Practicas pre profesionales auditoria de redes
-
Upload
toli-rozas-cordova -
Category
Internet
-
view
379 -
download
1
Transcript of Practicas pre profesionales auditoria de redes
UNIVERSIDAD TECNOLÓGICA
DE LOS ANDES
FACULTAD DE INGENIERÍA
CARRERA PROFESIONAL DE INGENIERÍA DE
SISTEMAS E INFORMÁTICA
AUDITORIA DE LA RED INFORMATICA
C.S. PUEBLO JOVEN
INFORME DE
PRACTICAS PRE-PROFESIONALES
ASESOR:
ING. YURI ARGAMONTE HUAMANI
PRESENTADO POR:
ANATOLY ROZAS CORDOVA
ABANCAY – PERU
2014
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 1
DEDICATORIA
El presente trabajo está dedicado
principalmente a Dios, quien está
siempre con nosotros y nos dio la
oportunidad de seguir esta carrera.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 2
INDICE
Introducción...............................................5
Capitulo I.- Generalidades.................................7
1. Capítulo I..............................................8 1.1. Datos Generales de la Institución...............8
1.1.1. Razón Social..............................8
1.1.2. Ubicación.................................8
1.2. Naturaleza......................................8
1.2.1. Tipo de Institución.... ..................8
1.2.2. Dispositivos legales......................8
1.3. Estructura orgánica............................10
1.3.1. Organigrama Estructural..................10
1.4. Descripción de la Institución..................11
1.4.1. Visión...................................11
1.4.2. Misión...................................11
1.5. Objetivos Estratégicos.........................12
1.6. Objetivos Generales y Específicos..............13
1.6.1. Objetivo General.........................13
1.6.2. Objetivo Especifico......................13
Capitulo II.- Marco Teórico...............................15
2. Capítulo II............................................16 2.1. Marco Teórico..................................16
2.1.1. Red Informática...........................16
2.1.2. Funcionamiento y Gestión de las Redes.....17
2.1.3. Servicios de Red..........................19
2.1.4. Equipos de Red............................24
2.1.5. Estándar para el Cableado de
Telecomunicaciones (TIA/EIA 568-B).......29
2.1.6. Protocolos de Red.........................31
Capitulo III.- Auditoria de la Red Informática a la
Institución...............................................35
3. Capítulo III 3.1. Auditoria de la Red Informática aplicada al
Centro de Salud Pueblo Joven...................36
I. Introducción..............................36
II. Alcance de la Auditoria Informática.......38
2.1. Organigrama..........................38
2.1. Áreas Funcionales de la Organización........................39
2.3. Relaciones Jerárquicas y Funcionales
entre Órganos de la Organización....39
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 3
2.4. Número de Puestos de Trabajo.............................40
III. Objetivos de la Auditoria a la Red Informática..42 IV. Planeación de la Auditoria Informática..........43
4.1 Fases de la Auditoria Informática.........43
4.2 Evaluación de los sistemas de Acuerdo al
Riesgo....................................44
4.3 Investigación Preliminar..................45
4.4 Personal Participante.....................46
V. Técnicas y herramientas de la auditoria
informática.....................................47
5.1 Verificación Ocular.......................47
5.2 Verificación Verbal.......................48
5.3 Verificación Documental...................49
5.4 Verificación Física.......................50
5.5 Verificación mediante herramientas de
computación...............................50
VI. Técnicas de trabajo.............................51
6.1 Análisis de la información recabada
del auditado..............................51
6.2 Análisis de la información propia.........51
6.3 Cruzamiento de las informaciones
Anteriores................................52
6.4 Entrevistas...............................52
6.5 Cuestionarios.............................52
VII. Herramientas....................................52
7.1 Cuestionario general
Inicial..................................52
VIII. Estudio Inicial del Entorno que se Auditará........................................53
8.1 Situación Geográfica de los Sistemas de
Software...................................53
8.2 Inventario de Hardware y Software..........53
8.3 Comunicación y Redes de Comunicación.......54
IX. Determinación de los Recursos Necesarios para
Realizar la Auditoria...........................55
9.1 Recursos Materiales. 9.1.1 Recursos Materiales Software.......55 9.1.2 Recursos Materiales hardware.......55
9.2 Recursos Humanos.........................55 9.3 Situación Presupuestal y Financiera.......45
9.3.1 Presupuestos.......................56
Capítulo VI.- Técnicas y Herramientas de la Auditoria
Informática.................................57
X. Capitulo IV......................................58
10.1 Auditoria Física..........................58
a) Objetivos. b) Alcance c) Hallazgos Potenciales. d) Conclusiones.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 4
e) Recomendaciones 10.2 Auditoria de la Red Física................62
a) Objetivos. b) Alcance c) Hallazgos Potenciales. d) Conclusiones. e) Recomendaciones
10.3 Auditoria de la Red Lógica................67
a) Objetivos. b) Alcance c) Hallazgos Potenciales. d) Conclusiones. e) Recomendaciones
10.4 Auditoria a la Administracion de la red...73
a) Objetivos. b) Alcance c) Hallazgos Potenciales. d) Conclusiones. e) Recomendaciones
10.5 Auditoria a la Seguridad Informática......78
a) Objetivos. b) Alcance c) Hallazgos Potenciales. d) Conclusiones. e) Recomendaciones
Capitulo V.- Actividades Realizadas.......................83
XI. Capítulo V.......................................84
11.1 Actividades realizadas en el periodo de
prácticas................................84
ANEXOS....................................................85
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 5
INTRODUCCION
En la actualidad la auditoria es la parte administrativa que
representa el control de las medidas establecidas, auditoria
es su acepción más amplia y significativa verificar que la
información financiera. Administrativa y operacional que se
genera es confiable veraz y oportuna.
El manejo de información a través de las redes tecnológicas
comunicacionales se ha convertido en factor esencial para la
toma de decisiones en cual esperamos que se convierta en un
instrumento rápido y practico que permita conocer la
situación del proceso de salud-enfermedad del Centro De
Salud Pueblo Joven Micro Red Centenario.
Se realiza la presente Auditoria de la Red Informática al
C.S. Pueblo Joven, con la finalidad de mejorar y contribuir
la oportunidad de registros de información debido al
constante cambio en que nos encontramos y al avance
tecnológico en el que estamos inmersos.
Las Instituciones han visto por conveniente poner más
énfasis en las tecnologías de información con el fin de
mejorar las diferentes de las áreas involucradas el mismo
que ayudara optimizar sus procedimientos, costos y tiempos,
controles y sobre todo la seguridad de la información que
maneja.
Las Instituciones consideran que la información y la
tecnología representan sus activos más importantes para la
toma de decisiones y desempeño en todas sus áreas y
servicios.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 6
Para lograr un buen diseño se debe seguir las
recomendaciones que los estándares brindan, por ello es que
se requiere conocimiento de las diferentes normas, así como
un análisis de su infraestructura.
Con el presente trabajo se pretende realizar una revisión
exhaustiva técnica y especializada al sistema de redes,
considerando la evaluación de los tipos de redes, y textura,
topología, sus protocolos de comunicación, las conexiones,
accesos, privilegios, administración y demás aspectos que
repercuten en su instalación, funcionamiento y
aprovechamiento en el C.S. Pueblo Joven.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 7
CAPITULO I
GENERALIDADES
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 8
1. CAPÍTULO I
1.1. DATOS GENERALES DE LA INSTITUCIÓN
1.1.1. RAZÓN SOCIAL
CENTRO DE SALUD PUEBLO JOVEN
MICRO RED CENTENARIO.
1.1.2. UBICACIÓN
DEPARTAMENTO: APURIMAC.
PROVINCIA: ABANCAY.
DIRECCIÓN: AV. CENTENARIO S/N
VILLA AMPAY.
TELÉFONO: 083-321585.
1.2. NATURALEZA
1.2.1. TIPO DE INSTITUCIÓN
Institución Pública.
1.2.2. DISPOSITIVOS LEGALES
Los centros de salud están regidos por los
principales dispositivos legales:
La constitución política del Perú de
1993.
Ley Bases de Descentralización (Ley Nº
27783).
Ley Orgánica de los Gobiernos Regionales
(Ley Nº 27867.
Ley Marco del Aseguramiento Universal
(Ley Nº 29344).
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 9
Decreto Legislativo N° 584, Ley de
Organización y Funciones del MINSA
(Ministerio de Salud).
Ley N° 26268. Presupuesto del Sector
Público 1994.
Decreto Supremo N° 002-92-SA, que aprueba
el Reglamento de Organización y Funciones
del MINSA.
Decreto Supremo N° 01-94-SA que dispone
la ejecución del programa de
Administración Compartida.
Decreto Supremo N° 038-94-PCM que aprueba
los planes operativos de los Programas de
Focalización del Gasto Social Básico de
Educación, Salud y el Poder Judicial.
R. M. 032-93-PRES que aprueba el
organigrama estructural y ROF de los
Consejos Transitorios de la
Administración Regional.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 10
1.3. ESTRUCTURA ORGÁNICA
1.3.1. ORGANIGRAMA ESTRUCTURAL
CONSEJO DIRECTIVO
JEFATURA
MEDICINA
MEDICINA
MEDICINA
ODONTOLOGIA
ODONTOLOGIA
ODONTOLOGIA
OBSTETRICIA
OBSTETRICI A 1
OBSTETRICIA 2
ENFERMERIA
ENFERMERIA
TECNICAS DE ENFERMERIA
ADULTO
MAYOR
PSICOLOGIA
SANEAMIENTO AMBIENTAL
RECURSOS HUMANOS
ESTADISTICA E INFORMATICA
FARMACIA
LABORATORIO
UNIDAD DE SEGUROS
ADMISION
CONSEJO CONSULTIVO
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 11
1.4. DESCRIPCIÓN DE LA INSTITUCIÓN
El Centro de Salud Pueblo Joven, es parte de la
Micro de Salud Micaela Bastidas conserva la
dependencia de la Dirección Regional de Salud de
Apurímac, desarrolla sus actividades prestaciones
según los lineamientos de la política del sector y
comprometidos con la salud pública de educadores
Sanitarios de la organización interna y de la
población en general. En cumplimiento a la
normatividad el Centro de Salud Pueblo Joven es una
institución dedicada a los servicios y a la atención
de salud básica, primaria y urgente ante situaciones
de salud que deben ser tratadas.
1.4.1. VISIÓN
Somos un Centro de Salud con gerencia moderna,
adecuado para la prestación de servicios
modelos de calidad, debidamente equipada para
la resolución de problemas de salud de su
ámbito, bajo los principios de atención
integral con equidad, eficiencia y calidad.
1.4.2. MISIÓN
Garantizar la salud individual y colectiva de
la población de su ámbito, en forma integral,
con equidad, eficiencia y calidad, con énfasis
en las zonas de riesgos identificadas y
mediante actividades preventivo promocionales
y recuperativas bajo el enfoque de género y
estilos saludables.
1.5. OBJETIVOS ESTRATEGICOS
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 12
El ministerio de Salud ha establecido Lineamientos
de Política del Sector Salud, con resultados a ser
alcanzados por cada una de las instituciones y
dependencias que conforman el Sector Salud.
Reducir la mortalidad materna neonatal.
Reducir la desnutrición crónica en menores de 5
años
Priorizar las intervenciones de prevención de
las enfermedades transmisibles promoviendo
estilos de vida y entornos saludables.
Reducir la mortalidad de las enfermedades
crónicas degenerativas, enfermedades
inmunoprevenibles y aquellas originadas por
factores externos.
Mejora la oferta y calidad del servicio de salud
en beneficio de la población.
Fortalecer el desarrollo y la gestión de los
recursos humanos en salud.
Asegurar el acceso y disponibilidad de
medicamentos de calidad.
Fortalecer el rol de rectoría en los diferentes
niveles de gobierno.
Los Objetivos Estratégicos del Centro de Salud
Pueblo Joven al 2015.
Priorizar las intervenciones de prevención de
las enfermedades.
Fortalecer la oferta y calidad de los servicios
de salud.
