Practicas pre profesionales auditoria de redes

UNIVERSIDAD TECNOLÓGICA

DE LOS ANDES

FACULTAD DE INGENIERÍA

CARRERA PROFESIONAL DE INGENIERÍA DE

SISTEMAS E INFORMÁTICA

AUDITORIA DE LA RED INFORMATICA

C.S. PUEBLO JOVEN

INFORME DE

PRACTICAS PRE-PROFESIONALES

ASESOR:

ING. YURI ARGAMONTE HUAMANI

PRESENTADO POR:

ANATOLY ROZAS CORDOVA

ABANCAY – PERU

2014

Universidad Tecnológica de los Andes

Facultad de Ingeniería

Carrera Profesional de Ingeniería de

Sistemas e Informática

Pág. 1

DEDICATORIA

El presente trabajo está dedicado

principalmente a Dios, quien está

siempre con nosotros y nos dio la

oportunidad de seguir esta carrera.





Pág. 2

INDICE

Introducción...............................................5

Capitulo I.- Generalidades.................................7

1. Capítulo I..............................................8 1.1. Datos Generales de la Institución...............8

1.1.1. Razón Social..............................8

1.1.2. Ubicación.................................8

1.2. Naturaleza......................................8

1.2.1. Tipo de Institución.... ..................8

1.2.2. Dispositivos legales......................8

1.3. Estructura orgánica............................10

1.3.1. Organigrama Estructural..................10

1.4. Descripción de la Institución..................11

1.4.1. Visión...................................11

1.4.2. Misión...................................11

1.5. Objetivos Estratégicos.........................12

1.6. Objetivos Generales y Específicos..............13

1.6.1. Objetivo General.........................13

1.6.2. Objetivo Especifico......................13

Capitulo II.- Marco Teórico...............................15

2. Capítulo II............................................16 2.1. Marco Teórico..................................16

2.1.1. Red Informática...........................16

2.1.2. Funcionamiento y Gestión de las Redes.....17

2.1.3. Servicios de Red..........................19

2.1.4. Equipos de Red............................24

2.1.5. Estándar para el Cableado de

Telecomunicaciones (TIA/EIA 568-B).......29

2.1.6. Protocolos de Red.........................31

Capitulo III.- Auditoria de la Red Informática a la

Institución...............................................35

3. Capítulo III 3.1. Auditoria de la Red Informática aplicada al

Centro de Salud Pueblo Joven...................36

I. Introducción..............................36

II. Alcance de la Auditoria Informática.......38

2.1. Organigrama..........................38

2.1. Áreas Funcionales de la Organización........................39

2.3. Relaciones Jerárquicas y Funcionales

entre Órganos de la Organización....39





Pág. 3

2.4. Número de Puestos de Trabajo.............................40

III. Objetivos de la Auditoria a la Red Informática..42 IV. Planeación de la Auditoria Informática..........43

4.1 Fases de la Auditoria Informática.........43

4.2 Evaluación de los sistemas de Acuerdo al

Riesgo....................................44

4.3 Investigación Preliminar..................45

4.4 Personal Participante.....................46

V. Técnicas y herramientas de la auditoria

informática.....................................47

5.1 Verificación Ocular.......................47

5.2 Verificación Verbal.......................48

5.3 Verificación Documental...................49

5.4 Verificación Física.......................50

5.5 Verificación mediante herramientas de

computación...............................50

VI. Técnicas de trabajo.............................51

6.1 Análisis de la información recabada

del auditado..............................51

6.2 Análisis de la información propia.........51

6.3 Cruzamiento de las informaciones

Anteriores................................52

6.4 Entrevistas...............................52

6.5 Cuestionarios.............................52

VII. Herramientas....................................52

7.1 Cuestionario general

Inicial..................................52

VIII. Estudio Inicial del Entorno que se Auditará........................................53

8.1 Situación Geográfica de los Sistemas de

Software...................................53

8.2 Inventario de Hardware y Software..........53

8.3 Comunicación y Redes de Comunicación.......54

IX. Determinación de los Recursos Necesarios para

Realizar la Auditoria...........................55

9.1 Recursos Materiales. 9.1.1 Recursos Materiales Software.......55 9.1.2 Recursos Materiales hardware.......55

9.2 Recursos Humanos.........................55 9.3 Situación Presupuestal y Financiera.......45

9.3.1 Presupuestos.......................56

Capítulo VI.- Técnicas y Herramientas de la Auditoria

Informática.................................57

X. Capitulo IV......................................58

10.1 Auditoria Física..........................58

a) Objetivos. b) Alcance c) Hallazgos Potenciales. d) Conclusiones.





Pág. 4

e) Recomendaciones 10.2 Auditoria de la Red Física................62

a) Objetivos. b) Alcance c) Hallazgos Potenciales. d) Conclusiones. e) Recomendaciones

10.3 Auditoria de la Red Lógica................67


10.4 Auditoria a la Administracion de la red...73


10.5 Auditoria a la Seguridad Informática......78


Capitulo V.- Actividades Realizadas.......................83

XI. Capítulo V.......................................84

11.1 Actividades realizadas en el periodo de

prácticas................................84

ANEXOS....................................................85





Pág. 5

INTRODUCCION

En la actualidad la auditoria es la parte administrativa que

representa el control de las medidas establecidas, auditoria

es su acepción más amplia y significativa verificar que la

información financiera. Administrativa y operacional que se

genera es confiable veraz y oportuna.

El manejo de información a través de las redes tecnológicas

comunicacionales se ha convertido en factor esencial para la

toma de decisiones en cual esperamos que se convierta en un

instrumento rápido y practico que permita conocer la

situación del proceso de salud-enfermedad del Centro De

Salud Pueblo Joven Micro Red Centenario.

Se realiza la presente Auditoria de la Red Informática al

C.S. Pueblo Joven, con la finalidad de mejorar y contribuir

la oportunidad de registros de información debido al

constante cambio en que nos encontramos y al avance

tecnológico en el que estamos inmersos.

Las Instituciones han visto por conveniente poner más

énfasis en las tecnologías de información con el fin de

mejorar las diferentes de las áreas involucradas el mismo

que ayudara optimizar sus procedimientos, costos y tiempos,

controles y sobre todo la seguridad de la información que

maneja.

Las Instituciones consideran que la información y la

tecnología representan sus activos más importantes para la

toma de decisiones y desempeño en todas sus áreas y

servicios.





Pág. 6

Para lograr un buen diseño se debe seguir las

recomendaciones que los estándares brindan, por ello es que

se requiere conocimiento de las diferentes normas, así como

un análisis de su infraestructura.

Con el presente trabajo se pretende realizar una revisión

exhaustiva técnica y especializada al sistema de redes,

considerando la evaluación de los tipos de redes, y textura,

topología, sus protocolos de comunicación, las conexiones,

accesos, privilegios, administración y demás aspectos que

repercuten en su instalación, funcionamiento y

aprovechamiento en el C.S. Pueblo Joven.





Pág. 7

CAPITULO I

GENERALIDADES





Pág. 8

1. CAPÍTULO I

1.1. DATOS GENERALES DE LA INSTITUCIÓN

1.1.1. RAZÓN SOCIAL

CENTRO DE SALUD PUEBLO JOVEN

MICRO RED CENTENARIO.

1.1.2. UBICACIÓN

DEPARTAMENTO: APURIMAC.

PROVINCIA: ABANCAY.

DIRECCIÓN: AV. CENTENARIO S/N

VILLA AMPAY.

TELÉFONO: 083-321585.

1.2. NATURALEZA

1.2.1. TIPO DE INSTITUCIÓN

Institución Pública.

1.2.2. DISPOSITIVOS LEGALES

Los centros de salud están regidos por los

principales dispositivos legales:

La constitución política del Perú de

1993.

Ley Bases de Descentralización (Ley Nº

27783).

Ley Orgánica de los Gobiernos Regionales

(Ley Nº 27867.

Ley Marco del Aseguramiento Universal

(Ley Nº 29344).





Pág. 9

Decreto Legislativo N° 584, Ley de

Organización y Funciones del MINSA

(Ministerio de Salud).

Ley N° 26268. Presupuesto del Sector

Público 1994.

Decreto Supremo N° 002-92-SA, que aprueba

el Reglamento de Organización y Funciones

del MINSA.

Decreto Supremo N° 01-94-SA que dispone

la ejecución del programa de

Administración Compartida.

Decreto Supremo N° 038-94-PCM que aprueba

los planes operativos de los Programas de

Focalización del Gasto Social Básico de

Educación, Salud y el Poder Judicial.

R. M. 032-93-PRES que aprueba el

organigrama estructural y ROF de los

Consejos Transitorios de la

Administración Regional.





Pág. 10

1.3. ESTRUCTURA ORGÁNICA

1.3.1. ORGANIGRAMA ESTRUCTURAL

CONSEJO DIRECTIVO

JEFATURA

MEDICINA

MEDICINA

MEDICINA

ODONTOLOGIA

ODONTOLOGIA

ODONTOLOGIA

OBSTETRICIA

OBSTETRICI A 1

OBSTETRICIA 2

ENFERMERIA

ENFERMERIA

TECNICAS DE ENFERMERIA

ADULTO

MAYOR

PSICOLOGIA

SANEAMIENTO AMBIENTAL

RECURSOS HUMANOS

ESTADISTICA E INFORMATICA

FARMACIA

LABORATORIO

UNIDAD DE SEGUROS

ADMISION

CONSEJO CONSULTIVO





Pág. 11

1.4. DESCRIPCIÓN DE LA INSTITUCIÓN

El Centro de Salud Pueblo Joven, es parte de la

Micro de Salud Micaela Bastidas conserva la

dependencia de la Dirección Regional de Salud de

Apurímac, desarrolla sus actividades prestaciones

según los lineamientos de la política del sector y

comprometidos con la salud pública de educadores

Sanitarios de la organización interna y de la

población en general. En cumplimiento a la

normatividad el Centro de Salud Pueblo Joven es una

institución dedicada a los servicios y a la atención

de salud básica, primaria y urgente ante situaciones

de salud que deben ser tratadas.

1.4.1. VISIÓN

Somos un Centro de Salud con gerencia moderna,

adecuado para la prestación de servicios

modelos de calidad, debidamente equipada para

la resolución de problemas de salud de su

ámbito, bajo los principios de atención

integral con equidad, eficiencia y calidad.

1.4.2. MISIÓN

Garantizar la salud individual y colectiva de

la población de su ámbito, en forma integral,

con equidad, eficiencia y calidad, con énfasis

en las zonas de riesgos identificadas y

mediante actividades preventivo promocionales

y recuperativas bajo el enfoque de género y

estilos saludables.

1.5. OBJETIVOS ESTRATEGICOS





Pág. 12

El ministerio de Salud ha establecido Lineamientos

de Política del Sector Salud, con resultados a ser

alcanzados por cada una de las instituciones y

dependencias que conforman el Sector Salud.

Reducir la mortalidad materna neonatal.

Reducir la desnutrición crónica en menores de 5

años

Priorizar las intervenciones de prevención de

las enfermedades transmisibles promoviendo

estilos de vida y entornos saludables.

Reducir la mortalidad de las enfermedades

crónicas degenerativas, enfermedades

inmunoprevenibles y aquellas originadas por

factores externos.

Mejora la oferta y calidad del servicio de salud

en beneficio de la población.

Fortalecer el desarrollo y la gestión de los

recursos humanos en salud.

Asegurar el acceso y disponibilidad de

medicamentos de calidad.

Fortalecer el rol de rectoría en los diferentes

niveles de gobierno.

Los Objetivos Estratégicos del Centro de Salud

Pueblo Joven al 2015.

Priorizar las intervenciones de prevención de

las enfermedades.

Fortalecer la oferta y calidad de los servicios

de salud.

Fortalecer el desarrollo y la gestión de los

recursos humanos.





Pág. 13

1.6. OBJETIVOS GENERALES Y ESPECIFICOS

1.6.1. OBJETIVO GENERAL

Fortalecer y mejorar las intervenciones

de prevención de las enfermedades y

transmisibles y no trasmisibles,

promoviendo estilo de vida saludables en

la población.

Optimizar y fortalecer la oferta de los

servicios de salud con énfasis en la

mejora continua de la calidad de

atención.

Mejorar las competencias del personal de

salud mediante la implementación de

actividades de capacitación en forma

continua de acuerdo a la demanda y

necesidades del centro de salud.

