informe final - equipo 9b
TRANSCRIPT
INSTITUTO TECNOLÓGICO
DE CHETUMAL
“Licenciatura en
Informática”
Materia:
Auditoria Informática
Tarea:
Informe Final
Alumnos:
Álvaro Adrian Zapata CárdenasRaúl Joe Correa Briceño
Ricardo Javier Canto Serrano
Nombre de la Profesor:
Lic. Benjamín Vargas Ku
Grupo: 9FB
Auditoria a “Soluciones al Campo SCP”
Chetumal, Q. Roo a 3 de Diciembre del 2010
Lic. en Informática 9B – Auditoría en Informática Page 2
Auditoria a “Soluciones al Campo SCP”
Asunto: Informe FinalChetumal Quintana Roo
2/Diciembre/2010
ING. GERARDO VILLEGAS PALMERDIRECTOR GENERAL S.C.P.PRESENTE:
Por medio de la presente emitimos el informe de resultados de la auditoría
realizada desde el 22 de Octubre al 2 de Diciembre del 2010, en las
instalaciones de la empresa Soluciones al Campo S.C.P.
Las actividades realizadas comprenden la evaluación de la estructura
organizacional, aspectos de seguridad física y lógica, infraestructura y revisión
de controles de la empresa. Procurando cuidar la integridad de la misma y de
no interrumpir las actividades de los empleados.
En el informe se incluye el dictamen final de la auditoría así como las
observaciones y conclusiones de la misma, las cuales se obtuvieron luego de la
identificación y análisis de los aspectos vulnerables de la empresa, reflejando
una disminución de riesgo de hasta un 75% aplicando los controles sugeridos.
Esperamos que los resultados y comentarios obtenidos le sean de utilidad.
Quedando a su disposición para cualquier duda y/o aclaración.
Agradecemos la colaboración prestada durante nuestra visita por todo el
personal de la Cooperativa y quedamos a vuestra disposición para cualquier
aclaración y/o ampliación de la presente que estime necesaria.
Saludos Cordiales
Atentamente
Auditores
Ricardo Javier Canto SerranoRaúl Joe Correa Briceño
Álvaro Adrian Zapata Cárdenas
Lic. en Informática 9B – Auditoría en Informática Page 3
Auditoria a “Soluciones al Campo SCP”
CONTENIDO1
ASUNTO: INFORME FINAL................................................................................................................................... 2
AUDITORIA INFORMÁTICA.................................................................................................................................. 6
OBJETIVO............................................................................................................................................................ 6
OBJETIVO GENERAL.................................................................................................................................................6OBJETIVOS ESPECÍFICOS..........................................................................................................................................6 INSPECCIONAR QUE EL PERSONAL CUMPLA CON SUS LABORES ASIGNADAS................................................6 IDENTIFICAR Y EVALUAR LOS EQUIPOS CON LOS QUE CUENTA LA ORGANIZACIÓN.......................................6 VERIFICAR LA EXISTENCIA DE SEÑALES DE SEGURIDAD EN LA EMPRESA.....................................................6 COMPROBAR QUE LOS DATOS SE ENCUENTREN CORRECTAMENTE ALMACENADOS.....................................6 EVALUACIÓN DEL SOFTWARE EXISTENTE DENTRO DE LA ORGANIZACIÓN....................................................6
ALCANCES Y LIMITACIONES DEL TRABAJO........................................................................................................... 7
ALCANCES................................................................................................................................................................7LIMITACIONES.........................................................................................................................................................7 EL TIEMPO QUE TENEMOS PARA EFECTUAR LA AUDITORIA EN LA EMPRESA ES LIMITADO...........................7 ESCASA DOCUMENTACIÓN POR PARTE DE LA EMPRESA...............................................................................7 ES LA PRIMERA AUDITORÍA QUE SE LLEVA A CABO EN LA EMPRESA.............................................................7
1. IMAGEN DE LA EMPRESA................................................................................................................................. 8
MALA IMAGEN DE LA EMPRESA.......................................................................................................................................8
2. COORDINACIÓN DEL PERSONAL...................................................................................................................... 8
DESCOORDINACIÓN DEL PERSONAL..................................................................................................................................8
3. SATISFACCIÓN DEL USUARIO........................................................................................................................... 8
INSATISFACCIÓN DEL USUARIO.........................................................................................................................................8
4. SEGURIDAD..................................................................................................................................................... 8
INSEGURIDAD LÓGICA....................................................................................................................................................8INSEGURIDAD FÍSICA.....................................................................................................................................................8
INFRAESTRUCTURA............................................................................................................................................. 9
OPERACIONES DE RESPALDO............................................................................................................................. 12
EFECTOS PROBABLES...................................................................................................................................................12SUGERENCIAS PARA LAS OPERACIONES DE RESPALDO.........................................................................................................12
ACCESO A USUARIOS......................................................................................................................................... 13
EFECTOS PROBABLES...................................................................................................................................................13SUGERENCIAS............................................................................................................................................................13
PLAN DE CONTINGENCIAS................................................................................................................................. 14
Lic. en Informática 9B – Auditoría en Informática Page 4
Auditoria a “Soluciones al Campo SCP”
IMPLICANCIA PROBABLE...............................................................................................................................................14SUGERENCIA..............................................................................................................................................................14
DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE APLICACIONES.............................................................17
SITUACIÓN................................................................................................................................................................17EFECTOS PROBABLES...................................................................................................................................................18SUGERENCIAS............................................................................................................................................................18
EQUIPAMIENTO................................................................................................................................................ 19
EQUIPOS DE SEGURIDAD.......................................................................................................................................19
HARDWARE...................................................................................................................................................... 19
COMUNICACIONES............................................................................................................................................ 26
SOFTWARE........................................................................................................................................................ 27
OBJETIVOS.............................................................................................................................................................27
RESEÑA............................................................................................................................................................. 27
RIESGOS............................................................................................................................................................ 28
CONTROLES PROPUESTOS................................................................................................................................. 28
EQUIPO DE TRABAJO...................................................................................................................................................29INFORMES.................................................................................................................................................................30
PRESUPUESTO................................................................................................................................................... 30
ANEXOS............................................................................................................................................................ 31
CUESTIONARIOS................................................................................................................................................ 32
CHECKLIST......................................................................................................................................................... 35
PLAN DE AUDITORIA......................................................................................................................................... 36
RECOPILACION DE LA INFORMACION................................................................................................................ 36
PERSONAL PARTICIPANTE................................................................................................................................. 38
EVALUACION DE LA INFORMACION................................................................................................................... 39
RECURSOS MATERIALES Y FINANCIEROS............................................................................................................ 40
EVALUACION DE LA INFORMACION DE ACUERDO AL RIESGO.............................................................................40
PLAN DE CONTINGENCIA DE INFORMÁTICA.......................................................................................................42
INTRODUCCIÓN................................................................................................................................................ 42
OBJETIVOS........................................................................................................................................................ 43
OBJETIVO GENERAL....................................................................................................................................................43OBJETIVOS ESPECÍFICOS...............................................................................................................................................43
1. PLANIFICACIÓN DE CONTINGENCIA............................................................................................................... 44
1.1 ACTIVIDADES ASOCIADAS.......................................................................................................................................44
Lic. en Informática 9B – Auditoría en Informática Page 5
Auditoria a “Soluciones al Campo SCP”
2. ANÁLISIS DE RIESGOS.................................................................................................................................... 45
2.1 BIENES SUSCEPTIBLES DE UN DAÑO..........................................................................................................................452.2 DAÑOS...............................................................................................................................................................462.4.- FUENTES POSIBLES DE DAÑOS...............................................................................................................................472.5 EXPECTATIVAS ANUALES DE DAÑOS..........................................................................................................................50
3. MEDIDAS PREVENTIVAS................................................................................................................................ 51
3.1.- CONTROL DE ACCESO..........................................................................................................................................51
4.- PREVENCIÓN DE DESASTRES NATURALES.....................................................................................................53
¿QUÉ HACER EN CASO DE UN FENÓMENO HIDROMETEOROLÓGICO?....................................................................................53¿QUÉ HACER EN CASO DE UNA INUNDACIÓN?..................................................................................................................54¿QUÉ HACER EN CASO DE UN INCENDIO?........................................................................................................................55
5. PLAN DE RESPALDO....................................................................................................................................... 56
6. PLAN DE RECUPERACIÓN:.............................................................................................................................. 58
ETAPAS....................................................................................................................................................................59
Lic. en Informática 9B – Auditoría en Informática Page 6
Auditoria a “Soluciones al Campo SCP”
Auditoria Informática
Esta auditoría se efectuó en una empresa particular, denominada “Soluciones al
Campo SCP”, la cual fue autorizada por el representante general de dicha empresa.
A continuación definiremos todos los puntos que se validaron:
OBJETIVO
OBJETIVO GENERALEl objetivo de la auditoría tiene como función principal la de evaluar las actividades,
controles, procedimientos, operaciones y resultados con que se está trabajando para
que por medio de esta se tomen decisiones que permitan corregir los errores, y en caso
de que se determinen, establecer controles para mejora de las funciones existentes en
la actualidad, para que de esta manera la empresa posea un buen control de todo lo
evidente, y de este modo logren que sus funciones sean eficientes y eficaces, tanto
dentro como fuera de la organización.
