Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 0
UNIVERSIDAD TECNOLGICA DE LOS ANDES FACULTAD DE INGENIERA CARRERA PROFESIONAL DE INGENIERA DE SISTEMAS E INFORMTICA
AUDITORIA DE LA RED INFORMATICA C.S. PUEBLO JOVEN INFORME DE PRACTICAS PRE-PROFESIONALES
ASESOR: ING. YURI ARGAMONTE HUAMANI
PRESENTADO POR:
ANATOLY ROZAS CORDOVA
ABANCAY PERU 2014
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 1
DEDICATORIA
El presente trabajo est dedicado principalmente a Dios, quien est siempre con nosotros y nos dio la oportunidad de seguir esta carrera.
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 2
INDICE INTRODUCCION CAPITULO I.- GENERALIDADES
1. CAPTULO I 1.1. DATOS GENERALES DE LA INSTITUCIN 1.1.1. RAZN SOCIAL 1.1.2. UBICACIN 1.2. NATURALEZA 1.2.1. TIPO DE INSTITUCIN 1.2.2. DISPOSITIVOS LEGALES 1.3. ESTRUCTURA ORGNICA 1.3.1. ORGANIGRAMA ESTRUCTURAL 1.4. DESCRIPCIN DE LA INSTITUCIN 1.4.1. VISIN 1.4.2. MISIN 1.5. OBJETIVOS ESTRATEGICOS 1.6. OBJETIVOS GENERALES Y ESPECIFICOS 1.6.1. OBJETIVO GENERAL 1.6.2. OBJETIVO ESPECIFICO
CAPITULO II.- MARCO TEORICO DEL DESARROLLO DE PRCTICAS PRE PROFESIONALES 2. CAPTULO II 2.1. MARCO TERICO 2.1.1. RED INFORMTICA 2.1.2. FUN CIONAMIENTO Y GESTIN DE LAS REDES 2.1.3. SERVICIOS DE RED Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 3
2.1.4. EQUIPOS DE RED 2.1.5. ESTNDAR PARA EL CABLEADO DE TELECOMUNICACIONES (TIA/EIA 568-B) 2.1.6. PROTOCOLOS DE RED
CAPITULO III.- AUDITORIA DE LA RED INFORMATICA A LA INSTITUCION 3. CAPTULO III 3.1. AUDITORIA DE LA RED INFORMATICA APLICADA AL CENTRO DE SALUD PUEBLO JOVEN. I. INTRODUCCIN. II. ALCANCE DE LA AUDITORIA INFORMTICA. 2.1 ORGANIGRAMA. 2.2 AREAS FUNCIONALES DE LA ORGANIZACION. 2.3 RELACIONES JERRQUICAS Y FUNCIONALES ENTRE RGANOS DE LA ORGANIZACIN. 2.4 NMERO DE PUESTOS DE TRABAJO. III. OBJETIVOS DE LA AUDITORIA A LA RED INFORMTICA. IV. PLANEACIN DE LA AUDITORIA INFORMTICA. 4.1 FASES DE LA AUDITORIA INFORMTICA. 4.2 EVALUACIN DE LOS SISTEMAS DE ACUERDO AL RIESGO. 4.3 INVESTIGACIN PRELIMINAR 4.4 PERSONAL PARTICIPANTE V. TCNICAS Y HERRAMIENTAS DE LA AUDITORIA INFORMTICA. 5.1 VERIFICACIN OCULAR 5.2 VERIFICACIN VERBAL 5.3 VERIFICACIN DOCUMENTAL 5.4 VERIFICACIN FSICA 5.5 VERIFICACIN MEDIANTE HERRAMIENTAS DE COMPUTACIN 5.6 TCNICAS DE TRABAJO 5.6.1 ANLISIS DE LA INFORMACIN RECABADA DEL AUDITADO. 5.6.2 ANLISIS DE LA INFORMACIN PROPIA. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 4
5.6.3 CRUZAMIENTO DE LAS INFORMACIONES ANTERIORES. 5.6.4 ENTREVISTAS. 5.6.5 CUESTIONARIOS 5.7 HERRAMIENTAS. 5.7.1 CUESTIONARIO GENERAL INICIAL. VI. ESTUDIO INICIAL DEL ENTORNO QUE SE AUDITAR. 6.1 SITUACIN GEOGRFICA DE LOS SISTEMAS DE SOFTWARE. 6.2 INVENTARIO DE HARDWARE Y SOFTWARE. 6.3 COMUNICACIN Y REDES DE COMUNICACIN VII. DETERMINACIN DE LOS RECURSOS NECESARIOS PARA REALIZAR LA AUDITORIA. 7.1 RECURSOS MATERIALES. 7.1.1 RECURSOS MATERIALES SOFTWARE 7.1.2 RECURSOS MATERIALES HW 7.2 RECURSOS HUMANOS. 7.3 SITUACIN PRESUPUESTAL Y FINANCIERA. 7.3.1 PRESUPUESTOS
CAPITULO VI.- TECNICAS Y HERRAMIENTAS DE LA AUDITORIA INFORMATICA
4. CAPITULO IV 4.1. AUDITORIA FISICA 4.2. AUDITORIA DE LA RED FISICA 4.3. AUDITORIA DE LA RED LOGICA 4.4. AUDITORIA A LA ADMINISTRACION DE LA RED 4.5. AUDITORIA A LA SEGURIDAD INFORMATICA CAPITULO V.- ACTIVIDADES REALIZADAS 5. CAPITULO V
5.1. ACTIVIDADES REALIZADAS EN EL PERIODO DE PRCTICAS Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 5
INTRODUCCION
En la actualidad la auditoria es la parte administrativa que representa el control de las medidas establecidas, auditoria es su acepcin mas amplia y significativa verificar que la informacin financiera. Administrativa y operacional que se genera es confiable veraz y oportuna. El manejo de informacin a travs de las redes tecnolgicas comunicacionales se ha convertido en factor esencial para la toma de decisiones en cual esperamos que se convierta en un instrumento rpido y practico que permita conocer la situacin del proceso de salud-enfermedad del Centro De Salud Pueblo Joven Micro Red Centenario.
Se realiza la presente Auditoria de la Red Informtica al C.S. Pueblo Joven, con la finalidad de mejorar y contribuir la oportunidad de registros de informacin debido al constante cambio en que nos encontramos y al avance tecnolgico en el que estamos inmersos. Las Instituciones han visto por conveniente poner ms nfasis en las tecnologas de informacin con el fin de mejorar las diferentes de las reas involucradas el mismo que ayudara optimizar sus procedimientos, costos y tiempos, controles y sobre todo la seguridad de la informacin que maneja. Las Instituciones consideran que la informacin y la tecnologa representan sus activos ms importantes para la toma de decisiones y desempeo en todas sus reas y servicios. Para lograr un buen diseo se debe seguir las recomendaciones que los estndares brindan, por ello es que se requiere conocimiento de las diferentes normas, as como un anlisis de su infraestructura.
Con el presente trabajo se pretende realizar una revisin exhaustiva tcnica y especializada al sistema de redes, considerando la evaluacin de los tipos de redes, y textura, topologa, sus protocolos de comunicacin, las conexiones, accesos, privilegios, administracin y dems aspectos que repercuten en su instalacin, funcionamiento y aprovechamiento en el C.S. Pueblo Joven.
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 6
CAPITULO I
GENERALIDADES
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 7
1. CAPTULO I 1.1. DATOS GENERALES DE LA INSTITUCIN 1.1.1. RAZN SOCIAL CENTRO DE SALUD PUEBLO JOVEN MICRO RED CENTENARIO
1.1.2. UBICACIN DEPARTAMENTO: APURIMAC. PROVINCIA: ABANCAY. DIRECCIN: AV. Tupac Amaru s/n Tamburco - Abancay. TELFONO: 083-321585
1.2. NATURALEZA 1.2.1. TIPO DE INSTITUCIN Institucin Pblica.
1.2.2. DISPOSITIVOS LEGALES Los centros de salud estn regidos por los principales dispositivos legales: La constitucin poltica del Per de 1993. Ley Bases de Descentralizacin (Ley N 27783). Ley Orgnica de los Gobiernos Regionales (Ley N 27867. Ley Marco del Aseguramiento Universal (Ley N 29344) Decreto Legislativo N 584, Ley de Organizacin y Funciones del MINSA (Ministerio de Salud). Ley N 26268. Presupuesto del Sector Pblico 1994. Decreto Supremo N 002-92-SA, que aprueba el Reglamento de Organizacin y Funciones del MINSA. Decreto Supremo N 01-94-SA que dispone la ejecucin del programa de Administracin Compartida. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 8
Decreto Supremo N 038-94-PCM que aprueba los planes operativos de los Programas de Focalizacin del Gasto Social Bsico de Educacin, Salud y el Poder Judicial. R. M. 032-93-PRES aprueba organigrama estructural y ROF de los Consejos Transitorios de la Administracin Regional.
CONSEJO DIRECTIVO JEFATURA MEDICINA MEDICINA MEDICINA ODONTOLOGIA ODONTOLOGIA ODONTOLOGIA OBSTETRICIA OBSTETRICI A 1 OBSTETRICIA 2 ENFERMERIA ENFERMERIA TECNICAS DE ENFERMERIA ADULTO MAYOR PSICOLOGIA SANEAMIENTO AMBIENTAL RECURSOS HUMANOS ESTADISTICA E INFORMATICA FARMACIA LABORATORIO UNIDAD DE SEGUROS ADMISION CONSEJO CONSULTIVO Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 9
1.4. DESCRIPCIN DE LA INSTITUCIN El Centro de Salud Pueblo Joven, es parte de la Micro de Salud Micaela Bastidas conserva la dependencia de la Direccin Regional de Salud de Apurmac, desarrolla sus actividades prestaciones segn los lineamientos de la poltica del sector y comprometidos con la salud pblica de educadores Sanitarios de la organizacin interna y de la poblacin en general. En cumplimiento a la normatividad el Centro de Salud Pueblo Joven es una institucin dedicada a los servicios y a la atencin de salud bsica, primaria y urgente ante situaciones de salud que deben ser tratadas.
1.4.1. VISIN Somos un Centro de Salud con gerencia moderna, adecuado para la prestacin de servicios modelos de calidad, debidamente equipada para la resolucin de problemas de salud de su mbito, bajo los principios de atencin integral con equidad, eficiencia y calidad.
1.4.2. MISIN Garantizar la salud individual y colectiva de la poblacion de su mbito, en forma integral, con equidad, eficiencia y calidad, con nfasis en las zonas de riesgos identificadas y mediante actividades preventivo promocionales y recuperativas bajo el enfoque de gnero y estilos saludables.
1.5. OBJETIVOS ESTRATEGICOS
El ministerio de Salud ha establecido Lineamientos de Poltica del Sector Salud, con resultados a ser alcanzados por cada una de las instituciones y dependencias que conforman el Sector Salud. Reducir la mortalidad materna neonatal. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 10
Reducir la desnutricin crnica en menores de 5 aos Priorizar las intervenciones de prevencin de las enfermedades transmisibles promoviendo estilos de vida y entornos saludables. Reducir la mortalidad de las enfermedades crnicas degenerativas, enfermedades inmunoprevenibles y aquellas originadas por factores externos. Mejora la oferta y calidad del servicio de salud en beneficio de la poblacion. Fortalecer el desarrollo y la gestin de los recursos humanos en salud. Asegurar el acceso y disponibilidad de medicamentos de calidad. Fortalecer el rol de rectora en los diferentes niveles de gobierno.
