1. INFORME DE AUDITORIA
Fecha del Informe: 29 / 04 / 2014
Nombre de la Entidad: Transporte Feliz Viaje S.A
Auditoria de Seguridad de Redes
Objetivo
Análisis del Estado actual de la red, incluyendo controles físicos y lógicos,
detección de usuarios no autorizados, hardware de comunicaciones, tipos de
tráfico de red, esquema de antivirus, acceso a Internet, esquema y pruebas de
respaldo.
Análisis de Políticas de seguridad actuales, que incluye verificación de políticas
de claves, control de personal, perfiles de usuario, sistemas operativos de red,
esquema de licencias de software.
Análisis de protección de recursos informáticos y establecimiento de un plan de
capacitación en las políticas de seguridad.
Elaborar un plan de respaldo y contingencia que garantice la disponibilidad de
los recursos tanto en la parte de servidores y equipos de comunicación,
enlaces de transmisión, aplicaciones y datos en general
Lugar de la Auditoría: Área de Sistemas de la referida empresa.
Grupo de Trabajo de Auditoría:
Integrantes
Fecha de Inicio de la Auditoría: 27 / 04 / 2014
Tiempo estimado del proceso de revisión: 30 hs
Fecha de Finalización de la Auditoría: 29 / 04 / 2014
Herramientas utilizadas
Metodología de auditoría de objetivos de control - Utilitarios estándar
1. Entrevistas
2. Cheklist
Alcance
Controlar los accesos no autorizados al software, así también como el cuidado y
mantenimiento del hardware. Manejar el acceso de la red de tal manera que se utilice
sólo para uso de trabajo.
2. Procedimientos a aplicar:
Objetos
¿Existen actualizaciones de los programas?
¿Los sistemas están protegidos contra virus?
¿La información es clara?
¿Existen plan en caso de terremotos u otros?
¿Hay personal de seguridad en la Institución?
¿Los equipos tienen un mantenimiento continuo por parte de personal calificado?
Datos
- ¿Con qué frecuencia se realiza una copia de resguardo (backup)?
- ¿Cada cuánto tiempo se realiza una actualización de lo programas?
- ¿existen inventario de las maquinas?
¿Diversos extintores?
Usuarios
¿Todos los usuarios tienen definido un rol determinado?
¿Todos los usuarios tienen permiso para instalar aplicaciones?
¿Se cuenta con registro de los empleados?
3. Informe de las debilidades detectadas
Situación Actual Recomendación
Comentario de la Gerencia
de Sistemas
Las actualizaciones de las
definiciones de virus y en
general del antivirus no se
realizan periódicamente, es
decir no hay un
procedimiento establecido
para la ejecución y
actualización de los antivirus.
Es necesario estandarizar el
software de antivirus en
todas las estaciones de
trabajo y servidores. Es
aconsejable tener un
proveedor de software
antivirus para las estaciones
y otro diferente para el
servidor, para reducir la
probabilidad de que un virus
que no esté en la lista de
actualización, se filtre en
toda la red.
El servidor principal de la
empresa se encuentra
actualmente sin antivirus, lo
que representa un grave
peligro frente a cualquier
programa no deseado que
ingrese desde la misma red
o de la Internet.
Se sugiere que en las
estaciones de trabajo se siga
con la línea de Symantec
(Norton Antivirus) y en el
servidor central instalar
McAfee. Es recomendable
instalar el McAfee por la
funcionalidad que brinda la
consola de administración
de la versión para
servidores. Si no se opta por
alguno de estos productos
se tendría que analizar que
el producto que se escoja no
afecte el software instalado
para las actividades que
realiza la empresa.
Como parte de esta
evaluación se procedió a
verificar las conexiones de
los cables del HUB, los
cables del servidor de base
de datos, quedó en
evidencia el libre acceso
físico que existe hacia el
hardware de
comunicaciones, puesto que
el HUB está almacenado en
un armario donde también se
guarda documentación física
de la empresa.
El servidor de archivos
no debe ser accesible
físicamente a cualquier
persona.
Ausencia de un área de
recepción donde se solicite
una identificación a los
empleados como a los
visitantes que deseen
ingresar al área de cómputo.
