Auditoria Ctic
-
Upload
frank-anthony-nieto-collado -
Category
Documents
-
view
244 -
download
0
description
Transcript of Auditoria Ctic
UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA
FACULTAD DE INGENIERÍA EN INFORMÁTICA Y SISTEMAS
TRABAJO FINAL
AUDITORIA INFORMATICA A LA SALA DE SERVIDORES DEL CENTRO DE TECNOLOGIA DE LA INFORMACION Y COMUNICACIÓN DE LA UNIVERSIDAD
NACIONAL AGRARIA DE LA SELVA
Presentado por: HUAROC CARRION, CARLOS LEOPOLDO NIETO COLLADO FRANK ANTHONY
Docente: ING. GARDYN OLIVERA RUIZ
TINGO MARÍA - DICIEMBRE – 2014
1
2
Contenido1. PLAN DE AUDITORIA..........................................................................................5
1.1. OBJETIVO DEL EXAMEN............................................................................................5
1.2. ALCANCE.......................................................................................................................5
1.3. DESCRIPCIÓN DE LA ENTIDAD................................................................................6
1.4. NORMATIVA APLICABLE...........................................................................................7
1.5. INFORMES A EMITIR...................................................................................................8
1.6. PRESUPUESTO DEL TIEMPO....................................................................................8
1.7. PARTICIPACIÓN DE ESPECIALISTAS...................................................................10
1.8. METODOLOGÍA...........................................................................................................10
1.8.1. EL PROCESO DE LA AUDITORÍA DE SISTEMAS.......................................10
1.9. INSTRUMENTO Y/O HERRAMIENTAS DE RECOLECCIÓN DE INFORMACIÓN DE LA AUDITORIA....................................................................................11
1.10. MODALIDAD DE SUPERVISIÓN..........................................................................11
2. EJECUCION DE AUDITORIA............................................................................13
3. INFORME DE LA AUDITORIA...................................................................................15
3.1. ORIGEN DEL EXAMEN..............................................................................................15
3.2. NATURALEZA Y OBJETIVOS DEL EXAMEN........................................................15
3.2.1. NATURALEZA DEL EXAMEN...........................................................................15
3.2.2. OBJETIVOS DEL EXAMEN...............................................................................15
3.3. ALCANCE DEL EXAMEN...........................................................................................16
3.4. ANTECEDENTES DE LA ENTIDAD.........................................................................17
3.4.1. ANTECEDENTES.................................................................................................17
3.5. COMUNICACIÓN DE HALLAZGOS.........................................................................17
3.6. OBSERVACIONES......................................................................................................18
3.6.1. OBSERVACION 01..............................................................................................18
3.6.2. OBSERVACION 02:.............................................................................................21
CONCLUSIONES.......................................................................................................25
BIBLIOGRAFIA..........................................................................................................26
ANEXOS.....................................................................................................................28
3
CAPITULO I
PLAN DE AUDITORIA
INFORMATICA
4
1. PLAN DE AUDITORIA
Según la NAGU 2.30 se procederá a realizar el plan de auditoria informática a
la infraestructura de red corporativa de la Unidad de la Universidad Nacional
Agraria de la Selva, la cual incluye objetivos, alcance de la muestra,
procedimientos detallados y oportunidades de su aplicación, así como el
personal encargado para el desarrollo de la auditoria.
1.1.OBJETIVO DEL EXAMEN
OBJETIVO GENERAL
Auditar la Sala de Servidores del Centro de Tecnologías de la Información
y Comunicación, en función a las Normas de Auditoría Gubernamental
(NAGU) y las normas regidas por la Telecomunication Industry Association
(TIA).
OBJETIVOS ESPECIFICOS
Evaluar, verificar y recolectar la información necesaria del estado en que
se encuentra la Sala de Servidores del Centro de Tecnologías de la
información y Comunicación en comparación con las normas y
estándares internacionales vigentes relacionada al tema de estudio.
Recolectar mejoras o soluciones tentativas al momento de realizar las
observaciones y sugerencias de los hallazgos encontrados, a través de
la presentación del informe. Examen especial.
1.2.ALCANCE
El alcance del presente examen especial comprenderá la evaluación física
de la Sala de Servidores del Centro de Tecnologías de la Información y
Comunicación correspondiente al Área de Gestión de la Infraestructura de
la Red Corporativa en el periodo comprendido entre el 04-NOV-2014 hasta
el 15-DIC-2014.
