1

UNIVERSIDAD NACIONAL DEL CALLAO

FACULTAD DE INGENIERIA INDUSTRIAL Y DE SISTEMAS
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS



AUDITORIA DE SISTEMAS
01S / X CICLO



EMPRESA: COSAPI DATA S.A.

AUDITORIA AL REA DE SEGURIDAD INFORMTICA



HUMBERTO ARBOLEDA VSQUEZ
JOSE VENTURA AYALA














Callao, 2014


2


AUDITORIA DE SISTEMAS

INDICE




1. INTRODUCCIN .................................................................................................................................. 3
2. ASPECTOS GENERALES .................................................................................................................. 3
2.1. ESTRUCTURA ORGANIZACIONAL ............................................................................................. 4
2.2. MATRIZ DE RIESGOS ..................................................................................................................... 5
2.3. PROGRAMA DE AUDITORIA. ........................................................................................................ 5
3. INFORME FINAL .................................................................................................................................. 7
3.1. INFORME RELATIVO AL EXAMEN .............................................................................................. 7
3.1.1. MOTIVO DEL EXAMEN ................................................................................................................ 7
3.1.2. NATURALEZA Y OBJETIVOS .................................................................................................... 7
NATURALEZA ........................................................................................................................................... 7
OBJETIVOS ............................................................................................................................................... 7
Objetivo General ........................................................................................................................................ 7
Objetivos Especficos ................................................................................................................................ 8
3.1.3. ALCANCE ....................................................................................................................................... 9
3.1.4. COMUNICACIN DE OBSERVACIONES ................................................................................. 9
3.2. INFORME RELATIVO A LA ENTIDAD EXAMINADA ................................................................ 9
Seguridad fsica ............................................................................................................................................ 9
Seguridad lgica ......................................................................................................................................... 10
Operacin ................................................................................................................................................... 10
3.2.1. ANTECEDENTES Y BASE LEGAL ........................................................................................... 11
ANTECEDENTES ................................................................................................................................... 11
BASE LEGAL .......................................................................................................................................... 11
3.2.2. RELACIN DE LAS PERSONAS COMPRENDIDAS EN LAS OBSERVACIONES ........ 11
Plan de contingencia ................................................................................................................................... 11
3.3. OBSERVACIONES RESUMIDAS ................................................................................................ 12




















3



1. INTRODUCCIN

De acuerdo a lo relevado en el transcurso de nuestro trabajo, la empresa Cosapi Data
S.A. nos ha trasmitido su preocupacin por lograr la optimizacin de la efectividad y
eficiencia de su funcin de seguridad informtica, apuntando al logro de sus objetivos
institucionales.

Nuestra intencin es plantear las medidas requeridas por la funcin de seguridad
informtica, basndonos en los hallazgos surgidos de la ejecucin de nuestro
programa de trabajo detallado. De este modo, la empresa Cosapi Data S.A. obtendr
una visin clara de su problemtica general, comprendiendo las relaciones causa-
efecto existente entre los hallazgos obtenidos. Estas relaciones a las que nos
referimos, difciles de identificar sin un estudio profundo del entorno general en el que
se opera, son parte importante del valor agregado adicional que obtendr la empresa
Cosapi Data S.A. de nuestro trabajo.

2. ASPECTOS GENERALES

El manejo de la informacin es importante en toda empresa es por eso que a manera
de trabajo de campo ofrecemos a la empresa Cosapi Data S.A. realizar una auditora.

Cosapi Data S.A. proporciona un servicio integral en el desarrollo de tecnologas de
informacin, con asesora, soporte tcnico, suministro de equipos, instalacin,
mantenimiento y garanta local, afrontando la demanda de continuos cambios
tecnolgicos mediante una respuesta gil y fiable para la satisfaccin y superacin de
las expectativas de sus clientes.

Para lograr esto, se cuenta con un equipo de personas competentes que tiene
conocimiento y experiencia en desarrollo de Tecnologas de Informacin. Todos los
integrantes de nuestra organizacin conocen sus responsabilidades y estn
comprometidos en lograr el xito de la empresa reflejado en la excelente calidad de
cada uno de nuestros proyectos realizados.



