Modelo

CONSULTORÍA IT
Revisión de Infraestructura
CAPREMINFRA
Agosto, 2017
Hoja de Firmas y Revisión
Registro de Cambios
Fecha Autor Versión Referencia de Cambios

30-08-2017 Abel García 1.0 Redacción documentación
13-09-2017 Abel García 2.0 Versionamiento
Revisiones
Versión
Nombre Aprobada Cargo Firma Fecha
Abel García Consultor
Alfredo Chacón Consultor
Dulce León
José Narvaez
Propiedades de Documento
Punto Detalles
Título del Documento Revisión de Infraestructura CAPREMINFRA
Autor Abel García
Última actualización 14-09-2017
2
INDICE
CAPREMINFRA ....................................................................................................................................... 1
Registro de Cambios ...................................................................................................................................................... 2
Revisiones ........................................................................................................................................................................ 2
Propiedades de Documento .......................................................................................................................................... 2
INTRODUCCIÓN...................................................................................................................................... 6
SERVIDOR PRINCIPAL ......................................................................................................................... 7
FIREWALL ................................................................................................................................................ 8
EQUIPOS DE TRABAJO ....................................................................................................................... 9
INFRAESTRUCTURA FÍSICA ............................................................................................................. 10
AI3.2 PROTECCIÓN Y DISPONIBILIDAD DEL RECURSO DE INFRAESTRUCTURA. ......... 11
AI3.3 MANTENIMIENTO DE LA INFRAESTRUCTURA. ............................................................... 11
DS3.2 CAPACIDAD Y DESEMPEÑO ACTUAL. ............................................................................. 11
DS3.4 DISPONIBILIDAD DE RECURSOS DE TI. ........................................................................... 11
DS3.5 MONITOREO Y REPORTE. .................................................................................................... 11
DS4.1 MARCO DE TRABAJO DE CONTINUIDAD DE TI. ............................................................ 11
3
DS4.2 PLANES DE CONTINUIDAD DE TI. ...................................................................................... 12
DS4.3 RECURSOS CRÍTICOS DE TI. ............................................................................................... 12
DS4.4 MANTENIMIENTO DEL PLAN DE CONTINUIDAD DE TI. ............................................... 12
DS4.8 RECUPERACIÓN Y REANUDACIÓN DE LOS SERVICIOS DE TI. ................................ 12
DS4.9 ALMACENAMIENTO DE RESPALDOS FUERA DE LAS INSTALACIONES. .............. 12
DS5.1 ADMINISTRACIÓN DE LA SEGURIDAD DE TI. ................................................................. 12
DS5.2 PLAN DE SEGURIDAD DE TI. ............................................................................................... 12
DS5.4 ADMINISTRACIÓN DE CUENTAS DEL USUARIO. .......................................................... 12
DS5.5 PRUEBAS, VIGILANCIA Y MONITOREO DE LA SEGURIDAD. ..................................... 12
DS5.10 SEGURIDAD DE LA RED. .................................................................................................... 13
DS11.5 RESPALDO Y RESTAURACIÓN. ........................................................................................ 13
DS11.6 REQUERIMIENTOS DE SEGURIDAD PARA LA ADMINISTRACIÓN DE .................. 14
DATOS..................................................................................................................................................... 14
DS12.3 ACCESO FÍSICO..................................................................................................................... 14
DS12.4 PROTECCIÓN CONTRA FACTORES AMBIENTALES. ................................................. 14
DS12.5 ADMINISTRACIÓN DE INSTALACIONES FÍSICAS. ....................................................... 14
DS13.2 PROGRAMACIÓN DE TAREAS. ......................................................................................... 14
DS13.3 MONITOREO DE LA INFRAESTRUCTURA DE TI. ......................................................... 14
DS13.5 MANTENIMIENTO PREVENTIVO DEL HARDWARE. .................................................... 14
ME1.1 ENFOQUE DEL MONITOREO. .............................................................................................. 14
4
ME1.2 DEFINICIÓN Y RECOLECCIÓN DE DATOS DE MONITOREO. ..................................... 15
ME1.3 MÉTODO DE MONITOREO. ................................................................................................... 15
ME1.5 REPORTES AL CONSEJO DIRECTIVO Y A EJECUTIVOS. ........................................... 15
LICENCIAMIENTO. ............................................................................................................................... 15
VERSIONAMIENTO .............................................................................................................................. 15
CORRIDA DE CONFIGURACIÓN: ..................................................................................................... 16
DIAGRAMA LÓGICO: .......................................................................................................................... 39
CUESTIONARIO DE CHEQUEO ........................................................................................................ 40
ALCANCE ASSESSMENT INFRAESTRUCTURA TECNOLÓGICA CAPREMINFRA ............ 52
MODELO COBIT.................................................................................................................................... 52
5
INTRODUCCIÓN
El siguiente informe refleja el resultado de las actividades ejecutadas en la plataforma tecnológica,
Servidor y Estaciones de trabajo de CAPREMINFRA.
Todas estas actividades se basaron en los estándares generalmente aceptados para la toma de
información, ejecución de pruebas de seguridad y mejores prácticas para el área de Infraestructura
TI.
Se utilizó software no invasivo para ejecutar las revisiones correspondientes, así como
herramientas distribuidas y recomendadas por Microsoft para la revisión de infraestructuras TI.
Inicialmente se realizó un chequeo físico de la infraestructura de red, cableado, cuarto de datos y
servidores, para verificar el estado físico y seguridad física de los equipos y periféricos,
licenciamiento, seguridad lógica, políticas, errores y advertencias, para posteriormente realizar las
verificaciones por software, recolección de datos y proceder a la recomendación de las mejores
prácticas para una infraestructura con características similares.
Igualmente, se realizó la revisión de una muestra suficiente de estaciones de trabajo de forma
remota, a fin verificar su configuración, el estado del licenciamiento, seguridad, y aplicación de las
mejores prácticas recomendadas.
Se anexan recomendaciones a fin de solucionar los puntos de observación destacados en este
informe.
6
SERVIDOR PRINCIPAL
Imagen 1 Información de Servidor de Active Directory
▪ Marca: DEll
▪ Modelo: Power Edge 1900
▪ Procesador XEON E5345 8 CPu
▪ Memoria RAM: 4 Gb
▪ Sistema Operativo: Windows Server 2003
Infraestructura de servicios de Red, Validación de diseño del Directorio Activo,

