Borrador Consol - V2

San Cristbal, Diciembre 2015
Informe de Evaluacin de Controles de TI de la

Empresa
Premier y
Dasinca
Equipo Evaluador:
Coordinador: Humberto Chacn
Analistas: Wilder Calderon
Javier Maldonado
Maiguel Garca
Introduccin
:
"Las compaas invierten en tecnologa para ser ms productivas. Tecnologa que no es
rentable, es arte", indica Omar de la Hoz Gerente de Informtica y Tecnologa de
Carulla Vivero. Esta frase es contundente para dimensionar la relacin directa entre
tecnologa y productividad. No es una opcin, es una exigencia para los directivos en
tecnologa generar productividad haciendo el mejor uso de las soluciones tecnolgicas,
sacndoles el mayor provecho, logrando satisfacer las necesidades de la empresa y
generando valor.
Las empresas son hoy informtico-dependientes, por esto cada vez son mayores los
retos y las responsabilidades del lder tecnolgico. Para lograr las metas el camino a
seguir es hacer una buena gobernabilidad del rea tecnolgica (TI), la cual indica cmo
tomar decisiones estratgicas sobre la infraestructura tecnolgica e ilustra sobre
cmo apoyar los objetivos del negocio de forma correcta y en los tiempos precisos.
Objetivo
General:
Hacer una evaluacin que permita a la Empresa emprender un plan de trabajo para
lograr la estabilizacin y adecuacin de su ambiente de TI, de manera de garantizar
al Negocio los servicios necesarios para el cumplimiento de sus metas.
Premisa
s:
Para la empresa es de vital importancia la seguridad y resguardo de los datos
que se generan de su operatividad.
Para la Empresa es de gran importancia el generar un ambiente organizado y
alineado con mejores prcticas para el rea de TI.
Para la Empresa es importante el recurso Humano existente, y desea su
fortalecimiento y capacitacin para acometer los retos planteados.
I. Seguridad
Negocio
Fsica
Continuidad
de
ALCAN
CE
Gestin de Activos.
Relaciones con los Proveedores.
Gestin de la Continuidad del Negocio.
Seguridad Fsica y Ambiental.
En la evaluacin desarrollada se evalu el ambiente de produccin del aplicativo
Power Street Solutions; A continuacin se destaca la documentacin que

soporta lo establecido en cada objetivo de Control, las debilidades encontradas, el
riesgo que trae dicha debilidad y la recomendacin propuesta por parte del grupo
evaluador.
Gestin de Activos.
1. Inventario de Equipos:
Se le solicitud al departamento de tecnologa el inventario de los Activos de los
diferentes equipos tecnolgicos (informacin entregada con fecha de diciembre
2015), la misma fue recibida y analizada, dando los siguientes resultados:
Hallazg
o
Se pudo evidenciar en el
inventario
suministrado
por
el
personal
de
tecnologa, la falta del
serial del activo fijo
en varios equipos, por
ejemplo:
54
equipos
entre
los
cuales
se
mencionan:
(Monitor,
CPU,
Mouse,
Fotocopiadora, Regulador
de
Voltaje,
Laptop,
UPS).
Implicaciones /
Riesgos
Posibilidad de prdidas
de equipos por una
dbil gestin de los
inventarios.
Recomendaciones
Se recomienda al personal de
tecnologa incorporar el serial del
activo fijo a los equipos que le
hacen falta en el inventario, y as
poder tener un mejor control de
cada uno de ellos.
NOTA; considero que nos deben apoyar mejor con la recomendacin, con ms
informacin al respecto de teora de inventario de equipos de tecnologa, normas o
nomenclaturas a ser usado, con la finalidad de estandarizar este inventario de equipos, e
ir apuntado al deber ser (ejemplo; es remendado usar cdigo de barras o no, necesario
utilizar un sistema para no llevar esto en fsico), dudas que surgen del anterior punto.
En el hallazgo se es especfico en el punto, indicndose que lo que falta es el serial del
equipo, ya que de los tems se tiene informacin que podra ser suficiente para un inicio.
Implantar en sistema de gestin de Inventario de activos podra ser una segunda etapa.
Hallazg
o
No
se
evidenci
inventario de equipos de
comunicacin:
(Switch,
Router, Modem).
Implicaciones /
Riesgos
Posibilidad de prdidas
de equipos por una
dbil gestin de los
inventarios,
lo
cual
generara un impacto
econmico negativo para
la empresa.
Recomendaciones
Se
recomienda
al
rea
de
tecnologa
incorporar
en
el
inventario general
todos los
equipos de comunicacin, para as
poder tener un mejor control de
todos los
activos tecnolgicos
que posee la empresa, lo que
significara en un momento dado

contar con ese equipo para la
resolucin
de
un
problema
diagnosticado.
NOTA; tengo las mismas apreciaciones del anterior comentario, adems que se debera
explicar cmo se debera ser asumidas las responsabilidades de estos equipos al
resguardo de del Depto. Soporte IT y sobre qu riesgo la empresa y su personal debera
tambin asumir el riesgo. Ejemplo (Lo que sucedi con el servidor, por una gotera fallo el
equipo, polticas que se debe tener por escrito de quien asume la responsabilidad de tal
falla).
Las responsabilidades de todos los activos de Informacin que no estn asignados
directamente a empleados o a terceros, es del rea de TI. Con ello el rea de TI debe hacer
todo lo necesario para resguardar, mantener y proteger cada activo. Los activos que se asignen a
un empleado o tercero, debe ser establecida la responsabilidad en acta de entrega, en la que se
indiquen las responsabilidades que correspondan.
2.
Propiedad de los activos:
Se pudo evidenciar en el inventario la asignacin del responsable del

activo tanto personal, como tambin el departamento donde se encuentra ubicado.
3.
Uso aceptable de los activos:
Hallazg
o
Se pudo constatar con el
personal de tecnologa
la existencia de una
carta de compromiso para
los equipos mviles (PDA),
pero no se evidenci
la documentacin de una
poltica de seguridad
donde establezca el uso
adecuado de todos los
activos tecnolgicos (CPU,
Mouse, Lapto, UPS,
Teclado).
Implicaciones /
Riesgos
Posibilidad de una
gestin no adecuada
para el uso de los
equipos, la misma
podra originar daos y
deterioro, lo cual podra
generar prdidas
econmicas para la
empresa.
Recomendaciones
Se recomienda al departamento de
tecnologa realizar la creacin
de una poltica de seguridad para
el uso aceptable de los diferentes
activos tecnolgicos que utiliza el
personal operativo de la empresa.
Por ejemplo se recomienda la
siguientes polticas: 1).
Los
empleados
y
los
usuarios
externos que utilizan o tienen
acceso a los activos de la
organizacin
deberan
ser
conscientes de la importancia
de
los
mismos
para
la
organizacin, y de su cuidado y
buen resguardo.
2). Deberan responsabilizarse
del uso de los recursos de
procesamiento
de
la
informacin y de su adecuado
uso.
NOTA; actualmente solo se maneja polticas para las PDAs, y los equipos laptops
asignados, pero como aplicara para los equipos de mouse, ups, teclado. Donde sabemos
por el uso
y manipulacin
de los mismos,
necesitamosEjemplo
accesoria(un
en
que
sufre
do un
quedesgate
tan tolerantes
podemos
ser, al momento
de una asignacin.
el senti
teclado numrico se deteriora por el uso, como tambin se puede deterior por mal uso) .
En
este
sentido,
sejodceondiciones
be tener algn
criterio
sobre
el usohacer
y desegva
asluaciones
te naturalqque
pueda
tener
un sobre
activo,elba
razonab
lda
es. al
Se
deberan
ue pued
an
orientar
uso
y
cuidado
que
se
le
activo.
Este
aspecto
debe
ser
tratado
con
altos niveles de subjetividad, dado que no hay un control directo sobre el activo.
Inventario de Datos y protecciones:
5
1.
El diccionario de datos se encuentra estructurado:
Hallazg
o
Durante la evaluacin se
pudo constatar que el
personal de tecnologa de
la
empresa
no
tiene
conocimiento
del
diccionario de datos, ya
que esa informacin la
maneja el proveedor de
servicio
del
sistema
Power
Street
Solutions.
2.
Implicaciones /
Riesgos
Dificultad
para
determinar
las
caractersticas lgicas y
puntuales de los datos,
ante un problema que se
pueda presentar.
Recomendaciones
Se recomienda que el personal de
tecnologa de la empresa, realice la
gestin de solicitar al proveedor la
documentacin
tcnica
del
diccionario de datos, y as tener
mayor conocimiento de cmo se
encuentra
estructurado
el
diccionario de datos del aplicativo
Power Street Solutions, ante
cualquier problema que se pueda
presentar.
Existe el Modelado de Datos:
Hallazg
o
la
empresa
no
tiene
conocimiento
del
modelado de datos, ya
que esa informacin la
maneja el proveedor de
servicio
del
sistema
Power
Street
Solutions.
Implicaciones /
Riesgos
Posibilidad de prdida de
tiempo al hacer trabajos
que requieran ubicar la
situacin actual de las
estructuras de datos, por
lo cual se puede originar
retraso para la solucin.
Recomendaciones
tecnologa de la empresa, realice la
gestin de solicitar al proveedor la
documentacin tcnica modelado
de datos, y as tener mayor
conocimiento de cmo se encuentra
estructurado el modelado de datos.
NOTA; de acuerdo a la recomendacin no solo es que nos entregue la informacin,

tambin se debera tener adiestramiento por parte del proveedor, de cmo est
configurada tanto el diccionario de datos como el modelado. El diccionario de datos y su
m
ordelado,
deben
sercleantregados
por elapr
veedor,
el foque
rmato
queena
ellos
pe
mita identi
ficar
ra
e inequvoc
meoente
los en
datos
almac
el manejen,
sisteim
mo,
a yysoque
sus
relaciones.
Esta
en
t
re
g
a
debe
ser
compl
m
e
n
tada
con
un
entren
a
m
i
ento
mn
bre
todo en los conceptos y descripciones del atributo de cada variable de informacin.
3.
Esta implementado el control de acceso a la Bases de Datos:
Hallazg
o
la
empresa
no
tiene
conocimiento del control
de acceso a bases de
datos,
es
decir
no
tienen informacin de los
usuarios
que
estn
accediendo a la Bases de
Implicaciones /
Recomendaciones
Riesgos
-Posibilidad de acceso a
informacin por parte de
tecnologa de la empresa,
usuarios no autorizados.
realizar mesas de trabajo con el
-Posibilidad de prdida
proveedor de mantenimiento del
sistema Power Street
o
destruccin
de
informacin.
Solutions; Para realizar una
depuracin de los usuarios que se
encuentra en la bases de datos y
as tener un
mejor control de acceso.
datos.
NOTA;
es viable
adems
que de
se debe
tener
unaeldocumentacin
de cmo est
estructurado
los
usuarios
as la
BD.
El
rea
TI
debe
tener
control
deda
latos.
asignacin
ysentido
gesti
nsededebe
los
usuarios
y
l
o
privil
e
g
i
os
que
se
po
s
een
sobre
las
base
de
En
este
exigir
al se
propodr
veedoriden
la etintrega
deinventario
la gestinde
deusuarios
los usuarios
s privnilegios.
ner es
te
control,
y la ydesufinici
de los Al
pertefiles
que
deben tener
con resp
ectoficar
a la el
aplica
cin.
Gestin de Proveedores.
1.
Existencia de poltica de seguridad de la informacin para las relaciones
con los proveedores:
Hallazg
o
pudo evidenciar que la
empresa
no
tiene
establecidas
polticas de
seguridad lgica y fsica,
que estn documentadas
en los contratos con los
diferentes
proveedores
de servicios tecnolgicos.
Implicaciones /
Riesgos
Posibilidad
de
incidentes que afecten
a la disponibilidad, la
confidencialidad o
la
integridad
de
informacin.
-Posibilidad de afectar
las operaciones de la
empresa
debido
a
prdidas de tiempo en
la toma de decisiones
en casos de incidentes
de alto impacto.
-Posibilidad de creacin
de perfiles de usuarios
con
accesos
no
adecuados, a los niveles
de confidencialidad de la
informacin.
Recomendaciones
Se
recomienda
al
rea
de
tecnologa realizar mesas de trabajo
con el personal jurdico de
la
empresa para tener en cuenta el
siguiente aspecto al momento de
elaborar el contrato: La empresa
debe
administrar
adecuadamente la seguridad
lgica de los recursos de
Tecnologa de la Informacin,
incluso
aquellos
que
sean
administrados o custodiados
por terceros. En consecuencia
deber establecer, formalizar e
informar
las
polticas
y
procedimientos que permitan
identificar,
autenticar
y
autorizar
el
acceso
a
los
sistemas
de
informacin,
operativos y de base de datos.
NOTA; accesoria al respecto. Este aspecto debe ser un proyecto a ser desarrollado
tomando en cuenta el alcance que se le quiera dar al tema de la seguridad de la
informacin. Se podra asesorar para desarrollar este punto. No se pudo ampliar en la
recomendacin, ya que no se conoce el alcance del contrato que existe o que se est
negociando.
2.
En los contratos tienen establecidos los acuerdos de confidencialidad:
Hallazg
o
Se pudo constatar que el
personal de tecnologa no
tiene conocimiento de la
existencia
acuerdos
confidencialidad.
Implicaciones /
Riesgos
Posibilidad de incidentes
que
afecten
a
la
disponibilidad,
la
confidencialidad o
la
integridad
de
informacin.
Recomendaciones
Se
recomienda
al
rea
de
con el personal jurdico de
la
empresa para tener en cuenta el
siguiente aspecto al momento de
elaborar el contrato:
El
personal
temporal
o
contratado,
as
como
los
usuarios externos deben firmar
el acuerdo de confidencialidad
y la no divulgacin de
la
informacin, antes de que se
les otorgue el acceso a
las
instalaciones de procesamiento
de la informacin. Por otra
parte, no debern tener acceso
a las bases de datos de la
empresa,
en
procura
de
mantener la confidencialidad de
lastra
informacin
delde
cliente.
sumini
un ejemplo
lo que pod ra
NOTA; accesoria al respecto . Se les puede

