Upload File

seguridad.docx

23
Seguridad, protección y auditoria informática Susan Anampa Valdez Anthony Hurtado Rayme Informe de la realización de una auditoria al laboratorio 406 de la Escuela Académica Profesional de Ingeniería Informática y Sistemas.

Upload: thomythomy

Post on 02-Oct-2015

13 views

Category:

Documents


1 download

Report

TRANSCRIPT

Seguridad, proteccin y auditoria informtica

INFORME DE AUDITORIA INFORMATICA PC1-PC

I. Datos generales de la empresa o institucin auditada

1.1 Identificacin de la empresa o institucin

La empresa identificada es la Universidad Nacional Micaela Bastidas de Apurmac con sede en la ciudad de Abancay con las siguientes carreras profesionales de Ingeniera Agroindustrial, Ingeniera de Minas, Administracin de Empresas y Educacin inicial intercultural bilinge, Ciencias Polticas y Gobernabilidad, Ingeniera de sistemas e informtica, Medicina Veterinaria y Zootecnia. VISINLa UNAMBA al 2021 es una universidad lder con acreditacin nacional comprometida con el desarrollo cultural de Apurmac a la regin sur.MISINLa UNAMBA forma profesionales de excelencia con sentido humanista; genera ciencia, tecnologa, innovacin e impulsa la cultura andina, al servicio de desarrollo regional y nacional.EJES Y OBJETIVOS ESTRATGICOSAcadmico: Formacin profesional con excelencia. Investigacin: Desarrollar investigacin cientfica, tecnolgica y humanista. Extensin y Proyeccin Universitaria: Extensin de ciencia, tecnolgica y cultura. Gestin Administrativa: Gestin administrativa eficaz y eficiente.

VALORES INSTITUCIONALES La excelencia La libertad y tolerancia La responsabilidad social La identidad institucional La tica y honestidad La valoracin del medio ambiente La cultura de paz y equidad La calidad1.2 Razn social: Av. Inca Garcilaso de la Vega s\n

1.3 Identificacin del rea auditada:

El area auditada es el laboratorio 406 aula de redes (4to piso) ubicado de la carrera profesional de ingieneria informatica y sistemas, en el pabellon general.

1.4 Responsable del rea:

Ing. Hugo David Caldern Vilca

1.5 Calendarizacin: Fecha de Iniciacin

26 de noviembre del 2014

Recoleccin de Informacin

09 de febrero del 2015

26 de noviembre del 2014

Anlisis de la Informacin

5 de enero al 23 de enero del 2015, Entre estas fechas se realizaron los anlisis fsicos, lgicos y de seguridad de la PC-1 pc aula 406.

Entrega del Informe

09 de febrero del 2015

II. Bases legales de la auditoria informtica

Ley Universitaria No 23733 Estatuto de la Unamba Legislacin informtica Nueva Ley universitaria

III. Objetivos de la Auditoria Informtica

Objetivo generales Mejorar el estado de los equipos de cmputo, su utilizacin, eficiencia, eficacia y seguridad de los laboratorios de la carrera de Ingeniera Informtica y Sistemas. Objetivos especficos. Dar a conocer el estado del laboratorio. Descubrir el estado actual de las computadoras. brindar un mejor servicio al estudiante teniendo un laboratorio limpio y ordenado.

IV. Proceso de ejecucin de la auditoria informtica2.1 Fases de la auditoria2.1.1 PlaneacinEl presente trabajo se presenta con el fin de mostrar las deficiencias del laboratorio 406 para poder mejorar y optimizar el servicio que se brinda a los alumnos.2.1.2 Revisin preliminar

DESCRIPCION GENERAL DE LA PC

Equipo: PC1-PC Ubicacin: Ing. informtica y sistemas Laboratorio: 406 Ao de compra: 2014

DE LA PLACA BASE

Quad Core Intel Core i7-3770, 3700 MHz (37 x 100) Nombre de la placa basa Hewlett-Packard HP Compaq Elite 8300 SFF Chipset de la placa base Intel Panther Point Q77, Intel Ivy Bridge Memoria del sistema 3476 MB (DDR3 SDRAM) Tipo de BIOS Compaq (05/07/2012) Puerto de comunicacin Puerto de comunicaciones (COM1)

