Transcript
TRABAJO FINAL DE AUDITORIA
OBSERVACION: Al final de la explosión se presento en el proyector como quedo el
DATA CENTER DE PIRAMIDE después de la auditoria realizada, el profesor le
gusto fuimos el único grupo que lo hizo
- EL PROFESOR NOS DIO +2 ptos extra por que los grupos anteriores ni los
posteriores presentaron el trabajo, fuimos el único grupo en presentar el trabajo en
la fecha indicada.
- Con respecto a las OBSERVCIONES
1. La dirección de informática y … : Me puso de nota 15, las recomendaciones
estaban mal redactadas así que en el profe me dijo que no me guiara de lo que se
había impreso (el profesor lee el trabajo mientras se expone) y que diera mis
propias recomendaciones, lo hice y al profesor estuvo de acuerdo por que las dije
correctamente. Es mi área entonces no tuve problema en eso; mientras se expone si
un compañero se equivoca el profesor pregunta si alguien del grupo puede corregir
y/o ayudar al compañero que expone, lo hice y me subió un punto mas; al final
obtuve 18 ;)
2. La dirección de sistemas no cuenta con un plan de seguridad… : la nota fue
10; pero no porque este mal la observación si no por que mi amiga se puso
nerviosa; el profesor dijo que la exposición de ese punto no era la misma que el
informe en su totalidad, le recomendó leer y profundizar mas. Nota final 12
3. El área de sistemas no cuenta con optimas políticas … : la nota fue 14, esta
bien hecho, mi amigo Cesar aparte de las recomendaciones realizadas en el
informe aumento, mientras exponía, sobre la seguridad que ofrece implementar
software libre, es su campo, lo hizo muy bien, el profesor le dio 1 pto mas por
ayudar a uno de nuestros compañeros, al final obtuvo 17. Bien!!
4. La dirección de informática de sistemas de ladrillos pirámide, no cuenta
con estándares de programación … : Que se puede decir de mi gran amigo Juca
este punto no estuvo bien redactado, pero como es un genio, expuso y hablo todo
con respecto a la programación que es su campo, y la seguridad que implicaba toda
la parte de la misma, el profesor le puso 14 por lo bien expuesto, pero dijo que
todo lo que expuso no estaba en el informe; Juca es un genio. Nota final 16.
Espero haberte ayudado… your friend Ronald ;)
Universidad Inca Garcilaso Auditoria Informática De la Vega
2
UNIVERSIDAD INCA GARCILASO DE LA VEGA
FACULTAD DE INGENIERIA DE SISTEMAS, CÓMPUTO Y
TELECOMUNICACIONES
AUDITORIA INFORMATICA
EMPRESA: CERAMICOS PERUANOS S.A –
LADRILLOS PIRAMIDES
INTEGRANTES:
Carbonel Honor, Juan Carlos
Díaz Caruhamaca, Ronald
Merino Palomino, Stephanny
Montoya Quispe, César
DOCENTE: Ing. Rodríguez Sulca, Juan Carlos
CICLO: X
2011
Universidad Inca Garcilaso Auditoria Informática De la Vega
3
INDICE
I. INTRODUCCION
1. Origen del Examen................................................ pág. 03
2. Naturaleza y Objetivo del Examen........................ pág. 03
3. Alcance del Examen.............................................. pág. 03
4. Antecedentes y Base Legal.................................... pág. 04
5. Comunicación de Hallazgos.................................. pág. 04
II. OBSERVACIONES
IV. RECOMENDACIONES
V. ANEXOS
Universidad Inca Garcilaso Auditoria Informática De la Vega
4
INFORME DE AUDITORIA
I. INTRODUCCION
1. ORIGEN DEL EXAMEN
El Examen Especial sobre la Seguridad Informática; cableado estructurado, servidores y
conectividad del centro de cómputo, es una acción de control programada, que se
efectúa en mérito a la Directiva Nº 00142-2011-CP/GSI de fecha 24 de Abril de.2011,
emitido por la Gerencia de Control de Sistemas Informáticos. A través del cual se hace
de conocimiento la existencia de la acción de control "Verificación de la Seguridad
Informática en el DataCenter-Cableado estructurado, servidores y conectividad", por lo
cual se comunica al Departamento de Auditoria de Sistemas, la programación de la
acción de control, registrándose en el Cronograma de Actividades con el código N° 2-
2485-2011-264, del Plan Anual de Control 2011.
2. NATURALEZA Y OBJETIVO DEL EXAMEN
La presente acción de control constituye un Examen Especial sobre la Seguridad
Informática del Datacenter, de la Empresa CERÁMICOS PERUANNOS S.A., por el
periodo comprendido entre el 10 al 20 de Mayo del 2011, teniendo en cuenta los
aspectos críticos de la seguridad de la Información.
