Proyecto Auditoria para Tesis

ESTUDIO INICIAL DEL ENTORNO AUDITABLE
1. ARQUITECTURA Y CONFIGURACION DE HARDWARE Y SOFTWARE
Se cuenta con una red con Sistema Operativo Windows Server 2008, topologa
estrella con 19 terminales y 1 servidor. Todos los terminales de las reas se
encuentran conectados a la red y adems se cuenta con un equipo disponible en caso
de contingencia.
DEPARTAMENTO 1: 13 TERMINALES
DEPARTAMENTO 2: 2 ADMI Y CONTABILIDAD
DEPARTAMENTO 3: 2 FARMACIA 1 RECEPCION 1 CAJA
2. INVENTARIO DE HARDWARE Y SOFTWARE
2.1. Hardware
a) Servidor
En el Policlnico, se cuentan con un Servidor DHCP, los cuales se
encuentran ubicados en la oficina de Tecnologa de Informacin, segn
cmo se detallan a continuacin:
Caractersticas del Servidor DHCP

MARCA MODELO PROCESADOR RAM(GB) DISCO(GB)
DELL Optiplex 3050 Intel Core i3 4 512
Caractersticas del Servidor de Aplicaciones, Archivos y Backup
MARCA MODELO PROCESADOR RAM(GB) DISCO(GB)

Power Edge Intel PD
DELL 8 512
SC440 2.8Ghz
b) Estaciones de Trabajo
El Policlnico, cuenta con 18 PCs, del cual 16 estn distribuidas en las
diferentes reas de la empresa y 1 se encuentra en la oficina de TI, en caso
de contingencia, segn detallan a continuacin.
Inventario de Estaciones de trabajo
N AREA CARGO TIPO MARCA MODELO PROCESADOR RAM(GB) DISCO(GB)

1 ADMINISTRACIN ADMINISTRADOR Porttil DELL INSPIRON 17 5000 Intel Core i3 8 1024
2 CONTABILIDAD CONTADOR Desktop DELL INSPIRON 3050 Intel Core i3 4 512
DEPARTAMENTO
3 MEDICO Desktop DELL INSPIRON 3050 Intel Core i3 4 512
MEDICO
DEPARTAMENTO
MEDICO
DEPARTAMENTO
MEDICO
DEPARTAMENTO
MEDICO
DEPARTAMENTO
MEDICO
DEPARTAMENTO
MEDICO
DEPARTAMENTO
MEDICO
DEPARTAMENTO
MEDICO
DEPARTAMENTO
MEDICO
DEPARTAMENTO
MEDICO
DEPARTAMENTO
MEDICO
DEPARTAMENTO
MEDICO
Inventario de Estaciones de trabajo
N AREA CARGO TIPO MARCA MODELO PROCESADOR RAM(GB) DISCO(GB)

DEPARTAMENTO
MEDICO
16 FARMACIA FARMACEUTICO Desktop DELL INSPIRON 3050 Intel Core i3 4 512
17 FARMACIA ENFERMERA Desktop DELL INSPIRON 3050 Intel Core i3 4 512
18 CAJA CAJERO Desktop DELL INSPIRON 3050 Intel Core i3 4 512
19 RECEPCIN ENFERMERA Desktop DELL INSPIRON 3050 Intel Core i3 4 512

c) Impresoras
Inventario de Impresoras y Scanner
ITEM MARCA MODELO TIPO AREA
1 HP LASER JET PRO Multifuncional Administracin
2 HP OFFICEJET Multifuncional Contabilidad
3 EPSON L220 Multifuncional Departamento Medico
11 EPSON L220 Multifuncional Recepcin
12 ESPSON TM U220 Ticketera Caja

d) Redes y Comunicaciones
Inventario de Equipos de Redes y Comunciaciones
ITEM MARCA MODELO TIPO AREA
1
ACCES POINT TP-LINK TL-WA801ND Recepcin
2
ACCES POINT TP-LINK TL-WA801ND Departamento Mdico
3
GABINETE SATRA 8 RU Ofinica TI
4
GABINETE SATRA 8 RU Produccin
5
GABINETE SATRA 8 RU Tolvas
6
MODEM SATELITAL EF-DATA CDM-550 Gabinete Principal TI
7
SWITCH ALLIED TELESYN AT-FS716 Gabinete Laboratorio
8
SWITCH ALLIED TELESYN AT-FS716 Gabinete tolvas
9
SWITCH ALLIED TELESYN AT-8024GB Oficina TI
10
SWITCH ENCORE ENH908-NWY Garita Principal
11
SWITCH ENCORE ENH908-NWY Administracion
12
SWITCH CISCO CATALYST 2950 Gabinete Principal TI
13
RELOJ CIOHER Lab510 Prod. Trminados
14
ROUTER CISCO 1601-R Garita Principal
15
WIRELESS CISCO AIRONET 1300 Oficina TI
El Switch del tem 09 se encuentra como equipo de contingencia

e) Seguridad
Inventario de Equipos de Seguridad
ITEM TIPO CONDICION MARCA MODELO AREA
1 UPS Propio CENTRALION BLAZER 2000 Gabinete tolvas
2 UPS Propio CENTRALION BLAZER 1000 Gabinete Calidad
3 UPS Propio CENTRALION TITAN 10KVA Oficina de TI
4 UPS Propio CENTRALION MP-110 Oficina de TI
TITAN 1KVA-TRUE Almacen Prod.

