Trabajo de Auditoria

Empresa Nave Shop S.A.

1. Situacin Actual de la Empresa: Nave Shop es una empresa comercial ubicada en el microcentro de Ciudad del Este, cuenta con mas de 500 funcionarios. Especficamente el rea de TI se encuentra tercerizada , a cargo de MCA Solucin quienes trabajan en el Sptimo piso del predio. Actualmente cuenta con 160 maquinas de las cuales 45 para ventas (15 PCs de Escritorio por piso) Software: SO Windows XP Profesional ( Licencias Originales) Infraestructura 1- Se cuenta con un inventario de todos los equipos que integran el Centro de Computo? Si cuentan con un inventario . Si MCA designa esta tarea al SECTOR DE PATRIMONIO de Recursos informticos. Cada uno de los componentes que ingresan tienen un cdigo de barra que les identifica. Cual es. Pedir el formato si no existe, desarrollar una. Los datos ( fecha de compra, tiempo garanta, descripcin) son almacenados en una BD Oracle.

2- Con cuanta frecuencia se revisa?. No se revisa con frecuencia. Lo hacen cada vez que se necesite corregir fallas o errores. 3- Se lleva un control de los equipos en garanta, por ejemplo en que fecha finaliza su garanta?. Si , los componentes informticos tienen un adhesivo que identifica su fecha de compra, lugar de compra y fecha de garanta. 4- Se cuenta con servicio de mantenimiento para todos los equipos?. No se realizan mantenimientos de rutina. 5- Con cuanta frecuencia se realiza dicho mantenimiento?. Revision del Cuadro mantenimiento.

Control Preventivo: No. Puesto que en las maquinas no hay privilegios segn usuarios, pueden instalarse aplicaciones o programas, licencias de antivirus no se encuentran actualizadas. No se realiza limpiezas de los componentes. Control Detectivo: No. Puesto que el Sistema Operativo da a conocer presencia de Virus a raz de esto las maquinas no rinden en su totalidad y aun as no realizan la depuracin correspondiente. No cuenta con un cableado estructurado y estn expuestos a desconectarse. Control Correctivo: En vista y considerando que no cuentan con los controles anteriormente mencionados el correctivo es el nico que se realiza. Debido a que solo cuando ya se produce el error o la perdida se busca una recuperacin. Ejemplos: Maquinas colapsadas por Virus, Cables desconectados y computadoras sin red o sistema. Maquinas con defectos de hardware debido a la falta de limpieza y control. Los servidores si cuentan con los tres tipos de controles 6- Se cuenta con alguno procedimiento definido para la adquisicin de nuevos equipos No implementan plan de adquisicin de nuevos equipos, no hay plan de renovacin a no ser de que haya necesidad por defectos. 7- Se tiene algn criterio de evaluacin para determinar el rendimiento de los equipos a adquirir y as elegir mejor?. El mayor porcentaje de los equipos adquiridos son de la importadora PCIZZI el factor mas fuerte a la hora de adquirir es el PRECIO. No hay un estndar de marcas , ni capacidades . 8- Los equipos requieren caractersticas ambientales especiales (control de humedad y temperatura) ?. El mayor porcentaje de las maquinas simples se encuentran expuestas a humedad, accidentes se encuentran prcticamente en el piso los gabinetes. Incluso algunos estn abiertos. Los servidores se encuentran en una sala exclusiva, restringida, adecuada bien refrigerada 2- Instalaciones. 1- Las instalaciones fueron diseadas o adaptadas especficamente para funcionar como un centro de computo?. No ya que es un lugar comercial y no existe un plano que describa los lugares o puntos donde se encuentran las maquinas distribuidas por todo el predio. 2- Se tiene una distribucin del espacio adecuada de forma tal que facilite el trabajo y no existan distracciones?. MCA si cuenta con un espacio netamente estructurado para realizar los trabajos de TI ( oficina sptimo piso )