PANTALLA Adaptador de video Tarjeta grfica VGA estandar (65472 kB) Aceleradora 3D Intel HD Graphics 4000 Monitor HP S1933 [18.5" LCD] (CNC211R22L)

Multimedia de la pc

Adaptador de audio Intel Panther Point HDMI @ Intel Panther Point PCH - High Definition Audio Controller [C-1] Adaptador de audio Realtek ALC221 @ Intel Panther Point PCH - High Definition Audio Controller [C-1]

Almacenamiento de la pc

Controlador IDE Controladora ATA de serie AHCI 1.0 estndar Unidad de disco HP v100w USB Device (3 GB, USB) Unidad de disco Kingston DataTraveler 2.0 USB Device(7 GB, USB) Unidad de disco WDC WD10EZEX-60ZF5A0 ATA Device (1000 GB, 7200 RPM, SATA-III) Unidad ptica hp DVD A DH16ACSHR ATA Device Estado SMART de los discos duros FAIL

Particiones de discos del equipo

C: (NTFS) 409499 MB (387371 MB libre) D: (NTFS) 175999 MB (175084 MB libre) Tamao total 571.8 GB (549.5 GB libre)

Perifricos de entrada

Teclado Teclado PS/2 estndar Mouse Mouse PS/2 de Microsoft

Perifricos de entrada y salida

Impresora Enviar a OneNote 2010 Impresora Fax Impresora Microsoft XPS Document Writer Controlador USB2 Intel Panther Point PCH - USB 2.0 EHCIController #1 [C-1] Controlador USB2 Intel Panther Point PCH - USB 2.0 EHCI Controller #2 [C-1] Controlador USB3 Intel Panther Point PCH - USB 3.0 xHCI Controller [C-1] Dispositivo USB Dispositivo de almacenamiento USB Dispositivo USB Dispositivo de almacenamiento USB Dispositivo USB Generic USB Hub Dispositivo USB Generic USB Hub

ANALISIS DEL SISTEMA OPERATIVO Analizamos las propiedades, informacin de la licencia y caractersticas

PROPIEDADES Nombre del SO Microsoft Windows 7 Ultimate 32 bitsLinux mini 64 bitsIdioma del SO Espaol (Espaa, internacional) Idioma de instalador del SO Espaol (Espaa, internacional) Tipo de kernel del SO Multiprocessor Free (32-bit) Versin del SO 6.1.7601.17514 (Win7 RTM) Service Pack del SO Service Pack 1 Fecha de instalacin del SO 05/10/2013 Raz del SO C:\Windows Licencia Propietario registrado PC1-pc Organizacin registrada ID del producto 00426-OEM-8992662-00010 Clave del productoMHFPT-8C8M2-V9488-FGM44-2C9T3 Activacin del producto (WPA) No requerido

Caractersticas del sistema operativo

Versin de depuracin No Versin DBCS No Controlador de dominio No Seguridad presente No Red presente S Sesin remota No Modo Seguro No Procesador lento No Servicios de terminal S

Programas instalados del equipo y sus caractersticas

2.1.3 Revisindetallada

Los equipos de cmputo no estn debidamente autentificados, sin licencias ni seguridad (antivirus), la limpieza externa en un estado calamitoso (llenos de polvo).Los equipos de cmputo estaban en mal estado ya que solo alguno de ellos funcionaba mientras que otros estaban en desuso y que ocupaban espacio.

