República Bolivariana de Venezuela

Ministerio del Poder Popular Para la Educación Universitaria

Universidad Politécnica de Valencia
Valencia - Edo. Carabobo

Auditoría Informática del “Sistema Informático para el Registro y Seguimiento

del Mantenimiento Mecánico de los Equipos Industriales de Eje Rotatorio,
Caso Grupo Vibrotek, C.A”

Profesor: Integrantes
Ing. Juan Carlos Guadama T.S.U Carvajal, Aleixer. CI. 15.612.613
T. S.U Torres, Fiorela. CI. 18.412.579
T. S.U Valdivieso, Diego. CI. 17.484.216
IV Trayecto, Sección: 03EN

Valencia, Enero de 2016

Fecha:22/01/2016 Nota

Elaborado por: Revisado y aprobado por:

TSU. Carvajal Aleixer,
TSU. Torres Fiorela,
TSU. Valdivieso Diego Ing. Juan Carlos Guadama
Fase 1.- Objetivos

1.1.- Objetivo General

Realizar una Auditoría Informática del “Sistema Informático para el

Registro y Seguimiento del Mantenimiento Mecánico de los Equipos
Industriales de Eje Rotatorio, Caso Grupo Vibrotek, C.A”.

1.2.- Objetivos Específicos de la Auditoría Informática.

 Realizar un estudio inicial del entorno auditable.

 Determinación de los recursos necesarios para realizar la auditoría.
 Realizar una revisión del sistema, específicamente los aspectos
relacionados con la seguridad lógica y física.
 Evaluar el diseño de la interfaz del usuario.
 Realizar las propuestas necesarias que permitan mejoras el sistema
actual, en el caso de que lo amerite.

1.3.- Alcances de la Auditoría Informática

El presente trabajo de investigación está orientado a la Gestión de

Calidad y Auditoría Informática del “Sistema Informático para el Registro y
Seguimiento del Mantenimiento Mecánico de los Equipos Industriales de Eje
Rotatorio, Caso Grupo Vibrotek, C.A”.

La investigación actual se plantea considerando los objetivos antes

descritos al principio de este documento, entre los cuales se realizará una
revisión del sistema en los aspectos de seguridad física y lógica del software,

2 

 
adicionalmente determinará y evaluará los procesos actuales del sistema
informático y su interfaz, haciendo un análisis de los antes mencionado, para
elaborar propuestas o consideraciones que determinen los riesgos del
sistema informático actual de la Empresa Grupo Vibrotek, C.A.
 

Fase 2. Estudio Inicial.

2.1.- Organigrama de la empresa.

Fig. N°1. Organigrama de la Empresa

Autor: los autores

3 

 
 2.2.- Departamentos.

El punto anterior se muestra el organigrama de la empresa, en este

punto describiremos las funciones de cada uno de los departamentos a
continuación:

 Departamento de Finanzas, Administración y RRHH: Se

describe como los encargados de llevar toda la administración de la
empresa, además de realizar las búsquedas de los empleados.

 Departamento de Sistemas: Se encarga de todas las áreas

específicas en cuanto a los sistemas de cómputos utilizados en la empresa,
así como su infraestructura actual en la misma.

 Departamento de Servicios: Encargados de realizar los servicios

de vibración, análisis predictivo, preventivo y correctivo.

2.3.- Relaciones jerárquicas y funcionales entre órganos de la

organización.

Tal como se aprecia en el punto anterior los diferentes departamentos

y en el organigrama de la empresa, se puede apreciar que la estructura
jerárquica se cumple de acuerdo a los departamentos antes mencionados.

4 

 
 2.4.- Flujos de Información.

Los flujos de información se puede verificar que la información es

coherente y comunicacional entre los departamentos. Esta a su vez en el
departamento de servicios de la empresa se cumple de forma correcta.

2.5.- Número de Puestos de Trabajos.

La Empresa se encuentra constituida por un (1) gerencia general, un

(1) departamento de RRHH y Administración, un (1) departamento de
Sistemas, y un (1) departamento de servicio, contemplado de la siguiente
manera: un (1) jefe de departamento de servicios, dos (2) inspectores de
equipos rotativos I, dos (2) inspectores de equipos rotativos II, y un (1)
inspector de equipos rotativos III.

2.6.- Número de personas por puestos de trabajos.

Departamento N° de personas que

labora en el dpto.

Gerencia General. 1

Dpto. de RRHH y Administración 2

Dpto. de Sistemas 2

Dpto. de Servicios 6

Tabla N° 1: Números de personas por puestos de trabajos

Autor: Los Autores

5 

 
Fase 3. Entorno Operacional.

