Entregable Auditoría Informática
-
Upload
fiorela-torres-labrador -
Category
Documents
-
view
237 -
download
0
Transcript of Entregable Auditoría Informática
-
8/18/2019 Entregable Auditoría Informática
1/40
República Bolivariana de Venezuela
Ministerio del Poder Popular Para la Educación Universitaria
Universidad Politécnica de Valencia
Valencia - Edo. Carabobo
Auditoría Informática del “Sistema Informático para el Registro y Seguimiento
del Mantenimiento Mecánico de los Equipos Industriales de Eje Rotatorio,
Caso Grupo Vibrotek, C.A”
Profesor: Integrantes
Ing. Juan Carlos Guadama T.S.U Carvajal, Aleixer. CI. 15.612.613
T. S.U Torres, Fiorela. CI. 18.412.579
T. S.U Valdivieso, Diego. CI. 17.484.216
IV Trayecto, Sección: 03EN
Valencia, Enero de 2016
Fecha:22/01/2016 Nota
Elaborado por:
TSU. Carvajal Aleixer,
TSU. Torres Fiorela,
TSU. Valdivieso Diego
Revisado y aprobado por:
Ing. Juan Carlos Guadama
-
8/18/2019 Entregable Auditoría Informática
2/40
2
Fase 1.- Objetivos
1.1.- Objetivo General
Realizar una Auditoría Informática del “Sistema Informático para el
Registro y Seguimiento del Mantenimiento Mecánico de los Equipos
Industriales de Eje Rotatorio, Caso Grupo Vibrotek, C.A”.
1.2.- Objetivos Específicos de la Auditoría Informática.
Realizar un estudio inicial del entorno auditable. Determinación de los recursos necesarios para realizar la auditoría.
Realizar una revisión del sistema, específicamente los aspectos
relacionados con la seguridad lógica y física.
Evaluar el diseño de la interfaz del usuario.
Realizar las propuestas necesarias que permitan mejoras el sistema
actual, en el caso de que lo amerite.
1.3.- Alcances de la Auditor ía Informática
El presente trabajo de investigación está orientado a la Gestión de
Calidad y Auditoría Informática del “Sistema Informático para el Registro y
Seguimiento del Mantenimiento Mecánico de los Equipos Industriales de Eje
Rotatorio, Caso Grupo Vibrotek, C.A”.
La investigación actual se plantea considerando los objetivos antes
descritos al principio de este documento, entre los cuales se realizará una
revisión del sistema en los aspectos de seguridad física y lógica del software,
-
8/18/2019 Entregable Auditoría Informática
3/40
3
adicionalmente determinará y evaluará los procesos actuales del sistema
informático y su interfaz, haciendo un análisis de los antes mencionado, para
elaborar propuestas o consideraciones que determinen los riesgos del
sistema informático actual de la Empresa Grupo Vibrotek, C.A.
Fase 2. Estudio Inicial.
2.1.- Organigrama de la empresa.
Fig. N°1. Organigrama de la Empresa
Autor: los autores
-
8/18/2019 Entregable Auditoría Informática
4/40
4
2.2.- Departamentos.
El punto anterior se muestra el organigrama de la empresa, en este
punto describiremos las funciones de cada uno de los departamentos a
continuación:
Departamento de Finanzas, Administración y RRHH: Se
describe como los encargados de llevar toda la administración de la
empresa, además de realizar las búsquedas de los empleados.
Departamento de Sistemas: Se encarga de todas las áreas
específicas en cuanto a los sistemas de cómputos utilizados en la empresa,
así como su infraestructura actual en la misma.
Departamento de Servicios: Encargados de realizar los servicios
de vibración, análisis predictivo, preventivo y correctivo.
2.3.- Relaciones jerárquicas y funcionales entre órganos de laorganización.
Tal como se aprecia en el punto anterior los diferentes departamentos
y en el organigrama de la empresa, se puede apreciar que la estructura
jerárquica se cumple de acuerdo a los departamentos antes mencionados.
-
8/18/2019 Entregable Auditoría Informática
5/40
5
2.4.- Flujos de Información.
Los flujos de información se puede verificar que la información es
coherente y comunicacional entre los departamentos. Esta a su vez en el
departamento de servicios de la empresa se cumple de forma correcta.
2.5.- Número de Puestos de Trabajos.
La Empresa se encuentra constituida por un (1) gerencia general, un
(1) departamento de RRHH y Administración, un (1) departamento de
Sistemas, y un (1) departamento de servicio, contemplado de la siguiente
manera: un (1) jefe de departamento de servicios, dos (2) inspectores de
equipos rotativos I, dos (2) inspectores de equipos rotativos II, y un (1)
inspector de equipos rotativos III.
