informe final isaca tuxitos

5/11/2018 Informe Final Isaca Tuxitos - slidepdf.com

http://slidepdf.com/reader/full/informe-final-isaca-tuxitos 1/18

INACAP RANCAGUAINGENIERÍA EN INFORMÁTICA

Auditoría Computacional

INFORME FINAL GUIA ISACASALA CUNA Y JARDÍN INFANTIL “TUXITOS”

Nombre Alumno (s): Viviana Castro G.

Pablo Morales S.

Juan Ramírez O.

Nombre Profesor: Bianka Barrios S.

Fecha: 09 de diciembre de 2011



2

AGENDA

INTRODUCCIÓN ............................................................................................................. 3

ALCANCE ........................................................................................................................ 4

OBJETIVOS .................................................................................................................... 6

PERIODO DE COBERTURA ........................................................................................... 8

NATURALEZA Y EXTENSIÓN DEL TRABAJO DE AUDITORÍA .................................... 9

GESTIÓN ..................................................................................................................... 9

SEGURIDAD LÓGICA (CHICOCOSOFT) .................................................................... 9

SEGURIDAD LÓGICA (SISTEMAS) .......................................................................... 10

SEGURIDAD FÍSICA ................................................................................................. 10

BASE DE DATOS ...................................................................................................... 11

COMUNICACIONES .................................................................................................. 11

PRODUCCIÓN ........................................................................................................... 11

HERRAMIENTAS Y TÉCNICAS PARA LA AUDITORÍA INFORMÁTICA .................. 12

ORGANIZACIÓN ........................................................................................................... 13

DESTINATARIOS DEL INFORME ................................................................................ 14

RESTRICCIONES ......................................................................................................... 15

HALLAZGOS ................................................................................................................. 17

CONCLUSIONES .......................................................................................................... 18

RECOMENDACIONES ................................................................................................. 18



3

INTRODUCCIÓN

El presente informe está referido a la Auditoria Informática realizada bajo la Guía ISACA

a la organización Sala Cuna y Jardín Infantil “Tuxitos”.Es importante destacar la relevancia de realizar dicha tarea bajo el marco que ofrece la

organización ISACA, ya que es una organización profesional e internacional que

establece las pautas para los profesionales del gobierno, control, seguridad y auditoría

de información. Sus normas de auditoría y control de SI son seguidas por profesionales

de todo el mundo (más de 95.000 miembros en más de 160 países) y sus

investigaciones abordan temas profesionales que son desafíos para sus constituyentes,

que a la vez retroalimentan de forma continua a sus asociados, la que ha sidoconsiderada durante mucho tiempo una de las mayores fortalezas de ISACA.

La Guía ISACA proporciona las prácticas recomendadas para preparar un informe de

auditoría.



4

ALCANCE

El alcance de la Auditoria especificara requerimientos para planificar, establecer,

implementar, operar, monitorear, revisar, probar, mantener y mejorar un Sistema deGestión de Salas Cunas y Jardines Infantiles” Tuxitos”, para controlar los principales

riesgos de la organización.

A continuación se detalla lo que se incluirá el alcance en esta auditoria:

Instalaciones de la Organización

• Oficinas

• Sala de Profesores

• Laboratorio de Computación

• Cableado Estructurado, Puntos de Red

• Instalación Eléctrica

Sala de Comunicaciones

• Enlace

• Equipos de Comunicaciones

• Cableado Estructurado

• Instalación Eléctrica

• Dispositivo de alimentación eléctrica ininterrumpida - UPS

• Temperatura



5

Servidores

• Software

o Sistema Operativoo Aplicaciones

o Base de Datos

o Servicios

o Carga

o Seguridad

o Respaldos

o Documentación• Hardware

Equipos PC

• Software

o Sistema Operativo

o Aplicaciones Cliente-Servidor

o Seguridad

• Hardware



6

OBJETIVOS

• Dentro de la organización es necesario auditar la función informática, ya que es

de mucha importancia para el buen desempeño de los sistemas de información,proporcionando los controles necesarios para que los sistemas sean confiables y

robustos a nivel de seguridad.

• Comprobar la eficiencia y eficacia de los sistemas y recursos informáticos.

Dentro de la organización se necesita que los procesos productivos se

mantengan continuos en el tiempo.

• Gestionar la seguridad y el riesgo, que en su forma general contiene cuatro

fases:

o Análisis: Determina los componentes que requiere protección en

ChicocoSoft, sus vulnerabilidades que lo debilitan y las amenazas que lo

ponen en peligro, con el resultado de revelar su grado de riesgo.

o Clasificación: Determina si los riesgos encontrados y los riesgos restantes

son aceptables.

o Reducción: Define e implementa las medidas de protección. Además

sensibiliza y capacita los usuarios conforme a las medidas.o Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las

medidas, para determinar y ajustar las medidas deficientes y sanciona el

incumplimiento.

