Tarapoto - Per 2013 INFORME N 001-2013/Auditors Solutions INFORME DE AUDITORA INFORMTICA
NOMBRE DE LA AUDITORIA: AUDITORIA DE GESTION DE RECURSOS Y SERVICIOS INFORMATICOS EMPRESA AUDITADA : MUNICIPALIDAD PROVINCIAL DE LAMAS NOMBRE DEL CLIENTE : ING. FERNANDO DEL CASTILLO TANG
FECHA DE CORTE : 02 DE SEPTIEMBRE DEL 2013
FECHA DE PRESENTACIN DEL INFORME: 12 DE DICIEMBRE DEL 2013
FIRMA AUDITORA : AUDITORS SOLUTIONS
1. INTRODUCCION Hoy en da las organizaciones van cambiando fuertemente de manera impredecible, para guiarse de su historial se basan en la informacin, activo imprescindible, por ello las bases de datos y la gestin de la informacin se ha vuelto una necesidad completamente ineludible. La Municipalidad Provincial de Lamas, maneja informacin en gran cantidad y esto va creciendo gracias a su escalabilidad y el incremento de sus operaciones como sus pobladores, lo que es acumulado en una base de datos. El uso de los sistemas de informacin es lo ms usual y, por ende, es necesario la exigencia del cumplimiento de las reglas, normas y protocolos para la buena gestin de la informacin de la organizacin.
Todo (en general) est expuesto a distintos riesgos ya sea informticos o naturales, motivo por el cual, argumenta el requisito indispensable de plantear medidas de mitigacin para cualquier suceso. La siguiente auditoria permitir ver las vulnerabilidades de la seguridad de los sistemas de la organizacin.
2. DATOS GENERALES DE LA EMPRESA. La Municipalidad Provincial de Lamas es una entidad administrativa que agrupa las localidades que conforman su jurisdiccin, sta regula y ejerce funciones de gobierno y control para todos los que se encuentran en dicha zona. 2.1. MISION Somos una Institucin que lidera el cambio de la gestin local, prestamos con excelencia y dentro del marco legal, los servicios municipales, impulsamos su desarrollo integral, la conservacin del ambiente y fomentamos el bienestar y seguridad de los vecinos de nuestra Provincia de Lamas. 2.2. VISION Ser una Municipalidad moderna que brinde servicios eficientes y de calidad, con un gobierno transparente y concertador, que promueve el desarrollo Integral sustentable para mejorar las condiciones de vida en armona con su medio ambiente.
2.3. BIENES INFORMATICOS 2.3.1. Hardware. Hemos obtenido los siguientes recursos informticos vigentes al presente ao (2013). Cuadro N 01: Cuadro Resumen de los Equipos de Cmputo de la Municipalidad Provincial de Lamas RECURSOS TECNOLGICOS E INFORMTICOS EXISTENTES N HARDWARE CANT 1 Servidor 1 Computadoras personales 2 Intel Celeron (escritorio) 5 3 Core Dual Core (escritorio) 7 4 Core 2 duo (escritorio) 3 5 Centrino (Laptops) 2 Impresoras 6 Inyeccin de tinta 1 7 Lser 1 8 Matricial chica 1
2.3.2. SOTFWARE SISTEMAS CON LOS QUE CUENTA LA MUNICIPALIDAD PROVINCIAL DE LAMAS N SOFTWARE CANT. Sistemas Operativos 1 Windows XP 5 2 Windows 7 10 3 Windows server 2003 1 De Oficina 4 Office 2007 6 5 Office 2010 10 Antivirus 6 Antivirus Nod 32 15 Otros 7 SIAF - Sistema de Administracin Financiera 1 8 Sistema de Monitoreo 1 9 Sistema de Control de Prestamos 1 10 Sistema de Planillas 1
2.3.3. Redes. Los equipos de red que son patrimonio de La Municipalidad Provincial De Lamas N CONECTIVIDAD CANT. Switch 1 Switch 8 puertos 3 Router 2 Router/Modem 4 puertos 1 3 Modem USB 1 4 Router/Modem 4 puertos entrada USB 1 Descripcin 15 computadoras conectadas a la red con tarjeta inalmbrica. 2 computadoras conectadas a la red con cable 0 sin red, sin inalmbrico.
