea Carlos Ramn Valentn Gerencia
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 2-
AUDITORA DE APLICACIONES
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 3-
DESARROLLO DE LA AUDITORA DE APLICACIONES
5.1. TTULO DE LA AUDITORIA
Auditora de Aplicaciones
5.2. IDENTIFICACIN DEL CLIENTE
Tec. Lab. Carlos Ramn Valentn.
5.3. IDENTIFICACIN DE LA ENTIDAD AUDITADA
Laboratorio El Ingenio especficamente en el rea de Sistemas y Mantenimiento de Equipos.
5.4. OBJETIVOS DE LA AUDITORA 5.4.1. Objetivo General Realizar un informe de Auditoria con el objeto de verificar la adecuacin de los estndares de funcionamiento y procedimiento del rea de informtica. Informar sobre la fidelidad y razonabilidad de la situacin de la empresa centrndonos, en lo que respecta a las aplicaciones informticas dentro de la empresa.
5.4.2. Objetivos Especficos
Planificar entrevistas con el personal que haya delegado la encargada del rea para promover el desarrollo de la auditora. Realizar las debidas recomendaciones de los riesgos y vulnerabilidades que se pueda identificar con el desarrollo de la auditora. A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 4- 5.5. ALCANCE Nuestra auditora est centrar en la sede central de la empresa y abarca el rea de Sistemas y Mantenimiento de equipos, as como tambin otras subdivisiones que dependan de la supervisin de esta, puesto que el rea especificada tiene por misin ofrecer soluciones a los equipos y aplicaciones que competan al rea. 5.6. EVALUACION
tem a evaluar Cumple No cumple Observaciones Se cuenta con documentacin del software implementado en la empresa? X La empresa cuenta con un manual de usuario del sistema que ha sido desarrollado por el encargado de soporte. Cuentan con un plan de contingencia contra errores accidentales o deliberados, causados por el uso incorrecto o no autorizado de los programas? X La empresa debe considerar el contar con un plan de contingencia en caso de suceder incidentes o desastres. Se realizan mantenimientos preventivos peridicos todos los equipos? X Control y autorizacin adecuada en la implementacin de sistemas y en las modificaciones de los mismos. X Cuenta con listado de programas instalados en los equipos de la empresa? X Se Utilizan los equipos solo con fin empresarial? X Cuentan en la empresa con manuales de usuario de los programas instalados en los equipos? X Se restringe el ingreso a pginas de msica, redes sociales, etc.? X A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 5-
5.7. RESULTADOS La auditora de aplicaciones informticas se centra en aquel Software que permite automatizar los procesos de la empresa, por lo que el desarrollo de esta se centr en el sistema SIGLA, por ser la nica aplicacin existente de la empresa que cumpla con la tarea que se describi anteriormente. El Beneficios y operatividad de las Aplicaciones Informticas actualmente, coloca a que el uso del ordenador en las empresas peruanas asciende hasta el 96,2%, incrementando 4 puntos porcentuales respecto a 2010. Establecindose como principal argumento, para la disposicin de aplicaciones y tecnologas que permitan aprovechar al mximo los ordenadores, a fin de facilitar el desarrollo de las actividades de la empresa. En la auditoria ofimtica, mencionamos genricamente que el laboratorio El ingenio dispone del SIGLA. Por ello esta auditoria ahondar ms en la evaluacin de ello (por ser la nica aplicacin) y no en aplicaciones ofimticas como MS Office, TeamViewer, entre otras aplicaciones de uso de la empresa y que estn establecidas para instalar para operatividad de los ordenadores. Decidimos iniciar la descripcin de los resultados analizando la incidencia que se resume en la siguiente frase: El sistema no es lo suficientemente flexible a nuestro modelo de negocio, por lo que se est Se cuenta con respaldos de informacin en caso de fallo de SW?