2.6.- Número de personas por puestos de trabajos.
Departamento N° de personas que
labora en el dpto .
Gerencia General. 1
Dpto. de RRHH y Administración 2
Dpto. de Sistemas 2
Dpto. de Servicios 6
Tabla N° 1: Números de personas por puestos de trabajos
Autor: Los Autores
-
8/18/2019 Entregable Auditoría Informática
6/40
6
Fase 3. Entorno Operacional.
3.1.- Situación Geográfica de los Sistemas
En la siguiente Figura N°1. Se muestra la interconexión de la red
actual del Grupo Vibrotek, C.A. el mismo se encuentra reflejado por
departamentos.
Fig. N° 2: Diseño de la red Actual Vibrotek, C.A.
Autor: Los Autores
-
8/18/2019 Entregable Auditoría Informática
7/40
7
3.2.- Arquitectura y configuración de Hardware y Software.
El sistema al cual se le está realizando la auditoría cuenta con lasiguiente configuración de:
En cuanto al hardware: se cuenta con PC tipo Desktop y Laptop, sus
características son las siguientes.
Laptop.
Procesador Core i5. 2.5Ghz.
Disco Duro de 500Gb.
4 gigas de Memoria Ram.
Desktop.
Procesador Core i7. 3.0 Ghz.
Disco Duro 1000Gb.
8 Gigas de Ram
Teclado y Mouse Microsoft.
Monitor HP de 24”.
Mini Ups.
En Cuanto al Software:
Sistema Operativo Windows 7 Profesional
Paquete de Office 2013.
Paquete de Antivirus Avast.
-
8/18/2019 Entregable Auditoría Informática
8/40
8
Paquete de Sistema de Mantenimiento de Vibrotek.
3.3.- Inventario de hardware y software
En el siguiente tabla N° 2. Se muestra a continuación en el inventario
del hardware y software del grupo Vibrotek, C.A.
Cantidad Descripción Tipo
2 Laptop. Hardware.
9 Desktop. Hardware.
9 Monitor HP de 24”. Hardware.
9 Teclados y Mouse Microsoft. Hardware.
6 Mini Ups. Hardware.
11 Licencias del Sistema Operativo Windows 7 Profesional. Software.
11 Licencias Paquete de Office 2013. Software
11 Licencias Antivirus Avast Software
11 Sistema de Mantenimiento Software
Tabla N° 2: Inventario de Hardware y Software.
Autor: Los Autores.
-
8/18/2019 Entregable Auditoría Informática
9/40
9
3.4.- Comunicación y redes de comunicación.
3.4.1.- Funcionamiento
Una vez finalizada la inspección de la red del Sistema Informático para
el Registro y Seguimiento del Mantenimiento Mecánico de los Equipos
Industriales de Eje Rotatorio, Caso Grupo Vibrotek, C.A, se determinó que la
red de la empresa Grupo Vibrotek, C.A. se encuentran en el Piso N° 8,
Edificio Torre Valencia de la Avenida Bolívar, la misma es una red local LAN,
cliente-servidor, cuenta con un switch principal de 24 puertos, que distribuye
la conexión a once (11) computadores que se encuentran en eldepartamento. Adicionalmente está conectado un router estándar y un
modem.
3.4.2.- Conectividad
El personal de la empresa Grupo Vibrotek, C.A cuenta con tabletas
para realizar la inspección de los equipos industriales, lo que permite cargar
los datos de las mediciones en tiempo real, evitando el uso directo del
computador.
3.4.3.- Indicador de Disponibil idad
Grupo Vibrotek, C.A. cuenta con una conexión empresarial de 4
megas de ABA de CANTV (no dedicada), por lo que está sujeta a fallas de
conectividad de acuerdo al proveedor de servicios.
-
8/18/2019 Entregable Auditoría Informática
10/40
10
3.4.4.- MDF (Cuarto de Dispositivos Centrales de Comunicación)
Actualmente la empresa Grupo Vibrotek C.A, no cuenta con un cuarto
de dispositivos propiamente dicho, sin embargo disponen de un gabinete
ubicado en el Departamento de Sistema donde se encuentran ubicados los
dispositivos de la red.
El gabinete metálico tipo rack de aproximadamente 2,20 m de altura,
con puertas metálicas frontales y traseras aseguradas, conteniendo en su
interior cuatro perfiles metálicos verticales con perforaciones para el montaje
de bandejas fijas, además, se encuentran los reguladores de corriente queprotege al servidores de bajones de eléctricos. Se utiliza cableado UTP
categoría 5e para comunicar cada estación de trabajo.
3.4.5.- Proveedores de servic io
El proveedor de servicios de internet de la empresa Grupo Vibrotek,
C.A es CANTV. El servicio de interconexión de la empresa es de 4 Mbps.