3.1.- Situación Geográfica de los Sistemas

En la siguiente Figura N°1. Se muestra la interconexión de la red

actual del Grupo Vibrotek, C.A. el mismo se encuentra reflejado por
departamentos.

Fig. N° 2: Diseño de la red Actual Vibrotek, C.A.

Autor: Los Autores

6 

 
 3.2.- Arquitectura y configuración de Hardware y Software.

El sistema al cual se le está realizando la auditoría cuenta con la

siguiente configuración de:

En cuanto al hardware: se cuenta con PC tipo Desktop y Laptop, sus

características son las siguientes.

Laptop.

 Procesador Core i5. 2.5Ghz.

 Disco Duro de 500Gb.

 4 gigas de Memoria Ram.

Desktop.

 Procesador Core i7. 3.0 Ghz.

 Disco Duro 1000Gb.

 8 Gigas de Ram

 Teclado y Mouse Microsoft.

 Monitor HP de 24”.

 Mini Ups.

En Cuanto al Software:

 Sistema Operativo Windows 7 Profesional

 Paquete de Office 2013.

 Paquete de Antivirus Avast.

7 

 
  Paquete de Sistema de Mantenimiento de Vibrotek.

3.3.- Inventario de hardware y software

En el siguiente tabla N° 2. Se muestra a continuación en el inventario

del hardware y software del grupo Vibrotek, C.A.

Cantidad Descripción Tipo

2 Laptop. Hardware.

9 Desktop. Hardware.

9 Monitor HP de 24”. Hardware.

9 Teclados y Mouse Microsoft. Hardware.

6 Mini Ups. Hardware.

11 Licencias del Sistema Operativo Windows 7 Profesional. Software.

11 Licencias Paquete de Office 2013. Software

11 Licencias Antivirus Avast Software

11 Sistema de Mantenimiento Software

Tabla N° 2: Inventario de Hardware y Software.

Autor: Los Autores.

8 

 
 3.4.- Comunicación y redes de comunicación.

3.4.1.- Funcionamiento

Una vez finalizada la inspección de la red del Sistema Informático para

el Registro y Seguimiento del Mantenimiento Mecánico de los Equipos
Industriales de Eje Rotatorio, Caso Grupo Vibrotek, C.A, se determinó que la
red de la empresa Grupo Vibrotek, C.A. se encuentran en el Piso N° 8,
Edificio Torre Valencia de la Avenida Bolívar, la misma es una red local LAN,
cliente-servidor, cuenta con un switch principal de 24 puertos, que distribuye
la conexión a once (11) computadores que se encuentran en el
departamento. Adicionalmente está conectado un router estándar y un
modem.

3.4.2.- Conectividad

El personal de la empresa Grupo Vibrotek, C.A cuenta con tabletas

para realizar la inspección de los equipos industriales, lo que permite cargar
los datos de las mediciones en tiempo real, evitando el uso directo del
computador.

3.4.3.- Indicador de Disponibilidad

Grupo Vibrotek, C.A. cuenta con una conexión empresarial de 4

megas de ABA de CANTV (no dedicada), por lo que está sujeta a fallas de
conectividad de acuerdo al proveedor de servicios.

9 

 
 3.4.4.- MDF (Cuarto de Dispositivos Centrales de Comunicación)

Actualmente la empresa Grupo Vibrotek C.A, no cuenta con un cuarto

de dispositivos propiamente dicho, sin embargo disponen de un gabinete
ubicado en el Departamento de Sistema donde se encuentran ubicados los
dispositivos de la red.

El gabinete metálico tipo rack de aproximadamente 2,20 m de altura,

con puertas metálicas frontales y traseras aseguradas, conteniendo en su
interior cuatro perfiles metálicos verticales con perforaciones para el montaje
de bandejas fijas, además, se encuentran los reguladores de corriente que
protege al servidores de bajones de eléctricos. Se utiliza cableado UTP
categoría 5e para comunicar cada estación de trabajo.

3.4.5.- Proveedores de servicio

El proveedor de servicios de internet de la empresa Grupo Vibrotek,

C.A es CANTV. El servicio de interconexión de la empresa es de 4 Mbps.

3.5.- Volumen, antigüedad y complejidad de las aplicaciones.

3.5.1.- Volumen.

El volumen encontrado en la base de datos de la aplicación del

sistema, es aproximadamente de unos 4000 registros.

10 

 
 3.5.2.- Antigüedad.

La base de datos evaluada tiene un tiempo de vida de 3 años de

antigüedad, desde que fue implantado el sistema.

3.5.3.- Complejidad.

