Auditora en Informt

Integrantes:
Moreno Mares Esteban
Olivares Torres Andrea
Preciado Rendn Hiram
Valle Figueroa Juan
Yaez Soto Esteban

unidep hermosillo | Hermosillo, sonora a 31 de mayo de 2016.

Sumario
Tabla de contenido
Carta al director 2
Objetivo de la auditora
Alcance de auditora

Informe de auditora

Roles de la empresa y falta de polticas, procedimientos y metodologas.

Falta de seguridad en acceso, registro, transmisin y posesin de los datos de

informacin
9
Documentacin 10
Base de datos
Anexos

11

12

Carta al director:
Hermosillo, Sonora a 08 de Junio 2016

A quien corresponda
PRESENTE:

Con la presente le hago extender una cordial invitacin a participar auditoria

en informtica que ofrecemos nosotros como empresa contamos con el mejor
personal certificado el cual dar resultados sobre su empresa. El cual resultara en
fuerzas y debilidades, dicho estudio le ayudara a minimizar costos y maximizar
produccin. Evitar desperdicios de recursos y permitiendo esto elevar los
estndares de la empresa
ATENTAMENTE
Ing. Juan Figueroa

OBJETIVO DE AUDITORA
En las observaciones peridicas que estuvimos haciendo a la
transmisin del canal televisivo Telemax y mediante las auditoras
realizadas de manera directa a la empresa, se detectaron dos errores
tcnicos que deben ser tratados a la brevedad, pues carece de un
servidor eficiente y de la cantidad de servidores necesarios para la
realizacin ptima del trabajo por parte de cada departamento.
Siendo ms explcitos: dicha empresa padece una problemtica
particular, en la que sus empleados, pertenecientes a los diversos
departamentos (produccin, continuidad, deportes y noticias), utilizan
un mismo servidor para cargar y descargar archivos digitales desde sus
respectivos equipos dentro de un mismo tiempo, siendo el manejo
constante de videos la principal causa de entorpecimiento; por lo que se
ocasiona la saturacin del sistema a causa del elevado trfico de datos.
Esta problemtica conlleva a una segunda cuestin, en la que cada
departamento se atrasa en la realizacin y entrega de sus archivos,
siendo que la prioridad debiera enfocarse en el departamento de
noticias ya que su transmisin es llevada en vivo.
Declarando que la empresa Telemax no est cumpliendo con la
eficiencia que debe ser observada en el desempeo de su empleo, cargo
o comisin como lo dicta la Ley de Responsabilidades de los Servidores
Pblicos del Estado y los Municipios de Sonora.

ALCANCE DE AUDITORA
La empresa Telemax debe abstenerse de todo acto u omisin que cause
o pueda causar la suspensin o deficiencia del servicio.
Comprometiendo a Telemax a la instalacin de un servidor adicional que
sea destinado para el uso exclusivo de los integrantes del departamento
de noticias, enfatizando que este es el de mayor necesidad; de esta
manera se mantendr el servidor ya existente para el uso de los
departamentos restantes (produccin, continuidad y deportes).
Se prev que an, contando con dos servidores a disposicin, la
problemtica de saturacin del sistema por el trfico elevado de datos,
pueda prevalecer. Para evitar la propagacin del mal uso del servidor,
tambin se solicita a la empresa capacitar al personal de cada rea
sobre el uso correcto del mismo:
DESCARGA DE VIDEOS.
Los videos con destino a edicin, deben ser descargados en el
equipo del personal y posteriormente modificados sin permanecer
haciendo uso del servidor.
ENVO DE VIDEOS EDITADOS.
Para la carga de videos se seguirn un orden de importancia.
Primeros en la lista se autorizarn los de requerimiento inmediato,
como ejemplo: los que deben ser publicados al aire. Despus se
dar lugar a los de menor necesidad.

