Universidad Mariano Gálvez Dictamen de Auditoria de Informática al Proyecto Caritas de la Diócesis de San Marcos
Curso: Auditoria de Sistemas Cat.: Lic. Otoniel Sánchez Gómez Ciclo: Décimo Segundo Semestre
Contenido CONCLUSIONES............................................................................................................................ 3 Sobre la Organización .............................................................................................................. 3 Sobre la Auditoria a los Equipos de Cómputo: ................................................................ 4 Sobre la Auditoria a los Redes: ............................................................................................. 5 Sobre la Auditoria Ergonómica a Mobiliario, Equipo, confort y seguridad de los Empleados ................................................................................................................................... 6
RECOMENDACIONES: ................................................................................................................ 7 Sobre la Organización .............................................................................................................. 7 Sobre los Hallazgos de la Auditoria a los Equipos de Cómputo: .............................. 8 Sobre los Hallazgos de la Auditoria a las Redes: .......................................................... 10 Recomendaciones sobre la Auditoria Ergonómica a Mobiliario, Equipo, confort y seguridad de los Empleados ................................................................................................ 11 Formatos Recomendados: .................................................................................................... 12 Formato para Registro de Compra de Equipos nuevos........................................... 12 Formato para Registro de Asignación de Equipo a Nuevo Personal ................... 13 Formato para Registro de Mantenimiento de Equipos............................................ 14 Formato para Realizar Manual de Funciones de Puestos:..................................... 15
Informe de Hallazgos y Recomendaciones Proyecto Caritas, Pastoral Social Diócesis de San Marcos
1
Informe de Hallazgos y Recomendaciones Proyecto Caritas, Pastoral Social Di贸cesis de San Marcos
2
CONCLUSIONES Al finalizar la auditoría realizada a las entidades del proyecto Carita de la Diócesis de San Marcos, establecemos las siguientes conclusiones sobre el desarrollo de la misma. Se presentarán las conclusiones separadas por cada una de las áreas observadas con el objetivo d proporcionar una mejor comprensión sobre los hallazgos y desviaciones encontradas.
Sobre la Organización
Falta de Documentación sobre cada uno de los proyectos, incluyendo políticas, objetivos, normas y lineamientos, a realizar la auditoria en la visita preliminar se indicó que si existian dicha documentación pero en el desarrollo de la misma se pudo observar que es la documentación para Pastoral Social en General No existe una especificación Formal sobre los perfiles de puestos para el personal de cada dependencia del Proyecto Caritas. Afortunadamente las lineas de mando y colaboración si estan bien definidas dentro de cada dependencia lo cual es una fortaleza de las depedencias del Proyecto Caritas. En las depedencias del proyecto Caritas no se cuenta con una política de seguridad adecuada para garantizar la protección de sus activos informaticos fundamentales. El registo de ingresos y egresos del personal se registra en un formato el cual tiene que llenar de forma manual, lo cual puede dar lugar a que la información ingresada no sea veridicia.