X Se debera considerar guardar copias de respaldo uno en la institucin y otra en otro local de los programas fuente y aplicaciones de Software, base de datos para as siniestros o desastres que pudieran ocurrir Los programas instalados en los equipos son originales? X Si la empresa lo considera necesario de debe comprar software original ya que los programas libres no tienen mucha seguridad en cuanto a proteccin de informacin Son flexibles las aplicaciones que se utilizan en la empresa? X El sistema SIGLA por ser genrico, y al depender su funcionamiento de un ingeniero externo, produce gastos innecesarios, lo que no sucedera al implementar un software que se ajuste a la empresa. A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 6- pensando la implantacin de otro sistema para dejar en desuso al SIGLA, se aduce internamente. En realidad el problema radicara en el costo de recursos que implica la dependencia de un agente externo (el mismo que implant el sistema). De acuerdo a la documentacin a la que hemos podido acceder mediante investigacin externa, la flexibilidad del sistema depende de la persona que este encargada de la adaptacin del sistema. Y que por ser un software genrico su correcta operatividad depende estrictamente del equipo gestor que designe la empresa para la implantacin. Por ello, afirmamos que: El sistema de informacin Global del laboratorio (SIGLA)1 es un sistema de alta disponibilidad autnomo e independiente, con los elementos necesarios para la gestin de la actividad de las distintas secciones del laboratorio El ingenio. Indistintamente de lo expuesto anteriormente, mencionamos que la empresa usa de este sistema, 5 mdulos, los cuales son: Modulo de microbiologa, Modulo de estadstica, Modulo de urgencias, Mdulo de Control y seguimiento de la actividad; y el Modulo contabilidad. Aunque este ltimo est en etapa planificacin para la implantacin segn el Ing. Alfredo Ramn (Consultor externo de la empresa). El sistema est alojado en un servidor que est ubicado en un ambiente del segundo piso de la empresa. El servidor cuenta con caractersticas ptimas para su buen desempeo. La implantacin de los mdulos usados por la empresa, se lleva a trmino, con el uso exclusivamente conectividad Ethernet sobre medio de transmisin guiada de cobre (Cable UTP coaxial). El sistema est ligado al gestor de base de datos SQL SERVER 2008 V. EXPRESS. Finalmente, hemos percibido que la empresa no cuenta con la documentacin del software (manuales, guas, Ficha Tcnica, etc.). Adems oportunamente mencionamos que la empresa no es totalmente dependiente del sistema, ya que realizan un control manual de sus actividades en caso de estas incidencias. Mantenimiento de la aplicacin.- El mantenimiento correctivo debera ser cada 4 meses, pero en la empresa el mantenimiento correctivo no se
1 Instituto Nacional de Gestion Sanitaria. (2010). Anexo B Sistema De Informacin Global Del Laboratorio (Sigla) Para El Hospital Universitario De Ceuta: Documento para profesionales. Recuperado de: http://www.ingesa.msssi.gob.es/ciudadanos/licitaciones/archivos/PA%2004009%20Ceuta/PA%2004-09- Ceuta-%20ANEXO%20B%20%20PPT.pdf A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 7- aplicada. La actividad relacionada a esta consistente en diagnosticar incidencias de funcionamiento del Sistema de Informacin de Laboratorios (SIGLA). Ello se hace cuando la incidencia se convierte en un problema notorio. Normalmente las incidencias son debidas a errores en el cdigo fuente o en la interaccin de este software bsico (SGBD, servidor de aplicaciones, sistemas operativos, etc.). La prioridad para la resolucin de las incidencias se debe determinar a partir de la urgencia y el impacto que supongan para el servicio. Todas las intervenciones de mantenimiento correctivo, salvo emergencias, son ejecutadas con el conocimiento y autorizacin previa del Gerente General. Esta se realiza atraves de un informe. La tabla que mostramos a continuacin indica la prioridad y los tiempos de resolucin que estimamos:
Donde: Urgencia, Indica la velocidad con la que debe ser resuelta la incidencia de acuerdo con la importancia que tiene para el entorno de trabajo del usuario. La urgencia debe establecerse en funcin de los siguientes criterios:
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 8- Los parrafos anteriores nos permitieron obtener los siguientes tems a evaluar:
Resultado Riesgo Consecuencia Anlisis Recomendaciones Documentacin del software implementado incompleto Inadecuado uso del sistema SIGLA Dependencia de personal externo en caso de fallas del sistema.
Gastos innecesarios.