Informacin del negocio
Empresa Cosapi Data S.A.
Localidad Lima - Per
Ubicado Av. Coronel Andrs Reyes #420 San Isidro
Telfono 215-4530
Web http://www.cosapidata.com.pe/








4


2.1. ESTRUCTURA ORGANIZACIONAL

2.2. MATRIZ DE RIESGOS

Empresa: Cosapi Data S.A.
Fecha de Elaboracin: 28/09/2012
Gerencia: Ing. Emilio Fernndez de Crdova
Gerente de Informtica: Ing. William Dyer
N Procesos crticos Informacin de los procesos
crticos
% de sub-
procesos
Porcentaje de
proceso
01 Gestin informtica. 1.1. Plan Operativo informtico
1.2. Plan de Contingencia.
1.3. Polticas y directivas.
40%
35%
35%
100%
02 Gestin del
funcionamiento de los
aplicativos.
2.1. Polticas y procedimientos
relativos al uso y proteccin del
software existente.
2.2. Manuales de usuario para los
aplicativos.
2.3. Desarrollo de procedimientos de
acceso a los aplicativos.

35%
35%
30%
100%
03 Gestin de Base de
Datos
3.1. Polticas de deteccin de errores
3.2. Polticas de Backup y de
recuperacin.
3.3. Controles programados para
evitar el acceso no autorizado a la BD.
3.3. Controles de seguridad fsica
para proteger la BD

25%
25%

25%
25%
100%
5


04


Gestin del rea de
mantenimiento y
soporte.
4.1. Polticas y procedimientos
relativos al uso y proteccin de la
organizacin
4.2 Ubicacin fsica de los equipos de
cmputo.
4.3. Personal de mantenimiento y
seguridad encargado de la
salvaguarda de los equipos de
cmputo.
40%

30%

30%
100%

2.3. PROGRAMA DE AUDITORIA.

El programa de auditora que contiene los procedimientos a ser aplicados se
encuentran detallados en los siguientes Objetivos Generales a continuacin.

N Objetivos Generales Objetivos Especficos Horas
01 Evaluar la gestin de las
normas y procedimientos
para la administracin de
contingencias.
Verificar los procedimientos detallados
para la recuperacin de las operaciones
crticas de la organizacin.
Verificar la descripcin de
responsabilidades, composicin de
equipos de trabajo y tareas de
recuperacin.
Verificar los procedimientos aplicados
para el mantenimiento, pruebas y
distribucin del plan de contingencias.
Verificar la aplicacin de
procedimientos para la proteccin de
bienes tecnolgicos en el rea de
sistemas.
Verificar la existencia de acuerdos y
plizas de seguros que tengan por
objetivo la proteccin de los bienes
tecnolgicos.

4 h.

4 h.

4 h.


2 h.

2h
6


02 Evaluar la gestin de los
mecanismos y
procedimientos utilizados
para la administracin de
cuentas de usuario.
Verificar el establecimiento de polticas
y normas para realizar la administracin
de contraseas.
Evaluar los procedimientos de alta, baja
y modificacin de usuarios.
Evaluar la administracin de claves de
acceso para los usuarios privilegiados.
Evaluar, para los usuarios del rea de
sistemas, si los mismos tienen acceso a
datos en lnea.

4 h.

2 h.
2h.
2h.

03 Evaluar el cumplimiento de
las normas y
procedimientos tanto para
la clasificacin de datos
como para la emisin de
reportes y actividades de
seguridad.
Revisar las normas y procedimientos
empleados para la clasificacin de
datos.
Revisar las normas y procedimientos
para la emisin de reportes de violacin
y actividades de seguridad.
Revisar las normas y procedimientos
aplicados para la prevencin, deteccin
y correccin de software malicioso.
Revisar la estructura de seguridad en
los canales de telecomunicacin
(firewall).
Revisar los mecanismos de control de
acceso fsico a los dispositivos de
comunicacin.
Evaluar la estructura de seguridad del
sistema operativo.
Evaluar la estructura de seguridad del
acceso a la red.
4h.

4h.

2h.

4h.
2h.

6h.
4h.
04 Evaluar la gestin de
acuerdos polticas y
procedimientos que tengan
como objetivo la proteccin
de los bienes tecnolgicos.

Verificar la existencia de acuerdos y
plizas de seguros que tengan por
objetivo la proteccin de los bienes
tecnolgico.
Verificar la aplicacin de
procedimientos para la proteccin de
bienes tecnolgicos en el rea de
sistemas.
2h.

2h.


