INFORME DE AUDITORIA

INFORMATICA

GP
UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURIMAC.

UNIVERSIDAD NACIONAL MICAELA

BASTIDAS DE APURÍMAC
ESCUELA PROFESIONAL DE INGENIERÍA
INFORMÁTICA Y SISTEMAS

“Año de la consolidación del Mar de

Grau”
ASIGNATURA : Seguridad Protección y Auditoria Informática

TEMA : Informe de Auditoria

DOCENTE : Ing. Francisco Cari Incahuanaco

ALUMNOS :
 Menacho Alvarez Vani
Judith
 Atahua Villegas Celinda

Abancay - Apurímac

2016

1
 UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURIMAC.

Índice
INFORME FINAL DE AUDITORIA INFORMATICA ....................................................... 4
I. Datos generales de la empresa o institución auditada ............................................................ 4
1.1. Identificación de la empresa o institución ....................................................................... 4
1.2. Razón social: ...................................................................................................................... 4
1.3. Identificación del área auditada: ..................................................................................... 4
1.4. Calendarización:................................................................................................................ 4
II. Bases legales de la auditoria informática ............................................................................... 5
III. Objetivos de la Auditoria Informática..................................................................................... 7
IV. Objetivos generales .................................................................................................................... 7
V. Objetivos Específicos ................................................................................................................. 7
VI. Proceso de ejecución de la auditoria informática ................................................................... 8
6.1. Fases de la auditoria.......................................................................................................... 8
6.1.1. Planeación. .......................................................................................................... 8
6.1.2. Revisión preliminar ............................................................................................. 8
6.1.3. Revisión detallada ............................................................................................... 8
6.1.4. Diagnostico Físico de la Computadora: Nº Pc18 ................................................ 9
6.1.5. .................................................................................................................................. 12
6.1.6. .................................................................................................................................. 12
6.1.7. Diagnostico Lógico de la computadora del laboratorio 406.............................. 13
6.1.8. Situación Actual Del Ambiente del Laboratorio 406 ....................................... 14
6.1.9. Descripción del Ambiente del Laboratorio 406. ............................................... 14
6.1.10. Recomendaciones .............................................................................................. 15
6.1.11. Función operacional de los equipos .................................................................. 15
6.1.12. Examen y evaluación de la información ........................................................... 15
6.1.13. Pruebas de controles de usuarios ....................................................................... 15
6.1.14. Pruebas sustantivas ............................................................................................ 16
6.2. Análisis y evaluación de la auditoria informática ........................................................ 16
6.2.1. Evaluación de los sistemas de acuerdo a los riesgos ......................................... 16
6.2.2. Investigación preliminar .................................................................................... 17
6.2.3. Herramientas utilizadas en la auditoria ............................................................. 18
6.2.4. Alcances y Limitaciones de la Auditoría........................................................... 18

2
 UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURIMAC.

6.2.5. Conclusiones de acuerdo a la normatividad .................................................. 18

6.2.6. Recomendaciones .......................................................................................... 18
6.2.7. Personal participante ......................................................................................... 19

3
 UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURIMAC.

INFORME FINAL DE AUDITORIA INFORMATICA

I. Datos generales de la empresa o institución auditada

1.1. Identificación de la empresa o institución

UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURIMAC

1.2. Razón social:

Av. Inca Garcilazo de la Vega, Abancay.

1.3. Identificación del área auditada:

LABORATORIO DE REDES 406 DE LA CARRERA

PROFESIONAL INGENIERIA INFORMATICA Y SISTEMAS
1.4. Calendarización:

Actividades Fechas Programadas

Fecha de iniciación 11 - 11 – 2015
Recolección de información 11 – 11 – 2015
Análisis de la información 25 – 11 – 2015 - 02 – 12 - 2015

4
 UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURIMAC.

Entrega del informe 11 – 01 – 2016

II. Bases legales de la auditoria informática

2.1. Legislación informática

 Artículo 184: Hace mención a la intimidad sobre el soporte informático.

 Artículo 185: Menciona de imponer una pena mayor si la intimidad del

soporte informático es realizada por personas encargadas o
responsables.

