auditoría física y lógica

8/19/2019 Auditoría Física y Lógica

1/37

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMÁTICAS Y

FÍSICAS

INGENIERÍA EN SISTEMASCOMPUTACIONALES

MATERIA: AUDITORÍA DE SISTEMAS

INTEGRANTES:

EDISON USCA

HENRRY MOYANO

DANIEL FRANCO

VÍCTOR PINCAY

KLÉBER GUTIERREZ


2/37

AUDITORÍA INFORMÁTICA

1.1 ORIGEN DE LA AUDITORÍA

La presente Auditoría se realiza en cumplimiento al apoyo que se brindará a la Armada del Ecuador en sus actividades en el área de Sistemas de Informacióny Comunicaciones.

1.2 OBETIVOS Y ALCANCE

1.2.1 OBETIVO GENERAL

evisar y Evaluar los controles! sistemas! procedimientos deinformática de los equipos de cómputo! su utilización! eficiencia yse"uridad de la or"anización que participan en el procesamientode la información! a fin de que por medio del se#alamiento deCURSOS alternativos se lo"re una utilización más eficiente yse"ura de la información que servirá para una adecuada toma dedecisiones.

1.2.2 OBETIVOS ESPECÍFICOS

Cumplir las si"uientes auditorías en el $rea de %ecnolo"ías de laInformación de la Armada del Ecuador.

• Auditoría &ísica• Auditoría Ló"ica• Auditoría de 'fimática• Auditoría de edes• Auditoría de (ase de )atos• Auditoría a la )irección %ecnoló"ica


3/37


4/37

ORGANIGRAMA DE LA ARMADA DEL ECUADOR.


5/37

1.". RELACION DE FUNCIONARIOS O PERSONAL A CARGO DEL AREA AE#AMINAR.GRADO$NOMBRE CARGO PERIODO DE

GESTI%NDOMICILIO

DEL AL

CPCB&TNC ALE# TAPIA EFE DEL CETEIN 2'1! 2'1"S.P. KATTY PERALTA EFE DESEGURIDADL%GICA

2''' 2'1(

SGOS&IF ORGECOBE)A

EFE SEGURIDADFÍSICA

2'1! 2'1(

SGOS&IF MÁ#IMOOCHOA

EFE 2'1(

SGOS&IF MANUELRUIZDIAS

D.B.A 2'1(

S.P. MAYRA ESPÍN ADMINISTRADOR

DE RED

2'''

PROGRAMA DE AUDITORÍA


6/37

ARMADA DEL ECUADOR& CENTRO DE TECNOLOGÍA DE INFORMACI%N YCOMUNICACIONES

FECHA:

FASE ACTIVIDAD HORASESTIMADAS

ENCARGADOS

I VISITA PRELIMINAR

•

Solicitud de -anuales y documentaciones• ecopilación de la información

'r"anizacional* Estructura 'r"ánica!recursos 5umanos! presupuestos.

67 5oras

E)IS'2 8SCA

9E2: -':A2'

1.* DOCUMENTOS A SOLICITAR

• 1olíticas. Estándares! normas y procedimientos.• 1lan de Sistemas• 1lanes de se"uridad y continuidad.• Contratos! pólizas• 'r"ani"rama y manual de funciones.• -anual de Sistemas• e"istros.• Entrevistas.• Arc5ivos• equerimientos de usuarios.


7/37

1.+ EECUCI%N DE LA REVISI%N ESTRATÉGICA

1.+.1 CONOCIMIENTO INICIAL DE IDENTIDAD

Actualmente! el Centro de %ecnolo"ías de Información! tiene su

ubicación principal en ;uayaquil! la (ase 2aval Sur.

MISI%N

)esarrollar las capacidades marítimas y proveer la se"uridad inte"ral en losespacios acuáticos que fortalezcan el 1oder 2aval y que contribuyan a ladefensa de la soberanía y la inte"ridad territorial4 y! con su contin"ente apoyar al desarrollo marítimo nacional y a la se"uridad p3blica y del Estado

VISI%N

En el a#o 7


8/37

. Incrementar las capacidades para ladefensa y se"uridad inte"ral del territorio marítimo nacional.

D. Incrementar la inte"ración yestandarización administrativa de la Armada a trav0s de un sistema deplanificación estrat0"ica! presupuestaria! ries"os y procesos.

. Incrementar el desarrollo y "estión deltalento 5umano de la Armada en la formación! perfeccionamiento! capacitación!especialización por competencias y la "estión del clima laboral.

6


9/37

1.1' OFICINA DE PLANEACI%N Y PRESUPUESTO

1.1'.1 CENTRO DE TECNOLOGÍAS DE LA INFORMACI%N YCOMUNICACIONES GUAYAQUIL.

