Proyecto pnf

7/23/2019 Proyecto pnf

http://slidepdf.com/reader/full/proyecto-pnf 1/30

República Bolivariana de VenezuelaMinisterio del Poder Popular para la Educación Superior

Instituto Universitario de Tecnología de los lanosValle de la Pascua ! Estado "u#rico

Auditoria de los servidores que componen el parque informático de launidad de sistemas del Instituto Universitario

de Tecnología de los Llanos

Marzo$ %&''(



INDICE

Pag.

INTRODUCCIÓN 3

Identificación del sitio 4

Organigrama Del Iut De Los Llanos 6

Organigrama de la Unidad de Sistemas 7

Objetivo General

Objetivos !s"ec#ficos

$lcances % Limitaciones &'etodolog#a de la $uditoria ()

$*!+O

,uestionarios (-

.I.LIOG/$0I$ (7

1



INTRODUCCIÓN

)uditar consiste principal*ente en estudiar los *ecanis*os de control

+ue est#n i*plantados en una e*presa u organización$ deter*inando si los*is*os son adecuados , cu*plen unos deter*inados ob-etivos o

estrategias$ estableciendo los ca*bios +ue se deberían realizar para la

consecución de los *is*os( os *ecanis*os de control pueden ser

directivos$ preventivos$ de detección$ correctivos o de recuperación ante una

contingencia(

Por esto esta per*ite detectar de .or*a siste*#tica el uso de los

recursos , los .lu-os de in.or*ación dentro de una organización , deter*inar

+u/ in.or*ación es crítica para el cu*pli*iento de su *isión , ob-etivos$

identi.icando necesidades$ duplicidades$ costos$ valor , barreras$ +ue

obstaculizan .lu-os de in.or*ación e.icientes(

0e acuerdo a esto la unidad de siste*as -uega un papel i*portante en

la consecución de procesos ad*inistrativos$ acad/*icos entre otros( En ella

se encuentran los servidores +ue e-ecutan procesos críticos +ue necesitanalto grado de disponibilidad$ e.iciencia$ e1actitud(

Por tanto se 2ace necesario realizar una auditoria in.or*#tica$ +ue

per*ita conocer el estado del par+ue in.or*#tico e in.raestructura de la

unidad de siste*as del instituto universitario de tecnología de los llanos(

3



Objetivo General

Realizar auditoria de los servidores de la unidad de siste*as del

Instituto Universitario de Tecnología de los lanos núcleo valle de la pascua(

Objetivos Específicos

• Veri.icar estado actual de los servidores

• 3o*probar políticas de *anteni*iento$ estado$ características de los

e+uipos(

• Revisar Planes de 3ontingencia(• Probar políticas de Seguridad para el servidor , para el resto de los

e+uipos(

• Evaluar responsabilidad del uso adecuado del e+uipa*iento

co*putacional(

• Evaluación de las Instalaciones

Veri.icar la e1istencia de nor*as de seguridad relativas a su

*anteni*iento(

Revisar plan de contingencias ante 2ec2os de riesgo en +ue sea

necesario evacuar el edi.icio(

Veri.icar estado$ seguridad$ distribución de las instalaciones el/ctricas

en red .i-a(

4bservar el estado en +ue se encuentra el actual edi.icio 3entral(

Evaluar las políticas de *anteni*iento de las instalaciones(

4



• Elaborar In.or*e de )uditoria

Alcances Limitaciones

) trav/s de esta auditoria se evaluar# el entorno In.or*#tico del #rea

de servidores de la unidad de siste*as$ con el ob-eto de deter*inar los

puntos críticos$ , co*o a.ectan estos el desarrollo de las tareas de la

institución , co*o apo,a la unidad de siste*as los ob-etivos institucionales(

Para +ue dic2o ob-etivo general se cu*pla se evaluar#n la

*etodología de traba-o para deter*inar el grado de cu*pli*iento de laseguridad$ privacidad$ con.iabilidad$ e integridad de la in.or*ación(

