UNIVERSIDAD

NACIONAL AGRARIA
DE LA SELVA
UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA
FACULTAD DE INGENIERA EN INFORMTICA Y
SISTEMAS

TRABAJO FINAL

AUDITORIA INFORMATICA A LA SALA DE SERVIDORES DEL CENTRO DE

TECNOLOGIA DE LA INFORMACION Y COMUNICACIN DE LA UNIVERSIDAD
NACIONAL AGRARIA DE LA SELVA

Presentado por:

HUAROC CARRION, CARLOS LEOPOLDO

NIETO COLLADO FRANK ANTHONY

Docente:

ING. GARDYN OLIVERA RUIZ

TINGO MARA - DICIEMBRE 2014

Contenido
1. PLAN DE AUDITORIA..............................................................5
1.1.

OBJETIVO DEL EXAMEN.........................................................................5

1.2.

ALCANCE............................................................................................... 5

1.3.

DESCRIPCIN DE LA ENTIDAD...............................................................6

1.4.

NORMATIVA APLICABLE.........................................................................7

1.5.

INFORMES A EMITIR............................................................................... 8

1.6.

PRESUPUESTO DEL TIEMPO...................................................................8

1.7.

PARTICIPACIN DE ESPECIALISTAS.....................................................10

1.8.

METODOLOGA..................................................................................... 10

1.8.1.

EL PROCESO DE LA AUDITORA DE SISTEMAS...............................10

1.9. INSTRUMENTO Y/O HERRAMIENTAS DE RECOLECCIN DE

INFORMACIN DE LA AUDITORIA...................................................................11
1.10.

MODALIDAD DE SUPERVISIN..........................................................11

2. EJECUCION DE AUDITORIA....................................................13
3. INFORME DE LA AUDITORIA..............................................15
3.1.

ORIGEN DEL EXAMEN...........................................................................15

3.2.

NATURALEZA Y OBJETIVOS DEL EXAMEN............................................15

3.2.1.

NATURALEZA DEL EXAMEN............................................................15

3.2.2.

OBJETIVOS DEL EXAMEN...............................................................15

3.3.

ALCANCE DEL EXAMEN........................................................................16

3.4.

ANTECEDENTES DE LA ENTIDAD..........................................................17

3.4.1.

ANTECEDENTES............................................................................17

3.5.

COMUNICACIN DE HALLAZGOS..........................................................17

3.6.

OBSERVACIONES................................................................................. 18

3.6.1.

OBSERVACION 01...........................................................................18

3.6.2.

OBSERVACION 02:..........................................................................21

CONCLUSIONES......................................................................25
BIBLIOGRAFIA........................................................................26
ANEXOS................................................................................28

CAPITULO I
PLAN DE AUDITORIA
INFORMATICA

1. PLAN DE AUDITORIA
Segn la NAGU 2.30 se proceder a realizar el plan de auditoria informtica a
la infraestructura de red corporativa de la Unidad de la Universidad Nacional
Agraria de la Selva, la cual incluye objetivos, alcance de la muestra,
procedimientos detallados y oportunidades de su aplicacin, as como el
personal encargado para el desarrollo de la auditoria.
1.1. OBJETIVO DEL EXAMEN
OBJETIVO GENERAL
Auditar la Sala de Servidores del Centro de Tecnologas de la Informacin y
Comunicacin, en funcin a las Normas de Auditora Gubernamental
(NAGU) y las normas regidas por la Telecomunication Industry Association
(TIA).
OBJETIVOS ESPECIFICOS
Evaluar, verificar y recolectar la informacin necesaria del estado en que
se encuentra la Sala de Servidores del Centro de Tecnologas de la
informacin y Comunicacin en comparacin con las normas y
estndares internacionales vigentes relacionada al tema de estudio.

Recolectar mejoras o soluciones tentativas al momento de realizar las

observaciones y sugerencias de los hallazgos encontrados, a travs de
la presentacin del informe. Examen especial.

