UNIVERSIDAD PRIVADA TELESUP

“AUDITORIA DE SISTEMAS DE IT”

CURSO: SEGURIDAD DE LA INFORMACION Y AUDITORIA DE SISTEMAS

CICLO: IX

ALUMNO: BLAZ QUISPE, RENZO

DOCENTE: ING. WILFREDO GONZALES CHOMBA

DICIEMBRE 2018
1
Página
 INDICE

INTRODUCCION...............................................................................03

1.0.0 ANTECEDENTES.....................................................................04

1.1.0 VISION Y MISION………………………...................................04

2.0.0 OBJETIVOS……………………………….................................07

3.0.0 ALCANCE DEL PROYECTO………………………………….08

4.0.0 PRIMEROS PASOS DE LA AUDITORIA INFORMATICA...09

4.1.0 INVESTIGACION PRELIMINAR………………………………09

4.2.0 EVALUACION DEL HARDWARE…….……………………….11

5.0.0 EVALUACION DEL PERSONAL……………………………...17

6.0.0 CONTROL DE ACCESO A LOS DATOS………………….…20

7.0.0 MANTENIMIENTO………………………………………………22

8.0.0 RECOMENDACIONES…………………………………………23

CONCLUCIONES……………………………………………………..24
2
Página
 INTRODUCCIÓN

Auditar un sistema no siempre es sinónimo de buscar lo malo de cada

sistema sino una oportunidad de mejorar y optimizar el sistema de una
empresa para así poder alcanzar las metas propuestas , es evaluar el
hardware y el sistema de la empresa para poder tener un soporte para
cumplir con la misión y visión trazadas , las recomendaciones
obtenidas después del análisis de la auditoria permitirán a la empresa
corregir las deficiencias encontradas, conocer los puntos en los que es
fuerte y reforzar las debilidades, el área de IT tiene la tarea de
mantener un sistema que permita a la alta directiva llevar a cabo las
tareas necesarias con la mayor eficiencia posible reduciendo costos y
manteniendo la calidad de los servicios brindados, así una auditoria de
sistemas será una perspectiva que permitirá a la alta directiva tomar
un camino que lleve a optimizar y mejorar sus sistemas de
información.

3
Página
 AUDITORIA DE SISTEMAS IT EMPRESA SCCP SERVICIOS CALL
CENTER DEL PERU

1.0.0 ANTECEDENTES

Las tecnologías IT son las herramientas principales para que la gerencia pueda
tomar las decisiones correctas para alcanzar sus metas, dependiendo de la
empresa estas tecnologías pueden estar en mayor o menor porcentaje de la
infraestructura de las mismas, las empresas orientadas a servicios , como el caso
de la empresa que va ser auditada , la empresa a ser auditada será SCCP
SERVICIOS CALL CENTER DEL PERÚ, una empresa del rubro de los call center
dedicada a dar atención al cliente a otra empresa (en este caso Entel Chile) el
área de IT tiene un papel crítico en éxito de la empresa pues la misma depende
del buen funcionamiento de los sistemas IT pues el tráfico de llamadas e
información se realiza a través de una VPN directa a chile y de telefonía IP.

1.1.0 VISION Y MISION

Visión:

Ser el mejor Contact Center en innovación, productividad y calidad de servicio

para nuestros clientes y usuarios finales.

Misión:

Brindar una solución rápida y precisa a nuestros usuarios finales, logrando un alto
4

nivel de satisfacción de nuestros clientes.

Página
La finalidad de la auditoría no solo será la detección de errores o debilidades en el
sistema, sino también optimizar y buscar la mejor eficacia dando sugerencias para
mejorar los procesos de la empresa a auditar y ser el soporte que ayude a la
empresa a lograr su visión y misión.

En la presente auditoría se a conseguido un permiso parcial de la empresa pues el

encargado de sistemas IT Carlos Dávalos indica que las sé a firmado un contrato
que incluye cláusulas que impide a externos revisar áreas críticas de la empresa
sin la autorización expresa de un directivo de Entel Chile, la auditoria se realizara
enfocada a una de las 7 áreas que tiene el servicio de call center a Entel Chile , en
este caso se auditara el área de MESAS TÉCNICAS ENTEL, esta área se dedica
exclusivamente a dar soporte técnico para clientes que tienen dificultades de
navegación en sus equipos modem usb, Router y Smartphone, todo este soporte
se realiza por medio de telefonía IP y la búsqueda de la información del cliente no
se realiza directamente en un pc sino en un cliente liviano que se encarga de
mostrar un escritorio con las aplicaciones más básicas orientadas a la gestión del
ejecutivo de atención técnica,