3. OBJETIVO DE LA ACTIVIDAD DE CONTROL. 3.1. Objetivo General. Comprender y demostrar cuales son los elementos de mayor relevancia de juicio para La Municipalidad Provincial De Lamas, respaldando al mismo tiempo el uso de la toma de decisiones para la buena gestin y correccin de errores e incoherencias, y as, de ste modo, proceder con el cumplimiento de las normas de la organizacin. 3.2. Objetivos Especficos. Asegurar los activos de la institucin ante cualquier amenaza. (prdidas, daos, intrusin, fraudes y errores)
Proponer medidas de mitigacin para dar soluciones a algunas a algunos de los problemas que posteriormente se presentaran.
4. ALCANCE. Este informe est basado en el anlisis de las necesidades, limitaciones, amenazas y fortalezas de La Municipalidad Provincial De Lamas. Se constituye el alcance a ser aplicado al rea de informtica y oficinas de la Municipalidad Provincial De Lamas, previamente a la realizacin del levantamiento de informacin respectivo para nuestra comprensin de los procedimientos y actividades inmersos dentro de la Municipalidad. En la siguiente auditora informtica se propone la evaluacin de los siguientes principios. 4.1. Redes: - Networking. - Equipos de red. - Cortafuegos. - Filtros. 4.2 Seguridad Lgica. - Identificacin de usuarios. - Cambios de contraseas. 4.3 Seguridad fsica. - Computadoras. - Accesos y control de equipos. 4.4 Evaluacin de la administracin de las computadoras. - Capacitacin de usuarios. - Documentos de usos de computadoras. 4.5 Evaluacin de las auditoras realizadas.
MARCO NORMATIVO En la Auditora Informtica siguiente se usaron los siguientes estndares y guas: 4.2. Estndares 4.2.1. Metodologa Australiana as/nzs 4360: Metodologa de Anlisis y Gestin de Riesgos de los sistemas de Informacin de las Administraciones pblicas, Australiana as/nzs 4360, es un mtodo formal para investigar los riesgos que soportan los Sistemas de Informacin, y para recomendar las medidas apropiadas que deberan adoptarse para controlar estos riesgos. 5. CUESTIONARIO DE EVALUACION. 5.1. Evaluacin de la Red. 5.1.1. Networking. Debilidad Impacto Sugerencia Los equipos constituyentes de la red de la Municipalidad Provincial de Lamas Se encuentran hechos con conexiones defectuosas. Fallos de red entre todos los equipos y demoras con las transacciones. Realizar mantenimientos a las redes cada 3 meses para su funcionamiento optimo y excelente comunicacin entre las computadoras. .
5.1.2. Equipos de Red.
Debilidad Impacto Sugerencia Los equipos de la intranet de la Municipalidad Provincial de Lamas No tienen UPS para el funcionamiento en caso de un posible corte de luz. Se suspenden las transacciones y la prdida de informacin de las transacciones que realiza la Municipalidad Provincial De Lamas. Adquirir e implementar equipos UPS para evitar la suspensin de las actividades que se realizan en La Municipalidad Provincial de Lamas.
5.1.3. Cortafuegos. Debilidad Impacto Sugerencia Control de permiso inexistente para el acceso a la red. Se Permiten ingresar sin ninguna seguridad a cualquier pgina de internet. Los equipo tienen mayor vulnerabilidad, y son ms propensos a ataques e intrusiones por usuarios malintencionados o personas sin autorizacin. Instalar y configurar Firewall.
5.1.4. Filtros Debilidad Impacto Sugerencia No hay filtros para redes sociales o pginas web innecesarias para ejercer las labores del Municipio. Como Facebook, YouTube, etc. Impide fluidez y promueve lentitud en operaciones adems de ralentizar el ancho de banda. Implementar filtros para restringir los accesos a pginas no necesarias para las Actividades de la Municipalidad Provincial de Lamas. 5.2. Seguridad lgica. 5.2.1.1. Identificacin de usuarios. Debilidad Impacto Sugerencia Los sistemas de informacin de la Municipalidad Provincial de Lamas no tienen una restriccin en horas de descanso. Los sistemas se encuentran configurados para que ejercer sus operaciones a partir de las 8:00 am a 1:00 pm y de 3:00 pm a 5:00 pm, y los sbados de 9 am a 1 pm sin comprender restricciones en la hora del break para Restringir accesos a horas de descanso.
el personal.
