Entregable Auditoría Informática

8/18/2019 Entregable Auditoría Informática

1/40

República Bolivariana de Venezuela

Ministerio del Poder Popular Para la Educación Universitaria

Universidad Politécnica de Valencia

Valencia - Edo. Carabobo

Auditoría Informática del “Sistema Informático para el Registro y Seguimiento

del Mantenimiento Mecánico de los Equipos Industriales de Eje Rotatorio,

Caso Grupo Vibrotek, C.A”

Profesor: Integrantes

Ing. Juan Carlos Guadama T.S.U Carvajal, Aleixer. CI. 15.612.613

T. S.U Torres, Fiorela. CI. 18.412.579

T. S.U Valdivieso, Diego. CI. 17.484.216

IV Trayecto, Sección: 03EN

Valencia, Enero de 2016

Fecha:22/01/2016 Nota

Elaborado por:

TSU. Carvajal Aleixer,

TSU. Torres Fiorela,

TSU. Valdivieso Diego

Revisado y aprobado por:

Ing. Juan Carlos Guadama


2/40

2

Fase 1.- Objetivos

1.1.- Objetivo General

Realizar una Auditoría Informática del “Sistema Informático para el

Registro y Seguimiento del Mantenimiento Mecánico de los Equipos

Industriales de Eje Rotatorio, Caso Grupo Vibrotek, C.A”.

1.2.- Objetivos Específicos de la Auditoría Informática.

Realizar un estudio inicial del entorno auditable. Determinación de los recursos necesarios para realizar la auditoría.

Realizar una revisión del sistema, específicamente los aspectos

relacionados con la seguridad lógica y física.

Evaluar el diseño de la interfaz del usuario.

Realizar las propuestas necesarias que permitan mejoras el sistema

actual, en el caso de que lo amerite.

1.3.- Alcances de la Auditor ía Informática

El presente trabajo de investigación está orientado a la Gestión de

Calidad y Auditoría Informática del “Sistema Informático para el Registro y

Seguimiento del Mantenimiento Mecánico de los Equipos Industriales de Eje

Rotatorio, Caso Grupo Vibrotek, C.A”.

La investigación actual se plantea considerando los objetivos antes

descritos al principio de este documento, entre los cuales se realizará una

revisión del sistema en los aspectos de seguridad física y lógica del software,


3/40

3

adicionalmente determinará y evaluará los procesos actuales del sistema

informático y su interfaz, haciendo un análisis de los antes mencionado, para

elaborar propuestas o consideraciones que determinen los riesgos del

sistema informático actual de la Empresa Grupo Vibrotek, C.A.

Fase 2. Estudio Inicial.

2.1.- Organigrama de la empresa.

Fig. N°1. Organigrama de la Empresa

Autor: los autores


4/40

4

2.2.- Departamentos.

El punto anterior se muestra el organigrama de la empresa, en este

punto describiremos las funciones de cada uno de los departamentos a

continuación:

Departamento de Finanzas, Administración y RRHH: Se

describe como los encargados de llevar toda la administración de la

empresa, además de realizar las búsquedas de los empleados.

Departamento de Sistemas: Se encarga de todas las áreas

específicas en cuanto a los sistemas de cómputos utilizados en la empresa,

así como su infraestructura actual en la misma.

Departamento de Servicios: Encargados de realizar los servicios

de vibración, análisis predictivo, preventivo y correctivo.

2.3.- Relaciones jerárquicas y funcionales entre órganos de laorganización.

Tal como se aprecia en el punto anterior los diferentes departamentos

y en el organigrama de la empresa, se puede apreciar que la estructura

jerárquica se cumple de acuerdo a los departamentos antes mencionados.


5/40

5

2.4.- Flujos de Información.

Los flujos de información se puede verificar que la información es

coherente y comunicacional entre los departamentos. Esta a su vez en el

departamento de servicios de la empresa se cumple de forma correcta.

2.5.- Número de Puestos de Trabajos.

La Empresa se encuentra constituida por un (1) gerencia general, un

(1) departamento de RRHH y Administración, un (1) departamento de

Sistemas, y un (1) departamento de servicio, contemplado de la siguiente

manera: un (1) jefe de departamento de servicios, dos (2) inspectores de

equipos rotativos I, dos (2) inspectores de equipos rotativos II, y un (1)

inspector de equipos rotativos III.

2.6.- Número de personas por puestos de trabajos.