El examen se realizará en concordancias a las NAGUS aprobadas
mediante la resolución de la contraloría Nº 162-95-CG y sus
modificaciones, cabe mencionar el origen del examen, el cual será del tipo
de examen especial. Del mismo modo al carecer de una aprobación
5
refrendada por la NAGU 2.30, ni aprobada en el plan operativo del Centro
de Tecnologías de Información y Comunicación, se hace de manifiesto el
carácter estrictamente académico en concordancia al requisito para la
aprobación del curso de Auditoría de Sistemas del semestre 2014 – II,
Facultad de Informática y Sistemas de la Universidad Nacional Agraria de
la Selva.
El examen involucra al Centro de Tecnologías de la Información y
Comunicación de la Universidad nacional Agraria de la Selva, por ser esta,
la encargada del Área de Gestión de la Infraestructura de Red Corporativa.
1.3.DESCRIPCIÓN DE LA ENTIDAD
ÁREA DE GESTIÓN DE LA INFRAESTRUCTURA DE LA RED
CORPORATIVA
El Área de Gestión de la Infraestructura de la Red Corporativa, pertenece
al Centro De Tecnología de la Información y Comunicación (CTIC), esta
área es la encargada de garantizar la comunicación en la Universidad
Nacional Agraria de la Selva y el exterior.
Las funciones generales del Área de Gestión de la Infraestructura de la
Red Corporativa son las siguientes:
Investigar, implementar y configurar nuevos servicios de red.
Agregar y configurar nuevas estaciones de trabajo.
Establecer cuentas de usuarios.
Capacitar a los usuarios que necesiten usar los servicios de red
brindados.
Administrar el espacio de direccionamiento lógico con mecanismos
que optimicen el tráfico de la red (VLANs, VLSM, etc.).
ESTRUCTURA ORGÁNICA
6
DIRECCION
Jefatura del Centro de Tecnologías de la Información y
Comunicación.
AREAS
Área de gestión de la infraestructura de la red corporativa.
Área de gestión de servicios de TI.
Área de gestión de soluciones corporativas.
Área de gestión de seguridad y proyectos de TI.
ESTRUCTURA ORGÁNICA DE LA UNIDAD DE SISTEMAS
Figura 1.1 - Organigrama del Centro de Tecnología de la Información y ComunicaciónFuente: Organigrama Piloto bajo la resolución N° 077-2012-R-UNAS
1.4.NORMATIVA APLICABLE
Las normas a seguir:
Plan Estratégico de Tecnología de la Información
Manual de Organización y Función (MOF) de la Universidad
Nacional Agraria de la Selva.
RC N° 162-95 CGD de 22-SET-1995. Aprueba las Normas de
Auditoría Gubernamental (NAGU). Publicada el 26-SET-995, Con
sus posteriores modificaciones hasta la actualidad.
Reglamento de Organización y Función (ROF) de la Universidad
Nacional Agraria de la Selva.
7
Norma Nacional Americana TIA-942, Infraestructura de
telecomunicaciones de los Centros de Datos y Salas de
ordenadores.
LA NORMA TECNICA PERUANA "NTP-ISO/IEC 27001:2008 EDI.
1.5. INFORMES A EMITIR
Informe de Auditoría Informática a emitir será de carácter: Examen
Especial.
1.6.PRESUPUESTO DEL TIEMPO
A continuación se plantea una lista general de actividades que justifican
nuestro estudio que se divide en 4 fases:
8
CRONOGRAMA DE ACTIVIDADES DEL PLAN DE AUDITORÍA AL CENTRO DE TECNOLOGIA DE LA INFORMACION Y
COMUNICACIÓN DE LA UNAS-TINGO MARIA
9
1.7.PARTICIPACIÓN DE ESPECIALISTAS
El equipo que presentara e presente examen especial son:
NOMBRE ESPECIALIDAD
Frank Anthony, NIETO COLLADO
Estudiante de Informática y Sistemas con certificaciones en:
Microsoft Windows Server. Microsoft Hyper-V Básico.
Carlos Leopoldo, HUAROC CARRIÓN
Estudiante de Informática y Sistemas con certificaciones en:
1.8.METODOLOGÍA
1.8.1. EL PROCESO DE LA AUDITORÍA DE SISTEMAS
a. PLANEAMIENTO: Comprende dos etapas
a.1. Revisión General
Conocimiento inicial de la entidad por examinar.
