INACAP TEMUCO

INGENIERA INFORMTICA
AUDITORIA COMPUTACIONAL

AUDITORIA REDES DEL DEPARTAMENTO DE

OBRAS CIVILES DE LA UNIVERSIDAD DE LA
FRONTERA

Nombre Alumno: Daniel Alexis Lienlaf Manrquez.

Sebastin Gonzlez Hormazabal.
Nombre Profesor: Roberto Ivn Conejeros Gmez.
Fecha: 10 de Octubre 2013.

INDICE
Contenido

A) Ttulo del informe se debe identificar con el objeto de distinguirlo.......................2

B) Identificacin del cliente, identificar a los destinatarios y a las personas que
efecten el encargo...................................................................................................2
C) Identificacin de la entidad auditada objeto de la auditoria informtica...............2
D) Objetivo de la Auditora Informtica......................................................................3
E) Normativa aplicada y excepciones......................................................................3
Normas aplicadas...............................................................................................3
Excepciones........................................................................................................3
Posible Impacto..................................................................................................3
F) Alcance de la Auditora..........................................................................................3
G) Informe corto de opinin.......................................................................................4
H) Informe largo.........................................................................................................4
I) Modelo ISACA........................................................................................................8
Objetivos de control...................................................................................................8
O1.......................................................................................................................8
CA 1..............................................................................................................8
O2.......................................................................................................................9
CA 1..............................................................................................................9
J) CONCLUSIONES................................................................................................10
K) Fecha del Informe...............................................................................................12
L) Identificacin y Firma del Auditor.........................................................................12
M) Distribucin del Informe......................................................................................13
ANEXOS..................................................................................................................14
Anexo 1 : Reglamento Interno de Informtica de la Universidad de la Frontera 14

A) Ttulo del informe se debe identificar con el objeto de distinguirlo.

Auditoria de Redes del Departamento de Obras Civiles de la Universidad de la
Frontera.
B) Identificacin del cliente, identificar a los destinatarios y a las personas
que efecten el encargo.
Departamento de Obras Civiles de la Universidad de la Frontera.
C) Identificacin de la entidad auditada objeto de la auditoria informtica.
El propsito de esta auditora es evaluar los controles de seguridad para
proteger los recursos de la red fsicas del Departamento de Obras Civiles de la
Universidad de la Frontera. Obtener una visin general de la ubicacin de todos
los dispositivos de la red de rea local. Evaluar el ambiente de control fsico
sobre los dispositivos de la red de rea local.
D) Objetivo de la Auditora Informtica.

Evaluar el estado de Redes y Planes de Contingencia, Controles Fsicos,

Capacitacin de Empleados.

Comprender la estructura fsica y lgica de comunicacin y su

funcionamiento.

Determinar las dependencias en comunicaciones de la organizacin.

E) Normativa aplicada y excepciones.

Normas aplicadas: IEEE 802.3, ISO 17799, NAGU (norma auditora

gubernamental), Reglamento Interno de la Universidad de la frontera (ver
Anexo 1 para ms detalles)

Excepciones: No hay excepciones.

Posible Impacto: Investigaciones sumarias o procesos sumariales a

funcionarios del departamento de Obras civiles de la Universidad de la
Frontera.

F) Alcance de la Auditora.
La auditora realizada ser aplicada al Departamento de Obras Civiles
de la Universidad de la Frontera en su totalidad, y con un enfoque especfico
en las redes, que permitir comprobar su seguridad y vulnerabilidades, as
como, determinar que la funcin de redes est claramente definida. Adems
de ayudar a la disponibilidad y el rendimiento de la red a las necesidades de
la empresa.
G) Informe corto de opinin.

Opinin con Salvedad: A pesar de la disposicin y no ocultamiento de la

informacin del Departamento de Obras Civiles de la Universidad de la
Frontera., se encontraron varias irregularidades respecto al manejo, de las
redes principalmente en el cableado estructurado, los cuales no cumplen
con las normas mnimas.

H) Informe largo

Mediante resolucin exenta N 197 de 23 de marzo de 2009, el

Departamento de Obras Civiles de la Universidad de la Frontera nombra como
encargado de Informtica al Tcnico nivel medio en programacin, contratado
en calidad de Tcnico B, grado 11, a don Nelson Arnaldo Quezada Moreno,
cuyas funciones son las de

mantencin de los equipos, actualizacin de

programas, mantencin de redes, entre otras.

