Informe Final PIRAMIDE Mas Imagenes

TRABAJO FINAL DE AUDITORIA

OBSERVACION: Al final de la explosión se presento en el proyector como quedo el

DATA CENTER DE PIRAMIDE después de la auditoria realizada, el profesor le

gusto fuimos el único grupo que lo hizo

- EL PROFESOR NOS DIO +2 ptos extra por que los grupos anteriores ni los

posteriores presentaron el trabajo, fuimos el único grupo en presentar el trabajo en

la fecha indicada.

- Con respecto a las OBSERVCIONES

1. La dirección de informática y … : Me puso de nota 15, las recomendaciones

estaban mal redactadas así que en el profe me dijo que no me guiara de lo que se

había impreso (el profesor lee el trabajo mientras se expone) y que diera mis

propias recomendaciones, lo hice y al profesor estuvo de acuerdo por que las dije

correctamente. Es mi área entonces no tuve problema en eso; mientras se expone si

un compañero se equivoca el profesor pregunta si alguien del grupo puede corregir

y/o ayudar al compañero que expone, lo hice y me subió un punto mas; al final

obtuve 18 ;)

2. La dirección de sistemas no cuenta con un plan de seguridad… : la nota fue

10; pero no porque este mal la observación si no por que mi amiga se puso

nerviosa; el profesor dijo que la exposición de ese punto no era la misma que el

informe en su totalidad, le recomendó leer y profundizar mas. Nota final 12

3. El área de sistemas no cuenta con optimas políticas … : la nota fue 14, esta

bien hecho, mi amigo Cesar aparte de las recomendaciones realizadas en el

informe aumento, mientras exponía, sobre la seguridad que ofrece implementar

software libre, es su campo, lo hizo muy bien, el profesor le dio 1 pto mas por

ayudar a uno de nuestros compañeros, al final obtuvo 17. Bien!!

4. La dirección de informática de sistemas de ladrillos pirámide, no cuenta

con estándares de programación … : Que se puede decir de mi gran amigo Juca

este punto no estuvo bien redactado, pero como es un genio, expuso y hablo todo

con respecto a la programación que es su campo, y la seguridad que implicaba toda

la parte de la misma, el profesor le puso 14 por lo bien expuesto, pero dijo que

todo lo que expuso no estaba en el informe; Juca es un genio. Nota final 16.

Espero haberte ayudado… your friend Ronald ;)

Universidad Inca Garcilaso Auditoria Informática De la Vega

2

UNIVERSIDAD INCA GARCILASO DE LA VEGA

FACULTAD DE INGENIERIA DE SISTEMAS, CÓMPUTO Y

TELECOMUNICACIONES

AUDITORIA INFORMATICA

EMPRESA: CERAMICOS PERUANOS S.A –

LADRILLOS PIRAMIDES

INTEGRANTES:

Carbonel Honor, Juan Carlos

Díaz Caruhamaca, Ronald

Merino Palomino, Stephanny

Montoya Quispe, César

DOCENTE: Ing. Rodríguez Sulca, Juan Carlos

CICLO: X

2011


3

INDICE

I. INTRODUCCION

1. Origen del Examen................................................ pág. 03

2. Naturaleza y Objetivo del Examen........................ pág. 03

3. Alcance del Examen.............................................. pág. 03

4. Antecedentes y Base Legal.................................... pág. 04

5. Comunicación de Hallazgos.................................. pág. 04

II. OBSERVACIONES

IV. RECOMENDACIONES

V. ANEXOS


4

INFORME DE AUDITORIA

I. INTRODUCCION

1. ORIGEN DEL EXAMEN

El Examen Especial sobre la Seguridad Informática; cableado estructurado, servidores y

conectividad del centro de cómputo, es una acción de control programada, que se

efectúa en mérito a la Directiva Nº 00142-2011-CP/GSI de fecha 24 de Abril de.2011,

emitido por la Gerencia de Control de Sistemas Informáticos. A través del cual se hace

de conocimiento la existencia de la acción de control "Verificación de la Seguridad

Informática en el DataCenter-Cableado estructurado, servidores y conectividad", por lo

cual se comunica al Departamento de Auditoria de Sistemas, la programación de la

acción de control, registrándose en el Cronograma de Actividades con el código N° 2-

2485-2011-264, del Plan Anual de Control 2011.