3.5.- Volumen, antigüedad y complejidad de las aplicaciones.
3.5.1.- Volumen.
El volumen encontrado en la base de datos de la aplicación del
sistema, es aproximadamente de unos 4000 registros.
-
8/18/2019 Entregable Auditoría Informática
11/40
11
3.5.2.- Antigüedad.
La base de datos evaluada tiene un tiempo de vida de 3 años de
antigüedad, desde que fue implantado el sistema.
3.5.3.- Complejidad.
La aplicación está desarrollada en el sistema de PHP, interactuando
con el usuario a través de una plataforma web (Firefox, Chrome, Internet
Explorer), el sistema genera informes en el formato PDF.
3.6.- Metodología del diseño.
La aplicación evaluada se encuentra desarrollado en el lenguaje de
programación de PHP, con una base de datos desarrollada en MySQL, el
mismo se encuentra alojado en un servidor local de la empresa.
Para el desarrollo de esta aplicación fue utilizada la metodología XP,las cuales se orientan en cuatro fases de desarrollo para el software, que se
indican a continuación:
Planificación.
Diseño.
Desarrollo.
Pruebas.
-
8/18/2019 Entregable Auditoría Informática
12/40
12
3.7.- Documentación.
En la verificación de la aplicación se encontró muy poco material de
apoyo en cuanto al contenido de la aplicación, es decir, el manual de usuario
desarrollado para esta aplicación es muy deficiente, ya que no es explícito de
todos los procesados utilizados en el sistema informático.
3.8.- Cantidad y complejidad de base de datos y ficheros.
Propósito de la Base de Datos Almacenar información referente al control y
seguimiento de los informes técnicos y de las
órdenes de trabajo.
Gestor de la Base de Datos MySQL
Versión del Gestor 5.0
Nombre del Esquema Vibrotek
Fecha 06 de Julio de 2014
Usuario Administrador
Tabla N° 3: Documento Referencial de Base de Datos
Autor: Los Autores
-
8/18/2019 Entregable Auditoría Informática
13/40
13
Fig. N° 3: Modelo Entidad/Relación Base de Datos Vibrotek
Autor: Los Autores
3.8.1.- Descr ipción de las tablas
AREA : Tabla para registrar el área de la planta donde se encuentran
las máquinas.
AUDITORIA : Tabla para registrar las operaciones realizadas en el
sistema.
-
8/18/2019 Entregable Auditoría Informática
14/40
14
AUXILIAR: Tabla para registrar las máquinas que sirven de respaldo,
en el caso de que las máquinas de planta presenten fallas.
CAMBIO: Tabla para almacenar los cambios de componentes que se
le realizan a una máquina luego de haber realizado una orden de trabajo.
COMPONENTE: Tabla para registrar repuestos y consumibles que
usa las máquinas
INSPECCION: Tabla para almacenar los datos que el inspector
genera a medida que le realiza los exámenes necesarios a cada máquina, la
misma se genera cuando en una solicitud de mantenimiento se especifica es
predictivo.
MAQUINA: Tabla para registrar la información sobre las máquinas.
OBRERO: Tabla para registrar los obreros.
ORDEN_TRABAJO: Tabla para almacenar las ordenes de trabajo.
PROVEEDOR_SERVICIO: Tabla para registrar los proveedores de
servicio.
SISTEMA: Tabla para registrar sistema.
SOLICITUD_MANTENIMIENTO: Tabla para registrar las solicitudes
de mantenimiento.
TAREA: Tabla para registrar el detalle de las solicitudes de
mantenimiento.
TAREA_OBRERO: Tabla para registrar las tareas que realizará un
obrero por cada tarea generada de una solicitud de mantenimiento a realizar.
-
8/18/2019 Entregable Auditoría Informática
15/40
15
TIPO_MANTENIMIENTO: Tabla para registrar los tipos de
mantenimientos.
TIPO_MAQUINA : Tabla para almacenar los diversos tipos de
máquinas que pueden existir en la empresa.
USUARIO: Tabla para registrar los usuarios que manipulan el sistema.
Fase 4. Determinación de Recursos de auditoría informática.
4.1.- Recursos materiales de software.
Para el desarrollo de esta auditoría se requiere de los siguientes
materiales de software. Ver Tabla N° 4.
Aplicat ivo de Software Tiempo
Windows 7 Profesional Todos los días
Paquete de Office 2013. Todos los días
Navegador Firefox Todos los días
Acrobar Reader Todos los días
MySql Todos los días
Tabla N° 4. Recursos Materiales de Software.
Autor: Los Autores.
-
8/18/2019 Entregable Auditoría Informática
16/40
16
4.2.- Recursos materiales de hardware.