Análisis preliminar en la entidad
Formulación del plan de revisión estratégica
a.2. Revisión Estratégica
Ejecución del plan
Aplicación de pruebas preliminares
Identificación de los criterios de auditoría.
Formulación del reporte de revisión estratégica
a.3. Elaboración del Plan de auditoría.
b. EJECUCIÓN:
1. Elaboración de los programas de auditoría, la recopilación de
documentos, realización de pruebas y análisis de evidencias para
asegurar su suficiencia y competencia, para acumular bases
suficientes para la formulación de observaciones, conclusiones y
recomendaciones debidamente sustentadas.
10
2. Se aplica procedimientos y técnicas de auditoría, pruebas de
evaluación de controles, identificación de hallazgo (condición y
criterio).
c. INFORME:
1. Formaliza sus observaciones en el informe de auditoría.
2. Producto final; deberá detallar los elementos de la observación
(condición, criterio, causa y efecto), comentarios de la entidad,
evaluación final de tales comentarios, conclusiones y
recomendaciones.
3. Debe tener requisitos de calidad y confiabilidad.
4. Aprobado y remitido a la entidad auditada. (Forma y modo
establecido por la Contraloría).
1.9. INSTRUMENTO Y/O HERRAMIENTAS DE RECOLECCIÓN DE
INFORMACIÓN DE LA AUDITORIA.
Cámara Digital.
Entrevistas.
Observación de Campo.
Formato de Validación de Criterios.
1.10. MODALIDAD DE SUPERVISIÓN
El presente plan termina con la supervisión que se consigna con una
evaluación y seguimiento de las implementaciones de las
recomendaciones emitidas en el informe final de la Ejecución del plan de
Auditoria.
La evolución y seguimiento se realizara en base a una matriz de
seguimiento de cada recomendación que se obtendrán de la observación
encontrada. Ver anexo 1.
11
12
CAPITULO II
EJECUCION DE LA AUDITORIA
2. EJECUCION DE AUDITORIA
Como parte del realización de la Auditoria informática a la Sala de Servidores
del Centro de Tecnologías de la Información y Comunicación de la Universidad
Nacional Agraria de la Selva, en esta fase se realizara la aplicación de
pruebas y obtención de evidencias de auditoría, el cual nos permite la
elaboración de Hallazgos de Auditoria, Observaciones, conclusiones y
recomendaciones.
Para la aplicación de pruebas y obtención de evidencias de auditoría se utilizó
Cámara Digital, Entrevistas, Observación de Campo, Formato de Validación
de Criterios (Ver anexo 1).
Las evidencias se obtuvieron directamente de la interacción con el personal
encargado de la Unidad de sistemas a través de entrevistas, como también del
análisis de la seguridad de acceso a la sala de servidores del CTIC-UNAS y la
adecuada ambientación y equipamiento de la misma, a través de un formato
de Validación de criterios basado en los controles de la Norma técnica
Peruana.
13
CAPITULO III
INFORME DE LA AUDITORIA
INFORMATICA
14
3. INFORME DE LA AUDITORIA
3.1.ORIGEN DEL EXAMEN
El presente Examen Especial, se realiza en cumplimiento del requisito
obligatorio de la presentación de un informe final en el curso de Auditoria
de Sistemas (NIS1001) a cargo del docente Ing. Gardyn Olivera Ruiz, por
lo que se realizó la solicitud de autorización al jefe del Centro de
Tecnologías de la Información y Comunicación CTIC para la realización de
una auditoria Informática a la Seguridad de acceso y verificación de la
ambientación y equipamiento adecuado que debe de contar una sala de
Servidores mediante un Examen Especial en base de estándares y
Normativas.
3.2.NATURALEZA Y OBJETIVOS DEL EXAMEN
3.2.1. NATURALEZA DEL EXAMEN
La presente acción de control es un examen especial, basados en la
NAGU 2.30 y la Norma Nacional Americana TIA-942 se procederá a
realizar el plan de auditoría Informática a la Sala de Servidores del
Centro de Tecnologías de la Información y Comunicación CTIC-UNAS.