5 UPS Propio CENTRALION
ON LINE Terminados
Transformador de Gabinete Principal

6 IMPSAT NO TIENE TAMF 2 KVA
Aislamiento TI
2.2. Software
En cuanto al software, se debe hacer una separacin en dos grupos:
a) Sistemas de Informacin: El Policlinico Rivera cuenta con un Sistema el

cual hace el registro de clientes, brinda la posicin en el cual sern
atendidos de acuerdo al orden de llegada. Este Sistema fue desarrollado por
un Ingeniero el cual se los vendi como uno de sus productos enlatados.
Esta misma persona es la que brinda el mantenimiento del Sistema.
b) Software Bsico: Sistemas operativos, procesadores de texto, hojas de

clculo, utilitario, etc. En el siguiente cuadro se puede observar el Software
instalado vs Estaciones de trabajo.
ADMINISTRATOR CONSOLE
OMNITRENDT-ANALISIS DE
WINDOWS SERVER 2003
WINDOWS SERVER 2003
ADMINISTRATION TOOL
KARPERSKY ANTIVIRUS
KARPERSKY ANTIVIRUS
KARPERSKY ANTIVIRUS
DISCOVERY HAWK 5.9
DISCOVERY HAWK 5.9

MICROSOFT OFFICE
MICROSOFT OFFICE
FTP COMMANDER
WINDOWS XP SP3
SIPESA SYS-FLOTA
ADOBE READER 9
COMUNICATOR
VIBRACIONES
(CONSOLA)
AUTOCAD
QLIKVIEW
(CLIENTE)
DESKTOP
ON BASE
WIMPES
SAP R/3
SERVER
PACK
N AREA CARGO TIPO
1 ADMINISTRACION GESTOR TI Servidor X X X X X

2 ADMINISTRACION GESTOR TI Servidor X X X
3 ADMINISTRACION ADMINISTRADOR Prtatil X X X X X X X
4 ADMINISTRACION GESTOR TI Prtatil X X X X X X X X
5 ADMINISTRACION GESTOR TI Desktop X X X X X X X X X X
6 ADMINISTRACION GESTOR TI Desktop X X X X X X X
7 ADMINISTRACION ASIST RRHH Desktop X X X X X X
8 ADMINISTRACION ASIST CONTABLE Desktop X X X X X X X X
SALA DE
9 ADMINISTRACION CAPACITACIN Desktop X X X X X X X
SALA DE
SALA DE
SALA DE
12 ADMINISTRACION CAPACITACIN Desktop X X X X X X
SALA DE
WINDOWS SERVER 2003
WINDOWS SERVER 2003
ADMINISTRATION TOOL
KARPERSKY ANTIVIRUS
KARPERSKY ANTIVIRUS
KARPERSKY ANTIVIRUS
DISCOVERY HAWK 5.9
DISCOVERY HAWK 5.9

MICROSOFT OFFICE
MICROSOFT OFFICE
FTP COMMANDER
WINDOWS XP SP3
SIPESA SYS-FLOTA
ADOBE READER 9
COMUNICATOR
VIBRACIONES
(CONSOLA)
AUTOCAD
QLIKVIEW
(CLIENTE)
DESKTOP
ON BASE
WIMPES
SAP R/3
SERVER
PACK
N AREA CARGO TIPO
SALA DE
X X X X X X X
14 ADMINISTRACION CAPACITACIN Desktop
15 ADMINISTRACION SALA DE REUNIONES Desktop X X X X X X X
16 ADMINISTRACION SEGURIDAD Desktop X X X X X X
17 ADMINISTRACION ASIST CONTABLE Desktop X X X X X X X
18 ADMINISTRACION GESTOR TI Prtatil X X X X X X X X X X
19 ALMACEN JEFE ALMACEN Desktop X X X X X X X
20 ALMACEN ASIST ALMACEN Desktop X X X X X X X
21 CALIDAD JEFE TURNO CALIDAD Desktop X X X X X X X
22 CALIDAD JEFE CALIDAD Desktop X X X X X X X
23 FLOTA OPERADOR DE RADIO Desktop X X X X X X X X
ASIST
X X X X X X X X
24 MANTENIMIENTO MANTENIMIENTO Desktop
JEFE
X X X X X X X X X
25 MANTENIMIENTO MANTENIMIENTO Desktop
26 PROD TERMINADOS ASIST PROD TERM Desktop X X X X X X X X
27 PROD TERMINADOS JEFE PROD TERM Desktop X X X X X X X
28 PRODUCCION JEFE TURNO CALIDAD Desktop X X X X X X X
29 PRODUCCION JEFE PRODUCCION Desktop X X X X X X X X
N
AREA
CARGO
TIPO
31 SUPERINTENDENCIA SUPERINTENDENTE Desktop

30 SUPERINTENDENCIA SUPERINTENDENTE Desktop
WINDOWS SERVER 2003

WINDOWS SERVER 2003
ADMINISTRATION TOOL
PACK
X
X
WINDOWS XP SP3
X
X
MICROSOFT OFFICE
MICROSOFT OFFICE
X
X
COMUNICATOR
X
X
ADOBE READER 9
X
X
SAP R/3
DISCOVERY HAWK 5.9
X
X
(CLIENTE)
DISCOVERY HAWK 5.9
(CONSOLA)
KARPERSKY ANTIVIRUS
X
X
DESKTOP
KARPERSKY ANTIVIRUS
SERVER
KARPERSKY ANTIVIRUS
FTP COMMANDER
X
AUTOCAD
WIMPES
QLIKVIEW
SIPESA SYS-FLOTA
ON BASE
VIBRACIONES
AUDITORIA A LA SEGURIDAD INFORMATICA
1. ALCANCE DE LA AUDITORIA
- Polticas y Normas de Seguridad.
- Ambientes Fsicos que salvaguardan los equipos informticos.
- Verificacin de Accesos a la infraestructura de red.
- Controles fsicos para el ingreso a las reas que cuentan con equipos
informticos.
2. DOCUMENTOS FUENTE
- Polticas de Tecnologa de Informacin.
- Procedimientos de Tecnologa de Informacin.
- Formatos y Formularios de Tecnologa de Informacin.
- Programa de Mantenimiento Anual de Equipos.
- Inventario de Equipos de Comunicaciones, Terminales y Servidores.
- Manual de Organizacin y Funciones.
3. HERRAMIENTAS Y TECNICAS DE TRABAJO
La tcnica a usar para revisar la situacin y cuotas de eficiencia de la Seguridad