infraestructura Lógica de conexiones.
o Directorio Activo.
o Servicio DHCP.
o Servicio DNS.
o Arbol de Dominio.
o Integridad de Dominio.
ROLES
o Instalación de Sistema Operativo Windows server 2003.
o Reconfiguración de Servicios de Dominio.
o Creación de usuarios.
o Aplicación de políticas de seguridad.
7
Firewall
Imagen 2 Firewall
▪ Marca: ZyXEL
▪ Modelo: USG 300
▪ Antivirus
▪ DNS
▪ Control de Contenidos.
o ACTUALMENTE SIN LICENCIAS.
8
EQUIPOS DE TRABAJO
Imagen 3 Unidades Administrativas
Infraestructura física y lógica estaciones de trabajo.

o Estaciones de Trabajo.
▪ Marca: Varias
▪ Modelo: Varias
▪ Sistema Operativo: Varios
▪ Sin nomenclatura definida (Nombre del usuario)
9
INFRAESTRUCTURA FÍSICA
CAPREMINFRA posee en la actualidad:
• 4 Servidores Windows Server 3
• 1 Central de TELEFONÍA para 200 Teléfonos Panasonic Modelo KXTDA
• Estaciones de Trabajo (102 declaradas en el Active Directory) Varias marcas y modelos
• SwTIch de Red (8) modelos TpLink (No administrables)
• Cableado categoría 6
• Interconnect CANTV ABA –WIFI
• Impresoras – Multifuncional Lan
Actualmente su infraestructura de red se encuentra basada en tecnología Microsoft Windows 2003

con un esquema de administración de dominio y todos los servicios en un solo servidor físico.
Las estaciones de trabajo utilizan Windows 7 (varias versiones) conectadas entre sí por una red
LAN vía TCP/IP con direcciones IP Dinámicas.
Su conexión hacia Internet es administrada a través de un enlace proporcionado por CANTV.
Posee routers inalámbricos (WIFI) en todos los pisos configurados para captar conexiones
inalámbricas y comunicar directamente a los dispositivos bajo contraseña, los mismos se conectan
directamente a la red y no son administrados de forma centralizada ni segmentados por Vlan.
10
AI3.2 Protección y Disponibilidad del Recurso de Infraestructura.
• El Datacenter se encuentra ubicado en el piso asignado a TI en un espacio aparte asignado
para este fin, en el mismo se encuentran el core principal de servidores e
Interconectividad. El mismo no está climatizado ni posee sensores de temperatura.
Tampoco se observa sistema de incendios especial para datacenter ni sistema de seguridad
que garantice la auditoría de entrada y salida.
• Se observa el espacio limpio y ordenado.
• No se observa identificación en todos los equipos.
• Se observan periféricos como Teclado y Mouse conectados a los servidores que permiten
el acceso local a los mismos.
AI3.3 Mantenimiento de la infraestructura.

• No se observan tareas periódicas de mantenimiento preventivo ni plan de Infraestructura
que lo contemple.
• Se realiza mantenimiento de los objetos “usuarios” cuando se requiere de incorporación o
desincorporación de las cuentas.
• A nivel de Cableado se observa necesidad de IDENTIFICACIÓN puntos de red y organización
de PatchCord en todos los pisos.
DS3.2 Capacidad y Desempeño Actual.

• No se observan desbordamiento de capacidad física a nivel de procesamiento en el servidor
de Infraestructura.
• Se observa necesidad de incorporación de una plataforma para almacenamiento de datos
de sistemas y archivos compartidos de usuarios.
DS3.4 Disponibilidad de Recursos de TI.

• No existe sistema de monitoreo y control que permita verificar el Up Time de disponibilidad
de los sistemas.
DS3.5 Monitoreo y Reporte.

• No está implementado un sistema de monitoreo de los sistemas y procesos críticos
DS4.1 Marco de Trabajo de Continuidad de TI.

• No está implementado.
11
DS4.2 Planes de Continuidad de TI.
DS4.3 Recursos Críticos de TI.

• No Identificados
DS4.4 Mantenimiento del Plan de Continuidad de TI.

DS4.8 Recuperación y Reanudación de los Servicios de TI.

• No Identificados
DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones.

DS5.1 Administración de la Seguridad de TI.

• La seguridad se implementa desde cada entorno por separado:
o Redes
o Sistemas
o Correo
DS5.2 Plan de Seguridad de TI.

DS5.4 Administración de Cuentas del Usuario.

• Cada uno de los entornos maneja un usuario y password los cuales son administrados por
separado.
DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad.

12
DS5.10 Seguridad de la Red.
• Se detectó vulnerabilidad y brecha de seguridad por dispositivos Inalámbricos (routers wifi)
conectados directamente a la red que no poseen estándares de seguridad implementados
ni administración centralizada. Los mismos pueden ser objeto de ataques y penetración
desde el exterior del edificio por medio de un dispositivo inalámbrico.
• Se detectaron 28 dispositivos con sistema operativo ANDROID (Telefonos o Tablet) dentro
de la red sin ningun tipo de seguridad. Estos dispositivos pueden poner en riesgo la
seguridad de la infraestructura.
Imagen 4 Servidor DHCP (Direcciones de red)
DS11.5 Respaldo y Restauración.
• Actualmente se realiza el respaldo por medio de un software sin licencia, el mismo no se

realiza de forma automática, periódica ni aplicando una metodología estandar para
respaldos.
• No se posee respaldo de los objetos del Directorio Activo:
o Usuarios.
o Equipos.
o Dominios.
o Unidad Organizativa.
13
DS11.6 Requerimientos de Seguridad para la Administración de
Datos.
• No se posee una infraestructura eficiente para el resguardo de los datos de usuario, los
datos se guardan y comparten en carpetas compartidas.
DS12.3 Acceso Físico.

