Auditoria GIF Seguridad

15





Todo esto es lo mismo que al principio; si cambia lo que pusimos al principio también esto
Es área de sistemas o de soporte técnico?!
INSTITUTO POLITÉCNICO NACIONAL
Unidad Profesional Interdisciplinaria de Ingeniería y Ciencias Sociales y Administrativas
UPIICSA

Asignatura:
Auditoria informática

Alumnos:
Hernández Méndez Mario
Morán García Jorge Luis
Ramos Juárez Laura Inés
Villaseñor Baños Jonathan

8CV1

Profesor
Francisco Javier Álvarez Solís

Índice:
Metodología de la Auditoria 3
1. Actividades previas (actividades de escritorio) 4
1.1. Conocimiento general del área a revisar. 4
Descripción de la empresa 4
1.2. Definición de objetivos y alcances. 4
Objetivo General 5
Objetivos Específicos 5
Alcance 5
1.3. Preparar el programa de trabajo. 7
1.4. Carta de presentación. 9
1.5. Conocimiento previo sobre las políticas y procedimientos 10
1.6. Preparación de pruebas de cumplimiento. 20
Evaluación del software 20
Evaluación de Hardware: 20
1.7. Preparación de material de apoyo. 22
2. Actividades intermedias. (Actividades de campo) 30
2.1. Levantamiento de Información. 30
2.2. Pruebas de Cumplimiento. 52
2.3. Análisis de Información. 55
2.4. Papeles de Trabajo. 63
2.5. Confirmación de Observaciones. 63
3. Actividades posteriores (actividades de escritorio) 65
3.1. Identificación de Niveles de Riesgo. 65
3.2. Consolidación de Niveles de Riesgo. 68
3.3. Elaboración del Informe Correspondiente. 71
4. Anexos 75











I. ACTIVIDADES PREVIAS (Actividades de Escritorio)I. ACTIVIDADES PREVIAS (Actividades de Escritorio)

I. ACTIVIDADES PREVIAS (Actividades de Escritorio)

I. ACTIVIDADES PREVIAS (Actividades de Escritorio)




















Metodología de la Auditoria
Actividades previas (actividades de escritorio)
Conocimiento general del área a revisar.
Descripción de la empresa
La empresa GIF Seguridad es una organización dedicada a ofrecer servicios de seguridad para muebles e inmuebles. Con 7 años de trayectoria, ha logrado posicionarse entre las empresas reconocidas a nivel estatal. Cuenta también con sedes en Guadalajara, San Luis Potosí, Morelos, Monterrey, Guerrero, entre otras.

Esta empresa cuenta en su matriz central, con aproximadamente 100 empleados que cubren las áreas de Recursos Humanos, Crédito y Cobranza, Contabilidad, Tesorería, Jurídico, Operaciones, Centro de Monitoreo, Ventas, Marketing y Sistemas.
Inventario (Software y hardware instalado):
El área de sistemas es una sala de cómputo que cuenta con 6 equipos y un servidor que sirve a toda la empresa, también se tiene una conexión de 100 Mbps provista por Axtel.
Inventario



Articulo/Descripción
Marca y modelo
Cantidad
Características
Computadora de escritorio
Dell Inspiron 3000 series
6
Intel celeron, 4GB,480GB,Mouse,Teclado,Pantalla.
Servidor en Torre
Dell PowerEdge T320
1
Intel core I5, 8GB,2TB,Teclado,Pantalla
Switch/ conmutador
Encore ENH924-AUT
3
24 puertos
UPS
Koblenz 12007
8
1200KAV, 6 contactos
Windows XP
Microsoft Windows XP
6
Licencia corporativa
Windows Server 2003
Microsoft Windows Server
1
Licenciado a la Empresa
Microsoft Office 2003
Microsoft Office
6
Licencia corporativa
Definición de objetivos y alcances.
Objetivo General
El objetivo de la auditoria es verificar que todo el hardware y software de la empresa cumpla con los estándares y normativas aplicables actualmente con lo cual se asegura que la empresa
Objetivos Específicos

Alcance
La auditoría cubrirá los siguientes puntos:
Validación de licencias instaladas (100%).
Plan de contingencia (100%).
Revisión de equipo en uso (100%).
Errores de programa (Logs) (50%).
Redes y conectividad (50%).
Entrevistas a usuarios de la aplicación (30%).
Plan de respaldos (30%).
Personal encargado de responder a fallos (10%).
Documentación del sistema (10%).






Equipo de trabajo:
Selección del Equipo
Líder Auditor: Jorge Luis Moran García
Auditor y Observador: Laura Inés Ramos Juárez y Juan Manuel Licona Jiménez
Auditor y Experto Técnico: Mario Hernández Méndez y Jonathan Villaseñor Baños

Preparar el programa de trabajo.


















Carta de presentación.
México, D.F. a 13 de enero de 2015.

Dr. Marco Antonio Pagola Martínez.
Director General de GIF Seguridad
P R E S E N T E

Sirva la presente para enviarle un cordial saludo y presentar al equipo de trabajo que estará realizando la auditoría a la Oficina de Soporte Técnico en respuesta a la solicitud presentada por la dirección general con el objetivo de analizar y evaluar las principales causas que han impactado en la disponibilidad de esta aplicación en el periodo del 15 de enero al 4 de febrero del año en curso, para que con base en la información recabada, se propongan posibles soluciones que han de ser implementadas en pro del servicio que esta herramienta proporciona a todos los usuarios. Así mismo le informamos que el alcance quedará delimitado a la revisión de la empresa considerando los siguientes rubros y el porcentaje que será evaluado:

Validación de licencias instaladas (100%).
Plan de contingencia (100%).
Revisión de equipo en uso(100%).
Errores de programa (Logs) (50%).
Redes y conectividad (50%).
Entrevistas a usuarios de la aplicación (30%).
Plan de respaldos (30%).
Personal encargado de responder a fallos (10%).
Documentación del sistema (10%).

Las personas que integran el equipo de trabajo, son:

Jorge Luis Moran García. Identificándose con
Jonathan Villaseñor Baños. Identificándose con
Juan Manuel Licona Jiménez. Identificándose con
Laura Inés Ramos Juárez. Identificándose con
Mario Hernández Méndez. Identificándose con

En cada miembro del equipo de trabajo existe el compromiso de realizar nuestro trabajo con ética y responsabilidad, para brindar resultados objetivos que sean de utilidad para mejorar el desempeño de esta aplicación.

Agradezco de antemano las facilidades otorgadas para la realización del trabajo antes mencionado, quedo a sus órdenes para cualquier duda o comentario.

Atentamente

_____________________________
Jorge Luis Moran García
Responsable del equipo de auditores

Conocimiento previo sobre las políticas y procedimientos
Estándares y buenas practicas
Normas
Para el uso de la infraestructura y servicios informáticos.
Los usuarios deben utilizar los equipos de cómputo, periféricos y el software que tengan instalado, sólo para el desarrollo de las actividades institucionales que le fueron conferidas, relacionadas con el desempeño de su empleo, cargo o comisión y de acuerdo a lo estipulado en esta norma.
Los usuarios deben verificar que todo equipo de cómputo (computadoras de escritorio, computadoras portátiles y dispositivos periféricos) que utilicen para el desarrollo de sus actividades dentro del Instituto, cumplan con las siguientes condiciones:
a. Estar conectado a una Unidad Ininterrumpible de Energía Eléctrica (UPS o no-break), cuando se cuente con éste.
b. La Unidad Ininterrumpible de Energía Eléctrica deberá estar conectada a la corriente regulada, cuando se cuente con este servicio.
Los usuarios no deben alterar la configuración de red que les fue asignada al momento de la instalación de su equipo.
Solicitud y uso de servicios informáticos institucionales.
Los usuarios deben de acudir a la Mesa de Servicio o al personal de soporte técnico local cuando:
a. Se requiera asesoría sobre el correcto uso de los recursos y/o servicios autorizados.
b. Se presenten problemas en los equipos de cómputo y/o periféricos asignados, software instalado, o en los servicios que le son proporcionados.
d. Requieran la instalación de un nuevo software o hardware Institucional.
f. Requieran del alta, baja y/o cambio de cuenta de usuario para acceso a la red, Sistemas Operativos, Bases de Datos o Aplicaciones.
La Coordinación de Administración de Infraestructura tiene la facultad de modificar o incluso suspender el servicio o partes del mismo cuando sea necesario, por razones administrativas, de mantenimiento de los equipos o por causas de fuerza mayor, todo ello, en la inteligencia de que será notificado previamente, si las circunstancias lo permiten.
Los usuarios del Instituto deberán utilizar únicamente software institucional, que haya sido autorizado y asignado por el Instituto para el desarrollo de sus funciones.

