Informe Final De Auditoría.docx

Auditoría del Sistema de Información “AULA VIRTUAL”

Informe Final

Equipo de Trabajo Jefe de Equipo: Rivero Valencia, Christian Integrantes: Azabache Granda, Vicente Zagastizabal Ruiz, Christian Cruzado Rojas, Joes

Supervisor: Ing. Jaime E. Díaz Sánchez Período: Marzo - Julio 2018 Trujillo – Perú

INFORME LARGO DE AUDITORÍA AL SISTEMA DE INFORMACIÓN OFICINA VIRTUAL DEL COLEGIO DE INGENIEROS DEL PERÚ - SEDE LA LIBERTAD 1. Presentación El documento que se presenta a continuación sintetiza las acciones tomadas en el desarrollo de la Auditoria de Sistema de Información “Oficina Virtual” de El Colegio de Ingenieros del Perú - Sede La Libertad, en el marco del Curso Auditoría y Seguridad de Sistemas de Información correspondiente al Semestre 2018-10. Esta auditoría comenzó el día 04 de abril hasta el 05 de julio del 2018, teniendo un total de horas. Los comentarios y observaciones presentadas en este informe tienen como fin fortalecer la gestión de los recursos y servicios informáticos, en el esquema de contribución al proceso de desarrollo informático. Es menester reconocer el apoyo recibido del personal de la institución, quien en todo momento facilitó y apoyó el trabajo realizado.

Resumen Ejecutivo El presente Informe Final se basa en la realización de una auditoría al Colegio de Ingenieros del Perú - Sede La Libertad donde el objeto a evaluar es el Sistema de Información “Oficina Virtual” el cual apoya al proceso de gestión académica para el C.I.P. La auditoría se desarrolló entre el día 04/04/2018 y el 05/07/2018, teniendo como Objetivo General: “Evaluar la seguridad de la información del Sistema del Aula virtual del Colegio de Ingenieros del Perú (INFOCIP)”; de este Objetivo General se eligieron 4 Objetivos Específicos los cuales son: Evaluar controles de acceso de usuarios del Aula virtual, evaluar la integridad de la base de datos del Aula virtual, evaluar la infraestructura física del centro de datos y evaluar la usabilidad del aula virtual. Los cuales han sido evaluados tomando como base la NTP-ISO/IEC 27001(2014). Los resultados evidenciados respecto a los objetivos específicos de la auditoría, permitieron afirmar que tanto la base de datos como el sistema “Aula Virtual” presentan ciertas deficiencias importantes respecto de lo estipulado en la normativa vigente. En consecuencia, no permite asegurar la protección del Sistema y de la base de datos ni de los Servidores por su ubicación en las instalaciones del C.I.P. de los efectos negativos que el mal uso de lo mencionado ocasiona.

2. Equipo Auditor La Auditoría fue realizada por: N°

Rol

Apellidos y Nombres

DNI

Estatus

I. D.

1

Jefe de Equipo

Rivero Valencia, Christian

46759961

Estudiante ICSI

000140980

2

Especialista en Base de Datos

Zagastizabal Ruiz, Christian

77299808

Estudiante ICSI

000132138

3

Especialista en Documentación

Cruzado Rojas, Joes

76688870

Estudiante ICSI

000131961

4

Especialista en Desarrollo

Azabache Granda, Vicente

47582994

Estudiante ICSI

000144594

5

Supervisor

Díaz Sánchez, Jaime

19210676

Docente ICSI

0000861

Fotografía

3. Proceso seleccionado El proceso elegido es el de “Gestión Académica” que está dentro del área independiente infoCIP del Colegio de Ingenieros del Perú (C.I.P) sede La Libertad, la cual realiza cursos de capacitación, para su autofinanciamiento, mediante los cuales brinda a colegiados y no colegiados la posibilidad de certificarse en el uso de algún programa informático. Los subprocesos internos que manejan para la realización de un curso son: -

Registro de nuevos cursos. Programación de cursos en distintos horario. Contratación de docentes. Inscripción o matrícula de alumnos. Registro de notas. Emisión de Certificados. Si es necesario, la entrega de material adicional para el desarrollo del curso(diapositivas,separatas,etc.)