• No se cuenta con la suficiente seguridad en el datacenter por lo que es muy fácil el acceso
a los servidores.
• No se cuenta con un registro de entradas y salidas del datacenter.
• No existen dispositivos para grabación de eventos dentro del datacenter.
DS12.4 Protección Contra Factores Ambientales.

• El datacenter no cuenta con sensores de temperatura y humedad que puedan alertar de
forma temprana un inminente fallo y de esta forma garantizar su funcionamiento.
DS12.5 Administración de Instalaciones Físicas.

• El datacenter y los racks de pisos para switches se encuentran bajo llave resguardadas por
informática.
• Los Patch Panel de pisos no se encuentran identificados.
• Los puntos en los faceplate de las estaciones de trabajo no se encuentran identificados.
DS13.2 Programación de Tareas.

DS13.3 Monitoreo de la Infraestructura de TI.

• Se evidenció que se encuentra en evaluación la instalación de una herramienta Open
Source para evaluar el monitoreo de la plataforma.
DS13.5 Mantenimiento Preventivo del Hardware.

ME1.1 Enfoque del Monitoreo.

14
ME1.2 Definición y Recolección de Datos de Monitoreo.
ME1.3 Método de Monitoreo.

ME1.5 Reportes al Consejo Directivo y a Ejecutivos.

• Por definir.
Licenciamiento.
• Los servidores principales no tienen licencia original.
• Las estaciones de trabajo no tienen licencia original.
• La licencia de antivirus no se encuentra activa,
Versionamiento
• Las versiones de los sistemas operativos de servidores se encuentran fuera de soporte por
el fabricante.
15
Corrida de configuración:
Domain Controller Diagnosis
Performing initial setup:

Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site\CAPREMINFRA

Starting test: Connectivity
The host 440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net could
not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
couldn't be resolved, the server name
(capreminfra.cprem.capreminfra.net) resolved to the IP address
(192.168.32.20) and was pingable. Check that the IP address is
registered correctly with the DNS server.

......................... CAPREMINFRA failed test Connectivity
Doing primary tests
Running partition tests on: TAPI3Directory
Running partition tests on: ForestDnsZones
Running partition tests on: DomainDnsZones
Running partition tests on: Schema
Running partition tests on: Configuration
Running partition tests on: cprem
Running enterprise tests on: cprem.capreminfra.net
16


Doing primary tests

17


Doing primary tests

Starting test: CrossRefValidation
For the partition
(DC=TAPI3Directory, DC=cprem, DC=capreminfra, DC=net) we encountered
the following error retrieving the cross-ref's
(CN=e231ed8f-93fe-4436-9665-1615357acc20,
CN=Partitions,CN=Configuration,DC=cprem,DC=capreminfra,DC=net)
information:
LDAP Error 0x3a (58).
......................... TAPI3Directory failed test CrossRefValidation

For the partition
(DC=ForestDnsZones,DC=cprem,DC=capreminfra,DC=net) we encountered
18
(CN=838d5f69-b392-46f5-bd5d-
833be40930bb,CN=Partitions,CN=Configuration,DC=cprem,DC=capreminfra,DC=net)
information:
......................... ForestDnsZones failed test CrossRefValidation

For the partition
(DC=DomainDnsZones,DC=cprem,DC=capreminfra,DC=net) we encountered
(CN=c94904fd-a5a7-4592-9d96-
b8fb5782aa78,CN=Partitions,CN=Configuration,DC=cprem,DC=capreminfra,DC=net)
information:
......................... DomainDnsZones failed test CrossRefValidation

For the partition
(CN=Schema,CN=Configuration,DC=cprem,DC=capreminfra,DC=net) we
encountered the following error retrieving the cross-ref's
(CN=Enterprise
Schema,CN=Partitions,CN=Configuration,DC=cprem,DC=capreminfra,DC=net)
information:
......................... Schema failed test CrossRefValidation

For the partition (CN=Configuration,DC=cprem,DC=capreminfra,DC=net)
we encountered the following error retrieving the cross-ref's
19
(CN=Enterprise
Configuration,CN=Partitions,CN=Configuration,DC=cprem,DC=capreminfra,DC=net)
information:
......................... Configuration failed test CrossRefValidation

For the partition (DC=cprem,DC=capreminfra,DC=net) we encountered
(CN=CPREM,CN=Partitions,CN=Configuration,DC=cprem,DC=capreminfra,DC=net)
information:
......................... cprem failed test CrossRefValidation



Doing primary tests
20



Doing primary tests
21



Doing primary tests
22



Doing primary tests
23

Starting test: FsmoCheck
......................... cprem.capreminfra.net passed test FsmoCheck



Doing primary tests
24

Starting test: Intersite
......................... cprem.capreminfra.net passed test Intersite



Doing primary tests
25



Doing primary tests
26



Doing primary tests
27



Doing primary tests
28


Doing primary tests

29

Doing primary tests


30

Doing primary tests

Starting test: RegisterInDNS
DNS configuration is sufficient to allow this domain controller to
dynamically register the domain controller Locator records in DNS.
DnsUpdateTest returned 9017. The A record test is thus inconclusive.
......................... capreminfra passed test RegisterInDNS

31


Doing primary tests

Skipping all tests, because server CAPREMINFRA is
not responding to directory service requests