FUNCI%N BÁSICA

La )irección de %ecnolo"ías de la Información y Comunicaciones representado por el )irector de %ecnolo"ías de la Información y Comunicaciones! es la encar"ada de"estionar las %ecnolo"ías de la Información y Comunicaciones! mediante sudesarrollo! administración y mantenimiento4 a fin de contribuir al direccionamientoestrat0"ico! al desarrollo de las capacidades marítimas! la se"uridad inte"ral de losespacios acuáticos y el apoyo al desarrollo marítimo nacional.

A%I(8CI'2ES : ES1'2SA(ILI)A)ES*

aG )iri"ir el sistema de tecnolo"ías de la información y comunicación deconformidad a las normas le"ales y t0cnicas in5erentes al ámbito naval.

bG 1roponer directrices para el fortalecimiento del sistema de tecnolo"ías de lainformación y comunicación.

cG Actualizar la norma interna y manuales t0cnicos para la administración delsistema de tecnolo"ías de la información y comunicación.

dG 1articipar en el desarrollo y concepción de las capacidades marítimas en elámbito de su competencia.

eG )efinir! elaborar y actualizar proyectos %ICHs de conformidad a la planificacióninstitucional.

fG Supervisar el mantenimiento y control de las instalaciones detelecomunicaciones e infraestructura y servicios informáticos navales.

"G Impulsar la aplicación de procedimientos de se"uridad de la información

radioel0ctrica e informática.


10/37

1.1'.2 SITUACI%N ACTUAL.

UBICACI%N

El CE2%' )E %EC2'L';AS )E LA I&'-ACI,2 ;8A:AJ8IL!depende or"ánicamente del Centro Lo"ístico ;uayas! está ubicadofísicamente en la (ase 2aval Sur en el edificio de la )IECCI,2;E2EAL )EL -A%EIAL! asumiendo la responsabilidad de diri"ir losprocesos t0cnicos de Informática.

ESTRUCTURA


11/37

RECURSOS HUMANOS

Actualmente en el área del Centro de %ecnolo"ía laboran los si"uientesfuncionarios con las actividades y procesos que se detallan!

ORD GRADO Y NOMBRE DETALLE6 C1C(K%2C $LE %A1IA ME&E )1%'.7 %22=KI; M8A2 AS%8)ILL' ME&E

C'-82ICACI'2ES> %22=KI; CA-I%A SA2C9EN ME&A CE%EI2? S8(SKE% 1A%ICI' EAS ME&E C'-. A

(')'.@ S;'SKI& S%AL:2 ('9'J8EN ME&E SE;8I)A)B S;'SKI& -$I-' 'C9'A ME&E

I2&AES%8C%8A S.1. C9IS%IA2 %'A1AI )(AD S.1. -A:A ES12 A)-. )E E) S.1. OA%:8SCA 1EAL%A ME&A )E SE=ICI'S

C'1'A%I='S

PROCESOS PRINCIPALES

1.& GESTI%N DEL CENTRO DE TECNOLOGÍAS DE LAINFORMACI%N

• 1lan 'perativo

P eportes de evaluación y control

P eporte de e/ecución presupuestaria

P 1lanes 1resupuestarios

P Informe de e planificación de presupuesto

P Informe de actualización de activos fi/os.


12/37

2.& ADMINISTRACI%N DE SERVICIOS Y CONECTIVIDAD.

P Servicios %elemáticos en funcionamiento.

P Sistemas con %ecnolo"ía %elemática operativos y confiables.

P Informe de incidentes y soluciones.

P Enlaces de datos disponibles.

P 1rovisión de servicios y enlaces de datos se"uros.

P Informes de operatividad de servicios y sistemas.

P Informe de rendimiento y monitoreo de los servicios de red instaladosen la red LA2 de la Comandancia ;eneral de -arina y en la ed 2avalde )atos nodo 2orte.

P 1lan de contin"encia.

!.& DESARROLLO DE SOLUCIONES TECNOL%GICAS

P Sistemas en 1roducción

P 1ersonal capacitado para el empleo y administración de los sistemas

P -anuales de uso y administración del sistema

(.& MANTENIMIENTO DE SISTEMAS Y SOPORTE

P Informe de servicio de soporte al usuario final

P Informe de mantenimiento de sistemas

P equerimiento de usuario fina atendido


13/37

USUARIOS BENEFICIARIOS DEL DEPARTAMENTO TECNOL%GICO.