3- Existe espacio, que permita la circulacin fluida?. En este aspecto hay dificultad debido a las instalaciones no estructuradas de cables y espacios reducidos. 4- Se cuenta con sistemas de seguridad para impedir el paso a lugares de acceso restringido?. En el rea de ventas es necesario restringir varias cosas incluso el acceso a los equipos. En el rea de servidores: Solamente una persona tiene acceso a la sala, accede a ella a travs de llave, y al servidor en si a travs de contrasea. 5- Se cuenta con sistema de emergencia, sistema de detectores de humo, alarmas, sensores, etc. ?. Si cada piso cuenta con varios detectores de humo , salidas de emergencia , falta mejorar la sealizacin 6- Existen sealizacin para la salidas de emergencias y se tienen establecidas rutas de evacuacin. ?. Existen, pero muy pocas estn a la vista de todos y en caso de incidentes es lo primordial 7- Se cuenta con buena iluminacin de emergencia en caso de contingencia?. Si cuenta con un generador que abastece todo el predio 8- Se tiene un lugar asignado para los backups, cintas, CD, etc. Si , se almacena en el sptimo piso oficina MCA y el acceso esta restringido 9- Existen prohibiciones para fumar, comer, etc. ?. No se puede fumar pero no hay carteles de prohibicin , y para comer se tiene habilitada un comedor. 10- Con cuanta frecuencia se realizan limpiezas en el rea de centro de computo?. Se realizan diariamente las limpiezas del local pero no el mantenimiento o limpieza de las maquinas en si. 11- Existen planos detallados del segmento de red? No existen 12- Existen procedimientos asignados para direcciones de la red?. No existen . Cada vez que se necesita trabajar por la maquina se solicita el IP. 13- Se sigui un estndar para el cableado?. No. Cableado no estructurado 14- Con cuanta frecuencia se verifica el cableado?. Ninguna. 15- Se cuenta con equipo que monitorean la red?. Si, a travs del router 16- Se presentan reportes peridicos del trafico de red?. Si se presentan reportes

Servicios 1- Se cuenta con servidor DNS para la red local?. Si,BIND9 2- Se tiene servidor Web?. Si, Apache 3- En que Sistema?. Linux 4- Se tiene servidor de correo electrnico?. Si, 5- Se tienen servidor ftp?. Si, 6- Se tiene un servidor como firewall?. 7- Si 8- Se tiene un servidor para manejo de copia de archivos?. Si 9- Se tiene establecido reglas de seguridad para cada servidor?. Si 10- Se establece prioridades para cada tipo de usuario?. Si 11- Los permiso bsicos de los usuarios son de lectura?. Si 12- Se revisan peridicamente los archivos de arranque y los archivos de configuracin para detectar modificaciones o cambios?. Si 13- Existen cuentas que estn compartidas?. Si 14- Con cuanta frecuencia se actualizan las versiones de los programas instalados en los servidores?. Cada vez que hay actualizaciones del fabricante 15- Existen cuentas para tener acceso al servidor?. Si 16- Se brindan asesorias?. Si 17- Se imparten cursos?. Si 18- Se proporciona acceso a Internet?. Si 19- Se cuenta con algn servidor Proxi?. Si

Seguridad. 1- Se tienen lugares de acceso restringidos?. Cual es el sistema de acceso al sitio?. La sala de Servidores en un lugar completamente restringido, y accesible por una sola persona 2- Se cuenta con alguna clave de acceso?. El ingreso a la Sala no es por clave sino que con llave, y al servidor se accede por contrasea 3- Si no tienen que metodologa podran utilizar?. Ya que el esquema de marcacin de entradas y salidas es dactilar se podra usar ese mismo esquema para restringir o aprobar por personas el acceso. 4- Se cuenta con una lista de personas que acceden al sitio?. Si se cuenta con una lista de personas autorizadas. Politicos de Seguridad

1- Se tienen en cuenta alguna poltica de seguridad definida?. No existe una poltica de seguridad bien planteada 2- Para que sirven las polticas de seguridad?. las Polticas de Seguridad Informtica (PSI), surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos. Estos permiten a la compaa desarrollarse y mantenerse en su sector de negocios. 3- Que es necesario proteger?. Existen tres aspectos importantes que proteger: Hardware Software Datos 4- Se definen cuales son los riesgos a que estn expuestos?. De los tres aspectos citados tienen un buen esquema de proteccin en cuanto a Datos, en realidad es el factor que mas preocupa a las empresas. Pero no tienen un poltica de seguridad establecida para el hardware y software, es necesario definir y delimitar responsabilidades para las diversas actuaciones tcnicas y organizativas. 5- estn determinadas las consecuencias de estos riesgos, las prioridades para la seguridad y el uso de los recursos?. Los funcionarios de TI conocen las consecuencias pero no se realiza una capacitacin o concientizacin para los dems usuarios que interactan con los componentes, hay muchas metodologas a ser aplicadas como por ejemplo establecer las normas, reglamentos y protocolos a seguir y hacerlas visibles a todos, realizar charlas sobre los

riesgos. Una poltica de seguridad es una forma de comunicarse con los usuarios... Siempre hay que tener en cuenta que la seguridad comienza y termina con personas.