Informtica, es la siguiente (Tcnica de la Auditoria Informtica, Derrien Yan):
Paso N 01:
El rea por auditar se divide en: Segmentos.
Los segmentos se dividen en: Secciones.
De este modo la auditoria se realizar en dos niveles.
Paso N 02:
Asignacin de pesos tcnicos, se entiende por tales las ponderaciones
que el auditor hace de los segmentos y secciones, en funciones de
importancia.
Asignacin de los pesos polticos, son las mismas ponderaciones
anteriores, pero evaluadas por el cliente, en este caso los funcionarios
del rea tecnolgica del Policlnico Rivera de Nuevo Chimbote.
Asignacin de pesos finales a los Segmentos y Secciones. El peso
final es el promedio del peso tcnico del peso poltico.
En total de pesos elegidos para todos los segmentos es 100. Este total
de 100 puntos es el que ha asignado a la totalidad del rea de
Seguridad Informtica.
Del mismo modo, el valor por segmento elegido es 20, con absoluta
independencia del nmero de Secciones.
Paso N 03:
- Entrevistas, a las siguientes personas (Anexo N02):

Gestor de TI Tec. Ral Gutierrez
Recepcionista Srta.
Administradora Sr. Arqumedes Tapia Rodrguez
- Desarrollo de Cheklist, a las siguientes personas:
Gestor de TI Tec. Ral Gutierrez
Recepcionista Srta.
Administradora Sr. Arqumedes Tapia Rodrguez
- En la ejecucin de los checklist, las respuestas se calificarn de 1 a 5, siendo
1 la ms deficiente y 5 la mxima puntuacin.
- Prueba, anlisis de la informacin, cruzamiento y repaso de la misma.
Paso N 04:
- Clculo y ponderacin de Secciones y Segmentos.

- Conclusiones de la Auditoria.
4. EJECUCION DE LA AUDITORIA
Paso N 01:
Los segmentos a auditar son:
Segmento 1: Seguridad de cumplimiento de normas y estndares.
Controlar el cumplimiento de las normas y estndares para la
adquisicin de equipos, mantenimiento de software y hardware,
procedimientos de backup, mantenimiento de usuarios en la red,
administracin de licencias de software.
Segmento 2: Seguridad de Sistema Operativo.
Se evaluar los sistemas operativos de redes y de usuarios de redes

y usuarios, su mantenimiento y adquisicin.
Segmento 3: Seguridad de Software.
En este segmento se evaluar todos los aplicativos con que se

cuenta la empresa, y la administracin de los archivos generados.
Segmento 4: Seguridad de Comunicaciones.
Se evaluar la seguridad en las comunicaciones a nivel local,

externa y de voz.
Segmento 5: Seguridad Fsica.
Se evaluar la seguridad fsica de los equipos de cmputo y de la

oficina de Tecnologa de Informacin.
Paso N 02:
PESO PESO PESO

N SEGMENTO
TECNICO POLITICO FINAL
01 Normas y Estndares 22 24 23
02 Sistemas Operativos 18 18 18
03 Software Bsico 15 17 16
04 Comunicaciones 25 23 24
05 Seguridad Fsica 20 18 19
Total 100 100 100
SEGMENTO 01: NORMAS Y ESTANDARES

PESO PESO PESO
N SECCION
01 Software 5 5 5
02 Estndares para equipos 7 7 7
03 Plan de Contingencia y
8 8 8
Respaldo de Informacin
Total 20 20 20
SEGMENTO 02: SISTEMAS OPERATIVOS
PESO PESO PESO
N SECCION
01 Sistema Operativo de Redes 8 10 9
02 Sistema Operativo para los
7 5 6
usuarios finales
03 Mantenimiento de los
5 5 5
Sistemas Operativos
Total 20 20 20
SEGMENTO 03: SOFTWARE BASICO

PESO PESO PESO
N SECCION
01 Licencia e instalacin de
5 3 4
Software.
02 Respaldo de la Informacin. 4 6 5
03 Mantenimiento y Operacin
3 3 3
del Software Bsico.
04 Proteccin de los Documentos
3 3 3
generados.
05 Informacin Critica de la
5 5 5
Empresa
Total 20 20 20
SEGMENTO 04: COMUNICACIONES

PESO PESO PESO
N SECCION
01 Comunicaciones Externa. 7 5 6
Comunicacin de Datos (Red
02 6 8 7
LAN)
03 Comunicacin de Voz. 4 4 4
04 Correo Electrnico. 3 3 3
Total 20 20 20
SEGMENTO 05: SEGURIDAD FISICA

PESO PESO PESO
N SECCION
01 Seguridad Fsica de datos. 6 6 6
02 Control de Accesos. 3 3 3
03 Equipos de Seguridad. 5 5 5
Oficina de Tecnologa de
04 7 7 7
Informacin.
Total 20 20 20
Paso N 03:
SOFTWARE
N PREGUNTA RESPUESTA PUNTAJE

Se cuenta con un estndar Si, se instala Office 365 Empresa,
4
01 de software a instalar para Antivirus, Team Viewer, Acrobat
los usuarios? Reader.
Se tiene establecido un Si, se tiene instalado Windows 7
estndar para los sistemas SP1 (Software OEM)
02 5
operativos de las PCs de los
usuarios finales?
En las PCs de los usuarios Si, varios usuarios han llevado
finales se cuenta con programas los cuales lo han
03 software que no han sido instalado solo para uso personal. 1
instalado por el Gestor de
TI?
El Gestor de Tecnologa de Momentneamente en caso de
Informacin puede instalar emergencia o como opcin de una
04 2
software no licenciado por la solucin a un problema.
empresa?
Se cuenta con materiales No, solo las ayudas del Software y
05 del software bsico de la las capacitaciones y orientaciones 2
red? del Gestor TI.
Total 14
Puntaje Mximo 25
Total 14/25 56.00 %
ESTANDARES PARA EQUIPOS

