INSTITUTO TECNOLOGICO DE TIJUANA

SUB-DIRECCIN ACADMICA DEPARTAMENTO DE SISTEMAS Y COMPUTACIN AGOSTO- DICIEMBRE 2011 LIC. INFORMTICA PROYECTO FINAL AUDITORIA INFORMATICA SERIE: 2V8 CHAVIRA MACIAS LIZETH

TIJUANA BC. 27 SEPTIEMBRE DEL 2011.

Contenido
Contenido.................................................................................................................... 1 Introduccin................................................................................................................ 2 Strategica................................................................................................................... 3 Antecedentes.............................................................................................................. 4 Datos generales.......................................................................................................... 4

Alcances y limitaciones...............................................................................................4 Alcances.................................................................................................................. 5 Limitaciones............................................................................................................. 5 Objetivos generales.....................................................................................................5 Objetivos especficos...................................................................................................6 Estudio inicial.............................................................................................................. 6 Descripcin de la organizacin.................................................................................7 Organigrama de la empresa........................................................................................7 Funciones independientes de cada departamento y sus colaboradores.......................9 Departamento de sistemas informticos..................................................................9 Departamento de operacin Centinela.....................................................................9 Diagrama de flujo de informacin de las areas involucradas en la auditoria............10 Croquis de Centinela.................................................................................................11 Centinela Norte......................................................................................................11 Controles...................................................................................................................13 Controles en el uso de Internet..............................................................................13 Controles en el uso de memorias (no permitido).......................................................15 Recursos materiales requeridos para realizar la auditoria..........................................16 Cuestionario..............................................................................................................17 Encuesta...................................................................................................................18 Observacin..............................................................................................................19 Plan de Trabajo......................................................................................................... 20 Alcances................................................................................................................ 23

Introduccin

27

En el presente documento se pretende dar a conocer el proceso correcto al realizar una auditora informtica, los pasos adecuados a la hora de evaluar cualquier aspecto de una rea determinada as como se mencionaran las partes fundamentales que se deben considerar en tal auditoria en este caso ser aplicados a la empresa Strategiaeliminacin de riesgos.

Strategica.
Es una empresa dedicada a la seguridad ejecutiva y corporativa.

27

Antecedentes
Strategica nace a finales de 1999 como empresa pionera en este modelo de seguridad, una empresa especialista en logstica y planeacin estratgica de seguridad integral.

Datos generales
Actualmente la empresa cuenta con regiones del pas como Tijuana, Guadalajara. 4 plazas en diferentes

Mexicali, Aguascalientes y

Figura 1.Instalaciones en Tijuana de la empresa.

Alcances y limitaciones.

27

Alcances

Los alcances que pretendemos llegar son auditar las de usuario segn el orden jerrquico o puesto

instalaciones y las estaciones de trabajo incluyendo equipos permisos designado. Tambin pretendemos evaluar el entorno fsico en cuanto a

cuestiones de seguridad y adecuacin del equipo. Se pretende auditar nicamente el rea de Centinela.

Limitaciones
No se abarcara el rea de desarrollo de sistemas. No se auditara las bases de datos. No se auditan reas ajenas a Centinela

Objetivos generales

27

Aplicar los conocimientos adquiridos en la clase de auditora especficamente en el rea de informtica, buscando posibles vulnerabilidades o problemas en las estaciones de trabajo del rea de operacin Centinela y de esta forma sugerir soluciones integrales y que agilicen o mejoren los procesos y por ende los resultados de la empresa.

Objetivos especficos
Aplicar una auditoria en los equipos (PCS estaciones de trabajo e instalaciones), en busca de posibles vulnerabilidades, fallas o inconsistencias, con el fin buscar mejoras.