OBJETIVOS ESPECÍFICOS
Inspeccionar que el personal cumpla con sus labores asignadas.
Identificar y evaluar los equipos con los que cuenta la organización.
Verificar la existencia de señales de seguridad en la empresa.
Comprobar que los datos se encuentren correctamente almacenados.
Evaluación del software existente dentro de la organización.
Lic. en Informática 9B – Auditoría en Informática Page 7
Auditoria a “Soluciones al Campo SCP”
Lic. en Informática 9B – Auditoría en Informática Page 8
Auditoria a “Soluciones al Campo SCP”
ALCANCES Y LIMITACIONES DEL TRABAJO
ALCANCES
Se pretende que la auditoría que se lleva a cabo sea una herramienta funcional en la
empresa que se va a aplicar, con la finalidad de mejorar sus procesos. Dicha auditoria
se efectuó en el periodo Octubre-Diciembre del 2010, ya que es fue el tiempo estimado
para su ejecución.
LIMITACIONES
El tiempo que tenemos para efectuar la auditoria en la empresa es limitado.
Escasa documentación por parte de la empresa.
Es la primera auditoría que se lleva a cabo en la empresa
Lic. en Informática 9B – Auditoría en Informática Page 9
Auditoria a “Soluciones al Campo SCP”
1. IMAGEN DE LA EMPRESA
Mala imagen de la empresa La empresa no cuenta con una imagen adecuada.
El color del edificio es muy opaco.
La pintura de la fachada está muy desgastada.
No es fácil de identificar la empresa a simple vista.
2. COORDINACIÓN DEL PERSONAL
Descoordinación del personal No planean la ejecución de un proyecto.
No cuentan con políticas de seguridad.
Desconocimiento de existencia de los planes de contingencia y cómo aplicarlos en un
momento determinado.
3. SATISFACCIÓN DEL USUARIO
Insatisfacción del usuario El personal está disgustado con respecto al equipo de cómputo.
El personal no le agrada las impresoras existentes ya que son muy lentas.
Software piratas instalados en algunas máquinas.
4. SEGURIDAD
Inseguridad Lógica Manejo inadecuado de las contraseñas en los equipos existentes.
No se cuenta con contraseña del Router para internet inalámbrico.
No se tiene control con respecto al acceso a páginas con contenido inapropiado.
Envío de informes de trabajos por medio de correo electrónico o por Messenger.
Inseguridad Física No se cuenta con extintores.
No se cuenta con señalamientos dentro y fuera de la empresa.
No se cuenta con puertas de seguridad.
No se cuenta con aire acondicionado en los lugares donde están los equipos de
cómputo.
Lic. en Informática 9B – Auditoría en Informática Page 10
Auditoria a “Soluciones al Campo SCP”
INFRAESTRUCTURA
INSTALACIONES DE LA EMPRESALa empresa Soluciones al Campo S.C.P se encuentra ubicada en la calle Xcalak # 353,
esquina Isla Cancún, colonia Adolfo López Mateos, en la ciudad de Chetumal, Quintana
Roo.
Se realizó la visita a las instalaciones de la empresa Soluciones al Campo con el fin de
corroborar su estado e identificar elementos perjudiciales para la misma.
Figura 1.-Instalaciones de La
empresa
Figura 2.- Sala de espera
Figura 1.-Instalaciones de La empresa Figura 2.- Sala de espera
La empresa cuenta con una pequeña sala de espera y cinco estaciones de trabajo, al
igual que con un cuarto de archivos y una bodega.
El edificio se nota un poco maltratado ya que anteriormente era ocupado por una
compañía de telefonía celular y al momento de que dejaron el predio y fue adquirido
por sus dueños actuales, estos no realizaron las adecuaciones y mantenimiento
necesario debido a la falta de presupuesto.
A continuación se muestran las estaciones de trabajo que se encuentran en la
empresa:
Lic. en Informática 9B – Auditoría en Informática Page 11
Auditoria a “Soluciones al Campo SCP”
Figura 3.- Recepción Figura 4.- Área de captura de
datos
Figura 5.- Área de dirección
general
Figura 6.- Área de planeación
Lic. en Informática 9B – Auditoría en Informática Page 12
Auditoria a “Soluciones al Campo SCP”
Figura 9.- Área de proyectos
Las actividades realizadas en la empresa son en su mayoría cuestiones administrativas
y no cuentan con personal especializado en aspectos informáticos. A causa de esto, no
se toman en cuenta los aspectos necesarios como la seguridad de los datos y el
correcto uso, protección y mantenimiento de las computadoras.
Lic. en Informática 9B – Auditoría en Informática Page 13
Auditoria a “Soluciones al Campo SCP”
OPERACIONES DE RESPALDOCuando se realizo la visita a la empresa Soluciones del Campo se encontraron las
siguientes situaciones:
Las operaciones de respaldo se realizan por parte del personal de informática
con apoyo del sistema de información; esto por medio de backups.
Las aplicaciones y programas con que se trabajan, se cuenta con respaldo de
solo de los instalables, mas no de las actualizaciones que se adquieren
conforme se requieren.
Los respaldo realizados por medio de los backups; por un personal informático y
en un periodo establecido por el mismo.
No se conoce con exactitud la confiabilidad de la información respaldada.
Efectos probables.Los efectos que pueden presentarse durante alguna situación; de acuerdo a lo
observado durante la visita; son los siguientes:
La empresa se encuentra expuesta a que la única persona que realiza los
backups; pueda ausentarse por alguna situación de la empresa y con ello
quedarse sin personal capacitado para realizar tareas de respaldo.
Otro aspecto es que los programas y aplicaciones dejen de funcionar debido a
que no se cuenta con las actualizaciones con las que trabajan.
Sugerencias para las operaciones de respaldo.Para poder disminuir los efectos que se pudiesen presentar; se sugiere lo siguiente:
Capacitar a más personal para poder manejar el sistema y estos puedan realizar
backups, con una calendarización adecuada y previamente planeada.
Considerar la creación de un fondo para adquisición de software y de
actualizaciones que se requieran.
Realizar respaldos utilizando el servicio que ofrecen otras empresas de respaldo
de información con la seguridad y confiabilidad que esta información requiere, es
decir, que los respaldos estén fuera de las instalaciones de la empresa.
Lic. en Informática 9B – Auditoría en Informática Page 14
Auditoria a “Soluciones al Campo SCP”
Realizar revisiones periódicas de la información que se respalda, por medio de
un comité que analice el porqué se respalda esta información y determine la
importancia de la información que se respalda.
ACCESO A USUARIOSDurante las diferentes visitas realizadas a las instalaciones de la empresa, pudimos
constatar lo siguiente:
Un personal informático es el que tiene todas las claves y sabe manejar la
seguridad del sistema.
Se cuentan con perfiles de usuarios, los cuales limitan el acceso a la información
al personal; estos perfiles son asignados conforme al puesto que ocupan en la
empresa.
Envío de informes de trabajos por medio de correo electrónico o por Messenger.
Manejo inadecuado de las contraseñas en los equipos existentes.
Efectos probables Existe la posibilidad de fraude o sabotaje por parte del personal que maneja el
sistema así como de terceros.
Puede darse la situación de no poder intercambiar información o documentos
tras dejar de funcionar el Messenger o correos gratuitos web.
Se puede determinar quién y qué acciones realiza cada personal sobre el
sistema en uso.
Sugerencias Las sugerencias para el acceso a usuarios, son las siguientes:
Adquirir algún programa que permita el intercambio de documentación y la
comunicación entre el personal (intranet); existe un software llamado PANDIOM
que permite realizar estas acciones y es gratuito, trabaja en red y es ligero para
la carga de la red.
Llevar un control de las actualizaciones que se realizan sobre los programas y
aplicaciones; por parte del personal informático.
Lic. en Informática 9B – Auditoría en Informática Page 15
Auditoria a “Soluciones al Campo SCP”
Tener un personal de confianza que esté capacitado para manejar el sistema de
seguridad.
PLAN DE CONTINGENCIAS.La situación encontrada es la siguiente:
No se cuenta con extintores suficientes para los equipos de cómputo.
No se cuenta con señalamientos dentro y fuera de la empresa.
No se cuenta con puertas de seguridad.
El personal tiene desconocimiento de la existencia de los planes de contingencia
y cómo aplicarlos en un momento determinado.
No existen acuerdos formalizados con otras empresas o proveedores que
permitan la restauración inmediata de los servicios informáticos de los sistemas
en la empresa.
Implicancia probable En caso de que ocurra un incidente mayúsculo; incendio, temblor o huracán; se
puede llegar a considerar como pérdida total de la información y equipos de
cómputo.
Se puede llegar a perder la vida de algún personal; por el hecho de no contar
con puertas de salidas de emergencia.
Sugerencia. Establecer un plan de contingencia escrito, en donde se establezcan los
procedimientos, responsabilidades, y conductas a seguir para restablecer la
operación normal de la empresa Soluciones del campo.