1.6.2. OBJETIVO ESPECIFICO

Mejorar las intervenciones de prevención

de las enfermedades transmisibles y no

transmisibles promoviendo estilos de vida

y entornos saludables.

competencias del personal de salud

mediante la implementación de actividades

de capacitación en forma continúa de

acuerdo a la demanda y necesidades del

centro de salud.

Mejoramiento de la infraestructura y

equipamiento de los servicios de salud.

Ampliación de cobertura y calidad en la

atención de los servicios de salud.





Pág. 14

Implementar las políticas de

desarrollo de los recursos humanos en

el centro de salud.





Pág. 15

CAPITULO II

MARCO TEORICO





Pág. 16

2. CAPÍTULO II

2.1. MARCO TEÓRICO

2.1.1. RED INFORMÁTICA

Red informática, es un conjunto de equipos

informáticos conectados por medios físicos y/o

lógicos o cualquier otro método de transporte

de datos, que comparten información,

servicios, etc. Una red de comunicaciones es

un conjunto de medios técnicos que permiten la

comunicación a distancia entre equipos

autónomos.

Normalmente se trata de transmitir datos,

audio y vídeo por ondas electromagnéticas a

través de diversos medios, compartiendo

información, recursos como CD-ROM, impresoras,

grabadoras de DVD y servicios como e-mail,

Chat, conexiones a Internet, juegos, etc.

Podemos clasificar a cualquier red informática

según la direccionalidad de los datos o por

los tipos de transmisión: Red informática

simplex unidireccional, en la que una

computadora transmite y otra recibe. Red

informática half-duplex bidireccionales, en la

que solo una computadora transmite por vez. Y

la Red informática full-duplex, red en la que

ambas computadoras pueden transmitir y recibir

información a la vez.

Una red tiene tres niveles de componentes:

software de aplicaciones, software de red y

hardware de red.





Pág. 17

El software de aplicaciones está formado por

programas informáticos que se comunican con

los usuarios de la red y permiten compartir

información (como archivos, gráficos o vídeos)

y recursos (como impresoras o unidades de

disco).

2.1.2. FUNCIONAMIENTO Y GESTIÓN DE LAS REDES

La gestión de red trata acerca de cómo se

controla y vigila el correcto funcionamiento

de todos los equipos informáticos conectados

entre sí con la finalidad de compartir

información y recursos mediante distintos

elementos de conexión. Las redes pueden ser

objeto de acceso ilegal, por lo que los

archivos y recursos deben de protegerse, un

intruso que se introdujera en la red podría

espiar los paquetes enviados por la red o

enviar mensajes ficticios.

http://www.google.com.pe/url?sa=i&rct=j&q=IMAGEN+DE+REDES&source=images&cd=&cad=rja&docid=i0QRDMM_GOBAlM&tbnid=NStyWa_Io6dKHM:&ved=0CAUQjRw&url=http://benjamanin-franklin.blogspot.com/2011/06/tipos-de-redes.html&ei=Kl70UbTZJ4Hc8ASryICYDw&bvm=bv.49784469,d.eWU&psig=AFQjCNHX5Ywy6IqnXIkeS3Xlpx4bY4paMw&ust=1375055750588903





Pág. 18

En el caso de información sensible el cifrado

de los datos hace que un intruso no pueda leer

los paquetes que lleguen a su poder. La

mayoría de los servidores poseen medida de

seguridad y autentificación para garantizar

que una petición de leer o modificar un

fichero o de utilizar recursos procede de un

usuario legítimo y no de un intruso.

A través de la compartición de información de

una red LAN o Wireless, los usuarios de los

sistemas informáticos de una organización

podrán hacer un mejor uso de los mismos,

mejorando de este modo el rendimiento global

de la organización.

Un centro de gestión de red dispone de tres

tipos principales de recursos.

Métodos de Gestión. Definen las pautas de

comportamiento de los demás componentes del

centro de gestión de red ante determinadas

circunstancias.

Recursos Humanos. Personal encargo del

correcto funcionamiento del centro de gestión

de red.

Herramienta de Apoyo. Herramienta que facilita

las tareas de gestión a los operadores humanos

y posibilitan minimizar el número de estos.

Esta gestión de red es crucial para que un

sistema complejo de ordenadores y recursos

interconectados puedan funcionar y proteger el

ataque de intrusos que desean introducirse en

la red para espiar los paquetes enviados por

este medio enviar mensajes ficticios.





Pág. 19

2.1.3. SERVICIOS DE RED

Todos los servicios de red están basados en la

relación Cliente/Servidor. Los servicios de

red es la creación de una red de trabajo en un

ordenador. La finalidad de una red es que los

usuarios de los sistemas informáticos de una

organización puedan hacer un mejor uso de los

mismos mejorando de este modo el rendimiento

global de la organización Así las

organizaciones obtienen una serie de ventajas

del uso de las redes en sus entornos de

trabajo, como pueden ser:

Mayor facilidad de comunicación.

Mejora de la competitividad.

Mejora de la dinámica de grupo.

Reducción del presupuesto para uso de

Software.

Reducción de los costos de proceso por

usuario.

Mejoras en la administración de los

programas.

Mejoras en la integridad de los datos.

Mejora en los tiempos de respuesta.

Flexibilidad en el proceso de datos.

Mayor seguridad para acceder a la

información.

Posibilidad de organizar grupos de

Trabajo.





Pág. 20

DHCP: facilita la administración automatizando

la asignación de direcciones IP a los nodos de

la red. Los servidores de autenticación son

otro servicio de red, estos permiten a cada

usuario tener su propia cuenta y todo lo que

hagan con esa cuenta esta registrado bajo su

nombre de usuario.

Para que todo esto sea posible, la red debe

prestar una serie de servicios a sus usuarios,

como son:

Acceso: Los servicios de acceso a la red se

encargan tanto de la verificación de la

identidad del usuario para determinar cuáles

son los recursos de la misma que puede

utilizar, como servicios para permitir la

conexión de usuarios de la red desde lugares

remotos.

Control de acceso: Para el control de acceso,

el usuario debe identificarse conectándose con

un servidor en el cual se autentifica por

medio de un nombre de usuario y una clave de

acceso. Si ambos son correctos, el usuario

puede conectarse a la red.

Acceso remoto: En este caso, la red de la

organización está conectada con redes públicas

que permiten la conexión de estaciones de

trabajo situadas en lugares distantes.

Dependiendo del método utilizado para

establecer la conexión el usuario podrá

acceder a unos u otros recursos.





Pág. 21

Ficheros: El servicio de ficheros consiste en

ofrecer a la red grandes capacidades de

almacenamiento para descargar o eliminar los

discos de las estaciones. Esto permite

almacenar tanto aplicaciones como datos en el

servidor, reduciendo los requerimientos de las

estaciones. Los ficheros deben ser cargados en

las estaciones para su uso.

Impresión: Permite compartir impresoras de

alta calidad, capacidad y coste entre

múltiples usuarios, reduciendo así el gasto.

Existen equipos servidores con capacidad de

almacenamiento propio donde se almacenan los

trabajos en espera de impresión, lo cual

permite que los clientes se descarguen de esta

información con más rapidez.

Una variedad de servicio de impresión es la

disponibilidad de servidores de fax, los

cuales ponen al servicio de la red sistemas de

fax para que se puedan enviar éstos desde

cualquier estación. En ciertos casos, es

incluso posible enviar los faxes recibidos por

correo electrónico al destinatario.

Correo: El correo electrónico es la aplicación

de red más utilizada. Permite claras mejoras

en la comunicación frente a otros sistemas.

Por ejemplo, es más cómodo que el teléfono

porque se puede atender al ritmo determinado

por el receptor, no al ritmo de los llamantes.

Además tiene un costo menor para transmitir

iguales cantidades de información. Frente al

correo





Pág. 22

convencional tiene la clara ventaja de la

rapidez.

Información: Los servidores de información

pueden bien servir ficheros en función de sus

contenidos como pueden ser los documentos

hipertexto, como es el caso de esta

presentación. O bien, pueden servir

información dispuesta para su proceso por las

aplicaciones, como es el caso de los

servidores de bases de datos.

Otros: Las redes modernas, con grandes

capacidades de transmisión, permiten

transferir contenidos diferentes de los datos,

como pueden ser imágenes o sonidos. Esto

permite aplicaciones como:

Estaciones integradas (voz y datos).

Telefonía integrada.

Servidores de imágenes.

Videoconferencia de sobremesa.

Redes sociales.

Para la prestación de los servicios de red se

requiere que existan sistemas en la red con

capacidad para actuar como servidores. Los

servidores y servicios de red se basan en los

sistemas operativos de red.

Un sistema operativo de red es un conjunto de

programas que permiten y controlan el uso de

dispositivos de red por múltiples usuarios.

Estos programas interceptan las peticiones de

servicio de los usuarios y las dirigen a los





Pág. 23

equipos servidores adecuados. Por ello, el

sistema operativo de red, le permite a ésta

ofrecer capacidades de multiproceso y

multiusuario. Según la forma de interacción de

los programas en la red, existen dos formas de

arquitectura lógica:

Cliente-servidor: Este es un modelo de proceso

en el que las tareas se reparten entre

programas que se ejecutan en el servidor y

otros en la estación de trabajo del usuario.

En una red cualquier equipo puede ser el

servidor o el cliente. El cliente es la

entidad que solicita la realización de una

tarea, el servidor es quien la realiza en

nombre del cliente. Este es el caso de

aplicaciones de acceso a bases de datos, en

las cuales las estaciones ejecutan las tareas

del interfaz de usuario (pantallas de entrada

de datos o consultas, listados, etc) y el

servidor realiza las actualizaciones y

recuperaciones de datos en la base.

En este tipo de redes, las estaciones no se

comunican entre sí.

Las ventajas de este modelo incluyen:

Incremento en la productividad.

Control o reducción de costos al

compartir recursos.

Facilidad de administración, al

concentrarse el trabajo en los

servidores.

Facilidad de adaptación.





Pág. 24

Redes de pares (peer-to-peer): Este modelo

permite la comunicación entre usuarios

(estaciones) directamente sin tener que pasar

por un equipo central para la transferencia.

Las principales ventajas de este modelo son:

Sencillez y facilidad de instalación,

administración y uso.

Flexibilidad. Cualquier estación puede ser

un servidor y puede cambiar de papel, de

proveedor a usuario según los servicios.

2.1.4. EQUIPOS DE RED

1. CONCENTRADORES.

Son equipos que permiten estructurar el

cableado de las redes. La variedad de tipos

y características de estos equipos es muy

grande. En un principio eran solo

concentradores de cableado, pero cada vez

disponen de mayor número de capacidades,

como aislamiento de tramos de red, capacidad

de conmutación de las salidas para aumentar

la capacidad de la red, gestión remota, etc.

La tendencia es a incorporar más funciones

en el concentrador.

Existen concentradores para todo tipo de

medios físicos.

http://www.google.com.pe/url?sa=i&rct=j&q=CONCENTRADOR&source=images&cd=&cad=rja&docid=dKOvns_EUItFcM&tbnid=djPh7l_TmpRTmM:&ved=0CAUQjRw&url=http://wwwredcomp.blogspot.com/2011/06/red-de-computadoras.html&ei=Cmj0UcmRE46-9gS67YGADw&bvm=bv.49784469,d.eWU&psig=AFQjCNEAtNgM6WWBnDcHIUU7rm7mLSUEMw&ust=1375058233602379





Pág. 25

2. NIC/MAU – TARJETA DE RED.

Network Interface Card (Tarjeta de interfaz

de red) o Medium Access Unit (unidad de acceso

al medio). Es el dispositivo que conecta la

estación (ordenador u otro equipo de red) con

el medio físico. Se suele hablar de tarjetas

en el caso de los ordenadores, ya que la

presentación suele ser como una tarjeta de

ampliación de los mismos, diferente de la

placa de CPU, aunque cada vez son más los

equipos que disponen de interfaz de red,

principalmente Ethernet, incorporado.

A veces, es necesario, además de la tarjeta

de red, un transceptor.

Este es un dispositivo que se conecta al

medio físico y a la tarjeta, bien porque no

sea posible la conexión directa (10base5) o

porque el medio sea distinto del que utiliza

la tarjeta.

http://www.google.com.pe/url?sa=i&source=images&cd=&docid=IEWuYZbSyVzQqM&tbnid=8Evd43FEhwba6M:&ved=0CAgQjRwwAA&url=http://lofranba.wikispaces.com/Tarjeta+de+red&ei=Omj0UYGkMYmI9gSo8oGICw&psig=AFQjCNENZGqTmP25osCoFKeDGoF0QKNDZQ&ust=1375058362847336





Pág. 26

3. REPETIDORES.

Son equipos que actúan a nivel físico.