Informe de Hallazgos y Recomendaciones Proyecto Caritas, Pastoral Social Diócesis de San Marcos
3
Sobre la Auditoria a los Equipos de Cómputo: La principal desviación encontrada es que la mayoría de equipos del las entidades del proyecto Caritas no cuentan con el adecuado licenciamiento a nivel de Sistema Operativo y Software de Aplicaciones lo cual tiene como consecuencia que los equipos esten en riesgo y sobre todo cometer delitos a la propiedad intelectual y piratería. La mayoría de equipos cuentan con la respectiva licencia de Antivirus lo cual es importante y una fortaleza dentro de las dependencias del proyecto Caritas para garantizar la Protección logica de sus archivos y Equipos de Computo. Los equipos de computo cuentan con características de hardware aceptables para la realización de las actividades de los colaboradores de cada depedencia a excepcion de los equipos asignados a Amaya Espinoza de Caritas Administración y Saulo Joromocoj de Caritas Agricultura, los cuales son equipos demasiado antiguos y como consecuencia de ello operan de forma lenta haciendo que el desarrollo de las activadades de las personas antes mencionadas sea dificultuoso. Algunos equipos presentan problemas en la Unidad de Disco Principal lo cual genera riesgos de pérdida de información, los equipos que presentan estos inconvenientes pueden establecerse en este mismo dictamen. Existe la tendencia a utilizar software potencialmente peligroso en los equipos para activación de software de Aplicaciones o descarga de archivos con tecnología P2P, lo cual pone en riesgo la seguridad de los activos de información. En los equipos de Computo solo existe una partición primaria de disco duro la cual contiene el sistema operativo y el software de aplicaciones junto a los documentos del usuario lo cual es riesgoso debido a temas de infección de virus y daños en el disco duro, lo cual puede tener como consecuencia la perdida de la información. El equipo utilizado en Caritas Admistración como servidor para el sistema de contabilidad Scafi, cuenta con el sistema operativo Windows XP Professional el cual no es un sistema operativo para servidores, lo cual tiene como consecuencia que el sistema funcione con lentitud o inadecuadamente en ocasiones cuando lo utilizan en red a la vez 2 o más personas. En algunos equipos existen Sistemas Ininterrumpidos de Energia (UPS) pero no son utilizados adecuadamente, debido a que los equipos indispensables estan conectados unicamente a la sección de regulacion de energía y no a la sección de backup de energía.
Informe de Hallazgos y Recomendaciones Proyecto Caritas, Pastoral Social Diócesis de San Marcos
4
Sobre la Auditoria a los Redes:
Las principales desviaciones encontradas en el área de redes es que en la mayoría de dependencias del Proyecto Caritas los cables de red estan expuestos sin ninguna medida de protección lo cual puede causar fracturas en el cable o cortes del mismo, lo que tendria como consecuencia interrupción del servicio de comunicaciones.
El análisis de red realizado en Caritas Administración nos ayudo a determinar que no existia estandarización del cableado, el cual en algunos puntos de red contaba con el standar EIA-TIA568B y en otros no contaba con esta configuración ni con la EIA-TIA568A.
En las depedencias de Caritas Agricultura unicamente se cuenta con un solo cable de red para interconectar esta oficina con las demas entidades, provocando que las personas tengan que compartir el cable de red turnandose para poder utilizarlo.
En la depedencia de Caritas Alimentos tambien se presenta el anterior problema unicamente en esta entidad 2 equipos tiene que compartir el mismo cable de red. No se cuenta con perfiles de usuario establecidos a través de Directorios de Red, lo cual tiene como consecuencia que cada empleado cree un usuario y contraseña de modo local en cada equipo. Se pudo establecer que los empleados son susceptibles a ataques de Ingeniería Social esto gracias a los datos obtenidos en el cuestionario que se practico a los mismo donde se indicaba que la mayoria ha compartido las claves de acceso con otras personas.
Informe de Hallazgos y Recomendaciones Proyecto Caritas, Pastoral Social Diócesis de San Marcos
5
Sobre la Auditoria Ergonómica a Mobiliario, Equipo, confort y seguridad de los Empleados
Los principale hallazgos observados es que el espacio en las depedencias del Proyecto Caritas es muy limitado generando incovenientes a los empleados para realizar sus actividades
El espacio para transitar libremente en las oficinas de las depedencias es muy pequeño al punto de observarse que cuentan con un espacio no mayor a 1 metro para movilizarse. La iluminación natural en las dependencias no es la adecuada, lo cual obliga al personal a hacer uso de eliminación artificial la mayoria del tiempo que permanecen realizando sus actividades.
No existen mecanismos ni medidas de seguridad fisica para los empleados, no estan definidas salidas de emergencia en caso de desastres naturales y siniestros en las instalaciones. Las estanterias no cuentan con mecanismos de nivelación de pisos y soportes de seguridad para evitar que puedan caerse y provocar accidentes. No existen extintores de incendios para contrarrestar cualquier siniestro que se presente. La mayoria de empleados ha padecido problemas musculares en el área de espalda y cuello, tambien problemas en la vista que generar irritabilidad y ardor en los ojos.