Presentar el resultado del examen especial a la seguridad de las tecnologías de
información que soportan los procesos de la Empresa CERAMICOS PERUANOS S.A.,
lo cual posibilitará comunicar al titular de la entidad los riesgos detectados con la
finalidad de contribuir con la gestión de los recursos tecnológicos.
Los objetivos del Examen Especial son los siguientes:
a. Determinar las conexiones a los servidores, el cableado estructurado y la
conectividad en el DataCenter, para verificar si se realizó de acuerdo a la normativa
vigente y a las Especificaciones técnicas y de seguridad requeridas.
b. Verificar el cableado de data teniendo en consideración el Estándar TIA/ 568 B de
tal manera que se garantice un rendimiento aceptable en la transferencia de
información.
c. Verificar la conectividad del Datacenter teniendo en cuenta el estándar TIA 942.
d. Evaluar los servidores (UTM – ASTERISK, etc.) para determinar el grado de
confiabilidad para la prestación de los servicios Internet a la red de Ladrillos
Pirámides.
e. Evaluar los servidores para determinar el grado de confiabilidad para la prestación
de los diversos servicios informáticos (correo, base de datos, etc.).
3. ALCANCE DEL EXAMEN
El examen especial se llevo acabo de conformidad con la Directiva Nº 00142-2011-
CP/GSI y se efectuó del 10 al 20 de Mayo del 2011, comprendiendo la revisión de los
documentos que sustentan la seguridad informática, así como las pruebas necesarias
Universidad Inca Garcilaso Auditoria Informática De la Vega
5
para verificar la funcionalidad, operatividad y seguridad informática de las conexiones
de datos, servidores y conectividad en el Datacenter, en concordancia con las
especificaciones técnicas requeridas por el área usuaria, a fin de determinar que en su
elaboración se haya cubierto todos los puntos necesarios que permitan una correcta y
efectiva ejecución del mismo.
4. ANTECEDENTES Y BASE LEGAL
LADRILLOS PIRÁMIDE fue creado el 14 de abril de 1970, iniciando sus actividades
comerciales el 15 de octubre de 1972. Es una empresa privada con capitales 100%
peruanos, iniciando sus actividades hace 38 años, dedicándose a la fabricación y
comercialización de ladrillos de arcilla.
Cuenta con una planta modelo, en una extensión de 34 hectáreas, ubicada en la ex
hacienda San Lorenzo, distrito de Carabayllo. CEPERSA participa en el desarrollo
nacional; creando puestos de trabajo directos a 422 familias e indirectamente lo brinda a
más de 91 familias. Su marca LADRILLOS PIRAMIDE, ha logrado una notable
posición como líderes en el mercado, durante los últimos años obteniendo distinciones
internacionales a la calidad.
5. COMUNICACION DE HALLAZGOS
Durante el trabajo de campo se determinaron hallazgos de auditoría, los mismos que
fueron comunicados a los funcionarios y servidores responsables, dándoles oportunidad
de ejercer su derecho a réplica, por lo que sus comentarios fueron evaluados y
considerados en el presente informe.
II. OBSERVACIONES
Como resultado del Examen Especial sobre Seguridad Informática, realizado a la
empresa CERAMICOS PERUANOS S.A., se han determinado las observaciones
siguientes:
1. LA DIRECCIÓN DE INFORMATICA Y SISTEMAS DE CERAMICOS
PERUANOS, NO CUENTA CON STANDARES DE CABLEADO Y
ESTRUCTURADO EN LAS DIFERENTES AREAS DEL DATACENTER,
SITUACION QUE EXPONE A UN RIESGO INMINENTE EN EL
FUNCIONAMIENTO DEL AREA Y DE LOS SERVIDORES.
Condición
En la revisión In Situ realizada el 10 de Mayo del 2011 al Área de Sistemas de la
Empresa CERAMICOS PERUANOS S.A., se encontró que no se cumplía con los
estándares adecuados de cableado estructurado para el DataCenter
En el área de sistemas los servidores se encontraban dispersos en el piso del ambiente,
sin gabinetes, solamente contaban con un switch que alimentaba a toda la planta de la
empresa dentro del cual se encontraba el Área de Sistemas.
