UNIVERSIDAD NACIONAL

JOS FAUSTINO SNCHEZ CARRIN

FACULTAD DE INGENIERA INDUSTRIAL, SISTEMAS E INFORMTICA

ESCUELA PROFESIONAL DE INGENIERA INDUSTRIAL

ESTUDIO DE TIEMPOS Y MOVIMIENTOS E INCREMENTO DE

LA PRODUCTIVIDAD EN EL REA DE RECEPCIN Y SANEAMIENTO DE LA
EMPRESA BIOFRUTOS
S.A.C. DISTRITO DE CHANCAY, 2016.

AUDOTORIA ALA SEGURIDAD DE INFORMACION

Autores:

DE PAZ MORALES, ISMAEL

ILLESCAS PUMARUMI EDWARD
JAIMES HUERTA, ROGER MIGUEL

Docente:

ING. OSORIO OSORIO Mario Alberto

Huacho Per
2016
Contenido
UNA AUDITORA DE SEGURIDAD INFORMTICA.................................................. 3

Estndares de Auditora Informtica y de Seguridad ....................................... 3

Qu acciones realizar........................................................................................ 5

Alcance.............................................................................................................. 6

Objetivo ............................................................................................................ 6

Recursos............................................................................................................ 6

Etapas de trabajo .............................................................................................. 6

En las entrevistas incluirn: .............................................................................. 7

Identificacin de riesgos potenciales ............................................................... 7

Los riesgos potenciales se pueden presentar de la ms diversa variedad de

formas. .......................................................................................................................... 7

Objetivos de control ............................................................................................. 7

4. Determinacin de los procedimientos de control...................................... 8

Objetivo N 1: Existencia de normativa de hardware. ....................................... 8

Objetivo N 2: Poltica de acceso a equipos....................................................... 8

5. Pruebas a realizar. ...................................................................................... 8

6. Obtencin de los resultados. ...................................................................... 9

7. Conclusiones y Comentarios:........................................................................... 9

8. Redaccin del borrador del informe .............................................................. 9

9. Presentacin del borrador del informe, al responsable de microinformtica10

10. Redaccin del Informe Resumen y Conclusiones. ........................................ 10

11. Entrega del informe a los directivos de la empresa ................................ 10

UNA AUDITORA DE SEGURIDAD INFORMTICA

Una auditora de seguridad informtica o auditora de seguridad de

sistemas de informacin (SI) es el estudio que comprende el anlisis y gestin de
sistemas llevado a cabo por profesionales para identificar, enumerar y
posteriormente describir las diversas vulnerabilidades que pudieran presentarse en
una revisin exhaustiva de las estaciones de trabajo, redes de
comunicaciones o servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los

responsables quienes debern establecer medidas preventivas de refuerzo y/o
correccin siguiendo siempre un proceso secuencial que permita a los
administradores mejorar la seguridad de sus sistemas aprendiendo de los errores
cometidos con anterioridad.

Las auditoras de seguridad de SI permiten conocer en el momento de su

realizacin cul es la situacin exacta de sus activos de informacin en cuanto a
proteccin, control y medidas de seguridad.

Estndares de Auditora Informtica y de Seguridad

Una auditora se realiza con base a un patrn o conjunto de directrices o

buenas prcticas sugeridas. Existen estndares orientados a servir como base para
auditoras de informtica. Uno de ellos es COBIT (Objetivos de Control de la
Tecnologas de la Informacin), dentro de los objetivos definidos como
parmetro, se encuentra el "Garantizar la Seguridad de los Sistemas".

Adicional a este estndar podemos encontrar el estndar ISO 27002, el

cual se conforma como un cdigo internacional de buenas prcticas de seguridad
de la informacin, este puede constituirse como una directriz de auditora
apoyndose de otros estndares de seguridad de la informacin que definen los
requisitos de auditora y sistemas de gestin de seguridad, como lo es el
estndar ISO 27001.