Los Objetivos Estratgicos del Centro de Salud Pueblo Joven al 2015. Priorizar las intervenciones de prevencin de las enfermedades.. Fortalecer la oferta y calidad de los servicios de salud. Fortalecer el desarrollo y la gestin de los recursos humanos
1.6. OBJETIVOS GENERALES Y ESPECIFICOS
OBJETIVO GENERAL
Fortalecer y mejorar las intervenciones de prevencin de las enfermedades y transmisibles y no trasmisibles, promoviendo estilo de vida saludables en la poblacion. Optimizar y fortalecer la oferta de los servicios de salud con nfasis en la mejora continua de la calidad de atencin. Mejorar las competencias del personal de salud mediante la implementacin de actividades de capacitacin en forma continua de acuerdo a la demanda y necesidades del centro de salud.
OBJETIVO ESPECIFICO
Mejorar las intervenciones de prevencin de las enfermedades transmisibles y no transmisibles promoviendo estilos de vida y entornos saludables. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 11
competencias del personal de salud mediante la implementacin de actividades de capacitacin en forma contina de acuerdo a la demanda y necesidades del centro de salud. Mejoramiento de la infraestructura y equipamiento de los servicios de salud. Ampliacin de cobertura y calidad en la atencin de los servicios de salud. Implementar las polticas de desarrollo de los recursos humanos en el centro de salud.
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 12
CAPITULO II
MARCO TEORICO DEL DESARROLLO PRCTICAS PRE - PROFESIONALES
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 13
2. CAPTULO II 2.1. MARCO TERICO 2.1.1. RED INFORMTICA Red informtica, es un conjunto de equipos informticos conectados por medios fsicos y/o lgicos o cualquier otro mtodo de transporte de datos, que comparten informacin, servicios, etc. Una red de comunicaciones es un conjunto de medios tcnicos que permiten la comunicacin a distancia entre equipos autnomos. Normalmente se trata de transmitir datos, audio y vdeo por ondas electromagnticas a travs de diversos medios, compartiendo informacin, recursos como CD-ROM, impresoras, grabadoras de DVD y servicios como e- mail, Chat, conexiones a Internet, juegos, etc. Podemos clasificar a cualquier red informtica segn la direccionalidad de los datos o por los tipos de transmisin: Red informtica simplex unidireccional, en la que una computadora transmite y otra recibe. Red informtica half-duplex bidireccionales, en la que solo una computadora transmite por vez. Y la Red informtica full-duplex, red en la que ambas computadoras pueden transmitir y recibir informacin a la vez. Una red tiene tres niveles de componentes: software de aplicaciones, software de red y hardware de red. El software de aplicaciones est formado por programas informticos que se comunican con los usuarios de la red y permiten compartir informacin (como archivos, grficos o vdeos) y recursos (como impresoras o unidades de disco). Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 14
2.1.2. FUNCIONAMIENTO Y GESTIN DE LAS REDES La gestin de red trata acerca de cmo se controla y vigila el correcto funcionamiento de todos los equipos informticos conectados entre s con la finalidad de compartir informacin y recursos mediante distintos elementos de conexin. Las redes pueden ser objeto de acceso ilegal, por lo que los archivos y recursos deben de protegerse, un intruso que se introdujera en la red podra espiar los paquetes enviados por la red o enviar mensajes ficticios. En el caso de informacin sensible el cifrado de los datos hace que un intruso no pueda leer los paquetes que lleguen a su poder. La mayora de los servidores poseen medida de seguridad y autentificacin para garantizar que una peticin de leer o modificar un fichero o de utilizar recursos procede de un usuario legtimo y no de un intruso. A travs de la comparticin de informacin de una red LAN o Wireless, los usuarios de los sistemas informticos de una organizacin podrn hacer un mejor uso de los mismos, mejorando de este modo el rendimiento global de la organizacin, Un centro de gestin de red dispone de tres tipos principales de recursos. Mtodos de Gestin. Definen las pautas de comportamiento de los dems componentes del centro de gestin de red ante determinadas circunstancias Recursos Humanos. Personal encargo del correcto funcionamiento del centro de gestin de red. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 15
Herramienta de Apoyo. Herramienta que facilita las tareas de gestin a los operadores humanos y posibilitan minimizar el numero de estos. Esta gestin de red es crucial para que un sistema complejo de ordenadores y recursos interconectados puedan funcionar y proteger el ataque de intrusos que desean introducirse en la red para espiar los paquetes enviados por este medio enviar mensajes ficticios.
2.1.3. SERVICIOS DE RED Todos los servicios de red estn basados en la relacin Cliente/Servidor. Los servicios de red es la creacin de una red de trabajo en un ordenador. La finalidad de una red es que los usuarios de los sistemas informticos de una organizacin puedan hacer un mejor uso de los mismos mejorando de este modo el rendimiento global de la organizacin As las organizaciones obtienen una serie de ventajas del uso de las redes en sus entornos de trabajo, como pueden ser: Mayor facilidad de comunicacin. Mejora de la competitividad. Mejora de la dinmica de grupo. Reduccin del presupuesto para uso de software Reduccin de los costos de proceso por usuario. Mejoras en la administracin de los programas. Mejoras en la integridad de los datos. Mejora en los tiempos de respuesta. Flexibilidad en el proceso de datos. Mayor seguridad para acceder a la informacin. Posibilidad de organizar grupos de trabajo.
DHCP facilita la administracin automatizando la asignacin de direcciones IP a los nodos de la red. Los servidores de autenticacin son otro servicio de red, estos permiten a cada usuario tener su propia cuenta y todo lo que hagan con esa cuenta esta registrado bajo su nombre de usuario. Para que todo esto sea posible, la red debe prestar una serie de servicios a sus usuarios, como son:
Acceso Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 16
Los servicios de acceso a la red se encargan tanto de la verificacin de la identidad del usuario para determinar cules son los recursos de la misma que puede utilizar, como servicios para permitir la conexin de usuarios de la red desde lugares remotos.
Control de acceso: Para el control de acceso, el usuario debe identificarse conectndose con un servidor en el cual se autentifica por medio de un nombre de usuario y una clave de acceso. Si ambos son correctos, el usuario puede conectarse a la red.
Acceso remoto: En este caso, la red de la organizacin est conectada con redes pblicas que permiten la conexin de estaciones de trabajo situadas en lugares distantes. Dependiendo del mtodo utilizado para establecer la conexin el usuario podr acceder a unos u otros recursos.
Ficheros El servicio de ficheros consiste en ofrecer a la red grandes capacidades de almacenamiento para descargar o eliminar los discos de las estaciones. Esto permite almacenar tanto aplicaciones como datos en el servidor, reduciendo los requerimientos de las estaciones. Los ficheros deben ser cargados en las estaciones para su uso.
Impresin Permite compartir impresoras de alta calidad, capacidad y coste entre mltiples usuarios, reduciendo as el gasto. Existen equipos servidores con capacidad de almacenamiento propio donde se almacenan los trabajos en espera de impresin, lo cual permite que los clientes se descarguen de esta informacin con ms rapidez. Una variedad de servicio de impresin es la disponibilidad de servidores de fax, los cuales ponen al servicio de la red sistemas de fax para que se puedan enviar stos desde cualquier estacin. En ciertos casos, es incluso posible enviar los faxes recibidos por correo electrnico al destinatario.
Correo El correo electrnico es la aplicacin de red ms utilizada. Permite claras mejoras en la comunicacin frente a otros sistemas. Por ejemplo, es ms Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 17
cmodo que el telfono porque se puede atender al ritmo determinado por el receptor, no al ritmo de los llamantes. Adems tiene un costo menor para transmitir iguales cantidades de informacin. Frente al correo convencional tiene la clara ventaja de la rapidez.
Informacin Los servidores de informacin pueden bien servir ficheros en funcin de sus contenidos como pueden ser los documentos hipertexto, como es el caso de esta presentacin. O bien, pueden servir informacin dispuesta para su proceso por las aplicaciones, como es el caso de los servidores de bases de datos.
Otros Las redes modernas, con grandes capacidades de transmisin, permiten transferir contenidos diferentes de los datos, como pueden ser imgenes o sonidos. Esto permite aplicaciones como: Estaciones integradas (voz y datos). Telefona integrada. Servidores de imgenes. Videoconferencia de sobremesa.
Para la prestacin de los servicios de red se requiere que existan sistemas en la red con capacidad para actuar como servidores. Los servidores y servicios de red se basan en los sistemas operativos de red. Un sistema operativo de red es un conjunto de programas que permiten y controlan el uso de dispositivos de red por mltiples usuarios. Estos programas interceptan las peticiones de servicio de los usuarios y las dirigen a los equipos servidores adecuados. Por ello, el sistema operativo de red, le permite a sta ofrecer capacidades de multiproceso y multiusuario. Segn la forma de interaccin de los programas en la red, existen dos formas de arquitectura lgica:
Cliente-servidor. Este es un modelo de proceso en el que las tareas se reparten entre programas que se ejecutan en el servidor y otros en la estacin de trabajo del usuario. En una red cualquier equipo puede ser el servidor o el cliente. El cliente es la entidad que solicita la realizacin de una tarea, el servidor es Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 18
quien la realiza en nombre del cliente. Este es el caso de aplicaciones de acceso a bases de datos, en las cuales las estaciones ejecutan las tareas del interfaz de usuario (pantallas de entrada de datos o consultas, listados, etc) y el servidor realiza las actualizaciones y recuperaciones de datos en la base.
En este tipo de redes, las estaciones no se comunican entre s. Las ventajas de este modelo incluyen: Incremento en la productividad. Control o reduccin de costos al compartir recursos. Facilidad de administracin, al concentrarse el trabajo en los servidores. Facilidad de adaptacin.
Redes de pares (peer-to-peer). Este modelo permite la comunicacin entre usuarios (estaciones) directamente sin tener que pasar por un equipo central para la transferencia. Las principales ventajas de este modelo son: Sencillez y facilidad de instalacin, administracin y uso. Flexibilidad. Cualquier estacin puede ser un servidor y puede cambiar de papel, de proveedor a usuario segn los servicios.
2.1.4. EQUIPOS DE RED 1. CONCENTRADORES. Son equipos que permiten estructurar el cableado de las redes. La variedad de tipos y caractersticas de estos equipos es muy grande. En un principio eran solo concentradores de cableado, pero cada vez disponen de mayor nmero de capacidades, como aislamiento de tramos de red, capacidad de conmutacin de las salidas para aumentar la capacidad de la red, gestin remota, etc. La tendencia es a incorporar ms funciones en el concentrador. Existen concentradores para todo tipo de medios fsicos.
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 19
2. NIC/MAU TARJETA DE RED. Network Interface Card (Tarjeta de interfaz de red) o Medium Access Unit (unidad de acceso al medio). Es el dispositivo que conecta la estacin (ordenador u otro equipo de red) con el medio fsico. Se suele hablar de tarjetas en el caso de los ordenadores, ya que la presentacin suele ser como una tarjeta de ampliacin de los mismos, diferente de la placa de CPU, aunque cada vez son ms los equipos que disponen de interfaz de red, principalmente Ethernet, incorporado. A veces, es necesario, adems de la tarjeta de red, un transceptor. Este es un dispositivo que se conecta al medio fsico y a la tarjeta, bien porque no sea posible la conexin directa (10base5) o porque el medio sea distinto del que utiliza la tarjeta.
