UNIVERSIDAD PRIVADA TELESUP “AUDITORIA DE SISTEMAS DE IT” CURSO: SEGURIDAD DE LA INFORMACION Y AUDITORIA DE SISTEMAS CI
Views 115 Downloads 0 File size 1MB
UNIVERSIDAD PRIVADA TELESUP
“AUDITORIA DE SISTEMAS DE IT” CURSO: SEGURIDAD DE LA INFORMACION Y AUDITORIA DE SISTEMAS CICLO: IX ALUMNO: BLAZ QUISPE, RENZO DOCENTE: ING. WILFREDO GONZALES CHOMBA
Página
1
DICIEMBRE 2018
INDICE
INTRODUCCION...............................................................................03 1.0.0 ANTECEDENTES.....................................................................04 1.1.0 VISION Y MISION………………………...................................04 2.0.0 OBJETIVOS……………………………….................................07 3.0.0 ALCANCE DEL PROYECTO………………………………….08 4.0.0 PRIMEROS PASOS DE LA AUDITORIA INFORMATICA...09 4.1.0 INVESTIGACION PRELIMINAR………………………………09 4.2.0 EVALUACION DEL HARDWARE…….……………………….11 5.0.0 EVALUACION DEL PERSONAL……………………………...17 6.0.0 CONTROL DE ACCESO A LOS DATOS………………….…20 7.0.0 MANTENIMIENTO………………………………………………22 8.0.0 RECOMENDACIONES…………………………………………23
Página
2
CONCLUCIONES……………………………………………………..24
INTRODUCCIÓN
Auditar un sistema no siempre es sinónimo de buscar lo malo de cada sistema sino una oportunidad de mejorar y optimizar el sistema de una empresa para así poder alcanzar las metas propuestas , es evaluar el hardware y el sistema de la empresa para poder tener un soporte para cumplir con la misión y visión trazadas , las recomendaciones obtenidas después del análisis de la auditoria permitirán a la empresa corregir las deficiencias encontradas, conocer los puntos en los que es fuerte y reforzar las debilidades, el área de IT tiene la tarea de mantener un sistema que permita a la alta directiva llevar a cabo las tareas necesarias con la mayor eficiencia posible reduciendo costos y manteniendo la calidad de los servicios brindados, así una auditoria de sistemas será una perspectiva que permitirá a la alta directiva tomar un camino que lleve a optimizar y mejorar sus sistemas de
Página
3
información.
AUDITORIA DE SISTEMAS IT EMPRESA SCCP SERVICIOS CALL CENTER DEL PERU
1.0.0 ANTECEDENTES
Las tecnologías IT son las herramientas principales para que la gerencia pueda tomar las decisiones correctas para alcanzar sus metas, dependiendo de la empresa estas tecnologías pueden estar en mayor o menor porcentaje de la infraestructura de las mismas, las empresas orientadas a servicios , como el caso de la empresa que va ser auditada , la empresa a ser auditada será SCCP SERVICIOS CALL CENTER DEL PERÚ, una empresa del rubro de los call center dedicada a dar atención al cliente a otra empresa (en este caso Entel Chile) el área de IT tiene un papel crítico en éxito de la empresa pues la misma depende del buen funcionamiento de los sistemas IT pues el tráfico de llamadas e información se realiza a través de una VPN directa a chile y de telefonía IP. 1.1.0 VISION Y MISION Visión: Ser el mejor Contact Center en innovación, productividad y calidad de servicio para nuestros clientes y usuarios finales. Misión:
Página
nivel de satisfacción de nuestros clientes.
4
Brindar una solución rápida y precisa a nuestros usuarios finales, logrando un alto
La finalidad de la auditoría no solo será la detección de errores o debilidades en el sistema, sino también optimizar y buscar la mejor eficacia dando sugerencias para mejorar los procesos de la empresa a auditar y ser el soporte que ayude a la empresa a lograr su visión y misión. En la presente auditoría se a conseguido un permiso parcial de la empresa pues el encargado de sistemas IT Carlos Dávalos indica que las sé a firmado un contrato que incluye cláusulas que impide a externos revisar áreas críticas de la empresa sin la autorización expresa de un directivo de Entel Chile, la auditoria se realizara enfocada a una de las 7 áreas que tiene el servicio de call center a Entel Chile , en este caso se auditara el área de MESAS TÉCNICAS ENTEL, esta área se dedica exclusivamente a dar soporte técnico para clientes que tienen dificultades de navegación en sus equipos modem usb, Router y Smartphone, todo este soporte se realiza por medio de telefonía IP y la búsqueda de la información del cliente no se realiza directamente en un pc sino en un cliente liviano que se encarga de mostrar un escritorio con las aplicaciones más básicas orientadas a la gestión del ejecutivo de atención técnica, Se revisara y evaluara los controles de gestión, procedimientos, equipos informáticos, el software que tan eficiente es su utilización, la seguridad para poder detectar fallas y sugerir correcciones o mejoras o la compra de nuevos
Página
5
equipos, para así aumentar la eficiencia del sistema de IT
AUDITORIA EN SISTEMAS IT
INSTITUCIÓN PERU
:
SCCP
SERVICIOS
CALL
CENTER
DEL
AUDITORIA No.0001
FECHA DE FORMULACIÓN : 15 de diciembre 2017
NÚMERO DESCRIPCIÓN ACTIVIDAD
AUDITO: 01
PERIODO
DIAS DIAS
ESTIMADO HAB HOM.
