Professional Documents
Culture Documents
t
i
c
o
p
r
e
c
a
r
i
o
C
a
r
e
n
c
i
a
d
e
p
e
r
s
o
n
a
l
H
e
r
r
a
m
i
e
n
t
a
s
d
e
d
e
s
a
r
r
o
l
l
o
n
o
d
i
s
p
o
n
i
b
l
e
s
e
n
e
l
m
o
m
e
n
t
o
o
p
o
r
t
u
n
a
T
i
e
m
p
o
d
e
c
o
m
u
n
i
c
a
c
i
n
d
e
l
u
s
u
a
r
i
o
d
e
m
a
s
i
a
d
o
l
e
n
t
o
M
i
e
m
b
r
o
s
d
e
l
e
q
u
i
p
o
n
o
s
e
i
m
p
l
i
c
a
n
e
n
e
l
p
r
o
y
e
c
t
o
L
e
n
t
a
a
d
a
p
t
a
c
i
n
a
l
a
n
u
e
v
a
t
e
c
n
o
l
o
g
a
C
a
m
b
i
o
d
e
D
i
r
e
c
t
o
r
i
o
P
o
c
o
s
e
q
u
i
p
o
s
d
e
c
o
m
p
u
t
o
I
n
e
x
i
s
t
e
n
c
i
a
d
e
n
u
e
v
o
s
p
r
o
y
e
c
t
o
s
O
c
u
r
r
e
n
c
i
a
d
e
m
o
v
i
m
i
e
n
t
o
s
t
e
l
r
i
c
o
s
a
g
r
a
n
e
s
c
a
l
a
R
o
b
o
d
e
i
n
f
o
r
m
a
c
i
n
p
e
r
s
o
n
a
l
d
e
l
a
e
m
p
r
e
s
a
C
o
n
t
a
g
i
o
d
e
e
q
u
i
p
o
s
p
o
r
v
i
r
u
s
i
n
f
o
r
m
t
i
c
o
I
n
g
r
e
s
o
d
e
p
e
r
s
o
n
a
l
a
j
e
n
o
a
l
a
e
m
p
r
e
s
a
T
e
r
m
i
n
o
o
c
a
n
c
e
l
a
c
i
n
d
e
c
o
n
v
e
n
i
o
s
c
o
n
i
n
s
t
i
t
u
c
i
o
n
e
s
a
g
r
o
e
x
p
o
r
t
a
d
o
r
a
s
GERENCIA GENERAL 1 2 3 1 2 3 1 2 3 3 2 3 1 2 3
GERENCIA COMERCIAL 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3
GERENCIA FINANCIERA 2 2 3 2 2 3 2 2 3 2 2 3 2 2 3
INVENTARIOS Y OPERACIONES 1 3 3 1 3 3 1 3 3 1 3 3 1 3 3
CENTRO DE INVESTIGACION 3 2 3 3 2 3 3 2 3 3 2 3 3 2 3
1 Riesgo Bajo
2 Riesgo medio
3 Riesgo Alto
Elaborado por: G4 Auditores Ca. Ltda.
Documento Auditoria Informtica
Fecha : 17- Noviembre- 2012
Versin 1.0
3.7.2. PLAN DE AUDITORIA EN INFORMATICA
Para el desarrollo del proyecto contamos con el apoyo de la alta direccin de la empresa
y la participacin de los gerentes de diferentes reas.
ID. Tarea
1 Observacin general de las reas afectadas.
2 Entrevistas a usuario mas relevantes del rea.
3 Analizar con que documentos de gestin y tcnicos cuentan.
4 Validar equipos fsicos contra el inventario.
5 Anlisis administracin de accesos en la red
6
Evaluar las tecnologas de informacin tanto en hardware
como en software para administracin y monitoreo de
redes.
7 Evaluacin de la seguridad fsica como lgica.
3.8. MARCO DE REFERENCIA TEORICA
3.8.1. MTODOS
Observacin: verificacin de funciones, seguridad de los equipos, cableado, etc.
Verificacin de documentos de gestin.
Anlisis de los Requerimientos de Usuarios.
3.8.2. TCNICAS
Observacin
Entrevistas
Cuestionarios
Digitalizacin de Imgenes (Fotografas)
3.8.3. HERRAMIENTAS
Cuaderno de Campo
Cmara Digital (Creative PC-CAM 350)
Papel
Lapicero
Scanner (hp scanjet 2400)
Microsoft Office Word 2007
Microsoft Office Excel 2007
Microsoft Office Project 2007
Elaborado por: G4 Auditores Ca. Ltda.
Documento Auditoria Informtica
Fecha : 17- Noviembre- 2012
Versin 1.0
Microsoft Office Visio 2007
3.8.3.1. PLAN DE AUDITORIA RESPECTO DEL CLIENTE
MEDICENS PLUS CIA. LTDA. ha solicitado al equipo auditor lo siguiente:
Ver si los equipos con los que cuentan se adaptan a sus requerimientos
Reestructurar la red existente tanto con normas de cableado estructurado como la
ubicacin adecuada de sus equipos.
Ver el estado de sus equipos de telecomunicaciones.
Dar mas seguridad a sus datos
1 Bajo (BIEN)
2 Intermedio
3 Alto (MAL)
Elaborado por: G4 Auditores Ca. Ltda.
Documento Auditoria Informtica
Fecha : 17- Noviembre- 2012
Versin 1.0
DESARROLLO DE LA AUDITORIA
CAPITULO N 4
Elaborado por: G4 Auditores Ca. Ltda.
