EVALUACIÓN DE RYC Y PROTECCIÓN DE DATOS EN EL DIRECTORIO ACTIVO DE LA UNIVERSIDAD DEL MAGDALENA (ADMINPAK) Grupo # 4 Carlos Hernández Walter Berdugo Disneidy Brito Kevyn P. Chacuto Luis Rojas 1. Definición del sistema El Sistema de Administración del Directorio Activo de la Universidad Del Magdalena (Adminpak) es una herramienta software diseñada para establecer criterios de control-seguridad sobre el directorio activo de empleados de (contratistas, practicantes, docentes, directivos). La funcionalidad del sistema se basa en proporcionar un perfil a los usuarios teniendo en cuenta la dependencia a la cual están vinculados laboralmente asignando privilegios o permisos según sus tareas o actividades a realizar en el sistema. El control se realiza a nivel de software para que los usuarios no instalen programas no permitidos y para que haya un nivel de privacidad en la información de cada usuario.
2. Descripción del sistema El sistema se utiliza para la administración de las cuentas de usuario del personal vinculado laboralmente a la Universidad con el propósito de ejercer un mayor control sobre las actividades realizadas por los usuarios dentro de la red interna. Este control se basa en establecer perfiles a los usuarios de acuerdo a las labores inherentes a su cargo permitiendo o denegando permisos y/o accesos a los recursos de la red interna y externa; para tener un perfil de acceso el usuario debe hacer la petición en la oficina del Centro de Cableado, en donde se programa la acción de
creación del perfil, previa validación y certificación de la existencia del solicitante en el listado de personal activo de la Universidad del Magdalena que la oficina de Recursos Humanos entrega al Centro de Cableado y el visto bueno del director de esta parcela. Los usuarios son generalmente empleados de la Universidad con un equipo de cómputo asignado o al que tienen acceso y que están presencialmente la mayor parte del tiempo y con regularidad dentro de las instalaciones universitarias, a ellos se les crea una cuenta con correo interno para que se utilice en el envío/recepción de información de carácter institucional.
3. OBJETIVOS
General
Verificar el funcionamiento del Sistema de Administración del Directorio Activo de la Universidad del Magdalena, de acuerdo a los procesos que se realizan en el, considerando los riesgos, controles y oportunidades de mejora.
Específicos
Corregir posibles errores fomentando una cultura de inspección continua y objetiva. Analizar las fortalezas, debilidades y oportunidades para establecer de respaldo en caso de fallas.
3.1 ALCANCE Y LIMITACIONES El análisis del funcionamiento del Sistema de Administración del Directorio Activo de la Universidad del Magdalena se realizo en el periodo correspondido entre el 9 al 16 de Junio de 2009 y los procesos o actividades que han sido objeto de revisión son: creación de usuarios, soporte técnico y programación y ejecución de backups de respaldo.
3.2 PROCEDIMIENTOS DE AUDITORIA UTILIZADOS Para la realización de la auditoria fue necesario hacer una entrevista a un empleado del Centro de Cableado que nos facilito la información sobre el sistema y varias reuniones con el mismo empleado para conocer más a fondo la estructura interna y los procedimientos que se llevan a cabo en esa oficina.
4. ESTUDIO DE RIESGOS Y CONTROLES
ADMINPAK RIESGOS
ACCESO GENERAL
ACCESO A FUNCIONES DE PROCESAMIENTO
DESCRIPCION A nivel software se puede controlar el acceso no autorizado al sistema de administración y consecuentemente a los archivos de datos del mismo a través de la validación de usuario-contraseña que se bloquea después de determinados intentos fallidos (3 en este caso), la contraseña se puede cambiar a consideración del usuario, los cuales gestionan la protección de sus archivos personales y el acceso a su perfil. El acceso físico lo realiza el personal del Centro de Cableado a la dependencia del solicitante para dar soporte técnico. La documentación de los sucesos de l sistema registra el comportamiento de éste en los periodos de tiempo programados, esta documentación es revisada con frecuencia por el director de la oficina para considerar el nivel de seguridad del sistema que se complementa con la delegación
CONTROLES Contraseñas con una determinada longitud de caracteres alfanuméricos y combinación de estos. Bloqueo después de tres (3) intentos de validación de contraseña de acceso al sistema. Creación y clasificación de perfiles de usuario y establecimiento de permisos de acuerdo a las actividades propias de la función o cargo administrativo.
Las ejecución de tareas o procesos están designadas en todo el personal, a través de la individualización se comparten las tareas, se asignan responsabilidades y se logra un mayor control sobre el sistema.
4
ADMINPAK
INGRESO DE DATOS
de funciones a los empleados de la oficina del Centro de Cableado. Antes de la creación de un usuario, este debe estar relacionado en una lista de empleados activos que previamente ha cedido Recursos Humanos al Centro de Cableado y si el empleado solicita la creación de un perfil, se le piden unos datos, que se confrontan con los datos de la lista para evitar imprecisiones y suplantaciones. La creación de la cuenta solo se produce cuando los datos son confirmados. Al terminar el periodo de contrato se deshabilitan las cuentas de usuario de los contratistas a los cuales este les expira pero los datos no se borran inmediatamente pues se espera el nuevo periodo de contratación para determinar si los datos serán mantenidos, actualizados o desechados (generalmente en los casos de contratistas)
Comprobación de los datos suministrados por el usuario y los obtenidos de la lista cedida por Recursos Humanos. Programación y seguimiento a la actividad de creación de usuario, habilitación/deshabilitación de cuentas y ejecución de backups de respaldo.
