Auditoria de Sistemas It

UNIVERSIDAD PRIVADA TELESUP “AUDITORIA DE SISTEMAS DE IT” CURSO: SEGURIDAD DE LA INFORMACION Y AUDITORIA DE SISTEMAS CI

Views 115 Downloads 0 File size 1MB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories
Programa de Auditoria IT
Programa de Auditoria IT

SERVICIOS DE IMPUESTOS NACIONALES GERENCIA DISTRITAL CBBA POA ORDEN DE FISCALIZACION EXTERNA CONTRIBUYENTE (RAZON SOCIAL

71 0 545KB Read more

Auditoria Sistemas
Auditoria Sistemas

5 0 11MB Read more

auditoria de sistemas
auditoria de sistemas

796 9 574KB Read more

Auditoria de Sistemas
Auditoria de Sistemas

150 1 689KB Read more

AUDITORIA DE SISTEMAS
AUDITORIA DE SISTEMAS

39 0 1MB Read more

auditoria de sistemas
auditoria de sistemas

69 1 242KB Read more

Auditoria de Sistemas
Auditoria de Sistemas

50 2 506KB Read more

Auditoria de Sistemas Proyecto
Auditoria de Sistemas Proyecto

85 2 174KB Read more

Auditoria De Sistemas
Auditoria De Sistemas

388 0 172KB Read more

Auditoria de Sistemas Tesis
Auditoria de Sistemas Tesis

70 0 6MB Read more

Citation preview

UNIVERSIDAD PRIVADA TELESUP

“AUDITORIA DE SISTEMAS DE IT” CURSO: SEGURIDAD DE LA INFORMACION Y AUDITORIA DE SISTEMAS CICLO: IX ALUMNO: BLAZ QUISPE, RENZO DOCENTE: ING. WILFREDO GONZALES CHOMBA

Página

1

DICIEMBRE 2018

INDICE

INTRODUCCION...............................................................................03 1.0.0 ANTECEDENTES.....................................................................04 1.1.0 VISION Y MISION………………………...................................04 2.0.0 OBJETIVOS……………………………….................................07 3.0.0 ALCANCE DEL PROYECTO………………………………….08 4.0.0 PRIMEROS PASOS DE LA AUDITORIA INFORMATICA...09 4.1.0 INVESTIGACION PRELIMINAR………………………………09 4.2.0 EVALUACION DEL HARDWARE…….……………………….11 5.0.0 EVALUACION DEL PERSONAL……………………………...17 6.0.0 CONTROL DE ACCESO A LOS DATOS………………….…20 7.0.0 MANTENIMIENTO………………………………………………22 8.0.0 RECOMENDACIONES…………………………………………23

Página

2

CONCLUCIONES……………………………………………………..24

INTRODUCCIÓN

Auditar un sistema no siempre es sinónimo de buscar lo malo de cada sistema sino una oportunidad de mejorar y optimizar el sistema de una empresa para así poder alcanzar las metas propuestas , es evaluar el hardware y el sistema de la empresa para poder tener un soporte para cumplir con la misión y visión trazadas , las recomendaciones obtenidas después del análisis de la auditoria permitirán a la empresa corregir las deficiencias encontradas, conocer los puntos en los que es fuerte y reforzar las debilidades, el área de IT tiene la tarea de mantener un sistema que permita a la alta directiva llevar a cabo las tareas necesarias con la mayor eficiencia posible reduciendo costos y manteniendo la calidad de los servicios brindados, así una auditoria de sistemas será una perspectiva que permitirá a la alta directiva tomar un camino que lleve a optimizar y mejorar sus sistemas de

Página

3

información.