Departamento N° de personas que

labora en el dpto .

Gerencia General. 1

Dpto. de RRHH y Administración 2

Dpto. de Sistemas 2

Dpto. de Servicios 6

Tabla N° 1: Números de personas por puestos de trabajos

Autor: Los Autores


6/40

6

Fase 3. Entorno Operacional.

3.1.- Situación Geográfica de los Sistemas

En la siguiente Figura N°1. Se muestra la interconexión de la red

actual del Grupo Vibrotek, C.A. el mismo se encuentra reflejado por

departamentos.

Fig. N° 2: Diseño de la red Actual Vibrotek, C.A.

Autor: Los Autores


7/40

7

3.2.- Arquitectura y configuración de Hardware y Software.

El sistema al cual se le está realizando la auditoría cuenta con lasiguiente configuración de:

En cuanto al hardware: se cuenta con PC tipo Desktop y Laptop, sus

características son las siguientes.

Laptop.

Procesador Core i5. 2.5Ghz.

Disco Duro de 500Gb.

4 gigas de Memoria Ram.

Desktop.

Procesador Core i7. 3.0 Ghz.

Disco Duro 1000Gb.

8 Gigas de Ram

Teclado y Mouse Microsoft.

Monitor HP de 24”.

Mini Ups.

En Cuanto al Software:

Sistema Operativo Windows 7 Profesional

Paquete de Office 2013.

Paquete de Antivirus Avast.


8/40

8

Paquete de Sistema de Mantenimiento de Vibrotek.

3.3.- Inventario de hardware y software

En el siguiente tabla N° 2. Se muestra a continuación en el inventario

del hardware y software del grupo Vibrotek, C.A.

Cantidad Descripción Tipo

2 Laptop. Hardware.

9 Desktop. Hardware.

9 Monitor HP de 24”. Hardware.

9 Teclados y Mouse Microsoft. Hardware.

6 Mini Ups. Hardware.

11 Licencias del Sistema Operativo Windows 7 Profesional. Software.

11 Licencias Paquete de Office 2013. Software

11 Licencias Antivirus Avast Software

11 Sistema de Mantenimiento Software

Tabla N° 2: Inventario de Hardware y Software.

Autor: Los Autores.


9/40

9

3.4.- Comunicación y redes de comunicación.

3.4.1.- Funcionamiento

Una vez finalizada la inspección de la red del Sistema Informático para

el Registro y Seguimiento del Mantenimiento Mecánico de los Equipos

Industriales de Eje Rotatorio, Caso Grupo Vibrotek, C.A, se determinó que la

red de la empresa Grupo Vibrotek, C.A. se encuentran en el Piso N° 8,

Edificio Torre Valencia de la Avenida Bolívar, la misma es una red local LAN,

cliente-servidor, cuenta con un switch principal de 24 puertos, que distribuye

la conexión a once (11) computadores que se encuentran en eldepartamento. Adicionalmente está conectado un router estándar y un

modem.

3.4.2.- Conectividad

El personal de la empresa Grupo Vibrotek, C.A cuenta con tabletas

para realizar la inspección de los equipos industriales, lo que permite cargar

los datos de las mediciones en tiempo real, evitando el uso directo del

computador.

3.4.3.- Indicador de Disponibil idad

Grupo Vibrotek, C.A. cuenta con una conexión empresarial de 4

megas de ABA de CANTV (no dedicada), por lo que está sujeta a fallas de

conectividad de acuerdo al proveedor de servicios.


10/40

10

3.4.4.- MDF (Cuarto de Dispositivos Centrales de Comunicación)

Actualmente la empresa Grupo Vibrotek C.A, no cuenta con un cuarto

de dispositivos propiamente dicho, sin embargo disponen de un gabinete

ubicado en el Departamento de Sistema donde se encuentran ubicados los

dispositivos de la red.

El gabinete metálico tipo rack de aproximadamente 2,20 m de altura,

con puertas metálicas frontales y traseras aseguradas, conteniendo en su

interior cuatro perfiles metálicos verticales con perforaciones para el montaje

de bandejas fijas, además, se encuentran los reguladores de corriente queprotege al servidores de bajones de eléctricos. Se utiliza cableado UTP

categoría 5e para comunicar cada estación de trabajo.

3.4.5.- Proveedores de servic io

El proveedor de servicios de internet de la empresa Grupo Vibrotek,

C.A es CANTV. El servicio de interconexión de la empresa es de 4 Mbps.