Sobre el particular, en la prctica este funcionario presta soporte tanto en
lo tcnico de hardware como software, Al respecto cabe agregar que el seor
Nelson Quezada su ttulo tcnico se circunscribe al desarrollo de aplicaciones,
sin profundizar sobre temas de hardware, conectividad y redes, materias sobre
las cuales no ha recibido capacitacin, lo que la ha inhabilitado para atender
peticiones que digan relacin con esos tpicos.
Se solicita a al Departamento de Obras Civiles de la Universidad de la
Frontera incorporar en el plan anual de capacitacin ao 2014, capacitaciones
en materia informtica, de manera de mejorar las capacidades del funcionario
que desempea las aludidas tareas.
En virtud de los antecedentes aportados, no es posible dar por superada
la observacin, mientras no se constate la efectiva realizacin de las
mencionadas capacitaciones al encargado de hardware y software, situacin
que se verificar en una prxima fiscalizacin.

En las dependencias del Departamento de Obras Civiles de la

Universidad de la Frontera, se detect el incumplimiento de lo sealado en los
artculos 17, 18,24 Y 37 (ver Anexo) del decreto supremo N 83, de 2004, del
Ministerio Secretara General de la Presidencia, en lo que dice relacin con los
siguientes aspectos:

No existen protecciones que permitan alertar y proteger a los equipos de

comunicaciones y servidores que albergan informacin crtica de la entidad
fiscalizada, se observa la ausencia de dispositivos que detecten la amenaza
de humedad, temperatura o el ingreso de personas no autorizadas.

Sobre esta observacin el Departamento de Obras Civiles de la Universidad

de la Frontera responde que los equipos servidores y de comunicaciones se
encuentran en lugares de acceso restringido y bajo llave, que maneja el
funcionario a cargo. En este mismo tenor informa que en plazo no superior
al mes de marzo de 2014, los servidores se ubicarn en reas restringidas,
que se encontrarn protegida con cerradura.

En atencin a la respuesta del Departamento, no es posible entender

superada la objecin mientras no se constate en una prxima fiscalizacin,
la efectiva solucin anunciada sobre la materia.

El gabinete principal de telefona y comunicaciones se encuentra ubicado

en un pasillo en el cual transita pblico, no teniendo control de acceso a
personal autorizado, situacin susceptible a sabotaje o la ocurrencia de
hechos vandlicos.

Sobre el particular, el establecimiento en su respuesta manifest que el

gabinete principal de telefona se encuentra en un pasillo que conecta el
laboratorio con la seccin de computadores, por lo que no es posible
realizar un control de todas las personas que transitan por ese sector.

Las alegaciones remitidas no permiten refutar lo observado, toda vez que el

citado gabinete debe estar resguardado del acceso fsico de personas no
autorizadas.

En relacin a los servidores de base de datos utilizados por el

Departamento de Obras Civiles de la Universidad de la Frontera, stos
adolecen de protecciones fsicas.
5

La sala que alberga el servidor no tiene ubicado en su puerta de acceso un

interruptor de emergencia de energa elctrica.

No existe un registro oficial de todas las fallas encontradas en los equipos

de la sala de servidores sus mantenciones y reparaciones efectuadas.

No se han publicado instrucciones relativas al consumo de alimentos,

bebidas y tabaco en las cercanas de sistemas informticos.

Las salas donde se encuentran los diferentes servidores del Departamento

de Obras civiles de la Universidad de la Frontera, no tienen sistemas de
deteccin de intrusos que cubran todas las ventanas y puertas de acceso.

No se han implementado controles de acceso fsico mediante solicitud de

carn de identidad en el permetro de La sala de servidores y otros equipos
con informacin crtica.

En relacin a las anteriores seis observaciones, el hospital no emite

pronunciamiento, lo que conserva inalterables las observaciones
evidenciadas, siendo indispensable que la entidad promueva acciones que
permitan subsanar las citadas deficiencias, las cuales sern validadas en
futuras fiscalizaciones de seguimiento.

Las dependencias donde se encuentran ubicados los servidores del

Servicio, carecen de puertas cortafuego que permitan protegerla ante la
ocurrencia de un siniestro.

