EVALUACIÓN DE RYC Y PROTECCIÓN DE DATOS EN EL DIRECTORIO

ACTIVO DE LA UNIVERSIDAD DEL MAGDALENA (ADMINPAK)

Grupo # 4

Carlos Hernández
Walter Berdugo
Disneidy Brito
Kevyn P. Chacuto
Luis Rojas

1. Definición del sistema

El Sistema de Administración del Directorio Activo de la Universidad Del Magdalena

(Adminpak) es una herramienta software diseñada para establecer criterios de
control-seguridad sobre el directorio activo de empleados de (contratistas,
practicantes, docentes, directivos). La funcionalidad del sistema se basa en
proporcionar un perfil a los usuarios teniendo en cuenta la dependencia a la cual
están vinculados laboralmente asignando privilegios o permisos según sus tareas o
actividades a realizar en el sistema. El control se realiza a nivel de software para que
los usuarios no instalen programas no permitidos y para que haya un nivel de
privacidad en la información de cada usuario.

2. Descripción del sistema

El sistema se utiliza para la administración de las cuentas de usuario del personal

vinculado laboralmente a la Universidad con el propósito de ejercer un mayor
control sobre las actividades realizadas por los usuarios dentro de la red interna.
Este control se basa en establecer perfiles a los usuarios de acuerdo a las labores
inherentes a su cargo permitiendo o denegando permisos y/o accesos a los recursos
de la red interna y externa; para tener un perfil de acceso el usuario debe hacer la
petición en la oficina del Centro de Cableado, en donde se programa la acción de
creación del perfil, previa validación y certificación de la existencia del solicitante en
el listado de personal activo de la Universidad del Magdalena que la oficina de
Recursos Humanos entrega al Centro de Cableado y el visto bueno del director de
esta parcela. Los usuarios son generalmente empleados de la Universidad con un
equipo de cómputo asignado o al que tienen acceso y que están presencialmente la
mayor parte del tiempo y con regularidad dentro de las instalaciones universitarias,
a ellos se les crea una cuenta con correo interno para que se utilice en el
envío/recepción de información de carácter institucional.
 3. OBJETIVOS

General

Verificar el funcionamiento del Sistema de Administración del Directorio Activo de la

Universidad del Magdalena, de acuerdo a los procesos que se realizan en el,
considerando los riesgos, controles y oportunidades de mejora.

Específicos

 Corregir posibles errores fomentando una cultura de inspección continua y

objetiva.
 Analizar las fortalezas, debilidades y oportunidades para establecer de
respaldo en caso de fallas.

3.1 ALCANCE Y LIMITACIONES

El análisis del funcionamiento del Sistema de Administración del Directorio Activo
de la Universidad del Magdalena se realizo en el periodo correspondido entre el 9 al
16 de Junio de 2009 y los procesos o actividades que han sido objeto de revisión
son: creación de usuarios, soporte técnico y programación y ejecución de backups
de respaldo.

3.2 PROCEDIMIENTOS DE AUDITORIA UTILIZADOS

Para la realización de la auditoria fue necesario hacer una entrevista a un empleado
del Centro de Cableado que nos facilito la información sobre el sistema y varias
reuniones con el mismo empleado para conocer más a fondo la estructura interna y
los procedimientos que se llevan a cabo en esa oficina.

