Informe Final - Equipo 9B

INSTITUTO TECNOLÓGICO

DE CHETUMAL

“Licenciatura en

Informática”

Materia:

Auditoria Informática

Tarea:

Informe Final

Alumnos:

Álvaro Adrian Zapata CárdenasRaúl Joe Correa Briceño

Ricardo Javier Canto Serrano

Nombre de la Profesor:

Lic. Benjamín Vargas Ku

Grupo: 9FB

Auditoria a “Soluciones al Campo SCP”

Chetumal, Q. Roo a 3 de Diciembre del 2010

Lic. en Informática 9B – Auditoría en Informática


Asunto: Informe FinalChetumal Quintana Roo

2/Diciembre/2010

ING. GERARDO VILLEGAS PALMERDIRECTOR GENERAL S.C.P.PRESENTE:

Por medio de la presente emitimos el informe de resultados de la auditoría

realizada desde el 22 de Octubre al 2 de Diciembre del 2010, en las

instalaciones de la empresa Soluciones al Campo S.C.P.

Las actividades realizadas comprenden la evaluación de la estructura

organizacional, aspectos de seguridad física y lógica, infraestructura y revisión

de controles de la empresa. Procurando cuidar la integridad de la misma y de

no interrumpir las actividades de los empleados.

En el informe se incluye el dictamen final de la auditoría así como las

observaciones y conclusiones de la misma, las cuales se obtuvieron luego de la

identificación y análisis de los aspectos vulnerables de la empresa, reflejando

una disminución de riesgo de hasta un 75% aplicando los controles sugeridos.

Esperamos que los resultados y comentarios obtenidos le sean de utilidad.

Quedando a su disposición para cualquier duda y/o aclaración.

Agradecemos la colaboración prestada durante nuestra visita por todo el

personal de la Cooperativa y quedamos a vuestra disposición para cualquier

aclaración y/o ampliación de la presente que estime necesaria.

Saludos Cordiales

Atentamente

Auditores

Ricardo Javier Canto SerranoRaúl Joe Correa Briceño

Álvaro Adrian Zapata Cárdenas



CONTENIDO1

ASUNTO: INFORME FINAL................................................................................................................................... 2

AUDITORIA INFORMÁTICA.................................................................................................................................. 6

OBJETIVO............................................................................................................................................................ 6

OBJETIVO GENERAL.................................................................................................................................................6OBJETIVOS ESPECÍFICOS..........................................................................................................................................6 INSPECCIONAR QUE EL PERSONAL CUMPLA CON SUS LABORES ASIGNADAS................................................6 IDENTIFICAR Y EVALUAR LOS EQUIPOS CON LOS QUE CUENTA LA ORGANIZACIÓN.......................................6 VERIFICAR LA EXISTENCIA DE SEÑALES DE SEGURIDAD EN LA EMPRESA.....................................................6 COMPROBAR QUE LOS DATOS SE ENCUENTREN CORRECTAMENTE ALMACENADOS.....................................6 EVALUACIÓN DEL SOFTWARE EXISTENTE DENTRO DE LA ORGANIZACIÓN....................................................6

ALCANCES Y LIMITACIONES DEL TRABAJO........................................................................................................... 7

ALCANCES................................................................................................................................................................7LIMITACIONES.........................................................................................................................................................7 EL TIEMPO QUE TENEMOS PARA EFECTUAR LA AUDITORIA EN LA EMPRESA ES LIMITADO...........................7 ESCASA DOCUMENTACIÓN POR PARTE DE LA EMPRESA...............................................................................7 ES LA PRIMERA AUDITORÍA QUE SE LLEVA A CABO EN LA EMPRESA.............................................................7

1. IMAGEN DE LA EMPRESA................................................................................................................................. 8

MALA IMAGEN DE LA EMPRESA.......................................................................................................................................8

2. COORDINACIÓN DEL PERSONAL...................................................................................................................... 8

DESCOORDINACIÓN DEL PERSONAL..................................................................................................................................8

3. SATISFACCIÓN DEL USUARIO........................................................................................................................... 8

INSATISFACCIÓN DEL USUARIO.........................................................................................................................................8

4. SEGURIDAD..................................................................................................................................................... 8

INSEGURIDAD LÓGICA....................................................................................................................................................8INSEGURIDAD FÍSICA.....................................................................................................................................................8

INFRAESTRUCTURA............................................................................................................................................. 9

OPERACIONES DE RESPALDO............................................................................................................................. 12

EFECTOS PROBABLES...................................................................................................................................................12SUGERENCIAS PARA LAS OPERACIONES DE RESPALDO.........................................................................................................12

ACCESO A USUARIOS......................................................................................................................................... 13

EFECTOS PROBABLES...................................................................................................................................................13SUGERENCIAS............................................................................................................................................................13

PLAN DE CONTINGENCIAS................................................................................................................................. 14



IMPLICANCIA PROBABLE...............................................................................................................................................14SUGERENCIA..............................................................................................................................................................14

DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE APLICACIONES.............................................................17

SITUACIÓN................................................................................................................................................................17EFECTOS PROBABLES...................................................................................................................................................18SUGERENCIAS............................................................................................................................................................18

EQUIPAMIENTO................................................................................................................................................ 19

EQUIPOS DE SEGURIDAD.......................................................................................................................................19

HARDWARE...................................................................................................................................................... 19

COMUNICACIONES............................................................................................................................................ 26

SOFTWARE........................................................................................................................................................ 27

OBJETIVOS.............................................................................................................................................................27

RESEÑA............................................................................................................................................................. 27

RIESGOS............................................................................................................................................................ 28

CONTROLES PROPUESTOS................................................................................................................................. 28

EQUIPO DE TRABAJO...................................................................................................................................................29INFORMES.................................................................................................................................................................30

PRESUPUESTO................................................................................................................................................... 30

ANEXOS............................................................................................................................................................ 31

CUESTIONARIOS................................................................................................................................................ 32

CHECKLIST......................................................................................................................................................... 35

PLAN DE AUDITORIA......................................................................................................................................... 36

RECOPILACION DE LA INFORMACION................................................................................................................ 36

PERSONAL PARTICIPANTE................................................................................................................................. 38

EVALUACION DE LA INFORMACION................................................................................................................... 39

RECURSOS MATERIALES Y FINANCIEROS............................................................................................................ 40

EVALUACION DE LA INFORMACION DE ACUERDO AL RIESGO.............................................................................40

PLAN DE CONTINGENCIA DE INFORMÁTICA.......................................................................................................42

INTRODUCCIÓN................................................................................................................................................ 42

OBJETIVOS........................................................................................................................................................ 43

OBJETIVO GENERAL....................................................................................................................................................43OBJETIVOS ESPECÍFICOS...............................................................................................................................................43

1. PLANIFICACIÓN DE CONTINGENCIA............................................................................................................... 44

1.1 ACTIVIDADES ASOCIADAS.......................................................................................................................................44



2. ANÁLISIS DE RIESGOS.................................................................................................................................... 45

2.1 BIENES SUSCEPTIBLES DE UN DAÑO..........................................................................................................................452.2 DAÑOS...............................................................................................................................................................462.4.- FUENTES POSIBLES DE DAÑOS...............................................................................................................................472.5 EXPECTATIVAS ANUALES DE DAÑOS..........................................................................................................................50

3. MEDIDAS PREVENTIVAS................................................................................................................................ 51

3.1.- CONTROL DE ACCESO..........................................................................................................................................51

4.- PREVENCIÓN DE DESASTRES NATURALES.....................................................................................................53

¿QUÉ HACER EN CASO DE UN FENÓMENO HIDROMETEOROLÓGICO?....................................................................................53¿QUÉ HACER EN CASO DE UNA INUNDACIÓN?..................................................................................................................54¿QUÉ HACER EN CASO DE UN INCENDIO?........................................................................................................................55

5. PLAN DE RESPALDO....................................................................................................................................... 56

6. PLAN DE RECUPERACIÓN:.............................................................................................................................. 58

ETAPAS....................................................................................................................................................................59



Auditoria Informática

Esta auditoría se efectuó en una empresa particular, denominada “Soluciones al

Campo SCP”, la cual fue autorizada por el representante general de dicha empresa.

