FACULTAD DE INGENIERIA INDUSTRIAL Y DE SISTEMAS ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
AUDITORIA DE SISTEMAS 01S / X CICLO
EMPRESA: COSAPI DATA S.A.
AUDITORIA AL REA DE SEGURIDAD INFORMTICA
HUMBERTO ARBOLEDA VSQUEZ JOSE VENTURA AYALA
Callao, 2014
2
AUDITORIA DE SISTEMAS
INDICE
1. INTRODUCCIN .................................................................................................................................. 3 2. ASPECTOS GENERALES .................................................................................................................. 3 2.1. ESTRUCTURA ORGANIZACIONAL ............................................................................................. 4 2.2. MATRIZ DE RIESGOS ..................................................................................................................... 5 2.3. PROGRAMA DE AUDITORIA. ........................................................................................................ 5 3. INFORME FINAL .................................................................................................................................. 7 3.1. INFORME RELATIVO AL EXAMEN .............................................................................................. 7 3.1.1. MOTIVO DEL EXAMEN ................................................................................................................ 7 3.1.2. NATURALEZA Y OBJETIVOS .................................................................................................... 7 NATURALEZA ........................................................................................................................................... 7 OBJETIVOS ............................................................................................................................................... 7 Objetivo General ........................................................................................................................................ 7 Objetivos Especficos ................................................................................................................................ 8 3.1.3. ALCANCE ....................................................................................................................................... 9 3.1.4. COMUNICACIN DE OBSERVACIONES ................................................................................. 9 3.2. INFORME RELATIVO A LA ENTIDAD EXAMINADA ................................................................ 9 Seguridad fsica ............................................................................................................................................ 9 Seguridad lgica ......................................................................................................................................... 10 Operacin ................................................................................................................................................... 10 3.2.1. ANTECEDENTES Y BASE LEGAL ........................................................................................... 11 ANTECEDENTES ................................................................................................................................... 11 BASE LEGAL .......................................................................................................................................... 11 3.2.2. RELACIN DE LAS PERSONAS COMPRENDIDAS EN LAS OBSERVACIONES ........ 11 Plan de contingencia ................................................................................................................................... 11 3.3. OBSERVACIONES RESUMIDAS ................................................................................................ 12
3
1. INTRODUCCIN
De acuerdo a lo relevado en el transcurso de nuestro trabajo, la empresa Cosapi Data S.A. nos ha trasmitido su preocupacin por lograr la optimizacin de la efectividad y eficiencia de su funcin de seguridad informtica, apuntando al logro de sus objetivos institucionales.
Nuestra intencin es plantear las medidas requeridas por la funcin de seguridad informtica, basndonos en los hallazgos surgidos de la ejecucin de nuestro programa de trabajo detallado. De este modo, la empresa Cosapi Data S.A. obtendr una visin clara de su problemtica general, comprendiendo las relaciones causa- efecto existente entre los hallazgos obtenidos. Estas relaciones a las que nos referimos, difciles de identificar sin un estudio profundo del entorno general en el que se opera, son parte importante del valor agregado adicional que obtendr la empresa Cosapi Data S.A. de nuestro trabajo.
2. ASPECTOS GENERALES
El manejo de la informacin es importante en toda empresa es por eso que a manera de trabajo de campo ofrecemos a la empresa Cosapi Data S.A. realizar una auditora.
Cosapi Data S.A. proporciona un servicio integral en el desarrollo de tecnologas de informacin, con asesora, soporte tcnico, suministro de equipos, instalacin, mantenimiento y garanta local, afrontando la demanda de continuos cambios tecnolgicos mediante una respuesta gil y fiable para la satisfaccin y superacin de las expectativas de sus clientes.
Para lograr esto, se cuenta con un equipo de personas competentes que tiene conocimiento y experiencia en desarrollo de Tecnologas de Informacin. Todos los integrantes de nuestra organizacin conocen sus responsabilidades y estn comprometidos en lograr el xito de la empresa reflejado en la excelente calidad de cada uno de nuestros proyectos realizados.