P REPARTOS EN TIERRA COSTA

SUR Y REGIÓNINSULAR

P UNIDADES

P REPARTOS EN TIERRASIERRA, ORIENTE YESMERALDAS

P ÁREAS DESEGURIDAD GENERAL(COMANDOCONJUNTO)


14/37

A8)I%'IA &SICA : L,;ICA

SE;8I)A) &SICA

De acuerdo a la Naturaleza de la Institución Naval, y siguiendo procedimientos deSeguridad altamente confidenciales, el manejo de las siguientes especificaciones son lo

más limitadas posibles, siguiendo los estándares utilizados por instituciones externas,donde; la seguridad fsica consiste en la aplicación de barreras fsicas y procedimientosde control, como medidas de prevención y contramedidas ante amenazas a los recursose información confidencial!

"abe mencionar #ue la $rmada del %cuador posee una división encargada del estudio,investigación e inteligencia de posibles amenazas &sicas y 'ógicas DISIS$(DI)%""I*N D% SIS+%$S D% S%-.)ID$D D% '$ $)$D$/!

+odos a#uellos mecanismos de control son, generalmente, de prevención y detección,destinados a proteger fsicamente cual#uier recurso del sistema, dependiendo del

entorno y los sistemas a proteger esta seguridad será más o menos importante yrestrictiva, aun#ue siempre deberemos tenerla en cuenta!

'os sistemas informáticos existentes manejados dentro de una empresa surtenefecto si se posee instalaciones adecuadas acorde a la necesidad y capacidadde cada institución por lo #ue re#uieren cada cierto tiempo ser expuestas aanálisis #ue reiteren su correcto funcionamiento evitando as #ue los e#uiposse encuentren en riesgo de deterioro o da0os irremediables!

Seg1n 2$++INI, ario(3445/enciona #ue la $uditora &sica es 6.na

$uditora 2arcial #ue garantiza la integridad de los activos 7umanos lógicos ymateriales, por lo #ue no difiere de la $uditora -eneral más #ue en el alcancede la misma!8

Objetivo Principal%ste tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto

por el 7ombre como por la naturaleza del medio fsico en #ue se encuentraubicado el centro!

'os objetivos de la seguridad fsica se basan en prioridades con el siguienteorden9


15/37

P %dificioP InstalacionesP %#uipamiento y +elecomunicaciones

P Datos y 2ersonas

CARACTERÍSTICASP 2ermetro de Seguridad &sicaP "ontroles de $cceso &sicoP 2rotección de :ficinas, )ecintos e InstalacionesP +rabajo en áreas segurasP $cceso a las áreas de distribución y recepción de cargasP Instrumentos de %valuación en la $uditora de la Seguridad &sica

NIVEL DE SEGURIDAD FÍSICA%s un conjunto de acciones utilizadas para evitar el fallo o, en su caso,aminorar,las consecuencias #ue d l se puedan derivar!

P .bicación del %dificioP .bicación del "2D dentro del %dificioP "ompartimentaciónP %lementos de construcciónP %lementos de construcciónP 2otencia %lctricaP Sistema contra incendiosP "ontrol de accesosP Selección de personalP Seguridad de mediosP edidas de protecciónP Duplicación de medios!

FUENTES DE LA AUDITORÍA FÍSICA

P 2olticas, Normas y planes sobre seguridad!• $uditorias $nteriores generales y parciales, referente a la seguridad

fsica cual#uier otro tipo de $uditora llevado a cabo!P "ontratos de seguros, de proveedores y de mantenimiento!P %ntrevistas con el personal de seguridad, personal informático y otros

responsables!P $ctas e informes de tcnicos y consultoresP 2lan de "ontingencia y valoración de las pruebas!P Informes sobre accesos y visitas


16/37

P 2olticas de personalP Inventarios de Soporte (papel o magntico!/

ALCANCE DE AUDITORÍA'a presente $uditora cumplirá al máximo la revisión de procedimientos deseguridad fsica del departamento tecnológico DI)+I", de la $rmada del%cuador, en sus diferentes actividades!

!SEGURIDAD L!GICA


17/37

CRONOGRAMA DE ACTIVIDADES DE AUDITORÍA FÍSICA Y L%GICA DE LADIRTIC

TIEMPO DE LA AUDITORIA 40 h

ACTIVIDADES PESOPERSONA

L TIEMPO

RECOPILAR INFORMACIÓN 15% 3 hmin

- Entre!"t#" 40$%& %'

!n

- Re#!*#r en+e"t#" '$%& %%

!n

- O."er#+!/n e 1#r 2'$ % %4!n

VERIFICACIÓN DE PLANES 35% 5 h 15!n

- P#n e"tr#t31!+ TI 40$ 2 h 5!n

- P#n 6!n#n+!er 0$ 24,

'!n

- P#n e +#7#+!t#+!/n 0$ 24,

'!n

VERIFICAR RECURSOSTECNOLÓGICOS 20% 7 h 0

!n

- 6!+h# T3+n!+# 40$ % h %2!n

-E##+!/n e e"t#89"!+ 0$

% '4

!n

- Inent#r! e e:!7" 0$%& '4

!n

VERIFICACIÓN DEL COMITÉTICS 15%

2 h 0!n

VERIFICACIÓN DEAD!UISIÓN 15% 5 h 0

!n

-;!ene"

'0$% h %'

!n

- Ser!+!" '0$ % h %'!n


18/37

ELA"ORACIÓN # ENTREGADEL INFORME FINAL 10% 1 h 30

min

TIEMPO DE $OLGURA 10%

1 h 30min

PERSONAL A SER EVALUADO:

PLAZA DEFINICI%N $ PUESTO GRADO CLASIF. ESP.