De la administración de infraestructura y servicios informáticos.
Plan de Recuperación de Desastres
El Plan de Recuperación de Desastres deberá de estar alineado a la presente norma. Cualquier acción que en el momento de la ejecución del Plan de Recuperación de Desastres, no esté alineada o especificada en esta Norma, deberá contar con la aprobación de la División de Soporte Técnico y Seguridad Informática
El Plan de Recuperación de Desastres definido debe estar actualizado y debe existir una copia fuera de las instalaciones.
El Plan de Recuperación de Desastres debe ser probado y verificado bajo un ambiente controlado de simulación de desastres periódicamente, las diferencias determinadas, resultado de las pruebas deben ser reflejadas en dicho plan.
Los cambios en la operación y en la infraestructura tecnológica institucional deben reflejarse en los procedimientos descritos en el Plan de Recuperación de Desastres.
El personal involucrado en el Plan de Recuperación de Desastres deberá ser entrenado adecuadamente con el fin de minimizar los riesgos generados por descuido o desconocimiento.
Respaldos.
Los respaldos deben garantizar la integridad de la información (programas, datos, documentos, etc.). En los sistemas que lo permitan se deberá dejar registro electrónico del proceso realizado.
Las solicitudes de restauración deben ser por escrito o por medios electrónicos y contener al menos: autorización del dueño de la información o en su defecto el depositario de ésta, nombre del sistema del cual se desea recuperar la información, ruta de recuperación y sección que desea recuperar.
Las áreas depositarias en conjunto con las responsables de la información deben definir el procedimiento de eliminación de respaldos, específico por sistema o por tipo de información de acuerdo a las necesidades legales, contractuales y operacionales.
Seguridad física.
Los administradores de la infraestructura informática deben restringir y controlar el acceso a los componentes de cada uno de los elementos de la infraestructura informática.
Los administradores de la infraestructura informática deben proteger los respaldos y datos institucionales del acceso de personal no autorizado para tal fin.
Los administradores de la infraestructura informática deben llevar un registro del personal que accede a las áreas restringidas incluyendo el motivo de la visita.
Los administradores de la infraestructura informática deben mantener actualizadas las listas de autorización de acceso a personal contratado de proveedores de servicio de terceros.
Los administradores de la infraestructura informática deben instalar la infraestructura informática en ambientes adecuados para su operación, administración, monitoreo y control de acceso, para minimizar las amenazas a las que se encuentren expuestos.
Los administradores de la infraestructura informática deben evaluar y aprobar las instalaciones eléctricas, comunicaciones, sistemas contra incendios y de aire acondicionado y demás recursos, que garanticen las condiciones adecuadas para la operación óptima de la infraestructura tecnológica del Instituto.
Administración de la infraestructura informática.
Los administradores de infraestructura informática deben limitar el acceso a los sistemas operativos, sistemas y/o bases de datos, mediante la identificación del usuario, a través de su cuenta y contraseña, así como, la asignación de un perfil y un rol con nivel de acceso específico.
El registro de usuarios y la administración de la seguridad de los sistemas de información que son accedidos en forma local y/o a través de la red de comunicaciones, deberá realizarse por los responsables de la seguridad de cada sistema o plataforma.
Los administradores de infraestructura informática deben personalizar las cuentas para las actividades de administración de servidores, bases de datos, servicios o sistemas institucionales, así como las cuentas con atributos para realizar el monitoreo de las actividades realizadas por cada usuario.
En referencia a las bases de datos, los responsables de su administración deberán considerar implementar esquemas en donde los datos viajen y se almacenen encriptados.
Se deberá considerar la segregación de roles de tal manera que los administradores de base de datos sólo tengan acceso a las estructuras de las bases de datos a las que tengan autorización y los usuarios autorizados sólo a los datos.
Se deberá considerar el incluir mecanismos de seguridad en las bases de datos que coadyuven a identificar a los usuarios que modifiquen datos y que afecten a alguno de los atributos de la seguridad de la información
Los closets de comunicaciones o de red deberán estar ubicados en lugares cerrados y resguardados dentro de los edificios institucionales.



Administración de cuentas de usuario y contraseñas.
La asignación de cuentas de usuario para cualquiera de los servicios y/o sistemas que operan dentro de la empresa, deberá identificar a un solo usuario que fungirá como responsable de ésta, siendo de uso exclusivo del titular de la cuenta e intransferible a otro usuario, por lo que las cuentas deberán ser personalizadas y únicas.
Los administradores deben establecer el perfil y el rol con el nivel de acceso específico de acuerdo a las políticas de la aplicación o sistema al que el usuario requiera acceder.

Preparación de pruebas de cumplimiento.
NO. DE PRUEBA
OBJETIVO DE LA PRUEBA
PROCEDIMIENTO DE LA PRUEBA
1
Conocer si el personal tiene las aptitudes y actitudes necesarias para desempeñar las actividades del área de Sistemas.
A. A través de la aplicación de las encuestas aplicada al personal en turno del área de Sistemas, analizar si cuentan con el conocimiento que se requiere en el área.


B. Elaboración de preguntas básicas relacionadas con el funcionamiento del Sistema de Información, de tal forma que se pueda detectar si el personal tiene la capacidad para responder a preguntas de los usuarios del sistema.


C. Partiendo de la encuesta y de las preguntas hechas al personal del área de sistemas, identificar si asistieron a algún curso de capacitación y si este dio los resultados deseados.
2
Conocer si el personal tiene la capacidad para atender las diferentes incidencias.
A. Realizar observaciones de las actividades que lleva a cabo el personal del área de sistemas que está en turno cuando se reporta una o varias incidencias por parte de los usuarios, así como también cuando se reportan problemas con equipos de cómputo.


B. Evaluar el compromiso del personal del área con respecto al cumplimiento del horario del turno en el que se encuentra asignado.
3
Evaluar y revisar que los roles y tareas de los empleados.
A. Se observara las labores y tareas del personal del área de sistemas, para corroborar que estén cumpliendo con dichas tareas.


B. Así mismo se hará un seguimiento de los empleados que se relacionen con otras áreas de trabajo y la función que desempeñan en dichas áreas.
4
Revisar que se cuente con los manuales de operación, así como la normativa establecida.
A. Solicitar tanto al personal del área de sistemas, nos proporcionen los manuales de usuario correspondientes a ambos perfiles.


B. Partiendo de la respuesta de parte de los usuarios y del personal del área de sistemas, analizar las encuestas realizadas, para definir si se tiene conocimiento de la existencia de dichos manuales.


C. De igual manera a partir de las encuestas y de algunas preguntas que surjan en el momento de realizarlas definir si el personal conoce la normatividad que se debe de seguir en la operación de este tipo de sistemas.
5
Corroborar el correcto manejo de información confidencial por parte del personal.
A. A través de la observación revisar que en el área en donde se encuentran los usuarios, así como en el área de sistemas, no se encuentran papeles o notas donde estén escritas las claves de acceso al equipo de cómputo, el usuario y contraseña para ingreso, entre otras claves que son de conocimiento únicamente de los usuarios.