3. REPETIDORES. Son equipos que actan a nivel fsico. Prolongan la longitud de la red uniendo dos segmentos y amplificando la seal, pero junto con ella amplifican tambin el ruido. La red sigue siendo una sola, con lo cual, siguen siendo vlidas las limitaciones en cuanto al nmero de estaciones que pueden compartir el medio.
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 20
4. BRIDGES. Son equipos que unen dos redes actuando sobre los protocolos de bajo nivel, en el nivel de control de acceso al medio. Solo el trfico de una red que va dirigido a la otra atraviesa el dispositivo. Esto permite a los administradores dividir las redes en segmentos lgicos, descargando de trfico las interconexiones. Los bridges producen las seales, con lo cual no se transmite ruido a travs de ellos.
5. ROUTERS. Son equipos de interconexin de redes que actan a nivel de los protocolos de red. Permite utilizar varios sistemas de interconexin mejorando el rendimiento de la transmisin entre redes. Su funcionamiento es ms lento que los bridges pero su capacidad es mayor. Permiten, incluso, enlazar dos redes basadas en un protocolo, por medio de otra que utilice un protocolo diferente.
6. GATEWAYS. Son equipos para interconectar redes con protocolos y arquitecturas completamente diferentes a todos los niveles de comunicacin. La traduccin de las unidades de informacin reduce mucho la velocidad de transmisin a travs de estos equipos.
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 21
7. CABLES DE RED (SOLO ETHERNET Y HPNA). Los cables de red conectan equipos entre s, con el hardware relacionado, centradores y enrutadores.
8. CONECTOR O PLUG RJ-45 Conector de plstico en donde se ubican los 8 hilos del cae UTP siguiendo un cdigo de colores, Estos plug sirven para conectar los puertos de las tarjetas de red a los puntos de red, path panel y a los puertos hub o switch.
9. SERVIDORES DE TERMINALES E IMPRESORAS. Son equipos que permiten la conexin a la red de equipos perifricos tanto para la entrada como para la salida de datos. Estos dispositivos se ofrecen en la red como recursos compartidos. As un terminal conectado a uno de estos dispositivos puede establecer sesiones contra varios ordenadores multiusuario disponibles en la red. Igualmente, cualquier sistema de la red puede imprimir en las impresoras conectadas a un servidor.
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 22
2.1.5. ESTNDAR PARA EL CABLEADO DE TELECOMUNICACIONES (TIA/EIA 568-B) El estndar TIA/EIA568B se desarroll gracias a la contribucin de ms de 60 organizaciones, incluyendo fabricantes, usuarios finales, y consultoras. Los trabajos para la estandarizacin comenzaron en 1985, cuando la Asociacin para la Industria de las Comunicaciones y las Computadoras (CCIA) solicit a la Alianza de Industrias de Electrnica (EIA), una organizacin de Normalizacin, que definiera un estndar para el cableado de sistemas de telecomunicaciones. EIA acord el desarrollo de un conjunto de estndares, y se form el comit TR-42, con nueve subcomits para desarrollar los trabajos de estandarizacin.
La primera revisin del estndar, TIA/EIA-568-A.1-1991, se emiti en 1991 y fue actualizada en 1995. La demanda comercial de sistemas de cableado aument fuertemente en aquel perodo, debido a la aparicin de los ordenadores personales y las redes de comunicacin de datos, y a los avances en estas tecnologas. El desarrollo de cables de pares cruzados de altas prestaciones y la popularizacin de los cables de fibra ptica, conllevaron cambios importantes en el estndar, que fue sustituido por el actual conjunto de estndares TIA/EIA-568-B.
TIA/EIA-568-B intenta definir estndares que permitirn el diseo e implementacin de sistemas de cableado estructurado para edificios comerciales y entre edificios en entornos de campus. El sustrato de los estndares es compos y define los tipos de cables, distancias, conectores, arquitecturas, terminaciones de cables y caractersticas de rendimiento, requisitos de instalacin de cable y mtodos de pruebas de los cables instalados. El estndar principal, el TIA/EIA-568-B.1 define los requisitos generales, mientras que TIA/EIA-568-B.2 se centra en componentes de sistemas de cable de pares balanceados y el -568-B.3 aborda componentes de sistemas de cable de fibra ptica.
La intencin de estos estndares es proporcionar una serie de prcticas recomendadas para el diseo e instalacin de sistemas de cableado que soporten una amplia variedad de los servicios existentes, y la posibilidad de Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 23
soportar servicios futuros que sean diseados considerando los estndares de cableado. El estndar pretende cubrir un rango de vida de ms de diez aos para los sistemas de cableado comercial. Este objetivo ha tenido xito en su mayor parte, como se evidencia con la definicin de cables de categora 5 en 1991, un estndar de cable que satisface la mayora de requerimientos para 1000BASE-T, emitido en 1999.
Todos estos documentos acompaan a estndares relacionados que definen caminos y espacios comerciales (569-A), cableado residencial (570-A), estndares de administracin (606), tomas de tierra (607) y cableado exterior (758). Tambin se puede decir que este intento definir estndares permitieron determinar, adems del diseo e implementacin en sistema de cableado estructurado, qu cables de par trenzados utilizar para estructurar conexiones locales.
2.1.6. PROTOCOLOS DE RED Podemos definir protocolo como el conjunto de normas que regulan la comunicacin (establecimiento, mantenimiento y cancelacin) entre los distintos componentes de una red informtica. Los protocolos de red organizan la informacin (control de datos) para su transmisin por el medio fsico a travs de los protocolos de bajo nivel.
TCP/IP. Este no es un protocolo, si no un conjunto de protocolos, que toma su nombre de los dos ms conocidos: TCP (Transmission Control Protocol, protocolo de control de transmisin) e IP (Internet Protocol). Esta familia de protocolos es la base de la red Internet, la mayor red de ordenadores del mundo. Por lo cual, se ha convertido en el ms extendido.
IPX/SPX. Internet Packet eXchange(Intercambio de Paquetes inter red). Sequenced Packet eXchange(Intercambio de Paquetes Secuenciados). Es el conjunto de protocolos de bajo nivel utilizados por el sistema operativo de red Netware de Novell. SPX acta sobre IPX para asegurar la entrega de los datos.
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 24
DECnet. Es un protocolo de red propio de Digital Equipement Corporation (DEC), que se utiliza para las conexiones en red de los ordenadores y equipos de esta marca y sus compatibles. Est muy extendido en el mundo acadmico. Uno de sus componentes, LAT (Local Area Transport, transporte de rea local), se utiliza para conectar perifricos por medio de la red y tiene una serie de caractersticas de gran utilidad como la asignacin de nombres de servicio a perifricos o los servicios dedicados.
X.25. Es un protocolo utilizado principalmente en WAN y, sobre todo, en las redes pblicas de transmisin de datos. Funciona por conmutacin de paquetes, esto es, que los bloques de datos contienen informacin del origen y destino de los mismos para que la red los pueda entregar correctamente aunque cada uno circule por un camino diferente.
AppleTalk. Este protocolo est incluido en el sistema operativo del ordenador Apple Macintosh desde su aparicin y permite interconectar ordenadores y perifricos con gran sencillez para el usuario, ya que no requiere ningn tipo de configuracin por su parte, el sistema operativo se encarga de todo. Existen tres formas bsicas de este protocolo:
LocalTalk. Es la forma original del protocolo. La comunicacin se realiza por uno de los puertos serie del equipo. La velocidad de transmisin no es muy rpida pero es adecuada para los servicios que en principio se requeran de ella, principalmente compartir impresoras.
Ethertalk. Es la versin de AppleTalk sobre Ethernet. Esto aumenta la velocidad de transmisin y facilita aplicaciones como la transferencia de ficheros, opera a una velocidad de 10 Mbps, Fast Ethernet opera a una velocidad de 100 Mbps
Tokentalk. Es la versin de Appletalk para redes Tokenring, opera a 4 o 16 Mbps.
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 25
NetBEUI. NetBIOS Extended User Interface (Interfaz de usuario extendido para NetBIOS). Es la versin de Microsoft del NetBIOS (Network Basic Input/Output System, sistema bsico de entrada/salida de red), que es el sistema de enlazar el software y el hardware de red en los PCs. Este protocolo es la base de la red de Microsoft Windows para Trabajo en Grupo, aunque netbeui es la mejor eleccin como protocolo para la comunicacin dentro de una LAN el problema es que no soporta el enrutamiento de mensajes hacia otras redes, que deber hacerse a travs de otros protocolos.
CAPITULO III AUDITORIA DE LA RED INFORMATICA A LA INSTITUCION
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 26
3. CAPTULO III 3.1. AUDITORIA DE LA RED INFORMATICA APLICADA AL CENTRO DE SALUD PUEBLO JOVEN. VIII. INTRODUCCIN. El presente trabajo hace mencin a un informe detallado sobre el proceso o elaboracin de una Auditoria a la red informtica aplicada al Centro de Salud Pueblo Joven. Para ello empezamos a conocer los aspectos generales del Centro de Salud Pueblo Joven, durante el proceso de la elaboracin de la auditoria a la red informtica, verificamos diferentes aspectos, actividades que se realizan dentro la institucin. Para la auditoria en si elaboramos un esquema a seguir damos una amplia gama de procesos de calidad y seleccin de informacin verdica quienes gracias a la colaboracin de nuestra fuente logramos dar alcance a todos los aspectos que cumplen con un proceso auditable. En resumen a este trabajo de Auditora Informtica, encontramos en primer lugar la Organizacin Institucional, especificando el detalle y formacin de nuestra fuente, seguidamente los Objetivos de la Auditoria Informtica a nuestra fuente en funcin al primer aspecto que vista la realidad operacional. Se ha desarrollado un plan de elaboracin de auditora en base al proceso del esquema, encontrando en ello diferentes inquietudes que describen en pasos para encontrar una real y consistente informacin. Se ha utilizado tcnicas y herramientas de auditora, estudio del sistema auditable, los recursos que usamos en funcin a este proceso, la auditoria Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 27
elaborada en todos sus aspectos informticos y organizacional, culminando con el informe general que sustente todo este trabajo mostrando todas las inquietudes, logros, beneficios, debilidades y otras razones que mejoren el proceso informtico de la fuente auditada. La auditoria una vez culminada nos mostrara o dar como resultado las diferentes debilidades, fortalezas y/o carencias que presenta la institucin para de esta forma tener un precedente de ayuda para la gerencia y el fortalecimiento de las diversas actividades que se contempla dentro del marco de la auditoria. Empezamos este trabajo para mejorar los aspectos de nuestra fuente auditable y no cuestionar ni mucho menos debilitar los procesos, actividades y funciones que poco a poco van mejorando en la estructura de su funcionalidad como institucin.