3.2.2. OBJETIVOS DEL EXAMEN
3.2.2.1. OBJETIVO GENERAL
El objetivo del examen de la presente auditoria será la evaluación,
diagnostico, e implementación de recomendaciones y
sugerencias en la administración de la Sala de Servidores de la
UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA según la
Resolución Ministerial 129-2012-PCM que aprueba el uso
obligatorio de la Norma Técnica Peruana "NTP-ISO/IEC
27001:2008 EDI Tecnología de la Información publicado el 05
JUN 2012 y la Norma Nacional Americana TIA-942, orientada a la
15
Infraestructura de telecomunicaciones de los Centro de Datos y
Sala de Servidores.
3.2.2.2. OBJETIVO ESPECIFICO
Evaluar y verificar la implementación de procedimientos
destinados al fiel cumplimiento de la Norma Técnica
Peruana "NTP-ISO/IEC 27001:2008 para la Seguridad de
acceso y verificación de la ambientación y equipamiento
adecuado que debe de contar la sala de Servidores del
CTIC-UNAS.
Realizar las recomendaciones y sugerencias desde el
punto de vista técnico y funcional basado en la Norma
Técnica Peruana “NTP-ISO/IEC 27001:2008 y la Norma
Nacional Americana TIA-942, a favor de la infraestructura
de la red corporativa del CTIC-UNAS, a través de la
presentación del informe: informe especial.
3.3.ALCANCE DEL EXAMEN
El alcance del presente examen especial comprenderá la evaluación de la
información referidos al proceso de equipamiento y ambientación de la
Sala de Servidores de la UNAS en el periodo comprendido entre el 15-
OCTUBRE-2014 hasta el 15-DICIEMBRE-2014.
El examen se realizara en concordancias a las NAGUS aprobadas
mediante resolución de contraloría Nº 162-95-CG y sus modificaciones,
cabe mencionar el origen del examen, el cual será del tipo de Examen
Especial. Se hace de manifiesto el carácter estrictamente académico en
concordancia al requisito para obtención de la aprobación del curso de
AUDITORIA DE SISTEMAS FIIS UNAS 2014 - I.
16
El examen involucrara al AREA DE GESTION DE LA
INFRAESTRUCTURA DE LA RED COORPORATIVA - CTIC, por ser esta,
la encargada de la Administración de la SALA DE SERVIDORES.
3.4.ANTECEDENTES DE LA ENTIDAD
3.4.1. ANTECEDENTES
El AREA DE GESTION DE LA INFRAESTRUCTURA DE LA RED
COORPORATIVA, pertenece al Centro De Tecnología de la
Información y Comunicación (CTIC), esta área es la encargada de
garantizar la comunicación en la Universidad Nacional Agraria de la
Selva y el exterior.
Las funciones generales del AREA DE GESTION DE LA
INFRAESTRUCTURA DE LA RED COORPORATIVA son las
siguientes:
Investigar, implementar y configurar nuevos servicios de red.
Agregar y configurar nuevas estaciones de trabajo.
Establecer cuentas de usuarios.
Capacitar a los usuarios que necesiten usar los servicios de red
brindados.
Administrar el espacio de direccionamiento lógico con
mecanismos que optimicen el tráfico de la red (VLANs, VLSM,
etc.).
3.5.COMUNICACIÓN DE HALLAZGOS
En cumplimiento a lo establecido en la NAGU 3.60 de las Normas de
Auditoria Gubernamental, se cursaron comunicaciones con los Hallazgos
de Auditoria a los Funcionarios y Profesionales que están comprendidos
en las Observaciones, a fin de que presenten sus comentarios y
aclaraciones respecto a los hallazgos comunicados.
17
3.6. OBSERVACIONES
3.6.1. OBSERVACION 01
LA SALA DE SERVIDORES DEL CENTRO DE TECNOLOGIA DE LA
INFORMACION Y COMUNICACION NO TIENE IDENTIFICADO LOS
RIESGOS ASOCIADOS CON EL ACCESO DE TERCEROS , LOS
REQUISITOS DE SEGURIDAD ANTES DE DAR ACCESO A
CLIENTES Y NO TIENE IMPLEMENTADOS CONTROLES DE
SEGURIDAD.