B. Haciendo uso de la ingeniería social, intentar obtener las claves de acceso mencionadas en el paso anterior. Tomar el rol de un usuario nuevo al que todavía no le asignan su contraseña.
6
Revisar si se tiene un inventario de los equipos de cómputo, y de la diferente paquetería de software que se tienen instalada en cada uno de ellos.
A. Solicitar al personal del área de sistemas un inventario de los equipos de cómputo así como de las aplicaciones que se encuentran instaladas en cada una de estos.


B. Detectar mediante observación las aplicaciones que utilizan los usuarios del sistema durante su turno de trabajo, lo anterior para identificar software de juegos, reproductores de música, servicios de mensajería instantánea, etc., que no están permitidos en la empresa.
7
Evaluar software empleado y frecuencia de su uso.
A. De acuerdo a la información obtenida del anterior punto, se realizara un seguimiento del uso y desempeño de los softwares empleados en el área de sistemas.


B. Se realizaran listados de los errores más frecuentes de los softwares, así como también de la capacidad de los operarios en resolver dichos problemas.
8
Evaluar si la ubicación del servidor es la adecuada.
A. La ubicación del servidor debe de ser de bajo riesgo, observar las características del entorno en donde se encuentra.


B. Revisar si se cuenta con un adecuado control de acceso al lugar donde se encuentra instalado el servidor.
9
Revisar que se cuenten con los requisitos necesarios para el uso de los equipos de cómputo.
A. Mediante el análisis de la encuesta realizada al área de sistemas, detectar si cada uno de los equipos de cómputo y del servidor cumple con los requerimientos necesarios para que funcionen adecuadamente.
10
Evaluar las condiciones en las que se encuentra el servidor y equipos de cómputo de los usuarios del sistema
A. Revisar si se cuenta con reguladores para cada uno de los equipos de cómputo y demás dispositivos que lo requieran, hacer esto mediante observación.


B. De igual forma a través de la observación, determinar si se cuenta con un sistema de ventilación adecuado en el lugar donde se encuentra el servidor.


C. Observar cómo se encuentra la instalación eléctrica del lugar donde se localizan el servidor y equipos de cómputo, para detectar si se encuentran protegidos contra fallas en el suministro de energía.


D. Evaluar las condiciones en las que se encuentra la red física.


E. El cable de red se encuentra protegido contra daños.


F. Observar si las condiciones en las que están los equipos de cómputo son las óptimas.
11
Verificar existencia de planes de recuperación o de contingencia que permitan restablecer el servicio del área de sistemas
A. Solicitar al personal del área de sistemas los planes de contingencia en caso de presentarse un problema.


B. Analizar las encuestas para detectar si se cuenta con un procedimiento para restablecer el sistema, y si tienen conocimiento de cómo se lleva a cabo.






Preparación de material de apoyo.
Checklist






Cedula de resumen

Cedula de observaciones



Cedula de seguimiento












II. ACTIVIDADES INTERMEDIAS (Actividades de CAMPO)II. ACTIVIDADES INTERMEDIAS (Actividades de CAMPO)

II. ACTIVIDADES INTERMEDIAS (Actividades de CAMPO)

II. ACTIVIDADES INTERMEDIAS (Actividades de CAMPO)





















Actividades intermedias. (Actividades de campo)

Levantamiento de Información.
Checklist

Auditoria de los equipos de cómputo en el área de sistemas de la empresa


INFORMACIÓN DE LA MÁQUINA SERVIDOR

1) Vista General

Item
Value
Computer Name
SERVIDOR1
Domain Name
WORKGROUP
Site Name

Roles
Workstation, Server, Potential Browser
Description

Operating System
Microsoft Windows 8 64-Bit
Manufacturer
ASUSTeK COMPUTER INC.
Model
X450LN
Serial Number
E6N0CX67692425B
Asset Tag
No Asset Tag
Number of Processors
1
Processor Description
Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz
Total Memory
8192MB
Total Hard Drive
910.4GB
Display
@monitor.inf,%pnpmonitor.devicedesc%;Generic PnP Monitor, 13.9" (31cm x 17cm)
BIOS Version
_ASUS_ - 1072009
User Account
SERVIDOR1
System Uptime
0 Días 15 Hours 25 Minutes
Local Time
2015-02-11 13:43:14





3) Active Setup

Name
Version
Installed
.NET Framework
2,0,50727,0
No
.NET Framework
2,0,50727,1
No
.NET Framework
4,0,30319,0
No
Active Directory Service Interface
5,0,00,0
Sí
Address Book 7
6,3,9600,16384
Sí
Adobe Shockwave Director 10.4
10,4,1,42
Sí
Browsing Enhancements
11,0,9600,17498
Sí
DirectDrawEx
4,71,1113,0
Sí
Dynamic HTML Data Binding
11,0,9600,17498
Sí
Google Chrome
24,0,0,0
Sí
HTML Help
6,3,9600,17498
Sí
Internet Explorer Core Fonts
11,0,9600,0
Sí
Internet Explorer Help
11,0,9600,17498
Sí
Internet Explorer Setup Tools
11,0,9600,17498
Sí
Macromedia Shockwave Director 10.1

Sí
Macromedia Shockwave Director 10.1

Sí
Microsoft Windows
6,3,9600,16384
Sí
Microsoft Windows Media Player
12,0,9600,17031
Sí
Microsoft Windows Media Player
12,0,9600,17031
No
Microsoft Windows Media Player 12.0
12,0,9600,17031
Sí
Microsoft Windows Script 5.6
5,6,0,8833
Sí
MSN Site Access
4,9,9,2
Sí
Offline Browsing Pack
11,0,9600,17498
Sí




75) Sistema Operativo

Item
Value
Name
8
Edition

Install Date
20150116210714.000000-360
Registered Owner

Registered Organization

Product ID
00262-30238-27532-AAOEM
Major Version Number
6
Minor Version Number
2
Build Number
9200
Service Pack

Service Pack Version
0.0
Plus! Version Number

DirectX Version
9.0c
Windows Directory
C:\Windows\
System Directory
C:\Windows\system32\
Temporary Directory
C:\Users\SERVIDOR1\AppData\Local\Temp\
Operating System Language
Spanish
Number of Bits
64

301) Processor


302) Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz
Item
Value
Processor Number
1
Socket Designation
SOCKET 0
Processor Type
Central Processor
Processor Family
Intel(R) Core(TM) i5 processor
Processor Manufacturer
Intel
Processor ID
0xBFEBFBFF-0x00040651
Processor Version
Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz
Voltage
1.200000V
External Clock
100MHz
Maximum Speed
3800MHz
Current Speed
1700MHz
Status
CPU Socket Populated, CPU Enabled
Processor Upgrade
Socket rPGA988B
Serial Number

Asset Tag
Fill By OEM
Part Number
Fill By OEM
Core Count
2
Core Enabled
2
Thread Count

Processor Characteristics
64-bit Capable
Processor Family 2


317) Procesadores


318) Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz
Item
Value
Processor Number
1
Name
Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz
Short Name

Speed Estimated
2394MHz
Speed Registry
2394MHz
Processor Type
OEM Primary
Manufacturer
Intel(R) Corporation
Serial Number

APIC Physical ID
0x00, 0x01, 0x02, 0x03
Features
1-GByte, ACPI, AESNI, APIC, AVX, CLFSH, CMOV, CMPXCHG16B, CX8, DE, DS, DS-CPL, DTES64, EDB, EIST, F16C, FMA, FPU, FXFR, HTT, IA64, LAHF, MCA, MCE, MMX, MONITOR, MOVBE, MSR, MTRR, OSXSAVE, PAE, PAT, PBE, PCID, PCLMULQDQ, PDCM, PGE, POPCNT, PSE, PSE-36, RDRAND, RDTSCP, SEP, SS, SSE, SSE2, SSE3, SSE4.1, SSE4.2, SSSE3, TM, TM2, TSC, TSC-Deadline, VME, VMX, XSAVE, xTPR
Cache
Prefetching 64-Byte
TLB
TLB Data 1GB, TLB Data 4KB, TLB Instruction 2MB/4MB, TLB Instruction 4KB
Logical Processors
4