Informe de auditora
Este informe de auditora es generado acerca de la empresa TELEMAX,
la cual consiste en evaluar los controles existentes enfocados a las
Tecnologas de informacin. Se evaluar el departamento de sistemas de
dicha empresa que cuentan con sistemas computarizado y bases de
datos centralizadas donde se procesa la informacin obtenida por los
dems departamentos, as mismo dndole soporte tcnico a estos.
De acuerdo con las instrucciones giradas de la administracin de la
institucin a su digno cargo me permito remitir a usted el dictamen de la
auditora practicada en el centro de cmputo con especialidad en la
administracin, funcionamiento y operacin del sistema de red de esa
institucin. De los resultados obtenidos durante la evaluacin me
permito informarle a usted lo siguiente:
a) Seguridad Fsica
b) Seguridad del personal
c) Seguridad del Software y hardware
d) Seguridad de los datos.
La importancia de esta auditora radica en el alto nivel de dependencia
que las empresas tienen de informtica, dado que muchos de sus
procesos estn automatizados en sistemas de informacin instalados en
ordenadores de gran capacidad pero muy vulnerables a fallas y a ilcitos.

Roles de la empresa y falta de

polticas, procedimientos y
metodologas.
El departamento de Coordinacin de Sistemas es el encargado de varias
actividades el cual nadie ms tiene acceso a dichos servicios.
Objetivo: Optimizar uso y aprovechamiento de los servicios de
informtica en las reas adscritas a travs de un adecuado
mantenimiento y capacitacin de los usuarios de los mismos.
Funciones:

Dar mantenimiento preventivo y correctivo a equipos de cmputo.

Dar mantenimiento preventivo y correctivo a sistemas de
informacin.
Mantener en ptimo funcionamiento la red de datos internos.
Mantener en funcionamiento el Servidor Web.
Establecer los nuevos mecanismos de seguridad que permitan la
confidencialidad de la informacin.
Responder a la solicitud de apoyo de los diferentes usuarios para
resolver problemas en equipos de cmputo o red.
Establecer las normas y lineamientos que regulen la operacin de
sistemas y equipo de cmputo.
Desarrollar todas aquellas funciones inherentes al rea de su
competencia

Seguridad fsica:
Objetivo general:
Poder determinar las debilidades y fortalezas en la seguridad fsica del
equipo y el edificio donde se encuentra instalado el sistema de
informacin y sus polticas sobre la seguridad, y luego poder hacer
algunos sealamientos que contribuirn con las mejoras de esta.
Condicin: No existe un manual de planes de mitigacin de riesgos

Recomendacin:
contingencias.

Se

recomienda

poder

elaborar

un

manual

de

Condicin: No se encuentran manuales fsicos de procesos para

mantenimiento
Recomendacin: Se recomienda elaborar lo antes posible este manual
de soporte para un buen control.

Seguridad del personal:

Objetivo general:
Verificar si se han adoptado medidas de seguridad en los diferentes
departamentos del rea informtica con respecto al personal que labora
en dicha institucin.
Condicin: Pudimos constatar que no existe salida de emergencias.
Recomendacin: Es necesario crear una puerta de emergencias.
Condicin: No existen extintores de fuego.
Recomendacin: Se recomienda comprar extintores lo ms pronto
posible.

Seguridad del software y hardware:

Objetivo general:
Comprobar que la adecuacin de hardware, sistema operativo, versiones
del software utilizado, como tambin en los aspectos relativos a la
programacin de las distintas aplicaciones, prioridades de ejecucin,
lenguaje utilizado y la documentacin necesaria haga constar que existe
una administracin adecuada que garantice la seguridad de la parte
tangible e intangible de los equipos de cmputo.
Condicin: No se encontraron las licencias de Microsoft Office.
Recomendacin: Se recomienda mantener toda la legalidad necesaria.

Seguridad en los datos:

Objetivo general:

Corroborar si existe integridad y seguridad en los sistemas de gestin de

las bases de datos o si se han formulado polticas respecto a su
seguridad, privacidad y proteccin de las facilidades de procesamiento
ante eventos como: incendio, vandalismo, robo y uso indebido, intentos
de violacin etc.
Condicin: No se encontraron normas y polticas para el resguardo de las
bases de datos.
Recomendacin: Se solicita crear normas y polticas lo ms pronto
posible.
Condicin: No se elaborar backups.
Recomendacin: Comenzar lo ms pronto posible a crear respaldos de
toda la informacin.