3.5.- Volumen, antigüedad y complejidad de las aplicaciones.

3.5.1.- Volumen.

El volumen encontrado en la base de datos de la aplicación del

sistema, es aproximadamente de unos 4000 registros.


11/40

11

3.5.2.- Antigüedad.

La base de datos evaluada tiene un tiempo de vida de 3 años de

antigüedad, desde que fue implantado el sistema.

3.5.3.- Complejidad.

La aplicación está desarrollada en el sistema de PHP, interactuando

con el usuario a través de una plataforma web (Firefox, Chrome, Internet

Explorer), el sistema genera informes en el formato PDF.

3.6.- Metodología del diseño.

La aplicación evaluada se encuentra desarrollado en el lenguaje de

programación de PHP, con una base de datos desarrollada en MySQL, el

mismo se encuentra alojado en un servidor local de la empresa.

Para el desarrollo de esta aplicación fue utilizada la metodología XP,las cuales se orientan en cuatro fases de desarrollo para el software, que se

indican a continuación:

Planificación.

Diseño.

Desarrollo.

Pruebas.


12/40

12

3.7.- Documentación.

En la verificación de la aplicación se encontró muy poco material de

apoyo en cuanto al contenido de la aplicación, es decir, el manual de usuario

desarrollado para esta aplicación es muy deficiente, ya que no es explícito de

todos los procesados utilizados en el sistema informático.

3.8.- Cantidad y complejidad de base de datos y ficheros.

Propósito de la Base de Datos Almacenar información referente al control y

seguimiento de los informes técnicos y de las

órdenes de trabajo.

Gestor de la Base de Datos MySQL

Versión del Gestor 5.0

Nombre del Esquema Vibrotek

Fecha 06 de Julio de 2014

Usuario Administrador

Tabla N° 3: Documento Referencial de Base de Datos

Autor: Los Autores


13/40

13

Fig. N° 3: Modelo Entidad/Relación Base de Datos Vibrotek

Autor: Los Autores

3.8.1.- Descr ipción de las tablas

AREA : Tabla para registrar el área de la planta donde se encuentran

las máquinas.

AUDITORIA : Tabla para registrar las operaciones realizadas en el

sistema.


14/40

14

AUXILIAR: Tabla para registrar las máquinas que sirven de respaldo,

en el caso de que las máquinas de planta presenten fallas.

CAMBIO: Tabla para almacenar los cambios de componentes que se

le realizan a una máquina luego de haber realizado una orden de trabajo.

COMPONENTE: Tabla para registrar repuestos y consumibles que

usa las máquinas

INSPECCION: Tabla para almacenar los datos que el inspector

genera a medida que le realiza los exámenes necesarios a cada máquina, la

misma se genera cuando en una solicitud de mantenimiento se especifica es

predictivo.

MAQUINA: Tabla para registrar la información sobre las máquinas.

OBRERO: Tabla para registrar los obreros.

ORDEN_TRABAJO: Tabla para almacenar las ordenes de trabajo.

PROVEEDOR_SERVICIO: Tabla para registrar los proveedores de

servicio.

SISTEMA: Tabla para registrar sistema.

SOLICITUD_MANTENIMIENTO: Tabla para registrar las solicitudes

de mantenimiento.

TAREA: Tabla para registrar el detalle de las solicitudes de

mantenimiento.

TAREA_OBRERO: Tabla para registrar las tareas que realizará un

obrero por cada tarea generada de una solicitud de mantenimiento a realizar.


15/40

15

TIPO_MANTENIMIENTO: Tabla para registrar los tipos de

mantenimientos.

TIPO_MAQUINA : Tabla para almacenar los diversos tipos de

máquinas que pueden existir en la empresa.

USUARIO: Tabla para registrar los usuarios que manipulan el sistema.

Fase 4. Determinación de Recursos de auditoría informática.

4.1.- Recursos materiales de software.

Para el desarrollo de esta auditoría se requiere de los siguientes

materiales de software. Ver Tabla N° 4.

Aplicat ivo de Software Tiempo

Windows 7 Profesional Todos los días

Paquete de Office 2013. Todos los días

Navegador Firefox Todos los días

Acrobar Reader Todos los días

MySql Todos los días

Tabla N° 4. Recursos Materiales de Software.

Autor: Los Autores.


16/40

16

4.2.- Recursos materiales de hardware.

