Empresa Universo S.A.LUNES, 10 DE MAYO DE 2010AUDITORIA AL AREA DE REDES

JUSTIFICACION ADECUACION Y FORMALIZACION

1. ORIGEN DE LA AUDITORALa siguiente auditora surge como necesidad de llevar a la prctica los conocimientos adquiridos en las aulas y realizar el trabajo designado para la aprobacin del cursoLa empresa escogida para efectos de esta prctica, es la ya mencionada Universo S.A.

2. ALCANCE DE LA AUDITORALa auditora realizada fue aplicada a la Empresa Universo S.A. en su totalidad, y con un enfoque especifico en las redes, que permitir comprobar su seguridad y vulnerabilidades, as como, determinar que la funcin de redes est claramente definida

3. ANTECEDENTESLa Empresa Universo S.A. ha sido auditada en todas sus reas por la sede principal de sus oficinas que se encuentra en Cali, con resultados privados, adems que estos se encuentran en la mencionada ciudad

4. ENFOQUE A UTILIZAREl enfoque utilizado, en el presente informe, est basado principalmente en las ctedras del docente, los libros y las bibliotecas informticas que usamos como apoyo para el desarrollo de esta materia.Libros de ayuda conceptual como son: DE LA PEA, Alberto, Auditora un Enfoque Prctico, Editorial Thompson, 2008. PIATTINI, Mario. Auditora de Tecnologas y Sistemas de Informacin Editorial Alfaomega-Rama. 2008. WHITTINGTON. Principios de Auditora, Mxico, Mac Graw Hill, 2004, Dcimo Cuarta Edicin. PIATTINI, Mario. Auditora Informtica: Un Enfoque Prctico. Editorial Alfaomega-Rama. Segunda Edicin. 2004. MUOZ, Carlos. Auditora en Sistemas Computacionales. Mxico: Pearson Education, 2002.5. CRONOGRAMA

6. DOCUMENTOS A SOLICITAR Razn social Misin Visin Objetivos de la empresa Organigrama Descripcin general de la empresa Conocimiento general del rea de sistemas Organigrama del rea de sistemas Objetivos del departamento Funciones por reas Funciones principales de algunos empleados Distribucin fsica de equipos Inventario de software Inventario de hardware Contratos de mantenimiento

7. MOTIVO O NECESIDAD DE UNA AUDITORIA INFORMATICAEl motivo principal de esta auditoria tiene fines acadmicos, buscando poner en prctica los conocimientos adquiridos en esta materia y favorecer a la Empresa Universo S.A. en los siguientes puntos: Deficiente Seguridad de los Equipos de Computo Distribucin Inadecuada de los Equipos de Computo Deficiente confidencialidad de la informacin Uso ineficiente de los equipos de computo

8. JUSTIFICACIONEl punto principal por el cual se realiza esta auditoria tiene que ver directamente con objetivos acadmicos, pero teniendo en cuenta las falencias encontradas en el rea de redes de la empresa se lleg a la conclusin: La empresa debe aprovechar al mximo el espacio fsico con el que cuenta el centro de cmputo Los equipos deben tener una mayor seguridad tanto en el ingreso de personal como para la informacin Para mejorar el uso de los equipos se debe contar con manuales tcnicos y documentos de gestin

8.1 AREA A AUDITAR:La auditora realizada a la Empresa Universo S.A. se encuentra enfocada al rea de redes, ya que es un rea muy importante y compleja en un centro de cmputo8.2 MATRIZ DE RIESGO:

8.3 PLAN DE AUDITORIA EN INFORMATICA:Esta auditoria cuenta con la aprobacin y supervisin de la Gerente General de la empresa de la ciudad de Bucaramanga, la cual aprob las siguientes tareas realizadas:

9. ADECUACIN9.1 MTODOS Verificacin de las funciones, seguridad de los equipos, cableado, etc Verificacin de documentos de gestin9.2 TCNICAS Observacin Anlisis y revisin de documentos9.3 HERRAMIENTAS Libreta de apuntes Papel Lapicero Microsoft Office Word 2007 Microsoft Office Excel 2007 Microsoft Office Power Point 2007 Internet

9.4 PLAN DE AUDITORIA DE ACUERDO AL CLIENTE:La Empresa Universo S.A. ha solicitado al equipo auditor lo siguiente: Reestructurar la red existente tanto con normas de cableado estructurado como la Ubicacin adecuada de sus equipos Ver el estado de sus equipos de cmputo Dar ms seguridad fsica y a sus datos Ensear una utilizacin eficiente y satisfactoria de los equipos a sus empleados