AUDITORIA DE SISTEMAS IT EMPRESA SCCP SERVICIOS CALL CENTER DEL PERU

1.0.0 ANTECEDENTES

Las tecnologías IT son las herramientas principales para que la gerencia pueda tomar las decisiones correctas para alcanzar sus metas, dependiendo de la empresa estas tecnologías pueden estar en mayor o menor porcentaje de la infraestructura de las mismas, las empresas orientadas a servicios , como el caso de la empresa que va ser auditada , la empresa a ser auditada será SCCP SERVICIOS CALL CENTER DEL PERÚ, una empresa del rubro de los call center dedicada a dar atención al cliente a otra empresa (en este caso Entel Chile) el área de IT tiene un papel crítico en éxito de la empresa pues la misma depende del buen funcionamiento de los sistemas IT pues el tráfico de llamadas e información se realiza a través de una VPN directa a chile y de telefonía IP. 1.1.0 VISION Y MISION Visión: Ser el mejor Contact Center en innovación, productividad y calidad de servicio para nuestros clientes y usuarios finales. Misión:

Página

nivel de satisfacción de nuestros clientes.

4

Brindar una solución rápida y precisa a nuestros usuarios finales, logrando un alto

La finalidad de la auditoría no solo será la detección de errores o debilidades en el sistema, sino también optimizar y buscar la mejor eficacia dando sugerencias para mejorar los procesos de la empresa a auditar y ser el soporte que ayude a la empresa a lograr su visión y misión. En la presente auditoría se a conseguido un permiso parcial de la empresa pues el encargado de sistemas IT Carlos Dávalos indica que las sé a firmado un contrato que incluye cláusulas que impide a externos revisar áreas críticas de la empresa sin la autorización expresa de un directivo de Entel Chile, la auditoria se realizara enfocada a una de las 7 áreas que tiene el servicio de call center a Entel Chile , en este caso se auditara el área de MESAS TÉCNICAS ENTEL, esta área se dedica exclusivamente a dar soporte técnico para clientes que tienen dificultades de navegación en sus equipos modem usb, Router y Smartphone, todo este soporte se realiza por medio de telefonía IP y la búsqueda de la información del cliente no se realiza directamente en un pc sino en un cliente liviano que se encarga de mostrar un escritorio con las aplicaciones más básicas orientadas a la gestión del ejecutivo de atención técnica, Se revisara y evaluara los controles de gestión, procedimientos, equipos informáticos, el software que tan eficiente es su utilización, la seguridad para poder detectar fallas y sugerir correcciones o mejoras o la compra de nuevos

Página

5

equipos, para así aumentar la eficiencia del sistema de IT

AUDITORIA EN SISTEMAS IT

INSTITUCIÓN PERU

:

SCCP

SERVICIOS

CALL

CENTER

DEL

AUDITORIA No.0001

FECHA DE FORMULACIÓN : 15 de diciembre 2017

NÚMERO DESCRIPCIÓN ACTIVIDAD

AUDITO: 01

PERIODO

DIAS DIAS

ESTIMADO HAB HOM.

:

vía telefónica

INICIO

TERMINO

EST. EST. Call Center PARTICIPANTE 15/12/201 20/12/201 5 : 13 5 7 7

6

soporte técnico

Página

:

PERSONAL

DE

2.0.0 OBJETIVOS

A medida que pasa el tiempo los equipos de una empresa se deterioran , o requieren actualizar el software para mantener la seguridad en sus sistemas, esta información es crítica para la empresa pues de lo contrario no podrá alcanzar su visión/misión o le será más difícil de lograr, en el caso de la empresa auditada el correcto funcionamiento y conexión a red de sus equipos es lo permite dar el servicio que es la base de su negocio , este debe estar en perfectas condiciones porque una caída del servicio acarreará multas por incumplimiento de contrato Los objetivos de la auditoria son: -Verificar el estado físico del hardware su antigüedad, si está en buen estado o necesita ser reemplazado o actualizado -Determinar si la conexión a red tiene la velocidad adecuada que permita ejecutar el cliente de escritorio virtual con la velocidad adecuada de

Página

7

conexión.