Universidad Inca Garcilaso Auditoria Informática De la Vega
6
Además, los trabajadores laboran en el mismo ambiente, encontrándose el cableado al
alcance de personas no autorizadas y disperso sin ningún orden. (Ver Anexo 01)
Criterio
Lo expuesto transgrede lo indicado en las normas internacionales basados en los
“Objetivos de Control para la información y tecnologías relacionadas-COBIT”, Edición
4.1 publicada en el año 2009, donde se menciona:
Dominio Adquirir e Implementar
AI3 Adquirir y Mantener Infraestructura Tecnológica
AI3.1 Plan de Adquisición de Infraestructura Tecnológica
“Generar un plan para adquirir, Implementar y mantener la infraestructura
tecnológica que satisfaga los requerimientos establecidos funcionales y técnicos
del negocio, y que esté de acuerdo con la dirección tecnológica de la
organización. El plan debe considerar extensiones futuras para adiciones de
capacidad, costos de transición, riesgos tecnológicos y vida útil de la inversión
para actualizaciones de tecnología. Evaluar los costos de complejidad y la
viabilidad comercial del proveedor y el producto al añadir nueva capacidad
técnica. “
AI3.2 Protección y Disponibilidad del Recurso de Infraestructura
“Integración y mantenimiento del hardware y del software de la infraestructura
para proteger los recursos y garantizar su disponibilidad e integridad. Se deben
definir y comprender claramente las responsabilidades al utilizar componentes
de infraestructura sensitivos por todos aquellos que desarrollan e integran los
componentes de infraestructura. Se debe monitorear y evaluar su uso. “
AI3.3 Mantenimiento de la Infraestructura
“Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y
garantizar que se controlan los cambios, de acuerdo con el procedimiento de
administración de cambios de la organización. Incluir una revisión periódica
contra las necesidades del negocio, administración de parches y estrategias de
actualización, riesgos, evaluación de vulnerabilidades y requerimientos de
seguridad.”
AI3.4 Ambiente de Prueba de Factibilidad
“Establecer el ambiente de desarrollo y pruebas para soportar la efectividad y
eficiencia de las pruebas de factibilidad e integración de aplicaciones e
infraestructura, en las primeras fases del proceso de adquisición y desarrollo.
Hay que considerar la funcionalidad, la configuración de hardware y software,
pruebas de integración y desempeño, migración entre ambientes, control de la
versiones, datos y herramientas de prueba y seguridad“.
Dominio Monitorear y Evaluar
ME1 Monitorear y Evaluar el Desempeño de TI
Universidad Inca Garcilaso Auditoria Informática De la Vega
7
ME1.3 Método de Monitoreo
“Garantizar que el proceso de monitoreo implante un método (Ej. Balanced
Scorecard), que brinde una visión sucinta y desde todos los ángulos del
desempeño de TI y que se adapte al sistema de monitoreo de la empresa“.
ME1.4 Evaluación del Desempeño
“Comparar de forma periódica el desempeño contra las metas, realizar análisis
de la causa raíz e iniciar medidas correctivas para resolver las causas
subyacentes.”
Causa
Lo expuesto se debe a una deficiente gestión en el área de TI con respecto al
mantenimiento del data center por parte del gerente de Sistemas al no haber
implementado políticas de mantenimiento y protección mínimas necesarias de los
recursos de TI de acuerdo a estándares internacionales.
Efecto
Esta situación puede traer como consecuencia en el mal funcionamiento de los equipos
de TI al igual que la perdida de información que se encuentra vulnerable, lo cual
perjudicaría a la empresa en el funcionamiento de sus actividades; obligando a la
empresa a tener que implementar un plan de contingencia perjudicando en sus procesos
internos y externos.
Comunicación de hallazgo
En cumplimiento con lo establecido en la Directiva Nº 00142-2011-CP/GSI, se
comunicó a el Sr. Manuel De La Torre, Director de la OSI, y al Sr. Jorge Gonzales, Jefe
del Área de Soporte de la OSI, mediante los Oficios Nº 004 y Nº 007-2010-CP-GSI
respectivamente, quienes a la fecha no han presentado descargo alguno, por lo que
persiste el hecho observado.
Determinación de responsabilidad
De conformidad con lo establecido en la Primera y Novena Disposición Final del
Decreto Ley Nº 26162 y Ley Nº 27785, respectivamente; se determina Responsabilidad
administrativa al Ing. Manuel De La Torre, Director de la Oficina de Sistemas de
Información, por haber realizado una gestión deficiente e incumplir con sus funciones
inherentes al cargo.
Conclusiones
Como resultado del examen realizado, se concluye:
Que existe una deficiente gestión al no contar con Plan de Adquisición de
Infraestructura tecnológica exponiendo a un riesgo el funcionamiento de los servidores
y del área.