1.2. ALCANCE
El alcance del presente examen especial comprender la evaluacin fsica
de la Sala de Servidores del Centro de Tecnologas de la Informacin y
Comunicacin correspondiente al rea de Gestin de la Infraestructura de
la Red Corporativa en el periodo comprendido entre el 04-NOV-2014 hasta
el 15-DIC-2014.
El examen se realizar en concordancias a las NAGUS aprobadas
mediante

la

resolucin

de

la

contralora

162-95-CG

sus

modificaciones, cabe mencionar el origen del examen, el cual ser del tipo
de examen especial. Del mismo modo al carecer de una aprobacin
refrendada por la NAGU 2.30, ni aprobada en el plan operativo del Centro
de Tecnologas de Informacin y Comunicacin, se hace de manifiesto el
carcter estrictamente acadmico en concordancia al requisito para la
5

aprobacin del curso de Auditora de Sistemas del semestre 2014 II,

Facultad de Informtica y Sistemas de la Universidad Nacional Agraria de
la Selva.
El examen involucra al Centro de Tecnologas de la Informacin y
Comunicacin de la Universidad nacional Agraria de la Selva, por ser esta,
la encargada del rea de Gestin de la Infraestructura de Red Corporativa.
1.3. DESCRIPCIN DE LA ENTIDAD
REA DE GESTIN DE LA INFRAESTRUCTURA DE LA RED
CORPORATIVA
El rea de Gestin de la Infraestructura de la Red Corporativa, pertenece
al Centro De Tecnologa de la Informacin y Comunicacin (CTIC), esta
rea es la encargada de

garantizar la comunicacin en la Universidad

Nacional Agraria de la Selva y el exterior.

Las funciones generales del rea de Gestin de la Infraestructura de la
Red Corporativa son las siguientes:

Investigar, implementar y configurar nuevos servicios de red.

Agregar y configurar nuevas estaciones de trabajo.
Establecer cuentas de usuarios.
Capacitar a los usuarios que necesiten usar los servicios de red

brindados.
Administrar el espacio de direccionamiento lgico con mecanismos
que optimicen el trfico de la red (VLANs, VLSM, etc.).

ESTRUCTURA ORGNICA
DIRECCION
Jefatura del Centro

de

Tecnologas

de

la

Informacin

Comunicacin.
AREAS
rea de gestin de la infraestructura de la red corporativa.
rea de gestin de servicios de TI.
rea de gestin de soluciones corporativas.
rea de gestin de seguridad y proyectos de TI.
ESTRUCTURA ORGNICA DE LA UNIDAD DE SISTEMAS
6

Figura 1.1 - Organigrama del Centro de Tecnologa de la Informacin y

Comunicacin
Fuente: Organigrama Piloto bajo la resolucin N 077-2012-R-UNAS

1.4. NORMATIVA APLICABLE

Las normas a seguir:
Plan Estratgico de Tecnologa de la Informacin
Manual de Organizacin y Funcin (MOF) de la Universidad

Nacional Agraria de la Selva.

RC N 162-95 CGD de 22-SET-1995. Aprueba las Normas de
Auditora Gubernamental (NAGU). Publicada el 26-SET-995, Con

sus posteriores modificaciones hasta la actualidad.

Reglamento de Organizacin y Funcin (ROF) de la Universidad

Nacional Agraria de la Selva.

Norma Nacional Americana

TIA-942,

Infraestructura

de

telecomunicaciones de los Centros de Datos y Salas de

ordenadores.
LA NORMA TECNICA PERUANA "NTP-ISO/IEC 27001:2008 EDI.