Para el desarrollo de esta auditoría se requiere de los siguientesmateriales de software. Ver Tabla N° 5.

Cantidad Descripción de Hardware Tiempo

3 PC Laptop Todos los días

1 Impresora Todos los días

Tabla N° 5. Recursos Materiales de Hardware.

Autor: Los Autores.

4.3.- Recursos humanos.

A continuación se muestra la siguiente Tabla N° 6, matriz de

responsabilidades del proyecto de auditoría informática.


17/40


18/40

Tabla N° 6. Matriz de Responsabil idades del Proyecto.

Autor: Los Autores.


19/40

19

4.4.- Elaboración del plan de trabajo.

Fig. N° 4: Diagrama de Gantt del Proyecto. Parte 1

Autor: Los Autores


20/40

20

Fig. N° 5: Diagrama de Gantt del Proyecto. Parte 2

Autor: Los Autores

Fase 5. Actividades de la audi toría informática.

Para la realización de la auditoría informática, que permita la correcta

evaluación de los aspectos relacionados con el sistema en cuestión,

seguidamente se detallan las actividades a realizarse, clasificadas de acuerdo alos diferentes aspectos a evaluar:


21/40


22/40

Audi toria: Realizado por:

Sistema Informático para el Registro y Seguimiento del Mantenimiento Mecánico de

los Equipos Industriales de Eje Rotatorio, Caso Grupo Vibrotek, C.AFecha de Revisión:

PROCEDIMIENTO OBSERVACIÓN

1 Evaluación de Calidad

Calidad Interna y Externa

1.1 Funcionabilidad

1.1.1¿Las funciones que ofrece el sistema son adecuadas para la realización de

las tareas y objetivos especificada por los usuarios?Ver Gestión de Calida

los resultados de la ca

calidad de

“Funcionabilidad”.

1.1.2 ¿El sistema provee resultados acordes?

1.1.3 ¿El sistema interactúa con otras aplicaciones?

1.1.4 ¿Existe módulo de seguridad, autenticación y permisología para los usuarios?

1.1.5 ¿Funciona el sistema según lo esperado por los usuarios?

1.2 Confiabilidad

1.2.1 ¿El Sistema en algún momento se detuvo inesperadamente? Ver Gestión de Calida

los resultados de la ca

1.2.2 ¿Si el Sistema llegase a detenerse por alguna falla inesperada es fácil


23/40

reiniciarlo? calidad de uso, caracter

1.2.3

¿Los datos pueden ser recuperados luego de un evento o situación

inesperada?

1.2.4

¿Usted considera que las tareas en el proceso de otorgación de citas

médicas pueden ser realizadas de una manera sencilla utilizando este

sistema?

1.3 Usabilidad

1.3.1 ¿Las instrucciones e indicaciones en pantalla son útiles? Ver Gestión de Calidad

los resultados de la calid

calidad de uso, caracter1.3.2 ¿Cree usted que el sistema es coherente, adaptado a los requerimientos?

1.3.3 ¿El sistema tiene una presentación atractiva?

1.3.4 ¿Usted podrá aprender fácilmente todas las funcionalidades del sistema?

1.3.5 ¿Le parece que las necesidades del usuario han sido tomadas en cuenta?

1.4 Eficiencia

1.4.1¿El programa responde rápidamente a la entrada de los datos, consultas y

reportes?

Ver Gestión de Calidad



24/40

1.4.2

¿El tiempo de impresión de los distintos reportes que genera el sistema, es el

rápido?

calidad de uso, caracter

1.4.3

¿Considera usted que los procesos ofrecidos por el sistema, se realizan con

pocos pasos?

1.5 Capacidad de Mantenimiento

1.5.1

¿El área o departamento de informática, posee el programa fuente del

sistema?




Mantenimiento”1.5.2 ¿Se almacenan las versiones o mejoras del sistema?

1.5.3¿El sistema, muestra estabilidad después de ser implementado una nueva

versión?

1.5.4 ¿Se cuenta con un ambiente adecuado de pruebas?

1.5.5

¿Permite establecer programación de servicio de mantenimiento, en un

tiempo establecido?

1.6 Portabilidad

1.6.1 ¿El sistema es fácilmente adaptable a cualquier organización o ente? Ver Gestión de Calidad


25/40

1.6.2 ¿La aplicación se instala fácilmente? los resultados de la calid


1.6.3

¿El sistema puede coexistir con otros dentro del mismo entorno y compartir

recursos?

