ESTUDIO DE CASO 1 Tiempo estimado de resolucin: 2 Horas Objetivo: El caso de estudio est diseado para que el participante aplique

los conocimientos adquiridos durante el mdulo de metodologa de auditoria de sistemas operativos en su parte introductoria. El ambiente: SportBoys Bolivia S.R. . es un !a"ricante internacional de equipos recreativos y ropa casual. Ellos #an estado en el negocio desde principios de $%&' y #oy en da es una corporacin internacional. a compaa empe( como !a"ricante y proveedor de equipo para alpinismo para los turistas que #acan recorridos por )#acaltaya. as o!icinas corporativas estn locali(adas en la ciudad de a *a(. a compaa tiene + sucursales en Bolivia, 2 en Sud -merica, 2 en los EE.. y 2 en Europa. /oda la manu!actura se reali(a en Bolivia, las sucursales internacionales apoyan con "odegas, centros de distri"ucin y o!icinas administrativas. -ctualmente, la compaa tiene alrededor de $''' empleados a nivel mundial. Se cuenta con, apro0imadamente, +'' empleados en las o!icinas corporativas. /odas las aplicaciones !inancieramente signi!icativas residen en un servidor -S12''. os usuarios acceden al -S12'' a trav3s de una red 4indo5s 6/ va el so!t5are de emulacin de terminal 7R#um"a8. El departamento de sistemas de la o!icina corporativa cuenta con $9 empleados. Se cuenta con un plan de contingencias que contempla procedimientos para la continuidad de los sistemas. a comunicacin con las o!icinas internacionales se reali(a a trav3s de :nternet va ;*6s <;irtual *rivate 6et5or=s>. a administracin de la seguridad est a cargo de el 7-dministrador de Seguridad8, responsa"le por la seguridad de toda la corporacin. a corporacin tiene por poltica no reali(ar desarrollo de sistemas. Sin em"argo, cuenta con am"ientes de prue"as donde reali(a varios tipos de prue"as a cualquier so!t5are que sea requerido para una implantacin !utura. Su rol: .sted, como miem"ro del equipo responsa"le de la -uditora de Sistemas de la corporacin de"er reali(ar las siguientes actividades? Revisar el organigrama y el manual de !unciones proporcionado e identi!icar posi"les recomendaciones. Evaluar las normas de administracin de usuarios <las cuales son parte de las normas de seguridad> e identi!icar posi"les recomendaciones. Evaluar la norma de cam"ios a programas y mantenimiento de aplicaciones e identi!icar posi"les recomendaciones. En "ase a las normas de administracin de usuarios y de cam"ios a programas y mantenimiento de aplicaciones, identi!icar los puntos principales a ser tomados en cuenta en los procedimientos.

 @ue sistema de -.:. utili(ara en este escenario y porque, dar a conocer su punto de vista. -nali(ar si presenta algAn tipo de seguridad en la empresa Puntos a considerar: El personal de sistemas est distri"uido de la siguiente !orma? $ Berente de Sistemas C Soporte /3cnico $ -dministrador de Base de Datos $ -dministrador de seguridad $ -dministrador de arc#ivos 2 operadores + Encargados de comunicacin de datos DOCU E!TACIO! DE CO!SU"TA: Or#ani#rama
G e r e n t e d e S is t e m a s S o p o r t e T c n ic o A d m in is t r a d o r d e B D O p e ra d o r O p e ra d o r A d m in is t r a d o r d e S e g u r id a d O p e ra d o r E n c a rg a d o s d e C o m . d e d a to s A d m in is t r a d o r d e A r c h iv o s O p e ra d o r

anual de $unciones %erente de Sistemas: )ontrolar y coordinar las actividades del personal de sistemas. Administrador de &D: -dministrar las !ormas en la Base de Datos, crear reportes. Administrador de Se#uridad: )rear nuevos usuarios, actuali(ar los derec#os de acceso de los usuarios, monitorear actividades inusuales, incluyendo intentos de acceso no autori(ados. Administrador de Arc'ivos: Eantener las "i"liotecas de datos y programas, garanti(ar el uso correcto de arc#ivos.

Encar#ado de Comunicacin de Datos: Baranti(ar la disponi"ilidad de las redes, mantener los dispositivos y protocolos de transmisin. Soporte T(cnico: *rogramadores de sistemas de seguridad, enlace con reas de soportes de proveedores e0ternos de so!t5are y #ard5are. Operadores: )argar y descargar medios de almacenamiento removi"les, monitorear el sistema para la resolucin de pro"lemas.