IX. ALCANCE DE LA AUDITORIA INFORMTICA. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 28
9.1 ORGANIGRAMA. 9.2 AREAS FUNCIONALES DE LA ORGANIZACION. La Estructura Orgnica del Centro de Salud Pueblo Joven cuenta con rgano normativo y de fiscalizacin, rgano de ejecutivos, rgano de lnea y de apoyo
rgano Normativo y de Fiscalizacin. Consejo Directivo. rgano Ejecutivo. CONSEJO DIRECTIVO JEFATURA MEDICINA ODONTOLOGIA OBTETRICIA ENFERMERIA ADULTO MAYOR SANEAMIENTO AMBIENTAL RECURSOS HUMANOS ESTADISTICA E INFORMATICA FARMACIA LABORATORIO UNIDAD DE SEGUROS ADMISION CONSEJO CONSULTIVO Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 29
Jefe/Gerente rgano Lnea. rea de Medicina rea de Odontologa. rea de Obstetricia. rea de Enfermera. rea de Adulto Mayor. rea de Saneamiento Ambiental. rgano Apoyo. rea de Recursos Humanos. rea de Farmacia. rea de Laboratorio. rea de Admisin rea de Unidad de Seguros. rea de Estadstica e Informtica.
9.3 RELACIONES JERRQUICAS Y FUNCIONALES ENTRE RGANOS DE LA ORGANIZACIN. Las reas funcionales del Centro de Salud Pueblo Joven dependen jerrquicamente del Jefe/Gerente. Las funciones del Jefe/Gerente del Centro de Salud Tamburco son:
Planear Organizar. Dirigir Gestionar. Administrar. Ejecutar. Coordinar. Evaluar. Supervisar y control. Las atenciones que debe de realizar el Centro de Salud Metropolitano en beneficio de toda la poblacin a costos accesibles de acuerdo a las posibilidades econmicas y de esta manera mejorar la calidad de vida de las personas.
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 30
9.4 NMERO DE PUESTOS DE TRABAJO. CARGO ESTRUCTURADO NUMERO DE PERSONAS GERENCIA JEFE/GERENTE 01 RECURSOS HUMANOS JEFE RECURSOS HUMANOS 01
AREA DE MEDICINA COORDINADOR MEDICO 01 MEDICOS CIRUJANOS 03
AREA ODONTOLOGIA COORDINADOR ODONTOLOGO 01 CIRUJANOS DENTISTAS 02
AREA DE OBSETRICIA COORDINADOR OBSTETRA 01 OBSTETRA 04
AREA DE ENFERMERIA CORDINADOR ENFERMERIA 01 ENFERMERAS 06 TECNICAS DE ENFERMERIA. 08
AREA DE ADULTO MAYOR COORDINADOR ADULTO MAYOR 01 PSICOLOGOS 01 AREA SANEAMIENTO AMBIENTAL COORDINADOR SANEAMIENTO AMBIENTAL 01
AREA DE FARMACIA RESPONSABLE DE FARMACIA QUIMICO FARMACEUTICO 01 TECNICO EN FARMACIA 01 AREA DE LABORATORIO RESPONSABLE DE LABORATORIO 01 Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 31
X. OBJETIVOS DE LA AUDITORIA A LA RED INFORMTICA. La auditoria a la red informtica del centro de salud Tamburco tiene como objetivo principal proporcionar informacin vital e indispensable de la situacin actual para mejorar la toma de decisiones de informacin de todos los componentes que forman e interactan con la red informtica (ordenadores, hardware de la red, dispositivos electrnicos, software), adems de todo el entorno que los rodea en el lugar donde se ubican y de las personas que estn encargadas del manejo, acceso, vigilancia de estos sistemas informticos.
BIOLOGO
AREA DE ADMISION RESPONSABLE DE ADMISION 01 TECNICOS 03 AUXILIARES 04
AREA DE UNIDAD DE SEGUROS RESPONSABLE UNIDAD DE SEGUROS 01 ADMINISTRATIVOS 02 DIGITADORES 02
AREA DE ESTADISTICA E INFORMATICA RESPONSABLE DE ESTADISTICA E INFORMATICA 01 DIGITADORES 02 TOTAL 52 Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 32
OBJETIVOS ESPECIFICOS Obtener una visin general de la ubicacin de todos los componentes en una red informtica. Evaluar los ambientes, documentos, normativas, planes de seguridad de todas las reas del centro de salud Tamburco. Identificar las polticas de seguridad de la informacin dentro de la institucin. Asegurar el acceso autorizado de usuario y prevenir accesos no autorizados a los sistemas de informacin. Revisin de la existencia de planes de contingencia que garanticen la seguridad fsica y lgica contra desastres naturales. Revisar el correcto uso de los equipos de cmputo. Evaluar si el personal que labora dentro de las reas funcionales se encuentran capacitados y aptos para el manejo de los equipos de de la red informtica.
XI. PLANEACIN DE LA AUDITORIA INFORMTICA. 11.1 FASES DE LA AUDITORIA INFORMTICA.
Fase Actividad Fec./Inicio Fec./Fin 4.1.1 Realizacin del Plan de la auditoria Elaborar el plan de la Auditoria. Elaborar el plan de cronograma de actividades. 19/05/2014 27/05/2014 4.1.2 Revisin Documental Preliminar Solicitud de Manuales y documentos para la realizacin de los objetivos, funciones y metas de la institucin. Recopilacin de la informacin organizacional: estructura orgnica, recursos humanos, presupuestos.
28/05/2014 10/06/2014 4.1.3 Desarrollo detallada de la Auditoria. Entrevistas a los jefes, coordinares, responsables y personal del centro de salud Pueblo Joven. Evaluar la estructura orgnica: gerencia, coordinaciones y responsables de cada 11/06/2014 26/07/2014 Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 33
rea, funciones y responsabilidades. Anlisis de las claves de acceso, control, seguridad, confiabilidad y respaldos. Evaluacin de los Recursos Humanos: desempeo, capacitacin, condiciones de trabajo, recursos en materiales y financieros mobiliarios y equipos. Evaluacin de los sistemas: relevamiento de hardware y Software, evaluacin del diseo lgico y del desarrollo del sistema. Evaluacin de la red: diseo topolgico, cableado estructurado, software de administracin de red, seguridad en la red. Evaluar el parque informtico (Pcs, Laptop, servidores). Evaluacin del Proceso de Datos y de los Equipos de Cmputos: seguridad de los datos, control de operacin, seguridad fsica y procedimientos de respaldo. 4.1.4 Revisin y Pre-Informe Revisin de los papeles de trabajo (cuestionarios aplicados). Determinacin del Diagnostico e Implicancias. Elaboracin del borrador. 28/07/2014 08/08/2014 4.1.5 Entrega del Informe Correccin del borrador Elaboracin y presentacin del Informe.
09/08/2014 18/08/2014 4.1.6 Sustentacin del informe. 20/05/2013 08/06/2013
11.2 EVALUACIN DE LOS SISTEMAS DE ACUERDO AL RIESGO. Se procedi a evaluar los riesgos existentes en todas las reas de la institucin, evaluando de esta la forma la red informtica, el uso de los equipos informticos, el acceso a los sistemas de informacin, instalaciones elctricas si est debidamente instalados para su uso, verificando si existen terminales que estn fuera de la red. La infraestructura no est diseada y considerada para un buen uso y crecimiento de la red informtica, encontrando deficiencias para el cableado de red. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 34
Los trabajadores de la institucin no tienen conocimiento adecuado del uso de los servicios de la red, manejo informtico y algunos programas de oficina. Falta de implementacin extintores de acuerdo a las normas establecidas.
11.3 INVESTIGACIN PRELIMINAR Para comenzar la auditoria al Centro de Salud Tamburco fueron mediante la recoleccin de los diferentes documentos legales como: polticas de seguridad, manejo de TICs, ROF, CAP, MOF, Planos de Distribucin de Estructura y Red Informtica. La informacin preliminar nos facilito la recopilacin de informacin y as poder realizar una revisin general de las reas del Centro Salud Tamburco por medio de observaciones, entrevistas y solicitudes de documentos con el fin de definir el objetivo principal y alcance de estudio de la auditoria.
11.4 PERSONAL PARTICIPANTE Personal Auditor Colaboradores (Auditados) - Anatoly Rozas Cordova Lic. Betty Escobar Hurtado (Gerente del Centro de Salud) Sr. Roger Bravo Juyo (Responsable de Informtica). Med. Cir. Cinthia Ponce Valderrama (Coordinador Medicina). Lic. Marleny Nancy Quispe Yucra (Coordinadora Obstetricia). Lic. Gilma Serrano Sullcahuaman (Coordinadora Enfermera). Odont. Claudia Batllanos Barrionuevo (Coordinadora Odontologa). Q.F. Noelia Flores Zegarra (Responsable Farmacia). Tec. Maria Ysabel Cuellar Bravo (Responsable Unidad de Seguros). Tec. Reynaldo Palomino Alarcon (Responsable HIS- MIS). Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 35
XII. TCNICAS Y HERRAMIENTAS DE LA AUDITORIA INFORMTICA. 12.1 VERIFICACIN OCULAR La verificacin ocular nos permiti realizar una observacin de los procesos y actividades que se van desarrollando en las diferentes reas del Centro de Salud Tamburco, as mismo ver de qu manera el instalado el cableado estructurado, la ubicacin de las terminales y los dispositivos de la red. En las reas se hizo una verificacin ocular con la finalidad de observar en qu estado se encontraban los distintos dispositivos de red con los que cuenta la institucin en sus distintas reas y si cumplan las normas establecidas. Al realizar la verificacin ocular en la institucin se pudo constatar que: La institucin cuentan con acceso a internet, con el fin de que el personal pueda establecer una comunicacin de una manera ms rpida con las diferentes reas existentes en la institucin. Se observo que las reas de la institucin cuenta con PCs para el manejo de la informacin. Se observo que el rea de Estadstica e Informtica esta implementada con 01 PCs, 01 impresora el cual hacen uso de ella las PCs de las diferentes reas La institucin maneja la informacin haciendo uso de un software integrado (ARFSIS, HIS-MIS, HISTORIAS CLINICAS), as mismo tiene una red interna para la transmisin de informacin entre las reas que cuenta la institucin. Se observo la falta de ambientes y espacios para el funcionamiento adecuado de las respectivas reas. Se observo en la institucin la no existencia de mecanismos de seguridad (extintores, detectores de humo, aspersores, etc.) El personal que labora dentro de la institucin tiene un conocimiento bsico del uso del software y de los equipos de cmputo. La distribucin del cableado es inadecuado no se ajustan a sus estndares. Las instalaciones elctricas se encuentran en psimo estado. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 36
Infraestructura e instalaciones inadecuadas para el funcionamiento de la institucin.
12.2 VERIFICACIN VERBAL La verificacin verbal permiti realizar una investigacin, de cmo se realizan los procesos, actividades y tareas dentro de la institucin, mediante el dialogo y formulacin de preguntas, a fin de aclarar algunos aspectos de la investigacin; para ello se tuvo que recurrir a herramientas de recoleccin de informacin como son: Encuestas: Es una herramienta aplicada que consiste en la aplicacin de cuestionarios con preguntas predeterminadas y posibilidad de respuesta corta o cerrada sobre un tema concreto que fueron aplicadas a los coordinares y responsables de cada rea Las entrevistas: Herramienta que nos permite un dialogo directo que se ha formulado al personal de la institucin, se hizo con la finalidad de poder obtener informacin diversa que nos servir para la auditoria que se est realizando.