32


Doing primary tests

33

Doing primary tests


34

Doing primary tests


35

Doing primary tests


36

Doing primary tests


37

Doing primary tests


38

Doing primary tests
Diagrama Lógico:
Imagen 5 Modelo de Infraestructura actual
39
Cuestionario de chequeo
ELABORADO POR: DULCE LEÓN / 06/09/2017
1. SEGURIDAD FÍSICA
o ¿Se encuentra el sistema en una superficie sólida y estable lo más cerca del suelo posible?
o De cuatro equipos solo uno
o ¿Está el sistema a salvo de la luz solar excesiva, viento, polvo, agua o temperaturas
extremas de frío / calor?
o Plenamente a salvo de luz solar excesiva, vientos y temperaturas extremas, polvo al
normal en una oficina y agua por la presencia de un A/A tipo Split.
o ¿Está el sistema situado en un sitio donde pueda tener un seguimiento, aislado y con poco
tráfico humano?
o Si
o ¿Está la sala / edificio en el que se encuentra el sistema securizado con una cerradura o
sistema de alarma para que sólo personal autorizado acceda? ¿Están las puertas cerradas con
llave y las alarmas activadas fuera de horario de oficina?
o No posee sistema de alarma, solo puerta con cerradura
o ¿Está el terminal del sistema bloqueado para evitar que alguien por casualidad pase por el
sistema y lo use (aunque sólo sea por unos segundos)? ¿Están todos los usuarios desconectados
del terminal?
o Si, bloqueado con contraseña en todo momento o ¿Están los interruptores del
terminal bloqueados o protegidos? o No
o ¿Existen dispositivos de entrada al sistema no asegurados / deshabilitados: unidades de
disco bloqueadas / deshabilitadas? ¿Están los puertos paralelos / serie / infrarrojo / USB /
SCSI asegurados o deshabilitados? ¿Existen discos duros conectados físicamente al sistema sin
bloquear? o No
2. SEGURIDAD DE REDES
o Red Física: ¿está la red segura sin peligro de conexión no autorizada? ¿Tiene sólo el
personal autorizado acceso a la red física a la que está conectado el sistema? ¿Conoce y
confía en todos los diversos puntos donde se gestiona la conexión de red física /
administrados por otra persona o entidad? o Si
o ¿Están los otros sistemas de la misma red física y electrónicamente securizados? Si
el sistema es razonablemente seguro, pero otro sistema de la red no lo es, la vulnerabilidad
de su sistema se aumenta en gran medida.
o Tráfico de red aprobado:
o ¿Conoce los nombres de los proveedores, la funcionalidad y la naturaleza del
software en su sistema que participa en cualquier actividad de la red? ¿Ha comprobado
que no existan parches de seguridad del software y recibe regularmente las actualizaciones
de seguridad / vulnerabilidades del software que utiliza en la red?
o No tenemos software con licencias por eso se evita la instalación de actualizaciones
o ¿Ha probado a fondo cualquier servicio que funcione en la red para asegurarse de que
por defecto no proporcionan a algún usuario no autorizado información de seguridad que
se podría utilizar para atacar el sistema?
o No
o ¿Se limitan las capacidades de los usuarios para que la información sensible sobre
el sistema no esté disponible en la red?
40
o Si (roles/grupos de trabajo)
o ¿Se permite la ejecución de la consola del sistema (o línea de comandos) sólo a
usuarios autorizados?
o No
o ¿Es consciente de los agujeros de seguridad creados por cierto software que
interactúa con otros? o Si o ¿Mantiene suficientes registros (logs) de la actividad de
red aprobada? o No
o ¿Conoce todo el software que puede interactuar con la red, los números de puerto
que utilizan, el tamaño y la ubicación de los ejecutables, etc.? o No o ¿Se cambian
las contraseñas de las cuentas de usuario de la red con regularidad?
o Solo por demanda o ¿Se cifran los datos confidenciales que se transfieren a través
de la red? o No o Tráfico de red no aprobado:
o ¿Suele buscar intentos repetidos de conexión no autorizados para conectarse a su
sistema a través de una red? ¿Mantiene registros suficientes de toda la actividad de red
relacionada con su sistema? o No
o ¿Suele comprobar si los programas no autorizados que se ejecutan en su sistema que
potencialmente podría permitir a un usuario conectarse a través de la red?
o No (solo bionómina)
o ¿Monitoriza la actividad de red en busca de tráfico excesivo o inusual que llega a su
sistema? o Si
3. SEGURIDAD DE USUARIO
o Existe un método estándar para la creación y mantenimiento de cuentas de usuario.
o Si
o Existen políticas aceptables de uso claras y concisas y comunicadas a los usuarios acerca
de su responsabilidad en la red y el uso de sus usuarios y contraseñas. o Si
o Existen límites de la cantidad de recursos que un usuario puede consumir, desde el número
de inicios de sesión a la cantidad de espacio en disco,
o No
o Mantiene registros detallados de la actividad del usuario, en concreto, la hora de conexión,
la duración y el lugar desde donde ha entrado en el. o No
4. SEGURIDAD DE DATOS
o Conoce el esquema de propiedad de los archivos que el sistema implementa: ¿está basado
en grupos, usuarios, roles o alguna combinación de estos? Conoce los diferentes niveles de
protección que se pueden aplicar a los archivos y directorios.
o Si
o Conoce la estructura general de los sistemas de archivo, cuánto se almacena dónde y quién
accede normalmente a qué partes de ellos.
o No
o Mantiene registros de actividad de disco (por ejemplo, cambios significativos en el espacio
de disco utilizado) y de los problemas de disco.
o No
o Los usuarios pueden tener acceso a más recursos de disco de lo previsto; controla
estableciendo cuotas de disco.
o No o Mantiene siempre copias de seguridad de los sistemas.
o Si o Como controla el acceso al hardware de BD.
41
o No (Organización)
o Como controla el acceso al software de BD o Con contraseñas
5. CONTRASEÑAS
o Requiere contraseñas únicas y complejas de todas las cuentas de usuario en el sistema. o
Si
o Tiene habilitado cuentas de “invitados” u tipo Anonymus o No
o Las contraseñas contienen al menos 8 caracteres y una combinación de letras y números,
mayúsculas y minúsculas.
o Si o Se obligar la rotación (distinta a las anteriores) y caducidad de contraseñas. o No
o Las contraseñas del sistema se cambian al menos una vez al año o Por demanda y a usuarios
específicos
7. ADMINISTRACIÓN DEL SISTEMA