:
vía telefónica
INICIO
TERMINO
EST. EST. Call Center PARTICIPANTE 15/12/201 20/12/201 5 : 13 5 7 7
6
soporte técnico
Página
:
PERSONAL
DE
2.0.0 OBJETIVOS
A medida que pasa el tiempo los equipos de una empresa se deterioran , o requieren actualizar el software para mantener la seguridad en sus sistemas, esta información es crítica para la empresa pues de lo contrario no podrá alcanzar su visión/misión o le será más difícil de lograr, en el caso de la empresa auditada el correcto funcionamiento y conexión a red de sus equipos es lo permite dar el servicio que es la base de su negocio , este debe estar en perfectas condiciones porque una caída del servicio acarreará multas por incumplimiento de contrato Los objetivos de la auditoria son: -Verificar el estado físico del hardware su antigüedad, si está en buen estado o necesita ser reemplazado o actualizado -Determinar si la conexión a red tiene la velocidad adecuada que permita ejecutar el cliente de escritorio virtual con la velocidad adecuada de
Página
7
conexión.
3.0.0 ALCANCE DEL PROYECTO:
El área que va a ser auditada es la plataforma encargada de dar soporte técnico a problemas de navegación través de celular y modem usb , esta atención se realiza a través telefonía IP que se enlaza con un servidor en chile mediante una vpn de alta velocidad La plataforma de mesas técnicas tiene 12 estaciones de las cuales 11 son para ejecutivos y una para supervisor, adicionalmente un encargado de IT que se encarga de dar mantenimiento a las estaciones. Se evaluara los siguientes Ítems Encargado de soporte IT
Planes de trabajo
Controles de datos
Estándares
Evaluación de los Sistemas
Sistemas
en
operación
(flujo
de
información,
procedimientos,
documentación, , organización de archivos, estándares de programación,
Seguridad física y lógica de los sistemas, su confidencialidad y respaldos
Evaluación de los equipos
Seguridad física y lógica
Página
8
controles)
4.0.0 PRIMEROS PASOS DE LA AUDITORÍA EN INFORMÁTICA
Previamente vamos a analizar el área y la dimensión del área que se va a auditar en este caso el área de MESAS TÉCNICAS es una plataforma de 12 estaciones, 11 para ejecutivos y una para el supervisor.
Se evaluará los procedimientos en plataforma.
se evaluara los equipos de cómputo.
4.1.0 INVESTIGACIÓN PRELIMINAR
Se observa que el área de MESAS TÉCNICAS tiene una situación estable dentro de la empresa, se obtuvo información de area de recursos humanos que indica que la empresa ENTEL CHILE ha firmado recientemente un contrato de 12 meses adicionales en el mes de noviembre, a pesar de ello no se tiene planeado la adquisición de nuevos equipos, el área en general se observa limpia y ordenada pero los equipos informáticos tienen una antigüedad promedio de 3 años. Se solicitó los estándares aplicados a la plataforma de IT , pero el encargado de It indico que no los tenía disponibles dicha documentación está restringida, y debe ser solicitada al jefe de IT, al intentar contactar con jefe de IT este denegó la
Página
9
información.
INVESTIGACIÓN PRELIMINAR DE AREA DE MESAS TÉCNICAS planes
PC Posiciones Torre
Cliente fecha
de Planes
de
políticas
para
de
renovar
Liviano instalación actualización Ubicación operación equipos jr camaná
12
1
11
nov
no
678
si
no
si
no
I3 2GbRam Sun HDD250 Ray 3
módulos todos
no
múltiples
Por temas de seguridad la mayor parte de la documentación está restringida no permitiéndonos el acceso
Sistemas instalados servidor Sun programas Desktop
Sun Ray 3
Window 7 Aplicación Pro
cliente liviano
Ray
ofimática
de window server 2003
de app de gestión aplicaciones
open source
de
call center
Por temas de confidencialidad la mayor parte de la documentación de las app de gestión usada en el cliente liviano y en la desktop están restringidas, se requiere
Página
10
autorización expresa de directiva de ENTEL CHILE.