-



I!E"TI#I$A$I%" !EL &ITIO

'istoria

El Instituto Universitario de Tecnología de los lanos 5I(U(T((6$ .ue

creado por decreto presidencial 7ro( '%%' del &8 de .ebrero de '(98:$ con

dos sedes$ en Valle de la Pascua , en 3alabozo( En el a;o '99: se creó la

e1tensión de )ltagracia de 4rituco$ con la .inalidad de i*pulsar el desarrollo

agropecuario , tecnológico de los lanos 3entrales , del sur de Venezuela$ a

trav/s de la .or*ación a corto plazo de t/cnicos cali.icados( 0esde entonces$

capacita$ per.ecciona , actualiza a la co*unidad en el #rea de in.luencia$ así

co*o pro*ociona progra*as de investigación$ e1tensión , producción en las#reas +ue le co*peten(

El Instituto Universitario de Tecnología de los lanos 5iut6 posee una

serie de departa*entos +ue e-ecutan tareas i*portantes para el buen

desenvolvi*iento de la institución( Entre ellos se encuentra la unidad de

siste*as creada en .ebrero del a;o '99<(

Esta unidad esta contribu,e al desarrollo , consolidación de la

in.raestructura tecnológica , de siste*as$ así co*o gestionar los recursos de

la unidad$ para dar soporte al resto de la organización en el cu*pli*iento de

su *isión , de los ob-etivos estrat/gicos(

)si*is*o presta diversos servicios tales co*o= el acceso a Internet a

trav/s de un servidor pro1,$ servidor de base de datos el cual per*ite el

.unciona*iento de los siste*as de= ingresos propios$ Internet$ siste*a para

el control del par+ue in.or*#tico$ siste*a de respaldo de datos$ servicio de

d2cp para asignación din#*ica de direcciones ip$ servidor dns +ue 2ace

posible la resolución de no*bres$ servidor >eb(

6



(apa

Unidad de &istemas ) *rea Administrativa

a Unidad de Siste*as es la unidad ad*inistrativa encargada de la

plata.or*a in.or*#tica del IUT de os lanos( Esta adscrita a la dirección

co*o apo,o a la to*a de decisiones( ) su vez esta dividida en las siguientes

subcoordinaciones=

&ervicio t+cnico

7

Iut de losLlanos

.iblioteca,om"ras

Unidad deSistemas

2ersonal

2lanif

,ontrol de!studios

!jecución

Org 'et

.ienes *ac

2asantitas



• Manteni*iento preventivo , correctivo de todos los e+uipos de

co*putación del IUT de los lanos tanto a nivel del 2ard>are co*o de

so.t>are(

• Instalación?desinstalación de co*ponentes , dispositivos 5I*presoras$

P3$ teclados$ otros peri./ricos$ etc6(

• Evaluar necesidades de actualización de los e+uipos(

• 3o*unicación constante con los usuarios .inales sobre .unciona*iento

de los e+uipos(

Administraci,n de redes

• Instalar , *antener las redes de la institución(

• Instalar$ ad*inistrar , supervisar e+uipos de la red(

• Interconectar *ediante redes de datos$ todas las dependencias del

IUT de os lanos(

• Mantener operativos e interconectados a todos los servidores de datos

del IUT de los lanos 53ontrol de estudios$ ad*inistración$ Internet$

biblioteca , los ubicados en los di.erentes laboratorios6(

• "arantizar el servicio de Internet en la institución(

!esarrollo de sistemas

