INACAP RANCAGUA

INGENIERA EN INFORMTICA Auditora Computacional

INFORME FINAL GUIA ISACA SALA CUNA Y JARDN INFANTIL TUXITOS

Nombre Alumno (s): Viviana Castro G. Pablo Morales S. Juan Ramrez O. Nombre Profesor: Bianka Barrios S. Fecha: 09 de diciembre de 2011

AGENDA INTRODUCCIN............................................................................................................. 3 ALCANCE........................................................................................................................ 4 OBJETIVOS .................................................................................................................... 6 PERIODO DE COBERTURA........................................................................................... 8 NATURALEZA Y EXTENSIN DEL TRABAJO DE AUDITORA .................................... 9 GESTIN ..................................................................................................................... 9 SEGURIDAD LGICA (CHICOCOSOFT).................................................................... 9 SEGURIDAD LGICA (SISTEMAS) .......................................................................... 10 SEGURIDAD FSICA ................................................................................................. 10 BASE DE DATOS ...................................................................................................... 11 COMUNICACIONES .................................................................................................. 11 PRODUCCIN........................................................................................................... 11 HERRAMIENTAS Y TCNICAS PARA LA AUDITORA INFORMTICA .................. 12 ORGANIZACIN ........................................................................................................... 13 DESTINATARIOS DEL INFORME ................................................................................ 14 RESTRICCIONES ......................................................................................................... 15 HALLAZGOS ................................................................................................................. 17 CONCLUSIONES .......................................................................................................... 18 RECOMENDACIONES ................................................................................................. 18

INTRODUCCIN El presente informe est referido a la Auditoria Informtica realizada bajo la Gua ISACA a la organizacin Sala Cuna y Jardn Infantil Tuxitos. Es importante destacar la relevancia de realizar dicha tarea bajo el marco que ofrece la organizacin ISACA, ya que es una organizacin profesional e internacional que establece las pautas para los profesionales del gobierno, control, seguridad y auditora de informacin. Sus normas de auditora y control de SI son seguidas por profesionales de todo el mundo (ms de 95.000 miembros en ms de 160 pases) y sus investigaciones abordan temas profesionales que son desafos para sus constituyentes, que a la vez retroalimentan de forma continua a sus asociados, la que ha sido considerada durante mucho tiempo una de las mayores fortalezas de ISACA. La Gua ISACA proporciona las prcticas recomendadas para preparar un informe de auditora.

ALCANCE El alcance de la Auditoria especificara requerimientos para planificar, establecer, implementar, operar, monitorear, revisar, probar, mantener y mejorar un Sistema de Gestin de Salas Cunas y Jardines Infantiles Tuxitos, para controlar los principales riesgos de la organizacin. A continuacin se detalla lo que se incluir el alcance en esta auditoria: Instalaciones de la Organizacin Oficinas Sala de Profesores Laboratorio de Computacin Cableado Estructurado, Puntos de Red Instalacin Elctrica Sala de Comunicaciones Enlace Equipos de Comunicaciones Cableado Estructurado Instalacin Elctrica Dispositivo de alimentacin elctrica ininterrumpida - UPS Temperatura

Servidores Software o Sistema Operativo o Aplicaciones o Base de Datos o Servicios o Carga o Seguridad o Respaldos o Documentacin Hardware Equipos PC Software o Sistema Operativo o Aplicaciones Cliente-Servidor o Seguridad Hardware

OBJETIVOS Dentro de la organizacin es necesario auditar la funcin informtica, ya que es de mucha importancia para el buen desempeo de los sistemas de informacin, proporcionando los controles necesarios para que los sistemas sean confiables y robustos a nivel de seguridad. Comprobar la eficiencia y eficacia de los sistemas y recursos informticos. Dentro de la organizacin se necesita que los procesos productivos se mantengan continuos en el tiempo. Gestionar la seguridad y el riesgo, que en su forma general contiene cuatro fases: o Anlisis: Determina los componentes que requiere proteccin en

ChicocoSoft, sus vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el resultado de revelar su grado de riesgo. o Clasificacin: Determina si los riesgos encontrados y los riesgos restantes son aceptables. o Reduccin: Define e implementa las medidas de proteccin. Adems sensibiliza y capacita los usuarios conforme a las medidas. o Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para determinar y ajustar las medidas deficientes y sanciona el incumplimiento. Todo el proceso est basado en las llamadas polticas de seguridad, normas y reglas institucionales, que forman el marco operativo del proceso, con el propsito de: o Potenciar las capacidades de la organizacin, reduciendo la vulnerabilidad y limitando las amenazas con el resultado de reducir el riesgo. o Orientar el funcionamiento organizativo y funcional. o Garantizar comportamiento homogneo. o Garantizar correccin de conductas o prcticas que nos hacen vulnerables. o Conducir a la coherencia entre lo que se piensa, se dice y se hace.
6