A da de hoy, es mayoritario el uso de un ordenador en la empresa. Es ms,

nos escandalizaramos si en algn negocio, del tipo que sea, no se gestionara y/o
administrara a travs de medios informticos junto con el uso de Internet, que est
ms que generalizado. Es solo cuestin de mirar a nuestro alrededor.

La implantacin absoluta de los sistemas informticos en la empresa hace

de sta ms competitiva a todos los niveles, tanto logstico, administracin,
inventario, contabilidad, RR.HH, pedidos, etc Ni que decir tiene que el uso de
Internet favorece enormemente la relacin entre empresas y clientes.

Como todo activo de la empresa, tal como un vehculo, estos equipos

necesitan un mantenimiento. Obviamente no el mismo que un coche o camin. La
parte fundamental de cara a interactuar con el ordenador es el Sistema Operativo.
Mucha gente piensa que el ordenador es eterno, perpetuo al paso del tiempo y del
trabajo. Que es solo introducir informacin, navegar, correo, etc Pero lejos del
pensamiento casi comn, un ordenador, un conjunto de equipos de una empresa
X, necesita unas atenciones bsicas ya que pueden ser la va de entrada a los
famosos, amigos de lo ajeno, en este caso hackers (blackhat) y crackers.

Cmo es posible que ese ordenador que tenemos para usar el plotter de
A3 que lo usamos una vez cada da puede facilitar el robo de informacin?

Pues s, lo puede ser. Un ordenador desactualizado es un objetivo bastante

apetitoso.

Pero, cmo s que en mi empresa tengo mis datos seguros, mis equipos
protegidos y mi red libre de ataques o filtraciones y as cumplir con la famosa y
exigente Ley de Proteccin de Datos (LOPD)?

La respuesta: Auditora de seguridad informtica.

Una empresa con un mnimo de 50 personas, debera realizar una auditora

informtica. Por otra parte ha de garantizar la seguridad de sus sistemas, ataques
internos, externos, base de datos, etc

En una auditora informtica se evalan diferentes mbitos. Se redactan en

informes y se presentan al cliente. Se revisan, generalmente, los siguientes
aspectos:

Equipos, servidores, programas, sistemas operativos

 Vulnerabilidades que se presenten en una revisin de los equipos informticos
de trabajo, redes de comunicaciones, servidores, etc
Gestin de los sistemas instalados.
Anlisis de Seguridad en los equipos y de la red.
Procedimientos instalados.
Anlisis de los Sistemas y Programas informticos.
Optimizacin de los equipos a nivel de Software y Hardware.
Verificar que se cumple la LOPD.
Protocolo de Seguridad ante una amenaza tecnolgica.

Qu acciones realizar.

Al termino de este informe, se debe reportar otro contra informe para

enumerar las medidas preventivas o de correccin para la solucin de las
incidencias encontradas.

Las auditoras de seguridad informtica pueden estar orientadas a ciertos

aspectos. Por ello nos encontramos con auditoras de:

Seguridad Interna: Bsicamente se testea el nivel de privacidad y seguridad

de la LAN.
Seguridad Perimetral: Se realiza un estudio de la frontera entre la red interna
con el exterior.
Test de intrusin: En este punto se realizan mtodos de ataque controlado para
acceder a los sistemas, comprobando la resistencia o vulnerabilidad de la red.
Este aspecto es FUNDAMENTAL en una auditora perimetral.
Anlisis forense: Es usado cuando ocurre algn incidente. Se intenta averiguar
la posible entrada no autorizada al sistema, as como la valoracin de las
prdidas ocasionadas o no.
Cdigo de aplicaciones: Se revisa el cdigo de pginas Web, como de
aplicaciones empleadas por la empresa.

Es muy recomendable realizar una auditora de seguridad informtica, al

menos una vez al ao, y cada tres meses, visitando la empresa, revisar las normas
aplicadas tras la auditora.
 La formacin a los empleados es fundamental para la rpida y efectiva
implantacin de cualquier tipo de medida y proteccin.