• )nalizar las necesidades de in.or*ación de la institución , dise;ar

soluciones auto*atizadas(

• Manteni*iento de los siste*as i*ple*entados en la institución(

• Mantener los servidores de aplicaciones de la institución(

• Evaluar lengua-es de progra*ación para el desarrollo de los siste*as

del instituto(



Internet

• 0esarrollar$ *antener , ad*inistrar la p#gina >eb o.icial del IUT de los

lanos(

• Mantener los servicios >eb , de correo electrónico de la institución(

• 3rear , *antener las cuentas de usuarios de los di.erentes

departa*entos +ue tienen espacio en la pagina >eb(

• Evaluar plata.or*as de desarrollo para el entorno >eb(

Gesti,n del sistema administrativo

• )d*inistrar el Siste*a @nico de "estión )d*inistrativa Universitaria

5SU")U6

• Mantener en linea , operativo el siste*a SU")U(

• )d*inistrar las cuentas de usuarios(

• "estionar planes de *anteni*iento para la base de datos de

producción del siste*a SU")U(

• Proporcionar pautas de desarrollo de actualizaciones para el siste*a

SU")U(

&



O-GA"IG-A(A !EL IUT !E LO& LLA"O&

6

()



O-GA"IG-A(A !E LA U"I!A! !E &I&TE(A&

,OO/DI*$,IO*

S!/5I,IO ,*I,O $D'I*IS/$,I8* D!/!D!S

D!S$//OLLO D!SIS!'$S I*!/*!

G!SI8* D!LSIS!'$

$D'I*IS/$I5O

7

((



(atri. #oda/-ola0

Unidad de Sistemas Fortalezas/Recursos• Personal Caacitado.• !erramientas de Red• "ane#o de Int$rrete

de %rdenes segura.• So&t'are ara ro(ar

seguridad online.

De(ilidad/)imitaciones• )imite de Recursos

Financieros.• Ca(les emalmados o

en mal estado• Poco uso de recursos

comartidos.• Parc*es de Seguridad.

Oortunidades

• Dis"osición de laDirección de 'ejorar elServicio

• ,ercan#a de la 'a%oriade los e9ui"os de lared

• ,ontar con unaintranet

• ,one:ión $ba % 0rame

/ela%

Estrategias Fo / Ro

• Incrementar ni+elesde seguridad de lared.

• Corregir r,idamente&allas &-sicas.

• Con&iguraci%n rue(as remotas.

• Pro(ar seguridad delos ser+idores desdeInternet.

Estrategias Do / )o

• !:"osición de lanecesidad "ara com"rade elementosre9ueridos

• 0;cil reem"la<ado delcable

• ,om"artir recursos=Im"resoras> ,ar"etas?

• Instalar actuali<aciones

de seguridadconstantemente

menazas

• Dis"onibilidad limitadade /ecursos0inancieros

• 5ulnerabilidad de lainformación

• *o contar coninformación de

"osiblesvulnerabilidades

Estrategias Fa / Ra

• La unidad cuenta con@erramientas "aradiagnosticar % resolverel "roblema

• ,onfigurar recursoscom"artidos

• 2robar seguridad consoftAare

Estrategias Da / )a

• Bustificar com"ra demateriales % e9ui"osnecesarios

• ,onfigurar recursoscom"artidos> orientar al

"ersonal de las ventajasde su uso

• /eali<ar test deseguridad % tomaracciones encaminadas acorregirlos



!iagrama de 1enn0

,oordinaciones de carreras

Crea$dministrativ

a

Laboratorios

Unidad deSistemas

Directiva IUde los Llanos

'22!S



Análisis de los Involucrados0

Unidad de &istemas= esta contribu,e al desarrollo , consolidación de lain.raestructura tecnológica , de siste*as$ así co*o gestionar los recursos de la

