Datos de la Auditoria

Fecha: 18/05/2011
Miembros del Equipo Auditor:

T.S.U Gines Rodrguez

T.S.U Gustavo Vsquez

Identificacin del sitio

La Unidad de Sistemas es la unidad administrativa encargada de la plataforma
informtica del IUT de Los Llanos. Esta adscrita a la direccin como apoyo a la toma
de decisiones. A su vez esta dividida en las siguientes subcoordinaciones:
Servicio tcnico

Mantenimiento preventivo y correctivo de todos los equipos de computacin del

IUT de los Llanos tanto a nivel del hardware como de software.

Instalacin/desinstalacin

de componentes y dispositivos (Impresoras, PC,

teclados, otros perifricos, etc).

Evaluar necesidades de actualizacin de los equipos.

Comunicacin constante con los usuarios finales sobre funcionamiento de los

equipos.

Administracin de redes

Instalar y mantener las redes de la institucin.

Instalar, administrar y supervisar equipos de la red.

Interconectar mediante redes de datos, todas las dependencias del IUT de Los
Llanos.

Mantener operativos e interconectados a todos los servidores de datos del IUT de

los Llanos (Control de estudios, administracin, Internet, biblioteca y los

ubicados en los diferentes laboratorios).

Garantizar el servicio de Internet en la institucin.

Desarrollo de sistemas

Analizar las necesidades de informacin de la institucin y disear soluciones

automatizadas.

Mantenimiento de los sistemas implementados en la institucin.

Mantener los servidores de aplicaciones de la institucin.

Evaluar lenguajes de programacin para el desarrollo de los sistemas del instituto.

Internet

Desarrollar, mantener y administrar la pgina web oficial del IUT de los Llanos.

Mantener los servicios web y de correo electrnico de la institucin.

Crear y mantener las cuentas de usuarios de los diferentes departamentos que

tienen espacio en la pagina web.

Evaluar plataformas de desarrollo para el entorno web.

Gestin del sistema administrativo

Administrar el Sistema nico de Gestin Administrativa Universitaria (SUGAU)

Mantener en linea y operativo el sistema SUGAU.

Administrar las cuentas de usuarios.

Gestionar planes de mantenimiento para la base de datos de produccin del

sistema SUGAU.

Proporcionar pautas de desarrollo de actualizaciones para el sistema SUGAU.

Metodologa usada
En la actualidad existen tres tipos de metodologas de auditoria informtica:

R.O.A. RISK ORIENTED APPROACH o Evaluacin de Riesgos), diseada por

Arthur Andersen.

CHECKLIST o cuestionarios.

AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas

de Gestin de base de Datos DB2; paquete de seguridad RACF, etc.).
En s las tres metodologas estn basadas en la minimizacin de los riesgos,

que se conseguir en funcin de que existan los controles y de que stos funcionen.
En consecuencia el auditor deber revisar estos controles y su funcionamiento.
La metodologa utilizada es la Evaluacin de Riesgos, esta evaluacin de
riesgos se desarrolla sobre determinadas reas de aplicacin y bajo tcnicas de
Checklist (cuestionarios) adaptados a cada entorno especifico; deber tenerse en
cuenta que determinados controles se repetiran en diversas reas de riesgo

CUESTIONARIO
En cuanto a la seguridad Fsica
Item
Existen medidas de seguridad en la unidad de sistemas?
Se controla el trabajo fuera de horario?
Se registran las acciones de los operadores para evitar que
realicen alguna que pueda daar la informacin guardada en los
servidores?
En la entrada de la unidad de sistemas existe vigilancia?
El edificio donde se encuentran los servidores estn situados a
salvo de (inundacin, Fuego, Terremoto, Sabotaje?
Tiene la unidad de sistemas va de escape?
Pueden ser rotos los vidrios con facilidad?
Existe alarma para detectar fuego?
Existen extintores de fuego?
Saben qu hacer los operadores de los servidores en caso de que
ocurra una emergencia ocasionada por fuego?
Los servidores cuentan con UPS?
Est distribuida correctamente la carga elctrica?
El rea tiene aire acondicionado?

SI / NO
No
No
Si
Si
No
No
Si
No
Si
No
Si
No
SI

En cuanto a la seguridad Lgica

Item
Se realizan frecuentemente respaldo de la informacin contenida

Respuesta

en los servidores(bases de datos, archivos de configuracin, entre

Si(Internos)

otros)
Con que frecuencia se realizan los respaldos (Diario Mensual

Diario

Anual Nunca)?
Se cuenta con polticas de seguridad establecidas para el acceso
a los servidores?
Se utilizan claves fuertes en estos equipos?
Se cambian con frecuencia las claves de servidores y equipos?
Existen restricciones de acceso a carpetas compartidas?
Los servidores cuentan con firewall?
Poseen antivirus en caso de los equipos tener instalado el
sistema operativo windows?
Se pide clave para ingresar a los servidores?

