Beruflich Dokumente
Kultur Dokumente
NACIONAL AGRARIA
DE LA SELVA
UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA
FACULTAD DE INGENIERA EN INFORMTICA Y
SISTEMAS
TRABAJO FINAL
Presentado por:
Docente:
Contenido
1. PLAN DE AUDITORIA..............................................................5
1.1.
1.2.
ALCANCE............................................................................................... 5
1.3.
DESCRIPCIN DE LA ENTIDAD...............................................................6
1.4.
NORMATIVA APLICABLE.........................................................................7
1.5.
INFORMES A EMITIR............................................................................... 8
1.6.
1.7.
PARTICIPACIN DE ESPECIALISTAS.....................................................10
1.8.
METODOLOGA..................................................................................... 10
1.8.1.
MODALIDAD DE SUPERVISIN..........................................................11
2. EJECUCION DE AUDITORIA....................................................13
3. INFORME DE LA AUDITORIA..............................................15
3.1.
3.2.
3.2.1.
3.2.2.
3.3.
3.4.
ANTECEDENTES DE LA ENTIDAD..........................................................17
3.4.1.
ANTECEDENTES............................................................................17
3.5.
COMUNICACIN DE HALLAZGOS..........................................................17
3.6.
OBSERVACIONES................................................................................. 18
3.6.1.
OBSERVACION 01...........................................................................18
3.6.2.
OBSERVACION 02:..........................................................................21
CONCLUSIONES......................................................................25
BIBLIOGRAFIA........................................................................26
ANEXOS................................................................................28
CAPITULO I
PLAN DE AUDITORIA
INFORMATICA
1. PLAN DE AUDITORIA
Segn la NAGU 2.30 se proceder a realizar el plan de auditoria informtica a
la infraestructura de red corporativa de la Unidad de la Universidad Nacional
Agraria de la Selva, la cual incluye objetivos, alcance de la muestra,
procedimientos detallados y oportunidades de su aplicacin, as como el
personal encargado para el desarrollo de la auditoria.
1.1. OBJETIVO DEL EXAMEN
OBJETIVO GENERAL
Auditar la Sala de Servidores del Centro de Tecnologas de la Informacin y
Comunicacin, en funcin a las Normas de Auditora Gubernamental
(NAGU) y las normas regidas por la Telecomunication Industry Association
(TIA).
OBJETIVOS ESPECIFICOS
Evaluar, verificar y recolectar la informacin necesaria del estado en que
se encuentra la Sala de Servidores del Centro de Tecnologas de la
informacin y Comunicacin en comparacin con las normas y
estndares internacionales vigentes relacionada al tema de estudio.
1.2. ALCANCE
El alcance del presente examen especial comprender la evaluacin fsica
de la Sala de Servidores del Centro de Tecnologas de la Informacin y
Comunicacin correspondiente al rea de Gestin de la Infraestructura de
la Red Corporativa en el periodo comprendido entre el 04-NOV-2014 hasta
el 15-DIC-2014.
El examen se realizar en concordancias a las NAGUS aprobadas
mediante
la
resolucin
de
la
contralora
162-95-CG
sus
modificaciones, cabe mencionar el origen del examen, el cual ser del tipo
de examen especial. Del mismo modo al carecer de una aprobacin
refrendada por la NAGU 2.30, ni aprobada en el plan operativo del Centro
de Tecnologas de Informacin y Comunicacin, se hace de manifiesto el
carcter estrictamente acadmico en concordancia al requisito para la
5
brindados.
Administrar el espacio de direccionamiento lgico con mecanismos
que optimicen el trfico de la red (VLANs, VLSM, etc.).
ESTRUCTURA ORGNICA
DIRECCION
Jefatura del Centro
de
Tecnologas
de
la
Informacin
Comunicacin.
AREAS
rea de gestin de la infraestructura de la red corporativa.
rea de gestin de servicios de TI.
rea de gestin de soluciones corporativas.
rea de gestin de seguridad y proyectos de TI.
ESTRUCTURA ORGNICA DE LA UNIDAD DE SISTEMAS
6
TIA-942,
Infraestructura
de
ordenadores.
LA NORMA TECNICA PERUANA "NTP-ISO/IEC 27001:2008 EDI.
Carlos Leopoldo,
HUAROC CARRIN
ESPECIALIDAD
Estudiante de Informtica y
Sistemas con certificaciones en:
Microsoft Windows Server.
Microsoft Hyper-V Bsico.
Estudiante de Informtica y
Sistemas con certificaciones en:
1.8. METODOLOGA
1.8.1. EL PROCESO DE LA AUDITORA DE SISTEMAS
a. PLANEAMIENTO: Comprende dos etapas
a.1. Revisin General
Conocimiento inicial de la entidad por examinar.
Anlisis preliminar en la entidad
Formulacin del plan de revisin estratgica
a.2. Revisin Estratgica
Ejecucin del plan
Aplicacin de pruebas preliminares
Identificacin de los criterios de auditora.
Formulacin del reporte de revisin estratgica
a.3. Elaboracin del Plan de auditora.
b. EJECUCIN:
1. Elaboracin de los programas de auditora, la recopilacin
documentos, realizacin de pruebas y anlisis de
asegurar su suficiencia y competencia, para
recomendaciones
evidencias para
acumular
de
bases
conclusiones
debidamente sustentadas.
(condicin
de
y
criterio).
c. INFORME:
1. Formaliza sus observaciones en el informe de auditora.
2. Producto final; deber detallar los elementos de la observacin
(condicin, criterio, causa y efecto), comentarios de la entidad,
evaluacin
final
de
tales
comentarios,
conclusiones
recomendaciones.
