auditoria ctic

39
UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA FACULTAD DE INGENIERÍA EN INFORMÁTICA Y SISTEMAS TRABAJO FINAL AUDITORIA INFORMATICA A LA SALA DE SERVIDORES DEL CENTRO DE TECNOLOGIA DE LA INFORMACION Y COMUNICACIÓN DE LA UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA Presentado por: HUAROC CARRION, CARLOS LEOPOLDO NIETO COLLADO FRANK ANTHONY Docente: ING. GARDYN OLIVERA RUIZ TINGO MARÍA - DICIEMBRE – 2014 1

Upload: frank-anthony-nieto-collado

Post on 02-Dec-2015

247 views

Category:

Documents


0 download

DESCRIPTION

sadsa

TRANSCRIPT

Page 1: Auditoria Ctic

UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA

FACULTAD DE INGENIERÍA EN INFORMÁTICA Y SISTEMAS

TRABAJO FINAL

AUDITORIA INFORMATICA A LA SALA DE SERVIDORES DEL CENTRO DE TECNOLOGIA DE LA INFORMACION Y COMUNICACIÓN DE LA UNIVERSIDAD

NACIONAL AGRARIA DE LA SELVA

Presentado por: HUAROC CARRION, CARLOS LEOPOLDO NIETO COLLADO FRANK ANTHONY

Docente: ING. GARDYN OLIVERA RUIZ

TINGO MARÍA - DICIEMBRE – 2014

1

Page 2: Auditoria Ctic

2

Page 3: Auditoria Ctic

Contenido1. PLAN DE AUDITORIA..........................................................................................5

1.1. OBJETIVO DEL EXAMEN............................................................................................5

1.2. ALCANCE.......................................................................................................................5

1.3. DESCRIPCIÓN DE LA ENTIDAD................................................................................6

1.4. NORMATIVA APLICABLE...........................................................................................7

1.5. INFORMES A EMITIR...................................................................................................8

1.6. PRESUPUESTO DEL TIEMPO....................................................................................8

1.7. PARTICIPACIÓN DE ESPECIALISTAS...................................................................10

1.8. METODOLOGÍA...........................................................................................................10

1.8.1. EL PROCESO DE LA AUDITORÍA DE SISTEMAS.......................................10

1.9. INSTRUMENTO Y/O HERRAMIENTAS DE RECOLECCIÓN DE INFORMACIÓN DE LA AUDITORIA....................................................................................11

1.10. MODALIDAD DE SUPERVISIÓN..........................................................................11

2. EJECUCION DE AUDITORIA............................................................................13

3. INFORME DE LA AUDITORIA...................................................................................15

3.1. ORIGEN DEL EXAMEN..............................................................................................15

3.2. NATURALEZA Y OBJETIVOS DEL EXAMEN........................................................15

3.2.1. NATURALEZA DEL EXAMEN...........................................................................15

3.2.2. OBJETIVOS DEL EXAMEN...............................................................................15

3.3. ALCANCE DEL EXAMEN...........................................................................................16

3.4. ANTECEDENTES DE LA ENTIDAD.........................................................................17

3.4.1. ANTECEDENTES.................................................................................................17

3.5. COMUNICACIÓN DE HALLAZGOS.........................................................................17

3.6. OBSERVACIONES......................................................................................................18

3.6.1. OBSERVACION 01..............................................................................................18

3.6.2. OBSERVACION 02:.............................................................................................21

CONCLUSIONES.......................................................................................................25

BIBLIOGRAFIA..........................................................................................................26

ANEXOS.....................................................................................................................28

3

Page 4: Auditoria Ctic

CAPITULO I

PLAN DE AUDITORIA

INFORMATICA

4

Page 5: Auditoria Ctic

1. PLAN DE AUDITORIA

Según la NAGU 2.30 se procederá a realizar el plan de auditoria informática a

la infraestructura de red corporativa de la Unidad de la Universidad Nacional

Agraria de la Selva, la cual incluye objetivos, alcance de la muestra,

procedimientos detallados y oportunidades de su aplicación, así como el

personal encargado para el desarrollo de la auditoria.

