Auditoria de Sistemas lnformticos

Caso de Auditoria
De sistemas

lnformticos

Auditoria de hardware y software en estaciones

de trabajo.

Msc. Julio Csar Lpez

Docente

Auditoria de Sistemas lnformticos

Alcance
La auditoria se realizar sobre los sistemas informaticos en computadoras personales que estn
conectados a la red interna de la empresa.

Objetivo
Tener un panorama actualizado de los sistemas de informacin en cuanto a la seguridad fisica, las
politicas de utilizacion, transferencia de datos y seguridad de los activos.

Recursos
El numero de personas que integraran el equipo de auditoria sera de tres, con un tiempo maximo de
ejecucion de 3 a 4 semanas.

Etapas de trabajo
1.

Recopilacion de informacion bsica

Una semana antes del comienzo de la auditoria se envia un cuestionario

a los gerentes

responsables de las distintas areas de la empresa. El objetivo de este cuestionario es conocer los
equipos que usan y los procesos que realizan en ellos. (se debera crear el cuestionario
conespondiente)
Los gerentes se encargaran de distribuir este cuestionario a los distintos empleados con acceso a
los computadores, para que tambien lo completen. De esta manera, se obtendra una vision mas
global del sistema.

Es importante tambien reconocer y entrevistarse con los responsables del area de sistemas de la
empresa para conocer con mayor profundidad el hardware y el softrare utilizado (Se debe crear la
guia o cuestionano necesario)

En las entrcvistas incluiran:

.
.
.
.
2.

Director / Gerente de lnformatica

Subgerentes de informatica
Asistentes de informatica
Tecnicos de soporte extemo

ldentificacin de riesgos potenciales

Se evaluara la forma de adquisicion de nuevos equipos o aplicativos de software.

Los
procedimientos para adquirirlos deben estar regulados y aprobados en base a los estandares de
la empresa y los requerimientos minimos para ejecutar los programas base.

Auditoria de Sistemas lnformticos

Dentro de los riesgos posibles, tambien se contemplaran huecos de seguridad del propio
software y la correcta configuracion y/o actualizacion de los equipos criticos como elcortafuegos.
Los riesgos potenciales se pueden presentar de la mas diversa variedad de formas.

3.

Objetivos de control

Se evaluaran la existencia y la aplicacin conecta de las politicas de seguridad, emergencia y

disaster recovery de la empresa.
Se hara una revision de los manuales de politica de la empresa, que los procedimientos de los
mismos se encuentren actualizados y que sean claros y que el personal los comprenda.
Debe existir en la Empresa un programa de seguridad, para la evaluacin de los riesgos que
puedan existir, respecto a la seguridad del mantenimiento de los equipos, programas y datos.
Se debe considerar evaluar un plan de renovacin de los equipos de hardware

4,

Determinacion de los procedimientos de control

Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos
definidos en el paso anterior.
Objetivo N 1: Existencia de normativa de hardware.

I
{

El hardware debe estar correctamente identificado y documentado.

Se debe contar con todas las rdenes de compra y facturas con el fin de
contar con el respaldo de las garantas ofrecidas por los fabricantes.

Auditoria requerir de forna escrita a contabilidad para poder

verificar las garantas, el auditor decidi si se requiere realizar una
evaluacin completa de facturas y ordenes de compra, para verificar
elrespaldo de cada equrpo.

{
{

Elacceso a los componentes del hardware

Se debe contar con un plan de mantenmiento y registro de fechas,

problemas, soluciones y proximo mantenim iento propuesto.

La institucin contrata a la empresa Servicios Computacionales S.A.

para que le de mantenimiento al equipo de cmputo, este solo se
propicia cuando se detecta que los equipos estn fallando.

Objetivo N 2: Poltica de acceso a equipos.

Cada usuario debe contar con su nombre de usuario y contrasea para

acceder a los equipos.

Auditoria de Sistemas lnformticos

o
{

Las

Se deber establecer si los equipos realmente cuentan con esta

caracterstica y si lo usuarios hacen uso de los mismos

claves debern ser seguras (mnimo 8 caracteres, alfanumricos y

altemando maysculas y minsculas).

I
/

Los usuarios se desloguearan despus de 5 minutos sin actividad.

Los nuevos usuarios debern ser autorizados mediante contratos

de

confidencialidad y deben mantenerse luego de finalizada la relacin laboral,

se deber establecer si esto esta sucediendo en realidad, verificarelcontrato
de confidenciatidad.

./

Uso restringido de medios removibles (USB, CD-ROM, discos extemos etc).

Objetivo N 3: Uso e instalacin de software

{
,/
{
/
/

Tipos de sistema operativo instalado en cada equipo

Licenciamiento para equipo en funcin de sistema operativo
Licenciamiento para otros programas de softare a utilizar
Mantenimiento de software
Antivirus

Objetivo N 4: Proteccin de datos

r'
/
{
./

Medios para el backup de datos

Periodicidad con relacin al backup de datos

Lugardonde se almacena el backup de datos

Acceso a los datos (seEuridad de acceso)

Objetivo N 5: lntemet

{
/
./
{
./

Acceso a intemet por medio de los usuarios

Control del ancho de banda por los usuarios
Acceso a redes sociales
Transmisin de informacin por 'nedio de coneo electrnico
Utiliza del servidor de correo.