Prolongan la longitud de la red uniendo dos

segmentos y amplificando la señal, pero junto

con ella amplifican también el ruido. La red

sigue siendo una sola, con lo cual, siguen

siendo válidas las limitaciones en cuanto al

número de estaciones que pueden compartir el

medio.

4. BRIDGES.

Son equipos que unen dos redes actuando sobre

los protocolos de bajo nivel, en el nivel de

control de acceso al medio.

Solo el tráfico de una red que va dirigido a

la otra atraviesa el dispositivo. Esto permite

a los administradores dividir las redes en

segmentos lógicos, descargando de tráfico las

interconexiones.

Los bridges producen las señales, con lo cual

no se transmite ruido a través de ellos.

http://www.google.com.pe/url?sa=i&rct=j&q=IMAGEN+REPETIDORES+EN+RED&source=images&cd=&cad=rja&docid=TrO9y1Jse0fbUM&tbnid=4rqaf9iUQ7vi6M:&ved=0CAUQjRw&url=http://www.comunicacionesinalambricashoy.com/repetidor-inalambrico-a-300-mbps/&ei=k2j0UbOCGYSI9QTtoYDwBw&bvm=bv.49784469,d.eWU&psig=AFQjCNGJ8yWZhtEJNQus2A8U9UCC7CXiHQ&ust=1375058430721911

http://www.google.com.pe/url?sa=i&rct=j&q=IMAGEN+DE+BRIDGES+EN+RED&source=images&cd=&cad=rja&docid=6yvhaAquQ6RCSM&tbnid=Q5thyQCYDlQtnM:&ved=0CAUQjRw&url=http://info-proyect.blogspot.com/&ei=5Wj0UZ_wLY3K9gSsv4DIDA&bvm=bv.49784469,d.eWU&psig=AFQjCNEtHNwmz3v-memixRBSxNfycqkzmQ&ust=1375058507213199





Pág. 27

5. ROUTERS.

Son equipos de interconexión de redes que

actúan a nivel de los protocolos de red.

Permite utilizar varios sistemas de

interconexión mejorando el rendimiento de la

transmisión entre redes. Su funcionamiento es

más lento que los bridges pero su capacidad es

mayor. Permiten, incluso, enlazar dos redes

basadas en un protocolo, por medio de otra que

utilice un protocolo diferente.

6. GATEWAYS.

Son equipos para interconectar redes con

protocolos y arquitecturas completamente

diferentes a todos los niveles de

comunicación. La traducción de las unidades de

información reduce mucho la velocidad de

transmisión a través de estos equipos.

7. CABLES DE RED (SOLO ETHERNET Y HPNA).

Los cables de red conectan equipos entre sí,

con el hardware relacionado, centradores y

enrutadores.

http://www.google.com.pe/url?sa=i&rct=j&q=IMAGEN DE cable de red EN RED&source=images&cd=&cad=rja&docid=JoGVVMsQ-I6BSM&tbnid=CMpiYR9wGBVszM:&ved=&url=http://www.yobinario.net/2012/12/hacer-un-cable-de-red-normal-y-cruzado.html&ei=mmr0UbjdD5LW8gSgoIHADg&bvm=bv.49784469,d.eWU&psig=AFQjCNHmvg1943KlQJ5G8IeKBvEfnJ4u7w&ust=1375058970716836

http://www.google.com.pe/url?sa=i&rct=j&q=IMAGEN+DE+ROUTERS+EN+RED&source=images&cd=&cad=rja&docid=AHz1jsPxvQiKCM&tbnid=THH8fpxKd81aiM:&ved=0CAUQjRw&url=http://josrodxd.blogspot.com/2010/04/tecnologias-y-sistemas-de-comunicacion.html&ei=M2n0UZirFJKE9QSGzoGwBQ&bvm=bv.49784469,d.eWU&psig=AFQjCNGVLm-7lRyGaK2x8SmjMUBo7Sa_yg&ust=1375058585709122





Pág. 28

8. CONECTOR O PLUG RJ-45

Conector de plástico en donde se ubican los 8

hilos del cable UTP siguiendo un código de

colores, Estos plug sirven para conectar los

puertos de las tarjetas de red a los puntos de

red, path panel y a los puertos hub o switch.

9. SERVIDORES DE TERMINALES E IMPRESORAS.

Son equipos que permiten la conexión a la red

de equipos periféricos tanto para la entrada

como para la salida de datos. Estos

dispositivos se ofrecen en la red como

recursos compartidos. Así un terminal

conectado a uno de estos dispositivos puede

establecer sesiones contra varios ordenadores

multiusuario disponibles en la red.

Igualmente, cualquier sistema de la red puede

imprimir en las impresoras conectadas a un

servidor.

http://www.google.com.pe/url?sa=i&rct=j&q=IMAGEN DE conectorEN RED&source=images&cd=&cad=rja&docid=Qlex2XBKdZz3WM&tbnid=hURm2YfTREohBM:&ved=0CAUQjRw&url=http://recursos.cepindalo.es/moodle/file.php/94/v3/adminv3/lan.html&ei=V2v0UfmHJo368QSzvIDYCQ&bvm=bv.49784469,d.eWU&psig=AFQjCNGjbO5DQz4yvlCZU44S0Uj-BCgYPQ&ust=1375059070236303

http://www.google.com.pe/url?sa=i&rct=j&q=imagen de servidor de terminales&source=images&cd=&cad=rja&docid=OeIwGL_SDHi7UM&tbnid=QpvdgBc-yIxBqM:&ved=0CAUQjRw&url=http://www.fibraopticahoy.com/switch-industrial-y-servidor-de-terminales/&ei=C2z0Ub3QLIXy8AS93YCQAQ&bvm=bv.49784469,d.eWU&psig=AFQjCNEI15GYOPBC46nYkejX-RijVVTgrg&ust=1375059268606503





Pág. 29

2.1.5. ESTÁNDAR PARA EL CABLEADO DE

TELECOMUNICACIONES (TIA/EIA 568-B)

El estándar TIA/EIA568B se desarrolló gracias a

la contribución de más de 60 organizaciones,

incluyendo fabricantes, usuarios finales, y

consultoras. Los trabajos para la

estandarización comenzaron en 1985, cuando la

Asociación para la Industria de las

Comunicaciones y las Computadoras (CCIA)

solicitó a la Alianza de Industrias de

Electrónica (EIA), una organización de

Normalización, que definiera un estándar para

el cableado de sistemas de telecomunicaciones.

EIA acordó el desarrollo de un conjunto de

estándares, y se formó el comité TR-42, con

nueve subcomités para desarrollar los trabajos

de estandarización.

La primera revisión del estándar, TIA/EIA-568-

A.1-1991, se emitió en 1991 y fue actualizada

en 1995. La demanda comercial de sistemas de

cableado aumentó fuertemente en aquel período,

debido a la aparición de los ordenadores

personales y las redes de comunicación de

datos, y a los avances en estas tecnologías. El

desarrollo de cables de pares cruzados de altas

prestaciones y la popularización de los cables

de fibra óptica, conllevaron cambios

importantes en el estándar, que fue sustituido

por el actual conjunto de estándares TIA/EIA-

568-B.





Pág. 30

TIA/EIA-568-B intenta definir estándares que

permitirán el diseño e implementación de

sistemas de cableado estructurado para

edificios comerciales y entre edificios en

entornos de campus. El sustrato de los

estándares es campus y define los tipos de

cables, distancias, conectores, arquitecturas,

terminaciones de cables y características de

rendimiento, requisitos de instalación de cable

y métodos de pruebas de los cables instalados.

El estándar principal, el TIA/EIA-568-B.1

define los requisitos generales, mientras que

TIA/EIA-568-B.2 se centra en componentes de

sistemas de cable de pares balanceados y el -

568-B.3 aborda componentes de sistemas de cable

de fibra óptica.

La intención de estos estándares es

proporcionar una serie de prácticas

recomendadas para el diseño e instalación de

sistemas de cableado que soporten una amplia

variedad de los servicios existentes, y la

posibilidad de soportar servicios futuros que

sean diseñados considerando los estándares de

cableado. El estándar pretende cubrir un rango

de vida de más de diez años para los sistemas

de cableado comercial. Este objetivo ha tenido

éxito en su mayor parte, como se evidencia con

la definición de cables de categoría 5 en 1991,

un estándar de cable que satisface la mayoría

de requerimientos para 1000BASE-T, emitido en

1999.





Pág. 31

Todos estos documentos acompañan a estándares

relacionados que definen caminos y espacios

comerciales (569-A), cableado residencial (570-

A), estándares de administración (606), tomas

de tierra (607) y cableado exterior (758).

También se puede decir que este intento definir

estándares permitieron determinar, además del

diseño e implementación en sistema de cableado

estructurado, qué cables de par trenzados

utilizar para estructurar conexiones locales.

2.1.6. PROTOCOLOS DE RED

Podemos definir protocolo como el conjunto de

normas que regulan la comunicación

(establecimiento, mantenimiento y cancelación)

entre los distintos componentes de una red

informática.

Los protocolos de red organizan la información

(control de datos) para su transmisión por el

medio físico a través de los protocolos de bajo

nivel.

TCP/IP.

Este no es un protocolo, sino un conjunto de

protocolos, que toma su nombre de los dos más

conocidos: TCP (Transmission Control Protocol,

protocolo de control de transmisión) e IP

(Internet Protocol). Esta familia de protocolos

es la base de la red Internet, la mayor red de

ordenadores del mundo. Por lo cual, se ha

convertido en el más extendido.





Pág. 32

IPX/SPX.

Internet Packet eXchange(Intercambio de

Paquetes inter red).

Sequenced Packet eXchange(Intercambio de

Paquetes Secuenciados).

Es el conjunto de protocolos de bajo nivel

utilizados por el sistema operativo de red

Netware de Novell. SPX actúa sobre IPX para

asegurar la entrega de los datos.

DECnet.

Es un protocolo de red propio de Digital

Equipement Corporation (DEC), que se utiliza

para las conexiones en red de los ordenadores y

equipos de esta marca y sus compatibles. Está

muy extendido en el mundo académico.

Uno de sus componentes, LAT (Local Area

Transport, transporte de área local), se

utiliza para conectar periféricos por medio de

la red y tiene una serie de características de

gran utilidad como la asignación de nombres de

servicio a periféricos o los servicios

dedicados.

X.25.

Es un protocolo utilizado principalmente en WAN

y, sobre todo, en las redes públicas de

transmisión de datos. Funciona por conmutación

de paquetes, esto es, que los bloques de datos

contienen información del origen y destino de

los mismos para que la red los pueda entregar

correctamente aunque cada uno circule por un

camino diferente.





Pág. 33

AppleTalk.

Este protocolo está incluido en el sistema

operativo del ordenador Apple Macintosh desde

su aparición y permite interconectar

ordenadores y periféricos con gran sencillez

para el usuario, ya que no requiere ningún tipo

de configuración por su parte, el sistema

operativo se encarga de todo. Existen tres

formas básicas de este protocolo:

LocalTalk.

Es la forma original del protocolo. La

comunicación se realiza por uno de los puertos

serie del equipo. La velocidad de transmisión

no es muy rápida pero es adecuada para los

servicios que en principio se requerían de

ella, principalmente compartir impresoras.

Ethertalk.

Es la versión de AppleTalk sobre Ethernet. Esto

aumenta la velocidad de transmisión y facilita

aplicaciones como la transferencia de ficheros,

opera a una velocidad de 10 Mbps, Fast Ethernet

opera a una velocidad de 100 Mbps

Tokentalk.

Es la versión de Appletalk para redes

Tokenring, opera a 4 o 16 Mbps.

NetBEUI.

NetBIOS Extended User Interface (Interfaz de

usuario extendido para NetBIOS). Es la versión

de Microsoft del NetBIOS (Network Basic

Input/Output System, sistema básico de





Pág. 34

entrada/salida de red), que es el sistema de

enlazar el software y el hardware de red en los

PCs. Este protocolo es la base de la red de

Microsoft Windows para Trabajo en Grupo, aunque

netbeui es la mejor elección como protocolo

para la comunicación dentro de una LAN el

problema es que no soporta el enrutamiento de

mensajes hacia otras redes, que deberá hacerse

a través de otros protocolos.