2. NATURALEZA Y OBJETIVO DEL EXAMEN

La presente acción de control constituye un Examen Especial sobre la Seguridad

Informática del Datacenter, de la Empresa CERÁMICOS PERUANNOS S.A., por el

periodo comprendido entre el 10 al 20 de Mayo del 2011, teniendo en cuenta los

aspectos críticos de la seguridad de la Información.

Presentar el resultado del examen especial a la seguridad de las tecnologías de

información que soportan los procesos de la Empresa CERAMICOS PERUANOS S.A.,

lo cual posibilitará comunicar al titular de la entidad los riesgos detectados con la

finalidad de contribuir con la gestión de los recursos tecnológicos.

Los objetivos del Examen Especial son los siguientes:

a. Determinar las conexiones a los servidores, el cableado estructurado y la

conectividad en el DataCenter, para verificar si se realizó de acuerdo a la normativa

vigente y a las Especificaciones técnicas y de seguridad requeridas.

b. Verificar el cableado de data teniendo en consideración el Estándar TIA/ 568 B de

tal manera que se garantice un rendimiento aceptable en la transferencia de

información.

c. Verificar la conectividad del Datacenter teniendo en cuenta el estándar TIA 942.

d. Evaluar los servidores (UTM – ASTERISK, etc.) para determinar el grado de

confiabilidad para la prestación de los servicios Internet a la red de Ladrillos

Pirámides.

e. Evaluar los servidores para determinar el grado de confiabilidad para la prestación

de los diversos servicios informáticos (correo, base de datos, etc.).

3. ALCANCE DEL EXAMEN

El examen especial se llevo acabo de conformidad con la Directiva Nº 00142-2011-

CP/GSI y se efectuó del 10 al 20 de Mayo del 2011, comprendiendo la revisión de los

documentos que sustentan la seguridad informática, así como las pruebas necesarias


5

para verificar la funcionalidad, operatividad y seguridad informática de las conexiones

de datos, servidores y conectividad en el Datacenter, en concordancia con las

especificaciones técnicas requeridas por el área usuaria, a fin de determinar que en su

elaboración se haya cubierto todos los puntos necesarios que permitan una correcta y

efectiva ejecución del mismo.

4. ANTECEDENTES Y BASE LEGAL

LADRILLOS PIRÁMIDE fue creado el 14 de abril de 1970, iniciando sus actividades

comerciales el 15 de octubre de 1972. Es una empresa privada con capitales 100%

peruanos, iniciando sus actividades hace 38 años, dedicándose a la fabricación y

comercialización de ladrillos de arcilla.

Cuenta con una planta modelo, en una extensión de 34 hectáreas, ubicada en la ex

hacienda San Lorenzo, distrito de Carabayllo. CEPERSA participa en el desarrollo

nacional; creando puestos de trabajo directos a 422 familias e indirectamente lo brinda a

más de 91 familias. Su marca LADRILLOS PIRAMIDE, ha logrado una notable

posición como líderes en el mercado, durante los últimos años obteniendo distinciones

internacionales a la calidad.

5. COMUNICACION DE HALLAZGOS

Durante el trabajo de campo se determinaron hallazgos de auditoría, los mismos que

fueron comunicados a los funcionarios y servidores responsables, dándoles oportunidad

de ejercer su derecho a réplica, por lo que sus comentarios fueron evaluados y

considerados en el presente informe.

II. OBSERVACIONES

Como resultado del Examen Especial sobre Seguridad Informática, realizado a la

empresa CERAMICOS PERUANOS S.A., se han determinado las observaciones

siguientes:

1. LA DIRECCIÓN DE INFORMATICA Y SISTEMAS DE CERAMICOS

PERUANOS, NO CUENTA CON STANDARES DE CABLEADO Y

ESTRUCTURADO EN LAS DIFERENTES AREAS DEL DATACENTER,

SITUACION QUE EXPONE A UN RIESGO INMINENTE EN EL

FUNCIONAMIENTO DEL AREA Y DE LOS SERVIDORES.

Condición

En la revisión In Situ realizada el 10 de Mayo del 2011 al Área de Sistemas de la

Empresa CERAMICOS PERUANOS S.A., se encontró que no se cumplía con los

estándares adecuados de cableado estructurado para el DataCenter

En el área de sistemas los servidores se encontraban dispersos en el piso del ambiente,

sin gabinetes, solamente contaban con un switch que alimentaba a toda la planta de la

empresa dentro del cual se encontraba el Área de Sistemas.