Estudio inicial

27

Descripcin de la organizacin
Strategica es una empresa que brinda un modelo de seguridad integral en el cual busca principalmente la prevencin de eventos delictivos que afecten a sus clientes, dicho modelo se conforma principalmente por la plataforma de centinela que es la central donde se trata la informacin de los clientes, sus itinerarios cotidianos as como eventos fuera de agenda, para lo cual el cliente llama al nmero 01800, brinda la informacin de su evento fuera de agenda y este es pasado oportunamente a los agentes que patrullan las calles.

Organigrama de la empresa.

27

Figura 2.Organigrama de la empresa.

27

Funciones independientes de cada departamento y sus colaboradores. Departamento de sistemas informticos

Gerente de sistemas informticos: Su principal funcin es de dirigir nuevos proyectos, encargarse de supervisar el mantenimiento de los ya existentes, tomar decisiones en cuanto a cambios y mejoras de nuevos proyectos o los ya existentes. Tcnico programador: Su funcin principal es trabajar en el desarrollo de proyectos aprobados y se encarga de dar el mantenimiento a los sistemas ya existentes as mismo como las bases de datos, adems del mantenimiento de las bases de datos. Tcnico en redes: Su funcin principal es la de tener el control de la administracin de la red, se encarga de otorgar permisos segn el puesto del empleado, como accesos al servidor, bases de datos y accesos a Internet.

Departamento de operacin Centinela

Gerente corporativo: sus funciones son toma de decisiones en el rea de seguridad corporativa y Centinela, entrevistas para aprobacin de candidatos a guardias y operadores centinela as como entre otras actividades. Coordinador Centinela: su funcin es la creacin de roles de horarios para operadores, comunicarse con clientes en caso de

27

ser necesario, revisin diaria de datos capturados, enlace con gerentes de otras regiones. Supervisor centinela: su funcin es, supervisar el trabajo del operador que la informacin que se captura sea coherente, precisa y concreta, corrobora la agenda de los clientes y en caso de detectarse algn cambio contactarse con l y preguntar sobre este. Operador centinela: su funcin es capturar los reportes de los agentes como los de los guardias de puntos fijos, recibir llamadas del 01800, capturar eventos fuera de agenda, pasar estos eventos en tiempo y forma a los agentes de proteccin ejecutiva.

Diagrama de flujo de informacin de las areas involucradas en la auditoria.

27

Figura 3.Flujo de informacin de las reas involucradas en la auditoria

Croquis de Centinela

Figura 4. Croquis de rea Centinela.

Centinela Norte

En el mdulo de Centinela norte se atienden llamadas telefnicas de los clientes programando eventos fuera de agenda o modificando los ya existentes, tambin se reciben los reportes de los agentes que patrullan el permetro de las propiedades o lugares que visitan los clientes, se recibe tambin el reporte de los guardias de puntos fijos quienes reportan cada hora la condicin de su situacin 10-5 sin novedad, 10-2 reporte a seguir.

27

Guardia Virtual En este mdulo se monitorean las cmaras del interior y locales, se captura cada hora que se cambia de operador la condicin en la que se entrega sin novedad o eventos relevantes que se observen por las cmaras, salidas o entradas de clientes, deteccin de vehculos o personas sospechosas en el permetro visual.

Centinela Sur En el mdulo de Centinela sur se atienden llamadas telefnicas de los clientes programando eventos fuera de agenda o modificando los ya existentes, tambin se reciben los reportes de los agentes que patrullan el permetro de las propiedades o lugares que visitan los clientes. Supervisin Centinela En este mdulo se tiene acceso a las aplicaciones de General Register, Guardia Virtual (pgina web), General Reprter, Centinela, en fin todos los sistemas disponibles con el fin de revisar la informacin que se ha capturado que sea correcta y que este bien capturada.