CONDICIÓN:
Se ha evidenciado que la SALA DE SERVIDORES DEL CENTRO DE
TECNOLOGIA DE LA INFORMACION Y COMUNICACION no tiene
identificado los riesgos de el acceso a las instalaciones de
procesamiento de la información organizacional por parte de
terceros, requisitos de seguridad antes de dar acceso a clientes a los
activos o a la información de la organización y no estableció
controles de seguridad adecuados antes de permitir su acceso.
a) El acceso a la SALSA DE SERVIDORES DEL CENTRO DE
TECNOLOGIA DE LA INFORMACION Y COMUNICACIÓN solo está
restringido de manera física por medio de una caseta de vidrio y
mediante una señal de acceso, pero esta caseta permite la visibilidad
interna del área y no justifica una seguridad adecuada para la seguridad
de información.
Ver Anexo 3 y 4.
b) No se evalúan las medidas de seguridad antes del acceso de terceros al
ÁREA DE GESTIÓN DE LA INFRAESTRUCTURA DE LA RED
CORPORATIVA, como referencia un agente extraño como viene siendo
el especialista en Infraestructura de Red Corporativa accede al ÁREA
18
DE GESTIÓN DE LA INFRAESTRUCTURA DE LA RED
CORPORATIVA sin ningún problema.
Ver Anexo 3 y 4
Los hechos observados fueron comunicados a los siguientes
funcionarios y servidores, y se ha recibido las aclaraciones y/o
comentarios:
Se realizó una entrevista por medio de telecomunicaciones el día
21/07/2014 con el Ing. Edwin Vega Ventocilla JEFE DEL CENTRO DE
TECNOLOGIA DE LA INFORMACION Y COMUNICACION de la UNAS
en la que se trató el tema de si tenían políticas de seguridad de acceso
para la SALSA DE SERVIDORES DEL CENTRO DE TECNOLOGIA DE
LA INFORMACION Y COMUNICACION, el cual manifestó: “no se
dispone de un documento formal de políticas de seguridad de acceso al
área de servidores, pero si está señalado la restricción de acceso de
manera informal a solo personal autorizado que son: el Jefe del área de
gestión de la infraestructura de la red corporativa otro factor del no
establecimiento de las políticas pertinentes es debido a las
Disposiciones Presupuestarias hacia el CENTRO DE TECNOLOGIA DE
LA INFORMACION Y COMUNICACION”.
CRITERIOS:
La situación expuesta vulnera la Norma Técnica Peruana "NTP-ISO/IEC
27001:2008 EDI Tecnología de la Información publicado el 05 JUN 2012,
en los controles:
control A.6.2.1 “IDENTIFICACIÓN DE RIESGOS POR EL
ACCESO DE TERCEROS” que expresa:” Se evaluará los
riesgos asociados con el acceso a las instalaciones de
procesamiento de la información organizacional por parte de
terceros, y se implementarán controles de seguridad adecuados
antes de permitir su acceso”.
19
control A.6.2.2 “REQUISITOS DE SEGURIDAD CUANDO SE
TRATA CON CLIENTES”, que expresa:” Se deben identificar
todos los requisitos de seguridad antes de dar acceso a clientes
a los activos o a la información de la organización”.
CAUSA:
Incumplimiento del CENTRO DE TECNOLOGIA DE LA
INFORMACION Y COMUNICACION sobre los controles: control
A.6.2.1 “IDENTIFICACIÓN DE RIESGOS POR EL ACCESO DE
TERCEROS”, control A.6.2.2 “REQUISITOS DE SEGURIDAD
CUANDO SE TRATA CON CLIENTES” de la Norma Técnica
Peruana "NTP-ISO/IEC 27001:2008 EDI.
Disposiciones Presupuestarias y Disposiciones Operativas del
CENTRO DE TECNOLOGIA DE LA INFORMACION Y
COMUNICACION, inhabilita la contratación de personal
especializado para el respectivo establecimiento de políticas de
seguridad de acceso a la SALA DE SERVIDORES.
EFECTO:
Al respecto sobre lo expuesto, trae consecuencias como:
Vulnerabilidad ante actividades fraudulentas, controversias
contractuales y divulgación o modificación de la información.
Posibilidad de alteración, duplicación o robo de información con el
fin de beneficiar a la competencia.
Robo de información.