4. ESTUDIO DE RIESGOS Y CONTROLES

 ADMINPAK
RIESGOS DESCRIPCION
 A nivel software se puede
controlar el acceso no autorizado
al sistema de administración y
consecuentemente a los archivos
de datos del mismo a través de la
validación de usuario-contraseña
que se bloquea después de
ACCESO GENERAL determinados intentos fallidos (3
en este caso), la contraseña se
puede cambiar a consideración
del usuario, los cuales gestionan
la protección de sus archivos
personales y el acceso a su perfil.
 El acceso físico lo realiza el
personal del Centro de Cableado
a la dependencia del solicitante
para dar soporte técnico.
 La documentación de los sucesos
de l sistema registra el
comportamiento de éste en los
periodos de tiempo
ACCESO A FUNCIONES DE programados, esta
PROCESAMIENTO documentación es revisada con
frecuencia por el director de la
oficina para considerar el nivel de
seguridad del sistema que se
complementa con la delegación
CONTROLES
 Contraseñas con una determinada
longitud de caracteres
alfanuméricos y combinación de
estos.
 Bloqueo después de tres (3)
intentos de validación de
contraseña de acceso al sistema.
 Creación y clasificación de perfiles
de usuario y establecimiento de
permisos de acuerdo a las
actividades propias de la función o
cargo administrativo.
 Las ejecución de tareas o procesos
están designadas en todo el
personal, a través de la
individualización se comparten las
tareas, se asignan
responsabilidades y se logra un
mayor control sobre el sistema.
4
 ADMINPAK

de funciones a los empleados de

la oficina del Centro de Cableado.
 Antes de la creación de un
usuario, este debe estar  Comprobación de los datos
relacionado en una lista de suministrados por el usuario y los
empleados activos que obtenidos de la lista cedida por
previamente ha cedido Recursos Recursos Humanos.
Humanos al Centro de Cableado y  Programación y seguimiento a la
si el empleado solicita la creación actividad de creación de usuario,
de un perfil, se le piden unos habilitación/deshabilitación de
datos, que se confrontan con los cuentas y ejecución de backups de
datos de la lista para evitar respaldo.
INGRESO DE DATOS
imprecisiones y suplantaciones.
La creación de la cuenta solo se
produce cuando los datos son
confirmados.
 Al terminar el periodo de
contrato se deshabilitan las
cuentas de usuario de los
contratistas a los cuales este les
expira pero los datos no se
borran inmediatamente pues se
espera el nuevo periodo de
contratación para determinar si
los datos serán mantenidos,
actualizados o desechados
(generalmente en los casos de
contratistas)

5
 ADMINPAK
 Las actividades programadas son
realizadas eficientemente, sin
embargo se realiza una revisión a
ITEMS RECHAZADOS O EN
cargo del director para verificar
SUSPENSO que las tareas se cumplen dentro
de los plazos fijados y en forma
correcta y completa.
 Las respuestas a las peticiones
habitualmente se realizan de
manera eficiente pero la
existencia de un archivo o
formato físico daría mas robustez
a los procesos de creación de
usuarios y programación y
PROCESAMIENTO ejecución de backups, además
serviría como un indicador de los
procesos que se realizan y el
seguimiento de los mismos.
 El departamento esta claramente
estructurado aunque los
procedimientos no siempre se
ejecutan satisfactoriamente de
ESTRUCTURA ORGANIZATIVA DEL acuerdo a las normas de calidad
DEPARTAMENTO DE SISTEMAS (en el caso de soporte técnico). El
 Rutinas de revisión periódica sobre
el sistema y manejo de plazos para
actividades programadas.
 Actualización del registro de
consecutivos para llevar un orden
de las peticiones recibidas, estos
consecutivos llevan una secuencia
en cola de las solicitudes e
impiden que se repita el numero
de una solicitud.
 Los archivos que se guardan se
relacionan con el contenido de los
mismos para dar una noción de lo
que se guarda.
 Los mensajes de confirmación de
envío/recepción quedan a opción
del usuario que puede añadir un
aviso de recepción y/o lectura (en
el caso del correo interno)
 Las ejecución de tareas o procesos
están designadas en todo el
personal, a través de la
individualización se comparten las
tareas, se asignan
responsabilidades y se logra un
6
 ADMINPAK
procesamiento de datos se hace
adecuadamente.
 Los cambios a los programas se
deben ejecutar de acuerdo a la
situación y solo por parte de la
persona que ha sido designada y
CAMBIOS A LOS PROGRAMAS capacitada para realizar esta
función, para ello se documenta y
se comunica las modificaciones.
mayor control sobre el sistema.
 Previo a un cambio realizado por el
administrador o la persona
encargada, se comunica y se
documenta los cambios y posibles
capacitaciones (en caso de ser
necesario)
7
 ADMINPAK

5. PROTECCIÓN DE DATOS

Finalidad
La información que le proporcional al administrador del sistemas referente a los
usuarios es aquella que tiene ver con el cargo a ocupar, para que el administrador
del sistema tenga claro el perfil y que tipo de cuenta crear al nuevo usuario. Entre
los datos que se recolectan de los usuarios encontramos el cargo a ocupar, el tipo
de contrato, la oficina donde se ubica y en caso del usuario requiera un software
especial deben informarlo al administrador del sistema para que le instale las
herramientas necesarias para su trabajo.