Universidad Inca Garcilaso Auditoria Informática De la Vega
8
Lo expuesto infringe el marco de normas y procedimientos internacionales basados en
los “Objetivos de Control para la información y tecnologías relacionadas-COBIT”,
Edición 4.1 publicada en el año 2009, en el Dominio Adquirir e Implementar, AI3
Adquirir y Mantener Infraestructura Tecnológica - AI3.1 Plan de Adquisición de
Infraestructura Tecnológica, A I3.2 Protección y Disponibilidad del Recurso de
Infraestructura, AI3.3 Mantenimiento de la Infraestructura, AI3.4 Ambiente de
Prueba de Factibilidad; Dominio Monitorear y Evaluar, ME.1 Monitorear y Evaluar el
Desempeño de TI - ME1.3 Método de Monitoreo, ME1.4 Evaluación del Desempeño”.
Recomendaciones
A fin de superar las deficiencias encontradas se sugiere a la Gerencia General, disponga
la implementación de las siguientes recomendaciones tendentes a optimizar la gestión
de la Dirección de Informática y Sistemas:
1. Se observa que en el área de sistemas los servidores se encontraban dispersos en el
piso del ambiente, sin gabinetes que los proteja.
2. La empresa solamente contaba con un switch que alimentaba a toda la planta de la
empresa dentro del cual se encontraba el are de sistemas.
3. Los trabajadores se encontraban laborando en la mismo ambiente de los servidores,
encontrándose el cableado expuesto a riesgos de manipulación.
4. Se observa que los puntos de red se encontraban en muy mal estado; y en algunos
casos estos puntos se encontraban rotos.
2. LA DIRECCION DE SISTEMAS NO CUENTA CON UN PLAN DE
SEGURIDAD DE CABLEADO Y CONEXIONES ELECTRICAS Y PLAN DE
CONTINGENCIA PARA LA IMPLEMENTACION DEL DATACENTER,
EXPONIENDO QUE LOS EQUIPOS SE DESCONECTEN Y DETERIOREN,
CON EL RIESGO DE PERDIDA DE LOS RECURSOS DE INFORMACION E
INFRAESTRUCTURA.
Mediante Carta Nº 026-2011-GSI del 09 Abril de 2011, se informo al Director de la
Oficina de Sistemas de Información, Sr. Manuel De La Torre, la realización de la
Auditoria para que lo comunique a las personas encargadas.
El 10 de Mayo la Comisión de Auditoría, se junto para analizar la información remitida
por el Sr. Manuel De La Torre, y designo un grupo encargado de inspeccionar las
instalaciones del Centro de Cómputo de CERAMICOS PERUANOS S.A., en compañía
del Sr. Manuel De La Torre y el Sr. Gonzalo Mayer, Administrador de Redes.
El grupo encargado inspeccionó las instalaciones, cableado y conexiones eléctricas en
el Datacenter acorde con la documentación brindada, a fin de determinar si se realizo
una correcta implementación.
Condición
- Durante la auditoría realizada a la Oficina de Sistemas, en los ambientes donde se
encuentran los concentradores de red, se evidenció que los cables de red se
Universidad Inca Garcilaso Auditoria Informática De la Vega
9
encontraban sin protección de canaletas, desordenados y sin etiquetas que los
identifiquen.
- Además, se observó que los cables saturaban las conexiones eléctricas, no contaban
con punto a tierra. (Ver Anexo 02)
- El centro de cómputo tenía instalado 2 tableros trifásicos de 100 Amperes cada uno,
los cuales controlaban a través de interruptores termo-magnéticos las siguientes
cargas:
Tablero 01:
Iluminación
Luminarias de pasillo (2 interruptores).
Luminarias interiores del centro de cómputo (4 interruptores).
Aires acondicionados
Minisplits del centro de cómputo (4 interruptores).
Tablero 02 :
Contactos (con voltaje regulado)
Contactos del centro de cómputo (3 interruptores).
Evidenciando que el sistema eléctrico presentaba visiblemente problemas de
sobrecalentamiento en el conductor neutro de ambos tableros, encontrándose que no
tenían una distribución adecuada de la alimentación eléctrica. (Ver Anexo 03)
F
Criterio
Lo expuesto transgrede lo indicado en las normas internacionales basados en los
“Objetivos de Control para la información y tecnologías relacionadas-COBIT”, Edición
4.1 publicada en el año 2009, donde se menciona:
Dominio Entregar y Dar Soporte
DS4. Garantizar la Continuidad del Servicio
DS4.2 Planes de Continuidad de TI
“Desarrollar planes de continuidad de TI con base en el marco de trabajo,
diseñado para reducir el impacto de una interrupción mayor de las funciones y
los procesos clave del negocio. Los planes deben considerar requerimientos de
resistencia, procesamiento alternativo, y capacidad de recuperación de todos los
servicios críticos de TI. También deben cubrir los lineamientos de uso, los roles
y responsabilidades, los procedimientos, los procesos de comunicación y el
enfoque de pruebas.”