10. FORMALIZACIN10.1 PLAN APROBADOLa entrevista realizada a la seora Martha Villamizar, Gerente General de la empresa en Bucaramanga, permiti tener acceso a la informacin concerniente a la Empresa Universo S.A., quien acept y aprob el plan descrito con anterioridad10.2 COMPROMISO EJECUTIVODe acuerdo al plan ya mencionado, hubo un compromiso de entregar el informe de auditora Informtica a la empresa en mencin en el momento de terminada dicha auditoria

DESARROLLO DE LA AUDITORIA1. AUDITORIA DE REDES1.1 ALCANCELa auditora de redes fue aplicada en centro de cmputo de la empresa. Los puntos a tomar en cuenta sern los siguientes: Organizacin y calificacin del tendido de red Planes y procedimientos Sistemas tcnicos de Seguridad y Proteccin

1.2 OBJETIVOS Llevar un registro actualizado de mdems, controladores, terminales, lneas y todo equipo relacionado con las comunicaciones Mantener una vigilancia constante sobre cualquier accin en la red Mejorar el rendimiento y la resolucin de problemas presentados en la red

1.3 DESARROLLO DE LA AUDITORIAPara el Desarrollo de esta auditora especfica se emplear el modelo comn de referencia que se denomina OSI (Open Systems Interconection), y consta de siete capas, las cuales se tomarn para realizar la auditoraEl modelo de interconexin de sistemas abiertos (ISO/IEC 7498-1), tambin llamado OSI (en ingls, Open System Interconnection) es el modelo de red descriptivo, que fue creado por la Organizacin Internacional para la Estandarizacin (ISO) en el ao 1984. Es un marco de referencia para la definicin de arquitecturas en la interconexin de los sistemas de comunicaciones. reas controladas para los equipos de comunicaciones, previniendo as accesos inadecuados Los equipos de comunicaciones (Switch, Router) no se mantienen en habitaciones cerradas La seguridad fsica de los equipos de comunicaciones (Switch, Router) es inadecuada No se restringe el acceso a persona no autorizadas a los dispositivos mayores ni menores Proteccin y tendido adecuado de cables y lneas de comunicacin, para evitar accesos fsicos Cable canal deteriorado Cable dificultando el paso de la persona Cable en el piso El cableado de la red se encuentra junto al de la red elctrica No existen carteles que prohban comer y/o fumar dentro del centro de cmputo Revisar las polticas y normas sobre redes y el funcionamiento de la red y la seguridad de los datos dentro de la Red LANA.MODELO OSI, CAPA FSICACapa Fsica: Transforma la informacin en seales fsicas adaptadas al medio de comunicacin.El cableado utilizado para el tendido de red presenta las siguientes caractersticas:Tipo de Cable: Par trenzado (UTP Categora 5)Conectores: RJ-45El tipo de cables y conectores utilizados para este tipo de red es adecuado, el problema radica en que los cables de comunicacin de datos se encuentran juntos con los de la red elctrica, lo cual genera interferencias en la comunicacinB. MODELO OSI, CAPA DE ENLACECapa de Enlace: Transforma los paquetes de informacin en tramas adaptadas a los dispositivos fsicos sobres los cuales se realiza la transmisin. De acuerdo al inventario de hardware se resumen los siguientes componentes:Topologa de la Red: Estrella Especificaciones: Ethernet Tarjeta de Red: Encore PCI Fast Ethernet 10/100 MBps Se pudo identificar que no todos los equipos tienen el mismo tipo de tarjeta de red, por lo cual se producen errores de bits en la ruta de transmisin OjoC. MODELO OSI, CAPA DE REDCapa de Red: Establece las rutas por las cuales se puede comunicar el emisor con el receptor, lo que se realiza mediante el envo de paquetes de informacinEn la institucin se utilizan los siguientes componentes:Velocidad de transmisin 10/100 MBpsRouter D-link de 4 puertosSwitch Encore de 8 puertosProtocolo TCP/IPDe acuerdo a las necesidades de la empresa, el Switch y el Router empleado presenta problemas en la transmisin de datos ya que se encuentran en un rea expuesta a la humedadD. MODELO OSI, CAPA DE TRANSPORTECapa de Transporte: Comprueba la integridad de los datos transmitidos (que no ha habido prdidas ni corrupciones)En la Empresa se utiliza el Protocolo TCP/IP para la transmisin datos, lo cual es lo ptimo debido a que es ms seguro, sin embargo la mala distribucin de la red fsica dificulta esta trasmisin de datosE. MODELO OSI, CAPA DE SESINCapa de Sesin: Establece los procedimientos de aperturas y cierres de sesin de comunicaciones, as como informacin de la sesin en curso.En la Empresa existe un control de las sesiones ya que la entrada y salida de sesin de cada usuario queda registrada en un servidorF. MODELO OSI, CAPA DE PRESENTACINCapa de Presentacin: Define el formato de los datos que se van a presentar a la aplicacin.Actualmente existe una aplicacin en red de un Sistema contable llamada (UnoE), que se encarga de la parte comercial, financiera etc de la organizacin y actualmente esta en funcionamientoG. MODELO OSI, CAPA DE APLICACINCapa de Aplicacin: Es donde la aplicacin que necesita comunicaciones enlaza, mediante API (Application Program Interface) con el sistema de comunicaciones.Se utiliza el Protocolo FTP para el intercambio de informacin, el cual se usa para las impresoras.Correo de la empresa: Existe un servidor de correo basado en Outlook, por lo cual cada empleado posee su propia cuenta de usuario