Se cuenta con un croquis de No.
1
01 las ubicaciones fsicas de los
equipos de comunicaciones?
Se cuenta con un programa No, pero se hacen revisiones 1 vez
de manteniendo preventivo cada tres meses o de acuerdo con
02 de equipos de los problemas que se encuentren. 2
comunicaciones y
dispositivos?
En rea de Tecnologa de No, la administradora es la que se
Informacin es responsable encarga de aceptar algn
03 2
de realizar las cotizaciones requerimiento de equipos.
de los equipos de cmputo?
Se cumple con el programa No, no cuenta con una coordinacin
de mantenimiento para programar el mantenimiento.
04 1
establecido en las fechas
programadas?
La nomenclatura de las No. No siguen un estndar
05 PCs de la Red sigue un definido. 1
estndar definido?
Las PCs y/ Laptops con las Si, se han adquirido PCs y Laptops
06 que se cuenta son de marca de buenas marcas, HP y DELL. 5
reconocidas?
La renovacin de PCs se Si, se estableci renovar cada 4
07 3
realiza por lotes? aos.
Total 15
Puntaje Mximo 35
Total 22/25 42.86 %
PLAN DE CONTINGENCIA Y RESPALDO DE INFORMACION

No, se tiene conocimiento de las
Se cuenta con un plan de acciones a tomar, pero las mismas 2
01
Contingencia documentado? no han sido plasmadas en
documentos.
Se cuenta con un No, pero se realizan copias de
02 procedimiento de respaldo seguridad. 3
de informacin?
Se ha informado a los No, pero se aconseja tomar estas
usuarios de la importancia medidas cada cierto tiempo.
03 2
del respaldo de su
informacin?
Los usuarios cumplen en No todos, los que guardan
realizar el backup de su informacin significativa lo
04 2
informacin? Con que realizan mensualmente.
frecuencia?
Se realiza un backup No, solo se hacen backup en los
adicional al de la mismos ordenadores.
05 informacin de los usuarios 1
en el servidor de
archivos?En que medios?
Total 10
Puntaje Mximo 25
Total 22/25 40.00 %
SISTEMA OPERATIVO DE REDES

No en todas, pero si en lo
Se cuenta con las licencias 2
01 primordial para la proteccin de
respectivas de uso?
datos.
El sistema operativo cuenta Si, se cuenta con un kit de
con las herramientas ptimas herramientas que corre bajo
para la admiracin de los Windows 7, el cual permite al
02 recursos? Gestor TI realizar desde su PC 4
tareas bsicas como
bloquear/desbloquear cuentas de
usuarios, cambiar claves, etc.
Se mantiene actualizado el Si, se tiene activada la opcin de
03 sistema operativo de red? actualizaciones automticas del 5
Sistema Operativo.
Se cuenta con asesora No, la mayor parte de la gestin se
04 tcnica por parte del realiza desde la sede central de la 2
proveedor? empresa.
Total 13
Puntaje Mximo 25
Total 16/20 52.00 %
SISTEMA OPERATIVO PARA PCs

Se cuenta con el total de Si, las PCs que se adquieren vienen
4
01 las licencias de usos para con su Licencias OEM del Sistema
todos los equipos? Operativo
Se mantiene actualizado el Si, se tiene activada la actualizacin
02 4
sistema operativo de la PC? automtica del Sistema Operativo
Las opciones de No, est reservado para el usuario
configuracin del sistema administrador del sistema,
03 4
estn al alcance de los protegido por contrasea.
usuarios?
El usuario comparte la No, solo tiene activada la opcin de
04 totalidad de sus recursos? acceso remoto para efectos de 4
asistencia tcnica remota.
Se tiene instalado en los No, solo hay protector al prender el
05 terminales protectores de equipo o despus de hibernacin. 2
pantalla con clave?
El usuario puede extraer S, pero est prohibido extraer
06 informacin de su PCs para informacin de la empresa por 3
cualquier fin? cualquier medio.
Total 21
Puntaje Mximo 30
Total 23/30 70.00 %
MANTENIMIENTO DE LOS SISTEMAS OPERATIVOS

Los cambios de versiones Si, el Gestor TI aprueba la
de los sistemas operativos propuesta de actualizacin de
5
01 deben contar con versiones/cambio de Sistemas
autorizacin del Gestor de Operativos
Tecnologa de Informacin?
Se pueden tener diferentes No, la actualizacin de versiones se
sistemas despliega en todas las PCs de la
02 5
operativos/versiones en las red, por un tema de compatibilidad.
PCs de la red?
El mantenimiento del No, solo cuando se encuentran
sistema operativo es dificultades.
03 1
prolongado? Se realiza
peridicamente?
Se utiliza algn software Si, el software libre Ccleaner
04 para el mantenimiento del 4
sistema operativo?
Durante la instalacin el Si, se tiene una PC de contingencia,
usuario cuenta con otro la cual est configurada y cuenta
05 5
equipo para la continuacin con el software estndar que se
de sus labores? instala en todas las PCs.
Total 22
Puntaje Mximo 25
Total 22/25 88.00 %
ADQUISICION Y/O INSTALACION DE SOFTWARE

Se cuenta con todas las Si, las aplicaciones instaladas son
5
01 licencias correspondientes adquiridas con sus respectivas
para todas las aplicaciones? licencias.
Cualquier usuario puede No, est prohibido al usuario el
02 instalar software adicional instalar software 4
en su PC?
Existen procedimientos Si, existe el procedimiento
03 para la instalacin de ST10303 Instalacin de Software 4
software? en computadoras.
Existen polticas para la Si, existen la poltica P-ST103
04 instalacin de las Derecho de Propiedad Intelectual 2
aplicaciones?
Existen polticas para la Si, existe la poltica P-ST103 y su
actualizacin y/o procedimiento ST10306F01
05 5
adquisicin de software? Requerimiento de Hardware
(Equipo TI) Software.
Se cuenta con S, existe el procedimiento
procedimientos de ST10104 Administracin de
06 5
Administracin de Licencias Licencias de Software.
de Software?
Total 27
Puntaje Mximo 30
Total 27/30 90.00 %
RESPALDO DE LA INFORMACION