3.0.0 ALCANCE DEL PROYECTO:

El área que va a ser auditada es la plataforma encargada de dar soporte técnico a problemas de navegación través de celular y modem usb , esta atención se realiza a través telefonía IP que se enlaza con un servidor en chile mediante una vpn de alta velocidad La plataforma de mesas técnicas tiene 12 estaciones de las cuales 11 son para ejecutivos y una para supervisor, adicionalmente un encargado de IT que se encarga de dar mantenimiento a las estaciones. Se evaluara los siguientes Ítems Encargado de soporte IT 

Planes de trabajo



Controles de datos



Estándares

Evaluación de los Sistemas 

Sistemas

en

operación

(flujo

de

información,

procedimientos,

documentación, , organización de archivos, estándares de programación,

Seguridad física y lógica de los sistemas, su confidencialidad y respaldos



Evaluación de los equipos



Seguridad física y lógica

Página



8

controles)

4.0.0 PRIMEROS PASOS DE LA AUDITORÍA EN INFORMÁTICA

Previamente vamos a analizar el área y la dimensión del área que se va a auditar en este caso el área de MESAS TÉCNICAS es una plataforma de 12 estaciones, 11 para ejecutivos y una para el supervisor. 

Se evaluará los procedimientos en plataforma.



se evaluara los equipos de cómputo.

4.1.0 INVESTIGACIÓN PRELIMINAR

Se observa que el área de MESAS TÉCNICAS tiene una situación estable dentro de la empresa, se obtuvo información de area de recursos humanos que indica que la empresa ENTEL CHILE ha firmado recientemente un contrato de 12 meses adicionales en el mes de noviembre, a pesar de ello no se tiene planeado la adquisición de nuevos equipos, el área en general se observa limpia y ordenada pero los equipos informáticos tienen una antigüedad promedio de 3 años. Se solicitó los estándares aplicados a la plataforma de IT , pero el encargado de It indico que no los tenía disponibles dicha documentación está restringida, y debe ser solicitada al jefe de IT, al intentar contactar con jefe de IT este denegó la

Página

9

información.

INVESTIGACIÓN PRELIMINAR DE AREA DE MESAS TÉCNICAS planes

PC Posiciones Torre

Cliente fecha

de Planes

de

políticas

para

de

renovar

Liviano instalación actualización Ubicación operación equipos jr camaná

12

1

11

nov

no

678

si

no

si

no

I3 2GbRam Sun HDD250 Ray 3

módulos todos

no

múltiples

Por temas de seguridad la mayor parte de la documentación está restringida no permitiéndonos el acceso

Sistemas instalados servidor Sun programas Desktop

Sun Ray 3

Window 7 Aplicación Pro

cliente liviano

Ray

ofimática

de window server 2003

de app de gestión aplicaciones

open source

de

call center

Por temas de confidencialidad la mayor parte de la documentación de las app de gestión usada en el cliente liviano y en la desktop están restringidas, se requiere

Página

10

autorización expresa de directiva de ENTEL CHILE.

De momento no se planea instalar nuevo sistema operativo en desktop por parte de SCCP, no se planea cambiar aplicaciones de gestión por ser aplicaciones críticas, adicionalmente estas aplicaciones son proporcionadas por ENTE CHILE y están altamente integradas en el sistema de Entel Chile por lo que un cambio de las mismas generaría cambio en otras áreas críticas del sistema siendo inviable el cambio sin un estudio más amplio y análisis de viabilidad de posibles sistemas que aspiren a reemplazar a los anteriores.

4.2.0 EVALUACION DEL HARDWARE: SUN RAY 3 (descontinuado solo disponible soporte por parte de Oracle) Estos dispositivos de bajo consumo permiten iniciar sesión con escritorios virtuales desde servidores Sun ray , la principal ventaja y razón de uso es que no requieren sistema operativo o ser administrados localmente , permiten bloquear o desbloquear puertos o la velocidad desde el mismo servidor Sun Ray, usan tarjeta inteligente para la habilitación, su estado actual presenta una antigüedad de 3 años , 3 de estos dispositivos presentan fallas , no hay equipos de repuesto disponibles por lo cual su uso

11

es forzoso .