La aplicación está desarrollada en el sistema de PHP, interactuando

con el usuario a través de una plataforma web (Firefox, Chrome, Internet
Explorer), el sistema genera informes en el formato PDF.

3.6.- Metodología del diseño.

La aplicación evaluada se encuentra desarrollado en el lenguaje de

programación de PHP, con una base de datos desarrollada en MySQL, el
mismo se encuentra alojado en un servidor local de la empresa.

Para el desarrollo de esta aplicación fue utilizada la metodología XP,

las cuales se orientan en cuatro fases de desarrollo para el software, que se
indican a continuación:

 Planificación.

 Diseño.

 Desarrollo.

 Pruebas.

11 

 
 3.7.- Documentación.

En la verificación de la aplicación se encontró muy poco material de

apoyo en cuanto al contenido de la aplicación, es decir, el manual de usuario
desarrollado para esta aplicación es muy deficiente, ya que no es explícito de
todos los procesados utilizados en el sistema informático.

3.8.- Cantidad y complejidad de base de datos y ficheros.

Propósito de la Base de Datos Almacenar información referente al control y

seguimiento de los informes técnicos y de las
órdenes de trabajo.

Gestor de la Base de Datos MySQL

Versión del Gestor 5.0

Nombre del Esquema Vibrotek

Fecha 06 de Julio de 2014

Usuario Administrador

Tabla N° 3: Documento Referencial de Base de Datos

Autor: Los Autores

12 

 
 Fig. N° 3: Modelo Entidad/Relación Base de Datos Vibrotek

Autor: Los Autores

3.8.1.- Descripción de las tablas

 AREA: Tabla para registrar el área de la planta donde se encuentran

las máquinas.

 AUDITORIA: Tabla para registrar las operaciones realizadas en el

sistema.

13 

 
  AUXILIAR: Tabla para registrar las máquinas que sirven de respaldo,
en el caso de que las máquinas de planta presenten fallas.

 CAMBIO: Tabla para almacenar los cambios de componentes que se

le realizan a una máquina luego de haber realizado una orden de trabajo.

 COMPONENTE: Tabla para registrar repuestos y consumibles que

usa las máquinas

 INSPECCION: Tabla para almacenar los datos que el inspector

genera a medida que le realiza los exámenes necesarios a cada máquina, la
misma se genera cuando en una solicitud de mantenimiento se especifica es
predictivo.

 MAQUINA: Tabla para registrar la información sobre las máquinas.

 OBRERO: Tabla para registrar los obreros.

 ORDEN_TRABAJO: Tabla para almacenar las ordenes de trabajo.

 PROVEEDOR_SERVICIO: Tabla para registrar los proveedores de

servicio.

 SISTEMA: Tabla para registrar sistema.

 SOLICITUD_MANTENIMIENTO: Tabla para registrar las solicitudes

de mantenimiento.

 TAREA: Tabla para registrar el detalle de las solicitudes de

mantenimiento.

 TAREA_OBRERO: Tabla para registrar las tareas que realizará un

obrero por cada tarea generada de una solicitud de mantenimiento a realizar.

14 

 
  TIPO_MANTENIMIENTO: Tabla para registrar los tipos de
mantenimientos.

 TIPO_MAQUINA: Tabla para almacenar los diversos tipos de

máquinas que pueden existir en la empresa.

 USUARIO: Tabla para registrar los usuarios que manipulan el sistema.

Fase 4. Determinación de Recursos de auditoría informática.

4.1.- Recursos materiales de software.

Para el desarrollo de esta auditoría se requiere de los siguientes

materiales de software. Ver Tabla N° 4.

Aplicativo de Software Tiempo

Windows 7 Profesional Todos los días

Paquete de Office 2013. Todos los días

Navegador Firefox Todos los días

Acrobar Reader Todos los días

MySql Todos los días

Tabla N° 4. Recursos Materiales de Software.

Autor: Los Autores.

15 

 
 4.2.- Recursos materiales de hardware.

Para el desarrollo de esta auditoría se requiere de los siguientes

materiales de software. Ver Tabla N° 5.

Cantidad Descripción de Hardware Tiempo

3 PC Laptop Todos los días

1 Impresora Todos los días

Tabla N° 5. Recursos Materiales de Hardware.

Autor: Los Autores.

4.3.- Recursos humanos.

A continuación se muestra la siguiente Tabla N° 6, matriz de

responsabilidades del proyecto de auditoría informática.

16 

 
 17 

 
 Tabla N° 6. Matriz de Responsabilidades del Proyecto.
Autor: Los Autores.

18 

 
 4.4.- Elaboración del plan de trabajo.