6

Además, los trabajadores laboran en el mismo ambiente, encontrándose el cableado al

alcance de personas no autorizadas y disperso sin ningún orden. (Ver Anexo 01)

Criterio

Lo expuesto transgrede lo indicado en las normas internacionales basados en los

“Objetivos de Control para la información y tecnologías relacionadas-COBIT”, Edición

4.1 publicada en el año 2009, donde se menciona:

Dominio Adquirir e Implementar

AI3 Adquirir y Mantener Infraestructura Tecnológica

AI3.1 Plan de Adquisición de Infraestructura Tecnológica

“Generar un plan para adquirir, Implementar y mantener la infraestructura

tecnológica que satisfaga los requerimientos establecidos funcionales y técnicos

del negocio, y que esté de acuerdo con la dirección tecnológica de la

organización. El plan debe considerar extensiones futuras para adiciones de

capacidad, costos de transición, riesgos tecnológicos y vida útil de la inversión

para actualizaciones de tecnología. Evaluar los costos de complejidad y la

viabilidad comercial del proveedor y el producto al añadir nueva capacidad

técnica. “

AI3.2 Protección y Disponibilidad del Recurso de Infraestructura

“Integración y mantenimiento del hardware y del software de la infraestructura

para proteger los recursos y garantizar su disponibilidad e integridad. Se deben

definir y comprender claramente las responsabilidades al utilizar componentes

de infraestructura sensitivos por todos aquellos que desarrollan e integran los

componentes de infraestructura. Se debe monitorear y evaluar su uso. “

AI3.3 Mantenimiento de la Infraestructura

“Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y

garantizar que se controlan los cambios, de acuerdo con el procedimiento de

administración de cambios de la organización. Incluir una revisión periódica

contra las necesidades del negocio, administración de parches y estrategias de

actualización, riesgos, evaluación de vulnerabilidades y requerimientos de

seguridad.”

AI3.4 Ambiente de Prueba de Factibilidad

“Establecer el ambiente de desarrollo y pruebas para soportar la efectividad y

eficiencia de las pruebas de factibilidad e integración de aplicaciones e

infraestructura, en las primeras fases del proceso de adquisición y desarrollo.

Hay que considerar la funcionalidad, la configuración de hardware y software,

pruebas de integración y desempeño, migración entre ambientes, control de la

versiones, datos y herramientas de prueba y seguridad“.

Dominio Monitorear y Evaluar

ME1 Monitorear y Evaluar el Desempeño de TI


7

ME1.3 Método de Monitoreo

“Garantizar que el proceso de monitoreo implante un método (Ej. Balanced

Scorecard), que brinde una visión sucinta y desde todos los ángulos del

desempeño de TI y que se adapte al sistema de monitoreo de la empresa“.

ME1.4 Evaluación del Desempeño

“Comparar de forma periódica el desempeño contra las metas, realizar análisis

de la causa raíz e iniciar medidas correctivas para resolver las causas

subyacentes.”

Causa

Lo expuesto se debe a una deficiente gestión en el área de TI con respecto al

mantenimiento del data center por parte del gerente de Sistemas al no haber

implementado políticas de mantenimiento y protección mínimas necesarias de los

recursos de TI de acuerdo a estándares internacionales.

Efecto

Esta situación puede traer como consecuencia en el mal funcionamiento de los equipos

de TI al igual que la perdida de información que se encuentra vulnerable, lo cual

perjudicaría a la empresa en el funcionamiento de sus actividades; obligando a la

empresa a tener que implementar un plan de contingencia perjudicando en sus procesos

internos y externos.

Comunicación de hallazgo

En cumplimiento con lo establecido en la Directiva Nº 00142-2011-CP/GSI, se

comunicó a el Sr. Manuel De La Torre, Director de la OSI, y al Sr. Jorge Gonzales, Jefe

del Área de Soporte de la OSI, mediante los Oficios Nº 004 y Nº 007-2010-CP-GSI

respectivamente, quienes a la fecha no han presentado descargo alguno, por lo que

persiste el hecho observado.