Efectuar simulacros de diversas contingencias, como pueden ser incendios,
temblores.
A continuación se listan algunas acciones a realizar en caso de algún
desastre natural.
¿Qué hacer antes de un huracán?
Colocar puertas y ventanas anticiclónicas.
Planta de energía eléctrica de emergencia.
Lic. en Informática 9B – Auditoría en Informática Page 16
Auditoria a “Soluciones al Campo SCP”
Colocar techo, paredes falsas en caso que se requiera.
Comprar garantías para los equipos de cómputo
Retirar al personal que resulte sobrante tenerlo en las instalaciones
de la empresa
¿Qué hacer durante el huracán?
Se debe de ejecutar un plan de contingencia efectuado,
aplicándolo de tal manera que se pueda prevenir o evitar un
mínimo desastre o destrucción posible en la empresa.
Retirar al personal que resulte sobrante tenerlo en las instalaciones
de la empresa
¿Qué hacer después del huracán?
Verificar si todo está en orden.
No encienda sus equipos de cómputo hasta determinar que no
exista un mínimo de riesgo posible.
Hacer un análisis o inventario de la perdida de todo el material.
De ser necesario reubique sus instalaciones hasta tener todo bajo
control y en una situación favorable.
¿Qué hacer en caso de una inundación?
¿Qué hacer antes?
Verificar o asegurar que la empresa se encuentre ubicada en un
lugar seguro.
Verificar que la empresa se encuentre a nivel mayor al de suelo
exterior.
Tener puertas aseguradas para evitar la entrada del agua.
Tener en cuenta si existen canales de desagüe, en caso contrario
tomar las medidas adecuadas para efectuarlas.
Verificar que las ventanas se encuentren bien cerradas, para que
no pueda escurrir el agua.
Contar con seguro para la empresa.
Contar con respaldos de toda la información existente e importante
para la empresa.
Lic. en Informática 9B – Auditoría en Informática Page 17
Auditoria a “Soluciones al Campo SCP”
Contar con garantías de todos los equipos de cómputo por si llega
a ocurrir daño alguno.
¿Qué hacer durante?
Verificar que todo la empresa este bien asegurado.
Apagar y desconectar todo el equipo de cómputo y todo aparato eléctrico
para evitar corto circuito alguno.
¿Qué hacer después?
Verificar la existencia de equipo dañado.
No encender ningún equipo eléctrico hasta estar seguros de que el peligro
haya trascurrido.
Efectuar un análisis minucioso de la perdida existente.
Notificar al dueño o representante legal de la empresa para tomar medidas
en caso alguno.
¿Qué hacer en caso de un incendio?
¿Qué hacer antes?
Lo primero es confirmar que los extintores estén en buenas
condiciones y que no estén caducados o en mal estado.
En caso contrario, es preferible comprar otros.
Colocar los extintores en lugares estratégicos y visibles para el
personal.
Identificar la ruta de la salida de emergencia.
Ejecutar simulacros para determinar el cargo de cada empleado.
Reduzca las áreas para fumadores a zonas con buena ventilación sin
elementos inflamables como cortinas y alfombras.
Evite conectar múltiples aparatos en el mismo tomacorriente.
Evite sobrecargar los cables con extensiones o equipos alguno.
Verificar que el cableado eléctrico este en buenas condiciones de lo
contrario cambiarlos.
Instale paredes contra fuego, puertas blindadas que permitan aislar el
fuego en ciertas áreas.
Lic. en Informática 9B – Auditoría en Informática Page 18
Auditoria a “Soluciones al Campo SCP”
¿Qué hacer durante?
Si descubre el incendio intente sofocarlo con el extintor más
cercano, sólo si sabe cómo usarlo.
No intente apagar el fuego en forma violenta.
Aleje en la medida de lo posible los objetos y materiales que
puedan provocar un incendio mayor.
Mantenga la calma.
¿Qué hacer después?
No encienda sus equipos de cómputo y aparatos electrónicos hasta
asegurar que todo está bajo control.
Verifique que el personal este sano y salvo.
Análisis o inventario de las pérdidas que se tuvo.
Retírese del área siniestrada, pues el fuego puede reavivarse.
Entre otras sugerencias está la de adquirir un seguro con cobertura amplia para
diversas situaciones; esto a través del departamento de contabilidad y finanzas.
DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE APLICACIONESSituación
Utilizan software pirata con respecto a:
Microsoft Office.
Sistema Operativo Windows XP en algunas computadoras.
Map Source.
Sistema de control administrativo.
Las modificaciones a los programas son solicitadas generalmente sin notas
internas, en donde se describen los cambios o modificaciones que se requieren.
No se tiene control con respecto al acceso a páginas con contenido inapropiado.
se cuenta con contraseña del Router para internet inalámbrico.
Lic. en Informática 9B – Auditoría en Informática Page 19
Auditoria a “Soluciones al Campo SCP”
No se cuentan con los manuales técnicos y de usuarios de las aplicaciones que
se utilizan.
Efectos probables Recibir sanciones conforme marque la ley; por la utilización de software pirata en
los equipos de cómputo.
Desconocer el completo funcionamiento del sistema por parte del personal por
no contar con los manuales de usuario y técnicos.
Pueden ocurrir sabotajes y robo de información por falta de seguridad en el
router.
Se pueden filtrar spyware’s y malwares por no contar con la seguridad adecuada
en el acceso a internet.
Sugerencias Asignación de la contraseña del Router para el acceso a la red.
Se debe apagar el modem los días que no se labora en la empresa.
Se debe de crear un fondo para la adquisición de licenciamiento de todo
software que lo requiera, y de ahí tomar los recursos necesarios para la compra
de licencias; posteriormente desinstalar todo software instalado en los equipos
de manera ilegal.
Implementar y conservar todas las documentaciones de los sistemas, y
mantenerlas en el sistema disponible para todo el personal.
También las modificaciones y aprobaciones de programas realizadas por los
usuarios, deben de ser solicitadas por escrito y autorizadas por .
Instalar un firewall y un proxy; versiones gratuitas o de no pagar licencia, para
brindar la seguridad en el acceso a internet; y con ello bloquear páginas web no
permitidas.
Lic. en Informática 9B – Auditoría en Informática Page 20
Auditoria a “Soluciones al Campo SCP”
EQUIPAMIENTO
EQUIPOS DE SEGURIDADCuenta con 3 tipos de seguridad implementados los cuales son:
Sala de espera.
Programación de citas para recepción de documentos y atención al cliente.
Botiquín de primeros auxilios.
También cuenta con luces de emergencia, las cuales se ubican de la siguiente manera:
Luces exteriores.
Luces interiores y en cada uno de los departamentos.
HARDWARE
Los equipos están clasificados de acuerdo a la marca, pero no tienen una buena
seguridad en cuanto al hardware a causa de que no cuidan esa parte esencial. No
toman y no tienen las medidas preventivas para evitar algún daño o problema que
pueda suceder.
La empresa cuenta con 9 equipos los cuales utilizan para realizar sus actividades. La
mayoría de los equipos cuentan con el sistema operativo Windows Vista Home Basic,
también cuentan con tres impresoras las cuales están conectadas a la red para que
desde cualquier estación de trabajo se pueda mandar a imprimir. La empresa también
cuenta con un cañón marca HP.
Lic. en Informática 9B – Auditoría en Informática Page 21
Auditoria a “Soluciones al Campo SCP”
COMPUTADORASLas características de los equipos son:
NUMERO
SERIE
NUMERO
INVENTARIO
MODELO CARACTERÍSTICAS FIGURA
718 CONS-010-
08/2007
Gabinete
A-Case
Windows XP
Professional SP3
Microsoft Office
2003
Procesador Intel
2140 a 1.6 GHz
1536 MB de RAM
Kaspersky
Internet Security
2009 (Licencia
para 5 equipos.