1.1.OBJETIVO DEL EXAMEN

OBJETIVO GENERAL

Auditar la Sala de Servidores del Centro de Tecnologías de la Información

y Comunicación, en función a las Normas de Auditoría Gubernamental

(NAGU) y las normas regidas por la Telecomunication Industry Association

(TIA).

OBJETIVOS ESPECIFICOS

Evaluar, verificar y recolectar la información necesaria del estado en que

se encuentra la Sala de Servidores del Centro de Tecnologías de la

información y Comunicación en comparación con las normas y

estándares internacionales vigentes relacionada al tema de estudio.

Recolectar mejoras o soluciones tentativas al momento de realizar las

observaciones y sugerencias de los hallazgos encontrados, a través de

la presentación del informe. Examen especial.

1.2.ALCANCE

El alcance del presente examen especial comprenderá la evaluación física

de la Sala de Servidores del Centro de Tecnologías de la Información y

Comunicación correspondiente al Área de Gestión de la Infraestructura de

la Red Corporativa en el periodo comprendido entre el 04-NOV-2014 hasta

el 15-DIC-2014.

El examen se realizará en concordancias a las NAGUS aprobadas

mediante la resolución de la contraloría Nº 162-95-CG y sus

modificaciones, cabe mencionar el origen del examen, el cual será del tipo

de examen especial. Del mismo modo al carecer de una aprobación

5

Page 6: Auditoria Ctic

refrendada por la NAGU 2.30, ni aprobada en el plan operativo del Centro

de Tecnologías de Información y Comunicación, se hace de manifiesto el

carácter estrictamente académico en concordancia al requisito para la

aprobación del curso de Auditoría de Sistemas del semestre 2014 – II,

Facultad de Informática y Sistemas de la Universidad Nacional Agraria de

la Selva.

El examen involucra al Centro de Tecnologías de la Información y

Comunicación de la Universidad nacional Agraria de la Selva, por ser esta,

la encargada del Área de Gestión de la Infraestructura de Red Corporativa.

1.3.DESCRIPCIÓN DE LA ENTIDAD

ÁREA DE GESTIÓN DE LA INFRAESTRUCTURA DE LA RED

CORPORATIVA

El Área de Gestión de la Infraestructura de la Red Corporativa, pertenece

al Centro De Tecnología de la Información y Comunicación (CTIC), esta

área es la encargada de garantizar la comunicación en la Universidad

Nacional Agraria de la Selva y el exterior.

Las funciones generales del Área de Gestión de la Infraestructura de la

Red Corporativa son las siguientes:

Investigar, implementar y configurar nuevos servicios de red.

Agregar y configurar nuevas estaciones de trabajo.

Establecer cuentas de usuarios.

Capacitar a los usuarios que necesiten usar los servicios de red

brindados.

Administrar el espacio de direccionamiento lógico con mecanismos

que optimicen el tráfico de la red (VLANs, VLSM, etc.).

ESTRUCTURA ORGÁNICA

6

Page 7: Auditoria Ctic

DIRECCION

Jefatura del Centro de Tecnologías de la Información y

Comunicación.

AREAS

Área de gestión de la infraestructura de la red corporativa.

Área de gestión de servicios de TI.

Área de gestión de soluciones corporativas.

Área de gestión de seguridad y proyectos de TI.

ESTRUCTURA ORGÁNICA DE LA UNIDAD DE SISTEMAS

Figura 1.1 - Organigrama del Centro de Tecnología de la Información y ComunicaciónFuente: Organigrama Piloto bajo la resolución N° 077-2012-R-UNAS

1.4.NORMATIVA APLICABLE

Las normas a seguir:

Plan Estratégico de Tecnología de la Información

Manual de Organización y Función (MOF) de la Universidad

Nacional Agraria de la Selva.

RC N° 162-95 CGD de 22-SET-1995. Aprueba las Normas de

Auditoría Gubernamental (NAGU). Publicada el 26-SET-995, Con

sus posteriores modificaciones hasta la actualidad.