o Realiza revisiones periódicas de la salud de sus servidores y dispositivos y guarda registro
de los mismos.
o Si, aunque no se almacenan registros o Ejecuta periódicamente algún chequeo de
seguridad en los servidores y red. o Si
o Mantiene campaña de concientización a usuarios con respecto a las buenas prácticas de
seguridad y lo que se espera de ellos para mantenerla. o Si
Las respuestas fueron por basadas en el método de encuesta cerrada, sin embargo, en algunos
aspectos pudiese extenderse una justificación.
LISTA DE CHEQUEO 1
Lista de chequeo CAPREMINFRA R/PT

Cuestionario de Control LC1
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Evaluación de Nuevo Hardware
Cuestionario
Pregunta SI NO N/A
¿Se cuenta con un inventario de todos los equipos que integran *
el centro de cómputo?
¿Con cuanta frecuencia se revisa el inventario? Plan de
mantenimiento /
reemplazos
¿Se posee de bitácoras de fallas detectadas en los equipos? *
Características de la bitácora (señale las opciones).
42
¿La bitácora es llenada por personal especializado? *
¿Señala fecha de detección de la falla? *
¿Señala fecha de corrección de la falla y revisión de que el *
equipo funcione correctamente? *
¿Se poseen registros individuales de los equipos? *
¿La bitácora hace referencia a hojas de servicio, en donde se
detalla la falla, y las causas que la originaron, así como las
refacciones utilizadas?
¿Se lleva un control de los equipos en garantía, para que, a la *
finalización de ésta, se integren a algún programa de
mantenimiento?
¿Se cuenta con servicio de mantenimiento para todos los *
equipos?
¿Con cuanta frecuencia se realiza mantenimiento a los Semestral / por
equipos? demanda
¿Se cuenta con procedimientos definidos para la adquisición *
de nuevos equipos?
¿Se tienen criterios de evaluación para determinar el *
rendimiento de los equipos a adquirir y así elegir el mejor?
Documentos probatorios presentados:
1.- Control de Solicitudes 2017
2.- Estadística de solicitudes 2016
3.- Formato de punto de cuenta solicitando compra de
equipos, partes y piezas
4.- Formato de control de inventario
LISTA DE CHEQUEO 2

Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Mantenimiento Preventivo para Hardware
Cuestionario
Pregunta SI NO N/A
¿Se lleva un control de los equipos en garantía, para que a *
la finalización de ésta, se integren a algún programa de
mantenimiento?
¿Se cuenta con servicio de mantenimiento para todos los *
equipos?
¿Con cuanta frecuencia se realiza mantenimiento a los Semestral / por
equipos? demanda
¿Se cuenta con procedimientos definidos para la adquisición *
de nuevos equipos?
43
¿Se tienen criterios de evaluación para determinar el *
rendimiento de los equipos a adquirir y así elegir el mejor?
LISTA DE CHEQUEO 3
CAPREMINFRA R/PT
Lista de chequeo LC3
Dominio Entrega de Servicios y Soportes
Proceso DS12: Administración de
Instalaciones.
Objetivo de Control Escolta de Visitantes
Cuestionario
Pregunta SI NO N/A
¿Las instalaciones DE INFRAESTRUCTURA fueron diseñadas o *
adaptadas específicamente para funcionar como un centro de
cómputo?
¿Se tiene una distribución del espacio adecuada, de forma tal *
que facilite el trabajo y no existan distracciones?
¿Existe suficiente espacio dentro de las instalaciones de forma *
que permita una circulación fluida?
¿Existen lugares de acceso restringido? *
¿Se cuenta con sistemas de seguridad para impedir el paso a *
lugares de acceso restringido?
¿Se cuenta con sistemas de emergencia como son detectores *
de humo, alarmas, u otro tipo de censores?
¿Existen señalizaciones adecuadas en las salidas de *
emergencia y se tienen establecidas rutas de evacuación?
¿Se tienen medios adecuados para extinción de fuego en el *
centro de cómputo?
¿Se cuenta con iluminación adecuada y con iluminación de *
emergencia en casos de contingencia?
¿Se tienen sistemas de seguridad para evitar que se sustraiga *
equipo de las instalaciones?
¿Se tiene un lugar asignado para papelería y utensilios de *
trabajo?
¿Son funcionales los muebles instalados dentro del centro de *
cómputo: ¿cintoteca, discoteca, archiveros, mesas de
trabajo, etc.?
¿Existen prohibiciones para fumar, consumir alimentos y *
bebidas?
44
¿Se cuenta con suficientes carteles en lugares visibles que *
recuerdan estas prohibiciones?
¿Con cuanta frecuencia se limpian las instalaciones? 2 veces por
semana
¿Con cuanta frecuencia se limpian los ductos de aire y la Se ajusta al plan
cámara de aire que existe debajo del piso falso (si existe)? de mantenimiento
del Dpto. de
Servicios
Generales
LISTA DECHEQUEO 4
CAPREMINFRA R/PT
Proceso Protección contra Factores
Ambientales
Objetivo de Control Controles Ambientales
Cuestionario
Pregunta SI NO N/A
¿El centro de cómputo tiene alguna sección con sistema de *
refrigeración?
¿Con cuanta frecuencia se revisan y calibran los controles Se ajusta al plan

