es ee Se Pew eC VT OTF VUTITFTVFVIITIVIVITUVVIIIVIIIIYVY INSTITUTO TECNOLOGICO “LOS ANDES” TEMA: Realizar un informe de auditoria informatica con las herramientas y técnicas que posee tales como la Encuesta, Entrevista, Checklist, para poder asi obtener una solucién en los problemas encontrados a lo que corresponde a la Institucién Auditada. Materia: Redes II Realizado Por: Sr. Freddy Loor Semestre: Cuarto Semestre De Sistemas Tutor: Ing. Javier Cevallos Santo Domingo - EcuadorINDICE 1. Introduccién, 11 Objetivos... 1.1.1 Objetivo General 1.1.2 Objetivos Especificos 1.2 Justificacién 2. Marco te6rico .. 2.1 {Qué es la Auditoria Informatica’ 2.2 Factores que influyen en la Auditoria Informatica .. 23 ,Quign es el auditor 2.4 Por qué y para qué se hace la Auditoria Informatica 2 2.5 Tipos de Auditoria. 2.6 Auditoria a la gestién informatica, haan 2.7 Herramientas y Técnicas para la Auditoria Informatica 2.7.1 LAENTREVISTA 2.7.2 Informe general de la Auditoria. 2.8 Que es una red: 2.9 Que son las topologias... 2.10 TOPOLOGIA DE RED ESTRELLA .. 2.411 Esquema a realizar: 3. RESUMEN.. 4. CONCLUSION... 5. RECOMENDACION. 6. Bibliografia..1. INTRODUCCION La presente investigacién es un estudio sobre 1a auditoria informatica, clases, objetivos, importancia, reglas, principios, medios disponibles, principales pruebas y hertamientas de las ccuales se pueden hacer uso en la necesidad de una auditoria informatica. En la actualidad vivimos en un mundo saturado de informacién. Contamos con herramientas tecnolégicas que ponen al alcance de nuestra mano vastas cantidades de informacién y datos. La expansion de internet y de los sistemas de informacién ha revolucionado considerablemente nuestra capacidad de obtener informacién de una manera fécil y répida (Agustin José Calleja Gomez, 2010). Desde que la informatica se enfocé hacia el apoyo de la sistematizacién de areas de negocio, se empezaron a implantar aplicaciones administrativas como contabilidad, némina, etc., lo que originé el proceso conocido como auditoria a sistemas de informacién, Es importante mencionar que cada determinado tiempo estas empresas deben de llevar a cabo auditoria informética interna y externa, tanto en sus equipos de cémputo como en el software que s¢ utilice para el manejo de la informacién, captura de datos y en el entomo fisico de una Grea de informatica. Las empresas y organizaciones se deben reestructurar hacia operaciones cada vez mis competitivas y, como consecuencia, deben aprovechar los avances de las tecnologias de los sistemas de informacién para mejorar su situacién competitiva. Segiin (Rafael Rodriguez de Cora, 2010). La auditoria informética pretende alcanzar diversos objetivos entre los cuales estén el realizar una revisién independiente de las actividades, éreas o funciones especiales de una institucion, a fin de emitir un dictamen profesional, hacer una revisién que ademés sea especializada, desde un punto de vista profesional, evaluar el cumplimiento de los planes, programas, politicas, normas y lineamientos que regulan la actuacién de los empleados y funcionarios de la institucién asi como por tiltimo el determinar de manera profesional ¢ independiente sobre los resultados obtenidos por una empresa y sus éreas, asi como el desarrollo y cumplimiento de objetivos y funciones.1d Ld Objetivos Objetivo General Proveer un manual de auditaria informatica del tipo cducativo, en el que se detalle cada aspecto a evaluar en Ia ejecucién de un plan que examine Ia efectividad administrativa en el uuso de los equipos de cémputos y recursos tecnolégicos, en donde ademds se identifiquen los problemas, las deficiencias técnicas y ademds proponer soluciones para que se tomen las decisiones adecuadas. 142 * * Objetivos Especificos Evaluar los diferentes aspectos que involucran el buen funcionamiento del Instituto Tecnolégico "Los Andes” dentro de lo que corresponde al area de secretariado (tales como: Infraestructura, entomno, mobiliario y equipo, otros). Evaluar la efectividad administrativa que desarrollan los responsables del Instituto Tecnolégico "Los Andes", sobre el uso de los equipos informaticos entre otros recursos tecnoldgicos con los que cuentan. Optimizar tiempo y recursos por parte de los encargados ¢ instructores, en el desempefio del Instituto Tecnolégico "Los Andes". Hacer una revision especializada, desde un punto de vista profesional y auténomo, del aspecto contable, financiero y operacional de las area de secretariado del Instituto Teenolégico "Los Andes". Evaluar el