CONCLUSIÓN:
Se ha evidenciado que la SALSA DE SERVIDORES DEL CENTRO
DE TECNOLOGIA DE LA INFORMACION Y COMUNICACION no
tiene identificado los riesgos de el acceso a las instalaciones de
20
procesamiento de la información organizacional por parte de
terceros, requisitos de seguridad antes de dar acceso a clientes a
los activos o a la información de la organización y no
estableció controles de seguridad adecuados antes de permitir su
acceso; debido Incumplimiento del CENTRO DE TECNOLOGIA DE
LA INFORMACION Y COMUNICACIÓN sobre los controles: control
A.6.2.1 “IDENTIFICACIÓN DE RIESGOS POR EL ACCESO DE
TERCEROS”, control A.6.2.2 “REQUISITOS DE SEGURIDAD
CUANDO SE TRATA CON CLIENTES” de la Norma Técnica
Peruana "NTP-ISO/IEC 27001:2008 EDI; y a las Disposiciones
Presupuestarias y Disposiciones Operativas del CENTRO DE
TECNOLOGIA DE LA INFORMACION Y COMUNICACION,
inhabilita la contratación de personal especializado para el
respectivo establecimiento de políticas de seguridad de acceso a la
SALA DE SERVIDORES; que trae como consecuencia que no
asegura la integridad y la disponibilidad las instalaciones de
procesamiento de la información organizacional debido a que esta
propenso a ataques maliciosos; Vulnerabilidad ante actividades
fraudulentas, controversias contractuales y divulgación o
modificación de la información; Posibilidad de alteración, duplicación
o robo de información con el fin de beneficiar a la competencia; La
Posibilidad de pérdida de la información almacenada en los
servidores, que a su vez genera: una pérdida de oportunidades de
negocio, clientes decepcionados y reputación perdida.
3.6.2. OBSERVACION 02:
LA SALA DE SERVIDORES DEL CTIC NO CUENTA CON UN PISO
TÉCNICO ADECUADO, LO CUAL ES UN RIESGO YA QUE NO SE
ESTÁ GESTIONANDO ADECUADAMENTE EL CABLEADO
ELÉCTRICO, CABLEADO DE RED Y LA TEMPERATURA DE EN
LOS SERVIDORES.
21
CONDICIÓN:
Se ha evidenciado que la sala de servidores tiene un piso técnico
improvisado, que de alguna manera busca tener organizado el cableado
de red, dejando de lado la parte eléctrica y la temperatura. Ver anexo 1 y
anexo 2.
CRITERIO:
La situación expuesta vulnera la Norma ANSI/TIA 942-2005:
“Telecommunications Infrastructure Standard for Data Centers”, en el
numeral 7.5.1. El cual expresa “Sistemas de piso de acceso, también
conocidos como sistemas de piso elevado, se deben utilizar en los
centros de datos que está diseñado para ser cableada desde abajo.”
En el criterio, TIER II Componentes redundantes, “El mantenimiento
de la alimentación y otras partes de la infraestructura requieren de
un cierre de procesamiento”.
CAUSA:
La falta de presupuesto impide implementar un centro de datos que
cumpla con las normas respectivas.
EFECTO:
El cableado de red al no estar bien organizado hace más compleja su
gestión, se pueden generar cortos circuitos, perdida de energía al no
tener bien organizado el cableado eléctrico. Y también el
sobrecalentamiento de los servidores al no tener buenos canales de
ventilación y refrigeración.
CONCLUSIÓN:
Se ha evidenciado que la SALSA DE SERVIDORES DEL CENTRO DE
TECNOLOGIA DE LA INFORMACION Y COMUNICACIÓN no cuenta
con un piso técnico esto debido a la falta de presupuesto para ejecutar un
proyecto de implementación de un Data Center que permita hacer el uso
de piso técnico como lo indica la norma TIA 942, lo cual conlleva a
22
posibles fallas eléctricas, de la red y la temperatura; debido
Incumplimiento del CENTRO DE TECNOLOGIA DE LA INFORMACION
Y COMUNICACIÓN Norma Nacional Americana TIA-942, Infraestructura
de telecomunicaciones de los Centros de Datos y Salas de ordenadores,
que trae como consecuencia que la sala de servidores del centro de
tecnología de la información y comunicación, tenga problemas en temas
de instalaciones eléctricas.