A continuación definiremos todos los puntos que se validaron:

OBJETIVO

OBJETIVO GENERALEl objetivo de la auditoría tiene como función principal la de evaluar las actividades,

controles, procedimientos, operaciones y resultados con que se está trabajando para

que por medio de esta se tomen decisiones que permitan corregir los errores, y en caso

de que se determinen, establecer controles para mejora de las funciones existentes en

la actualidad, para que de esta manera la empresa posea un buen control de todo lo

evidente, y de este modo logren que sus funciones sean eficientes y eficaces, tanto

dentro como fuera de la organización.

OBJETIVOS ESPECÍFICOS

Inspeccionar que el personal cumpla con sus labores asignadas.

Identificar y evaluar los equipos con los que cuenta la organización.

Verificar la existencia de señales de seguridad en la empresa.

Comprobar que los datos se encuentren correctamente almacenados.

Evaluación del software existente dentro de la organización.



ALCANCES Y LIMITACIONES DEL TRABAJO

ALCANCES

Se pretende que la auditoría que se lleva a cabo sea una herramienta funcional en la

empresa que se va a aplicar, con la finalidad de mejorar sus procesos. Dicha auditoria

se efectuó en el periodo Octubre-Diciembre del 2010, ya que es fue el tiempo estimado

para su ejecución.

LIMITACIONES

El tiempo que tenemos para efectuar la auditoria en la empresa es limitado.

Escasa documentación por parte de la empresa.

Es la primera auditoría que se lleva a cabo en la empresa



1. IMAGEN DE LA EMPRESA

Mala imagen de la empresa La empresa no cuenta con una imagen adecuada.

El color del edificio es muy opaco.

La pintura de la fachada está muy desgastada.

No es fácil de identificar la empresa a simple vista.

2. COORDINACIÓN DEL PERSONAL

Descoordinación del personal No planean la ejecución de un proyecto.

No cuentan con políticas de seguridad.

Desconocimiento de existencia de los planes de contingencia y cómo aplicarlos en un

momento determinado.

3. SATISFACCIÓN DEL USUARIO

Insatisfacción del usuario El personal está disgustado con respecto al equipo de cómputo.

El personal no le agrada las impresoras existentes ya que son muy lentas.

Software piratas instalados en algunas máquinas.

4. SEGURIDAD

Inseguridad Lógica Manejo inadecuado de las contraseñas en los equipos existentes.

No se cuenta con contraseña del Router para internet inalámbrico.

No se tiene control con respecto al acceso a páginas con contenido inapropiado.

Envío de informes de trabajos por medio de correo electrónico o por Messenger.

Inseguridad Física No se cuenta con extintores.

No se cuenta con señalamientos dentro y fuera de la empresa.

No se cuenta con puertas de seguridad.

No se cuenta con aire acondicionado en los lugares donde están los equipos de

cómputo.



INFRAESTRUCTURA

INSTALACIONES DE LA EMPRESALa empresa Soluciones al Campo S.C.P se encuentra ubicada en la calle Xcalak # 353,

esquina Isla Cancún, colonia Adolfo López Mateos, en la ciudad de Chetumal, Quintana

Roo.

Se realizó la visita a las instalaciones de la empresa Soluciones al Campo con el fin de

corroborar su estado e identificar elementos perjudiciales para la misma.

Figura 1.-Instalaciones de La

empresa

Figura 2.- Sala de espera

Figura 1.-Instalaciones de La empresa Figura 2.- Sala de espera

La empresa cuenta con una pequeña sala de espera y cinco estaciones de trabajo, al

igual que con un cuarto de archivos y una bodega.

El edificio se nota un poco maltratado ya que anteriormente era ocupado por una

compañía de telefonía celular y al momento de que dejaron el predio y fue adquirido

por sus dueños actuales, estos no realizaron las adecuaciones y mantenimiento

necesario debido a la falta de presupuesto.

A continuación se muestran las estaciones de trabajo que se encuentran en la

empresa:



Figura 3.- Recepción Figura 4.- Área de captura de

datos

Figura 5.- Área de dirección

general

Figura 6.- Área de planeación



Figura 9.- Área de proyectos

Las actividades realizadas en la empresa son en su mayoría cuestiones administrativas

y no cuentan con personal especializado en aspectos informáticos. A causa de esto, no

se toman en cuenta los aspectos necesarios como la seguridad de los datos y el

correcto uso, protección y mantenimiento de las computadoras.



OPERACIONES DE RESPALDOCuando se realizo la visita a la empresa Soluciones del Campo se encontraron las

siguientes situaciones:

Las operaciones de respaldo se realizan por parte del personal de informática

con apoyo del sistema de información; esto por medio de backups.

Las aplicaciones y programas con que se trabajan, se cuenta con respaldo de

solo de los instalables, mas no de las actualizaciones que se adquieren

conforme se requieren.

Los respaldo realizados por medio de los backups; por un personal informático y

en un periodo establecido por el mismo.

No se conoce con exactitud la confiabilidad de la información respaldada.

Efectos probables.Los efectos que pueden presentarse durante alguna situación; de acuerdo a lo

observado durante la visita; son los siguientes:

La empresa se encuentra expuesta a que la única persona que realiza los

backups; pueda ausentarse por alguna situación de la empresa y con ello

quedarse sin personal capacitado para realizar tareas de respaldo.

Otro aspecto es que los programas y aplicaciones dejen de funcionar debido a

que no se cuenta con las actualizaciones con las que trabajan.

Sugerencias para las operaciones de respaldo.Para poder disminuir los efectos que se pudiesen presentar; se sugiere lo siguiente:

Capacitar a más personal para poder manejar el sistema y estos puedan realizar

backups, con una calendarización adecuada y previamente planeada.

Considerar la creación de un fondo para adquisición de software y de

actualizaciones que se requieran.

Realizar respaldos utilizando el servicio que ofrecen otras empresas de respaldo

de información con la seguridad y confiabilidad que esta información requiere, es

decir, que los respaldos estén fuera de las instalaciones de la empresa.



Realizar revisiones periódicas de la información que se respalda, por medio de

un comité que analice el porqué se respalda esta información y determine la

importancia de la información que se respalda.

ACCESO A USUARIOSDurante las diferentes visitas realizadas a las instalaciones de la empresa, pudimos

constatar lo siguiente:

Un personal informático es el que tiene todas las claves y sabe manejar la

seguridad del sistema.

Se cuentan con perfiles de usuarios, los cuales limitan el acceso a la información

al personal; estos perfiles son asignados conforme al puesto que ocupan en la

empresa.

Envío de informes de trabajos por medio de correo electrónico o por Messenger.

Manejo inadecuado de las contraseñas en los equipos existentes.

Efectos probables Existe la posibilidad de fraude o sabotaje por parte del personal que maneja el

sistema así como de terceros.

Puede darse la situación de no poder intercambiar información o documentos

tras dejar de funcionar el Messenger o correos gratuitos web.

Se puede determinar quién y qué acciones realiza cada personal sobre el

sistema en uso.

Sugerencias Las sugerencias para el acceso a usuarios, son las siguientes:

Adquirir algún programa que permita el intercambio de documentación y la

comunicación entre el personal (intranet); existe un software llamado PANDIOM

que permite realizar estas acciones y es gratuito, trabaja en red y es ligero para

la carga de la red.

Llevar un control de las actualizaciones que se realizan sobre los programas y

aplicaciones; por parte del personal informático.



Tener un personal de confianza que esté capacitado para manejar el sistema de

seguridad.

PLAN DE CONTINGENCIAS.La situación encontrada es la siguiente:

No se cuenta con extintores suficientes para los equipos de cómputo.

No se cuenta con señalamientos dentro y fuera de la empresa.

No se cuenta con puertas de seguridad.

El personal tiene desconocimiento de la existencia de los planes de contingencia

y cómo aplicarlos en un momento determinado.

No existen acuerdos formalizados con otras empresas o proveedores que

permitan la restauración inmediata de los servicios informáticos de los sistemas

en la empresa.

Implicancia probable En caso de que ocurra un incidente mayúsculo; incendio, temblor o huracán; se

puede llegar a considerar como pérdida total de la información y equipos de

cómputo.