Para el desarrollo de esta auditoría se requiere de los siguientesmateriales de software. Ver Tabla N° 5.
Cantidad Descripción de Hardware Tiempo
3 PC Laptop Todos los días
1 Impresora Todos los días
Tabla N° 5. Recursos Materiales de Hardware.
Autor: Los Autores.
4.3.- Recursos humanos.
A continuación se muestra la siguiente Tabla N° 6, matriz de
responsabilidades del proyecto de auditoría informática.
-
8/18/2019 Entregable Auditoría Informática
17/40
-
8/18/2019 Entregable Auditoría Informática
18/40
Tabla N° 6. Matriz de Responsabil idades del Proyecto.
Autor: Los Autores.
-
8/18/2019 Entregable Auditoría Informática
19/40
19
4.4.- Elaboración del plan de trabajo.
Fig. N° 4: Diagrama de Gantt del Proyecto. Parte 1
Autor: Los Autores
-
8/18/2019 Entregable Auditoría Informática
20/40
20
Fig. N° 5: Diagrama de Gantt del Proyecto. Parte 2
Autor: Los Autores
Fase 5. Actividades de la audi toría informática.
Para la realización de la auditoría informática, que permita la correcta
evaluación de los aspectos relacionados con el sistema en cuestión,
seguidamente se detallan las actividades a realizarse, clasificadas de acuerdo alos diferentes aspectos a evaluar:
-
8/18/2019 Entregable Auditoría Informática
21/40
-
8/18/2019 Entregable Auditoría Informática
22/40
Audi toria: Realizado por:
Sistema Informático para el Registro y Seguimiento del Mantenimiento Mecánico de
los Equipos Industriales de Eje Rotatorio, Caso Grupo Vibrotek, C.AFecha de Revisión:
PROCEDIMIENTO OBSERVACIÓN
1 Evaluación de Calidad
Calidad Interna y Externa
1.1 Funcionabilidad
1.1.1¿Las funciones que ofrece el sistema son adecuadas para la realización de
las tareas y objetivos especificada por los usuarios?Ver Gestión de Calida
los resultados de la ca
calidad de
“Funcionabilidad”.
1.1.2 ¿El sistema provee resultados acordes?
1.1.3 ¿El sistema interactúa con otras aplicaciones?
1.1.4 ¿Existe módulo de seguridad, autenticación y permisología para los usuarios?
1.1.5 ¿Funciona el sistema según lo esperado por los usuarios?
1.2 Confiabilidad
1.2.1 ¿El Sistema en algún momento se detuvo inesperadamente? Ver Gestión de Calida
los resultados de la ca
1.2.2 ¿Si el Sistema llegase a detenerse por alguna falla inesperada es fácil
-
8/18/2019 Entregable Auditoría Informática
23/40
reiniciarlo? calidad de uso, caracter
1.2.3
¿Los datos pueden ser recuperados luego de un evento o situación
inesperada?
1.2.4
¿Usted considera que las tareas en el proceso de otorgación de citas
médicas pueden ser realizadas de una manera sencilla utilizando este
sistema?
1.3 Usabilidad
1.3.1 ¿Las instrucciones e indicaciones en pantalla son útiles? Ver Gestión de Calidad
los resultados de la calid
calidad de uso, caracter1.3.2 ¿Cree usted que el sistema es coherente, adaptado a los requerimientos?
1.3.3 ¿El sistema tiene una presentación atractiva?
1.3.4 ¿Usted podrá aprender fácilmente todas las funcionalidades del sistema?
1.3.5 ¿Le parece que las necesidades del usuario han sido tomadas en cuenta?
1.4 Eficiencia
1.4.1¿El programa responde rápidamente a la entrada de los datos, consultas y
reportes?
Ver Gestión de Calidad
los resultados de la calid
-
8/18/2019 Entregable Auditoría Informática
24/40
1.4.2
¿El tiempo de impresión de los distintos reportes que genera el sistema, es el
rápido?
calidad de uso, caracter
1.4.3
¿Considera usted que los procesos ofrecidos por el sistema, se realizan con
pocos pasos?
1.5 Capacidad de Mantenimiento
1.5.1
¿El área o departamento de informática, posee el programa fuente del
sistema?
Ver Gestión de Calidad
los resultados de la calid
calidad de uso, caracter
Mantenimiento”1.5.2 ¿Se almacenan las versiones o mejoras del sistema?
1.5.3¿El sistema, muestra estabilidad después de ser implementado una nueva
versión?
1.5.4 ¿Se cuenta con un ambiente adecuado de pruebas?
1.5.5
¿Permite establecer programación de servicio de mantenimiento, en un
tiempo establecido?