Determinación de responsabilidad

De conformidad con lo establecido en la Primera y Novena Disposición Final del

Decreto Ley Nº 26162 y Ley Nº 27785, respectivamente; se determina Responsabilidad

administrativa al Ing. Manuel De La Torre, Director de la Oficina de Sistemas de

Información, por haber realizado una gestión deficiente e incumplir con sus funciones

inherentes al cargo.

Conclusiones

Como resultado del examen realizado, se concluye:

Que existe una deficiente gestión al no contar con Plan de Adquisición de

Infraestructura tecnológica exponiendo a un riesgo el funcionamiento de los servidores

y del área.


8

Lo expuesto infringe el marco de normas y procedimientos internacionales basados en

los “Objetivos de Control para la información y tecnologías relacionadas-COBIT”,

Edición 4.1 publicada en el año 2009, en el Dominio Adquirir e Implementar, AI3

Adquirir y Mantener Infraestructura Tecnológica - AI3.1 Plan de Adquisición de

Infraestructura Tecnológica, A I3.2 Protección y Disponibilidad del Recurso de

Infraestructura, AI3.3 Mantenimiento de la Infraestructura, AI3.4 Ambiente de

Prueba de Factibilidad; Dominio Monitorear y Evaluar, ME.1 Monitorear y Evaluar el

Desempeño de TI - ME1.3 Método de Monitoreo, ME1.4 Evaluación del Desempeño”.

Recomendaciones

A fin de superar las deficiencias encontradas se sugiere a la Gerencia General, disponga

la implementación de las siguientes recomendaciones tendentes a optimizar la gestión

de la Dirección de Informática y Sistemas:

1. Se observa que en el área de sistemas los servidores se encontraban dispersos en el

piso del ambiente, sin gabinetes que los proteja.

2. La empresa solamente contaba con un switch que alimentaba a toda la planta de la

empresa dentro del cual se encontraba el are de sistemas.

3. Los trabajadores se encontraban laborando en la mismo ambiente de los servidores,

encontrándose el cableado expuesto a riesgos de manipulación.

4. Se observa que los puntos de red se encontraban en muy mal estado; y en algunos

casos estos puntos se encontraban rotos.

2. LA DIRECCION DE SISTEMAS NO CUENTA CON UN PLAN DE

SEGURIDAD DE CABLEADO Y CONEXIONES ELECTRICAS Y PLAN DE

CONTINGENCIA PARA LA IMPLEMENTACION DEL DATACENTER,

EXPONIENDO QUE LOS EQUIPOS SE DESCONECTEN Y DETERIOREN,

CON EL RIESGO DE PERDIDA DE LOS RECURSOS DE INFORMACION E

INFRAESTRUCTURA.

Mediante Carta Nº 026-2011-GSI del 09 Abril de 2011, se informo al Director de la

Oficina de Sistemas de Información, Sr. Manuel De La Torre, la realización de la

Auditoria para que lo comunique a las personas encargadas.

El 10 de Mayo la Comisión de Auditoría, se junto para analizar la información remitida

por el Sr. Manuel De La Torre, y designo un grupo encargado de inspeccionar las

instalaciones del Centro de Cómputo de CERAMICOS PERUANOS S.A., en compañía

del Sr. Manuel De La Torre y el Sr. Gonzalo Mayer, Administrador de Redes.

El grupo encargado inspeccionó las instalaciones, cableado y conexiones eléctricas en

el Datacenter acorde con la documentación brindada, a fin de determinar si se realizo

una correcta implementación.

Condición

- Durante la auditoría realizada a la Oficina de Sistemas, en los ambientes donde se

encuentran los concentradores de red, se evidenció que los cables de red se


9

encontraban sin protección de canaletas, desordenados y sin etiquetas que los

identifiquen.

- Además, se observó que los cables saturaban las conexiones eléctricas, no contaban

con punto a tierra. (Ver Anexo 02)

- El centro de cómputo tenía instalado 2 tableros trifásicos de 100 Amperes cada uno,

los cuales controlaban a través de interruptores termo-magnéticos las siguientes

cargas:

Tablero 01:

Iluminación

Luminarias de pasillo (2 interruptores).

Luminarias interiores del centro de cómputo (4 interruptores).

Aires acondicionados

Minisplits del centro de cómputo (4 interruptores).

Tablero 02 :

Contactos (con voltaje regulado)

Contactos del centro de cómputo (3 interruptores).