Colocar seguridad o
personal de la empresa para
la entrada del personal ajeno
o de la empresa así controlar
en ingreso.
4. Los colaboradores de la
empresa carecen de una
medio de identificación,
llámese tarjeta de Id o
alguna otro forma de
identificación.
Se solicita tener
identificaciones y estar en
registradas para evitar
cualquier entrada de
personal ajena a la empresa
Ausencia de extintores de
incendios.
Colocar extintores en zonas
claves para permitir el
acceso rápido en caso de
incendio
La caja de los medidores de
energía eléctrica se
encuentra sin ningún tipo de
protección, estando a la
intemperie y a simple vista
del público en general.
Todo contacto o interruptor
debe tener siempre su tapa
debidamente aislada.
Existe una diversa cantidad
de programas en las
estaciones de trabajo,
muchos de estos que no
tienen relación directa con la
actividad de la empresa.
Esto se debe a que los
colaboradores suelen
instalar software usando el
usuario administrador de la
máquina, el cual es el mismo
en todas las estaciones
Solo está permitido
instalar en las
computadoras el software
requerido para el desarrollo
de las actividades de la
empresa, para esto se
contará con un listado de
dicho software, el cual
deberá ser seleccionado por
la Gerencia y jefes de área.
No existe un mantenimiento
de programas y
procedimientos de detección
e inmunización de virus.
Se debe realizar
actualizaciones de los
diferentes programa que
intervienen en las diferentes
computadoras (ejm. Adobe
Reader)
No se tiene en inventario a la
computadoras
Se deberá realizar una
señalización o etiquetado de
los Computadores de
acuerdo a la importancia de
su contenido, para ser
priorizados en caso de
evacuación.
El procedimiento de respaldo
que actualmente consiste en
efectuar Backus cada
semana, los días viernes,
almacenando en CD la
información importante de la
empresa que reside en el
servidor central
La realización de copias de
seguridad ha de ejecutarse
diariamente, éste es el
principio que debe regir la
planificación de las copias.
No se cuenta con área de
seguridad de usuarios, para
evitar accesos no
autorizados mediante
contraseñas confiables y
seguras.
Concienciar a los usuarios
de la red, se deberá
concienciar a los usuarios
de la red, acerca de una
política mínima de
seguridad, por ejemplo,
evitar las claves fácilmente
descifrables.
5. CONCLUSIONES
El equipo de auditores considera que la empresa NO realiza las tareas de
actualización y mantenimiento necesarias, las cuales son esenciales para el normal
funcionamiento de la misma y para el cumplimiento de los objetivos establecidos en
las distintas áreas de la empresa.
Luego de haber realizado el análisis de las seguridades en la red local, podemos
concluir que no existen controles adecuados en los siguientes aspectos: acceso físico
a instalaciones, accesos lógicos, plan de contingencias, políticas de seguridades
informáticas y esquema de antivirus.
Consideramos que los puntos mencionados anteriormente son indispensables para el
correcto funcionamiento de las actividades de la empresa, ya que según lo expuesto
en la parte sobre análisis de riesgos, una empresa que detenga sus actividades por
fallas en la disponibilidad de su red, corre el riesgo de nunca poder recuperarse y
desaparecer del mercado.
RECOMENDACIONES:
Por esta razón, recomendamos que se sigan los siguientes pasos: implementar un
esquema robusto contra virus informáticos, restringir los accesos físicos a la empresa
y a los equipos de cómputo, dar mantenimiento preventivo y correctivo al
hardware de la empresa, tener un plan de contingencias que garantice la
recuperación de la actividad normal de la empresa en caso de ocurrir algún desastre y
por último, establecer un esquema de políticas de seguridad informática de acuerdo a
las necesidades planteadas.
Se aconseja que las sugerencias hechas en este documento junto con el esquema de
políticas de seguridad propuesto, deban ser evaluadas con la mayor prontitud posible,
entendiendo que ningún esfuerzo, sea este económico o humano, es demasiado
cuando está en juego información confidencial y vital para el normal funcionamiento
del negocio.