AUDITORIA CENTRO DE COMPUTOSLuis Morales Bladimir Yael Ruiz OBJETIVOS GENERALES Aplicar los conocimientos adquiridos en clase en la compañía donde se realizara la auditoria. Incrementar la satisfacción de los usuarios Asegurando una mayor integridad. confidencialidad y confiabilidad de la información. También mirar el funcionamiento de los Controles de Seguridad que se tienen en funcionamiento. para así buscar las fallas principales que están afectando la seguridad. para así poder aportar a la compañía soluciones para mejorar la seguridad de todo el sistema que maneja. .INTRODUCCION Realizaremos una auditoria de seguridad informática al centro de cómputos del Centro de Investigación de Biología Marina (CIBIMA-UASD) con el objetivo de saber cómo están funcionando los distintos controles de seguridad. mirar sus fallas y así poder mejorar estos de un modo que la compañía no se vea tan afectada a la hora de sufrir daños tanto en el sistema como en la información. Responsabilidades y y y y y Cotización y adquisición de hardware y software Revisión de los recibos de las facturas de telefonía e internet Mantenimiento de la red soporte al usuario final en cada una de las aplicaciones del sistema revisión periódica y mantenimiento del hardware . con un ambiente de trabajo sano y con valores humanos lograr superar las metas propuestas desde comienzos del año con el fin de mejorar la gestión de la información para la departamento. el área de Redes y el área de soporte está compuesto por 8 personas que son las encargadas de llevar a cabo las tareas que se plantean.ORGANIGRAMA DEL DEPARTAMENTO Director Secretaria Encargado de Redes Encargado de Soporte Tecnico Tecnico de Redes Aux Redes Aux 1 Aux 2 ESTRUCTURA ORGANIZACIONAL DEL DEPARTAMENTO DE SISTEMAS Información General del Departamento de Sistemas El departamento de sistemas se divide en dos partes. en donde encontramos las UPS.Ubicación de los Controles sobre Seguridad Física Existe actualmente una zona destinada a la seguridad física. Google Crome: Navegador de internet. estos últimos poseen un monitor LDC de 24 pulgadas. CCleaner: Limpieza del equipo. gestor de presentaciones. solo el administrador del sistema tiene acceso. Identificación de los equipos y configuración El centro de computo consta actualmente de 15 computadores de los cuales 8 son computadores portátiles y el resto son computadores de escritorio. Volumen total de Registros Avast: No cabe duda mencionar que Avast cuenta con una herramienta que se encarga de mirar todos sus archivos del sistema y hace la evaluación de donde viene el virus y que está infectado para esto el realiza un chequeo y aproximadamente guarda de 1248 documentos en adelante. protegido contra la humedad y la lluvia y el sol. Office: el volumen de registro en office es muy limitado. este es un cuarto despejado. Identificación del Sistema Operacional Los sistemas operativos que manejan las maquinas del centro de computo son: y y Windows XP Service Pack 3 Linux Recursos del Software y y y y Office 2007: Procesadores de texto. hoja de cálculo. Spyware. el los borra. Avast 5 Pro: Antivirus. . esta aplicación solo guarda los últimos 20 registro de los archivos que se hayan guardado independientemente de cualquier cosa. CONTRATOS DE SERVICIO El departamento de sistemas tiene actualmente tres contratos de servicios que son. Este parte trae grandes beneficios como son la disminución de gastos para el departamento. 8. La culminación del software departamentorial que se viene desarrollando desde hace ya varios meses y que ha pasado diferentes pruebas que permiten comprobar que es la mejor opción para el departamento. Contrato por concepto de servicio de internet.5 Huelgas 8. Asimismo. inglés. y ruso.6 Otros . 2. PLAN MAESTRO DE SISTEMATIZACION El plan maestro de sistematización que tiene el departamento de sistema actualmente se focaliza en dos aspectos que son de suma importancia para fortalecer el sistema y son: 1. francés. 2.4 Personal: Para el personal existe un bosquejo de plan aun en proceso de definicion.3 Caidas de Luz: El elemento que exite para este tipo de eventos es la UPS.1 Desastres 8. castellano. pueden solicitar asistencia técnica en alemán. Contrato por concepto de alquiler de fotocopiadora e impresora. Office: Los usuarios de Office disponen de una dirección web donde encontraran demasiada información acerca de cómo trabajar con él. 1.Usuarios Avast: Los usuarios de Avast disponen de una amplia gama de servicios que garantizan el correcto funcionamiento de los productos y soluciones de la compañía. Contrato de telefonía 3. 