Fortalecer el desarrollo y la gestión de los
recursos humanos.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 13
1.6. OBJETIVOS GENERALES Y ESPECIFICOS
1.6.1. OBJETIVO GENERAL
Fortalecer y mejorar las intervenciones
de prevención de las enfermedades y
transmisibles y no trasmisibles,
promoviendo estilo de vida saludables en
la población.
Optimizar y fortalecer la oferta de los
servicios de salud con énfasis en la
mejora continua de la calidad de
atención.
Mejorar las competencias del personal de
salud mediante la implementación de
actividades de capacitación en forma
continua de acuerdo a la demanda y
necesidades del centro de salud.
1.6.2. OBJETIVO ESPECIFICO
Mejorar las intervenciones de prevención
de las enfermedades transmisibles y no
transmisibles promoviendo estilos de vida
y entornos saludables.
competencias del personal de salud
mediante la implementación de actividades
de capacitación en forma continúa de
acuerdo a la demanda y necesidades del
centro de salud.
Mejoramiento de la infraestructura y
equipamiento de los servicios de salud.
Ampliación de cobertura y calidad en la
atención de los servicios de salud.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 14
Implementar las políticas de
desarrollo de los recursos humanos en
el centro de salud.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 15
CAPITULO II
MARCO TEORICO
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 16
2. CAPÍTULO II
2.1. MARCO TEÓRICO
2.1.1. RED INFORMÁTICA
Red informática, es un conjunto de equipos
informáticos conectados por medios físicos y/o
lógicos o cualquier otro método de transporte
de datos, que comparten información,
servicios, etc. Una red de comunicaciones es
un conjunto de medios técnicos que permiten la
comunicación a distancia entre equipos
autónomos.
Normalmente se trata de transmitir datos,
audio y vídeo por ondas electromagnéticas a
través de diversos medios, compartiendo
información, recursos como CD-ROM, impresoras,
grabadoras de DVD y servicios como e-mail,
Chat, conexiones a Internet, juegos, etc.
Podemos clasificar a cualquier red informática
según la direccionalidad de los datos o por
los tipos de transmisión: Red informática
simplex unidireccional, en la que una
computadora transmite y otra recibe. Red
informática half-duplex bidireccionales, en la
que solo una computadora transmite por vez. Y
la Red informática full-duplex, red en la que
ambas computadoras pueden transmitir y recibir
información a la vez.
Una red tiene tres niveles de componentes:
software de aplicaciones, software de red y
hardware de red.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 17
El software de aplicaciones está formado por
programas informáticos que se comunican con
los usuarios de la red y permiten compartir
información (como archivos, gráficos o vídeos)
y recursos (como impresoras o unidades de
disco).
2.1.2. FUNCIONAMIENTO Y GESTIÓN DE LAS REDES
La gestión de red trata acerca de cómo se
controla y vigila el correcto funcionamiento
de todos los equipos informáticos conectados
entre sí con la finalidad de compartir
información y recursos mediante distintos
elementos de conexión. Las redes pueden ser
objeto de acceso ilegal, por lo que los
archivos y recursos deben de protegerse, un
intruso que se introdujera en la red podría
espiar los paquetes enviados por la red o
enviar mensajes ficticios.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 18
En el caso de información sensible el cifrado
de los datos hace que un intruso no pueda leer
los paquetes que lleguen a su poder. La
mayoría de los servidores poseen medida de
seguridad y autentificación para garantizar
que una petición de leer o modificar un
fichero o de utilizar recursos procede de un
usuario legítimo y no de un intruso.
A través de la compartición de información de
una red LAN o Wireless, los usuarios de los
sistemas informáticos de una organización
podrán hacer un mejor uso de los mismos,
mejorando de este modo el rendimiento global
de la organización.
Un centro de gestión de red dispone de tres
tipos principales de recursos.
Métodos de Gestión. Definen las pautas de
comportamiento de los demás componentes del
centro de gestión de red ante determinadas
circunstancias.
Recursos Humanos. Personal encargo del
correcto funcionamiento del centro de gestión
de red.
Herramienta de Apoyo. Herramienta que facilita
las tareas de gestión a los operadores humanos
y posibilitan minimizar el número de estos.
Esta gestión de red es crucial para que un
sistema complejo de ordenadores y recursos
interconectados puedan funcionar y proteger el
ataque de intrusos que desean introducirse en
la red para espiar los paquetes enviados por
este medio enviar mensajes ficticios.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 19
2.1.3. SERVICIOS DE RED
Todos los servicios de red están basados en la
relación Cliente/Servidor. Los servicios de
red es la creación de una red de trabajo en un
ordenador. La finalidad de una red es que los
usuarios de los sistemas informáticos de una
organización puedan hacer un mejor uso de los
mismos mejorando de este modo el rendimiento
global de la organización Así las
organizaciones obtienen una serie de ventajas
del uso de las redes en sus entornos de
trabajo, como pueden ser:
Mayor facilidad de comunicación.
Mejora de la competitividad.
Mejora de la dinámica de grupo.
Reducción del presupuesto para uso de
Software.
Reducción de los costos de proceso por
usuario.
Mejoras en la administración de los
programas.
Mejoras en la integridad de los datos.
Mejora en los tiempos de respuesta.
Flexibilidad en el proceso de datos.
Mayor seguridad para acceder a la
información.
Posibilidad de organizar grupos de
Trabajo.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 20
DHCP: facilita la administración automatizando
la asignación de direcciones IP a los nodos de
la red. Los servidores de autenticación son
otro servicio de red, estos permiten a cada
usuario tener su propia cuenta y todo lo que
hagan con esa cuenta esta registrado bajo su
nombre de usuario.
Para que todo esto sea posible, la red debe
prestar una serie de servicios a sus usuarios,
como son:
Acceso: Los servicios de acceso a la red se
encargan tanto de la verificación de la
identidad del usuario para determinar cuáles
son los recursos de la misma que puede
utilizar, como servicios para permitir la
conexión de usuarios de la red desde lugares
remotos.
Control de acceso: Para el control de acceso,
el usuario debe identificarse conectándose con
un servidor en el cual se autentifica por
medio de un nombre de usuario y una clave de
acceso. Si ambos son correctos, el usuario
puede conectarse a la red.
Acceso remoto: En este caso, la red de la
organización está conectada con redes públicas
que permiten la conexión de estaciones de
trabajo situadas en lugares distantes.
Dependiendo del método utilizado para
establecer la conexión el usuario podrá
acceder a unos u otros recursos.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 21
Ficheros: El servicio de ficheros consiste en
ofrecer a la red grandes capacidades de
almacenamiento para descargar o eliminar los
discos de las estaciones. Esto permite
almacenar tanto aplicaciones como datos en el
servidor, reduciendo los requerimientos de las
estaciones. Los ficheros deben ser cargados en
las estaciones para su uso.
Impresión: Permite compartir impresoras de
alta calidad, capacidad y coste entre
múltiples usuarios, reduciendo así el gasto.
Existen equipos servidores con capacidad de
almacenamiento propio donde se almacenan los
trabajos en espera de impresión, lo cual
permite que los clientes se descarguen de esta
información con más rapidez.
Una variedad de servicio de impresión es la
disponibilidad de servidores de fax, los
cuales ponen al servicio de la red sistemas de
fax para que se puedan enviar éstos desde
cualquier estación. En ciertos casos, es
incluso posible enviar los faxes recibidos por
correo electrónico al destinatario.
Correo: El correo electrónico es la aplicación
de red más utilizada. Permite claras mejoras
en la comunicación frente a otros sistemas.
Por ejemplo, es más cómodo que el teléfono
porque se puede atender al ritmo determinado
por el receptor, no al ritmo de los llamantes.
Además tiene un costo menor para transmitir
iguales cantidades de información. Frente al
correo
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 22
convencional tiene la clara ventaja de la
rapidez.
Información: Los servidores de información
pueden bien servir ficheros en función de sus
contenidos como pueden ser los documentos
hipertexto, como es el caso de esta
presentación. O bien, pueden servir
información dispuesta para su proceso por las
aplicaciones, como es el caso de los
servidores de bases de datos.
Otros: Las redes modernas, con grandes
capacidades de transmisión, permiten
transferir contenidos diferentes de los datos,
como pueden ser imágenes o sonidos. Esto
permite aplicaciones como:
Estaciones integradas (voz y datos).
Telefonía integrada.
Servidores de imágenes.
Videoconferencia de sobremesa.
Redes sociales.
Para la prestación de los servicios de red se
requiere que existan sistemas en la red con
capacidad para actuar como servidores. Los
servidores y servicios de red se basan en los
sistemas operativos de red.
Un sistema operativo de red es un conjunto de
programas que permiten y controlan el uso de
dispositivos de red por múltiples usuarios.
Estos programas interceptan las peticiones de
servicio de los usuarios y las dirigen a los
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 23
equipos servidores adecuados. Por ello, el
sistema operativo de red, le permite a ésta
ofrecer capacidades de multiproceso y
multiusuario. Según la forma de interacción de
los programas en la red, existen dos formas de
arquitectura lógica:
Cliente-servidor: Este es un modelo de proceso
en el que las tareas se reparten entre
programas que se ejecutan en el servidor y
otros en la estación de trabajo del usuario.
En una red cualquier equipo puede ser el
servidor o el cliente. El cliente es la
entidad que solicita la realización de una
tarea, el servidor es quien la realiza en
nombre del cliente. Este es el caso de
aplicaciones de acceso a bases de datos, en
las cuales las estaciones ejecutan las tareas
del interfaz de usuario (pantallas de entrada
de datos o consultas, listados, etc) y el
servidor realiza las actualizaciones y
recuperaciones de datos en la base.
En este tipo de redes, las estaciones no se
comunican entre sí.
Las ventajas de este modelo incluyen:
Incremento en la productividad.
Control o reducción de costos al
compartir recursos.
Facilidad de administración, al
concentrarse el trabajo en los
servidores.
Facilidad de adaptación.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 24
Redes de pares (peer-to-peer): Este modelo
permite la comunicación entre usuarios
(estaciones) directamente sin tener que pasar
por un equipo central para la transferencia.
Las principales ventajas de este modelo son:
Sencillez y facilidad de instalación,
administración y uso.
Flexibilidad. Cualquier estación puede ser
un servidor y puede cambiar de papel, de
proveedor a usuario según los servicios.
2.1.4. EQUIPOS DE RED
1. CONCENTRADORES.
Son equipos que permiten estructurar el
cableado de las redes. La variedad de tipos
y características de estos equipos es muy
grande. En un principio eran solo
concentradores de cableado, pero cada vez
disponen de mayor número de capacidades,
como aislamiento de tramos de red, capacidad
de conmutación de las salidas para aumentar
la capacidad de la red, gestión remota, etc.
La tendencia es a incorporar más funciones
en el concentrador.
Existen concentradores para todo tipo de
medios físicos.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 25
2. NIC/MAU – TARJETA DE RED.
Network Interface Card (Tarjeta de interfaz
de red) o Medium Access Unit (unidad de acceso
al medio). Es el dispositivo que conecta la
estación (ordenador u otro equipo de red) con
el medio físico. Se suele hablar de tarjetas
en el caso de los ordenadores, ya que la
presentación suele ser como una tarjeta de
ampliación de los mismos, diferente de la
placa de CPU, aunque cada vez son más los
equipos que disponen de interfaz de red,
principalmente Ethernet, incorporado.
A veces, es necesario, además de la tarjeta
de red, un transceptor.
Este es un dispositivo que se conecta al
medio físico y a la tarjeta, bien porque no
sea posible la conexión directa (10base5) o
porque el medio sea distinto del que utiliza
la tarjeta.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 26
3. REPETIDORES.
Son equipos que actúan a nivel físico.
Prolongan la longitud de la red uniendo dos
segmentos y amplificando la señal, pero junto
con ella amplifican también el ruido. La red
sigue siendo una sola, con lo cual, siguen
siendo válidas las limitaciones en cuanto al
número de estaciones que pueden compartir el
medio.