Falta de seguridad en acceso,

registro, transmisin y posesin
de los datos y de la informacin
Tras la realizacin de la auditoria se ha podido concluir que existen
numerosas vulnerabilidades que pueden comprometer la seguridad del
sistema en la empresa:
Acceso a wifi: El acceso a la red inalmbrica de la empresa no est
suficientemente protegida, ya que la clave de acceso esta al alcance de
cualquier usuario y no cuenta con la correcta configuracin de bloqueo.
USB y dispositivos pticos no bloqueados: Los USB y los dispositivos
pticos de los ordenadores de la empresa no estn bloqueados, lo que
permitira que un usuario malintencionado tomar documentos y datos de
carcter confidencial para la empresa.
Privilegios de los usuarios (pueden hacer algo ms que consultas): Se
ah observado que estos no tienen la suficiente seguridad y restriccin
necesarias para evitar instalacin de software indeseado y navegacin
poco profesional de la empresa.
El sistema de contraseas no se renueva cada cierto tiempo: No existe
una poltica clara de periodicidad de cambio de contrasea ni un control
sobre la forma de cambio de stas, ya que cada usuario puede cambiar
su contrasea desde su propio equipo en el momento que quiera.
Falta de proteccin de las contraseas de los usuarios del sistema:
Falta de profesionalidad de los empleados a la hora del almacenamiento
de las claves, ya que las tienen en lugares donde se pueden observar.
Mal uso del sistema por parte de los usuarios. Instalndose programas
de mensajera instantnea o software sin relacin con los cometidos de
la empresa.

Documentacin
En la documentacin que nos ha facilitado la empresa, a travs de
documentos, y mediante la informacin recopilada por medio de nuestra
investigacin exhaustiva, hemos obtenidos las siguientes
consideraciones:
Se ha solicitado el plan de accin de dicha empresa y se ha notado
una demora bastante grave al momento de conseguirlo, siendo este
inexistente hasta la fecha.
A travs de diferentes encuestas a los empleados, se ha determinado
que no se tiene control sobre incidentes y fallos.
No se ha facilitado ningn tipo de documento relacionado con la
direccin de la empresa.
El informe de las instalaciones que recibe la empresa es bastante
pobre e inexacto. Es bastante antiguo y faltan varias cosas de dar de
alta.
No se nos ha facilitado ningn tipo de documento referido a los
problemas o incidentes que ha tenido la empresa en los ltimos aos.
Hay bastante desinformacin entre los empleados y falta de orientacin
en cuanto a recibir y mandar los informes.

Base de datos

Anexos: Cuestionarios
AUDITORIA INFORMTICA ANEXOS: CUESTIONARIO DE
SEGURIDAD FSICA.
Pregunta
1. Se han adoptado medidas de seguridad en el
departamento de sistemas de informacin?
2. Se ha dividido la responsabilidad para tener un mejor
control de la seguridad?
3. Existe personal de vigilancia en la institucin?
4. Se investiga a los vigilantes cuando son contratados
directamente?
5. Existe una persona encargada de velar el equipo y
accesorios en el centro de cmputo de cmputo las 24
horas?
6. Se registra el acceso al centro de cmputo de personas
ajenas a la direccin de informtica?
7. Los interruptores de energa y cables de red estn
debidamente protegidos, etiquetados y sin obstculos
para alcanzarlos?
8. Se revisa frecuentemente que no est abierta o
descompuesta la cerradura de esta puerta y de las
ventanas, si es que existen?
9. Se ha prohibido a los operadores el consumo de
alimentos y bebidas en el interior del departamento de
cmputo para evitar daos al equipo?
10. Se limpia con frecuencia el polvo acumulado en el piso
y los equipos?
11. Se tiene una calendarizacin de mantenimiento
preventivo para el equipo?
12. Las caractersticas fsicas del centro de cmputo son
seguras?
13. La distribucin de los quipos de cmputo es
adecuada?
14. Existen polticas de seguridad para el centro de
cmputo?