cumplimiento de los planes, programas, politicas, normas y lineamientos que regulan la actuacién de los empleados y funcionarios de la Institucién, asi como evaluar las actividades que se desarrollan en sus areas y unidades administrativas. Evaluar el uso y aprovechamiento de los equipos de eémputo, sus periféricos, las instalaciones y mobiliarios del centro de cémputo, asi como el uso de sus recursos técnicos y materiales para el procesamiento de la informacién1.2 Justificacién La auditorfa es de mucha importancia ya que nos ayudara a conocer cules son los las necesidades que una empresa pueda llegar a tener a lo largo de su trayectoria y asi poder mejorar o implementar nuevas altemativas para una posible solucién o a su vez su mejoria, a través de esta consulta he podido comprender cuales son los métodos y técnicas que podemos realizar a los empleados, clientes y gerentes, para localizar los diferentes tipos de problemas que se puedan llegar a encontrar y asi buscarles la solucién adecuada, 2. MARCO TEORICO 2.1 {Qué es la Auditoria Informatica? La auditoria informatica es la revision y evaluacién de los controles, sistemas y procedimientos de la informatica; de los equipos de cémputo, su utilizacién, eficiencia y seguridad; de la organizacién que participa en el procesamiento de la informacién, a fin de que por medio del sefialamiento de cursos alternativos se logre una utilizacién mas eficiente, confiable y segura de la informacién que servirt para una adecuada toma de decisiones (Echenique, 2001). 2.2. Factores que influyen en la Auditoria Informatica Necesidad de controlar el uso evolucionado de las computadoras. Controlar el uso de la computadora, que cada dia se vuelve mas importante y costosa. Abuso en las computadoras. Valor del hardware, software y personal. ‘Toma de decisiones incorrectas. 23 {Quién es el auditor? Es aquella persona profesional, que se dedica a trabajos de auditoria habitualmente con libre ejercicio de una ocupacién técnica. El auditor socio-laboral puede ser interno o externo a la empresa y provenir de las mas diversas disciplinas: ingenieria, derecho, sociologia, economia,...etc. Pero en cualquier caso debera contar con una serie de caracteristicas:- Deberd dominar las técnicas y metodologias del proceso auditor - Que sea abierto en sus relaciones personales y que sepa dialogar - Que posea diversas actitudes como la independencia, la objetividad, la creatividad, el espiritu critico, la diplomacia, ete. 24 {Por qué y para qué se hace la Auditoria Informatica ? a) Asegurar la integridad, confidencialidad y confiabilidad de la informacién. b) Minimizar existencias de riesgos en el uso de Tecnologia de informacion ©) Conocer la situacién actual del 4rea informatica para lograr los objetivos. 4) Asegurar seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informético, asi como también seguridad del personal, los datos, el hardware, el software y las instalaciones. e) Incrementar la satisfaccién de los usuarios de los sistemas informiticos. 1) Capacitar y educar sobre controles en los Sistemas de Informacién, g) Buscar una mejor relacién costo-beneficio de los sistemas autométicos y tomar decisiones cn cuanto a inversiones para la tecnologia de informacién. 2.5 Tipos de Auditoria. AUDITORIA INFORMATICA2.6 Auditoria a la gestién informatica Es la auditoria cuya aplicacién se enfoca exclusivamente a la revisién de las funciones y actividades de tipo administrative que se realizan dentro de un centro de eémputo, tales como la planeacién, organizacién, direccién y control de dicho centro. Esta auditoria se realiza también con el fin de verificar el cumplimiento de las funciones y actividades asignadas a los funcionarios, empleados y usuarios de las Areas de sistematizacién, asi como para revisar y evaluar las operaciones del sistema, el uso y proteccién de los sistemas de procesamiento, los programas y la informacién. Se aplica también para verificar el correcto desarrollo, instalacién, mantenimiento y explotacién de los sistemas de cémputo asi como sus equipos € instalaciones (Mufioz, 2002). 