Fig. N° 4: Diagrama de Gantt del Proyecto. Parte 1

Autor: Los Autores

19 

 
 Fig. N° 5: Diagrama de Gantt del Proyecto. Parte 2

Autor: Los Autores

Fase 5. Actividades de la auditoría informática.

Para la realización de la auditoría informática, que permita la correcta

evaluación de los aspectos relacionados con el sistema en cuestión,
seguidamente se detallan las actividades a realizarse, clasificadas de acuerdo a
los diferentes aspectos a evaluar:

20 

 
 21 

 
 Auditoria: Realizado por: Inicio:

Sistema Informático para el Registro y Seguimiento del Mantenimiento Mecánico de

Fecha de Revisión:
los Equipos Industriales de Eje Rotatorio, Caso Grupo Vibrotek, C.A

PROCEDIMIENTO OBSERVACIÓN

1 Evaluación de Calidad

Calidad Interna y Externa

1.1 Funcionabilidad

¿Las funciones que ofrece el sistema son adecuadas para la realización de

1.1.1 Ver Gestión de Calidad, gestionar y presentar
las tareas y objetivos especificada por los usuarios?
los resultados de la calidad externa e interna y
1.1.2 ¿El sistema provee resultados acordes? calidad de uso, característica

¿El sistema interactúa con otras aplicaciones? “Funcionabilidad”.

1.1.3

1.1.4 ¿Existe módulo de seguridad, autenticación y permisología para los usuarios?

1.1.5 ¿Funciona el sistema según lo esperado por los usuarios?

1.2 Confiabilidad

1.2.1 ¿El Sistema en algún momento se detuvo inesperadamente? Ver Gestión de Calidad, gestionar y presentar
los resultados de la calidad externa e interna y
1.2.2 ¿Si el Sistema llegase a detenerse por alguna falla inesperada es fácil

22 

 
 reiniciarlo? calidad de uso, característica “Confiabilidad”.

¿Los datos pueden ser recuperados luego de un evento o situación

1.2.3 inesperada?

¿Usted considera que las tareas en el proceso de otorgación de citas

1.2.4 médicas pueden ser realizadas de una manera sencilla utilizando este
sistema?

1.3 Usabilidad

1.3.1 ¿Las instrucciones e indicaciones en pantalla son útiles? Ver Gestión de Calidad, gestionar y presentar
los resultados de la calidad externa e interna y
1.3.2 ¿Cree usted que el sistema es coherente, adaptado a los requerimientos? calidad de uso, característica “Usabilidad”

1.3.3 ¿El sistema tiene una presentación atractiva?

1.3.4 ¿Usted podrá aprender fácilmente todas las funcionalidades del sistema?

1.3.5 ¿Le parece que las necesidades del usuario han sido tomadas en cuenta?

1.4 Eficiencia

¿El programa responde rápidamente a la entrada de los datos, consultas y Ver Gestión de Calidad, gestionar y presentar
1.4.1 reportes? los resultados de la calidad externa e interna y

23 

 
 ¿El tiempo de impresión de los distintos reportes que genera el sistema, es el calidad de uso, característica “Eficiencia”
1.4.2 rápido?

¿Considera usted que los procesos ofrecidos por el sistema, se realizan con
1.4.3 pocos pasos?

1.5 Capacidad de Mantenimiento

¿El área o departamento de informática, posee el programa fuente del Ver Gestión de Calidad, gestionar y presentar
1.5.1 sistema? los resultados de la calidad externa e interna y
calidad de uso, característica “Capacidad de
1.5.2 ¿Se almacenan las versiones o mejoras del sistema? Mantenimiento”

¿El sistema, muestra estabilidad después de ser implementado una nueva

1.5.3 versión?

1.5.4 ¿Se cuenta con un ambiente adecuado de pruebas?

¿Permite establecer programación de servicio de mantenimiento, en un

1.5.5 tiempo establecido?

1.6 Portabilidad

1.6.1 ¿El sistema es fácilmente adaptable a cualquier organización o ente? Ver Gestión de Calidad, gestionar y presentar

24 

 
1.6.2 ¿La aplicación se instala fácilmente? los resultados de la calidad externa e interna y
calidad de uso, característica “Portabilidad”
¿El sistema puede coexistir con otros dentro del mismo entorno y compartir
1.6.3 recursos?

1.6.4 ¿El sistema podría ser reemplazado por otro?

1.6.5 ¿El sistema está adaptado a estándares de desarrollo y calidad de software?