contemplar este acuerdo de confidencialidad. Anexo 1.
3.
Tienen inventario de Proveedores:
Se pudo evidenciar en la evaluacin que la empresa lleva un inventario de las

diferentes empresas de servicios, donde se encuentra nombre del proveedor,
nombre del personal de contacto, telfonos, servicio que ofrece, por ejemplo se
nombra las siguientes empresas: Cantv, Movistar, Digitel, Sapis Servicios, Morca
etc..
EVALUACIN DE LA CONTINGENCIA
DE TI.
Se le solicit al personal de tecnologa documentacin referente a los
siguientes aspectos:
1. Contingencia en caso de desastre.
2. Tiene establecido y documentado Escalamiento de la Contingencia:
3. Se encuentra establecido los Escenarios Considerados para una contingencia:
Natural, Humano, Tcnico.
4. Estructura Organizacional.
Hallazg
o
Implicaciones /
Riesgos
Recomendaciones
Se pudo constatar que la

empresa
no tiene
establecida
la
documentacin para
la
implementacin de planes
de contingencia en caso
de ocurrir cualquier evento
natural, humano o tcnico.
- Riesgo de interrupcin Se recomienda a la alta gerencia de

del servicio, que puede
impactar negativamente
a la organizacin y su
capacidad de generacin
de valor.
la empresa asegurar la existencia

de un plan de contingencias
tecnolgicas aprobado, formalizado,
actualizado,
implementado
y
probado. El plan debe incluir
como
mnimo
los
siguientes
aspectos:
- Posibilidad de no ubicar
a los responsables
de a. Objetivo y alcance del plan
ejecutar el
plan
de definido.
contingencia y con esto
el no restablecimiento de
b. Metodologa empleada para su
las operaciones crticas.
diseo.
- Imposibilidad de acceso
a
los
recursos
informticos, sean estos
por
cambios
involuntarios
o
intencionales, tales como
cambios de claves
c.
Identificacin
crticos.
de
procesos
d. Clasificacin de los sistemas,

aplicaciones, software y equipos
(crticos, vitales, sensitivos, etc.).
de acceso, eliminacin e. Identificacin del personal

o borrado fsico/lgico de contacto por rea y descripcin
informacin
clave, de sus responsabilidades.
proceso de informacin
no deseado.
f. Recursos humanos, financieros y
tecnolgicos mnimos y necesarios
para
la
recuperacin
de
la
operatividad el negocio.
NOTA; unos de los planes importante con prioridad para la empresa, es el resguardo de
la informacin BD, en algn sitio seguro fuera de las instalaciones de la empresa. El sitio
debe ser definido por la empresa en funcin de disponibilidad de equipos y
comunicaciones que permitan mover el respaldo a una instalacin ubicada en una
localidad distinta y distante del centro donde se genera la informacin.
Seguridad Fsica y Ambiental.

Evaluacin del cuarto donde se encuentra los Servidores (Sede Operativa).
Evaluacin del cuarto de Comunicacin (Sede Corporativa).
Evaluacin del cuarto de Comunicacin (Departamento de Talento Humano).
1. Controles fsicos de acceso:
El control de acceso constituye uno de los servicios de seguridad que es
indispensable, en reas que represente riesgo para la empresa, en el
departamento de Tecnologa, se evaluaron los controles de acceso en los diferentes
cuartos antes mencionados obteniendo el siguiente resultado:
Para el acceso a las tres reas se observ una puerta de madera, lo que significa
que el control de acceso es manual.
La misma se constat las siguientes observaciones:
Hallazg
o
- Se pudo evidenciar que
no se tiene una bitcora de
registro de acceso al
cuarto de servidores y
comunicaciones.
-No existe documentacin

de
las
normas
y
procedimientos
referentes a la seguridad
fsica, especficamente al
cuarto de servidores y
comunicaciones.
- Se Constat que el
resguardo del cuarto de
comunicacin ubicado en
el
departamento
de
talento humano no est
bajo la responsabilidad del
personal de tecnologa.
Implicaciones /
Riesgos
Posibilidad de acceso
de
personas
no
autorizadas, lo cual
puede
ocasionar
sabotaje,
daos
maliciosos
a
los
diferentes
equipos
tecnolgicos
(Servidores, Switch,
Router, Modem), por
tal motivo
impactara
negativamente
la
operatividad de la
empresa.
Recomendaciones
Los centros de procesamiento de
datos, tanto principales como los
cuarto de comunicaciones, deben
ser resguardados por adecuados
controles de acceso, para lo cual se
deben considerar los siguientes
aspectos:
a.
Utilizar
controles
de
autenticacin para el acceso de
personal
autorizado
(tarjeta,
nmero de identificacin personal
-PIN-, carnet, biometra, entre
otros).
b.
Restringir
el
acceso
a
personal no autorizado a las
mencionadas instalaciones. Por otra
parte, las actividades ejecutadas
por los visitantes deben ser
supervisadas o inspeccionadas, as
como encontrarse registradas en
las bitcoras definidas para tal fin.
c.
Revisar
y
actualizar
peridicamente los derechos de
acceso a las reas protegidas o
restringidas.
A continuacin se describe otras recomendaciones que se deben tener en cuenta

estipuladas en las mejoras prcticas como por ejemplo: ISO27000, referentes al
control de acceso al cuarto de servidores y a los dos cuartos de comunicaciones donde
se encuentra los siguientes dispositivos: Switch, Router, Modem.
Deberan considerarse las siguientes recomendaciones:
a) la fecha y hora de entrada y salida de visitantes deberan restringirse, y todos los
visitantes deberan ser supervisados, a menos que su acceso se haya aprobado
previamente; el acceso debera concederse slo para propsitos especificados y
autorizados, proporcionndoles instrucciones sobre los requisitos de seguridad
del rea y los procedimientos de emergencia. La identidad de los visitantes
debera ser autenticada por un medio adecuado;
b) el acceso a las reas donde se procesa y se almacena la informacin sensible
debera ser restringido slo a las personas autorizadas mediante la
implementacin de controles de autenticacin, por ejemplo, mediante la
implementacin de un mecanismo de autenticacin de dos factores, tales como
tarjetas de acceso o tarjetas con nmero de identificacin personal.
c) todos los empleados, contratistas y partes externas deberan ser obligados a
utilizar algn tipo de identificacin visible y deberan notificar inmediatamente al
personal de seguridad si encuentran a visitantes no acompaados y a cualquier
persona que no lleve la identificacin visible.
d)
debera concederse el acceso restringido del personal de soporte de terceras

partes a las reas seguras o a las instalaciones sensibles de procesamiento de la
informacin slo cuando sea requerido; este acceso debera ser autorizado y
supervisado
NOTA; misma situacin debera aplicarse para los prstamos de los equipos de IT, bajo
la bitcora de quien lo presta. Debe quedar registrado cualquier movimiento de un
activo de informacin, indicndose, como mnimo, quien entrega y quien recibe, la
naturaleza del movimiento, la fecha y la nueva ubicacin del activo.
2. Sensores de Movimiento:
Hallazg
o
Se pudo evidenciar en la
evaluacin realizada la
ausencia de sensores de
movimientos al cuarto de
los
servidores,
como
tambin
a
los
dos
cuartos
de
comunicaciones.
Implicaciones /
Riesgos
Posibilidad de Entradas
Forzadas,
Atracos,
y
situaciones de secuestro,
sin
que
se
puedan
generar alarmas.
Posibilidad de acceso
de
personas
no
autorizadas, sabotaje,
daos maliciosas a los
diferentes
equipos
tecnolgicos
(Servidores, Switch,
Router, Modem), por
tal motivo
impactara
Recomendaciones
Debido al alto grado de sensibilidad
que representa las reas
de
tecnologa
(cuarto
de
los
servidores
y
cuartos
de
comunicaciones) para la empresa,
se recomienda al personal de
tecnologa lo antes posible, realizar
los
trmites
necesarios
que
permitan incorporar sensores de
movimientos, para as reducir el
riesgo de robo y sabotaje.
negativamente
operatividad
de
empresa.
la
la
NOTA; es viable, se debera ejecutar un proyecto para tal fin, ya que esto acarrea costos.
La empresa debe determinar si con base a su esquema de manejo de riesgo, y el impacto
de un incidente sobre estos activos, justifica o no la inversin.
3. Cmaras o Videocmaras:
Hallazg
o
ausencia de Cmaras o
Videocmaras al cuarto
de los servidores como
tambin
a
los
dos
cuartos
de
comunicaciones.
Implicaciones /
Riesgos
La
imposibilidad
de
monitorear y verificar el
ingreso de personal no
autorizado al rea donde
se
encuentra
los
servidores y los equipos
de
comunicaciones
Switch,
Router,
Modem.
Recomendaciones
Se recomienda instalar cmaras o
videocmaras adentro del cuarto
donde
se
encuentra
los
servidores, as como tambin en los
dos cuartos de comunicaciones, lo
cual ayudara monitorear
el
personal que ingresa a un rea tan
sensible,
por
ejemplo:
se
recomienda
instalar
Circuito
cerrado
de televisin o CCTV.
Estos sistemas incluyen visin

nocturna, operaciones asistidas por
ordenador
y
deteccin
de
movimiento, que facilita al sistema
ponerse en estado de alerta cuando
algo se mueve delante de las
cmaras. La claridad
de
las
imgenes puede ser excelente, se
puede
transformar
de
niveles
oscuros a claros.
NOTA; tambin es viable, solo sera cuestin de acomodar la posicin las cmaras de
vigilancia de administracin, o mudarla de sitio a uno estratgico para vigilar el rea de
IT. OK.
4. Extintores:
Se pudo constatar en la inspeccin que la empresa tiene instalado el
siguiente tipo de extintor en los diferentes lugares: Extintor de Polvo Qumico
Seco (P.Q.S).
El Polvo Qumico Seco (P.Q.S): Un extintor consta de un cilindro metlico que
contiene un agente extintor que, o bien debe mantenerse siempre a presin, o bien
se incorpora la presin en el momento de su utilizacin.
Hallazg
o
Se
constat
que
la
empresa tiene instalado
Extintores
de
Polvo
Qumico Seco (P.Q.S).
Implicaciones /
Riesgos
Posibilidad
causar
problemas para respirar
y dificultar la visibilidad
durante
o
inmediatamente despus
de su descarga.
Recomendaciones
Se recomienda al departamento de
Higiene
y
Seguridad
realizar
mesas
de
trabajo
con
la
Administracin
General
de
la
empresa,
para
analizar
la
posibilidad de cambiar los
10
10
extintores de Polvo Qumico Seco