5.2.2. Cambios de Contraseas. Debilidad Impacto Sugerencia No existen controles de cambio de contraseas para la seguridad correspondiente. Los accesos a los sistemas de informacin de la Municipalidad Se realizarn cambios de contrasea cada 4 meses para su seguridad.
5.3. Seguridad fsica. 5.3.1. Computadoras. Debilidad Impacto Sugerencia Las computadoras de algunos departamentos no cumplen con los requerimientos y necesidades de los usuarios. Actividades ineficientes que se desarrollan por los usuarios. O puede pasar una mala performance para el manejo de la info. Adquirir nuevas computadoras para departamentos que realicen procesos ms sofisticados. 5.3.2. Acceso y control de equipos. Debilidad Impacto Sugerencia Los accesos a la oficina del rea de informtica no Cualquiera podra ingresar a la oficina y hurtar un equipo, Mejorar el acceso y dar permisos a personas
cuentan con restricciones de acceso a personal no autorizado. robar informacin e ingresar a los sistemas as como realizar cualquier acto delictivo autorizadas o siempre y cuando lo requieran y lo soliciten fundamentada mente
5.3.3. Control de acceso a equipos. Debilidad Impacto Sugerencia Inexistencia de cuentas de usuario para accesos del sistema Cualquier persona podra ingresar sin previa autorizacin y realizar modificaciones al sistema operativo, aplicaciones e informacin. Crear cuentas de usuarios dando privilegios para restringir el acceso al sistema de informacin.
Unidades y Dispositivos USB, grabador de DVD y tarjetas SD sin restriccin de uso. Robo de informacin mediante dispositivos externos o infeccin de virus o spyware. Restringir accesos dando permisos de copia de archivos, siempre y cuando con previa autorizacin.
5.4. Evaluacin de la administracin de los ordenadores. 5.4.1. Capacitacin de usuarios. Debilidad Impacto Sugerencia Desconocimiento por parte del personal acerca de temas en relacin a informtica. Errores sobre el manejo del sistema y desconocimiento sobre normas, manuales que permiten el buen uso del sistema. Realizar capacitaciones constantes al personal acerca del uso y prevencin de los sistemas y ordenadores. El consumo de alimentos por parte del personal cerca de los equipos de cmputo. Deterioro de las partes de los equipos de cmputo donde se puede dejar de utilizar algunas mquinas. Establecer normas estrictas donde se prohbe el consumo de alimentos cerca a los equipos de cmputo.
5.4.2. Documentos de uso de computadoras. Debilidad Impacto Sugerencia No existen manuales, documentos, polticas de seguridad, ni planes de contingencia. Mala toma de decisiones y la realizacin de procesos no establecidos Elaborar planes de contingencia, polticas de seguridad donde se establecen las normas a hacer cumplir al personal.
5.5. Evaluaciones de auditoras realizadas. Debilidad Impacto Sugerencia No se han realizado auditoras con anterioridad Desconocimiento de los procesos deficientes, recursos y los riesgos asociados a stas. Crear un plan auditoras de sistemas de forma peridica, para todos los procesos de la Municipalidad Provincial de Lamas.
SOLUCIN DEL CUESTIONARIO DE EVALUACIN A) Observaciones clasificadas por rea funcional. A.3. rea de soporte Tcnico. No existen procesos de evaluacin a nuevos paquetes de software y nuevas versiones y productos de hardware. No cuentan con plan de normas de instalacin para las aplicaciones, sistemas operativos, herramientas de ofimtica, etc. No existen con estndares de seguridad para las redes. No se cuentan con ambientes adecuados para los equipos. No existe un plan de monitoreo del estado y accesos de la red. A.4. rea de Sistemas. No se crean back-ups. No existe plan de mejora en la productividad. No mantiene estabilizados, actualizados y en correcto funcionamiento los sistemas de informacin en produccin, que permitan el desarrollo de las actividades con eficiencia. No se crean de manuales de gua de usuarios, tcnicos y protocolares para los sistemas.