 Artículo 32: Hace referencia a los derechos que tiene la persona que
aparece como autor de los programas utilizados en un ordenador.

 Artículo 2: El que deliberada ilegítimamente accede a todo o en parte

de un sistema informático, siempre que se realice con vulneración de
medidas de seguridad establecidas para impedirlo, será reprimido con
pena privativa de libertad no menor de uno ni mayor de cuatro años y
con treinta a noventa días-multa.

 Artículo 3 (Atentado contra la integridad de datos informáticos):El

que, a través de las tecnologías de la información o de la comunicación,
introduce, borra, deteriora, altera, suprime o hace inaccesibles datos
informáticos, será reprimido con pena privativa de libertad no menor de
tres ni mayor de seis años y con ochenta a ciento veinte días multa.

 Ley Nº 28612: ley que norma el uso, adquisición y adecuación del

software en la administración pública

 Artículo 1(Objeto de la Ley): La presente Ley tiene por objeto

establecer las medidas que permitan a la administración pública la

5
UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURIMAC.

contratación de licencias de software y servicios informáticos en

condiciones de neutralidad, vigencia tecnológica, libre concurrencia
y trato justo e igualitario de proveedores.

 Ley N° 27309: Ley que incorpora los delitos informáticos al código

penal.

 Artículo 207° - A: El que utiliza o ingresa indebidamente a una base de

datos, sistema o red de computadoras o cualquier parte de la misma,
para diseñar, ejecutar o alterar un esquema u otro similar, o para
interferir, interceptar, acceder o copiar información en tránsito o
contenida en una base de datos, será reprimido con pena privativa de
libertad no mayor de dos años o con prestación de servicios
comunitarios de cincuenta y dos a ciento cuatro jornadas. Si el agente
actuó con el fin de obtener un beneficio económico, será reprimido con
pena privativa de la libertad no mayor de tres años o con prestación de
servicios comunitarios no menor de ciento cuatro jornadas.

 Artículo 207°-B : El que utiliza, ingresa o interfiere indebidamente una

base de datos, sistema, red o programa de computadoras o cualquier
parte de la misma con el fin de alterarlos, dañarlos o destruirlos, será
reprimido con pena privativa de libertad no menor de tres ni mayor de
cinco años y con setenta a noventa días multas.

 Artículo 208°:No son reprimibles, sin perjuicio de la reparación civil,

los hurtos, apropiaciones, defraudaciones o daños que se causen:

1. Los cónyuges, concubinos, ascendientes, descendientes y afines

en línea recta.
2. El consorte viudo, respecto de los bienes de su difunto cónyuge,
mientras no hayan pasado a poder de tercero.
3. Los hermanos y cuñados, si viviesen juntos.

6
 UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURIMAC.

III. Objetivos de la Auditoria Informática.

 Conocer la situación actual del área de los laboratorios y las actividades y

esfuerzos necesarios para lograr los objetivos propuestos.

 Seguridad de personal, datos, hardware, software e instalaciones.

 Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente del

laboratorio.

 Minimizar existencias de riesgos en el uso de Tecnología de información.

 Decisiones de inversión y gastos innecesarios.

 Elaborar el informe sobre auditoria informática del laboratorio de redes de la

escuela académica profesional de Ingeniería Informática y Sistemas es para
evaluar y mejorar dicho laboratorio en cuanto a su implementación y mejor
administración de todo el equipo.

IV. Objetivos generales

Proveer un manual de auditaría informática para el conocimiento del laboratorio de

computo de redes, en el que se detalle cada aspecto a evaluar en la ejecución de un
plan que examine el uso de los equipos de cómputos y recursos tecnológicos, en donde
además se identifiquen los problemas, las deficiencias técnicas y además proponer
soluciones para que se tomen las decisiones adecuadas.

V. Objetivos Específicos

 Evaluar los diferentes aspectos que involucran el buen funcionamiento del

centro de cómputo de redes (tales como: Infraestructura, entorno, mobiliario
y equipo, otros).

7
 UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURIMAC.

 Optimizar tiempo y recursos por parte de los encargados o jefes de

práctica, en el desempeño de un centro de cómputo.

 Verificar si la selección de equipos y sistemas de computación es adecuada.