1.6 Portabilidad
1.6.1 ¿El sistema es fácilmente adaptable a cualquier organización o ente? Ver Gestión de Calidad
-
8/18/2019 Entregable Auditoría Informática
25/40
1.6.2 ¿La aplicación se instala fácilmente? los resultados de la calid
calidad de uso, caracter
1.6.3
¿El sistema puede coexistir con otros dentro del mismo entorno y compartir
recursos?
1.6.4 ¿El sistema podría ser reemplazado por otro?
1.6.5 ¿El sistema está adaptado a estándares de desarrollo y calidad de software?
1.7 Calidad de Uso
1.7.1
¿Todas las tareas con respecto a las funciones que ofrece el sistema pueden
ser realizadas de una manera sencilla y fácil?
Ver Gestión de Calidad
los resultados de la calid
calidad de uso, caracter
1.7.2
Según el aspecto de tiempo para completar los procesos y esfuerzo
empleado para lograr dicha actividad. Indique en la siguiente escala Alto,
Medio, Bajo, siendo Alto mucho tiempo y esfuerzo y Bajo Poco esfuerzo y
tiempo.
1.7.3
¿Según los aspectos como Funcionalidad (Capacidad de funcionamiento),
Fiabilidad (realizar una función requerida), Usabilidad (Capacidad de ser
entendido) y Facilidad de Mantenimiento (Capacidad de ser modificado) usted
considera que existen deficiencias en estas características?
-
8/18/2019 Entregable Auditoría Informática
26/40
1.7.4 ¿Las necesidades de los usuarios fueron tomadas en cuenta?
2 Evaluación de Base de Datos
2.1 Admin istración de la Base de Datos
2.1.1
¿En la administración de la base de datos existen roles definidos de acuerdo
con las necesidades?En la evaluación se p
existen roles establec
distintas actividades
administración de la ba
2.1.2
¿Existe al menos una persona responsable encargada de la administración
de la base de datos?
No existe un perso
administración de la b
empleados del Dpto. de
base de datos
2.1.3
¿Existe algún mecanismo implementado por medio del cual se pueda
monitorear el rendimiento de la base de datos?
Actualmente no se
mecanismo de monitore
puedan indicar algún f
desempeño de la base d
2.1.4
¿Se cuenta con un plan de actualización o implementación de mejoras para
el sistema gestor de base de datos del sistema?
No existen planes para r
la versión de la base de
2.1.5 ¿La base de datos posee documentación acerca del modelo? El departamento de info
-
8/18/2019 Entregable Auditoría Informática
27/40
E/R de la base de datos
2.2 Revisión de los objetos de la Base de Datos
2.2.1
¿Se cuenta con algún documento que especifique el estándar a seguir para la
creación de nuevos objetos en la base de datos?
No se cuenta con ningún
creación de objetos en la
2.2.2
¿Existen procedimientos almacenados en la base de datos, son utilizados
correctamente?
Se observó que no se em
almacenados
2.2.3
¿Las tablas están diseñadas correctamente, de acuerdo al estándar de bases
de datos relacionales?
Todas las tablas posee
Están normalizadas y es
2.3 Revisión del Plan de Mantenimiento, Respaldo y Recuperación
2.3.1
¿Se cuenta con un correcto mecanismo de respaldo que garantice la
disponibilidad de la información en caso de una pérdida de datos?
Si, se cuenta con un pro
realizar respaldos de la
2.3.2
¿Los respaldos se realizan en una localización distinta a la de los servidores
de en producción?
No se realizan respaldos
servidores
2.3.3
¿Existe algún mecanismo que permita conocer los resultados de los
respaldos automáticos, en caso de que exista alguna falla al momento en que
se realizan?
No existe implementad
permita corroborar si
correctamente
-
8/18/2019 Entregable Auditoría Informática
28/40
2.3.4
¿Existe un plan de recuperación, el cual sirva como guía a seguir en el caso
de una pérdida de datos?
El proceso es realizado
sistemas de la empresa
de recuperación real.
3 Evaluación de la Seguridad del Sistema
3.1 Seguridad Física
3.1.1
¿El área de servidores cuenta con adecuadas barreras físicas y
procedimientos de control?
Ver Gestión de Segurida
Red. Definir patrones de
3.1.2
¿Se cuenta con adecuadas medidas de seguridad física específicas para el
sistema de gestión?
Ver Gestión de Segurida
Red. Definir patrones de
3.1.3¿Existen medidas de seguridad física en caso de desastres? Ver Gestión de Segurida
Red. Definir patrones de
3.1.4
¿El cuarto de datos cuenta con un sistema contra incendio adecuado para
instalaciones eléctricas?