319) Memoria

Item
Value
Total Memory
8192MB
Free Memory
5053MB
Maximum Swap File
10251MB
Free Swap File
6095MB






320) Discos Físicos


321) ST1000LM024 HN-M101MBB
Item
Value
Disk Number
1
Capacity
953867MB
Disk Type
Fixed hard disk media
Manufacturer
Seagate
Model
ST1000LM024 HN-M101MBB
Serial Number
S32XJ9CF606187
Firmware Revision
2BA30001
Controller Rank
Primary
Master/Slave
Master
Total Cylinders
121601
Total Heads
255
Sectors Per Track
63
Buffer Size

SMART Supported

SMART Enabled

SMART Self Test







322) SanDisk Cruzer Pop USB Device
Item
Value
Disk Number
2
Capacity
7632MB
Disk Type
Removable Media
Manufacturer

Model
SanDisk Cruzer Pop USB Device
Serial Number
4C532000061203122275
Firmware Revision
1.26
Controller Rank
Primary
Master/Slave
Master
Total Cylinders
973
Total Heads
255
Sectors Per Track
63
Buffer Size

SMART Supported

SMART Enabled

SMART Self Test















INFORMACIÓN DE LA ESTACIÓN DE TRABAJO #1

1) Vista General

Item
Value
Computer Name
PC1
Domain Name
WORKGROUP
Site Name

Roles
Workstation, Server
Description

Operating System
Microsoft Windows 8 32-Bit
Manufacturer
Gateway
Model
NE51B
Serial Number
NXY1GAL00223305C351601
Asset Tag
Chassis Asset Tag
Number of Processors
1
Processor Description
AMD E-300 APU with Radeon(tm) HD Graphics, 1297MHz
Total Memory
3577MB
Total Hard Drive
149.0GB
Display
@monitor.inf,%pnpmonitor.devicedesc%;Generic PnP Monitor, 15.7" (35cm x 19cm)
BIOS Version
ACRSYS – 1
User Account
JORGE
System Uptime
2 Días 4 Hours 22 Minutes
Local Time
2015-02-11 16:34:47



3) Active Setup

Name
Version
Installed
.NET Framework
2,0,50727,1
No
.NET Framework
2,0,50727,0
No
.NET Framework
4,0,30319,0
No
Active Directory Service Interface
5,0,00,0
Sí
Address Book 7
6,3,9600,16384
Sí
Browsing Enhancements
11,0,9600,17498
Sí
DirectDrawEx
4,71,1113,0
Sí
Dynamic HTML Data Binding
11,0,9600,17498
Sí
Google Chrome
24,0,0,0
Sí
HTML Help
6,3,9600,17498
Sí
Internet Explorer Core Fonts
11,0,9600,0
Sí
Internet Explorer Help
11,0,9600,17498
Sí
Internet Explorer Setup Tools
11,0,9600,17498
Sí
Microsoft Windows
6,3,9600,16384
Sí
Microsoft Windows Media Player
12,0,9600,16384
No
Microsoft Windows Media Player
12,0,9600,17031
Sí
Microsoft Windows Media Player 12.0
12,0,9600,17031
Sí
Microsoft Windows Script 5.6
5,6,0,8833
Sí
MSN Site Access
4,9,9,2
Sí
Offline Browsing Pack
11,0,9600,17498
Sí
Themes Setup
1,1,1,9
Sí
Web Platform Customizations
11,0,9600,0
Sí
Windows Desktop Update
6,3,9600,17331
Sí





213) Sistema Operativo

Item
Value
Name
8
Edition

Install Date
2014-08-04 06:40:46
Registered Owner
[email protected]
Registered Organization

Product ID
00178-11236-68230-AB105
Major Version Number
6
Minor Version Number
2
Build Number
9200
Service Pack

Service Pack Version
0.0
Plus! Version Number

DirectX Version
9.0c
Windows Directory
C:\WINDOWS\
System Directory
C:\WINDOWS\system32\
Temporary Directory
C:\Users\PC1\AppData\Local\Temp\
Operating System Language
Spanish
Number of Bits
32




214) Periféricos

Name
Description
Mouse
2 buttons
Keyboard
Japanese
Display Description
@monitor.inf,%pnpmonitor.devicedesc%;Generic PnP Monitor, 15.7" (35cm x 19cm)
Printer
XRX9C934E1BDCCF
Printer
WorkCentre 5330
Printer
Microsoft XPS Document Writer
Printer
HPE41F35 (HP Officejet Pro 8600)
Printer
HPBD5C5E (HP Deskjet 5520 series)
Printer
HPBABD79 (HP Officejet Pro 8600)
Printer
HPA1EDFB (HP Photosmart D110 series)
Printer
HP4DD125 (HP Deskjet 4620 series)
Printer
HP Photosmart D110 series
Printer
HP LaserJet P3010 Series UPD PCL 6
Printer
HP LaserJet 200 colorMFP M276nw UPD PCL 6
Printer
FS-1035MFP
Printer
Foxit Reader PDF Printer
Printer
Fax
Printer
Enviar a OneNote 2010
Network Installed
1








370) User Privileges

Privilege
Apagar el sistema
Aumentar el espacio de trabajo de un proceso
Cambiar la zona horaria
Omitir comprobación de recorrido
Quitar equipo de la estación de acoplamiento






371) User Rights Assignment

Policy
Security Setting
Access Credential Manager as a trusted caller

Access this computer from the network

Act as part of the operating system

Add workstations to domain

Adjust memory quotas for a process

Allow log on through Terminal Services

Back up files and directories

Bypass traverse checking

Change the system time

Change the time zone

Create a pagefile

Create a token object

Create global objects

Create permanent shared objects

Create symbolic links

Debug programs

Deny access to this computer from the network

Deny log on as a batch job

Deny log on as a service

Deny log on locally

Deny log on through Terminal Services

Enable delegation

Force shutdown from a remote system

Generate security audits

Impersonate a client after authentication

Increase a process working set

Increase scheduling priority

Load and unload device drivers

Lock pages in memory

Log on as a batch job

Log on as a service

Log on locally

Manage auditing and security log

Manage the files on a volume

Modify an object label

Modify firmware environment values

Profile single process

Profile system performance

Remove computer from docking station

Replace a process-level token

Restore files and directories

Shut down the system

Synchronize directory service data

Take ownership of files or other objects







372) Windows Firewall

Name
Setting
Firewall Enabled
Yes
Authorised Application
TeamViewer 10
Authorised Application
netsession_win.exe
Authorised Application
mysqld
Authorised Application
Apache HTTP Server
Authorised Application
spotify.exe
Authorised Service
Compartir archivos e impresoras
Authorised Service
Detección de redes
Authorised Service
Escritorio remoto






392) Procesadores


393) AMD E-300 APU with Radeon(tm) HD Graphics
Item
Value
Processor Number
1
Name
AMD E-300 APU with Radeon(tm) HD Graphics
Short Name

Speed Estimated
1297MHz
Speed Registry
1298MHz
Processor Type
OEM Primary
Manufacturer
Advanced Micro Devices
Serial Number

APIC Physical ID
0x00, 0x01
Features
3DNowPrefetch, ABM, AltMovCr8, APIC, CLFSH, CMOV, CmpLegacy, CMPXCHG16B, CMPXCHG8B, DE, ExtApicSpace, FFXSR, FPU, FXFR, HTT, IBS, LahfSahf, LM, MCA, MCE, MisAlignSse, MMX, MmxExt, MONITOR, MSR, MTRR, NX, PAE, Page1GB, PAT, PGE, POPCNT, PSE, PSE36, RDTSCP, SKINIT, SSE, SSE2, SSE3, SSE4A, SSSE3, SVM, SysCallSysRet, SysEnterSysExit, TSC, VME, WDT
Cache
L1 Data 32KB, L1 Instruction 32KB, L2 512KB
TLB
TLB Data 2MB/4MB, TLB Data 4KB, TLB Instruction 2MB/4MB
Logical Processors
2