 Evaluar la forma como se administran los dispositivos de almacenamiento

básico del laboratorio de cómputo de redes.

 Evaluar el control que se tiene sobre el mantenimiento y las fallas de los

case.

VI. Proceso de ejecución de la auditoria informática

6.1. Fases de la auditoria

6.1.1. Planeación.
En la planeación, nos organizaremos los personales de dicha
auditoria a realizar con todo el material necesario para realizar
dicha evaluación, se planificará de la mejor manera en un
periodo de tiempo u horario.
Se pedirá permiso a los responsables de laboratorio de redes
de la carrera de Ingeniería Informática y Sistemas de la
UNAMBA y así trabajar bajo responsabilidad de ellos y del
responsable.

6.1.2. Revisión preliminar

A la hora de realizar el diagnóstico situacional del área se
hará una análisis previa para la revisión del laboratorio, es
como una vista general, todo ello se realiza para verificar de
donde comenzar el análisis y evaluación de los equipos ya sea
lógico, físico y al área del laboratorio.

6.1.3. Revisión detallada

Una vez realizado la revisión general ahora nos realizaremos
a profundidad el laboratorio
 Iniciaremos por la parte de la operación física de los
equipos que contienen o están implementadas en el
laboratorio de la carrera de Ingeniería Informática y
Sistemas de la UNAMBA.

 Revisión detallada de cada monitor de cada case,

8
UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURIMAC.

verificar todo el perímetro de la pantalla, en la cual

detallaremos si está en buenas condiciones o no lo
está, si esta ya para cambiar el equipo entre otras
características.

6.1.4. Diagnostico Físico de la Computadora: Nº Pc18

a) Dispositivos Internos
 Placa Base

Tipo de procesador 4x , 3400 MHz

Nombre de la Placa Base Hewlett-Packard HP
Compaq Elite 8300 SFF
Chipset de la Placa Base Desconocido
Memoria del Sistema [ TRIAL VERSION ]
Tipo de BIOS Compaq (05/07/12)
Puerto de comunicación Puerto de
comunicaciones
(COM1)

 Propiedades Del Procesador

Fabricante Intel
Versión Intel(R) Core(TM) i7-3770 CPU
@ 3.40GHz
Reloj externo 100 MHz
Velocidad de reloj máxima 3800 MHz
Velocidad de reloj actual 3400MHz

 Almacenamiento

Controlador IDE Controladora ATA de serie

AHCI 1.0 estándar

9
UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURIMAC.

Disco duro hp v220w USB Device (3 GB,

USB)
Disco duro WDC WD10EZEX-60ZF5A0
ATA Device (931 GB, IDE)
Lector óptico hp DVD-RAM GH80N ATA
Device
Estado de los discos duros OK
SMART

 Multimedia

Tarjeta de sonido Controladora de High Definition Audio

[8086-1E20] [NoDB]

 Velocidad

Velocidad de reloj del procesador 3392.3 MHz (original: [ TRIAL

VERSION ] MHz)

 Propiedades De La CPU

Tipo de procesador 4x
(CPUID) Nombre de la CPU Intel(R) Core(TM) i7-3770 CPU @
3.40GHz
(CPUID) Revision 000306A9h

 Cache Del CPU

Caché L2 256 KB (Asynchronous)

 Propiedades De La Tarjeta Grafica

Descripción del dispositivo Tarjeta Gráfica VGA Estándar

identificación de la tarjeta VGA
Identificación de la BIOS Hardware Version 0.0

10
UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURIMAC.

Tipo de circuito Intel(R) Sandybridge/Ivybridge

Graphics Chipset Accelerated VGA
BIOS
Tipo de DAC 8 bit
Tamaño de la memoria 65472 KB

b) Dispositivos Externos
 Monitor

Monitor PnP genérico [NoDB] (CNC211R15J)

Tarjeta Grafica Tarjeta Gráfica VGA Estándar (65472 KB)

 Dispositivos De Entrada

Teclado Teclado PS/2

estándar
Ratón Mouse PS/2 de Microsoft

11
UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURIMAC.

6.1.5.