3h.
7


Verificar la aplicacin de
procedimientos para el ingreso y salida
del hardware.
05 Evaluar la gestin de los
procedimientos existentes
para el almacenamiento,
respaldo y destruccin de
informacin sensible
(Backups y otros).
Verificar que la transferencia de
informacin sensible se realice a travs
de mecanismos que permitan la
proteccin de los datos (encriptacin
de datos).
Evaluar los procedimientos existentes
para la destruccin de medios que
contengan informacin sensible.
Revisar las normas y procedimientos
para autentificar los datos, verificar la
integridad de las transacciones
electrnicas y la integridad de los datos
almacenados.
6h.


6h.

6h.

3. INFORME FINAL

3.1. INFORME RELATIVO AL EXAMEN

3.1.1. MOTIVO DEL EXAMEN

Este examen fue propuesto a la empresa, con el fin de llevar a la prctica los
conocimientos adquiridos en el aula y con el motivo de hacerle notar que no cuenta
con la seguridad debida de su informacin adems de no contar con una buena
administracin en su base de datos, a fin de evaluar la operatividad, seguridad,
fiabilidad y calidad del sistema, la cual podr asegurar el aumento de la eficiencia y
reduccin de costos en las operaciones que se puedan realizar, as como verificar el
cumplimiento de los objetivos y normas planteadas por la empresa, y de esta manera
mejorar su desempeo total.

3.1.2. NATURALEZA Y OBJETIVOS

NATURALEZA

La auditora realizada es una Auditora Externa y es una auditoria al rea de Seguridad
Informtica.

OBJETIVOS

Objetivo General
Evaluar la gestin de las normas y procedimientos para la administracin de
contingencias.
8


Evaluar la gestin de los mecanismos y procedimientos utilizados para la
administracin de cuentas de usuario.
Evaluar el cumplimiento de las normas y procedimientos tanto para la clasificacin
de datos como para la emisin de reportes y actividades de seguridad.
Evaluar la gestin de los procedimientos existentes para el almacenamiento,
respaldo y destruccin de informacin sensible (Backups y otros).

Objetivos Especficos
Verificar los procedimientos detallados para la recuperacin de las operaciones
crticas de la organizacin.
Verificar la descripcin de responsabilidades, composicin de equipos de trabajo y
tareas de recuperacin.
Verificar los procedimientos aplicados para el mantenimiento, pruebas y distribucin
del plan de contingencias.
Verificar la aplicacin de procedimientos para la proteccin de bienes tecnolgicos
en el rea de sistemas.
Verificar la existencia de acuerdos y plizas de seguros que tengan por objetivo la
proteccin de los bienes tecnolgicos.
Verificar el establecimiento de polticas y normas para realizar la administracin de
contraseas.
Evaluar los procedimientos de alta, baja y modificacin de usuarios.
Evaluar la administracin de claves de acceso para los usuarios privilegiados.
Evaluar, para los usuarios del rea de sistemas, si los mismos tienen acceso a
datos en lnea.
Revisar las normas y procedimientos empleados para la clasificacin de datos.
Revisar las normas y procedimientos para la emisin de reportes de violacin y
actividades de seguridad.
Revisar las normas y procedimientos aplicados para la prevencin, deteccin y
correccin de software malicioso.
Revisar la estructura de seguridad en los canales de telecomunicacin (firewall).
Revisar los mecanismos de control de acceso fsico a los dispositivos de
comunicacin.
Evaluar la estructura de seguridad del sistema operativo.
Evaluar la estructura de seguridad del acceso a la red.
Verificar la existencia de acuerdos y plizas de seguros que tengan por objetivo la
proteccin de los bienes tecnolgico.
Verificar la aplicacin de procedimientos para la proteccin de bienes tecnolgicos
en el rea de sistemas.
Verificar la aplicacin de procedimientos para el ingreso y salida del hardware.
Verificar que la transferencia de informacin sensible se realice a travs de
mecanismos que permitan la proteccin de los datos (encriptacin de datos).
Evaluar los procedimientos existentes para la destruccin de medios que
contengan informacin sensible.
Revisar las normas y procedimientos para autentificar los datos, verificar la
integridad de las transacciones electrnicas y la integridad de los datos
almacenados.
9



3.1.3. ALCANCE

La auditora de Sistemas realizada comprende una evaluacin del rea de Seguridad
informtica, centrndose en los aspectos de software, documentacin, datos y de
administracin de bases de datos; supervisado y evaluado a las personas involucradas
en el rea. Esta auditora ser realizada en sede principal de Cosapi Data S.A.
ubicada en Av. Coronel Andrs Reyes #420 San Isidro, donde se realizar una
auditora de clase de Tecnologas de la Informacin y de tipo Externa, la cual se
llevar a cabo en un periodo de 30 das hbiles habindose iniciado el 12 de Mayo del
2014 y culminara en el mes de Julio del 2014.