Todo el proceso está basado en las llamadas políticas de seguridad, normas y

reglas institucionales, que forman el marco operativo del proceso, con el

propósito de:

o Potenciar las capacidades de la organización, reduciendo la vulnerabilidad y

limitando las amenazas con el resultado de reducir el riesgo.

o Orientar el funcionamiento organizativo y funcional.

o Garantizar comportamiento homogéneo.

o Garantizar corrección de conductas o prácticas que nos hacen vulnerables.

o Conducir a la coherencia entre lo que se piensa, se dice y se hace.



7

• Correcto cumplimiento de las normas y procedimientos del área TI. Es sumamente

importante que el personal de la organización realice su trabajo con base a objetivos

y metas comunes. Para lograrlo, todos deben ajustarse a las normas de trabajo que

la organización establece. Las razones que justifican tener normas y procedimientosen el área, son que la unión de criterios evita confusiones y errores, ahorra recursos,

reduce el esfuerzo y aumenta la seguridad, contribuyendo así a alcanzar los

objetivos operacionales de la organización. Para lograr el cumplimiento efectivo de

dichas normas y procedimientos de trabajo, éstas se deben ser comunicadas al

personal mediante: capacitación, reuniones de trabajo, distribución de copias

impresas de los reglamentos vigentes, y con la colocación en sitios estratégicos de

letreros claros y visibles con las reglas del área. El jefe o supervisor del área TI debeasegurarse que sus subordinados comprendan los reglamentos y hagan

correctamente su trabajo.

• Asegurar la continuidad de las operaciones. El ambiente de negocios actual, obliga a

las empresas a mantener una adecuada administración de la continuidad de las

operaciones. Cada día se tienen más aplicaciones que ayudan a la producción, que

se basan en la tecnología de información, por lo que las organizaciones en

prácticamente todos los sectores se han hecho más dependientes de TI, provocando

que cualquier falla de esta les puede afectar severamente.



8

PERIODO DE COBERTURA

Debido a la reciente implementación del Sistema de Gestión de Salas Cunas y Jardines

Infantiles “ChicocoSoft”, se programó la primera Auditoria al sistema entre los días 5 al8 de diciembre de 2011.

El equipo auditor perteneciente a la empresa ISACA-CHILE está compuesto por los

Ingenieros en Informática:

• Viviana Castro Gaete (experta en Administración y Gestión Informática).

• Pablo Morales Salinas (experto en Sistemas Unix, Seguridad Informática y

Comunicaciones).• Juan Ramírez Ordenes (experto en Desarrollo de Sistemas, Seguridad

Informática y Bases de Datos).



9

NATURALEZA Y EXTENSIÓN DEL TRABAJO DE AUDITORÍA

Las características de esta Auditoria Informática son de ámbito amplio, es un trabajo

integral, y engloba variables importantes como:

• Gestión

• Protección de Datos

• Seguridad

• Base de Datos

• Comunicaciones

•

Producción

GESTIÓN

Dentro de este tipo de auditoria tenemos que tener en cuenta lo siguiente:

• Contrato con ISP (Enlace Dedicado).

•

Contrato con ChicocoSoft.• Contrato con empresa de Soporte Informático.

• Licencias de garantías (Hardware).

• Documentación de aplicaciones.

• Licencias de Software (solo si existen).

• Registro de series (inventario) de Hardware.

• Documentación legal.

SEGURIDAD LÓGICA (CHICOCOSOFT)


• Los datos deben ser íntegros, estar disponibles, ser confidenciales y

autentificables.



10

• Acceso a los datos e información del niño con restricciones (perfiles, seguridad

de la red y del sistema).

• A nivel de sistema, métodos de autentificación seguros y auditables, para evitar

corrupciones de nivel externo e interno.

• El cumplimiento de la normativa legal respecto al manejo de información e

imagen del niño.

SEGURIDAD LÓGICA (SISTEMAS)


• El Sistema Operativo debe corresponder a una versión estable.

• La red debe contar con un Firewall-Proxy (iptables-squid), servidor físico como

mejor opción.

• Antivirus para control de tráfico (clamav).

• Correcta política de respaldos (con procedimientos documentados).

SEGURIDAD FÍSICA


• Los equipos (hardware) deben estar ubicados en lugares sin riesgo y tratando

que los equipos críticos (servidores, equipos de comunicaciones) estén en zonas

privadas, sin información confidencial a la vista.• Solo personal autorizado debe ingresar a sala de comunicaciones.

• Los equipos de comunicaciones deben estar empotrados en un rack.

• La sala de comunicaciones debe estar a una temperatura adecuada, estar libre

de objetos que no tengan relación con el medio y limpia.