Ver Gestión de Segurida
Red. Definir patrones de
3.2 Seguridad Lógica
3.2.1
¿Se encuentra implementada al menos una herramienta de detección de
intrusos y ataques informáticos
Ver Gestión de Segurida
Identificación de las ame
3.2.2 ¿Los computadores cuentan con software antivirus? Ver Gestión de Segurida
-
8/18/2019 Entregable Auditoría Informática
29/40
Identificación de las ame
3.2.3¿El sistema cuenta con una autenticación de usuarios para su utilización? El Sistema cuenta con la
usuario y contraseña de
4 Evaluación de Riesgos
4.1¿El cableado eléctrico se encuentra en buen estado? Se observó que la estruc
encuentra deficiente
4.2
¿Existen altos riesgos de pérdidas de datos por virus informáticos? Los PC cuentas con soft
observa que poseen acc
facilita que un pc pueda
4.3
¿El cableado de red se encuentra normalizado y correctamente documentado
que ayude a solventar una falla rápidamente?
El cableado de red no es
existe documentación al
4.4
¿Existe un alto riesgo de pérdida de datos por falla en los respaldos? Se evidencia un alto ries
pérdida de datos debido
respaldo correctas
4.5
¿En caso de una falla eléctrica, los equipos se mantienen en funcionamiento? Los servidores pueden m
corta, ya que poseen un
poder (UPS) pero no cue
eléctrica que garantice e
mayor tiempo.
-
8/18/2019 Entregable Auditoría Informática
30/40
4.6
¿En caso de incendios, la sala de servidores cuenta con un mecanismo de
control de incendios adecuado?
Ver Gestión de Segurida
Red. Definir patrones de
4.7
¿Se efectúa un mantenimiento o inspección preventiva a los servidores del
sistema?
No se realiza ningún ma
ninguno de los servidore
4.8
¿En el caso de fallas de hardware en alguno de los servidores del sistema, se
puede realizar un cambio por otro de backup?
No se cuenta con ningun
un cambio de servidor b
funcionamiento los servi
5 Evaluación de la Infraestructura de la Red
5.1 ¿Se cuenta con la documentación de la red? No se cuenta con docum
5.2¿El cableado está normado de acuerdo a los estándares de calidad? No se encuentra normad
estándares de calidad.
5.3¿Se lleva algún inventario de los equipos que conforman la red? Ver Gestión de Segurida
Identificación de Activos
5.4
¿Se lleva algún registro de las modificaciones o cambios en la arquitectura de
la red?
Se pudo apreciar que el
informática de la instituc
alguno de las modificaci
red.
5.5 ¿Se lleva a cabo un monitoreo del desempeño de la red? Ver Gestión de Segurida
-
8/18/2019 Entregable Auditoría Informática
31/40
Tabla N° 7. Desarrollo de la Auditoría.
Autor: Los Autores.
Red. Esquema de tráfico
5.6
¿La capacidad de transmisión de datos del cableado de red, se encuentra
adecuado para soportar las actuales tecnologías de transmisión de datos?
Se evidenció que el cab
soportaría transmisiones
Solo soporta transmisión
Gbps
-
8/18/2019 Entregable Auditoría Informática
32/40
32
5.2.- Resultados
A continuación se plantean los resultados obtenidos a partir de la
evaluación realizada
5.2.1.- Revisión de los Aspectos Relacionados con la Base de Datos del
Sistema.
Definición de roles para la administración de la base de datos 2.1.1
Se determinó que no existen roles establecidos para realizar las
distintas actividades que implica la administración de la base de datos, lo
cual puede traer como consecuencia, una manipulación indebida de los
datos confidenciales que utiliza el sistema estudiado.
Se recomienda definir una persona o grupo de personas responsables
de administrar la base de datos, así como asignar funciones o permisologías
claras en la misma para cada una.
Existencia de una persona responsable de la administ ración de la base de
datos
2.1.2
Se observó que no existe una persona encargada de la administración
de la base de datos, por lo que aumenta las posibilidades de no detectar a
-
8/18/2019 Entregable Auditoría Informática
33/40
33
tiempo un mal funcionamiento de la base de datos, un acceso no autorizado
y una posible pérdida de información.
Se sugiere establecer claramente y definir la permisología del usuario
que actuará como Administrador de la Base de Datos que posee toda la
permisología para desempeñar todo tipo de acciones sobre la base de datos,
esta persona debe dedicarse a esta actividad por lo cual debe estudiarse con
detenimiento al asignar tal responsabilidad.
Se observó que actualmente no se cuenta con ningún mecanismo de
monitoreo de transacciones que puedan indicar algún fallo o desmejora en el
desempeño de la base de datos del sistema. Es importante mantener un
control estadístico de transacciones para verificar el rendimiento, el uso y lacantidad de usuarios que acceden al sistema.