(P.Q.S) a Extintores de CO2: La
nieve carbnica, sale del extintor
a una temperatura muy baja (-90
C). Es ms pesado que el aire y
extingue el fuego principalmente
por enfriamiento y sofocacin.
Es eficaz para fuegos producidos
por lquidos inflamables (Clase B),
pero su mayor aplicacin la tiene
en los fuegos elctricos (Clase E)
por no ser conductor y no dejar
residuos.
No es txico y no produce daos
ni deterioros.
NOTA;
no tena
conocimiento
al respecto,
coordinadora
de higiene
y seguridad.
Ok. sera cuestin de elevar la informacin a la
Se pudo evidenciar en la evaluacin realizada la existencia de un extintor cercano
al cuarto de los servidores, como tambin se observ uno cercano al cuarto de
comunicacin que se encuentra en el departamento de talento humano.
Tambin se le solicit el oficio del ltimo mantenimiento que se le realiz al
extintor y la constancia de la ltima induccin que se le realizo al personal para el
uso de los extintores, para lo cual no hubo observaciones:
La informacin suministrada consta de un informe del ultimo mantenimiento
realizado a los extintores fue el da 01 de Julio 2015 por parte de la empresa
Multiservicio la 8 El Pial; y la charla participo 21 personas de la diferentes
reas de la empresa la cual se efectu fecha 01/08/2015 por el facilitador Lucas
Galvis.
Hallazg
o
pudo
constatar la
no
existencia de extintores
cercanos al cuarto de
comunicaciones
ubicado
en la sede corporativa
de la empresa.
Implicaciones /
Riesgos
Surge el
riesgo
elevado de no poder
controlar
conatos
incendios con grandes
posibilidades de daos
tanto
humano
como
material.
Recomendaciones
Se recomienda instalar extintor
de CO2 cercano al cuarto de
comunicacin, para
as
poder
controlar
una
emergencia
de
incendio
y
evitar
prdidas
humanas y materiales.
NOTA; hacer la solicitud para ubicar un extintor cerca del cuarto de antenas. Tener en
consideracin el tipo de extintor requerido para equipos electrnicos.
5. Detectores de Incendio:
Se pudo constatar en el cuarto de comunicaciones ubicado en la sede corporativa un
detector de incendio.
11
11
Hallazg
o
ausencia de detectores
de incendio
en el
cuarto de los servidores
como tambin al cuarto
de comunicacin ubicado
en el departamento de
talento humano.
Implicaciones /
Riesgos
La imposibilidad detectar
incendios, lo cual podra
generar
daos
lamentables
tanto
humano como a su vez
material en este caso
Servidores,
Switch,
Router, Modem).
Recomendaciones
Se recomienda instalar detectores
de incendio adentro del cuarto
del
servidor
y
equipos
de
comunicacin y as poder detectar
una emergencia de incendio, para
luego proceder aplicar medidas
para controlar el fuego, facilitar la
evacuacin y actuar sobre el
sistema de extincin. Un detector
de incendio es la manera ms
rpida de luchar contra un incendio
antes de que sea tarde.
NOTA; tambin elevar la informacin a la coordinadora de HS. Ok.

6. Control de Temperatura y Humedad:
Se pudo constatar la presencia de un aire acondicionado de tipo spliter ubicado en
el cuarto de los servidores y tambin en los cuartos de comunicaciones.
Hallazg
o
ausencia
de dispositivos
de control de Temperatura
y Humedad en el cuarto de
los servidores como en los
cuartos
de
comunicaciones.
Implicaciones /
Riesgos
Posibilidad
de
no
detectar problemas a
tiempo en los servidores,
por ejemplo:
recalentamiento por tal
motivo
pudieran
afectar las operaciones
de la empresa.
Recomendaciones
tecnologa gestione la adquisicin
de
dispositivos de control de
Temperatura
y
Humedad
(Termmetro Digital), para as
poder tener control diario y luego
registrarlo en una bitcora.
A continuacin se describe otras recomendaciones en este caso Normas y

Procedimientos para el Registro en Formato de Temperatura y Humedad:
El responsable del registro
en Bitcora para el Control de Lectura
temperatura y humedad es el personal
de tecnologa (Analista).
Supervisor verifica este control y velar porque se mantengan los niveles
de temperatura ptimos.
la
el
El personal de tecnologa (Analista) deber tomar registro en Bitcora de la

temperatura y la humedad al iniciar jornada.
Este proceso deber realizarse diariamente y almacenar cada uno de los
registros para llevar el control y las estadsticas de la temperatura a las que
se encuentran sometidos los equipos.
Segn las mejoras prcticas se recomienda La temperatura debera ser constante
en un arco de 20 a 22 grados centgrados, y la humedad no debera ser entre
40 y un 50%.
NOTA;
que Esta
se hace
con
esta
bitcora
si serda
instala
este
tipo
de vdispositivo,
para
quienes
le
servira?
b
itc
o
ra
debe
ser
resgua
d
a,
y
deber
a
ser
eri
f
icada
m
ens
u
a
lmente
para
dete
rmequipos
inar posi
bleesser
desviaciones
que
pnudieran
alertar
de cam
mbios
que
pudieran
apefectar
los
.
D
posibl
e
,
se
deb
e
de
f
inir
los
valores
n
i
m
os
y
mx
imos
r
m
itidos
de
t
e
m
pera
t
ura
y
hu
m
edad,
t
o
m
a
n
do
en
c
uenta
l
as
c
o
ndi
c
iones
est
a
blecidas
por los proveedores.
7. UPS e Instalaciones elctricas Seguras.
12
12
Se pudo evidenciar en la evaluacin realizada la presencia de dos equipos de UPS

exclusivos y conectados a los servidores, igualmente se constat 2 UPS de
contingencia. Tambin se pudo evidenciar que las instalaciones elctricas del cuarto
donde se encuentra los servidores estn protegidas por tubera.
Referente al cuarto de comunicacin ubicado en la sede corporativa se evidenci
un UPS exclusivo para los equipos de comunicaciones Switch, Router, Modem.
Hallazg
o
evaluacin realizadaque el
coordinador de TI es el
encargado de realizar la
gestin con el proveedor,
igual nos comunic que
solamente se llama el
proveedor cuando se daa
el UPS.
Implicaciones /
Riesgos
Posibilidad de no realizar
una adecuada gestin de
mantenimiento, lo cual
puede
impactar
negativamente
la
operativa
de
los
servidores, a su vez
prdida econmica para
la empresa.
Recomendaciones
Se
recomienda
que
el
mantenimiento de los UPS sea
preventivo lo cual permite que el
equipo funcione en condiciones
ptimas de operacin, ayuda a que
el equipo extienda al mximo su
vida til, elimina los problemas de
energa, permitiendo a la empresa
un
trabajo
continuo
y
sin
interrupciones, a la vez que permite
programar un servicio predictivo
que optimice el funcionamiento del
equipo.
Tambin se recomienda que la
persona encarga de realizar la
gestin del monitoreo de
el
mantenimiento de los UPS no sea
el personal de TI de la empresa, ya
que es una actividad ajena a la
operativa
tecnolgica
de
la
empresa.
NOTA;
es
decir
quelasera
el de
Dpto.
de
Infraestructura
la fgestin
deomantenimiento
de los
equipos
e IT
llevar
tutela
que
se
cumpla.
Se
modi
icaien
latorec
mendacin,
yiciente,
a que
ely
m
o
nitoreo
de
q
ue
se
c
uente
con
un
esqu
e
m
a
de
m
ante
ni
m
per
i
dico
y
su
f
que
se
aplique,
d
ebe
s
er
de
TI
,
lo
que
corr
e
sponde
a
un
rea
de
i
n
f
raestructura
es
el
mantenimiento en s.
Hallazg
o
inspeccin la carencia de
UPS para los equipos de
comunicaciones
en
el
cuarto
ubicado
en
el
departamento
de
Talento humano.
Implicaciones /
Riesgos
La posibilidad de que
ocurra una falla elctrica
lo cual puede originar la
suspensin de servicio de
los
equipos
de
comunicacin y a su vez
daos a los mismos, por
tal motivo impactara
negativamente
la
operatividad
de
la
empresa,
lo
cual
generara
prdidas
econmicas.
Recomendaciones
tecnologa la gestin para instalar
un UPS para los equipos de
comunicaciones
en
el
cuarto
ubicado en el departamento de
Talento humano, para as evitar
daos a los equipos.
NOTA;
esLonecesario
unUPS,
UPSyao que
podemos
usar
un
regulador
picos de
corriente?
ideal
es un
el equipo
no en
estara
sujeto asupresor
cadas
node
controladas,
lo
cual
dara
oportunidad
de
hacer
un
apagado
condiciones
adecuadas.
De
igual
manera,
la decisin
tomada que
en funcin
las condiciones
de suministro elctrico
propias de
la zona,debe
y elserimpacto
pudieradetener
sobre el funcionamiento
de los
13
13
equipos.
Para las instalaciones elctricas de los dos cuartos de comunicaciones se
evidencio la siguiente observacin:
Hallazg
o
Durante
la
evaluacin
se
observ
que
las
instalaciones elctricas no
se encuentran
en
condiciones adecuadas de
seguridad, es decir los
cables estn fuera de las
tuberas.
Implicaciones /
Riesgos
En las instalaciones
elctricas, existen dos
tipos
de
riesgo
mayores: - Las corrientes
de
choque
y
las
temperaturas excesivas,
capaces
de
provocar
quemaduras,
incendios
explosiones
u
otros
efectos peligrosos.
Recomendaciones
Se
recomienda
al
rea
de
con
el
departamento
de
infraestructura para poder mitigar
estos peligros de alto riesgo, y as
evitar daos Humano y material.
NOTA; es viable. Ok.

8. Cableado
Hallazg
o
carencia de identificacin
del cableado
de
red
(RJ45) de conexin hacia
los
equipos
de
comunicaciones
(Switch,
Router,
Modem)
e
inexistencia del plano de
distribucin (Backbone).
Implicaciones /
Riesgos
La
imposibilidad
de
identificar
las
conexiones
desde
el
RACK hacia los Switch y
Reuters al momento que
se presenta cualquiera
emergencia o incidente
de comunicacin.
Recomendaciones
tecnologa
ejecutar
el
levantamiento de la identificacin
del
cableado (RJ45) que van
conectados a los Switch y Router,
para luego tambin realizar el plano
de distribucin (Backbone), lo cual
facilitara identificar en cualquier
momento
algn
dao
de
comunicacin.
NOTA; necesit asesora al respecto. Se podra trabajar un soporte adicional para apoyar
en la normalizacin de la infraestructura de cableado. Esto es un proyecto.!!!
Observaciones Generales:
Cuarto de Servidores:
Hallazg
o
Se
pudo
observar
materiales
inflamables
en el cuarto de servidores.
Implicaciones /
Riesgos
Posibilidad de que se
genere un incendio en
la sala de servidores y
equipos
de
comunicaciones,
que
podran
impactar
la
operatividad
de
la
empresa
y
genere
Recomendaciones
Se recomienda reubicar en
otro sitio los materiales que no
tienen nada que ver con el cuarto
donde
se
encuentra
los
servidores,
y
as
evitar
la
posibilidad de siniestros.
14
14
prdidas econmicas.
NOTA; Es necesario un lugar de depsito para IT. Ok.