Pág. 35

CAPITULO III

AUDITORIA DE LA RED

INFORMATICA A LA INSTITUCION





Pág. 36

3. CAPÍTULO III

3.1. AUDITORIA DE LA RED INFORMATICA APLICADA AL CENTRO

DE SALUD PUEBLO JOVEN.

I. INTRODUCCIÓN.

El presente trabajo hace mención a un informe

detallado sobre el proceso o elaboración de una

Auditoria a la red informática aplicada al Centro

de Salud Pueblo Joven.

Para ello empezamos a conocer los aspectos

generales del Centro de Salud Pueblo Joven,

durante el proceso de la elaboración de la

auditoria a la red informática, verificamos

diferentes aspectos, actividades que se realizan

dentro la institución.

Para la auditoria en si elaboramos un esquema a

seguir damos una amplia gama de procesos de

calidad y selección de información verídica

quienes gracias a la colaboración de nuestra

fuente logramos dar alcance a todos los aspectos

que cumplen con un proceso auditable.

En resumen a este trabajo de Auditoría

Informática, encontramos en primer lugar la

Organización Institucional, especificando el

detalle y formación de nuestra fuente,

seguidamente los Objetivos de la Auditoria

Informática a nuestra fuente en función al primer

aspecto que vista la realidad operacional.

Se ha desarrollado un plan de elaboración de

auditoría en base al proceso del esquema,

encontrando en ello diferentes inquietudes que

describen en pasos para encontrar una real y

consistente información.





Pág. 37

Se ha utilizado técnicas y herramientas de

auditoría, estudio del sistema auditable, los

recursos que usamos en función a este proceso, la

auditoria elaborada en todos sus aspectos

informáticos y organizacional, culminando con el

informe general que sustente todo este trabajo

mostrando todas las inquietudes, logros,

beneficios, debilidades y otras razones que

mejoren el proceso informático de la fuente

auditada.

La auditoría una vez culminada nos mostrara o dará

como resultado las diferentes debilidades,

fortalezas y/o carencias que presenta la

institución para de esta forma tener un precedente

de ayuda para la gerencia y el fortalecimiento de

las diversas actividades que se contempla dentro

del marco de la auditoria.

Empezamos este trabajo para mejorar los aspectos

de nuestra fuente auditable y no cuestionar ni

mucho menos debilitar los procesos, actividades y

funciones que poco a poco van mejorando en la

estructura de su funcionalidad como institución.





Pág. 38

II. ALCANCE DE LA AUDITORIA INFORMÁTICA.

2.1. ORGANIGRAMA.

CONSEJO DIRECTIVO

JEFATURA

MEDICINAODONTOLOGI

AOBTETRICIA ENFERMERIA

ADULTO MAYOR


RECURSOS HUMANOS


FARMACIA

LABORATORIO

UNIDAD DE SEGUROS

ADMISION

CONSEJO CONSULTIVO





Pág. 39

2.2. AREAS FUNCIONALES DE LA ORGANIZACION.

La Estructura Orgánica del Centro de Salud

Pueblo Joven cuenta con órgano normativo y de

fiscalización, órgano de ejecutivos, órgano

de línea y de apoyo

Órgano Normativo y de Fiscalización.

Consejo Directivo.

Órgano Ejecutivo.

Jefe/Gerente

Órgano Línea.

Área de Medicina

Área de Odontología.

Área de Obstetricia.

Área de Enfermería.

Área de Adulto Mayor.

Área de Saneamiento Ambiental.

Órgano Apoyo.

Área de Recursos Humanos.

Área de Farmacia.

Área de Laboratorio.

Área de Admisión

Área de Unidad de Seguros.

Área de Estadística e Informática.

2.3. RELACIONES JERÁRQUICAS Y FUNCIONALES ENTRE

ÓRGANOS DE LA ORGANIZACIÓN.

Las áreas funcionales del Centro de Salud

Pueblo Joven dependen jerárquicamente del

Jefe/Gerente.

Las funciones del Jefe/Gerente del Centro de

Salud Pueblo Joven Centenario son:

Planear

Organizar.





Pág. 40

Dirigir

Gestionar.

Administrar.

Ejecutar.

Coordinar.

Evaluar.

Supervisar y control.

Las atenciones que debe de realizar el

Centro de Salud Pueblo Joven en beneficio de

toda la población a costos accesibles de

acuerdo a las posibilidades económicas y de

esta manera mejorar la calidad de vida de

las personas.

2.4. NÚMERO DE PUESTOS DE TRABAJO.

CARGO

ESTRUCTURADO

NUMERO DE

PERSONAS

GERENCIA JEFE/GERENTE 01

RECURSOS HUMANOS JEFE RECURSOS HUMANOS 01

AREA DE MEDICINA

COORDINADOR MEDICO 01

MEDICOS CIRUJANOS 03

AREA ODONTOLOGIA

COORDINADOR

ODONTOLOGO

01

CIRUJANOS

DENTISTAS

02

AREA DE OBSETRICIA

COORDINADOR

OBSTETRA

01

OBSTETRA 04

AREA DE ENFERMERIA

CORDINADOR

ENFERMERIA

01

ENFERMERAS 06

TECNICAS DE

ENFERMERIA.

08

AREA DE ADULTO

COORDINADOR ADULTO

MAYOR

01





Pág. 41

MAYOR PSICOLOGOS 01

AREA

SANEAMIENTO

AMBIENTAL

COORDINADOR

SANEAMIENTO

AMBIENTAL

01

AREA DE FARMACIA

RESPONSABLE DE

FARMACIA QUIMICO

FARMACEUTICO

01

TECNICO EN

FARMACIA

01

AREA DE

LABORATORIO

RESPONSABLE DE

LABORATORIO

BIOLOGO

01

AREA DE ADMISION

RESPONSABLE DE

ADMISION

01

TECNICOS 03

AUXILIARES 04

AREA DE UNIDAD DE

SEGUROS

RESPONSABLE UNIDAD

DE SEGUROS

01

ADMINISTRATIVOS 02

DIGITADORES 02

AREA DE

ESTADISTICA E

INFORMATICA

RESPONSABLE DE

ESTADISTICA E

INFORMATICA

01

DIGITADORES 02

TOTAL 52





Pág. 42

III. OBJETIVOS DE LA AUDITORIA A LA RED INFORMÁTICA.

La auditoría a la red informática del centro de

salud Pueblo Joven Centenario tiene como

objetivo principal proporcionar información

vital e indispensable de la situación actual

para mejorar la toma de decisiones de

información de todos los componentes que forman

e interactúan con la red informática

(ordenadores, hardware de la red, dispositivos

electrónicos, software), además de todo el

entorno que los rodea en el lugar donde se

ubican y de las personas que están encargadas

del manejo, acceso, vigilancia de estos sistemas

informáticos.

OBJETIVOS ESPECIFICOS

Obtener una visión general de la ubicación de

todos los componentes en una red informática.

Evaluar los ambientes, documentos, normativas,

planes de seguridad de todas las áreas del

centro de salud Pueblo Joven Centenario.

Identificar las políticas de seguridad de la

información dentro de la institución.

Asegurar el acceso autorizado de usuario y

prevenir accesos no autorizados a los sistemas

de información.

Revisión de la existencia de planes de

contingencia que garanticen la seguridad

física y lógica contra desastres naturales.

Revisar el correcto uso de los equipos de

cómputo.





Pág. 43

Evaluar si el personal que labora dentro de

las áreas funcionales se encuentran

capacitados y aptos para el manejo de los

equipos de la red informática.

IV. PLANEACIÓN DE LA AUDITORIA INFORMÁTICA.

4.1. FASES DE LA AUDITORIA INFORMÁTICA.

ase Actividad Fec./Inicio Fec./Fin

4.1.1 Realización del Plan de la

auditoria

Elaborar el plan de la

Auditoria.

Elaborar el plan de

cronograma de actividades.

16/05/2014 27/05/2014

4.1.2 Revisión Documental

Preliminar

Solicitud de Manuales y

documentos para la

realización de los

objetivos, funciones y

metas de la institución.

Recopilación de la

información organizacional:

estructura orgánica,

recursos humanos,

presupuestos.

28/05/2014 10/06/2014

4.1.3 Desarrollo detallada de la

Auditoria.

Entrevistas a los jefes,

coordinares, responsables y

personal del centro de

salud Pueblo Joven.

Evaluar la estructura

orgánica: gerencia,

coordinaciones y

responsables de cada área,

funciones y

responsabilidades.

Análisis de las claves de

acceso, control, seguridad,

confiabilidad y respaldos.

Evaluación de los Recursos

Humanos: desempeño,

11/06/2014 26/07/2014





Pág. 44

capacitación, condiciones

de trabajo, recursos en

materiales y financieros

mobiliarios y equipos.

Evaluación de los sistemas:

relevamiento de hardware y

Software, evaluación del

diseño lógico y del

desarrollo del sistema.

Evaluación de la red:

diseño topológico, cableado

estructurado, software de

administración de red,

seguridad en la red.

Evaluar el parque

informático (Pc’s, Laptop,

servidores).

Evaluación del Proceso de

Datos y de los Equipos de

Cómputos: seguridad de los

datos, control de

operación, seguridad física

y procedimientos de

respaldo.

4.1.4 Revisión y Pre-Informe

Revisión de los papeles de

trabajo (cuestionarios

aplicados).

Determinación del

Diagnostico e Implicancias.

Elaboración del borrador.

28/07/2014 02/08/2014

4.1.5 Entrega del Informe

Corrección del borrador

Elaboración y presentación

del Informe.

03/08/2014 7/09/2014

4.1.6 Sustentación del informe. 16/09/2013 16/09/2013

4.2. EVALUACIÓN DE LOS SISTEMAS DE ACUERDO AL

RIESGO.

Se procedió a evaluar los riesgos existentes

en todas las áreas de la institución,

evaluando de esta la forma la red

informática, el uso de los equipos





Pág. 45

informáticos, el acceso a los sistemas de

información, instalaciones eléctricas si está

debidamente instalados para su uso,

verificando si existen terminales que están

fuera de la red.

La infraestructura no está diseñada y

considerada para un buen uso y crecimiento de

la red informática, encontrando deficiencias

para el cableado de red.

Los trabajadores de la institución no tienen

conocimiento adecuado del uso de los

servicios de la red, manejo informático y

algunos programas de oficina.

Falta de implementación extintores de acuerdo

a las normas establecidas.

4.3. INVESTIGACIÓN PRELIMINAR

Para comenzar la auditoria al Centro de Salud

Pueblo Joven Centenario fueron mediante la

recolección de los diferentes documentos

legales como: políticas de seguridad, manejo

de TIC’s, ROF, CAP, MOF, Planos de

Distribución de Estructura y Red Informática.

La información preliminar nos facilitó la

recopilación de información y así poder

realizar una revisión general de las áreas

del Centro Salud Pueblo Joven Centenario por

medio de observaciones, entrevistas y

solicitudes de documentos con el fin de

definir el objetivo principal y alcance de

estudio de la auditoria.





Pág. 46

4.4. PERSONAL PARTICIPANTE

Personal Auditor Colaboradores (Auditados)

- Anatoly Rozas

Cordova

Lic. Betty Escobar Hurtado

(Gerente del Centro de

Salud)

Sr. Roger Bravo Juyo

(Responsable de

Informática).

Med. Cir. Cinthia Ponce

Valderrama (Coordinador

Medicina).

Lic. Marleny Nancy Quispe

Yucra (Coordinadora

Obstetricia).

Lic. Gilma Serrano

Sullcahuaman (Coordinadora

Enfermería).

Odont. Claudia Batállanos

Barrionuevo (Coordinadora

Odontología).

Q.F. Noelia Flores Zegarra

(Responsable Farmacia).

Tec. Maria Ysabel Cuellar

Bravo (Responsable Unidad de

Seguros).

Tec. Reynaldo Palomino

Alarcon (Responsable HIS-

MIS).





Pág. 47

V. TÉCNICAS Y HERRAMIENTAS DE LA AUDITORIA

INFORMÁTICA.

5.1. VERIFICACIÓN OCULAR

La verificación ocular nos permitió realizar

una observación de los procesos y actividades

que se van desarrollando en las diferentes

áreas del Centro de Salud Pueblo Joven

Centenario, así mismo ver de qué manera el

instalado el cableado estructurado, la

ubicación de las terminales y los dispositivos

de la red.

En las áreas se hizo una verificación ocular

con la finalidad de observar en qué estado se

encontraban los distintos dispositivos de red

con los que cuenta la institución en sus

distintas áreas y si cumplían las normas

establecidas.