No
Si
No
Si
Si
Si
Si

Lo puertos no utilizados se encuentran cerrados?

Se revisan constantemente los log para evitar solventar posibles
fallos de seguridad?
Se instalan actualizaciones de seguridad?
En las conexiones remotas se encuentra restringido el acceso con
la cuenta root?
El servidor web permite listas ficheros?

Si
Si
Si
No
No

De acuerdo a la auditoria realizada en los servidores de la unidad de sistemas,

tanto en la parte lgica como en la parte fsica se realiza el siguiente anlisis de
resultados.
La unidad de sistemas como centro de computo del instituto universitario de
tecnologa de los llanos, presenta una serie de debilidades que se evidenciaron en la
aplicacin del cuestionario.
1.- Pocas medidas de seguridad en esta rea, lo que hace vulnerable los equipos de
computo ah ubicados, esto representa un riesgo para el buen funcionamiento de la
plataforma informtica, vale destacar que en este departamento se encuentran en
funcionamiento sistemas crticos como es el caso de sugao que registra todo lo
referente a la parte administrativa de este instituto.
Recomendacin: Solicitar ante los entes competente elevar medidas de seguridad en
esta era de vital importancia para la institucin
2.- No se controla el trabajo fuera de horario, lo cual representa una debilidad, ya que
se desconoce que personas ingresan a esta rea, que actividad realizaron y quien los
autoriz para el ingreso.
Recomendacin: Solicitar registro de personas que asistan a esta rea fuera del
horario de trabajo.
3.- El edificio donde se encuentra la unidad de sistemas y en general toda el era
administrativa, no cuenta con las condiciones necesarias para proteger los equipos de
inundaciones, incendios entre otros, las oficinas poseen alfombras, existen papeleras
cerca de tomas de corrientes.
Recomendacin: realizar los ajustes necesarios para evitar posibles inundaciones,
incendios que puedan alterar el buen funcionamiento de los equipos aqu instalados.

4.- No se cuenta con va de escape, lo cual representa un riesgo para el personal que
labora en esta rea en caso de siniestro.
Recomendacin: Realizar las evaluaciones necesarias para habilitar vas de escape.
5.- Las puertas de acceso al departamento de sistemas no cuentan con los requisitos
mnimos de seguridad, las mismas son de vidrio y este se puede romper fcilmente.
Recomendacin: Instalar puerta que cuente con las condiciones de seguridad que
requiere esta rea.
6.- El rea administrativa y especficamente el departamento de sistemas no cuenta
con alarma para detectar fuego lo cual es una falla de seguridad que puede incidir en
la prdida de equipos costosos, y sobre todo de la informacin contenida en ellos.
7.- El personal no ha recibido ningn tipo de entrenamiento para saber que hacer en
caso de incendio, siendo esto necesario para salvaguardar tanto los equipos como la
vida de los empleados.
Recomendacin: Solicitar al cuerpo de bomberos charlas que permitan darle a
conocer a los empleados como actuar en estos casos.
8.- Mala distribucin de la carga elctrica, esto hace que los equipos se daen debido
a las fluctuaciones de voltaje.
Recomendacin: Balacear la carga elctrica de esta rea para permitir el buen
funcionamiento de los equipos.
9.- Se realizan respaldos que se mantienen dentro de la organizacin, lo cual
representa un riesgo a la hora de recuperar los mismos en caso de incendio,
terremoto.

Recomendacin: Realizar respaldos de informacin en servidores forneos, que

permitan recuperar los datos en caso de siniestro.
10.- No se cuentan con polticas de seguridad establecidas para el acceso a los
servidores
Recomendacin: Establecer protocolos de seguridad para el acceso a los servidores.
11- Las claves de los equipos en general del instituto no se cambian con frecuencia,
esto representa un riesgo de seguridad ya que permite a los intrusos contar con tiempo
para averiguar dichas claves.
Recomendacin: Implementar el cambio peridico de claves en todos los equipos de
la institucin.
12.- Se detecto el acceso a la cuenta root especficamente en el servidor web.
Recomendacin: Eliminar el acceso a esta cuenta para aumentar la seguridad de este
servidor ya que el mismo esta expuesto constantemente a ataques externos.