1.7 Calidad de Uso

¿Todas las tareas con respecto a las funciones que ofrece el sistema pueden Ver Gestión de Calidad, gestionar y presentar
1.7.1 ser realizadas de una manera sencilla y fácil? los resultados de la calidad externa e interna y
calidad de uso, característica “Calidad de Uso”
Según el aspecto de tiempo para completar los procesos y esfuerzo
empleado para lograr dicha actividad. Indique en la siguiente escala Alto,
1.7.2 Medio, Bajo, siendo Alto mucho tiempo y esfuerzo y Bajo Poco esfuerzo y
tiempo.

¿Según los aspectos como Funcionalidad (Capacidad de funcionamiento),

Fiabilidad (realizar una función requerida), Usabilidad (Capacidad de ser
1.7.3 entendido) y Facilidad de Mantenimiento (Capacidad de ser modificado) usted
considera que existen deficiencias en estas características?

25 

 
1.7.4 ¿Las necesidades de los usuarios fueron tomadas en cuenta?

2 Evaluación de Base de Datos

2.1 Administración de la Base de Datos

¿En la administración de la base de datos existen roles definidos de acuerdo

En la evaluación se pudo determinar que no
con las necesidades?
existen roles establecidos para realizar las
2.1.1
distintas actividades que implica la
administración de la base de datos.

¿Existe al menos una persona responsable encargada de la administración No existe un persona encargada de la
de la base de datos? administración de la base de datos, todos los
2.1.2
empleados del Dpto. de Informática manipulan la
base de datos

¿Existe algún mecanismo implementado por medio del cual se pueda Actualmente no se cuenta con ningún
monitorear el rendimiento de la base de datos? mecanismo de monitoreo de transacciones que
2.1.3
puedan indicar algún fallo o desmejora en el
desempeño de la base de datos del sistema

¿Se cuenta con un plan de actualización o implementación de mejoras para No existen planes para realizar actualizaciones a
2.1.4 el sistema gestor de base de datos del sistema? la versión de la base de datos.

2.1.5 ¿La base de datos posee documentación acerca del modelo? El departamento de informática tiene el modelo

26 

 
 E/R de la base de datos.

2.2 Revisión de los objetos de la Base de Datos

¿Se cuenta con algún documento que especifique el estándar a seguir para la No se cuenta con ningún estándar para la
2.2.1 creación de nuevos objetos en la base de datos? creación de objetos en la base de datos.

¿Existen procedimientos almacenados en la base de datos, son utilizados Se observó que no se emplean procedimientos
2.2.2 correctamente? almacenados

¿Las tablas están diseñadas correctamente, de acuerdo al estándar de bases Todas las tablas poseen sus claves primarias.
2.2.3 de datos relacionales? Están normalizadas y están relacionadas.

2.3 Revisión del Plan de Mantenimiento, Respaldo y Recuperación

¿Se cuenta con un correcto mecanismo de respaldo que garantice la Si, se cuenta con un procedimiento encargado de
2.3.1 disponibilidad de la información en caso de una pérdida de datos? realizar respaldos de la base de datos

¿Los respaldos se realizan en una localización distinta a la de los servidores No se realizan respaldos fuera del área de los
2.3.2 de en producción? servidores

¿Existe algún mecanismo que permita conocer los resultados de los No existe implementado algún mecanismo que

2.3.3 respaldos automáticos, en caso de que exista alguna falla al momento en que permita corroborar si el respaldo se realizó
se realizan? correctamente

27 

 
 ¿Existe un plan de recuperación, el cual sirva como guía a seguir en el caso El proceso es realizado por el personal de
2.3.4 de una pérdida de datos? sistemas de la empresa, pero no existe un plan
de recuperación real.

3 Evaluación de la Seguridad del Sistema

3.1 Seguridad Física

¿El área de servidores cuenta con adecuadas barreras físicas y Ver Gestión de Seguridad Física y Lógica de la
3.1.1 procedimientos de control? Red. Definir patrones de seguridad. Física

¿Se cuenta con adecuadas medidas de seguridad física específicas para el Ver Gestión de Seguridad Física y Lógica de la
3.1.2 sistema de gestión? Red. Definir patrones de seguridad. Física

¿Existen medidas de seguridad física en caso de desastres? Ver Gestión de Seguridad Física y Lógica de la
3.1.3
Red. Definir patrones de seguridad. Física

¿El cuarto de datos cuenta con un sistema contra incendio adecuado para Ver Gestión de Seguridad Física y Lógica de la
3.1.4 instalaciones eléctricas? Red. Definir patrones de seguridad. Física

3.2 Seguridad Lógica

¿Se encuentra implementada al menos una herramienta de detección de Ver Gestión de Seguridad Informática.
3.2.1 intrusos y ataques informáticos Identificación de las amenazas

3.2.2 ¿Los computadores cuentan con software antivirus? Ver Gestión de Seguridad Informática.