394) Memoria

Item
Value
Total Memory
3577MB
Free Memory
2321MB
Maximum Swap File
7161MB
Free Swap File
5787MB




395) Discos Físicos


396) TOSHIBA MK1652GSX
Item
Value
Disk Number
1
Capacity
152625MB
Disk Type
Fixed hard disk media
Manufacturer

Model
TOSHIBA MK1652GSX
Serial Number
Y8EGF71BS
Firmware Revision
LV010J
Controller Rank
Primary
Master/Slave
Master
Total Cylinders
19457
Total Heads
255
Sectors Per Track
63
Buffer Size

SMART Supported

SMART Enabled

SMART Self Test







397) Kingston DataTraveler SE9 USB Device
Item
Value
Disk Number
2
Capacity
7436MB
Disk Type
Removable Media
Manufacturer

Model
Kingston DataTraveler SE9 USB Device
Serial Number
6C626DBED96DEC604000D298
Firmware Revision
PMAP
Controller Rank
Primary
Master/Slave
Master
Total Cylinders
948
Total Heads
255
Sectors Per Track
63
Buffer Size

SMART Supported

SMART Enabled

SMART Self Test




398) Puertos de comunicación


399) WSD-25a94375-f58a-43bc-8296-8527af60c5bf.0065
Item
Value
Port Number
1
Port Name
WSD-25a94375-f58a-43bc-8296-8527af60c5bf.0065
Monitor Name
WSD Port Monitor
Description
Puerto WSD
Port Type
Can write, Cannot read, Network attached



400) WSD-7c681dec-1829-4169-bdeb-215ea66e2cf1.003c
Item
Value
Port Number
2
Port Name
WSD-7c681dec-1829-4169-bdeb-215ea66e2cf1.003c
Monitor Name
WSD Port Monitor
Description
Puerto WSD
Port Type
Can write, Cannot read, Network attached






401) WSD-bb670bb2-dc63-4c33-8188-f3b985f24c2d.0064
Item
Value
Port Number
3
Port Name
WSD-bb670bb2-dc63-4c33-8188-f3b985f24c2d.0064
Monitor Name
WSD Port Monitor
Description
Puerto WSD
Port Type
Can write, Cannot read, Network attached






402) WSD-bd0b0979-233d-48fa-b73b-5d3c7ab6b5ca.0031
Item
Value
Port Number
4
Port Name
WSD-bd0b0979-233d-48fa-b73b-5d3c7ab6b5ca.0031
Monitor Name
WSD Port Monitor
Description
Puerto WSD
Port Type
Can write, Cannot read, Network attached






403) WSD-d5407aa2-96ff-4393-8511-d83ad10a4d20.006a
Item
Value
Port Number
5
Port Name
WSD-d5407aa2-96ff-4393-8511-d83ad10a4d20.006a
Monitor Name
WSD Port Monitor
Description
Puerto WSD
Port Type
Can write, Cannot read, Network attached




404) WSD-e2d349eb-6f35-478e-9809-e921232bff79.0067
Item
Value
Port Number
6
Port Name
WSD-e2d349eb-6f35-478e-9809-e921232bff79.0067
Monitor Name
WSD Port Monitor
Description
Puerto WSD
Port Type
Can write, Cannot read, Network attached






405) WSD-e6ca5618-fe77-4eb1-a5fa-d2f2a305605d.0066
Item
Value
Port Number
7
Port Name
WSD-e6ca5618-fe77-4eb1-a5fa-d2f2a305605d.0066
Monitor Name
WSD Port Monitor
Description
Puerto WSD
Port Type
Can write, Cannot read, Network attached






406) WSD-e7fec0b6-54ff-4a2b-8377-ffeebdaec468.006f
Item
Value
Port Number
8
Port Name
WSD-e7fec0b6-54ff-4a2b-8377-ffeebdaec468.006f
Monitor Name
WSD Port Monitor
Description
Puerto WSD
Port Type
Can write, Cannot read, Network attached






407) WSD-f09aeed1-2090-416f-9d83-86ba06968a1b.0030
Item
Value
Port Number
9
Port Name
WSD-f09aeed1-2090-416f-9d83-86ba06968a1b.0030
Monitor Name
WSD Port Monitor
Description
Puerto WSD
Port Type
Can write, Cannot read, Network attached





408) WSD-f5446fed-89a1-49c6-84ca-7c4e200efc76.003e
Item
Value
Port Number
10
Port Name
WSD-f5446fed-89a1-49c6-84ca-7c4e200efc76.003e
Monitor Name
WSD Port Monitor
Description
Puerto WSD
Port Type
Can write, Cannot read, Network attached



409) HP_192.168.0.17_CN24AGD1VR05N9
Item
Value
Port Number
11
Port Name
HP_192.168.0.17_CN24AGD1VR05N9
Monitor Name
TCPMON.DLL
Description
Puerto TCP/IP estándar
Port Type
Can write, Cannot read, Network attached






410) SHRFAX:
Item
Value
Port Number
12
Port Name
SHRFAX:
Monitor Name
Microsoft Shared Fax Monitor
Description
Puerto para supervisión de fax
Port Type
Can write, Cannot read






411) LPT1:
Item
Value
Port Number
13
Port Name
LPT1:
Monitor Name
Local Monitor
Description
Puerto local
Port Type
Can write, Can read






412) COM3:
Item
Value
Port Number
14
Port Name
COM3:
Monitor Name
Local Monitor
Description
Puerto local
Port Type
Can write, Can read





413) LPT2:
Item
Value
Port Number
15
Port Name
LPT2:
Monitor Name
Local Monitor
Description
Puerto local
Port Type
Can write, Can read


414) COM4:
Item
Value
Port Number
16
Port Name
COM4:
Monitor Name
Local Monitor
Description
Puerto local
Port Type
Can write, Can read






415) LPT3:
Item
Value
Port Number
17
Port Name
LPT3:
Monitor Name
Local Monitor
Description
Puerto local
Port Type
Can write, Can read






416) PORTPROMPT:
Item
Value
Port Number
18
Port Name
PORTPROMPT:
Monitor Name
Local Monitor
Description
Puerto local
Port Type
Can write, Can read






417) FILE:
Item
Value
Port Number
19
Port Name
FILE:
Monitor Name
Local Monitor
Description
Puerto local
Port Type
Can write, Can read






418) COM1:
Item
Value
Port Number
20
Port Name
COM1:
Monitor Name
Local Monitor
Description
Puerto local
Port Type
Can write, Can read


419) COM2:
Item
Value
Port Number
21
Port Name
COM2:
Monitor Name
Local Monitor
Description
Puerto local
Port Type
Can write, Can read






420) nul:
Item
Value
Port Number
22
Port Name
nul:
Monitor Name
Local Monitor
Description
Puerto local
Port Type
Can write, Can read






421) FOXIT_Reader:
Item
Value
Port Number
23
Port Name
FOXIT_Reader:
Monitor Name
Local Monitor
Description
Puerto local
Port Type
Can write, Can read





INFORMACIÓN DE LA ESTACIÓN DE TRABAJO #2







































































































Pruebas de Cumplimiento.
-tres columnas: 1) cual es la prueba 2) cual es el objetivo de la prueba 3) cual es el procedimiento de la prueba

_________________________ _______________________
ELABORÓ SUPERVISÓ











Análisis de Información.
Nº
OBSERVACIÓN
IMPACTO
CAUSA
SUGERENCIA
1
No se cuenta con personal capacitado en el área de soporte técnico de la empresa.
Tiempos de respuesta ante incidencias largos.