1.5. INFORMES A EMITIR

Informe de Auditora Informtica a emitir ser de carcter: Examen
Especial.
1.6. PRESUPUESTO DEL TIEMPO
A continuacin se plantea una lista general de actividades que justifican
nuestro estudio que se divide en 4 fases:

CRONOGRAMA DE ACTIVIDADES DEL PLAN DE AUDITORA AL CENTRO DE TECNOLOGIA DE LA INFORMACION Y

COMUNICACIN DE LA UNAS-TINGO MARIA

1.7. PARTICIPACIN DE ESPECIALISTAS

El equipo que presentara e presente examen especial son:
NOMBRE
Frank Anthony,
NIETO COLLADO

Carlos Leopoldo,
HUAROC CARRIN

ESPECIALIDAD
Estudiante de Informtica y
Sistemas con certificaciones en:
Microsoft Windows Server.
Microsoft Hyper-V Bsico.
Estudiante de Informtica y
Sistemas con certificaciones en:

1.8. METODOLOGA
1.8.1. EL PROCESO DE LA AUDITORA DE SISTEMAS
a. PLANEAMIENTO: Comprende dos etapas
a.1. Revisin General
Conocimiento inicial de la entidad por examinar.
Anlisis preliminar en la entidad
Formulacin del plan de revisin estratgica
a.2. Revisin Estratgica
Ejecucin del plan
Aplicacin de pruebas preliminares
Identificacin de los criterios de auditora.
Formulacin del reporte de revisin estratgica
a.3. Elaboracin del Plan de auditora.
b. EJECUCIN:
1. Elaboracin de los programas de auditora, la recopilacin
documentos, realizacin de pruebas y anlisis de
asegurar su suficiencia y competencia, para
recomendaciones

evidencias para

acumular

suficientes para la formulacin de observaciones,

de
bases

conclusiones

debidamente sustentadas.

2. Se aplica procedimientos y tcnicas de auditora, pruebas

evaluacin de controles, identificacin de hallazgo

(condicin

de
y

criterio).
c. INFORME:
1. Formaliza sus observaciones en el informe de auditora.
2. Producto final; deber detallar los elementos de la observacin
(condicin, criterio, causa y efecto), comentarios de la entidad,

evaluacin

final

de

tales

comentarios,

conclusiones

recomendaciones.
3. Debe tener requisitos de calidad y confiabilidad.
4. Aprobado y remitido a la entidad auditada. (Forma y modo
establecido por la Contralora).
1.9.

INSTRUMENTO

Y/O

HERRAMIENTAS

DE

RECOLECCIN

DE

INFORMACIN DE LA AUDITORIA.

1.10.

Cmara Digital.
Entrevistas.
Observacin de Campo.
Formato de Validacin de Criterios.
MODALIDAD DE SUPERVISIN

El presente plan termina con la supervisin que se consigna con una

evaluacin

seguimiento

de

las

implementaciones

de

las

recomendaciones emitidas en el informe final de la Ejecucin del plan de

Auditoria.
La evolucin y seguimiento se realizara en base a una matriz de
seguimiento de cada recomendacin que se obtendrn de la observacin
encontrada. Ver anexo 1.

CAPITULO II
EJECUCION DE LA AUDITORIA

2. EJECUCION DE AUDITORIA
Como parte del realizacin de la Auditoria informtica a la Sala de Servidores
del Centro de Tecnologas de la Informacin y Comunicacin de la Universidad
Nacional Agraria de la Selva, en esta fase se realizara la aplicacin de pruebas
y obtencin de evidencias de auditora, el cual nos permite la elaboracin de
Hallazgos de Auditoria, Observaciones, conclusiones y recomendaciones.
Para la aplicacin de pruebas y obtencin de evidencias de auditora se utiliz
Cmara Digital, Entrevistas, Observacin de Campo, Formato de Validacin de
Criterios (Ver anexo 1).
Las evidencias se obtuvieron directamente de la interaccin con el personal
encargado de la Unidad de sistemas a travs de entrevistas, como tambin del
anlisis de la seguridad de acceso a la sala de servidores del CTIC-UNAS y la
adecuada ambientacin y equipamiento de la misma, a travs de un formato
de Validacin de criterios basado en los controles de la Norma tcnica
Peruana.