Si, cada usuario cuenta con una
carpeta en el servidor de archivos
en el cual puede respaldar la
Se realizan copias de
informacin que genera. La 3
01 Seguridad de los
mayora de los usuarios cancelan la
documentos de los usuarios?
tarea programada en el momento de
ejecucin para copiar los archivos
en el servidor.
Con que frecuencia se El usuario debe realizar el respaldo
02 realizan las copias de de su informacin por lo menos una 3
seguridad? vez por semana.
Dnde se guardan las Las copias de seguridad son
03 copias de seguridad, quien es resguardadas en la Caja Fuerte de la 4
el responsable?
Oficina de Administracin. El
responsable es el Gestor de TI.
Se cuenta con Si, existe el procedimiento
procedimientos para el ST1010101 Respaldo y
04 5
respaldo de la informacin? Restauracin de la informacin de
Usuarios
Se cuentan con poltica para Si, existe la poltica P-ST104
05 el respaldo de la Copias de Respaldo. 5
informacin?
Existe algn tipo de S, est contemplado dentro de los
06 respaldo de los correos archivos a respaldar por el backup 3
electrnicos del usuario? del usuario.
Total 23
Puntaje Mximo 30
Total 23/30 76.67 %
MANTENIMIENTO Y OPERACIN DEL SOFTWARE

La instalacin del software No, en el servidor de archivos se ha
4
01 se realiza desde su disco de realizado copia de los discos de
instalacin original? instalacin del software.
La No, solo el usuario administrador
instalacin/desinstalacin tiene los privilegios de
02 del software puede ser instalacin/desinstalacin de 5
realizada por el usuario software.
final?
La oficina de Tecnologa de Si, se escapa de modo presencial
Informacin realiza charlas (charlas) y no presencial (correos,
03 4
de orientacin en el uso de publicacin y envi de manuales
las aplicaciones? instructivos).
Se realizan actualizaciones Si, al contar con las licencias
04 del software? respectivas, el software puede ser 5
actualizado on line.
Total 18
Puntaje Mximo 20
Total 18/20 90.00 %
PROTECCION DE LOS DOCUMENTOS

No, no est estipulado como
Cada usuario almacena con procedimiento, cada usuario es 3
01
clave sus documentos? libre de agregar una clave
lectura/escritura a su documento
Existe algn tipo de No.
proteccin especial para la
02 2
informacin mas critica de la
empresa?
Los usuarios pueden extraer Est prohibido extraer informacin
los documentos de la y/o documentacin, pero ellos igual
03 2
empresa mediante USB u lo hacen.
otros medios?
Quines tienen acceso a la El usuario es dueo de la
04 4
informacin? informacin y el Gestor de TI.
Total 12
Puntaje Mximo 20
Total 12/20 60.00 %
INFORMACION CRITICA DE LA EMPRESA

La empresa cuenta con S, el software ERP SAP/R3.
5
01 un software de gestin
integrado?
El uso de software de Si, todas las reas trabajan con los distintos
02 gestin abarca a todas las mdulos del SAP/R3 (Logstica, Finanzas 4
reas de la empresa? RR.HH, Mantenimiento Produccin).
La informacin No, la informacin generada por el SAP/R3 se
transaccional de la centralizada en el DATA CENTER (empresa
03 empresa esta tercerizada en Lima) que es la empresa 3
descentralizada en cada responsable de alojar fsicamente los servidores
sede? del SAP/R3.
El software de gestin es Si, se cuenta con consultores de TI
actualizado por personal especializados en cada mdulo del SAP,
04 de la empresa? quienes realizan nuevas transacciones y 4
reportes segn los requerimientos de las
distintas reas de la empresa
Todos los usuarios de la No, cada mdulo tiene registrados
empresa pueden acceder a determinados usuarios segn lo soliciten las
05 5
los distintos mdulos del Gerencias de cada rea. El acceso se da
software de gestin? mediante el ingreso de usuario y clave.
Los usuarios del No, por un tema de costos de licencias, varios
software de gestin usuarios pueden acceder al software
06 utilizan claves nicas compartiendo una nica clave. El software 3
para el acceso al permite iniciar varias sesiones con la misma
software? clave.
El proveedor del No, las capaciones son llevadas por los
software brinda consultores de TI, estos replican a los Gestores
07 capacitacin a los y estos a su vez a los usuarios finales. 4
usuarios en el manejo del
mismo?
Total 28
Puntaje Mximo 35
Total 28/35 80.00 %
SEGMENTO 04: COMINICIONES
COMUNICACIONES EXTERNA
Todos los terminales tienen S, todos los terminales estn en la 5

01
acceso a internet? capacidad de conectarse a internet.
Se dispone de cortafuegos? Si, se tiene un cortafuego que est

02 4
asociado al proxy de la red, el cual
es administrado en la Oficina
Central de Lima.
Est limitado el acceso por Todos los usuarios tienen el mismo
03 3
puesto, usuario u otro? tipo de acceso.
Existen controles sobre las Si, mediante el proxy se ha
04 pginas accedidas? restringido el acceso a pginas de 4
internet no productivas.
Existen una poltica No se ha implementado.
05 definida para los accesos a 4
Internet?
Total 20
Puntaje Mximo 25
Total 20/25 80.00 %
COMUNICACIN INTERNA (RED LAN)