1

EFE DE SEGURIDAD DE LA DIRTIC

SGOS SER IF

CUESTIONARIO DE PREGUNTAS AUDITORÍA FÍSICA:

1 !&' &ni()( * (+,)-.)m+n.* (+.+-min) +/ C*n.-*/ (+ /) S+&-i()( Fi) +n +/ 4-+) T+n*/i)6

E" n Re7#rt !ne7en!ente < 0=

0 E" n# D!!"!/n 0=2

E" n re7#rt en +r!n#+!/n +n DIRTIC 0='

S/ DIRTIC 0=4

3 N e>!"te t# Cntr 0

2 D+ &n.) ,+-*n) +. *m,&+.) /) O-)ni8)in9Di:iin (+ *n.-*/ (+ S+&-i()( Fi)6

% ? 7er"n#" 0=%

0 4 ? 5 7er"n#" 0=2

@ ? 7er"n#" > 0=

MB" e 0=4

3 L) (i-+in in;*-m.i) *n &)n.* m(&/* (+ +&-i()( +. -+/)i*n)()

Un 0=%

0 D" 0=2

Tre" 0=

MB" e Tre" > 0=4

3 N!n1n 0

0=4

0 5 Me"e" 0=


19/37

%2 Me"e" 0=2

N re#!*#n 0

5 C*n =&+ .i,* (+ i.+m) (+ m*ni.*-+* &+n.) /) Di:iin

CCT 0=

0 A++e" .!3tr!+ 0=2

Ch#7#" #1n3t!+#" 0=%

T#" #" #nter!re" > 0=4

3 N!n1n# 0

> E/ i.+m) (+ CCTV *n &)n.* .i+m,* (+ -+,)/(* &+n.)

%2 Me"e" 0='

0 5 Me"e" 0=4

Me"e" 0= Menr # e"e" > 0=2

3 N "e re#!*#n 0

7 C)() =&+ .i+m,* + -+)/i8) m)n.+nimi+n.* ) /* i.+m) (+ +&-i()(6

Me"e" 0=4

0 5 Me"e" 0=

%2 Me"e" 0=2

C#n "e ## e e:!7 > 0=%

? C*n =&+ ;-+&+ni) + -+)/i8)n .+. * im&/)-* ) /* +=&i,* (+ +&-i()( ,)-) :+-i@)- &*--+.* ;&ni*n)mi+n.*

% ? Me"e" 0=4

0 4 ? 5 Me"e" 0=

@ ? Me"e" 0=2

%0 ? %2 Me"e" > 0=%

C*m* + -+)/i8) +/ -+i.-* (+ /) ,+-*n) =&+ in-+)n )/ -+) In;*-m.i)

;!tB+r# 0=2

0 Re1!"tr +n !#1en 0=

Re1!"tr +n +7!# e +e# et## +# 8e e t! e " #++e" 0=4

N "e re#!*# > 0=%

10 En +/ )* =&+ + ,-++n.+ &n) +m+-+ni) (+ .i,* ;i) &/ + & ,-im+-) -+)in L##r # # 7!+9# 0=%

0 A!"#r # Je8e e Se1r!# > 0=

A!"#r # 1erente e S!"te#" 0=2

N h#1 n## 0

11 C)() =&+ .i+m,* + -+)/i8)n -+&ni*n+ *n .*() /) (i:iin ,)-) .-).)- .+m) (+ +&-i()( % ? Me"e" > 0=4


20/37

0 4 ? 5 Me"e" 0=

@ ? Me"e" 0=2

%0 ? %2 Me"e" 0=%

12 C&)n.) h*-) + (+(i)n ) /) :ii/)ni) +n +/ &)-.* (+ +-:i(*-+

% ? 4 hr#" 0=%

0 ' ? hr#" 0=2

%0 ? %' hr#" < 0=

24 hr#" 0=4

13 A /) +n.-)() (+/ -+) T+n*/i) +Bi.+

G#r!# 0=

0 Re+e7+!n!"t# 0=2

T#rFet# e +ntr e A++e" > 0=4

N h# +ntr 01 0='