Reglamento de Organización y Función (ROF) de la Universidad

Nacional Agraria de la Selva.

7

Page 8: Auditoria Ctic

Norma Nacional Americana TIA-942, Infraestructura de

telecomunicaciones de los Centros de Datos y Salas de

ordenadores.

LA NORMA TECNICA PERUANA "NTP-ISO/IEC 27001:2008 EDI.

1.5. INFORMES A EMITIR

Informe de Auditoría Informática a emitir será de carácter: Examen

Especial.

1.6.PRESUPUESTO DEL TIEMPO

A continuación se plantea una lista general de actividades que justifican

nuestro estudio que se divide en 4 fases:

8

Page 9: Auditoria Ctic

CRONOGRAMA DE ACTIVIDADES DEL PLAN DE AUDITORÍA AL CENTRO DE TECNOLOGIA DE LA INFORMACION Y

COMUNICACIÓN DE LA UNAS-TINGO MARIA

9

Page 10: Auditoria Ctic

1.7.PARTICIPACIÓN DE ESPECIALISTAS

El equipo que presentara e presente examen especial son:

NOMBRE ESPECIALIDAD

Frank Anthony, NIETO COLLADO

Estudiante de Informática y Sistemas con certificaciones en:

Microsoft Windows Server. Microsoft Hyper-V Básico.

Carlos Leopoldo, HUAROC CARRIÓN

Estudiante de Informática y Sistemas con certificaciones en:

1.8.METODOLOGÍA

1.8.1. EL PROCESO DE LA AUDITORÍA DE SISTEMAS

a. PLANEAMIENTO: Comprende dos etapas

a.1. Revisión General

Conocimiento inicial de la entidad por examinar.

Análisis preliminar en la entidad

Formulación del plan de revisión estratégica

a.2. Revisión Estratégica

Ejecución del plan

Aplicación de pruebas preliminares

Identificación de los criterios de auditoría.

Formulación del reporte de revisión estratégica

a.3. Elaboración del Plan de auditoría.

b. EJECUCIÓN:

1. Elaboración de los programas de auditoría, la recopilación de

documentos, realización de pruebas y análisis de evidencias para

asegurar su suficiencia y competencia, para acumular bases

suficientes para la formulación de observaciones, conclusiones y

recomendaciones debidamente sustentadas.

10

Page 11: Auditoria Ctic

2. Se aplica procedimientos y técnicas de auditoría, pruebas de

evaluación de controles, identificación de hallazgo (condición y

criterio).

c. INFORME:

1. Formaliza sus observaciones en el informe de auditoría.

2. Producto final; deberá detallar los elementos de la observación

(condición, criterio, causa y efecto), comentarios de la entidad,

evaluación final de tales comentarios, conclusiones y

recomendaciones.

3. Debe tener requisitos de calidad y confiabilidad.

4. Aprobado y remitido a la entidad auditada. (Forma y modo

establecido por la Contraloría).

1.9. INSTRUMENTO Y/O HERRAMIENTAS DE RECOLECCIÓN DE

INFORMACIÓN DE LA AUDITORIA.

Cámara Digital.

Entrevistas.

Observación de Campo.

Formato de Validación de Criterios.

1.10. MODALIDAD DE SUPERVISIÓN

El presente plan termina con la supervisión que se consigna con una

evaluación y seguimiento de las implementaciones de las

recomendaciones emitidas en el informe final de la Ejecución del plan de

Auditoria.

La evolución y seguimiento se realizara en base a una matriz de

seguimiento de cada recomendación que se obtendrán de la observación

encontrada. Ver anexo 1.

11

Page 12: Auditoria Ctic

12

CAPITULO II

EJECUCION DE LA AUDITORIA

Page 13: Auditoria Ctic

2. EJECUCION DE AUDITORIA

Como parte del realización de la Auditoria informática a la Sala de Servidores

del Centro de Tecnologías de la Información y Comunicación de la Universidad

Nacional Agraria de la Selva, en esta fase se realizara la aplicación de

pruebas y obtención de evidencias de auditoría, el cual nos permite la

elaboración de Hallazgos de Auditoria, Observaciones, conclusiones y

recomendaciones.