PICTOGRAMA DEL PROCESO

FIG. PICTOGRAMA DEL PROCESO DE GESTIÓN ACADÉMICA

4. Descripción del Sistema de Información

El sistema está integrado por las siguientes características: ●

●

Lenguaje de programación/ Gestor de Base de Datos/ Desarrollo

-

Lenguaje de Programación: PHP 5

-

Gestor de Base de Datos: MySQL XAMP 4.8.0.1

-

Servidor: HP ProLiant ML10 v2

-

Metodología de Desarrollo: Iconix.

Requerimiento Mínimos Técnicos:

-

Procesador: core i3.

-

RAM: 4 Gb.

-

Almacenamiento: 500 Gb.

-

Sistema Operativo: Centos 7

-

Arquitectura: 32 bits.

Módulos: Módulo de Gestión de Curso: 1) 2) 3) 4)

Gestión de los cursos. Asignación de una cuenta de ingreso al curso. Asignación de horas académicas Para Diplomados (asignar módulo por curso generando un detalle de información). 5) Asignación de un docente principal. Módulo de Gestión de Docentes: 1) Registro del staff de docentes, varía si el docente está colegiado, según las políticas de la organización. 2) No se puede eliminar el registro de un docente que cuente con un historial de cursos dictados, solamente se le da de baja. 3) Registro de la asistencia de los alumnos. Módulo de gestión de horarios: 1) 2) 3) 4) 5) 6) 7)

Verifica los cursos y docente registrados. Asignación de fecha de inicio y fin a los horarios registrados. Asignación de horas (horario inicio y fin de los cursos registrados). Asignar la capacidad de alumnos permitidos por curso. Asignar laboratorios o ambientes. Validar que no haya cruce de horarios o de aulas. Calendariza los días que se va realizar el curso teniendo en cuenta la fecha inicio y fin. 8) Prórroga de finalización de curso. Módulo de Gestión de Matrícula: 1) Nuevo registro del alumno en caso que no esté registrado. 2) Validar que el horario exista y también la asignación de horario. 3) Validar pago realizado para el curso que está llevando el alumno. 4) Validar el pago de curso que no están habilitados. 5) Registrar la matrícula. Módulo de Gestión de Certificados: 1. Listado de alumnos que están aptos para la emisión de certificado, según la escala de evaluaciones de INFOCIP. La Oficina Virtual cuenta con los Siguiente Usuarios 1) Administrador 2) Colegiado 3) Externo

Arquitectura de la Empresa Fig.01 Arquitectura del INFOCIP. ● Oficina Virtual

Fig. 02 - Oficina Virtual/Usuario Administrador

MÓDULOS DISPONIBLES DEL SISTEMA: Gestión de curso, alumno, docente, matrícula, horarios y certificados. GESTOR DE BASE DE DATOS: MySQL 7.2.6 (PHPmyadmin) ESTACIONES DE TRABAJO: Capítulo de sistemas 5. Objetivos de la Auditoría (Alcance) a. Objetivo General

Evaluar la seguridad de la información del Sistema del Aula virtual del Colegio de Ingenieros del Perú (INFOCIP). b. Objetivos Específicos

OE1. Evaluar controles de acceso de usuarios del Aula virtual. OE2. Evaluar la integridad de la base de datos del Aula virtual. OE3. Evaluar la infraestructura física del centro de datos. OE4. Evaluar la usabilidad del aula virtual 6. Actividades y Cronograma de Auditoría Las actividades realizadas para el Proceso de Auditoría fueron: Las fueron programadas de la siguiente manera:

Nº

ACTIVIDAD O TAREA

1

Realizar visita preliminar

2

Elaboración de Plan de Auditoría

3

Elaboración de Cuestionario de Control Interno

4

Visita para contestar el cuestionario de control interno

la

SEMANAS 1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

5

Análisis del cuestionario

6

Ejecución de actividades presentadas en el programa de auditoría

6.1

Evaluar los controles de acceso de usuarios al Aula virtual

6.2

Verificar el nivel de información que tiene acceso cada perfil de usuario

6.3

Verificar el proceso de acceso al sistema del aula virtual.

6.4

Evaluar la integridad de la B.D. del Aula virtual

6.5

Verificar la existencia de datos nulos en la base de datos.

