Auditoria de Sistemas

DICTAMEND DE AUDITORIA EN SEGURIDAD FSICA Y LGICA REALIZADA

A LAS SALAS DE CMPUTO Y AUTO-ACCESO EN LA UNIVERSIDAD DEL
ITSMO CAMPUS IXTEPEC

AUDITOR
Vctor Hugo Ramrez Domnguez

27 de Octubre de 2014

Origen de la Auditora

El origen de la auditora radica en la problemtica de sobre las

recomendaciones y el seguimiento de los lineamientos, mejorando el
aspecto de calidad y eficacia de las actividades realizadas dentro de las
Salas de cmputo y Sala de auto-acceso en materia de Seguridad Fsica
y Lgica, con la finalidad de proporcionar un buen servicio y mantener al
margen el flujo y resguardo de la informacin.
El propsito final de la Auditoria es dictaminar
cuales son las
deficiencias existentes en Seguridad Fsica y Lgica a los cuales podra
enfrentarse el personal encargado de las Salas de cmputo y Sala de
auto-acceso, esto para evitar los riesgos posibles que puedan daar la
seguridad del propio que radica en esa rea y as como al aditamento en
el equipo de cmputo.
Los mtodos que se ocuparon para la realizacin de la auditora
corresponden a la observacin de sitio y una pequea entrevista rpida
al personal encargado, quienes accedieron de forma atenta a dichas
actividades.
Debido a que es una auditora interna la informacin solo ser a
conocimiento del personal entrevistado, ya que en cualquier momento
pueden realizarse una auditoria de forma de contratacin externa, para
ello es necesario reforzar los puntos establecidos en las
recomendaciones.

Ciudad Ixtepec Oaxaca, Octubre de 2014

L.C.P. Hctor Manuel Castillo Sosa

Vice-rector Administrativo de la Universidad
del Istmo Campus Ixtepec
Presente
Por este medio me permito extenderle mis ms gratos saludos y
presentar a usted el dictamen de la Auditora en Seguridad Fsica con
fecha del 1 a 9 de julio del presente ao, realizada en las Salas de
cmputo y Auto-acceso de la universidad que dignamente representa.
En la observacin y ejecucin de la auditora se puntualiza lo siguiente:
1. Procesos:
1.1. Registro de usuarios
El proceso de registro de usuario y control de equipos, as como el
personal que laboran en las Salas de cmputo y Sala de auto-acceso,
operan mediante los lineamientos internos establecidos en la
Universidad.
1.2. Resguardo de informacin
Los procesos de resguardo de informacin estn basados en las norma
ISO/IEC de la serie 27001, dicha normas establece el resguardo fsico y
lgico de la informacin, as tambin de la configuracin de la red que es
por donde fluyen continuamente la informacin. A continuacin se
sealan algunos beneficios con el uso del estndar:

Se verifican los riesgos de la organizacin en este caso la

informacin de la universidad, al mismo tiempo formaliza los
procedimientos y resguardo de la informacin.
Se demuestra el compromiso hacia la seguridad de la informacin
de los usuarios en toda la Universidad.

2. Diseo del Sistema de sealtica

2.1. De las Salas de Cmputo
Al realizarse la auditoria se tom en cuenta la ubicacin correcta de los
equipos contra-incendio, as tambin de la sealizacin de los equipos
que solo el personal del departamento de redes y/o encargado del lugar
tiene acceso, debido a que la ubicacin geogrfica de la universidad se
sita en una en una zona regularmente ssmica.
La observacin de dichas sealizaciones de en caso de incendios as
como las rutas de evacuacin estn colocadas en zonas donde el
personal y usuarios pueden dar lectura de las indicaciones a llevar a
cabo en caso de algn siniestro.
Estas caractersticas con respecto a la sealizacin estn basadas por la
Norma Oficial Mexicana NOM-003-SEGOB/2011, SEALES Y AVISOS PARA
PROTECCIN CIVIL, y la aplicacin de ella est respaldada por
instituciones pblicas de renombre, as como Casas de Estudio, Centros
de Investigacin, Sector Salud, que existen dentro de la Repblica
Mexicana.
2.2. De la Sala de Auto-acceso
Est dotada con 2 equipos extintores de fuego. La sealizacin sobre las
rutas de evacuacin est situada en la parte superior del marco de las
puertas, esto logra una mayor visibilidad, por parte de los alumnos y
personal que ah laboran.
Aunque la ubicacin de los equipos extintores es la correcta la
colocacin del letrero de emergencia en caso de incendio no est del
todo bien, puesto que se localiza prxima a una estantera de libros, lo
cual no es favorable por que no se observan bien las medidas a tomar
en caso de este siniestro.
3. Capacidad y habilidad del personal encargado
3.1. De las salas de cmputo y auto-acceso
El perfil de cada encargado es el adecuado para llevar a cabo de forma
ptima las funciones que conlleva su trabajo, tales como a inspeccin,
configuracin, instalacin, mantenimiento y control.
4. Hardware y Software

4.1.