DS5. Garantizar la Seguridad de los Sistemas
DS5.2 Plan de Seguridad de TI
“Trasladar los requerimientos de negocio, riesgos y cumplimiento dentro de un
plan de seguridad de TI completo, teniendo en consideración la infraestructura
de TI y la cultura de seguridad. Asegurar que el plan esta implementado en las
políticas y procedimientos de seguridad junto con las inversiones apropiadas en
Universidad Inca Garcilaso Auditoria Informática De la Vega
10
los servicios, personal, software y hardware. Comunicar las políticas y
procedimientos de seguridad a los interesados y a los usuarios.”
DS13. Administrar las Operaciones
DS13.5 “Mantenimiento Preventivo del Hardware
Definir e implementar procedimientos para garantizar el mantenimiento
oportuno de la infraestructura para reducir la frecuencia y el impacto de las
fallas o de la disminución del desempeño.”
Causa
Lo expuesto se debe a la falta de cautela por parte de los funcionarios encargados del
Área de Redes, al momento de implementar el sistema de cableado y conexiones
eléctricas en la institución.
Efecto
Las situaciones descritas podrían generar riesgos de pérdida de conexión y deterioro de
los cables que abastecen de datos y de electricidad a los equipos, con la consecuente
interrupción de las operaciones, avería en los recursos tecnológicos, y perdidas de
información.
Comunicación del Hallazgo
En cumplimiento con lo establecido en la Directiva Nº 00142-2011-CP/GSI, se
comunicó a el Sr. Manuel De La Torre, Director de la OSI, y al Sr. Gonzalo Mayer,
Administrador de Redes de la OSI, mediante los oficios Nº 002 y Nº 009 -2010-CP-GSI
respectivamente, quienes a la fecha no han presentado descargo alguno, por lo que
persiste el hecho observado.
Determinación de Responsabilidad
De conformidad con lo establecido en la Primera y Novena Disposición Final del
Decreto Ley Nº 26162 y Ley Nº 27785, respectivamente; se determina Responsabilidad
administrativa al Ing. Manuel De La Torre, Director de la Oficina de Sistemas de
Información, por haber realizado una gestión deficiente e incumplir con sus funciones
inherentes al cargo.
Conclusión
Como resultado del examen realizado, se concluye:
Que existe una deficiente gestión al no contar con Planes de Contingencia, Plan de
Seguridad para el cableado y conexiones eléctricas, poniendo en alto riesgo la perdida
de los recursos de información e infraestructura.
Lo expuesto infringe el marco de normas y procedimientos internacionales basados en
los “Objetivos de Control para la información y tecnologías relacionadas-COBIT”,
Edición 4.1 publicada en el año 2009, en el Dominio Entregar y Dar Soporte, DS4.
Garantizar la Continuidad del Servicio - DS4.2 Planes de Continuidad de TI, DS5.
Universidad Inca Garcilaso Auditoria Informática De la Vega
11
Garantizar la Seguridad de los Sistemas - DS5.2 Plan de Seguridad de TI, DS13.
Administrar las Operaciones - DS13.5 Mantenimiento Preventivo del Hardware.”
Recomendaciones
A fin de superar las deficiencias encontradas se sugiere a la Gerencia General, disponga
la implementación de las siguientes recomendaciones tendentes a optimizar la gestión
de la Dirección de Informática y Sistemas:
1. Implementación de un Plan de Seguridad para la operatividad de los equipos del
centro de cómputo.
2. Implementación de un Plan de Contingencias a fin de salvaguardar los datos y
garantizar la recuperación y continuidad de los servicios en caso de eventualidades.
3. Elaboración de un plan de mantenimiento preventivo para los equipos de cómputo.
3. EL ÁREA DE SISTEMAS NO CUENTA CON OPTIMAS POLITICAS DE
COPIAS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN, ESTO
DEBIDO HA QUE NO SIGUEN NINGUN ESTANDAR DE SEGURIDAD, LO
QUE PODRIA CAUSAR PERDIDA DE LA INFORMACIÓN A GRAN ESCALA.
Condición
En la revisión In Situ realizada el 11 de Mayo del 2011 al Área de Sistemas de la
Empresa CERAMICOS PERUANOS S.A., se encontró que no se cumplía con las
copias respectivas de seguridad mensual.
Cualquier copia de seguridad se hace cuando el Director de Sistemas, el Sr. Manuel De
La Torre, lo solicite al área para hacer una consulta o entregar unos reportes al Gerente
General de la Empresa. Además que la información pedida por el Director de Sistemas
se guarda en su propio ordenador de la oficina, su laptop personal y en el ordenador de
su casa.