3. Debe tener requisitos de calidad y confiabilidad.
4. Aprobado y remitido a la entidad auditada. (Forma y modo
establecido por la Contralora).
1.9.
INSTRUMENTO
Y/O
HERRAMIENTAS
DE
RECOLECCIN
DE
INFORMACIN DE LA AUDITORIA.
1.10.
Cmara Digital.
Entrevistas.
Observacin de Campo.
Formato de Validacin de Criterios.
MODALIDAD DE SUPERVISIN
seguimiento
de
las
implementaciones
de
las
CAPITULO II
EJECUCION DE LA AUDITORIA
2. EJECUCION DE AUDITORIA
Como parte del realizacin de la Auditoria informtica a la Sala de Servidores
del Centro de Tecnologas de la Informacin y Comunicacin de la Universidad
Nacional Agraria de la Selva, en esta fase se realizara la aplicacin de pruebas
y obtencin de evidencias de auditora, el cual nos permite la elaboracin de
Hallazgos de Auditoria, Observaciones, conclusiones y recomendaciones.
Para la aplicacin de pruebas y obtencin de evidencias de auditora se utiliz
Cmara Digital, Entrevistas, Observacin de Campo, Formato de Validacin de
Criterios (Ver anexo 1).
Las evidencias se obtuvieron directamente de la interaccin con el personal
encargado de la Unidad de sistemas a travs de entrevistas, como tambin del
anlisis de la seguridad de acceso a la sala de servidores del CTIC-UNAS y la
adecuada ambientacin y equipamiento de la misma, a travs de un formato
de Validacin de criterios basado en los controles de la Norma tcnica
Peruana.
3.
I
CAPITULO III
INFORME DE LA AUDITORIA
INFORMATICA
NFORME DE LA AUDITORIA
implementacin
de
recomendaciones
de
la
Norma
Tcnica
Peruana
"NTP-ISO/IEC
OBJETIVO ESPECIFICO
del
informe:
informe
especial.
examen
involucrara
al
AREA
DE
GESTION
DE
LA
pertenece
al
Centro
De
Tecnologa
de
la
funciones
generales
INFRAESTRUCTURA DE
del
AREA
LA RED
DE
GESTION
DE
LA
COORPORATIVA son
las
siguientes:
Investigar, implementar y configurar nuevos servicios de red.
Agregar y configurar nuevas estaciones de trabajo.
Establecer cuentas de usuarios.
Capacitar a los usuarios que necesiten usar los servicios de red
brindados.
Administrar
el
espacio
de
direccionamiento
lgico
con
Y NO
TIENE
IMPLEMENTADOS
ACCESO
CONTROLES
DE
SEGURIDAD.
CONDICIN:
Se ha evidenciado que la SALA DE SERVIDORES DEL CENTRO DE
TECNOLOGIA DE LA INFORMACION Y COMUNICACION no tiene
identificado los riesgos de el
acceso
las instalaciones
de
procesamiento
de
la
informacin organizacional
por
parte
de
GESTIN
DE
LA
INFRAESTRUCTURA
DE
los
LA
RED
siguientes
de
las
polticas
pertinentes
es
debido
las
CRITERIOS:
La situacin expuesta vulnera la Norma Tcnica Peruana "NTP-ISO/IEC
27001:2008 EDI Tecnologa de la Informacin publicado el 05 JUN 2012,
en los controles:
control A.6.2.1 IDENTIFICACIN DE RIESGOS POR EL
ACCESO DE TERCEROS que expresa: Se
evaluar
los
CAUSA:
Incumplimiento
del
CENTRO
DE
TECNOLOGIA
DE
LA
DE
TECNOLOGIA
COMUNICACION,
inhabilita
DE
la
LA
INFORMACION
contratacin
de
personal
controversias
Robo de informacin.
CONCLUSIN:
activos
la
informacin
de
la organizacin
no
LA INFORMACION
COMUNICACION,
de
controversias
contractuales
divulgacin
GESTIONANDO
ADECUADAMENTE
EL
CABLEADO
CONDICIN:
Se ha evidenciado que la sala de servidores tiene un piso tcnico
improvisado, que de alguna manera busca tener organizado el cableado
de red, dejando de lado la parte elctrica y la temperatura. Ver anexo 1 y
anexo 2.
CRITERIO:
La
situacin
expuesta
vulnera
la
Norma
ANSI/TIA
942-2005:
CAUSA:
La falta de presupuesto impide implementar un centro de datos que
cumpla con las normas respectivas.
EFECTO:
El cableado de red al no estar bien organizado hace ms compleja su
gestin, se pueden generar cortos circuitos, perdida de energa al no
tener
bien
organizado
el
cableado
elctrico.
tambin
el
CONCLUSIN:
Se ha evidenciado que la SALSA DE SERVIDORES DEL CENTRO DE
TECNOLOGIA DE LA INFORMACION Y COMUNICACIN no cuenta
con un piso tcnico esto debido a la falta de presupuesto para ejecutar un
proyecto de implementacin de un Data Center que permita hacer el uso
de piso tcnico como lo indica la norma TIA 942, lo cual conlleva a
posibles
fallas
elctricas,
de
la
red
la
temperatura;
debido
activos
la
informacin
de
la organizacin
no
LA INFORMACION
COMUNICACION,
de
controversias
contractuales
divulgacin
3.8. RECOMENDACIONES
Utilizar las NAGU (Nomas de Auditorias Gubernamentales) en la
elaboracin de una Auditoria Informtica, con el propsito de
uniformar el trabajo de Auditoria y promover la formacin de
DE
TECNOLOGIA
COMUNICACION,
para
que
DE
al
LA
INFORMACION
momento
de
encontrar
CONCLUSIONES
BIBLIOGRAFIA
ANEXOS