3.
I

CAPITULO III
INFORME DE LA AUDITORIA
INFORMATICA

NFORME DE LA AUDITORIA

3.1. ORIGEN DEL EXAMEN

El presente Examen Especial, se realiza en cumplimiento del requisito
obligatorio de la presentacin de un informe final en el curso de Auditoria
de Sistemas (NIS1001) a cargo del docente Ing. Gardyn Olivera Ruiz, por
lo que se realiz la solicitud de autorizacin al jefe del Centro de
Tecnologas de la Informacin y Comunicacin CTIC para la realizacin de
una auditoria Informtica a la Seguridad de acceso y verificacin de la
ambientacin y equipamiento adecuado que debe de contar una sala de
Servidores mediante un Examen Especial en base de estndares y
Normativas.
3.2. NATURALEZA Y OBJETIVOS DEL EXAMEN
3.2.1. NATURALEZA DEL EXAMEN
La presente accin de control es un examen especial, basados en la
NAGU 2.30 y la Norma Nacional Americana TIA-942 se proceder a
realizar el plan de auditora Informtica a la Sala de Servidores del
Centro de Tecnologas de la Informacin y Comunicacin CTIC-UNAS.
3.2.2. OBJETIVOS DEL EXAMEN
3.2.2.1. OBJETIVO GENERAL
El objetivo del examen de la presente auditoria ser la evaluacin,
diagnostico,

implementacin

de

recomendaciones

sugerencias en la administracin de la Sala de Servidores de la

UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA segn la
Resolucin Ministerial 129-2012-PCM que aprueba el uso
obligatorio

de

la

Norma

Tcnica

Peruana

"NTP-ISO/IEC

27001:2008 EDI Tecnologa de la Informacin publicado el 05

JUN 2012 y la Norma Nacional Americana TIA-942, orientada a la
Infraestructura de telecomunicaciones de los Centro de Datos y
Sala de Servidores.
3.2.2.2.

OBJETIVO ESPECIFICO

Evaluar y verificar la implementacin de procedimientos

destinados al fiel cumplimiento de la Norma Tcnica
Peruana "NTP-ISO/IEC 27001:2008 para la Seguridad de
acceso y verificacin de la ambientacin y equipamiento
adecuado que debe de contar la sala de Servidores del
CTIC-UNAS.

Realizar las recomendaciones y sugerencias desde el

punto de vista tcnico y funcional basado en la Norma
Tcnica Peruana NTP-ISO/IEC 27001:2008 y la Norma
Nacional Americana TIA-942, a favor de la infraestructura
de la red corporativa del CTIC-UNAS, a travs de la
presentacin

del

informe:

informe

especial.

3.3. ALCANCE DEL EXAMEN

El alcance del presente examen especial comprender la evaluacin de la
informacin referidos al proceso de equipamiento y ambientacin de la
Sala de Servidores de la UNAS en el periodo comprendido entre el 15OCTUBRE-2014 hasta el 15-DICIEMBRE-2014.
El examen se realizara en concordancias a las NAGUS aprobadas
mediante resolucin de contralora N 162-95-CG y sus modificaciones,
cabe mencionar el origen del examen, el cual ser del tipo de Examen
Especial. Se hace de manifiesto el carcter estrictamente acadmico en
concordancia al requisito para obtencin de la aprobacin del curso de
AUDITORIA DE SISTEMAS FIIS UNAS 2014 - I.
El

examen

involucrara

al

AREA

DE

GESTION

DE

LA

INFRAESTRUCTURA DE LA RED COORPORATIVA - CTIC, por ser esta,

la encargada de la Administracin de la SALA DE SERVIDORES.

