FACULTAD DE INGENIERÍA ESCUELA ACADEMICA PROFESIONAL PROFESIONAL DE INGENIERÍA DE SISTEMAS
AUDITORÍA A LA RED FÍSICA DE DATOS DE LA MUNICIPALIDAD DE ANCÓN
CURSO: AUDITORÍA Y SEGURIDAD DE TECNOLOGÍAS TECNOLOGÍAS DE INFORMACIÓN PROFESOR: NICHO VIRÚ, WIGBERTO MARTÍN INTEGRANTES: LOZADA CHIRA GABRIEL AARÓN QUISPE ZUÑIGAVICTOR MANUEL GUZMAN MERCADO POOL MARTIN MOSTACERO CABANILLAS ANDREW STEVEN CUBAS ROMAINA OLINDA ESTELA MARQUEZ ROJAS, ALEXIS ANDRE PANDURO CARDENAS, KEVIN CARLOS AULA: 216 CICLO: VIII TURNO: NOCHE
2014
1
ÍNDICE
I.
MOTIVO DE LA REALIZACIÓN DEL INFORME ......................................................... 3
II. OBJETIVO Y ALCANCE DE LA EVALUACIÓN .......................................................... 3 III. PROCEDIMIENTOS Y TÉCNICAS DE AUDITORÍA EMPLEADOS ......................... 4 IV. BASE LEGAL ..................................................................................................................... 4 V. ASPECTOS DE IMPORTANCIA ..................................................................................... 6 VI. DEFICIENCIAS DE DESARROLLO DE SOFTWARE DEL PERÍODO 2013 .......... 6 VII. CONCLUSIONES ............................................................................................................. 12 VIII. ANEXOS ............................................................................................................................ 12
2
I.
MOTIVO DE LA REALIZACIÓN DEL INFORME
La UNIDAD INFORMÁTICA es una oficina general de la MUNICIPALIDAD DE ANCÓN, cuya función es el Desarrollo, Mantenimiento y Soporte a los Sistemas Informáticos y Tecnologías de Información y Comunicación que se utilizan.
Un Sistema de Cableado Estructurado es un conjunto de productos de cableado, conectores, y equipos de comunicación que integran los servicios de voz, data y video en conjunto con sistema de administración que implica información y control en una Edificación.
Al implementar un Sistema de Cableado Estructurado se tiene que basar en una metodología y un conjunto de estándares, el cual proporciona una infraestructura de cableado, un desempeño predefinido y la flexibilidad de acomodar futuros crecimientos por un período extendido de tiempo.
Por tal motivo, la finalidad de este informe es dar a conocer los distintos hallazgos encontrados en la auditoría realizada y orientar a los Administradores de Red a la corrección de estos, tomando en cuenta las Normas Internacionales y los Dominios establecidos por Cobit 4.1.
II.
OBJETIVO Y ALCANCE DE LA EVALUACIÓN
El presente trabajo tiene como alcance el levantamiento de la información sobre la estructura física de red y verificar mediante documentos y activos físicos el cumplimiento de los estándares de calidad y buenas prácticas. 3
El Objetivo principal es Realizar la Auditoría a la Red Física de Datos de la Municipalidad de Ancón, específicamente al Cableado Estructurado, del cual se pretende encontrar las vulnerabilidades y dar a conocer los respectivos hallazgos.
III.
PROCEDIMIENTOS Y TÉCNICAS DE AUDITORÍA EMPLEADOS Se
emplearán
herramientas
como
Entrevistas,
CheckList,
Encuestas, Levantamiento de Inventario, Técnicas de Observación, Técnicas de revisión documental, Matriz FODA. Así mismo se emplearan herramientas como encuestas personales para obtener información de cómo los desarrolladores perciben el proceso.
IV.