Para la aplicación de pruebas y obtención de evidencias de auditoría se utilizó

Cámara Digital, Entrevistas, Observación de Campo, Formato de Validación

de Criterios (Ver anexo 1).

Las evidencias se obtuvieron directamente de la interacción con el personal

encargado de la Unidad de sistemas a través de entrevistas, como también del

análisis de la seguridad de acceso a la sala de servidores del CTIC-UNAS y la

adecuada ambientación y equipamiento de la misma, a través de un formato

de Validación de criterios basado en los controles de la Norma técnica

Peruana.

13

Page 14: Auditoria Ctic

CAPITULO III

INFORME DE LA AUDITORIA

INFORMATICA

14

Page 15: Auditoria Ctic

3. INFORME DE LA AUDITORIA

3.1.ORIGEN DEL EXAMEN

El presente Examen Especial, se realiza en cumplimiento del requisito

obligatorio de la presentación de un informe final en el curso de Auditoria

de Sistemas (NIS1001) a cargo del docente Ing. Gardyn Olivera Ruiz, por

lo que se realizó la solicitud de autorización al jefe del Centro de

Tecnologías de la Información y Comunicación CTIC para la realización de

una auditoria Informática a la Seguridad de acceso y verificación de la

ambientación y equipamiento adecuado que debe de contar una sala de

Servidores mediante un Examen Especial en base de estándares y

Normativas.

3.2.NATURALEZA Y OBJETIVOS DEL EXAMEN

3.2.1. NATURALEZA DEL EXAMEN

La presente acción de control es un examen especial, basados en la

NAGU 2.30 y la Norma Nacional Americana TIA-942 se procederá a

realizar el plan de auditoría Informática a la Sala de Servidores del

Centro de Tecnologías de la Información y Comunicación CTIC-UNAS.

3.2.2. OBJETIVOS DEL EXAMEN

3.2.2.1. OBJETIVO GENERAL

El objetivo del examen de la presente auditoria será la evaluación,

diagnostico, e implementación de recomendaciones y

sugerencias en la administración de la Sala de Servidores de la

UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA según la

Resolución Ministerial 129-2012-PCM que aprueba el uso

obligatorio de la Norma Técnica Peruana "NTP-ISO/IEC

27001:2008 EDI Tecnología de la Información publicado el 05

JUN 2012 y la Norma Nacional Americana TIA-942, orientada a la

15

Page 16: Auditoria Ctic

Infraestructura de telecomunicaciones de los Centro de Datos y

Sala de Servidores.

3.2.2.2. OBJETIVO ESPECIFICO

Evaluar y verificar la implementación de procedimientos

destinados al fiel cumplimiento de la Norma Técnica

Peruana "NTP-ISO/IEC 27001:2008 para la Seguridad de

acceso y verificación de la ambientación y equipamiento

adecuado que debe de contar la sala de Servidores del

CTIC-UNAS.

Realizar las recomendaciones y sugerencias desde el

punto de vista técnico y funcional basado en la Norma

Técnica Peruana “NTP-ISO/IEC 27001:2008 y la Norma

Nacional Americana TIA-942, a favor de la infraestructura

de la red corporativa del CTIC-UNAS, a través de la

presentación del informe: informe especial.

3.3.ALCANCE DEL EXAMEN

El alcance del presente examen especial comprenderá la evaluación de la

información referidos al proceso de equipamiento y ambientación de la

Sala de Servidores de la UNAS en el periodo comprendido entre el 15-

OCTUBRE-2014 hasta el 15-DICIEMBRE-2014.

El examen se realizara en concordancias a las NAGUS aprobadas

mediante resolución de contraloría Nº 162-95-CG y sus modificaciones,

cabe mencionar el origen del examen, el cual será del tipo de Examen

Especial. Se hace de manifiesto el carácter estrictamente académico en

concordancia al requisito para obtención de la aprobación del curso de

AUDITORIA DE SISTEMAS FIIS UNAS 2014 - I.