Se recomienda configurar y activar el log de transacciones del cual
dispone MySQL, para monitorear el rendimiento de la base de datos, y
prever desmejoras en el acceso a las bases de datos.
Contar con un plan de actualización o implementación de mejoras para elsistema gestor de base de datos del sistema.
2.1.4
Se evidenció que no existen planes para realizar actualizaciones a la
versión de la base de datos. Esto puede traer como consecuencia la
Implementación de mecanismos para el monitoreo del rendimiento de la
base de datos.
2.1.3
-
8/18/2019 Entregable Auditoría Informática
34/40
34
reducción de la escalabilidad del SGBD y entraría en obsolescencia al no
adaptarse a las nuevas tecnologías.
Se sugiere establecer un plan de actualización de versión para el
SGBD, en este caso de MySQL. La versión instalada actualmente es la 8.3 y
la última versión del mismo, es la 5.0. Si se cuenta con las últimas versiones,
se obtiene mayor fiabilidad y robustez, ya que se corrigen fallas y brechas de
seguridad, y se mejora el rendimiento con respeto a las versiones anteriores.
Contar con un documento que especifique el estándar a seguir para la
creación de nuevos objetos en la base de datos
2.2.1
Se observó que no se cuenta con ningún estándar para la creación de
objetos en la base de datos. Sin la existencia de un documento como éste,
existe el riesgo de que se creen funciones o procedimientos almacenados
que ya existen, lo que confunde y muchas veces retrasa el mantenimiento.
Se sugiere elaborar un documento que reúna y detalle, los pasos a
seguir para todos los procedimientos que suelen ser realizados en la base de
datos.
Se verificó que actualmente no se realizan respaldos fuera del área de
los servidores, lo que significa un fuerte riesgo en caso de que ocurra alguna
Localizar respaldos de los datos, en una localización distinta a la de los
servidores en producción
2.3.2
-
8/18/2019 Entregable Auditoría Informática
35/40
35
eventualidad que comprometa el área de los servidores, lo que significaría
una gran pérdida de información.
Se recomienda la utilización de respaldos remotos, de modo que se
garantice la disponibilidad de los datos del sistema, aun cuando se vea
comprometida la integridad del área donde se encuentran los servidores de
la institución.
Visualización o monitoreo de la efectividad en la realización de los
respaldos de datos.
2.3.3
Se evidenció que al realizarse los respaldos, no está implementado
algún mecanismo que permita corroborar si el respaldo se realizó
correctamente. Esto pudiese traer como consecuencia la imposibilidad de
contar con un respaldo coherente a la hora de requerir la recuperación de
datos importantes.
Se sugiera la creación de un mecanismo que permita reportar el
resultado del respaldo automático al administrador de la base de datos, más
aún en caso de que ocurra algún fallo en el mismo. De esta manera el
administrador contará con una herramienta más que le ayudará a saber si ha
ocurrido una falla y poder aplicar las correcciones necesarias lo más pronto
posible.
Existencia de un plan de recuperación, en caso de pérdida de datos 2.3.4
-
8/18/2019 Entregable Auditoría Informática
36/40
36
Se verificó que no existe un plan de recuperación en caso de pérdida
de datos, lo que puede ocasionar demora en el restablecimiento de la
disponibilidad de los datos de los respaldos.
Se deben tener bien claro los pasos a seguir en caso de que ocurra
cualquier eventualidad que dañe total o parcialmente la base de datos; por lo
tanto se recomienda la elaboración de un plan de recuperación de datos que
especifique de manera detallada cuáles serían los pasos a seguir en el
supuesto caso de que ocurriese una caída del sistema por estos motivos. Así
mismo se deberán realizar pruebas periódicas de recuperación de los datos
respaldados en un ambiente o servidor de pruebas.
5.2.2.- Revisión de los Aspectos Relacionados con la Evaluación de
Riesgos del Sistema.
Estado del Cableado Eléctrico 4.1
Se observó que la estructura del cableado eléctrico se encuentra
deficiente. Al encontrarse el cableado en malas condiciones aumentan las
probabilidades de que ocurra un incendio que pudiera afectar a los
servidores y por ende, a los sistemas de la institución.
Se recomienda reestructurar y modernizar el cableado eléctrico de la
institución, mediante la aplicación de las normas de seguridad en cuanto a
circuitos eléctricos, con la finalidad de evitar un incendio debido al estado
actual de los mismos.
-
8/18/2019 Entregable Auditoría Informática
37/40
37
Perdidas de datos a causa de virus informático 4.2
Se constató que los equipos tienen instalados software antivirus que
puede mitigar el contagio virus informáticos que puede causar la pérdida de
información, sin embargo los usuarios tienen acceso ilimitado a páginas web
engañosas que pudieran dar autorización a la ejecución de virus sin su
conocimiento.