BASE LEGAL
En el presente trabajo se aplicará las Normas de Auditoría Generalmente Aceptadas, Normas de Auditoría Gubernamental (NAGU) aprobadas por la Contraloría General, mediante Resolución N° 162-95 de 95.09.22, las otras normas que a continuación se detallan: Resolución de Contraloría Nº 114-2003-CG - Reglamento de los Órganos de Control Institucional y sus modificatorias. Resolución de Contraloría Nº 368-2003-CG – Directiva Nº 0032003-CG/AC "Normas de Transparencia en la Contraloría y Desempeño de los Funcionarios y Servidores de la Contraloría General de la República y de los Órganos de Control Institucional". Resolución de Contraloría Nº 077-99-CG - Código de Ética del Auditor Gubernamental.
4
Resolución de Contraloría Nº 072-98-CG - Normas de Control Interno para el Sector Público y normas modificatoria.
Resolución de Contraloría Nº 162-95-CG - Normas de Auditoría Gubernamental, y normas modificatoria. a) Estándar de calidad ISO 9001 es una familia de estándares para sistemas de gerencia de la calidad. b) Norma TIA-942, TIA-568-A, Norma para construcción comercial de cableado de Telecomunicaciones. c) TIA-569, Norma de construcción comercial para vías y espacios de telecomunicaciones que proporciona directrices para conformar ubicaciones, áreas, y vías a través de las cuales se instalan los equipos y medios de telecomunicaciones. d) IEEE 802.1 Definición Internacional de Redes. e) IEEE 802.2 Control de enlaces. f) IEEE 802.3 Redes CSMA/CD• IEEE 802.4 Redes Token pero para una red con topología en anillo o la conocida como Token bus. g) IEEE 802.9 Estándar que pretende integrar servicios de voz y datos en una misma red. h) IEEE 802.11i aborda el problema de la seguridad en redes inalámbricas. i) ISO 17799 Gestión de la Seguridad de Información
5
V.
ASPECTOS DE IMPORTANCIA Podrán referirse bajo el presente rubro aquella información verificada que la comisión auditoría basada en su opinión, cuya revelación permita mostrar la objetividad e imparcialidad del trabajo desarrollado por la comisión tal como:
El reconocimiento de las dificultades o limitaciones.
El reconocimiento de logros significativos alcanzados durante la gestión examinada.
La adopción de correctivos por la propia administración.
Informar de aquellos asuntos importantes que requieran un trabajo adicional.
VI.
Eventos posteriores a la ejecución del trabajo de campo.
DEFICIENCIAS DEL CONTROL INTERNO DEL PERÍODO 2013 Las
deficiencias
de
control
interno
encontradas
están
especificadas bajo los siguientes hallazgos:
6
HALLAZGO N° 1 TÍTULO: “EL CABLEADO ESTRUCTURADO CUENTA CON UN PROTECCIÓN ADECUADA, PERO NO EN SU TOTALIDAD, LOS CABLES NO TIENEN CANALETAS EN ÓPTIMO ESTADO EN LOS PUNTOS ESTRATEGICOS”
CONDICIÓN:
La revisión y análisis de la información proporcionada por la Municipalidad de Ancón: Según nuestras observaciones con las fotos tomadas a la Municipalidad vimos que los cables UTP están expuestos ante cualquier incidencia o eventos de amenazas y vulnerabilidades, no están protegidos por las canaletas. Por lo tanto en las áreas observadas se puede apreciar que estos cables si no se los protege podrán ser dañados observar el Anexo 01.
CRITERIO: Según COBIT 4.0, menciona en el dominio “PO9 Evaluar y administrar los riesgos de TI” y en el subdominio “PO9.3 Identificación de eventos” nos dice que: “ Identificar todos aquellos eventos (amenazas y vulnerabilidades) con un impacto potencial sobre las metas o las operaciones de laempresa, aspectos de negocio, regulatorios, legales, tecnológicos, de sociedad comercial, de recursos humanos y operativos. Determinarla naturaleza del impacto – positivo, negativo o ambos – y dar mantenimiento a esta información”. Según COBIT 4.0, menciona en el dominio “PO9 Evaluar y administrar los riesgos de TI” y en el subdominio “PO9.4 IT Evaluación de riesgos” nos dice que: “ Evaluar de forma recurrente la posibilidad e impacto de todos los riesgos identificados, usando métodos cualitativos y cuantitativos. La posibilidad e impacto asociados a los riesgos inherentes y residuales se debe determinar de forma individual, por categoría y con baseen el portafolio”.