27

Controles
Controles en el uso de Internet. Control preventivo en el mal uso de internet: se restringe el uso abierto de internet por medio de la configuracin del proxy, permitiendo nicamente algunas pginas como: Rastreo por GPS, Guardia Virtual, Reportes de sospechosos, Consulta de placas y peridico permitidos. Control detectivo en el mal uso de internet Al sospechar que algn operador hace mal uso del internet lo primero que se hace es revisar el historial, si se detecta que este ha sido borrado se procede a revisar las grabaciones de video de CCTV, tambin se revisa que no haya sido cambiada la configuracin del proxy. Control correctivo en el mal uso de internet En este control se procede a revisar la configuracin del proxy, de detectarse alguna alteracin de restablecen los parmetros predeterminados

27

27

Controles en el uso de memorias (no permitido)

Control preventivo Como control preventivo en primera instancia lo que se hace es que segn el puesto del empleado y en el caso de los operadores Centinela es que se restringen los permisos de escritura en cualquier puerto USB, SD y CD-DVD-RW, para que no pueda ser extrada informacin por estos medios. Control detectivo En la actualidad no se cuenta con ningn tipo de control que ayude a detectar alguna vulnerabilidad en el uso de memorias, ms que la supervisin humana. Control correctivo En el caso de detectarse alguna anomala en la extraccin de datos se revisa la configuracin de los permisos de usuario y de ser detectada se restablecen los permisos.

27

Recursos materiales requeridos para realizar la auditoria

Recursos materiales requeridos para realizar la auditoria: 2 computadoras con acceso a internet, estas computadoras ser necesario que cuenten con acceso abierto a internet y paquetera de Microsoft Office, Chrome navegador. 2 estaciones de trabajo, estas debern contar con sus respectivas sillas escritorios y papelera que a continuacin describiremos. Acceso a copiadora e impresora.

Papelera como: hojas blancas de papal tamao carta, bolgrafos, sobres, clips, engrapadora con grapas, Extensintelefnica abierta.

Recursos humanos requeridos para realizar la auditoria: 2 profesionales con perfil de L. I.: estos deben de tener conocimientos en Hardware, Software para poder recolectar y analizar la informacin en la auditoria. 1 profesional con perfil de tcnico en redes: este debe tener conocimiento en telecomunicaciones, cableado estructurado, normas de cableado, parmetros de medicin de frecuencia y condiciones adecuadas de la infraestructura.

Para la obtencin de informacin, se le efectuara una entrevista conformada por una serie de preguntas al gerente de sistemas informticos de la empresa y se aplicaran una breve encuesta a

27

los operadores Centinela. Continuacin las preguntas que se harn y la encuesta que se aplicara.

Cuestionario
1-Cules son sus funciones principales?

2-Qu sistemas informticos utilizan para el procesamiento de datos?

3-Qu medidas preventivas utilizan para evitar fallas en los sistemas?

4-Cada cunto se le da mantenimiento a los sistemas?

5-En caso de fallas Cul es el procedimiento para darles solucin?

6-Qu tipo de fallas presentan con ms frecuencia los sistemas?

7-Qu recursos en telecomunicaciones utilizan?

8-En caso de fallas de la conexin Qu medidas toman?

9-Por su experiencia en el puesto Qu medidas se podran implementar para disminuir riesgos en el sistema?

27

10-Con qu frecuencia se capacita al personal informtico y del rea Centinela?

Encuesta
Cmo calificaras el desempeo del equipo de cmputo que utilizas (Hardware)? a) Muy Bueno b) Bueno c) Regular d) Malo

Cmo calificaras el desempeo de los sistemas informticos que utilizas (Software)? a) Muy Bueno b) Bueno c) Regular d) Malo

Cmo calificaras la conexin a internet? a) Muy Bueno b) Bueno c) Regular d) Malo

Cmo calificas el desempeo las herramientas tecnolgicas que te brinda la empresa? a) Muy Bueno b) Bueno c) Regular d) Malo

Cada cunto recibes capacitacin? a) Cada 1 mes b) Cada 3 meses c) Cada 6 meses d) Nunca

Si pudieras hacer o cambiar algo para agilizar los procesos de Centinela Qu haras?
27

Observacin.
Agregando el mtodo de la Observacin para complementar la investigacin con la encuesta y la entrevista, al momento de la auditoria se realizar la observacin tomando en cuenta: Supervisar las herramientas que utilizan los operadores de centinela.