unidad$ para dar soporte al resto de la organización en el cu*pli*iento de su

*isión , de los ob-etivos estrat/gicos(

*rea Administrativa del IUT de los Llanos= encargada de realizar actividades

+ue per*iten el .unciona*iento de la institución a nivel ad*inistrativo$ tales

co*o pagos$ co*pras$ presupuesto$ entre otros(

$oordinaci,n de $arreras= Estas se encargan de cu*plir con las directrices

e*anadas de la subdirección acad/*ica$ sirviendo esta co*o enlace entre la

subdirección acad/*ica , los docentes( )de*#s se encarga de los

laboratorios$ 2orarios$ entre otros(

Laboratorios= 3on la .inalidad de capacitar al egresado de T(S(U( en

In.or*#tica$ el IUT de los lanos dispone de *odernos laboratorios e+uipados

con tecnología de punta$ para +ue el estudiante pueda$ de esta *anera$

obtener las 2abilidades , destrezas necesarias para dese*pe;arse en el

ca*po laboral(

(22E&= El Ministerio del Poder Popular para la Educación Superior es el

órgano del E-ecutivo 7acional encargado de la dirección estrat/gica de la

educación superior venezolana( 3o*o tal$ e-erce la rectoría del Siste*a

7acional de Educación Superior , le corresponde la .or*ulación$ adopción$

segui*iento , evaluación de las políticas , acciones dirigidas a garantizar una

educación superior de calidad para todas , todos$ +ue se constitu,a en .actor

estrat/gico para el .ortaleci*iento del poder popular , la construcción de una

sociedad socialista$ de*ocr#tica$ participativa , protagónica(



$uadro de los Involucrados0

0ruos Intereses Pro(lemasPerci(idos

ortes E1igencias

"PPES "anteneroerati+a,gina 'e(institucional

Ca-das delser+idor 'e(.

oo ararealizaci%nde me#oras ala lata&orma

Dis"onibilidaddel sitio Aeb

Unidad deSistemas

"anteneroerati+a lain&raestructuratecnol%gica

Carencias deInstrumentosde Tra(a#o2Recursos Personal.

Contri(uir ame#orar lalata&ormatecnol%gicade la

instituci%n.

Instrumentos derabajo> com"rade e9ui"os decom"utación>red

3readministrati+a

oan elesta(lecimiento de ol-ticas

Falta deRecursos24unera(ilidadde laIn&ormaci%n5uso deendri+e6

Creaci%n deRecursosComartidos2 7ue cuentencon losni+eles deseguridadRe7ueridos

!levar el nivelde seguridad dela red

Coordinaci%nde Carreras

Cumlir lasdirectricesemanadas de lasu(direcci%nacad$mica.

Falta derogramasara aoo ala toma dedecisiones

oar en eldesarrollo deacti+idadeseducati+as dela instituci%n.

$cceso a2rogramas "araa"o%o a toma dedecisiones>acceso a la redinstitucional

)a(oratorios ,ontribuir a laformación delos estudiantes>a travs de estoses"aciosdestinados "ara

tal fin

0alta de!9ui"os de,om"utación>Inclusión a laredinstitucional>

acceso ainternet

,ontribuir a laformación delosestudiantes

Inclusión a la redinstitucional>acceso a internet>ad9uisición dee9ui"os



Análisis de los objetivos

Fines

O(#eti+o

'edi

,alidad de servicio $umento de se uridad Se uridad f#sicaSe uridad en los clientes

Disminución de riesgos>ata9ues internos o e:ternos

a la red

2ersonal informado menosvulnerable

Garanti<ar servicioInstalación de softAareactuali<ado

Esta(lecer ol-ticas de seguridad en la intranet del Iut de los )lanos

,reación de manual de "ol#ticas de seguridad

'aterial de a"o%o=2resentaciones> folletos? .uscar cursos

,ontacto con de"artamde servicios generale

!stablecimiento de "ol#ticas deseguridad "or "arte de la unidad

de sistema

,@arla acerca del uso de "ol#ticas de seguridad

Gestión de cursosactuali<ados en materia de

seguridad

$m"liación de seguridf#sica

2rotección de servidores,onfiguración avan<ada,onocimiento del "ersonalsobre "ol#ticas de seguridad

!stablecimiento de normas "ara elevar niveles

(6



Análisis de #actibilidad

Factibilidad

Objetivos Específicos,reación de 'anual

con 2ol#ticas deSeguridad =$"licables

tanto a servidorescomo a clientes?