Se puede llegar a perder la vida de algún personal; por el hecho de no contar

con puertas de salidas de emergencia.

Sugerencia. Establecer un plan de contingencia escrito, en donde se establezcan los

procedimientos, responsabilidades, y conductas a seguir para restablecer la

operación normal de la empresa Soluciones del campo.

Efectuar simulacros de diversas contingencias, como pueden ser incendios,

temblores.

A continuación se listan algunas acciones a realizar en caso de algún

desastre natural.

¿Qué hacer antes de un huracán?

Colocar puertas y ventanas anticiclónicas.

Planta de energía eléctrica de emergencia.



Colocar techo, paredes falsas en caso que se requiera.

Comprar garantías para los equipos de cómputo

Retirar al personal que resulte sobrante tenerlo en las instalaciones

de la empresa

¿Qué hacer durante el huracán?

Se debe de ejecutar un plan de contingencia efectuado,

aplicándolo de tal manera que se pueda prevenir o evitar un

mínimo desastre o destrucción posible en la empresa.

Retirar al personal que resulte sobrante tenerlo en las instalaciones

de la empresa

¿Qué hacer después del huracán?

Verificar si todo está en orden.

No encienda sus equipos de cómputo hasta determinar que no

exista un mínimo de riesgo posible.

Hacer un análisis o inventario de la perdida de todo el material.

De ser necesario reubique sus instalaciones hasta tener todo bajo

control y en una situación favorable.

¿Qué hacer en caso de una inundación?

¿Qué hacer antes?

Verificar o asegurar que la empresa se encuentre ubicada en un

lugar seguro.

Verificar que la empresa se encuentre a nivel mayor al de suelo

exterior.

Tener puertas aseguradas para evitar la entrada del agua.

Tener en cuenta si existen canales de desagüe, en caso contrario

tomar las medidas adecuadas para efectuarlas.

Verificar que las ventanas se encuentren bien cerradas, para que

no pueda escurrir el agua.

Contar con seguro para la empresa.

Contar con respaldos de toda la información existente e importante

para la empresa.



Contar con garantías de todos los equipos de cómputo por si llega

a ocurrir daño alguno.

¿Qué hacer durante?

Verificar que todo la empresa este bien asegurado.

Apagar y desconectar todo el equipo de cómputo y todo aparato eléctrico

para evitar corto circuito alguno.

¿Qué hacer después?

Verificar la existencia de equipo dañado.

No encender ningún equipo eléctrico hasta estar seguros de que el peligro

haya trascurrido.

Efectuar un análisis minucioso de la perdida existente.

Notificar al dueño o representante legal de la empresa para tomar medidas

en caso alguno.

¿Qué hacer en caso de un incendio?

¿Qué hacer antes?

Lo primero es confirmar que los extintores estén en buenas

condiciones y que no estén caducados o en mal estado.

En caso contrario, es preferible comprar otros.

Colocar los extintores en lugares estratégicos y visibles para el

personal.

Identificar la ruta de la salida de emergencia.

Ejecutar simulacros para determinar el cargo de cada empleado.

Reduzca las áreas para fumadores a zonas con buena ventilación sin

elementos inflamables como cortinas y alfombras.

Evite conectar múltiples aparatos en el mismo tomacorriente.

Evite sobrecargar los cables con extensiones o equipos alguno.

Verificar que el cableado eléctrico este en buenas condiciones de lo

contrario cambiarlos.

Instale paredes contra fuego, puertas blindadas que permitan aislar el

fuego en ciertas áreas.



¿Qué hacer durante?

Si descubre el incendio intente sofocarlo con el extintor más

cercano, sólo si sabe cómo usarlo.

No intente apagar el fuego en forma violenta.

Aleje en la medida de lo posible los objetos y materiales que

puedan provocar un incendio mayor.

Mantenga la calma.

¿Qué hacer después?

No encienda sus equipos de cómputo y aparatos electrónicos hasta

asegurar que todo está bajo control.

Verifique que el personal este sano y salvo.

Análisis o inventario de las pérdidas que se tuvo.

Retírese del área siniestrada, pues el fuego puede reavivarse.

Entre otras sugerencias está la de adquirir un seguro con cobertura amplia para

diversas situaciones; esto a través del departamento de contabilidad y finanzas.

DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE APLICACIONESSituación

Utilizan software pirata con respecto a:

Microsoft Office.

Sistema Operativo Windows XP en algunas computadoras.

Map Source.

Sistema de control administrativo.

Las modificaciones a los programas son solicitadas generalmente sin notas

internas, en donde se describen los cambios o modificaciones que se requieren.

No se tiene control con respecto al acceso a páginas con contenido inapropiado.

se cuenta con contraseña del Router para internet inalámbrico.



No se cuentan con los manuales técnicos y de usuarios de las aplicaciones que

se utilizan.

Efectos probables Recibir sanciones conforme marque la ley; por la utilización de software pirata en

los equipos de cómputo.

Desconocer el completo funcionamiento del sistema por parte del personal por

no contar con los manuales de usuario y técnicos.

Pueden ocurrir sabotajes y robo de información por falta de seguridad en el

router.

Se pueden filtrar spyware’s y malwares por no contar con la seguridad adecuada

en el acceso a internet.

Sugerencias Asignación de la contraseña del Router para el acceso a la red.

Se debe apagar el modem los días que no se labora en la empresa.

Se debe de crear un fondo para la adquisición de licenciamiento de todo

software que lo requiera, y de ahí tomar los recursos necesarios para la compra

de licencias; posteriormente desinstalar todo software instalado en los equipos

de manera ilegal.

Implementar y conservar todas las documentaciones de los sistemas, y

mantenerlas en el sistema disponible para todo el personal.

También las modificaciones y aprobaciones de programas realizadas por los

usuarios, deben de ser solicitadas por escrito y autorizadas por .

Instalar un firewall y un proxy; versiones gratuitas o de no pagar licencia, para

brindar la seguridad en el acceso a internet; y con ello bloquear páginas web no

permitidas.



EQUIPAMIENTO

EQUIPOS DE SEGURIDADCuenta con 3 tipos de seguridad implementados los cuales son:

Sala de espera.

Programación de citas para recepción de documentos y atención al cliente.

Botiquín de primeros auxilios.

También cuenta con luces de emergencia, las cuales se ubican de la siguiente manera:

Luces exteriores.

Luces interiores y en cada uno de los departamentos.

HARDWARE

Los equipos están clasificados de acuerdo a la marca, pero no tienen una buena

seguridad en cuanto al hardware a causa de que no cuidan esa parte esencial. No

toman y no tienen las medidas preventivas para evitar algún daño o problema que

pueda suceder.

La empresa cuenta con 9 equipos los cuales utilizan para realizar sus actividades. La

mayoría de los equipos cuentan con el sistema operativo Windows Vista Home Basic,

también cuentan con tres impresoras las cuales están conectadas a la red para que

desde cualquier estación de trabajo se pueda mandar a imprimir. La empresa también

cuenta con un cañón marca HP.



COMPUTADORASLas características de los equipos son:

NUMERO

SERIE

NUMERO

INVENTARIO

MODELO CARACTERÍSTICAS FIGURA

718 CONS-010-

08/2007

Gabinete

A-Case

Windows XP

Professional SP3

Microsoft Office

2003

Procesador Intel

2140 a 1.6 GHz

1536 MB de RAM

Kaspersky

Internet Security

2009 (Licencia

para 5 equipos.