2.1.4 Diagnstico situacional En la actualidad el laboratorio 406 dela EAPIIS no tiene seguridad ya esta no cuenta con una puerta segura, solo cuenta con un candado que no es seguro, no cuenta con (cmaras de seguridad, cortinas en las ventanas, con un cableado bien definido, cables colgados como tambin con cables pelados lo cual es un peligro para un estudiante que ase clases en el presente laboratorio adems de poder pasar un corte circuito)

2.1.5 Funcin operacional de los equipos En el laboratorio 406 de la EAPIIS casi todo los equipos de cmputo estn instalados con 2 y 3 sistemas operativos (Windows 7, Linux) el gran problema de esto es que solo el estudiante tiene acceso al sistema operativo de Windows 7 ms aun no lo tiene a Linux ya que este sistema operativo est protegido con una contrasea que solo sabe el que lo instalo.Es necesario que un laboratorio de esta calidad tenga internet.2.1.6 Examen yevaluacinde lainformacin Lo recomendable es que este laboratorio tenga ms seguridad, tenga una cmara de vigilancia, cableado bien estructurado, todos los programas necesarios segn los semestres que hacen uso de dicho laboratorio, las actualizaciones de los programas, adems contar con internet.

2.1.7 Pruebas de controles de usuarios

Muchos estudiantes no son conscientes de las cosas que se encuentran en el laboratorio y lo necesario que es para todos los estudiantes, es por ello que algunos roban mouse, malogran los teclados, rayan las pantallas, etc. La inconciencia de los alumnos es tal que es ingresan con alimentos, bebidas, snack los cuales causan daos a los teclado con las migajas o los chorros de agua, tambin dejan basura en los muebles y los suelos. 2.1.8 Pruebas sustantivas: demostrar con pruebas

2.2 Anlisis y evaluacin de la auditoria informtica2.2.1 Evaluacinde los sistemas de acuerdo a los riesgos Seguridad fsica y lgica:

Seguridad fsica

La principal deficiencia es la seguridad de las puertas pues cuenta con un candado que es muy fcil de vulnerar y podramos sufrir de robos de nuestros equipos (monitores, CPU, pizarras electrnicas, proyectores, etc.). Por lo cual se recomienda cambiar la chapa de la puerta y en su posibilidad poner rejas al laboratorio, cmaras de seguridad ms cercanas pues estando muy lejos no se podran reconocer a los ladrones. La existencia de abundantes muebles (sillas, carpetas, mesas) dificulta el pase de los alumnos en caso que haya algn tipo de emergencia (sismo, terremotos, etc.) no podran salir aumentando el riesgo de perdidas personales. La existencia de mquinas que son obsoletas debera de ser llevadas a lugares adecuados para ser reciclados. Actualmente en dicho laboratorio se encuentran routers, swicht que se encuentran en desuso, o en su defecto malogrados, los cuales tambin deben ser reciclados o arreglados. La limpieza del laboratorio tambin es muy importante porque las maquinas a simple vista estn llenas de polvo y eso malogra todos los equipos.Por lo cual se recomienda hacer limpieza. La seguridad de las ventanas, no son seguras pues cuando hace calor es necesario abrirlos y al irse no lo sierran, y podra llover en un ngulo que podra entrar el agua al laboratorio los cables estn en el suelo y los mojara, que alguien entre y encienda las mquinas y pasara un corte circuito.

Por lo que se recomienda cada usuario a dicho laboratorio asegurarse que las ventanas estn bien cerradas y aseguradas. El cableado de este laboratorio es inadecuado, los cables estn por todas partes, podramos tropezar y hacernos daos. Por lo que se recomienda que tengan canaletas adecuadas a la cantidad y grosor de los cables para que no se estn desbordando. Seguridad lgicaLa computadora PC1-pc esta cuanta con dos con un sistemas operativos Windows 7 no tiene contrasea dicha maquina cuenta con un congelador por lo cual cuando la apagamos automticamente se borrara algn tipo de documento que hayamos realizado en dicho dispositivo. Centos 6.6 tiene contrasea, los alumnos no te tenemos acceso a la contrasea sera adecuado que los alumnos que tienen acceso a este laboratorio tambin tengan acceso a estas contraseas, pues si no las tienen y las necesitan est de ms dichas maquinas. Hay programas que estn de ms porque los estudiantes de estos laboratorios nunca las usan, por lo cual se recomienda desinstalarlo. Este laboratorio no cuenta con internet y tampoco con algn antivirus por lo cual es muy fcil de daarse las memorias USB de los usuarios, por lo que recomienda tener internet e instalar los antivirus y tenerlos actualizados.