Correcto cumplimiento de las normas y procedimientos del rea TI. Es sumamente importante que el personal de la organizacin realice su trabajo con base a objetivos y metas comunes. Para lograrlo, todos deben ajustarse a las normas de trabajo que la organizacin establece. Las razones que justifican tener normas y procedimientos en el rea, son que la unin de criterios evita confusiones y errores, ahorra recursos, reduce el esfuerzo y aumenta la seguridad, contribuyendo as a alcanzar los objetivos operacionales de la organizacin. Para lograr el cumplimiento efectivo de dichas normas y procedimientos de trabajo, stas se deben ser comunicadas al personal mediante: capacitacin, reuniones de trabajo, distribucin de copias impresas de los reglamentos vigentes, y con la colocacin en sitios estratgicos de letreros claros y visibles con las reglas del rea. El jefe o supervisor del rea TI debe asegurarse que sus subordinados comprendan los reglamentos y hagan correctamente su trabajo.

Asegurar la continuidad de las operaciones. El ambiente de negocios actual, obliga a las empresas a mantener una adecuada administracin de la continuidad de las operaciones. Cada da se tienen ms aplicaciones que ayudan a la produccin, que se basan en la tecnologa de informacin, por lo que las organizaciones en prcticamente todos los sectores se han hecho ms dependientes de TI, provocando que cualquier falla de esta les puede afectar severamente.

PERIODO DE COBERTURA Debido a la reciente implementacin del Sistema de Gestin de Salas Cunas y Jardines Infantiles ChicocoSoft, se program la primera Auditoria al sistema entre los das 5 al 8 de diciembre de 2011. El equipo auditor perteneciente a la empresa ISACA-CHILE est compuesto por los Ingenieros en Informtica: Viviana Castro Gaete (experta en Administracin y Gestin Informtica). Pablo Morales Salinas (experto en Sistemas Unix, Seguridad Informtica y Comunicaciones). Juan Ramrez Ordenes (experto Informtica y Bases de Datos). en Desarrollo de Sistemas, Seguridad

NATURALEZA Y EXTENSIN DEL TRABAJO DE AUDITORA Las caractersticas de esta Auditoria Informtica son de mbito amplio, es un trabajo integral, y engloba variables importantes como: Gestin Proteccin de Datos Seguridad Base de Datos Comunicaciones Produccin

GESTIN Dentro de este tipo de auditoria tenemos que tener en cuenta lo siguiente: Contrato con ISP (Enlace Dedicado). Contrato con ChicocoSoft. Contrato con empresa de Soporte Informtico. Licencias de garantas (Hardware). Documentacin de aplicaciones. Licencias de Software (solo si existen). Registro de series (inventario) de Hardware. Documentacin legal.

SEGURIDAD LGICA (CHICOCOSOFT) Dentro de este tipo de auditoria tenemos que tener en cuenta lo siguiente: Los datos deben ser ntegros, estar disponibles, ser confidenciales y

autentificables.
9

Acceso a los datos e informacin del nio con restricciones (perfiles, seguridad de la red y del sistema). A nivel de sistema, mtodos de autentificacin seguros y auditables, para evitar corrupciones de nivel externo e interno. El cumplimiento de la normativa legal respecto al manejo de informacin e imagen del nio.

SEGURIDAD LGICA (SISTEMAS)

Dentro de este tipo de auditoria tenemos que tener en cuenta lo siguiente: El Sistema Operativo debe corresponder a una versin estable. La red debe contar con un Firewall-Proxy (iptables-squid), servidor fsico como mejor opcin. Antivirus para control de trfico (clamav). Correcta poltica de respaldos (con procedimientos documentados).

SEGURIDAD FSICA

Dentro de este tipo de auditoria tenemos que tener en cuenta lo siguiente: Los equipos (hardware) deben estar ubicados en lugares sin riesgo y tratando que los equipos crticos (servidores, equipos de comunicaciones) estn en zonas privadas, sin informacin confidencial a la vista. Solo personal autorizado debe ingresar a sala de comunicaciones. Los equipos de comunicaciones deben estar empotrados en un rack. La sala de comunicaciones debe estar a una temperatura adecuada, estar libre de objetos que no tengan relacin con el medio y limpia. Se debe contar con equipos de alimentacin elctrica ininterrumpida (UPS) y/o un generador elctrico si es necesario.
10

BASE DE DATOS

Dentro de este tipo de auditoria tenemos que tener en cuenta lo siguiente: La Base de Datos debe estar correctamente normalizada para evitar problemas de redundancia, evitar problemas en actualizaciones de datos y proteger la integridad de estos mismos. El sistema debe contar con registros de los accesos al sistema, cuando se realizan ingresos, actualizaciones, modificaciones, etc.