2
Desconocimiento de mejores prácticas para personal de soporte en la empresa.
Carencia de entendimiento del manual de procedimientos a seguir ante incidencias reportadas.


3
No hay un control de temperatura, ni se tiene una ventilación adecuada en la oficina donde se encuentra el servidor.
Sobrecalentamiento de los dispositivos que contiene la oficina.


4
El rack se encuentra expuesto físicamente a cualquier incidente.
Fallas en la red de uno o más equipos clientes de la aplicación


5
Los cables de corriente del servidor están libres para ser desconectados.
Apagón en el servidor que proporciona servicio de la aplicación.


6
La última actualización al plan de contingencia que se utiliza tiene fecha del 23 de abril de 2008.
Desconocimiento de procedimientos y/o la solución de nuevas incidencias que se pudieran presentar.


7
No existe un reporte de los tiempos de indisponibilidad del sistema.
Desconocimiento de los tiempos críticos en los cuales se debe poner más atención a la actividad del sistema.


8
El personal para atender incidencias reportadas es insuficiente
Tiempos muy largos de espera para recibir soporte debido a que una persona ve todas las actividades relacionadas a la administración de TI


9
No existe un plan de trabajo establecido para los procesos de actualización de la versión del sistema
Paro total de actividades que no están previstas con suficiente tiempo


10
La seguridad que existe para acceder al site, es prácticamente mínima
Sabotaje en la infraestructura de TI de la empresa


11
El personal de soporte técnico desconoce el Plan de Recuperación de Desastres que de acuerdo a la Norma
Pérdida de tiempo considerable para la recuperación en contingencias


12
El personal no ha sido involucrado en el Plan de Recuperación de Desastres
Retraso del trabajo de la Coordinación Delegacional de Informática


13
5 equipos de usuarios, tienen perfil de administrador
Modificación de la configuración de red, modificación a la configuración del equipo para trabajar con los sistemas de información


14
No existe un registro de accesos al site por personas ajenas a éste.
Pérdida de insumos o herramientas resguardadas en el Site, conflictos con prestadores de servicios externos


15
Para poder saber el estado del servidor necesita revisar de manera directa y no cuentan con una herramienta la cual lo haga de forma automática y remota, la cual informe de estados de peligro del servidor.
En caso de peligro de contingencia, no se puede advertir.


16
No existe disco duro secundario en el servidor en el cual se pueda generar un respaldo de la base de datos
Si la base de datos no está respaldada, en caso de que el disco duro principal falle puede perderse la información o ser muy costoso el recuperarla.


17
No existe subdivisiones en el área de soporte Técnico
No existe una coordinación de planes para mantenimiento o actualización de los sistemas y/o equipos de cómputo, aparte se deslindan de responsabilidades por parte de las áreas conflictivas.


18
Dos usuarios apaga de golpe el equipo, 3 no actualiza antivirus, y 5 mete dispositivos de almacenamiento sin analizar (ignorancia de las normativas para el manejo de un equipo de cómputo)
Daño físico de los equipos e infección de los equipos con antivirus


19
En 5 equipos existe software de mensajería, juegos, administración de celulares e intercambio de archivos (música, video, etc.), instalados en los equipos.
Alentamiento de los equipos, saturación del disco duro, alta probabilidad de infección por virus


20
Los datos copiados del servidor no cuentan con cifrado.
En caso de robo de los datos, se puede tener acceso a ellos sin problemas


21
Los usuarios puede copiar información de sus máquinas a sus memorias USB, sin problemas
Robo de información


22
Uno de las personas del área de soporte no cuenta con el conocimiento técnico para control de los usuarios.
Lentitud en la solución de problemas o inexistencia de estas








Personal y usuarios
Nº
OBSERVACIÓN
IMPACTO
CAUSA
SUGERENCIA
1
No existe un plan de trabajo establecido para los procesos de actualización de la versión del sistema
Paro total de actividades que no están previstas con suficiente tiempo
No se consideran tiempos de soporte en caso de que algo salga mal en la actualización, se estiman tiempos debajo de los tiempos reales que se lleva la actualización
Establecer una comunicación para realizar un plan de trabajo en los tiempos que no esté disponible el sistema (trabajo en forma manual) para la participación de todo el personal involucrado con el uso de éste
2
No existe subdivisiones en el área de soporte Técnico
No existe una coordinación de planes para mantenimiento o actualización de los sistemas y/o equipos de cómputo, aparte se deslindan de responsabilidades por parte de las áreas conflictivas.
Falta de organización del personal del área de soporte de la clínica.
Crear roles para el personal del área de soporte y rotación de roles.
3
No se cuenta con personal capacitado en el área de soporte técnico de la empresa.
Tiempos de respuesta ante incidencias largos.
Falta de capacitación al personal.
No se realizaron pruebas piloto sobre el que hacer en caso de contingencia.
Ofrecer un curso para capacitar al personal sobre las funciones a realizar en caso de problemas.
Realizar pruebas piloto para consolidar que la información impartida en el curso se haya entendido bien.
4
El personal de soporte técnico desconoce el Plan de Recuperación de Desastres que de acuerdo a la Norma.
Pérdida de tiempo considerable para la recuperación en contingencias
El personal no está capacitado integralmente en ese aspecto, argumentan que no se cuenta con un calendario de cursos de capacitación
Sugerir de que se haga partícipes al personal de soporte de la empresa en este proceso, delegar más responsabilidad al personal de soporte para que se involucre en el Plan de Recuperación de Desastres
5
El personal para atender incidencias reportadas en el es insuficiente
Tiempos muy largos de espera para recibir soporte debido a que una persona ve todas las actividades relacionadas a la administración de TI
Falta de personal, no hay definido un organigrama con actividades específicas
Modificar plantilla de personal en esa área, revisar su programa de actividades y definir tareas específicas, realizar programas preventivos para evitar en lo posible retrasos por fallas técnicas
6
La última actualización al plan de contingencia que se utiliza tiene fecha del 23 de abril de 2013.
Desconocimiento de procedimientos y/o la solución de nuevas incidencias que se pudieran presentar.
El personal de soporte técnico no cuenta con la versión actualizada a la fecha del 25 de octubre del 2014 de dicho manual.
Verificar al menos cada mes si existe alguna actualización al plan para su revisión y lectura.
7
Desconocimiento de mejores prácticas para personal de soporte en la empresa.
Carencia de entendimiento del manual de procedimientos a seguir ante incidencias reportadas.
Políticas de capacitación de la empresa.
Brindar un manual de buenas prácticas para servicios de infraestructura al personal operador.
Proponer nuevas políticas de capacitación al personal para mejorar el servicio.
8
El personal no ha sido involucrado en el Plan de Recuperación de Desastres
Retraso del trabajo
El personal argumenta que eso no es competencia de ese nivel jerárquico
Revisar la Norma que marca que si debe estar involucrado, sugerir un plan de capacitación a la para la práctica de esta norma
9
Uno de las personas del área de soporte no cuenta con el conocimiento técnico para control de los usuarios.
Lentitud en la solución de problemas o inexistencia de estas
Nivel inconcluso de estudios
Capacitar al elemento del área de soporte.