12.3 VERIFICACIN DOCUMENTAL Mediante esta tcnica se realizo la comprobacin de los documentos que soportan una transaccin o acto administrativo los cuales cumplan los requisitos como: Autoridad, Legalidad, derecho, Propiedad y certidumbre. Se desarrollo una revisin selectiva con el fin de realizar un examen ocular. Se verifico la existencia de: ROF (Reglamento de Organizacin y Funciones) MOF (Manual de Organizacin y Funciones) CAP (Cuadro de Asignacin de Personal) Inventario de los equipos de cmputo. Inventario del software. Patrimonio documentario de la institucin. Manuales de capacitacin. Manual de usuario de los diferentes aplicativos informticos.
12.4 VERIFICACIN FSICA Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 37
Se realizo la visita a las diferentes reas para la verificacin fsica in situ e inspeccin, para poder determinar la existencia de bienes, documentos u otros activos los cuales nos permiten cerciorarnos de su existencia, autenticidad e integridad.
Se constato que en la institucin cuenta en la actualidad con los siguientes equipos de cmputo: Computadores (18). Impresora (12). Switch (02). Acces Point (02).
12.5 VERIFICACIN MEDIANTE HERRAMIENTAS DE COMPUTACIN La verificacin para recabar informacin se hizo mediante herramientas de computacin, permiti realizar la revisin de los diversos componentes informticos como son: El software, redes, programas, arquitectura interna de las computadoras, etc. Las siguientes herramientas para la evaluacin son: EL Everest es un software que nos permite reconocer todas las caractersticas de nuestro ordenador. El AIDA brinda un reporte de las caractersticas, arquitectura y componentes de los equipos de cmputo. Antivirus: ESET Nod32, este utilitario reporto la existencia de virus, gusanos, troyanos y otros malware maliciosos en los ordenadores de la institucin. Wifislax: sistema operativo que administra y gestiona la seguridad de la red. 12.6 TCNICAS DE TRABAJO 12.6.1 ANLISIS DE LA INFORMACIN RECABADA DEL AUDITADO. Se recabo la informacin brindada por cada una de las reas de la institucin es la siguiente: Inventarios de componentes de computo (parque informtico) por cada rea. Descripcin de las funciones que se realizan en las diferentes reas. Organigrama de la institucin. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 38
Normas de la institucin.
12.6.2 ANLISIS DE LA INFORMACIN PROPIA. A travs de los instrumentos aplicados en la institucin se recopilo informacin de diferente naturaleza, dando sustento a nuestra investigacin.
12.6.3 CRUZAMIENTO DE LAS INFORMACIONES ANTERIORES. Por propia cuenta se obtuvo informacin, viendo los resultados obtenidos podemos dilucidar ciertas coherencias de parte del auditado con el auditor en cuanto a la documentacin, observacin, etc. El cual nos servir para la elaboracin de la conclusin, recomendacin y puntos que debern tomarse en cuenta.
12.6.4 ENTREVISTAS. Este instrumento facilita la recopilacin de datos para luego ser tabulados e interpretados. El mismo que se aplico al personal de la institucin quienes tuvieron la gentileza de brindarnos datos relevantes para nuestros objetivos.
12.6.5 CUESTIONARIOS Este instrumento conto con preguntas dicotmicas, opcin mltiple. El cual se aplico al personal de la institucin.
12.7 HERRAMIENTAS. 12.7.1 CUESTIONARIO GENERAL INICIAL. Para poder realizar la dicha auditoria, se formulo un cuestionario para el personal de la institucin. 1. Nombre de la Institucin 2. Misin de la Institucin. 3. Cul es su profesin? 4. Cargo y responsabilidad que ocupa? 5. Cules son las reas funcionales en la institucin? 6. Con cuantas reas cuenta la Institucin? Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 39
7. Cules son los objetivos de las reas? 8. Qu funciones cumplen cada rea? 9. Cuntas personas laboran en cada rea? 10. Cuenta con rea de informtica o un rea similar?
XIII. ESTUDIO INICIAL DEL ENTORNO QUE SE AUDITAR.
13.1 SITUACIN GEOGRFICA DE LOS SISTEMAS DE SOFTWARE. El Centro de Salud Tamburco se encuentra ubicado en la Av. Tpac Amaru S/N Distrito de Tamburco Provincia de Abancay y Departamento de Apurmac
13.2 INVENTARIO DE HARDWARE Y SOFTWARE. Inventario de Hardware del Centro de Salud Tamburco.
UBICACIN DESCCRIPCION N COMPUTADORA N LAPTOP AMBIENTE 01 GERENCIA/JEFATURA 02 01 RECURSOS HUMANOS 01 FARMACIA 02 LABORATORIO 01 ESTADISTICA E INFORMATICA 01 SANEAMIENTO AMBIENTAL 01 AMBIENTE 02 MEDICINA 01 ODONTOLOGIA 01 OBSTETRICA 01 ENFERMERIA 01 ADULTO MAYOR 01 ADMISION 02 UNIDAD DE SEGUROS 03
Las caractersticas de las computadoras y la laptop se podrn apreciar en el anexo 01. Inventario de Software del Centro de Salud Tamburco.
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 40
SISTEMAS OPERATIVOS PC CON LICENCIA PC SIN LICENCIA WINDOWS XP 0 6 WINDOWS VISTA 1 0 WINDOWS 7 0 12 OFIMATICA PC CON LICENCIA PC SIN LICENCIA MS OFFICE 2003 0 6 MS OFFICE 2007 0 12 ARCVIEW 0 1 ADOBE READER 0 19 ANTIVIRUS PC CON LICENCIA PC SIN LICENCIA NOD 32 0 19 OTROS APLICATIVOS PC CON LICENCIA PC SIN LICENCIA HIS 0 1 ARFSIS 0 3
13.3 COMUNICACIN Y REDES DE COMUNICACIN Se observa que el Centro de Salud Tamburco cuenta con una red LAN con acceso a internet.
XIV. DETERMINACIN DE LOS RECURSOS NECESARIOS PARA REALIZAR LA AUDITORIA. 14.1 RECURSOS MATERIALES. 14.1.1 RECURSOS MATERIALES SOFTWARE Para recabar informacin de los recursos que tiene cada PCc, se utiliz el Everest V 2.20, el SW Aida la cual nos permite obtener informacin sobre las caractersticas que tiene la PC, as como software de seguridad, redes, etc.
14.1.2 RECURSOS MATERIALES HW Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 41
Dentro de los recursos materiales tenemos una amplia variedad de componentes computacionales como tarjetas de video, placas madre, procesadores de diversas marcas que nos permiten ver el rendimiento, funcionalidad, etc. de los diversos terminales con las que cuenta la institucin, se hizo el uso d: USBs Cmara Fotogrfica. Teste ador de red almbricas e inalmbricas.
14.2 RECURSOS HUMANOS. Para la auditoria que se realizo al Centro de Salud se conto con el practicante: Anatoly Rozas Cordova. Que estn realizando sus prcticas pre-profesionales.
14.3 SITUACIN PRESUPUESTAL Y FINANCIERA. 14.3.1 PRESUPUESTOS Para poder realizar el proyecto actual de la auditoria a la red informtica no se conto con presupuesto ni financiamiento, el financiamiento fue sostenible personalmente para encaminar el proyecto de dicha auditoria.
CONCEPTO MONTO MATERIAL DE OFICINA (PAPELES TINTA, ETC S/. 120.00 TRANSPORTE Y MOVILIDAD S/. 220.00 GASTOS VARIOS S/. 200.00 TOTAL S/. 540.00 Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 42
CAPITULO IV
TECNICAS Y HERRAMIENTAS DE LA AUDITORIA INFORMATICA
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 43
4. CAPITULO IV 4.1. AUDITORIA FISICA A. OBJETIVOS. OBJETIVO ENERAL Revisar, inspeccionar y evaluar in situ los recursos destinados a proteger fsicamente todos los componentes que forman e interactan con la red informtica (ordenadores, hardware de la red, dispositivos electrnicos, etc), adems de todo el entorno que los rodea en el lugar donde se ubican y de las personas que estn encargadas del manejo, acceso, vigilancia de estos sistemas informticos.
OBJETIVOS ESPECIFICOS Identificar las polticas de seguridad de la informacin. Revisin de la existencia de planes de contingencia que garanticen la seguridad fsica contra desastres naturales. Verificar si se cuenta con los recursos necesarios para poder contrarrestar cualquier desastre natural. Evaluar las medidas de seguridad contra acciones hostiles verificando la seguridad del personal, datos, hardware, software, instalaciones, documentos confidenciales, etc. Verificar la infraestructura. Revisar el correcto uso de los equipos de cmputo. Evaluar si el personal que labora en la institucin se encuentra capacitado y apto para el manejo de los equipos de cmputo y la red.
B. ALCANCE Sistemas tcnicos de seguridad y proteccin. Organizacin y cualificacin del personal de seguridad. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 44
Equipos de cmputo, software, instalaciones elctricas, infraestructura, documentos, etc. Ambiente de trabajo. Planes y procesamiento.
C. HALLASGOS POTENCIALES. No se cuenta con un plan de contingencia ante cualquier emergencia ya sea incendios, derrumbes, etc, que puedan ocasionar daos al personal y a los equipos. Infraestructura e instalaciones inadecuadas. La distribucin de los equipos en cada rea es inadecuado, el cual dificulta el uso y manejo por parte del personal. La institucin solo cuenta con una salida de emergencia. No se cuenta con una inadecuada iluminacin para en todas las reas el cual dificulta el desarrollo de sus actividades.
D. CONCLUSIONES. como resultado de la auditoria podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoria la institucin presenta deficiencias sobre todo en el debido cumplimiento de normas de seguridad. No existe revisin a las normas de seguridad por parte del personal.
E. RECOMENDACIONES Establecer planes de contingencia para afrontar cualquier emergencia que pueda suscitarse en el futuro ya sea incendios, derrumbes, etc.., que puedan ocasionar daos al personal, a los equipos y afectar el normal funcionamiento de la institucin. Adquirir extintores y ubicarlos en lugares estratgicos de toda la institucin. Establecer prohibiciones para fumar en las reas de la Institucin o al menos en las reas donde se realizan mas procesos al estar ms inmersos al iniciar un incendio. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 45
Realizar una revisin peridica de toda la infraestructura para ver el estado de las mismas y prevenir cualquier desastre que pueda sucintarse. Exigir identificacin a las personas que ingresan a la institucin. Adquirir equipos de ventilacin. Realizar un plan de emergencia (plan de evacuacin, uso de recursos de emergencia, extintores). Verificar el estado de puertas de acceso y salida a la institucin para poder afrontar cualquier suceso como robos. Elaborar un calendario de mantenimiento de rutina peridica capacitar al personal en las diversas medidas de seguridad que puedan tomarse ante cualquier desastre natural, acciones hostiles, etc.
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 46
4.2. AUDITORIA DE LA RED FISICA A. OBJETIVOS OBJETIVO GENERAL Evaluar los recursos que conforman la red fsicamente, tanto en la red cableada co0mo en la red inalmbrica con las que cuenta la institucin, que le permiten conectar las computadoras y otros equipos informticos entre si. Tales como (computadoras, cableado estructurado, dispositivos de internet working, etc.)