4 N!n1n e " #nter!e" 0

15 !&' ,*-+n.)+ *-+ +/ .+m) (+ +&-i()( *ni(+-) =&+ +. /) Di:iin ) ni:+/ G+n+-)/

2'$ 0=%0 '0 $ 0=2

@' $ > 0=

D %00 $ 0=4

1> EBi.+ )/)-m) ,)-)

Dete+t#r 6e1 C#r & en 8r# AtBt!+# > 0=4

0 Dete+t#r 81# e #1# 0=

0 Dete+t#r M#1net" 0=2

N e>!"te 0

17 E.) )/)-m) .)mi'n +. *n+.)()6

A 7e"t e 1#r!# > 0=%

0 A # e"t#+!/n e ..er" 0=

A # +entr# %% 0=

A n!n1n # 0

1? EBi.+n +B.in.*-+

M#n#e" 0=%

0 AtBt!+" 0=2 S!"te# +ntr# !n+en! 0=


21/37

T" " #nter!re" > 0=4

1 C)() =&+ .i+m,* + -+)/i8)n im&/)-* *n.-) in+n(i*

% ? Me"e" 0=4

0 4 ? 5 Me"e" 0=

@ ? Me"e" 0=2

%0 ? %2 Me"e" > 0=%

21 C*n =&+ ;-+&+ni) + -+)/i8) m)n.+nimi+n.* ) /* Si.+m) *n.-)in+n(i* CCTV C*n.-*/(+ A+*

C## 5 e"e" 0=

0 C## A 0=2

Se1n P#n!H+#+!/n 0=4

N "e t!ene 7#n!H+#+!/n 0=%

22 In(i=&+ +n =&+ ,*-+n.)+ .i+n+ U.+( (+ *n*imi+n.* (+ /* ,&+.* C/):+ (+ +n&+n.-*

2'$ 0=%

0 '0 $ 0=2

@' $ > 0=

%00 $ 0=4

23 P*-=&+ m+(i* + *m&ni) &)n(* +/ ,+-*n)/ :) .-))) +n h*-)-i* n* L)*-)/+

Or# 0=%

0 M#! 0=2

Len n 6r#r! 0=

OH+! e #tr!*#+!/n B 0=4

E N "e e"7e+!H+# 0

2 0=4

N e>!"te +ntr 0


22/37

GERENTE DESISTEMAS

<

PERSONAL TI <

DESARROLLADORES <

ADMINISTRADORES DE ;ASE

DE DATOS<

ADMINISTRADORES DE RED

<

GERENTE '."

PERSONAL TI '."

DESARROLLADORES '.(

DBA '."

ADM. RED '."

Se verifica que el personal del departamento! cuenta con altos conocimientosen cuestiones de se"uridad.

TABULACI%N DE PREGUNTAS

Pre&"nta# Valoraci'n Valor Obteni%oValor

E#pera%o

+

a 4!> ,-

,. b 4!3 c 4!?

d 4!@ e 4

/

a 4!5

,0 b 4!3 c 4!> ,-d 4!@

-

a 4!5

,0 b 4!3 c 4!>

d 4!@ ,0e 4


23/37

0

a 4!@ ,0

,0 b 4!> c 4!3 d 4

.

a 4!>

,0 b 4!3 c 4!5 d 4!@ ,0e 4

1

a 4!?

,. b 4!@ c 4!> d 4!3 ,/

e 4

2

a 4!@

,0 b 4!> c 4!3 d 4!5 ,+

3

a 4!@

,+ b 4!> c 4!3 d 4!5 ,+

4a 4!3

,0 b 4!> c 4!@ d 4!5 ,+

+,

a 4!5

,- b 4!> ,-c 4!3 d 4

++

a 4!@ ,0

,0 b 4!> c 4!3 d 4

+/

a 4!5

,0 b 4!3 c 4!> ,-d 4!@

+-

a 4!>

,0 b 4!3

c 4!@ ,0d 4


24/37

+0

a 4!3

,.

b 4!5 c 4!@ d 4!>

e 4!? ,.f 4

+.

a 4!5

,0 b 4!3 c 4!> ,-d 4!@

+1

a 4!@ ,0

,0 b 4!> c 4!3

d 4

+2

a 4!5 ,+

,- b 4!> c 4!3 d 4

+3

a 4!5

,0 b 4!3 c 4!> d 4!@ ,0

+4a 4!@

,0 b 4!> c 4!3 d 4!5 ,+

/,

a 4!5

,0 b 4!3 c 4!> ,-d 4!@

/+

a 4!@ ,0

,0 b 4!> c 4!3 d 4

//

a 4!5 ,+

,- b 4!> c 4!3 d 4

/-

a 4!5

,0 b 4!3

c 4!> d 4!@ ,0


25/37

/0

a 4!5

,0 b 4!> c 4!3 d 4!@ ,0

e 4 25 4!3@ 0=24 0=2'

INFORME DE AUDITORIA

Ient!H+#+!/n e !n8re

A!tr!# 69"!+#

Ient!H+#+!/n e C!ente

T# # e7re"#

Ient!H+#+!/n e # Ent!# A!t##

DIRECCIÓN DE TECNOLOGAS DE INFORMACIÓN #

TELECOMUNICACIONES DE LA ARMADA

O.Fet!"