!ormas para la administracin de usuarios O&)ETI*O El o"Fetivo de esta norma es esta"lecer los lineamientos para la administracin usuarios en todos los sistemas e0istentes en la corporacin. A"CA!CE Se aplica a todos los empleados, temporales o de planta, incluyendo a aquellos tra"aFadores a!iliados e0ternos, usuarios y1o empresas, que tengan acceso a los sistemas del la corporacin. os procedimientos para la administracin de usuarios de"en cu"rir los siguientes aspectos? )ada rea de la organi(acin es responsa"le de de!inir las altas, "aFas y modi!icaciones de usuarios, para que los mismos accedan a los sistemas de in!ormacin a su cargo. El alta de usuarios de"e reali(arse slo despu3s de e0istir una apro"acin !ormal del rea responsa"le. as cuentas de usuarios en los sistemas de"ern considerar las siguientes restricciones? El identi!icador de usuario de"er construirse en !uncin a un procedimiento !ormal de construccin de identi!icadores. as cuentas de usuarios de"en contar con una clave, la cual independientemente del sistema al que pertene(ca de"er contemplar mnimamente las siguientes restricciones? )ontener mnimamente C caracteres. Ser cam"iada en periodos de C' das. Eantenerse una arc#ivo #istrico de claves, que no permita la repeticin de las Altimas C claves. Bloquear el ingreso al sistema luego de + intento !allidos de ingreso. a "aFa de usuarios de"e reali(arse slo despu3s de e0istir una apro"acin !ormal del rea responsa"le, para lo cual el rea en cuestin de"er coordinar con la Berencia de Recursos Humanos entre los procedimientos de 7BaFa de *ersonal8, procedimientos de solicitud de "aFa de usuarios en los sistemas. a modi!icacin de usuarios de"e reali(arse slo despu3s de e0istir una apro"acin !ormal del rea responsa"le.

/odos los sistemas de"ern contar con la capacidad de llevar registros de auditora de las altas, "aFas y1o modi!icaciones de cuentas de usuarios en los di!erentes sistemas. De"er e0istir un repositorio central de in!ormacin de las distintas cuentas de usuario asociadas a un empleado para su ingreso a los di!erentes sistemas e0istentes.

+ESPO!SA&I"IDADES Gerencia General: Es responsa"le de monitorear el cumplimiento de las polticas y normas de!inidas por la organi(acin. Gerencia de Sistemas? Es responsa"le de desarrollar procedimientos !ormales para la administracin de usuarios en los distintos sistemas, y monitorear el cumplimiento de las mismas. Gerencias de Area? Son responsa"les de coordinar a trav3s de procedimientos !ormales el alta, "aFa y modi!icacin de usuarios en los sistemas. Berencia de Recursos Humanos? Es responsa"le de coordinar conFuntamente con las Berencias de rea la "aFa de usuarios en los sistemas. Usuarios finales? Son responsa"les de cumplir las polticas, normas y procedimientos relacionados a la administracin usuarios. !orma de cambios a pro#ramas , mantenimiento de aplicaciones O&)ETI*O El o"Fetivo de esta norma es esta"lecer los lineamientos para la de!inicin de los procedimientos de control para la administracin de los cam"ios a programas y mantenimiento de las aplicaciones. A"CA!CE Se aplica a todos los empleados, temporales o de planta, incluyendo a aquellos tra"aFadores a!iliados e0ternos, usuarios y1o empresas, que tengan acceso a los sistemas de la corporacin. os procedimientos para la administracin de los cam"ios a programas y mantenimiento de las aplicaciones de"en cu"rir los siguientes aspectos? @ue los cam"ios desarrollados se realicen en !uncin a estndares y procedimientos documentarios que permitan el seguimiento a las modi!icaciones de? a documentacin os programas os esquemas de "ase de datos G otros aspectos de la administracin de con!iguracin del sistema.

@ue los cam"ios en el sistema sean aplicados de una manera controlada, asegurando la esta"ilidad y seguridad de los sistemas. @ue los cam"ios a los sistemas sean implementados en !uncin a procedimientos !ormales de autori(acin apro"ados por las instancias apropiadas. @ue se mantenga compati"ilidad continua entre todos los componentes e0istentes y !uturos.

+ESPO!SA&I"IDADES Gerencia General: Es responsa"le de monitorear el cumplimiento de las polticas y normas de!inidas por la corporacin. Gerencia de Sistemas? Es responsa"le de desarrollar procedimientos para la administracin de los cam"ios a programas y mantenimiento de las aplicaciones, y veri!icar el cumplimiento de los mismos. Usuarios finales? Son responsa"les de cumplir las polticas, normas y procedimientos relacionados a la administracin de los cam"ios a programas y mantenimiento de las aplicaciones.