ambientales? de mantenimiento
del Dpto. de
Servicios
Generales
¿Se tiene contrato de mantenimiento para los equipos que Se ajusta al plan
proporcionan el control ambiental? de mantenimiento
del Dpto. de
Servicios
Generales
¿Se tienen instalados y se limpian regularmente los filtros de Se ajusta al plan
aire? de mantenimiento
del Dpto. de
Servicios
Generales
¿Con cuanta frecuencia se limpian los filtros de aire? Se ajusta al plan
de mantenimiento
del Dpto. de
Servicios
Generales
45
¿Se tiene plan de contingencia en caso de que fallen los *
controles ambientales?
LISTA DE CHEQUEO 5
CAPREMINFRA R/PT
Proceso DS12 Administración de
Instalaciones.
Objetivo de Control Suministro Ininterrumpido de
Energía
Cuestionario
Pregunta SI NO N/A
¿Se cuenta con instalación con tierra física para todos los *
equipos?
¿La instalación eléctrica se realizó específicamente para el *
centro de cómputo?
¿Se cuenta con otra Instalación dentro el centro de cómputo, *
diferente de la que alimenta a los equipos de cómputo?
¿La acometida llega a un tablero de distribución? *
¿El tablero de distribución está en la sala, visible y accesible? *
¿El tablero considera espacio para futuras ampliaciones de *
hasta de un 30 % (Considerando que se dispone de espacio
físico para la instalación de más equipos)?
¿La Instalación es independiente para el centro de cómputo? *
¿La misma instalación con tierra física se ocupa en otras *
partes del edificio?
¿La iluminación está alimentada de la misma acometida que *
los equipos?
¿Las reactancias (balastros de las lámparas) están ubicadas *
dentro de la sala?
¿Los ventiladores y aire acondicionado están conectados en la *
misma instalación de los equipos a la planta de emergencia?
¿Los ventiladores y aire acondicionado están conectados en la *
misma instalación de los equipos a los no-brake?
¿Se cuenta con interruptores generales? *
¿Se cuenta con interruptores de emergencia en serie al *
interruptor general?
¿Se cuenta con interruptores por secciones o aulas? *
¿Se tienen los interruptores rotulados adecuadamente? *
¿Se tienen protecciones contra corto circuito? *
46
¿Se tiene implementado algún tipo de equipo de energía *
auxiliar?
¿Se cuenta con Planta de emergencia? *
¿Se tienen conectadas algunas lámparas del centro de *
cómputo a la planta de emergencia?
¿Qué porcentaje de lámparas: % están conectadas a la planta *
de emergencia (¿recomendable el 25 %)?
LISTA DE CHEQUEO 6

Proceso Protección contra Factores
Ambientales
Objetivo de Control Seguridad Física
Cuestionario
Pregunta SI NO N/A
¿Se tienen lugares de acceso restringido? *
¿Se poseen mecanismos de seguridad para el acceso a estos *
lugares?
¿A este mecanismo de seguridad se le han detectado *
debilidades?
¿Tiene medidas implementadas ante la falla del sistema de *
seguridad?
¿Con cuanta frecuencia se actualizan las claves o credenciales Trimestral / por
de acceso? demanda
¿Se tiene un registro de las personas que ingresan a las *
instalaciones?
47
Conclusiones y Recomendaciones.
A. Actualmente el equipo de Infraestructra de CAPREMINFRA está enfocado en sostener la
operatividad de la plataforma. No obstante se puede observar que la misma carece de un
plan de Tecnología que incluya la planificación, control, mantenimiento y optimización de
la infraestructura, que garantice su optimo funcionamiento a través del tiempo y la no
dependencia del personal que actualmente se encuentra asignado a los roles
correspondientes del departamento.
Recomendación: Abordar la generación de un plan de TI que abarque las estrategias para

el Control, Mantenimiento, Optimización e implementación de nuevas soluciones
tecnológicas acorde a las necesidades de la institución. Así como también la adopción de
mejores prácticas en cuanto a la documentación y control de procesos internos que
garanticen su estandarización.
B. Se detectaron vulnerabilidades importantes que comprometen la estabilidad, la seguridad y

la continuidad operativa de la infraestructura técnologica de CAPREMINFRA. Las cuales se
enumeran a continuación:
• No existe servidor de replica para el Directorio Activo. No existe plan de
contingencia en caso de un evento de daño del mismo. Lo que dejaría a
CAPMINFRA sin acceso a la red y a sus recursos por tiempo indeterminado
y sin garantía de recuperación satisfactoria debido a la carencia total de
respaldos y plan de reuperación.
• No existe respaldo de los objetos del directorio Activo: Usuarios,
Departamentos, Impresoras, servidores, etc.
• No existen tareas de respaldo de los datos de usuarios ni unidades
compartidas.
• Los servidores no poseen licencia original, fueron crakeados al momento de
su instalación, motivo por el cual no reciben actualizaciones. Tampoco tienen
Antivirus Instalados.
• Los equipos de la red no poseen Licencia original, No tienen Antivirus
instalados.
• Existen dispositivos inalámbricos (WIFI) Conectados directamente a la red lo
que permite el acceso de Telefonos, tablets, etc. sin ningún tipo de seguridad.
En la última revisión se detectaron Veintiocho (28) dispositivos de este tipo
conectados a la red de la institución. Ver: Imagen 4 Servidor DHCP (Direcciones de red)
Recomendación: Instalar un servidor de replica para el Active Directory a fin de garantizar