Se revisara y evaluara los controles de gestión, procedimientos, equipos

informáticos, el software que tan eficiente es su utilización, la seguridad para
poder detectar fallas y sugerir correcciones o mejoras o la compra de nuevos
equipos, para así aumentar la eficiencia del sistema de IT

5
Página
AUDITORIA EN SISTEMAS IT

INSTITUCIÓN : SCCP SERVICIOS CALL CENTER DEL

PERU AUDITORIA No.0001

FECHA DE FORMULACIÓN : 15 de diciembre 2017

NÚMERO DE
DESCRIPCIÓN PERIODO DIAS DIAS
PERSONAL
: ACTIVIDAD ESTIMADO
AUDITO: 01
: HAB HOM.
soporte técnico INICIO TERMINO
Call Center PARTICIPANTE EST. EST.
vía telefónica : 13 15/12/201 20/12/201 5 5
7 7

6
Página
2.0.0 OBJETIVOS

A medida que pasa el tiempo los equipos de una empresa se deterioran , o

requieren actualizar el software para mantener la seguridad en sus sistemas, esta
información es crítica para la empresa pues de lo contrario no podrá alcanzar su
visión/misión o le será más difícil de lograr, en el caso de la empresa auditada el
correcto funcionamiento y conexión a red de sus equipos es lo permite dar el
servicio que es la base de su negocio , este debe estar en perfectas condiciones
porque una caída del servicio acarreará multas por incumplimiento de contrato

Los objetivos de la auditoria son:

-Verificar el estado físico del hardware su antigüedad, si está en buen estado

o necesita ser reemplazado o actualizado

-Determinar si la conexión a red tiene la velocidad adecuada que permita

ejecutar el cliente de escritorio virtual con la velocidad adecuada de
conexión.

7
Página
3.0.0 ALCANCE DEL PROYECTO:

El área que va a ser auditada es la plataforma encargada de dar soporte técnico a

problemas de navegación través de celular y modem usb , esta atención se realiza
a través telefonía IP que se enlaza con un servidor en chile mediante una vpn de
alta velocidad

La plataforma de mesas técnicas tiene 12 estaciones de las cuales 11 son para

ejecutivos y una para supervisor, adicionalmente un encargado de IT que se
encarga de dar mantenimiento a las estaciones.

Se evaluara los siguientes Ítems

Encargado de soporte IT

 Planes de trabajo
 Controles de datos
 Estándares

Evaluación de los Sistemas

 Sistemas en operación (flujo de información, procedimientos,

documentación, , organización de archivos, estándares de programación,
controles)
 Seguridad física y lógica de los sistemas, su confidencialidad y respaldos
 Evaluación de los equipos
 Seguridad física y lógica
8
Página
4.0.0 PRIMEROS PASOS DE LA AUDITORÍA EN INFORMÁTICA

Previamente vamos a analizar el área y la dimensión del área que se va a auditar

en este caso el área de MESAS TÉCNICAS es una plataforma de 12 estaciones,
11 para ejecutivos y una para el supervisor.

 Se evaluará los procedimientos en plataforma.

 se evaluara los equipos de cómputo.

4.1.0 INVESTIGACIÓN PRELIMINAR

Se observa que el área de MESAS TÉCNICAS tiene una situación estable dentro
de la empresa, se obtuvo información de area de recursos humanos que indica
que la empresa ENTEL CHILE ha firmado recientemente un contrato de 12 meses
adicionales en el mes de noviembre, a pesar de ello no se tiene planeado la
adquisición de nuevos equipos, el área en general se observa limpia y ordenada
pero los equipos informáticos tienen una antigüedad promedio de 3 años.

Se solicitó los estándares aplicados a la plataforma de IT , pero el encargado de It

indico que no los tenía disponibles dicha documentación está restringida, y debe
ser solicitada al jefe de IT, al intentar contactar con jefe de IT este denegó la
información.
9
Página
INVESTIGACIÓN PRELIMINAR DE AREA DE MESAS TÉCNICAS

planes
políticas para
PC Cliente fecha de Planes de de renovar
Posiciones Torre Liviano instalación actualización Ubicación operación equipos

