Sunteți pe pagina 1din 8

INSTITUTO POLITÉCNICO NACIONAL

UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y


CIENCIAS SOCIALES Y ADMINISTRATIVAS

AUDITORIA INFORMÁTICA

AUDITORIA DE REDES

EQUIPO 2
HERNÁNDEZ ROJAS REBECA
MARISCAL MARISCAL ALEXIS
MEDINA HUERTA DANTE ZOE
SALOMÓN ROSALES PAULINA
SÁNCHEZ PÉREZ ERICK

5CM81

26-11-2018
INDICE

INFORME ................................................................................................................... 1
RESUMEN ................................................................................................................. 2
AUDITORIA DE RED ................................................................................................. 3
CONCLUSION ........................................................................................................... 6
INFORME

Hemos auditado el área de redes de “CORPORATIVO EGA” que comprende la


situación actual del 22 de noviembre de 2018, presentando los resultados obtenidos
de las vulnerabilidades en la red, interna y externa, la gestión de la red, la red física y
red lógica, así como un resumen general e información explicativa.

Responsabilidad del área de Tecnologías de la Información con la parte de


redes.
El área de TI es responsable de la administración, mantenimiento, control y correcto
funcionamiento de la red con la que cuenta “Corporativo EGA”
Responsabilidad del auditor
Nuestra responsabilidad es expresar una opinión sobre la red con la que cuenta
“Corporativo EGA” basada en nuestra auditoria. Llevamos a cabo nuestra auditoria
conforme a los capítulos estudiados en clase y extra-clase, obtenidos del libro-guía
“Auditoria de Tecnologías de Sistemas de Información – Mario Piattini Velthuis”. Dicho
libre sugiere que cumplamos en algunos puntos específicos para esta auditoria como
son:
 Vulnerabilidad en la red.
 Intranet, extranet e internet.
 Gerencia de comunicación.
 Red física
 Red lógica.

Esta auditoria conlleva la aplicación de nuestros conocimientos y procedimientos para


obtener evidencia de auditoria sobre los importes y la información revelada en la red.
Los procedimientos realizados fueron entrevistas al personal de TI y observación
directa a las partes involucradas en la realización de esta auditoría.
Esta auditoria también incluye la evaluación del estado actual de la empresa conforme
a nuestro criterio, una estimación de funcionalidad y la presentación del desempeño
del área de TI conforme a la red.

Consideramos que la evidencia de auditoria que hemos obtenido en nuestra auditoria


proporciona una base firme y adecuada para partir sobre ella a puntos más
específicos que se requieran en un futuro.
RESUMEN

La empresa “Corporativo EGA” se encuentra bien posicionada conforme a la


tecnología necesaria para mantener la red de la misma, cuenta con personal
capacitado para dar el soporte adecuado y escalar la red.
Un inconveniente dentro del área de TI es que no todos los empleados están
empapados de la parte física de la red, ocasionando demoras en algunas ocasiones
cuando se presentan problemas como el cambio de conectores para cable UTP, por
la falta de práctica.
También cuentan con el problema de la cantidad de personal, solo son 3 personas
las que pueden ofrecer soporte a la red de forma inmediata, de los cuales solo 2 tienen
el conocimiento suficiente para atender cualquier necesidad.
La protección de la información dentro de la empresa es formidable, pues cuentan
con la infraestructura y software adecuado para llevarlo a cabo.
La autorización de información es jerárquica de modo que el área de TI únicamente
puede acceder a conceder servicios de plataformas de video cuando la dirección lo
autorice o cuando sea de mayor relevancia de acuerdo con el área que solicite. Por
otro lado, las redes sociales son igualmente limitadas para todas las áreas menos
Servicio al Cliente al tener que tratar directamente con los clientes y darles una mejor
atención de forma personalizada y sin contratiempos como puede ocasionar el
intercambio de correo electrónico.
Los usuarios de las distintas áreas al tener limitantes en el contenido que pueden
consumir dentro de la empresa han ayudado a que no se presente una contingencia
del tipo informático en el que se infecten muchos equipos, por lo tanto, es bueno el
control que tienen.
Las instalaciones tanto eléctrica como de red siguen las normas de tipo estructurado,
dando la confiabilidad necesaria para escalar ambas según se requiera.
El sistema de respaldo de energía eléctrica es bueno ya que cuentan con 12 horas
continuas para continuar trabajando y aun al termino de esas 12 horas se tienen las
reservas necesarias para funcionar más tiempo, según sea el caso.
Cuentan con un inventario del equipo que se tiene en toda la empresa, para la parte
de red se cuenta con un inventario pequeño el cual solo indica el nombre de equipo,
número de usuarios (en caso de aplicar) y localización física.
EQUIPO 2 AUDITORIA INFORMATICA HOJA 1 DE 3

NOMBRE DE LA EMPRESA: CORPORATIVO EGA

EJERCICIO A AUDITAR RED

PERSONAL ASIGNADO A LA AUDITORIA

PERSONAL NOMBRE CARGO INICIALES CORREO ELECTRONICO.