4. BRIDGES.
Son equipos que unen dos redes actuando sobre
los protocolos de bajo nivel, en el nivel de
control de acceso al medio.
Solo el tráfico de una red que va dirigido a
la otra atraviesa el dispositivo. Esto permite
a los administradores dividir las redes en
segmentos lógicos, descargando de tráfico las
interconexiones.
Los bridges producen las señales, con lo cual
no se transmite ruido a través de ellos.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 27
5. ROUTERS.
Son equipos de interconexión de redes que
actúan a nivel de los protocolos de red.
Permite utilizar varios sistemas de
interconexión mejorando el rendimiento de la
transmisión entre redes. Su funcionamiento es
más lento que los bridges pero su capacidad es
mayor. Permiten, incluso, enlazar dos redes
basadas en un protocolo, por medio de otra que
utilice un protocolo diferente.
6. GATEWAYS.
Son equipos para interconectar redes con
protocolos y arquitecturas completamente
diferentes a todos los niveles de
comunicación. La traducción de las unidades de
información reduce mucho la velocidad de
transmisión a través de estos equipos.
7. CABLES DE RED (SOLO ETHERNET Y HPNA).
Los cables de red conectan equipos entre sí,
con el hardware relacionado, centradores y
enrutadores.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 28
8. CONECTOR O PLUG RJ-45
Conector de plástico en donde se ubican los 8
hilos del cable UTP siguiendo un código de
colores, Estos plug sirven para conectar los
puertos de las tarjetas de red a los puntos de
red, path panel y a los puertos hub o switch.
9. SERVIDORES DE TERMINALES E IMPRESORAS.
Son equipos que permiten la conexión a la red
de equipos periféricos tanto para la entrada
como para la salida de datos. Estos
dispositivos se ofrecen en la red como
recursos compartidos. Así un terminal
conectado a uno de estos dispositivos puede
establecer sesiones contra varios ordenadores
multiusuario disponibles en la red.
Igualmente, cualquier sistema de la red puede
imprimir en las impresoras conectadas a un
servidor.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 29
2.1.5. ESTÁNDAR PARA EL CABLEADO DE
TELECOMUNICACIONES (TIA/EIA 568-B)
El estándar TIA/EIA568B se desarrolló gracias a
la contribución de más de 60 organizaciones,
incluyendo fabricantes, usuarios finales, y
consultoras. Los trabajos para la
estandarización comenzaron en 1985, cuando la
Asociación para la Industria de las
Comunicaciones y las Computadoras (CCIA)
solicitó a la Alianza de Industrias de
Electrónica (EIA), una organización de
Normalización, que definiera un estándar para
el cableado de sistemas de telecomunicaciones.
EIA acordó el desarrollo de un conjunto de
estándares, y se formó el comité TR-42, con
nueve subcomités para desarrollar los trabajos
de estandarización.
La primera revisión del estándar, TIA/EIA-568-
A.1-1991, se emitió en 1991 y fue actualizada
en 1995. La demanda comercial de sistemas de
cableado aumentó fuertemente en aquel período,
debido a la aparición de los ordenadores
personales y las redes de comunicación de
datos, y a los avances en estas tecnologías. El
desarrollo de cables de pares cruzados de altas
prestaciones y la popularización de los cables
de fibra óptica, conllevaron cambios
importantes en el estándar, que fue sustituido
por el actual conjunto de estándares TIA/EIA-
568-B.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 30
TIA/EIA-568-B intenta definir estándares que
permitirán el diseño e implementación de
sistemas de cableado estructurado para
edificios comerciales y entre edificios en
entornos de campus. El sustrato de los
estándares es campus y define los tipos de
cables, distancias, conectores, arquitecturas,
terminaciones de cables y características de
rendimiento, requisitos de instalación de cable
y métodos de pruebas de los cables instalados.
El estándar principal, el TIA/EIA-568-B.1
define los requisitos generales, mientras que
TIA/EIA-568-B.2 se centra en componentes de
sistemas de cable de pares balanceados y el -
568-B.3 aborda componentes de sistemas de cable
de fibra óptica.
La intención de estos estándares es
proporcionar una serie de prácticas
recomendadas para el diseño e instalación de
sistemas de cableado que soporten una amplia
variedad de los servicios existentes, y la
posibilidad de soportar servicios futuros que
sean diseñados considerando los estándares de
cableado. El estándar pretende cubrir un rango
de vida de más de diez años para los sistemas
de cableado comercial. Este objetivo ha tenido
éxito en su mayor parte, como se evidencia con
la definición de cables de categoría 5 en 1991,
un estándar de cable que satisface la mayoría
de requerimientos para 1000BASE-T, emitido en
1999.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 31
Todos estos documentos acompañan a estándares
relacionados que definen caminos y espacios
comerciales (569-A), cableado residencial (570-
A), estándares de administración (606), tomas
de tierra (607) y cableado exterior (758).
También se puede decir que este intento definir
estándares permitieron determinar, además del
diseño e implementación en sistema de cableado
estructurado, qué cables de par trenzados
utilizar para estructurar conexiones locales.
2.1.6. PROTOCOLOS DE RED
Podemos definir protocolo como el conjunto de
normas que regulan la comunicación
(establecimiento, mantenimiento y cancelación)
entre los distintos componentes de una red
informática.
Los protocolos de red organizan la información
(control de datos) para su transmisión por el
medio físico a través de los protocolos de bajo
nivel.
TCP/IP.
Este no es un protocolo, sino un conjunto de
protocolos, que toma su nombre de los dos más
conocidos: TCP (Transmission Control Protocol,
protocolo de control de transmisión) e IP
(Internet Protocol). Esta familia de protocolos
es la base de la red Internet, la mayor red de
ordenadores del mundo. Por lo cual, se ha
convertido en el más extendido.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 32
IPX/SPX.
Internet Packet eXchange(Intercambio de
Paquetes inter red).
Sequenced Packet eXchange(Intercambio de
Paquetes Secuenciados).
Es el conjunto de protocolos de bajo nivel
utilizados por el sistema operativo de red
Netware de Novell. SPX actúa sobre IPX para
asegurar la entrega de los datos.
DECnet.
Es un protocolo de red propio de Digital
Equipement Corporation (DEC), que se utiliza
para las conexiones en red de los ordenadores y
equipos de esta marca y sus compatibles. Está
muy extendido en el mundo académico.
Uno de sus componentes, LAT (Local Area
Transport, transporte de área local), se
utiliza para conectar periféricos por medio de
la red y tiene una serie de características de
gran utilidad como la asignación de nombres de
servicio a periféricos o los servicios
dedicados.
X.25.
Es un protocolo utilizado principalmente en WAN
y, sobre todo, en las redes públicas de
transmisión de datos. Funciona por conmutación
de paquetes, esto es, que los bloques de datos
contienen información del origen y destino de
los mismos para que la red los pueda entregar
correctamente aunque cada uno circule por un
camino diferente.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 33
AppleTalk.
Este protocolo está incluido en el sistema
operativo del ordenador Apple Macintosh desde
su aparición y permite interconectar
ordenadores y periféricos con gran sencillez
para el usuario, ya que no requiere ningún tipo
de configuración por su parte, el sistema
operativo se encarga de todo. Existen tres
formas básicas de este protocolo:
LocalTalk.
Es la forma original del protocolo. La
comunicación se realiza por uno de los puertos
serie del equipo. La velocidad de transmisión
no es muy rápida pero es adecuada para los
servicios que en principio se requerían de
ella, principalmente compartir impresoras.
Ethertalk.
Es la versión de AppleTalk sobre Ethernet. Esto
aumenta la velocidad de transmisión y facilita
aplicaciones como la transferencia de ficheros,
opera a una velocidad de 10 Mbps, Fast Ethernet
opera a una velocidad de 100 Mbps
Tokentalk.
Es la versión de Appletalk para redes
Tokenring, opera a 4 o 16 Mbps.
NetBEUI.
NetBIOS Extended User Interface (Interfaz de
usuario extendido para NetBIOS). Es la versión
de Microsoft del NetBIOS (Network Basic
Input/Output System, sistema básico de
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 34
entrada/salida de red), que es el sistema de
enlazar el software y el hardware de red en los
PCs. Este protocolo es la base de la red de
Microsoft Windows para Trabajo en Grupo, aunque
netbeui es la mejor elección como protocolo
para la comunicación dentro de una LAN el
problema es que no soporta el enrutamiento de
mensajes hacia otras redes, que deberá hacerse
a través de otros protocolos.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 35
CAPITULO III
AUDITORIA DE LA RED
INFORMATICA A LA INSTITUCION
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 36
3. CAPÍTULO III
3.1. AUDITORIA DE LA RED INFORMATICA APLICADA AL CENTRO
DE SALUD PUEBLO JOVEN.
I. INTRODUCCIÓN.
El presente trabajo hace mención a un informe
detallado sobre el proceso o elaboración de una
Auditoria a la red informática aplicada al Centro
de Salud Pueblo Joven.
Para ello empezamos a conocer los aspectos
generales del Centro de Salud Pueblo Joven,
durante el proceso de la elaboración de la
auditoria a la red informática, verificamos
diferentes aspectos, actividades que se realizan
dentro la institución.
Para la auditoria en si elaboramos un esquema a
seguir damos una amplia gama de procesos de
calidad y selección de información verídica
quienes gracias a la colaboración de nuestra
fuente logramos dar alcance a todos los aspectos
que cumplen con un proceso auditable.
En resumen a este trabajo de Auditoría
Informática, encontramos en primer lugar la
Organización Institucional, especificando el
detalle y formación de nuestra fuente,
seguidamente los Objetivos de la Auditoria
Informática a nuestra fuente en función al primer
aspecto que vista la realidad operacional.
Se ha desarrollado un plan de elaboración de
auditoría en base al proceso del esquema,
encontrando en ello diferentes inquietudes que
describen en pasos para encontrar una real y
consistente información.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 37
Se ha utilizado técnicas y herramientas de
auditoría, estudio del sistema auditable, los
recursos que usamos en función a este proceso, la
auditoria elaborada en todos sus aspectos
informáticos y organizacional, culminando con el
informe general que sustente todo este trabajo
mostrando todas las inquietudes, logros,
beneficios, debilidades y otras razones que
mejoren el proceso informático de la fuente
auditada.
La auditoría una vez culminada nos mostrara o dará
como resultado las diferentes debilidades,
fortalezas y/o carencias que presenta la
institución para de esta forma tener un precedente
de ayuda para la gerencia y el fortalecimiento de
las diversas actividades que se contempla dentro
del marco de la auditoria.
Empezamos este trabajo para mejorar los aspectos
de nuestra fuente auditable y no cuestionar ni
mucho menos debilitar los procesos, actividades y
funciones que poco a poco van mejorando en la
estructura de su funcionalidad como institución.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 38
II. ALCANCE DE LA AUDITORIA INFORMÁTICA.
2.1. ORGANIGRAMA.
CONSEJO DIRECTIVO
JEFATURA
MEDICINAODONTOLOGI
AOBTETRICIA ENFERMERIA
ADULTO MAYOR
SANEAMIENTO AMBIENTAL
RECURSOS HUMANOS
ESTADISTICA E INFORMATICA
FARMACIA
LABORATORIO
UNIDAD DE SEGUROS
ADMISION
CONSEJO CONSULTIVO
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 39
2.2. AREAS FUNCIONALES DE LA ORGANIZACION.
La Estructura Orgánica del Centro de Salud
Pueblo Joven cuenta con órgano normativo y de
fiscalización, órgano de ejecutivos, órgano
de línea y de apoyo
Órgano Normativo y de Fiscalización.
Consejo Directivo.
Órgano Ejecutivo.
Jefe/Gerente
Órgano Línea.
Área de Medicina
Área de Odontología.
Área de Obstetricia.
Área de Enfermería.
Área de Adulto Mayor.
Área de Saneamiento Ambiental.
Órgano Apoyo.
Área de Recursos Humanos.
Área de Farmacia.
Área de Laboratorio.
Área de Admisión
Área de Unidad de Seguros.