6.6

Verificar duplicidad de los datos

6.7

Verificar la existencia de campos vacíos en la B. D.

6.8

Evaluar la infraestructura física del centro de datos.

6.9

Verificar la protección del hardware

6. 10

Verificar si los ambientes son adecuados para su funcionamient o.

7

Verificar los medios de almacenamie nto de datos

7.1

Evaluar la disponibilidad de la información del aula virtual

7.2

Verificar el nivel disponibilidad del sistema a nivel de usuario

7.3

Verificar la usabilidad del sistema

7.4

Verificar los canales de comunicación son los correctos para el funcionamient o del sistema

8

Presentación del informe de auditoría

7. Programa de Auditoría Evaluar los controles de acceso de usuarios al Aula virtual ●

Verificar el proceso de acceso al sistema del aula virtual.

●

Verificar el nivel de información que tiene acceso cada perfil de usuario

Evaluar la integridad de la base de datos del Aula virtual ●

Verificar la existencia de datos nulos en la base de datos.

●

Verificar duplicidad de los datos.

●

Verificar la existencia de campos vacíos en la base de datos.

Evaluar la infraestructura física del centro de datos. ●

Verificar la protección del hardware

●

Verificar los ambientes si son adecuados para su funcionamiento

●

Verificar los medios de almacenamiento de datos.

●

Perímetro de seguridad física

●

Controles físicos de entrada del personal

●

Protección contra las amenazas externas y de origen ambiental

Evaluar la usabilidad del aula virtual. ●

Verificar el nivel de disponibilidad del sistema a nivel de usuario.

●

Verificar la accesibilidad del sistema.

●

Verificar el diseño del contenido del sistema.

RESULTADOS

1. Aspectos Positivos ●

Existe un administrador de sistema que controla las cuentas de los usuarios el cual se encarga de gestionar los perfiles de los mismos. Anexo 0X

●

Las contraseñas de los diferentes tipos de usuarios están encriptadas.

●

Existe una validación en cada campo de texto en todos los formularios. Anexo 0X Usuario Docente y Alumno

●

La página web del INFOCIP es fácil de aprender en cuanto a su uso

●

El tiempo de respuesta para entrar al INFOCIP es rápida

●

Permite deshacer acciones realizadas, cuando el usuario comete un error durante la estancia de la página web (INFOCIP)

●

No existe sobrecarga de información en la página web (INFOCIP).

●

Si no se tiene una cuenta de acceso (usuario colegiado), puedes obtener un Registro de Usuario Externo CIP. Anexo 0X

●

En la página principal, se muestra una encuesta sobre en qué cursos a los usuarios les gustaría capacitarse, que sirve como referencia para poder aperturar o retirar algún curso. Anexo 0X

2. Aspectos Negativos (Observaciones)

2.1. NO EXISTE UNA CORRECTA VENTILACIÓN Y NO CUENTA CON UNA SEGURIDAD ADECUADA RELACIONADA A LA INFRAESTRUCTURA FÍSICA DEL ÁREA DEL DATA CENTER A.Condición/Situación En la revisión del Data Center del CIP, realizada el día 15 de junio del 2018 junto al Ing. Italo Cervantes Prieto en su calidad de Jefe del Área de INFOCIP, nos manifestó que originalmente el área del Data Center que está originalmente planeado para alojar uno, a lo cual se comprueba la falta de ventilación ya que está en constante calentamiento sin recibir su adecuada refrigeración y sin políticas de seguridad ante cualquier emergencia tal como se muestra en la figura 1.

Fig. 01. Data Center del CIP ● ● ● ● ● ●

El escenario en donde se encuentra el Data Center, no fue pensado para ello. No existen extintores automáticos. Se observó material inflamable dentro del cuarto del Data Center El cuarto está conformado por paredes paredes de DRYWALL con la existencia de deterioro por la humedad constante. Lo equipos no están instalados con aditamentos especiales antisísmicos. No cuenta con seguridad de acceso al Data Center.

b. Criterio Los hechos revelados demuestran que no se cumplió con: ●

El control “11.1.4 Protección contra las amenazas externas y ambientales”, establece que “Se debería diseñar y aplicar una protección física contra desastres naturales, ataques maliciosos o accidentes”, del Objetivo de Control “evitar el acceso físico no autorizado, los daños e interferencias a la información de la organización y las instalaciones de procesamiento de la información” del punto “11.1 Áreas seguras” de la ISO/IEC 27002:2015.