CAUSA: Irresponsabilidad por parte de los supervisores del área de soporte, quienes por querer avanzar lo más rápido posible eviten que no se protejan los cables UTP, dejándolos expuestos ante cualquier incidencia.
EFECTO: La situación descrita podría originar drásticos problemas y pueda que los equipos de comunicación ya no se comuniquen y todo el sistema de red se dañe para dar solución a este problema primero tenemos que identificar estos eventos como nos dice COBIT.
7
RECOMENDACIÓN: Por efectos de buenas prácticas, según TIA-568B, los cables de transferencia de datos se debe ubicar por medio de racks, y consideración arquitectónicas (Altura de techo, ancho de las puertas), mecánicas (Detección y extinción de Incendios, Temperatura, Humedad), etc. Como también según COBIT primero identificamos estos eventos que puedan ocurrir para luego evaluar los riesgos que puedan suceder según los eventos identificados.
8
HALLAZGO N° 2 TÍTULO: “NO CUENTA CON UNA PROTECCIÓN CONTRA AMENAZAS EXTERNAS Y DEL ENTORNO”
CONDICIÓN: La revisión y análisis de la información proporcionada por la Municipalidad de Ancón: Según nuestras observaciones tomadas de la Municipalidad encontramos que los cables de datos y los cables de corriente eléctrica están unidos. ·
Por el mismo hecho que están unidas al momento puede suceder un incendio el cable de UTP se puede dañar observar el Anexo 02.
CRITERIO: Según COBIT 4.0, menciona en el dominio “PO9 Evaluar y administrar los riesgos de TI” y en el subdominio “PO9.3 Identificación de eventos” nos dice que: “ Identificar todos aquellos eventos (amenazas y vulnerabilidades) con un impacto potencial sobre las metas o las operaciones de la empresa, aspectos de negocio, regulatorios, legales, tecnológicos, de sociedad comercial, de recursos humanos y operativos. Determinarla naturaleza del impacto – positivo, negativo o ambos – y dar mantenimiento a esta información”.
CAUSA: Irresponsabilidad por parte de los supervisores del área de soporte, quienes no verifican que los cables de datos y los de corriente no pueden estar juntos.
EFECTO: La situación descrita podría originar drásticos problemas y la pérdida de conexión de los equipos de cómputo y que toda la red se dañe.
RECOMENDACIÓN: Por efectos de buenas prácticas y desarrollarnos en un ambiente de normas, es recomendable que los cables de datos y los cables de corriente estén separados y ante todo esto estimar los niveles de riesgo cuando vamos hacer estas misma instalación de juntar los dos tipos de cable.
9
HALLAZGO N° 3 TÍTULO: “LA RED CUENTA CON CABLEADO UTP CAT 6 PERO NO EN SU TOTALIDAD”
CONDICIÓN: La revisión y análisis de la información proporcionada por la Municipalidad de Ancón:
Según nuestras observaciones y fotos tomadas a la municipalidad y al área donde encontramos que tienen cables de categorías diferentes”. Los cables también se encontró que tiene menos de 15 metros por 3 conexiones en el canal.