COMUNICACIONES

Dentro de este tipo de auditoria tenemos que tener en cuenta lo siguiente: El cableado estructurado debe estar de acuerdo a la norma (IEEE 802.3), bajo una topologa de red, rotulado y ordenado. Los puntos de red deben estar rotulados y sealizados, de acuerdo a la normativa.

PRODUCCIN

Dentro de este tipo de auditoria tenemos que tener en cuenta lo siguiente: El sistema debe evitar caer en errores. La base de datos debe tener una correcta mantencin. El sistema operativo y sus aplicaciones deben ser optimizados cada cierto tiempo. El Soporte Tcnico debe ser rpido y oportuno en la solucin de problemas.

11

HERRAMIENTAS Y TCNICAS PARA LA AUDITORA INFORMTICA Observacin o Permite la recoleccin de datos mediante la exploracin, la descripcin, la comprensin, la identificacin y la generacin de hiptesis sobre el entorno de la organizacin. En esta observacin se puede ser participe directo o no en las tareas o situaciones. Cuestionarios o Mediante este mtodo se obtiene gran informacin. El cuestionario es un documento formado por un conjunto de preguntas que deben estar redactadas de forma coherente, y organizadas, secuenciadas y estructuradas de acuerdo con una determinada planificacin, con el fin de que sus respuestas nos puedan ofrecer toda la informacin que se precisa. Entrevistas o Mediante este acto de comunicacin oral o escrita que se establece entre el entrevistador y el entrevistado (o los entrevistados) se espera obtener informacin clara desde la fuente ms concreta. Checklist o Es un tipo de material de apoyo informativo que se utiliza para reducir el fracaso mediante la compensacin de los posibles lmites de la memoria humana y la atencin. Esto ayuda a garantizar la coherencia e integridad en el desempeo de una tarea. Es un documento que detalla uno por uno distintos aspectos que se deben analizar, comprobar, verificar, etc. Registros (Log) o Son registros oficiales de eventos durante un rango de tiempo en particular. Sirve para registrar datos o informacin sobre un evento en particular ocurrido en los sistemas.

12

ORGANIZACIN La Sala Cuna y Jardn Infantil Tuxitos es un moderno establecimiento con empadronamiento JUNJI ubicado en la calle Ignacio de la Carrera 0571, poblacin Manuel Rodrguez de la ciudad de Rancagua. Comienza su actividad en el mes de marzo del ao 2004 y ya con siete aos de funcionamiento tiene un importante apoyo y reconocimiento por parte de la comunidad rancagina y del sector. Tuxitos es dirigido por su directora y fundadora la seora Mara Luisa Salinas Escalona, quien despus de haber participado por 10 aos en la docencia en un colegio Montessoriano, decidi independizar su pasin por los nios. La institucin cree en una nueva y mejor educacin pre-escolar. Utiliza una metodologa de trabajo que rescata lo mejor de los postulados del curriculum montessoriano, cognoscitivo e integral. A travs de este currculum eclctico potencia las diversas reas de desarrollo del nio, facilitando adems el despliegue de su autonoma y autovalor. Adems, se preocupa de mantener a su personal en constante capacitacin y educacin continua en tcnicas actuales de enseanza, cuidados de nios y modernos planes de trabajos. Su estructura organizacional es la siguiente:

13

Aqu es importante que la organizacin este diseada de la siguiente forma: Jerarquizacin de autoridad de manera que los grupos o individuos separados por la divisin del trabajo acten coordinadamente. Divisin del trabajo: Consiste en la designacin de tareas especficas a cada una de las partes de la organizacin. Unidad de Direccin: Debe tener un solo jefe y un solo plan. Jerarqua o Cadena Escala: Debe hacer una lnea de autoridad, del escaln ms alto al escaln ms bajo de la organizacin.

DESTINATARIOS DEL INFORME El presente informe est dirigido a la Sra. Bianka Barrios Soto, Directora Nacional del Departamento de Tecnologas de la Informacin y Comunicaciones (TIC) correspondiente al Ministerio de Educacin del Gobierno de Chile.