Documento Auditoria Informtica
Fecha : 17- Noviembre- 2012
Versin 1.0
4. Auditoria de Redes
4.1. Alcance
La auditoria de redes fue aplicada en todas las reas que se encuentran en aplicacin
(coordinacin, administracin, unidad de investigacin, unidad de productos, y unidad
de capacitacin), las mismas que operan en la oficina principal (oficina administrativa)
Los puntos a tomar en cuenta sern los siguientes:
Organizacin y calificacin del tendido de red.
Planes y procedimientos.
Sistemas tcnicos de Seguridad y Proteccin.
4.2. Alcance Objetivos
reas controladas para los equipos de comunicaciones, previniendo as
accesos inadecuados
Proteccin y tendido adecuado de cables y lneas de comunicacin, para
evitar accesos fsicos
Revisar las polticas y normas sobre redes y el funcionamiento de la red y la
seguridad de los datos dentro de la Red Lan
4.3. Desarrollo de la auditoria
Para el desarrollar la auditora especfica se emplear el modelo adoptado por
ISO(Internacional Standarts Organization), el cual se denomina Modelo OSI (Open
Systems Interconection), el cual consta de 7 capas, las cuales se tomarn para realizar la
auditora.
4.3.1. AREAS CONTROLADAS PARA LOS EQUIPOS DE
COMUNICACIONES, PREVINIENDO AS ACCESOS
INADECUADOS
Los equipos de comunicaciones ( Switch, router ) no se mantienen en habitaciones
cerradas.
La seguridad fsica de los equipos de comunicaciones (Switch, Router) es inadecuada.
Cualquier persona tiene acceso ya que se encuentra cerca de un lugar transitable
Elaborado por: G4 Auditores Ca. Ltda.
Documento Auditoria Informtica
Fecha : 17- Noviembre- 2012
Versin 1.0
4.3.2. PROTECCIN Y TENDIDO ADECUADO DE CABLES Y LNEAS
DE COMUNICACIN, PARA EVITAR ACCESOS FSICOS
Los cables de comunicacin de datos, elctricos y de telfono estn juntos y amarrados
por otro cable.
No existen procedimientos para la proteccin de cables y bocas de conexin, esto
dificulta que sean interceptados o conectados por personas no autorizadas
No se realiza revisiones preventivas a la red de comunicaciones
4.3.3. REVISAR LAS POLTICAS Y NORMAS SOBRE REDES Y EL
FUNCIONAMIENTO DE LA RED Y LA SEGURIDAD DE LOS
DATOS DENTRO DE LA RED LAN
A.- Topologa de red
Ver anexo diagrama de red
B.- Modelo OSI, capa Fsica.
Transforma la informacin en seales fsicas adaptadas al medio de comunicacin.
El cableado utilizado para el tendido de red presenta las siguientes caractersticas:
o Tipo de Cable: Par trenzado sin apantallar (UTP Categora 5)
o Conectores: RJ-45
El tipo de cables y conectores utilizados para este tipo de red es adecuado, segn la
norma EIA/TIA, el problema radica en el tendido del cableado ya que no cuenta con
ninguna proteccin (canaletas) y adems los cables de comunicacin de datos, elctricos
y de telfono se encuentran amarrados por otros cables.
C.- Modelo OSI, capa de Enlace
Transforma los paquetes de informacin en tramas adaptadas a los dispositivos fsicos
sobres los cuales se realiza la transmisin.
De acuerdo al inventario de hardware se resumen los siguientes componentes:
o Ver anexo de adaptadores de red.
Hay que especificar que las tarjetas de redes utilizadas son del mismo tipo, la cual es
recomendable para la transferencia adecuada de los datos.
D.- Modelo OSI, capa de Red.
Establece las rutas por las cuales se puede comunicar el emisor con el receptor, lo que
se realiza mediante el envo de paquetes de informacin.
En la institucin si utilizan los siguientes componentes:
o Velocidad de transmisin 10/100/1000 MBps
o Switch 3com de 48 puertos
o Protocolo TCP/IP
Elaborado por: G4 Auditores Ca. Ltda.
Documento Auditoria Informtica
Fecha : 17- Noviembre- 2012
Versin 1.0
De acuerdo a las necesidades de la empresa, el Switch empleado no presenta problemas
en la transmisin de datos ya que todos los documentos realizados por los clientes se
guardan en el servidor.
E.- Modelo OSI, capa de Transporte.
Comprueba la integridad de los datos transmitidos (que no ha habido prdidas ni
corrupciones).
En la Empresa se utiliza el Protocolo TCP/IP para la transmisin datos, lo cual es lo
ptimo debido a que es ms seguro y utilizado en la actualidad que el protocolo UDP.
F.- Modelo OSI, capa de Sesin.
Establece los procedimientos de aperturas y cierres de sesin de comunicaciones, as
como informacin de la sesin en curso.
En la Empresa no existe un control de las sesiones ms que la que propone el sistema
operativo que se posee en cada computadora, lo cual representa un hoyo en la
seguridad de la informacin.
G.- Modelo OSI, capa de Presentacin.
Define el formato de los datos que se van a presentar a la aplicacin.
Actualmente existen dos aplicaciones en red que son: Sistema contable financiero (suite
contasis), Sistema comercial (Suite contasis) pero dichas aplicaciones no son utilizados
actualmente.
H.- Modelo OSI, capa de Aplicacin.
Es donde la aplicacin que necesita comunicaciones enlaza, mediante API (Application
Program Interface) con el sistema de comunicaciones.
De acuerdo a las entrevistas en la institucin se resume lo siguiente:
o Se utiliza el Protocolo FTP para el intercambio de informacin, el cual se
usa para las impresoras.
Elaborado por: G4 Auditores Ca. Ltda.
Documento Auditoria Informtica
Fecha : 17- Noviembre- 2012
Versin 1.0
o Correo de la institucin: provisto por el Proveedor de Internet. Por ende
dentro de la institucin no existe un servidor de correo.