Área de Estadística e Informática.
2.3. RELACIONES JERÁRQUICAS Y FUNCIONALES ENTRE
ÓRGANOS DE LA ORGANIZACIÓN.
Las áreas funcionales del Centro de Salud
Pueblo Joven dependen jerárquicamente del
Jefe/Gerente.
Las funciones del Jefe/Gerente del Centro de
Salud Pueblo Joven Centenario son:
Planear
Organizar.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 40
Dirigir
Gestionar.
Administrar.
Ejecutar.
Coordinar.
Evaluar.
Supervisar y control.
Las atenciones que debe de realizar el
Centro de Salud Pueblo Joven en beneficio de
toda la población a costos accesibles de
acuerdo a las posibilidades económicas y de
esta manera mejorar la calidad de vida de
las personas.
2.4. NÚMERO DE PUESTOS DE TRABAJO.
CARGO
ESTRUCTURADO
NUMERO DE
PERSONAS
GERENCIA JEFE/GERENTE 01
RECURSOS HUMANOS JEFE RECURSOS HUMANOS 01
AREA DE MEDICINA
COORDINADOR MEDICO 01
MEDICOS CIRUJANOS 03
AREA ODONTOLOGIA
COORDINADOR
ODONTOLOGO
01
CIRUJANOS
DENTISTAS
02
AREA DE OBSETRICIA
COORDINADOR
OBSTETRA
01
OBSTETRA 04
AREA DE ENFERMERIA
CORDINADOR
ENFERMERIA
01
ENFERMERAS 06
TECNICAS DE
ENFERMERIA.
08
AREA DE ADULTO
COORDINADOR ADULTO
MAYOR
01
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 41
MAYOR PSICOLOGOS 01
AREA
SANEAMIENTO
AMBIENTAL
COORDINADOR
SANEAMIENTO
AMBIENTAL
01
AREA DE FARMACIA
RESPONSABLE DE
FARMACIA QUIMICO
FARMACEUTICO
01
TECNICO EN
FARMACIA
01
AREA DE
LABORATORIO
RESPONSABLE DE
LABORATORIO
BIOLOGO
01
AREA DE ADMISION
RESPONSABLE DE
ADMISION
01
TECNICOS 03
AUXILIARES 04
AREA DE UNIDAD DE
SEGUROS
RESPONSABLE UNIDAD
DE SEGUROS
01
ADMINISTRATIVOS 02
DIGITADORES 02
AREA DE
ESTADISTICA E
INFORMATICA
RESPONSABLE DE
ESTADISTICA E
INFORMATICA
01
DIGITADORES 02
TOTAL 52
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 42
III. OBJETIVOS DE LA AUDITORIA A LA RED INFORMÁTICA.
La auditoría a la red informática del centro de
salud Pueblo Joven Centenario tiene como
objetivo principal proporcionar información
vital e indispensable de la situación actual
para mejorar la toma de decisiones de
información de todos los componentes que forman
e interactúan con la red informática
(ordenadores, hardware de la red, dispositivos
electrónicos, software), además de todo el
entorno que los rodea en el lugar donde se
ubican y de las personas que están encargadas
del manejo, acceso, vigilancia de estos sistemas
informáticos.
OBJETIVOS ESPECIFICOS
Obtener una visión general de la ubicación de
todos los componentes en una red informática.
Evaluar los ambientes, documentos, normativas,
planes de seguridad de todas las áreas del
centro de salud Pueblo Joven Centenario.
Identificar las políticas de seguridad de la
información dentro de la institución.
Asegurar el acceso autorizado de usuario y
prevenir accesos no autorizados a los sistemas
de información.
Revisión de la existencia de planes de
contingencia que garanticen la seguridad
física y lógica contra desastres naturales.
Revisar el correcto uso de los equipos de
cómputo.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 43
Evaluar si el personal que labora dentro de
las áreas funcionales se encuentran
capacitados y aptos para el manejo de los
equipos de la red informática.
IV. PLANEACIÓN DE LA AUDITORIA INFORMÁTICA.
4.1. FASES DE LA AUDITORIA INFORMÁTICA.
ase Actividad Fec./Inicio Fec./Fin
4.1.1 Realización del Plan de la
auditoria
Elaborar el plan de la
Auditoria.
Elaborar el plan de
cronograma de actividades.
16/05/2014 27/05/2014
4.1.2 Revisión Documental
Preliminar
Solicitud de Manuales y
documentos para la
realización de los
objetivos, funciones y
metas de la institución.
Recopilación de la
información organizacional:
estructura orgánica,
recursos humanos,
presupuestos.
28/05/2014 10/06/2014
4.1.3 Desarrollo detallada de la
Auditoria.
Entrevistas a los jefes,
coordinares, responsables y
personal del centro de
salud Pueblo Joven.
Evaluar la estructura
orgánica: gerencia,
coordinaciones y
responsables de cada área,
funciones y
responsabilidades.
Análisis de las claves de
acceso, control, seguridad,
confiabilidad y respaldos.
Evaluación de los Recursos
Humanos: desempeño,
11/06/2014 26/07/2014
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 44
capacitación, condiciones
de trabajo, recursos en
materiales y financieros
mobiliarios y equipos.
Evaluación de los sistemas:
relevamiento de hardware y
Software, evaluación del
diseño lógico y del
desarrollo del sistema.
Evaluación de la red:
diseño topológico, cableado
estructurado, software de
administración de red,
seguridad en la red.
Evaluar el parque
informático (Pc’s, Laptop,
servidores).
Evaluación del Proceso de
Datos y de los Equipos de
Cómputos: seguridad de los
datos, control de
operación, seguridad física
y procedimientos de
respaldo.
4.1.4 Revisión y Pre-Informe
Revisión de los papeles de
trabajo (cuestionarios
aplicados).
Determinación del
Diagnostico e Implicancias.
Elaboración del borrador.
28/07/2014 02/08/2014
4.1.5 Entrega del Informe
Corrección del borrador
Elaboración y presentación
del Informe.
03/08/2014 7/09/2014
4.1.6 Sustentación del informe. 16/09/2013 16/09/2013
4.2. EVALUACIÓN DE LOS SISTEMAS DE ACUERDO AL
RIESGO.
Se procedió a evaluar los riesgos existentes
en todas las áreas de la institución,
evaluando de esta la forma la red
informática, el uso de los equipos
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 45
informáticos, el acceso a los sistemas de
información, instalaciones eléctricas si está
debidamente instalados para su uso,
verificando si existen terminales que están
fuera de la red.
La infraestructura no está diseñada y
considerada para un buen uso y crecimiento de
la red informática, encontrando deficiencias
para el cableado de red.
Los trabajadores de la institución no tienen
conocimiento adecuado del uso de los
servicios de la red, manejo informático y
algunos programas de oficina.
Falta de implementación extintores de acuerdo
a las normas establecidas.
4.3. INVESTIGACIÓN PRELIMINAR
Para comenzar la auditoria al Centro de Salud
Pueblo Joven Centenario fueron mediante la
recolección de los diferentes documentos
legales como: políticas de seguridad, manejo
de TIC’s, ROF, CAP, MOF, Planos de
Distribución de Estructura y Red Informática.
La información preliminar nos facilitó la
recopilación de información y así poder
realizar una revisión general de las áreas
del Centro Salud Pueblo Joven Centenario por
medio de observaciones, entrevistas y
solicitudes de documentos con el fin de
definir el objetivo principal y alcance de
estudio de la auditoria.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 46
4.4. PERSONAL PARTICIPANTE
Personal Auditor Colaboradores (Auditados)
- Anatoly Rozas
Cordova
Lic. Betty Escobar Hurtado
(Gerente del Centro de
Salud)
Sr. Roger Bravo Juyo
(Responsable de
Informática).
Med. Cir. Cinthia Ponce
Valderrama (Coordinador
Medicina).
Lic. Marleny Nancy Quispe
Yucra (Coordinadora
Obstetricia).
Lic. Gilma Serrano
Sullcahuaman (Coordinadora
Enfermería).
Odont. Claudia Batállanos
Barrionuevo (Coordinadora
Odontología).
Q.F. Noelia Flores Zegarra
(Responsable Farmacia).
Tec. Maria Ysabel Cuellar
Bravo (Responsable Unidad de
Seguros).
Tec. Reynaldo Palomino
Alarcon (Responsable HIS-
MIS).
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 47
V. TÉCNICAS Y HERRAMIENTAS DE LA AUDITORIA
INFORMÁTICA.
5.1. VERIFICACIÓN OCULAR
La verificación ocular nos permitió realizar
una observación de los procesos y actividades
que se van desarrollando en las diferentes
áreas del Centro de Salud Pueblo Joven
Centenario, así mismo ver de qué manera el
instalado el cableado estructurado, la
ubicación de las terminales y los dispositivos
de la red.
En las áreas se hizo una verificación ocular
con la finalidad de observar en qué estado se
encontraban los distintos dispositivos de red
con los que cuenta la institución en sus
distintas áreas y si cumplían las normas
establecidas.
Al realizar la verificación ocular en la
institución se pudo constatar que:
La institución cuentan con acceso a
internet, con el fin de que el personal
pueda establecer una comunicación de una
manera más rápida con las diferentes áreas
existentes en la institución.
Se observó que las áreas de la institución
cuenta con PC’s para el manejo de la
información.
Se observó que el área de Estadística e
Informática esta implementada con 01 PC’s,
01 impresora el cual hacen uso de ella las
PC´s de las diferentes áreas.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 48
La institución maneja la información
haciendo uso de un software integrado
(ARFSIS, HIS-MIS, HISTORIAS CLINICAS), así
mismo tiene una red interna para la
transmisión de información entre las áreas
que cuenta la institución.
Se observó la falta de ambientes y
espacios para el funcionamiento adecuado
de las respectivas áreas.
Se observó en la institución la no
existencia de mecanismos de seguridad
(extintores, detectores de humo,
aspersores, etc.)
El personal que labora dentro de la
institución tiene un conocimiento básico
del uso del software y de los equipos de
cómputo.
La distribución del cableado es inadecuado
no se ajustan a sus estándares.
Las instalaciones eléctricas se encuentran
en pésimo estado.
Infraestructura e instalaciones
inadecuadas para el funcionamiento de la
institución.
5.2. VERIFICACIÓN VERBAL
La verificación verbal permitió realizar una
investigación, de cómo se realizan los
procesos, actividades y tareas dentro de la
institución, mediante el dialogo y formulación
de preguntas, a fin de aclarar algunos
aspectos de la investigación; para ello se
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 49
tuvo que recurrir a herramientas de
recolección de información como son:
Encuestas: Es una herramienta aplicada que
consiste en la aplicación de cuestionarios con
preguntas predeterminadas y posibilidad de
respuesta corta o cerrada sobre un tema
concreto que fueron aplicadas a los
coordinares y responsables de cada área
Las entrevistas: Herramienta que nos permite
un dialogo directo que se ha formulado al
personal de la institución, se hizo con la
finalidad de poder obtener información diversa
que nos servirá para la auditoria que se está
realizando.
5.3. VERIFICACIÓN DOCUMENTAL
Mediante esta técnica se realizó la
comprobación de los documentos que soportan
una transacción o acto administrativo los
cuales cumplan los requisitos como: Autoridad,
Legalidad, derecho, Propiedad y certidumbre.
Se desarrolló una revisión selectiva con el
fin de realizar un examen ocular.
Se verifico la existencia de:
ROF (Reglamento de Organización y
Funciones)
MOF (Manual de Organización y Funciones)
CAP (Cuadro de Asignación de Personal)
Inventario de los equipos de cómputo.
Inventario del software.
Patrimonio documentario de la institución.
Manuales de capacitación.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 50
Manual de usuario de los diferentes
aplicativos informáticos.
5.4. VERIFICACIÓN FÍSICA
Se realizó la visita a las diferentes áreas
para la verificación física e inspección, para
poder determinar la existencia de bienes,
documentos u otros activos los cuales nos
permiten cerciorarnos de su existencia,
autenticidad e integridad.