• evisión de las políticas y 2ormas sobre se"uridad &ísica.• =erificar la se"uridad de personal! datos! 5ardQare! softQare e

instalaciones• Se"uridad! utilidad! confianza! privacidad y disponibilidad en el ambiente

informático

'b/etivos Específicos

• =erificar la estructura de distribución de los equipos.• evisar la correcta utilización de los equipos• =erificar la condición del centro de cómputo.

9allaz"os 1otenciales

• 2o cumplimiento de planificación de mantenimiento de sistemas de

se"uridad física.


26/37

• Eceso de confianza por parte del personal militar! en procedimientos dese"uridad.

• El circuito cerrado de %=! se encuentra con falencias! ya que el equipo de

"rabación no tiene características Industriales! acorde con la recurrencia de

unidades de "rabación.

Alcance de la auditoria

• 'r"anización y cualificación del personal de Se"uridad.• emodelar el ambiente de traba/o.• 1lanes y procedimientos.• Sistemas t0cnicos de Se"uridad y 1rotección.

C'2CL8SI'2ES*

• Como resultado de la Auditoria podemos manifestar que 5emos cumplidocon evaluar cada uno de los ob/etivos contenidos en el pro"rama deauditoria.

• El Centro de %ecnolo"ías de Información de ;uayaquil! es un enteadiestrado en este tipo de Se"uridades! tanto &ísica como Ló"ica! ya que lanaturaleza de la Institución y el valor de la Información que se administra!puede ser per/udicial con un uso no adecuado de la misma! y por ende severifican "randes fortalezas en el análisis realizado. Solo acotando que sedebería fortalecer al personal tanto civil y militar en capacitaciones paraprecaución ante nuevas amenazas y 0stos a su vez! adiestrar al personalque lo si"ue en /erarquía.

ecomendaciones

Instrucción y Calificación del personal civil involucrado en áreas tecnoló"icas!ante amenazas físicas.

Cumplir con el 1lan de mantenimiento de equipos y sistemas de se"uridadfísica.

Elaborar un calendario de mantenimiento preventivo! predictivo y correctivo.

6e+h# De In8re

PLANEMIENTO EJECUCION IN6ORME6EC&AS %'-05-20%4 # 22-05-

20%424-05-20%4 # %-05-20%4

02-0@-20%4 # 0-0@-20%4

Ient!H+#+!/n Hr# e " A!tre"


27/37


28/37

5ATRI6 DE DECISI!N

ESTRATEGIAS A FISICA)eestructuración de

procedimientos,estrategias, sobre larenovación ymantenimiento dematerial deseguridad97ardAare,estaciones c=i,cámaras ip, alarmasy sensores de pánicoy c=i!(d5,d3,o>/

2laneación De

%valuaciones"onstantes Sobre2ráctica,%xperiencia Banejo De2rocedimientos DeSeguridad(D>,45,43/

)ealizar convenios

con empresasextranjeras proveedoras de lossistemas navales,con la oportunidadde intercambiar experiencias entredirectivos, personaloperativo de laDivisión

$ctualizar tecnológicamente de planes decontingencia ante"atástrofesnaturales, amenazasdel exterior, ata#ues +erroristas,

PES

O

RECUR

SO

CUAL

IT

CUA

NT

CUAL

IT

CUA

NT

CUAL

IT

CUA

NT

CUAL

IT

CUA

NT

-Per#onalCali$ica

%o

)egular

3(>/C (>/CE)egula

r 3(>/C

)egular

3(>/

/

Di#po#itivo 7

So$t8are De

Se&"ri%a%

)egular

3(3/C@)egula

r 3(3/C@ alo 5(3/C3

)egular

3(3/

+Pre#"p"

e#to)egula

r 3(5/C3

)egular

>(5/C> alo 5(5/C5 alo 5(5/

TOTAL 53 5? E 55

C-i.+-i*

P+-*n)/ C)/i@)(* S+&-i()( In:+-in 1 M)/* 1 N* +Bi.+ M)/* 1 # 2500M)/* 1


29/37

1 3 R+&/)- 2 S*;.)-+ R+&/)- 2 1200 # 2500 R+&/)-2 3 "&+n* 3 A,,/i)n+ "&+n* 3 # 1200 "&+n* 3