Cuartos de Comunicaciones (Sede Corporativa) y (Departamento de Talento Humano).
Hallazg
o
Se
pudo
observar
materiales
inflamables
en el cuarto de servidores.
Tambin
se
observ
problemas de humedad y
filtraciones en el cuarto
de comunicacin (Sede
Corporativa)
Implicaciones /
Riesgos
Posibilidad de generar
siniestros que afecten a
los
equipos
de
comunicaciones, y que
puedan
impactar
la
operatividad
de
la
empresa
y
genere
prdida econmica.
Recomendaciones
Se recomienda reubicar en
otro sitio los materiales que no
tienen nada que ver con el cuarto
donde se encuentra los servidores y
equipos de comunicaciones.
Tambin se recomienda al rea de
tecnologa realizar reuniones con el
departamento
de infraestructura
para proceder a la reparacin de
las filtraciones de humedad.
NOTA; elevar la informacin a cada dpto. Ok.

Evaluacin del Espacio Fsico de la Planta Elctrica:
Controles fsicos de acceso:
Para el acceso se observ una puerta metlica, lo que significa que el
control de acceso es manual, y la llave est bajo la responsabilidad de dos
personas:
o
o
Johon Pipo -Jefe de Infraestructura.

Jose Gregorio Chacn - Jefe de Taller.
Hallazg
o
Se pudo evidenciar que
no se cuenta con una
bitcora de registro de
acceso al espacio fsico
donde se encuentra la
planta elctrica.
Implicaciones /
Riesgos
Posibilidad de acceso de
personas no autorizadas,
lo cual puede ocasionar
sabotaje,
daos
maliciosos a la planta
elctrica.
Recomendaciones
a.
Utilizar
controles
de
autenticacin para el acceso de
personal
autorizado
(tarjeta,
nmero de identificacin personal
-PIN-, carnet, biometra, entre
otros).
b.
Restringir
el
acceso
a
personal no autorizado a las
mencionadas instalaciones. Por otra
parte, las actividades ejecutadas
por los visitantes deben ser
supervisadas o inspeccionadas, as
como encontrarse registradas en
las bitcoras definidas para tal fin.
Sensores de Movimiento:
15
15
Hallazg
o
ausencia de sensores de
movimientos al espacio
fsicos
donde
se
encuentra
la
planta
elctrica.
Implicaciones /
Riesgos
Posibilidad de Entradas
Forzadas,
Atracos,
y
sabotajes, sin que se
puedan generar alarmas.
Recomendaciones
que representa la planta elctrica
para la empresa, se recomienda al
personal de Infraestructura lo antes
posible,
realizar
los
trmites
necesarios que permitan incorporar
sensores de movimientos, para as
reducir el riesgo de sabotaje y dao.
Cmaras o Videocmaras:
Hallazg
o
ausencia de Cmaras o
videocmaras al espacio
fsico donde se encuentra
la planta elctrica.
Implicaciones /
Riesgos
La
imposibilidad
de
monitorear y a su vez
verificar el ingreso de
personal no autorizado al
rea donde se encuentra
la planta elctrica,
lo
cual puede ocasionar
sabotaje,
o
daos
maliciosos a la planta
elctrica.
Recomendaciones
que representa la planta elctrica
para la empresa, se recomienda al
personal de Infraestructura lo antes
posible,
realizar
los
trmites
necesarios que permitan incorporar
cmara y videocmaras, para as
reducir el riesgo de sabotaje y dao.
Extintores:
Durante la evaluacin de pudo evidenciar la presencia de un extintor ubicado en las
instalaciones donde se encuentra la planta elctrica.
Hallazg
o
etiqueta o rotulo impreso
en el extinguidor la fecha
de ltimo mantenimiento
Junio 2014, es decir lleva
un ao y medio se realizar
mantenimiento.
Implicaciones /
Riesgos
Surge la posibilidad que
al
utilizarlo
en
un
momento de emergencia
(Incendio), est averiado,
con
lo
cual
sera
imposible
controlar
conatos
de incendio
con
grandes
posibilidades de daos
Humanos y materiales.
Recomendaciones
Se recomienda que el personal del
departamento
de
Higiene
Ocupacional gestione algn control
donde se pueda constatar que la
empresa
que
realiza
el
mantenimiento de los extintores
ejecut el trabajo planteado; y as
aseguren la integridad del personal
que reside dentro o cerca de
estas instalaciones, y de
los
activos
de
informacin ante
cualquier conato de incendio que
puede
surgir
en
cualquier
momento.
Detectores de Incendio:
Hallazg
o
Implicaciones /
Riesgos
La imposibilidad de
detectar un incendio,
Recomendaciones
Se recomienda instalar detectores
de incendio adentro de las
16
16
ausencia de detectores
de incendio
en las
instalaciones fsicas donde
se encuentra la planta
elctrica.
lo cual podra generar

daos lamentables tanto
humanos como a su vez
materiales en este caso
la Planta Elctrica.
instalaciones
fsicas
de
la
Planta Elctrica, y as poder
Detectar
una
emergencia
de
incendio, para luego proceder
aplicar medidas para controlar el
fuego, facilitar la evacuacin y
actuar
sobre
el
sistema
de
extincin.
Un
detector
de
incendio es la manera ms rpida
de luchar contra un incendio
antes de que sea tarde.
Observaciones Generales:
Hallazg
o
Se le solicit al jefe de
Infraestructura soporte del
ltimo mantenimiento de
la planta elctrica, para la
cual se nos comunic que
no exista ningn respaldo
por escrito de los trabajos
que se realizaron a la
planta elctrica.
Implicaciones /
Riesgos
* Posibilidad de que no
se
realice
el
mantenimiento
a
la
planta elctrica, por tal
motivo surge elRiesgo
elevado de no poder
suministrar energa a la
empresa en cualquier
momento
de
contingencia.
Se evidenci que en la
parte inferior de la planta
elctrica, la existencia de
residuos de gasoil, para
lo cual se nos inform (el
jefe de infraestructura)
que era consecuencia de
la carga o suministro de
gasoil hacia la planta.
Se
recomienda
realizar
* Riesgo elevado de mantenimiento (Limpieza) luego de
conatos de incendio con realizar la carga de gasoil (vote de
grandes
posibilidades gasoil durante la carga) a la planta
elctrica,
para
as
evitar
la
de daos.
posibilidad de incendios.
Se evidenci cinco (5)

galones
de
gasolina
ubicados a un lado de la
planta elctrica.
Recomendaciones
Se recomienda que el personal
del
departamento
de
Infraestructura
gestione
algn
control donde pueda constar que
la
empresa
que
realiza
el
mantenimiento lo haya ejecutado
satisfactoriamente; y as aseguren
la continuidad operativa de la
empresa.
Tambin se recomienda reubicar

los galones de gasolina en otro sitio
que no sea cerca de la planta
elctrica, y en un lugar de
ambiente fresco y despejado, dado,
ya que es un agente que se puede
encender por altas temperaturas, y
causar daos a las personas y
los equipos y materiales de la
empresa.
NOTA; elevar la informacin a los responsables de la planta elctrica. Ok.

II. Evaluacin del ambiente de RED:
Control evaluado: Configuracin fsica de la red
Identificar el estado actual de la red fsica objeto de evaluacin, con el fin de
determinar cualquier situacin no deseada que pudiese estar causando
problemas de
funcionamiento, seguridad y
rendimiento. Se
evalu el
funcionamiento de la red fsica en trminos de la configuracin y las prestaciones
actuales. Se hicieron capturas de datos y observaciones en
17
17
distintos puntos de la red con el fin de obtener los datos necesarios para
determinar su estado actual.
De las observaciones hechas, se desprenden los siguientes hallazgos:
Implicacin/Riesgo
Recomendac
Cable
de
red
s
troncal
muy
largo
(cerca
de
90mts)
entre el almacn y el
ltimo switch dispuesto
en ese cable.
La
canalizacin
esta
compartida con cables
de electricidad.
Hallazgo
Conexin
inestable por
s
atenuacin del medio de
transmisin,
ocasionando
prdida de paquetes por
tiempo de espera agotado.
Interferencia elctrica por el
cableado elctrico cercano.
Reconfigurar
la
in
topologa de la red
hacia
una
solucin
ms estable. Por la
visual evaluada y el
espacio fsico dispuesto,
se puede realizar una
conexin
inalmbrica
punto a punto con
equipos de gama alta,
puesto que funcionara
como troncal entre la
oficina
administrativa
y
almacn.
No
existe
segmentacin en la
red.
Cualquier trfico puede ser

dirigido a toda la red sin
ningn control. Los clientes
pueden llegar a los servidores
sin
restriccin
alguna.
Servicios localizados pueden
congestionar toda la red.
Separar el dominio de
colisiones utilizando
equipos
activos
dentro de la red (Ej.:
Enrutadores,
firewall
interno)
Switchs en cascada no
identificados.
Perdida de paquetes por

congestin de troncales
internos.
Crecimiento
desorganizado
de
la
infraestructura
de
red.
Degradacin
del
funcionamiento.
Disparidad en las funciones
de seguridad y rendimiento
de los equipos. Rendimiento
del enlace deficiente.
Organizar
y
documentar todos los
puntos de red. Con el
fin de levantar un plano
detallado de la red
fsica.
Los puntos instalados

no llegan a cajetines.
Salen del patch panes
directo
al
equipo
cliente.
Maltrato en el cable puede

afectar
directamente
el
punto de red hasta el patch
panel.
Crecimiento
desordenado y dificultad en el
diagnstico
de
fallas
de
cualquier equipo.
Instalar los cables

provenientes
del
patch
panel
a
cajetines
donde
se
conectan los clientes
mediante patch cords,
evitando el deterioro
del punto de red.
Los puntos de red no

estn identificados.
Ante
una
falla
el
diagnstico no se puede
realizar. El crecimiento de la
red no puede realizarse de
forma
ordenada,
pudendo
crear cuellos de botella ante
una expansin.
Identificar
los
puntos de red tanto
en cajetines de clientes
como en el patch panel.
Diferencias entre las

versiones de firmware
de los equipos Ubiquiti
que fungen de enlace
entre las sedes. No se
tiene
habilitado
el
protocolo AirMax entre
ellos.
Actualizar
el
firmware de
los
equipos y revisar las
configuraciones
realizadas, con el fin
de habilitar funciones
que contribuyan con
su funcionamiento.
Conclusin: Con los hallazgos identificados se puede determinar algunas
situaciones mejorables en la topologa de la red. En consecuencia, se afecta el

rendimiento de las comunicaciones tanto internas como externas de la red
corporativa, dificultando el intercambio de datos entre las distintas sucursales,
puesto que el rendimiento fsico no es el ptimo. Se sugiere hacer una revisin
exhaustiva de los equipos instalados en la red, as como realizar un inventario de los
puntos instalados y activos. As mismo procurar la eliminacin de los switch
pequeos, para evitar congestin interna, pudiendo afectar las comunicaciones y el
rendimiento general de la red.
Tambin se pudo identificar una configuracin mejorable en la conexin entre la sede
corporativa y la sede de operaciones. El equipo principal de comunicaciones est en la
sede corporativa y todo el trfico generado proviene de la sede de operaciones,
pasando por dos enlaces inalmbricos antes de salir a internet. Se sugiere trasladar
los equipos de comunicacin principales (Ej.: En la Sede de Operaciones, con el fin de
eliminar el trfico inalmbrico hacia la sede corporativa para luego salir a internet.
Haciendo esto se libera un enlace inalmbrico que puede ser utilizado para
interconectar el almacn con la oficina administrativa.
NOTA; para mejorar la red se tiene que ejecutar varios proyectos con el
consentimiento del deber ser, es decir que de esta aparte est claro varios proyecto
para mejorar; 1.- mudar la antenas de DIGITEL a la sede operativa, 2.- eliminar la
conexin de cable para el rea de operaciones y ponerlo de manera inalmbrica, 3.certific ar la red y estructurar de nuevo los puntos de red local, 4.- documentar todo
lo concerniente a la red. Ok. Esto es un proyecto.!!!
Control evaluado: Configuracin lgica de la red
Identificar la configuracin lgica actual de la red, con el fin de determinar cualquier
situacin no deseada que pudiese estar causando problemas de funcionamiento y
seguridad, degradacin en el servicio o rendimiento general.
Una vez hechas las capturas de datos y las observaciones necesarias, se
describen los hallazgos encontrados:
Hallazgo
El acceso
a internet
s
por
parte
de
los
clientes
no
est
controlado. Cualquier
usuario puede acceder
a recursos web sin
restriccin,
control o
monitoreo.
Los clientes son