Tabla 3.- Equipo 1
NUMERO
SERIE
NUMERO
INVENTARIO
MODELO CARACTERÍSTICAS FIGURA
61200232489 CONS-003-
08/2007
AT-9900-
1
Teclado Acteck
Smart Keyboard
Tabla 1.- Equipo 1
Lic. en Informática 9B – Auditoría en Informática Page 22
Auditoria a “Soluciones al Campo SCP”
NUMERO
SERIE
NUMERO
INVENTARIO
MODELO CARACTERÍSTICAS FIGURA
Ha17HVBP
506947
CONS-007-
08/2007
Sync
Master
740 NW
Marca Samsung
Monitor a color de
17”
Tabla 2.- Equipo 2
NUMERO
SERIE
NUMERO
INVENTARIO
MODELO CARACTERÍSTICAS FIGURA
CNF43440
MM9
CONS-007-
08/2007
Laptop
COMPA
Q NX930
Procesador
Pentium 1500
MHz
256 MB de RAM a
600 MHz
Windows XP
Professional SP2
Office 2003
Kaspersky
Internet Security
2009 (Licencia
para 5 equipos)
Tabla 3.- Equipo 3
NUMERO NUMERO MODELO CARACTERÍSTICAS FIGURA
Lic. en Informática 9B – Auditoría en Informática Page 23
Auditoria a “Soluciones al Campo SCP”
SERIE INVENTARIO
Laptop
ACER
Sistema operativo
Windows vista
Home Basic
Microsoft office
2007
1 GB de memoria
RAM
Procesador
Pentium 1500
MHz
Kaspersky
Internet Security
2009
Tabla 4.- Equipo 4
Lic. en Informática 9B – Auditoría en Informática Page 24
Auditoria a “Soluciones al Campo SCP”
NUMER
O SERIE
NUMERO
INVENTARI
O
MODEL
O
CARACTERÍSTICAS FIGURA
Laptop
ACER
Windows vista
Home Basic
1 GB de memoria
RAM
Microsoft office
2007
Kaspersky Internet
Security 2009
Procesador
Pentium 1500 MHz
Tabla 5.- Equipo 5
NUMERO
SERIE
NUMERO
INVENTARIO
MODELO CARACTERÍSTICAS FIGURA
89572-
oem-
7332166-
00096
Laptop marca
Dell
S. O. Windows
Vista Home Basic
Microsoft Office
2007
Procesador Intel®
Core ™2 Dúo CPU
t5450 @1.66GHz
1.67GHz
Memoria de 2Gb
DDH de 160 Gb
Kaspersky Internet
Lic. en Informática 9B – Auditoría en Informática Page 25
Auditoria a “Soluciones al Campo SCP”
Security 2009
Tabla 6.- Equipo 6
NUMERO
SERIE
NUMERO
INVENTARIO
MODELO CARACTERÍSTICAS FIGURA
89572-
OEM-
7332166-
00096
Laptop
marca
Dell
S.O. Windows
vista Home Basic
Procesador Intel®
Core ™2 Duo
CPU t5450
@1.66GHz
1.67GHz
Memoria de 4Gb
DDH de 250 Gb
Microsoft office
2007
Kaspersky
Internet Security
2009
Tabla 7.- Equipo 7
NUMERO
SERIE
NUMERO
INVENTARIO
MODELO CARACTERÍSTICAS FIGURA
76459-
OEM-
0011903-
00110
Laptop
marca
Vaio
S. O. Windows XP
Profesional
Memoria de 512
MB
DDH de 40 Gb
Microsoft office
Lic. en Informática 9B – Auditoría en Informática Page 26
Auditoria a “Soluciones al Campo SCP”
XP Profesional
Kaspersky
Internet Security
2009
Tabla 8.- Equipo 8
IMPRESORAS
NUMERO
SERIE
NUMERO
INVENTARIO
MODELO CARACTERÍSTICAS FIGURA
9627BAIP
825187K
CLX-
2160N
Multifuncional
Marca Samsung
Tabla 9.-Impresora 1
NUMERO
SERIE
NUMERO
INVENTARIO
MODELO CARACTERÍSTICAS FIGURA
SCX-
4200
Multifuncional
Marca Samsung
Tabla 10.- Impresora 2
Lic. en Informática 9B – Auditoría en Informática Page 27
Auditoria a “Soluciones al Campo SCP”
NUMERO
SERIE
NUMERO
INVENTARIO
MODELO CARACTERÍSTICAS FIGURA
147YBAF
Q800247H
CLP-310 Multifuncional
Marca Samsung
Tabla 11.- Impresora 3
NUMERO
SERIE
NUMERO
INVENTARIO
MODELO CARACTERÍSTICAS FIGURA
Cañón
Marca Hp
Tabla 12.- Cañón Hp
COMUNICACIONES.La empresa cuenta con una red Ethernet con la cual se le da servicio de internet a las
maquinas, toda la red esta cableada con cable de categoría 5 y plugs RJ-45.
La empresa cuenta con 2 equipos telefónicos fijos de la compañía Telmex y diez
teléfonos móviles para los encargados o jefes de cada área para la notificación o aviso
de alguna emergencia surgida dentro o fuera de la empresa.
Con respecto a la seguridad de esto, no tienen un control total, ya que no llevan un
registro de todas las llamadas entrantes y salientes que se efectúan en la empresa.
Lic. en Informática 9B – Auditoría en Informática Page 28
Auditoria a “Soluciones al Campo SCP”
SOFTWARELa empresa maneja varios software para realizar sus funciones, el sistema operativo
que utilizan es el Windows Vista Home Basic, al igual todas las maquinas cuentan con
Microsoft office 2007 y kaspersky internet security 2010.
Sistemas operativos.
Aplicaciones.
Software básico.
Software administrativo.
OBJETIVOS
Verificar la integridad de los datos.
Verificar la confidencialidad de la información.
Validar la disponibilidad de la información.
Identificar que los usuarios utilicen los documentos adecuadamente.
Confirmar el acceso de usuario a programas y archivos.
Control en la protección de los datos.
RESEÑALa empresa se dedica a la ejecución de proyectos para el Gobierno del Estado. En
dichos proyectos que efectúan se encuentra los:
Reglamentos internos de las diferentes comunidades del Estado.
Proyectos de la asociación ganadera local del municipio de Othón P. Blanco.
Evaluación rural participativa de las diferentes comunidades del estado.
Ordenamiento territorial comunitario.
Seminario de comunidad a comunidades, entre otros.
Un medio que comúnmente utilizan para el envió de información son los correos
electrónicos, chat, etc., pero la seguridad lógica que se tiene es nula, porque no se ha
Lic. en Informática 9B – Auditoría en Informática Page 29
Auditoria a “Soluciones al Campo SCP”
tomado la debida importancia ya que no están capacitados o suficiente informados de
los peligros existentes en las redes públicas.
RIESGOS
El internet no cuenta seguridad alguna y no tiene restricciones en cuestión de
acceso a la red.
No restringen ningún tipo de páginas con contenido irrelevante.
El envió de proyectos e información importante es efectuado por medio de
correos electrónicos, chat, etc.
Los equipos de cómputo no cuentan con alguna contraseña de acceso al
sistema.
CONTROLES PROPUESTOS
1) Asignación de la contraseña del Router para el acceso a la red.
2) Se debe apagar el modem los días que no se labora en la empresa, ya que no
se cuenta con una seguridad definida y por este medio pueden ocurrir delitos
informáticos como el sabotaje, robo de datos, acceso no autorizado, etc.
3) Evitar enviar los proyectos por medio del correo electrónico sin una seguridad
adecuada, ya que por este medio se puede extraer la información y/o clonarla.
4) Implementación de la una red local con carpetas compartidas para que varias
personas puedan tener acceso a los archivos esenciales sin dañar la integridad
de los archivos personales de cada empleado.
5) Implementación de contraseñas únicas para las computadoras y solo permitir el
acceso a personal autorizado de la empresa.
Lic. en Informática 9B – Auditoría en Informática Page 30
Auditoria a “Soluciones al Campo SCP”
Lic. en Informática 9B – Auditoría en Informática Page 31
Auditoria a “Soluciones al Campo SCP”
Esta auditoría se efectuó en una empresa particular, denominada “Soluciones al
Campo SCP”, la cual fue autorizada por el representante general de dicha empresa.
Ing. Gerardo Villegas Palmer.
Ing. Aarón Villegas Palmer.
Biólogo. Esteban Eduardo Benítez Inzunza.
Ing. Evaristo Cano Ascencio.
Presente:
Señores:
Soluciones al Campo SCP.
Tenemos el agrado de dirigirnos a ustedes a efectos de poder prestar nuestros
servicios para poder realizar una auditoría en la empresa “Soluciones al Campo SCP” y
a término de este poder mostrar el alcance del trabajo de la auditoría realizada a su
empresa de la última semana de Agosto a la primera semana de Diciembre, en la cual
realizamos diversas sugerencias a los análisis de los procedimientos y controles
identificados que detallamos a continuación.
Asesorías a la Dirección de la empresa, enfocándonos principalmente a los
aspectos informáticos con los que cuentan.
Asesorías en las cuestiones de seguridad y procedimientos administrativos.
Emitiremos informes con las diversas situaciones que reflejan debilidades
potenciales que deben tomarse en cuenta al igual que los efectos y riesgos que
dichas situaciones conllevan.
Equipo de trabajo.La presente auditoria será realizada por un equipo de trabajo el cual ha sido
seleccionado para brindarle un servicio de calidad, ya que cuentan con experiencia en
el ámbito informático. Este equipo será supervisado para que los objetivos planteados
con anterioridad se lleven a cabo de una forma correcta.
Lic. en Informática 9B – Auditoría en Informática Page 32
Auditoria a “Soluciones al Campo SCP”
Informes.Una vez que se esté realizando la auditoría s tendrán que realizar juntas con los
directivos de la empresa para poder expresar nuestros puntos de vista y nuestros
resultados de los trabajos realizados en la empresa y de esta informa poder hacer que
nuestros clientes sepan cuál es el estado de su empresa. Esta tarea se estará
realizando en la tercera semana de haber empezado la auditoria.
PRESUPUESTO.Tomando en cuenta nuestra poca experiencia y la trayectoria que tenemos en el ámbito
informático, consideramos que nuestros honorarios serán de 66,000 pesos (sesenta y
seis mil pesos mexicanos) el cual se empezará a pagar en la primera quincena de
septiembre con un monto de 8250 pesos. Este será el monto que se pagará durante
toda la auditoría quincenalmente.