• Se debe contar con equipos de alimentación eléctrica ininterrumpida (UPS) y/o

un generador eléctrico si es necesario.



11

BASE DE DATOS


• La Base de Datos debe estar correctamente normalizada para evitar problemas

de redundancia, evitar problemas en actualizaciones de datos y proteger la

integridad de estos mismos.

• El sistema debe contar con registros de los accesos al sistema, cuando se

realizan ingresos, actualizaciones, modificaciones, etc.

COMUNICACIONES


• El cableado estructurado debe estar de acuerdo a la norma (IEEE 802.3), bajo

una topología de red, rotulado y ordenado.

• Los puntos de red deben estar rotulados y señalizados, de acuerdo a lanormativa.

PRODUCCIÓN


• El sistema debe evitar caer en errores.

• La base de datos debe tener una correcta mantención.

• El sistema operativo y sus aplicaciones deben ser optimizados cada cierto

tiempo.

• El Soporte Técnico debe ser rápido y oportuno en la solución de problemas.



12

HERRAMIENTAS Y TÉCNICAS PARA LA AUDITORÍA INFORMÁTICA

• Observación

o Permite la recolección de datos mediante la exploración, la descripción, la

comprensión, la identificación y la generación de hipótesis sobre el

entorno de la organización. En esta observación se puede ser participe

directo o no en las tareas o situaciones.

• Cuestionarios

o Mediante este método se obtiene gran información. El cuestionario es un

documento formado por un conjunto de preguntas que deben estar

redactadas de forma coherente, y organizadas, secuenciadas y

estructuradas de acuerdo con una determinada planificación, con el fin de

que sus respuestas nos puedan ofrecer toda la información que se

precisa.

• Entrevistas

o Mediante este acto de comunicación oral o escrita que se establece entre

el entrevistador y el entrevistado (o los entrevistados) se espera obtener

información clara desde la fuente más concreta.• Checklist

o Es un tipo de material de apoyo informativo que se utiliza para reducir el

fracaso mediante la compensación de los posibles límites de la memoria

humana y la atención. Esto ayuda a garantizar la coherencia e integridad

en el desempeño de una tarea. Es un documento que detalla uno por uno

distintos aspectos que se deben analizar, comprobar, verificar, etc.

•

Registros (Log)o Son registros oficiales de eventos durante un rango de tiempo en

particular. Sirve para registrar datos o información sobre un evento en

particular ocurrido en los sistemas.



13

ORGANIZACIÓN

La Sala Cuna y Jardín Infantil “Tuxitos” es un moderno establecimiento con

empadronamiento JUNJI ubicado en la calle Ignacio de la Carrera 0571, poblaciónManuel Rodríguez de la ciudad de Rancagua. Comienza su actividad en el mes de

marzo del año 2004 y ya con siete años de funcionamiento tiene un importante apoyo y

reconocimiento por parte de la comunidad rancagüina y del sector.

Tuxitos es dirigido por su directora y fundadora la señora María Luisa Salinas Escalona,

quien después de haber participado por 10 años en la docencia en un colegio

Montessoriano, decidió independizar su pasión por los niños.

La institución cree en una nueva y mejor educación pre-escolar. Utiliza una metodologíade trabajo que rescata lo mejor de los postulados del curriculum montessoriano,

cognoscitivo e integral. A través de este currículum ecléctico potencia las diversas áreas

de desarrollo del niño, facilitando además el despliegue de su autonomía y autovalor.

Además, se preocupa de mantener a su personal en constante capacitación y

educación continua en técnicas actuales de enseñanza, cuidados de niños y modernos

planes de trabajos.

Su estructura organizacional es la siguiente:



14

Aquí es importante que la organización este diseñada de la siguiente forma:

• Jerarquización de autoridad de manera que los grupos o individuos separados

por la división del trabajo actúen coordinadamente.

• División del trabajo: Consiste en la designación de tareas específicas a cada una

de las partes de la organización.

• Unidad de Dirección: Debe tener un solo jefe y un solo plan.

• Jerarquía o Cadena Escala: Debe hacer una línea de autoridad, del escalón más

alto al escalón más bajo de la organización.

DESTINATARIOS DEL INFORME

El presente informe está dirigido a la Sra. Bianka Barrios Soto, Directora Nacional del

Departamento de Tecnologías de la Información y Comunicaciones (TIC)

correspondiente al Ministerio de Educación del Gobierno de Chile.



15

RESTRICCIONES

• Algunas funciones php que afectan al sistema quedan inhabilitadas.

•

register_globals en el archivo php.ini esta desabilitado.• Existen 3 perfiles de usuario, cada uno con una interfaz separada que en el cual

acceden solo a los datos permitidos para cada perfil de usuario.

• Ninguno de estos 3 perfiles de usuario en la base de datos posee privilegios de

administrador (root).