3.4. ANTECEDENTES DE LA ENTIDAD

3.4.1. ANTECEDENTES
El AREA DE GESTION DE LA INFRAESTRUCTURA DE LA RED
COORPORATIVA,

pertenece

al

Centro

De

Tecnologa

de

la

Informacin y Comunicacin (CTIC), esta rea es la encargada de

garantizar la comunicacin en la Universidad Nacional Agraria de la

Selva y el exterior.
Las

funciones

generales

INFRAESTRUCTURA DE

del

AREA

LA RED

DE

GESTION

DE

LA

COORPORATIVA son

las

siguientes:
Investigar, implementar y configurar nuevos servicios de red.
Agregar y configurar nuevas estaciones de trabajo.
Establecer cuentas de usuarios.
Capacitar a los usuarios que necesiten usar los servicios de red

brindados.
Administrar

el

espacio

de

direccionamiento

lgico

con

mecanismos que optimicen el trfico de la red (VLANs, VLSM,

etc.).

3.5. COMUNICACIN DE HALLAZGOS

En cumplimiento a lo establecido en la NAGU 3.60 de las Normas de
Auditoria Gubernamental, se cursaron comunicaciones con los Hallazgos
de Auditoria a los Funcionarios y Profesionales que estn comprendidos
en las Observaciones, a fin de que presenten sus comentarios y
aclaraciones respecto a los hallazgos comunicados.
3.6. OBSERVACIONES
3.6.1. OBSERVACION 01
LA SALA DE SERVIDORES DEL CENTRO DE TECNOLOGIA DE LA
INFORMACION Y COMUNICACION NO TIENE IDENTIFICADO LOS
RIESGOS ASOCIADOS CON EL ACCESO DE TERCEROS , LOS
REQUISITOS DE SEGURIDAD ANTES DE DAR
CLIENTES

Y NO

TIENE

IMPLEMENTADOS

ACCESO

CONTROLES

DE

SEGURIDAD.
CONDICIN:
Se ha evidenciado que la SALA DE SERVIDORES DEL CENTRO DE
TECNOLOGIA DE LA INFORMACION Y COMUNICACION no tiene
identificado los riesgos de el

acceso

las instalaciones

de

procesamiento

de

la

informacin organizacional

por

parte

de

terceros, requisitos de seguridad antes de dar acceso a clientes a los

activos o a la informacin de la organizacin y no estableci
controles de seguridad adecuados antes de permitir su acceso.
a) El acceso a la SALSA DE SERVIDORES DEL CENTRO DE
TECNOLOGIA DE LA INFORMACION Y COMUNICACIN solo est
restringido de manera fsica por medio de una caseta de vidrio y
mediante una seal de acceso, pero esta caseta permite la visibilidad
interna del rea y no justifica una seguridad adecuada para la seguridad
de informacin.
Ver Anexo 3 y 4.
b) No se evalan las medidas de seguridad antes del acceso de terceros al
REA DE GESTIN DE LA INFRAESTRUCTURA DE LA RED
CORPORATIVA, como referencia un agente extrao como viene siendo
el especialista en Infraestructura de Red Corporativa accede al REA
DE

GESTIN

DE

LA

INFRAESTRUCTURA

CORPORATIVA sin ningn problema.

Ver Anexo 3 y 4
Los hechos observados fueron comunicados

DE

los

LA

RED

siguientes

funcionarios y servidores, y se ha recibido las aclaraciones y/o

comentarios:
Se realiz una entrevista por medio de telecomunicaciones el da
21/07/2014 con el Ing. Edwin Vega Ventocilla JEFE DEL CENTRO DE
TECNOLOGIA DE LA INFORMACION Y COMUNICACION de la UNAS
en la que se trat el tema de si tenan polticas de seguridad de acceso
para la SALSA DE SERVIDORES DEL CENTRO DE TECNOLOGIA DE
LA INFORMACION Y COMUNICACION, el cual manifest: no se
dispone de un documento formal de polticas de seguridad de acceso al
rea de servidores, pero si est sealado la restriccin de acceso de
manera informal a solo personal autorizado que son: el Jefe del rea de
gestin de la infraestructura de la red corporativa otro factor del no
establecimiento

de

las

polticas

pertinentes

es

debido

las

Disposiciones Presupuestarias hacia el CENTRO DE TECNOLOGIA DE

LA INFORMACION Y COMUNICACION.