1 HERNANDEZ ROJAS REBECA Vulnerabilidad. HRR HRR_EQ2@AI.COM
2 MARISCAL MARISCAL ALEXIS Red interna/externa. MMA MMA_EQ2@AI.COM
3 MEDINA HUERTA DANTE ZOE Gerencia de MHDZ MHDZ_EQ2@AI.COM
comunicación.
4 SALOMON ROSALES PAULINA Red física. SRP SRP_EQ2@AI.COM
5 SANCHEZ PEREZ ERICK GABRIEL Red lógica. SPEG SPEG_EQ2@AI.COM
EQUIPO 2 AUDITORIA INFORMATICA HOJA 2 DE 3

PLAN DE AUDITORIA
No. Actividad Descripción Iniciales del Calificación.
personal.
1 ¿Cuenta con algún detector de No, actualmente no cuentan con uno. HRR 0
vulnerabilidades?
2 ¿Los usuarios cuentan con contraseñas de No, los usuarios únicamente cuentan con la contraseña HRR 10
correo electrónico, asistencia remota u otra de usuario para el inicio en su equipo, las demás
aplicación que pueda poner en riesgo la credenciales son administradas por el área de TI
información?
3 ¿Qué tipo de aplicaciones están permitidas Redes sociales: WhatsApp, Facebook, twitter. HRR 10
dentro de la empresa: redes sociales, Únicamente para el área de servicio al cliente.
plataformas de video, terminal virtual, ¿etc.? Plataforma de video: YouTube, únicamente para áreas
solicitadas por dirección.
4 ¿Con que tipo de protección cuenta la intranet Firewall y antivirus y control mediante Kaspersky. Cada MMA 10
de la extranet? servidor cuenta con su respectivo respaldo en periódico
en caso de una incidencia/catástrofe, sin embargo, la
información contenida al ser delicada no se encuentra
almacenada fuera de la empresa.
5 ¿cuenta con DMZ? Si, su configuración es estándar del tipo internet – MMA 10
enrutador externo – firewall – DMZ (Proxy apoderado –
Detección de intrusos) – firewall – enrutador interno /
servidor intranet – red interna.
6 ¿Cómo están controladas las IP dentro de la Están controladas de forma estática, siendo otorgadas MHDZ 10
empresa? por el personal de sistemas una vez que se registra la
Mac address dentro del servidor.
7 ¿Cuentan con mas de un área servidores? Si, contamos con 5 áreas mas además de la principal. MHDZ 10
8 ¿Los componentes de la red como servidores Si, cuentan con cámaras y un sistema biométrico de MHDZ 10
externos al área de TI dispersos en la huella digital, que únicamente el personal de TI tiene
empresa cuentan con algún tipo de permisos.
seguridad?
9 ¿Las áreas en donde se alojan a los Si, todas las áreas cuentan con aire acondicionado y se SRP 10
componentes de la red cuentan con las mantienen 24/7 operando.
condiciones óptimas?
10 ¿Se filtra el correo electrónico recibido? Si, se filtra por relevancia y autenticidad mediante filtros SPEG 10
por parte de Kaspersky.

11 ¿Las políticas de comunicación se Si, se actualizan periódicamente cada 6 meses según las SPEG 10
encuentran vigentes? necesidades que vayan surgiendo.
12 ¿Las políticas de comunicación se Si. SPEG 10
encuentran aprobadas por la dirección?
13 ¿Los procedimientos y mecanismos de la red No, actualmente no se cuenta con documentación de la MHDZ 10
se encuentran documentados y verificados? red, pero se está trabajando en ello.

14 ¿Con que tipo de cableado cuenta la Cuenta con cableado estructurado de campus al tener SRP 10
empresa? que cubrir una gran área

15 ¿Cuáles son los tipos de cableado Par trenzado y fibra óptica. SRP 10
estructurado con los que cuenta?
16 ¿La instalación eléctrica es la adecuada para Si. SRP 10
cada zona de trabajo?
17 ¿Los equipos de red cuentan con algún Si, se cuenta con una planta que surte de electricidad al SRP 10
respaldo de energía eléctrica en caso de área de TI durante 12 horas continuas.
fallo?
18 ¿Cuenta con algún procedimiento de respaldo Cada servidor cuenta con su respectivo respaldo MHDZ 10
el área de red? periódico (diario a las 7PM). En caso de una
incidencia/catástrofe, sin embargo, la información
contenida al ser delicada no se encuentra almacenada
fuera de la empresa.
19 ¿Cuenta con el inventario actualizado de los Si, se cuenta con un inventario sencillo. MHDZ 10
equipos en uso de red?
20 ¿La información interna cuentan con algún Si. SPEG 10
tipo de encriptación?

PROMEDIO 9.5

EQUIPO 2 AUDITORIA INFORMATICA HOJA 3 DE 3


CONCLUSIÓN

Consideramos que la evidencia de auditoria que hemos obtenido en nuestra auditoria


proporciona una base firme y adecuada para partir sobre ella a puntos más
específicos que se requieran en un futuro.

En nuestra opinión es necesario que la empresa “Corporativo EGA” realice la


documentación pertinente lo mas pronto posible, por cualquier sucedo que pueda
llegar a presentarse, así como compartir mejor la información dentro de la misma área
de TI para que todo el personal este enterado sobre los procedimientos necesario que
conlleva mantener la red de la empresa.