Se recomiendo la utilización de programas que bloqueen paginas
comerciales, dando solo acceso a páginas seguras.
Normalización y documentación del cableado de red. 4.3
Se observó que el cableado de red no está implementada bajo
estándares y no existe documentación al respecto. Esta situación dificulta la
solución de problemas en la red.
Se sugiere la estandarización del cableado de red, siguiendo para ello
las normas de cableado estructurado, con la finalidad de mitigar los riesgos
inherentes a la falta de estándares que signifiquen un aspecto que dificulte la
solución de algún problema relacionado con el mismo.
Pérdidas de datos por falla de respaldos. 4.4
Se evidenció un alto riesgo de que ocurra una pérdida de datos debido
a la falta de políticas de respaldo correctas. Lo cual puede significar que
todos los datos almacenados que utilicen los sistemas se pierdan, dejando
inoperativo completamente a los sistemas, pudiendo manifestarse en
-
8/18/2019 Entregable Auditoría Informática
38/40
38
retrasos graves en los procesos de la institución e inclusive pérdidas
importantes a nivel económico.
Se sugiere realizar el respaldo del sistema en otra estructura física; de
manera que si la estructura en donde se alojan los servidores es afectada, la
data del sistema tenga un respaldo en una edificación segura.
Operatividad de los servidores en caso de fallas en el suministro eléctrico 4.5
Se identificó que los servidores sólo pueden mantener una autonomía
corta, ya que poseen unidades de respaldo de poder (UPS) pero no cuentan
con una planta eléctrica que garantice el funcionamiento por mayor tiempo.
Se recomienda realizar la adquisición e instalación de una planta
eléctrica que permita el funcionamiento continuo de la sala de servidores,
pese a la caída del suministro eléctrico, haciendo posible la interconexión de
las sedes del ministerio con la sede principal.
Realización de inspección o mantenimiento preventivo a los servidores. 4.7
Se verificó que no se realiza ningún mantenimiento preventivo a
ninguno de los servidores. Sin la realización de este tipo de mantenimiento
no existe manera de prevenir daños por un mal funcionamiento del hardware
o software.
Es recomendable diseñar un plan para realizar manteamiento
preventivo a los servidores de manera periódica, que permita resguardar y
-
8/18/2019 Entregable Auditoría Informática
39/40
39
prevenir fallas en los equipos antes de que se produzca y evitar
contratiempos y caídas del sistema.
Cambios en caliente en caso de fallas en los discos duros de los
servidores.
4.8
Se observó que no se cuenta con ninguna medida que posibilite un
cambio en caliente para poner en funcionamiento el servidor en corto tiempo.
Si ocurriese un daño en el disco duro, se perderá tiempo valioso en la
instalación del nuevo disco.
Se sugiere la modernización del hardware de los servidores, para
contemplar la posibilidad de realizar cambios en caliente de los discos duros
en caso de ser necesario.
5.2.3.- Revisión de los Aspectos Relacionados con la Evaluación de
Infraestructura de la Red del Sistema.
Documentación adecuada de la infraestructura de red 5.1
Se verificó que no se cuenta con una documentación de la red, lo cual
trae como consecuencia un retraso en la solución de inconvenientes de la
misma.
Se recomienda conformar la documentación de la red, tomando en
cuenta la topología, la distancia entre nodos y computadores, etc. Teniendo a
la mano una documentación adecuada de la red, es posible localizar con
facilidad alguna falla en la misma, así mismo es posible planificar sin
mayores inconvenientes algún cambio en la estructura de la red.
-
8/18/2019 Entregable Auditoría Informática
40/40
Estandarización del cableado de red de acuerdo a los estándares 5.2
Se constató que el sistema de cableado de la institución no cumple
completamente con el estándar. Esta situación también dificulta el
mantenimiento a la red.
Se recomienda estandarizar y documentar el cableado de la red de la
institución de acuerdo a lo establecido en los estándares, el cual establece
una serie de prácticas recomendadas para el diseño e instalación de
sistemas de cableado que soporten una amplia variedad de los servicios
existentes, y la posibilidad de soportar servicios futuros que sean diseñados
considerando los estándares de cableado.
Registro de modificaciones o cambios en la estructura de la red. 5.4
Se pudo apreciar que el departamento de informática de la institución,no lleva registro alguno de las modificaciones o cambios en la red. Lo cual
significa que no será posible obtener información acerca de las fallas más
recurrentes, para poder realizar las modificaciones necesarias para evitarlas
o para disminuir su ocurrencia.
Se sugiere implementar una bitácora donde se registren los cambios o
modificaciones en la red, con la finalidad de poder rastrear implicaciones o
fallas derivadas de éstas que pueden comprometer el funcionamiento de la
misma.