SI

NO

AUDITORIA INFORMTICACUESTIONARIO SEGURIDAD DEL

PERSONAL
Pregunta
1Se han adoptado medidas de seguridad para el personal
y usuarios del centro de cmputo?
2Se ha instruido a estas personas sobre qu medidas
tomar en caso de que alguien pretenda entrar sin
autorizacin?
3El centro de cmputo tiene salida de emergencia?
4 Se ha adiestrado el personal en el manejo de los
extintores?
5 Saben que hacer los operadores del departamento de
cmputo, en caso de que ocurra una emergencia
ocasionado por fuego?
6Se ha adiestrado a todo el personal en la forma en que
se deben desalojar las instalaciones en caso de
emergencia?
7Tienen manuales que contengan normas y polticas de
seguridad del personal?
8 Existen manuales y polticas de mitigacin de riesgos?

SI

NO

AUDITORIA INFORMTICASEGURIDAD DE SOFTWARE Y

HARDWARE
Pregunta
1 Se han instalado equipos que protejan la informacin y
los dispositivos en caso de variacin de voltaje como:
reguladores de voltaje, supresores pico, UPS, generadores
de energa?
2 Se hacen revisiones peridicas y sorpresivas del
contenido del disco para verificar la instalacin de
aplicaciones no relacionadas a la gestin de La institucin?
3 Se mantiene programas y procedimientos de deteccin
e inmunizacin de virus en copias no autorizadas o datos
procesados en otros equipos?
4 Existen controles que garanticen el uso adecuado de
discos y accesorios de almacenamiento masivo?
5 Se aprueban los programas nuevos y se revisan antes
de ponerlos en funcionamiento?
6 Existe un programa de mantenimiento preventivo para
cada dispositivo del sistema de cmputo?
7 Existe legalidad de cada sistema operativo o programa?
8 Existe un plan de actividades previo a la instalacin?
9 Existe documentacin que garantice la proteccin e
integridad de los recursos informticos.
10 Existen normas o procesos que no permitan hacer
Modificaciones en la configuracin del equipo o intentarlo?
11 Existe un control que prohba Mover, desconectar y/o
conectar equipo de cmputo sin autorizacin?
12 Existen inventarios de hardware, equipos y perifricos
asociados y del software instalado?
13 Los sistemas de hardware se acoplan adecuadamente
con la funcin del software?
14 Existen revisiones peridicas del hardware y software?

SI

NO

AUDITORIA INFORMTICACUESTINARIO DE SEGURIDAD EN

LOS DATOS
Pregunta
1 La organizacin tiene un sistema de gestin de base de
datos (SGBD)?
2 La interfaz que existe entre el SGBD y el SO es el
adecuado?
3 Existe un control estricto de las copias de estos
archivos?
4 Las bases de datos guardan la informacin necesaria y
adecuada para la institucin educativa?
5 Existe una persona responsable de la base de datos de
la institucin?
6 Se mantiene un registro permanente (bitcora) de
todos los procesos realizados, dejando constancia de
suspensiones o cancelaciones de procesos?
7 Se han implantado claves o password para garantizar
operacin de consola y equipo central (mainframe), a
personal autorizado?
8 Existen backups y se guardan en lugares seguros y
adecuados?
9 Se realizan auditorias peridicas a los medios de
almacenamiento?
10 Existe un programa de mantenimiento preventivo para
el dispositivo del SGBD?
11 Existen integridad de los componentes de seguridad
de datos?
12 Existen procedimientos de realizacin de copias de
seguridad y de recuperacin de datos?
13 Existe un perodo mximo de vida de las contraseas?
14 En la prctica las personas que tienen atribuciones y
privilegios dentro del sistema para conceder derechos de
acceso son las autorizadas e incluidas en el Documento de
Seguridad?
15 Existen procedimientos de asignacin y distribucin de
contraseas?
16 Existen procedimientos para la realizacin de las
copias de seguridad?
17 Existen controles sobre el acceso fsico a las copias de
seguridad?
18 Existen diferentes niveles de acceso al sistema de
gestin de contenidos?

SI

NO