Página



Servidor Sun ray: no se pudo tener acceso al dispositivo, se encuentra en una zona donde solo puede acceder personal autorizado pues en ella hay equipo crítico para mantener el servicio operativo , mediante una estación cliente liviano se pudo realizar test de velocidad mostrando como resultado los siguientes Ping: 3ms Download Speed: 324.85Mbps

12

Upload Speed: 514.00Mbps

Página



Desktop : equipo HP core I3 2Gb Ram HD250 video integrado , sólo para uso de reportaría y manejo de archivos Excel para estadística no tiene acceso a internet solo a una intranet., el equipo fue instalado hace 3 años al apresurarse la plataforma , no presenta fallas reportadas, ultimo mantenimiento realizado hace 3 meses, sistema operativo muestra la última

13

actualización el 18 de diciembre del 2017.

Página



Estación de uso exclusivo del supervisor.. 

Periféricos: Monitores, Headset, mouse, teclados, estado ok cambiados en su mayoría en mayo del 2017 al ser periféricos con interface usb su cambio

Página

Estación equipada con Sun Ray 3 con sesión de cliente liviano escritorio remoto.

14

s=es sencillo y son periféricos fáciles de adquirir y reemplazar.



Cableado: Estado de cables de red es excelente bien canalizado, y cables ordenados , fueron reemplazados recientemente, asimismo las tomas de energía eléctrica se encuentran en óptimas condiciones con el aislamiento adecuado y conexión a tierra

Detalle de cableado de cada estación

De acuerdo a las entrevistas los usuarios indican que el sistema es lento para ser un cliente liviano, adicionalmente reportan que sus sesiones se congelan y

información.

15

que reiniciar todo el cliente liviano con la consiguiente pérdida de

Página

tiene

Reportan que este inconveniente sucede a menudo en determinadas posiciones siendo las siguientes:

Supervisor Cliente1 Cliente2 Cliente3 Cliente4

Cliente 5 Extintor

Pasillo Cliente 6

Detector humo Cliente 7 Cliente8 Cliente9 Cliente 10 Cliente 11

Al realizar prueba cruzada con fecha 16 de diciembre 2017 con otro equipo Sun Ray 3 las posiciones no experimentaron fallas se determina que las fallas se deben a avería física de equipo Sun Ray 3 se recomienda realizar el cambio de los mismos pero a la fecha y por motivos de disponibilidad técnica , aun no se cuenta con los equipos de repuesto por lo que las posiciones al mantener los equipos con averías siguen experimentando los problemas de cuelgues a razón de 1 diario con

Equipo Sun Ray 3

Página

16

la consiguiente pérdida de información de registro de la llamada.

5.0.0 EVALUACIÓN DEL PERSONAL

Se realiza una evaluación del personal asignado al área de MESAS TECNICAS con el fin de establecer un perfil de los usuarios, si tienen capacitación adecuada de acuerdo al puesto que ocupan en la empresa.

Nombre

y

capacitación

Apellido Cargo JUAN JOSE ORE

Instrucción

LLANOS Ejecutivo

FULVIO MARIO CASTRO

en curso

MARIA ISABEL

informática

BRAÑES

3

si

3

si

2

si

3

si

3

si

3

si

Ejecutivo

ZENTENO JULIO

Técnico

HARRY

informática

ALBERTO

en curso JOSE Tecnico IT CCNA Técnico informática

Página

Universitaria

17

RUIZ Ejecutivo

CARLOS

DAVALOS

seguridad

Ejecutivo Técnico

CARLOS

en años

Universitaria

PALOMINO

CARBAJAL

sobre normas de

Supervisor Tecnico informatica

GIL

experiencia

SUYON

JACAY Ejecutivo

LIZANDRO DAVID CHAVESTA

Técnico informática

Ejecutivo

informática

LOLI

Técnico

JOSELIN

informática

ACUÑA MORENO Ejecutivo

Técnico

FELIX FRANCO

informática

TAPULLIMA PEZO

informática

2

si

3

si

3

si

3

si

3

si

Ejecutivo

JOSEPH

Universitaria

JORDAN GARCIA

si

Técnico

MARTIN

PONTE

3

Ejecutivo

CARLOS

CABALLERO

si

Técnico

PISFIL JACINTO ANICETO Ejecutivo

3

en curso Ejecutivo

PUTPAÑA

Técnico

NICEFRA

informática

Se entrevistó a los usuarios (ejecutivos que atienden las llamadas), se les realizo la siguiente pregunta: qué dificultades han notado en el día a día al utilizar el actual sistema basado en Sun Ray 3? manifestaron los siguientes puntos que