Tomar nota si existe una falla y que accin realizan para resolverla, verificando que puestos se involucran.

Rapidez y eficiencia de los operadores para realizar sus funciones. Comunicacin entre el departamento de sistemas y

coordinacin de centinela.

Verificar que exista la temperatura ambiental adecuada para cada departamento que se va a auditar.

Checar si las instalaciones cumplen con los requisitos mnimos para la correcta operacin de las labores que desempean en cada departamento, apoyndonos en los estndares de centros de cmputo ya existentes.

27

 En los procesos, tomar en cuenta quienes son los que realizan las operaciones y si es una de sus funciones.

Plan de Trabajo.
Actividad Matild e FASE 1. ANALISIS Alcances Objetivos Limitaciones FASE 2. ESTUDIO INICIAL Organigrama Diagrama de flujo informacin Descripcin de puestos de trabajo y responsabilidades FASE 3. ENTORNO OPERACIONAL Situacin geogrfica Configuracin de HW,SW Inventario Ubicacin de las maquinas * * * * Responsable Joel * * * Pedro * * * Aarn * * * 30-082011 30-082011 30-082011 6-102011 7-102011 10-102011 30-082011 30-082011 30-082011 7-102011 8-102011 12-102011 1 1 1 Cerrado Cerrado Cerrado Inicio Fin Hora s Status

* * *

* * *

* * *

* * *

2 2 3

Cerrado Cerrado Cerrado

* * * *

* * * *

13-102011 14-102011 15-102011 18-10-

13-102011 14-102011 17-192011 18-10-

1 3 6 2

Cerrado Abierto Abierto Abierto

27

a auditar Cantidad de mquinas a auditar Caractersticas de maquinas Controles internos(descripcin) FASE 4. RECURSOS DE A.I. Recursos Materiales Recursos Humanos Perfiles Profesionales Plan de Trabajo FASE 5. ACTIVIDADES DE A.I. Formatos de Auditoria Cuestionarios Encuesta Auditoria a la empresa

* * * * *

* * * *

2011 19-102011 20-102011 21-102011 23-102011 23-102011 23-102011 24-102011

2011 19-102011 20-102011 23-102011 23-102011 23-102011 24-102011 27-102011

2 4 6

Abierto Abierto Cerrado

* * * * *

* * * * * *

2 2 2 5

Cerrado Cerrado Cerrado Abierto

* * * * * * * *

* *

03-112011 07-112011 08-112011 11-11201

06-112011 07-112011 08-112011 20-112011

3 3 3 3

Cerrado Cerrado Cerrado Cerrado

Informa final Fecha de inicio de la auditoria lunes 23 de agosto de 2011 Fecha de finalizacion de la auditoria viernes 11 de noviembre de 2011 Sr. Jose Gabriel Bustos Encargado del departamento de Sistemas Informaticos. Presente:

27

A continuacin se presenta un informe final de la auditoria interna realizada en el rea de: Site de la empresa y Estaciones de trabajo Centinela Que est a su cargo. Por lo tanto se le presenta el siguiente reporte final. Auditores involucrados: Casasola Serna Matilde. Justo ngel aron Hernadez Rivas Pedro. Dorado Aguiluz Joel. Personal auditado: Nombre Bustos Jose Gabriel Aviles Carmona Luis Chaves de Leon Antonio Hernandez Rivas Pedro Marin Acevedo Mauro Nieto Jesus Alejando Ortega Rosales Ramn Melena Garcia Claudia Puesto Departamento Gerente Sistemas Coordinado r Ceninela Supervisor Ceninela Supervisor Ceninela Operador Ceninela Operador Ceninela Operador Ceninela Operador Ceninela

Objetivos generales
Aplicar los conocimientos adquiridos en la clase de auditora especficamente en el rea de informtica, buscando posibles vulnerabilidades o problemas en las estaciones de trabajo del rea de operacin Centinela y de esta forma sugerir soluciones integrales y que agilicen o mejoren los procesos y por ende los resultados de la empresa.