Se constató que en la institución cuenta en
la actualidad con los siguientes equipos de
cómputo:
Computadores (18).
Impresora (12).
Switch (02).
Acces Point (02).
5.5. VERIFICACIÓN MEDIANTE HERRAMIENTAS DE
COMPUTACIÓN
La verificación para recabar información se
hizo mediante herramientas de computación,
permitió realizar la revisión de los diversos
componentes informáticos como son: El
software, redes, programas, arquitectura
interna de las computadoras, etc.
Las siguientes herramientas para la evaluación
son:
EL Everest es un software que nos permite
reconocer todas las características de
nuestro ordenador.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 51
El AIDA brinda un reporte de las
características, arquitectura y
componentes de los equipos de cómputo.
Antivirus: ESET Nod32, este utilitario
reporto la existencia de virus, gusanos,
troyanos y otros malware maliciosos en los
ordenadores de la institución.
Wifislax: sistema operativo que administra
y gestiona la seguridad de la red.
VI. TÉCNICAS DE TRABAJO
6.1. ANÁLISIS DE LA INFORMACIÓN RECABADA DEL
AUDITADO.
Se recabo la información brindada por cada
una de las áreas de la institución es la
siguiente:
Inventarios de componentes de computo
(parque informático) por cada área.
Descripción de las funciones que se
realizan en las diferentes áreas.
Organigrama de la institución.
Normas de la institución.
6.2. ANÁLISIS DE LA INFORMACIÓN PROPIA.
A través de los instrumentos aplicados en la
institución se recopilo información de
diferente naturaleza, dando sustento a
nuestra investigación.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 52
6.3. CRUZAMIENTO DE LAS INFORMACIONES ANTERIORES.
Por propia cuenta se obtuvo información,
viendo los resultados obtenidos podemos
dilucidar ciertas coherencias de parte del
auditado con el auditor en cuanto a la
documentación, observación, etc. El cual nos
servirá para la elaboración de la conclusión,
recomendación y puntos que deberán tomarse en
cuenta.
6.4. ENTREVISTAS.
Este instrumento facilita la recopilación de
datos para luego ser tabulados e
interpretados.
El mismo que se aplicó al personal de la
institución quienes tuvieron la gentileza de
brindarnos datos relevantes para nuestros
objetivos.
6.5. CUESTIONARIOS
Este instrumento conto con preguntas
dicotómicas, opción múltiple. El cual se
aplicó al personal de la institución.
VII. HERRAMIENTAS.
7.1. CUESTIONARIO GENERAL INICIAL.
Para poder realizar la dicha auditoria, se
formuló un cuestionario para el personal de
la institución.
1.Nombre de la Institución
2.Misión de la Institución.
3.¿Cuál es su profesión?
4.¿Cargo y responsabilidad que ocupa?
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 53
5.¿Cuáles son las áreas funcionales en la
institución?
6.¿Con cuántas áreas cuenta la Institución?
7.¿Cuáles son los objetivos de las áreas?
8.¿Qué funciones cumplen cada área?
9.¿Cuántas personas laboran en cada área?
10.¿Cuenta con área de informática o un área
similar?
VIII. ESTUDIO INICIAL DEL ENTORNO QUE SE AUDITARÁ.
8.1. SITUACIÓN GEOGRÁFICA DE LOS SISTEMAS DE
SOFTWARE.
El Centro de Salud Pueblo Joven Centenario
se encuentra ubicado en la Av. Centenario
s/n Villa Ampay Provincia de Abancay y
Departamento de Apurímac.
8.2. INVENTARIO DE HARDWARE Y SOFTWARE.
Inventario de Hardware del Centro de Salud
Pueblo Joven Centenario.
UBICACIÓN DESCCRIPCION Nº
COMPUTADORA
Nº
LAPTOP
AMBIENTE
01
GERENCIA/JEFATURA 02 01
RECURSOS HUMANOS 01
FARMACIA 02
LABORATORIO 01
ESTADISTICA E
INFORMATICA 01
SANEAMIENTO
AMBIENTAL 01
AMBIENTE
02
MEDICINA 01
ODONTOLOGIA 01
OBSTETRICA 01
ENFERMERIA 01
ADULTO MAYOR 01
ADMISION 02
UNIDAD DE SEGUROS 03
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 54
Las características de las computadoras y la
laptop se podrán apreciar en el anexo 01.
Inventario de Software del Centro de Salud
Pueblo Joven Centenario.
SISTEMAS OPERATIVOS
PC CON LICENCIA PC SIN LICENCIA
WINDOWS XP 0 6
WINDOWS
VISTA 1
0
WINDOWS 7 0 12
OFIMATICA
PC CON LICENCIA PC SIN LICENCIA
MS OFFICE
2003 0
6
MS OFFICE
2007 0
12
ARCVIEW 0 1
ADOBE READER 0 19
ANTIVIRUS
PC CON LICENCIA PC SIN LICENCIA
NOD 32 0 19
OTROS APLICATIVOS
PC CON LICENCIA PC SIN LICENCIA
HIS 0 1
ARFSIS 0 3
8.3. COMUNICACIÓN Y REDES DE COMUNICACIÓN
Se observa que el Centro de Salud Pueblo
Joven Centenario cuenta con una red LAN
con acceso a internet.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 55
IX. DETERMINACIÓN DE LOS RECURSOS NECESARIOS PARA
REALIZAR LA AUDITORIA.
9.1. RECURSOS MATERIALES.
9.1.1. RECURSOS MATERIALES SOFTWARE
Para recabar información de los
recursos que tiene cada PC’c, se
utilizó el Everest V 2.20, el SW Aida
la cual nos permite obtener
información sobre las características
que tiene la PC, así como software de
seguridad, redes, etc.
9.1.2. RECURSOS MATERIALES HW
Dentro de los recursos materiales
tenemos una amplia variedad de
componentes computacionales como
tarjetas de video, placas madre,
procesadores de diversas marcas que
nos permiten ver el rendimiento,
funcionalidad, etc. de los diversos
terminales con las que cuenta la
institución, se hizo el uso d:
USB’s
Cámara Fotográfica.
Testeador de red alámbricas e
inalámbricas.
9.2. RECURSOS HUMANOS.
Para la auditoria que se realizó al Centro de
Salud se contó con el practicante: Anatoly
Rozas Cordova. Que están realizando sus
prácticas pre-profesionales.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 56
9.3. SITUACIÓN PRESUPUESTAL Y FINANCIERA.
9.3.1. PRESUPUESTOS
Para poder realizar el proyecto actual
de la auditoria a la red informática
no se contó con presupuesto ni
financiamiento, el financiamiento fue
sostenible personalmente para
encaminar el proyecto de dicha
auditoria.
CONCEPTO MONTO
MATERIAL DE OFICINA (PAPELES
TINTA, ETC
S/.
120.00
TRANSPORTE Y MOVILIDAD S/.
220.00
GASTOS VARIOS S/.
200.00
TOTAL S/.
540.00
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 57
CAPITULO IV
TECNICAS Y HERRAMIENTAS
DE LA AUDITORIA
INFORMATICA
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 58
X. CAPITULO IV
10.1. AUDITORIA FISICA
A. OBJETIVOS.
OBJETIVO ENERAL
Revisar, inspeccionar y evaluar los recursos
destinados a proteger físicamente todos los
componentes que forman e interactúan con la red
informática (ordenadores, hardware de la red,
dispositivos electrónicos, etc), además de todo el
entorno que los rodea en el lugar donde se ubican
y de las personas que están encargadas del manejo,
acceso, vigilancia de estos sistemas informáticos.
OBJETIVOS ESPECIFICOS
Identificar las políticas de seguridad de la
información.
Revisión de la existencia de planes de
contingencia que garanticen la seguridad
física contra desastres naturales.
Verificar si se cuenta con los recursos
necesarios para poder contrarrestar cualquier
desastre natural.
Evaluar las medidas de seguridad contra
acciones hostiles verificando la seguridad del
personal, datos, hardware, software,
instalaciones, documentos confidenciales, etc.
Verificar la infraestructura.
Revisar el correcto uso de los equipos de
cómputo.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 59
Evaluar si el personal que labora en la
institución se encuentra capacitado y apto
para el manejo de los equipos de cómputo y la
red.
B. ALCANCE
Sistemas técnicos de seguridad y protección.
Organización y cualificación del personal de
seguridad.
Equipos de cómputo, software, instalaciones
eléctricas, infraestructura, documentos, etc.
Ambiente de trabajo.
Planes y procesamiento.
C. HALLASGOS POTENCIALES.
No se cuenta con un plan de contingencia ante
cualquier emergencia ya sea incendios,
derrumbes, etc, que puedan ocasionar daños al
personal y a los equipos.
Infraestructura e instalaciones inadecuadas.
La distribución de los equipos en cada área es
inadecuado, el cual dificulta el uso y manejo
por parte del personal.
La institución solo cuenta con una salida de
emergencia.
No se cuenta con una inadecuada iluminación
para en todas las áreas el cual dificulta el
desarrollo de sus actividades.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 60
D. CONCLUSIONES.
como resultado de la auditoria podemos
manifestar que hemos cumplido con evaluar cada
uno de los objetivos contenidos en el programa
de auditoria
la institución presenta deficiencias sobre todo
en el debido cumplimiento de normas de
seguridad.
No existe revisión a las normas de seguridad
por parte del personal.
E. RECOMENDACIONES
Establecer planes de contingencia para afrontar
cualquier emergencia que pueda suscitarse en el
futuro ya sea incendios, derrumbes, etc.., que
puedan ocasionar daños al personal, a los
equipos y afectar el normal funcionamiento de
la institución.
Adquirir extintores y ubicarlos en lugares
estratégicos de toda la institución.
Establecer prohibiciones para fumar en las
áreas de la Institución o al menos en las áreas
donde se realizan más procesos al estar más
inmersos al iniciar un incendio.
Realizar una revisión periódica de toda la
infraestructura para ver el estado de las
mismas y prevenir cualquier desastre que pueda
sucintarse.
Exigir identificación a las personas que
ingresan a la institución.
Adquirir equipos de ventilación.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 61
Realizar un plan de emergencia (plan de
evacuación, uso de recursos de emergencia,
extintores).
Verificar el estado de puertas de acceso y
salida a la institución para poder afrontar
cualquier suceso como robos.
Elaborar un calendario de mantenimiento de
rutina periódica capacitar al personal en las
diversas medidas de seguridad que puedan
tomarse ante cualquier desastre natural,
acciones hostiles, etc.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 62
10.2. AUDITORIA DE LA RED FISICA
A. OBJETIVOS
OBJETIVO GENERAL
Evaluar los recursos que conforman la red
físicamente, tanto en la red cableada como en la
red inalámbrica con las que cuenta la institución,
que le permiten conectar las computadoras y otros
equipos informáticos entre sí. Tales como
(computadoras, cableado estructurado, dispositivos
de internet working, etc.)
OBJETIVOS ESPECÍFICOS
Evaluar los equipos de cómputo: las
características de las computadoras, tarjetas
de red, impresoras, etc, que están
interconectados en la red.
Evaluar el área de comunicaciones de donde se
distribuyen los cables a las demás áreas y
verificar si cuentan con los recursos
necesarios para una óptima distribución,
evaluar las medidas que impidan el acceso a
personas no autorizadas.
Revisar y evaluar el estado de las distintas
partes de la red informática de la institución,
tales como equipos de cómputo, cableado,
impresora y dispositivos de internet networking
(switch, puentes, router, etc.).
Evaluar el estado de los medios del cableado
(canales, tuberías, etc.), que le permitan una
adecuada transmisión de los datos si no
presentan ningún tipo de interferencia.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 63
Evaluar el armado de la red cableada, el
tendido adecuado de los cables y líneas de
comunicación.
Verificar el cumplimiento de los estándares
para las redes LAN.
Verificar el estado del cableado y las
especificaciones eléctricas utilizadas en la
red.
Verificar si existen procedimientos para la
protección de cables y bocas de conexión que
impidan ser conectadas e interceptadas por
personas no autorizadas.