Lentitud al iniciar sesión

Página



18

deberían mejorarse en el sistema de cliente escritorio remoto:



En ocasiones las sesiones de cliente escritorio remoto se cuelgan provocando pérdida de la información y forzando a cortar la llamada con el cliente para poder reiniciar el Sun Ray 3



Lentitud al abrir aplicaciones de gestión y aplicaciones de soporte



Es común tener llamadas de los clientes se escuchan entrecortadas



Llamadas con volumen bajo



3 monitores muestran imagen demasiado ancha, debido a que la resolución de Sun Ray 3 no corresponde a la soportada por los mismo



Cables desordenados



adicionalmente informan que no hay un registro escrito o en línea para registrar las fallas del sistema, estos se informan directamente al encargado de IT el cual solo reinicia los equipos.

Página

del monitor.

19

Imagen distorsionada porque la resolución del Sun Ray 3 no es compatible con la

6.0.0 CONTROL DE ACCESO A LOS DATOS:

Al ser un call center necesita el acceso a una base de datos con la información de los clientes que se comunican para solicitar asistencia técnica: la dinámica de la atención es la siguiente: -Ingresa una llamada el ejecutivo solicita número de la línea que requiere atención El ejecutivo ingresa el número a una aplicación con el fin de ver a nombre de quien está la línea consultada, el tipo de línea que tiene. -Una vez consultado los datos en la aplicación se informa a cliente la información para resolver la dificultad. El nombre de la aplicación es SGA , el acceso a esta aplicación se realiza a través de un usuario y contraseña personal, responsabilidad de cada ejecutivo, la contraseña requiere mínimo 8 caracteres , al menos un número y un símbolo., actualmente ENTEL CHILE cuenta con 8.9 millones de clientes , toda la información de los suscriptores se entra en esta aplicación por lo que es de importancia crítica para la gestión de los ejecutivos , para el uso seguro de las aplicaciones se implementó las siguientes medidas de seguridad: 

No hay forma de acceder a esta aplicación desde la internet , esta aplicación sólo es accesible desde los Sun Ray 3 conectados al Servidor Sun , el mismo se conecta directamente a chile mediante una VPN de alta velocidad , por tanto no hay acceso de los ejecutivos a otras páginas que no sean del trabajo,

descarga de malware porque las descargas de todo tipo están bloqueadas, el uso de correo se hace a través de un correo corporativo interno, este solo permite enviar información entre correos de la empresa, no permite el envío

20

Se desactivo las descargas de archivos adjuntos, no hay peligro de

Página



de correo a otros servidores como por ejemplo Gmail o Outlook, al no haber una conexión libre a internet esto no es posible, 

La consola CMD también se ha deshabilitado siendo imposible para los usuarios sin tarjeta inteligente acceder a ella, como medida de seguridad



Se a configurado los puertos usb de los Sun Ray 3 para reconozcan solamente 2 periféricos , mouse y teclado , desactivando el soporte para memorias usb o discos duro externo , con esta configuración el Sun Ray 3 no los reconoce solo les da energía,



Ninguna de estas configuraciones puede cambiarse por los usuarios , solo es posible ser cambiada a través de tarjetas inteligentes de uso exclusivo del jefe de IT

Estas configuraciones del Sun Ray 3 permiten mantener la seguridad de los datos de los clientes, haciendo muy seguras las operaciones impidiendo cualquier acceso no autorizado a la información, y evitando cualquier tipo de robo de información protegiendo el sistema contra todo tipo de amenaza externa al no haber acceso a internet. Con respecto a la Desktop de uso exclusivo del supervisor, cuenta con las siguientes medidas de seguridad:



Puertos Usb deshabilitados



Disco duro cifrado



no tiene acceso a internet solo a intranet de la empresa



todo envío de información se realiza a través de correo interno de la empresa con dominio propio siendo fácilmente auditable, no es posible enviar correo a cuentas públicas o de otras empresas

las medidas de seguridad

21

BIOS de desktop protegido con contraseña para evitar modificaciones de

Página



7.0.0 MANTENIMIENTO

AL entrevistar al jefe de IT sobre el plan de mantenimiento o los periodos del mismo indico que por motivos de presupuesto no hay un plan de mantenimiento establecido, el contrato con la empresa se renueva anualmente siendo el periodo octubre 2017 a setiembre 2018 el último periodo del contrato con la empresa ENTEL CHILE ya habiendo acordado no renovar por otro año la relación con la empresa SERVICIOS CALL CENTER DEL PERÚ por lo que: No hay planes de renovación de equipos o reemplazo de los mismos. Los periféricos como mouse teclados y headset se reemplazan periódicamente de acuerdo a cuando fallen no tiene un plan trazada ni un periodo establecido No hay un formato establecido para reportar las fallas toda solicitud de reparación es personalmente sin un registro escrito, no existe un libro de control de almacén de salida de repuestos. Los equipos Sun Ray 3 están descontinuados pero pese a ello requieren un bajo mantenimiento por lo cual el mantenimiento se limita a reemplazar periféricos en caso de daño La desktop de uso exclusivo del supervisor resulta en un equipo robusto que no ha presentado fallas en el periodo de servicio se realiza mantenimiento de semestral básico y actualización de sistema operativo es cada 2 meses para lo cual es

Página

22

llevada a la oficina de IT , no cuenta con antivirus más allá del Windows Defender.

8.0.0 RECOMENDACIONES:

En base a lo tratado anteriormente se realiza las siguientes recomendaciones para que se la empresa SERVICIOS CALL CENTER DEL PERU pueda cumplir su visión y misión y alcance las metas trazadas por la directiva:



Implementar y desarrollar PETI en el área de MESAS TÉCNICAS, de este modo habrá un plan estratégico para que la empresa pueda alcanzar su misión y visión.



Si bien es cierto por temas de presupuesto y contrato no hay planes de reemplazar hardware actualmente en servicio se recomienda programar mantenimientos más frecuentes de los equipos actualmente en servicio y reemplazar las unidades Sun Ray 3 que presentar fallas periódicas demostradas



No confiar demasiado en la configuración actual que restringe el acceso a internet y los puertos usb, instalar antivirus



Aunque aún está funcionando se recomienda cambiar el Windows server 2003 de su servidor a Red Hat Enterprise Linux Advanced Server para mejorar la seguridad y estabilidad de las sesiones de los usuarios , de esta manera lograra evitar cuelgues en las sesiones Documentar el mantenimiento de los equipos pues no hay un registro

23

detallado de lso mismos se realiza empíricamente

Página



CONCLUCIONES

Se concluye la empresa auditada no tiene un control estándar para el mantenimiento de sus equipos pese a que estos son parte vital del servicio que brinda , el área de IT no tiene formatos para reportar fallas, la documentación de sistemas está restringida a un jefe se sistemas , en general se maneja de manera empírica, el servicio se mantiene funcionando por la confiabilidad de su hardware , y el conocimiento de los usuarios todos informáticos que saben cómo resolver de manera rápida temas relacionados con software, sin embargo la falta de planes para reemplazar equipos que ya están descontinuados generara en corto plazo que ocurra una falla critica que limitara el servicio de manera parcial o total acarreando multas a la empresa que lo brinda por incumplimiento de contrato , se recomienda a la empresa implementar PETI y estandarizar los procesos de IT , de esta forma el área de IT podrá apoyar de forma más eficiente a la empresa para así poder evitar fallas de sistema y

Página

24

poder alcanzar las metas que la empresa se a propuesto