Evidenciando que el sistema eléctrico presentaba visiblemente problemas de

sobrecalentamiento en el conductor neutro de ambos tableros, encontrándose que no

tenían una distribución adecuada de la alimentación eléctrica. (Ver Anexo 03)

F

Criterio




Dominio Entregar y Dar Soporte

DS4. Garantizar la Continuidad del Servicio

DS4.2 Planes de Continuidad de TI

“Desarrollar planes de continuidad de TI con base en el marco de trabajo,

diseñado para reducir el impacto de una interrupción mayor de las funciones y

los procesos clave del negocio. Los planes deben considerar requerimientos de

resistencia, procesamiento alternativo, y capacidad de recuperación de todos los

servicios críticos de TI. También deben cubrir los lineamientos de uso, los roles

y responsabilidades, los procedimientos, los procesos de comunicación y el

enfoque de pruebas.”

DS5. Garantizar la Seguridad de los Sistemas

DS5.2 Plan de Seguridad de TI

“Trasladar los requerimientos de negocio, riesgos y cumplimiento dentro de un

plan de seguridad de TI completo, teniendo en consideración la infraestructura

de TI y la cultura de seguridad. Asegurar que el plan esta implementado en las

políticas y procedimientos de seguridad junto con las inversiones apropiadas en


10

los servicios, personal, software y hardware. Comunicar las políticas y

procedimientos de seguridad a los interesados y a los usuarios.”

DS13. Administrar las Operaciones

DS13.5 “Mantenimiento Preventivo del Hardware

Definir e implementar procedimientos para garantizar el mantenimiento

oportuno de la infraestructura para reducir la frecuencia y el impacto de las

fallas o de la disminución del desempeño.”

Causa

Lo expuesto se debe a la falta de cautela por parte de los funcionarios encargados del

Área de Redes, al momento de implementar el sistema de cableado y conexiones

eléctricas en la institución.

Efecto

Las situaciones descritas podrían generar riesgos de pérdida de conexión y deterioro de

los cables que abastecen de datos y de electricidad a los equipos, con la consecuente

interrupción de las operaciones, avería en los recursos tecnológicos, y perdidas de

información.

Comunicación del Hallazgo


comunicó a el Sr. Manuel De La Torre, Director de la OSI, y al Sr. Gonzalo Mayer,

Administrador de Redes de la OSI, mediante los oficios Nº 002 y Nº 009 -2010-CP-GSI

respectivamente, quienes a la fecha no han presentado descargo alguno, por lo que

persiste el hecho observado.

Determinación de Responsabilidad


Decreto Ley Nº 26162 y Ley Nº 27785, respectivamente; se determina Responsabilidad

administrativa al Ing. Manuel De La Torre, Director de la Oficina de Sistemas de

Información, por haber realizado una gestión deficiente e incumplir con sus funciones

inherentes al cargo.

Conclusión

Como resultado del examen realizado, se concluye:

Que existe una deficiente gestión al no contar con Planes de Contingencia, Plan de

Seguridad para el cableado y conexiones eléctricas, poniendo en alto riesgo la perdida

de los recursos de información e infraestructura.

Lo expuesto infringe el marco de normas y procedimientos internacionales basados en

los “Objetivos de Control para la información y tecnologías relacionadas-COBIT”,

Edición 4.1 publicada en el año 2009, en el Dominio Entregar y Dar Soporte, DS4.

Garantizar la Continuidad del Servicio - DS4.2 Planes de Continuidad de TI, DS5.


11

Garantizar la Seguridad de los Sistemas - DS5.2 Plan de Seguridad de TI, DS13.

Administrar las Operaciones - DS13.5 Mantenimiento Preventivo del Hardware.”

Recomendaciones

A fin de superar las deficiencias encontradas se sugiere a la Gerencia General, disponga

la implementación de las siguientes recomendaciones tendentes a optimizar la gestión

de la Dirección de Informática y Sistemas:

1. Implementación de un Plan de Seguridad para la operatividad de los equipos del

centro de cómputo.

2. Implementación de un Plan de Contingencias a fin de salvaguardar los datos y

garantizar la recuperación y continuidad de los servicios en caso de eventualidades.