CUESTIONARIO DE AUDITORÍA L%GICA

5! 'a DI)+I" cuenta con alg1n tipo de planeación o estrategia para el respaldo yresguardo de la InformaciónF

a/ "uenta y se cumple a cabalidad 4!@ b/ "uenta y se cumple con regularidades 4!>c/ "uenta y no se cumple 4!3d/ No cuenta con esta planeación 4

3! "uál es el tipo de metodologa de respaldo #ue utiliza la DI)+I"!a! -eográfico 4!@

b! %n la misma ciudad 4!>c! %n conjunto con otra &uerza 4!3d! %n el mismo edificio 4!5

>! "on #u frecuencia se realizan respaldos de la información

a/ 4G5 veces por semana ( / 4!5 b/ 3G> veces por semana ( / 4!3c/ @G? veces por semana ( / 4!>d/ GH veces por semana ( / 4!@

@! %n caso de prdida de energa la DI)+I" cuenta con9a/ 2lanta propia ( / 4!@

b/ .ps para cada e#uipo ( / 4!5c/ -enerador de energa ( / 4!3d/ Ninguno ( / 4

?! "uál es el nivel de acceso a internet con el #ue cuentan los integrantes de laDI)+I"

a/ Sin restricciones ( / 4!5

b/ 'imitado ( / 4!3c/ )estringido ( / 4!>


30/37

d/ No cuentan con el servicio ( / 4

! "ada integrante realiza un reporte de las actividades #ue realiza en el daa/ Siempre ( / 4!@

b/ "asi siempre ( / 4!>

c/ )ara vez ( / 4!3d/ Nunca ( / 4H! uin realiza el estudio del personal autorizado al ingreso del "entro de DatosF

a/ "omandante de División ( / 4!5 b/ Jefe del Departamento ( / 4!3c/ "omit +I" ( / 4!>d/ No se planifica ( / 4

K! L"ómo se realiza la administración de perfiles de usuarios, servicios corporativosde red, compartición de arc7ivos e impresoras y la validación de acceso a un e#uipoinformático en la DI)+I" y repartos subordinados a su servicioF

a! S%)MID:) D% D:INI: 4!@ b! -).2: D% +)$c! )%D D:S+I"$ 4!3d! N: S% -%S+I:N$ %S+:S S%)MI"I:S 4

E! "ada #u tiempo se valida los usuarios #ue tienen acceso directamente a lainformaciónF

a/ "ada semana ( / 4!3 b/ "ada mes ( / 4!>c/ "ada > meses ( / 4!@d/ No son validados nunca ( / 4

54! u nivel de seguridad mantienen los respaldos de información calificada #ueadministra la DI)+I"

a/ $ltamente "onfidencial ( / 4!@ b/ Niveles básicos de seguridad ( / 4!>c/ Seguridad parcial ( / 4!3d/ No existe planeación ( / 4

55! 2ara comunicación interna y netamente de trabajo usana/ "orreo externo ( / 4!5

b/ "orreo interno ( / 4!>c/ SoftAare de comunicación ( / 4!@d/ 'lamadas ( / 4!3e/ +odo se realiza personalmente ( / 4!5

53! "ómo evita la fuga de información la DI)+I"a/ )estringe actividades sobre configuración ( / 4!5

b/ %vita uso de correos externos ( / 4!3c/ .sa polticas de seguridad ( / 4!>d/ +odas las anteriores ( / 4!@

5>! "ómo es controlado el "entro de +ecnologa de Información en sus jornadasdiarias!


31/37

a/ "ámara de seguridad y accesos remotos (/ 4!3 b/ SoftAare de "ontrol de rendimiento (/ 4!>c/ Servidor p1blico -uardia diaria (/ 4!5d/ +odas las anteriores (/ 4!@

5@! "ómo se realiza el control de Intrusiones, virus y amenazas de la red!Fa! &ireAall (/ :!3

b! 2roxy (/ 4!5c! $ntivirus "orporativo (/ 4!>d! +odas las anteriores (/ 4!@e! Ninguna de las anteriores ( / 4

5?! u porcentaje de má#uinas de la compa0a cuentan con un antivirus!a/ 544O ( / 4!@

b/ H?O ( / 4!>c/ ?4O ( / 4!3d/ 3?O ( / 4!5e/ 4O ( / 4

5! 'os programas instalados en las má#uinas de la compa0a cuentan con permisos ylicencias originales

a/ +otalmente ( / 4!> b/ 2arcialmente ( / 4!3c/ 2oco ( / 4!5d/ Nada ( / 4

5H! u porcentaje de seguridad le da al resguardo de información confidencial de lacompa0a

a/ 544O ( / 4!@ b/ H?O ( / 4!>c/ ?4O ( / 4!3d/ 3?O ( / 4!5e/ 4O ( / 45K! "1ales de estas amenazas #ue estaran expuestos los usuarios de los Servicios de

información por su inconformidad de limitaciones en navegación, soncontroladasF

a! Servicios independientes de Internet tipo puertas traseras ( / 4!@ b! Infección de virus por acceso libre .S< ( / 4!>c! Instalación de programas innecesarios ( / 4!3d! Sndrome del usuario sabelotodo ( / 4!5e! +odas las anteriores ( / 4!?