Comprobar si se usan todos los materiales
normados y si cumplen las categorías para una
transmisión de datos óptimo.
B. ALCANCE DE LA AUDITORIA.
Sistemas técnicos de la red.
Estado actual de la red.
Cumplimiento de los estándares de redes LAN,
WLAN.
Cableado de red e instalaciones eléctricas.
C. HALLAZGOS POTENCIALES.
Los equipos de cómputo con que cuenta la
institución se encuentran algunos en mal
estado, la mayoría de las computadoras son
Pentium IV equipados para cumplir con las
funciones que se realizan en la institución,
excepto de algunas computadoras que deberían
ser cambiadas o repotenciadas.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 64
La red no cuenta con un armario adecuado de
telecomunicaciones que actuaría como punto de
transmisión entre el montante y las
canalizaciones, facilitando la distribución e
identificación de los diversos puntos de red
que salen a las demás áreas de la institución.
Toda la red cuenta con un router, un switch
principal de 16 puertos, los cuales se
encargan de distribuir los cables de red a los
demás puntos de la institución, que a
continuación.
No se cuenta con todos los elementos normados
en el Estándar EIA/TIA 568B, necesarios para
un eficiente funcionamiento de la red
asegurando la transmisión de datos optima y a
una adecuada velocidad (Cables Pach Cord,
Pach Panel, Jacks, cajas toma datos).
La red cableada de la institución está
realizada en función al estándar EIA/TIA 568B,
para el cableado, que a su vez utiliza el
cable UTP cat 5E, y los conectores RJ45,
permitiendo una velocidad de 100Mbps, normados
en el estándar de redes LAN/TEIA 568B.
Algunas partes del cableado no están
protegidas con canaletas, pudiendo dañarse con
facilidad.
La estética de la red no fue considerada al
momento del armado, al no usar todos los
materiales necesarios como los codos en las
canaletas.
La institución no cuenta con un ordenador que
cumple la función de un servidor ubicado en
el área de informática.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 65
No se cuenta con supresores de sobretensión
que se deben montar en los tomacorrientes de
pared en donde se conectan los dispositivos de
red.
No existe ninguna medida de seguridad para la
protección de la red que impida que usuarios
extraños accedan a la red de la institución.
D. CONCLUSIONES.
La infraestructura de la red presenta
deficiencias en cuanto a la realización del
cableado, al no considerar los diversos
estándares para los mismos.
Existe una deficiencia en el diseño de la red
al no considerar medidas de seguridad y
mantenimiento de la red.
E. RECOMENDACIONES.
Reemplazar o repotenciar las PCs, impresoras
que presentan o registran fallas en su
funcionamiento.
Capacitación al personal en cuanto al uso del
Hardware y Software.
Equipar un armario donde pueda contener
equipos de telecomunicación, equipos de
control y terminaciones de cables para revisar
interconexiones.
Implementar los demás elementos especificados
normados en el estándar EIA/TIA 568B, para
lograr un eficiente funcionamiento de la red.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 66
Realizar una adecuada distribución del
cableado con respecto a los terminales para
identificarlos rápidamente en caso de que se
generen algunas fallas en la red.
Separar los cables de la red de los cables de
emergencia a unos 20 como mínimo, y en caso de
que presenten cruces cintas aislantes.
Proteger en su totalidad el cableado de la
red, para evitar posibles daños de los mismos.
Montar supresores de sobretensión en los
tomacorrientes de pared en los cuales se
conectan los dispositivos de red.
Adquirir un UPS para suministrar energía en
caso de pérdida de fluido eléctrico dando
tiempo suficiente para poder guardar los
cambios correspondientes, las aplicaciones y
datos que se encuentren en el mismo.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 67
10.3. AUDITORIA DE LA RED LOGICA
A. OBJETIVOS
OBJETIVO GENERAL
Evaluar todos los elementos que intervienen en la
red lógica, como son los programas, sistemas
operativos, sistemas de información, etc.,
verificando la existencia de barreras y
procedimientos que resguarden el acceso a los
datos y que de esta manera solo se permita
acceder a ellos a las personas autorizadas para
hacerlo.
OBJETIVOS ESPECÍFICOS.
Evaluar los programas, sistemas que se utilizan
en cada una de las computadoras de la red
informática, si se usan adecuada mente.
Examinar las configuraciones de red, protocolos
que se utilizan, dirección IP, grupos de
trabajo, etc.
Evaluar la seguridad del ordenador principal en
cuanto a accesos no autorizados que puedan
dañar o eliminar información valiosa de la
institución.
Evaluar la seguridad de los terminales, si se
cuenta con contraseñas y otros procedimientos
para limitar y detectar cualquier intento de
acceso no autorizado en la red informática.
Evaluar las propiedades de los terminales en
la red que unidades, datos están disponibles
para el acceso en la red.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 68
Verificar las técnicas de cifrado de datos
donde haya riesgos de accesos de datos
impropios.
Verificar que los datos que viajan por internet
vayan cifrados.
Verificar la compatibilidad, actualizaciones de
los sistemas operativos, software utilizado.
Registro de las actividades de la red, para
ayudar a reconstruir incidencias y detectar
accesos no autorizados.
Verificar si el SW se adquieren siempre y
cuando tengan la seguridad de que los sistemas
computarizados proporcionaran mayores
beneficios que cualquier otra alternativa.
Verificar la existencia de un plan de
actividades previo a la instalación de
sistemas de información.
Evaluar el nivel de satisfacción de los
usuarios con los sistemas de información.
Verificar el grado de fiabilidad de la
información.
Verificar si se realizan encriptaciones de la
información pertinente.
Verificar la importación y exportación de
datos.
Verificar que los sistemas operativos pidan
nombre de usuario y la contraseña para cada
sesión.
Verificar si el acceso a los sistemas de
información, si están asignados a determinados
usuarios o es de acceso libre.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 69
Verificar si existen políticas que prohíban la
instalación de programas o equipos personales
en la red.
B. ALCANCE DE LA AUDITORIA.
Seguridad del ordenador principal.
Vulnerabilidades de la red informática.
Estado de software, sistemas operativos y
sistemas de información.
Evaluación del personal.
C. HALLAZGOS POTENCIALES.
La mayoría de los terminales realizan un uso
adecuado de los programas al no usar nada
innecesario o que dificulte el funcionamiento
de la red, a excepción de algunas área que
utilizan programas ajenos a sus funciones,
tales como Emule, Ares, que disminuyen la
velocidad de acceso a internet al consumir
ancho de banda.
En la configuración de la red se utiliza
únicamente el protocolo TCP/IP, el cual permite
conectar la red, mediante una dirección IP, y a
internet mediante la puerta de enlace asignada
al router.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 70
El acceso a la mayoría de las terminales no
está restringido a usuarios de la red, y
cualquier usuario puede manipular las carpetas
compartidas de las demás áreas.
Los diversos terminales generalmente presentan
las mismas propiedades en cuanto al
compartimiento de unidades, carpetas y su
acceso como ya se indicó con el usuario
invitado y su respectiva contraseña, en el caso
de las impresoras se comparten de forma general
y a varias áreas de la institución.
No se utilizan ninguna técnica de cifrado de
datos en toda la institución para proteger la
información de la misma y para los datos que
viajan por internet.
Los sistemas operativos actuales usados en la
institución son actualizados debidamente para
poder soportar los sistemas de información que
se instalan y/o programas que se utilizan en la
misma.
Se realiza un estudio previo para determinar si
los software y/o sistemas de información para
determinar la implantación de los mismos en la
institución detectando claramente sus
beneficios.
Se coordina un plan de actividades
(capacitaciones y pruebas) previa implantación
de los nuevos sistemas de información y otros
software que se necesita.
La mayoría de los sistemas con que cuenta la
institución vienen funcionando de forma óptima
en las diferentes áreas de la institución.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 71
No se realiza ninguna encriptación para la
protección de los datos.
La mayoría de los diversos sistemas operativos
presentan controles de acceso mediante
usuarios, exceptuando por algunos, que no lo
hacen, que podrían causar sabotaje por medio de
los mismos compañeros de trabajo.
No existe ninguna política y controlo que
prohíba la instalación de programas o equipos
personales en la red.
Existe un calendario de mantenimiento ofimático
y de software.
Se mantiene una adecuada actualización del
software utilizados tanto como los antivirus.
No se cuentan con un mantenimiento y
asistencia técnica de los sistemas de
información.
Falta de capacitación al personal para el uso
de los equipos de cómputo, a la vez del
software que se utiliza.
D. CONCLUSIONES.
Los escases de personal debidamente capacitado.
Cabe destacar que el sistema ofimático pudiera
servir de gran apoyo a la institución, el cual
no es explotado en su totalidad por falta de
personal capacitado.
Vulnerabilidad de la seguridad en cuanto al
acceso no autorizado por parte del ordenador
principal y otros terminales.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 72
E. RECOMENDACIONES.
Tomar las acciones necesarias como el control
de instalación de programas innecesarios en la
red, que puedan interferir con el
funcionamiento adecuado de la red, internet.
Establecer medidas de restricción en cuanto al
ordenador principal por parte de otros
terminales de la institución, pudiendo asignar
únicamente una cuenta de administrador.
Bloquear el acceso a los terminales que
presentan estas deficiencias y puedan ser
accedidos por otros terminales de la
institución.
Establecer técnicas de cifrado de datos en la
institución para proteger la información de la
misma, de la misma manera para los datos que
viajan por internet.
Mantenimiento y/o asistencia técnica a los
sistemas que presentan deficiencias (Software
de supervisión).
Realizar encriptaciones para la protección de
los datos en la institución.
Establecer usuarios que controlen el acceso a
los sistemas operativos en todos los terminales
de la institución.
Establecer políticas y controlar la instalación
de programas o equipos personales en la red.
Capacitación al personal para el uso de los
equipos de cómputo, a la vez del software que
se utiliza.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 73
10.4. AUDITORIA A LA ADMINISTRACION DE LA RED
A. OBJETIVOS.
OBJETIVO GENERAL.
Evaluar la administración de la red, verificando
si se cuenta con los recursos necesarios tanto
como herramientas, software, y personal para
realizar una adecuada administración de la red
informática de la institución. De esta manera que
se permita realizar las funciones de un
administrador de red que son tan amplias y
variadas como desconocidas en muchos ámbitos.
Administración de usuarios.
Mantenimiento del Hardware y software.
Configuración de nodos y recursos de red.
Configuración de servicios y aplicaciones de
internet.
Supervisión y optimización
OBJETIVOS ESPECÍFICOS.
Evaluar al personal encargado del soporte
técnico, si es suficiente y/o apto para
desempeñar tal función en la administración de
la red informática.
Evaluar si se realizan todas las funciones de
administración de redes.
Evaluar los procedimientos, configuración,
control y monitoreo de la red, para que se
cumpla todas las necesidades de los usuarios.
Evaluar que se cuenta con las herramientas y
recursos necesarios ya sea materiales, humanos
para una adecuada administración de la red.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 74
Evaluar el sistema operativo y software con el
que se administra la red en la actualidad.
B. ALCANCE DE LA AUDITORIA.
Revisión de las funciones del área de
informática.
Revisión del personal.
Capacitación del personal.
Presupuesto.
C. HALLAZGOS POTENCIALES.
Personal insuficiente en el área de informática
para lograr una adecuada administración de la
red, existe un solo encargado del soporte quien
desempeña todas las funciones de administración
de la red, soporte de hardware y software,
soporte técnico en los eventos, programas
realizados por la institución (presupuesto
participativo), etc., quien no se abastece
teniendo en cuenta que por la falta de
capacitación del personal en el uso de hardware
y software se necesita un personal constante
para brindar apoyo a los mismos.
No existe ninguna metodología en la
administración de la red.
No se realizan de una manera eficaz las
funciones de la administración de redes debido
a las dificultades ya mencionadas.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 75
No se cuenta con todas las herramientas
necesarias para una adecuada administración de
la red, faltando como los dispositivos de
testeo que certifican la red verificando su
estado y correcto funcionamiento.