También se observó que la copia de seguridad según las políticas de la Empresa se
implementa una vez al año y esta data se almacena en un servidor Linux q está
conectado a Internet 24x7.
Por último se observó que no se cuenta con un servidor externo a la Empresa donde se
pueda guardar la data salvaguardada por la Empresa.
Criterio
Lo expuesto transgrede lo indicado en las normas internacionales basados en los
“Objetivos de Control para la información y tecnologías relacionadas-COBIT”, Edición
4.1 publicada en el año 2009, donde se menciona:
Dominio Entregar y Dar Soporte
DS4. Garantizar la Continuidad del Servicio.
DS4.2. Planes de Continuidad de TI.
“Desarrollar planes de continuidad de TI con base en el marco de trabajo,
diseñado para reducir el impacto de una interrupción mayor de las funciones y
los procesos clave del negocio. Los planes deben considerar requerimientos de
Universidad Inca Garcilaso Auditoria Informática De la Vega
12
resistencia, procesamiento alternativo, y capacidad de recuperación de todos los
servicios críticos de TI. También deben cubrir los lineamientos de uso, los roles
y responsabilidades, los procedimientos, los procesos de comunicación y el
enfoque de pruebas. ”
DS4.5. Pruebas del Plan de Continuidad de TI.
“Probar el plan de continuidad de TI de forma regular para asegurar que los
sistemas de TI pueden ser recuperados de forma efectiva, que las deficiencias
son atendidas y que el plan permanece aplicable. Esto requiere una preparación
cuidadosa, documentación, reporte de los resultados de las pruebas y, de
acuerdo con los resultados, la implementación de un plan de acción. Considerar
el alcance de las pruebas de recuperación en aplicaciones individuales, en
escenarios de pruebas integrados, en pruebas de punta a punta y en pruebas
integradas con el proveedor. ”
DS4.9. Almacenamiento de Respaldo Fuera de las Instalaciones.
“Almacenar fuera de las instalaciones todos los medios de respaldo,
documentación y otros recursos de TI críticos, necesarios para la recuperación
de TI y para los planes de continuidad del negocio. El contenido de los
respaldos a almacenar debe determinarse en conjunto entre los responsables de
los procesos de negocio y el personal de TI. La administración del sitio de
almacenamiento externo a las instalaciones, debe apegarse a la política de
clasificación de datos y a las prácticas de almacenamiento de datos de la
empresa. La gerencia de TI debe asegurar que los acuerdos con sitios externos
sean evaluados periódicamente, al menos una vez por año, respecto al
contenido, a la protección ambiental y a la seguridad. Asegurarse de la
compatibilidad del hardware y del software para poder recuperar los datos
archivados y periódicamente probar y renovar los datos archivados. ”
Causa
Lo expuesto se debe a que existe una deficiente gestión en las copias de Seguridad y por
ende en la gestión del Área de Sistemas por parte del Gerente de Sistemas al no haber
implementado políticas de seguridad tomando como base estándares internacionales de
copias de seguridad en TI, lo que podría permitir perdidas de la información vitales para
la empresa.
Efecto
Esta situación puede traer como consecuencia en primer lugar que la información se
encuentre vulnerable a perdida y/o mal uso de esta, lo cual perjudicaría a la empresa
económicamente. Y también conllevaría q la empresa tenga que implementar medidas
de recuperación de la información causando demora en los procesos internos y externos.
Comunicación del Hallazgo
En cumplimiento con lo establecido en la Directiva Nº 00142-2011-CP/GSI, se
comunicó el presente hallazgo al Sr. Manuel De La Torre, Director de la OSI, y al Sr.
Gonzalo Mayer, Administrador de Redes de la OSI, mediante los oficio Nº 002-2010-
Universidad Inca Garcilaso Auditoria Informática De la Vega
13
CP-GSI, quien a la fecha no han presentado descargo alguno, por lo que persiste el
hecho observado.
Determinación de Responsabilidad
De conformidad con lo establecido en la Primera y Novena Disposición Final del
Decreto Ley N° 26162 y Ley N° 27785, respectivamente; se determina Responsabilidad
Administrativa al Ing. Manuel De La Torre, Director de la Oficina de Sistemas de
Información, por haber realizado una gestión deficiente en la seguridad del Área de
Sistemas.
Conclusión
Como resultado de la revisión In situ realizada al Área de Sistemas de la Empresa
CERAMICOS PERUANOS S.A. se concluye:
Se observa que no existe una correcta política de Backups, a parte que no se cuenta con
un lugar óptimo donde almacenar los Backups.