OBJETIVOS ESPECFICOS Evaluar los equipos de cmputo: las caractersticas de las computadoras, tarjetas de red, impresoras, etc, que estn interconectados en la red. Evaluar el rea de comunicaciones de donde se distribuyen los cables a las dems reas y verificar si cuentan con los recursos necesarios para una ptima distribucin, evaluar las medidas que impidan el acceso a personas no autorizadas. Revisar y evaluar el estado de las distintas partes de la red informtica de la institucin, tales como equipos de computo, cableado, impresora y dispositivos de internetnetworking (switch, puentes, router, etc.). Evaluar el estado de los medios del cableado (canales, tuberas, etc.), que le permitan una adecuada transmisin de los datos si no presentan ningn tipo de interferencia. Evaluar el armado de la red cableada, el tendido adecuado de los cables y lneas de comunicacin. Verificar el cumplimiento de los estndares para las redes LAN. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 47
Verificar el estado del cableado y las especificaciones elctricas utilizadas en la red. Verificar si existen procedimientos para la proteccin de cables y bocas de conexin que impidan ser conectadas e interceptadas por personas no autorizadas. Comprobar si se usan todos los materiales normados y si cumplen las categoras para una transmisin de datos optimo.
B. ALCANCE DE LA AUDITORIA. Sistemas tcnicos de la red. Estado actual de la red. Cumplimiento de los estndares de redes LAN, WLAN. Cableado de red e instalaciones elctricas.
C. HALLAZGOS POTENCIALES. Los equipos de computo con que cuenta la institucin se encuentran algunos en mal estado, la mayora de las computadoras son Pentium IV equipados para cumplir con las funciones que se realizan en la institucin, excepto de algunas computadoras que deberan ser cambiadas o repotenciadas. La red no cuenta con un armario adecuado de telecomunicaciones que actuaria como punto de transmisin entre el montante y las canalizaciones, facilitando la distribucin e identificacin de los diversos puntos de red que salen a las dems reas de la institucin. Toda la red cuenta con un router, un switch principal de 16 puertos, los cuales se encargan de distribuir los cables de red a los dems puntos de la institucin, que a continuacin. No se cuenta con todos los elementos normados en el Estndar EIA/TIA 568B, necesarios para un eficiente funcionamiento de la red asegurando la transmisin de datos optima y a una adecuada velocidad (Cables Pach Cord, Pach Panel, Jacks, cajas toma datos). La red cableada de la institucin est realizada en funcin al estndar EIA/TIA 568B, para el cableado, que a su vez utiliza el cable UTP cat 5E, y los conectores RJ45, permitiendo una velocidad de 100Mbps, normados en el estndar de redes LAN/TEIA 568B. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 48
Algunas partes del cableado no estn protegidas con canaletas, pudiendo daarse con facilidad. La esttica de la red no fue considerada al momento del armado, al no usar todos los materiales necesarios como los codos en las canaletas. La institucin no cuenta con un ordenador que cumple la funcin de un servidor ubicado en el rea de informtica No se cuenta con supresores de sobretensin que se deben montar en los tomacorrientes de pared en donde se conectan los dispositivos de red. No existe ninguna medida de seguridad para la proteccin de la red que impida que usuarios extraos accedan a la red de la institucin.
D. CONCLUSIONES. La infraestructura de la red presenta deficiencias en cuanto a la realizacin del cableado, al no considerar los diversos estndares para los mismos. Existe una deficiencia en el diseo de la red al no considerar medidas de seguridad y mantenimiento de la red.
E. RECOMENDACIONES. Reemplazar o repotenciar las PCs, impresoras que presentan o registran fallas en su funcionamiento. Capacitacin al personal en cuanto al uso del Hardware y Software. Equipar un armario donde pueda contener equipos de telecomunicacin, equipos de control y terminaciones de cables para revisar interconexiones. Implementar los dems elementos especificados normados en el estndar EIA/TIA 568B, para lograr un eficiente funcionamiento de la red. Realizar una adecuada distribucin del cableado con respecto a los terminales para identificarlos rpidamente en caso de que se generen algunas fallas en la red. Separar los cables de la red de los cables de emergencia a unos 20 como mnimo, y en caso de que presenten cruces cintas aislantes. Proteger en su totalidad el cableado de la red, para evitar posibles daos de los mismos. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 49
Montar supresores de sobretensin en los tomacorrientes de pared en los cuales se conectan los dispositivos de red. Adquirir un UPS para suministrar energa en caso de prdida de fluido elctrico dando tiempo suficiente para poder guardar los cambios correspondientes, las aplicaciones y datos que se encuentren en el mismo.
4.3. AUDITORIA DE LA RED LOGICA A. OBJETIVOS OBJETIVO GENERAL Evaluar todos los elementos que intervienen en la red lgica, como son los programas, sistemas operativos, sistemas de informacin, etc., verificando la existencia de barreras y procedimientos que resguarden el acceso a los datos y que de esta manera solo se permita acceder a ellos a las personas autorizadas para hacerlo.
OBJETIVOS ESPECFICOS. Evaluar los programas, sistemas que se utilizan en cada una de las computadoras de la red informtica, si se usan adecuada mente. Examinar las configuraciones de red, protocolos que se utilizan, direccin IP, grupos de trabajo, etc. Evaluar la seguridad del ordenador principal en cuanto a accesos no autorizados que puedan daar o eliminar informacin valiosa de la institucin. Evaluar la seguridad de los terminales, si se cuenta con contraseas y otros procedimientos para limitar y detectar cualquier intento de acceso no autorizado en la red informtica. Evaluar las propiedades de los terminales en la red que unidades, datos estn disponibles para el acceso en la red. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 50
Verificar las tcnicas de cifrado de datos donde haya riesgos de accesos de datos impropios. Verificar que los datos que viajan por internet vayan cifrados. Verificar la compatibilidad, actualizaciones de los sistemas operativos, software utilizados. Registro de las actividades de la red, para ayudar a reconstruir incidencias y detectar accesos no autorizados. Verificar si el SW se adquieren siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa. Verificar la existencia de un plan de actividades previo a la instalacin de sistemas de informacin. Evaluar el nivel de satisfaccin de los usuarios con los sistemas de informacin. Verificar el grado de fiabilidad de la informacin. Verificar si se realizan encriptaciones de la informacin pertinente. Verificar la importacin y exportacin de datos. Verificar que los sistemas operativos pidan nombre de usuario y la contrasea para cada sesin. Verificar si el acceso a los sistemas de informacin, si estn asignados a determinados usuarios o es de acceso libre. Verificar si existen polticas que prohban la instalacin de programas o equipos personales en la red.
B. ALCANCE DE LA AUDITORIA. Seguridad del ordenador principal. Vulnerabilidades de la red informtica. Estado de software, sistemas operativos y sistemas de informacin. Evaluacin del personal.
C. HALLAZGOS POTENCIALES. La mayora de los terminales realizan un uso adecuado de los programas al no usar nada innecesario o que dificulte el funcionamiento de la red, a excepcin de algunas rea que utilizan programas ajenos a sus funciones, tales como Emule, Ares, que disminuyen la velocidad de acceso a internet al consumir ancho de banda. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 51
En la configuracin de la red se utiliza nicamente el protocolo TCP/IP, el cual permite conectar la red, mediante una direccin IP, y a internet mediante la puerta de enlace asignada al router.
El acceso a la mayora de las terminales no est restringido a usuarios de la red, y cualquier usuario puede manipular las carpetas compartidas de las dems reas. Los diversos terminales generalmente presentan las mismas propiedades en cuanto al compartimiento de unidades, carpetas y su acceso como ya se indico con el usuario invitado y su respectiva contrasea, en el caso de las impresoras se comparten de forma general y a varias reas de la institucin. No se utilizan ninguna tcnica de cifrado de datos en toda la institucin para proteger la informacin de la misma y para los datos que viajan por internet. Los sistemas operativos actuales usados en la institucin son actualizados debidamente para poder soportar los sistemas de informacin que se instalan y/o programas que se utilizan en la misma. Se realiza un estudio previo para determinar si los software y/o sistemas de informacin para determinar la implantacin de los mismos en la institucin detectando claramente sus beneficios. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 52
Se coordina un plan de actividades (capacitaciones y pruebas) previa implantacin de los nuevos sistemas de informacin y otros software que se necesita. La mayora de los sistemas con que cuenta la institucin vienen funcionando de forma ptima en las diferentes reas de la institucin. No se realiza ninguna encriptacin para la proteccin de los datos. La mayora de los diversos sistemas operativos presentan controles de acceso mediante usuarios, exceptuando por algunos, que no lo hacen, que podran causar sabotaje por medio de los mismos compaeros de trabajo. No existe ninguna poltica y controlo que prohba la instalacin de programas o equipos personales en la red. Existe un calendario de mantenimiento ofimtico y de software. Se mantiene una adecuada actualizacin de los software utilizados tanto como los antivirus. No se cuentan con un mantenimiento y asistencia tcnica de los sistemas de informacin. Falta de capacitacin al personal para el uso de los equipos de cmputo, a la vez del software que se utiliza.
D. CONCLUSIONES. Los escases de personal debidamente capacitado. Cabe destacar que el sistema ofimtico pudiera servir de gran apoyo a la institucin, el cual no es explotado en su totalidad por falta de personal capacitado. Vulnerabilidad de la seguridad en cuanto al acceso no autorizado por parte del ordenador principal y otros terminales.
E. RECOMENDACIONES. Tomar las acciones necesarias como el control de instalacin de programas innecesarios en la red, que puedan interferir con el funcionamiento adecuado de la red, internet. Establecer medidas de restriccin en cuanto al ordenador principal por parte de otros terminales de la institucin, pudiendo asignar nicamente una cuenta de administrador. Bloquear el acceso a los terminales que presentan estas deficiencias y puedan ser accedidos por otros terminales de la institucin. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 53
Establecer tcnicas de cifrado de datos en la institucin para proteger la informacin de la misma, de la misma manera para los datos que viajan por internet. Mantenimiento y/o asistencia tcnica a los sistemas que presentan deficiencias (Software de supervisin). Realizar encriptaciones para la proteccin de los datos en la institucin. Establecer usuarios que controlen el acceso a los sistemas operativos en todos los terminales de la institucin. Establecer polticas y controlar la instalacin de programas o equipos personales en la red. Capacitacin al personal para el uso de los equipos de cmputo, a la vez del software que se utiliza.
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 54
4.4. AUDITORIA A LA ADMINISTRACION DE LA RED A. OBJETIVOS. OBJETIVO GENERAL. Evaluar la administracin de la red, verificando si se cuenta con los recursos necesarios tanto como herramientas, software, y personal para realizar una adecuada administracin de la red informtica de la institucin. De esta manera que se permita realizar las funciones de un administrador de red que son tan amplias y variadas como desconocidas en muchos mbitos. Administracin de usuarios. Mantenimiento del Hardware y software. Configuracin de nodos y recursos de red. Configuracin de servicios y aplicaciones de internet. Supervisin y optimizacin
OBJETIVOS ESPECFICOS. Evaluar al personal encargado de de soporte tcnico, si es suficiente y/o apto para desempear tal funcin en la administracin de la red informtica. Evaluar si se realizan todas las funciones de administracin de redes. Evaluar los procedimientos, configuracin, control y monitoreo de la red, para que se cumpla todas las necesidades de los usuarios. Evaluar que se cuenta con las herramientas y recursos necesarios ya sea materiales, humanos para una adecuada administracin de la red. Evaluar el sistema operativo y software con el que se administra la red en la actualidad.