2.2.2 Investigacinpreliminar

El laboratorio 406 de la Escuela Acadmica Profesional de Ingeniera Informtica y Sistemas antes de realizar la auditoria se realiz una descripcin en general de los programas instalados y tambin la parte fsica de las computadoras de todos sus perifricos, disco duro de todas sus particiones, se recopilo informacin para ver la situacin actual del laboratorio 406 .

2.2.3 Herramientas utilizadas en la auditoria: Programas, utilitarios, herramientas ensamblajePara llevar a cabo la auditoria se hiso uso del software aida64 .- una herramienta de informacin del sistema lder en la industria, amado por los entusiastas de PC de todo el mundo, que no slo proporciona una informacin muy detallada sobre el hardware y el software instalado, sino que tambin ayuda a los usuarios a diagnosticar problemas y ofrece puntos de referencia para medir el rendimiento del equipo. TuneUpUtilities

2.2.4 Alcances y Limitaciones de la Auditora

La auditora se realiz eficientemente, habiendo visto desde la situacin actual luego pasando por todas las caractersticas fsicas lgicas de todo el laboratorio analizando detalladamente para luego dejar las recomendaciones del caso para el buen uso y funcionamiento del laboratorio. Alcances :

Diagnosticar el estado del laboratorio N406 de la carrera de Ingeniera Informtica y Sistemas

Limitaciones :

Falta de instrumentos especializados para realizar la auditoria Reducido nmero de mquinas operativas Desorden en los equipos Mala distribucin del espacio as como de los equipos Maquinas en mal estado

2.2.5 Conclusiones de acuerdo a la normatividad

De acuerdo a la normativa de la universidad, la ley 23733 y el estatuto de la carrera se dictamina cumplir con todas las actividades y tareas acadmicas de la formacin profesional.Dicho esto, el estado del laboratorio n 406 presenta inconvenientes para el desarrollo de dichas actividades as como el desarrollo de clases, trabajos, talleres, y otros.

2.2.6 Recomendaciones Conexin a internet para toda la universidad y todos los laboratorios, para que el alumno tenga ms facilidad en buscar informacin y hacer sus tareas y actualizarse con nueva informacin. implementar cmaras de seguridad especialmente para el laboratorio 406, para que el laboratorio este ms seguro y ver todo lo que pasa en ello. Obtener una licencia de sistema operativo y los respectivos programas Realizar mantenimiento al equipo del laboratorio

2.2.7 Personal participante

SUSAN SHARMELY ANAMPA VALDEZ ANTHONY HURTADO RAYME

2.3 Fuentes de informacin o bibliogrfica

2.4 Fases de la auditoria.Las normas de la auditora interna comprenden: Las actividades auditadas y la objetividad de los auditores internos. El alcance del trabajo de auditora interna en el rea de informtica. El departamento de auditora interna deber asignar a cada auditora a aquellas personas que en su conjunto posean los conocimientos, la experiencia y la disciplina necesarios para conducir apropiadamente la auditora.

El departamento de auditora interna deber asegurarse: Que las auditoras sean supervisadas en forma apropiada. La supervisin es un proceso continuo que comienza con la planeacin y termina con el trabajo de auditora. Que los informes de auditora sean precisos, objetivos, claros, concisos, constructivos y oportunos. Que se cumplan los objetivos de la auditora. Que la auditora sea debidamente documentada y que se conserve la evidencia apropiada de la supervisin. Que los auditores cumplan con las normas profesionales de conducta. Que los auditores en informtica posean los conocimientos, experiencias y disciplinas esenciales para realizar sus auditoras.

Para hacer una adecuada planeacin de la auditora en informtica hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas del rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. Con ello podremos determinar el nmero y caractersticas del personal de auditora, las herramientas necesarias, el tiempo y costo, as como definir los alcances de la auditora, en caso necesario, poder elaborar el contrato de servicios.