Vulnerabilidad alta Documentar el manual del sistema SIGLA de forma completa y aprobada por un equipo especialista externo. Plan de contingencia inexistente para el uso del sistema SIGLA El usuario tiene poco control del sistema frente a problemas. Perdida de informacin Gastos innecesarios en soporte del sistema. Retardo el flujo de proceso de las actividades operacionales Vulnerabilidad Alta Desarrollar un plan de contingencia para diferentes problemas del mal uso del sistema No existe flexibilidad en el sistema SIGLA El usuario es dependiente del sistema Restriccin de nuevas tareas para la empresa con el uso del sistema Vulnerabilidad Alta Desarrollar un sistema o compra de un nuevo software que sea flexible para la organizacin. El sistema no cumple con algunos de los requerimientos del usuario final. Inutilidad de ciertos mdulos de informacin. Prdida econmica respecto a la compra del sistema implantado. Vulnerabilidad baja Utilizar un software a la medida. A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 9- 4.11. FECHA DE INFORME Esta auditoria fue realizada en la misma fecha, de la anterior auditoria y se manej de la misma forma. 4.12. DISTRIBUCIN DEL INFORME
Representante rea Carlos Ramn Valentn Gerencia
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 10-
AUDITORA DE REDES
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 11-
DESARROLLO DE LA AUDITORA DE REDES
5.1. TTULO DE LA AUDITORA
Auditora de Redes.
5.2. IDENTIFICACIN DEL CLIENTE
Tec. Lab. Carlos Ramn Valentn.
5.3. IDENTIFICACIN DE LA ENTIDAD AUDITADA
Laboratorio El Ingenio especficamente en el rea de Sistemas y Mantenimiento de Equipos.
5.4. OBJETIVOS DE LA AUDITORIA 5.4.1. Objetivo General Brindar una solucin o recomendacin a los riesgos identificados con respecto a la seguridad fsica. 5.4.2. Objetivos Especficos
- Planificar entrevistas con el personal que haya delegado la encargada del rea para promover el desarrollo de la auditora. - Realizar visitas a la empresa para analizar su infraestructura. - Realizar las debidas recomendaciones de los riesgos y vulnerabilidades que se pueda identificar con el desarrollo de la auditora. - -Evaluar el tipo de red, arquitectura topologa, protocolos de comunicacin, las conexiones, accesos privilegios, administracin y dems aspectos que repercuten en su instalacin. A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 12- - -Revisin del software institucional para la administracin de la red.
5.5. ALCANCE DE LA AUDITORA La auditora se centrar en la sede central de la empresa y abarca el rea de Sistemas y Mantenimiento de Equipos. 5.6. EVALUACION
5.7. RESULTADOS tem a evaluar Cumple No Cumple Observacin La comunicacin de su red de datos est protegida por un firewall? X El firewall con el que cuenta la empresa es solo lgico (firewall propio del SO), mas no con firewall fisico Se realiza una administracin de redes? X La empresa mantiene un procedimiento para la proteccin de los cables de red? X No estn protegidos contra el ruido elctrico mediante la aislacin con canaletas. Mantienen un procedimiento para el control preventivo en la deteccin de intrusos en la red interna de la empresa? X Estas no se realizan con una periocidad pre-establecida. Sin embargo se mantiene polticas de la empresa que controla esta funcin. Existen medidas para separar las funciones de personas que realizan labores de electricistas y personas encargadas de dar soporte? X Las labores concernientes a este aspecto son realizadas por el encargado del rea, en casos especficos de electricidad, el personal de mantenimiento asiste a esas incidencias. A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 13- Los resultados fueron obtenidos mediante entrevista y la auditora mediante la aplicacin online de secureCheq. Los resultados obtenidos se establecen mediante los riesgos que el grupo auditor pudo analizar, ello se presenta a continuacin:
La comunicacin de contraseas se encriptan? X Esta funciones se consideran innecesarias Se registran las incidencias? X Los equipos base de la comunicacin de la red interna estn salvaguardadas en ambientes adecuados? X Estos Equipos estn alojados junto a los servidores y solo los contadores y el encargado del rea de Sistemas y mantenimiento de equipos. En las zonas Adyacentes al ambiente del centro de datos, Todas las lneas de comunicacin estn fuere de vista? X No obstante estas lneas no estn apropiadamente aseguradas. A&J AUDITORA PARA EL LABORATORIO EL INGENIO
a) Fsico