De momento no se planea instalar nuevo sistema operativo en desktop por parte de SCCP, no se planea cambiar aplicaciones de gestión por ser aplicaciones críticas, adicionalmente estas aplicaciones son proporcionadas por ENTE CHILE y están altamente integradas en el sistema de Entel Chile por lo que un cambio de las mismas generaría cambio en otras áreas críticas del sistema siendo inviable el cambio sin un estudio más amplio y análisis de viabilidad de posibles sistemas que aspiren a reemplazar a los anteriores.
4.2.0 EVALUACION DEL HARDWARE: SUN RAY 3 (descontinuado solo disponible soporte por parte de Oracle) Estos dispositivos de bajo consumo permiten iniciar sesión con escritorios virtuales desde servidores Sun ray , la principal ventaja y razón de uso es que no requieren sistema operativo o ser administrados localmente , permiten bloquear o desbloquear puertos o la velocidad desde el mismo servidor Sun Ray, usan tarjeta inteligente para la habilitación, su estado actual presenta una antigüedad de 3 años , 3 de estos dispositivos presentan fallas , no hay equipos de repuesto disponibles por lo cual su uso
11
es forzoso .
Página
Servidor Sun ray: no se pudo tener acceso al dispositivo, se encuentra en una zona donde solo puede acceder personal autorizado pues en ella hay equipo crítico para mantener el servicio operativo , mediante una estación cliente liviano se pudo realizar test de velocidad mostrando como resultado los siguientes Ping: 3ms Download Speed: 324.85Mbps
12
Upload Speed: 514.00Mbps
Página
Desktop : equipo HP core I3 2Gb Ram HD250 video integrado , sólo para uso de reportaría y manejo de archivos Excel para estadística no tiene acceso a internet solo a una intranet., el equipo fue instalado hace 3 años al apresurarse la plataforma , no presenta fallas reportadas, ultimo mantenimiento realizado hace 3 meses, sistema operativo muestra la última
13
actualización el 18 de diciembre del 2017.
Página
Estación de uso exclusivo del supervisor..
Periféricos: Monitores, Headset, mouse, teclados, estado ok cambiados en su mayoría en mayo del 2017 al ser periféricos con interface usb su cambio
Página
Estación equipada con Sun Ray 3 con sesión de cliente liviano escritorio remoto.
14
s=es sencillo y son periféricos fáciles de adquirir y reemplazar.
Cableado: Estado de cables de red es excelente bien canalizado, y cables ordenados , fueron reemplazados recientemente, asimismo las tomas de energía eléctrica se encuentran en óptimas condiciones con el aislamiento adecuado y conexión a tierra
Detalle de cableado de cada estación
De acuerdo a las entrevistas los usuarios indican que el sistema es lento para ser un cliente liviano, adicionalmente reportan que sus sesiones se congelan y
información.
15
que reiniciar todo el cliente liviano con la consiguiente pérdida de
Página
tiene
Reportan que este inconveniente sucede a menudo en determinadas posiciones siendo las siguientes:
Supervisor Cliente1 Cliente2 Cliente3 Cliente4
Cliente 5 Extintor
Pasillo Cliente 6
Detector humo Cliente 7 Cliente8 Cliente9 Cliente 10 Cliente 11
Al realizar prueba cruzada con fecha 16 de diciembre 2017 con otro equipo Sun Ray 3 las posiciones no experimentaron fallas se determina que las fallas se deben a avería física de equipo Sun Ray 3 se recomienda realizar el cambio de los mismos pero a la fecha y por motivos de disponibilidad técnica , aun no se cuenta con los equipos de repuesto por lo que las posiciones al mantener los equipos con averías siguen experimentando los problemas de cuelgues a razón de 1 diario con
Equipo Sun Ray 3
Página
16
la consiguiente pérdida de información de registro de la llamada.
5.0.0 EVALUACIÓN DEL PERSONAL
Se realiza una evaluación del personal asignado al área de MESAS TECNICAS con el fin de establecer un perfil de los usuarios, si tienen capacitación adecuada de acuerdo al puesto que ocupan en la empresa.