3. Elaboración de un plan de mantenimiento preventivo para los equipos de cómputo.

3. EL ÁREA DE SISTEMAS NO CUENTA CON OPTIMAS POLITICAS DE

COPIAS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN, ESTO

DEBIDO HA QUE NO SIGUEN NINGUN ESTANDAR DE SEGURIDAD, LO

QUE PODRIA CAUSAR PERDIDA DE LA INFORMACIÓN A GRAN ESCALA.

Condición


Empresa CERAMICOS PERUANOS S.A., se encontró que no se cumplía con las

copias respectivas de seguridad mensual.

Cualquier copia de seguridad se hace cuando el Director de Sistemas, el Sr. Manuel De

La Torre, lo solicite al área para hacer una consulta o entregar unos reportes al Gerente

General de la Empresa. Además que la información pedida por el Director de Sistemas

se guarda en su propio ordenador de la oficina, su laptop personal y en el ordenador de

su casa.

También se observó que la copia de seguridad según las políticas de la Empresa se

implementa una vez al año y esta data se almacena en un servidor Linux q está

conectado a Internet 24x7.

Por último se observó que no se cuenta con un servidor externo a la Empresa donde se

pueda guardar la data salvaguardada por la Empresa.

Criterio




Dominio Entregar y Dar Soporte

DS4. Garantizar la Continuidad del Servicio.

DS4.2. Planes de Continuidad de TI.

“Desarrollar planes de continuidad de TI con base en el marco de trabajo,

diseñado para reducir el impacto de una interrupción mayor de las funciones y

los procesos clave del negocio. Los planes deben considerar requerimientos de


12

resistencia, procesamiento alternativo, y capacidad de recuperación de todos los

servicios críticos de TI. También deben cubrir los lineamientos de uso, los roles

y responsabilidades, los procedimientos, los procesos de comunicación y el

enfoque de pruebas. ”

DS4.5. Pruebas del Plan de Continuidad de TI.

“Probar el plan de continuidad de TI de forma regular para asegurar que los

sistemas de TI pueden ser recuperados de forma efectiva, que las deficiencias

son atendidas y que el plan permanece aplicable. Esto requiere una preparación

cuidadosa, documentación, reporte de los resultados de las pruebas y, de

acuerdo con los resultados, la implementación de un plan de acción. Considerar

el alcance de las pruebas de recuperación en aplicaciones individuales, en

escenarios de pruebas integrados, en pruebas de punta a punta y en pruebas

integradas con el proveedor. ”

DS4.9. Almacenamiento de Respaldo Fuera de las Instalaciones.

“Almacenar fuera de las instalaciones todos los medios de respaldo,

documentación y otros recursos de TI críticos, necesarios para la recuperación

de TI y para los planes de continuidad del negocio. El contenido de los

respaldos a almacenar debe determinarse en conjunto entre los responsables de

los procesos de negocio y el personal de TI. La administración del sitio de

almacenamiento externo a las instalaciones, debe apegarse a la política de

clasificación de datos y a las prácticas de almacenamiento de datos de la

empresa. La gerencia de TI debe asegurar que los acuerdos con sitios externos

sean evaluados periódicamente, al menos una vez por año, respecto al

contenido, a la protección ambiental y a la seguridad. Asegurarse de la

compatibilidad del hardware y del software para poder recuperar los datos

archivados y periódicamente probar y renovar los datos archivados. ”

Causa

Lo expuesto se debe a que existe una deficiente gestión en las copias de Seguridad y por

ende en la gestión del Área de Sistemas por parte del Gerente de Sistemas al no haber

implementado políticas de seguridad tomando como base estándares internacionales de

copias de seguridad en TI, lo que podría permitir perdidas de la información vitales para

la empresa.

Efecto

Esta situación puede traer como consecuencia en primer lugar que la información se

encuentre vulnerable a perdida y/o mal uso de esta, lo cual perjudicaría a la empresa

económicamente. Y también conllevaría q la empresa tenga que implementar medidas

de recuperación de la información causando demora en los procesos internos y externos.

Comunicación del Hallazgo


comunicó el presente hallazgo al Sr. Manuel De La Torre, Director de la OSI, y al Sr.

Gonzalo Mayer, Administrador de Redes de la OSI, mediante los oficio Nº 002-2010-


13

CP-GSI, quien a la fecha no han presentado descargo alguno, por lo que persiste el

hecho observado.