16

Page 17: Auditoria Ctic

El examen involucrara al AREA DE GESTION DE LA

INFRAESTRUCTURA DE LA RED COORPORATIVA - CTIC, por ser esta,

la encargada de la Administración de la SALA DE SERVIDORES.

3.4.ANTECEDENTES DE LA ENTIDAD

3.4.1. ANTECEDENTES

El AREA DE GESTION DE LA INFRAESTRUCTURA DE LA RED

COORPORATIVA, pertenece al Centro De Tecnología de la

Información y Comunicación (CTIC), esta área es la encargada de

garantizar la comunicación en la Universidad Nacional Agraria de la

Selva y el exterior.

Las funciones generales del AREA DE GESTION DE LA

INFRAESTRUCTURA DE LA RED COORPORATIVA son las

siguientes:

Investigar, implementar y configurar nuevos servicios de red.

Agregar y configurar nuevas estaciones de trabajo.

Establecer cuentas de usuarios.

Capacitar a los usuarios que necesiten usar los servicios de red

brindados.

Administrar el espacio de direccionamiento lógico con

mecanismos que optimicen el tráfico de la red (VLANs, VLSM,

etc.).

3.5.COMUNICACIÓN DE HALLAZGOS

En cumplimiento a lo establecido en la NAGU 3.60 de las Normas de

Auditoria Gubernamental, se cursaron comunicaciones con los Hallazgos

de Auditoria a los Funcionarios y Profesionales que están comprendidos

en las Observaciones, a fin de que presenten sus comentarios y

aclaraciones respecto a los hallazgos comunicados.

17

Page 18: Auditoria Ctic

3.6. OBSERVACIONES

3.6.1. OBSERVACION 01

LA SALA DE SERVIDORES DEL CENTRO DE TECNOLOGIA DE LA

INFORMACION Y COMUNICACION NO TIENE IDENTIFICADO LOS

RIESGOS ASOCIADOS CON EL ACCESO DE TERCEROS , LOS

REQUISITOS DE SEGURIDAD ANTES DE DAR ACCESO A

CLIENTES Y NO TIENE IMPLEMENTADOS CONTROLES DE

SEGURIDAD.

CONDICIÓN:

Se ha evidenciado que la SALA DE SERVIDORES DEL CENTRO DE

TECNOLOGIA DE LA INFORMACION Y COMUNICACION no tiene

identificado los riesgos de el acceso a las instalaciones de

procesamiento de la información organizacional por parte de

terceros, requisitos de seguridad antes de dar acceso a clientes a los

activos o a la información de la organización y no estableció

controles de seguridad adecuados antes de permitir su acceso.

a) El acceso a la SALSA DE SERVIDORES DEL CENTRO DE

TECNOLOGIA DE LA INFORMACION Y COMUNICACIÓN solo está

restringido de manera física por medio de una caseta de vidrio y

mediante una señal de acceso, pero esta caseta permite la visibilidad

interna del área y no justifica una seguridad adecuada para la seguridad

de información.

Ver Anexo 3 y 4.

b) No se evalúan las medidas de seguridad antes del acceso de terceros al

ÁREA DE GESTIÓN DE LA INFRAESTRUCTURA DE LA RED

CORPORATIVA, como referencia un agente extraño como viene siendo

el especialista en Infraestructura de Red Corporativa accede al ÁREA

18

Page 19: Auditoria Ctic

DE GESTIÓN DE LA INFRAESTRUCTURA DE LA RED

CORPORATIVA sin ningún problema.