configurados por un
DHCP.
Implicacin/Riesgo
Recomendac
Consumo
excesivo de ancho
s
de
banda. Acceso libre a recursos
riesgosos y de ocio de la web
(Ej.: Redes sociales, videos en
lnea,
pginas
indebidas,
descargas de msica). Riesgo
de infecciones de virus y
malware. Falta de monitoreo
y control de las actividades de
la
red
corporativa.
Degradacin
en
la
comunicacin y acceso a los
servicios
remotos
inter
sucursales.
No hay una identificacin
precisa de la ubicacin fsica
del equipo. Ante un incidente
no es fcil determinar donde
se encuentra
para
tomar
las
Habilitar
in equipos de
control de ancho de
banda (Ej.:
Firewall,
Proxy,
control
de
contenido), donde se
pueda
monitorear y
regular
el
uso
de
internet por parte de
los clientes de la red
corporativa.
Evitando
el
desperdicio
de
ancho de banda en
recursos web que no
forman
parte
del
negocio.
Crear un mecanismo
de
asignacin
de
direcciones
gestionado
por
la
coordinacin
de
tecnologa, ya sea
Peticiones
directas
internet.
DNS
hacia
acciones
necesarias.
Cualquier persona se puede
conectar a los recursos de la
red
mediante un medio
fsico.
Uso innecesario de ancho de
banda.
Posibilidad
de
conectarse a otros servicios
DNS maliciosos o destinados
a
saltar
controles
de
acceso.
Riesgo
de
suplantacin
de
sitios
o
servicios web.
Escritorio
remoto
redirigido
desde
internet sin control de
acceso
Riesgo
de
seguridad
al
exponer un servicio interno y
crtico de la red. Acceso sin
restriccin
externa
a
un
servidor crtico de la red
corporativa.
IPv6
habilitado
innecesariamente
Uso de recursos de red

innecesarios. Posibles ataques
por un protocolo configurado,
activo
y
sin monitoreo.
Muchos
de
los
servicios
actuales trabajan sobre este
protocolo
por
defecto,
hacindolos
disponibles
y
susceptibles a accesos por un
protocolo no controlado en la
empresa.
asignndolas
manualmente
o
mediante un DHCP de
concesiones fijas.
Implementar
un
servicio DNS interno
para la red corporativa,
donde
todos
los
clientes slo puedan
consultar
a
ste,
restringiendo
las
consultas a servicios
externos.
Crear un mecanismo de
acceso autenticado (Ej.
VPN) para el acceso de
los servicios crticos de
la red. Implementar
compresin
en
el
intercambio de datos.
Deshabilitar
el
protocolo IPv6 en
todos los equipos.
Conclusin: Algunos de los aspectos relacionados con el rendimiento se deben a
configuraciones o servicios implementados en la red. El control de acceso a los

recursos de internet requiere de la instalacin de un equipo especializado para este
fin, puede colocarse justo antes de la salida hacia internet para que todo el trfico
entrante y saliente de la red corporativa este controlado y supervisado, para que
pueda hacerse seguimiento y monitoreo de los servicios y recursos accedidos desde la
red corporativa. All tambin se pueden implementar servicios autenticados de acceso
desde el exterior.
Es recomendable implementar un equipo de seguridad interno (Ej.: Firewall) que
pueda separar el trfico interno generado por los clientes en funcionamiento, as
mismo se asegura el acceso a los distintos recursos de la red interna.
NOTA; asesora sobre este tema, para poder controlar la red es necesario un
proyecto para tal finalidad, pero cul sera la opcin ms adecuada.
Se podra
contratar un soporte adicional para ayudar a definir las tareas requeridas. Esto es un
proyecto.!!!
III Gestionar Servicios de Seguridad

Proteger contra software malicioso (malware).
Durante la visita se evidencio que fueron adquiridas cuatro licencias de
software de antivirus Panda, las cuales estn asignadas de la siguiente manera:
-
dos servidores en la ciudad de San Cristbal.

dos Servidores en la ciudad de barinas.
20
20
Sin embargo dos de estas licencias se encuentran inactivas, el personal de

tecnologa argument que era motivado a que los servidores se encontraban en
mantenimiento; por otra parte, se manifest que para el resto de equipos de la
empresa se ha implementado el software de antivirus avast versin gratuita.
A continuacin se referencian los siguientes hallazgos del punto:
Hallazgos
Implicacin /
Riesgos
Recomendacin
En la organizacin no se
realizan actividades para
concientizar al personal
sobre procedimientos y
responsabilidades
de
prevencin de software
malicioso.
Posibilidad
de
interrupciones
de
servicios afectando la
operatividad de la
organizacin; alteracin,
robo o prdida de
informacin, accesos no
autorizados.
Se recomienda definir
polticas y normas que
definan procedimientos
y
responsabilidades
sobre la prevencin del
software malicioso por
parte de los empleados,
de la misma manera
generar
y
planificar
actividades
que
permitan concientizar al
personal
sobre dichas
polticas, normas
y
procedimientos.
En
las
estaciones
de
trabajo y servidores de
desarrollo se implement la
versin gratuita de Avast
antivirus, la cual carece de
ciertas caractersticas de
proteccin incluidas solo en
versiones pagas, por lo
que un atacante puede
aprovecharse
de
estas
vulnerabilidades.
Posibilidad de accesos
no
autorizados,
divulgacin
de
informacin sensible, o
prdida de informacin.
Se
recomienda
implementar solucin de
antivirus corporativo, con
licenciamiento para todos
los equipos presentes en
la red de la organizacin.
El servicio adquirido con

el software de antivirus
Panda
contempla
la
gestin
centralizada
a
travs de una interfaz web
interna y externa, pero
para el caso de la versin
Avast Gratuito no, por lo
que su
administracin
se debe realizar en cada
mquina husped, lo cual
no garantiza que estn
aplicadas
todas
las
actualizaciones en cada
equipo
y
alertas
no
tratadas adecuadamente.
Posibilidad
de
interrupciones
de
servicios;
alteracin,
robo
o
prdida
de
informacin, accesos no
autorizados.
Implementar solucin de
antivirus que permita la
gestin centralizada,
permitiendo garantizar
la aplicacin correcta de
parches
de
actualizacin y gestin
adecuada de alertas de
seguridad generados por
los mismos.
Las actualizaciones se
realizan desde cada
Aumento de consumo
de ancho
de
banda
Se
recomienda
implementar repositorio
21
21
equipo hacia internet, los

mismos
podran
estar
conectndose a la misma
hora para descargarse la
misma actualizacin del
fichero de firmas, es no se
considera eficiente.
afectando los tiempos

de
respuesta
de
servicios
de
red
y
generando lentitud en
las comunicaciones.
o servidor de distribucin,
que consiste
en
un
equipo que se conecta
a interne actualice el o los
ficheros
y
luego
lo
distribuya al resto dentro
de la red local.
Conclusin
:
La empresa cuenta con niveles de seguridad proteccin de software malicioso, sin
embargo, en base a los hallazgos manifestados, se requiere que dicha gestin sea
mejorada, en este sentido a continuacin se referencian una serie de
recomendaciones basada en las mejores prcticas para una adecuada gestin de
software de antivirus:
-
A nivel corporativo se considera obligatorio que los PC que conforman la red

empresarial e incluso los equipos Mviles estn protegidos con una solucin
Antivirus licenciada. Esto es necesario para disminuir el riesgo de perder
informacin, dinero y tiempo por un problema de infeccin.
La gestin de antivirus debe ser tratada como una funcin importante dentro del
rea de TI, se debe asignar responsable, delegar funciones y capacitar al
personal de TI para que el mismo responda por la administracin del Antivirus.
Implementar soluciones de antivirus con consola de administracin

centralizada,
garantizando la disponibilidad de acceso a la misma y utilizar
mecanismos de autentificacin robustos para su acceso. Es importante
revisar peridicamente la consola con el fin de identificar si todos los equipos han
sido actualizados y que amenazas se han detectado.
Generar reportes que permitan realizar anlisis en el tiempo, por ejemplo

cuales son las detecciones que se han realizado en la red, esto puede ayudar a
identificar cules pueden ser los puntos con mayor vulnerabilidad en la compaa.
Se debe contemplar charlas de concientizacin y capacitacin al personal

general sobre el software malicioso indicando procedimientos y responsabilidades
de prevencin, por ejemplo sobre el uso de los medios extrables pendrive.
Para la implementacin de la solucin se recomienda contemplar los controles

contenidos en la gua de buenas prcticas ISO 27002:2013 12.2 Proteccin ante
Software malicioso.
NOTA;
proyectar
una
implementacin
de
de gestin
amplia,
sin embargo
es
cuestin
deeevaluar
cotos
Asiantivirus
es, se
evaluar
impacto
tener un ev
nto de este
tipoy ybeneficios.
tomar la dec
sin
quedebe
corres
ponda.elProyecto
.!!que podra
Gestionar la seguridad de los puestos de usuario final.
En la empresa no se tienen establecidas normas y polticas de seguridad de la
informacin que regulen el uso de los equipos, servidores, porttiles, software, red y
otros dispositivos as como las operaciones de TI.
Hallazgos
Implicacin /
Riesgos
No se encuentran
definidas lneas bases
de configuracin de
seguridad para los
sistemas operativos,
se observ que la
empresa cuenta con
soporte externo que se
encarga de realizar
tareas de formateo e
instalacin
de
sistemas sin controles o
gua
de
implementacin, esto
puede provocar por
ejemplo que existan
usuarios
administradores
sin
contrasea o con
contraseas dbiles,
puertos
abiertos,
software instalado sin
autorizacin
que
pueden traducirse en
vulnerabilidades.
Posibilidad
de
la
presencia de software
malicioso en los equipos
de la red, Accesos no
autorizados,
alteracin
robo
o
prdida de informacin
sensible.
No
se
cuenta
con
polticas de bloqueo de
dispositivos o
medios
extrables.
Posibilidad de robo de
informacin,
instalacin de software
no autorizado, infeccin
por software malicioso.
Recomendacin
Se recomienda disear
y documentar normas
que
regulen
la
configuracin
de
los
servidores y estaciones
de trabajo, basado en
buenas prcticas que
contribuyan a aumentar
los niveles de seguridad
de la informacin por
ejemplo:
Cambiar nombre de
usuario administrador
de sistema operativo.
Establecer niveles de
complejidad para las
contraseas de los
usuarios.
Deshabilitar usuario
invitado.
Implementar polticas
de
caducidad
de
contraseas con el fin
de disminuir el riesgo
ante situaciones como
el robo de contrasea.
Garantizar instalacin
de
antivirus
y
actualizacin. Inhabilitar
carpetas compartidas
por defecto.
Definir
software
permitido
por
la
organizacin por reas o
departamentos.
Se recomienda disear y
documentar polticas de
bloqueo de dispositivos o
medios extrables que no
afecten la operatividad
de la organizacin ya
que puede haber casos o
situaciones donde
se
requiera su uso, por lo
que
se
recomienda
establecer controles que
regulen su utilizacin y
mitiguen las amenazas.
No
se
han
definido
procedimientos
de
clasificacin
de
la
informacin
segn
su
importancia y sensibilidad
para la organizacin, lo
que puede implicar en
que exista informacin
almacenada
en
servidores y estaciones
de trabajo sin adecuados
mecanismos
de
proteccin, por ejemplo
contabilidad,
cuentas
bancarias, informacin de
clientes, proveedores,
facturacin,
inventarios,
personal
internos.
Posibilidad
de
robo,
alteracin, divulgacin no
autorizada o perdida de
informacin sensible para
la organizacin.
No
existen
procedimientos
de
desincorporacin
de
dispositivos y
medios
de almacenamiento de
forma segura.
Pueden
existir
dispositivos o
medios
de
almacenamiento
desincorporado
del
ambiente productivo de
la
empresa,
con
informacin sensible que
puede ser recuperada y
usada
con
fines
negativos
para
la
organizacin.
La
informacin
que
puede ser usada por
delincuencia organizada
para
eventos
como
robos,
extorciones,
secuestros entre otros.
Se
recomienda
a
la
organizacin
realizar un
anlisis
que
permita
identificar y documentar
los
activos
de
informacin, de la misma
manera
establecer
criterios que permitan
asignar
niveles
de
clasificacin basado en la
integridad,
confidencialidad
y
disponibilidad
de
la
misma
y
establecer
mecanismos
de
proteccin
segn
el
nivel otorgado, como por
ejemplo
controles de
acceso, encriptacin de
la
informacin, entre
otros.
Se
recomienda
establecer y documentar
procedimientos
de
desincorporacin
de
dispositivos y
medios
de
almacenamiento
como por ejemplo para
el caso de discos duro,
garantizar la destruccin
fsica
antes
de
desecharlos.
Conclusin:
Garantizar que los puestos de usuario final (es decir, porttil, equipo sobremesa,
servidor y otros dispositivos y software mviles y de red) estn asegurados
adecuadamente, debe ser una tarea ineludible por la organizacin y el rea de TI, es
sumamente importante establecer controles que permitan resguardar y proteger la
informacin que se procesa y se almacena en la organizacin, buscando mantener la
confidencialidad, la disponibilidad e integridad de la misma.
NOTA; es necesario la asesora sobre estas polticas y procesos sobre el cliente