B) Identificacin, descripcin, recomendacin de riesgos y sustento tcnico de cada recomendacin para superar estos riesgos. B.1. Riesgo de Tecnologa de Informacin ACTIVO RIESGOS RECOMENDACIONES Servidor Incendio Solicitar alarma contra incendios, adquirir servidores espejo, extintores.
Corte del fluido elctrico Adquirir equipos UPS, contar con grupo electrgeno.
Error y/o prdida de sistemas operativos y aplicativos. Contar con Servidor espejo. Mal funcionamiento de computadoras. Realizar el mantenimiento para computadoras cada 3 meses. Robo Implementar sistema de cmaras de vigilancia. Virus Controlar el acceso al servidor, Instalacin de Filtros y antivirus. Terminales Incendio Contar con un sistema de alarma contra incendios. Corte del fluido elctrico Contar con UPSs Grupos electrgenos. Fallo y/o perdida de sistema operativo y aplicativos base Realizar mantenimiento de ordenadores cada 3 meses. Robo Instalacin de Alarmas de seguridad; Personal calificado de vigilancia. Virus Constante actualizacin de los antivirus; Instalacin de Filtros. Fallas o desuso de hardware y/o Contar con personal que realice mantenimiento de
software los equipos cuando estos fallen. Calentamiento del hardware ventilacin adecuada para los equipos (Cooler) Consumo de alimentos cerca de los equipos informticos Dar a conocer al personal sobre reglamento de normas de uso de computadoras, perifricos y servicio de Red mediante capacitacin Interfaces In- Out Incendio Contar con sistema de alarma contra incendios Corte del fluido elctrico Contar con UPS acumulador de energa. Mal funcionamiento del perifrico Realizar mantenimiento de perifricos cada 3 meses. Robo Instalacin de Alarmas de seguridad; contratar Wachiman. Avera del perifrico Contar con perifricos de respaldo. Calentamiento del perifrico. Contar con ventilacin adecuada para los equipos (Cooler). Consumo de alimentos cerca del perifrico. Dar a conocer al personal sobre reglamento de normas de uso de computadoras, perifricos y servicio de Red mediante capacitacin.
Redes Robo Contar con cmaras de vigilancia y personal de seguridad alta mente capacitado. Virus Instalacin de filtros y actualizacin de los firewall. Calentamiento de los equipos de red y deterioro. Instalaciones de aire acondicionado. Mala configuracin de equipo para la red Capacitacin al personal de informtica para la configuracin. Avera en el cableado Capacitacin al personal de informtica para la configuracin.
Personal
Robo de informacin por personas ajenas a la municipalidad
Actualizacion de Firewall para la proteccion de datos. Robo de informacin por parte del personal Capacitacin y Motivacin al personal sobre la importancia de la informacin y la tica
Resentimiento y rivalidad del personal
Capacitar a todo el personal sobre temas de clima y cultura organizacional
Robo de equipos o insumos, divulgacinde datos.
Capacitacion al personal de las politicas de seguridad de la empresa. Falta de instruciones del uso de hardware y software.
Capacitaciones para uso del software y hardware
Mala utilizacin de los equipos y sistemas informticos
capacitacion del personal del uso de los computadores y de los sistemas de la organizacin B.2. Riesgo de Privacidad IDENTIFICACION DESCRIPCION RECOMENDACION Documentacin Hurto de informacin y alteracin de la documentacin Implementar permisos y control de accesos Prdida de la credibilidad Contar con personal capacitado y comprometido Datos de Usuarios Prdida de la credibilidad Contar con personal capacitado y
comprometido Robo y alteracin de los datos de usuarios Contar con permisos y control de accesos
B.3. Riesgo de Disponibilidad IDENTIFICACION DESCRIPCION RECOMENDACION Documentacin Documentacin incompleta Contar con personal capacitado y tener manuales de documentacin Documentacin inconsistente Contratar un especialista para la configuracin de los sistemas Sistemas de la Empresa Fallos de los sistemas Contar con un sistema de monitoreo para el mantenimiento y actualizacin de los sistemas Prdida de la configuracin Realizar capacitaciones a los usuarios Servidor Fallos del servidor Contar con especialistas para el mantenimiento del servidor. Computadoras Fallos de las computadoras Contar con especialistas para el mantenimiento de las computadoras. Equipos de Red Fallos de los equipos de red Contar con ambientes adecuados.