CRITERIO: Según COBIT 4.0, menciona en el dominio “PO9 Evaluar y administrar los riesgos de TI” y en el subdominio “PO9.3 Identificación de eventos” nos dice que: “ Identificar todos aquellos eventos (amenazas y vulnerabilidades) con un impacto potencial sobre las metas o las operaciones de la empresa, aspectos de negocio, regulatorios, legales, tecnológicos, de sociedad comercial, de recursos humanos y operativos. Determinar la naturaleza del impacto – positivo, negativo o ambos – y dar mantenimiento a esta información”. Según COBIT 4.0, menciona en el dominio “ DS5 Garantizar la seguridad de los sistemas” y en el subdominio “DS5.10 "Seguridad de la red" Garantizar que se utilizan técnicas de seguridad y procedimientos de administración asociados (por ejemplo, firewalls, dispositivos de seguridad, segmentación de redes, y detección de intrusos) para autorizar acceso y controlar los flujos de información desde y hacia las redes ”.
CAUSA: Falta de un buen presupuesto para realizar la compra del cable de categoría 6 para todas las áreas.
EFECTO: La situación descrita podría originar drásticos problemas y excesivo pérdidas de conexiones con los sistemas que cuenta la Municipalidad.
RECOMENDACIÓN: Por efectos de buenas prácticas y por la norma TIA 568.B1 recomienda utilizar en cobre UTP la categoría 6 ante de todo esto primero tenemos que analizar qué tipo de Data Centers tenemos en la organización y si el cableado reúne los requisitos para ello. Como también según COBIT primero se garantizar que se utilizan técnicas de seguridad y procedimientos de administración asociados
10
HALLAZGO N° 4 TÍTULO: “NO CUENTA CON UN DOCUMENTO APROBADO QUE ESPECIFIQUE LA TOPOLOGÍA REDES APLICADA POR LO TANTO NO SE APLICÓ NI UNA"
CONDICIÓN: La revisión y análisis de la información proporcionada por la Municipalidad de Ancón:
Según nuestras observaciones tomadas de la Municipalidad encontramos que no se tomó en cuenta hacer una topología red solo tienen un plano de la red observar el Anexo 04.
CRITERIO: Según COBIT 4.0, menciona en el dominio “ DS5 Garantizar la seguridad de los sistemas” y en el subdominio "DS5.11 Intercambio de datos sensitivos" Garantizar que las transacciones de datos sensibles sean intercambiadas solamente a través de una ruta o medio confiable con controles para brindar autenticidad de contenido, prueba de envío, prueba de recepción y no rechazo del origen.
CAUSA: Irresponsabilidad por parte de los supervisores del área de soporte, que no solicito que esta sea aplicada, y no supervisan como se estaba haciendo la arquitectura de la red.
EFECTO: No se está aprovechando al máximo la red instalada, así como falta seguridad al envío de mensajes entre redes, lentitud en traspaso de información entre otras cosas.
RECOMENDACIÓN: Por efectos de buenas prácticas y desarrollarnos en un ambiente de normas, es recomendable que se aplique una topología de red, facilitará el uso compartida de archivos más seguridad, rapidez y confiabilidad en los datos y según COBIT 4.0, nos indica que se debe garantizar una ruta o medio confiable con controles para brindar autenticidad de contenido, prueba de envío, prueba de recepción y no rechazo del origen.
11
VII.
CONCLUSIONES COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez. Los Beneficios que nos va traer la utilización de Cobit son:
Optimizar los servicios el coste de las TI y la tecnología
Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas
Gestión de nuevas tecnologías de información
Por tal motivo Cobit nos ayudará a poder evaluar, los resultados extraídos, para validar la correcta instalación del cableado estructurado de la municipalidad distrital de Ancón.
VIII.
ANEXOS De acuerdo a los procesos que nos indica Cobit nos vemos con la necesidad de extraer evidencias de la Institución que vamos auditar de tal manera proporcione y apoye a una identificación en base a criterios, normas y herramientas que dicha metodología nos proporciona.
12
ANEXO 01: Cableado sin una protección adecuada
13
ANEXO 02: Cableado de comunicación (UTP) junto al cableado de corriente eléctrica
14
ANEXO 03: Cable CAT 5 / Cable CAT 6
15