• El perfil de “apoderado” no puede modificar datos de ningún tipo, solo puede leer

información proporcionada en el sistema por la educadora del nivel de su hijo(a).

•

El perfil “educador” solo puede modificar datos respecto a su nivel y parte de laficha del niño(a).

• El Administrativo puede modificar todo tipo de datos.

• Existen 3 validaciones de datos: la primera es por Javascript, esta se hace una

vez el usuario escribe los datos en el formulario. La segunda es por los métodos

POST o GET según corresponda, esta se hace una vez el sistema recibe y

procesa los datos. La tercera es a través de la base de datos, revisando que los

tipos de datos sean correctos a los campos de cada tabla alterada.

• Todas las cadenas de caracteres son revisadas y "limpiadas" antes de ingresar a

la base de datos, esto para evitar exploits del tipo “inyección SQL”.

• Las cámaras funcionan solo en la red local, no tienen salida directa a la web. El

servidor web (que está en la misma red local que las cámaras) se encarga de

hacer el streaming.

• Se ha bloqueado el acceso a todos los puertos del servidor, a excepción de los

puertos TCP 80 (HTTP) y 25 (SMTP). El streaming de video se hace mediante un

applet que funciona por el puerto 80.

• El respaldo de la información se hace en un servidor remoto conectado vía red

VPN al servidor principal.

• El directorio donde se aloja el sistema (/www) se encuentra montada en una

partición independiente en otra unidad de disco (HDD).



16

• El sistema ChicocoSoft y la web de la organización se encuentran en directorios

separados, para evitar posibles explotaciones de vulnerabilidades del sistema de

gestión de contenido (CMS) WordPress.

• De la misma forma, el sistema ChicocoSoft y la web poseen distintas bases de

datos y distintos usuarios dentro de la base de datos. La cuenta de usuario de la

web no tiene acceso a la base de datos del sistema y viceversa.



17

HALLAZGOS

• A pesar de que el sistema ya se encuentra en producción, no existe personal

capacitado dentro de la organización para realizar una correcta resolución deincidencias o problemas informáticos.

• Existe demora excesiva en la llegada a la resolución de incidencias por parte del

grupo de soporte informático contratado para dichos efectos.

• No existe en los contratos de trabajo del personal de la organización cláusulas de

confidencialidad de información.

• La capacitación en el manejo de la plataforma de trabajo y del sistema no ha sido

óptima, esto quedó demostrado en las etapas de recolección de información,

donde se vio a los usuarios solicitar ayuda de manera constante.

• La sala de comunicaciones aún no posee un sistema de ventilación adecuado a

los equipos que en ella se encuentran.

• La sala de comunicaciones se encontró abierta el primer día de la auditoria,

demostrando poco interés en la seguridad de los equipos y sistemas.

• El personal de la organización sigue usando los métodos de manejo de

información del pasado, según ellos no confían totalmente en el nuevo sistema

de información implementado (ChicocoSoft).



18

CONCLUSIONES

Esta auditoria informática se conformó obteniendo información y documentación de todo

tipo. Este informe final depende de las capacidades del grupo de trabajo para analizarlas situaciones de debilidad o fortaleza de los diferentes medios. Por eso fue necesario

obtener toda la información necesaria para emitir un juicio global objetivo, siempre

amparando las evidencias comprobatorias.

Se necesitaba un grupo capacitado de profesionales expertos para comprender los

mecanismos que se desarrollan en el procesamiento de datos de la organización

“Tuxitos”, La auditoría del sistema debía hacerse por profesionales expertos, ya que

una auditoria mal hecha puede acarrear consecuencias drásticas a la organización,principalmente económicas.

ChicocoSoft es un sistema medianamente complejo, por lo que debía someterse a un

control estricto de evaluación de eficacia y eficiencia. Toda la información ahora está

estructurada en este Sistema de Información, de aquí, la vital importancia que funcione

correctamente. Si se tiene un sistema informático propenso a errores, lento, frágil e

inestable; la organización nunca saldrá a adelante. El éxito de “Tuxitos” depende de

ello, además debe contar con personal altamente capacitado.

En conclusión, esta auditoria informática fue la indicada para evaluar de manera

profunda a “Tuxitos”, a través de su sistema de información automatizado, de aquí su

importancia y relevancia.

RECOMENDACIONES

• Es necesario una capacitación mejorada en el manejo del sistema ChicocoSoft y

en alfabetización digital.• Mejorar los contratos del personal con cláusulas de confidencialidad de la

información.

• Buscar una mejor alternativa de empresa de soporte informático que cumpla con

plazos mínimos de tiempo en la resolución de incidencias.

• Terminar de implementar correctamente la sala de comunicaciones.

informe final isaca tuxitos

Documents