Informacin del negocio Empresa Cosapi Data S.A. Localidad Lima - Per Ubicado Av. Coronel Andrs Reyes #420 San Isidro Telfono 215-4530 Web http://www.cosapidata.com.pe/
4
2.1. ESTRUCTURA ORGANIZACIONAL
2.2. MATRIZ DE RIESGOS
Empresa: Cosapi Data S.A. Fecha de Elaboracin: 28/09/2012 Gerencia: Ing. Emilio Fernndez de Crdova Gerente de Informtica: Ing. William Dyer N Procesos crticos Informacin de los procesos crticos % de sub- procesos Porcentaje de proceso 01 Gestin informtica. 1.1. Plan Operativo informtico 1.2. Plan de Contingencia. 1.3. Polticas y directivas. 40% 35% 35% 100% 02 Gestin del funcionamiento de los aplicativos. 2.1. Polticas y procedimientos relativos al uso y proteccin del software existente. 2.2. Manuales de usuario para los aplicativos. 2.3. Desarrollo de procedimientos de acceso a los aplicativos.
35% 35% 30% 100% 03 Gestin de Base de Datos 3.1. Polticas de deteccin de errores 3.2. Polticas de Backup y de recuperacin. 3.3. Controles programados para evitar el acceso no autorizado a la BD. 3.3. Controles de seguridad fsica para proteger la BD
25% 25%
25% 25% 100% 5
04
Gestin del rea de mantenimiento y soporte. 4.1. Polticas y procedimientos relativos al uso y proteccin de la organizacin 4.2 Ubicacin fsica de los equipos de cmputo. 4.3. Personal de mantenimiento y seguridad encargado de la salvaguarda de los equipos de cmputo. 40%
30%
30% 100%
2.3. PROGRAMA DE AUDITORIA.
El programa de auditora que contiene los procedimientos a ser aplicados se encuentran detallados en los siguientes Objetivos Generales a continuacin.
N Objetivos Generales Objetivos Especficos Horas 01 Evaluar la gestin de las normas y procedimientos para la administracin de contingencias. Verificar los procedimientos detallados para la recuperacin de las operaciones crticas de la organizacin. Verificar la descripcin de responsabilidades, composicin de equipos de trabajo y tareas de recuperacin. Verificar los procedimientos aplicados para el mantenimiento, pruebas y distribucin del plan de contingencias. Verificar la aplicacin de procedimientos para la proteccin de bienes tecnolgicos en el rea de sistemas. Verificar la existencia de acuerdos y plizas de seguros que tengan por objetivo la proteccin de los bienes tecnolgicos.
4 h.
4 h.
4 h.
2 h.
2h 6
02 Evaluar la gestin de los mecanismos y procedimientos utilizados para la administracin de cuentas de usuario. Verificar el establecimiento de polticas y normas para realizar la administracin de contraseas. Evaluar los procedimientos de alta, baja y modificacin de usuarios. Evaluar la administracin de claves de acceso para los usuarios privilegiados. Evaluar, para los usuarios del rea de sistemas, si los mismos tienen acceso a datos en lnea.
4 h.
2 h. 2h. 2h.
03 Evaluar el cumplimiento de las normas y procedimientos tanto para la clasificacin de datos como para la emisin de reportes y actividades de seguridad. Revisar las normas y procedimientos empleados para la clasificacin de datos. Revisar las normas y procedimientos para la emisin de reportes de violacin y actividades de seguridad. Revisar las normas y procedimientos aplicados para la prevencin, deteccin y correccin de software malicioso. Revisar la estructura de seguridad en los canales de telecomunicacin (firewall). Revisar los mecanismos de control de acceso fsico a los dispositivos de comunicacin. Evaluar la estructura de seguridad del sistema operativo. Evaluar la estructura de seguridad del acceso a la red. 4h.
4h.
2h.
4h. 2h.
6h. 4h. 04 Evaluar la gestin de acuerdos polticas y procedimientos que tengan como objetivo la proteccin de los bienes tecnolgicos.
Verificar la existencia de acuerdos y plizas de seguros que tengan por objetivo la proteccin de los bienes tecnolgico. Verificar la aplicacin de procedimientos para la proteccin de bienes tecnolgicos en el rea de sistemas. 2h.
2h.