3.7.CONCLUSIONES
Se ha evidenciado que la SALSA DE SERVIDORES DEL CENTRO
DE TECNOLOGIAS DE LA INFORMACION Y COMUNICACION no
tiene identificado los riesgos de el acceso a las instalaciones de
procesamiento de la información organizacional por parte de
terceros, requisitos de seguridad antes de dar acceso a clientes a
los activos o a la información de la organización y no
estableció controles de seguridad adecuados antes de permitir su
acceso; debido Incumplimiento del CENTRO DE TECNOLOGIA DE
LA INFORMACION Y COMUNICACION sobre los controles: control
A.6.2.1 “IDENTIFICACIÓN DE RIESGOS POR EL ACCESO DE
TERCEROS”, control A.6.2.2 “REQUISITOS DE SEGURIDAD
CUANDO SE TRATA CON CLIENTES” de la Norma Técnica
Peruana "NTP-ISO/IEC 27001:2008 EDI; y a las Disposiciones
Presupuestarias y Disposiciones Operativas de la CENTRO DE
TECNOLOGIA DE LA INFORMACION Y COMUNICACION,
inhabilita la contratación de personal especializado para el
respectivo establecimiento de políticas de seguridad de acceso a la
SALSA DE SERVIDORES; que trae como consecuencia que no
asegura la integridad y la disponibilidad las instalaciones de
procesamiento de la información organizacional debido a que esta
propenso a ataques maliciosos; Vulnerabilidad ante actividades
fraudulentas, controversias contractuales y divulgación o
modificación de la información; Posibilidad de alteración, duplicación
o robo de información con el fin de beneficiar a la competencia; La
Posibilidad de pérdida de la información almacenada en los
23
servidores, que a su vez genera: una pérdida de oportunidades de
negocio, clientes decepcionados y reputación perdida.
El centro de datos del CTIC no cuenta con un piso técnico esto
debido a la falta de presupuesto para ejecutar un proyecto de
implementación de un Data Center que permita hacer el uso de piso
técnico como lo indica la norma TIA 942, lo cual conlleva a posibles
fallas eléctricas, de la red y la temperatura.
3.8.RECOMENDACIONES
Utilizar las NAGU (Nomas de Auditorias Gubernamentales) en la
elaboración de una Auditoria Informática, con el propósito de
uniformar el trabajo de Auditoria y promover la formación de
auditores en las Universidades del País.
Al Jefe del CTIC realizar las gestiones pertinentes para obtener el
presupuesto necesario para la implementación de un Data Center
que cumpla ciertas normas especializadas.
Se recomienda la capacitación de un personal de la CENTRO DE
TECNOLOGIA DE LA INFORMACION Y COMUNICACION en
materia de seguridad de la información o la tercerización para la
formalización de las políticas de seguridad de acceso, con el fin de
reducir la informalidad y frenar los incumplimientos de la
NTP-ISO/IEC 27001:2008 EDI que es de conocimiento del Jefe de
la CENTRO DE TECNOLOGIA DE LA INFORMACION Y
COMUNICACION, para que al momento de encontrar
irregularidades o violaciones de las políticas se puedan hallar a los
respectivos responsables.
24
CONCLUSIONES
Se aplicó las normas de auditoría gubernamental-NAGU aprobadas por la
Contraloría General de la República para la elaboración de la Auditoria
informática a la sala de servidores del CTIC-UNAS, ya que la NAGU es
parte de las normativas existentes recomendadas para llevar a cabo una
auditoria en el Perú.
25
Se realizó el Plan de auditoría de acuerdo a la NAGU 2.30 que permitió
tener un programa específico que incluyo objetivos, procedimientos que
deben aplicarse, naturaleza, alcance y oportunidad de su ejecución, así
como el personal encargado de su ejecución.
BIBLIOGRAFIA
Manual de Auditoría Gubernamental (MAGU) y Guía del Auditado,
Publicado el 23.DIC.1998. Contraloría de la República del Perú. [En línea]:
(http://www.contraloria.gob.pe, 10 de Junio. 2014).
Normas de Auditoría Gubernamental (NAGU), Contraloría de la República
del Perú. [En línea]: (http://www.contraloria.gob.pe, 12 de Junio. 2014)
26
Norma Tecina Peruana (NTP-ISO/IEC 27001:2008),Oficina Nacional de
Gobierno Electrónico e Informático.[En línea]: (https://www.ongei.gob.pe,
25 de Junio. 2014)
27
ANEXOS
28
ANEXO 1: Formato de validación de criterios
ANEXO 2: Piso técnico improvisado
29
ANEXO 3: Condición actual de la Sala de Servidores
ANEXO 4: Acceso actual a la Sala de Servidores del Centro de Tecnologías de la información y Comunicación
30
ANEXO 5: Inseguridad en el acceso en la Sala de Servidores
ANEXO 6: El Estándar TIA 942-TIER
31