Se, se ha realizado segn las
El cableado de Red Lan est normas de cableado estructurado,
4
01 protegido por algn medio mediante ductos en el interior de las
fsico? paredes y canales para instalaciones
posteriores.
Existen normas y/o Si, existe el procedimientos
procedimientos para la ST10301 Reemplazo de Equipos
02 4
conexin de un nuevo
equipo a la red?
Existe un inventario de Si, la Gerencia de TI mantiene un
equipos de hardware y inventario de los equipos de
03 4
software asociados la red de hardware y software.
datos?
Existe un plan de No se encuentra documentado.
contingencia en
04 2
comunicaciones ante
cualquier desastre?
Se cuenta con No se encuentra documentado.
documentacin de los
05 procedimientos de operacin 2
de los recursos de
comunicacin?
Cada una de las estaciones Si, el Sistema Operativo solicita el
de trabajo cuenta con claves ingreso de un user y passaword
06 5
de acceso? cada vez que se inicia una estacin
de trabajo.
Se ha dado charlas sobre las Si, se realiza charlas sobre el
polticas para la creacin y estndar que deben mantener las
07 4
mantenimiento de las clave claves de los usuarios y del periodo
de acceso a la red? de vigencia de estas.
Total 26
Puntaje Mximo 35
Total 26/35 74.29 %
COMUNICACIN DE VOZ

Se cuenta con una Central Si, se cuenta con una central marca
telefnica para las Norstar. 5
01
comunicaciones de la
planta?
Los usuarios de la red Si, los usuarios pueden realizar
02 cuentan con telfonos en sus llamadas externas mediante el uso 4
oficinas? De qu tipo? de claves.
Los usuarios de la red Si, los usuarios pueden realizar
03 pueden realizar llamadas llamadas externas mediante el uso 5
externas desde sus anexos? de claves.
La clave para realizar No, cada usuario tiene posee una
04 llamadas externas es nica? clave personal para realizar 5
llamadas externas.
Existen un solo nivel de No, de acuerdo al nivel de acceso
acceso para las claves de asignado a la clave del usuario, este
05 llamada externa de los puede realizar llamadas locales, 5
usuarios? nacionales, internaciones,
celulares, etc.
Total 24
Puntaje Mximo 25
Total 24/25 96.00%
CORREO ELECTRONICO

Disponen de correo Si, los usuarios de la red disponen
5
01 electrnico todos los de una cuenta de correo electrnico.
usuarios?
Todos los usuarios tienen S, todos los usuarios utilizan el
02 instalado el mismo cliente de Microsoft Outlook 5
correo?
Se han establecido normas No se han implementado.
03 y polticas del uso del correo 2
electrnico?
Existe algn control sobre No, falta implementar este tipo de
04 los mensajes que se envan control. 2
y/o reciben?
Se realizan copias de Si, cada usuario es responsable de
seguridad de los correos? realizar el backup de su
05 3
informacin que incluye sus
archivos de correo.
Est establecido el uso de No, cada usuario es libre de agregar
claves para la apertura de los una contrasea a sus archivos de
06 3
archivos de datos de correo datos de correo.
al inicializarse el cliente?
Total 20
Puntaje Mximo 30
Total 20/30 66.67 %
SEGMENTO 05: SEGURIDAD FSICA
SEGURIDAD FSICA DE DATOS

Se almacena alguna copia No. Solo se almacena una copia en
2
01 de los Backup en un Centro la Oficina de Administracin
Externo?
El acceso es restringido en Si, se almacena en la caja fuerte de
los lugares donde se la Oficina de Administracin de la
02 4
almacenan las copias de Planta.
seguridad?
Existe un procedimiento del No, existe un procedimiento
transporte de las copia de documentado.
03 2
seguridad desde la oficina
hacia un local externo?
Los archivos importantes No todos los archivos importantes
de la organizacin estn estn protegidos contra
04 3
protegidos contra impresiones autorizadas.
impresiones no autorizadas?
Total 11
Puntaje Mximo 20
Total 11/20 55.00 %
CONTROL DE ACCESOS

No existe una poltica de acceso,
Se tiene implementado una 2
01 solo se permite el acceso a personal
poltica de autorizacin de
que tenga que realizar trabajos
entradas a la Oficina de especficos de mantenimiento de
Tecnologa de Informacin? algn equipo.
Existe algn control que Si, equipos de comunicacin se
impida el acceso fsico a los encuentran en un gabinete con
recursos a personal no llave. El acceso a la oficina de TI se
02 4
autorizado? encuentra permanente cerrado con
llave y solo ingresa personal
autorizado.
Una vez pasados los filtros Si, los visitantes solo tienen acceso
de identificacin, Se han a los recursos autorizados
03 separado los recursos a los 4
que tiene acceso cada
usuario?
Quedan registrados las Si, se llena un cuadro con la lista de
entradas y salidas a la visitantes, motivo fecha y duracin
04 4
Oficina de Tecnologa de del ingreso
Informacin?
Se cuenta con vigilancia las Si.
05 4
24 horas del dia?
Existe algn control del uso No se han implementado. Por lo
de los medios magnticos, que muchas veces los usuarios
06 2
USB, etc.? introducen sus dispositivos
infectados de virus.
Total 20
Puntaje Mximo 30
Total 20/30 66.67 %
EQUIPOS DE SEGURIDAD

Utilizan Grupos Si, solo en casos de corte de fluido
4
01 Electrgenos para la elctrico.
generacin de energa?
Los Grupos Electrgenos No, slo en casos de corte de fluido
02 4
trabajan las 24 horas del da? elctrico.
El equipo principal de la red Si, est conectado a un UPS de
03 5
cuenta con UPS? 6KVA.
Existen filtros y Si, se cuenta con una red elctrica
estabilizadores elctricos en estabilizada que pasa por un UPS
04 la red elctrica de suministro de 6KVA y un estabilizador 5
a los equipos de ferroresonante de 10KVA
comunicacin?
Se cuenta con una lnea de Si, y esta compuesta por la lnea
tensin independiente para elctrica estabilizada donde los
05 los equipos de red? tomacorrientes estn debidamente 4
identificados con el rotulo SOLO
COMPUTO.
Tienen instalado un pozo a Si, se cuenta con 3 pozos a tierra
06 4
tierra? conectados en paralelo.
Total 26
Puntaje Mximo 30
Total 26/30 86.67 %
OFICINA DE TECNOLOGIA DE INFORMACION