B.4. Riesgo de Integridad IDENTIFICACION DESCRIPCION RECOMENDACION Documentacin Ingreso de datos con caracteres no vlidos. Los datos ingresados son validados con el usuario y contrasea. Datos de Usuarios Ingreso de datos con caracteres no vlidos. Los datos ingresados son validados con el usuario y contrasea.
Datos de usuarios incorrectos Contar con personal capacitado Sistemas de la Empresa Dao en la integridad de los sistemas Contar con software especializado para controlar malware, spyware, virus, etc. Servidor Dao de la integridad del Servidor Contar con un servidor espejo fuera del edificio Computadoras Dao de la integridad de las computadoras Contar con computadoras de respaldo.
B.5. Riesgo de Sistemas de Informacin IDENTIFICACION DESCRIPCION RECOMENDACION Software Utilizados Mala administracin de control de acceso Actualizacin usuarios y contraseas cada 3 meses. Falta de confidencialidad Implementar restricciones a usuarios segn el perfil. Multas y problemas con Software Legal. Comprar de software original Mal funcionamiento de los sistemas. Capacitacin al personal de informtica para la configuracin. Ingreso de datos con caracteres no vlidos Los datos ingresados son validados con el usuario y contrasea. Datos de Usuarios incorrectos. Contar con personal capacitado Dao en la integridad de los sistemas Contar con software especializado para controlar malware, spyware, virus, etc. Fallos de los sistemas Contar con un sistema de monitoreo para el mantenimiento y actualizacin de los sistemas Divulgacin o robo de informacin. Cmaras de vigilancia. Prdida de la confidencialidad de los sistemas Cmaras de vigilancia.
Tarapoto, 12 de diciembre del 2013 Seor: Ing. Fernando Del Castillo Tang Representante de la Municipalidad Provincial de Lamas Consideradamente: Nos dirigimos a Ud. cordialmente a efectos de darle a conocer sobre el alcance del trabajo de Auditora realizado los das 02 de septiembre del 2013 al 12 de diciembre del 2013, conforme al anlisis y procedimientos detallados de todas las informaciones recopiladas y emitidos en el presente informe, que es razonable a nuestro juicio. Conforme el siguiente informe de auditora desarrollado en su totalidad y detallado, los auditores estn dispuestos a informar al cliente los errores, incoherencias e imperfecciones que se encontraron al momento de la auditora. Agradeciendo su colaboracin durante nuestra visita a todo el personal de La Municipalidad Provincial de Lamas. Quedamos a su disposicin para cualquier aclaracin y/o ampliacin de la presente que estime necesaria. Atentamente.
Auditors Solutions
Ing. Julio Arvalo Chacn Ing. Johnny Manolito Ruiz Pinedo Auditor General Auditor de Apoyo
CONCLUSIONES El siguiente informe se ha desarrollado tomando en consideracin identificar los riesgos a los que est expuesta La Municipalidad Provincial de Lamas, y las soluciones respectivas, tales como la planeacin de: Planes de contingencias, polticas de seguridad para la proteccin de la informacin y los activos de la institucin, tratando de conseguir confidencialidad y las responsabilidades que debe asumir cada uno de los trabajadores. Por otro lado, al realizar la auditoria tuvimos la consideracin de imprescindible importancia para contar con la informacin ms exacta, en el mas actual tiempo posible, de manera ms oportuna y transparente, para constituir aquella la mas acertada toma de decisiones, reflejando lo ms asertivos resultados para con la Municipalidad Provincial de Lamas, y as generar su escalabilidad en un periodo ms prolongado y evitar dirigirse a la deriva en un mundo donde todo va cambiando de manera impredecible y que los cambios requieres nuevos paradigmas y el uso del conocimiento.
RECOMENDACIONES Conservar stos documentos, para futuras referencias. Historiar aquellas modificaciones realizadas en base a ste informe. Realizar un plan de todos los procedimientos de la Municipalidad Provincial de Lamas. Planear las actividades de control e implantar las aplicaciones propuestas en ste documento