Auditoria de Sistemas lnformticos

5.

Pruebas a realizar.

Son los procedimientos que se llevaran a cabo a fin de verificar el cumptlmiento de los objetivos
establecidos. Entre ellas podemos mencionar las siguientes tcnicas:

,/
/
/
./
,/
/

Tomar equipos al azar y evaluar la dificultad de acceso a las mismas.

lntentar sacar datos con un dispositivo extemo.
Facilidad para desarmar una pc.
Facilidad de accesos a informacin de confidencialidad (usuarios y claves).
Verificacin de contratos.

Comprobar que luego

de 5 minutos de inactividad los usuarios

se

deslogueen.

Creacin

de

contraseas seguras, quienes tienen acceso

esas

contraseas

,/

Todas las pruebas necesarias para poder desanollar

la

auditoria

correspondiente.

,/

6.

Otras

Obtencion de los resultados.

En esta etapa se obtendrn los resultados que surjan de la aplicacin de los procedimientos de
control y las pruebas realizadas a fin de poder determinar si se cumple o no con los objetivos de
control antes definidos. Los datos obtenidos se registrarn en papeles, cuestionarios, cedulas
realizadas a medida para cada procedimiento a fin de tener catalogado perfectamente los resultados
con el objetivo de facilitar la interpretacion de los mismos y evitar interpretaciones erroneas.

Resultados de la Auditoria.
Los servidores central se encuentran en un saln aislado de cualquier persona particular, al

preguntarse indic que solo el Gerente del Sistema tiene acceso a 1, pero en la observacin
se verifico que cualquier de los empleados del departamento de informtica acceden al
servidor y pueden realizar configuraciones, esto sin autorizacin del Gerente del Sistema.
El rea de servidores fue ubicada en el stano del edificio, ediflcio que se encuentra cercana
a un rea de inundaciones continuas, afortunadamente nunca la crecida del rio ha llegado a
las instalaciones de la empresa, cabe mencionar que no se cuentan con reposaderas en
esta rea.
Actualmente se cuenta con 50 equipos en la institucin, el 50% de ellos son de marca Dell y
el resto son genricos. Se deber realizar un inventario de los equipos ya que ni el director,
gerentes ni asistentes, tienen conciencia de los tipos de equipo con los que cuentan, esto
en referencia a memoria ram, disco duro, procesador.

-5-

Auditoria de Sistemas lnformticos

Se contabilizan 25 impresoras laser, 10 de inyeccin de tita, pero se desconoce las
caractersticas puntuales.

Se utilizan 2 servidores redundantes marca dell , disco duro de 2 Tb, procesador Xion y
memoria de 16 gb
Los equipos son utilizados por los empleados, los usuarios se les asigna una computadora
especfica para el uso, regularmente los empleados no utilizan computadoras de otras
personas, aunque por la falta de claves en el arceso a las mismas, en algunas ocasiones si
se presta para que otras personas utilicen el computador de otra persona.
Los computadores tienen la facilidad de poder moverse al lugar donde se desean reubicar
si fuera necesario.

Se debe verifico si los equipos cuentan con regulador de voltaje y UPS, en una revisin que

se realiz hace 3 aos, solo en 4OVo de los equipos contaba con estos dispositivos por lo
que se deber evaluar su disponibilidad actual en todos los equipos, si el auditor as lo
considera.
En el resto de departamentos se cuentan con equipos bastante actualizados, el80% de los
equipos cuentan con UPS y Regulador de voltaje, un 10% tenen el dispositivo pero no sirve
y el restante no cuentan con un dispositivo de este tipo. Debido alcrecimiento de la empresa
en los ltimos aos se han incorporado en cada departamento ms equipos de cmputo,
conectados a la misma toma conientes ya existentes.
No se observaron Extintores de fuego.
Siempre que llega un nuevo empleado recursos humanos solicita a informtica se cree el
nuevo usuario, se le asigne clave y se le d, de alta en el sistema, esto lo hace cualquier de
las 5 personas en eldepartamento de informtica. Algunas veces la activacin del usuario
lleva ms tiempo de lo esperado debido a que nadie tiene la responsabilidad asignada.
No se llena ningn documento fsico para realizar la habilitacin del nuevo usuario.
Segn el instrumento que se utiliz para verificar las contraseas, se pudo verificar que un
50% de los usuarios utilizan contraseas mayores a 8 dgitos pero con nombres de personas,
lugares, fechas, Contraseas que se consideran inseguras, el resto de las personas utilizan
contraseas seguras, aunque no ormplen el total de requisitos para ser totalmente seguras.
Algo que se pudo comprobar es que si un usuario pierde su clave de acceso, puede realizar
ilimitados intentos para intentar ingresar al sistema (el sistema nunca se bloquea), si al final
no logra encontrar su clave, la solicita a lnformtica via telefnica y se la dictan o enviar por
coneo, sin comprobar la autenticidad de la llamada.
Todos los equipos estn conectados al servidor central, pero se logr establecer que no
todos dependen del antivirus central, en ocasiones cuando un equipo de ha renstalado,
informtica olvida asignar el antivirus con el que cuenta la empresa, esto provoca que los
empleados instalen un antivirus gratuito de intemet.
En algunas mquinas se encontraron virus y esp[as. Un porcentaje mnimo. 5%