Los teclados y equipos utlizados son convencionales, lo cual puede tener como consecuencia problemas en el área de manos y muñecas generando dolores en las articulaciones y artritis a largo plazo. Los escritorios y sillas son adecuados según las personas encuestadas para realizar sus actividades, la minoria indico que el mobiliario que utiliza es inadecuado, pero por lo general el mobiliario es idoneo para la realización de las actividades y garantizar el confort del personal.
Informe de Hallazgos y Recomendaciones Proyecto Caritas, Pastoral Social Diócesis de San Marcos
6
RECOMENDACIONES: En esta sección se presentaran las recomendaciones que se obtienen como resultado de la auditoría realizada a las dependencias del Proyecto Caritas, las cuales están pensadas de forma que se adapten y puedan ser implementadas dentro de las dependencias de del proyecto Caritas.
Sobre la Organización Realizar la debida generación de objetivos, metas, visión, misión, normas y lineamientos dentro de cada dependencia para que todas las personas puedan tener una perspectiva clara de la misión de cada dependencia. Es recomendable que todo el personal participe en la formulación de dicha documentación
Realizar una especificación formal y documentada sobre las funciones y responsabildiades del personal para que puedan establecerse de forma clara las atribuciones de cada miembro de las dependencias. Más adelante se presenta una propuesta de formato que puede ser util para lograr esta recomendación Elaborar políticas de seguridad indicado: - Objetivos de la política - Normas y lineamientos generales - Restricciones del uso de hardware e instalacion de Software - Periodicidad de Cambio de contraseñas - Otros aspectos Relevantes. Automar el proceso de registro de ingresos y egresos del personal con sistemas de control Biométricos lo cual permitirá obtener información confiable, veridica y oportuna sobre este aspecto.
Informe de Hallazgos y Recomendaciones Proyecto Caritas, Pastoral Social Diócesis de San Marcos
7
Sobre los Hallazgos de la Auditoria a los Equipos de Cómputo: Es importante contrarrestar el inconveniente del licenciamiento en la institucion, debido a que se cometen delitos graves, por lo cual podría optarse a la compra de un paquete de Licencias Empresariales para PYMES. Otra solucion seria la migración a Software libre, esta opcion es menos viable debido al cambio que generaria en la organización, el cual tendría que hacerse de forma sistematizada y asesorada por expertos en este tipo de software. Proporcionar a cada uno de los equipos una Licencia Original de Software Antivirus para garantizar la seguridad de los activos de información para ello podría adquirirse una licencia Corpotariva de ESET NOD 32 Smart Security la cual tiene un costo de Q. 4600.00 aproximadamente para 15 computadoras
Reemplezar los equipos obsoletos que pertenecen a Amaya Espinoza de Caritas Administración y Saulo Joromocoj de Caritas Agricultura para garantizar y ayudales en la realización de sus actividades. Algunos equipos presentan problemas en la Unidad de Disco Principal lo cual genera riesgos de pérdida de información, los equipos que presentan estos inconvenientes pueden establecerse en este mismo dictamen. Desintalar todo tipo de software no deseado y potencialmente peligro de los equipos en especial restringir la instalacion y uso de software de descargas P2P para evitar infecciones de virus y pérdidas de información. Crear un partición adicional a los discos duros para que en esta parte se almacenen la información de los usuarios para establecer medidas de seguridad de la información, este proceso puede realizarse con herramientas de software libre como gparted. Instalar en equipo utilizado como Servidor un sistema operativo de Servidores para que se pueda garantizar tiempos de respuestas eficaces en el procesamiento de las transacciones del sistema Scafi. Así mismo con este sistema operativo de servidores podrian crearse directorios de de red distribuida para cada usuario, establecer perfiles de usuario de acceso a recursos compartidos entre otros
Utilizar de forma adecuada los sistemas ininterumplibles de Energía (UPS) y reemplezar los que esten deficientes.