3.1.4. COMUNICACIN DE OBSERVACIONES

Para la presentacin de las observaciones y recomendaciones hechas en esta
auditora se espera terminar el informe final, el cual ser presentado a la Gerencia
General.

3.2. INFORME RELATIVO A LA ENTIDAD EXAMINADA
Gerente General
Cosapi Data S.A.
Lima, 20 de Mayo del 2014
Seores:
Hemos examinado el rea de Seguridad Informtica de la empresa Cosapi Data
S.A. examen realizado desde del 12 de Mayo del 2014 hasta el 19 de Mayo del 2014.
De conformidad con las normas de la auditora generalmente aceptas, polticas
informticas y basado en mtodos tcnicas y herramientas de auditora se ha
determinado que la empresa no cumple con las directivas ni con gran parte de las
normativas que corresponden al rea evaluada en los siguientes aspectos.


Seguridad fsica

De acuerdo al trabajo realizado, hemos visto que la sala del computador no cuenta con
los siguientes dispositivos o medidas de proteccin: detectores de humo, alarma
contra incendios dentro del rea, alarma contra intrusos internas. Asimismo,
estimamos conveniente mejorar las medidas de proteccin fsica, sellando las
ventanas y sustituyendo las divisiones de vidrio por paredes.
Estas medidas deberan ser extendidas en la medida de lo aplicable al resto de las
reas de sistemas, donde tambin residen equipamiento, documentacin e
informacin.
Asimismo, hemos observado que:
- Existen ocasiones en que las puertas de acceso al ambiente de sistemas permanecen
abiertas,
- Personal ajeno a sistemas accede a la sala del computador sin la real necesidad.
- No se poseen armarios ignfugos para el almacenamiento de las cintas de respaldo.

Por otro lado, es importante mencionar que las actuales instalaciones fsicas de la USI
no han sido diseadas especficamente para tal fin, lo cual no contribuye a la solucin
de los aspectos antes mencionados.

10


Estos aspectos inciden directamente en la disponibilidad y confidencialidad de la
informacin.

Seguridad lgica

Existen varios aspectos a mejorar en cuanto a la seguridad lgica:
La funcin de administracin de seguridad no est formalmente asignada y segregada
de funciones incompatibles.
No se cuenta con polticas, normas y procedimientos formalmente establecidos.
Los mecanismos de administracin de usuarios y contraseas no cumple con las
mejores prcticas ni con las normas internas. Por ejemplo:
otorgamiento de autorizaciones de acceso basado en la premisa necesidad de
conocer, necesidad de hacer,
autorizaciones formales para alta o modificacin de usuarios,
reglas para la construccin de claves (longitud mnima, caducidad, reglas de
construccin, etc.)
No se cuenta con mecanismos de control y supervisin de las actividades de
seguridad.
No se cuenta con una clasificacin de la informacin en cuanto a su criticidad y por lo
tanto tampoco con medidas de proteccin asociadas a cada categora definida.

Operacin

De acuerdo al trabajo realizado, hemos notado los siguientes aspectos:
- No se cuenta con procedimientos formales de control de los trabajos de operacin
(revisin de bitcoras, logs), ni se deja evidencia de las revisiones.
- No existen cronogramas de operacin formalmente documentados.
- No existen normas para la ejecucin de tareas de mantenimiento y limpieza de los
discos de los sistemas.
- Existen deficiencias en la administracin de copias de respaldo (backups)

Queremos mencionar que las tareas de operacin relacionadas con el procesamiento
de datos no tienen un alto grado de complejidad, por lo que la implantacin de estos
aspectos no debera ser costosa.

Plan de contingencia

Cosapi Data S.A. no cuenta con plan de contingencias del negocio, slo se cuenta
con un plan de recuperacin operativo de sistemas.
Asimismo, tampoco se han definido los procedimientos formales para la capacitacin
del personal de sistemas en los procedimientos definidos en el plan de contingencias.