Lo expuesto inflige el Marco de Control COBIT “Objetivos de Control para la
Información y Tecnología afines – COBIT”. Edición 4.1 en el Dominio de Entregar y
Dar Soporte DS4 Garantizar la Continuidad del Servicio - DS4.2. Planes de
Continuidad de TI - DS4.5. Pruebas del Plan de Continuidad de TI - DS4.9.
Almacenamiento de Respaldo Fuera de las Instalaciones.”
Recomendaciones
A fin de superar las deficiencias encontradas durante el presente examen, se sugiere al
Gerente General disponga la implementación de las recomendaciones tendentes a
optimizar la gestión del área de Tecnología de Información, a fin de que:
Elabore e implemente medidas de copias de seguridad e implemente un lugar óptimo
donde almacenarlas, es recomendable que se brinde las medidas de seguridad necesarias
para evitar perdida o mala manipulación de los backups e/o información de la Empresa.
4. LA DIRECCIÓN DE INFORMATICA Y SISTEMAS DE LADRILLOS
PIRAMIDE, NO CUENTA CON ESTANDARES DE PROGRAMACION EN EL
DESARROLLO DE LOS APLICATIVOS QUE DARAN SOPORTE A LAS
DIFERENTES AREAS, SITUACION QUE EXPONE A MULTIPLES ERRORES
EN EL TEST Y EN LA APLICACIÓN EN VIVO. TOMANDO DEMASIADO
TIEMPO EN PODER SER UBICADOS DICHOS ERRORES.
Condición
En la revisión In Situ realizada el 12 de Mayo del 2011 al Área de Sistemas de la
Empresa CERAMICOS PERUANOS S.A., se encontró que no contaba con un
estándar apropiado en el código de programación. Dificultando a otros
programadores el manejo y entendimiento del código fuente. (Anexo 04)
Universidad Inca Garcilaso Auditoria Informática De la Vega
14
Criterio
Dominio Adquirir e Implementar
AI2 Adquirir y mantener software aplicativo
AI2 2.4 Seguridad y disponibilidad de las aplicaciones.
“Abordar la seguridad de las aplicaciones y los requerimientos de
disponibilidad en respuesta a los riesgos identificados y en línea la clasificación
de datos, la arquitectura de la información, la arquitectura de seguridad de la
información y la tolerancia a riesgos la organización.”
AI2 2.7 Desarrollo de software aplicativo.
“Garantizar que la funcionalidad de automática de desarrollo y documentación,
los requerimientos de calidad y estándares de aprobación. Asegurar que todos
los aspectos legales y contractuales se identifican y direccionan para el
software aplicativo desarrollado por terceros.”
AI2 2.8 Aseguramiento de la calidad de Software.
“Desarrollar, Implementar los recursos y ejecutar un plan de aseguramiento de
calidad del software, para obtener la calidad que se especifica en la definición
de los requerimientos y en las políticas y procedimientos de calidad de la
organización.”
AI2 2.9 Administración de los requerimientos de aplicaciones.
“Seguir el estado de los requerimientos individuales (incluyendo todos los
requerimientos rechazados) durante el diseño, desarrollo e implementación, y
aprobar los cambios a los requerimientos a través de un proceso de gestión de
cambios establecido.”
AI2 2.10 Mantenimiento de software aplicativo.
“Desarrollar una estrategia y un plan para el mantenimiento de aplicaciones de
software.”
Causa
Lo expuesto se debe a una deficiente gestión por parte de los funcionarios encargados
del área de desarrollo de software al no contar con las políticas mínimas necesarias para
dar inicio a un desarrollo de software.
Efecto
Se debe de exponer los riesgos a los que está expuesto las operaciones al mantener una
condición como la encontrada, si son hechos pasados que han ocasionado alguna
pérdida para la empresa, se debe de indicar cuáles fueron estas pérdidas.
Universidad Inca Garcilaso Auditoria Informática De la Vega
15
En caso de cortes de fluido eléctrico la situación descrita interrumpiría las operaciones y
ocasionaría daños en los servidores, dispositivos de conectividad y computadoras como
resultado de las variaciones bruscas en la intensidad del fluido, al momento del corte y
de la restauración del mismo.
Comunicación de Hallazgos
En cumplimiento con lo establecido en la Directiva Nº 00142-2011-CP/GSI, se
comunicó el presente hallazgo al Sr. Manuel De La Torre, Director de la OSI, y al Sr.
Carlos Quispe, Jefe del Área de Desarrollo de la OSI, mediante los oficio Nº 007-2010-
CP-GSI, quien a la fecha no han presentado descargo alguno, por lo que persiste el
hecho observado.
Determinación de Responsabilidad
De conformidad con lo establecido en la Primera y Novena Disposición Final del
Decreto Ley N° 26162 y Ley N° 27785, respectivamente; se determina Responsabilidad
Administrativa al Ing. Manuel De La Torre, Director de la Oficina de Sistemas de
Información, por haber realizado una gestión deficiente en la seguridad del Área de
Sistemas.