Tabla 3.- Equipo 1

NUMERO

SERIE

NUMERO

INVENTARIO


61200232489 CONS-003-

08/2007

AT-9900-

1

Teclado Acteck

Smart Keyboard

Tabla 1.- Equipo 1



NUMERO

SERIE

NUMERO

INVENTARIO


Ha17HVBP

506947

CONS-007-

08/2007

Sync

Master

740 NW

Marca Samsung

Monitor a color de

17”

Tabla 2.- Equipo 2

NUMERO

SERIE

NUMERO

INVENTARIO


CNF43440

MM9

CONS-007-

08/2007

Laptop

COMPA

Q NX930

Procesador

Pentium 1500

MHz

256 MB de RAM a

600 MHz

Windows XP

Professional SP2

Office 2003

Kaspersky

Internet Security

2009 (Licencia

para 5 equipos)

Tabla 3.- Equipo 3

NUMERO NUMERO MODELO CARACTERÍSTICAS FIGURA



SERIE INVENTARIO

Laptop

ACER

Sistema operativo

Windows vista

Home Basic

Microsoft office

2007

1 GB de memoria

RAM

Procesador

Pentium 1500

MHz

Kaspersky

Internet Security

2009

Tabla 4.- Equipo 4



NUMER

O SERIE

NUMERO

INVENTARI

O

MODEL

O

CARACTERÍSTICAS FIGURA

Laptop

ACER

Windows vista

Home Basic

1 GB de memoria

RAM

Microsoft office

2007

Kaspersky Internet

Security 2009

Procesador

Pentium 1500 MHz

Tabla 5.- Equipo 5

NUMERO

SERIE

NUMERO

INVENTARIO


89572-

oem-

7332166-

00096

Laptop marca

Dell

S. O. Windows

Vista Home Basic

Microsoft Office

2007

Procesador Intel®

Core ™2 Dúo CPU

t5450 @1.66GHz

1.67GHz

Memoria de 2Gb

DDH de 160 Gb

Kaspersky Internet



Security 2009

Tabla 6.- Equipo 6

NUMERO

SERIE

NUMERO

INVENTARIO


89572-

OEM-

7332166-

00096

Laptop

marca

Dell

S.O. Windows

vista Home Basic

Procesador Intel®

Core ™2 Duo

CPU t5450

@1.66GHz

1.67GHz

Memoria de 4Gb

DDH de 250 Gb

Microsoft office

2007

Kaspersky

Internet Security

2009

Tabla 7.- Equipo 7

NUMERO

SERIE

NUMERO

INVENTARIO


76459-

OEM-

0011903-

00110

Laptop

marca

Vaio

S. O. Windows XP

Profesional

Memoria de 512

MB

DDH de 40 Gb

Microsoft office



XP Profesional

Kaspersky

Internet Security

2009

Tabla 8.- Equipo 8

IMPRESORAS

NUMERO

SERIE

NUMERO

INVENTARIO


9627BAIP

825187K

CLX-

2160N

Multifuncional

Marca Samsung

Tabla 9.-Impresora 1

NUMERO

SERIE

NUMERO

INVENTARIO


SCX-

4200

Multifuncional

Marca Samsung

Tabla 10.- Impresora 2



NUMERO

SERIE

NUMERO

INVENTARIO


147YBAF

Q800247H

CLP-310 Multifuncional

Marca Samsung

Tabla 11.- Impresora 3

NUMERO

SERIE

NUMERO

INVENTARIO


Cañón

Marca Hp

Tabla 12.- Cañón Hp

COMUNICACIONES.La empresa cuenta con una red Ethernet con la cual se le da servicio de internet a las

maquinas, toda la red esta cableada con cable de categoría 5 y plugs RJ-45.

La empresa cuenta con 2 equipos telefónicos fijos de la compañía Telmex y diez

teléfonos móviles para los encargados o jefes de cada área para la notificación o aviso

de alguna emergencia surgida dentro o fuera de la empresa.

Con respecto a la seguridad de esto, no tienen un control total, ya que no llevan un

registro de todas las llamadas entrantes y salientes que se efectúan en la empresa.



SOFTWARELa empresa maneja varios software para realizar sus funciones, el sistema operativo

que utilizan es el Windows Vista Home Basic, al igual todas las maquinas cuentan con

Microsoft office 2007 y kaspersky internet security 2010.

Sistemas operativos.

Aplicaciones.

Software básico.

Software administrativo.

OBJETIVOS

Verificar la integridad de los datos.

Verificar la confidencialidad de la información.

Validar la disponibilidad de la información.

Identificar que los usuarios utilicen los documentos adecuadamente.

Confirmar el acceso de usuario a programas y archivos.

Control en la protección de los datos.

RESEÑALa empresa se dedica a la ejecución de proyectos para el Gobierno del Estado. En

dichos proyectos que efectúan se encuentra los:

Reglamentos internos de las diferentes comunidades del Estado.

Proyectos de la asociación ganadera local del municipio de Othón P. Blanco.

Evaluación rural participativa de las diferentes comunidades del estado.

Ordenamiento territorial comunitario.

Seminario de comunidad a comunidades, entre otros.

Un medio que comúnmente utilizan para el envió de información son los correos

electrónicos, chat, etc., pero la seguridad lógica que se tiene es nula, porque no se ha



tomado la debida importancia ya que no están capacitados o suficiente informados de

los peligros existentes en las redes públicas.

RIESGOS

El internet no cuenta seguridad alguna y no tiene restricciones en cuestión de

acceso a la red.

No restringen ningún tipo de páginas con contenido irrelevante.

El envió de proyectos e información importante es efectuado por medio de

correos electrónicos, chat, etc.

Los equipos de cómputo no cuentan con alguna contraseña de acceso al

sistema.

CONTROLES PROPUESTOS

1) Asignación de la contraseña del Router para el acceso a la red.

2) Se debe apagar el modem los días que no se labora en la empresa, ya que no

se cuenta con una seguridad definida y por este medio pueden ocurrir delitos

informáticos como el sabotaje, robo de datos, acceso no autorizado, etc.

3) Evitar enviar los proyectos por medio del correo electrónico sin una seguridad

adecuada, ya que por este medio se puede extraer la información y/o clonarla.

4) Implementación de la una red local con carpetas compartidas para que varias

personas puedan tener acceso a los archivos esenciales sin dañar la integridad

de los archivos personales de cada empleado.

5) Implementación de contraseñas únicas para las computadoras y solo permitir el

acceso a personal autorizado de la empresa.



Esta auditoría se efectuó en una empresa particular, denominada “Soluciones al

Campo SCP”, la cual fue autorizada por el representante general de dicha empresa.

Ing. Gerardo Villegas Palmer.

Ing. Aarón Villegas Palmer.

Biólogo. Esteban Eduardo Benítez Inzunza.

Ing. Evaristo Cano Ascencio.

Presente:

Señores:

Soluciones al Campo SCP.

Tenemos el agrado de dirigirnos a ustedes a efectos de poder prestar nuestros

servicios para poder realizar una auditoría en la empresa “Soluciones al Campo SCP” y

a término de este poder mostrar el alcance del trabajo de la auditoría realizada a su

empresa de la última semana de Agosto a la primera semana de Diciembre, en la cual

realizamos diversas sugerencias a los análisis de los procedimientos y controles

identificados que detallamos a continuación.

Asesorías a la Dirección de la empresa, enfocándonos principalmente a los

aspectos informáticos con los que cuentan.

Asesorías en las cuestiones de seguridad y procedimientos administrativos.

Emitiremos informes con las diversas situaciones que reflejan debilidades

potenciales que deben tomarse en cuenta al igual que los efectos y riesgos que

dichas situaciones conllevan.

Equipo de trabajo.La presente auditoria será realizada por un equipo de trabajo el cual ha sido

seleccionado para brindarle un servicio de calidad, ya que cuentan con experiencia en

el ámbito informático. Este equipo será supervisado para que los objetivos planteados

con anterioridad se lleven a cabo de una forma correcta.



Informes.Una vez que se esté realizando la auditoría s tendrán que realizar juntas con los

directivos de la empresa para poder expresar nuestros puntos de vista y nuestros

resultados de los trabajos realizados en la empresa y de esta informa poder hacer que

nuestros clientes sepan cuál es el estado de su empresa. Esta tarea se estará

realizando en la tercera semana de haber empezado la auditoria.

PRESUPUESTO.Tomando en cuenta nuestra poca experiencia y la trayectoria que tenemos en el ámbito

informático, consideramos que nuestros honorarios serán de 66,000 pesos (sesenta y

seis mil pesos mexicanos) el cual se empezará a pagar en la primera quincena de

septiembre con un monto de 8250 pesos. Este será el monto que se pagará durante

toda la auditoría quincenalmente.