Al realizar la verificación ocular en la

institución se pudo constatar que:

La institución cuentan con acceso a

internet, con el fin de que el personal

pueda establecer una comunicación de una

manera más rápida con las diferentes áreas

existentes en la institución.

Se observó que las áreas de la institución

cuenta con PC’s para el manejo de la

información.

Se observó que el área de Estadística e

Informática esta implementada con 01 PC’s,

01 impresora el cual hacen uso de ella las

PC´s de las diferentes áreas.





Pág. 48

La institución maneja la información

haciendo uso de un software integrado

(ARFSIS, HIS-MIS, HISTORIAS CLINICAS), así

mismo tiene una red interna para la

transmisión de información entre las áreas

que cuenta la institución.

Se observó la falta de ambientes y

espacios para el funcionamiento adecuado

de las respectivas áreas.

Se observó en la institución la no

existencia de mecanismos de seguridad

(extintores, detectores de humo,

aspersores, etc.)

El personal que labora dentro de la

institución tiene un conocimiento básico

del uso del software y de los equipos de

cómputo.

La distribución del cableado es inadecuado

no se ajustan a sus estándares.

Las instalaciones eléctricas se encuentran

en pésimo estado.

Infraestructura e instalaciones

inadecuadas para el funcionamiento de la

institución.

5.2. VERIFICACIÓN VERBAL

La verificación verbal permitió realizar una

investigación, de cómo se realizan los

procesos, actividades y tareas dentro de la

institución, mediante el dialogo y formulación

de preguntas, a fin de aclarar algunos

aspectos de la investigación; para ello se





Pág. 49

tuvo que recurrir a herramientas de

recolección de información como son:

Encuestas: Es una herramienta aplicada que

consiste en la aplicación de cuestionarios con

preguntas predeterminadas y posibilidad de

respuesta corta o cerrada sobre un tema

concreto que fueron aplicadas a los

coordinares y responsables de cada área

Las entrevistas: Herramienta que nos permite

un dialogo directo que se ha formulado al

personal de la institución, se hizo con la

finalidad de poder obtener información diversa

que nos servirá para la auditoria que se está

realizando.

5.3. VERIFICACIÓN DOCUMENTAL

Mediante esta técnica se realizó la

comprobación de los documentos que soportan

una transacción o acto administrativo los

cuales cumplan los requisitos como: Autoridad,

Legalidad, derecho, Propiedad y certidumbre.

Se desarrolló una revisión selectiva con el

fin de realizar un examen ocular.

Se verifico la existencia de:

ROF (Reglamento de Organización y

Funciones)

MOF (Manual de Organización y Funciones)

CAP (Cuadro de Asignación de Personal)

Inventario de los equipos de cómputo.

Inventario del software.

Patrimonio documentario de la institución.

Manuales de capacitación.





Pág. 50

Manual de usuario de los diferentes

aplicativos informáticos.

5.4. VERIFICACIÓN FÍSICA

Se realizó la visita a las diferentes áreas

para la verificación física e inspección, para

poder determinar la existencia de bienes,

documentos u otros activos los cuales nos

permiten cerciorarnos de su existencia,

autenticidad e integridad.

Se constató que en la institución cuenta en

la actualidad con los siguientes equipos de

cómputo:

Computadores (18).

Impresora (12).

Switch (02).

Acces Point (02).

5.5. VERIFICACIÓN MEDIANTE HERRAMIENTAS DE

COMPUTACIÓN

La verificación para recabar información se

hizo mediante herramientas de computación,

permitió realizar la revisión de los diversos

componentes informáticos como son: El

software, redes, programas, arquitectura

interna de las computadoras, etc.

Las siguientes herramientas para la evaluación

son:

EL Everest es un software que nos permite

reconocer todas las características de

nuestro ordenador.





Pág. 51

El AIDA brinda un reporte de las

características, arquitectura y

componentes de los equipos de cómputo.

Antivirus: ESET Nod32, este utilitario

reporto la existencia de virus, gusanos,

troyanos y otros malware maliciosos en los

ordenadores de la institución.

Wifislax: sistema operativo que administra

y gestiona la seguridad de la red.

VI. TÉCNICAS DE TRABAJO

6.1. ANÁLISIS DE LA INFORMACIÓN RECABADA DEL

AUDITADO.

Se recabo la información brindada por cada

una de las áreas de la institución es la

siguiente:

Inventarios de componentes de computo

(parque informático) por cada área.

Descripción de las funciones que se

realizan en las diferentes áreas.

Organigrama de la institución.

Normas de la institución.

6.2. ANÁLISIS DE LA INFORMACIÓN PROPIA.

A través de los instrumentos aplicados en la

institución se recopilo información de

diferente naturaleza, dando sustento a

nuestra investigación.





Pág. 52

6.3. CRUZAMIENTO DE LAS INFORMACIONES ANTERIORES.

Por propia cuenta se obtuvo información,

viendo los resultados obtenidos podemos

dilucidar ciertas coherencias de parte del

auditado con el auditor en cuanto a la

documentación, observación, etc. El cual nos

servirá para la elaboración de la conclusión,

recomendación y puntos que deberán tomarse en

cuenta.

6.4. ENTREVISTAS.

Este instrumento facilita la recopilación de

datos para luego ser tabulados e

interpretados.

El mismo que se aplicó al personal de la

institución quienes tuvieron la gentileza de

brindarnos datos relevantes para nuestros

objetivos.

6.5. CUESTIONARIOS

Este instrumento conto con preguntas

dicotómicas, opción múltiple. El cual se

aplicó al personal de la institución.

VII. HERRAMIENTAS.

7.1. CUESTIONARIO GENERAL INICIAL.

Para poder realizar la dicha auditoria, se

formuló un cuestionario para el personal de

la institución.

1.Nombre de la Institución

2.Misión de la Institución.

3.¿Cuál es su profesión?

4.¿Cargo y responsabilidad que ocupa?





Pág. 53

5.¿Cuáles son las áreas funcionales en la

institución?

6.¿Con cuántas áreas cuenta la Institución?

7.¿Cuáles son los objetivos de las áreas?

8.¿Qué funciones cumplen cada área?

9.¿Cuántas personas laboran en cada área?

10.¿Cuenta con área de informática o un área

similar?

VIII. ESTUDIO INICIAL DEL ENTORNO QUE SE AUDITARÁ.

8.1. SITUACIÓN GEOGRÁFICA DE LOS SISTEMAS DE

SOFTWARE.

El Centro de Salud Pueblo Joven Centenario

se encuentra ubicado en la Av. Centenario

s/n Villa Ampay Provincia de Abancay y

Departamento de Apurímac.

8.2. INVENTARIO DE HARDWARE Y SOFTWARE.

Inventario de Hardware del Centro de Salud

Pueblo Joven Centenario.

UBICACIÓN DESCCRIPCION Nº

COMPUTADORA

Nº

LAPTOP

AMBIENTE

01

GERENCIA/JEFATURA 02 01

RECURSOS HUMANOS 01

FARMACIA 02

LABORATORIO 01

ESTADISTICA E

INFORMATICA 01

SANEAMIENTO

AMBIENTAL 01

AMBIENTE

02

MEDICINA 01

ODONTOLOGIA 01

OBSTETRICA 01

ENFERMERIA 01

ADULTO MAYOR 01

ADMISION 02

UNIDAD DE SEGUROS 03





Pág. 54

Las características de las computadoras y la

laptop se podrán apreciar en el anexo 01.

Inventario de Software del Centro de Salud

Pueblo Joven Centenario.

SISTEMAS OPERATIVOS

PC CON LICENCIA PC SIN LICENCIA

WINDOWS XP 0 6

WINDOWS

VISTA 1

0

WINDOWS 7 0 12

OFIMATICA


MS OFFICE

2003 0

6

MS OFFICE

2007 0

12

ARCVIEW 0 1

ADOBE READER 0 19

ANTIVIRUS


NOD 32 0 19

OTROS APLICATIVOS


HIS 0 1

ARFSIS 0 3

8.3. COMUNICACIÓN Y REDES DE COMUNICACIÓN

Se observa que el Centro de Salud Pueblo

Joven Centenario cuenta con una red LAN

con acceso a internet.





Pág. 55

IX. DETERMINACIÓN DE LOS RECURSOS NECESARIOS PARA

REALIZAR LA AUDITORIA.

9.1. RECURSOS MATERIALES.

9.1.1. RECURSOS MATERIALES SOFTWARE

Para recabar información de los

recursos que tiene cada PC’c, se

utilizó el Everest V 2.20, el SW Aida

la cual nos permite obtener

información sobre las características

que tiene la PC, así como software de

seguridad, redes, etc.

9.1.2. RECURSOS MATERIALES HW

Dentro de los recursos materiales

tenemos una amplia variedad de

componentes computacionales como

tarjetas de video, placas madre,

procesadores de diversas marcas que

nos permiten ver el rendimiento,

funcionalidad, etc. de los diversos

terminales con las que cuenta la

institución, se hizo el uso d:

USB’s

Cámara Fotográfica.

Testeador de red alámbricas e

inalámbricas.

9.2. RECURSOS HUMANOS.

Para la auditoria que se realizó al Centro de

Salud se contó con el practicante: Anatoly

Rozas Cordova. Que están realizando sus

prácticas pre-profesionales.





Pág. 56

9.3. SITUACIÓN PRESUPUESTAL Y FINANCIERA.

9.3.1. PRESUPUESTOS

Para poder realizar el proyecto actual

de la auditoria a la red informática

no se contó con presupuesto ni

financiamiento, el financiamiento fue

sostenible personalmente para

encaminar el proyecto de dicha

auditoria.

CONCEPTO MONTO

MATERIAL DE OFICINA (PAPELES

TINTA, ETC

S/.

120.00

TRANSPORTE Y MOVILIDAD S/.

220.00

GASTOS VARIOS S/.

200.00

TOTAL S/.

540.00





Pág. 57

CAPITULO IV

TECNICAS Y HERRAMIENTAS

DE LA AUDITORIA

INFORMATICA





Pág. 58

X. CAPITULO IV

10.1. AUDITORIA FISICA

A. OBJETIVOS.

OBJETIVO ENERAL

Revisar, inspeccionar y evaluar los recursos

destinados a proteger físicamente todos los

componentes que forman e interactúan con la red

informática (ordenadores, hardware de la red,

dispositivos electrónicos, etc), además de todo el

entorno que los rodea en el lugar donde se ubican

y de las personas que están encargadas del manejo,

acceso, vigilancia de estos sistemas informáticos.

OBJETIVOS ESPECIFICOS

Identificar las políticas de seguridad de la

información.

Revisión de la existencia de planes de

contingencia que garanticen la seguridad

física contra desastres naturales.

Verificar si se cuenta con los recursos

necesarios para poder contrarrestar cualquier

desastre natural.

Evaluar las medidas de seguridad contra

acciones hostiles verificando la seguridad del

personal, datos, hardware, software,

instalaciones, documentos confidenciales, etc.

Verificar la infraestructura.

Revisar el correcto uso de los equipos de

cómputo.





Pág. 59

Evaluar si el personal que labora en la

institución se encuentra capacitado y apto

para el manejo de los equipos de cómputo y la

red.

B. ALCANCE

Sistemas técnicos de seguridad y protección.

Organización y cualificación del personal de

seguridad.

Equipos de cómputo, software, instalaciones

eléctricas, infraestructura, documentos, etc.

Ambiente de trabajo.

Planes y procesamiento.

C. HALLASGOS POTENCIALES.

No se cuenta con un plan de contingencia ante

cualquier emergencia ya sea incendios,

derrumbes, etc, que puedan ocasionar daños al

personal y a los equipos.

Infraestructura e instalaciones inadecuadas.

La distribución de los equipos en cada área es

inadecuado, el cual dificulta el uso y manejo

por parte del personal.

La institución solo cuenta con una salida de

emergencia.

No se cuenta con una inadecuada iluminación

para en todas las áreas el cual dificulta el

desarrollo de sus actividades.





Pág. 60

D. CONCLUSIONES.

como resultado de la auditoria podemos

manifestar que hemos cumplido con evaluar cada

uno de los objetivos contenidos en el programa

de auditoria

la institución presenta deficiencias sobre todo

en el debido cumplimiento de normas de

seguridad.

No existe revisión a las normas de seguridad

por parte del personal.