jr camaná
12 1 11 nov no 678 si no

I3
2GbRam Sun módulos
HDD250 Ray 3 todos no múltiples si no

Por temas de seguridad la mayor parte de la documentación está restringida no

permitiéndonos el acceso

Sistemas instalados

servidor Sun programas de

Desktop Sun Ray 3 Ray ofimática app de gestión

Window 7 Aplicación de window aplicaciones de

Pro cliente liviano server 2003 open source call center

Por temas de confidencialidad la mayor parte de la documentación de las app de

gestión usada en el cliente liviano y en la desktop están restringidas, se requiere
autorización expresa de directiva de ENTEL CHILE.
10
Página
De momento no se planea instalar nuevo sistema operativo en desktop por parte
de SCCP, no se planea cambiar aplicaciones de gestión por ser aplicaciones
críticas, adicionalmente estas aplicaciones son proporcionadas por ENTE CHILE y
están altamente integradas en el sistema de Entel Chile por lo que un cambio de
las mismas generaría cambio en otras áreas críticas del sistema siendo inviable el
cambio sin un estudio más amplio y análisis de viabilidad de posibles sistemas que
aspiren a reemplazar a los anteriores.

4.2.0 EVALUACION DEL HARDWARE:

 SUN RAY 3 (descontinuado solo disponible soporte por parte de Oracle)

Estos dispositivos de bajo consumo permiten iniciar sesión con escritorios
virtuales desde servidores Sun ray , la principal ventaja y razón de uso es
que no requieren sistema operativo o ser administrados localmente ,
permiten bloquear o desbloquear puertos o la velocidad desde el mismo
servidor Sun Ray, usan tarjeta inteligente para la habilitación, su estado
actual presenta una antigüedad de 3 años , 3 de estos dispositivos
presentan fallas , no hay equipos de repuesto disponibles por lo cual su uso
es forzoso .

11
Página
 Servidor Sun ray: no se pudo tener acceso al dispositivo, se encuentra en
una zona donde solo puede acceder personal autorizado pues en ella hay
equipo crítico para mantener el servicio operativo , mediante una estación
cliente liviano se pudo realizar test de velocidad mostrando como resultado
los siguientes

Ping: 3ms

Download Speed: 324.85Mbps

Upload Speed: 514.00Mbps

12
Página
 Desktop : equipo HP core I3 2Gb Ram HD250 video integrado , sólo para
uso de reportaría y manejo de archivos Excel para estadística no tiene
acceso a internet solo a una intranet., el equipo fue instalado hace 3 años al
apresurarse la plataforma , no presenta fallas reportadas, ultimo
mantenimiento realizado hace 3 meses, sistema operativo muestra la última
actualización el 18 de diciembre del 2017.
13
Página
Estación de uso exclusivo del supervisor..

 Periféricos: Monitores, Headset, mouse, teclados, estado ok cambiados en

su mayoría en mayo del 2017 al ser periféricos con interface usb su cambio
s=es sencillo y son periféricos fáciles de adquirir y reemplazar.

14

Estación equipada con Sun Ray 3 con sesión de cliente liviano escritorio remoto.
Página
  Cableado: Estado de cables de red es excelente bien canalizado, y cables
ordenados , fueron reemplazados recientemente, asimismo las tomas de
energía eléctrica se encuentran en óptimas condiciones con el aislamiento
adecuado y conexión a tierra

Detalle de cableado de cada estación

De acuerdo a las entrevistas los usuarios indican que el sistema es lento para ser
un cliente liviano, adicionalmente reportan que sus sesiones se congelan y
tiene que reiniciar todo el cliente liviano con la consiguiente pérdida de
información.
15
Página
Reportan que este inconveniente sucede a menudo en determinadas posiciones
siendo las siguientes:

Supervisor Cliente1 Cliente2 Cliente3 Cliente4 Cliente 5

Extintor

Pasillo Detector humo

Cliente 6 Cliente 7 Cliente8 Cliente9 Cliente 10 Cliente 11

Al realizar prueba cruzada con fecha 16 de diciembre 2017 con otro equipo Sun
Ray 3 las posiciones no experimentaron fallas se determina que las fallas se
deben a avería física de equipo Sun Ray 3 se recomienda realizar el cambio de los
mismos pero a la fecha y por motivos de disponibilidad técnica , aun no se cuenta
con los equipos de repuesto por lo que las posiciones al mantener los equipos con
averías siguen experimentando los problemas de cuelgues a razón de 1 diario con
la consiguiente pérdida de información de registro de la llamada.

16
Página

Equipo Sun Ray 3

5.0.0 EVALUACIÓN DEL PERSONAL

Se realiza una evaluación del personal asignado al área de MESAS TECNICAS

con el fin de establecer un perfil de los usuarios, si tienen capacitación adecuada
de acuerdo al puesto que ocupan en la empresa.