,a"acitación de2ersonal =.;sico>

'edio % $van<ado?

,onfiguración deSeguridad en

Servidores % clientes>as# como seguridadf#sica de servidores

TIEMPO

1.- Largo Plazo

2.- Mediao Plazo

!.- "orto Plazo

1 3 1

#E$EFI"I%&IO'

1.- Pocos

2.- '(ficietes

!.- M(c)os

3 1 3

"O'TO'

1.- %lto

2.- Medios

!.- #ajos

3 1 3

IMP%"TO

1.- #ajo

2.- Medio

!.- %lto

1 3 3

F%"TI#ILI*%*1.- Poco Probable

2.- Mediaa+ete

Probable

!.- Probable

1 3 3

TOT%L, 89 8: 8;



Análisis de $riterios

Estrategias

,riterios

Fiacieros 'ociales %+bietales Políticos

Esta(lecimientode Pol-ticas de

SeguridadGasto de

consumibles>tinta> "a"el>

car"etas>

co"ias

,ambio de laforma en 9uelos usuariosmanejan sus

cuentas> claves>arc@ivos

com"artidos>entre otros

*inguno *inguno

C*arla so(reol-ticas deseguridad.

Gastos enmaterial del

a"o%o>refrigerio

,onocimiento "or "arte de losusuarios acercadel valor de la

información @o%en d#a

*inguno *inguno

0esti%n deCursos

Con&iguraci%n+anzada deSer+idores

Gastos devi;ticos % costo

de curso

2ersonalaltamente

ca"acitado enseguridad

inform;tica

*inguno *inguno

Seguridad &-sicade ser+idores

Gastos enadecuación del

;rea

/esguardo delos e9ui"os

*inguno *inguno



(atri. del (arco L,gico

Fines

Propósito

Componentes

Actividades

!stablecer "ol#ticas de seguridad en la intranet del Iutde los Llanos

!stablecimiento de "ol#ticas de seguridad

,@arla de "ol#ticas deseguridad

,ursos en materia deseguridad

Seguridad 0#sica

,reación de manual de "ol#ticas de seguridad

'aterial de a"o%o=2resentaciones> folletos?

/eali<ación de ,ursos en'ateria de Seguridad

,ontacto con de"artamende servicios generales

,alidad de servicio $umento de seguridad SeguridadSeguridad en los clientes

(&



(etodología de la Auditoria

a *etodología a usar son las Pruebas sustantivas estas veri.ican el

grado de con.iabilidad del SI del organis*o( Se suelen obtener *edianteobservación$ c#lculos$ *uestreos$ entrevistas$ t/cnicas de e1a*en analítico$

revisiones , conciliaciones( Veri.ican asi*is*o la e1actitud$ integridad ,

validez de la in.or*ación( Estas según el autor Aos/ )$ Ec2eni+ue5'996(

Evaluaci,n de la &eguridad0

Según Aos/ )$ Ec2eni+ue5'996( Cas co*putadoras son instru*entos+ue estructuran gran cantidad de in.or*ación$ la cual puede ser con.idencia

para individuos e*presas o instituciones , puede ser *al utilizada o

divulgadaD(

0urante *uc2o tie*po se consideró +ue los procedi*ientos de

auditoria , seguridad era responsabilidad de las personas +ue elabora los

siste*as sin considerar +ue son responsabilidad del #rea in.or*#tica en

cuanto a la elaboración de los siste*as$ del usuario en cuanto a la utilización

+ue se le de a la in.or*ación , a la .or*a de accesarla , del departa*ento

de auditoria interna , cuanto a la supervisión , dise;o de controles

necesarios(

a seguridad del #rea de in.or*#tica tiene co*o ob-etivos=

• Proteger la integridad$ e1actitud , con.idencialidad de la in.or*ación(• Proteger los activos ante desastres provocados por la *ano del 2o*bre ,

de actos 2ostiles(

• Proteger a la organización contra situaciones e1ternas co*o desastres

naturales , sabota-es(

1)