Esperamos que con este documento estemos planteando todos nuestros enfoques y

propuestas y que con nuestra experiencia en el ámbito informático podamos realizar

en la empresa Soluciones al Campo SCP todo lo propuesto.

Quedamos a su disposición para responder cualquier duda que tenga en cuanto al

trabajo que realizaremos en su empresa y sin más que decir le enviamos un cordial

saludo.

Atentamente.

Raúl Joe Correa Briceño

Álvaro Adrian Zapata Cárdenas

Ricardo Javier Canto Serrano



ANEXOS



CUESTIONARIOS

1.- ¿Cuentan con algún programa de mantenimiento de equipo establecido?

R.- Contamos con un técnico el cual es el encargado de brindar mantenimiento

al equipo de cómputo y a veces requerimos de empresas externas para tales

cuestiones.

2.- ¿Cada cuándo se realiza el mantenimiento al equipo de cómputo?

R.- En realidad no se cuenta con un periodo programado para el mantenimiento,

si no que cada quien determina que se debe realizar mantenimiento a su

computadora cuando detecta algún tipo de fallo.

3.- ¿Qué medidas se toman para resguardar la información importante de la

empresa?

R.- Para la cuestión del respaldo de información, se compró un disco duro

externo que está a disposición del personal para que en el momento que

requieran, cada quien realice el respaldo de su información.

4.- En cuanto a las instalaciones eléctricas… ¿Considera que se encuentran en

estado óptimo para el adecuado funcionamiento del equipo?

R.- Hasta el momento no hemos presentado problemas con las instalaciones

eléctricas aunque cabe destacar que algunos cables ya se encuentran en mal

estado debido a la antigüedad del edificio.

5.- ¿Cuentan con dispositivos de regulación y respaldo de energía eléctrica?

R.- Solamente dos de los equipos cuentan con reguladores de energía (No UPS)

individuales. Los demás usan conectores múltiples.

6.- ¿Instalan software original en el equipo?



R.- Se procura que todo el software a instalar sea original para evitar cuestiones

legales.

7.- ¿Cuentan con un lugar específico para resguardo de documentos?

R.- Contamos con una bodega en la cual se almacenan tanto documentos como

equipos electrónicos.

8.- ¿Considera cómodo el lugar donde cada quien desempeña sus labores?

R.- En cuestiones de comodidad, se han adquirido muebles ergonómicos de

buen tamaño.

9.- ¿Existen medidas que regulen el ingerir alimentos en las estaciones de trabajo

o en algún sitio de las instalaciones?

R.- En realidad, no ya que está bajo la responsabilidad de cada quien determinar

si mantiene limpia su estación de trabajo. También contamos con una pequeña

cocineta para que los empleados se preparen un café o tomen agua.

10.- ¿Cuentan con procedimientos de seguridad en caso de contingencia?

R.- No hay un documento estipulado para tales situaciones. Por el momento las

decisiones se toman en base de la experiencia de cada quien.

11.- ¿Cuentan con medidas de control de acceso a la empresa?

R.- Hasta el momento solamente pueden tener acceso a la empresa a cualquier

hora del día tres personas (dueños) mediante el uso de llaves. No se lleva un

registro de las entradas y salidas del personal.

12.- ¿Cuentan con medidas de control de acceso a los sistemas?

R.- Cada quien tiene asignada una contraseña a sus computadoras personales

(Laptops). Las computadoras de escritorio no tienen contraseña asignada debido

a que a veces se necesitan documentos que estas contienen.

13.- ¿Cuentan con extintor de incendios?



R.- Por el momento no contamos con extintor.

14.- ¿Cuentan con salidas de emergencia?

R.- Las salidas de emergencia son la entrada principal y la puerta trasera que

son las más amplias y accesibles.

15.- ¿Se encuentran en buen estado las cerraduras?

R.- La única cerradura que se atora un poco es la de la entrada principal.



CHECKLISTCONTROL Si No

Programa de mantenimiento de equipo X

Respaldo de información X

Buen estado de instalaciones eléctricas X

Regulación y respaldo de energía eléctrica X

Uso de software original X

Resguardo de documentos X

Aspectos de ergonomía X

Regulación de alimentos en estaciones de trabajo X

Planes de contingencia X

Control de acceso a la empresa X

Control de acceso al sistema X

Extintores X

Salidas de emergencia X

Capacitación del personal X

Políticas de seguridad X

Climatización X

Señalamientos X

Alarmas de seguridad X



Uso adecuado del equipo electrónico X

PLAN DE AUDITORIA

RECOPILACION DE LA INFORMACION

Lugar donde se efectuara la auditoria

La auditoría se realizara en una empresa particular, denominada “Soluciones al Campo

SCP”, la cual fue autorizada por el representante general de dicha empresa.

Descripción de la empresa

Soluciones al Campo es una empresa de servicios avanzada de Consultoría,

formación, integración e innovación para personas físicas, empresas privadas e

institucionales. Fundada en el 2003 en la Ciudad de Chetumal, Quintana Roo, por

profesionales de distintas especialidades siendo su RFC: SCA0302156I1.

Ha trabajado con diversas instituciones públicas y privadas, en el manejo de proyectos

de Recursos Naturales, en el cual se le otorgan facultades para regular, fomentar,

conducir, y evaluar en materia de manejo y aprovechamiento sustentable de los

recursos y protección al ambiente, así como llevar a cabo las acciones necesarias para

una gestión de administración ambiental, agrario, apiario.

Razón social: Soluciones al Campo S.C.P.

Figura legal: Sociedad Civil Particular

Director General: Ing. Gerardo Villegas Palmer

Domicilio: Calle Xcalak No. 353, Esq. Isla Cancún,

Colonia Adolfo L. Mateos CP., 77010,

Chetumal, Quintana Roo, México.

Datos generales de la empresa.



Objetivo

El objetivo de la auditoría es evaluar los controles, procedimientos y operaciones con que se está trabajando para que por medio de esta se puedan establecer controles para la mejora de las funciones existentes en la empresa.

Organigrama de la empresa

Recopilación de la información

La recopilación de la información se realizo teniendo en cuenta los flujos de información

entre el personal de la empresa y que fueron necesarios para su eficiente gestión,

siempre y cuando tales corrientes no distorsionen el propio organigrama. Esta

recopilación se realizo por medio de cuestionarios y entrevistas, con la cooperación del

personal de la empresa y en las fechas previamente establecidas. Con herramientas

como los cuestionarios, formatos de checklist y con la documentación proporcionada

por la misma empresa.



PERSONAL PARTICIPANTE

El personal que realizara la auditoria son los siguientes:

Nombre completo Carrera Semestre No Control

Canto Serrano Ricardo Javier Lic. Informática 9 06390480

Correa Briceño Raúl Joe Lic. Informática 9 06390494

Zapata Cárdenas Álvaro Adrian Lic. Informática 9 063904

El personal de la empresa a auditar son los siguientes:

NOMBRE PERFIL PROFESIONAL

PERFIL DE TRABAJO DESARROLLADO

Aarón Villegas Pálmer

Ingeniero Agrónomo Especialista en

Zootecnia

Organización de Productores, Micro financiamientos y créditos, trabajos realizados con la Secretaria de la Reforma Agraria; Formulación y Evaluación de Proyectos, Trabajos en desarrollo y modificación de reglamentos internos en diferentes ejidos de sureste.

Esteban Eduardo Benítez Inzunza

Biólogo Especialista en estudios de Flora.

Evaristo Cano Ascencio


Zootecnia

Especialista en Desarrollo Regional, Diseño de Empresas Agropecuarias, Facilitación de talleres, Formulación y Evaluación de Proyectos.

Gerardo Villegas Pálmer


Zonas Tropicales.

Formulación y Evaluación de Proyectos Agropecuarios, Plantaciones Forestales Comerciales y Sistemas de Producción Apícola, Trabajos en desarrollo y modificación de reglamentos internos en diferentes ejidos del



sureste.

Marilú Villegas Pálmer

Licenciada en Desarrollo

Sustentable

Especialista en Desarrollo Rural Sustentable.