la continuidad operativa de la red en caso de contingencia, preparar una Infraestructura
de Respaldo para garantizar la copia de todos lo datos de Infraestructura y usuarios en la
red. Regularizar el licenciamiento de los servidores principales a fin de garantizar sus
actualizaciones periódicas y el soporte necesario. Se recomienda la instalación de Antivirus
y antispyware. Se recomienda generar un proyecto para conexión WIFI en los pisos a fin de
mitigar riesgos en la plataforma.
48
C. CAPREMINFRA cuenta con un dispositivo FIREWALL modelo Zyxel USG300 con un gran
potencial para el manejo de servicios de red tales como Antivirus, Control de Contenido y
Firewal de Internet. Actualmente se encuentra sin licencia lo que no permite su utilización.
Recomendación: Realizar la instalación de las licencias respectivas para reactivar este

hardware.
D. Se evidenció que en todos los pisos los puntos de red a nivel de Switche y Fatplay no se
encuentran identificados.
Recomendación: Realizar la identificación, peinado y organización del cableado en todos

los pisos, de forma más urgente en el Piso 3 donde se pudieron observar switches en el
piso y debajo de los escritorios sin ningún tipo de protección.
E. Se observó que no se tienen estándares para la nomenclatura de equipos en la red y los

mismos se configuran con el nombre de la persona aquien se le asisgnará
Imagen 6 estaciones de trabajo
Recomendación: Ajustar el nombre de todos los equipos y dispositivos de la red de acuerdo

a las mejores prácticas y normas generalmemente aceptadas ejemplo: PCCONT03
PC[estación de trabajo]CONT[departamento de contabilidad]03[numero correlativo]
49
F. La infraestructura requiere ajustes en cuanto a su arquitectura para garantizar su
continuidad operativa y mejorar la eficiencia en sus procesos de atención a los servicios
de la institución.
Recomendación:
Atentamente,
Abel García Benito
Microsoft Certified Professional
Microsoft Certification ID: F092-0818
http://www.mycertprofile.com/Profile/5636422700/12/1519
50
COBIT (Objetivos de Control para la información y
Tecnologías relacionadas)
Las mejores prácticas en auditoria recomiendan Cobit como la herramienta estándar para
tecnologías de información más utilizada en la ejecución de auditorías; a continuación, se explica
detalladamente algunos conceptos manejados por ésta y los dominios, procesos y actividades que
lo conforman; esta metodología comprende 4 Dominios y 34 procesos que cubren 210 objetivos de
control (específicos o detallados) Para el caso de CAPEMINFRA se seleccionadon 2 Dominios - 9
procesos – 31 Objetivos De acuerdo al tamaño de la Infraestructura de la Institución.
Efectividad. Se refiere a que la información relevante sea pertinente para el proceso del
negocio, así como a que su entrega sea oportuna, correcta, consistente y de manera utilizable.
Eficiencia. Se refiere a la provisión de información a través de la utilización óptima (más
productiva y económica) de recursos.
Confidencialidad. Se refiere a la protección de información sensible contra divulgación no
autorizada.
Integridad. Se refiere a la precisión y suficiencia de la información, así como a su validez de
acuerdo con los valores y expectativas del negocio.
Disponibilidad. Se refiere a la disponibilidad de la información cuando ésta es requerida por el
proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos
necesarios y capacidades asociadas.
Cumplimiento. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos
contractuales a los que el proceso de negocios está sujeto, por ejemplo, criterios de negocio
impuestos externamente.
Confiabilidad de la información. Se refiere a la provisión de información apropiada para la
administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes
financieros y de cumplimiento.
Datos. Los elementos de datos en su más amplio sentido, (por ejemplo, externos e internos),
estructurados y no estructurados, gráficos, sonido, etc.
Aplicaciones. Se entiende como sistemas de aplicación la suma de procedimientos manuales y
programados.
Tecnología. La tecnología cubre hardware, software, sistemas operativos, sistemas de
administración de bases de datos, redes, multimedia, etc.
Instalaciones. Recursos para alojar y dar soporte a los sistemas de información.
Personal. Habilidades del personal, conocimiento, conciencia y productividad para planear,
organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de
información.
Niveles de Cobit: La estructura del estándar Cobit se divide en dominios que son agrupaciones de
procesos que corresponden a una responsabilidad personal, procesos que son una serie de
actividades unidas con delimitación o cortes de control y objetivos de control o actividades
requeridas para lograr un resultado medible.
51
Alcance Assessment Infraestructura Tecnológica CAPREMINFRA
Modelo COBIT
A Continuación, se detalla los puntos de alcance del Assesment:
2 Dominios - 9 procesos – 31 Objetivos
DOMINIOS PROCESOS OBJETIVOS DE CONTROL
AI1 Identificar soluciones AI1.2 Reporte de Análisis de Riesgos

ADQUIRIR automatizadas
E IMPLEMENTAR AI3 Adquirir y MantenerAI3.2 Protección y Disponibilidad del Recurso de
Infraestructura Tecnológica
Infraestructura
AI3.3 Mantenimiento de la infraestructura
DS3 Administrar el DS3.2 Capacidad y Desempeño Actual
Desempeño y la Capacidad DS3.4 Disponibilidad de Recursos de TI
DS3.5 Monitoreo y Reporte
DS4 Garantizar la DS4.1 Marco de Trabajo de Continuidad de TI
Continuidad del Servicio DS4.2 Planes de Continuidad de TI
DS4.3 Recursos Críticos de TI
DS4.4 Mantenimiento del Plan de Continuidad de TI
DS4.8 Recuperación y Reanudación de los Servicios de TI
DS4.9 Almacenamiento de Respaldos Fuera de las
Instalaciones
DS5 Garantizar la Seguridad DS5.1 Administración de la Seguridad de TI
de los Sistemas DS5.2 Plan de Seguridad de TI
ENTREGAR Y DS5.4 Administración de Cuentas del Usuario
DAR SOPORTE DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad
DS5.10 Seguridad de la Red
DS11 Administración de DS11.5 Respaldo y Restauración
Datos DS11.6 Requerimientos de Seguridad para la
Administración de Datos
DS12 Administración del DS12.2 Medidas de Seguridad Física
Ambiente Físico DS12.3 Acceso Físico
DS12.4 Protección Contra Factores Ambientales
DS12.5 Administración de Instalaciones Físicas
DS13.2 Programación de Tareas
DS13 Administración de
DS13.3 Monitoreo de la Infraestructura de TI
Operaciones
DS13.5 Mantenimiento Preventivo del Hardware
ME1 Monitorear y Evaluar el ME1.1 Enfoque del Monitoreo
Desempeño de TI ME1.2 Definición y Recolección de Datos de Monitoreo
ME1.3 Método de Monitoreo
ME1.5 Reportes al Consejo Directivo y a Ejecutivos
MEJORES PRACTICAS DE SEGURIDAD, CONTROL E IMPLEMENTACIÓN
ADMINISTRACION Licenciamiento Servidores y Equipos de Trabajo