Conclusiones
Como resultado de la revisión In situ realizada al Área de Sistemas de la Empresa
CERAMICOS PERUANOS S.A. se concluye:
Que se observa que las cuentas de usuarios del Sistema no cuentan con la totalidad de
políticas de seguridad.
Lo expuesto inflige el Marco de Control COBIT “Objetivos de Control para la
Información y Tecnología afines – COBIT”. Edición 4.1
Recomendaciones
A fin de superar las deficiencias encontradas durante el presente examen, se sugiere al
Gerente General disponga la implementación de las recomendaciones tendentes a
optimizar la gestión del área de Tecnología de Información:
- La adopción de un estándar de programación y la realización de un plan de pruebas
y seguimiento de proyecto para la reducción de los errores y el fácil seguimiento de
los mismos. También la adopción de un metodología de desarrollo tal como SCRUM
el cual agilizara tanto la comunicación entre el equipo de desarrollo como la
eficiencia del mismo.
III. RECOMENDACIONES
Del Examen Especial efectuado sobre la Seguridad Informática del DataCenter a la Empresa Cerámicos Peruanos S.A., se formulan las recomendaciones siguientes:
Universidad Inca Garcilaso Auditoria Informática De la Vega
16
- Dentro de los alcances de Examen Especial efectuado sobre la Seguridad
Informática del DataCenter a la Empresa Cerámicos Peruanos S.A., se recomienda comunicar a la entidad, las observaciones contenidas en el presente informe, a fin
de que se implementen las acciones que correspondan en la brevedad posible.
- Disponer que se adopten las medidas pertinentes, a fin de dar cumplimiento a la normativa considerada en las observaciones del presente informe
IV. ANEXOS
.
Universidad Inca Garcilaso Auditoria Informática De la Vega
17
ANEXO 01
Universidad Inca Garcilaso Auditoria Informática De la Vega
18
ANEXO 02
Universidad Inca Garcilaso Auditoria Informática De la Vega
19
ANEXO 03
Universidad Inca Garcilaso Auditoria Informática De la Vega
20
ANEXO 04
- Sin estándar de programación (- Orden )
- Mezcla de código (java script + php)
Universidad Inca Garcilaso Auditoria Informática De la Vega
21
PRESENTADO EN EL PROYECTOR
CERAMICOS PERUANOS S.A.
• DATA CENTER E INFRAESTRUCTURA DE RED
Cableado cat 6, y el calbeado ah sido hecho siendo direccionados mediante cables, se le
implemento serviodores con gabinetes, piso técnico aire acondicionado poso a tierra y es un
lugar apartado del área de sistemas
ANTES
En el área de sistemas los servidores se encontraban dispersos en el piso del ambiente, sin
gabinetes, solamente contaba con un swtich que alimentaba a toda la planta de la empresa
dentro del cual se encontraba el are de sistemas, los trabajadores laboran en la mismo,
encontrándose el cableado disperso sin ningún orden
-Servidores en el piso
-puntos de red estaban rotos
-gabinetes abiertos
- loa switch no estaban en un gabinete
-los servidores no estaban en un ambiente acondiciona
-tenían switch de mala cálida y antiguos
-no tenían punto a tierra
-ups ubicados en el piso
-no tenían un control adecuado de la alimentación eléctrica tanto para los servidores como
para los ups
-el cableado de red en muy mal estado
-no tenían todos los servicios centralizados
-falta de mantenimiento a toda el área.
Universidad Inca Garcilaso Auditoria Informática De la Vega
22
Universidad Inca Garcilaso Auditoria Informática De la Vega
23
CENTRO DE TRANSMICION DE DATOS
Universidad Inca Garcilaso Auditoria Informática De la Vega
24
Universidad Inca Garcilaso Auditoria Informática De la Vega
25
Universidad Inca Garcilaso Auditoria Informática De la Vega
26
Universidad Inca Garcilaso Auditoria Informática De la Vega
27
Universidad Inca Garcilaso Auditoria Informática De la Vega
28
Universidad Inca Garcilaso Auditoria Informática De la Vega
29
Universidad Inca Garcilaso Auditoria Informática De la Vega
30
AREA DE GERENCIA Y FINANZAS
Universidad Inca Garcilaso Auditoria Informática De la Vega
31
INFRA ESTRUCUTRA PARA LOGISTICA, MANTENIMIENTO, ALMACEN Y PROYECTOS
Universidad Inca Garcilaso Auditoria Informática De la Vega
32
Universidad Inca Garcilaso Auditoria Informática De la Vega
33
top related