Blanca Aguillón Moreno

Licenciada en administración de

empresas

Control de lo administrativo, contable y financiero de la empresa

Alejandro Ibarra

Técnico en Computo Encargado del soporte, mantenimiento preventivo y correctivo de los equipos de computo.

Pamela Anguiano Alba

Ing. Agrónoma Encargada de ejecutar los proyectos existentes.

Nelson González Guerra

Técnico de campo Encargado de efectuar los diagnósticos de campo

Marlene Poot Poot

Asistente Administrativo

Asistente Administrativo

EVALUACION DE LA INFORMACION

Con la información obtenida en las fases anteriores, se procederá al análisis y

evaluación de la calidad de la información obtenida por parte del personal de la

empresa, y así determinar si es necesario realizar otra visita, o continuar con la

información con que se cuenta.

Para evaluar la información existen varios criterios que utilizaremos como lo son los

alcances, autoridad, credibilidad, actualidad, objetividad y exactitud que a medida que

se vaya desarrollando la auditoria y el proyecto lo iremos plasmando.



RECURSOS MATERIALES Y FINANCIEROS

Se encuentra en el documento en Project Manager.

EVALUACION DE LA INFORMACION DE ACUERDO AL RIESGO

Se evaluaran las medidas de seguridad con las que cuentan las instalaciones de la

empresa, por ejemplo el uso que se les da a los equipos que sea el adecuado, el

control que existe en la empresa con el personal que labora en ella, así como con los

visitantes, la información que se introduce a las computadoras sea la adecuada. Esto

con ayuda de herramientas como un checklist, y otros formatos de evaluación que

serán diseñados y determinados por los propios integrantes del equipo auditor.



PLAN DE CONTINGENCIA DE INFORMÁTICADe “Soluciones al Campo SCP”

INTRODUCCIÓN

Un negocio tiene la responsabilidad con sus clientes e inversionistas de salvaguardar y

proteger todos sus activos financieros. La supervivencia de las empresas hoy en día,

depende cada vez más en mantener una continuidad en sus operaciones.

Este manual es una guía, según los estándares de planes de contingencia informático,

para que en la empresa de “Soluciones al Campo SCP” defina y documente un Informe

de Trabajo derivados de la definición del Plan de Contingencia de Informático.

El plan de contingencia es una estrategia planificada con una serie de procedimientos

que nos faciliten o nos orienten a tener una solución alternativa que nos permita

restituir rápidamente los servicios de la organización ante la eventualidad de todo lo

que lo pueda paralizar, ya sea de forma parcial o total. El plan de contingencia es una

herramienta que le ayudará a que los procesos críticos de la empresa u organización

continúen funcionando a pesar de una posible falla en los sistemas computarizados. Es

decir, un plan que le permite a la organización seguir operando aunque sea al mínimo.

Los desastres no pueden ser planeados y no existe ningún plan en el mundo que

pueda asegurarle ya sea a una empresa, institución, o país, que sobrevivirá fenómeno;

pero un plan bien organizado puede incrementar las probabilidades de sobrevivir,

minimizando las interrupciones de clientes y empleados.

Finalmente, se espera que el plan sea implementado, antes, durante y después del

desastre. El hecho de planear con anticipación le permite a usted y a su empresa estar

preparado, y actuar lo antes posible, minimizando todo el daño posible.



OBJETIVOS

Objetivo General

El propósito principal de este plan es de documentar las estrategias para la

recuperación del negocio, planes, y procedimientos necesarios de implementar en el

desastre. El plan contendrá objetivos claramente conocidos por todas las personas que

participen en el plan de emergencia. Estos objetivos son importantes para saber que

se persigue alcanzar con este tipo de plan. Los objetivos básicos para el plan para la

recuperación del negocio son:

Velar por la salud y la seguridad de todas las personas que laboren en las instalaciones de la empresa.

Asegurar una rápida ordenada respuesta a las distintas situaciones de emergencia a las que se pueda enfrentar la empresa.

Proteger y minimizar pérdidas en propiedad, bienes, e información. Recuperar los procesos más importantes de manera inmediata. Que la empresa vuelva a operar de manera normal, eficientemente, con bajo

costo y rápidamente. Asegurarse de que exista una continuidad en los procesos críticos para el

funcionamiento de la empresa.

Objetivos Específicos

Determinar y clasificar las operaciones criticas para la entidad. Identificar los ambientes existentes en la empresa que se vean afectadas en caso de

siniestro. Establecer los controles que sean necesarios y que permiten mantener a empresa fuera

de peligro. Establecer los procedimientos necesarios ante la ocurrencia de eventos no favorables,

para garantizar un nivel de los recursos disponibles y/o la supervivencia de la empresa en caso de un siniestro.

Garantizar la continuidad de las operaciones de los elementos considerados críticos que componen la empresa.

Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos que componen a la empresa.



1. PLANIFICACIÓN DE CONTINGENCIA.

El Plan está orientado a establecer, junto con otros trabajos de seguridad, un adecuado

sistema de seguridad física y lógica en previsión de desastres.

El plan de contingencia contempla cinco acciones esenciales, las cuales son:

1.1 Actividades Asociadas

Análisis de Riesgos:

Herramienta de gestión en estudios financieros y de seguridad para identificar

riesgos y otras para evaluar riesgos.

Medidas Preventivas:

Conjunto de acciones a realizar para prevenir cualquier contingencia que afecte la

continuidad operativa, ya sea en forma parcial o total. Esta se enfoca a reducir el

impacto, permitiendo restablecer a la brevedad posible los diferentes aspectos

reducidos.

Medidas de Detección:

Deben contener el daño en el momento, así como limitarlo tanto como sea posible

contemplando todos los desastres naturales y eventos no considerados.

Plan de Respaldo:

Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su

finalidad es evitar dicha materialización. Estos respaldos pueden variar desde archivos

del sistema operativo, bases de datos, hasta archivos de un usuario común.

Plan de Recuperación:



Abarcan el mantenimiento de partes críticas entre la pérdida de los recursos, así como

de su recuperación o restauración.

2. ANÁLISIS DE RIESGOS

Un análisis de riesgo es el proceso de identificar los riesgos a los que está expuesta la

empresa, incluyendo las probabilidades que estos eventos pasen, la vulnerabilidad de

la empresa ante esos acontecimientos, etc. Y deben definirse que controles son

necesarios para minimizar la probabilidad de que estos sucedan y afecten el

rendimiento de la empresa. Análisis de impacto que un desastre tendría en su empresa

se refiere al proceso de identificar todas las actividades criticas, el personal y sus

habilidades, los procedimientos de la empresa, sus prioridades, requerimiento de

sistemas, equipo, sistemas de copias y archivos, suministros, servicios y otros recursos

para todos los departamentos de su organización y cuantificar el impacto que tendría

en sus activos tangibles e intangibles.

Se pueden identificar muchos escenarios en los que la empresa se ve afectada de

manera no deseada. Es probable que la empresa se haya tropezados con algún tipo de

desastre con anterioridad. El análisis de riesgos ayuda a identificar el tipo de

situaciones que podrían afectarle seriamente a su organización, basándose en

experiencias anteriores.

Para realizar un análisis de los riegos, se procede a identificar los objetos que deben

ser protegidos, los daños que pueden sufrir, sus posibles fuentes de daño y

oportunidad, su impacto en la compañía, y su importancia dentro del mecanismo de

funcionamiento. El análisis de riesgo difiere esencialmente en la manera de estimar la

probabilidad de ocurrencia de una amenaza y en la forma de determinar el impacto en

la organización.



2.1 Bienes Susceptibles de un daño

a) Infraestructura

b) Personal

c) Hardware y Software

d) Datos e Información

e) Documentación

f) Suministro de Energía Eléctrica

g) Suministro de Telecomunicaciones

2.2 Daños

Nadie espera ni puede predecir, cuando ni donde puede ocurrir un desastre, pero es

absolutamente importante que se esté preparado para estos acontecimientos con

anticipación. Un desastre en una empresa se presenta cuando un fenómeno natural o

tecnológico en un espacio y tiempo determinado ocasión daños en las instalaciones,

pérdidas materiales, económicas, en el peor de los casos humanos, hasta el grado de

que las funciones esenciales de la empresa se interrumpen parcial o totalmente, lo cual

da como resultado una perdida que no solo se refleja en lo económico.

a) Imposibilidad de acceso a los recursos debido a problemas físicos en las instalaciones

donde se encuentran los bienes, sea por causas naturales o humanas.

b) Riesgo de electrocutarse si se mojaron los circuitos y los equipos eléctricos o si éstos

están en el agua o cerca de la misma.

c) Imposibilidad de acceso a los recursos informáticos por razones de infraestructura por

posibles derrumbes o inundaciones.