1.6.4 ¿El sistema podría ser reemplazado por otro?

1.6.5 ¿El sistema está adaptado a estándares de desarrollo y calidad de software?

1.7 Calidad de Uso

1.7.1

¿Todas las tareas con respecto a las funciones que ofrece el sistema pueden

ser realizadas de una manera sencilla y fácil?




1.7.2

Según el aspecto de tiempo para completar los procesos y esfuerzo

empleado para lograr dicha actividad. Indique en la siguiente escala Alto,

Medio, Bajo, siendo Alto mucho tiempo y esfuerzo y Bajo Poco esfuerzo y

tiempo.

1.7.3

¿Según los aspectos como Funcionalidad (Capacidad de funcionamiento),

Fiabilidad (realizar una función requerida), Usabilidad (Capacidad de ser

entendido) y Facilidad de Mantenimiento (Capacidad de ser modificado) usted

considera que existen deficiencias en estas características?


26/40

1.7.4 ¿Las necesidades de los usuarios fueron tomadas en cuenta?

2 Evaluación de Base de Datos

2.1 Admin istración de la Base de Datos

2.1.1

¿En la administración de la base de datos existen roles definidos de acuerdo

con las necesidades?En la evaluación se p

existen roles establec

distintas actividades

administración de la ba

2.1.2

¿Existe al menos una persona responsable encargada de la administración

de la base de datos?

No existe un perso

administración de la b

empleados del Dpto. de

base de datos

2.1.3

¿Existe algún mecanismo implementado por medio del cual se pueda

monitorear el rendimiento de la base de datos?

Actualmente no se

mecanismo de monitore

puedan indicar algún f

desempeño de la base d

2.1.4

¿Se cuenta con un plan de actualización o implementación de mejoras para

el sistema gestor de base de datos del sistema?

No existen planes para r

la versión de la base de

2.1.5 ¿La base de datos posee documentación acerca del modelo? El departamento de info


27/40

E/R de la base de datos

2.2 Revisión de los objetos de la Base de Datos

2.2.1

¿Se cuenta con algún documento que especifique el estándar a seguir para la

creación de nuevos objetos en la base de datos?

No se cuenta con ningún

creación de objetos en la

2.2.2

¿Existen procedimientos almacenados en la base de datos, son utilizados

correctamente?

Se observó que no se em

almacenados

2.2.3

¿Las tablas están diseñadas correctamente, de acuerdo al estándar de bases

de datos relacionales?

Todas las tablas posee

Están normalizadas y es

2.3 Revisión del Plan de Mantenimiento, Respaldo y Recuperación

2.3.1

¿Se cuenta con un correcto mecanismo de respaldo que garantice la

disponibilidad de la información en caso de una pérdida de datos?

Si, se cuenta con un pro

realizar respaldos de la

2.3.2

¿Los respaldos se realizan en una localización distinta a la de los servidores

de en producción?

No se realizan respaldos

servidores

2.3.3

¿Existe algún mecanismo que permita conocer los resultados de los

respaldos automáticos, en caso de que exista alguna falla al momento en que

se realizan?

No existe implementad

permita corroborar si

correctamente


28/40

2.3.4

¿Existe un plan de recuperación, el cual sirva como guía a seguir en el caso

de una pérdida de datos?

El proceso es realizado

sistemas de la empresa

de recuperación real.

3 Evaluación de la Seguridad del Sistema

3.1 Seguridad Física

3.1.1

¿El área de servidores cuenta con adecuadas barreras físicas y

procedimientos de control?

Ver Gestión de Segurida

Red. Definir patrones de

3.1.2

¿Se cuenta con adecuadas medidas de seguridad física específicas para el

sistema de gestión?



3.1.3¿Existen medidas de seguridad física en caso de desastres? Ver Gestión de Segurida


3.1.4

¿El cuarto de datos cuenta con un sistema contra incendio adecuado para

instalaciones eléctricas?