Nombre y capacitación
Apellido experiencia sobre normas de
Cargo Instrucción en años seguridad

JUAN JOSE ORE Supervisor Tecnico

informatica 3 si

GIL LLANOS Ejecutivo Universitaria

FULVIO MARIO en curso 3 si

CASTRO Ejecutivo
PALOMINO Técnico
MARIA ISABEL informática 2 si

BRAÑES Ejecutivo
ZENTENO JULIO Técnico
HARRY informática 3 si

CARBAJAL RUIZ Ejecutivo

CARLOS Universitaria
ALBERTO en curso 3 si
17

CARLOS JOSE Tecnico IT CCNA Técnico

Página

DAVALOS informática 3 si
SUYON JACAY Ejecutivo Técnico
LIZANDRO DAVID informática 3 si

CHAVESTA Ejecutivo Técnico

PISFIL JACINTO informática 3 si

LOLI ANICETO Ejecutivo Técnico

JOSELIN informática 2 si

ACUÑA MORENO Ejecutivo Técnico

FELIX FRANCO informática 3 si

TAPULLIMA Ejecutivo
PEZO CARLOS Técnico
MARTIN informática 3 si

CABALLERO Ejecutivo
PONTE JOSEPH Universitaria
JORDAN en curso 3 si

GARCIA Ejecutivo
PUTPAÑA Técnico
NICEFRA informática 3 si

Se entrevistó a los usuarios (ejecutivos que atienden las llamadas), se les realizo
la siguiente pregunta: qué dificultades han notado en el día a día al utilizar el
actual sistema basado en Sun Ray 3? manifestaron los siguientes puntos que
deberían mejorarse en el sistema de cliente escritorio remoto:

 Lentitud al iniciar sesión

18
Página
  En ocasiones las sesiones de cliente escritorio remoto se cuelgan
provocando pérdida de la información y forzando a cortar la llamada con el
cliente para poder reiniciar el Sun Ray 3
 Lentitud al abrir aplicaciones de gestión y aplicaciones de soporte
 Es común tener llamadas de los clientes se escuchan entrecortadas
 Llamadas con volumen bajo
 3 monitores muestran imagen demasiado ancha, debido a que la resolución
de Sun Ray 3 no corresponde a la soportada por los mismo
 Cables desordenados
 adicionalmente informan que no hay un registro escrito o en línea para
registrar las fallas del sistema, estos se informan directamente al encargado
de IT el cual solo reinicia los equipos.

Imagen distorsionada porque la resolución del Sun Ray 3 no es compatible con la

19

del monitor.
Página
6.0.0 CONTROL DE ACCESO A LOS DATOS:

Al ser un call center necesita el acceso a una base de datos con la información de
los clientes que se comunican para solicitar asistencia técnica: la dinámica de la
atención es la siguiente:

-Ingresa una llamada el ejecutivo solicita número de la línea que requiere atención

El ejecutivo ingresa el número a una aplicación con el fin de ver a nombre de

quien está la línea consultada, el tipo de línea que tiene.

-Una vez consultado los datos en la aplicación se informa a cliente la información

para resolver la dificultad.

El nombre de la aplicación es SGA , el acceso a esta aplicación se realiza a través

de un usuario y contraseña personal, responsabilidad de cada ejecutivo, la
contraseña requiere mínimo 8 caracteres , al menos un número y un símbolo.,
actualmente ENTEL CHILE cuenta con 8.9 millones de clientes , toda la
información de los suscriptores se entra en esta aplicación por lo que es de
importancia crítica para la gestión de los ejecutivos , para el uso seguro de las
aplicaciones se implementó las siguientes medidas de seguridad:

 No hay forma de acceder a esta aplicación desde la internet , esta

aplicación sólo es accesible desde los Sun Ray 3 conectados al Servidor
Sun , el mismo se conecta directamente a chile mediante una VPN de alta
velocidad , por tanto no hay acceso de los ejecutivos a otras páginas que
no sean del trabajo,
 Se desactivo las descargas de archivos adjuntos, no hay peligro de
descarga de malware porque las descargas de todo tipo están bloqueadas,
20

el uso de correo se hace a través de un correo corporativo interno, este solo

Página

permite enviar información entre correos de la empresa, no permite el envío

 de correo a otros servidores como por ejemplo Gmail o Outlook, al no haber
una conexión libre a internet esto no es posible,
 La consola CMD también se ha deshabilitado siendo imposible para los
usuarios sin tarjeta inteligente acceder a ella, como medida de seguridad
 Se a configurado los puertos usb de los Sun Ray 3 para reconozcan
solamente 2 periféricos , mouse y teclado , desactivando el soporte para
memorias usb o discos duro externo , con esta configuración el Sun Ray 3
no los reconoce solo les da energía,
 Ninguna de estas configuraciones puede cambiarse por los usuarios , solo
es posible ser cambiada a través de tarjetas inteligentes de uso exclusivo
del jefe de IT

Estas configuraciones del Sun Ray 3 permiten mantener la seguridad de los datos
de los clientes, haciendo muy seguras las operaciones impidiendo cualquier
acceso no autorizado a la información, y evitando cualquier tipo de robo de
información protegiendo el sistema contra todo tipo de amenaza externa al no
haber acceso a internet.