La oficina de Tecnologa de No, para la cantidad de equipos
2
01 Informacin cuenta con una instalados se considera pequea. (4
oficina adecuada? m. x 1.5 m)
Est protegida contra Si, solo con extintor de polvo
02 3
incendios? qumico, para equipos elctricos.
Est protegida contra los S, no existen tuberas de agua que
03 daos por agua? pasen cerca de la oficina de 4
Tecnologa de Informacin.
Se cuenta con un sistema de Si, se mantiene la temperatura
04 4
aire acondicionado? ambiente entre los 18 y 21 C
Hay un responsable de la Si, el Gestor de Tecnologas de
05 seguridad en la Oficina de Informacin. 4
Sistema?
Existe un plan de No se ha documentado
06 2
seguridad?
Total 19
Puntaje Mximo 30
Total 19/30 63.33 %
Paso N 04
CLCULO DE SEGMENTOS
N SECCION PESO FINAL EVALUACIN
01 Software 5 88.00 %
02 Estndares para equipos 7 72.29 %
03 Plan de Contingencia y Respaldo de

Informacin 8 65.00 %
Total 20
Evaluacin de Normas y Estndares 73.30 %
RECOMENDACIONES
Desarrollar un plan de contingencia el cual permita garantizar la rpida puesta en
marcha de todos los sistemas informticos y/o equipos de comunicaciones de
acuerdo a las prioridades establecidas en el plan, ante cualquier desastre o delito
informtico que impida su normal funcionamiento.
El rea de logstica debe atender con mayor rapidez los requerimientos de

dispositivos con materiales y/o herramientas, para la ejecucin del programa de
mantenimiento segn lo establecido.
La gerencia de TI debe ser la encargada de proporcionar las caractersticas

tcnicas especficas de los bienes de TI a adquirirse, tambin debe de ser
responsable de la evaluacin de los proveedores de servicios de tecnologas de
informacin para esto se deber asignar esta responsabilidad a un empleado del
rea de TI.
Dentro de las polticas de TI se debe especificar como un DEBER del trabajador

el realizar verificar su backup semanal de informacin y debe contemplarse
como FALTA del empleado el no realizar esta tarea
N SECCION PESO FINAL EVALUACIN
01 Sistema Operativo de Redes 9 80.00 %
02 Sistema Operativo para los usuarios

finales 6 76.67 %
03 Mantenimiento de los Sistemas

Operativos 5 88.00 %
Total 20
Evaluacin de los Sistemas Operativos 81.00 %
RECOMENDACIONES
Se debe asignar al Gestor de TI mayores privilegios/responsabilidades en la

Administracin del Sistema Operativo de la red adquirido por la Empresa.
Se debe restringir el acceso a dispositivos USB slo a personal autorizado, para

el resto de empleados debera estar inhabilitado desde las Polticas de Grupo.
Se debe incluir en las Polticas y agregarse un Procedimiento de Autorizacin de

uso de dispositivos USB.
N SECCION PESO FINAL EVALUACION
01 Licencia e instalacin de Software.

4 90.00 %
02 Respaldo de la Informacin. 5 76.67 %

03 Mantenimiento y Operacin del
3 90.00 %
Software Bsico.
04 Proteccin de los Documentos
3 60.00 %
generados.
05 Informacin Crtica de la Empresa
5 80.00 %
Total 20
Evaluacin del Software Bsico 79.68 %
RECOMENDACIONES
El rea de Tecnologa de Informacin debe dar charlas de orientacin sobre
importancia de las Copias de Seguridad a todos los usuarios, con la finalidad de
garantizar la realizacin de las Copias de Respaldo.
Coordinar y determinar cul es la informacin critica en la empresa, para

establecer y aplicar polticas de seguridad que garanticen su respaldo.
El rea de Tecnologa de Informacin debe establecer polticas para restringir el

uso de medios magnticos y dispositivos como el USB, los cuales no le permitan
a los usuarios la manipulacin de los documentos e informacin con otros fines
que no correspondan en la empresa, con la finalidad de prevenir el espionaje
corporativo.
SEGMENTO 04: COMUNICACIONES
01 Comunicaciones Externa. 6 80.00 %
Comunicacin de Datos (Red LAN)

02 7 74.29 %
03 Comunicacin de Voz. 4 96.00 %
04 Correo Electrnico. 3 66.67%
Total 20
Evaluacin de las Comunicaciones 79.20 %
RECOMENDACIONES
El rea de Tecnologa de Informacin debe implementar un Plan de

Contingencia en Comunicaciones, el cual le permita garantizar la rpida
operatividad y protecciones de todos los componentes de comunicaciones.
Establecer Normas y Procedimientos de Administracin de la Infraestructura de

la Red, Gestin de Servidores y Equipos de Comunicaciones.
Establecer Normas y Polticas de uso adecuado del Correo Electrnico, as como

tambin las sanciones a quien incurran en faltas dolosas contra la empresa.
SEGMENTO 05: SEGURIDAD FISICA
01 Seguridad Fsica de datos. 6 55.00 %
02 Control de Accesos. 3 66.67 %