3h. 7
Verificar la aplicacin de procedimientos para el ingreso y salida del hardware. 05 Evaluar la gestin de los procedimientos existentes para el almacenamiento, respaldo y destruccin de informacin sensible (Backups y otros). Verificar que la transferencia de informacin sensible se realice a travs de mecanismos que permitan la proteccin de los datos (encriptacin de datos). Evaluar los procedimientos existentes para la destruccin de medios que contengan informacin sensible. Revisar las normas y procedimientos para autentificar los datos, verificar la integridad de las transacciones electrnicas y la integridad de los datos almacenados. 6h.
6h.
6h.
3. INFORME FINAL
3.1. INFORME RELATIVO AL EXAMEN
3.1.1. MOTIVO DEL EXAMEN
Este examen fue propuesto a la empresa, con el fin de llevar a la prctica los conocimientos adquiridos en el aula y con el motivo de hacerle notar que no cuenta con la seguridad debida de su informacin adems de no contar con una buena administracin en su base de datos, a fin de evaluar la operatividad, seguridad, fiabilidad y calidad del sistema, la cual podr asegurar el aumento de la eficiencia y reduccin de costos en las operaciones que se puedan realizar, as como verificar el cumplimiento de los objetivos y normas planteadas por la empresa, y de esta manera mejorar su desempeo total.
3.1.2. NATURALEZA Y OBJETIVOS
NATURALEZA
La auditora realizada es una Auditora Externa y es una auditoria al rea de Seguridad Informtica.
OBJETIVOS
Objetivo General Evaluar la gestin de las normas y procedimientos para la administracin de contingencias. 8
Evaluar la gestin de los mecanismos y procedimientos utilizados para la administracin de cuentas de usuario. Evaluar el cumplimiento de las normas y procedimientos tanto para la clasificacin de datos como para la emisin de reportes y actividades de seguridad. Evaluar la gestin de los procedimientos existentes para el almacenamiento, respaldo y destruccin de informacin sensible (Backups y otros).
Objetivos Especficos Verificar los procedimientos detallados para la recuperacin de las operaciones crticas de la organizacin. Verificar la descripcin de responsabilidades, composicin de equipos de trabajo y tareas de recuperacin. Verificar los procedimientos aplicados para el mantenimiento, pruebas y distribucin del plan de contingencias. Verificar la aplicacin de procedimientos para la proteccin de bienes tecnolgicos en el rea de sistemas. Verificar la existencia de acuerdos y plizas de seguros que tengan por objetivo la proteccin de los bienes tecnolgicos. Verificar el establecimiento de polticas y normas para realizar la administracin de contraseas. Evaluar los procedimientos de alta, baja y modificacin de usuarios. Evaluar la administracin de claves de acceso para los usuarios privilegiados. Evaluar, para los usuarios del rea de sistemas, si los mismos tienen acceso a datos en lnea. Revisar las normas y procedimientos empleados para la clasificacin de datos. Revisar las normas y procedimientos para la emisin de reportes de violacin y actividades de seguridad. Revisar las normas y procedimientos aplicados para la prevencin, deteccin y correccin de software malicioso. Revisar la estructura de seguridad en los canales de telecomunicacin (firewall). Revisar los mecanismos de control de acceso fsico a los dispositivos de comunicacin. Evaluar la estructura de seguridad del sistema operativo. Evaluar la estructura de seguridad del acceso a la red. Verificar la existencia de acuerdos y plizas de seguros que tengan por objetivo la proteccin de los bienes tecnolgico. Verificar la aplicacin de procedimientos para la proteccin de bienes tecnolgicos en el rea de sistemas. Verificar la aplicacin de procedimientos para el ingreso y salida del hardware. Verificar que la transferencia de informacin sensible se realice a travs de mecanismos que permitan la proteccin de los datos (encriptacin de datos). Evaluar los procedimientos existentes para la destruccin de medios que contengan informacin sensible. Revisar las normas y procedimientos para autentificar los datos, verificar la integridad de las transacciones electrnicas y la integridad de los datos almacenados. 9
3.1.3. ALCANCE
La auditora de Sistemas realizada comprende una evaluacin del rea de Seguridad informtica, centrndose en los aspectos de software, documentacin, datos y de administracin de bases de datos; supervisado y evaluado a las personas involucradas en el rea. Esta auditora ser realizada en sede principal de Cosapi Data S.A. ubicada en Av. Coronel Andrs Reyes #420 San Isidro, donde se realizar una auditora de clase de Tecnologas de la Informacin y de tipo Externa, la cual se llevar a cabo en un periodo de 30 das hbiles habindose iniciado el 12 de Mayo del 2014 y culminara en el mes de Julio del 2014.