Informe de Hallazgos y Recomendaciones Proyecto Caritas, Pastoral Social Diócesis de San Marcos
8
Establecer formularios para registro e inventario de Compra de equipos nuevos, esto con el objeto de poder tener un registro actualizado y preciso sobre los equipos que han sido adquiridos y la Dependencia a la que se le ha sido asignado. Más adelante se presenta una propuesta de formato que podría ser utilizado para lograr esta recomendación. Establecer formularios de registro de mantenimientos que los equipos reciban, esto es importante para mentener un historico sobre reparaciones y mantenimientos de los equipos para proporcionar una visión clara sobre los gastos en el soporte a equipos y establecer las causas que provocaron dicho mantenimiento. Más adelante se presenta una propuesta de formato que podría ser utilizado para lograr esta recomendación.
Registrar la asignación de equipos a personal nuevo, establecindo las características del equipo que se le asigna el estado de los componentes entre otros aspectos, esto con el objetivo de poder tener información veridica al momento de que el empleado deje de laborar en la dependencia para evaluar el estado en el que entrega el equipo y determinar si existen anomalias provocadas por el mal uso del equipo que puedan ser atribuidas al empleado o no. Esta es una de las razones por la cual se propone el formato o registro anterior para comparar los datos que se el estado inicialdel equipo al momento de su entrega al empleado, los mantenimientos que recibio el equipo durante el tiempo que fue utilizado por el empleados y el estado en que el equipo es entregado por el mismo. Más adelante se presenta una propuesta de formato que podría ser utilizado para lograr esta recomendación.
Volver a realizar el inventario de todos los equipos existentes dentro de la organización para actualizar los registros que puedan existir.
Informe de Hallazgos y Recomendaciones Proyecto Caritas, Pastoral Social Diócesis de San Marcos
9
Sobre los Hallazgos de la Auditoria a las Redes:
Proteger el cableado de red y los equipos utilizando canaletas para evitar que se fracturen o puedan ser cortados intencionalmente y así garantizar la continuidad de las comunicaciones.
Estandarizar el cableado de red y generar la documentación adecuada para posibles mejoras o ampliaciones que deban de hacerse en el futuro. Es importante mencionar que en los puntos que evaluamos durante la auditoria estandarizamos con la configuración TIA-EIA568B todo el cableado.
En la dependencia de Caritas Agricultura establecer los puntos de red que falten y sean necesarios, esto permitirá mantener los equipos comunciados y permitir que los equipos tengan conexión a Internet para descarga de las respectivas actualizaciones del sistema operativo y software antivirus que garanticen la protección de la información.
Establecer en Caritas Alimentos los puntos de red que hacen falta y son necesarios. Instalación de un sistema operativo de Red que administre los perfiles de usuario, permisos, contraseñas, recursos compartidos de cada usuario. También implementarse filtrado de paquetes (Proxy) para evitar ataques externos y visita a sitios no deseados y potencialmente peligrosos por parte de los empleados. Establecer politicas de periodicidad de cambio de contraseñas que podría ser cada 30 días con lo cual se pueda garantizar la seguridad logica de archivos. Capacitar a los empleados sobre amenazas y riesgos potenciales en el uso de Internet, dando especial énfasis en virus, suplantación de Identidad, Pharming, Grooming e Ingeniería Social, aspecto que pudo observase que el personal es muy susceptible a caer en este tipo de ataque de forma fácil
Informe de Hallazgos y Recomendaciones Proyecto Caritas, Pastoral Social Diócesis de San Marcos
10
Recomendaciones sobre la Auditoria Ergonómica a Mobiliario, Equipo, confort y seguridad de los Empleados
Reorganización de las áreas y espacios en las oficinas de forma técnica para optimizar el espacio en cada una de las áreas y proporcionar confort a los empleados. En otras depedencias de Pastoral Social cuentan con la colaboración de Arquitectos e Ingenieros Civiles a quienes se les podría encomendar que hicieran la reorganización Espacial de las oficinas. Proporcionar una adecuada iluminación Natural de las oficinas para generar ahorros en gastos de energía electrica. En las oficinas donde no sea factible realizar esta recomendación garantizar la adecuada iluminación Artificial utlizando como recomendación bombillos ahorradores de Energía
Establecer Rutas de Evacuación en las instalaciones para garantizar la seguridad del personal en caso de desastres naturales o siniestros, estableciendo la adecuada documentación y señalización de las rutas establecidas Establecer soportes de nivelación, estabilidad y niveles de capacidad adecuados de las estanterias y archivos para evitar que se presenten accidentes laborales Adquisición de Extintores de incendios los cuales deben de ser ubicados por lo menos uno por oficina. Si no fuera posible proporcionar un extintor en cada oficina ubicarlos de forma estratégica para que sea de facil acceso y utilización.