Nombre
y
capacitación
Apellido Cargo JUAN JOSE ORE
Instrucción
LLANOS Ejecutivo
FULVIO MARIO CASTRO
en curso
MARIA ISABEL
informática
BRAÑES
3
si
3
si
2
si
3
si
3
si
3
si
Ejecutivo
ZENTENO JULIO
Técnico
HARRY
informática
ALBERTO
en curso JOSE Tecnico IT CCNA Técnico informática
Página
Universitaria
17
RUIZ Ejecutivo
CARLOS
DAVALOS
seguridad
Ejecutivo Técnico
CARLOS
en años
Universitaria
PALOMINO
CARBAJAL
sobre normas de
Supervisor Tecnico informatica
GIL
experiencia
SUYON
JACAY Ejecutivo
LIZANDRO DAVID CHAVESTA
Técnico informática
Ejecutivo
informática
LOLI
Técnico
JOSELIN
informática
ACUÑA MORENO Ejecutivo
Técnico
FELIX FRANCO
informática
TAPULLIMA PEZO
informática
2
si
3
si
3
si
3
si
3
si
Ejecutivo
JOSEPH
Universitaria
JORDAN GARCIA
si
Técnico
MARTIN
PONTE
3
Ejecutivo
CARLOS
CABALLERO
si
Técnico
PISFIL JACINTO ANICETO Ejecutivo
3
en curso Ejecutivo
PUTPAÑA
Técnico
NICEFRA
informática
Se entrevistó a los usuarios (ejecutivos que atienden las llamadas), se les realizo la siguiente pregunta: qué dificultades han notado en el día a día al utilizar el actual sistema basado en Sun Ray 3? manifestaron los siguientes puntos que
Lentitud al iniciar sesión
Página
18
deberían mejorarse en el sistema de cliente escritorio remoto:
En ocasiones las sesiones de cliente escritorio remoto se cuelgan provocando pérdida de la información y forzando a cortar la llamada con el cliente para poder reiniciar el Sun Ray 3
Lentitud al abrir aplicaciones de gestión y aplicaciones de soporte
Es común tener llamadas de los clientes se escuchan entrecortadas
Llamadas con volumen bajo
3 monitores muestran imagen demasiado ancha, debido a que la resolución de Sun Ray 3 no corresponde a la soportada por los mismo
Cables desordenados
adicionalmente informan que no hay un registro escrito o en línea para registrar las fallas del sistema, estos se informan directamente al encargado de IT el cual solo reinicia los equipos.
Página
del monitor.
19
Imagen distorsionada porque la resolución del Sun Ray 3 no es compatible con la
6.0.0 CONTROL DE ACCESO A LOS DATOS:
Al ser un call center necesita el acceso a una base de datos con la información de los clientes que se comunican para solicitar asistencia técnica: la dinámica de la atención es la siguiente: -Ingresa una llamada el ejecutivo solicita número de la línea que requiere atención El ejecutivo ingresa el número a una aplicación con el fin de ver a nombre de quien está la línea consultada, el tipo de línea que tiene. -Una vez consultado los datos en la aplicación se informa a cliente la información para resolver la dificultad. El nombre de la aplicación es SGA , el acceso a esta aplicación se realiza a través de un usuario y contraseña personal, responsabilidad de cada ejecutivo, la contraseña requiere mínimo 8 caracteres , al menos un número y un símbolo., actualmente ENTEL CHILE cuenta con 8.9 millones de clientes , toda la información de los suscriptores se entra en esta aplicación por lo que es de importancia crítica para la gestión de los ejecutivos , para el uso seguro de las aplicaciones se implementó las siguientes medidas de seguridad:
No hay forma de acceder a esta aplicación desde la internet , esta aplicación sólo es accesible desde los Sun Ray 3 conectados al Servidor Sun , el mismo se conecta directamente a chile mediante una VPN de alta velocidad , por tanto no hay acceso de los ejecutivos a otras páginas que no sean del trabajo,
descarga de malware porque las descargas de todo tipo están bloqueadas, el uso de correo se hace a través de un correo corporativo interno, este solo permite enviar información entre correos de la empresa, no permite el envío
20
Se desactivo las descargas de archivos adjuntos, no hay peligro de
Página
de correo a otros servidores como por ejemplo Gmail o Outlook, al no haber una conexión libre a internet esto no es posible,
La consola CMD también se ha deshabilitado siendo imposible para los usuarios sin tarjeta inteligente acceder a ella, como medida de seguridad
Se a configurado los puertos usb de los Sun Ray 3 para reconozcan solamente 2 periféricos , mouse y teclado , desactivando el soporte para memorias usb o discos duro externo , con esta configuración el Sun Ray 3 no los reconoce solo les da energía,
Ninguna de estas configuraciones puede cambiarse por los usuarios , solo es posible ser cambiada a través de tarjetas inteligentes de uso exclusivo del jefe de IT