Podemos decir que una auditora de seguridad informtica en nuestra

empresa garantiza la proteccin en un nivel bastante importante, de todos nuestros
sistemas. Obviamente no existe el nivel de proteccin cero ya que esto traera
problemas de eficiencia, optimizacin, etc

Alcance

La auditora se realizar sobre los sistemas informticos en computadoras

personales que estn conectados a la red interna de la empresa Bio frutos S.A.C.

Objetivo

Tener un panorama actualizado de los sistemas de informacin en cuanto

a la seguridad fsica, las polticas de utilizacin, transferencia de datos y seguridad
de los activos.

Recursos

El nmero de personas que integraran el equipo de auditoria ser de tres,

con un tiempo mximo de ejecucin de 3 a 4 semanas.

Etapas de trabajo

1. Recopilacin de informacin bsica

Una semana antes del comienzo de la auditoria se enva un cuestionario a

los gerentes o responsables de las distintas reas de la empresa.

El objetivo de este cuestionario es saber sobre los equipos que usan y los
procesos que realizan en ellos.

Los gerentes se encargarn de distribuir este cuestionario a los distintos

empleados con acceso a los computadores, para que tambin lo completen.

De esta manera, se obtendr una visin ms global del sistema.

 Es importante tambin reconocer y entrevistarse con los responsables del
rea de sistemas de la empresa para conocer con mayor profundidad el hardware
y el software utilizado.

En las entrevistas incluirn:

1. Director / Gerente de Informtica

2. Subgerentes de informtica
3. Asistentes de informtica
4. Tcnicos de soporte externo

Identificacin de riesgos potenciales

Se evaluar la forma de adquisicin de nuevos equipos o aplicativos de

software. Los procedimientos para adquirirlos deben estar regulados y aprobados
en base a los estndares de la empresa y los requerimientos mnimos para
ejecutar los programas base.

Dentro de los riesgos posibles, tambin se contemplarn huecos de

seguridad del propio software y la correcta configuracin y/o actualizacin de los
equipos crticos como el cortafuegos.

Los riesgos potenciales se pueden presentar de la ms diversa variedad de

formas.

Objetivos de control

Se evaluarn la existencia y la aplicacin correcta de las polticas de seguridad,

emergencia y disaster recovery de la empresa.

Se har una revisin de los manuales de poltica de la empresa, que los

procedimientos de los mismos se encuentren actualizados y que sean claros y que el
personal los comprenda.

Debe existir en la Empresa un programa de seguridad, para la evaluacin de los

riesgos que puedan existir, respecto a la seguridad del mantenimiento de los equipos,
programas y datos.
4. Determinacin de los procedimientos de control

Se determinarn los procedimientos adecuados para aplicar a cada uno de los

objetivos definidos en el paso anterior.

Objetivo N 1: Existencia de normativa de hardware.

1. El hardware debe estar correctamente identificado y documentado.

2. Se debe contar con todas las rdenes de compra y facturas con el fin de
contar con el respaldo de las garantas ofrecidas por los fabricantes.
3. El acceso a los componentes del hardware est restringido a la directo a
las personas que lo utilizan.
4. Se debe contar con un plan de mantenimiento y registro de fechas,
problemas, soluciones y prximo mantenimiento propuesto.

Objetivo N 2: Poltica de acceso a equipos.

1. Cada usuario deber contar con su nombre de usuario y contrasea para

acceder a los equipos.
2. Las claves debern ser seguras (mnimo 8 caracteres, alfanumricos y
alternando maysculas y minsculas).
3. Los usuarios se desbloquearn despus de 5 minutos sin actividad.
4. Los nuevos usuarios debern ser autorizados mediante contratos de
confidencialidad y deben mantenerse luego de finalizada la relacin
laboral.
5. Uso restringido de medios removibles (USB, CD-ROM, discos externos
etc).