Mantenimiento Correctivo 1- Se desactivan las cuentas de los usuarios que se encuentran fuera de la empresa?. Si se da de baja del sistema una vez que el usuario ya no forme parte del plantel 2- Se desactivan las cuentas inactivas?. Constantemente se actualiza el inventario de cuentas 3- Se conciencia a los usuarios de virus, caballos de Troya, etc. ?. No, no existe un esquema de concientizacin incluso maquinas infectadas por causa del desconocimiento. 4- estn las copias de seguridad bien resguardadas?. Si, fsicamente bien protegidas 5- Donde se almacenan las copias de seguridad, en el mismo lugar?. Si, pero tambin cuentan con un servidor fuera del predio por cualquier accidente que pueda ocurrir 6- Se tienen en cuentan los programas instalados por usuarios, que medidas toman al respecto?. No hay un control ante instalaciones de aplicaciones o programas, se debera establecer privilegios, mnimamente cada maquina debe ejecutarse como usuario invitado y no como administrador para evitar esto

Mantenimiento Lgico 1- Se permite a los usuarios guardar informacin en el disco duro? Si, no hay ninguna restriccin con respecto a eso, cualquier usuario puede incluso introducir informaciones a travs de pendriver,cd etc. 2- Se depuran los archivos de trabajo?. No , los programas siguen instalados , hace falta un esquema de depuramiento diario 3- Se tienen instalados programas de antivirus?. Si, antivirus en red 4- Con cuanta frecuencia se actualizan los antivirus?. Semestralmente

Administracin. Dentro de esta seccin se evalan los procedimientos de administracin del centro de cmputo. 1- Se tienen algn organigrama del rea?. Si, pero no tuvimos acceso 2- Se cuenta con un manual de procedimientos?. No se cuenta con un manual de procedimientos 3- Este manual se actualiza?. No 4- Se describe el perfil de cada personal del centro de computo?. Cada quien conoce la funcin a desarrollar pero no esta definido en un esquema 5- Se define claramente las funciones de cada rea y de cada usuario?. No

Criptografa 1- Se cuenta con Todos cuentan con sistema criptografico 2- En que sistema Linux 3- En el proxy en la navegacin Inventario de Software. algn sistema criptogrfico

1- Cuentan con un inventario de Software. Mostrar el modelo. No cuentan con un inventario de software por maquinas. -2- Verificar la licencia de cada una, en caso de que no sean software libre SO y editores de textos Microsoft (Office 2003 y Windows Todas las licencias son Originales pero algunas faltan actualizar. 3- Empresas con las que trabajan para adquirir los productos. MCA Solutions

XP)

Funcionarios: 1. Los funcionario del area de TI son aptos para realizar las funciones que les corresponden? Si. Como los servicios de TI estn tercerizados la empresa ya contrata a las personas segn el perfil que necesitan para que se puedan desenvolver de la mejor manera

2. Las dems personas que son usuarias de las maquinas tienen conocimientos bsicos de uso? La mayora de los funcionarios no cuentan con un conocimiento bsico tampoco se realizan capacitaciones. Esto tiene sus riesgos .

3. Como se distribuyen los privilegios? Hay un dficit en la asignacin de privilegios, los equipos no tienen contraseas, todos estn como usuario administrador.

Recomendacin General Hardware y Software : Ante mayor dficit en el area de Ventas o las computadoras en sectores administrativos y secreataria, se necesita establecer polticas de uso , brindar capacitaciones establecer privilegios segn usuarios no pudiendo asi cualquiera instalar programas aplicaciones e introducir perifricos , realizar el control preventivo y detectivo especialmente en cuanto a hardware se refiere estructurar el cableado, realizar limpieza, ubicacin mas adecuada de los componentes ,