CRITERIOS:
La situacin expuesta vulnera la Norma Tcnica Peruana "NTP-ISO/IEC
27001:2008 EDI Tecnologa de la Informacin publicado el 05 JUN 2012,
en los controles:
control A.6.2.1 IDENTIFICACIN DE RIESGOS POR EL
ACCESO DE TERCEROS que expresa: Se

evaluar

los

riesgos asociados con el acceso a las instalaciones de

procesamiento de la informacin organizacional por parte de
terceros, y se implementarn controles de seguridad adecuados

antes de permitir su acceso.

control A.6.2.2 REQUISITOS DE SEGURIDAD CUANDO SE
TRATA CON CLIENTES, que expresa: Se deben identificar
todos los requisitos de seguridad antes de dar acceso a clientes
a los activos o a la informacin de la organizacin.

CAUSA:
Incumplimiento

del

CENTRO

DE

TECNOLOGIA

DE

LA

INFORMACION Y COMUNICACION sobre los controles: control

A.6.2.1 IDENTIFICACIN DE RIESGOS POR EL ACCESO DE
TERCEROS, control A.6.2.2 REQUISITOS DE SEGURIDAD
CUANDO SE TRATA CON CLIENTES de la Norma Tcnica
Peruana "NTP-ISO/IEC 27001:2008 EDI.

Disposiciones Presupuestarias y Disposiciones Operativas del

CENTRO

DE

TECNOLOGIA

COMUNICACION,

inhabilita

DE
la

LA

INFORMACION

contratacin

de

personal

especializado para el respectivo establecimiento de polticas de

seguridad de acceso a la SALA DE SERVIDORES.
EFECTO:
Al respecto sobre lo expuesto, trae consecuencias como:
Vulnerabilidad ante actividades fraudulentas,

controversias

contractuales y divulgacin o modificacin de la informacin.

Posibilidad de alteracin, duplicacin o robo de informacin con el
fin de beneficiar a la competencia.

Robo de informacin.

CONCLUSIN:

Se ha evidenciado que la SALSA DE SERVIDORES DEL CENTRO

DE TECNOLOGIA DE LA INFORMACION Y COMUNICACION no
tiene identificado los riesgos de el acceso a las instalaciones de
procesamiento de la informacin organizacional por parte de
terceros, requisitos de seguridad antes de dar acceso a clientes a
los

activos

la

informacin

de

la organizacin

no

estableci controles de seguridad adecuados antes de permitir su

acceso; debido Incumplimiento del CENTRO DE TECNOLOGIA DE
LA INFORMACION Y COMUNICACIN sobre los controles: control
A.6.2.1 IDENTIFICACIN DE RIESGOS POR EL ACCESO DE
TERCEROS, control A.6.2.2 REQUISITOS DE SEGURIDAD
CUANDO SE TRATA CON CLIENTES de la Norma Tcnica
Peruana "NTP-ISO/IEC 27001:2008 EDI; y a las Disposiciones
Presupuestarias y Disposiciones Operativas del CENTRO DE
TECNOLOGIA DE

LA INFORMACION

COMUNICACION,

inhabilita la contratacin de personal especializado para el

respectivo establecimiento de polticas de seguridad de acceso a la
SALA DE SERVIDORES; que trae como consecuencia que no
asegura la integridad y la disponibilidad las instalaciones

de

procesamiento de la informacin organizacional debido a que esta

propenso a ataques maliciosos; Vulnerabilidad ante actividades
fraudulentas,

controversias

contractuales

divulgacin

modificacin de la informacin; Posibilidad de alteracin, duplicacin

o robo de informacin con el fin de beneficiar a la competencia; La
Posibilidad de prdida de la informacin almacenada en los
servidores, que a su vez genera: una prdida de oportunidades de
negocio, clientes decepcionados y reputacin perdida.
3.6.2. OBSERVACION 02:

LA SALA DE SERVIDORES DEL CTIC NO CUENTA CON UN PISO

TCNICO ADECUADO, LO CUAL ES UN RIESGO YA QUE NO SE
EST

GESTIONANDO

ADECUADAMENTE

EL

CABLEADO

ELCTRICO, CABLEADO DE RED Y LA TEMPERATURA DE EN

LOS SERVIDORES.

CONDICIN:
Se ha evidenciado que la sala de servidores tiene un piso tcnico
improvisado, que de alguna manera busca tener organizado el cableado
de red, dejando de lado la parte elctrica y la temperatura. Ver anexo 1 y
anexo 2.
CRITERIO:
La

situacin

expuesta

vulnera

la

Norma

ANSI/TIA

942-2005:

Telecommunications Infrastructure Standard for Data Centers, en el

numeral 7.5.1. El cual expresa Sistemas de piso de acceso, tambin
conocidos como sistemas de piso elevado, se deben utilizar en los
centros de datos que est diseado para ser cableada desde abajo.

En el criterio, TIER II Componentes redundantes, El mantenimiento

de la alimentacin y otras partes de la infraestructura requieren de
un cierre de procesamiento.

CAUSA:
La falta de presupuesto impide implementar un centro de datos que
cumpla con las normas respectivas.
EFECTO:
El cableado de red al no estar bien organizado hace ms compleja su
gestin, se pueden generar cortos circuitos, perdida de energa al no
tener

bien

organizado

el

cableado

elctrico.

tambin

el

sobrecalentamiento de los servidores al no tener buenos canales de

ventilacin y refrigeracin.

CONCLUSIN:
Se ha evidenciado que la SALSA DE SERVIDORES DEL CENTRO DE
TECNOLOGIA DE LA INFORMACION Y COMUNICACIN no cuenta
con un piso tcnico esto debido a la falta de presupuesto para ejecutar un
proyecto de implementacin de un Data Center que permita hacer el uso
de piso tcnico como lo indica la norma TIA 942, lo cual conlleva a
posibles

fallas

elctricas,

de

la

red

la

temperatura;

debido

Incumplimiento del CENTRO DE TECNOLOGIA DE LA INFORMACION

Y COMUNICACIN Norma Nacional Americana TIA-942, Infraestructura
de telecomunicaciones de los Centros de Datos y Salas de ordenadores,
que trae como consecuencia que la sala de servidores del centro de
tecnologa de la informacin y comunicacin, tenga problemas en temas
de instalaciones elctricas.
3.7. CONCLUSIONES
Se ha evidenciado que la SALSA DE SERVIDORES DEL CENTRO
DE TECNOLOGIAS DE LA INFORMACION Y COMUNICACION no
tiene identificado los riesgos de el acceso a las instalaciones de
procesamiento de la informacin organizacional por parte de
terceros, requisitos de seguridad antes de dar acceso a clientes a
los

activos

la

informacin

de

la organizacin

no

estableci controles de seguridad adecuados antes de permitir su

acceso; debido Incumplimiento del CENTRO DE TECNOLOGIA DE
LA INFORMACION Y COMUNICACION sobre los controles: control
A.6.2.1 IDENTIFICACIN DE RIESGOS POR EL ACCESO DE
TERCEROS, control A.6.2.2 REQUISITOS DE SEGURIDAD
CUANDO SE TRATA CON CLIENTES de la Norma Tcnica
Peruana "NTP-ISO/IEC 27001:2008 EDI; y a las Disposiciones
Presupuestarias y Disposiciones Operativas de la CENTRO DE
TECNOLOGIA DE

