Cuestionario de Auditoria
12
Datos de la Auditoria Fecha: 18/05/2011 Miembros del Equipo Auditor: T.S.U Gines Rodríguez T.S.U Gustavo Vásquez Identificación del sitio La Unidad de Sistemas es la unidad administrativa encargada de la plataforma informática del IUT de Los Llanos. Esta adscrita a la dirección como apoyo a la toma de decisiones. A su vez esta dividida en las siguientes subcoordinaciones: Servicio técnico Mantenimiento preventivo y correctivo de todos los equipos de computación del IUT de los Llanos tanto a nivel del hardware como de software. Instalación/desinstalación de componentes y dispositivos (Impresoras, PC, teclados, otros periféricos, etc). Evaluar necesidades de actualización de los equipos. Comunicación constante con los usuarios finales sobre funcionamiento de los equipos.
-
Upload
gines-rodriguez -
Category
Documents
-
view
212 -
download
0
description
Cuestionario de Auditoria
Transcript of Cuestionario de Auditoria
Datos de la Auditoria
Fecha: 18/05/2011
Miembros del Equipo Auditor:
T.S.U Gines Rodríguez
T.S.U Gustavo Vásquez
Identificación del sitio
La Unidad de Sistemas es la unidad administrativa encargada de la plataforma
informática del IUT de Los Llanos. Esta adscrita a la dirección como apoyo a la toma
de decisiones. A su vez esta dividida en las siguientes subcoordinaciones:
Servicio técnico
Mantenimiento preventivo y correctivo de todos los equipos de computación del
IUT de los Llanos tanto a nivel del hardware como de software.
Instalación/desinstalación de componentes y dispositivos (Impresoras, PC,
teclados, otros periféricos, etc).
Evaluar necesidades de actualización de los equipos.
Comunicación constante con los usuarios finales sobre funcionamiento de los
equipos.
Administración de redes
Instalar y mantener las redes de la institución.
Instalar, administrar y supervisar equipos de la red.
Interconectar mediante redes de datos, todas las dependencias del IUT de Los
Llanos.
Mantener operativos e interconectados a todos los servidores de datos del IUT de
los Llanos (Control de estudios, administración, Internet, biblioteca y los
ubicados en los diferentes laboratorios).
Garantizar el servicio de Internet en la institución.
Desarrollo de sistemas
Analizar las necesidades de información de la institución y diseñar soluciones
automatizadas.
Mantenimiento de los sistemas implementados en la institución.
Mantener los servidores de aplicaciones de la institución.
Evaluar lenguajes de programación para el desarrollo de los sistemas del instituto.
Internet
Desarrollar, mantener y administrar la página web oficial del IUT de los Llanos.
Mantener los servicios web y de correo electrónico de la institución.
Crear y mantener las cuentas de usuarios de los diferentes departamentos que
tienen espacio en la pagina web.
Evaluar plataformas de desarrollo para el entorno web.
Gestión del sistema administrativo
Administrar el Sistema Único de Gestión Administrativa Universitaria (SUGAU)
Mantener en linea y operativo el sistema SUGAU.
Administrar las cuentas de usuarios.
Gestionar planes de mantenimiento para la base de datos de producción del
sistema SUGAU.
Proporcionar pautas de desarrollo de actualizaciones para el sistema SUGAU.
Metodología usada
En la actualidad existen tres tipos de metodologías de auditoria informática:
R.O.A. RISK ORIENTED APPROACH o Evaluación de Riesgos), diseñada por
Arthur Andersen.
CHECKLIST o cuestionarios.
AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas
de Gestión de base de Datos DB2; paquete de seguridad RACF, etc.).
En sí las tres metodologías están basadas en la minimización de los riesgos,
que se conseguirá en función de que existan los controles y de que éstos funcionen.
En consecuencia el auditor deberá revisar estos controles y su funcionamiento.
La metodología utilizada es la Evaluación de Riesgos, esta evaluación de
riesgos se desarrolla sobre determinadas áreas de aplicación y bajo técnicas de
Checklist (cuestionarios) adaptados a cada entorno especifico; deberá tenerse en
cuenta que determinados controles se repetirían en diversas áreas de riesgo
CUESTIONARIO
En cuanto a la seguridad Física
Item SI / NO
¿Existen medidas de seguridad en la unidad de sistemas? No
¿Se controla el trabajo fuera de horario? No
¿Se registran las acciones de los operadores para evitar que reali-cen alguna que pueda dañar la información guardada en los servi-dores?
Si
¿En la entrada de la unidad de sistemas existe vigilancia? Si
¿El edificio donde se encuentran los servidores están situados a salvo de (inundación, Fuego, Terremoto, Sabotaje?
No
¿Tiene la unidad de sistemas vía de escape? No
¿Pueden ser rotos los vidrios con facilidad? Si
¿Existe alarma para detectar fuego? No
¿Existen extintores de fuego? Si
¿Saben qué hacer los operadores de los servidores en caso de que ocurra una emergencia ocasionada por fuego?