RESULTADO RIESGO CONSECUENCIA ANLISIS RECOMENDACIONES No se cuenta con mecanismos que restrinjan el acceso externo a la red interna. -Infiltracin externa a la red interna de la empresa. -Ataques externos que vulneren el sistema. -Robo de informacin. -Cadas del sistema. Vulnerabilidad Alta Implementar o instalar un firewall que permita ofrecer una mayor seguridad de infiltracin al a red. No se tiene implementado procedimiento para la proteccin de cables. -Fallas de comunicacin al servidor y a la red interna. -Alta probabilidad de sabotaje a la empresa. -Prdidas econmicas para la empresa. -Multas impuestas por Defensa Civil. Vulnerabilidad Media. Estructurar, distribuir y mantener su cableado de red mediante canaletas. No se realiza una correcta administracin de la red. -Alta probabilidad en la generacin de vulnerabilidades. -Congestin de tramas y paquetes en el trfico de la red interna. -Vulneracin de la red interna. Vulnerabilidad Media Realizar una mejor administracin de red, que permita mayor fluidez del trfico de datos de la red interna de la empresa A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 1- a) Lgico RESULTADO RIESGO CONSECUENCIA ANLISIS RECOMENDACIONES La cuenta Invitado en la PC INGENIO9 tiene permiso para escribir datos en un recurso compartido SMB. -Facilidad en acceso de remoto al contenido de los dispositivos compartidos en la red. -Facilidad para los ataques con xploits. -Robo de informacin. -Cadas del sistema. Vulnerabi lidad Alta -Asegurar recursos SMB (impresoras, informacin, equipos conectados a la red, etc.) -Cambiar los privilegios del usuario invitado en la pc INGENIO9. Una parte de SMB permite el acceso de escritura annimo. -Manipulacin remota anima de dispositivos SMBS. -Incidencias con los SMBS. -Prdidas econmicas para la empresa. -Multas impuestas por Defensa Civil. Vulnerabi lidad Alta. Por defecto, las acciones de Windows SMB permiten un control total a cualquier usuario. Asegurar recursos SMB mediante una lista de control de acceso seguro. Existe una vulnerabilidad en SQL Server que podra permitir a un atacante -Un atacante que aprovechara esta vulnerabilidad podra -Control total del sistema por personas extraas Vulnerabi lidad Alta El vendedor ha proporcionado los parches para esta vulnerabilidad. Hay dos tipos de parches de componentes A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 2-
autenticado a la base datos obtener control elevado de privilegios sobre lo dems usuarios. ejecutar cdigo y tomar el control completo del sistema. a la organizacin que filtren un ataque. de SQL Server: GDR y de QFE. La eleccin del tipo de parche depende de la versin del servidor. La versin del servidor se puede determinar mediante el uso de las instrucciones de http://support.microsoft.com/kb/3211 85. El SSL (Secure Socket Layer) del servidor tiene un nivel bajo en la encriptacin de contraseas. Fcil descifrado de contraseas de la red y servidor.
Hackeo masivo de la red.
Vulnerabi lidad Alta Modificar el archivo httpd.conf agregando lneas para establecer el cifrado para mayor consulta ingrese al siguiente link: https://securescan.tripwire.com/aspl /837940/Eh1WfEbIKcCI8eMx2dZI5oGjhj c/ A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 3-
SSLv2 (Transport Layer Security) est habilitado en el servidor y ha quedado obsoleto. Fallas de seguridad generalizados. Hackeo del sevidor.
Vulnerabi lidad Alta Desactivar SSLv2. Reemplace o vuelva a configurar las aplicaciones que utilizan SSLv2 utilizar SSLv3 o TLSv1. El servidor est ejecutando una versin obsoleta de Microsoft Windows. Esta versin ya no tiene soporte por Microsoft. Desatencin de actualizaciones y soporte a SO Fallas en el sistema que no pueden ser solucionadas.
Vulnerabi lidad Alta. Actualizar a la versin admitida de Microsoft Windows. Microsoft SQL Server es propenso a una vulnerabilidad de corrupcin de memoria remota, ya que proporcionados por El usuario autenticado atacantes puede aprovechar este problema para ejecutar cdigo arbitrario en el contexto del servidor. Saboteo del servidor. Cada del sistema.
Vulnerabi lidad Alta Instalar los parches para esta vulnerabilidad que el fabricante proporciona. A&J AUDITORA PARA EL LABORATORIO EL INGENIO
5.8. CONCLUSIONES
A lo largo del desarrollo de esta auditora, se ha demostrado las diferentes falencias en seguridad que ofrecen en el acceso a las redes, dispositivos, sistemas e informacin interna. Son numerosas las vulnerabilidades que se pueden explotar.
El informe obtenido a travs de la aplicacin online de SecureCheq, arrojan resultados positivos en cuanto al testeo lgico, puesto que los porcentajes estadsticos arrojan un 12% de vulnerabilidades que se consideren altas. No obstante es un porcentaje significativo que la empresa debe tener en cuenta, dado que, la gran mayora de las vulnerabilidades de este nivel son resumidas en Acceso de control. La explotacin de estas puede ser consecuencia de los altos privilegios (innecesarios) otorgados a los diferentes usuarios, y que sumado a la falta de encriptacin de contraseas, logren causar un gran impacto en el rea y ms an en la empresa.