Ver Anexo 3 y 4

Los hechos observados fueron comunicados a los siguientes

funcionarios y servidores, y se ha recibido las aclaraciones y/o

comentarios:

Se realizó una entrevista por medio de telecomunicaciones el día

21/07/2014 con el Ing. Edwin Vega Ventocilla JEFE DEL CENTRO DE

TECNOLOGIA DE LA INFORMACION Y COMUNICACION de la UNAS

en la que se trató el tema de si tenían políticas de seguridad de acceso

para la SALSA DE SERVIDORES DEL CENTRO DE TECNOLOGIA DE

LA INFORMACION Y COMUNICACION, el cual manifestó: “no se

dispone de un documento formal de políticas de seguridad de acceso al

área de servidores, pero si está señalado la restricción de acceso de

manera informal a solo personal autorizado que son: el Jefe del área de

gestión de la infraestructura de la red corporativa otro factor del no

establecimiento de las políticas pertinentes es debido a las

Disposiciones Presupuestarias hacia el CENTRO DE TECNOLOGIA DE

LA INFORMACION Y COMUNICACION”.

CRITERIOS:

La situación expuesta vulnera la Norma Técnica Peruana "NTP-ISO/IEC

27001:2008 EDI Tecnología de la Información publicado el 05 JUN 2012,

en los controles:

control A.6.2.1 “IDENTIFICACIÓN DE RIESGOS POR EL

ACCESO DE TERCEROS” que expresa:” Se evaluará los

riesgos asociados con el acceso a las instalaciones de

procesamiento de la información organizacional por parte de

terceros, y se implementarán controles de seguridad adecuados

antes de permitir su acceso”.

19

Page 20: Auditoria Ctic

control A.6.2.2 “REQUISITOS DE SEGURIDAD CUANDO SE

TRATA CON CLIENTES”, que expresa:” Se deben identificar

todos los requisitos de seguridad antes de dar acceso a clientes

a los activos o a la información de la organización”.

CAUSA:

Incumplimiento del CENTRO DE TECNOLOGIA DE LA

INFORMACION Y COMUNICACION sobre los controles: control

A.6.2.1 “IDENTIFICACIÓN DE RIESGOS POR EL ACCESO DE

TERCEROS”, control A.6.2.2 “REQUISITOS DE SEGURIDAD

CUANDO SE TRATA CON CLIENTES” de la Norma Técnica

Peruana "NTP-ISO/IEC 27001:2008 EDI.

Disposiciones Presupuestarias y Disposiciones Operativas del

CENTRO DE TECNOLOGIA DE LA INFORMACION Y

COMUNICACION, inhabilita la contratación de personal

especializado para el respectivo establecimiento de políticas de

seguridad de acceso a la SALA DE SERVIDORES.

EFECTO:

Al respecto sobre lo expuesto, trae consecuencias como:

Vulnerabilidad ante actividades fraudulentas, controversias

contractuales y divulgación o modificación de la información.

Posibilidad de alteración, duplicación o robo de información con el

fin de beneficiar a la competencia.

Robo de información.

CONCLUSIÓN:

Se ha evidenciado que la SALSA DE SERVIDORES DEL CENTRO

DE TECNOLOGIA DE LA INFORMACION Y COMUNICACION no

tiene identificado los riesgos de el acceso a las instalaciones de

20

Page 21: Auditoria Ctic

procesamiento de la información organizacional por parte de

terceros, requisitos de seguridad antes de dar acceso a clientes a

los activos o a la información de la organización y no

estableció controles de seguridad adecuados antes de permitir su

acceso; debido Incumplimiento del CENTRO DE TECNOLOGIA DE

LA INFORMACION Y COMUNICACIÓN sobre los controles: control

A.6.2.1 “IDENTIFICACIÓN DE RIESGOS POR EL ACCESO DE

TERCEROS”, control A.6.2.2 “REQUISITOS DE SEGURIDAD

CUANDO SE TRATA CON CLIENTES” de la Norma Técnica

Peruana "NTP-ISO/IEC 27001:2008 EDI; y a las Disposiciones

Presupuestarias y Disposiciones Operativas del CENTRO DE

TECNOLOGIA DE LA INFORMACION Y COMUNICACION,

inhabilita la contratación de personal especializado para el

respectivo establecimiento de políticas de seguridad de acceso a la

SALA DE SERVIDORES; que trae como consecuencia que no

asegura la integridad y la disponibilidad las instalaciones de

procesamiento de la información organizacional debido a que esta

propenso a ataques maliciosos; Vulnerabilidad ante actividades

fraudulentas, controversias contractuales y divulgación o

modificación de la información; Posibilidad de alteración, duplicación

o robo de información con el fin de beneficiar a la competencia; La

Posibilidad de pérdida de la información almacenada en los

servidores, que a su vez genera: una pérdida de oportunidades de

negocio, clientes decepcionados y reputación perdida.