En respuesta a lo observado en el Departamento de Obras civiles de la

universidad de la Frontera indica que el servidor, si dispone de una puerta
cortafuegos, sin embargo, no se hace mencin de los servidores ubicados
en la dependencia de laboratorio de Informtica, los que no tienen
implementado tal dispositivo, lo que imposibilita levantar la observacin.

No se mantiene un registro detallado del ingreso de personal a la sala de

servidores y otros equipos con informacin crtica.

En relacin a lo anterior, la entidad visitada indica que el servidor cuenta

con registro de mantencin y de fallas, adems informa que en lo referido al
servidor de laboratorio Informtica, se regularizar el registro de
mantenciones y fallas.

Las argumentaciones proporcionadas, imposibilitan levantar lo observado

mientras no se implemente los registros de mantencin y fallas en la
totalidad de servidores. Sobre este tema es necesario aclarar, que el citado
registro debe ser una bitcora que contenga e identifique completamente la
secuencia de visitas realizadas por personal interno y externo a las salas de

servidores.

La efectividad de las medidas adoptadas ser motivo de verificacin en

venideras programas de fiscalizacin que esta Contralora Regional efecte
en dicha reparticin.

El servidor no tienen un sistema de alimentacin ininterrumpida (UPS) que

permitan ser protegidos ante un corte de suministro elctrico.

Sobre el particular, el Departamento de Obras civiles de la Universidad de

la Frontera indica que las unidades UPS defectuosas sern reemplazadas
en el segundo trimestre de 2014, lo anterior no permiten levantar lo
observado mientras el servicio no implemente lo sealado, lo cual ser
verificado en futuras visitas de seguimientos.

El Departamento de Obras civiles de la Universidad de la Frontera no tienen

implementado luces de emergencia ubicadas en dependencias donde se
albergan los servidores de base de datos.

El Departamento en su oficio de respuesta refuta lo indicado en el pre

informe de observaciones de auditora asegurando que cuenta con luces de
emergencia en los lugares que se encuentran los servidores, sin embargo
al respecto la entidad no adjunta evidencias que permitan levantar la
observacin detectada con ocasin de la visita de terreno realizada a las
dependencias auditadas, por otra parte, es necesario indicar que la
observacin apunta a que los sealados dispositivos, deben estar ubicados
dentro de cada una de las salas en que se encuentren instalados los
servidores.

I) Modelo ISACA
Objetivos de control
O1: Evaluar y Controlar los planes de contingencia del depto. de obras
civiles de la Universidad de La Frontera
CA 1: Evaluar el estado de Redes y Planes de Contingencia, Controles
Fsicos, Capacitacin de Empleados.

Existe un responsable de la administracin de la red

Con qu tipo de documentacin se cuenta para chequeo de

redes
Se lleva un control de las modificaciones que se puedan

realizarse en la red
Existe un responsable(s) de la implementacin de la red de la

organizacin
El personal que laboran en el rea de informtica est
debidamente capacitado, con cursos internos de la empresa y,
se cuentan con los ttulos del rea de informtica, redes o

telecomunicaciones.
Se realiza un mantenimiento de la red de la organizacin,
segn check list cada 15 das de los sistemas de redes, para
ver sus ptimas condiciones

O2: Evaluar la red fsica y lgica interna del Departamento de Obras Civiles de
la Universidad de La Frontera
CA

1: Chequear la estructura fsica y lgica de comunicacin y su

funcionamiento.

Existen estaciones activas y poseen sus protocolos de acceso

a las redes
Revisar equipos que tienen el mayor ndice de utilizacin,

segn el sistema de control interno que posee la empresa

Existen
interfaces utilizadas en los
equipos

comunicacin
Se realizan inventarios de IP, inventario NetBios (redes

Microsoft)
Hay protocolo a nivel de aplicacin
Existen herramientas para el control remoto de estaciones,

de

con opcin de auditora de software y hardware, instalaciones

y configuraciones de equipos y aplicaciones en el usuario

La organizacin utiliza sus propios equipos de computacin,
utiliza equipos alquilados o el servicio de organizaciones

especializadas
Dnde se almacena fsicamente la informacin
Existen normas que regulen el almacenaje fsico
La red implementada cumple con los estndares de cableado
estructurado

implementacin

de

redes,

protocolos

internacionales, estndares de red local, va de retorno, cable

mdem.