E. RECOMENDACIONES

Establecer planes de contingencia para afrontar

cualquier emergencia que pueda suscitarse en el

futuro ya sea incendios, derrumbes, etc.., que

puedan ocasionar daños al personal, a los

equipos y afectar el normal funcionamiento de

la institución.

Adquirir extintores y ubicarlos en lugares

estratégicos de toda la institución.

Establecer prohibiciones para fumar en las

áreas de la Institución o al menos en las áreas

donde se realizan más procesos al estar más

inmersos al iniciar un incendio.

Realizar una revisión periódica de toda la

infraestructura para ver el estado de las

mismas y prevenir cualquier desastre que pueda

sucintarse.

Exigir identificación a las personas que

ingresan a la institución.

Adquirir equipos de ventilación.





Pág. 61

Realizar un plan de emergencia (plan de

evacuación, uso de recursos de emergencia,

extintores).

Verificar el estado de puertas de acceso y

salida a la institución para poder afrontar

cualquier suceso como robos.

Elaborar un calendario de mantenimiento de

rutina periódica capacitar al personal en las

diversas medidas de seguridad que puedan

tomarse ante cualquier desastre natural,

acciones hostiles, etc.





Pág. 62

10.2. AUDITORIA DE LA RED FISICA

A. OBJETIVOS

OBJETIVO GENERAL

Evaluar los recursos que conforman la red

físicamente, tanto en la red cableada como en la

red inalámbrica con las que cuenta la institución,

que le permiten conectar las computadoras y otros

equipos informáticos entre sí. Tales como

(computadoras, cableado estructurado, dispositivos

de internet working, etc.)

OBJETIVOS ESPECÍFICOS

Evaluar los equipos de cómputo: las

características de las computadoras, tarjetas

de red, impresoras, etc, que están

interconectados en la red.

Evaluar el área de comunicaciones de donde se

distribuyen los cables a las demás áreas y

verificar si cuentan con los recursos

necesarios para una óptima distribución,

evaluar las medidas que impidan el acceso a

personas no autorizadas.

Revisar y evaluar el estado de las distintas

partes de la red informática de la institución,

tales como equipos de cómputo, cableado,

impresora y dispositivos de internet networking

(switch, puentes, router, etc.).

Evaluar el estado de los medios del cableado

(canales, tuberías, etc.), que le permitan una

adecuada transmisión de los datos si no

presentan ningún tipo de interferencia.





Pág. 63

Evaluar el armado de la red cableada, el

tendido adecuado de los cables y líneas de

comunicación.

Verificar el cumplimiento de los estándares

para las redes LAN.

Verificar el estado del cableado y las

especificaciones eléctricas utilizadas en la

red.

Verificar si existen procedimientos para la

protección de cables y bocas de conexión que

impidan ser conectadas e interceptadas por

personas no autorizadas.

Comprobar si se usan todos los materiales

normados y si cumplen las categorías para una

transmisión de datos óptimo.

B. ALCANCE DE LA AUDITORIA.

Sistemas técnicos de la red.

Estado actual de la red.

Cumplimiento de los estándares de redes LAN,

WLAN.

Cableado de red e instalaciones eléctricas.

C. HALLAZGOS POTENCIALES.

Los equipos de cómputo con que cuenta la

institución se encuentran algunos en mal

estado, la mayoría de las computadoras son

Pentium IV equipados para cumplir con las

funciones que se realizan en la institución,

excepto de algunas computadoras que deberían

ser cambiadas o repotenciadas.





Pág. 64

La red no cuenta con un armario adecuado de

telecomunicaciones que actuaría como punto de

transmisión entre el montante y las

canalizaciones, facilitando la distribución e

identificación de los diversos puntos de red

que salen a las demás áreas de la institución.

Toda la red cuenta con un router, un switch

principal de 16 puertos, los cuales se

encargan de distribuir los cables de red a los

demás puntos de la institución, que a

continuación.

No se cuenta con todos los elementos normados

en el Estándar EIA/TIA 568B, necesarios para

un eficiente funcionamiento de la red

asegurando la transmisión de datos optima y a

una adecuada velocidad (Cables Pach Cord,

Pach Panel, Jacks, cajas toma datos).

La red cableada de la institución está

realizada en función al estándar EIA/TIA 568B,

para el cableado, que a su vez utiliza el

cable UTP cat 5E, y los conectores RJ45,

permitiendo una velocidad de 100Mbps, normados

en el estándar de redes LAN/TEIA 568B.

Algunas partes del cableado no están

protegidas con canaletas, pudiendo dañarse con

facilidad.

La estética de la red no fue considerada al

momento del armado, al no usar todos los

materiales necesarios como los codos en las

canaletas.

La institución no cuenta con un ordenador que

cumple la función de un servidor ubicado en

el área de informática.





Pág. 65

No se cuenta con supresores de sobretensión

que se deben montar en los tomacorrientes de

pared en donde se conectan los dispositivos de

red.

No existe ninguna medida de seguridad para la

protección de la red que impida que usuarios

extraños accedan a la red de la institución.

D. CONCLUSIONES.

La infraestructura de la red presenta

deficiencias en cuanto a la realización del

cableado, al no considerar los diversos

estándares para los mismos.

Existe una deficiencia en el diseño de la red

al no considerar medidas de seguridad y

mantenimiento de la red.

E. RECOMENDACIONES.

Reemplazar o repotenciar las PCs, impresoras

que presentan o registran fallas en su

funcionamiento.

Capacitación al personal en cuanto al uso del

Hardware y Software.

Equipar un armario donde pueda contener

equipos de telecomunicación, equipos de

control y terminaciones de cables para revisar

interconexiones.

Implementar los demás elementos especificados

normados en el estándar EIA/TIA 568B, para

lograr un eficiente funcionamiento de la red.





Pág. 66

Realizar una adecuada distribución del

cableado con respecto a los terminales para

identificarlos rápidamente en caso de que se

generen algunas fallas en la red.

Separar los cables de la red de los cables de

emergencia a unos 20 como mínimo, y en caso de

que presenten cruces cintas aislantes.

Proteger en su totalidad el cableado de la

red, para evitar posibles daños de los mismos.

Montar supresores de sobretensión en los

tomacorrientes de pared en los cuales se

conectan los dispositivos de red.

Adquirir un UPS para suministrar energía en

caso de pérdida de fluido eléctrico dando

tiempo suficiente para poder guardar los

cambios correspondientes, las aplicaciones y

datos que se encuentren en el mismo.





Pág. 67

10.3. AUDITORIA DE LA RED LOGICA

A. OBJETIVOS

OBJETIVO GENERAL

Evaluar todos los elementos que intervienen en la

red lógica, como son los programas, sistemas

operativos, sistemas de información, etc.,

verificando la existencia de barreras y

procedimientos que resguarden el acceso a los

datos y que de esta manera solo se permita

acceder a ellos a las personas autorizadas para

hacerlo.

OBJETIVOS ESPECÍFICOS.

Evaluar los programas, sistemas que se utilizan

en cada una de las computadoras de la red

informática, si se usan adecuada mente.

Examinar las configuraciones de red, protocolos

que se utilizan, dirección IP, grupos de

trabajo, etc.

Evaluar la seguridad del ordenador principal en

cuanto a accesos no autorizados que puedan

dañar o eliminar información valiosa de la

institución.

Evaluar la seguridad de los terminales, si se

cuenta con contraseñas y otros procedimientos

para limitar y detectar cualquier intento de

acceso no autorizado en la red informática.

Evaluar las propiedades de los terminales en

la red que unidades, datos están disponibles

para el acceso en la red.





Pág. 68

Verificar las técnicas de cifrado de datos

donde haya riesgos de accesos de datos

impropios.

Verificar que los datos que viajan por internet

vayan cifrados.

Verificar la compatibilidad, actualizaciones de

los sistemas operativos, software utilizado.

Registro de las actividades de la red, para

ayudar a reconstruir incidencias y detectar

accesos no autorizados.

Verificar si el SW se adquieren siempre y

cuando tengan la seguridad de que los sistemas

computarizados proporcionaran mayores

beneficios que cualquier otra alternativa.

Verificar la existencia de un plan de

actividades previo a la instalación de

sistemas de información.

Evaluar el nivel de satisfacción de los

usuarios con los sistemas de información.

Verificar el grado de fiabilidad de la

información.

Verificar si se realizan encriptaciones de la

información pertinente.

Verificar la importación y exportación de

datos.

Verificar que los sistemas operativos pidan

nombre de usuario y la contraseña para cada

sesión.

Verificar si el acceso a los sistemas de

información, si están asignados a determinados

usuarios o es de acceso libre.





Pág. 69

Verificar si existen políticas que prohíban la

instalación de programas o equipos personales

en la red.


Seguridad del ordenador principal.

Vulnerabilidades de la red informática.

Estado de software, sistemas operativos y

sistemas de información.

Evaluación del personal.


La mayoría de los terminales realizan un uso

adecuado de los programas al no usar nada

innecesario o que dificulte el funcionamiento

de la red, a excepción de algunas área que

utilizan programas ajenos a sus funciones,

tales como Emule, Ares, que disminuyen la

velocidad de acceso a internet al consumir

ancho de banda.

En la configuración de la red se utiliza

únicamente el protocolo TCP/IP, el cual permite

conectar la red, mediante una dirección IP, y a

internet mediante la puerta de enlace asignada

al router.





Pág. 70

El acceso a la mayoría de las terminales no

está restringido a usuarios de la red, y

cualquier usuario puede manipular las carpetas

compartidas de las demás áreas.

Los diversos terminales generalmente presentan

las mismas propiedades en cuanto al

compartimiento de unidades, carpetas y su

acceso como ya se indicó con el usuario

invitado y su respectiva contraseña, en el caso

de las impresoras se comparten de forma general

y a varias áreas de la institución.

No se utilizan ninguna técnica de cifrado de

datos en toda la institución para proteger la

información de la misma y para los datos que

viajan por internet.

Los sistemas operativos actuales usados en la

institución son actualizados debidamente para

poder soportar los sistemas de información que

se instalan y/o programas que se utilizan en la

misma.

Se realiza un estudio previo para determinar si

los software y/o sistemas de información para

determinar la implantación de los mismos en la

institución detectando claramente sus

beneficios.

Se coordina un plan de actividades

(capacitaciones y pruebas) previa implantación

de los nuevos sistemas de información y otros

software que se necesita.

La mayoría de los sistemas con que cuenta la

institución vienen funcionando de forma óptima

en las diferentes áreas de la institución.





Pág. 71

No se realiza ninguna encriptación para la

protección de los datos.

La mayoría de los diversos sistemas operativos

presentan controles de acceso mediante

usuarios, exceptuando por algunos, que no lo

hacen, que podrían causar sabotaje por medio de

los mismos compañeros de trabajo.

No existe ninguna política y controlo que

prohíba la instalación de programas o equipos

personales en la red.

Existe un calendario de mantenimiento ofimático

y de software.

Se mantiene una adecuada actualización del

software utilizados tanto como los antivirus.

No se cuentan con un mantenimiento y

asistencia técnica de los sistemas de

información.

Falta de capacitación al personal para el uso

de los equipos de cómputo, a la vez del

software que se utiliza.

D. CONCLUSIONES.

Los escases de personal debidamente capacitado.

Cabe destacar que el sistema ofimático pudiera

servir de gran apoyo a la institución, el cual

no es explotado en su totalidad por falta de

personal capacitado.

Vulnerabilidad de la seguridad en cuanto al

acceso no autorizado por parte del ordenador

principal y otros terminales.





Pág. 72

E. RECOMENDACIONES.

Tomar las acciones necesarias como el control

de instalación de programas innecesarios en la

red, que puedan interferir con el

funcionamiento adecuado de la red, internet.

Establecer medidas de restricción en cuanto al

ordenador principal por parte de otros

terminales de la institución, pudiendo asignar

únicamente una cuenta de administrador.

Bloquear el acceso a los terminales que

presentan estas deficiencias y puedan ser

accedidos por otros terminales de la

institución.

Establecer técnicas de cifrado de datos en la

institución para proteger la información de la

misma, de la misma manera para los datos que

viajan por internet.

Mantenimiento y/o asistencia técnica a los

sistemas que presentan deficiencias (Software

de supervisión).

Realizar encriptaciones para la protección de

los datos en la institución.

Establecer usuarios que controlen el acceso a

los sistemas operativos en todos los terminales

de la institución.

Establecer políticas y controlar la instalación

de programas o equipos personales en la red.

Capacitación al personal para el uso de los

equipos de cómputo, a la vez del software que

se utiliza.