6.1.6.
 Propiedades Del Teclado

Teclado PS/2 estándar

Nombre del teclado
Tipo de Teclado Japanese keyboard
Disposición del teclado Spanish
Página de código ANSI 1252 -
@%SystemRoot%\system32\mlang.dll,-
4612

 Propiedades Del Ratón

Nombre del ratón Mouse PS/2 de Microsoft

Numero de botones 3
Localización Derecha
Velocidad del puntero 1

 Dispositivos

impresora Fax
Impresora Microsoft XPS Document Writer
Dispositivos USB Dispositivo de almacenamiento USB
Dispositivos USB Generic USB Hub

 Propiedades Del Monitor

Nombre del monitor Monitor PnP genérico [NoDB]
Identificación del monitor HWP2933
Modelo HP S1933
Fecha de fabricación Semana 11 / 2012
Número de serie CNC211R15J
Tamaño de visión máximo 41 cm x 23 cm (18.5")

12
UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURIMAC.

6.1.7. Diagnostico Lógico de la computadora del laboratorio

406.

a) Sistemas Operativos

WINDOWS PARTICION 571,78 GB

LINUX PARTICION 78.13 GB
CENTOS 6.3 PARTICION 15.62 GB

b) Programas Instalados
GOOGLE CROME
PSEINT
PUTTY
FOXIT READER
BORLAND C++
ZINJAI
NOTEPAD++
MOZILLA FIREFOX
MICROSOFT VISUAL STUDIO 2010
ECILPSE
NETBEANS IDE 6.9.1
SQL SERVER MAGEMENT
ERWIN DATA MODELER
MACROMEDIA FLASH 8
FILEZILLA

c) FIREWALL

Firewall de Windows 6.1.7600.16385 Activado

d) Tipo Del Sistema

Sistema operativo de 32 bits

13
UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURIMAC.

e) Tipo De Ordenador

Tipo de ordenador Equipo basado en ACPI x86

6.1.8. Situación Actual Del Ambiente del Laboratorio 406

 Los Equipos encuentran incompletos, cada estudiante no

puede contar con una computadora sino de dos a más.
 Los cables se encuentran dispersos en el ambiente.

 Computadoras y sillas no ordenadas

 No contamos con internet.

 No tenemos acceso a un servidor

 No se cuenta con computadoras completas para todos los

alumnos.

 La seguridad del aula no está garantizada.

 No cuenta con la limpieza adecuada nuestro laboratorio

406.

 Las conexiones, cables están fuera del lugar para hacer

practicas

 Los sistemas operativos instalados incompletos en cada

computadora

6.1.9. Descripción del Ambiente del Laboratorio 406.

Primero al ingresar al laboratorio se puede observar que la

puerta se abre con alambre, dado esta premisa no cuenta con
un cerrado correcto. También las ventanas no cuentan con la
higiene respectiva, con falta de limpieza en el ambiente.

14
UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURIMAC.

6.1.10. Recomendaciones

 Primero partimos desde el lugar donde se encuentra el

laboratorio, ya que el aspecto físico no se ve bien. Ya que
de los cases no están distribuidas correctamente, para ello
se recomienda realizar una conexión de cableado de
manera correcta, así para que el funcionamiento sea
eficiente.

 También recomendamos que se debe realizar un

mantenimiento al laboratorio periódicamente.

 Además se debe adquirir más estabilizadores para los

correctos funcionamientos de los case en cuanto a la
energía.

6.1.11. Función operacional de los equipos

En cuanto la función operacional en la parte lógica tenemos
lo siguiente:

Sistema Operativo Particiones.

WINDOWS PARTICION 571,78 GB
LINUX PARTICION 78.13 GB
CENTOS 6.3 PARTICION 15.62 GB

6.1.12. Examen y evaluación de la información

En la evaluación que se hizo sobre cuestiones de información
se detalla cada punto de archivos o contenidos de cada
sistema operativo ya que el uso adecuado y el manejo va
depender de los alumnos que utilizan más el docente
encargado y jefes de práctica.
Entonces podemos decir que todo ello se detalla de cómo
deben velar para la buena gestión y administración de
información que se puede tener en nuestro case del
laboratorio de redes

6.1.13. Pruebas de controles de usuarios

La debilidad del laboratorio es que no hay control de usuario,
generalmente hablamos en plataforma Windows y es que
cualquier personal no autorizado puede acceder, bueno no se