Esperamos que con este documento estemos planteando todos nuestros enfoques y
propuestas y que con nuestra experiencia en el ámbito informático podamos realizar
en la empresa Soluciones al Campo SCP todo lo propuesto.
Quedamos a su disposición para responder cualquier duda que tenga en cuanto al
trabajo que realizaremos en su empresa y sin más que decir le enviamos un cordial
saludo.
Atentamente.
Raúl Joe Correa Briceño
Álvaro Adrian Zapata Cárdenas
Ricardo Javier Canto Serrano
Lic. en Informática 9B – Auditoría en Informática Page 33
Auditoria a “Soluciones al Campo SCP”
ANEXOS
Lic. en Informática 9B – Auditoría en Informática Page 34
Auditoria a “Soluciones al Campo SCP”
CUESTIONARIOS
1.- ¿Cuentan con algún programa de mantenimiento de equipo establecido?
R.- Contamos con un técnico el cual es el encargado de brindar mantenimiento
al equipo de cómputo y a veces requerimos de empresas externas para tales
cuestiones.
2.- ¿Cada cuándo se realiza el mantenimiento al equipo de cómputo?
R.- En realidad no se cuenta con un periodo programado para el mantenimiento,
si no que cada quien determina que se debe realizar mantenimiento a su
computadora cuando detecta algún tipo de fallo.
3.- ¿Qué medidas se toman para resguardar la información importante de la
empresa?
R.- Para la cuestión del respaldo de información, se compró un disco duro
externo que está a disposición del personal para que en el momento que
requieran, cada quien realice el respaldo de su información.
4.- En cuanto a las instalaciones eléctricas… ¿Considera que se encuentran en
estado óptimo para el adecuado funcionamiento del equipo?
R.- Hasta el momento no hemos presentado problemas con las instalaciones
eléctricas aunque cabe destacar que algunos cables ya se encuentran en mal
estado debido a la antigüedad del edificio.
5.- ¿Cuentan con dispositivos de regulación y respaldo de energía eléctrica?
R.- Solamente dos de los equipos cuentan con reguladores de energía (No UPS)
individuales. Los demás usan conectores múltiples.
6.- ¿Instalan software original en el equipo?
Lic. en Informática 9B – Auditoría en Informática Page 35
Auditoria a “Soluciones al Campo SCP”
R.- Se procura que todo el software a instalar sea original para evitar cuestiones
legales.
7.- ¿Cuentan con un lugar específico para resguardo de documentos?
R.- Contamos con una bodega en la cual se almacenan tanto documentos como
equipos electrónicos.
8.- ¿Considera cómodo el lugar donde cada quien desempeña sus labores?
R.- En cuestiones de comodidad, se han adquirido muebles ergonómicos de
buen tamaño.
9.- ¿Existen medidas que regulen el ingerir alimentos en las estaciones de trabajo
o en algún sitio de las instalaciones?
R.- En realidad, no ya que está bajo la responsabilidad de cada quien determinar
si mantiene limpia su estación de trabajo. También contamos con una pequeña
cocineta para que los empleados se preparen un café o tomen agua.
10.- ¿Cuentan con procedimientos de seguridad en caso de contingencia?
R.- No hay un documento estipulado para tales situaciones. Por el momento las
decisiones se toman en base de la experiencia de cada quien.
11.- ¿Cuentan con medidas de control de acceso a la empresa?
R.- Hasta el momento solamente pueden tener acceso a la empresa a cualquier
hora del día tres personas (dueños) mediante el uso de llaves. No se lleva un
registro de las entradas y salidas del personal.
12.- ¿Cuentan con medidas de control de acceso a los sistemas?
R.- Cada quien tiene asignada una contraseña a sus computadoras personales
(Laptops). Las computadoras de escritorio no tienen contraseña asignada debido
a que a veces se necesitan documentos que estas contienen.
13.- ¿Cuentan con extintor de incendios?
Lic. en Informática 9B – Auditoría en Informática Page 36
Auditoria a “Soluciones al Campo SCP”
R.- Por el momento no contamos con extintor.
14.- ¿Cuentan con salidas de emergencia?
R.- Las salidas de emergencia son la entrada principal y la puerta trasera que
son las más amplias y accesibles.
15.- ¿Se encuentran en buen estado las cerraduras?
R.- La única cerradura que se atora un poco es la de la entrada principal.
Lic. en Informática 9B – Auditoría en Informática Page 37
Auditoria a “Soluciones al Campo SCP”
CHECKLISTCONTROL Si No
Programa de mantenimiento de equipo X
Respaldo de información X
Buen estado de instalaciones eléctricas X
Regulación y respaldo de energía eléctrica X
Uso de software original X
Resguardo de documentos X
Aspectos de ergonomía X
Regulación de alimentos en estaciones de trabajo X
Planes de contingencia X
Control de acceso a la empresa X
Control de acceso al sistema X
Extintores X
Salidas de emergencia X
Capacitación del personal X
Políticas de seguridad X
Climatización X
Señalamientos X
Alarmas de seguridad X
Lic. en Informática 9B – Auditoría en Informática Page 38
Auditoria a “Soluciones al Campo SCP”
Uso adecuado del equipo electrónico X
PLAN DE AUDITORIA
RECOPILACION DE LA INFORMACION
Lugar donde se efectuara la auditoria
La auditoría se realizara en una empresa particular, denominada “Soluciones al Campo
SCP”, la cual fue autorizada por el representante general de dicha empresa.
Descripción de la empresa
Soluciones al Campo es una empresa de servicios avanzada de Consultoría,
formación, integración e innovación para personas físicas, empresas privadas e
institucionales. Fundada en el 2003 en la Ciudad de Chetumal, Quintana Roo, por
profesionales de distintas especialidades siendo su RFC: SCA0302156I1.
Ha trabajado con diversas instituciones públicas y privadas, en el manejo de proyectos
de Recursos Naturales, en el cual se le otorgan facultades para regular, fomentar,
conducir, y evaluar en materia de manejo y aprovechamiento sustentable de los
recursos y protección al ambiente, así como llevar a cabo las acciones necesarias para
una gestión de administración ambiental, agrario, apiario.
Razón social: Soluciones al Campo S.C.P.
Figura legal: Sociedad Civil Particular
Director General: Ing. Gerardo Villegas Palmer
Domicilio: Calle Xcalak No. 353, Esq. Isla Cancún,
Colonia Adolfo L. Mateos CP., 77010,
Chetumal, Quintana Roo, México.
Datos generales de la empresa.
Lic. en Informática 9B – Auditoría en Informática Page 39
Auditoria a “Soluciones al Campo SCP”
Lic. en Informática 9B – Auditoría en Informática Page 40
Auditoria a “Soluciones al Campo SCP”
Objetivo
El objetivo de la auditoría es evaluar los controles, procedimientos y operaciones con que se está trabajando para que por medio de esta se puedan establecer controles para la mejora de las funciones existentes en la empresa.
Organigrama de la empresa
Recopilación de la información
La recopilación de la información se realizo teniendo en cuenta los flujos de información
entre el personal de la empresa y que fueron necesarios para su eficiente gestión,
siempre y cuando tales corrientes no distorsionen el propio organigrama. Esta
recopilación se realizo por medio de cuestionarios y entrevistas, con la cooperación del
personal de la empresa y en las fechas previamente establecidas. Con herramientas
como los cuestionarios, formatos de checklist y con la documentación proporcionada
por la misma empresa.
Lic. en Informática 9B – Auditoría en Informática Page 41
Auditoria a “Soluciones al Campo SCP”
PERSONAL PARTICIPANTE
El personal que realizara la auditoria son los siguientes:
Nombre completo Carrera Semestre No Control
Canto Serrano Ricardo Javier Lic. Informática 9 06390480
Correa Briceño Raúl Joe Lic. Informática 9 06390494
Zapata Cárdenas Álvaro Adrian Lic. Informática 9 063904
El personal de la empresa a auditar son los siguientes:
NOMBRE PERFIL PROFESIONAL
PERFIL DE TRABAJO DESARROLLADO
Aarón Villegas Pálmer
Ingeniero Agrónomo Especialista en
Zootecnia
Organización de Productores, Micro financiamientos y créditos, trabajos realizados con la Secretaria de la Reforma Agraria; Formulación y Evaluación de Proyectos, Trabajos en desarrollo y modificación de reglamentos internos en diferentes ejidos de sureste.
Esteban Eduardo Benítez Inzunza
Biólogo Especialista en estudios de Flora.
Evaristo Cano Ascencio
Ingeniero Agrónomo Especialista en
Zootecnia
Especialista en Desarrollo Regional, Diseño de Empresas Agropecuarias, Facilitación de talleres, Formulación y Evaluación de Proyectos.
Gerardo Villegas Pálmer
Ingeniero Agrónomo Especialista en
Zonas Tropicales.