Pág. 73

10.4. AUDITORIA A LA ADMINISTRACION DE LA RED

A. OBJETIVOS.

OBJETIVO GENERAL.

Evaluar la administración de la red, verificando

si se cuenta con los recursos necesarios tanto

como herramientas, software, y personal para

realizar una adecuada administración de la red

informática de la institución. De esta manera que

se permita realizar las funciones de un

administrador de red que son tan amplias y

variadas como desconocidas en muchos ámbitos.

Administración de usuarios.

Mantenimiento del Hardware y software.

Configuración de nodos y recursos de red.

Configuración de servicios y aplicaciones de

internet.

Supervisión y optimización

OBJETIVOS ESPECÍFICOS.

Evaluar al personal encargado del soporte

técnico, si es suficiente y/o apto para

desempeñar tal función en la administración de

la red informática.

Evaluar si se realizan todas las funciones de

administración de redes.

Evaluar los procedimientos, configuración,

control y monitoreo de la red, para que se

cumpla todas las necesidades de los usuarios.

Evaluar que se cuenta con las herramientas y

recursos necesarios ya sea materiales, humanos

para una adecuada administración de la red.





Pág. 74

Evaluar el sistema operativo y software con el

que se administra la red en la actualidad.


Revisión de las funciones del área de

informática.

Revisión del personal.

Capacitación del personal.

Presupuesto.


Personal insuficiente en el área de informática

para lograr una adecuada administración de la

red, existe un solo encargado del soporte quien

desempeña todas las funciones de administración

de la red, soporte de hardware y software,

soporte técnico en los eventos, programas

realizados por la institución (presupuesto

participativo), etc., quien no se abastece

teniendo en cuenta que por la falta de

capacitación del personal en el uso de hardware

y software se necesita un personal constante

para brindar apoyo a los mismos.

No existe ninguna metodología en la

administración de la red.

No se realizan de una manera eficaz las

funciones de la administración de redes debido

a las dificultades ya mencionadas.





Pág. 75

No se cuenta con todas las herramientas

necesarias para una adecuada administración de

la red, faltando como los dispositivos de

testeo que certifican la red verificando su

estado y correcto funcionamiento.

No se realiza una adecuada administración de

las fallas de la red, al no detectarse de

manera inmediata al no contar con un sistema de

alarmas (monitor de alarma).

La corrección de las fallas es retardada debido

a que los mismos usuarios son los que informan

al administrador de la red de dichas fallas, o

a que no se cuenta con material disponible para

el reemplazo inmediato de recursos dañados (en

el caso de ser daño físico).

No se realiza una administración de reportes

para la documentación de las fallas, cuando un

problema es detectado o reportado.

No se realiza un mantenimiento de hardware y

software en forma periódica.

La configuración de los nodos y apertura de un

nuevo punto de red se realiza previa solicitud

del área que lo requiera y en caso de no contar

con los materiales necesarios (cables, tarjeta

de red, etc.), la aprobación pasa a disposición

de la dirección zonal.

No se realizan las configuraciones de servicios

y aplicaciones de internet.

Presupuesto insuficiente para el área de

informática en el soporte técnico.





Pág. 76

D. CONCLUSIONES.

La falta de personal de apoyo impide que el

encargado realice una adecuada administración

de red, al estar encargado de realizar diversas

funciones que se requieren de dicha área.

La administración de la red no puede ser

eficiente siempre que no se cuenten con la

herramientas necesarias para la misma como son

las herramientas normadas de testeo, además de

no contar con el software adecuado para la

administración.

E. RECOMENDACIONES.

Contratar un personal de soporte técnico para

el área de informática que pueda ayudar

cumplir con las funciones técnicas de dicha

área (soporte de hardware, software, soporte de

eventos, programas desarrollados) de esta

manera permitir que el encargado del área de

informática realice todas las operaciones de

administración de red.

Establecer una metodología de administración

para la red de la institución que permita una

forma más adecuada y ordenada de la misma,

propuesta:

o Administración de usuarios.

o Mantenimiento del hardware y software.

o configuración de nodos y recursos de la red.

o Configuración de servicios y aplicaciones de

internet.

o Supervisión y optimización.





Pág. 77

Adquisición de herramientas necesarias para la

administración los cuales deben de estar

normadas y que certifiquen la red es decir que

verifique el estado de las partes de la red y

su correcto funcionamiento.

Adquisición de software para la administración

de red, administración de rendimiento,

administración de fallas, administración de

seguridad que permitan realizar sus respectivas

funciones:

o Administración de rendimiento

Monitoreo.

Análisis de tráfico.

o Administración de fallas

Monitor de alarmas.

Localización de fallas.

Pruebas de diagnóstico.

Corrección de fallas.

Administración de reportes.

o Administración de seguridad

Prevención de ataques.

Detección de intrusos.

Respuesta a incidentes.

Servicios de seguridad.

Mecanismos de seguridad.

Establecer procedimientos de adquisición

periódica de los materiales y actualización del

software necesario para la administración.





Pág. 78

10.5. AUDITORIA A LA SEGURIDAD INFORMATICA

A. OBJETIVOS

OBJETIVO GENERAL

Evaluar la existencia de políticas de seguridad,

planes de contingencia, normas de seguridad y

determinar de esta manera si la institución está

preparada para afrontar cualquier suceso que frene

el funcionamiento de las labores informáticas.

OBJETIVOS ESPECÍFICOS

Hacer un estudio de los riesgos potenciales a

los que está sometida, la información, las

aplicaciones del área de informática, etc.

Verificar si la institución cuenta con

políticas de seguridad informática, planes de

contingencia ante cualquier percance que pueda

suceder.

Verificar la existencia de normas de seguridad

que puedan describir el funcionamiento de los

dispositivos.

Verificar si se realiza resguardo de

información mediante backups de paquetes y de

archivo de datos.

Verificar el resguardo de los backups a que

dependencia es asignado y si permanecen en la

institución.

Evaluar la función de los encargados de

soporte, aquellos que son responsables de

gestionar la seguridad informática.

B. ALCANCE DE LA AUDITORIA

Organización y calificación del personal.

Planes y procedimientos.

Sistemas técnicos de detección.





Pág. 79

Mantenimiento.

C. HALLAZGOS POTENCIALES

Los hallazgos potenciales a los que eta

sometida, la información, las aplicaciones, en

las diversas áreas son:

Al fuego, que pueden destruir los equipos y

los archivos.

Al robo común, llevándose los equipos y

archivos.

Al vandalismo, que dañen los equipos y

archivos.

A fallas en los equipos, que dañen los

archivos.

A equivocaciones que dañen los archivos y

otros.

A la acción de virus que dañen los equipos y

archivos.

A accesos no autorizados, filtrándose datos

no autorizados.

No se cuenta con ninguna política de seguridad

informática, ni planes de contingencia que

permitan la actuación del personal en relación

con los recursos informáticos importantes de la

institución.

No existen normas de seguridad que puedan

describir el funcionamiento de los dispositivos

ante cualquier duda del personal.

Existe una adecuada calendarización para la

realización de los backups de paquetes archivo

de datos.

Los backups solo son almacenados en las

computadoras más no en los CDs y/o discos





Pág. 80

externos que pudieran servir ante cualquier

eventualidad o falla de equipos de cómputo.

El encargado de soporte, no gestiona una buena

seguridad informática.

Inestabilidad.

D. CONCLUSIONES

Como resultado de la auditoria de la seguridad

informática realizada a la Institución, se

puede manifestar que hemos cumplido con evaluar

cada uno de los objetivos contenidos en el

programa de auditoría.

El área de informática presenta dificultades

para el cumplimiento de sus funciones debido a

que no se cuenta con el personal suficiente

para dicha área, impidiendo una adecuada

gestión de las medidas de seguridad.

E. RECOMENDACIONES

Elaborar políticas de seguridad y/o planes de

contingencia que establezcan el canal formal de

la actuación del personal, relación con los

recursos y servicios informáticos importantes

de la organización.

Tomar todas las precauciones para que las

políticas y/o planes de contingencia después de

desarrollarse logren implantarse en su

totalidad.

Establecer normas de seguridad que describen el

modo de funcionamiento de los dispositivos de

seguridad y su administración. Por ejemplo

supongamos un dispositivo simple de bloqueo de

teclado. En las normas de seguridad se podría

indicar: todos los usuarios bloquearan su





Pág. 81

teclado cada vez que dejen sin atención su

sistema.

El encargado de soporte es el responsable de

gestionar la seguridad informática en la

institución , debe considerar las siguientes

medidas:

o Distribuir las reglas de seguridad.

o Establecer incentivos para la seguridad.

El coste de la seguridad debe considerarse como

un coste más entre todos los que son necesarios

para desempeñar la actividad que es el objeto

de la existencia de la entidad, sea esta la

obtención de un beneficio o la prestación de un

servicio público.

El coste de la seguridad, como el coste de la

calidad, son los costes de funciones

imprescindibles para desarrollar la actividad

adecuadamente.

Debe de entenderse como un grado de garantía de

que dichos servicios van a seguir llegando a

los usuarios en cualquier circunstancia.

Identificar la información que es confidencial.

Política de destrucción de desechos

informáticos.





Pág. 82

CAPITULO V





Pág. 83

XI. CAPITULO V

11.1. ACTIVIDADES REALIZADAS EN EL PERIODO DE

PRÁCTICAS

En mi condición practicante en el área de

informática del Centro de Salud Tamburco realice

las siguientes actividades:

Soporte y mantenimiento de computadoras de las

diferentes áreas.

Configuración de impresoras para uso en red.

Instalación de sistemas operativos (Windows XP,

Windows 7).

Soporte técnico.

Instalación de programas

o Microsoft Office.

o Winzip.

o Winrar.

o ESET NOD32.

o Solid Convert.

o Internet Explorer.

Asesoría técnica en la utilización de programas

de oficina: Microsoft Word, Excel, Access,

Internet.

Cableado de red para algunas áreas.

Configuración de PCs conectadas a la red.

Actualización de antivirus.

Asistencia en la instalación del cañón multimedia

solicitado por la gerencia de la institución.

Asistencia en la elaboración e impresión de

cuadros estadísticos.





Pág. 84

ANEXOS

ANEXO 01 INVENTARIO GENERAL 2014

ANEXO 02 ENCUESTAS

ANEXO 03 IMÁGENES DEL CABLEADO ESTRUCTURADO, DISPOSITIVOS,

PC´S Y INSTALACIONES DEL CENTRO DE SALUD PUEBLO

JOVEN.

.





Pág. 85

ANEXO 01 INVENTARIO GENERAL 2014

INVENTARIO GENERAL 2012

CONTROL PATRIMONIAL

GERENCIA

NUMERO DE

MAQUINAS TIPO PROCESADOR

DISCO

DURO

MEMORIA

RAM

ESTAD

O

01 PC CORE 2 DUO INTEL COREO 2 DUO 3.00 GHZ 320 GB 2 GB BUENO

01 LAPTOP

CORE I3

TOSHIBA INTEL COREO 2 DUO 2.20 GHZ 500 GB 4 GB BUENO

RECURSOS HUMANOS

01 PC CORE DUO INTEL COREO DUO 2.40 GHZ 160 GB 1 GB BUENO

FARMACIA



LABORATORIO

01 PC PENTIUM IV PENTIUM IV 1.7 GHZ 40 GB 512 GB

PESIM

O





PESIM

O

MEDICINA


ODONTOLOGIA


OBTETRICIA


ENFERMERIA


ADULTO MAYOR


PESIM

O

ADMISION


PESIM

Or


UNIDAD DE SEGUROS








Pág. 86

ANEXO 02 ENCUESTAS

Generalidades

1. ¿Se tiene definida una política de seguridad global en

la institución?

SI ( ) NO ( )

2. ¿Existen controles que detecten posibles fallos en la

seguridad?

SI ( ) NO ( )

3. ¿Se ha definido el nivel de acceso de los usuarios

(los accesos a recursos permitidos)?

SI ( ) NO ( )

4. ¿Existen controles que detecten posibles fallos en la

seguridad?

SI ( ) NO ( )

5. ¿Existe departamento de auditoría interna en la

institución?

SI ( ) NO ( )

6. ¿Existen estándares de funcionamiento y procesos que

involucren la actividad del área de Informática y sus

relaciones con los departamentos usuarios por otro?

SI ( ) NO ( )

7. ¿Existen estándares de funcionamiento y procedimientos

y descripciones de puestos de trabajo adecuados y

actualizados?