5. Pruebas a realizar.

Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento

de los objetivos establecidos. Entre ellas podemos mencionar las siguientes tcnicas:

1. Tomar 10 maquinas al azar y evaluar la dificultad de acceso a las

mismas.
2. Intentar sacar datos con un dispositivo externo.
3. Facilidad para desarmar una pc.
 4. Facilidad de accesos a informacin de confidencialidad (usuarios y
claves).
5. Verificacin de contratos.
6. Comprobar que luego de 5 minutos de inactividad los usuarios se
desbloqueen.

6. Obtencin de los resultados.

En esta etapa se obtendrn los resultados que surjan de la aplicacin de los

procedimientos de control y las pruebas realizadas a fin de poder determinar si se cumple
o no con los objetivos de control antes definidos. Los datos obtenidos se registrarn en
planillas realizadas a medida para cada procedimiento a fin de tener catalogado
perfectamente los resultados con el objetivo de facilitar la interpretacin de los mismos y
evitar interpretaciones errneas.

7. Conclusiones y Comentarios:

En este paso se detallar el resumen de toda la informacin obtenida, as como lo

que se deriva de esa informacin, sean fallas de seguridad, organizacin o estructura
empresarial. Se expondrn las fallas encontradas, en la seguridad fsica sean en temas de
resguardo de informacin (Casos de incendio, robo), manejo y obtencin de copias de
seguridad, en las normativas de seguridad como por ejemplo normativas de uso de
passwords, formularios de adquisicin de equipos, y estudios previos a las adquisiciones
para comprobar el beneficio que los mismos aportaran. Finalmente se vern los temas de
organizacin empresarial, como son partes responsables de seguridad, mantenimiento y
supervisin de las otras reas.

8. Redaccin del borrador del informe

Se detalla de manera concisa y clara un informe de todos los problemas

encontrados, anotando los datos tcnicos de cada una de las maquinas auditadas:

1. Marca
2. Modelo
3. Nmero de Serie
4. Problema encontrado
5. Solucin recomendada
9. Presentacin del borrador del informe, al responsable de microinformtica

Se le presentara el informe borrador a un responsable del rea informtica, como

se aclar en el punto anterior, con el mximo de detalle posible de todos los problemas y
soluciones posibles recomendadas, este informe se pasara por escrito en original y copia
firmando un documento de conformidad del mismo para adquirir un compromiso fuerte
en la solucin de los mismos, de esta forma evitaremos posibles confusiones futuras.

10. Redaccin del Informe Resumen y Conclusiones.

Es en este paso es donde se muestran los verdaderos resultados a los responsables

de la empresa, el informe presentado dar a conocer todos los puntos evaluados durante
la auditoria, resultados, conclusiones, puntaje y posibles soluciones.

La conclusin tendr como temas los resultados, errores, puntos crticos y

observaciones de los auditores. Mientras que en el resumen se vern las posibles
soluciones de esos puntos crticos y fallas, as como recomendaciones para el buen uso y
tambin recomendaciones sobre la forma incorrecta de realizar algunos procedimientos.

11. Entrega del informe a los directivos de la empresa.

Esta es la ltima parte de la auditoria y en una reunin se formaliza la entrega del

informe final con los resultados obtenidos en la auditoria.

Tambin se fijan los parmetros si as se requieren para realizar el seguimiento de

los puntos en los que el resultado no haya sido satisfactorio o simplemente se quiera
verificar que los que los objetivos de control se sigan cumpliendo a lo largo del tiempo.

Algunos hallazgos fuera de lo comn :

Las dos computadoras de escritorio no tienen configurados un nombre de

usuario y password.
La empresa no cuenta con sistemas de seguridad como son cmaras de video o
alarmas electrnicas.
No cuentan con un sistema de control de flotas para empresas de transporte.
No existe sistema de facturacin o inventarios en la empresa
No cuentan con una central telefnica para telfonos IP, actividad que les
permitira ahorrar dinero en llamadas nacionales.
Todas las computadoras cuentan con reguladores de voltaje y almacenadores de
energa(UPS).
GUA DE HALLAZGOS H1.