●

El control “11.1.3 Seguridad de oficinas, despachos y recursos”, establece que “Se debería diseñar y aplicar un sistema de seguridad física a las oficinas, salas e instalaciones de la organización”, del Objetivo de Control “evitar el acceso físico no autorizado, los daños e interferencias a la información de la organización y las instalaciones de procesamiento de la información” del punto “11.1 Áreas seguras” de la ISO/IEC 27002:2015.

●

El control “11.1.1 Perímetro de seguridad física”, establece que “Se deberían definir y utilizar perímetros de seguridad para la protección de las áreas que contienen información y las instalaciones de procesamiento de información sensible o crítica”, del Objetivo de Control “evitar el acceso físico no autorizado, los daños e interferencias a la información de la organización y las instalaciones de procesamiento de la información” del punto “11.1 Áreas seguras” de la ISO/IEC 27002:2015.

c. Causas ● ● ● ●

No se realizó un plan para la ubicación del Data Center. No se tomó las medidas adecuada para la operatividad del Data Center. No se cuenta con políticas de acceso al Data Center. No cuenta con un mantenimiento constante.

Fig.- Diagrama de ISHIKAWA d. Efecto Dado a que es posible (3) que personas mal intencionadas ingresen al área Data center sin autorización, es de vital importancia calificar a este evento como un posible hecho catastrófico (4) ya que está en riesgo la manipulación de la información o pérdida de información para la organización.

IMPACTO

(5)

ALTO

EXTREMO

ALTO

ALTO

Moderado (2)

MODER MODERADO

EXTREMO EXTREMO

ALTO

ALTO

EXTREMO

MODER

ALTO

ALTO

MODERAD

ALTO

ADO BAJO

BAJO

ADO

Menor (1)

EXTREM O

Mayor (3)

EXTREMO EXTREMO

O

Catastrófico

(4)

EXTREM

BAJO

BAJO

BAJO

O

Insignificante

(1)

(2)

(3)

(4)

(5)

Raro

Improbable

Posible

Probable

Casi Certero

PROBABILIDAD 2.2. NO HAY EVIDENCIAS DE POLÍTICAS DE SEGURIDAD RELACIONADAS CON LA SEGURIDAD DE LA INFORMACIÓN. a. Condición En la revisión del data center del CIP, realizada el día 15 de junio del 2018 junto al señor Italo Cervantes Prieto en su calidad de Jefe del área de INFOCIP, nos manifestó que originalmente no cuenta con ninguna política de seguridad de la información, Debido a ello se pudo evidenciar: ● ● ● ● b. Criterio

NO existe una política que determine la prohibición de acceso de usuarios NO existe una política de desbloqueo de cuentas de usuario NO existe una política de creación de cuentas de usuario NO existen políticas de control de acceso.

Los hechos revelados indican que no se cumplió con: ●

El control “5.1.1 Políticas para la seguridad de la información”, establece que “Se debería definir un conjunto de políticas para la seguridad de la información, aprobado por la dirección, publicado y comunicado a los empleados así como a todas las partes externas relevantes”, del Objetivo de Control “Dirigir y dar soporte a la gestión de la seguridad de la información en concordancia con los requerimientos del negocio, las leyes y las regulaciones” del punto “5.1 Directrices de la Dirección en seguridad de la información” de la ISO/IEC 27002:2015.

●

El control “5.1.2 Revisión de las políticas para la seguridad de la información”, establece que “Las políticas para la seguridad de la información se deberían planificar y revisar con regularidad o si ocurren cambios

significativos

para

garantizar

su

idoneidad,

adecuación

y

efectividad”, del Objetivo de Control “Dirigir y dar soporte a la gestión de la seguridad de la información en concordancia con los requerimientos del negocio, las leyes y las regulaciones” del punto “5.1 Directrices de la Dirección en seguridad de la información” de la ISO/IEC 27002:2015.

c.Causa (Espina de Ishikawa)

d.Efecto Dado a que es casi certero (5) que el manejo de políticas organizacionales influya de manera crítica (5) en el manejo de la organización, se aconseja definirlas.