27

Objetivos especficos
Aplicar una auditoria en los equipos (PCS estaciones de trabajo e instalaciones), en busca de posibles vulnerabilidades, fallas o inconsistencias, con el fin buscar mejoras.

Alcances
Los alcances que pretendemos llegar son auditar las instalaciones y las

estaciones de trabajo incluyendo equipos permisos de usuario segn el orden jerrquico o puesto designado. Tambin pretendemos evaluar el entorno fsico en cuanto a cuestiones

de seguridad y adecuacin del equipo. Se pretende auditar nicamente el rea de Centinela.

Temas considerados:
1- Evaluacion de las instalaciones (Site y cableado).

2- Evaluacion de las estaciones de trabajo. 3- Evaluacion de los equipos(PCS) 4- Evaluacion de permisos. 1 Evaluacion de las instalaciones 1.1 Areas y espacios en el Site.

A) Situacion actual.

27

Al hacer la evaluacion en cuanto a areas y espacios especificamente ne el Site nos pudimos dar cuenta que la ubicacin no es la mejor ya que este esta en un 2do piso, ademas de no contar principalemte con una puerta que aisle la temperatura brindada por el aparato de aire acondicionado, por otra parte nos pudimos dar cuenta que el aparato antes mencionado no es el mejor para este tipo, los cables no bajan por una escalerilla hacia el RACK, pudimos detectar tambien que si cuenta con extinguidores de incendio y una ruta de evacuacion.

Figura 5. Site de la empresa

B) Tendencias

27

Citamos contenido 2. CONDICIONES CONSTRUCTIVAS DEL CENTRO DE CMPUTO de el documento anexado: Instalacion en el Centro de Computo para una idea certera de como deberia estar construido el Site. C) Puntos debiles y amenazas Los puntos debiles o amenazas son evidentes ya que de no contar con la infraestructura debidamente diseada e implementada las consecuencias pueden resultar en constantes fallas hasta percances toales como puede ser un incendio, dao de equipos por no contar con la temperatura edecuada para su funcionamiento etc. D) Recomendaciones Para solvestar los problemas principales y mas factibles recomendamos en primera instancia la instalacion de una puerta de acceso con cerradura de seguridad, que aisle el Site de los cubiculos de sistemas, esto con el fin de tener un buen nivel de seguridad al impedir el acceso a terceros al Site y que se conserve una temperatura adecuada para los equipos, tambien recomendamos un mejor sistema de aire acondicionado ya que el que en la actulidad poseen no es para el uso que se le da, es mas bien para uso casero. 1.2 Cableado estructurado.

A) Situacion atual Nos pudimos dar cuenta que en cuanto a cableado para comunicacion de datos usan cable Cat. 5 debidamente guiado por tuberias que van desde el Site hasta las estaciones de trabajo, las salidas de datos cuentan con etiquetas con un numero de serie que las relacione e identifique con la salida del SWICH, de la misma forma para las salidas de voz que van al conmutador. Lo que detectamos como punto negativo fue que los cables de las estaciones no estan debidamente peinados ni guidaos por los escritorios citamos la fig. 6 para ilustrar lo dicho.