1.4 INFORME FINAL

1. TituloAuditoria de Redes.

2. ClienteEl rea de Informtica

3. Entidad AuditadaEmpresa Universo S.A.4. Objetivos Llevar un registro actualizado de mdems, controladores, terminales, lneas y todo equipo relacionado con las comunicaciones Mantener una vigilancia constante sobre cualquier accin en la red Mejorar el rendimiento y la resolucin de problemas presentados en la red5. Normativa aplicada y excepcionesLa especificacin utilizada en esta auditora de redes es la Normativa actual IEEE 802.3 para redes LAN Ethernet 10/100MBps (utilizada por la empresa), adems de las normas de auditoria aceptadas en Colombia.Estudiantes Redes CiscoProtocolo de LAN de IEEE que especifica una implementacin de la capa fsica y la subcapa MAC de la capa de enlace de datos. IEEE 802.3 utiliza el acceso CSMA/CD a una serie de velocidades a travs de diversos medios fsicos. Las extensiones del estndar IEEE 802.3 especifican implementaciones para Fast Ethernet. Las variaciones fsicas de la especificacin IEEE 802.3 original incluyen10Base2, 10Base5, 10BaseF, 10BaseTy10Broad36. Las variaciones fsicas para Fast Ethernet incluyen 100BaseT, 100BaseT4y 100BaseX. 6. AlcanceEl presente trabajo de auditoria de red, comprende el presente periodo 2010 y se ha realizado en la Empresa Universo S.A. de acuerdo a las normas y dems disposiciones aplicables

7. ResultadosA) reas controladas para los equipos de comunicaciones, previniendo as accesos inadecuados Los equipos de comunicaciones (Switch, Router) no se mantienen en habitaciones cerradas La seguridad fsica de los equipos de comunicaciones (Switch, Router) es inadecuada No se restringe el acceso a persona no autorizadas a los dispositivos mayores ni menoresB) Proteccin y tendido adecuado de cables y lneas de comunicacin, para evitar accesos fsicos Cable canal deteriorado Cable dificultando el paso de la persona Cable en el piso El cableado de la red se encuentra junto al de la red elctrica No existen carteles que prohban comer y/o fumar dentro del centro de cmputoC) Revisar las polticas y normas sobre redes y el funcionamiento de la red y la seguridad de los datos dentro de la Red Lan No existen reas de equipo de comunicacin con control de acceso No hay un tendido adecuado de cables y lneas de comunicacin por lo cual permite accesos fsicos no autorizados No existen revisiones peridicas de la red por tanto se presentan errores y/o daos a la misma

CONCLUSIN:Nuestra opinin es que, los controles sobre los recursos de la red de rea local de la empresa deben ser mejorados puesto que presenta importantes dificultades. Esto se debe a la ausencia de lineamientos claros para su gestin.

RECOMENDADIONES: Se recomienda, en primer lugar que se coloquen los centros de cableado en lugares adecuados, fuera del alcance de personas no autorizadas Tambin recomendamos que se identifiquen los dispositivos principales De igual forma recomendamos que se escriban los lineamientos generales para la gestin de la red y se difundan a los encargados Tambin recomendamos que se capacite al personal en los aspectos referidos a la seguridad de la red fsica Recomendamos, por ltimo, que los encargados del centro de cmputo realicen las acciones necesarias para:Mantener el cableado en buenas condicionesMantener los conectores en buen estadoEstas acciones deben ejecutarse en forma peridica

8. Fecha del InformeEl presente Informe se inici el 04 de Marzo de 2010 y se concluy el 13 de Mayo del 2010

9. Identificacin y Firma del Auditor