No se realiza una adecuada administración de
las fallas de la red, al no detectarse de
manera inmediata al no contar con un sistema de
alarmas (monitor de alarma).
La corrección de las fallas es retardada debido
a que los mismos usuarios son los que informan
al administrador de la red de dichas fallas, o
a que no se cuenta con material disponible para
el reemplazo inmediato de recursos dañados (en
el caso de ser daño físico).
No se realiza una administración de reportes
para la documentación de las fallas, cuando un
problema es detectado o reportado.
No se realiza un mantenimiento de hardware y
software en forma periódica.
La configuración de los nodos y apertura de un
nuevo punto de red se realiza previa solicitud
del área que lo requiera y en caso de no contar
con los materiales necesarios (cables, tarjeta
de red, etc.), la aprobación pasa a disposición
de la dirección zonal.
No se realizan las configuraciones de servicios
y aplicaciones de internet.
Presupuesto insuficiente para el área de
informática en el soporte técnico.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 76
D. CONCLUSIONES.
La falta de personal de apoyo impide que el
encargado realice una adecuada administración
de red, al estar encargado de realizar diversas
funciones que se requieren de dicha área.
La administración de la red no puede ser
eficiente siempre que no se cuenten con la
herramientas necesarias para la misma como son
las herramientas normadas de testeo, además de
no contar con el software adecuado para la
administración.
E. RECOMENDACIONES.
Contratar un personal de soporte técnico para
el área de informática que pueda ayudar
cumplir con las funciones técnicas de dicha
área (soporte de hardware, software, soporte de
eventos, programas desarrollados) de esta
manera permitir que el encargado del área de
informática realice todas las operaciones de
administración de red.
Establecer una metodología de administración
para la red de la institución que permita una
forma más adecuada y ordenada de la misma,
propuesta:
o Administración de usuarios.
o Mantenimiento del hardware y software.
o configuración de nodos y recursos de la red.
o Configuración de servicios y aplicaciones de
internet.
o Supervisión y optimización.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 77
Adquisición de herramientas necesarias para la
administración los cuales deben de estar
normadas y que certifiquen la red es decir que
verifique el estado de las partes de la red y
su correcto funcionamiento.
Adquisición de software para la administración
de red, administración de rendimiento,
administración de fallas, administración de
seguridad que permitan realizar sus respectivas
funciones:
o Administración de rendimiento
Monitoreo.
Análisis de tráfico.
o Administración de fallas
Monitor de alarmas.
Localización de fallas.
Pruebas de diagnóstico.
Corrección de fallas.
Administración de reportes.
o Administración de seguridad
Prevención de ataques.
Detección de intrusos.
Respuesta a incidentes.
Servicios de seguridad.
Mecanismos de seguridad.
Establecer procedimientos de adquisición
periódica de los materiales y actualización del
software necesario para la administración.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 78
10.5. AUDITORIA A LA SEGURIDAD INFORMATICA
A. OBJETIVOS
OBJETIVO GENERAL
Evaluar la existencia de políticas de seguridad,
planes de contingencia, normas de seguridad y
determinar de esta manera si la institución está
preparada para afrontar cualquier suceso que frene
el funcionamiento de las labores informáticas.
OBJETIVOS ESPECÍFICOS
Hacer un estudio de los riesgos potenciales a
los que está sometida, la información, las
aplicaciones del área de informática, etc.
Verificar si la institución cuenta con
políticas de seguridad informática, planes de
contingencia ante cualquier percance que pueda
suceder.
Verificar la existencia de normas de seguridad
que puedan describir el funcionamiento de los
dispositivos.
Verificar si se realiza resguardo de
información mediante backups de paquetes y de
archivo de datos.
Verificar el resguardo de los backups a que
dependencia es asignado y si permanecen en la
institución.
Evaluar la función de los encargados de
soporte, aquellos que son responsables de
gestionar la seguridad informática.
B. ALCANCE DE LA AUDITORIA
Organización y calificación del personal.
Planes y procedimientos.
Sistemas técnicos de detección.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 79
Mantenimiento.
C. HALLAZGOS POTENCIALES
Los hallazgos potenciales a los que eta
sometida, la información, las aplicaciones, en
las diversas áreas son:
Al fuego, que pueden destruir los equipos y
los archivos.
Al robo común, llevándose los equipos y
archivos.
Al vandalismo, que dañen los equipos y
archivos.
A fallas en los equipos, que dañen los
archivos.
A equivocaciones que dañen los archivos y
otros.
A la acción de virus que dañen los equipos y
archivos.
A accesos no autorizados, filtrándose datos
no autorizados.
No se cuenta con ninguna política de seguridad
informática, ni planes de contingencia que
permitan la actuación del personal en relación
con los recursos informáticos importantes de la
institución.
No existen normas de seguridad que puedan
describir el funcionamiento de los dispositivos
ante cualquier duda del personal.
Existe una adecuada calendarización para la
realización de los backups de paquetes archivo
de datos.
Los backups solo son almacenados en las
computadoras más no en los CDs y/o discos
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 80
externos que pudieran servir ante cualquier
eventualidad o falla de equipos de cómputo.
El encargado de soporte, no gestiona una buena
seguridad informática.
Inestabilidad.
D. CONCLUSIONES
Como resultado de la auditoria de la seguridad
informática realizada a la Institución, se
puede manifestar que hemos cumplido con evaluar
cada uno de los objetivos contenidos en el
programa de auditoría.
El área de informática presenta dificultades
para el cumplimiento de sus funciones debido a
que no se cuenta con el personal suficiente
para dicha área, impidiendo una adecuada
gestión de las medidas de seguridad.
E. RECOMENDACIONES
Elaborar políticas de seguridad y/o planes de
contingencia que establezcan el canal formal de
la actuación del personal, relación con los
recursos y servicios informáticos importantes
de la organización.
Tomar todas las precauciones para que las
políticas y/o planes de contingencia después de
desarrollarse logren implantarse en su
totalidad.
Establecer normas de seguridad que describen el
modo de funcionamiento de los dispositivos de
seguridad y su administración. Por ejemplo
supongamos un dispositivo simple de bloqueo de
teclado. En las normas de seguridad se podría
indicar: todos los usuarios bloquearan su
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 81
teclado cada vez que dejen sin atención su
sistema.
El encargado de soporte es el responsable de
gestionar la seguridad informática en la
institución , debe considerar las siguientes
medidas:
o Distribuir las reglas de seguridad.
o Establecer incentivos para la seguridad.
El coste de la seguridad debe considerarse como
un coste más entre todos los que son necesarios
para desempeñar la actividad que es el objeto
de la existencia de la entidad, sea esta la
obtención de un beneficio o la prestación de un
servicio público.
El coste de la seguridad, como el coste de la
calidad, son los costes de funciones
imprescindibles para desarrollar la actividad
adecuadamente.
Debe de entenderse como un grado de garantía de
que dichos servicios van a seguir llegando a
los usuarios en cualquier circunstancia.
Identificar la información que es confidencial.
Política de destrucción de desechos
informáticos.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 82
CAPITULO V
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 83
XI. CAPITULO V
11.1. ACTIVIDADES REALIZADAS EN EL PERIODO DE
PRÁCTICAS
En mi condición practicante en el área de
informática del Centro de Salud Tamburco realice
las siguientes actividades:
Soporte y mantenimiento de computadoras de las
diferentes áreas.
Configuración de impresoras para uso en red.
Instalación de sistemas operativos (Windows XP,
Windows 7).
Soporte técnico.
Instalación de programas
o Microsoft Office.
o Winzip.
o Winrar.
o ESET NOD32.
o Solid Convert.
o Internet Explorer.
Asesoría técnica en la utilización de programas
de oficina: Microsoft Word, Excel, Access,
Internet.
Cableado de red para algunas áreas.
Configuración de PCs conectadas a la red.
Actualización de antivirus.
Asistencia en la instalación del cañón multimedia
solicitado por la gerencia de la institución.
Asistencia en la elaboración e impresión de
cuadros estadísticos.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 84
ANEXOS
ANEXO 01 INVENTARIO GENERAL 2014
ANEXO 02 ENCUESTAS
ANEXO 03 IMÁGENES DEL CABLEADO ESTRUCTURADO, DISPOSITIVOS,
PC´S Y INSTALACIONES DEL CENTRO DE SALUD PUEBLO
JOVEN.
.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 85
ANEXO 01 INVENTARIO GENERAL 2014
INVENTARIO GENERAL 2012
CONTROL PATRIMONIAL
GERENCIA
NUMERO DE
MAQUINAS TIPO PROCESADOR
DISCO
DURO
MEMORIA
RAM
ESTAD
O
01 PC CORE 2 DUO INTEL COREO 2 DUO 3.00 GHZ 320 GB 2 GB BUENO
01 LAPTOP
CORE I3
TOSHIBA INTEL COREO 2 DUO 2.20 GHZ 500 GB 4 GB BUENO
RECURSOS HUMANOS
01 PC CORE DUO INTEL COREO DUO 2.40 GHZ 160 GB 1 GB BUENO
FARMACIA
01 PC CORE DUO INTEL COREO DUO 2.40 GHZ 250 GB 1 GB BUENO
01 PC CORE 2 DUO INTEL COREO 2 DUO 3.00 GHZ 320 GB 2 GB BUENO
LABORATORIO
01 PC PENTIUM IV PENTIUM IV 1.7 GHZ 40 GB 512 GB
PESIM
O
ESTADISTICA E INFORMATICA
01 PC CORE 2 DUO INTEL COREO 2 DUO 3.00 GHZ 320 GB 2 GB BUENO
SANEAMIENTO AMBIENTAL
01 PC PENTIUM IV PENTIUM IV 1.8 GHZ 40 GB 512 GB
PESIM
O
MEDICINA
01 PC CORE DUO INTEL COREO DUO 2.40 GHZ 160 GB 1 GB BUENO
ODONTOLOGIA
01 PC CORE DUO INTEL COREO DUO 2.40 GHZ 160 GB 1 GB BUENO
OBTETRICIA
01 PC CORE DUO INTEL COREO DUO 2.40 GHZ 160 GB 1 GB BUENO
ENFERMERIA
01 PC CORE 2 DUO INTEL COREO 2 DUO 3.00 GHZ 320 GB 2 GB BUENO
ADULTO MAYOR
01 PC PENTIUM IV PENTIUM IV 1.8 GHZ 40 GB 512 GB
PESIM
O
ADMISION
01 PC PENTIUM IV PENTIUM IV 1.8 GHZ 40 GB 512 GB
PESIM
Or
01 PC CORE DUO INTEL COREO DUO 2.40 GHZ 160 GB 1 GB BUENO
UNIDAD DE SEGUROS
01 PC CORE 2 DUO INTEL COREO 2 DUO 3.00 GHZ 320 GB 2 GB BUENO
01 PC CORE DUO INTEL COREO DUO 2.40 GHZ 250 GB 1 GB BUENO
01 PC CORE DUO INTEL COREO DUO 1.86 GHZ 250 GB 1 GB BUENO
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 86
ANEXO 02 ENCUESTAS
Generalidades
1. ¿Se tiene definida una política de seguridad global en
la institución?
SI ( ) NO ( )
2. ¿Existen controles que detecten posibles fallos en la
seguridad?
SI ( ) NO ( )
3. ¿Se ha definido el nivel de acceso de los usuarios
(los accesos a recursos permitidos)?
SI ( ) NO ( )
4. ¿Existen controles que detecten posibles fallos en la
seguridad?
SI ( ) NO ( )
5. ¿Existe departamento de auditoría interna en la
institución?
SI ( ) NO ( )
6. ¿Existen estándares de funcionamiento y procesos que
involucren la actividad del área de Informática y sus
relaciones con los departamentos usuarios por otro?
SI ( ) NO ( )
7. ¿Existen estándares de funcionamiento y procedimientos
y descripciones de puestos de trabajo adecuados y
actualizados?