28 

 
 Identificación de las amenazas

¿El sistema cuenta con una autenticación de usuarios para su utilización? El Sistema cuenta con la autenticación de
3.2.3
usuario y contraseña de acceso.

4 Evaluación de Riesgos

¿El cableado eléctrico se encuentra en buen estado? Se observó que la estructura eléctrica se
4.1
encuentra deficiente

¿Existen altos riesgos de pérdidas de datos por virus informáticos? Los PC cuentas con software antivirus, pero se
4.2 observa que poseen acceso a internet lo que
facilita que un pc pueda ser contaminado.

¿El cableado de red se encuentra normalizado y correctamente documentado El cableado de red no está identificado y no
4.3 que ayude a solventar una falla rápidamente? existe documentación al respecto.

¿Existe un alto riesgo de pérdida de datos por falla en los respaldos? Se evidencia un alto riesgo de que ocurra una
4.4 pérdida de datos debido a la falta de políticas de
respaldo correctas

¿En caso de una falla eléctrica, los equipos se mantienen en funcionamiento? Los servidores pueden mantener una autonomía
corta, ya que poseen unidades de respaldo de
4.5 poder (UPS) pero no cuentan con una planta
eléctrica que garantice el funcionamiento por
mayor tiempo.

29 

 
 ¿En caso de incendios, la sala de servidores cuenta con un mecanismo de Ver Gestión de Seguridad Física y Lógica de la
4.6 control de incendios adecuado? Red. Definir patrones de seguridad. Física

¿Se efectúa un mantenimiento o inspección preventiva a los servidores del No se realiza ningún mantenimiento preventivo a
4.7 sistema? ninguno de los servidores

¿En el caso de fallas de hardware en alguno de los servidores del sistema, se No se cuenta con ninguna medida que posibilite
4.8 puede realizar un cambio por otro de backup? un cambio de servidor backup para poner en
funcionamiento los servicios en corto tiempo.

5 Evaluación de la Infraestructura de la Red

5.1 ¿Se cuenta con la documentación de la red? No se cuenta con documentación de la red.

¿El cableado está normado de acuerdo a los estándares de calidad? No se encuentra normado de acuerdo a los
5.2
estándares de calidad.

¿Se lleva algún inventario de los equipos que conforman la red? Ver Gestión de Seguridad Informática.
5.3
Identificación de Activos.

¿Se lleva algún registro de las modificaciones o cambios en la arquitectura de Se pudo apreciar que el departamento de
la red? informática de la institución, no lleva registro
5.4
alguno de las modificaciones o cambios en la
red.

5.5 ¿Se lleva a cabo un monitoreo del desempeño de la red? Ver Gestión de Seguridad Física y Lógica de la

30 

 
 Red. Esquema de tráfico en la red

¿La capacidad de transmisión de datos del cableado de red, se encuentra
adecuado para soportar las actuales tecnologías de transmisión de datos?
5.6
Se evidenció que el cableado de red no
soportaría transmisiones de datos de 1 Gbps.
Solo soporta transmisión de datos de hasta 100
Gbps

Tabla N° 7. Desarrollo de la Auditoría.

Autor: Los Autores.

31 

 
5.2.- Resultados

A continuación se plantean los resultados obtenidos a partir de la

evaluación realizada

5.2.1.- Revisión de los Aspectos Relacionados con la Base de Datos del

Sistema.

Definición de roles para la administración de la base de datos 2.1.1

Se determinó que no existen roles establecidos para realizar las

distintas actividades que implica la administración de la base de datos, lo
cual puede traer como consecuencia, una manipulación indebida de los
datos confidenciales que utiliza el sistema estudiado.

Se recomienda definir una persona o grupo de personas responsables

de administrar la base de datos, así como asignar funciones o permisologías
claras en la misma para cada una.

Existencia de una persona responsable de la administración de la base de 2.1.2

datos

Se observó que no existe una persona encargada de la administración

de la base de datos, por lo que aumenta las posibilidades de no detectar a

32 

 
tiempo un mal funcionamiento de la base de datos, un acceso no autorizado
y una posible pérdida de información.

Se sugiere establecer claramente y definir la permisología del usuario

que actuará como Administrador de la Base de Datos que posee toda la
permisología para desempeñar todo tipo de acciones sobre la base de datos,
esta persona debe dedicarse a esta actividad por lo cual debe estudiarse con
detenimiento al asignar tal responsabilidad.

Implementación de mecanismos para el monitoreo del rendimiento de la 2.1.3

base de datos.