Formulación y Evaluación de Proyectos Agropecuarios, Plantaciones Forestales Comerciales y Sistemas de Producción Apícola, Trabajos en desarrollo y modificación de reglamentos internos en diferentes ejidos del
Lic. en Informática 9B – Auditoría en Informática Page 42
Auditoria a “Soluciones al Campo SCP”
sureste.
Marilú Villegas Pálmer
Licenciada en Desarrollo
Sustentable
Especialista en Desarrollo Rural Sustentable.
Blanca Aguillón Moreno
Licenciada en administración de
empresas
Control de lo administrativo, contable y financiero de la empresa
Alejandro Ibarra
Técnico en Computo Encargado del soporte, mantenimiento preventivo y correctivo de los equipos de computo.
Pamela Anguiano Alba
Ing. Agrónoma Encargada de ejecutar los proyectos existentes.
Nelson González Guerra
Técnico de campo Encargado de efectuar los diagnósticos de campo
Marlene Poot Poot
Asistente Administrativo
Asistente Administrativo
EVALUACION DE LA INFORMACION
Con la información obtenida en las fases anteriores, se procederá al análisis y
evaluación de la calidad de la información obtenida por parte del personal de la
empresa, y así determinar si es necesario realizar otra visita, o continuar con la
información con que se cuenta.
Para evaluar la información existen varios criterios que utilizaremos como lo son los
alcances, autoridad, credibilidad, actualidad, objetividad y exactitud que a medida que
se vaya desarrollando la auditoria y el proyecto lo iremos plasmando.
Lic. en Informática 9B – Auditoría en Informática Page 43
Auditoria a “Soluciones al Campo SCP”
RECURSOS MATERIALES Y FINANCIEROS
Se encuentra en el documento en Project Manager.
EVALUACION DE LA INFORMACION DE ACUERDO AL RIESGO
Se evaluaran las medidas de seguridad con las que cuentan las instalaciones de la
empresa, por ejemplo el uso que se les da a los equipos que sea el adecuado, el
control que existe en la empresa con el personal que labora en ella, así como con los
visitantes, la información que se introduce a las computadoras sea la adecuada. Esto
con ayuda de herramientas como un checklist, y otros formatos de evaluación que
serán diseñados y determinados por los propios integrantes del equipo auditor.
Lic. en Informática 9B – Auditoría en Informática Page 44
Auditoria a “Soluciones al Campo SCP”
Lic. en Informática 9B – Auditoría en Informática Page 45
Auditoria a “Soluciones al Campo SCP”
PLAN DE CONTINGENCIA DE INFORMÁTICADe “Soluciones al Campo SCP”
INTRODUCCIÓN
Un negocio tiene la responsabilidad con sus clientes e inversionistas de salvaguardar y
proteger todos sus activos financieros. La supervivencia de las empresas hoy en día,
depende cada vez más en mantener una continuidad en sus operaciones.
Este manual es una guía, según los estándares de planes de contingencia informático,
para que en la empresa de “Soluciones al Campo SCP” defina y documente un Informe
de Trabajo derivados de la definición del Plan de Contingencia de Informático.
El plan de contingencia es una estrategia planificada con una serie de procedimientos
que nos faciliten o nos orienten a tener una solución alternativa que nos permita
restituir rápidamente los servicios de la organización ante la eventualidad de todo lo
que lo pueda paralizar, ya sea de forma parcial o total. El plan de contingencia es una
herramienta que le ayudará a que los procesos críticos de la empresa u organización
continúen funcionando a pesar de una posible falla en los sistemas computarizados. Es
decir, un plan que le permite a la organización seguir operando aunque sea al mínimo.
Los desastres no pueden ser planeados y no existe ningún plan en el mundo que
pueda asegurarle ya sea a una empresa, institución, o país, que sobrevivirá fenómeno;
pero un plan bien organizado puede incrementar las probabilidades de sobrevivir,
minimizando las interrupciones de clientes y empleados.
Finalmente, se espera que el plan sea implementado, antes, durante y después del
desastre. El hecho de planear con anticipación le permite a usted y a su empresa estar
preparado, y actuar lo antes posible, minimizando todo el daño posible.
Lic. en Informática 9B – Auditoría en Informática Page 46
Auditoria a “Soluciones al Campo SCP”
OBJETIVOS
Objetivo General
El propósito principal de este plan es de documentar las estrategias para la
recuperación del negocio, planes, y procedimientos necesarios de implementar en el
desastre. El plan contendrá objetivos claramente conocidos por todas las personas que
participen en el plan de emergencia. Estos objetivos son importantes para saber que
se persigue alcanzar con este tipo de plan. Los objetivos básicos para el plan para la
recuperación del negocio son:
Velar por la salud y la seguridad de todas las personas que laboren en las instalaciones de la empresa.
Asegurar una rápida ordenada respuesta a las distintas situaciones de emergencia a las que se pueda enfrentar la empresa.
Proteger y minimizar pérdidas en propiedad, bienes, e información. Recuperar los procesos más importantes de manera inmediata. Que la empresa vuelva a operar de manera normal, eficientemente, con bajo
costo y rápidamente. Asegurarse de que exista una continuidad en los procesos críticos para el
funcionamiento de la empresa.
Objetivos Específicos
Determinar y clasificar las operaciones criticas para la entidad. Identificar los ambientes existentes en la empresa que se vean afectadas en caso de
siniestro. Establecer los controles que sean necesarios y que permiten mantener a empresa fuera
de peligro. Establecer los procedimientos necesarios ante la ocurrencia de eventos no favorables,
para garantizar un nivel de los recursos disponibles y/o la supervivencia de la empresa en caso de un siniestro.
Garantizar la continuidad de las operaciones de los elementos considerados críticos que componen la empresa.
Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos que componen a la empresa.
Lic. en Informática 9B – Auditoría en Informática Page 47
Auditoria a “Soluciones al Campo SCP”
1. PLANIFICACIÓN DE CONTINGENCIA.
El Plan está orientado a establecer, junto con otros trabajos de seguridad, un adecuado
sistema de seguridad física y lógica en previsión de desastres.
El plan de contingencia contempla cinco acciones esenciales, las cuales son:
1.1 Actividades Asociadas
Análisis de Riesgos:
Herramienta de gestión en estudios financieros y de seguridad para identificar
riesgos y otras para evaluar riesgos.
Medidas Preventivas:
Conjunto de acciones a realizar para prevenir cualquier contingencia que afecte la
continuidad operativa, ya sea en forma parcial o total. Esta se enfoca a reducir el
impacto, permitiendo restablecer a la brevedad posible los diferentes aspectos
reducidos.
Medidas de Detección:
Deben contener el daño en el momento, así como limitarlo tanto como sea posible
contemplando todos los desastres naturales y eventos no considerados.
Plan de Respaldo:
Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su
finalidad es evitar dicha materialización. Estos respaldos pueden variar desde archivos
del sistema operativo, bases de datos, hasta archivos de un usuario común.
Plan de Recuperación:
Lic. en Informática 9B – Auditoría en Informática Page 48
Auditoria a “Soluciones al Campo SCP”
Abarcan el mantenimiento de partes críticas entre la pérdida de los recursos, así como
de su recuperación o restauración.
2. ANÁLISIS DE RIESGOS
Un análisis de riesgo es el proceso de identificar los riesgos a los que está expuesta la
empresa, incluyendo las probabilidades que estos eventos pasen, la vulnerabilidad de
la empresa ante esos acontecimientos, etc. Y deben definirse que controles son
necesarios para minimizar la probabilidad de que estos sucedan y afecten el
rendimiento de la empresa. Análisis de impacto que un desastre tendría en su empresa
se refiere al proceso de identificar todas las actividades criticas, el personal y sus
habilidades, los procedimientos de la empresa, sus prioridades, requerimiento de
sistemas, equipo, sistemas de copias y archivos, suministros, servicios y otros recursos
para todos los departamentos de su organización y cuantificar el impacto que tendría
en sus activos tangibles e intangibles.
Se pueden identificar muchos escenarios en los que la empresa se ve afectada de
manera no deseada. Es probable que la empresa se haya tropezados con algún tipo de
desastre con anterioridad. El análisis de riesgos ayuda a identificar el tipo de
situaciones que podrían afectarle seriamente a su organización, basándose en
experiencias anteriores.
Para realizar un análisis de los riegos, se procede a identificar los objetos que deben
ser protegidos, los daños que pueden sufrir, sus posibles fuentes de daño y
oportunidad, su impacto en la compañía, y su importancia dentro del mecanismo de
funcionamiento. El análisis de riesgo difiere esencialmente en la manera de estimar la
probabilidad de ocurrencia de una amenaza y en la forma de determinar el impacto en
la organización.