5
ADMINPAK
ITEMS RECHAZADOS SUSPENSO
O
EN
PROCESAMIENTO
ESTRUCTURA ORGANIZATIVA DEL DEPARTAMENTO DE SISTEMAS
Las actividades programadas son realizadas eficientemente, sin embargo se realiza una revisión a cargo del director para verificar que las tareas se cumplen dentro de los plazos fijados y en forma correcta y completa. Las respuestas a las peticiones habitualmente se realizan de manera eficiente pero la existencia de un archivo o formato físico daría mas robustez a los procesos de creación de usuarios y programación y ejecución de backups, además serviría como un indicador de los procesos que se realizan y el seguimiento de los mismos.
Rutinas de revisión periódica sobre el sistema y manejo de plazos para actividades programadas.
El departamento esta claramente estructurado aunque los procedimientos no siempre se ejecutan satisfactoriamente de acuerdo a las normas de calidad (en el caso de soporte técnico). El
Las ejecución de tareas o procesos están designadas en todo el personal, a través de la individualización se comparten las tareas, se asignan responsabilidades y se logra un
Actualización del registro de consecutivos para llevar un orden de las peticiones recibidas, estos consecutivos llevan una secuencia en cola de las solicitudes e impiden que se repita el numero de una solicitud. Los archivos que se guardan se relacionan con el contenido de los mismos para dar una noción de lo que se guarda. Los mensajes de confirmación de envío/recepción quedan a opción del usuario que puede añadir un aviso de recepción y/o lectura (en el caso del correo interno)
6
ADMINPAK
CAMBIOS A LOS PROGRAMAS
procesamiento de datos se hace adecuadamente. Los cambios a los programas se deben ejecutar de acuerdo a la situación y solo por parte de la persona que ha sido designada y capacitada para realizar esta función, para ello se documenta y se comunica las modificaciones.
mayor control sobre el sistema. Previo a un cambio realizado por el administrador o la persona encargada, se comunica y se documenta los cambios y posibles capacitaciones (en caso de ser necesario)
7
ADMINPAK 5. PROTECCIÓN DE DATOS
Finalidad La información que le proporcional al administrador del sistemas referente a los usuarios es aquella que tiene ver con el cargo a ocupar, para que el administrador del sistema tenga claro el perfil y que tipo de cuenta crear al nuevo usuario. Entre los datos que se recolectan de los usuarios encontramos el cargo a ocupar, el tipo de contrato, la oficina donde se ubica y en caso del usuario requiera un software especial deben informarlo al administrador del sistema para que le instale las herramientas necesarias para su trabajo.
Pertinencia Los datos que obtienen de cada usuario están respectivamente justificados puesto que estos tienen que ver con los requerimientos necesarios para crear el perfil del usuario de acuerdo a las tareas de cada uno, es por ello que los datos solicitados del usuario son pertinentes pues, permiten una mejor administración del directorio.
Utilización abusiva No hay utilización abusiva de los datos, ya que la información que se obtiene de cada usuario solo se solicita con el fin de que ayude en la creación del perfil del usuario y para mantener un control sobre el directorio, y no tiene otra utilidad.
Exactitud Los datos se actualizan cada 6 meses, en el inicio del semestre; este proceso consiste en que en cada inicio de cada semestre se obtiene un listado del personal que todavía esta activo en la institución a los cuales se les van a conservar sus cuentas, dicho listado contienen información actualizada
de cada usuario y
aquellos que no estén en el listado se dan de baja del sistema.
8
ADMINPAK Derecho al olvido Cuando un usuario es desvinculado de la institución durante el desarrollo del semestre académico; el administrador del sistema recibe la notificación donde se le informa el tratamiento que se le debe dar al proceso de dar de baja al usuario del sistema. Si el usuario estaba vinculado de la institución y al iniciar el semestre este no es nuevamente vinculado el administrador los da de baja del sistema.
Consentimiento En el Sistema de Administración del Directorio Activo de la Universidad Del Magdalena los usuarios autorizan para que se les creen las cuentas de usuarios, con correo interno para que se utilice en el envío/recepción de información de carácter institucional. El usuario está enterado del tratamiento que se les da a los datos recolectados
Protección especial El sistema de administración del directorio activo de la universidad del magdalena no cuenta con protección especial, los datos recolectados son protegidos de igual forma para todos los usuarios. Se proporcionan perfiles a los usuarios teniendo en cuenta la dependencia a la cual están vinculados laboralmente asignando privilegios o permisos según sus tareas o actividades a realizar en el sistema..