3.1.4. COMUNICACIN DE OBSERVACIONES
Para la presentacin de las observaciones y recomendaciones hechas en esta auditora se espera terminar el informe final, el cual ser presentado a la Gerencia General.
3.2. INFORME RELATIVO A LA ENTIDAD EXAMINADA Gerente General Cosapi Data S.A. Lima, 20 de Mayo del 2014 Seores: Hemos examinado el rea de Seguridad Informtica de la empresa Cosapi Data S.A. examen realizado desde del 12 de Mayo del 2014 hasta el 19 de Mayo del 2014. De conformidad con las normas de la auditora generalmente aceptas, polticas informticas y basado en mtodos tcnicas y herramientas de auditora se ha determinado que la empresa no cumple con las directivas ni con gran parte de las normativas que corresponden al rea evaluada en los siguientes aspectos.
Seguridad fsica
De acuerdo al trabajo realizado, hemos visto que la sala del computador no cuenta con los siguientes dispositivos o medidas de proteccin: detectores de humo, alarma contra incendios dentro del rea, alarma contra intrusos internas. Asimismo, estimamos conveniente mejorar las medidas de proteccin fsica, sellando las ventanas y sustituyendo las divisiones de vidrio por paredes. Estas medidas deberan ser extendidas en la medida de lo aplicable al resto de las reas de sistemas, donde tambin residen equipamiento, documentacin e informacin. Asimismo, hemos observado que: - Existen ocasiones en que las puertas de acceso al ambiente de sistemas permanecen abiertas, - Personal ajeno a sistemas accede a la sala del computador sin la real necesidad. - No se poseen armarios ignfugos para el almacenamiento de las cintas de respaldo.
Por otro lado, es importante mencionar que las actuales instalaciones fsicas de la USI no han sido diseadas especficamente para tal fin, lo cual no contribuye a la solucin de los aspectos antes mencionados.
10
Estos aspectos inciden directamente en la disponibilidad y confidencialidad de la informacin.
Seguridad lgica
Existen varios aspectos a mejorar en cuanto a la seguridad lgica: La funcin de administracin de seguridad no est formalmente asignada y segregada de funciones incompatibles. No se cuenta con polticas, normas y procedimientos formalmente establecidos. Los mecanismos de administracin de usuarios y contraseas no cumple con las mejores prcticas ni con las normas internas. Por ejemplo: otorgamiento de autorizaciones de acceso basado en la premisa necesidad de conocer, necesidad de hacer, autorizaciones formales para alta o modificacin de usuarios, reglas para la construccin de claves (longitud mnima, caducidad, reglas de construccin, etc.) No se cuenta con mecanismos de control y supervisin de las actividades de seguridad. No se cuenta con una clasificacin de la informacin en cuanto a su criticidad y por lo tanto tampoco con medidas de proteccin asociadas a cada categora definida.
Operacin
De acuerdo al trabajo realizado, hemos notado los siguientes aspectos: - No se cuenta con procedimientos formales de control de los trabajos de operacin (revisin de bitcoras, logs), ni se deja evidencia de las revisiones. - No existen cronogramas de operacin formalmente documentados. - No existen normas para la ejecucin de tareas de mantenimiento y limpieza de los discos de los sistemas. - Existen deficiencias en la administracin de copias de respaldo (backups)
Queremos mencionar que las tareas de operacin relacionadas con el procesamiento de datos no tienen un alto grado de complejidad, por lo que la implantacin de estos aspectos no debera ser costosa.
Plan de contingencia
Cosapi Data S.A. no cuenta con plan de contingencias del negocio, slo se cuenta con un plan de recuperacin operativo de sistemas. Asimismo, tampoco se han definido los procedimientos formales para la capacitacin del personal de sistemas en los procedimientos definidos en el plan de contingencias.