Decreto Ley N° 26162 y Ley N° 27785, respectivamente; se determina Responsabilidad

Administrativa al Ing. Manuel De La Torre, Director de la Oficina de Sistemas de

Información, por haber realizado una gestión deficiente en la seguridad del Área de

Sistemas.

Conclusión

Como resultado de la revisión In situ realizada al Área de Sistemas de la Empresa

CERAMICOS PERUANOS S.A. se concluye:

Se observa que no existe una correcta política de Backups, a parte que no se cuenta con

un lugar óptimo donde almacenar los Backups.

Lo expuesto inflige el Marco de Control COBIT “Objetivos de Control para la

Información y Tecnología afines – COBIT”. Edición 4.1 en el Dominio de Entregar y

Dar Soporte DS4 Garantizar la Continuidad del Servicio - DS4.2. Planes de

Continuidad de TI - DS4.5. Pruebas del Plan de Continuidad de TI - DS4.9.

Almacenamiento de Respaldo Fuera de las Instalaciones.”

Recomendaciones

A fin de superar las deficiencias encontradas durante el presente examen, se sugiere al

Gerente General disponga la implementación de las recomendaciones tendentes a

optimizar la gestión del área de Tecnología de Información, a fin de que:

Elabore e implemente medidas de copias de seguridad e implemente un lugar óptimo

donde almacenarlas, es recomendable que se brinde las medidas de seguridad necesarias

para evitar perdida o mala manipulación de los backups e/o información de la Empresa.

4. LA DIRECCIÓN DE INFORMATICA Y SISTEMAS DE LADRILLOS

PIRAMIDE, NO CUENTA CON ESTANDARES DE PROGRAMACION EN EL

DESARROLLO DE LOS APLICATIVOS QUE DARAN SOPORTE A LAS

DIFERENTES AREAS, SITUACION QUE EXPONE A MULTIPLES ERRORES

EN EL TEST Y EN LA APLICACIÓN EN VIVO. TOMANDO DEMASIADO

TIEMPO EN PODER SER UBICADOS DICHOS ERRORES.

Condición


Empresa CERAMICOS PERUANOS S.A., se encontró que no contaba con un

estándar apropiado en el código de programación. Dificultando a otros

programadores el manejo y entendimiento del código fuente. (Anexo 04)


14

Criterio

Dominio Adquirir e Implementar

AI2 Adquirir y mantener software aplicativo

AI2 2.4 Seguridad y disponibilidad de las aplicaciones.

“Abordar la seguridad de las aplicaciones y los requerimientos de

disponibilidad en respuesta a los riesgos identificados y en línea la clasificación

de datos, la arquitectura de la información, la arquitectura de seguridad de la

información y la tolerancia a riesgos la organización.”

AI2 2.7 Desarrollo de software aplicativo.

“Garantizar que la funcionalidad de automática de desarrollo y documentación,

los requerimientos de calidad y estándares de aprobación. Asegurar que todos

los aspectos legales y contractuales se identifican y direccionan para el

software aplicativo desarrollado por terceros.”

AI2 2.8 Aseguramiento de la calidad de Software.

“Desarrollar, Implementar los recursos y ejecutar un plan de aseguramiento de

calidad del software, para obtener la calidad que se especifica en la definición

de los requerimientos y en las políticas y procedimientos de calidad de la

organización.”

AI2 2.9 Administración de los requerimientos de aplicaciones.

“Seguir el estado de los requerimientos individuales (incluyendo todos los

requerimientos rechazados) durante el diseño, desarrollo e implementación, y

aprobar los cambios a los requerimientos a través de un proceso de gestión de

cambios establecido.”

AI2 2.10 Mantenimiento de software aplicativo.

“Desarrollar una estrategia y un plan para el mantenimiento de aplicaciones de

software.”

Causa

Lo expuesto se debe a una deficiente gestión por parte de los funcionarios encargados

del área de desarrollo de software al no contar con las políticas mínimas necesarias para

dar inicio a un desarrollo de software.

Efecto

Se debe de exponer los riesgos a los que está expuesto las operaciones al mantener una

condición como la encontrada, si son hechos pasados que han ocasionado alguna

pérdida para la empresa, se debe de indicar cuáles fueron estas pérdidas.