3.2 Seguridad Lógica

3.2.1

¿Se encuentra implementada al menos una herramienta de detección de

intrusos y ataques informáticos


Identificación de las ame

3.2.2 ¿Los computadores cuentan con software antivirus? Ver Gestión de Segurida


29/40

Identificación de las ame

3.2.3¿El sistema cuenta con una autenticación de usuarios para su utilización? El Sistema cuenta con la

usuario y contraseña de

4 Evaluación de Riesgos

4.1¿El cableado eléctrico se encuentra en buen estado? Se observó que la estruc

encuentra deficiente

4.2

¿Existen altos riesgos de pérdidas de datos por virus informáticos? Los PC cuentas con soft

observa que poseen acc

facilita que un pc pueda

4.3

¿El cableado de red se encuentra normalizado y correctamente documentado

que ayude a solventar una falla rápidamente?

El cableado de red no es

existe documentación al

4.4

¿Existe un alto riesgo de pérdida de datos por falla en los respaldos? Se evidencia un alto ries

pérdida de datos debido

respaldo correctas

4.5

¿En caso de una falla eléctrica, los equipos se mantienen en funcionamiento? Los servidores pueden m

corta, ya que poseen un

poder (UPS) pero no cue

eléctrica que garantice e

mayor tiempo.


30/40

4.6

¿En caso de incendios, la sala de servidores cuenta con un mecanismo de

control de incendios adecuado?



4.7

¿Se efectúa un mantenimiento o inspección preventiva a los servidores del

sistema?

No se realiza ningún ma

ninguno de los servidore

4.8

¿En el caso de fallas de hardware en alguno de los servidores del sistema, se

puede realizar un cambio por otro de backup?

No se cuenta con ningun

un cambio de servidor b

funcionamiento los servi

5 Evaluación de la Infraestructura de la Red

5.1 ¿Se cuenta con la documentación de la red? No se cuenta con docum

5.2¿El cableado está normado de acuerdo a los estándares de calidad? No se encuentra normad

estándares de calidad.

5.3¿Se lleva algún inventario de los equipos que conforman la red? Ver Gestión de Segurida

Identificación de Activos

5.4

¿Se lleva algún registro de las modificaciones o cambios en la arquitectura de

la red?

Se pudo apreciar que el

informática de la instituc

alguno de las modificaci

red.

5.5 ¿Se lleva a cabo un monitoreo del desempeño de la red? Ver Gestión de Segurida


31/40

Tabla N° 7. Desarrollo de la Auditoría.

Autor: Los Autores.

Red. Esquema de tráfico

5.6

¿La capacidad de transmisión de datos del cableado de red, se encuentra

adecuado para soportar las actuales tecnologías de transmisión de datos?

Se evidenció que el cab

soportaría transmisiones

Solo soporta transmisión

Gbps


32/40

32

5.2.- Resultados

A continuación se plantean los resultados obtenidos a partir de la

evaluación realizada

5.2.1.- Revisión de los Aspectos Relacionados con la Base de Datos del

Sistema.

Definición de roles para la administración de la base de datos 2.1.1

Se determinó que no existen roles establecidos para realizar las

distintas actividades que implica la administración de la base de datos, lo

cual puede traer como consecuencia, una manipulación indebida de los

datos confidenciales que utiliza el sistema estudiado.

Se recomienda definir una persona o grupo de personas responsables

de administrar la base de datos, así como asignar funciones o permisologías

claras en la misma para cada una.

Existencia de una persona responsable de la administ ración de la base de

datos

2.1.2

Se observó que no existe una persona encargada de la administración

de la base de datos, por lo que aumenta las posibilidades de no detectar a


33/40

33

tiempo un mal funcionamiento de la base de datos, un acceso no autorizado

y una posible pérdida de información.

Se sugiere establecer claramente y definir la permisología del usuario

que actuará como Administrador de la Base de Datos que posee toda la

permisología para desempeñar todo tipo de acciones sobre la base de datos,

esta persona debe dedicarse a esta actividad por lo cual debe estudiarse con

detenimiento al asignar tal responsabilidad.

Se observó que actualmente no se cuenta con ningún mecanismo de

monitoreo de transacciones que puedan indicar algún fallo o desmejora en el

desempeño de la base de datos del sistema. Es importante mantener un

control estadístico de transacciones para verificar el rendimiento, el uso y lacantidad de usuarios que acceden al sistema.

Se recomienda configurar y activar el log de transacciones del cual

dispone MySQL, para monitorear el rendimiento de la base de datos, y

prever desmejoras en el acceso a las bases de datos.

Contar con un plan de actualización o implementación de mejoras para elsistema gestor de base de datos del sistema.

2.1.4

Se evidenció que no existen planes para realizar actualizaciones a la

versión de la base de datos. Esto puede traer como consecuencia la

Implementación de mecanismos para el monitoreo del rendimiento de la

base de datos.