El presente informe se inici el 12 de Mayo del 2014 y se entrega el 20 de Mayo del 2014. Firma e identificacin del auditor.
Humberto Arboleda Vsquez 11
3.2.1. ANTECEDENTES Y BASE LEGAL
ANTECEDENTES
Cosapi Data S.A. es una empresa especializada en el campo de Desarrollo Tecnologas de Informacin y ofrecen a sus clientes un servicio integral con: asesora, soporte tcnico, suministro de equipos, instalacin, mantenimiento y garanta local.
Cosapi Data S.A. cuyo tiempo de vigencia es mayor a los 5 aos, ha logrado hasta ahora cumplir con los objetivos establecidos, siendo en la actualidad una de las empresas que brinda soluciones a la Gestin para el Desarrollo de Sistemas de Informacin, comprometidos a brindarles servicios de calidad y confiabilidad, que combine el apropiado uso de las tecnologas de Informacin y las comunicaciones, contribuyendo as a incrementar la competitividad de sus procesos de negocio.
BASE LEGAL
Cosapi Data S.A. Segn el Decreto Ley N 26887: Sociedad Annima.
3.2.2. RELACIN DE LAS PERSONAS COMPRENDIDAS EN LAS OBSERVACIONES
A continuacin se muestra una lista de las personas comprendidas en estas observaciones.
Identificador Nombre del Usuario Cargo Pcajahua Phillip Cajahuanca Analista de Sistemas Gargomedo Gustavo Argomedo Analista de Sistemas Balarcon Bruno Alarcon Arrieta Analista de Sistemas Dflores Dante Flores Administrador de Base de Datos(DBA) Dperedo Danitza Peredo Desarrollador Web Fmunoz Federico Munoz Desarrollador Web Gsanchez German Sanchez Analista de Sistemas Halcocer Hilda Alccer Desarrollador Web mzamora Mabel Zamora Cuenca Desarrollador Web Tarbole Arboleda Vsqeuz Desarrollador Web
12
3.3. OBSERVACIONES RESUMIDAS
Observacin N 1 Al realizar una Auditoria al rea de Seguridad Informtica de la empresa Cosapi Data S.A., se dio nfasis a verificar si contaban con los mecanismos y procedimientos relativos al uso y proteccin de las cuentas de los usuarios debido a que se mostr que cumplan con algunas normas pero no respetaban la privacidad y seguridad de los usuarios.
Observacin N 2 Al realizar una Auditoria al rea de Seguridad Informtica de la empresa Cosapi Data S.A., se dio nfasis a verificar si cumplan con las normas de seguridad lgica de los sistemas de informacin.
Observacin N 3 Al realizar una Auditoria al rea de Seguridad Informtica de la empresa Cosapi Data S.A., se verifico que no cumplan con el uso de de manuales o formularios especficos para los usuarios tanto para el acceso a red como para realizar solicitudes.
Observacin N 4 Al realizar una Auditoria al rea de Seguridad Informtica de la empresa Cosapi Data S.A., se verifico que no cumplan con las normas y procedimientos para la clasificacin de datos.
Observacin N 5 Al realizar una Auditoria al rea de Seguridad Informtica de la empresa Cosapi Data S.A., se dio en nfasis en la verificacin del manejo de incidentes, el cual mostro que la empresa no tena aun definidas las normas y los procedimientos para estos.
Observacin N 6 Al realizar una Auditoria al rea de Seguridad Informtica de la empresa Cosapi Data S.A., se pudo verificar que la empresa no contaba con una poltica para el uso de Internet por parte de los usuarios, dejando esto vulnerables a los equipos de la empresa.
Observacin N 7 Al realizar una Auditoria al rea de Seguridad Informtica de la empresa Cosapi Data S.A., se pudo verificar que la empresa era vulnerable en lo referente a su seguridad fsica, debido tanto a la ubicacin de los equipos como tambin a la estructura de las reas de trabajo.
Observacin N 8 Al realizar una Auditoria al rea de Seguridad Informtica de la empresa Cosapi Data S.A., se pudo verificar que la empresa no cumpla con las normas ni llevaba a cabo las buenas prcticas para la administracin y manejo de backups.