B. ALCANCE DE LA AUDITORIA. Revisin de las funciones del rea de informtica. Revisin del personal. Capacitacin del personal. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 55
Presupuesto.
C. HALLAZGOS POTENCIALES. Personal insuficiente en el rea de informtica para lograr una adecuada administracin de la red, existe un solo encargado del soporte quien desempea todas las funciones de administracin de la red, soporte de hardware y software, soporte tcnico en los eventos, programas realizados por la institucin (presupuesto participativo), etc., quien no se abastece teniendo en cuenta que por la falta de capacitacin del personal en el uso de hardware y software se necesita un personal constante para brindar apoyo a los mismos. No existe ninguna metodologa en la administracin de la red. No se realizan de una manera eficaz las funciones de la administracin de redes debido a las dificultades ya mencionadas. No se cuenta con todas las herramientas necesarias para una adecuada administracin de la red, faltando como los dispositivos de testeo que certifican la red verificando su estado y correcto funcionamiento. No se realiza una adecuada administracin de las fallas de la red, al no detectarse de manera inmediata al no contar con un sistema de alarmas (monitor de alarma). La correccin de las fallas es retardada debido a que los mismos usuarios son los que informan al administrador de la red de dichas fallas, o a que no se cuenta con material disponible para el reemplazo inmediato de recursos daados (en el caso de ser dao fsico). No se realiza una administracin de reportes para la documentacin de las fallas, cuando un problema es detectado o reportado. No se realiza un mantenimiento de hardware y software en forma peridica. La configuracin de los nodos y apertura de un nuevo punto de red se realiza previa solicitud del rea que lo requiera y en caso de no contar con los materiales necesarios (cables, tarjeta de red, etc.), la aprobacin pasa a disposicin de la direccin zonal. No se realizan las configuraciones de servicios y aplicaciones de internet. Presupuesto insuficiente para el rea de informtica en el soporte tcnico.
D. CONCLUSIONES. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 56
La falta de personal de apoyo impide que el encargado realice una adecuada administracin de red, al estar encargado de realizar diversas funciones que se requieren de dicha rea. La administracin de la red no puede ser eficiente siempre que no se cuenten con la herramientas necesarias para la misma como son las herramientas normadas de testeo, a dems de no contar con el software adecuado para la administracin.
E. RECOMENDACIONES. Contratar un personal de soporte tcnico para el rea de informtica que pueda ayudar cumplir con las funciones tcnicas de dicha rea (soporte de hardware, software, soporte de eventos, programas desarrollados) de esta manera permitir que el encargado del rea de informtica realice todas las operaciones de administracin de red. Establecer una metodologa de administracin para la red de la institucin que permita una forma mas adecuada y ordenada de la misma, propuesta: o Administracin de usuarios. o Mantenimiento del hardware y software. o configuracin de nodos y recursos de la red. o Configuracin de servicios y aplicaciones de internet. o Supervisin y optimizacin.
Adquisicin de herramientas necesarias para la administracin los cuales deben de estar normadas y que certifiquen la red es decir que verifique el estado de las partes de la red y su correcto funcionamiento. Adquisicin de software para la administracin de red, administracin de rendimiento, administracin de fallas, administracin de seguridad que permitan realizar sus respectivas funciones:
o Administracin de rendimiento Monitoreo. Anlisis de trfico. o Administracin de fallas Monitor de alarmas. Localizacin de fallas. Pruebas de diagnostico. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 57
Correccin de fallas. Administracin de reportes. o Administracin de seguridad Prevencin de ataques. Deteccin de intrusos. Respuesta a incidentes. Servicios de seguridad. Mecanismos de seguridad.
Establecer procedimientos de adquisicin peridica de los materiales y actualizacin del software necesario para la administracin.
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 58
4.5. AUDITORIA A LA SEGURIDAD INFORMATICA A. OBJETIVOS OBJETIVO GENERAL Evaluar la existencia de polticas de seguridad, planes de contingencia, normas de seguridad y determinar de esta manera si la institucin est preparada para afrontar cualquier suceso que frene el funcionamiento de las labores informticas.
OBJETIVOS ESPECFICOS Hacer un estudio de los riesgos potenciales a los que est sometida, la informacin, las aplicaciones del rea de informtica, etc. Verificar si la institucin cuenta con polticas de seguridad informtica, planes de contingencia ante cualquier percance que pueda suceder. Verificar la existencia de normas de seguridad que puedan describir el funcionamiento de los dispositivos. Verificar si se realiza resguardo de informacin mediante backups de paquetes y de archivo de datos. Verificar el resguardo de los backups a que dependencia es asignado y si permanecen en la institucin. Evaluar la funcin de los encargados de soporte, aquellos que son responsables de gestionar la seguridad informtica.
B. ALCANCE DE LA AUDITORIA Organizacin y calificacin del personal. Planes y procedimientos. Sistemas tcnicos de deteccin. Mantenimiento.
C. HALLAZGOS POTENCIALES Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 59
Los hallazgos potenciales a los que eta sometida, la informacin, las aplicaciones, en las diversas reas son: Al fuego, que pueden destruir los equipos y los archivos. Al robo comn, llevndose los equipos y archivos. Al vandalismo, que daen los equipos y archivos. A fallas en los equipos, que daen los archivos. A equivocaciones que daen los archivos y otros. A la accin de virus que daen los equipos y archivos. A accesos no autorizados, filtrndose datos no autorizados.
No se cuenta con ninguna poltica de seguridad informtica, ni planes de contingencia que permitan la actuacin del personal en relacin con los recursos informticos importantes de la institucin. No existen normas de seguridad que puedan describir el funcionamiento de los dispositivos ante cualquier duda del personal. Existe una adecuada calendarizacin para la realizacin de los backups de paquetes archivo de datos. Los backups solo son almacenados en las computadoras ms no en los CDs y/o discos externos que pudieran servir ante cualquier eventualidad o falla de equipos de cmputo. El encargado de soporte, no gestiona una buena seguridad informtica. Inestabilidad
D. CONCLUSIONES Como resultado de la auditoria de la seguridad informtica realizada a la Institucin, se puede manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditora. El rea de informtica presenta dificultades para el cumplimiento de sus funciones debido a que no se cuenta con el personal suficiente para dicha rea, impidiendo una adecuada gestin de las medidas de seguridad.
E. RECOMENDACIONES Elaborar polticas de seguridad y/o planes de contingencia que establezcan el canal formal de la actuacin del personal, relacin con los recursos y servicios informticos importantes de la organizacin. Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 60
Tomar todas las precauciones para que las polticas y/o planes de contingencia despus de desarrollarse logren implantarse en su totalidad. Establecer normas de seguridad que describen el modo de funcionamiento de los dispositivos de seguridad y su administracin. Por ejemplo supongamos un dispositivo simple de bloqueo de teclado. En las normas de seguridad se podra indicar: todos los usuarios bloquearan su teclado cada vez que dejen sin atencin su sistema. El encargado de soporte es el responsable de gestionar la seguridad informtica en la institucin , debe considerar las siguientes medidas:
o Distribuir las reglas de seguridad. o Establecer incentivos para la seguridad.
El coste de la seguridad debe considerarse como un coste mas entre todos los que son necesarios para desempear la actividad que es el objeto de la existencia de la entidad, sea esta la obtencin de un beneficio o la prestacin de un servicio pblico. El coste de la seguridad, como el coste de la calidad, son los costes de funciones imprescindibles para desarrollar la actividad adecuadamente. Debe de entenderse como un grado de garanta de que dichos servicios van a seguir llegando a los usuarios en cualquier circunstancia. Identificar la informacin que es confidencial. Poltica de destruccin de desechos informticos.
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 61
CAPITULO V
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 62
5. CAPITULO V 5.1. ACTIVIDADES REALIZADAS EN EL PERIODO DE PRCTICAS En mi condicin practicante en el rea de informtica del Centro de Salud Tamburco realice las siguientes actividades: Soporte y mantenimiento de computadoras de las diferentes reas. Configuracin de impresoras para uso en red. Instalacin de sistemas operativos (Windows XP, Windows 7). Soporte tcnico. Instalacin de programas o Microsoft Office. o Winzip. o Winrar. o ESET NOD32. o Solid Convert. o Internet Explorer.
Asesora tcnica en la utilizacin de programas de oficina: Microsoft Word, Excel, Access, Internet. Cableado de red para algunas reas. Configuracin de PCs conectadas a la red. Actualizacin de antivirus. Asistencia en la instalacin del can multimedia solicitado por la gerencia de la institucin. Asistencia en la elaboracin e impresin de cuadros estadsticos.