2.4.- Fuentes posibles de daños.

Desastres naturales.

Hidrometeorológicos.

Termino genérico empleado para designar ciertos fenómenos del tiempo, que

dependen mayormente a las modificaciones del vapor del agua en la atmósfera.

Entre ellos podemos detectar:

El huracán

Sin duda el más devastador de los fenómenos de origen Hidrometeorológico ya que

frecuentemente desencadena en Lluvias intensas, Desbordamiento de ríos y Vientos

fuertes, por lo que vale la pena mencionar los fenómenos que lo anteceden.

Tormenta tropical

Es un ciclón tropical, en el cual los vientos máximos sostenidos alcanzan velocidades

entre los 63 y 118 km. /h. Las nubes se distribuyen en forma espiral y comienza a

desarrollarse un "ojo" pequeño.

Inundaciones.

Es la invasión de agua por exceso de escurrimientos producido por su acumulación en

terrenos planos, por falta de drenaje ya sea natural o artificial, esta es una de las

causas de mayores desastres en centros de cómputo.

Incendios.

El fuego es una reacción química entre dos substancias, una que se denomina

combustible y la otra comburente, aún cuando, en realidad, se puede decir que es una

reacción de transferencia electrónica donde hay un donador de electrones y otro, que

es receptor.



Se considera que para que exista fuego se requiere la presencia de tres factores que

son:

1.- Combustible.

2.- Aire (oxigeno).

3.- Calor.

Por ser tres los factores anteriores, se le acostumbra relacionar su presencia con la

figura geométrica denominada triangulo, por lo que se le ha dado por llamar “triangulo

del fuego”.

Por otra parte y en virtud que ciertos agentes extintores son más eficientes en algunos

tipos de combustibles que en otros, en la NOM-002-STPS se encuentran clasificados

los fuegos en cuatro tipos o clases:

Fuegos clase “A”.- son aquellos en donde el combustible es sólido y arde en

forma brasa.

Fuegos clase “B”.- son aquellos en los que el combustible es un liquido o gas a

temperatura ambiente.

Fuegos clase “C”.- ésta clasificación es para equipos o circuitos eléctricos

energizados en donde se pueden quemar algunos o todos sus componentes.

Fuegos clase “D”.- este tipo de fuegos se caracteriza porque el elemento combustible

es algún metal, lo que hace que presente un mecanismo de reacción totalmente distinto

a los otros tres tipos.



Fallas de Hardware

a) Falla en el Servidor de Aplicaciones y Datos, tanto en su(s) disco(s) duro(s)

como en el procesador central.

b) Falla en el hardware de Red:

- Falla en los Switches.

- Falla en el cableado de la Red.

Fallas de software.

a) Fallas por problemas de compatibilidad en las aplicaciones instaladas en los equipos.

b) Caducidad de licenciamiento de los programas y aplicaciones en los equipos.

c) Ataques por parte de virus informáticos a los equipos de la organización.

d) Falla en el sistema operativo o cualquier software instalado en los servidores que de

soporte a la operación de los servicios

Acceso no autorizado.

Cuando alguna persona ajena a la empresa soluciones del campo ingresa a las

instalaciones sin permiso o autorización.

Hackeo

Intromisión no calificada a procesos y/o datos de los sistemas, ya sea por curiosidad o

malas intenciones.



2.5 Expectativas anuales de daños.

Para evitar la pérdida de información se recomienda realizar periódicamente los

respaldos de toda la información de los sistemas, y también de los equipos de

cómputos del personal.

Las siguientes acciones deberán tomarse para iniciar todas las actividades de

evaluación de daños. Es importante conocer la hora en que se esté realizando la

evaluación para iniciar las actividades de apoyo y garantizar la prevención, así como

los gastos para iniciar estas actividades. Precisar la información para poder tomar

decisiones y determinar el inicio de las actividades de apoyo. El estado de los recursos

será registrado en el formato de evaluación de daños.

1.- Seguridad: Determinar la seguridad para entrar al área afectada para realizar la

evaluación. Verificar cualquier tipo de ruido en los edificios, la calidad del aire, equipos

de seguridad, energía, condiciones ambientales, etc.

2.- Personal: Determinar el estado de todos los empleados que laboran en esa área.

Establecer el grado de las pérdidas en el personal, y registrar cualquier tipo de

información acerca de intervenciones médicas, o traumatológicas.

3.- Equipo: Determinar el estado del equipo y su capacidad para continuar operando y

a qué nivel.

4.- Comunicaciones: Cuantificar el estado de las comunicaciones y su capacidad para

seguir apoyando las funciones nórmales, y estimar el daño ocasionado por el siniestro.

5.- Servicios y bienes: Determinar la magnitud del daño físico. Estimar el grado de

deterioro de las operaciones representadas por la falla o el periodo de tiempo en el cual

el acceso sea denegado.



6.- Transportación: Vehículos programados para dar apoyo en caso de una

contingencia en las operaciones, determinar si la situación de emergencia ha afectado

la disposición de esos vehículos.

7.- Medios de Información: Verificar las condiciones de las cintas, formatos

especiales, disquetes, sistemas de computación y cualquier otro tipo de sistema de

información, que pueda haber sido afectado a raíz del siniestro.

3. MEDIDAS PREVENTIVAS.

3.1.- Control de acceso.

a). Acceso físico a personas no autorizadas.

El acceso físico a los diferentes sitios que se encuentran en la empresa se encuentran

restringidos por puertas con seguridad, a las cuales solo el personal de informática

tendrá acceso, esto con la finalidad de evitar cualquier fallo ocasionado por personal

ajeno a ésta. El acceso a las puertas con seguridad, deberá de ser cambiada

periódicamente. En estas puertas todo el personal de Informática tiene acceso.

b). Acceso Restringido a las librerías, programas y datos.

Parte del control de usuarios por medio del controlador de dominio, es poder

determinar a que tiene acceso un usuario o no, así como las capacidades de estos

para instalar programas, librerías o acceso a ciertas carpetas dentro de los equipos o

servidores.

C. Acceso a la red de PC’s y Servidores.

Tanto el acceso a red de pc’s y servidores, se encontrará controlado por un controlador

de dominio el cual determinará los equipos pertenecientes a la red; así como usuarios y



Contraseñas, brindando diferentes niveles de seguridad. Como medida preventiva, se

solicita el cambio de la contraseña de acceso a todos los usuarios de forma periódica.

Se debe contar con una bitácora de toda aquella persona que ingresa a las

instalaciones de la empresa.

Esto aparte de la seguridad que se le brinda a las instalaciones de la empresa cuando

se encuentra fuera del horario laboral (veladores o guardias). El acceso hacia el área

de SITE debe de ser restringida a solo el personal autorizado.



4.- PREVENCIÓN DE DESASTRES NATURALES.

Prever las condiciones meteorológicas es fundamental para la vida de una personal, y

también para la empresa, contar con áreas acondicionadas para el resguardo del

personal es indispensable para evitar pérdidas dolosas.

¿Qué hacer en caso de un fenómeno Hidrometeorológico?

¿QUÉ HACER ANTES?

Colocar puertas y ventanas anticiclónicas.

Planta de energía eléctrica de emergencia.

Colocar techo, paredes falsas en caso que se requiera.

Comprar garantías para los equipos de cómputo

Retirar al personal que resulte sobrante tenerlo en las instalaciones de la empresa

¿QUÉ HACER DURANTE?

Se debe de ejecutar un plan de contingencia efectuado, aplicándolo de tal manera que

se pueda prevenir o evitar un mínimo desastre o destrucción posible en la empresa.

¿QUÉ HACES DESPUÉS?

Verificar si todo está en orden.