Adems de lo anterior debemos acotar que la gran mayora de las vulnerabilidades en general, se presentan en los dispositivos o equipos de uso del personal de la empresa, y que sin la respectiva capacitacin y concientizacin estas pueden ser explotadas incrementando el nmero de riegos.
Por ltimo destacamos que de todos los test que realiz la aplicacin para la deteccin de vulnerabilidades en su red, el 75% de ellas pasaron con merito aprobatorio.
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 1- 5.9. FECHA DEL INFORME
Se inici el desarrollo de las actividades correspondientes a esta auditoria el 12 de julio del 2014.
Desarrollamos las actividades respectivas, de acuerdo a lo especificado en los objetivos. Dndolo por concluido el 14 de julio.
5.10. DISTRIBUCIN DEL INFORME
Representante rea Carlos Ramn Valentn Gerencia
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 2- CONCLUSIONES DEL TRABAJO
La Auditora de Sistemas de Informacin, hoy en da es de vital importancia para las empresas modernas con visin de futuro, sobre todo inmersas en el mundo globalizado, porque si no se prev los mecanismos de control, seguridad y respaldo de la informacin dentro de una institucin se ver sumida a riesgos lgicos, fsicos y humanos, que conlleven a fraudes no solamente econmicos sino de informacin, es decir, prdidas para la empresa. La auditora de sistemas de informacin deber comprender no slo la evaluacin de los equipos de cmputo de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos y controles. El mercado de auditora de bases de datos est en una etapa inicial de desarrollo. Esperar al producto ms nuevo y maduro probablemente slo conduce a la decepcin. Su decisin debe basarse en los requisitos que determinan qu es lo que necesita tener y a partir de ah puede buscar una herramienta que cumpla con estos requisitos. Esa es la mejor manera de tener lo que realmente necesita. No se distraiga con funcionalidades muy bonitas que, sin darse cuenta, le pueden llevar a un falso beneficio. Principalmente, con la realizacin de este trabajo prctico, la principal conclusin a la que hemos podido llegar, es que toda empresa, pblica o privada, que posean Sistemas de Informacin medianamente complejos, deben de someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy en da, el 90 por ciento de las empresas tienen toda su informacin estructurada en sistemas informticos, de aqu, la vital importancia que los sistemas de informacin funcionen correctamente. La empresa hoy, debe informatizarse. El xito de una empresa depende de la eficiencia de sus sistemas de informacin. Una empresa puede tener un staff de gente de primera, pero tiene un sistema informtico propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa difcilmente tendr xito. En cuanto al trabajo de la auditora en s, podemos remarcar que se precisa de gran conocimiento de informtica, seriedad, capacidad, minuciosidad y responsabilidad; la Auditora de Sistemas debe hacerse por gente altamente capacitada, una Auditora mal hecha puede acarrear consecuencias drsticas para la empresa auditada, principalmente econmicas
A&J AUDITORA PARA EL LABORATORIO EL INGENIO
-PG. 3- RECOMENDACIONES GENERALES
Se recomienda poner en marcha todo aquello que ha sido identificado por el auditor para documentar las experiencias que se han adquirido en la implementacin del Sistema SIGLA. La auditora debe ampliar su enfoque no solo a la evaluacin de controles sino tambin a la evaluacin de riesgos y de esta manera avanzar hacia una auditoria preventiva. Para contribuir en la prevencin de riesgos, es recomendable que las polticas en materia de administracin de reservas sean conocidas en forma oportuna por la auditoria interna y que se garanticen los mecanismos institucionales necesarios para que ello ocurra, como podra ser el comit de inversiones. El personal de auditoria interna debera estar capacitado a un nivel que le permita cumplir eficientemente sus tareas y contar con apoyo tecnolgico e informacin actualizada. Se deben fijar pautas que permitan la revisin de los instrumentos legales utilizados en las operaciones de inversin as como para la evaluacin de los contratos de delegacin de mandato en el manejo de reservas. En vista del importante incremento en el nivel de reservas y la dinmica evolucin de los mercados internacionales, el SIGLA debera propiciar estudios encaminados a la recomendacin de programas de auditoria interna que podran ser tomados en cuenta para el control de la administracin de reservas internacionales.