3.6.2. OBSERVACION 02:

LA SALA DE SERVIDORES DEL CTIC NO CUENTA CON UN PISO

TÉCNICO ADECUADO, LO CUAL ES UN RIESGO YA QUE NO SE

ESTÁ GESTIONANDO ADECUADAMENTE EL CABLEADO

ELÉCTRICO, CABLEADO DE RED Y LA TEMPERATURA DE EN

LOS SERVIDORES.

21

Page 22: Auditoria Ctic

CONDICIÓN:

Se ha evidenciado que la sala de servidores tiene un piso técnico

improvisado, que de alguna manera busca tener organizado el cableado

de red, dejando de lado la parte eléctrica y la temperatura. Ver anexo 1 y

anexo 2.

CRITERIO:

La situación expuesta vulnera la Norma ANSI/TIA 942-2005:

“Telecommunications Infrastructure Standard for Data Centers”, en el

numeral 7.5.1. El cual expresa “Sistemas de piso de acceso, también

conocidos como sistemas de piso elevado, se deben utilizar en los

centros de datos que está diseñado para ser cableada desde abajo.”

En el criterio, TIER II Componentes redundantes, “El mantenimiento

de la alimentación y otras partes de la infraestructura requieren de

un cierre de procesamiento”.

CAUSA:

La falta de presupuesto impide implementar un centro de datos que

cumpla con las normas respectivas.

EFECTO:

El cableado de red al no estar bien organizado hace más compleja su

gestión, se pueden generar cortos circuitos, perdida de energía al no

tener bien organizado el cableado eléctrico. Y también el

sobrecalentamiento de los servidores al no tener buenos canales de

ventilación y refrigeración.

CONCLUSIÓN:

Se ha evidenciado que la SALSA DE SERVIDORES DEL CENTRO DE

TECNOLOGIA DE LA INFORMACION Y COMUNICACIÓN no cuenta

con un piso técnico esto debido a la falta de presupuesto para ejecutar un

proyecto de implementación de un Data Center que permita hacer el uso

de piso técnico como lo indica la norma TIA 942, lo cual conlleva a

22

Page 23: Auditoria Ctic

posibles fallas eléctricas, de la red y la temperatura; debido

Incumplimiento del CENTRO DE TECNOLOGIA DE LA INFORMACION

Y COMUNICACIÓN Norma Nacional Americana TIA-942, Infraestructura

de telecomunicaciones de los Centros de Datos y Salas de ordenadores,

que trae como consecuencia que la sala de servidores del centro de

tecnología de la información y comunicación, tenga problemas en temas

de instalaciones eléctricas.