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 63
ANEXOS
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 64
ANEXO 01 INVENTARIO GENERAL 2012 CONTROL PATRIMONIAL GERENCIA NUMERO DE MAQUINAS TIPO PROCESADOR DISCO DURO MEMORIA RAM ESTADO 01 PC CORE 2 DUO INTEL COREO 2 DUO 3.00 GHZ 320 GB 2 GB BUENO 01 LAPTOP CORE I3 TOSHIBA INTEL COREO 2 DUO 2.20 GHZ 500 GB 4 GB BUENO RECURSOS HUMANOS 01 PC CORE DUO INTEL COREO DUO 2.40 GHZ 160 GB 1 GB BUENO FARMACIA 01 PC CORE DUO INTEL COREO DUO 2.40 GHZ 250 GB 1 GB BUENO 01 PC CORE 2 DUO INTEL COREO 2 DUO 3.00 GHZ 320 GB 2 GB BUENO LABORATORIO 01 PC PENTIUM IV PENTIUM IV 1.7 GHZ 40 GB 512 GB PESIMO ESTADISTICA E INFORMATICA 01 PC CORE 2 DUO INTEL COREO 2 DUO 3.00 GHZ 320 GB 2 GB BUENO SANEAMIENTO AMBIENTAL 01 PC PENTIUM IV PENTIUM IV 1.8 GHZ 40 GB 512 GB PESIMO MEDICINA 01 PC CORE DUO INTEL COREO DUO 2.40 GHZ 160 GB 1 GB BUENO ODONTOLOGIA 01 PC CORE DUO INTEL COREO DUO 2.40 GHZ 160 GB 1 GB BUENO OBTETRICIA 01 PC CORE DUO INTEL COREO DUO 2.40 GHZ 160 GB 1 GB BUENO ENFERMERIA 01 PC CORE 2 DUO INTEL COREO 2 DUO 3.00 GHZ 320 GB 2 GB BUENO ADULTO MAYOR 01 PC PENTIUM IV PENTIUM IV 1.8 GHZ 40 GB 512 GB PESIMO ADMISION 01 PC PENTIUM IV PENTIUM IV 1.8 GHZ 40 GB 512 GB PESIMOr 01 PC CORE DUO INTEL COREO DUO 2.40 GHZ 160 GB 1 GB BUENO Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 65
UNIDAD DE SEGUROS 01 PC CORE 2 DUO INTEL COREO 2 DUO 3.00 GHZ 320 GB 2 GB BUENO 01 PC CORE DUO INTEL COREO DUO 2.40 GHZ 250 GB 1 GB BUENO 01 PC CORE DUO INTEL COREO DUO 1.86 GHZ 250 GB 1 GB BUENO
ENCUESTAS Generalidades 1. Se tiene definida una poltica de seguridad global en la institucin? SI ( ) NO ( )
2. Existen controles que detecten posibles fallos en la seguridad? SI ( ) NO ( )
3. Se ha definido el nivel de acceso de los usuarios (los accesos a recursos permitidos)? SI ( ) NO ( )
4. Existen controles que detecten posibles fallos en la seguridad? SI ( ) NO ( )
5. Existe departamento de auditora interna en la institucin? SI ( ) NO ( )
6. Existen estndares de funcionamiento y procesos que involucren la actividad del rea de Informtica y sus relaciones con los departamentos usuarios por otro? SI ( ) NO ( )
7. Existen estndares de funcionamiento y procedimientos y descripciones de puestos de trabajo adecuados y actualizados? SI ( ) NO ( )
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 66
ITEM 1: Seguridad de cumplimiento de normas y estndares 1. Se han formulado polticas respecto a seguridad, privacidad y proteccin de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violacin? SI ( ) NO ( )
2. Todas las actividades del Centro de Computo estn normadas mediante manuales, instructivos, normas, reglamentos, etc.? SI ( ) NO ( )
3. Se ha dividido la responsabilidad para tener un mejor control de la seguridad? SI ( ) NO ( )
4. Existe una clara definicin de funciones entre los puestos clave? SI ( ) NO ( )
5. Se vigilan la moral y comportamiento del personal de la direccin de informtica con el fin de evitar un posible fraude? SI ( ) NO ( )
6. Evalan el desempeo del encargado del rea de informtica? SI ( ) NO ( )
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 67
ITEM 2: Seguridad del rea de informtica y seguridad fsica 1. Se cuentan con mecanismos de seguridad fsica para el centro de informtica? SI ( ) NO ( )
2. Existe personal de seguridad en la organizacin durante las 24 horas? SI ( ) NO ( ) En caso de existir: El personal de seguridad es: ( ) Vigilante (Contratado por medio de empresas que venden ese servicio) ( ) Personal Interno (contratado por la organizacin) ( ) Otro ( ) No existe
Se investiga a los vigilantes cuando son contratados directamente? SI ( ) NO ( )
3. Existe control en el acceso a la instalacin del departamento de informtica? ( ) Por identificacin personal ( ) Por tarjeta magntica ( ) Por claves verbales ( ) Otras
4. Se registra el acceso al departamento de cmputo de personas ajenas a la direccin de informtica? ( ) Vigilante ( ) Recepcionista ( ) Personal encargado de la seguridad ( ) Nadie
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 68
5. Cul es la periodicidad con la que se hace la limpieza de polvo y otro en el centro de informtica? Diaria: ( ) Veces por da Semanal ( ) Veces por semana Mensual ( ) Veces por mes Otra: 6. Se cuentan con mecanismos de proteccin respecto a la prohibicin del personal en cuanto a consumo de alimentos y bebidas en el interior del departamento de cmputo para evitar daos al equipo? SI ( ) NO ( )
7. Se ha tomado medidas para minimizar la posibilidad de fuego: ( ) Evitando artculos inflamables en las reas ( ) Prohibiendo fumar a los operadores en el interior ( ) Vigilando y manteniendo el sistema elctrico ( ) No se ha previsto
8. EL inmueble de la oficina de informtica se encuentra a salvo de cualquier emergencia? ( ) Fuego ( ) Inundacin (Agua) ( ) Terremoto ( ) Sabotaje ( ) Ninguno
9. Se cuenta con sistemas de regulacin de temperatura? ( ) Aire acondicionado ( ) Ventilador ( ) Sistema de calefaccin ( ) Otro:.
10. Existe corta fuegos (firewall) en su hardware? SI ( ) NO ( )
11. Se cuenta con sistema de alarma, para detectar alguna anomala en el departamento de informtica? ( ) Fuego Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 69
( ) Agua ( ) Detectar magnticos ( ) No existe En caso de existir: Indique, Esta alarma tiene conexin: ( ) Al puesto de polical. ( ) A la estacin de Bomberos ( ) A ningn otro lado ( ) Otro . Las alarmas son consideradas: ( ) De fcil operatividad ( ) Regularmente fcil de operar. ( ) Dificultad de operacin ( ) Desconoce La alarma es perfectamente audible? SI ( ) NO ( ) Se ha orientado, adiestrado respecto al uso y manipulacin de estas? ( ) Usualmente ( ) Oportunamente ( ) Nunca
12. Se cuentan con extintores de fuego? SI ( ) NO ( ) En caso de existir: Indique, los extintores son considerados: ( ) De fcil operatividad ( ) Regularmente fcil de operar. ( ) Dificultad de operacin ( ) Desconoce
Se ha orientado, adiestrado respecto al uso y manipulacin de estas? ( ) Usualmente ( ) Oportunamente ( ) Nunca
13. Los interruptores de energa estn adecuadamente protegidos, etiquetados y sin obstculos para alcanzarlos? Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 70
SI ( ) NO ( )
14. Cul es la periodicidad en la que se realizan limpieza y mantenimiento de los equipos de cmputo?
ITEM 3: Seguridad del Personal Informtico. 1. Se cuentan con mecanismos para mantener la seguridad del personal en la institucin? Cules son los principales? Existe algn problema en concreto? SI ( ) NO ( )
2. Existen polticas respecto de la prevencin de accidentes y de las enfermedades laborales? Est satisfecho con los sistemas actuales emplean? SI ( ) NO ( )
3. Est el personal adecuadamente capacitado respecto a medidas preventivas durante el desempeo de la labor? SI ( ) NO ( )
4. Se Cuenta con algn seguro para el personal informtico en caso de accidente durante la operacin? SI ( ) NO ( )
5. Como son las relaciones laborales en el rea
6. Se presentan problemas con frecuencia SI ( ) NO ( )
7. Se estudia la evolucin del mercado y la adaptacin del personal a esa evolucin? SI ( ) NO ( )
8. Los informticos reciben noticias del momento tecnolgico por revistas, notas tcnicas, etc.? SI ( ) NO ( )
9. Con que frecuencia realiza actualizaciones en sus equipos? Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 71
SI ( ) NO ( )
10. Se revisa frecuentemente que no est abierta o descompuesta la cerradura de esta puerta y de las ventanas, si es que existen? SI ( ) NO ( )
11. El centro de cmputo tiene salida al exterior? SI ( ) NO ( )
12. El centro de cmputo tiene salida de emergencia? SI ( ) NO ( )
13. Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? SI ( ) NO ( )
14. Se desarrollan programas de capacitacin/actualizacin hacia el personal que labora en rea de informtica, respecto a las medidas de seguridad? Si ( ) No ( )
15. Se recibe formacin y se planifica sta mediante asistencia a cursos, seminarios, etc.? SI ( ) NO ( )
16. Existe algn programa concreto de mejora de la productividad hacia el personal que labora en rea de informtica? Si ( ) No ( )
17. Asegura la direccin la disponibilidad de los recursos necesarios: instalaciones y equipos de seguridad para el mantenimiento preventivo de los equipos de cmputo? SI ( ) NO ( )
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 72
ITEM 4: Seguridad de Aplicaciones 1. Se cuenta con claves de acceso en los diversos componentes del software de oficina que emplea la organizacin? SI ( ) NO ( )
2. Se han implantado claves o password para garantizar operacin del personal autorizado? SI ( ) NO ( )
3. Se ha asegurado un respaldo de mantenimiento y asistencia tcnica de las aplicaciones? SI ( ) NO ( )
4. Con que frecuencia realiza actualizaciones en su software? SI ( ) NO ( )
5. En cuanto aparecen nuevas versiones de los programas SI ( ) NO ( )
6. Se mantiene un registro permanente (bitcora) de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos? SI ( ) NO ( )
7. Se han efectuado las acciones necesarias para una mayor participacin de proveedores en caso de algn dao o prdida de informacin? SI ( ) NO ( )
8. Se ha asegurado un respaldo de mantenimiento y asistencia tcnica? SI ( ) NO ( )
9. Los operadores del equipo central estn entrenados para recuperar o restaurar informacin en caso de destruccin de archivos? SI ( ) NO ( ) Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 73
10. Se permite el acceso a las aplicaciones a personal ajeno al entorno informtico? SI ( ) NO ( )
11. Los programas con informacin reservada estn protegidos por clave de acceso? SI ( ) NO ( )
12. Los usuarios disponen de zonas en el servidor de ficheros donde hacer sus copias de seguridad? SI ( ) NO ( )
13. El funcionamiento interno de los programas clave de la empresa es conocido por el personal del centro de informtica y/o por el proveedor directo del mismo? SI ( ) NO ( )
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 74
ITEM 5: Plan de Contingencias 1. Existen un plan de contingencias que respalde al rea de Informtica de la organizacin? SI ( ) NO ( )
2. La organizacin tiene conocimiento de la importancia de contar con un plan de contingencias? SI ( ) NO ( )
3. Tienen propuesto la elaboracin?
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 75
AUDITORIA A REDES DE CMPUTO 1. La organizacin tiene una poltica definida de planeamiento de tecnologa de red? SI ( ) NO ( )
2. Esta poltica es acorde con el plan de calidad de la organizacin? SI ( ) NO ( )
3. La organizacin cuenta con un plan que permite modificar en forma oportuna el plan a largo plazo de tecnologa de redes, teniendo en cuenta los posibles cambios tecnolgicos o en la organizacin? SI ( ) NO ( )
4. Se cuenta con un inventario de equipos y software asociados a las redes de datos? SI ( ) NO ( )
5. Existe un plan de infraestructura de redes? SI ( ) NO ( )
6. Existe personal encargado de la seguridad de las redes? SI ( ) NO ( )
7. La responsabilidad operativa de las redes esta separada de las de operaciones del computador? SI ( ) NO ( )
8. Los usuarios disponen de zonas en el servidor de ficheros donde hacer sus copias de seguridad? SI ( ) NO ( )
9. Estn establecidos controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a travs de redes pblicas, y para proteger los sistemas conectados? SI ( ) NO ( ) Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 76
10. Existen controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas? SI ( ) NO ( )
11. Existen controles y procedimientos de gestin para proteger el acceso a las conexiones y servicios de red? SI ( ) NO ( )
12. Existen protocolos de comunicaron establecida SI ( ) NO ( )
13. Existe una topologa estandarizada en toda la organizacin SI ( ) NO ( )
14. Existen normas que detallan que estndares que deben cumplir el hardware y el software de tecnologa de redes? SI ( ) NO ( )
15. La transmisin de la informacin en las redes es segura? SI ( ) NO ( )
16. El acceso a la red tiene password? SI ( ) NO ( )
17. Si se tienen terminales conectadas, se ha establecido procedimientos de operacin? SI ( ) NO ( )
18. Se verifica identificacin: ( ) De la terminal ( ) Del Usuario ( ) No se pide identificacin
19. Se tiene definido el nivel de acceso a la informacin? SI ( ) NO ( )
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica
Pg. 77
20. Se ha establecido un nmero mximo de violaciones en sucesin para que la computadora cierre esa terminal y se de aviso al responsable de ella? SI ( ) NO ( )
IMGENES: 1.- Al realizar la una auditoria a la red informtica se observa q el cableado estructurado se encuentra en psimas condiciones
Universidad Tecnolgica de los Andes Carrera Profesional de Ingeniera de Sistemas e Informtica