• En caso de desastre$ contar con los planes , políticas de contingencia

para lograr una pronta recuperación(

• 3ontar con los seguros necesarios +ue cubran las p/rdidas econó*icas

en caso de desastres(

&eguridad L,gica0

a seguridad lógica se encarga de los controles de acceso +ue est#n

dise;ados para salvaguardar la integridad de la in.or*ación al*acenada en

los e+uipos de la institución$ especí.ica*ente en los servidores de la unidad

de siste*as , e+uipos esencial en el +ue2acer ad*inistrativo de lainstitución$ así co*o de controlar el *al uso de la in.or*ación( Estos

controles reducen el riesgo de caer en situaciones adversas(

Se puede decir entonces +ue un inadecuado control de acceso lógico

incre*enta el potencial de la institución para perder in.or*ación$ o bien para

+ue esta sea utilizada de .or*a inadecuada asi*is*o$ esto 2ace +ue se vea

dis*inuida su de.ensa ante co*petidores$ el cri*en organizado$ personal

desleal , violaciones accidentales(

a .alta de seguridad lógica o su violación puede traer co*o

consecuencias a la institución=

• 3a*bio de los datos antes o cuando se le da entrada a la

co*putadora(

• 3opias de progra*as o in.or*ación(

• 3ódigo oculto en un progra*a(

• Spa*( "usanos$ Fe,logger

1(



a seguridad lógica puede evitar una a.ectación de p/rdida de

registros$ a,uda a conocer el *o*ento en +ue se produce un ca*bio o

.raude en los siste*as(

&eguridad #ísica0

a seguridad .ísica 2ace re.erencia en relación a salvaguardar los

e+uipos de có*puto de la institución( )ctual*ente se considera

e1tre*ada*ente peligroso tener el centro de có*puto en las #reas de alto

tr#.ico de personas$ o bien en un lugar cercano a la calle o con un alto

nú*ero de invitados$ ade*#s el e1cesivo .lu-o de personal inter.iere con lae.iciencia en el traba-o , dis*inu,e la seguridad(