3.7.CONCLUSIONES

Se ha evidenciado que la SALSA DE SERVIDORES DEL CENTRO

DE TECNOLOGIAS DE LA INFORMACION Y COMUNICACION no

tiene identificado los riesgos de el acceso a las instalaciones de

procesamiento de la información organizacional por parte de

terceros, requisitos de seguridad antes de dar acceso a clientes a

los activos o a la información de la organización y no

estableció controles de seguridad adecuados antes de permitir su

acceso; debido Incumplimiento del CENTRO DE TECNOLOGIA DE

LA INFORMACION Y COMUNICACION sobre los controles: control

A.6.2.1 “IDENTIFICACIÓN DE RIESGOS POR EL ACCESO DE

TERCEROS”, control A.6.2.2 “REQUISITOS DE SEGURIDAD

CUANDO SE TRATA CON CLIENTES” de la Norma Técnica

Peruana "NTP-ISO/IEC 27001:2008 EDI; y a las Disposiciones

Presupuestarias y Disposiciones Operativas de la CENTRO DE

TECNOLOGIA DE LA INFORMACION Y COMUNICACION,

inhabilita la contratación de personal especializado para el

respectivo establecimiento de políticas de seguridad de acceso a la

SALSA DE SERVIDORES; que trae como consecuencia que no

asegura la integridad y la disponibilidad las instalaciones de

procesamiento de la información organizacional debido a que esta

propenso a ataques maliciosos; Vulnerabilidad ante actividades

fraudulentas, controversias contractuales y divulgación o

modificación de la información; Posibilidad de alteración, duplicación

o robo de información con el fin de beneficiar a la competencia; La

Posibilidad de pérdida de la información almacenada en los

23

Page 24: Auditoria Ctic

servidores, que a su vez genera: una pérdida de oportunidades de

negocio, clientes decepcionados y reputación perdida.

El centro de datos del CTIC no cuenta con un piso técnico esto

debido a la falta de presupuesto para ejecutar un proyecto de

implementación de un Data Center que permita hacer el uso de piso

técnico como lo indica la norma TIA 942, lo cual conlleva a posibles

fallas eléctricas, de la red y la temperatura.

3.8.RECOMENDACIONES

Utilizar las NAGU (Nomas de Auditorias Gubernamentales) en la

elaboración de una Auditoria Informática, con el propósito de

uniformar el trabajo de Auditoria y promover la formación de

auditores en las Universidades del País.

Al Jefe del CTIC realizar las gestiones pertinentes para obtener el

presupuesto necesario para la implementación de un Data Center

que cumpla ciertas normas especializadas.

Se recomienda la capacitación de un personal de la CENTRO DE

TECNOLOGIA DE LA INFORMACION Y COMUNICACION en

materia de seguridad de la información o la tercerización para la

formalización de las políticas de seguridad de acceso, con el fin de

reducir la informalidad y frenar los incumplimientos de la

NTP-ISO/IEC 27001:2008 EDI que es de conocimiento del Jefe de

la CENTRO DE TECNOLOGIA DE LA INFORMACION Y

COMUNICACION, para que al momento de encontrar

irregularidades o violaciones de las políticas se puedan hallar a los

respectivos responsables.

24

Page 25: Auditoria Ctic

CONCLUSIONES

Se aplicó las normas de auditoría gubernamental-NAGU aprobadas por la

Contraloría General de la República para la elaboración de la Auditoria

informática a la sala de servidores del CTIC-UNAS, ya que la NAGU es

parte de las normativas existentes recomendadas para llevar a cabo una

auditoria en el Perú.

25

Page 26: Auditoria Ctic

Se realizó el Plan de auditoría de acuerdo a la NAGU 2.30 que permitió

tener un programa específico que incluyo objetivos, procedimientos que

deben aplicarse, naturaleza, alcance y oportunidad de su ejecución, así

como el personal encargado de su ejecución.

BIBLIOGRAFIA

Manual de Auditoría Gubernamental (MAGU) y Guía del Auditado,

Publicado el 23.DIC.1998. Contraloría de la República del Perú. [En línea]:

(http://www.contraloria.gob.pe, 10 de Junio. 2014).

Normas de Auditoría Gubernamental (NAGU), Contraloría de la República

del Perú. [En línea]: (http://www.contraloria.gob.pe, 12 de Junio. 2014)

26

Page 27: Auditoria Ctic

Norma Tecina Peruana (NTP-ISO/IEC 27001:2008),Oficina Nacional de

Gobierno Electrónico e Informático.[En línea]: (https://www.ongei.gob.pe,

25 de Junio. 2014)

27

Page 28: Auditoria Ctic

ANEXOS

28

ANEXO 1: Formato de validación de criterios

ANEXO 2: Piso técnico improvisado

Page 29: Auditoria Ctic

29

ANEXO 3: Condición actual de la Sala de Servidores

ANEXO 4: Acceso actual a la Sala de Servidores del Centro de Tecnologías de la información y Comunicación

Page 30: Auditoria Ctic

30

ANEXO 5: Inseguridad en el acceso en la Sala de Servidores

ANEXO 6: El Estándar TIA 942-TIER

Page 31: Auditoria Ctic

31