Lic. en Informática 9B – Auditoría en Informática Page 49
Auditoria a “Soluciones al Campo SCP”
Lic. en Informática 9B – Auditoría en Informática Page 50
Auditoria a “Soluciones al Campo SCP”
2.1 Bienes Susceptibles de un daño
a) Infraestructura
b) Personal
c) Hardware y Software
d) Datos e Información
e) Documentación
f) Suministro de Energía Eléctrica
g) Suministro de Telecomunicaciones
2.2 Daños
Nadie espera ni puede predecir, cuando ni donde puede ocurrir un desastre, pero es
absolutamente importante que se esté preparado para estos acontecimientos con
anticipación. Un desastre en una empresa se presenta cuando un fenómeno natural o
tecnológico en un espacio y tiempo determinado ocasión daños en las instalaciones,
pérdidas materiales, económicas, en el peor de los casos humanos, hasta el grado de
que las funciones esenciales de la empresa se interrumpen parcial o totalmente, lo cual
da como resultado una perdida que no solo se refleja en lo económico.
a) Imposibilidad de acceso a los recursos debido a problemas físicos en las instalaciones
donde se encuentran los bienes, sea por causas naturales o humanas.
b) Riesgo de electrocutarse si se mojaron los circuitos y los equipos eléctricos o si éstos
están en el agua o cerca de la misma.
c) Imposibilidad de acceso a los recursos informáticos por razones de infraestructura por
posibles derrumbes o inundaciones.
Lic. en Informática 9B – Auditoría en Informática Page 51
Auditoria a “Soluciones al Campo SCP”
2.4.- Fuentes posibles de daños.
Desastres naturales.
Hidrometeorológicos.
Termino genérico empleado para designar ciertos fenómenos del tiempo, que
dependen mayormente a las modificaciones del vapor del agua en la atmósfera.
Entre ellos podemos detectar:
El huracán
Sin duda el más devastador de los fenómenos de origen Hidrometeorológico ya que
frecuentemente desencadena en Lluvias intensas, Desbordamiento de ríos y Vientos
fuertes, por lo que vale la pena mencionar los fenómenos que lo anteceden.
Tormenta tropical
Es un ciclón tropical, en el cual los vientos máximos sostenidos alcanzan velocidades
entre los 63 y 118 km. /h. Las nubes se distribuyen en forma espiral y comienza a
desarrollarse un "ojo" pequeño.
Inundaciones.
Es la invasión de agua por exceso de escurrimientos producido por su acumulación en
terrenos planos, por falta de drenaje ya sea natural o artificial, esta es una de las
causas de mayores desastres en centros de cómputo.
Incendios.
El fuego es una reacción química entre dos substancias, una que se denomina
combustible y la otra comburente, aún cuando, en realidad, se puede decir que es una
reacción de transferencia electrónica donde hay un donador de electrones y otro, que
es receptor.
Lic. en Informática 9B – Auditoría en Informática Page 52
Auditoria a “Soluciones al Campo SCP”
Se considera que para que exista fuego se requiere la presencia de tres factores que
son:
1.- Combustible.
2.- Aire (oxigeno).
3.- Calor.
Por ser tres los factores anteriores, se le acostumbra relacionar su presencia con la
figura geométrica denominada triangulo, por lo que se le ha dado por llamar “triangulo
del fuego”.
Por otra parte y en virtud que ciertos agentes extintores son más eficientes en algunos
tipos de combustibles que en otros, en la NOM-002-STPS se encuentran clasificados
los fuegos en cuatro tipos o clases:
Fuegos clase “A”.- son aquellos en donde el combustible es sólido y arde en
forma brasa.
Fuegos clase “B”.- son aquellos en los que el combustible es un liquido o gas a
temperatura ambiente.
Fuegos clase “C”.- ésta clasificación es para equipos o circuitos eléctricos
energizados en donde se pueden quemar algunos o todos sus componentes.
Fuegos clase “D”.- este tipo de fuegos se caracteriza porque el elemento combustible
es algún metal, lo que hace que presente un mecanismo de reacción totalmente distinto
a los otros tres tipos.
Lic. en Informática 9B – Auditoría en Informática Page 53
Auditoria a “Soluciones al Campo SCP”
Fallas de Hardware
a) Falla en el Servidor de Aplicaciones y Datos, tanto en su(s) disco(s) duro(s)
como en el procesador central.
b) Falla en el hardware de Red:
- Falla en los Switches.
- Falla en el cableado de la Red.
Fallas de software.
a) Fallas por problemas de compatibilidad en las aplicaciones instaladas en los equipos.
b) Caducidad de licenciamiento de los programas y aplicaciones en los equipos.
c) Ataques por parte de virus informáticos a los equipos de la organización.
d) Falla en el sistema operativo o cualquier software instalado en los servidores que de
soporte a la operación de los servicios
Acceso no autorizado.
Cuando alguna persona ajena a la empresa soluciones del campo ingresa a las
instalaciones sin permiso o autorización.
Hackeo
Intromisión no calificada a procesos y/o datos de los sistemas, ya sea por curiosidad o
malas intenciones.
Lic. en Informática 9B – Auditoría en Informática Page 54
Auditoria a “Soluciones al Campo SCP”
2.5 Expectativas anuales de daños.
Para evitar la pérdida de información se recomienda realizar periódicamente los
respaldos de toda la información de los sistemas, y también de los equipos de
cómputos del personal.
Las siguientes acciones deberán tomarse para iniciar todas las actividades de
evaluación de daños. Es importante conocer la hora en que se esté realizando la
evaluación para iniciar las actividades de apoyo y garantizar la prevención, así como
los gastos para iniciar estas actividades. Precisar la información para poder tomar
decisiones y determinar el inicio de las actividades de apoyo. El estado de los recursos
será registrado en el formato de evaluación de daños.
1.- Seguridad: Determinar la seguridad para entrar al área afectada para realizar la
evaluación. Verificar cualquier tipo de ruido en los edificios, la calidad del aire, equipos
de seguridad, energía, condiciones ambientales, etc.
2.- Personal: Determinar el estado de todos los empleados que laboran en esa área.
Establecer el grado de las pérdidas en el personal, y registrar cualquier tipo de
información acerca de intervenciones médicas, o traumatológicas.
3.- Equipo: Determinar el estado del equipo y su capacidad para continuar operando y
a qué nivel.
4.- Comunicaciones: Cuantificar el estado de las comunicaciones y su capacidad para
seguir apoyando las funciones nórmales, y estimar el daño ocasionado por el siniestro.
5.- Servicios y bienes: Determinar la magnitud del daño físico. Estimar el grado de
deterioro de las operaciones representadas por la falla o el periodo de tiempo en el cual
el acceso sea denegado.
Lic. en Informática 9B – Auditoría en Informática Page 55
Auditoria a “Soluciones al Campo SCP”
6.- Transportación: Vehículos programados para dar apoyo en caso de una
contingencia en las operaciones, determinar si la situación de emergencia ha afectado
la disposición de esos vehículos.
7.- Medios de Información: Verificar las condiciones de las cintas, formatos
especiales, disquetes, sistemas de computación y cualquier otro tipo de sistema de
información, que pueda haber sido afectado a raíz del siniestro.
3. MEDIDAS PREVENTIVAS.
3.1.- Control de acceso.
a). Acceso físico a personas no autorizadas.
El acceso físico a los diferentes sitios que se encuentran en la empresa se encuentran
restringidos por puertas con seguridad, a las cuales solo el personal de informática
tendrá acceso, esto con la finalidad de evitar cualquier fallo ocasionado por personal
ajeno a ésta. El acceso a las puertas con seguridad, deberá de ser cambiada
periódicamente. En estas puertas todo el personal de Informática tiene acceso.
b). Acceso Restringido a las librerías, programas y datos.
Parte del control de usuarios por medio del controlador de dominio, es poder
determinar a que tiene acceso un usuario o no, así como las capacidades de estos
para instalar programas, librerías o acceso a ciertas carpetas dentro de los equipos o
servidores.
C. Acceso a la red de PC’s y Servidores.
Tanto el acceso a red de pc’s y servidores, se encontrará controlado por un controlador
de dominio el cual determinará los equipos pertenecientes a la red; así como usuarios y
Lic. en Informática 9B – Auditoría en Informática Page 56
Auditoria a “Soluciones al Campo SCP”
Contraseñas, brindando diferentes niveles de seguridad. Como medida preventiva, se
solicita el cambio de la contraseña de acceso a todos los usuarios de forma periódica.
Se debe contar con una bitácora de toda aquella persona que ingresa a las
instalaciones de la empresa.
Esto aparte de la seguridad que se le brinda a las instalaciones de la empresa cuando
se encuentra fuera del horario laboral (veladores o guardias). El acceso hacia el área
de SITE debe de ser restringida a solo el personal autorizado.
Lic. en Informática 9B – Auditoría en Informática Page 57
Auditoria a “Soluciones al Campo SCP”
4.- PREVENCIÓN DE DESASTRES NATURALES.
Prever las condiciones meteorológicas es fundamental para la vida de una personal, y
también para la empresa, contar con áreas acondicionadas para el resguardo del
personal es indispensable para evitar pérdidas dolosas.
¿Qué hacer en caso de un fenómeno Hidrometeorológico?
¿QUÉ HACER ANTES?
Colocar puertas y ventanas anticiclónicas.
Planta de energía eléctrica de emergencia.
Colocar techo, paredes falsas en caso que se requiera.
Comprar garantías para los equipos de cómputo
Retirar al personal que resulte sobrante tenerlo en las instalaciones de la empresa
¿QUÉ HACER DURANTE?