reas de informtica de la empresa bio frutos S.A.C. R/PT: P1

Hallazgos de la Auditora H1
Dominio Adquisicin e Implementacin
Proceso AI3 Adquirir y mantener la arquitectura tecnolgica
Objetivo de Control Evaluacin de Hardware
Riesgos Asociados
Descripcin
En las de la empresa no se lleva un registro de mantenimiento y de cambios de hardware,
adems no existe personal de mantenimiento dedicado a este proceso, el mantenimiento
est sujeto a las directrices de la rectora de acuerdo al presupuesto y el inventario no
se actualiza peridicamente cuando se han realizado cambios
Recomendacin
El Encargado de la administracin debe sugerir calendarizacin de inventarios y
mantenimientos de hardware
Causa
La falta de un recurso de asesoramiento y la falta de planeacin por parte del encargado
de la administracin de las reas de informtica de la empresa.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio alto, en cuanto al
impacto es moderado

GUA DE HALLAZGOS H2.

reas de informtica de la empresa bio frutos S.A.C. R/PT: P2

Hallazgos de la Auditora H2
Dominio Adquisicin e Implementacin
Proceso Adquirir y mantener la arquitectura tecnolgica
Objetivo de Control Mantenimiento Preventivo para Hardware
Riesgos Asociados
Descripcin
En esta empresa tiene programadas jornadas de mantenimiento, estas estn sujetas a
las programaciones que realiza el gerente de la empresa, La Administracin solo da de
baja equipos no funcionales, pero no hace solicitudes de cambio de nuevos equipos ya
que el nuevo hardware est supeditado a los recursos de inversin y proyectos
presentados a nivel local y nacional.
Recomendacin
El Encargado de la administracin de las reas de informtica debe programar los
mantenimientos y cambios por lo menos dos veces al ao, las actualizaciones de cambio
o repotenciacin de equipos se deben presupuestar para las vigencias futuras.
Causa
El gerente y el Encargado de la administracin de las reas de informtica deben realizar
planes de actualizacin de equipos y de mantenimiento preventivo, asignando los
recursos econmicos necesarios para vigencias futuras.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio, en cuanto al impacto
es moderado
GUA DE HALLAZGOS H3.
reas de informtica de la empresa bio frutos S.A.C. R/PT: P3
Hallazgos de la Auditora H3
Dominio Entrega de Servicios y Soportes
Proceso Administracin de Instalaciones
Objetivo de Control Escolta de Visitantes
Riesgos Asociados
Descripcin
Las instalaciones de las rea de informtica y la oficina del administrador de la empresa
no son las adecuadas en cuanto a espacios, no hay una buena visibilidad de la
identificacin de las reas de informtica, No existen identificacin de reas restringidas
en la oficina del administrador, No existen ningn tipo de detectores de humo,
temperatura dentro de las reas de informtica, Las sealizacin para salidas de
emergencia no estn instaladas o no existen, la iluminacin solo cuenta con ventanales
grandes e iluminacin artificial insuficiente, Los interruptores de emergencia no estn
debidamente identificados
Recomendacin
El Administrador de las reas de informtica debe realizar identificacin adecuada de las
reas, debe solicitar los recursos econmicos para la adecuacin y el mejoramiento de
las reas y de su propia oficina.
Causa
La gerencia no ha asignado recursos propios para la operacin y buen funcionamiento
de la tecnologa de las reas de informtica.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en alto, en cuanto al impacto
es catastrfico

GUA DE HALLAZGOS H4.

reas de informtica de la empresa bio frutos S.A.C. R/PT: P4

Hallazgos de la Auditora H4
Dominio Entrega de Servicios y Soportes
Proceso Proteccin contra Factores Ambientales
Objetivo de Control Controles Ambientales
Riesgos Asociados
Descripcin
Solo una de las seis areas de informtica tiene sistemas de ventilacin, la cual presenta
ruido alto en su funcionamiento y balanceo.
Recomendacin
El Administrador de las reas de informtica debe realizar mantenimiento al ventilador
del rea y gestionar recursos para adquirir los sistemas de ventilacin para las areas
restantes
Causa
El Administrador de las areas de informtica no realiza adecuaciones locativas dentro
de las funciones que le fueron asignadas
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio, en cuanto al impacto
es leve
GUA DE HALLAZGOS H5.