15

En caso de cortes de fluido eléctrico la situación descrita interrumpiría las operaciones y

ocasionaría daños en los servidores, dispositivos de conectividad y computadoras como

resultado de las variaciones bruscas en la intensidad del fluido, al momento del corte y

de la restauración del mismo.

Comunicación de Hallazgos


comunicó el presente hallazgo al Sr. Manuel De La Torre, Director de la OSI, y al Sr.

Carlos Quispe, Jefe del Área de Desarrollo de la OSI, mediante los oficio Nº 007-2010-

CP-GSI, quien a la fecha no han presentado descargo alguno, por lo que persiste el

hecho observado.



Decreto Ley N° 26162 y Ley N° 27785, respectivamente; se determina Responsabilidad

Administrativa al Ing. Manuel De La Torre, Director de la Oficina de Sistemas de

Información, por haber realizado una gestión deficiente en la seguridad del Área de

Sistemas.

Conclusiones

Como resultado de la revisión In situ realizada al Área de Sistemas de la Empresa

CERAMICOS PERUANOS S.A. se concluye:

Que se observa que las cuentas de usuarios del Sistema no cuentan con la totalidad de

políticas de seguridad.

Lo expuesto inflige el Marco de Control COBIT “Objetivos de Control para la

Información y Tecnología afines – COBIT”. Edición 4.1

Recomendaciones

A fin de superar las deficiencias encontradas durante el presente examen, se sugiere al

Gerente General disponga la implementación de las recomendaciones tendentes a

optimizar la gestión del área de Tecnología de Información:

- La adopción de un estándar de programación y la realización de un plan de pruebas

y seguimiento de proyecto para la reducción de los errores y el fácil seguimiento de

los mismos. También la adopción de un metodología de desarrollo tal como SCRUM

el cual agilizara tanto la comunicación entre el equipo de desarrollo como la

eficiencia del mismo.

III. RECOMENDACIONES

Del Examen Especial efectuado sobre la Seguridad Informática del DataCenter a la Empresa Cerámicos Peruanos S.A., se formulan las recomendaciones siguientes:


16

- Dentro de los alcances de Examen Especial efectuado sobre la Seguridad

Informática del DataCenter a la Empresa Cerámicos Peruanos S.A., se recomienda comunicar a la entidad, las observaciones contenidas en el presente informe, a fin

de que se implementen las acciones que correspondan en la brevedad posible.

- Disponer que se adopten las medidas pertinentes, a fin de dar cumplimiento a la normativa considerada en las observaciones del presente informe

IV. ANEXOS

.


17

ANEXO 01


18

ANEXO 02


19

ANEXO 03


20

ANEXO 04

- Sin estándar de programación (- Orden )

- Mezcla de código (java script + php)


21

PRESENTADO EN EL PROYECTOR

CERAMICOS PERUANOS S.A.

• DATA CENTER E INFRAESTRUCTURA DE RED

Cableado cat 6, y el calbeado ah sido hecho siendo direccionados mediante cables, se le

implemento serviodores con gabinetes, piso técnico aire acondicionado poso a tierra y es un

lugar apartado del área de sistemas

ANTES

En el área de sistemas los servidores se encontraban dispersos en el piso del ambiente, sin

gabinetes, solamente contaba con un swtich que alimentaba a toda la planta de la empresa

dentro del cual se encontraba el are de sistemas, los trabajadores laboran en la mismo,

encontrándose el cableado disperso sin ningún orden

-Servidores en el piso

-puntos de red estaban rotos

-gabinetes abiertos

- loa switch no estaban en un gabinete

-los servidores no estaban en un ambiente acondiciona

-tenían switch de mala cálida y antiguos

-no tenían punto a tierra

-ups ubicados en el piso

-no tenían un control adecuado de la alimentación eléctrica tanto para los servidores como

para los ups

-el cableado de red en muy mal estado

-no tenían todos los servicios centralizados

-falta de mantenimiento a toda el área.


22


23

CENTRO DE TRANSMICION DE DATOS


24


25


26


27


28


29


30

AREA DE GERENCIA Y FINANZAS


31

INFRA ESTRUCUTRA PARA LOGISTICA, MANTENIMIENTO, ALMACEN Y PROYECTOS


32


33

Informe Final PIRAMIDE Mas Imagenes

Documents

Transcript of Informe Final PIRAMIDE Mas Imagenes