Todos los empleados del rea informtica estn altamente calificados para desanollar los
trabajos que se les encomienden

Todos los empleados del departamento de informtica, se distribuyen las tareas y

asignaciones del da, en ocasiones 2 empleados resultan haciendo la misma larea.
El personal en generaltiene conocimientos bsicos del uso del sistema ERP SAP y adicional
conocimientos bsicos sobre Offlce, Sistema Operativo y uso delcomputador.
Los empleados han mencionado que al tener problemas con un equipo de cmputo, saben
que deben solicitar ayuda al departamento de informtica.

-6-

Auditoria de Sistemas !nformticos

La empresa no propicia capacitaciones, al preguntrsele al encargado de recursos humanos

sobre este tema, informo que nunca se han tenido quejas ni solicitudes para capacitar a los
empleados en funcin del personal

La informacin se procesa a travs del ERP SAP, a pesar que est instalado en los
servidores de la empresa, no es administrado por el departamento de informtica. Para la
administracin se contrat a un grupo de consultores extemos que permiten llevar el control
de la administracin del sistema.
Cada departamento tiene sus propias claves de acceso y administracin
La informacin es segura y confiable, segn lo expresaron los diferentes gerentes de rea.
Muy tatavez no se ha tenido acceso a las bases de datos delsistema.
Las diferentes estaciones de trabajo No reportan anomalas en el acceso a la informacin o
al momento de depositar informacin en el sistema.
A los usuarios de la base de datos se les asigna un nivel de trabajo, lo cual permite definir si
pueden, grabar, modificar o solo consultar datos.
El sistema ERP SAP es muy estable y no presenta problemas
La empresa aposto por instalar el nuevo Windows 8 en las computadoras de los empleados,
esto ha provocado desconcierto porque muchos empleados no lo saben utilizar, no hubo
capacitacin ya que recursos humanos argumento que no era necesario, esto no se consult
con informtica y tampoco a gerencia.
Los empleados pueden instalar sottware que lleven en memorias USB
Se estableci que los empleados pueden accesar a redes sociales desde su computador,
esto porque se dieron cuenta que al instalar Mozilla Firefox, no bloquea las redes sociales
como Facebook y Twitter. Actualmente usan lnternet Explorer.
Los equipos no estn sellados y cualquier podran destapar la computadora crn solo tener
un par de desarmadores
El mantenimiento de un equipo solo se da hasta que es solicitado por el empleado. No existe
mantenimiento preventivo.
Se hace notar las excesivas conexiones para una misma toma corriente.
Existe una impresora industrial por departamento, esta se comunica a travs de la red para
con todos los equipos
La empresa cuenta con red en estrella, todas conectadas a un servidor central, el cable
detectado es calibre 6 rj45. En todas las estaciones
Muchos de los cables viajan muy cerca deltendido elctrico de la empresa
Cualquier empleado puede conectar y desconectar su cable de red.
No existe ningn control para la transferencia de archivos entre usuarios y equipos
Para ciertas reas hay intemet inalmbrico disponible, hace poco un empleado logro a travs
de esta red WiFi, accesar al equipo de otro empleado del 3er nivel y jugarle una broma.
NO hay politicas de control para el uso de memorias USB

7. Conclusiones y Comentarios:
En este paso se detallara el resumen de toda la informacin obtenida, asi como lo que se deriva de
esa infornacin, sean fallas de seguridad, organizacin o estructura empresarial. Se expondrn las
fallas encontradas, en la seguridad fsica sean en temas de resguardo de informacin (Casos de
incendio, robo), manejo y obtencin de copias de segundad, en las normativas de seguridad como
por ejemplo normativas de uso de passwords, formularios de adquisicin de equipos, y estudios
previos a las adquisiciones para comprobar el beneficio que los mismos aportaran. Finalmente se
vern los temas de organizacin empresarial, como son partes responsables de seguridad,
mantenimiento y supervisin de las otras reas.

-7-

Auditoria de Sistemas lnformticos

8. Redaccin del lnforme, Conclusiones y Recomendaciones.

en

este paso es donde se muqstran los verdarderos resultiados a los responsables de la

empresa, el informe presentado dar a @nocer todos los puntos evaluados durante la auditoria,
Es

resultados, conclusiones, puntaje y posibles solucones.

La condusin tendr como temas los resultados, erores, puntos crticos y observaciones de los
auditores. Mientras que en el resumen se vern las posibles soluciones de esos puntos oticos y
fallas, as como recomendaciones para el buen uso y tambin recomendacones sobre la forma
conecta de real2ar algunos procedimientos.

-8-