Pertinencia
Los datos que obtienen de cada usuario están respectivamente justificados puesto
que estos tienen que ver con los requerimientos necesarios para crear el perfil del
usuario de acuerdo a las tareas de cada uno, es por ello que los datos solicitados del
usuario son pertinentes pues, permiten una mejor administración del directorio.

Utilización abusiva
No hay utilización abusiva de los datos, ya que la información que se obtiene de
cada usuario solo se solicita con el fin de que ayude en la creación del perfil del
usuario y para mantener un control sobre el directorio, y no tiene otra utilidad.

Exactitud
Los datos se actualizan cada 6 meses, en el inicio del semestre; este proceso
consiste en que en cada inicio de cada semestre se obtiene un listado del personal
que todavía esta activo en la institución a los cuales se les van a conservar sus
cuentas, dicho listado contienen información actualizada de cada usuario y
aquellos que no estén en el listado se dan de baja del sistema.

8
 ADMINPAK

Derecho al olvido
Cuando un usuario es desvinculado de la institución durante el desarrollo del
semestre académico; el administrador del sistema recibe la notificación donde se le
informa el tratamiento que se le debe dar al proceso de dar de baja al usuario del
sistema. Si el usuario estaba vinculado de la institución y al iniciar el semestre este
no es nuevamente vinculado el administrador los da de baja del sistema.

Consentimiento
En el Sistema de Administración del Directorio Activo de la Universidad Del
Magdalena los usuarios autorizan para que se les creen las cuentas de usuarios, con
correo interno para que se utilice en el envío/recepción de información de carácter
institucional. El usuario está enterado del tratamiento que se les da a los datos
recolectados

Protección especial
El sistema de administración del directorio activo de la universidad del magdalena
no cuenta con protección especial, los datos recolectados son protegidos de igual
forma para todos los usuarios. Se proporcionan perfiles a los usuarios teniendo en
cuenta la dependencia a la cual están vinculados laboralmente asignando privilegios
o permisos según sus tareas o actividades a realizar en el sistema..

Seguridad
El sistema establece controles de seguridad a nivel de hardware, software y a nivel
organizativo. Los controles de seguridad

 A nivel de software se realizan para que los usuarios no instalen programas no

permitidos y para que haya un nivel de privacidad en la información de cada
usuario para que personas ajenas al sistema no se apropien de los mismos. A los

9
 ADMINPAK

administradores del sistema se les proporcionan claves de acceso para que no

se puedan extraer datos de los usuarios.
 A nivel de hardware se les garantizan medidas de seguridad con contraseñas
administrativas para prevenir que personas mal intencionadas accedan al
sistema. Se le proporcionan seguros para restringir el acceso al hardware
interno, seguros en el chasis. También se restringe el acceso a personal no
autorizado a las instalaciones del sistema.
Seguridad a nivel organizativo se establecen Documentos de Seguridad de las
funciones y obligaciones de grupos de usuarios y/o perfiles, Listado de personal con
privilegios administrativos informáticos sobre aplicaciones y ficheros. No todas las
personas que laboran en el sistema tienen los mismos beneficios en el acceso y
manipulación de la información.

Acceso individual
Los usuarios del sistema de Administración del Directorio Activo de la Universidad
Del Magdalena no cuentan con copias de los datos tratados en este sistema.
Desconocen si los datos son inexactos, no son constantes las actualizaciones de los
datos y es muy frecuente encontrarse con datos inexactos. Se hacen recolecciones
y actualizaciones de datos en periodos de tiempo no muy cortos.