LA INFORMACION

COMUNICACION,

inhabilita la contratacin de personal especializado para el

respectivo establecimiento de polticas de seguridad de acceso a la
SALSA DE SERVIDORES; que trae como consecuencia que no
asegura la integridad y la disponibilidad las instalaciones

de

procesamiento de la informacin organizacional debido a que esta

propenso a ataques maliciosos; Vulnerabilidad ante actividades
fraudulentas,

controversias

contractuales

divulgacin

modificacin de la informacin; Posibilidad de alteracin, duplicacin

o robo de informacin con el fin de beneficiar a la competencia; La
Posibilidad de prdida de la informacin almacenada en los
servidores, que a su vez genera: una prdida de oportunidades de
negocio, clientes decepcionados y reputacin perdida.

El centro de datos del CTIC no cuenta con un piso tcnico esto

debido a la falta de presupuesto para ejecutar un proyecto de
implementacin de un Data Center que permita hacer el uso de piso
tcnico como lo indica la norma TIA 942, lo cual conlleva a posibles
fallas elctricas, de la red y la temperatura.

3.8. RECOMENDACIONES
Utilizar las NAGU (Nomas de Auditorias Gubernamentales) en la
elaboracin de una Auditoria Informtica, con el propsito de
uniformar el trabajo de Auditoria y promover la formacin de

auditores en las Universidades del Pas.

Al Jefe del CTIC realizar las gestiones pertinentes para obtener el
presupuesto necesario para la implementacin de un Data Center

que cumpla ciertas normas especializadas.

Se recomienda la capacitacin de un personal de la CENTRO DE
TECNOLOGIA DE LA INFORMACION Y COMUNICACION en
materia de seguridad de la informacin o la tercerizacin para la
formalizacin de las polticas de seguridad de acceso, con el fin de
reducir la informalidad y frenar los incumplimientos de la NTPISO/IEC 27001:2008 EDI que es de conocimiento del Jefe de la
CENTRO

DE

TECNOLOGIA

COMUNICACION,

para

que

DE
al

LA

INFORMACION

momento

de

encontrar

irregularidades o violaciones de las polticas se puedan hallar a los

respectivos responsables.

CONCLUSIONES

Se aplic las normas de auditora gubernamental-NAGU aprobadas por la

Contralora General de la Repblica para la elaboracin de la Auditoria
informtica a la sala de servidores del CTIC-UNAS, ya que la NAGU es
parte de las normativas existentes recomendadas para llevar a cabo una
auditoria en el Per.

Se realiz el Plan de auditora de acuerdo a la NAGU 2.30 que permiti

tener un programa especfico que incluyo objetivos, procedimientos que
deben aplicarse, naturaleza, alcance y oportunidad de su ejecucin, as
como el personal encargado de su ejecucin.

BIBLIOGRAFIA

Manual de Auditora Gubernamental (MAGU) y Gua del Auditado,

Publicado el 23.DIC.1998. Contralora de la Repblica del Per. [En lnea]:
(http://www.contraloria.gob.pe, 10 de Junio. 2014).

Normas de Auditora Gubernamental (NAGU), Contralora de la Repblica

del Per. [En lnea]: (http://www.contraloria.gob.pe, 12 de Junio. 2014)

Norma Tecina Peruana (NTP-ISO/IEC 27001:2008),Oficina Nacional de

Gobierno Electrnico e Informtico.[En lnea]: (https://www.ongei.gob.pe,
25 de Junio. 2014)

ANEXOS

ANEXO 1: Formato de validacin de criterios

ANEXO 2: Piso tcnico improvisado

ANEXO 3: Condicin actual de la Sala de

Servidores

ANEXO 4: Acceso actual a la Sala de

Servidores del Centro de Tecnologas de la
informacin y Comunicacin

ANEXO 5: Inseguridad en el acceso en la

Sala de Servidores

ANEXO 6: El Estndar TIA 942-TIER