No
¿Los servidores cuentan con UPS? Si
¿Está distribuida correctamente la carga eléctrica? No
¿El área tiene aire acondicionado? SI
En cuanto a la seguridad Lógica
Item Respuesta
¿Se realizan frecuentemente respaldo de la información contenida
en los servidores(bases de datos, archivos de configuración, entre
otros)
Si(Internos)
¿Con que frecuencia se realizan los respaldos (Diario – Mensual –
Anual – Nunca)?
Diario
¿Se cuenta con políticas de seguridad establecidas para el acceso a los servidores?
No
¿Se utilizan claves fuertes en estos equipos? Si
¿Se cambian con frecuencia las claves de servidores y equipos? No
¿Existen restricciones de acceso a carpetas compartidas? Si
¿Los servidores cuentan con firewall? Si
¿ Poseen antivirus en caso de los equipos tener instalado el siste-ma operativo windows?
Si
¿ Se pide clave para ingresar a los servidores? Si
¿Lo puertos no utilizados se encuentran cerrados? Si
¿Se revisan constantemente los log para evitar solventar posibles fallos de seguridad?
Si
¿ Se instalan actualizaciones de seguridad? Si
¿En las conexiones remotas se encuentra restringido el acceso con la cuenta root?
No
¿El servidor web permite listas ficheros? No
De acuerdo a la auditoria realizada en los servidores de la unidad de sistemas,
tanto en la parte lógica como en la parte física se realiza el siguiente análisis de resul -
tados.
La unidad de sistemas como centro de computo del instituto universitario de
tecnología de los llanos, presenta una serie de debilidades que se evidenciaron en la
aplicación del cuestionario.
1.- Pocas medidas de seguridad en esta área, lo que hace vulnerable los equipos de
computo ahí ubicados, esto representa un riesgo para el buen funcionamiento de la
plataforma informática, vale destacar que en este departamento se encuentran en fun-
cionamiento sistemas críticos como es el caso de sugao que registra todo lo referente
a la parte administrativa de este instituto.
Recomendación: Solicitar ante los entes competente elevar medidas de seguridad en
esta áera de vital importancia para la institución
2.- No se controla el trabajo fuera de horario, lo cual representa una debilidad, ya que
se desconoce que personas ingresan a esta área, que actividad realizaron y quien los
autorizó para el ingreso.
Recomendación: Solicitar registro de personas que asistan a esta área fuera del hora-
rio de trabajo.
3.- El edificio donde se encuentra la unidad de sistemas y en general toda el áera ad-
ministrativa, no cuenta con las condiciones necesarias para proteger los equipos de
inundaciones, incendios entre otros, las oficinas poseen alfombras, existen papeleras
cerca de tomas de corrientes.
Recomendación: realizar los ajustes necesarios para evitar posibles inundaciones, in-
cendios que puedan alterar el buen funcionamiento de los equipos aquí instalados.
4.- No se cuenta con vía de escape, lo cual representa un riesgo para el personal que
labora en esta área en caso de siniestro.
Recomendación: Realizar las evaluaciones necesarias para habilitar vías de escape.
5.- Las puertas de acceso al departamento de sistemas no cuentan con los requisitos
mínimos de seguridad, las mismas son de vidrio y este se puede romper fácilmente.
Recomendación: Instalar puerta que cuente con las condiciones de seguridad que re-
quiere esta área.
6.- El área administrativa y específicamente el departamento de sistemas no cuenta
con alarma para detectar fuego lo cual es una falla de seguridad que puede incidir en
la pérdida de equipos costosos, y sobre todo de la información contenida en ellos.
7.- El personal no ha recibido ningún tipo de entrenamiento para saber que hacer en
caso de incendio, siendo esto necesario para salvaguardar tanto los equipos como la
vida de los empleados.
Recomendación: Solicitar al cuerpo de bomberos charlas que permitan darle a cono-
cer a los empleados como actuar en estos casos.
8.- Mala distribución de la carga eléctrica, esto hace que los equipos se dañen debido
a las fluctuaciones de voltaje.
Recomendación: Balacear la carga eléctrica de esta área para permitir el buen funcio-
namiento de los equipos.
9.- Se realizan respaldos que se mantienen dentro de la organización, lo cual repre-
senta un riesgo a la hora de recuperar los mismos en caso de incendio, terremoto.
Recomendación: Realizar respaldos de información en servidores foráneos, que per-
mitan recuperar los datos en caso de siniestro.
10.- No se cuentan con políticas de seguridad establecidas para el acceso a los servi-
dores
Recomendación: Establecer protocolos de seguridad para el acceso a los servidores.
11- Las claves de los equipos en general del instituto no se cambian con frecuencia,
esto representa un riesgo de seguridad ya que permite a los intrusos contar con tiempo
para averiguar dichas claves.
Recomendación: Implementar el cambio periódico de claves en todos los equipos de
la institución.
12.- Se detecto el acceso a la cuenta root específicamente en el servidor web.
Recomendación: Eliminar el acceso a esta cuenta para aumentar la seguridad de este
servidor ya que el mismo esta expuesto constantemente a ataques externos.