Con respecto a la Desktop de uso exclusivo del supervisor, cuenta con las
siguientes medidas de seguridad:

 Puertos Usb deshabilitados

 Disco duro cifrado
 no tiene acceso a internet solo a intranet de la empresa
 todo envío de información se realiza a través de correo interno de la
empresa con dominio propio siendo fácilmente auditable, no es posible
enviar correo a cuentas públicas o de otras empresas
 BIOS de desktop protegido con contraseña para evitar modificaciones de
21

las medidas de seguridad

Página
7.0.0 MANTENIMIENTO

AL entrevistar al jefe de IT sobre el plan de mantenimiento o los periodos del

mismo indico que por motivos de presupuesto no hay un plan de mantenimiento
establecido, el contrato con la empresa se renueva anualmente siendo el periodo
octubre 2017 a setiembre 2018 el último periodo del contrato con la empresa
ENTEL CHILE ya habiendo acordado no renovar por otro año la relación con la
empresa SERVICIOS CALL CENTER DEL PERÚ por lo que:

No hay planes de renovación de equipos o reemplazo de los mismos.

Los periféricos como mouse teclados y headset se reemplazan periódicamente de

acuerdo a cuando fallen no tiene un plan trazada ni un periodo establecido

No hay un formato establecido para reportar las fallas toda solicitud de reparación
es personalmente sin un registro escrito, no existe un libro de control de almacén
de salida de repuestos.

Los equipos Sun Ray 3 están descontinuados pero pese a ello requieren un bajo
mantenimiento por lo cual el mantenimiento se limita a reemplazar periféricos en
caso de daño

La desktop de uso exclusivo del supervisor resulta en un equipo robusto que no ha

presentado fallas en el periodo de servicio se realiza mantenimiento de semestral
básico y actualización de sistema operativo es cada 2 meses para lo cual es
llevada a la oficina de IT , no cuenta con antivirus más allá del Windows Defender.
22
Página
8.0.0 RECOMENDACIONES:

En base a lo tratado anteriormente se realiza las siguientes recomendaciones para

que se la empresa SERVICIOS CALL CENTER DEL PERU pueda cumplir su
visión y misión y alcance las metas trazadas por la directiva:

 Implementar y desarrollar PETI en el área de MESAS TÉCNICAS, de este

modo habrá un plan estratégico para que la empresa pueda alcanzar su
misión y visión.
 Si bien es cierto por temas de presupuesto y contrato no hay planes de
reemplazar hardware actualmente en servicio se recomienda programar
mantenimientos más frecuentes de los equipos actualmente en servicio y
reemplazar las unidades Sun Ray 3 que presentar fallas periódicas
demostradas
 No confiar demasiado en la configuración actual que restringe el acceso a
internet y los puertos usb, instalar antivirus
 Aunque aún está funcionando se recomienda cambiar el Windows server
2003 de su servidor a Red Hat Enterprise Linux Advanced Server para
mejorar la seguridad y estabilidad de las sesiones de los usuarios , de esta
manera lograra evitar cuelgues en las sesiones
 Documentar el mantenimiento de los equipos pues no hay un registro
detallado de lso mismos se realiza empíricamente 23
Página
 CONCLUCIONES

Se concluye la empresa auditada no tiene un control estándar para el

mantenimiento de sus equipos pese a que estos son parte vital del
servicio que brinda , el área de IT no tiene formatos para reportar
fallas, la documentación de sistemas está restringida a un jefe se
sistemas , en general se maneja de manera empírica, el servicio se
mantiene funcionando por la confiabilidad de su hardware , y el
conocimiento de los usuarios todos informáticos que saben cómo
resolver de manera rápida temas relacionados con software, sin
embargo la falta de planes para reemplazar equipos que ya están
descontinuados generara en corto plazo que ocurra una falla critica
que limitara el servicio de manera parcial o total acarreando multas a
la empresa que lo brinda por incumplimiento de contrato , se
recomienda a la empresa implementar PETI y estandarizar los
procesos de IT , de esta forma el área de IT podrá apoyar de forma
más eficiente a la empresa para así poder evitar fallas de sistema y
poder alcanzar las metas que la empresa se a propuesto

24
Página