4tros ele*entos re.erentes al *aterial , construcción de la

in.raestructura del centro de có*puto con los +ue se debe tener precaución

son los *ateriales alta*ente in.la*ables$ +ue despiden 2u*os su*a*ente

tó1icos(

En lo posible ta*bi/n se debe to*ar precauciones en cuanto a la

orientación del centro 5por e-e*plo$ lugares su*a*ente calurosos a los +ue

todo el día les est# dando el sol6$ , se debe evitar en lo posible los grandes

ventanales los cuales ade*#s de per*itir la entrada del sol$ pueden ser

riesgosos para la seguridad(

0e acuerdo a lo anterior el centro de co*puto debe prever espacio

para lo siguiente=

• )l*acena*iento de e+uipos

• Papel para la i*presora

• Mesas de traba-o

11



• E+uipo de teleco*unicaciones

• Grea de progra*ación

• Grea de recepción

• 3o*putadoras

En cuanto al aíre acondicionado se debe veri.icar la te*peratura

*íni*a , *#1i*a así co*o la 2u*edad relativa con la +ue traba-an los

e+uipos(

Uno de los dispositivos +ue deben ser evaluados , controlados con

*a,or cuidado es la instalación el/ctrica$ ,a +ue no sola*ente puede

provocar .allas de energía +ue pueden producir p/rdidas de in.or*ación , de

traba-o$ sino +ue es uno de los principales provocadores de incendios(

Ta*bi/n se debe evaluar el adecuado .unciona*iento del siste*a

el/ctrico , su*inistro de energía(

13



I"&T-U(E"TO !E -E$OLE$$I%" !E !ATO&

En cuanto a la seguridad #ísica

Item SI ? 74¿Existen medidas de seguridad en la unidad de sistemas?¿Se controla el trabajo fuera de horario?¿Se registran las acciones de los operadores para evitar querealicen alguna que pueda dañar la información guardada enlos servidores?¿En la entrada de la unidad de sistemas existe vigilancia?¿El edificio donde se encuentra la computadora está situado asalvo de (inundación !uego "erremoto Sabotaje?¿"iene la unidad de sistemas v#a de escape?¿$ueden ser rotos los vidrios con facilidad?¿Existe alarma para detectar fuego?¿Existen extintores de fuego?¿Saben qu% hacer los operadores de los servidores en caso de

que ocurra una emergencia ocasionada por fuego?¿&os servidores cuentan con '$S?¿Está distribuida correctamente la carga el%ctrica?¿El área tiene aire acondicionado?

En cuanto a la seguridad L,gica

Item Respuesta¿Se realian frecuentemente respaldo de la información

contenida en los servidores(bases de datos archivos de

configuración entre otros)

¿*on que frecuencia se realian los respaldos (+iario ,

-ensual , .nual , /unca)?¿Se cuenta con pol#ticas de seguridad establecidas para elacceso a los servidores?¿Se utilian claves fuertes en estos equipos?¿Se cambian con frecuencia las claves de servidores 0equipos?¿Existen restricciones de acceso a carpetas compartidas?¿&os servidores cuentan con fire1all?¿ $oseen antivirus en caso de los equipos tener instalado elsistema operativo 1indo1s?¿ Se pide clave para ingresar a los servidores?¿&o puertos no utiliados se encuentran cerrados?¿Se revisan constantemente los log para evitar solventarposibles fallos de seguridad?¿ Se instalan actualiaciones de seguridad?¿En las conexiones remotas se encuentra restringido el accesocon la cuenta root?¿El servidor 1eb permite listas ficheros?

14



1-



$UE&TIO"A-IO

En cuanto a la seguridad #ísica

Ite* SI ?74

¿Existen medidas de seguridad en la unidad de sistemas? 74¿Se controla el trabajo fuera de horario? 74¿Se registran las acciones de los operadores para evitar que realicen algunaque pueda dañar la información guardada en los servidores?

74

¿En la entrada de la unidad de sistemas existe vigilancia? 74¿El edificio donde se encuentra la computadora está situado a salvo de(inundación !uego "erremoto Sabotaje?

74

¿"iene la unidad de sistemas v#a de escape? 74¿$ueden ser rotos los vidrios con facilidad? SI

¿Existe alarma para detectar fuego? 74¿Existen extintores de fuego? SI¿Saben qu% hacer los operadores de los servidores en caso de que ocurra unaemergencia ocasionada por fuego?

SI

¿&os servidores cuentan con '$S? SI¿Está distribuida correctamente la carga el%ctrica? 74¿El área tiene aire acondicionado? SI

En cuanto a la seguridad L,gica de los &ervidores

Ite* Respuesta¿Se realian frecuentemente respaldo de la información contenida en

los servidores(bases de datos archivos de configuración entre otros)

SI

¿*on que frecuencia se realian los respaldos (+iario , -ensual ,

.nual , /unca)?

0I)RI4

¿Se cuenta con pol#ticas de seguridad establecidas para el acceso alos servidores?

74

¿Se utilian claves fuertes en estos equipos? SI¿Se cambian con frecuencia las claves de servidores 0 equipos? 74¿Existen restricciones de acceso a carpetas compartidas? SI¿&os servidores cuentan con fire1all? SI¿ $oseen antivirus en caso de los equipos tener instalado el sistemaoperativo 1indo1s? SI¿ Se pide clave para ingresar a los servidores? SI¿&o puertos no utiliados se encuentran cerrados? SI¿Se revisan constantemente los log para evitar solventar posiblesfallos de seguridad?