final, a compaado de cmo debera ser un estndar para el manejo o configuracin
de un usuario por parte IT. Se podra contratar un soporte adicional para ayudar a
definir las tareas requeridas. Proyecto.!!
Gestionar la identidad del usuario y el acceso lgico.
Durante la visita se pudo evidenciar que en la empresa no se realizan ni se tienen
documentados procedimientos para la gestin de identidad y acceso de usuario a los
sistemas operativos de la organizacin y servicios de red.
En cuanto al sistema corporativo Power Street Enterprise, cuenta con
definicin de perfiles de usuarios, para el acceso por reas de negocio.
Hallazgos
Implicacin /
Riesgos
Recomendacin
El acceso a los
sistemas operativos y
servicios de Red en
las estaciones de
trabajo
no
se
encuentran
restringidos.
Posibilidad
de
accesos
no
autorizados,
divulgacin
de
informacin sensible,
sabotaje interno.
Se
recomienda
restringir el acceso al
sistema
operativo y
servicios
de
red
mediante
la
implementacin
de
cuentas de usuarios
con
derechos
de
acceso de acuerdo a
los requerimientos de
sus funciones.
El
acceso
de
los
servicios de red se
realiza a travs del
usuario de inicio de
sesin por defecto que
tiene configurado cada
mquina, por ejemplo
varias
mquinas
se
autentifican
con
el
usuario
Administrador.
Imposibilidad
de
detectar accesos no
autorizados,
Dificultades
de
monitoreo y rastreo
de accesos lgicos.
Se recomienda asignar
ID
de
identificacin
de usuario para cada
persona con acceso a
computadoras
y
servicios de red en
la organizacin, estos
ID deben ser utilizados
para la creacin
de
cuentas de usuarios
individuales.
Ante la ausencia de
gestin de acceso de
usuarios,
no
se
contemplan
procedimientos
de
creacin, modificacin y
eliminacin
de cuentas
de usuario.
Posibilidad de la
existencia de usuarios
con
derechos
administrativos que no
cumplen una funcin
especfica y pueden ser
usados por atacantes.
Claves
de
acceso
dbiles.
Claves de acceso de
usuario administradores
compartidas por muchos
usuarios.
documentarlos
procedimientos
que
permitan realizar las
tareas de gestin de
cuentas de usuario los
cuales deben contemplar
situaciones como la
solicitud de creacin de
un nuevo usuario,
inactivacin
o
activacin de cuentas
de usuario, por ejemplo
ante las salida de
personal
por
vacaciones;
y
eliminacin de cuentas
de usuarios cuando por
ejemplo un trabajador
se retira de la
organizacin.
No se tiene un adecuado
control sobre las cuentas
con
privilegios
de
administrador,
el
personal
general
Posibilidad de cambios
de
configuracin
no
autorizados,
sabotaje,
interrupciones
de
servicios, instalacin
Se recomienda definir y
documentar
los
procedimientos, normas
y polticas que regulen el
uso de usuario con
utiliza cuentas locales en

las
estaciones
de
trabajo con privilegios de
administracin.
de
software
autorizado, accesos
autorizados.
no
no
privilegios, estos deben

ser
utilizados
nicamente
por
el
personal de TI, para
gestiones
de
mantenimiento y soporte
debidamente autorizado.
Conclusin:
Uno de los elementos primordiales en la organizacin es la Gestin de acceso lgico
a los sistemas y recursos de red, como se pudo evidenciar actualmente la empresa no
cuenta con una gestin adecuada de cuentas de acceso de usuario e identificacin,
por lo se considera fundamental y necesario definir y documentar procedimientos para
dicha administracin; es importan aclarar que realizar esta gestin de forma local
es decir en cada equipo puede resultar compleja y requerir grandes inversiones
de tiempo y recursos humanos ya que cada cambio, sea creacin, modificacin o
eliminacin, entre otras cosas, debera ejecutarse por parte del personal de ti en cada
mquina que lo requiera de la organizacin, en este sentido se propone y recomienda
que dicha gestin se realice de manera centralizada.
Se pude observar que en la empresa se utiliza mayoritariamente la plataforma
Windows por lo que una buena opcin sera utilizar Active Directory como herramienta
de gestin centralizada, Es decir, en lugar de tener usuarios locales y permisos
en cada computadora, todo es administrado en un dominio nico desde un servidor.
Active Directory, es un servicio establecido en uno o varios servidores en
donde se crean objetos tales como usuarios, equipos o grupos, con el objetivo de
administrar los inicios de sesin en los equipos conectados a la red, as como
tambin la administracin de polticas en toda la red, permite a los administradores
establecer polticas a nivel de empresa, desplegar programas en muchos ordenadores
y aplicar actualizaciones crticas a una organizacin entera. Un Active Directory
almacena informacin de una organizacin en una base de datos central,
organizada y accesible. Pueden encontrarse desde directorios con cientos de objetos
para una red pequea hasta directorios con millones de objetos.
A continuacin se referencian algunas ventajas de la administracin centralizada:
Ahorro de tiempos: esta es la principal ventaja al administrar servicios de
forma centralizada. Por ejemplo, si el rea de IT debiera configurar ciertos
permisos en ciertos usuarios en un esquema descentralizado, deberan acudir
equipo por equipo aplicando los cambios. En una red extensa (100 equipos?
500? 2000? Ponga el valor que usted desee) este trabajo puede llevar incluso
varios das de trabajo. Sin embargo, si se administra desde un nico servidor es
posible realizar la tarea en unos pocos minutos.
Mayor seguridad: al controlar todo desde un nico punto de administracin,
se minimiza la probabilidad de errores o configuraciones errneas. Si un
empleado debe visitar equipo por equipo para, por ejemplo, aplicar una
configuracin, puede ocurrir que se cometa un error al repetir una tarea tantas
veces (cansancio?) o incluso puede ocurrir que un equipo sea omitido. Con la
administracin centralizada, se optimiza la seguridad de los sistemas al ser ms
sencillo poder asegurar que todo est como debe estar.
Mayor capacidad de anlisis: si se desea conocer cierta informacin

sobre un servicio es posible obtenerla directamente desde el servidor,
optimizando la capacidad de anlisis.
Organizar los equipos en grupos: Independientemente de su ubicacin
fsica, es posible organizar los equipos en grupos, por ejemplo, segn el
departamento del que son parte, y as poder aplicar configuraciones
especficas segn los parmetros que se desee.
NOTA; para hacer la instalacin de un active Directory se necesita al menos

disponi ble dos (02) servidores que trabajen en espejo? Para ir pensando en esta
opcin si un equipo se daa, es fundamental que todo pueda trabajar en un segundo
equipo. Con la infraestructura de equipos que poseen es posible que no se requiera
la compra de nuevos servidores, si se aplica virtualizacin sobre los que ya se
tienen. Como contingencia, si se debe tener un servidor de respaldo, que pudiera
ser direccionado en caso de falla del principal. Proyecto.!!!
Supervisar la infraestructura para detectar eventos
relacionados con la seguridad.
En la empresa no se tienen establecidos procedimientos de monitorio de eventos
relacionados con la seguridad de la informacin que permitan detectar
situaciones como accesos no autorizados. Tampoco se observaron herramientas que
contribuyan a la ejecucin de dichas tareas.
Hallazgos
Implicacin /
Riesgos
Recomendacin
No
se
tienen
establecidos
procedimientos
de
monitorio de eventos
relacionados con la
seguridad
de
la
informacin.
Posibilidad de eventos
que pueden provocar
interrupciones
de
servicios,
espionaje,
prdida de dineros que
no
son
detectados
oportunamente
y
en
conciencia no aplicar
correctivos.
documentar
procedimientos
que
permitan
monitorear
actividad referente a
accesos
vlidos,
accesos
fallidos,
cambios no autorizados
de
configuracin,
denegacin
de
servicios, uso indebido
de
los
recursos
tecnolgicos,
incumplimiento
de
polticas internas de la
organizacin, entre
otros.
No se revisan ni se
gestionan los eventos
de
sistema
peridicamente.
Posibilidad de eventos
de
seguridad
no
detectados,
vulnerabilidades que no
se mitigan o eliminan.
documentar
procedimientos
de
revisin y evaluacin de
eventos de seguridad de
sistemas los cuales
deben
contemplar
elementos
como
identificacin
de
fuentes de informacin
por ejemplo Logs de
sistemas;
almacenamiento
de
registro
de
eventos,
rotacin del registro de
eventos, resguardo como
evidencia digital, anlisis,
generacin de alertas,
entre otros. Para el caso
de
los
servidores
y
estaciones de
trabajo
Windows antes de aplicar
evaluacin
se
deben
tomar
decisiones
referentes
a
las
directivas de evaluacin
del sistema, las cuales
especifica las categoras
de eventos relacionados
con la seguridad que
desea auditar.
La empresa no cuenta
con
herramientas
de
monitoreo de eventos de
seguridad.
Dificultad
para
el
anlisis,
dado
los
grandes volmenes de
informacin.
Actividades
de
monitoreo
poco
eficientes.
Se recomienda identificar
herramientas que sirvan
de apoyo a las labores de
monitoreo de seguridad
que sean adaptables a la
arquitectura
tecnolgica de la
organizacin,
es
importante conocer que
existen
herramientas
pagas y herramientas
basadas en software libre
que
pueden
ser una
buena opcin.
Conclusin
:
Se considera sumamente importante que la empresa cuente con mecanismos que
permitan realizar supervisin sobre la infraestructura tecnolgica para detectar
eventos relacionados con la seguridad, de la misma manera implementar
herramientas que permitan la deteccin oportuna mediante la generacin
de
alertas automticas.
A Continuacin se aclaran puntos referentes a directivas de evaluacin de sistema
operativo Windows y se referencias herramientas para el monitoreo de eventos de
seguridad:
Directiva
Evaluacin
De
Una directiva de evaluacin especifica las categoras de eventos relacionados con la

seguridad que desea auditar. Cuando esta versin de Windows se instala por
primera vez, todas las categoras de evaluacin estn deshabilitadas. Al habilitar
varias categoras de eventos de evaluacin, puede implementar una
directiva de evaluacin apropiada para las necesidades de seguridad de su

organizacin.
Las categoras de eventos que puede elegir para auditar son:
o
o
o
o
o
o
o
o
o
Auditar
Auditar
Auditar
Auditar
Auditar
Auditar
Auditar
Auditar
Auditar
eventos de inicio de sesin de cuenta.