2.1.3


34/40

34

reducción de la escalabilidad del SGBD y entraría en obsolescencia al no

adaptarse a las nuevas tecnologías.

Se sugiere establecer un plan de actualización de versión para el

SGBD, en este caso de MySQL. La versión instalada actualmente es la 8.3 y

la última versión del mismo, es la 5.0. Si se cuenta con las últimas versiones,

se obtiene mayor fiabilidad y robustez, ya que se corrigen fallas y brechas de

seguridad, y se mejora el rendimiento con respeto a las versiones anteriores.

Contar con un documento que especifique el estándar a seguir para la

creación de nuevos objetos en la base de datos

2.2.1

Se observó que no se cuenta con ningún estándar para la creación de

objetos en la base de datos. Sin la existencia de un documento como éste,

existe el riesgo de que se creen funciones o procedimientos almacenados

que ya existen, lo que confunde y muchas veces retrasa el mantenimiento.

Se sugiere elaborar un documento que reúna y detalle, los pasos a

seguir para todos los procedimientos que suelen ser realizados en la base de

datos.

Se verificó que actualmente no se realizan respaldos fuera del área de

los servidores, lo que significa un fuerte riesgo en caso de que ocurra alguna

Localizar respaldos de los datos, en una localización distinta a la de los

servidores en producción

2.3.2


35/40

35

eventualidad que comprometa el área de los servidores, lo que significaría

una gran pérdida de información.

Se recomienda la utilización de respaldos remotos, de modo que se

garantice la disponibilidad de los datos del sistema, aun cuando se vea

comprometida la integridad del área donde se encuentran los servidores de

la institución.

Visualización o monitoreo de la efectividad en la realización de los

respaldos de datos.

2.3.3

Se evidenció que al realizarse los respaldos, no está implementado

algún mecanismo que permita corroborar si el respaldo se realizó

correctamente. Esto pudiese traer como consecuencia la imposibilidad de

contar con un respaldo coherente a la hora de requerir la recuperación de

datos importantes.

Se sugiera la creación de un mecanismo que permita reportar el

resultado del respaldo automático al administrador de la base de datos, más

aún en caso de que ocurra algún fallo en el mismo. De esta manera el

administrador contará con una herramienta más que le ayudará a saber si ha

ocurrido una falla y poder aplicar las correcciones necesarias lo más pronto

posible.

Existencia de un plan de recuperación, en caso de pérdida de datos 2.3.4


36/40

36

Se verificó que no existe un plan de recuperación en caso de pérdida

de datos, lo que puede ocasionar demora en el restablecimiento de la

disponibilidad de los datos de los respaldos.

Se deben tener bien claro los pasos a seguir en caso de que ocurra

cualquier eventualidad que dañe total o parcialmente la base de datos; por lo

tanto se recomienda la elaboración de un plan de recuperación de datos que

especifique de manera detallada cuáles serían los pasos a seguir en el

supuesto caso de que ocurriese una caída del sistema por estos motivos. Así

mismo se deberán realizar pruebas periódicas de recuperación de los datos

respaldados en un ambiente o servidor de pruebas.

5.2.2.- Revisión de los Aspectos Relacionados con la Evaluación de

Riesgos del Sistema.

Estado del Cableado Eléctrico 4.1

Se observó que la estructura del cableado eléctrico se encuentra

deficiente. Al encontrarse el cableado en malas condiciones aumentan las

probabilidades de que ocurra un incendio que pudiera afectar a los

servidores y por ende, a los sistemas de la institución.

Se recomienda reestructurar y modernizar el cableado eléctrico de la

institución, mediante la aplicación de las normas de seguridad en cuanto a

circuitos eléctricos, con la finalidad de evitar un incendio debido al estado

actual de los mismos.


37/40

37

Perdidas de datos a causa de virus informático 4.2

Se constató que los equipos tienen instalados software antivirus que

puede mitigar el contagio virus informáticos que puede causar la pérdida de

información, sin embargo los usuarios tienen acceso ilimitado a páginas web

engañosas que pudieran dar autorización a la ejecución de virus sin su

conocimiento.

Se recomiendo la utilización de programas que bloqueen paginas

comerciales, dando solo acceso a páginas seguras.

Normalización y documentación del cableado de red. 4.3

Se observó que el cableado de red no está implementada bajo

estándares y no existe documentación al respecto. Esta situación dificulta la

solución de problemas en la red.