2.4.1 Planeacin.El trabajo de auditora deber incluir: La planeacin de la auditora El examen y la evaluacin de la informacin La comunicacin de los resultados y el seguimiento

2.4.2 Revisin preliminar.El objetivo de la revisin preliminar es el de obtener la informacinnecesaria para que el auditor pueda tomar la decisin de cmoproceder en la auditora. Al terminar la revisin preliminar el auditor puede proceder en uno de los tres caminos siguientes: Diseo de la auditora. Puede haber problemas debido a la falta decompetencia tcnica para realizar la auditora.Realizar una revisin detallada de los controles internos de los sistemas con la esperanza de que se deposite la confianza en los controles de los sistemas y de que una serie de pruebas sustantivaspuedan reducir las consecuencias.Decidir el no confiar en los controles internos del sistema. Existen dos razones posibles para esta decisin. Primero, puede ser ms eficiente desde el punto de vista de costo-beneficio el realizar pruebassustantivas directamente. Segundo, los controles del rea deinformtica pueden duplicar los controles existentes en el rea del usuario.

2.4.3 Revisindetallada.Los objetivos de la fase detallada son los deobtener la informacin necesariapara que el auditor tenga un profundo entendimiento de los controles usados dentro del rea de informtica. En la fase de evaluacin detallada es importante para el auditor identificar las causas de las prdidas existentes dentro de la instalacin y los controles para reducir las prdidas y los efectos causados por stas. Al terminar la revisin detallada el auditor debe evaluar en qu momento los controles establecidos reduce las prdidas esperadas a un nivel aceptable. Los mtodos de obtencin de informacin al momento de la evaluacin detallada son los mismos usados en la investigacin preliminar,y lo nico que difiere es la profundidad con se obtiene la informacin y se evala.

2.4.4 Examen yevaluacinde lainformacin.Los auditores internos debern obtener, analizar, interpretar y documentar la informacin para apoyar los resultados de la auditora. El proceso de examen y evaluacin de la informacin es el siguiente: Se debe obtener la informacin de todos los asuntos relacionados con los objetivos y alcances del auditor.La informacin relevante apoya los hallazgos y recomendaciones de auditora y es consistente con los objetivos de sta. La informacin til ayuda a la organizacin a lograr sus metas. El proceso de recabar, analizar, interpretar y documentar la informacin deber supervisarse para proporcionar una seguridad razonable de que la objetividad del auditor se mantuvo y que las metas de auditora se cumplieron. Los documentos de trabajo de la auditora debern ser preparados por los auditores y revisados por la gerencia de auditora. Estos documentos debern registrar la informacin obtenida y el anlisis realizado, ydeben apoyar las bases de los hallazgos de auditora y las recomendaciones que se harn.Los auditores debern reportar los resultados del trabajo de auditora: El auditor deber discutir las conclusiones y recomendaciones en los niveles apropiados de la administracin antes de emitir su informe final. Los informes debern ser objetivos, claros, concisos, constructivos y oportunos. Los informes presentarn el propsito, alcance y resultados de la auditora y, cuando se considere apropiado, contendrn la opinin del auditor.

2.4.5 Pruebas de controles de usuarios.En algunos casos el auditor puede decidir el no confiaren los controles internos dentro de las instalaciones informticas, porque el usuario ejerce controles que compensan cualquier debilidad dentro de los controles de informtica. Estas pruebas que compensan las deficiencias de los controles internos se pueden realizar mediante cuestionarios, entrevistas, visitas y evaluaciones hechas directamente con los usuarios.

2.4.6 Pruebas sustantivas.El objetivo de la fase de pruebas sustantivas es obtenerevidencia suficienteque permita al auditor emitir su juicio en las conclusionesacerca de cundo pueden ocurrir prdidas materiales durante elprocesamiento de la informacin. El auditor externo expresar este juicio en forma de opinin sobre cundo puede existir un proceso equivocado o falta de control de la informacin. Se pueden identificar ocho diferentes pruebas sustantivas: Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad. Pruebas para asegurar la calidad de los datos. Pruebas para identificar la inconsistencia de los datos. Pruebas para comparar con los datos o contadores fsicos. Confirmacin de datos con fuentes externas. Pruebas para confirmar la adecuada comunicacin. Pruebas para determinar falta de seguridad. Pruebas para determinar problemas de legalidad.