reas de informtica de la empresa bio frutos S.A.C. R/PT: P5

Hallazgos de la Auditora H5
Dominio Entrega de Servicios y Soportes
Proceso Administracin de Instalaciones
Objetivo de Control Suministro Ininterrumpido de Energa
Riesgos Asociados
Descripcin
Existen cables de energa en el suelo que pueden ocasionar daos en las instalaciones
elctricas afectando a uno o ms equipos, Existen en el techo de las areas cables sueltos
sin marcar, Existen conexiones de 220 voltios sin sellar junto a las tomas reguladas, la
UPS solo est disponible para el servidor, los equipos de la administracin y una de las
salas de informtica.
Recomendacin
El Administrador de las areas de informtica debe realizar adecuaciones de instalaciones
elctricas de acuerdo a las normas vigentes, y hacer la desinstalacin de las tomas de
corriente con voltaje de 220 voltios AC para disminuir el riesgo de falla ocasionado por
los usuarios.
Causa
El Administrador de las areas de informtica no realiza adecuaciones locativas dentro
de las funciones que le fueron asignadas
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en alto, en cuanto al impacto
es catastrfico

GUA DE HALLAZGOS H6.

reas de informtica de la empresa bio frutos S.A.C. R/PT: P6

Hallazgos de la Auditora H6
Dominio Entrega de Servicios y Soportes
Proceso Administracin de Instalaciones
Objetivo de Control Seguridad Fsica
Riesgos Asociados
Descripcin
Muchos cables de elctricos y de red sobre el piso que obstaculizan el paso a los
usuarios, Existen puntos elctricos de 220 voltios juntos a tomas de 110 voltios sin
identificacin adecuada, Cables de electricidad sueltos sin identificacin, Canaletas
plsticas sin proteccin, Cables de red de datos areos sin proteccin
Recomendacin
El Administrador de las areas de informtica debe realizar adecuar de manera correcta
de acuerdo a las normas el tendido de red datos, cubrir, desinstalar las conexiones que
generen riesgo a los usuarios
Causa
El Administrador de las areas de informtica no realiza adecuaciones locativas
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio, en cuanto al impacto
es leve
CUESTIONARIO AUDITORIA INFORMATICA SI NO OBSERVACIONES
.El lugar donde se ubica el centro de cmputo est
seguro de inundaciones, robo
o cualquier otra situacin que pueda poner en peligro
los equipos?
Se cuenta con una salida de emergencia?
Existen sealamientos que las hagan visibles?
Se cuenta con tierra fsica?
La tierra fsica cumple con los requisitos
establecidos en las normas bajo las
cuales se rige?
El cableado se encuentra correctamente instalado?
Se cuenta con los planos de instalacin elctrica?
La instalacin elctrica del equipo de cmputo es
independiente de otras
Instalaciones?
Los equipos cuentan con un regulador?
Se cuenta con equipo matriz interrumpible?
.Se apega a la estandarizacin del Sistema
Operativo, software utilizado como
procesadores de palabras, hojas electrnicas,
manejadores de base de datos y
se mantienen actualizadas las versiones y la
capacitacin sobre modificaciones incluidas?
La informacin interna del sistema est protegida
contra posibles sabotaje por personas ajenas a la
empresa
Se han instalado equipos que protejan la
informacin y los dispositivos en caso de variacin de
voltaje como: reguladores de voltaje, supresores pico,
UPS, generadores de energa?
Se hacen revisiones peridicas y sorpresivas del
contenido del disco para verificar la instalacin de
aplicaciones no relacionadas a la gestin de La
institucin?
Los sistemas de hardware se acoplan
adecuadamente con la funcin del software?
CUESTIONARIO DE AUDITORIA DE SEGURIDAD EN SISTEMA DE
INFORMACION EN LA EMPRESA BIO FRUTOS S.A.C.