Se debe de ejecutar un plan de contingencia efectuado, aplicándolo de tal manera que
se pueda prevenir o evitar un mínimo desastre o destrucción posible en la empresa.
¿QUÉ HACES DESPUÉS?
Verificar si todo está en orden.
No encienda sus equipos de cómputo hasta determinar que no exista un mínimo de
riesgo posible.
Hacer un análisis o inventario de la perdida de todo el material.
De ser necesario reubique sus instalaciones hasta tener todo bajo control y en una
situación favorable.
Lic. en Informática 9B – Auditoría en Informática Page 58
Auditoria a “Soluciones al Campo SCP”
¿Qué hacer en caso de una inundación?
¿QUÉ HACER ANTES?
Verificar o asegurar que la empresa se encuentre ubicada en un lugar seguro.
Verificar que la empresa se encuentre a nivel mayor al de suelo exterior.
Tener puertas aseguradas para evitar la entrada del agua.
Tener en cuenta si existen canales de desagüe, en caso contrario tomar las medidas
adecuadas para efectuarlas.
Verificar que las ventanas se encuentren bien cerradas, para que no pueda escurrir el
agua.
Contar con seguro para la empresa.
Contar con respaldos de toda la información existente e importante para la empresa.
Contar con garantías de todos los equipos de cómputo por si llega a ocurrir daño
alguno.
¿QUÉ HACER DURANTE?
Verificar que todo la empresa este bien asegurado.
Apagar y desconectar todo el equipo de cómputo y todo aparato eléctrico para evitar
corto circuito alguno.
¿QUÉ HACER DESPUÉS?
Verificar la existencia de equipo dañado.
No encender ningún equipo eléctrico hasta estar seguros de que el peligro haya
trascurrido.
Efectuar un análisis minucioso de la perdida existente.
Notificar al dueño o representante legal de la empresa para tomar medidas en caso
alguno.
Lic. en Informática 9B – Auditoría en Informática Page 59
Auditoria a “Soluciones al Campo SCP”
¿Qué hacer en caso de un incendio?
¿QUÉ HACER ANTES?
Lo primero es confirmar que los extintores estén en buenas condiciones y que no estén
caducados o en mal estado.
En caso contrario, es preferible comprar otros.
Colocar los extintores en lugares estratégicos y visibles para el personal.
Identificar la ruta de la salida de emergencia.
Ejecutar simulacros para determinar el cargo de cada empleado
Reduzca las áreas para fumadores a zonas con buena ventilación sin elementos
inflamables como cortinas y alfombras.
Evite conectar múltiples aparatos en el mismo tomacorriente
Evite sobrecargar los cables con extensiones o equipos alguno
Verificar que el cableado eléctrico este en buenas condiciones de lo contrario
cambiarlos.
Instale paredes contra fuego, puertas blindadas que permitan aislar el fuego en ciertas
áreas.
¿QUE HACER DURANTE?
Si descubre el incendio intente sofocarlo con el extintor más cercano, sólo si
sabe cómo usarlo.
No intente apagar el fuego en forma violenta.
Aleje en la medida de lo posible los objetos y materiales que puedan provocar un
incendio mayor.
Mantenga la calma.
¿QUÉ HACER DESPUÉS?
No encienda sus equipos de cómputo y aparatos electrónicos hasta asegurar que
todo está bajo control.
Verifique que el personal este sano y salvo.
Análisis o inventario de las pérdidas que se tuvo.
Retírese del área siniestrada, pues el fuego puede reavivarse.
Lic. en Informática 9B – Auditoría en Informática Page 60
Auditoria a “Soluciones al Campo SCP”
5. Plan de Respaldo
Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su
finalidad es evitar dicha materialización. Estos respaldos pueden variar desde archivos del
sistema operativo, bases de datos, hasta archivos de un usuario común.
La tecnología no está exenta de fallas o errores, y los respaldos de información son utilizados
como un plan de contingencia en caso de que una falla o error se presente.
Las interrupciones se presentan de formas muy variadas: virus informáticos, fallos de
electricidad, errores de hardware y software, caídas de red, hackers, errores humanos,
incendios, inundaciones, etc. Y aunque no se pueda prevenir cada una de estas interrupciones,
la empresa sí puede prepararse para evitar las consecuencias que éstas puedan tener sobre su
negocio. Del tiempo que tarde en reaccionar una empresa dependerá la gravedad de sus
consecuencias.
La pérdida de información provoca un daño de fondo:
Pérdida de oportunidades de negocio
Clientes decepcionados
Reputación perdida
Etc.
Planificación de la copia
Las copias de seguridad se realizan de forma automática por un programa de copia, y según la
configuración de éste, se podrá realiza diariamente, a medida a como los usuarios vayan
avanzando en sus labores aun así y el sistema esté inactivo. Todos estos y muchos más
parámetros pueden estar presentes en los programas que realizan las copias de seguridad y
deben permitirnos la realización únicamente de las tareas de supervisión. Cuando se hace el
backup se hace una copia completa de la red de trabajo que incluye una copia de datos,
información y programas, restaurando el sistema al momento anterior a la copia.
Lic. en Informática 9B – Auditoría en Informática Page 61
Auditoria a “Soluciones al Campo SCP”
Debido a la importancia de los sistemas y aplicaciones de la empresa “Soluciones al
Campo”, es necesario realizar un proceso de respaldo que asegure que en caso de
contingencia sea posible restaurar éstos para su funcionamiento.
Respaldo de Datos
En “Soluciones al Campo” todos los sistemas y aplicaciones de manejo de Información
cuentan con una base de datos para cada uno de ellos respectivamente. Estas bases
de datos están soportadas por un Motor de Bases de Datos Microsoft SQL Server
2005.
El proceso de respaldo de las bases de datos dentro del SQL Server se trata de un
plan de mantenimiento el cual se puede programar, determinando la periodicidad en
horas, días, etc. De la misma forma, se puede determinar la ubicación donde se
guardará el respaldo resultante. Cabe mencionar que al tratarse de un plan de
mantenimiento se nos preguntará sobre optimizaciones, comprobaciones de integridad.
Respaldo del Sistema o Aplicación
En nuestro caso en la empresa contamos con sistemas que se basan en clientes,
basta con tener un respaldo de la última versión del código fuente e instalador, se
respalda constantemente la versión de producción, ya que es susceptible a
modificaciones o fallos, por lo cual en caso de contingencia si se podría restablecer la
última versión funcional. Éste a su vez es calendarizado en el programador de tareas
de Windows el cual determinará la frecuencia y hora en que se realizará.
Lic. en Informática 9B – Auditoría en Informática Page 62
Auditoria a “Soluciones al Campo SCP”
6. PLAN DE RECUPERACIÓN:
El plan de recuperación viene de la mano del plan de respaldo pues de la información
respaldada se realiza la recuperación en caso de algún inconveniente. Hoy en día Para una
empresa que maneja sistemas informáticos es indispensable tener un plan de recuperación, y
personal capacitado para efectuarlo.
La restauración de los datos es el fin por el que hay que luchar a la hora de realizar
una buena planificación de copias de seguridad. Los backups tiene como objetivo
hacer frente a cualquier pérdida de datos y poder mantener la continuidad del
negocio, por lo que si contamos con una correcta planificación de copias de
seguridad, lo único que nos falta para que la organización pueda seguir funcionando
es restaurar los datos y volver a la situación previa al desastre o la interrupción.
Objetivos
Los objetivos del plan de recuperación son:
Determinación de los procedimientos para respaldar las aplicaciones y datos
Planificar la reactivación de la operación interrumpida producida por un desastre de los
sistemas prioritarios
Permanente mantenimiento y supervisión de los servicios, sistemas y aplicaciones
Establecimiento de una disciplina de acciones a realizar para garantizar una rápida y
Oportuna respuesta frente a un desastre
Alcance del plan de recuperación.
La responsabilidad sobre el Plan de Recuperación es de la Administración, la cual debe
considerar la combinación de todo su personal, equipos, datos, sistemas,
comunicaciones y suministros.
Lic. en Informática 9B – Auditoría en Informática Page 63
Auditoria a “Soluciones al Campo SCP”
Lic. en Informática 9B – Auditoría en Informática Page 64
Auditoria a “Soluciones al Campo SCP”
Etapas.
Decisión.
La decisión de cuando efectuar el plan de recuperación queda a cargo del Ing. GERARDO
VILLEGAS PALMER director general de Soluciones del campo, cabe mencionar que
este debe ser efectuado cuando las condiciones del ambiente estén propicias para
laborar normal.
Duración.
La duración del plan se determinara de acuerdo a las necesidades que se presenten y
la capacidad de los equipos de trabajo para procesar la restauración y recuperación de
los sistemas. De igual forma se puede crear un comité entre el mismo personal que
tenga conocimientos suficientes para determinar si la recuperación puede realizarse
con todas las condiciones favorables.
Aplicación del plan.
La aplicación del plan será determinado por el jefe del departamento de informática y
con ayuda del director de soluciones del campo. Estos determinaran cuando y cuanto
va durar la recuperación de la información y que herramientas necesitan para llevarlo a
cabo completo.
Lic. en Informática 9B – Auditoría en Informática Page 65