J) CONCLUSIONES.

El Departamento de Obras civiles de la Universidad de la Frontera ha

aportado antecedentes y ha iniciado acciones correctivas respecto de las
materias fiscalizadas, lo que ha permitido dar por subsanas algunas
observaciones.
Sin perjuicio de lo anterior, respecto de los alcances que an se
mantienen, corresponde que ese Departamento adopte las medidas
necesarias con el objeto de dar estricto cumplimiento a las normas legales y
reglamentarias de los procesos verificados, las que debern considerar, entre
otras, las siguientes acciones:

Capacitar en materias TI a los encargados de hardware y

software.

Actualizar y mantener un inventario de todos bienes, identificando

a su vez el software y hardware, segn lo dispuesto por la
normativa vigente.

Instruir un sumario administrativo con el objeto de investigar los

hechos y determinar las responsabilidades de quienes permitieron
mantener desactualizado el inventario de bienes de las TI.

Adquirir las licencias de software que actualmente utiliza ese

centro hospitalario, dejando de usar aquellos programas no
licenciados hasta su regularizacin, dando cumplimiento de esa
manera a la normativa vigente.

Regularizar los perfiles de usuarios, definiendo quienes tendrn el

perfil de administrador de acuerdo a sus necesidades.

Designar a los miembros del comit de gestin de seguridad de la

informacin quienes debern revisar y monitorear los incidentes
de seguridad de la informacin.

La institucin deber impartir instrucciones en relacin a concretar

la generacin de polticas informticas, planes de contingencia,
procedimientos de respaldo de informacin e instructivos sobre el
buen uso de sistemas de informacin, redes de comunicaciones y
servicios proporcionados por las tecnologas de la informacin.

10

Adoptar medidas conducentes a consolidar una infraestructura

tecnolgica, acorde con el manejo seguro de documentacin
electrnica y firma digital avanzada.

Implementar y formalizar mecanismos para el control, monitoreo,

seguimiento de incidentes de seguridad.

Adoptar providencias dirigidas a minimizar el acceso no autorizado

a sesiones de computadores, correo o sistemas de informacin,
donde obligatoriamente se debe solicitar nombre de usuario,
contrasea segura e intransferible, lo que se aplica tambin al
sistema SIRH.

Deber impartir instrucciones tendientes a incluir clusulas

relativas a la seguridad y confidencialidad de la informacin en los
actos administrativos de nombramiento o contratacin de
personal.

Implementar en la sala de servidores, la infraestructura que

permita proteger y/o alertar la amenaza de humo, fuego, agua,
suministro elctrico, acceso no autorizado, actos vandlicos o de
sabotaje.

Implementar los resguardos pertinentes para mantener el gabinete

principal de telefona seguro respecto de acciones de terceros.

Ordenar el uso de bitcoras que registren permanentemente el

mantenimiento realizado a los servidores, equipos de
comunicaciones, UPS y generadores de electricidad.

Controlar y registrar en detalle el ingreso a las salas de servidores

de personal interno y externo.

Finalmente, este Organismo de Control, conforme a sus polticas de

seguimiento, comprobar en una futura visita de fiscalizacin la
implementacin y la efectividad de las medidas comprometidas por el Hospital
de los Vilos, as como el cumplimiento de las instrucciones establecidas en el
presente Informe Final, destinadas a subsanar las observaciones detectadas
en la presente auditora.

11

K) Fecha del Informe.

El periodo de la Auditoria ser desde 05 de Noviembre hasta el 18 de
Noviembre .Los resultados sern entregados el 05 de Diciembre.
L) Identificacin y Firma del Auditor.
Sebastin Gonzlez (Alumno de ingeniera en informtica Inacap sede
Temuco)
Daniel Lienlaf (Alumno de ingeniera en informtica Inacap sede Temuco)
M) Distribucin del Informe.
El presente informe, por su naturaleza y los datos que incluye, ser
distribuido nicamente y para fines acadmicos a las siguientes personas.
-

Roberto Conejeros, profesor de la asignatura.

Compaeros de clase que el profesor estime conveniente.

Jefe de Informtica del depto. de obras civiles de la UFRO Jefe de

RRHH

Auditores del informe.

12

ANEXOS

13

Anexo 1: Reglamento Interno de Informtica de la Universidad de la Frontera

14

15

16

17

18

19