Se observó que actualmente no se cuenta con ningún mecanismo de

monitoreo de transacciones que puedan indicar algún fallo o desmejora en el
desempeño de la base de datos del sistema. Es importante mantener un
control estadístico de transacciones para verificar el rendimiento, el uso y la
cantidad de usuarios que acceden al sistema.

Se recomienda configurar y activar el log de transacciones del cual

dispone MySQL, para monitorear el rendimiento de la base de datos, y
prever desmejoras en el acceso a las bases de datos.

Contar con un plan de actualización o implementación de mejoras para el 2.1.4

sistema gestor de base de datos del sistema.

Se evidenció que no existen planes para realizar actualizaciones a la

versión de la base de datos. Esto puede traer como consecuencia la

33 

 
reducción de la escalabilidad del SGBD y entraría en obsolescencia al no
adaptarse a las nuevas tecnologías.

Se sugiere establecer un plan de actualización de versión para el

SGBD, en este caso de MySQL. La versión instalada actualmente es la 8.3 y
la última versión del mismo, es la 5.0. Si se cuenta con las últimas versiones,
se obtiene mayor fiabilidad y robustez, ya que se corrigen fallas y brechas de
seguridad, y se mejora el rendimiento con respeto a las versiones anteriores.

Contar con un documento que especifique el estándar a seguir para la 2.2.1

creación de nuevos objetos en la base de datos

Se observó que no se cuenta con ningún estándar para la creación de

objetos en la base de datos. Sin la existencia de un documento como éste,
existe el riesgo de que se creen funciones o procedimientos almacenados
que ya existen, lo que confunde y muchas veces retrasa el mantenimiento.

Se sugiere elaborar un documento que reúna y detalle, los pasos a

seguir para todos los procedimientos que suelen ser realizados en la base de
datos.

Localizar respaldos de los datos, en una localización distinta a la de los 2.3.2

servidores en producción

Se verificó que actualmente no se realizan respaldos fuera del área de

los servidores, lo que significa un fuerte riesgo en caso de que ocurra alguna

34 

 
eventualidad que comprometa el área de los servidores, lo que significaría
una gran pérdida de información.

Se recomienda la utilización de respaldos remotos, de modo que se

garantice la disponibilidad de los datos del sistema, aun cuando se vea
comprometida la integridad del área donde se encuentran los servidores de
la institución.

Visualización o monitoreo de la efectividad en la realización de los 2.3.3

respaldos de datos.

Se evidenció que al realizarse los respaldos, no está implementado

algún mecanismo que permita corroborar si el respaldo se realizó
correctamente. Esto pudiese traer como consecuencia la imposibilidad de
contar con un respaldo coherente a la hora de requerir la recuperación de
datos importantes.

Se sugiera la creación de un mecanismo que permita reportar el

resultado del respaldo automático al administrador de la base de datos, más
aún en caso de que ocurra algún fallo en el mismo. De esta manera el
administrador contará con una herramienta más que le ayudará a saber si ha
ocurrido una falla y poder aplicar las correcciones necesarias lo más pronto
posible.

Existencia de un plan de recuperación, en caso de pérdida de datos 2.3.4

35 

 
 Se verificó que no existe un plan de recuperación en caso de pérdida
de datos, lo que puede ocasionar demora en el restablecimiento de la
disponibilidad de los datos de los respaldos.

Se deben tener bien claro los pasos a seguir en caso de que ocurra
cualquier eventualidad que dañe total o parcialmente la base de datos; por lo
tanto se recomienda la elaboración de un plan de recuperación de datos que
especifique de manera detallada cuáles serían los pasos a seguir en el
supuesto caso de que ocurriese una caída del sistema por estos motivos. Así
mismo se deberán realizar pruebas periódicas de recuperación de los datos
respaldados en un ambiente o servidor de pruebas.

5.2.2.- Revisión de los Aspectos Relacionados con la Evaluación de

Riesgos del Sistema.

Estado del Cableado Eléctrico 4.1

Se observó que la estructura del cableado eléctrico se encuentra

deficiente. Al encontrarse el cableado en malas condiciones aumentan las
probabilidades de que ocurra un incendio que pudiera afectar a los
servidores y por ende, a los sistemas de la institución.

Se recomienda reestructurar y modernizar el cableado eléctrico de la

institución, mediante la aplicación de las normas de seguridad en cuanto a
circuitos eléctricos, con la finalidad de evitar un incendio debido al estado
actual de los mismos.

36 

 
Perdidas de datos a causa de virus informático 4.2

Se constató que los equipos tienen instalados software antivirus que

puede mitigar el contagio virus informáticos que puede causar la pérdida de
información, sin embargo los usuarios tienen acceso ilimitado a páginas web
engañosas que pudieran dar autorización a la ejecución de virus sin su
conocimiento.