Se sugiere la estandarización del cableado de red, siguiendo para ello

las normas de cableado estructurado, con la finalidad de mitigar los riesgos

inherentes a la falta de estándares que signifiquen un aspecto que dificulte la

solución de algún problema relacionado con el mismo.

Pérdidas de datos por falla de respaldos. 4.4

Se evidenció un alto riesgo de que ocurra una pérdida de datos debido

a la falta de políticas de respaldo correctas. Lo cual puede significar que

todos los datos almacenados que utilicen los sistemas se pierdan, dejando

inoperativo completamente a los sistemas, pudiendo manifestarse en


38/40

38

retrasos graves en los procesos de la institución e inclusive pérdidas

importantes a nivel económico.

Se sugiere realizar el respaldo del sistema en otra estructura física; de

manera que si la estructura en donde se alojan los servidores es afectada, la

data del sistema tenga un respaldo en una edificación segura.

Operatividad de los servidores en caso de fallas en el suministro eléctrico 4.5

Se identificó que los servidores sólo pueden mantener una autonomía

corta, ya que poseen unidades de respaldo de poder (UPS) pero no cuentan

con una planta eléctrica que garantice el funcionamiento por mayor tiempo.

Se recomienda realizar la adquisición e instalación de una planta

eléctrica que permita el funcionamiento continuo de la sala de servidores,

pese a la caída del suministro eléctrico, haciendo posible la interconexión de

las sedes del ministerio con la sede principal.

Realización de inspección o mantenimiento preventivo a los servidores. 4.7

Se verificó que no se realiza ningún mantenimiento preventivo a

ninguno de los servidores. Sin la realización de este tipo de mantenimiento

no existe manera de prevenir daños por un mal funcionamiento del hardware

o software.

Es recomendable diseñar un plan para realizar manteamiento

preventivo a los servidores de manera periódica, que permita resguardar y


39/40

39

prevenir fallas en los equipos antes de que se produzca y evitar

contratiempos y caídas del sistema.

Cambios en caliente en caso de fallas en los discos duros de los

servidores.

4.8

Se observó que no se cuenta con ninguna medida que posibilite un

cambio en caliente para poner en funcionamiento el servidor en corto tiempo.

Si ocurriese un daño en el disco duro, se perderá tiempo valioso en la

instalación del nuevo disco.

Se sugiere la modernización del hardware de los servidores, para

contemplar la posibilidad de realizar cambios en caliente de los discos duros

en caso de ser necesario.

5.2.3.- Revisión de los Aspectos Relacionados con la Evaluación de

Infraestructura de la Red del Sistema.

Documentación adecuada de la infraestructura de red 5.1

Se verificó que no se cuenta con una documentación de la red, lo cual

trae como consecuencia un retraso en la solución de inconvenientes de la

misma.

Se recomienda conformar la documentación de la red, tomando en

cuenta la topología, la distancia entre nodos y computadores, etc. Teniendo a

la mano una documentación adecuada de la red, es posible localizar con

facilidad alguna falla en la misma, así mismo es posible planificar sin

mayores inconvenientes algún cambio en la estructura de la red.


40/40

Estandarización del cableado de red de acuerdo a los estándares 5.2

Se constató que el sistema de cableado de la institución no cumple

completamente con el estándar. Esta situación también dificulta el

mantenimiento a la red.

Se recomienda estandarizar y documentar el cableado de la red de la

institución de acuerdo a lo establecido en los estándares, el cual establece

una serie de prácticas recomendadas para el diseño e instalación de

sistemas de cableado que soporten una amplia variedad de los servicios

existentes, y la posibilidad de soportar servicios futuros que sean diseñados

considerando los estándares de cableado.

Registro de modificaciones o cambios en la estructura de la red. 5.4

Se pudo apreciar que el departamento de informática de la institución,no lleva registro alguno de las modificaciones o cambios en la red. Lo cual

significa que no será posible obtener información acerca de las fallas más

recurrentes, para poder realizar las modificaciones necesarias para evitarlas

o para disminuir su ocurrencia.

Se sugiere implementar una bitácora donde se registren los cambios o

modificaciones en la red, con la finalidad de poder rastrear implicaciones o

fallas derivadas de éstas que pueden comprometer el funcionamiento de la

misma.

Documents

Entregable Auditoría Informática