27

Figura 6. PC de estacion de trabajo A) Tendencias. Citamos el capitulo 7 Cableado de el documento anexado: Instalacion en el Centro de Computo para una idea certera de como deberia estar construido el cableado. Especificamente citamos el apartado 7.3 cmo construir el cableado. B) Puntos debiles o amenazas. Los posibles puntos debiles que pueden presentar el no contar con una instalacion aducuada del cableado se traduce en fallas de conecxion principalmente, tambien puede suceder que al no estar bien guiados los cables el usuario pueda enrredarse con ellos en su silla causando daos al Hardware. C) Recomendaciones Caractersticas de

27

Con el fin de evitar posibles fallas recomendamos que los cables en las estaciones de trabajo sean guiados por canaleta de 1 pulgada desde la salida de voz y datos hasta el escritorio o en so defecto que sean peinados y agrupados por cichos o algun otro dispositibo. 2 Evaluacion de las estaciones de trabajo A) Situacion actual En cuanto a las estaciones de trabajo en realidad estan bien ditribuidas el hecho de que cuentes con monitres configurados en pantalla extendida hace que el trabajo de los operadores sea eficiente ya que requieren tener varios sistemas abiertos al mismo tiempo y el poder consultarlos sintener que minimizar es muy funcional, tienen un diseo de banguardia que agiliza los procesos. Ver figura 7 y 8 para comprobarlo.

Figura 7. Estaciones de trabajo.

27

B) Puntos debiles o amenazas En cuanto a las estaciones de trabajo las unicas bulnerabilidades que pudimos detectar fueron los cables de datos, voz, de poder, tecaldos y mause, que al no estar bien acomodados podrian representar un punto debil. C) Recomendaciones Recomendamos que se tomen medidas para que los cabes de poder, datos, voz, cables de mause y teclado no permanezcan desordenados, sugerimos peinar los cables y encincharlos o sugetarlos con manguera espiral, esto con el fin de evitar posibles daos o accidentes. 3 Evaluacion de de los equipos(PCS) A) Situacion actual En lo que a el equipo de computo se refiere las condiciones y recursos con los que cuentan los calificamos como muy buenos o adecuados en cuanto a Hardware se refiere, en cuanto a software, nos pudimos da cuenta que las licencias de los Sistemas operativos y de la paqueteria de Office no son autenticas, lo que en el futuro podria resultar contraproducente.

27

Figura 8. Equipo de computo B) Puntos debiles o amenazas

Figura 9. Equipo de computo

Lo que podria representar un punto debil o amenaza en los esquipos de computo es el no tener licencias autenticas para el Sistema Operativo y la paqueteria de Office, ya que al hacer una actualizacion o instalacion de controlador o una situacion similar podria causar que se detecte la licencia pirarata invalidadndo el sistema lo que significaria tener que formatear o poner un parche para corregir el error. C) Recomendaciones Como posible solucion en el problema de las licencias y tomando en cuenta que el adquirir licencias autenticas puede resultar costoso, recomendamos el uso de Software libre como Sistema Operativo el uso de Ubuto ya que su ultima version ha resultado muy amigable y facil de usar y en cunato a editores de texto recomendamos Open Office, ya que posiblemente requeriria de capacitacion de personal pero a la larga se traduciria en ganacias para la empresa ya que contaria con sistemas funcionales seguros y de licencia gratuita. Evaluacion de permisos A) Situacion actual Revisando las condiciones de los permisos para acceder a las terminales de trabajo y sistemas de centinela encontramos que efectivamente cada operador cuenta con su nombre de usuario, contrasea y permios para acceder a las aplicaciones que necesite ole sean permitidas de acuerdo a su puesto, en el caso del los permisos para internet encontramos que el metodo de permisos para siertas paginas web no es tan eficiente ya que puede ser bulnerado al hacer unos cambios en las configuraciones. B) Puntos debiles o amenazas Las posibles amenazas que representa el no contar con un sistema de permisos o seguridad para el acceso a internet es que los usuarios sobrecargen la red viendo videos o reproducioendo trasmiciones en vivo, ademas de las potenciales amenazas en cuanto a virus se refiere, tambien el hecho de distraer al empleado de sus funciones principales por usar el internet con fines recreativos.

27

C) Recomendaciones Para solventar el problema de burlar los permisos en internet sugerimos el uso de Software como IPCOP que controla y restringe el uso de internet a paginas autorizadas unicamente, por ser una plataforma de Linux es estable, altamente funcional y lo mejor es libre.

27