03 Equipos de Seguridad. 5 86.67%
04 Oficina de Tecnologa de Informacin. 7 63.33%
Total 20
Evaluacin de la Seguridad Fsica 70.33 %
RECOMENDACIONES
Implementar un Plan de Seguridad, el cual nos permita garantizar la

salvaguarda de todos los equipos informticos de la empresa, incluyendo los
equipos de seguridad, infraestructura de red e infraestructura fsico del Centro de
Informacin.
Se debe almacenar los Backups de Informacin en un lugar externo a la

empresa, con la finalidad de recuperar la informacin, en caso de algn tipo de
desastre dentro de la empresa.
Sera conveniente que las lectoras de discos y puertos USB se deshabiliten desde
la BIOS de cada mquina, debido a que estas unidades no son de vital
importancia para los usuarios. Si llega a ser necesario, para realizar alguna tarea
de mantenimiento, el administrador de sistemas puede ingresar al BIOS del
equipo (utilizando la contrasea que el suministro), habilitar el dispositivo
necesario y, una vez utilizado, deshabilitarlo nuevamente.
El Gerente de TI debe cocinar y hacer los trmites correspondientes, para contar

con una Oficina de Tecnologa de Informacin adecuada y se apegue a los
estndares.
EVALUACION DE LA AUDITORIA A LA SEGURIDAD INFORMATICA
Resultados segn el resultado de todos los Checklist.
N SEGMENTO PESO FINAL EVALUACION
01 Normas y Estndares 23 73.30 %
02 Sistemas Operativas 18 81.00 %

03 Software Bsico 16 79.68 %
04 Comunicaciones 24 79.20 %
05 Seguridad Fsica 19 70.33 %
Total 100
Evaluacin de la Seguridad Fsica 76.57 %
GRAFICO DEL RESULTADO DE LA AUDITORIA A LA SEGURIDAD

INFORMATICA
SEGMENTO
82.00%
80.00%
78.00%
76.00%
74.00% 81.00%
72.00% 79.68% 79.20%
70.00% 73.30%
68.00% 70.33%
66.00%
64.00%

Proyecto Auditoria para Tesis

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Proyecto Auditoria para Tesis

Încărcat de

Drepturi de autor:

Formate disponibile

ESTUDIO INICIAL DEL ENTORNO AUDITABLE

1. ARQUITECTURA Y CONFIGURACION DE HARDWARE Y SOFTWARE

2. INVENTARIO DE HARDWARE Y SOFTWARE

Caractersticas del Servidor DHCP

Caractersticas del Servidor de Aplicaciones, Archivos y Backup

MARCA MODELO PROCESADOR RAM(GB) DISCO(GB)

N AREA CARGO TIPO MARCA MODELO PROCESADOR RAM(GB) DISCO(GB)

N AREA CARGO TIPO MARCA MODELO PROCESADOR RAM(GB) DISCO(GB)

17 FARMACIA ENFERMERA Desktop DELL INSPIRON 3050 Intel Core i3 4 512

18 CAJA CAJERO Desktop DELL INSPIRON 3050 Intel Core i3 4 512

19 RECEPCIN ENFERMERA Desktop DELL INSPIRON 3050 Intel Core i3 4 512

ITEM MARCA MODELO TIPO AREA

1 HP LASER JET PRO Multifuncional Administracin

2 HP OFFICEJET Multifuncional Contabilidad

3 EPSON L220 Multifuncional Departamento Medico

4 EPSON L220 Multifuncional Departamento Medico

5 EPSON L220 Multifuncional Departamento Medico

6 EPSON L220 Multifuncional Departamento Medico

7 EPSON L220 Multifuncional Departamento Medico

8 EPSON L220 Multifuncional Departamento Medico

9 EPSON L220 Multifuncional Departamento Medico

10 EPSON L220 Multifuncional Departamento Medico

11 EPSON L220 Multifuncional Recepcin

12 ESPSON TM U220 Ticketera Caja

Inventario de Equipos de Redes y Comunciaciones

ITEM MARCA MODELO TIPO AREA

El Switch del tem 09 se encuentra como equipo de contingencia

Inventario de Equipos de Seguridad

ITEM TIPO CONDICION MARCA MODELO AREA

1 UPS Propio CENTRALION BLAZER 2000 Gabinete tolvas

2 UPS Propio CENTRALION BLAZER 1000 Gabinete Calidad

3 UPS Propio CENTRALION TITAN 10KVA Oficina de TI

4 UPS Propio CENTRALION MP-110 Oficina de TI

TITAN 1KVA-TRUE Almacen Prod.

Transformador de Gabinete Principal

a) Sistemas de Informacin: El Policlinico Rivera cuenta con un Sistema el

b) Software Bsico: Sistemas operativos, procesadores de texto, hojas de

DISCOVERY HAWK 5.9

1 ADMINISTRACION GESTOR TI Servidor X X X X X

DISCOVERY HAWK 5.9

31 SUPERINTENDENCIA SUPERINTENDENTE Desktop

WINDOWS SERVER 2003

3. HERRAMIENTAS Y TECNICAS DE TRABAJO

La tcnica a usar para revisar la situacin y cuotas de eficiencia de la Seguridad

- Entrevistas, a las siguientes personas (Anexo N02):

- Clculo y ponderacin de Secciones y Segmentos.

Segmento 2: Seguridad de Sistema Operativo.

Se evaluar los sistemas operativos de redes y de usuarios de redes

En este segmento se evaluar todos los aplicativos con que se

Segmento 4: Seguridad de Comunicaciones.

Se evaluar la seguridad en las comunicaciones a nivel local,

Segmento 5: Seguridad Fsica.

Se evaluar la seguridad fsica de los equipos de cmputo y de la

PESO PESO PESO

SEGMENTO 01: NORMAS Y ESTANDARES

SEGMENTO 03: SOFTWARE BASICO

SEGMENTO 04: COMUNICACIONES

SEGMENTO 05: SEGURIDAD FISICA

N PREGUNTA RESPUESTA PUNTAJE

ESTANDARES PARA EQUIPOS

N PREGUNTA RESPUESTA PUNTAJE

PLAN DE CONTINGENCIA Y RESPALDO DE INFORMACION

N PREGUNTA RESPUESTA PUNTAJE