14

RESTRICCIONES Algunas funciones php que afectan al sistema quedan inhabilitadas. register_globals en el archivo php.ini esta desabilitado. Existen 3 perfiles de usuario, cada uno con una interfaz separada que en el cual acceden solo a los datos permitidos para cada perfil de usuario. Ninguno de estos 3 perfiles de usuario en la base de datos posee privilegios de administrador (root). El perfil de apoderado no puede modificar datos de ningn tipo, solo puede leer informacin proporcionada en el sistema por la educadora del nivel de su hijo(a). El perfil educador solo puede modificar datos respecto a su nivel y parte de la ficha del nio(a). El Administrativo puede modificar todo tipo de datos. Existen 3 validaciones de datos: la primera es por Javascript, esta se hace una vez el usuario escribe los datos en el formulario. La segunda es por los mtodos POST o GET segn corresponda, esta se hace una vez el sistema recibe y procesa los datos. La tercera es a travs de la base de datos, revisando que los tipos de datos sean correctos a los campos de cada tabla alterada. Todas las cadenas de caracteres son revisadas y "limpiadas" antes de ingresar a la base de datos, esto para evitar exploits del tipo inyeccin SQL. Las cmaras funcionan solo en la red local, no tienen salida directa a la web. El servidor web (que est en la misma red local que las cmaras) se encarga de hacer el streaming. Se ha bloqueado el acceso a todos los puertos del servidor, a excepcin de los puertos TCP 80 (HTTP) y 25 (SMTP). El streaming de video se hace mediante un applet que funciona por el puerto 80. El respaldo de la informacin se hace en un servidor remoto conectado va red VPN al servidor principal. El directorio donde se aloja el sistema (/www) se encuentra montada en una particin independiente en otra unidad de disco (HDD).

15

El sistema ChicocoSoft y la web de la organizacin se encuentran en directorios separados, para evitar posibles explotaciones de vulnerabilidades del sistema de gestin de contenido (CMS) WordPress. De la misma forma, el sistema ChicocoSoft y la web poseen distintas bases de datos y distintos usuarios dentro de la base de datos. La cuenta de usuario de la web no tiene acceso a la base de datos del sistema y viceversa.

16

HALLAZGOS A pesar de que el sistema ya se encuentra en produccin, no existe personal capacitado dentro de la organizacin para realizar una correcta resolucin de incidencias o problemas informticos. Existe demora excesiva en la llegada a la resolucin de incidencias por parte del grupo de soporte informtico contratado para dichos efectos. No existe en los contratos de trabajo del personal de la organizacin clusulas de confidencialidad de informacin. La capacitacin en el manejo de la plataforma de trabajo y del sistema no ha sido ptima, esto qued demostrado en las etapas de recoleccin de informacin, donde se vio a los usuarios solicitar ayuda de manera constante. La sala de comunicaciones an no posee un sistema de ventilacin adecuado a los equipos que en ella se encuentran. La sala de comunicaciones se encontr abierta el primer da de la auditoria, demostrando poco inters en la seguridad de los equipos y sistemas. El personal de la organizacin sigue usando los mtodos de manejo de informacin del pasado, segn ellos no confan totalmente en el nuevo sistema de informacin implementado (ChicocoSoft).

17

CONCLUSIONES Esta auditoria informtica se conform obteniendo informacin y documentacin de todo tipo. Este informe final depende de las capacidades del grupo de trabajo para analizar las situaciones de debilidad o fortaleza de los diferentes medios. Por eso fue necesario obtener toda la informacin necesaria para emitir un juicio global objetivo, siempre amparando las evidencias comprobatorias. Se necesitaba un grupo capacitado de profesionales expertos para comprender los mecanismos que se desarrollan en el procesamiento de datos de la organizacin Tuxitos, La auditora del sistema deba hacerse por profesionales expertos, ya que una auditoria mal hecha puede acarrear consecuencias drsticas a la organizacin, principalmente econmicas. ChicocoSoft es un sistema medianamente complejo, por lo que deba someterse a un control estricto de evaluacin de eficacia y eficiencia. Toda la informacin ahora est estructurada en este Sistema de Informacin, de aqu, la vital importancia que funcione correctamente. Si se tiene un sistema informtico propenso a errores, lento, frgil e inestable; la organizacin nunca saldr a adelante. El xito de Tuxitos depende de ello, adems debe contar con personal altamente capacitado. En conclusin, esta auditoria informtica fue la indicada para evaluar de manera profunda a Tuxitos, a travs de su sistema de informacin automatizado, de aqu su importancia y relevancia. RECOMENDACIONES Es necesario una capacitacin mejorada en el manejo del sistema ChicocoSoft y en alfabetizacin digital. Mejorar los contratos del personal con clusulas de confidencialidad de la informacin. Buscar una mejor alternativa de empresa de soporte informtico que cumpla con plazos mnimos de tiempo en la resolucin de incidencias. Terminar de implementar correctamente la sala de comunicaciones.

18