Instalaciones
Nº
OBSERVACIÓN
IMPACTO
CAUSA
SUGERENCIA
1
El rack se encuentra expuesto físicamente a cualquier incidente.
Fallas en la red de uno o más equipos clientes de la aplicación
No se cuenta con la infraestructura necesaria para asegurar que el rack este completamente aislado de problemas.
Solicitar un mueble que cuente con candados de seguridad. Actualizar el plan de infraestructura necesaria para la operación de la red de la empresa.
2
Los cables de corriente del servidor están libres para ser desconectados.
Apagón en el servidor que proporciona servicio de la aplicación.
Se movieron los muebles que tapaban la vista de la ubicación de los cables de corriente.
Mover los muebles con el fin de disfrazar la ubicación del enchufe de corriente.
3
La seguridad que existe para acceder al site, es prácticamente mínima
Sabotaje en la infraestructura de TI de la empresa
La Dirección no ha implementado un control o procedimiento para el acceso a esa área
Implementar un dispositivo de acceso de mayor seguridad que una simple cerradura, los permisos de acceso del personal de soporte sean controlados.
4
No hay un control de temperatura, ni se tiene una ventilación adecuada en la oficina donde se encuentra el servidor.
Sobrecalentamiento de los dispositivos que contiene la oficina.
La oficina donde se encuentra el servidor fue adaptada como site.
Colocar una torre de refrigeración en la oficina.
Colocar al menos dos ventiladores para refrescar la temperatura ambiente.
Sacar dos escritorios que no se utilizan para nada y así generar espacio suficiente para evitar sobrecalentamiento
5
No existe un registro de accesos al site por personas ajenas a éste.
Pérdida de insumos o herramientas resguardadas en el Site, conflictos con prestadores de servicios externos
Esa actividad no se les ha encomendado por escrito y argumentan que no lo marca su contrato colectivo de trabajo
Revisar la Norma que marca que si debe realizar esa actividad, analizar su profesiograma de actividades de su contrato colectivo, llevar un control interno del acceso de proveedores externos y restringir el acceso a solo el personal autorizado






















Papeles de Trabajo.

(adicionales a levantamiento de información, poner cualquier ptro manual, fotos, etc) sino va en blanco





Confirmación de Observaciones.
Todas las observaciones que encontramos las confirmemos, y se puede hacer comentando con el área auditada (utilizar la tabla de análisis de la información) agregando una columna de comentado con y ahí debe de venir su nombre, cargo y firma



















IIi. ACTIVIDADES posteriores (Actividades de ESCRITORIO)IIi. ACTIVIDADES posteriores (Actividades de ESCRITORIO)

IIi. ACTIVIDADES posteriores (Actividades de ESCRITORIO)

IIi. ACTIVIDADES posteriores (Actividades de ESCRITORIO)























Actividades posteriores (actividades de escritorio)
Identificación de Niveles de Riesgo.
En la siguiente tabla se presenta la identificación de los niveles de riesgo (impacto de la observación detectada) con su respectiva justificación. Cabe mencionar que los niveles de riesgos se clasifican en:
Inminente: Se denota de esta manera cuando el problema está presente o en su defecto puede generar pérdidas cuantiosas a la entidad.
Potencial: Cuando el problema aún no está presente pero es muy probable que ocurra y,
Controlable, cuando es poco probable que ocurra o que puedan generarse perdidas mínimas en la entidad.
Nº
OBSERVACIÓN
IMPACTO
NIVEL DE RIESGO
1
No se cuenta con personal capacitado en el área de soporte técnico de la empresa.
Tiempos de respuesta ante incidencias largos.
Potencial.
2
Desconocimiento de mejores prácticas para personal de soporte en la empresa.
Carencia de entendimiento del manual de procedimientos a seguir ante incidencias reportadas.
Controlable.
3
No hay un control de temperatura, ni se tiene una ventilación adecuada en la oficina donde se encuentra el servidor.
Sobrecalentamiento de los dispositivos que contiene la oficina.
Potencial.
4
El rack se encuentra expuesto físicamente a cualquier incidente.
Fallas en la red de uno o más equipos clientes de la aplicación
Inminente.
5
Los cables de corriente del servidor están libres para ser desconectados.
Apagón en el servidor que proporciona servicio de la aplicación.
Inminente.
6
La última actualización al plan de contingencia que se utiliza tiene fecha del 23 de abril de 2008.
Desconocimiento de procedimientos y/o la solución de nuevas incidencias que se pudieran presentar.
Potencial.
7
No existe un reporte de los tiempos de indisponibilidad del sistema.
Desconocimiento de los tiempos críticos en los cuales se debe poner más atención a la actividad del sistema.
Controlable.
8
El personal para atender incidencias reportadas es insuficiente
Tiempos muy largos de espera para recibir soporte debido a que una persona ve todas las actividades relacionadas a la administración de TI
Potencial
9
No existe un plan de trabajo establecido para los procesos de actualización de la versión del sistema
Paro total de actividades que no están previstas con suficiente tiempo
Inminente
10
La seguridad que existe para acceder al site, es prácticamente mínima
Sabotaje en la infraestructura de TI de la empresa
Potencial
11
El personal de soporte técnico desconoce el Plan de Recuperación de Desastres que de acuerdo a la Norma
Pérdida de tiempo considerable para la recuperación en contingencias
Potencial
12
El personal no ha sido involucrado en el Plan de Recuperación de Desastres
Retraso del trabajo de la Coordinación Delegacional de Informática
Controlable
13
5 equipos de usuarios, tienen perfil de administrador
Modificación de la configuración de red, modificación a la configuración del equipo para trabajar con los sistemas de información
Controlable
14
No existe un registro de accesos al site por personas ajenas a éste.
Pérdida de insumos o herramientas resguardadas en el Site, conflictos con prestadores de servicios externos
Potencial
15
Para poder saber el estado del servidor necesita revisar de manera directa y no cuentan con una herramienta la cual lo haga de forma automática y remota, la cual informe de estados de peligro del servidor.
En caso de peligro de contingencia, no se puede advertir.
Inminente
16
No existe disco duro secundario en el servidor en el cual se pueda generar un respaldo de la base de datos
Si la base de datos no está respaldada, en caso de que el disco duro principal falle puede perderse la información o ser muy costoso el recuperarla.
Inminente
17
No existe subdivisiones en el área de soporte Técnico
No existe una coordinación de planes para mantenimiento o actualización de los sistemas y/o equipos de cómputo, aparte se deslindan de responsabilidades por parte de las áreas conflictivas.
Inminente
18
Dos usuarios apaga de golpe el equipo, 3 no actualiza antivirus, y 5 mete dispositivos de almacenamiento sin analizar (ignorancia de las normativas para el manejo de un equipo de cómputo)
Daño físico de los equipos e infección de los equipos con antivirus
Controlable
19
En 5 equipos existe software de mensajería, juegos, administración de celulares e intercambio de archivos (música, video, etc.), instalados en los equipos.
Alentamiento de los equipos, saturación del disco duro, alta probabilidad de infección por virus
Controlable
20
Los datos copiados del servidor no cuentan con cifrado.
En caso de robo de los datos, se puede tener acceso a ellos sin problemas
Controlable
21
Los usuarios puede copiar información de sus máquinas a sus memorias USB, sin problemas
Robo de información
Controlable
22
Uno de las personas del área de soporte no cuenta con el conocimiento técnico para control de los usuarios.
Lentitud en la solución de problemas o inexistencia de estas
Controlable



Consolidación de Niveles de Riesgo.
Personal y usuarios
Nº
OBSERVACIÓN
IMPACTO
NIVEL DE RIESGO
1
No existe un plan de trabajo establecido para los procesos de actualización de la versión del sistema
Paro total de actividades que no están previstas con suficiente tiempo
Inminente
2
No existe subdivisiones en el área de soporte Técnico
No existe una coordinación de planes para mantenimiento o actualización de los sistemas y/o equipos de cómputo, aparte se deslindan de responsabilidades por parte de las áreas conflictivas.
Inminente
3
No se cuenta con personal capacitado en el área de soporte técnico de la empresa.
Tiempos de respuesta ante incidencias largos.
Potencial.
4
El personal de soporte técnico desconoce el Plan de Recuperación de Desastres que de acuerdo a la Norma.
Pérdida de tiempo considerable para la recuperación en contingencias
Potencial
5
El personal para atender incidencias reportadas en el turno es insuficiente
Tiempos muy largos de espera para recibir soporte debido a que una persona ve todas las actividades relacionadas a la administración de TI
Potencial
6
La última actualización al plan de contingencia que se utiliza tiene fecha del 23 de abril de 2013.
Desconocimiento de procedimientos y/o la solución de nuevas incidencias que se pudieran presentar.
Potencial.
7
Desconocimiento de mejores prácticas para personal de soporte en la empresa.
Carencia de entendimiento del manual de procedimientos a seguir ante incidencias reportadas.
Controlable.
9
El personal no ha sido involucrado en el Plan de Recuperación de Desastres
Retraso del trabajo de la Coordinación Delegacional de Informática
Controlable
10
Uno de las personas del área de soporte no cuenta con el conocimiento técnico para control de los usuarios.
Lentitud en la solución de problemas o inexistencia de estas
Controlable