2.5 Evaluacinde los sistemas de acuerdo a los riesgos

2.6 Investigacinpreliminar (anlisis de la auditoria)

2.7 Alcances y Limitaciones de la Auditora

2.8 Recomendaciones

2.9 Personal participante

TemarioSeguridad, proteccin y auditoria informtica

UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURIMAC 20

UnidadTemasSubtemas

1Introduccina la Auditoria1.1Conceptos de auditoria y auditoriaInformtica.1.2 Tipos de auditoria.1.2.1 Auditoria interna y externa.1.3 Campo de la auditoriainformtica.1.4 Control interno.1.5 Modelos de control utilizados en auditoriainformtica.1.6 Principios aplicados a los auditoresinformticos.1.7 Responsabilidades de los administradores y del auditor.

2Planeacin de la auditoriainformtica2.1 Fases de la auditoria.2.1.1 Planeacin.2.1.2 Revisin preliminar.2.1.3Revisindetallada.2.1.4 Examen yevaluacinde lainformacin.2.1.5 Pruebas de controles de usuarios.2.1.6 Pruebas sustantivas.2.2Evaluacinde los sistemas de acuerdo a los riesgos.2.3Investigacinpreliminar2.4 Personal participante

3Auditoria de lafuncininformtica3.1 Recopilacin de la informacion organizacional.3.2 Evaluacion de los recursos humanos.3.3 Entrevistas con el personal de informtica3.4Situacinpresupuestal y financiera.3.4.1 Presupuestos.3.4.2 Recursos financieros y materiales.

4Evaluacin de la seguridad 4.1 Generalidades de la seguridad delreafsica.4.2 Seguridadlgicay confidencial.4.3 Seguridad personal.4.4Clasificacinde los controles de seguridad.4.5 Seguridad en los datos y software de laaplicacin.4.6 Controles para evaluar software deaplicacin.4.7 Controles para prevenircrmenesy fraudesinformticos.4.8 Plan decontingencia, seguros, procedimientos derecuperacinde desastres.4.9Tcnicasy herramientas relacionadas con la seguridadfsicay del personal.4.10Tcnicasy herramientas relacionadas con la seguridad de los datos y software deaplicacin.

5Auditoria de la seguridad en la teleinformtica5.1 Generalidades de la seguridad en elreade la teleinformtica.5.2 Objetivos y criterios de la auditoria en elreade la teleinformtica.5.3Sntomasde riesgo.5.4Tcnicasy herramientas de auditoria relacionadas con la seguridad delreafsica.

6Informe de la auditoria informtica6.1 Generalidades de la seguridad delreafsica.6.2Caractersticasdel informe.6.3. Estructura del informe.6.4 Formato del informe.


EXPOSICIÓN - GRUPO 3 - SEGURIDAD.docx

obra LEGAJO TECNICO y PROGRAMA DE SEGURIDAD.docx

BRIGADAS DE SEGURIDAD.docx

HOJAS DE SEGURIDAD.docx

PELIGROSIDAD SEGÚN LA NATURALEZA QUIMICA-seguridad.docx

plan de seguridad.docx

PLAN de SEGURIDAD.docx Escuela Aylen de Lenguaje

Cinturón de seguridad.docx

APLICACIÓN DE LAS MEDIDAS DE CONTROL EN SEGURIDAD.docx

Tipos de lentes para camaras de seguridad.docx

UNIDAD II SEGURIDAD.docx

9 S's higiene y seguridad.docx

3.4 Definición del esquema de seguridad.docx

UNIVERSIDAD NACIONAL EXPERIMENTAL DE LA SEGURIDAD.docx

trabajo final de seguridad.docx

4 videos de seguridad.docx

UNIVERSIDAD NACIONAL DE JAÉN-TIPS DE SEGURIDAD.docx

REGLAMENTO INTERNOO DE SEGURIDAD.docx

2 parcial seguridad.docx

analisis de seguridad.docx

ERRORES COMUNES EN LAS CAMARAS DE SEGURIDAD.docx

Qué es un Comité Paritario de Higiene y Seguridad.docx

El supervisor y la charla diaria de seguridad.docx