2.7 Herramientas y Técnicas para la Auditoria Informatica Formularios Checklist. Cuestionarios Formularios Virtuales Pruebas Inventarios consistencias valorizaciones Historias de cambios y mejoras2.9 Que son las topologias Hace referencia a la forma de un red La topologia muestra c6mo los diferentes nodos estén conectados entre si, y la forma de cémo se comunican esta determinada por la topologia de la red. Las topologias pueden ser fisicas o logicas. TOPOLOGIA. CLASIFICACION ESTRELLA 2.10 TOPOLOGIA DE RED ESTRELLA Este tipo de red permite que cada una de las estaciones estén conectadas directamente a un punto central y todas las comunicaciones se han de hacer necesariamente a través de éste. Se utiliza sobre todo para redes locales. Ventajas % Tiene los medios para prevenir problemas. # Siuna PC se desconecta o se rompe el cable solo queda fuera de la red esa PC. % Fécil de agregar, reconfigurar arquitectura PC. * Fécil de prevenir dafios o conflictos. “© Permite que todos los nodos se comuniquen entre si de manera conveniente. & El mantenimiento resulta mas econémico y facil que la topologia bus. (Blogger, 2010)2.7.1 LAENTREVISTA. La entrevista es una de las actividades personales mas importante del auditor; en ellas, éste recoge mas informacién, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. El auditor informatico experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversacién correcta y lo menos tensa posible, el auditado conteste seneillamente y con puleritud a una serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es solo aparente. 2.7.2. Informe general de la Auditoria ‘Una vez realizada la auditoria informatica, se realiza la siguiente solucién a las falencias encontradas en las oficinas del Instituto Tecnolégico "Los Andes” El cableado de red que se pudo observar estaba en las siguientes condiciones sin un perfecto disefio de su esquema. PLANO ARQUITECTONICO DE LAS OFICINAS \@ \ \ 1 PLANO A MEJORARANALISIS GENERAL Estudio previo: % Determinar el uso de topologia que esta implementado Ubicacién idénea u ordenada de instalacién. + Mostrar metro cuadrado de las oficinas * Cable a utilizar + Materiales técnicos y fisicos requeridos 4 Tiempo a lograr el objetivo Informe general El estudio realizado al predio esté distribuido en dos oficinas (rectorado, secretaria) las mismas que se muestran con los siguientes datos arquitecténicos. 2 PLANO ARQUITECTONICO Con la visita realizada a las determinadas oficinas donde se encuentra la red a corregir se ha recopilado informacién, con la novedad que la instalacién esté totalmente en desorden: no existe regulador de voltaje, cable UTP por el piso, no existen canaletas, switch en el piso. Todo esto mostrando un mal aspecto para los departamentos mencionados. Reconociendo que Jos equipos funcionan correctamente sin inconvenientes.Arquitectura topol6gica a utilizar Es una de las estructuras conocidas llamada topologia " estrella’; en el cual los equipos se van @ conectar a un switches mediante un cable UTP Cat5 con conectores respectivos (RJ45), el switche es un emisor-receptor de datos que va a transferirlos de un equipo a otro, de manera que se conoce en Ia oficina hay cuatro PCs, y este goza de varios puertos para poder conectar. Disefio de la instalacién a cumplir La primera observacién que se va obtener, es un plano vista aérea de las oficinas donde se va a realizar la instalacién de red tomando en cuenta la ubicacién de los ordenadores y distribucién del cableado. > cable ute > Coneetor base 3 DISEMO A CUMPLIR Dentro de esta demostracién podemos observar los siguientes puntos: Las laptops van a funcionar con el Wifi El cable UTP va presentar forma de “U” El cable UTP va estar instalado por medio de las canaletas. El cable UTP va estar conectado directamente al switch.El Router va a ser ubicado en la oficina de la secretaria junto al switchy regulador de voltaje. Los conectores base van a estar cerca de los ordenadores y van a utilizar latiguillos PLANO ARQUITECTONICO MEJORADO. ‘4 PLANO MEIORADO MAQUETA ESTRUCTURADA DE LAS OFICINAS DEL INSTITUTO TECNOLOGICO. LOS ANDES 2.8 Que es una red: Conjunto de dispositivos interconectados entre si a través de un medio, que intercambian informacién y comparten recursos. Bésicamente, la comunicacién dentro de una red informatica es un proceso en el que existen dos roles bien definidos para los dispositivos conectados, emisor y receptor, que se van asumiendo y alternando en distintos instantes de tiempo. Redes informiticas REDES DE COMPUTADORAS Existen tres clasese Estacion de trabajo Estacion de crabajo HUB 0 SWITCH Estacién de wabajo Estacién de wabajo 2.11 Esquema a realizar: Esta maqueta se va a disefiar de acuerdo a los datos obtenidos durante el estudio que se realiz6 a las oficinas antes mencionadas, utilizando cada material dispensable para lograr el objetivo propuesto El bosquejo indicado debe presentar los mismos beneficios de uso para lograr la satisfaccion del usuario. Herramientas técnicos 150° 65 vara realzarios maquets Estanos va permite pncharlor conectores a5 .