Estas configuraciones del Sun Ray 3 permiten mantener la seguridad de los datos de los clientes, haciendo muy seguras las operaciones impidiendo cualquier acceso no autorizado a la información, y evitando cualquier tipo de robo de información protegiendo el sistema contra todo tipo de amenaza externa al no haber acceso a internet. Con respecto a la Desktop de uso exclusivo del supervisor, cuenta con las siguientes medidas de seguridad:
Puertos Usb deshabilitados
Disco duro cifrado
no tiene acceso a internet solo a intranet de la empresa
todo envío de información se realiza a través de correo interno de la empresa con dominio propio siendo fácilmente auditable, no es posible enviar correo a cuentas públicas o de otras empresas
las medidas de seguridad
21
BIOS de desktop protegido con contraseña para evitar modificaciones de
Página
7.0.0 MANTENIMIENTO
AL entrevistar al jefe de IT sobre el plan de mantenimiento o los periodos del mismo indico que por motivos de presupuesto no hay un plan de mantenimiento establecido, el contrato con la empresa se renueva anualmente siendo el periodo octubre 2017 a setiembre 2018 el último periodo del contrato con la empresa ENTEL CHILE ya habiendo acordado no renovar por otro año la relación con la empresa SERVICIOS CALL CENTER DEL PERÚ por lo que: No hay planes de renovación de equipos o reemplazo de los mismos. Los periféricos como mouse teclados y headset se reemplazan periódicamente de acuerdo a cuando fallen no tiene un plan trazada ni un periodo establecido No hay un formato establecido para reportar las fallas toda solicitud de reparación es personalmente sin un registro escrito, no existe un libro de control de almacén de salida de repuestos. Los equipos Sun Ray 3 están descontinuados pero pese a ello requieren un bajo mantenimiento por lo cual el mantenimiento se limita a reemplazar periféricos en caso de daño La desktop de uso exclusivo del supervisor resulta en un equipo robusto que no ha presentado fallas en el periodo de servicio se realiza mantenimiento de semestral básico y actualización de sistema operativo es cada 2 meses para lo cual es
Página
22
llevada a la oficina de IT , no cuenta con antivirus más allá del Windows Defender.
8.0.0 RECOMENDACIONES:
En base a lo tratado anteriormente se realiza las siguientes recomendaciones para que se la empresa SERVICIOS CALL CENTER DEL PERU pueda cumplir su visión y misión y alcance las metas trazadas por la directiva:
Implementar y desarrollar PETI en el área de MESAS TÉCNICAS, de este modo habrá un plan estratégico para que la empresa pueda alcanzar su misión y visión.
Si bien es cierto por temas de presupuesto y contrato no hay planes de reemplazar hardware actualmente en servicio se recomienda programar mantenimientos más frecuentes de los equipos actualmente en servicio y reemplazar las unidades Sun Ray 3 que presentar fallas periódicas demostradas
No confiar demasiado en la configuración actual que restringe el acceso a internet y los puertos usb, instalar antivirus
Aunque aún está funcionando se recomienda cambiar el Windows server 2003 de su servidor a Red Hat Enterprise Linux Advanced Server para mejorar la seguridad y estabilidad de las sesiones de los usuarios , de esta manera lograra evitar cuelgues en las sesiones Documentar el mantenimiento de los equipos pues no hay un registro
23
detallado de lso mismos se realiza empíricamente
Página
CONCLUCIONES
Se concluye la empresa auditada no tiene un control estándar para el mantenimiento de sus equipos pese a que estos son parte vital del servicio que brinda , el área de IT no tiene formatos para reportar fallas, la documentación de sistemas está restringida a un jefe se sistemas , en general se maneja de manera empírica, el servicio se mantiene funcionando por la confiabilidad de su hardware , y el conocimiento de los usuarios todos informáticos que saben cómo resolver de manera rápida temas relacionados con software, sin embargo la falta de planes para reemplazar equipos que ya están descontinuados generara en corto plazo que ocurra una falla critica que limitara el servicio de manera parcial o total acarreando multas a la empresa que lo brinda por incumplimiento de contrato , se recomienda a la empresa implementar PETI y estandarizar los procesos de IT , de esta forma el área de IT podrá apoyar de forma más eficiente a la empresa para así poder evitar fallas de sistema y
Página
24
poder alcanzar las metas que la empresa se a propuesto