IMPACT O

(5)

ALTO

EXTREMO

EXTREMO

EXTREMO

EXTREMO

ALTO

ALTO

EXTREMO

EXTREMO

EXTREMO

MODERA

MODERAD

ALTO

ALTO

EXTREMO

DO

O

BAJO

BAJO

MODERAD

ALTO

ALTO

MODERA

ALTO

Catastrófi co (4) Mayor (3) Moderado (2)

O

Menor (1)

BAJO

BAJO

BAJO

DO

Insignifica nte (1)

(2)

(3)

(4)

(5)

Raro

Improbable

Posible

Probable

Casi Certero

PROBABILIDAD 3.1 No existe una validación de datos en las cajas de texto del formulario registrar usuario del INFOCIP A.Condición/Situación En la revisión con respecto a la validación en el registro de usuario realizada el día 26/06/2018, se pudo observar que los datos no están correctamente validados por su tipo de campo y esto puede generar que haya datos ficticios o falsos dentro de la base de datos del sistema tal como se muestra en el anexo 0x B.Criterio Los hechos revelados demuestran que no se cumplió con: El control “ A.12.2.1 Validación de entrada de datos” Establece que “Se deberían validar los datos de entrada utilizados por las aplicaciones para garantizar que estos datos son correctos y apropiados” de la ISO/IEC 27002:2015. C.Causas ● ● ●

El tipo de datos no se compara con los que se está escribiendo. El pasarlo por alto a la persona que le tocó programar. La no validación de los campos con la base de datos.

Diagrama de Ishikawa d. Efecto Dado a que es posible (4) que personas mal intencionadas ingresen al registro de información, es de vital importancia calificar a este evento como un posible hecho catastrófico (4) ya que está en riesgo de que la información que se guarde en la base de datos sea errónea y; ocupe memoria y recursos en vano.

IMPACT O

(5)

ALTO

EXTREMO

EXTREMO

EXTREMO EXTREMO

ALTO

ALTO

EXTREMO

EXTREMO EXTREMO

ALTO

ALTO

Catastrófi co (4) Mayor (3) Moderado (2)

MODERA MODERAD DO

O

BAJO

BAJO

Menor (1)

BAJO

BAJO

MODERAD MODERA O

DO

BAJO

MODERA

ALTO

ALTO

ALTO

DO

Insignifica nte (1)

(2)

(3)

(4)

(5)

Raro

Improbable

Posible

Probable

Casi Certero

PROBABILIDAD

3.2 Existe una redundancia un mismo botón con respecto al inicio de sesión A.Condición/Situación En la revisión con respecto al inicio de sesión realizado el día 22/06/2018, se pudo observar que existe dos botones que hacen la misma función sistema tal como se muestra en el anexo 0x. B.Criterio Los hechos revelados demuestran que no se cumplió con: ●

El control “Capacidad de adaptación al usuario ” Establece que “Deberá el sistema adaptarse al usuario en la medida en que es capaz de modificarse para adecuarse al nivel de destreza del usuario en relación con una determinada tarea. ” de la ISO/IEC 9241:1998. C.Causas

-

Agregar botones al sistema sin haber analizado si antes estaba agregado No consultar con los usuarios sobre las nuevas funcionalidades que tiene el sistema

DIAGRAMA ISHIKAWA d. Efecto Dado a que es moderado (2) que las personas puedan confundirse al no saber que botón hará el inicio de sesión este evento como un posible hecho posible (3) ya que como sistema no está cumpliendo con la usabilidad.

IMPACT O

(5)

ALTO

EXTREMO

EXTREMO

EXTREMO

EXTREMO

ALTO

ALTO

EXTREMO

EXTREMO

EXTREMO

MODERA

MODERAD

ALTO

ALTO

ALTO

DO

O

BAJO

BAJO

MODERAD

MODERA

ALTO

O

DO

BAJO

MODERA

Catastrófi co (4) Mayor (3) Moderado (2) Menor (1) Insignifica nte

BAJO

BAJO

DO

ALTO

(1)

(2)

(3)

(4)

(5)

Raro

Improbable

Posible

Probable

Casi Certero

PROBABILIDAD

3.3. Existen campos vacíos en los datos de los usuarios del INFOCIP A.Condición/Situación En la revisión frente a la validación en las tablas de usuarios realizada el día 26/06/2018, se observó que existen algunos campos que están vacíos, no en la mayoría, pero sí en una mediana cantidad; esto va a generar incompletitud en la base de datos.