— =Materiales técnicos peoareat Usiizaromor cable utp, CATS, de® ea [Estanos va permitieponchar lor ‘conectores as nn Ea -:- pectin i sa) i otros Tablero,regletas,taladro,torillos Pasos a seguir para la realizacién de la maqueta. Paso 1: Se empez6 tomando medidas de la maqueta para ir ubicando los cajetines y canaletas, para asi quede todo centralizado y organizado. Fuente de imagen (Movil) Sr Omar TorresPaso 2: Colocando cajetines a la maqueta: Fuente de imagen (Mévil) Sr Omar Torres Paso3: Finalizacién de colocacién de base de los cajetines. Fuente de imagen (Movil) Sr Omar TorresPasod: Colocar las canaletas de cajetin a cajetin. Fuente de imagen (Mévil) St Omar Torres PasoS: Finalizacién de colocar las canaletas: Fuente de imagen (Movil) Sr Omar TorresPaso6: Medicién de orificio para la tapa del cajetin para poder introducir la canaleta, Fuente de imagen (Mévil) St Omar Torres Paso 7: Cortar la abertura de la tapa del cajetin. Fuente de imagen (Mévil) Sr Omar TorresPaso 8: Colocar los cajetines ya con el orificio de ingreso a la canalleta. Fuente de imagen (Mévil) Sr Omar Torres Paso 9: Medicién de cableado de todos los puntos de red, uno por cada punto ya que vamos a realizar la topologia tipo estrella. Fuente de imagen (Movil) Sr Omar TorresPasol0: ‘Tapar las canaletas con el cableado ya pasado para cada punto, a WMINt ine Fuente de imagen (Mé6vil) Sr Omar Torres Pasol 1: Empezar a ponchar cada uno de los conectores de red de cada punto Fuente de imagen (Mévil) Sr Omar Torres» Paso 12: > > Ponchado de conectores 1345 > > » > » > » > Fuente de imagen (Mévil) Sr Omar Torres Pasol3: Esquema de la maqueta ya con todo realizado. Fuente de imagen (Movil) Sr Omar Torresee ee ee ee ee Pasol4: ‘Maqueta ya culminada, por los estudiantes de cuarto semestre informatica. Fuente de imagen (Mévil) Sr Omar Torres Esquema en cisco packet tracer de la maqueta Autor de imagen Sr Freddy LoorFITTVUG wwvuvuvuuv" 3. RESUMEN Es el estudio que comprende el andlisis y gestién de sistemas Ilevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revision exhaustiva de las estaciones de trabajo, redes de comunicaciones 0 servidores. Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberdn establecer medidas preventivas de refuerzo y/o correceién siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad. Las auditorias de seguridad de sistemas informaticos permiten conocer en el momento de su realizacién cual es la situacién exacta de sus activos de informacién en cuanto a proteccién, control y medidas de seguridad. En la auditoria se verifica la seguridad en la autenticidad, confidencialidad, integridad, disponibilidad y auditabilidad de la informacién tratada por los sistemas. 4. CONCLUSION + Se profundizo sobre cual es la informacién que el auditor requiere para realizar este tipo de trabajo y con qué técnicas y herramientas 1a organizacién protege su informacién, que controles se realiza al evaluar la seguridad del software de aplicacién, y los generales. % El informe de auditoria tiene que estar basado en una metodologia, misma que debe estar soportada por mejores pricticas administrativas y tecnologias. La informacion y observaciones vertidos en el informe deben contener un sustento y ‘no pueden ser en ningiin caso subjetivos. 5. RECOMENDACION + Realizar una periédicamente auditorias dentro de las empresas para localizar los posibles problemas que estén presentes. ‘4 Tncrementar nuevas técnicas de sondeos en los empleados y clientes.VBVVVVVVVNVV9VVVV~VBTVT ee ~-LS ~wvvvevrswvuvusuNg % Adguirir equipos de Ultima tecnologia para tener mejores resultados al momento de realizar una auditoria, * Capacitar constantemente a los empleados para brindar mejores y eficientes servicios dentro y fuera de la empresa,Yoo wuvuwvwvewwrwrw- ~~oo -79990000090 6. BIBLIOGRAFIA D, D. W. (2012). TARINGA. Recuperado el 10 de 02 de 2015, de http://www taringa.net/posts/info/7765921/Auditoria-en-Sistemas-de-Informacion.html ECHENIGUE, Garcia Jose Antonio. (2010). auditoria en Informatica. Recuperado el 10 de 02 de 2015, de ECHENIQUE, Gareia José Antonio. Auditoria en Informatica, Edit, Me Graw- Hill. 2001.2" Edicion JAMES; Luis Duran. (27 de 02 de 2013). taringa. Recuperado el 11 de 02 de 2015, de http://auditoria-informatica-en-rt.blogspot.com/ rincondelvago. (28 de 11 de 2000). Recuperado el 11 de 02 de 2015, de http://html.rincondelvago.com/auditoria-de-sistemas-informaticos. html| cee guwrvwr~- ) )