Proporcionar sillas y escritorios adecuados para evitar los problemas de dolores en el área de espalda y cuello de los empleados. También utlizar filtros en los monitores de los equipos para evitar padecimientos en la vista como irritación y ardor en los ojos del personal. Más adelante se presenta un grafico sobre la correcta posición de los equipos y mobiliarios para proporcionar confort a los empleados.
Utilizar teclados ergonómicos o ANTI RSI para evitar padecimientos en las manos, muñecas y articulaciones del personal, así mismo utilizar Mouse Pad con descansa muñecas y si fuera necesario utilización de muñequeras para el personal.
Informe de Hallazgos y Recomendaciones Proyecto Caritas, Pastoral Social Diócesis de San Marcos
11
Formatos Recomendados: Formato para Registro de Compra de Equipos nuevos El siguiente formulario tiene como fin poder registrar todos los equipos de computó que compren para establecer un inventario mas detallado y actualizado de los activos computacionales de las dependencias del proyecto Caritas de San Marcos. Datos de la persona que realiza el registro del equipo Información General del Equipo que se adquiere
Datos de la entidad y empleado a quien se le asigna el equipo
Datos Específicos del equipo de cómputo
Información del Software Instalado en el equipo
Informe de Hallazgos y Recomendaciones Proyecto Caritas, Pastoral Social Diócesis de San Marcos
12
Formato para Registro de Asignación de Equipo a Nuevo Personal El siguiente formulario tiene como fin poder registrar el estado de los equipos de computo que se asignan a personal de nuevo ingreso para que pueda ser utilizado como evidencia de problemas detectados cuando el empleado por cualquier razón deje de utilizar el equipo y evaluar si el estado del equipo es aceptable según el estado inicial de entrega del mismo. Persona que redacta el documento Datos del empleado a quien se asigna el equipo Datos generales del equipo
Datos específicos del equipo
Casilla para observaciones
Casilla para elegir estado del hardware
Firmas de las personas participantes Informe de Hallazgos y Recomendaciones Proyecto Caritas, Pastoral Social Diócesis de San Marcos
13
Formato para Registro de Mantenimiento de Equipos El siguiente formulario tiene como fin poder registrar los diversos mantenimientos tanto correctivos y preventivos realizados a los equipos de cómputo, esto permitirá mantener información detallada de los mantenimientos realizados.
Código y Fecha del Documento Información del Equipo
Datos del último mantenimiento
Datos del mantenimiento Actual
Diagnostico del Mantenimiento Actual
Hardware que fue revisado
Software que fue revisado
Informe de Hallazgos y Recomendaciones Proyecto Caritas, Pastoral Social Diócesis de San Marcos
14
Formato para Realizar Manual de Funciones de Puestos: El siguiente formulario tiene como fin poder realizar el manual de funciones para cada uno de los empleados y así delimitar las obligaciones y responsabilidades de cada empleado de las diversas entidades del proyecto Caritas de la Diócesis San Marcos.
Descripción del Puesto Laboral
Funciones del puesto
Habilidades necesarias del puesto
Información general del puesto
Datos del Empleado
Informe de Hallazgos y Recomendaciones Proyecto Caritas, Pastoral Social Diócesis de San Marcos
15