74

¿ Se instalan actualiaciones de seguridad? SI

16



¿En las conexiones remotas se encuentra restringido el acceso con lacuenta root?

SI

¿El servidor 1eb permite listas ficheros? SI

17



-E$O(E"!A$IO"E&

En cuanto a seguridad física0

Según el an#lisis$ la seguridad .ísica es uno de los aspectos *#s

olvidados en el #rea de siste*as del IUT de os llanos$ es relativa*ente .#cil

acceder a los servidores( 3o*o consecuencia es *#s .#cil para un atacante

entrar , to*ar dispositivos de al*acena*iento con data sensible +ue realizar

un ata+ue lógico a los *is*os( En tal sentido 2ace*os reco*endaciones

en.ocadas a cubrir a*enazas ocasionadas tanto por el 2o*bre co*o por la

naturaleza del *edio .ísico en +ue se encuentra ubicada la unidad desiste*as(

• 0esastres naturales$ incendios accidentales e inundaciones(

• 0eben sustituirse los *uebles actuales por *obiliario inco*bustible(

• 0eben sustituirse los cestos de pl#sticos por unos *et#licos(

• 0eben reducirse al *íni*o los *ateriales pl#sticos e in.la*ables

dentro del #rea de siste*as(• Se debe asegurar +ue el tec2o del recinto sea i*per*eable(

• 0eben instalarse *ecanis*os de ventilación , detección de incendios

adecuados(

• El personal designado para usar e1tinguidores de .uego debe ser

entrenado en su uso(

• 0eben instalarse siste*as de detección de incendio auto*#tico(

• Su*inistrar in.or*ación$ de la Unidad de Siste*as al departa*ento debo*beros$ de *odo +ue si se produce un incendio est/n consciente

de las particularidades , vulnerabilidades del siste*a$ por e1cesivas

cantidades de agua(

• Se reco*ienda un estudio analítico de posibles causas de

1



inundaciones a la Unidad de Siste*as(

• Solicitar c2arlas de seguridad al departa*ento de bo*beros dirigidas

a la prevención de incendios(

Amena.as ocasionadas por el 3ombre

0eben establecerse controles de acceso al #rea de siste*as para

evitar acciones del tipo=

• Robo$ Tanto de e+uipos co*o de in.or*ación(

• Hraude$ debido al acceso a e+uipos de co*putación por parte de

personas no autorizadas(• Sabota-e$ debido al acceso a e+uipos de co*putación$ dispositivos de

redes$ etc( de personal no autorizado(

• 0ebe evaluarse , controlarse la seguridad .ísica de todo el edi.icio$ ,a

+ue e1isten o.icinas desde las +ue se puede acceder a la Unidad de

Siste*as , +ue se encuentran dentro del *is*o perí*etro de

seguridad(

E" $UA"TO A LA &EGU-I!A! LOGI$A

as reco*endaciones en el #rea de seguridad lógica son las siguientes=

• 3rear un *anual de nor*as , procedi*ientos +ue de.ina entre otras

cosas$ cuando debe darse de alta , ba-a a un usuario(

• 0esarrollar políticas de acceso a los servidores(

• Establecer periodos de caducidad para contrase;as(

• Revisar logs periódica*ente para detectar posibles intrusiones no

autorizadas(

• Establecer 2orarios de cone1ión para los usuarios(

1&



4I4LIOG-A#5A

• Ec2eni+ue Aos/5'996( )uditoria en In.or*#tica Editorial Mc "ra> ill

Intera*ericana( %da Edición (

• PI)TTI7I$ Mario , E*ilio del Peso( )uditoria In.or*#tica( Un en.o+ue

pr#ctico( Editorial R)JM)(

Proyecto pnf

Documents

Transcript of Proyecto pnf