Publicidad
Actualmente el sistema no cuenta con un diseño de los archivos de datos públicos y
privados, los diseños de estos archivos de datos no son publicados a los usuarios,
estos son privados. No existen información publicada referente al manejo y diseño
de los archivos de datos.

10
 ADMINPAK

CONCLUSIONES

La auditoria se ha convertido en una herramienta de evaluación del funcionamiento de

las empresas, en ella se emplean técnicas de recolección de datos y análisis de los
procesos internos y externos. En lo que nos compete, la auditoria informática intenta
propender por la operatividad de los sistemas.

La operatividad es una función de mínimo consistente en que la organización y las

maquinas funcionan, siquiera mínimamente. No es admisible detener la maquinaria
informática para descubrir sus fallos y comenzar de nuevo. La auditoria debe iniciar su
actividad cuando los Sistemas están operativos, lo cual constituye el principal objetivo a
mantener. Tal objetivo debe conseguirse tanto a nivel global como parcial.

Es por ello, por lo que la operatividad de los Sistemas ha de constituir entonces la

principal preocupación del auditor informático. Para conseguirla hay que acudir a la
realización de controles técnicos, generales de operatividad y control técnicos
específicos de operatividad.

RESUMEN DE INCIDENCIAS ENCONTRADAS

ACCESO GENERAL

 El no uso de un carnet de identificación supone un riesgo de acceso físico a

archivos de datos y a programas que pueden ser copiados, modificados o
eliminados.

11
 ADMINPAK

PROCESAMIENTO

 La existencia de un archivo físico daría mas soporte en la creación de usuario y

en general a las peticiones que se reciben.

ESTRUCTURA ORGANIZATIVA DEL DEPARTAMENTO DE SISTEMAS

 Se requiere hacer un seguimiento de las peticiones atendidas para confirmar la

satisfacción de los usuarios y cumplir así con las normas de calidad referentes a
la atención del usuario.

RECOMENDACIONES

ACCESO GENERAL
Incidencia.: El no uso de un carnet de identificación supone un riesgo de acceso físico a
archivos de datos y a programas que pueden ser copiados, modificados o eliminados.
Recomendación.: Renovación de los carnets de identificación interna, los cuales deben
estar en un lugar visible y corresponder al apoderado para garantizar que el acceso
físico a los equipos computacionales y al sistema se haga de manera segura y evitar
suplantaciones que pongan en riesgo la seguridad de los archivos de datos y los
programas.
Los usuarios que requieran un servicio deben exigir la portabilidad del carnet a los
empleados que a su necesitan pedirlo y tenerlo en su poder cuando se solicite sus
servicios. El personal encargado de seguridad física a su vez es responsable de dotar a
los empleados de carnets y exigir su uso, además de renovarlo cuando sea necesario.

12
 ADMINPAK

PROCESAMIENTO
Incidencia.: La existencia de un archivo físico daría mas soporte en la creación de
usuario y en general a las peticiones que se reciben.
Recomendación.: Con la existencia de un archivo físico que relacione la creación y las
peticiones realizadas por los usuarios se da un soporte con mayor credibilidad y a su
vez sirve de referente histórico y base de consulta bibliográfica cuando se requiera. Es
muy común ver carpetas denominadas A-Z en los que se pueden archivar los formatos
de acciones ejecutadas y pueden ser marcados de acuerdo al tipo de formatos que
guardan, por ejemplo: Solicitudes de acceso.

ESTRUCTURA ORGANIZATIVA DEL DEPARTAMENTO DE SISTEMAS

Incidencia.: Se requiere hacer un seguimiento de las peticiones atendidas para

confirmar la satisfacción de los usuarios y cumplir así con las normas de calidad
referentes a la atención del usuario.
Recomendación.: Las recientes normas técnicas sugieren un estándar sobre la atención
al usuario, a partir de allí y si se quiere promover el cumplimiento de normas y
estándares de calidad internacionales, es necesario brindar un soporte técnico de
garantías que haga seguimiento de principio a fin que ratifique el correcto
funcionamiento del sistema.

13