De las Salas de cmputo

Todos los equipos de cmputo pertenecen a un mismo modelo, por lo

tanto poseen las mismas caractersticas tanto en capacidad de los
discos duros, as tambin la capacidad de procesamiento y memoria
RAM. En la lnea software, el personal lleva a cabo las actualizaciones y
el control pertinentes del sistema antivirus, las actualizaciones de del
sistema operativo, con una periodicidad de 2 meses, lo cual es
aproximadamente la duracin de un periodo parcial, se hace esta
revisin ya que el uso es demandante por parte de los alumnos, adems
de evitar posibles infecciones de virus, ya que los alumnos hacen uso de
memorias USB dentro y fuera de la universidad, esto representa un
riesgo potencial.
Es importante recalcar que las actualizaciones son una medida efectiva
en la correccin de los errores de programacin que algunas veces
presentan, adems evitan vulnerabilidades de seguridad, de esta forma
permiten que el sistema operativo funcione de manera correcta y eficaz.
4.2.

De la Sala de auto acceso

Al igual que la sala de cmputo esta sala esta provista de Windows XP, y
software especializado para la enseanza del idioma ingls, adems de
tener contar con un servidor dedicado a ello.
Todo el hardware y software esta inventariado directamente por el
departamento de recursos de la universidad.
5. Cableado elctrico y de red
5.1.
De las Salas de Cmputo
El cableado estructurado de red distribuido de forma horizontal, est
basado en la norma ANSI/TIA/EIA-568-A, la cual es una norma comercial
de cableado para telecomunicaciones, la cual establece criterios
tcnicos para diversos componentes y configuraciones de sistemas.
El inconveniente que existe por la que no se cumple objetivamente esta
norma, radica en el equipo switch que distribuye el cableado a las los
equipos de cmputo, al estar montado y descubierto sobre un rack
metlico, por esta razn los alumnos al desconocer el funcionamiento de
los mismos podran des-configurar, incluso llegar a daar el equipo o la
estructura del sistema, lo cual repercute en gastos de reparacin y/o
mantenimiento y retardara el servicio de internet.

El cableado elctrico estaba basado en la Norma Oficial Mexicana NOM001-SEDE-2012, para Instalaciones elctricas, siendo supervisado de
forma peridica cada 2 aos, esto para mantener el orden en los
lineamientos de esta norma.
5.2. De la Sala de Auto-acceso
Las condiciones del cableado en cunto red y suministro elctrico son las
mismas, la nica excepcin que existe es la ubicacin de un equipo rack,
puesto que el equipo swicth se encuentra sujeto a una estructura
metlica, colocada de forma vertical en la superficie de la pared, esto no
es recomendable por qu existe la posibilidad de que el equipo switch,
absorba la humedad en temporada de lluvias.
En caso de haber averas en la lnea principal de energa elctrica, el
plan para el restablecer, es cambiando el suministro a partir del
generador hacia toda la Universidad.
6. Del Reglamento interno
6.1. De Salas de cmputo
Durante el periodo de ejecucin se observ la existencia de un
reglamento interno dirigido a os usuarios alumnos y profesores, en el
cual se explican algunos lineamientos que permiten preservar el orden
dentro de las Salas de computo, as tambin para lograr un mayor
aprovechamiento de los equipos en tu totalidad. Los reglamentos
existentes son los siguientes, el reglamento de uso y acceso a las los
equipos de cmputo, de las prestaciones de salas, y el reglamento sobre
las impresiones que realizan los alumnos y los profesores.
El reglamento oficial esta complemente actualizado, y puede apreciarse
en
el
sitio
web
oficial:
http://www.unistmo.edu.mx/DocsUNISTMO/reg_salas.pdf. En la mayora
de las ocasiones la regla que los alumnos omiten es la de introducir
audfonos, o provocar el desorden al escuchar msica a un volumen no
moderado.
6.2 De la sala de Auto-acceso
Para esta sala no se cuenta con un reglamento interno impreso, dado
que se encuentra al inicio de la pantalla del navegador web, el
reglamento es de igual contenido que el vigente en las Salas de
cmputo.

7. Recomendaciones:
7.1. Para Sala de cmputo
PRIMERA: Reforzar el acceso en el bloqueo de algunas funciones de
teclado, ya que este acceso puede ser burlado al ejecutar primeramente
al administrador de tareas y depurando el proceso de explorer.exe, con
esto el usuario de ese equipo puede ocupar de forma incgnita y sin
registro el equipo.
SEGUNDA: Colocar etiquetas que no permitan el acceso a los equipos
especiales de red, ya que esto puede propiciar el mal funcionamiento de
la misma o incluso el sistema puede llegar a averiarse.
TERCERA: Instalar software especializado en la deteccin de proxy no
perteneciente, al departamento de redes, ya que algunos programas
pueden llegar a deshabilitar algunas de las caractersticas del sistema
operativo y por ende puede existir vulnerabilidad de ataques externos.

7.2. Para Sala de auto-acceso

PRIMERA: Colocar cinchos sujetadores
provenientes de los equipo de cmputos.

los

cables

perifricos

SEGUNDA: Colocar una estantera de para colocar bolsos o mochilas,

con ello se evita el robo hormiga, esto como medida de la
recomendacin anterior.
Aplican las mismas recomendaciones anteriores.

ATENTAMENTE

_______________________________________________
C. Vctor Hugo Ramrez Domnguez
Auditor