SI ( ) NO ( )





Pág. 87

ITEM 1: Seguridad de cumplimiento de normas y estándares

1. ¿Se han formulado políticas respecto a seguridad,

privacidad y protección de las facilidades de

procesamiento ante eventos como: incendio, vandalismo,

robo y uso indebido, intentos de violación?

SI ( ) NO ( )

2. ¿Todas las actividades del Centro de Computo están

normadas mediante manuales, instructivos, normas,

reglamentos, etc.?

SI ( ) NO ( )

3. ¿Se ha dividido la responsabilidad para tener un mejor

control de la seguridad?

SI ( ) NO ( )

4. ¿Existe una clara definición de funciones entre los

puestos clave?

SI ( ) NO ( )

5. ¿Se vigilan la moral y comportamiento del personal de

la dirección de informática con el fin de evitar un

posible fraude?

SI ( ) NO ( )

6. ¿Evalúan el desempeño del encargado del área de

informática?

SI ( ) NO ( )

ITEM 2: Seguridad del área de informática y seguridad física

1. ¿Se cuentan con mecanismos de seguridad física para el

centro de informática?

SI ( ) NO ( )





Pág. 88

2. ¿Existe personal de seguridad en la organización

durante las 24 horas?

SI ( ) NO ( )

En caso de existir:

El personal de seguridad es:

( ) Vigilante (Contratado por medio de empresas

que venden ese servicio)

( ) Personal Interno (contratado por la

organización)

( ) Otro

( ) No existe

¿Se investiga a los vigilantes cuando son contratados

directamente?

SI ( ) NO ( )

3. ¿Existe control en el acceso a la instalación del

departamento de informática?

( ) Por identificación personal

( ) Por tarjeta magnética

( ) Por claves verbales

( ) Otras

4. ¿Se registra el acceso al departamento de cómputo de

personas ajenas a la dirección de informática?

( ) Vigilante

( ) Recepcionista

( ) Personal encargado de la seguridad

( ) Nadie

5. ¿Cuál es la periodicidad con la que se hace la

limpieza de polvo y otro en el centro de informática?

Diaria: ( ) Veces por día

Semanal ( ) Veces por semana





Pág. 89

Mensual ( ) Veces por mes

Otra:

6. ¿Se cuentan con mecanismos de protección respecto a la

prohibición del personal en cuanto a consumo de

alimentos y bebidas en el interior del departamento de

cómputo para evitar daños al equipo?

SI ( ) NO ( )

7. Se ha tomado medidas para minimizar la posibilidad de

fuego:

( ) Evitando artículos inflamables en las áreas

( ) Prohibiendo fumar a los operadores en el

interior

( ) Vigilando y manteniendo el sistema eléctrico

( ) No se ha previsto

8. ¿EL inmueble de la oficina de informática se encuentra

a salvo de cualquier emergencia?

( ) Fuego

( ) Inundación (Agua)

( ) Terremoto

( ) Sabotaje

( ) Ninguno

9. ¿Se cuenta con sistemas de regulación de temperatura?

( ) Aire acondicionado

( ) Ventilador

( ) Sistema de calefacción

( ) Otro:............................

10. ¿Existe corta fuegos (firewall) en su hardware?

SI ( ) NO ( )





Pág. 90

11. ¿Se cuenta con sistema de alarma, para detectar

alguna anomalía en el departamento de informática?

( ) Fuego

( ) Agua

( ) Detectar magnéticos

( ) No existe

En caso de existir:

Indique, Esta alarma tiene conexión:

( ) Al puesto de policíal.

( ) A la estación de Bomberos

( ) A ningún otro lado

( ) Otro …………………………….

Las alarmas son consideradas:

( ) De fácil operatividad

( ) Regularmente fácil de operar.

( ) Dificultad de operación

( ) Desconoce

¿La alarma es perfectamente audible?

SI ( ) NO ( )

¿Se ha orientado, adiestrado respecto al uso y

manipulación de estas?

( ) Usualmente

( ) Oportunamente

( ) Nunca

12. ¿Se cuentan con extintores de fuego?

SI ( ) NO ( )

En caso de existir:

Indique, los extintores son considerados:

( ) De fácil operatividad

( ) Regularmente fácil de operar.

( ) Dificultad de operación

( ) Desconoce





Pág. 91

¿Se ha orientado, adiestrado respecto al uso y

manipulación de estas?

( ) Usualmente

( ) Oportunamente

( ) Nunca

13. ¿Los interruptores de energía están adecuadamente

protegidos, etiquetados y sin obstáculos para

alcanzarlos?

SI ( ) NO ( )

14. ¿Cuál es la periodicidad en la que se realizan

limpieza y mantenimiento de los equipos de cómputo?

ITEM 3: Seguridad del Personal Informático.

1. ¿Se cuentan con mecanismos para mantener la seguridad

del personal en la institución? ¿Cuáles son los

principales? ¿Existe algún problema en concreto?

SI ( ) NO ( )

2. ¿Existen políticas respecto de la prevención de

accidentes y de las enfermedades laborales? ¿Está

satisfecho con los sistemas actuales emplean?

SI ( ) NO ( )

3. ¿Está el personal adecuadamente capacitado respecto a

medidas preventivas durante el desempeño de la labor?

SI ( ) NO ( )

4. ¿Se Cuenta con algún seguro para el personal

informático en caso de accidente durante la operación?

SI ( ) NO ( )





Pág. 92

5. Como son las relaciones laborales en el área

………………………………………

6. Se presentan problemas con frecuencia

SI ( ) NO ( )

7. ¿Se estudia la evolución del mercado y la adaptación

del personal a esa evolución?

SI ( ) NO ( )

8. ¿Los informáticos reciben noticias del momento

tecnológico por revistas, notas técnicas, etc.?

SI ( ) NO ( )

9. ¿Con que frecuencia realiza actualizaciones en sus

equipos?

SI ( ) NO ( )

10. ¿Se revisa frecuentemente que no esté abierta o

descompuesta la cerradura de esta puerta y de las

ventanas, si es que existen?

SI ( ) NO ( )

11. ¿El centro de cómputo tiene salida al exterior?

SI ( ) NO ( )

12. ¿El centro de cómputo tiene salida de emergencia?

SI ( ) NO ( )

13. ¿Se ha adiestrado a todo el personal en la forma en

que se deben desalojar las instalaciones en caso de

emergencia?

SI ( ) NO ( )





Pág. 93

14. ¿Se desarrollan programas de Capacitación y

actualización hacia el personal que labora en área de

informática, respecto a las medidas de seguridad?

Si ( ) No ( )

15. ¿Se recibe formación y se planifica ésta mediante

asistencia a cursos, seminarios, etc.?

SI ( ) NO ( )

16. ¿Existe algún programa concreto de mejora de la

productividad hacia el personal que labora en área de

informática?

Si ( ) No ( )

16. ¿Asegura la dirección la disponibilidad de los

recursos necesarios: instalaciones y equipos de

seguridad para el mantenimiento preventivo de los

equipos de cómputo?

SI ( ) NO ( )

ITEM 4: Seguridad de Aplicaciones

1. ¿Se cuenta con claves de acceso en los diversos

componentes del software de oficina que emplea la

organización?

SI ( ) NO ( )

2. ¿Se han implantado claves o password para garantizar

operación del personal autorizado?

SI ( ) NO ( )

3. ¿Se ha asegurado un respaldo de mantenimiento y

asistencia técnica de las aplicaciones?

SI ( ) NO ( )





Pág. 94

4. ¿Con que frecuencia realiza actualizaciones en su

software?

SI ( ) NO ( )

5. En cuanto aparecen nuevas versiones de los programas

SI ( ) NO ( )

6. ¿Se mantiene un registro permanente (bitácora) de

todos los procesos realizados, dejando constancia de

suspensiones o cancelaciones de procesos?

SI ( ) NO ( )

7. ¿Se han efectuado las acciones necesarias para una

mayor participación de proveedores en caso de algún

daño o pérdida de información?

SI ( ) NO ( )

8. ¿Se ha asegurado un respaldo de mantenimiento y

asistencia técnica?

SI ( ) NO ( )

9. ¿Los operadores del equipo central están entrenados

para recuperar o restaurar información en caso de

destrucción de archivos?

SI ( ) NO ( )

10. ¿Se permite el acceso a las aplicaciones a

personal ajeno al entorno informático?

SI ( ) NO ( )

11. ¿Los programas con información reservada están

protegidos por clave de acceso?

SI ( ) NO ( )





Pág. 95

12. ¿Los usuarios disponen de zonas en el servidor de

ficheros donde hacer sus copias de seguridad?

SI ( ) NO ( )

13. ¿El funcionamiento interno de los programas clave

de la empresa es conocido por el personal del centro

de informática y/o por el proveedor directo del

mismo?

SI ( ) NO ( )

ITEM 5: Plan de Contingencias

1. ¿Existen un plan de contingencias que respalde al área

de Informática de la organización?

SI ( ) NO ( )

2. ¿La organización tiene conocimiento de la importancia

de contar con un plan de contingencias?

SI ( ) NO ( )

3. ¿Tienen propuesto la elaboración?

SI ( ) NO ( )

AUDITORIA A REDES DE CÓMPUTO

1. ¿La organización tiene una política definida de

planeamiento de tecnología de red?

SI ( ) NO ( )

2. ¿Esta política es acorde con el plan de calidad de la

organización?

SI ( ) NO ( )





Pág. 96

3. ¿La organización cuenta con un plan que permite

modificar en forma oportuna el plan a largo plazo de

tecnología de redes, teniendo en cuenta los posibles

cambios tecnológicos o en la organización?

SI ( ) NO ( )

4. ¿Se cuenta con un inventario de equipos y software

asociados a las redes de datos?

SI ( ) NO ( )

5. ¿Existe un plan de infraestructura de redes?

SI ( ) NO ( )

6. ¿Existe personal encargado de la seguridad de las

redes?

SI ( ) NO ( )

7. ¿La responsabilidad operativa de las redes esta

separada de las de operaciones del computador?

SI ( ) NO ( )

8. ¿Los usuarios disponen de zonas en el servidor de

ficheros donde hacer sus copias de seguridad?

SI ( ) NO ( )

9. ¿Están establecidos controles especiales para

salvaguardar la confidencialidad e integridad del

procesamiento de los datos que pasan a través de redes

públicas, y para proteger los sistemas conectados?

SI ( ) NO ( )





Pág. 97

10. ¿Existen controles especiales para mantener la

disponibilidad de los servicios de red y computadoras

conectadas?

SI ( ) NO ( )

11. ¿Existen controles y procedimientos de gestión para

proteger el acceso a las conexiones y servicios de

red?

SI ( ) NO ( )

12. ¿Existen protocolos de comunicaron establecida?

SI ( ) NO ( )

13. ¿Existe una topología estandarizada en toda la

Organización?

SI ( ) NO ( )

14. ¿Existen normas que detallan que estándares que deben

cumplir el hardware y el software de tecnología de

redes?

SI ( ) NO ( )

15. ¿La transmisión de la información en las redes es

segura?

SI ( ) NO ( )

16. ¿El acceso a la red tiene password?

SI ( ) NO ( )

17. ¿Si se tienen terminales conectadas, ¿se ha

establecido procedimientos de operación?

SI ( ) NO ( )





Pág. 98

18. ¿Se verifica identificación:

( ) De la terminal

( ) Del Usuario

( ) No se pide identificación

19. ¿Se tiene definido el nivel de acceso a la

información?

SI ( ) NO ( )

20. ¿Se ha establecido un número máximo de violaciones en

sucesión para que la computadora cierre esa terminal

y se de aviso al responsable de ella?

SI ( ) NO ( )





Pág. 99

ANEXO 03 IMÁGENES DEL CABLEADO ESTRUCTURADO, DISPOSITIVOS,

PC´S E INSTALACIONES EN EL CENTRO DE SALUD PUEBLO

JOVEN.

1.- Al realizar la una auditoria a la red informática se

observa que el cableado estructurado se encuentra en pésimas

condiciones.

Imagen 01: Cableado Estructurado Inadecuado.





Pág. 100

Imagen 02: Cableado Estructurado Inadecuado.

Imagen 03: Instalación de Dispositivos Inadecuados.





Pág. 101

Imagen 04: PC´s Obsoletas y Desfasadas.

Imagen 05: Instalación de PC´s inadecuado.

Practicas pre profesionales auditoria de redes

Internet

Transcript of Practicas pre profesionales auditoria de redes