Seguridad El sistema establece controles de seguridad a nivel de hardware, software y a nivel organizativo. Los controles de seguridad
A nivel de software se realizan para que los usuarios no instalen programas no permitidos y para que haya un nivel de privacidad en la información de cada usuario para que personas ajenas al sistema no se apropien de los mismos. A los
9
ADMINPAK administradores del sistema se les proporcionan claves de acceso para que no se puedan extraer datos de los usuarios. A nivel de hardware se les garantizan medidas de seguridad con contraseñas administrativas para prevenir que personas mal intencionadas
accedan al
sistema. Se le proporcionan seguros para restringir el acceso al hardware interno, seguros en el chasis. También se restringe el acceso a personal no autorizado a las instalaciones del sistema. Seguridad a nivel organizativo se establecen Documentos de Seguridad de las funciones y obligaciones de grupos de usuarios y/o perfiles, Listado de personal con privilegios administrativos informáticos sobre aplicaciones y ficheros. No todas las personas que laboran en el sistema tienen los mismos beneficios en el acceso y manipulación de la información.
Acceso individual Los usuarios del sistema de Administración del Directorio Activo de la Universidad Del Magdalena no cuentan con copias de los datos tratados en este sistema. Desconocen si los datos son inexactos, no son constantes las actualizaciones de los datos y es muy frecuente encontrarse con datos inexactos. Se hacen recolecciones y actualizaciones de datos en periodos de tiempo no muy cortos.
Publicidad Actualmente el sistema no cuenta con un diseño de los archivos de datos públicos y privados, los diseños de estos archivos de datos no son publicados a los usuarios, estos son privados. No existen información publicada referente al manejo y diseño de los archivos de datos.
10
ADMINPAK CONCLUSIONES La auditoria se ha convertido en una herramienta de evaluación del funcionamiento de las empresas, en ella se emplean técnicas de recolección de datos y análisis de los procesos internos y externos. En lo que nos compete, la auditoria informática intenta propender por la operatividad de los sistemas. La operatividad es una función de mínimo consistente en que la organización y las maquinas funcionan, siquiera mínimamente. No es admisible detener la maquinaria informática para descubrir sus fallos y comenzar de nuevo. La auditoria debe iniciar su actividad cuando los Sistemas están operativos, lo cual constituye el principal objetivo a mantener. Tal objetivo debe conseguirse tanto a nivel global como parcial. Es por ello, por lo que la operatividad de los Sistemas ha de constituir entonces la principal preocupación del auditor informático. Para conseguirla hay que acudir a la realización de controles técnicos, generales de operatividad y control técnicos específicos de operatividad.
RESUMEN DE INCIDENCIAS ENCONTRADAS ACCESO GENERAL
El no uso de un carnet de identificación supone un riesgo de acceso físico a archivos de datos y a programas que pueden ser copiados, modificados o eliminados.
11
ADMINPAK PROCESAMIENTO
La existencia de un archivo físico daría mas soporte en la creación de usuario y en general a las peticiones que se reciben.
ESTRUCTURA ORGANIZATIVA DEL DEPARTAMENTO DE SISTEMAS Se requiere hacer un seguimiento de las peticiones atendidas para confirmar la satisfacción de los usuarios y cumplir así con las normas de calidad referentes a la atención del usuario.
RECOMENDACIONES
ACCESO GENERAL Incidencia.: El no uso de un carnet de identificación supone un riesgo de acceso físico a archivos de datos y a programas que pueden ser copiados, modificados o eliminados. Recomendación.: Renovación de los carnets de identificación interna, los cuales deben estar en un lugar visible y corresponder al apoderado para garantizar que el acceso físico a los equipos computacionales y al sistema se haga de manera segura y evitar suplantaciones que pongan en riesgo la seguridad de los archivos de datos y los programas. Los usuarios que requieran un servicio deben exigir la portabilidad del carnet a los empleados que a su necesitan pedirlo y tenerlo en su poder cuando se solicite sus servicios. El personal encargado de seguridad física a su vez es responsable de dotar a los empleados de carnets y exigir su uso, además de renovarlo cuando sea necesario.
12
ADMINPAK PROCESAMIENTO Incidencia.: La existencia de un archivo físico daría mas soporte en la creación de usuario y en general a las peticiones que se reciben. Recomendación.: Con la existencia de un archivo físico que relacione la creación y las peticiones realizadas por los usuarios se da un soporte con mayor credibilidad y a su vez sirve de referente histórico y base de consulta bibliográfica cuando se requiera. Es muy común ver carpetas denominadas A-Z en los que se pueden archivar los formatos de acciones ejecutadas y pueden ser marcados de acuerdo al tipo de formatos que guardan, por ejemplo: Solicitudes de acceso.
ESTRUCTURA ORGANIZATIVA DEL DEPARTAMENTO DE SISTEMAS Incidencia.: Se requiere hacer un seguimiento de las peticiones atendidas para confirmar la satisfacción de los usuarios y cumplir así con las normas de calidad referentes a la atención del usuario. Recomendación.: Las recientes normas técnicas sugieren un estándar sobre la atención al usuario, a partir de allí y si se quiere promover el cumplimiento de normas y estándares de calidad internacionales, es necesario brindar un soporte técnico de garantías que haga seguimiento de principio a fin que ratifique el correcto funcionamiento del sistema.
13