8.2 Daños en los Equipos 8. Los usuarios también tienen acceso a una de las bases de antivirus más importantes y completas del mundo que se actualiza cada hora. PLANES DE CONTINGENCIA 8. como se bajan las plantillas y marcos para las presentaciones y bueno un manual donde explica lo que se quiera saber. Migración a un sistema operativo de carácter libre que permita fortalecer la seguridad el sistema y que tenga compatibilidad con lo que se quiere. Para la primera parte se da un manual que consta de limpiar todos los dispositivos de entrada y salida del equipo con las herramientas que brinda el departamento (líquidos de limpieza. Instalacion del Antivirus. Instalacion de otros programas 6.1 SP1 -> Java RE version -> Desactivar barra de idioma -> Activar auto-arranque CD/USB 3. Configuracion del tema a clasico 4. Instalacion de software -> Winrar -> Ccleaner -> Windows media player 11 -> Office 2003 -> Net framework 1. toallas.). Contraseña y usuario de red en la ventana emergente 5. . Instalacion de drivers. 7. etc. Para la segunda parte se siguen pasos como los siguientes: 1.PLANES DE MANTENIMIENTO DE EQUIPOS El plan de mantenimiento se divide en dos partes: la limpieza de equipos y la reinstalacion de software. destornilladores. Instalacion del sistema operativo 2. ? R:Si 11. ¿Asegura que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan? R:Si 2. ¿Asegura que se estén utilizados los datos.? R:Si 6. SEGURIDAD FISICA ¿posee usted algun plan contra Incendios? R: No ¿posee usted alguna medida de control para Climatológicas? R: No ¿posee usted alguna medida de control para Radar? R: No ¿ posee usted alguna medida de control para Eléctricas? R: No Auditoría al centro de computo ¿ posee usted alguna medida de control para Ergometría? R: No ¿ posee usted alguna medida de control para Robo? R: No ¿ posee usted alguna medida de control para Fraude? R: No ¿posee usted alguna medida de control para Sabotaje? R: No ¿ posee la Utilización de Guardias ? R: No ¿ posee Utilización de Detectores de Metales? R: No ¿ posee Utilización de Sistemas Biométricos? R: No ¿ posee usted alguna medida de control para Seguridad con Animales ? R: No ¿ posee usted alguna medida de control para protección Electrónica? .SEGURIDAD LOGICA Y CONTROLES DE ACCESO 1. ¿Asegura que los controles de acceso de cada apliacion funcionan de manera correcta. archivos y programas correctos en y por el procedimiento correcto? R:Si 3. ¿Asegura que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro? R:Si 4. ¿Asegura que se disponga de pasos alternativos de emergencia para la transmisión de información.? R:Si 7. ¿Asegura que existan sistemas alternativos secundarios de transmisión entre diferentes puntos. ¿Asegura que la información recibida sea la misma que ha sido transmitida.? R:Si 5. debilidades o posibles agujeros de seguridad que pudieran existir y en consecuencia frustrar a los intrusos maliciosos cuando planifican un asalto informático desde el exterior hacia la organización.CONCLUSIONES El anterior trabajo deja como principio el cómo se trabaja día a día en nuestro o departamento como es tan importante tener normas y reglas para que no haya ningún tropiezo. RECOMENDACIONES Vulnerabilidad de Seguridad en CIBIMA-UASD Después de la auditoria desarrollada por nosotros encontramos que el departamento no cuenta con un plan de contingencia. . lo cual es muy crítico porque no se podrá reponer al estado actual afectando a la compañía con perdidas muy costosas y difíciles de superar. no cabe duda que cuando empezamos a investigar se conto con el apoyo de muchas personas las cuales valoraron y aprendimos mucho de ellas. otro aspecto donde la empresa tiene debilidad son las Redes y los Sistemas que se manejan desde el exterior donde no comprometen su seguridad operacional. exponiendo al sistema con vulnerabilidades provocando agujeros de seguridad en la red y los sistemas que han sido implementados en ella pudiesen presentar problemas graves. Gracias a el resultado de esta investigación y auditoria se encamino a avisar y corregir aquellas vulnerabilidades.