15
 UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURIMAC.

maneja mucho esa parte del control, pero si se maneja una

cantidad de información de relevancia debería implantarse
ciertas políticas.
Ahora en la plataforma Centos y LinuxMint si se maneja el
control de usuario ya que este tipo de sistemas operativos
vienen con password que docente les comunica a los alumnos
para acceder a los sistemas operativos

6.1.14. Pruebas sustantivas

El tipo de pruebas que se realizó fue el entorno grafico como
son al momento de cargar varias aplicaciones como son las
resoluciones entre otros puntos de mayor relevancia.

6.2. Análisis y evaluación de la auditoria informática

6.2.1. Evaluación de los sistemas de acuerdo a los riesgos

Seguridad física y lógica
El laboratorio de cómputo de redes, carece de adecuados
controles de seguridad física y lógica y se detallaran cuáles
son las deficiencias que presenta:

 Seguridad física

 Estructura del laboratorio su construcción es muy

común no está adecuado para un laboratorio de redes

 Ausencia de cámaras de vigilancia y alarmas para

detectar robos o intento de intrusión

 Deficiencias en la instalación eléctrica porque

tenemos cables sueltos.

 Ausencia de cableado estructurado.

 No cuenta con luces de emergencia.

 No cuenta con salidas de emergencia en caso de

incendios, terremotos, etc.

 Acumulación de polvo en los equipos de cómputo.

16
UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURIMAC.

 No cuenta con el uso de cobertores para la

protección de los equipos de cómputo y otros.

 Carencia de aire acondicionado adecuado.

 No cuenta con un sistema de ductos y alimentación de

algún producto que pueda contrarrestar los efectos de
un corto circuito eléctrico o un incendio en estas áreas.

 Falta de dispositivos de detección de humo con

alarmas en caso que ocurra un incendio
 Carece de puertas seguros en caso de robo o hurtos en
el laboratorio de cómputo de redes.

 El personal que esta designado para dar soporte a los

laboratorios de cómputo es insuficiente.

 Seguridad lógica

 Este laboratorio de redes carece de una seguridad

lógica.

 Falta hacer mantenimiento al software del laboratorio

instalando nuevos programas.
 No cuenta con un sistema operativo original.

 No cuenta con suficientes programas instalados para

realizar clases.

6.2.2. Investigación preliminar

En la investigación preliminar se ha dado con dos personales

que participamos en la investigación de la auditoria de los tres
aspectos tales como del diagnóstico y operación físico, lógico
y el área.

17
UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURIMAC.

Allí se realizó ciertos convenios para comenzar con dicha

auditoria para ello utilizamos herramientas de auditoria
informática.

6.2.3. Herramientas utilizadas en la auditoria

Las herramientas utilizadas para el diagnóstico del análisis de

computadoras y para sacar por detalles una auditoria
informática se utilizó lo que es un software llamado Everest.

6.2.4. Alcances y Limitaciones de la Auditoría

Las limitaciones se dieron solamente en el laboratorio de

redes que se ubica en el pabellón general de la UNAMBA,
solo se realizó la auditoria internamente, no tocamos otros
puntos fuera del laboratorio de redes de la carrera de
Ingeniería Informática y sistemas.

6.2.5. Conclusiones de acuerdo a la normatividad

 Como resultado de la Auditoria podemos manifestar que

hemos cumplido con evaluar cada uno de los objetivos
contenidos en el programa de auditoria.

 El Laboratorio de centro de cómputo de redes presenta

deficiencias sobre todo en el debido cumplimiento de
Normas de seguridad.

6.2.6. Recomendaciones

18
UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURIMAC.

 Implantación de equipos de última generación.

 Implantar equipos de ventilación
 Implantar salidas de emergencia.
 Elaborar un calendario de mantenimiento para el
laboratorio de cómputo de redes.
 Capacitar al personal.
 Falta de licencias de software.
 Falta de software de aplicaciones actualizados
 Utilizar un buen antivirus y actualízalo frecuentemente.

6.2.7. Personal participante

 Menacho Alvarez Vani Judith

 Atahua Villegas Celinda

19