la administracin de cuentas.
el acceso del servicio de directorio.
eventos de inicio de sesin.
el acceso a objetos.
el cambio de directivas.
el uso de privilegios.
el seguimiento de procesos.
eventos del sistema.
Para implementar se puede seguir los pasos presentes en las pginas oficiales de
Microsoft segn sea la versin del sistema operativo ejemplo:
https://technet.microsoft.com/eses/library/dd408940(v=ws.10).aspx
Es importante aclarar que en el caso de implementaciones con Active
Directory, ests directivas sern aplicadas desde el servidor central, no ser necesario
realizar esta actividad en cada equipo.
Herramientas de Monitoreo:
Existen una variedad de herramientas que pueden ser utilizadas para realizar
supervisin sobre la estructura tecnolgica, tanto licenciadas como gratuitas, a
continuacin se referencian algunas:
-
SPLUNK (Licenciada, paga): Herramienta de monitorizacin y anlisis de datos

masivos procedentes de redes, aplicaciones, equipos, etc., que permite detectar y
solucionar problemas e incidentes de seguridad con rapidez.
Trustwave SIEM (Licenciada, paga): Es un appliance de hardware que recoge y

analiza toda la informacin sobre los eventos de seguridad. Diseado para ser
gestionado por el propio cliente, es fcil de implantar y usar, con prestaciones
avanzadas que facilita el anlisis de datos.
Trustwave SIEM (Licenciada, paga): permite registrar los eventos de

seguridad en cumplimiento con las normativas y estndares de seguridad, de una
manera flexible e inteligente. Existen varios modelos de hardware, lo que
permite dimensionar la solucin segn su presupuesto y sus necesidades tcnicas.
EventLog Analyzer (Licenciada, paga): permite centralizar los logs (visor de

sucesos) de sus servidores, aplicaciones y dispositivos de red, otorgando
visibilidad al histrico de sucesos a travs de una sencilla e intuitiva consola web.
RSYSLOG (Gratuita): Rsyslog es un programa de logging de mensajes que

implementa el protocolo bsico de syslog y lo extiende agregando filtros, con
una configuracin flexible. Tiene la capacidad de reenviar va UDP o TCP los
mensajes del log a otra mquina.
OSSEC (Gratuita): Sistema de deteccin de intrusos (IDS) Open Source que

realiza anlisis de log, comprobacin de integridad de ficheros, monitorizacin de
polticas, deteccin de rootkits y respuesta con alerta activa en tiempo real.
Disponible para la mayora de sistemas operativos, incluidos Linux, MacOS, Solaris,
HP-UX, AIX y Windows.
SNORT: Snort es una solucin de deteccin y prevencin de intrusiones en red

(IDS/IPS) open source desarrollada por Sourcefire y que combina los
beneficios de la inspeccin en firmas, protocolos y anomalas. Snort es una de las
tecnologas IDS/IPS ms ampliamente distribuidas a nivel mundial.
NOTA;
estasdel
soluciones
sey como
deben sacarle
de poner
en prctica,
pero de
es soluciones.
necesario una
capacitacin
buen
uso
provecho
a este
tipo
Por
supuesto,
pe
r
o
pr
i
m
ero
debe
ser
evaluado
el
a
lcance
de
cada
una
de
ellas,
para
ver
cul
es
la
que
m
e
jor
s
e
adeca
a
la
e
m
p
r
esa.
Pienso
que
este
tipo
d
e
herr
a
m
ie
n
tas,
pueden
ser
trabaj
a
das
en
un
f
uturo,
luego
d
e
que
se
logre
un
ni
v
el
de
m
a
durez
adecuado para la infraestructura de TI. Proyecto a Futuro.!!!
Verificacin de Servidores de Produccin:
Durante las visitas realizadas se realizaron anlisis a los servidores que soportan el
ambiente productivo tecnolgico de la organizacin, los cuales estaban referencia en
la documentacin recibida producto de los requerimientos de evaluacin:
Servidores:
Servidor
SERVIDOR10
SRV-DC01
SRV-DC02
Ubicacin
Fsica
Sistem
a
Operativ
o
San
Cristbal
Windows
Server
2003R2
Descripcin
En la documentacin
consignada,
especficamente en los
diagramas de red dicho
servidor se identifica
como
servidor
de
pruebas 1, pero para el
momento de la visita
cumpla funciones de
servidor de produccin
tanto del Sistema Power
Street y el Servicio
Web.
Cristbal
Microsoft
Windows
2008R2
64
Bits
Para el momento de la
visita el servidor estaba
siendo preparado con la
nueva versin de la
herramienta
Power
Street.
Cristbal
Microsoft
Windows
2008R2
64
Bits
El Servidor no estaba
prestando
ningn
servicio, el rea de TI
argumento
que
se
encontraba en tareas de
mantenimiento.
San
San
30
30
SERVIDOR03
SERVIDOR04
Barinas
Windows
Server
2003R2
Barinas
Windows
Server
2003
Servidor de la aplicacin
Power
Street,
sede
Barinas.
Servidor
de
la
aplicacin Web, sede
Barinas.
Del anlisis de los Servidores se desprenden los siguientes hallazgos:
Hallazgos
Implicacin /
Riesgos
Recomendacin
Los
servidores
SERVIDOR10,
SERVIDOR03,
SERVIDOR04,
tienen
instalados
el
sistema
operativo
Windows
Server versin 2003, el
cual
dejo
de
recibir
soporte
tcnico desde
el 14 de julio de 2015.
No
se
realizan
actualizaciones
de
seguridad, lo cual
puede
traer
como
consecuencia
la
existencia
de
vulnerabilidades
conocidas.
Posibilidad de privar a
la empresa del acceso a
herramientas y servicios
en los que sustentar su
innovacin.
Se recomienda realizar
actualizaciones
del
sistema
operativo
a
versiones superiores que
estn
debidamente
licenciadas y cuente con
soporte tcnico.
En el SERVIDOR10 y
SERVIDOR04 se observ
un nmero elevado de
usuarios
de
sistema
operativo (64) en el
primeo y (67) en el
segundo, que adems
tienen
privilegios
de
administrador. El personal
de
TI argument que
estos son agregados por
el proveedor externo de
la herramienta
Power
Street, no se observ
documentacin
que
sustente
esta
implementacin
de
usuarios.
Dificulta de gestin y
administracin
de
seguridad, posibilidad de
accesos no autorizados,
usuarios activos que no
cumplen
ninguna
funcin y pueden ser
utilizados
para
actividades maliciosas.
Se recomienda realizar
anlisis con el fin de
identificar que usuarios
realmente deben existir
para
la
operatividad
normal de las funciones de
los servidores, para esto
se debe solicitar soporte
al
proveedor como
documentacin
tcnica
que
justifique
dicha
implementacin, validar si
es necesario que los
usuarios
de
operacin
tengan
privilegios
de
Administrador.
Se evidenci el uso
del
servicio
de
escritorio remoto, el
mismo se encuentra
habilitado para un
nmero considerable de
usuarios,
no
se
observaron
procedimientos
de
Posibilidad de abrir
brechas de seguridad,
por
la
Gestin
inadecuada del acceso
de los usuarios.
Utilizacin de claves
dbiles.
Exposicin
de
servicios innecesarios
Se
recomienda
implementar
controles
que permitan aumentar el
nivel de seguridad y
disminuir vulnerabilidades
en el servicio,
ejecutando actividades
como: Aplicacin
de
control y monitoreo
del
acceso
a
los
servidores a travs de
dicho servicio.
a Internet.
Vulnerabilidades en las
aplicaciones o protocolos
utilizados.
actualizaciones
de
Seguridad.
Verificar
la
encriptacin de 128-bit
entre clientes y servidores.
Activar la autentificacin a
nivel
de
red
(NLA),
disponible a partir de la
versin de Windows vista y
Windows 7.
Utilizar tnel VPN hacia la
red como paso previo al
uso
de
conexin
de
escritorio remoto.
uso de firewalls tanto
en el permetro como en el
SO
para
filtrar
las
peticiones
entrantes
limitando la conectividad
de estos servidores.
Establecer grupos de
usuarios y complejidad
de
contraseas,
entre
otros.
En el Servidor10, se
encuentra la base de
datos de produccin de
Power
Street,
que
tiene por nombre PRS01
y para el momento de
la evaluacin registraba
un tamao de 41gb, se
pudo evidenciar
que
la
misma
contiene
informacin desde el
ao 2011, el personal de
TI argumento que no se
realizan
tareas
de
mantenimiento ya que
dicha Base de datos es
administrada
por
el
proveedor
de
la
herramienta
Posibilidad de Lentitud
en
el
tiempo
de
respuesta
de
la
aplicacin.
Errores de aplicacin.
Alto
consumo
de
recursos
de
procesamiento.
Perdida de informacin.
Dificulta
en
la
generacin
de
los
respaldo.
Se recomienda establecer
una mesa de trabajo con
el proveedor con el fin de
realizar
tareas
de
mantenimiento de la base
de datos, de la misma
manera
definir
y
documentar
procedimientos
que
permitan realizar estas
tareas peridicamente.
Igual
mente
se
recomienda
replicar
dichos procedimientos a
las bases de datos
presente en las otras
sucursales.
Se
recomienda
crear
poltica que defina cul es
el tiempo de antigedad
de data que se requiere
mantener activa en la
base de datos, con el fin
de
evitar
que
exista
informacin
innecesaria
para
las
operaciones
rutinarias
y
que
incrementan el tiempo de
respuesta ante consultas,
as como los tamaos de
espacio en disco.
32
Se evidencio el uso de
la herramienta de
software libre Cobian
Backup, para la
gestin de respaldos
de la base de datos,
la cual se ejecuta una
vez al da realizando
un respaldo masivo de
la misma a discos
externos ubicados en
las
mismas
instalaciones;
igualmente se observ
que de manera
manual se van
borrando los respaldos
ms antiguos.
Ante un evento natural

como por ejemplo un
incendio la empresa no
contar con respaldo
externo que le permita
implementar
procedimientos
de
recuperacin
y
continuidad
de
negocio.
Se recomienda establecer
procedimientos para tener
respaldos de la bases de
datos
debidamente
resguardas en ubicaciones
fsicas externas a la sede
donde se encuentra el
servidor.
Se realiz consulta al
personal de TI sobre
si
contemplaban
el
arreglo de disco RAID
1 (Mirroring), que
permite mantener una
copia en lnea de los
ambientes productivos
ante una eventualidad,
y que disminuye el
riesgo de prdida de
informacin ante las
vulnerabilidades
presente
en
los
procedimientos
de
respaldo.
El personal argumento
que el servidor que se
estaba preparando con
la versin nueva si lo
contemplaba, pero el
servidor10
que
actualmente
estaba
prestando el servicio
productivo
no,
cabe
destacar
que
el
ambiente productivo fue
instalado
en
el
servidor10 mientras se
realizaban
tareas
de
actualizacin y pruebas
de la nueva versin.
Posibilidad de prdida
de
informacin
ante
una
eventualidad,
correspondiente a los
lapsos de tiempo entre
las
que se
ejecuta
cada copia de backup.
Se recomienda que las

tareas de pruebas no se
realicen directamente en
los equipos de produccin,
ante
un
cambio
de
versiones o actualizacin
se recomienda planificar
dicho cambio, una vez se
hayan
realizado
las
pruebas en equipos o
ambientes
destinados
para dicha funcin y se
tenga
certeza
de
su
efectividad, de la misma
manera
considerar
procedimientos de rollback
o reversin que devuelve a
la base de datos o sistema
a algn estado previo.
Observaciones Generales
o
Las recomendaciones propuestas en algunos casos requieren realizar

anlisis y redisear las funciones que estn cumpliendo los servidores dentro
de la organizacin, de la misma manera se ve como una necesidad
33
33
la incorporacin de nuevos servicios que contribuyan a implementar controles

enfocados a la seguridad de la informacin y calidad de servicio lo cual puede
implicar en inversiones de equipos.
Durante las actividades de evaluacin a los servidores se ejecut la tarea
del levantamiento detallado de informacin hardware presente en cada uno
de estos, validando sus capacidades y cuyos reportes se anexan al presente
documento; se puede establecer que existen servidores que pueden estar
siendo subutilizados dada su capacidades, por ejemplo el servidor SRV-DC01
y el servidor SERVIDOR03.
Ante la necesidad de implementar nuevos servicios como por ejemplo
Active Directory, la empresa puede tener la opcin de virtualizar los
servidores con mayor capacidad antes mencionados y distribuir de mejor
manera sus recursos, La vitalizacin es una tecnologa que est
compuesta por una capa de software que permite utilizar al mismo tiempo
diferentes sistemas operativos o mquinas virtuales en una misma
computadora fsica central.
IV. Evaluacin de Capacidades y motivacin del Recurso