Se recomiendo la utilización de programas que bloqueen paginas

comerciales, dando solo acceso a páginas seguras.

Normalización y documentación del cableado de red. 4.3

Se observó que el cableado de red no está implementada bajo

estándares y no existe documentación al respecto. Esta situación dificulta la
solución de problemas en la red.

Se sugiere la estandarización del cableado de red, siguiendo para ello

las normas de cableado estructurado, con la finalidad de mitigar los riesgos
inherentes a la falta de estándares que signifiquen un aspecto que dificulte la
solución de algún problema relacionado con el mismo.

Pérdidas de datos por falla de respaldos. 4.4

Se evidenció un alto riesgo de que ocurra una pérdida de datos debido

a la falta de políticas de respaldo correctas. Lo cual puede significar que
todos los datos almacenados que utilicen los sistemas se pierdan, dejando
inoperativo completamente a los sistemas, pudiendo manifestarse en

37 

 
retrasos graves en los procesos de la institución e inclusive pérdidas
importantes a nivel económico.

Se sugiere realizar el respaldo del sistema en otra estructura física; de

manera que si la estructura en donde se alojan los servidores es afectada, la
data del sistema tenga un respaldo en una edificación segura.

Operatividad de los servidores en caso de fallas en el suministro eléctrico 4.5

Se identificó que los servidores sólo pueden mantener una autonomía

corta, ya que poseen unidades de respaldo de poder (UPS) pero no cuentan
con una planta eléctrica que garantice el funcionamiento por mayor tiempo.

Se recomienda realizar la adquisición e instalación de una planta

eléctrica que permita el funcionamiento continuo de la sala de servidores,
pese a la caída del suministro eléctrico, haciendo posible la interconexión de
las sedes del ministerio con la sede principal.

Realización de inspección o mantenimiento preventivo a los servidores. 4.7

Se verificó que no se realiza ningún mantenimiento preventivo a

ninguno de los servidores. Sin la realización de este tipo de mantenimiento
no existe manera de prevenir daños por un mal funcionamiento del hardware
o software.

Es recomendable diseñar un plan para realizar manteamiento

preventivo a los servidores de manera periódica, que permita resguardar y

38 

 
prevenir fallas en los equipos antes de que se produzca y evitar
contratiempos y caídas del sistema.

Cambios en caliente en caso de fallas en los discos duros de los 4.8

servidores.

Se observó que no se cuenta con ninguna medida que posibilite un

cambio en caliente para poner en funcionamiento el servidor en corto tiempo.
Si ocurriese un daño en el disco duro, se perderá tiempo valioso en la
instalación del nuevo disco.

Se sugiere la modernización del hardware de los servidores, para

contemplar la posibilidad de realizar cambios en caliente de los discos duros
en caso de ser necesario.

5.2.3.- Revisión de los Aspectos Relacionados con la Evaluación de

Infraestructura de la Red del Sistema.

Documentación adecuada de la infraestructura de red 5.1

Se verificó que no se cuenta con una documentación de la red, lo cual

trae como consecuencia un retraso en la solución de inconvenientes de la
misma.

Se recomienda conformar la documentación de la red, tomando en

cuenta la topología, la distancia entre nodos y computadores, etc. Teniendo a
la mano una documentación adecuada de la red, es posible localizar con
facilidad alguna falla en la misma, así mismo es posible planificar sin
mayores inconvenientes algún cambio en la estructura de la red.
39 

 
Estandarización del cableado de red de acuerdo a los estándares 5.2

Se constató que el sistema de cableado de la institución no cumple

completamente con el estándar. Esta situación también dificulta el
mantenimiento a la red.

Se recomienda estandarizar y documentar el cableado de la red de la

institución de acuerdo a lo establecido en los estándares, el cual establece
una serie de prácticas recomendadas para el diseño e instalación de
sistemas de cableado que soporten una amplia variedad de los servicios
existentes, y la posibilidad de soportar servicios futuros que sean diseñados
considerando los estándares de cableado.

Registro de modificaciones o cambios en la estructura de la red. 5.4

Se pudo apreciar que el departamento de informática de la institución,

no lleva registro alguno de las modificaciones o cambios en la red. Lo cual
significa que no será posible obtener información acerca de las fallas más
recurrentes, para poder realizar las modificaciones necesarias para evitarlas
o para disminuir su ocurrencia.

Se sugiere implementar una bitácora donde se registren los cambios o

modificaciones en la red, con la finalidad de poder rastrear implicaciones o
fallas derivadas de éstas que pueden comprometer el funcionamiento de la
misma.

40