El presente informe se inici el 12 de Mayo del 2014 y se entrega el 20 de Mayo del
2014.
Firma e identificacin del auditor.


Humberto Arboleda Vsquez
11


3.2.1. ANTECEDENTES Y BASE LEGAL

ANTECEDENTES

Cosapi Data S.A. es una empresa especializada en el campo de Desarrollo
Tecnologas de Informacin y ofrecen a sus clientes un servicio integral con: asesora,
soporte tcnico, suministro de equipos, instalacin, mantenimiento y garanta local.

Cosapi Data S.A. cuyo tiempo de vigencia es mayor a los 5 aos, ha logrado hasta
ahora cumplir con los objetivos establecidos, siendo en la actualidad una de las
empresas que brinda soluciones a la Gestin para el Desarrollo de Sistemas de
Informacin, comprometidos a brindarles servicios de calidad y confiabilidad, que
combine el apropiado uso de las tecnologas de Informacin y las comunicaciones,
contribuyendo as a incrementar la competitividad de sus procesos de negocio.

BASE LEGAL

Cosapi Data S.A. Segn el Decreto Ley N 26887: Sociedad Annima.

3.2.2. RELACIN DE LAS PERSONAS COMPRENDIDAS EN LAS
OBSERVACIONES

A continuacin se muestra una lista de las personas comprendidas en estas
observaciones.



Identificador Nombre del Usuario Cargo
Pcajahua Phillip Cajahuanca Analista de Sistemas
Gargomedo Gustavo Argomedo Analista de Sistemas
Balarcon Bruno Alarcon Arrieta Analista de Sistemas
Dflores Dante Flores Administrador de Base de
Datos(DBA)
Dperedo Danitza Peredo Desarrollador Web
Fmunoz Federico Munoz Desarrollador Web
Gsanchez German Sanchez Analista de Sistemas
Halcocer Hilda Alccer Desarrollador Web
mzamora Mabel Zamora Cuenca Desarrollador Web
Tarbole Arboleda Vsqeuz Desarrollador Web









12


3.3. OBSERVACIONES RESUMIDAS

Observacin N 1
Al realizar una Auditoria al rea de Seguridad Informtica de la empresa Cosapi Data
S.A., se dio nfasis a verificar si contaban con los mecanismos y procedimientos
relativos al uso y proteccin de las cuentas de los usuarios debido a que se mostr
que cumplan con algunas normas pero no respetaban la privacidad y seguridad de los
usuarios.


Observacin N 2
Al realizar una Auditoria al rea de Seguridad Informtica de la empresa Cosapi Data
S.A., se dio nfasis a verificar si cumplan con las normas de seguridad lgica de los
sistemas de informacin.


Observacin N 3
Al realizar una Auditoria al rea de Seguridad Informtica de la empresa Cosapi Data
S.A., se verifico que no cumplan con el uso de de manuales o formularios especficos
para los usuarios tanto para el acceso a red como para realizar solicitudes.


Observacin N 4
Al realizar una Auditoria al rea de Seguridad Informtica de la empresa Cosapi Data
S.A., se verifico que no cumplan con las normas y procedimientos para la clasificacin
de datos.


Observacin N 5
Al realizar una Auditoria al rea de Seguridad Informtica de la empresa Cosapi Data
S.A., se dio en nfasis en la verificacin del manejo de incidentes, el cual mostro que
la empresa no tena aun definidas las normas y los procedimientos para estos.


Observacin N 6
Al realizar una Auditoria al rea de Seguridad Informtica de la empresa Cosapi Data
S.A., se pudo verificar que la empresa no contaba con una poltica para el uso de
Internet por parte de los usuarios, dejando esto vulnerables a los equipos de la
empresa.




Observacin N 7
Al realizar una Auditoria al rea de Seguridad Informtica de la empresa Cosapi Data
S.A., se pudo verificar que la empresa era vulnerable en lo referente a su seguridad
fsica, debido tanto a la ubicacin de los equipos como tambin a la estructura de las
reas de trabajo.

Observacin N 8
Al realizar una Auditoria al rea de Seguridad Informtica de la empresa Cosapi Data
S.A., se pudo verificar que la empresa no cumpla con las normas ni llevaba a cabo
las buenas prcticas para la administracin y manejo de backups.