Humano:
Del trabajo desarrollado con el apoyo del Recurso Humano que posee la Empresa en su
rea de TI, se pudo evidenciar que hay capacidades y motivacin suficientes para
encarar los retos que se plantean como resultado de la Evaluacin.
Algo que si es importante comentar, es que los resultados de la evaluacin
indefectiblemente traern una carga de trabajo adicional al personal, producto de las
adecuaciones y mejoras que se tendrn que implantar, con lo cual, se debe replantear
la organizacin y responsabilidades establecidas. En este sentido, se debe dar especial
atencin a la funcin de gerenciar o coordinar las actividades de TI, que requieren un
mayor tiempo para los aspectos de supervisin y definicin de estrategias, dejando
en manos de otros recursos aspectos de soporte y operacin. Bajo esta
circunstancia, es muy probable que el rea requiera de incorporar por lo menos un
recurso para poder apoyar en dichas funciones de soporte y operacin.
NOTA; en lneas generales, an falta una buena definicin por parte del auditores de
como deber estar conformado un departamento de tecnologa, a nivel de la
inform acin que se levant en la visitas, adems no veo en algn lugar que indique
que ca pacitaciones o entrenamiento necesarias amerita el personal de IT y una buena
definic in de las funciones, bajo responsabilidades del departamento bien definidas,
ejempl o (no se toc la parte de sistema de cmaras de seguridad, sistema de alarma, e
incluso gestin de redes telefnicas), si estas estn bien conformadas como esta, que
capacid ades debera tener en cuenta para el manejo de los videos de seguridad,
puntos fueras de la tecnologa pero que es parte de este departamento, que no se
dejara a un lado, de lo que son las buenas prcticas.
Aspectos referidos en su comentario:
Estructura organizacional del rea de TI: No se dio una recomendacin al
respecto, pues consideramos que la prioridad era estabilizar el funcionamiento y
operatividad de los servicios de TI. De igual manera, si nos remitimos a las
mejores prcticas (por ejemplo ITIL), seran requeridas funcionalidades que
implicaran, por separacin de responsabilidades, establecer una nmina que
entendemos hoy da no es la prioridad. Por ello, solo nos remitimos a
recomendar la inclusin de un recurso que pueda asumir funciones del da a da,
y que permita que la persona de mayor nivel, existente, pueda asumir las tareas
que implican dicha estabilizacin.
34
34
Capacitacin y entrenamiento: Evidentemente que los recursos existentes, y en

funcin de las tareas planteadas, debern indicar en qu aspectos requieren
entrenamiento, de manera de que se estructure un plan de entrenamiento o
soporte con personal especializado que transfiera el conocimiento y aporte a las
soluciones.
Cmaras de Seguridad y Sistemas de Alarma: El tema de las cmaras de
seguridad y Sistemas de alarma, normalmente no es responsabilidad del rea de
TI. Al respecto, el rea de TI debe hacer los requerimientos al personal
que maneje estos temas, y garantizar que se cubran los aspectos de seguridad
mnimos recomendados. Si la empresa decide que estos temas deben ser
manejados por TI, pues se debe ubicar entrenamiento de personal especializado
para cubrir estas funciones.
Redes Telefnicas: El tema de las redes telefnicas, igualmente, normalmente
no es responsabilidad del rea de TI. Si la empresa decide que este tema deben
ser manejado por TI, pues se debe ubicar entrenamiento de personal
especializado para cubrir estas funciones.
Otras Observaciones del equipo evaluador:

-
El grupo evaluador puede ayudar en la orientacin preliminar para gestionar los

requerimientos sobre los Sistemas de videograbacin, alarmas, y telefona. Es
importante indicar que la especializacin de estos temas, normalmente puede
requerir de apoyo externo.
Referente a la gestin de inventarios se considera un tema sumamente importante

que debe ser tratado como un proyecto, se entiende que este proceso amerita
inversiones de tiempo y recursos considerables, por lo que se recomienda
plantear el mismo de manera tal no afecte la ejecucin de otros proyectos y
actividades cotidianas, para el logro de este objetivo se recomienda:
Definir nomenclatura o codificacin adecuada para el registro de
elementos tecnolgicos, por ejemplo se puede utilizar como base la
codificacin contemplada en Maquerit que es una metodologa de anlisis y
gestin de riesgos elaborada por el Consejo Superior de Administracin
Electrnica.
Definir herramienta para el registro del inventario, se recomienda contemplar
el uso de soluciones software libre.
Definir procedimiento para el levantamiento y registro de inventario que
contemple las posibles situaciones que pueden surgir durante su
ejecucin por ejemplo equipos caducados y deteriorados.
En cuanto a la Gestin de Power Street, durante el informe se recomienda al rea de TI

de tener mayor control sobre las actividades que realiza el proveedor, en este sentido
se requiere Documentacin tcnica, adiestramiento, procedimientos de gestin de
cambios que separen ambientes de desarrollo y produccin, requerimientos del
proveedor para dar soporte entre otros PWST CONTRATO.
La gestin de los ambientes donde se encuentran los dispositivos tecnolgicos son

responsabilidad de la rea de TI a nivel de garantizar que existan elementos de
seguridad fsica contemplados en las mejores prcticas e indicados en este informe, la
implementacin y mantenimiento de los
mismos deben ser responsabilidad de las
reas o departamentos especialistas en dichas funciones por ejemplo el tema de los
extintores y UPS, planta elctrica de respaldo ante fallas de energa.
35
35
Se considera fundamental para la mejoras de los procesos cotidianos y adecuacin

para la implementacin de proyectos futuros, la solucin a las observaciones
realizadas sobre el ambiente de red tanto a nivel fsico como a nivel lgico, para este
punto es necesario la propuesta de un proyecto de mejora del ambiente de red que
contemple las actividades a realizar considerando las posibles dependencias entre
estas y otros elementos como por ejemplo los tiempos de interrupcin de servicios.
En cuanto a la definiciones de polticas y normas de seguridad de la informacin

depender mucho de la estructura organizativa tecnolgica que se defina en la
organizacin, sin embargo este puede iniciar con elementos base e irse actualizando
en el tiempo, se puede tomar como referencia los siguientes documentos:
http://www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf
http://www.stj-sin.gob.mx/files/leyes/ManualProcedimientos.pdf
https://www.icetex.gov.co/dnnpro5/Portals/0/Documentos/La%20Institucion/
manuales/Manualseguridadinformacion.pdf
Para mejorar la gestin del ambiente tecnolgico de la organizacin es necesario la

implementacin de controles y herramientas sugeridos en el presente informe, por lo
que se recomienda proponer proyectos donde se establezcan prioridades y se
analicen la dependencia entre los mismos, por ejemplo uno de los ms prioritarios
puede ser la implementacin de un directorio activo active directory, el cual
brindara herramientas de control de acceso a los sistemas de la organizacin entres
otras utilidades.
36
36
Anexo 1: Acuerdo de Confidencialidad.
ACUERDO DE CONFIDENCIALIDAD
Yo, _Carlos Humberto Chacn Rivas_, mayor de edad, de nacionalidad _Venezolano_,
domiciliado en _Av. Las Pilas Res. Jiraharas II casa 34, San Cristbal_, Estado Tchira_,
de profesin
_Ingeniero de Sistemas_, titular de la cdula de identidad No. V-
_4.636.862_, en mi carcter de Consultor de TI y de Riesgo, contratado de _Grupo

Premier, C. A._, en ejercicio del cargo de _Asesor_, declaro: Expresa y formalmente me
comprometo a
mantener
confidencial toda
la informacin, datos, tecnologa,
investigacin y conocimientos, transmitidos a mi persona por el _Grupo Premier, C.

A._, y que el _Grupo Premier, C. A._ ha designado como informacin reservada o
confidencial o que, por la naturaleza de las
divulgacin,
debiera
tratarse
de
buena
fe
circunstancias
como
alrededor
informacin
de
la
reservada
confidencial. De la misma manera, me comprometo a que cualquier informacin

confidencial que reciba ser protegida con el mismo nivel de cuidado con que
protejo mi propia informacin confidencial y que no har uso de dicha informacin,
excepto aquel uso que est de acuerdo con el propsito a que estn referidas mis
actividades laborales.
En virtud de lo antes expuesto, expresamente acepto que en caso de
infraccin
del
deber
de
confidencialidad que
asumo,
responder
al
_Grupo
Premier. C. A._ civil y patrimonialmente por cualesquiera daos y perjuicios que le

ocasione. Declaro, as mismo, que tengo perfecto conocimiento de que la utilizacin
indebida que haga de la informacin de la cual tenga conocimiento puede constituir
un hecho delictivo.
La obligacin que contraigo mediante el presente documento, deber ser
cumplida por m durante el desempeo de mis funciones en el _Grupo Premier_ en
razn de la relacin contractual existente, y adicionalmente por un perodo de cinco
(5) aos contados a partir de la finalizacin de dicha relacin.
As lo digo y firmo, en _San Cristbal_, a los _trece_ (13) das del mes
de _Octubre_ de dos mil _quince_ (2015).
Carlos
Rivas
Humberto
Chacn
4.636.862
37
37

Borrador Consol - V2

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Borrador Consol - V2

Uploaded by

Copyright:

Available Formats

San Cristbal, Diciembre 2015

Informe de Evaluacin de Controles de TI de la

Power Street Solutions; A continuacin se destaca la documentacin que

significara en un momento dado

Propiedad de los activos:

Se pudo evidenciar en el inventario la asignacin del responsable del

Uso aceptable de los activos:

El diccionario de datos se encuentra estructurado:

Existe el Modelado de Datos:

NOTA; de acuerdo a la recomendacin no solo es que nos entregue la informacin,

Esta implementado el control de acceso a la Bases de Datos:

En los contratos tienen establecidos los acuerdos de confidencialidad:

NOTA; accesoria al respecto . Se les puede

Tienen inventario de Proveedores:

Se pudo evidenciar en la evaluacin que la empresa lleva un inventario de las

Se pudo constatar que la

- Riesgo de interrupcin Se recomienda a la alta gerencia de

la empresa asegurar la existencia

d. Clasificacin de los sistemas,

de acceso, eliminacin e. Identificacin del personal

Seguridad Fsica y Ambiental.

-No existe documentacin

A continuacin se describe otras recomendaciones que se deben tener en cuenta

debera concederse el acceso restringido del personal de soporte de terceras

Estos sistemas incluyen visin

extintores de Polvo Qumico Seco

NOTA; tambin elevar la informacin a la coordinadora de HS. Ok.

A continuacin se describe otras recomendaciones en este caso Normas y

El personal de tecnologa (Analista) deber tomar registro en Bitcora de la

Se pudo evidenciar en la evaluacin realizada la presencia de dos equipos de UPS

NOTA; es viable. Ok.

NOTA; Es necesario un lugar de depsito para IT. Ok.

NOTA; elevar la informacin a cada dpto. Ok.

Johon Pipo -Jefe de Infraestructura.

lo cual podra generar

Se evidenci cinco (5)

Tambin se recomienda reubicar

NOTA; elevar la informacin a los responsables de la planta elctrica. Ok.

Cualquier trfico puede ser

Perdida de paquetes por

Los puntos instalados

Maltrato en el cable puede

Instalar los cables

Los puntos de red no

Diferencias entre las

Conclusin: Con los hallazgos identificados se puede determinar algunas

situaciones mejorables en la topologa de la red. En consecuencia, se afecta el

Los clientes son

Uso de recursos de red

Conclusin: Algunos de los aspectos relacionados con el rendimiento se deben a

configuraciones o servicios implementados en la red. El control de acceso a los

III Gestionar Servicios de Seguridad

dos servidores en la ciudad de San Cristbal.

Sin embargo dos de estas licencias se encuentran inactivas, el personal de

El servicio adquirido con

equipo hacia internet, los

afectando los tiempos

A nivel corporativo se considera obligatorio que los PC que conforman la red

Implementar soluciones de antivirus con consola de administracin

Generar reportes que permitan realizar anlisis en el tiempo, por ejemplo

Se debe contemplar charlas de concientizacin y capacitacin al personal

Para la implementacin de la solucin se recomienda contemplar los controles

NOTA; es necesario la asesora sobre estas polticas y procesos sobre el cliente