SI ( ) NO ( )
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 87
ITEM 1: Seguridad de cumplimiento de normas y estándares
1. ¿Se han formulado políticas respecto a seguridad,
privacidad y protección de las facilidades de
procesamiento ante eventos como: incendio, vandalismo,
robo y uso indebido, intentos de violación?
SI ( ) NO ( )
2. ¿Todas las actividades del Centro de Computo están
normadas mediante manuales, instructivos, normas,
reglamentos, etc.?
SI ( ) NO ( )
3. ¿Se ha dividido la responsabilidad para tener un mejor
control de la seguridad?
SI ( ) NO ( )
4. ¿Existe una clara definición de funciones entre los
puestos clave?
SI ( ) NO ( )
5. ¿Se vigilan la moral y comportamiento del personal de
la dirección de informática con el fin de evitar un
posible fraude?
SI ( ) NO ( )
6. ¿Evalúan el desempeño del encargado del área de
informática?
SI ( ) NO ( )
ITEM 2: Seguridad del área de informática y seguridad física
1. ¿Se cuentan con mecanismos de seguridad física para el
centro de informática?
SI ( ) NO ( )
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 88
2. ¿Existe personal de seguridad en la organización
durante las 24 horas?
SI ( ) NO ( )
En caso de existir:
El personal de seguridad es:
( ) Vigilante (Contratado por medio de empresas
que venden ese servicio)
( ) Personal Interno (contratado por la
organización)
( ) Otro
( ) No existe
¿Se investiga a los vigilantes cuando son contratados
directamente?
SI ( ) NO ( )
3. ¿Existe control en el acceso a la instalación del
departamento de informática?
( ) Por identificación personal
( ) Por tarjeta magnética
( ) Por claves verbales
( ) Otras
4. ¿Se registra el acceso al departamento de cómputo de
personas ajenas a la dirección de informática?
( ) Vigilante
( ) Recepcionista
( ) Personal encargado de la seguridad
( ) Nadie
5. ¿Cuál es la periodicidad con la que se hace la
limpieza de polvo y otro en el centro de informática?
Diaria: ( ) Veces por día
Semanal ( ) Veces por semana
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 89
Mensual ( ) Veces por mes
Otra:
6. ¿Se cuentan con mecanismos de protección respecto a la
prohibición del personal en cuanto a consumo de
alimentos y bebidas en el interior del departamento de
cómputo para evitar daños al equipo?
SI ( ) NO ( )
7. Se ha tomado medidas para minimizar la posibilidad de
fuego:
( ) Evitando artículos inflamables en las áreas
( ) Prohibiendo fumar a los operadores en el
interior
( ) Vigilando y manteniendo el sistema eléctrico
( ) No se ha previsto
8. ¿EL inmueble de la oficina de informática se encuentra
a salvo de cualquier emergencia?
( ) Fuego
( ) Inundación (Agua)
( ) Terremoto
( ) Sabotaje
( ) Ninguno
9. ¿Se cuenta con sistemas de regulación de temperatura?
( ) Aire acondicionado
( ) Ventilador
( ) Sistema de calefacción
( ) Otro:............................
10. ¿Existe corta fuegos (firewall) en su hardware?
SI ( ) NO ( )
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 90
11. ¿Se cuenta con sistema de alarma, para detectar
alguna anomalía en el departamento de informática?
( ) Fuego
( ) Agua
( ) Detectar magnéticos
( ) No existe
En caso de existir:
Indique, Esta alarma tiene conexión:
( ) Al puesto de policíal.
( ) A la estación de Bomberos
( ) A ningún otro lado
( ) Otro …………………………….
Las alarmas son consideradas:
( ) De fácil operatividad
( ) Regularmente fácil de operar.
( ) Dificultad de operación
( ) Desconoce
¿La alarma es perfectamente audible?
SI ( ) NO ( )
¿Se ha orientado, adiestrado respecto al uso y
manipulación de estas?
( ) Usualmente
( ) Oportunamente
( ) Nunca
12. ¿Se cuentan con extintores de fuego?
SI ( ) NO ( )
En caso de existir:
Indique, los extintores son considerados:
( ) De fácil operatividad
( ) Regularmente fácil de operar.
( ) Dificultad de operación
( ) Desconoce
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 91
¿Se ha orientado, adiestrado respecto al uso y
manipulación de estas?
( ) Usualmente
( ) Oportunamente
( ) Nunca
13. ¿Los interruptores de energía están adecuadamente
protegidos, etiquetados y sin obstáculos para
alcanzarlos?
SI ( ) NO ( )
14. ¿Cuál es la periodicidad en la que se realizan
limpieza y mantenimiento de los equipos de cómputo?
ITEM 3: Seguridad del Personal Informático.
1. ¿Se cuentan con mecanismos para mantener la seguridad
del personal en la institución? ¿Cuáles son los
principales? ¿Existe algún problema en concreto?
SI ( ) NO ( )
2. ¿Existen políticas respecto de la prevención de
accidentes y de las enfermedades laborales? ¿Está
satisfecho con los sistemas actuales emplean?
SI ( ) NO ( )
3. ¿Está el personal adecuadamente capacitado respecto a
medidas preventivas durante el desempeño de la labor?
SI ( ) NO ( )
4. ¿Se Cuenta con algún seguro para el personal
informático en caso de accidente durante la operación?
SI ( ) NO ( )
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 92
5. Como son las relaciones laborales en el área
………………………………………
6. Se presentan problemas con frecuencia
SI ( ) NO ( )
7. ¿Se estudia la evolución del mercado y la adaptación
del personal a esa evolución?
SI ( ) NO ( )
8. ¿Los informáticos reciben noticias del momento
tecnológico por revistas, notas técnicas, etc.?
SI ( ) NO ( )
9. ¿Con que frecuencia realiza actualizaciones en sus
equipos?
SI ( ) NO ( )
10. ¿Se revisa frecuentemente que no esté abierta o
descompuesta la cerradura de esta puerta y de las
ventanas, si es que existen?
SI ( ) NO ( )
11. ¿El centro de cómputo tiene salida al exterior?
SI ( ) NO ( )
12. ¿El centro de cómputo tiene salida de emergencia?
SI ( ) NO ( )
13. ¿Se ha adiestrado a todo el personal en la forma en
que se deben desalojar las instalaciones en caso de
emergencia?
SI ( ) NO ( )
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 93
14. ¿Se desarrollan programas de Capacitación y
actualización hacia el personal que labora en área de
informática, respecto a las medidas de seguridad?
Si ( ) No ( )
15. ¿Se recibe formación y se planifica ésta mediante
asistencia a cursos, seminarios, etc.?
SI ( ) NO ( )
16. ¿Existe algún programa concreto de mejora de la
productividad hacia el personal que labora en área de
informática?
Si ( ) No ( )
16. ¿Asegura la dirección la disponibilidad de los
recursos necesarios: instalaciones y equipos de
seguridad para el mantenimiento preventivo de los
equipos de cómputo?
SI ( ) NO ( )
ITEM 4: Seguridad de Aplicaciones
1. ¿Se cuenta con claves de acceso en los diversos
componentes del software de oficina que emplea la
organización?
SI ( ) NO ( )
2. ¿Se han implantado claves o password para garantizar
operación del personal autorizado?
SI ( ) NO ( )
3. ¿Se ha asegurado un respaldo de mantenimiento y
asistencia técnica de las aplicaciones?
SI ( ) NO ( )
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 94
4. ¿Con que frecuencia realiza actualizaciones en su
software?
SI ( ) NO ( )
5. En cuanto aparecen nuevas versiones de los programas
SI ( ) NO ( )
6. ¿Se mantiene un registro permanente (bitácora) de
todos los procesos realizados, dejando constancia de
suspensiones o cancelaciones de procesos?
SI ( ) NO ( )
7. ¿Se han efectuado las acciones necesarias para una
mayor participación de proveedores en caso de algún
daño o pérdida de información?
SI ( ) NO ( )
8. ¿Se ha asegurado un respaldo de mantenimiento y
asistencia técnica?
SI ( ) NO ( )
9. ¿Los operadores del equipo central están entrenados
para recuperar o restaurar información en caso de
destrucción de archivos?
SI ( ) NO ( )
10. ¿Se permite el acceso a las aplicaciones a
personal ajeno al entorno informático?
SI ( ) NO ( )
11. ¿Los programas con información reservada están
protegidos por clave de acceso?
SI ( ) NO ( )
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 95
12. ¿Los usuarios disponen de zonas en el servidor de
ficheros donde hacer sus copias de seguridad?
SI ( ) NO ( )
13. ¿El funcionamiento interno de los programas clave
de la empresa es conocido por el personal del centro
de informática y/o por el proveedor directo del
mismo?
SI ( ) NO ( )
ITEM 5: Plan de Contingencias
1. ¿Existen un plan de contingencias que respalde al área
de Informática de la organización?
SI ( ) NO ( )
2. ¿La organización tiene conocimiento de la importancia
de contar con un plan de contingencias?
SI ( ) NO ( )
3. ¿Tienen propuesto la elaboración?
SI ( ) NO ( )
AUDITORIA A REDES DE CÓMPUTO
1. ¿La organización tiene una política definida de
planeamiento de tecnología de red?
SI ( ) NO ( )
2. ¿Esta política es acorde con el plan de calidad de la
organización?
SI ( ) NO ( )
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 96
3. ¿La organización cuenta con un plan que permite
modificar en forma oportuna el plan a largo plazo de
tecnología de redes, teniendo en cuenta los posibles
cambios tecnológicos o en la organización?
SI ( ) NO ( )
4. ¿Se cuenta con un inventario de equipos y software
asociados a las redes de datos?
SI ( ) NO ( )
5. ¿Existe un plan de infraestructura de redes?
SI ( ) NO ( )
6. ¿Existe personal encargado de la seguridad de las
redes?
SI ( ) NO ( )
7. ¿La responsabilidad operativa de las redes esta
separada de las de operaciones del computador?
SI ( ) NO ( )
8. ¿Los usuarios disponen de zonas en el servidor de
ficheros donde hacer sus copias de seguridad?
SI ( ) NO ( )
9. ¿Están establecidos controles especiales para
salvaguardar la confidencialidad e integridad del
procesamiento de los datos que pasan a través de redes
públicas, y para proteger los sistemas conectados?
SI ( ) NO ( )
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 97
10. ¿Existen controles especiales para mantener la
disponibilidad de los servicios de red y computadoras
conectadas?
SI ( ) NO ( )
11. ¿Existen controles y procedimientos de gestión para
proteger el acceso a las conexiones y servicios de
red?
SI ( ) NO ( )
12. ¿Existen protocolos de comunicaron establecida?
SI ( ) NO ( )
13. ¿Existe una topología estandarizada en toda la
Organización?
SI ( ) NO ( )
14. ¿Existen normas que detallan que estándares que deben
cumplir el hardware y el software de tecnología de
redes?
SI ( ) NO ( )
15. ¿La transmisión de la información en las redes es
segura?
SI ( ) NO ( )
16. ¿El acceso a la red tiene password?
SI ( ) NO ( )
17. ¿Si se tienen terminales conectadas, ¿se ha
establecido procedimientos de operación?
SI ( ) NO ( )
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 98
18. ¿Se verifica identificación:
( ) De la terminal
( ) Del Usuario
( ) No se pide identificación
19. ¿Se tiene definido el nivel de acceso a la
información?
SI ( ) NO ( )
20. ¿Se ha establecido un número máximo de violaciones en
sucesión para que la computadora cierre esa terminal
y se de aviso al responsable de ella?
SI ( ) NO ( )
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 99
ANEXO 03 IMÁGENES DEL CABLEADO ESTRUCTURADO, DISPOSITIVOS,
PC´S E INSTALACIONES EN EL CENTRO DE SALUD PUEBLO
JOVEN.
1.- Al realizar la una auditoria a la red informática se
observa que el cableado estructurado se encuentra en pésimas
condiciones.
Imagen 01: Cableado Estructurado Inadecuado.
Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 100
Imagen 02: Cableado Estructurado Inadecuado.
Imagen 03: Instalación de Dispositivos Inadecuados.