Instalaciones
Nº
OBSERVACIÓN
IMPACTO
NIVEL DE RIESGO
1
El rack se encuentra expuesto físicamente a cualquier incidente.
Fallas en la red de uno o más equipos clientes de la aplicación
Inminente.
2
Los cables de corriente del servidor están libres para ser desconectados.
Apagón en el servidor que proporciona servicio de la aplicación.
Inminente.
3
La seguridad que existe para acceder al site, es prácticamente mínima
Sabotaje en la infraestructura de TI de la empresa.
Potencial
4
No hay un control de temperatura, ni se tiene una ventilación adecuada en la oficina donde se encuentra el servidor.
Sobrecalentamiento de los dispositivos que contiene la oficina.
Potencial.
5
No existe un registro de accesos al site por personas ajenas a éste.
Pérdida de insumos o herramientas resguardadas en el Site, conflictos con prestadores de servicios externos
Potencial






Software y Hardware
Nº
OBSERVACIÓN
IMPACTO
NIVEL DE RIESGO
1
Para poder saber el estado del servidor necesita revisar de manera directa y no cuentan con una herramienta la cual lo haga de forma automática y remota, la cual informe de estados de peligro del servidor.
En caso de peligro de contingencia, no se puede advertir.
Inminente
2
No existe disco duro secundario en el servidor en el cual se pueda generar un respaldo de la base de datos
Si la base de datos no está respaldada, en caso de que el disco duro principal falle puede perderse la información o ser muy costoso el recuperarla.
Inminente
3
Los datos copiados del servidor no cuentan con cifrado.
En caso de robo de los datos, se puede tener acceso a ellos sin problemas
Controlable
4
Los usuarios puede copiar información de sus máquinas a sus memorias USB, sin problemas
Robo de información
Controlable
5
No existe un reporte de los tiempos de indisponibilidad del sistema.
Desconocimiento de los tiempos críticos en los cuales se debe poner más atención a la actividad del sistema.
Controlable.
6
5 equipos de usuarios, tienen perfil de administrador
Modificación de la configuración de red, modificación a la configuración del equipo para trabajar con los sistemas de información
Controlable
7
Dos usuarios apaga de golpe el equipo, 3 no actualiza antivirus, y 5 mete dispositivos de almacenamiento sin analizar (ignorancia de las normativas para el manejo de un equipo de cómputo)
Daño físico de los equipos e infección de los equipos con antivirus
Controlable
8
En 5 equipos existe software de mensajería, juegos, administración de celulares e intercambio de archivos (música, video, etc.), instalados en los equipos.
Alentamiento de los equipos, saturación del disco duro, alta probabilidad de infección por virus
Controlable




Elaboración del Informe Correspondiente.
Informe de Auditoría
México, D.F. a 09 de febrero del 2015
Dr. Marco Antonio Pagola Martínez.
Director General de GIF Seguridad

Me permito hacer el conocimiento de los resultados derivados de la revisión efectuada durante el periodo del quince de enero al nueve de febrero del año en curso, cuyo objetivo es verificar los controles establecidos para mantener la disponibilidad y continuidad dentro del área de soporte técnico en la empresa, para que con base en el análisis de estos en el periodo comprendido del 15 de enero al 9 de febrero del año en curso, se puedan establecer puntos críticos en la operación y gestión del sistema con la finalidad de realizar las recomendaciones necesarias que permitan la mejora en la implementación de dichos controles para proporcionar una respuesta más rápida.
El Alcance fue:
Plan de evaluación de riesgos (100%).
Plan de contingencia (100%).
Plan de continuidad del servicio (100%).
Incidencias presentadas en el periodo (50%).
Interrupciones en el servicio (50%).
Entrevistas a usuarios de la aplicación (30%).
Plan de respaldos (30%).
Personal encargado de responder a fallos (10%).
Documentación del sistema (10%).

El resultado es
PONER TABLA DE ANALISIS DE INFORMACION









Informe y Recomendaciones
Equipos con diferente arquitectura
Hay pocos equipos que coinciden en las mismas características y prestaciones. Se cuenta con modelos de diferentes marcas, sistemas operativos e incluso en versiones "armadas" y con licencias pirata.
Se recomienda una estandarización en dicho aspecto para que se mejore la facilidad de comunicaciones entre ellos y el servidor.
Falta de interés en el negocio
El área de sistemas pareciera trabajar de manera independiente. No relaciona su papel en la organización y el impacto que crea en las metas que persigue esta.
Se recomienda conocer tanto la misión y visión de la empresa, como los objetivos planeados y así también el funcionamiento de los servicios que se ofrecen.

Parcialidad en el servicio
Se da preferencia a ciertas áreas sobre otras, especialmente tesorería, relaciones comerciales e instalaciones. Hay muchas quejas de parte de las demás áreas.
Se sugiere mayor imparcialidad, mejora en el servicio y mayor rapidez en la atención que se da a otras áreas.

Velocidad en el servicio e internet
Se comunicó el fallo con el proveedor, quien comento que se otorgaba la mayor velocidad acorde a los límites permitidos en el área. La estructura del site es deficiente y en ocasiones se ha apagado el sistema de ventilación o dado que no se cuenta con corriente alterna en caso de picos eléctricos provoca fallas en el servicio.
Se sugieren compra de reguladores de voltaje inteligentes (no break), y también aprovechar los recursos actuales para aligerar el tráfico de internet. Esto puede ser mediante la división de la red, aprovechando las dos líneas con las que se cuenta en la misma empresa. De esta forma el número de peticiones será menor permitiendo un flujo con menos ruido.
Debe contratarse también un firewall y un servidor proxy para que esto mejore considerablemente. El cortafuego permitirá restringir tanto el acceso a personas no autorizadas a la información delicada de la empresa, como a su vez restringirá el acceso a páginas no permitidas por las políticas de la misma.
El servidor proxy será una ayuda para este fina, además controlar las salidas a internet aligerando de una manera sobresaliente el tráfico de internet.


Conclusiones
Actualmente el departamento de sistemas está en la etapa que, según Richard Noolan describió como de CONTROL. Hace poco fue despedido el anterior gerente, y actual es el tercero en secuencia después de la salida de este. Por ello es esencial que primero acredite nuevamente el área de sistemas como funcional para la empresa. Esto solo se lograra resolviendo los problemas actuales con los recursos disponibles antes de intentar implementar nuevos proyectos.
Los auditores sugieren también un cambio en la actitud hacia el negocio que tiene esta área; si implementa una misión y visión interna que vaya de la mano con las de la empresa, será más probable que mejore la situación. Esto, como sugerencia, se debería de realizar en los próximos 9 meses.

























IV. ANEXOIV. ANEXO

IV. ANEXO

IV. ANEXO






















Anexos


Marcas de auditoría
Nº
MARCA
DESCRIPCION
1

Observaciones que hacen referencia al personal y/o usuarios.
2

Observaciones relacionadas con las instalaciones.
3

Observaciones que hacen referencia al software o hardware
4

Indica que se informó la observación, pero no se emitió una acción inmediata para su corrección.
5
¿?
Indican las observaciones que surgen a partir de las encuestas.
6

Observaciones fundamentadas con las pruebas de cumplimiento
7

Conector para identificar cual es el número de cédula de observación al que se refiere.
8

Conector con el que se hace el cruce de la cédula de observación a la matriz de observación