32/37

INFORME DE AUDITORIA

Ient!H+#+!/n e !n8re

A!tr!# L/1!+#

Ient!H+#+!/n e C!ente

T# # e7re"#

Ient!H+#+!/n e # Ent!# A!t##

DIRECCIÓN DE TECNOLOGAS DE INFORMACIÓN #

TELECOMUNICACIONES DE LA ARMADA

O.Fet!"

evisión de las políticas y 2ormas sobre se"uridad Ló"ica. =erificar la se"uridad de sobre el mane/o estrat0"ico del ecurso Ló"ico. Se"uridad! utilidad! confianza! privacidad y disponibilidad en el ambiente

informático

'b/etivos Específicos

=erificar implementación de políticas de se"uridad acordes a la 2aturaleza dela empresa.

=erificar la implementación de medidas de prevención y de bloqueos de acceso =erificar la condición del mane/o ló"ico del )I%IC.

9allaz"os 1otenciales

2o cumplimiento de planificación de mantenimiento de sistemas de se"uridadfísica! se"3n lo determinan los proveedores.

Eceso de confianza por parte del personal militar! en procedimientos dese"uridad.

2o eiste un control e5austivo del mane/o de las 5erramientas y servicios

tecnoló"icos que posee la empresa por parte de usuarios inepertos de

repartos subordinados y "eo"ráficamente distantes. 2o eiste consciencia


33/37

Alcance de la auditoria

'r"anización y cualificación del personal de Se"uridad. emodelar el ambiente de traba/o. 1lanes y procedimientos.

Sistemas t0cnicos de Se"uridad y 1rotección.

C'2CL8SI'2ES*

• Como resultado de la Auditoria podemos manifestar que 5emos cumplidocon evaluar cada uno de los ob/etivos contenidos en el pro"rama deauditoria.

•

El Centro de %ecnolo"ías de Información de ;uayaquil! es un enteadiestrado en este tipo de Se"uridades! tanto &ísica como Ló"ica! ya que lanaturaleza de la Institución y el valor de la Información que se administra!puede ser per/udicial con un uso no adecuado de la misma! y por ende severifican "randes fortalezas en el análisis realizado. Solo acotando que sedebería fortalecer al personal tanto civil y militar en capacitaciones paraprecaución ante nuevas amenazas y 0stos a su vez! adiestrar al personalque lo si"ue en /erarquía.

ecomendaciones

Instrucción y Calificación del personal civil involucrado en áreas tecnoló"icas!ante amenazas físicas.

Cumplir con el 1lan de mantenimiento de equipos y sistemas de se"uridadfísica.

Elaborar un calendario de mantenimiento preventivo! predictivo y correctivo.

%=%= 6e+h# De In8re

PLANEMIENTO EJECUCION IN6ORME

6EC&AS %'-05-20%4 # 22-05-20%4 24-05-20%4 # %-05-20%4 02-0@-20%4 # 0-0@-20%4


34/37

Ient!H+#+!/n Hr# e " A!tre"

ANÁLISIS FODA


35/37


36/37

ESTRATEGIAS A L!GICA)ealizar convenioscon empresasextranjeras proveedorasDe los sistemasnavales, con laoportunidad deintercambiar experiencias entredirectivos, personaloperativo de laDivisión!

)ealizar 2lanes De"apacitación 2ara&ormar as2ersonal De2referencia ilitar 2ara %l "ontrol Banejo De2rocedimientos DeSeguridad 'ógica

$ctualizar +ecnológicamente2lanes De"ontingencia $nte Nuevos $ta#ues+ecnológicos

Incorporación Deas 2ersonal "on'a Suficiente%xperiencia B"apacidad De"onocimientos!

PESO

RECUR SO

CUALIT

CUANT

CUALIT

CUANT

CUALIT

CUANT

CUALIT

CUANT

-Per#onalCali$ica

%o

)egula

r

3(>/ (>/ alo 5(>/ alo 5(>/

+

Di#po#itivo 7

So$t8are De

Se&"ri%a%

)egular

3(5/)egula

r 3(5/ alo 5(5/

)egular

3(5/

/Pre#"p"

e#to)egula

r 3(3/


37/37

auditoría física y lógica

Documents