No encienda sus equipos de cómputo hasta determinar que no exista un mínimo de

riesgo posible.

Hacer un análisis o inventario de la perdida de todo el material.

De ser necesario reubique sus instalaciones hasta tener todo bajo control y en una

situación favorable.



¿Qué hacer en caso de una inundación?

¿QUÉ HACER ANTES?

Verificar o asegurar que la empresa se encuentre ubicada en un lugar seguro.

Verificar que la empresa se encuentre a nivel mayor al de suelo exterior.

Tener puertas aseguradas para evitar la entrada del agua.

Tener en cuenta si existen canales de desagüe, en caso contrario tomar las medidas

adecuadas para efectuarlas.

Verificar que las ventanas se encuentren bien cerradas, para que no pueda escurrir el

agua.

Contar con seguro para la empresa.

Contar con respaldos de toda la información existente e importante para la empresa.

Contar con garantías de todos los equipos de cómputo por si llega a ocurrir daño

alguno.

¿QUÉ HACER DURANTE?

Verificar que todo la empresa este bien asegurado.

Apagar y desconectar todo el equipo de cómputo y todo aparato eléctrico para evitar

corto circuito alguno.

¿QUÉ HACER DESPUÉS?

Verificar la existencia de equipo dañado.

No encender ningún equipo eléctrico hasta estar seguros de que el peligro haya

trascurrido.

Efectuar un análisis minucioso de la perdida existente.

Notificar al dueño o representante legal de la empresa para tomar medidas en caso

alguno.



¿Qué hacer en caso de un incendio?

¿QUÉ HACER ANTES?

Lo primero es confirmar que los extintores estén en buenas condiciones y que no estén

caducados o en mal estado.

En caso contrario, es preferible comprar otros.

Colocar los extintores en lugares estratégicos y visibles para el personal.

Identificar la ruta de la salida de emergencia.

Ejecutar simulacros para determinar el cargo de cada empleado

Reduzca las áreas para fumadores a zonas con buena ventilación sin elementos

inflamables como cortinas y alfombras.

Evite conectar múltiples aparatos en el mismo tomacorriente

Evite sobrecargar los cables con extensiones o equipos alguno

Verificar que el cableado eléctrico este en buenas condiciones de lo contrario

cambiarlos.

Instale paredes contra fuego, puertas blindadas que permitan aislar el fuego en ciertas

áreas.

¿QUE HACER DURANTE?

Si descubre el incendio intente sofocarlo con el extintor más cercano, sólo si

sabe cómo usarlo.

No intente apagar el fuego en forma violenta.

Aleje en la medida de lo posible los objetos y materiales que puedan provocar un

incendio mayor.

Mantenga la calma.

¿QUÉ HACER DESPUÉS?

No encienda sus equipos de cómputo y aparatos electrónicos hasta asegurar que

todo está bajo control.

Verifique que el personal este sano y salvo.

Análisis o inventario de las pérdidas que se tuvo.

Retírese del área siniestrada, pues el fuego puede reavivarse.



5. Plan de Respaldo

Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su

finalidad es evitar dicha materialización. Estos respaldos pueden variar desde archivos del

sistema operativo, bases de datos, hasta archivos de un usuario común.

La tecnología no está exenta de fallas o errores, y los respaldos de información son utilizados

como un plan de contingencia en caso de que una falla o error se presente.

Las interrupciones se presentan de formas muy variadas: virus informáticos, fallos de

electricidad, errores de hardware y software, caídas de red, hackers, errores humanos,

incendios, inundaciones, etc. Y aunque no se pueda prevenir cada una de estas interrupciones,

la empresa sí puede prepararse para evitar las consecuencias que éstas puedan tener sobre su

negocio. Del tiempo que tarde en reaccionar una empresa dependerá la gravedad de sus

consecuencias.

La pérdida de información provoca un daño de fondo:

Pérdida de oportunidades de negocio

Clientes decepcionados

Reputación perdida

Etc.

Planificación de la copia

Las copias de seguridad se realizan de forma automática por un programa de copia, y según la

configuración de éste, se podrá realiza diariamente, a medida a como los usuarios vayan

avanzando en sus labores aun así y el sistema esté inactivo. Todos estos y muchos más

parámetros pueden estar presentes en los programas que realizan las copias de seguridad y

deben permitirnos la realización únicamente de las tareas de supervisión. Cuando se hace el

backup se hace una copia completa de la red de trabajo que incluye una copia de datos,

información y programas, restaurando el sistema al momento anterior a la copia.



Debido a la importancia de los sistemas y aplicaciones de la empresa “Soluciones al

Campo”, es necesario realizar un proceso de respaldo que asegure que en caso de

contingencia sea posible restaurar éstos para su funcionamiento.

Respaldo de Datos

En “Soluciones al Campo” todos los sistemas y aplicaciones de manejo de Información

cuentan con una base de datos para cada uno de ellos respectivamente. Estas bases

de datos están soportadas por un Motor de Bases de Datos Microsoft SQL Server

2005.

El proceso de respaldo de las bases de datos dentro del SQL Server se trata de un

plan de mantenimiento el cual se puede programar, determinando la periodicidad en

horas, días, etc. De la misma forma, se puede determinar la ubicación donde se

guardará el respaldo resultante. Cabe mencionar que al tratarse de un plan de

mantenimiento se nos preguntará sobre optimizaciones, comprobaciones de integridad.

Respaldo del Sistema o Aplicación

En nuestro caso en la empresa contamos con sistemas que se basan en clientes,

basta con tener un respaldo de la última versión del código fuente e instalador, se

respalda constantemente la versión de producción, ya que es susceptible a

modificaciones o fallos, por lo cual en caso de contingencia si se podría restablecer la

última versión funcional. Éste a su vez es calendarizado en el programador de tareas

de Windows el cual determinará la frecuencia y hora en que se realizará.



6. PLAN DE RECUPERACIÓN:

El plan de recuperación viene de la mano del plan de respaldo pues de la información

respaldada se realiza la recuperación en caso de algún inconveniente. Hoy en día Para una

empresa que maneja sistemas informáticos es indispensable tener un plan de recuperación, y

personal capacitado para efectuarlo.

La restauración de los datos es el fin por el que hay que luchar a la hora de realizar

una buena planificación de copias de seguridad. Los backups tiene como objetivo

hacer frente a cualquier pérdida de datos y poder mantener la continuidad del

negocio, por lo que si contamos con una correcta planificación de copias de

seguridad, lo único que nos falta para que la organización pueda seguir funcionando

es restaurar los datos y volver a la situación previa al desastre o la interrupción.

Objetivos

Los objetivos del plan de recuperación son:

Determinación de los procedimientos para respaldar las aplicaciones y datos

Planificar la reactivación de la operación interrumpida producida por un desastre de los

sistemas prioritarios

Permanente mantenimiento y supervisión de los servicios, sistemas y aplicaciones

Establecimiento de una disciplina de acciones a realizar para garantizar una rápida y

Oportuna respuesta frente a un desastre

Alcance del plan de recuperación.

La responsabilidad sobre el Plan de Recuperación es de la Administración, la cual debe

considerar la combinación de todo su personal, equipos, datos, sistemas,

comunicaciones y suministros.



Etapas.

Decisión.

La decisión de cuando efectuar el plan de recuperación queda a cargo del Ing. GERARDO

VILLEGAS PALMER director general de Soluciones del campo, cabe mencionar que

este debe ser efectuado cuando las condiciones del ambiente estén propicias para

laborar normal.

Duración.

La duración del plan se determinara de acuerdo a las necesidades que se presenten y

la capacidad de los equipos de trabajo para procesar la restauración y recuperación de

los sistemas. De igual forma se puede crear un comité entre el mismo personal que

tenga conocimientos suficientes para determinar si la recuperación puede realizarse

con todas las condiciones favorables.

Aplicación del plan.

La aplicación del plan será determinado por el jefe del departamento de informática y

con ayuda del director de soluciones del campo. Estos determinaran cuando y cuanto

va durar la recuperación de la información y que herramientas necesitan para llevarlo a

cabo completo.


Informe Final - Equipo 9B

Documents

Transcript of Informe Final - Equipo 9B