Y CONTROL Versionamiento Versiones y obsolescencia hardware y software
52

Modelo

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Modelo

Caricato da

Copyright:

Formati disponibili

CONSULTORÍA IT

Fecha Autor Versión Referencia de Cambios

Abel García Consultor

Alfredo Chacón Consultor

Última actualización 14-09-2017

Registro de Cambios ...................................................................................................................................................... 2

Propiedades de Documento .......................................................................................................................................... 2

SERVIDOR PRINCIPAL ......................................................................................................................... 7

EQUIPOS DE TRABAJO ....................................................................................................................... 9

INFRAESTRUCTURA FÍSICA ............................................................................................................. 10

AI3.2 PROTECCIÓN Y DISPONIBILIDAD DEL RECURSO DE INFRAESTRUCTURA. ......... 11

AI3.3 MANTENIMIENTO DE LA INFRAESTRUCTURA. ............................................................... 11

DS3.2 CAPACIDAD Y DESEMPEÑO ACTUAL. ............................................................................. 11

DS3.4 DISPONIBILIDAD DE RECURSOS DE TI. ........................................................................... 11

DS3.5 MONITOREO Y REPORTE. .................................................................................................... 11

DS4.1 MARCO DE TRABAJO DE CONTINUIDAD DE TI. ............................................................ 11

DS4.3 RECURSOS CRÍTICOS DE TI. ............................................................................................... 12

DS4.4 MANTENIMIENTO DEL PLAN DE CONTINUIDAD DE TI. ............................................... 12

DS4.8 RECUPERACIÓN Y REANUDACIÓN DE LOS SERVICIOS DE TI. ................................ 12

DS4.9 ALMACENAMIENTO DE RESPALDOS FUERA DE LAS INSTALACIONES. .............. 12

DS5.1 ADMINISTRACIÓN DE LA SEGURIDAD DE TI. ................................................................. 12

DS5.2 PLAN DE SEGURIDAD DE TI. ............................................................................................... 12

DS5.4 ADMINISTRACIÓN DE CUENTAS DEL USUARIO. .......................................................... 12

DS5.5 PRUEBAS, VIGILANCIA Y MONITOREO DE LA SEGURIDAD. ..................................... 12

DS5.10 SEGURIDAD DE LA RED. .................................................................................................... 13

DS11.5 RESPALDO Y RESTAURACIÓN. ........................................................................................ 13

DS11.6 REQUERIMIENTOS DE SEGURIDAD PARA LA ADMINISTRACIÓN DE .................. 14

DS12.3 ACCESO FÍSICO..................................................................................................................... 14

DS12.4 PROTECCIÓN CONTRA FACTORES AMBIENTALES. ................................................. 14

DS12.5 ADMINISTRACIÓN DE INSTALACIONES FÍSICAS. ....................................................... 14

DS13.2 PROGRAMACIÓN DE TAREAS. ......................................................................................... 14

DS13.3 MONITOREO DE LA INFRAESTRUCTURA DE TI. ......................................................... 14

DS13.5 MANTENIMIENTO PREVENTIVO DEL HARDWARE. .................................................... 14

ME1.1 ENFOQUE DEL MONITOREO. .............................................................................................. 14

ME1.3 MÉTODO DE MONITOREO. ................................................................................................... 15

ME1.5 REPORTES AL CONSEJO DIRECTIVO Y A EJECUTIVOS. ........................................... 15

CORRIDA DE CONFIGURACIÓN: ..................................................................................................... 16

DIAGRAMA LÓGICO: .......................................................................................................................... 39

CUESTIONARIO DE CHEQUEO ........................................................................................................ 40

ALCANCE ASSESSMENT INFRAESTRUCTURA TECNOLÓGICA CAPREMINFRA ............ 52

Infraestructura de servicios de Red, Validación de diseño del Directorio Activo,

o ACTUALMENTE SIN LICENCIAS.

Infraestructura física y lógica estaciones de trabajo.

Actualmente su infraestructura de red se encuentra basada en tecnología Microsoft Windows 2003

AI3.3 Mantenimiento de la infraestructura.

DS3.2 Capacidad y Desempeño Actual.

DS3.4 Disponibilidad de Recursos de TI.

DS3.5 Monitoreo y Reporte.

DS4.1 Marco de Trabajo de Continuidad de TI.

DS4.3 Recursos Críticos de TI.

DS4.4 Mantenimiento del Plan de Continuidad de TI.

DS4.8 Recuperación y Reanudación de los Servicios de TI.

DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones.

DS5.1 Administración de la Seguridad de TI.

DS5.2 Plan de Seguridad de TI.

DS5.4 Administración de Cuentas del Usuario.

DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad.

Imagen 4 Servidor DHCP (Direcciones de red)

DS11.5 Respaldo y Restauración.

• Actualmente se realiza el respaldo por medio de un software sin licencia, el mismo no se

DS12.3 Acceso Físico.

DS12.4 Protección Contra Factores Ambientales.

DS12.5 Administración de Instalaciones Físicas.

DS13.2 Programación de Tareas.