B.Criterio Los hechos revelados demuestran que no se cumplió con: ●

El control “ A.12.2.1 Validación de entrada de datos” Establece que “Se deberían validar los datos de entrada utilizados por las aplicaciones para garantizar que estos datos son correctos y apropiados” de la ISO/IEC 27002:2015. C.Causas -

Existen datos que fueron tomados hace muchos años, de ingenieros vitalicios, por ejemplo. Al momento de la captura de datos, no se contempló pedir cierta información, y no hubo actualizaciones posteriores. La no validación de los campos con la base de datos. La no asignación de “null” a los campos vacíos.

D. Efecto Dado a que es posible (4) que personas puedan obtener información errónea, pero los datos básicos se capturan al incio y más tiene que ver con datos adicionales o que fueron considerados luego de la captura de datos inicial, es un hecho moderado (2) pero sí debe tenerse cuidado con la data para mantener su integridad.

IMPACT O

(5)

ALTO

EXTREMO

EXTREMO

EXTREMO

EXTREMO

ALTO

ALTO

EXTREMO

EXTREMO

EXTREMO

MODERA

MODERAD

ALTO

ALTO

ALTO

DO

O

BAJO

BAJO

MODERAD

MODERA

ALTO

O

DO

BAJO

MODERA

Catastrófi co (4) Mayor (3) Moderado (2) Menor (1)

BAJO

BAJO

ALTO

DO

Insignifica nte (1)

(2)

(3)

(4)

(5)

Raro

Improbable

Posible

Probable

Casi Certero

PROBABILIDAD

3. Conclusiones a. Con respecto a los objetivos establecidos en la auditoría ●

La falla o falta de controles y políticas TI en la empresa representan un riesgo muy alto que predispone sucesos de origen físico y por personal produciendo un comienzo medio de peligrosidad.

●

Falla la validación de entrada de datos y eso puede ocasionar que se obtenga información sin ningún tipo de valor para la organización.

●

Falta usar técnicas de usabilidad y accesibilidad para que el sistema pueda adaptarse a las necesidades del usuario.

●

Falla de una forma no tan considerable al haber presencia de campos vacíos, que provienen de datos no capturados o no actualizados.

●

Con respecto a los roles y permisos de cada usuario, existe una política clara y definida.

●

El manejo de las contraseñas usa el método de encriptación lo cual ayuda a la seguridad para el acceso de la información.

b. Con respecto a las Observaciones ●

Definir controles de entrada y salida de los ambientes restringido, al personal no autorizado.

●

El servidor principal no está en un ambiente seguro, y no cuentan con alarmas de incendio en caso de emergencia. Así mismo no cuentan con ningún procedimiento de contingencia en caso de desastre natural.

●

Hacer un control de los usuarios que operan los equipos físicos.

●

Mitigar no la validación de entrada de datos.

●

Realizar wireframes y consultar con los usuarios si el sistema cumple con las expectativas de los usuarios para luego ponerlo en producción.

●

Realizar una actualización necesaria o colocar null a los campos vacíos, para buscar la integridad de los datos.

ANEXOS

CONTRATO PARA LA AUDITORÍA

El Sr. Cervantes Prieto, Italo Alessandro con DNI 44867773, confirma nuestro acuerdo concerniente a los términos del convenio y la naturaleza de los servicios que se llevará a cabo en la Empresa CIP “Colegio de Ingeniero del Perú”. Este convenio tendrá una vigencia de 4 meses iniciándose el 4 de abril del 2018

Nuestras obligaciones incluyen a. Reuniones iniciales. b. Aplicación de una auditoría. c. Presentación de reportes del progreso. d. Reporte final mediante un documento que incluya observaciones y recomendaciones para la implementación de los cambios propuestos.

Trujillo, 27 de marzo de 2018

SOLICITUD DE PERMISO PARA LA TOMA DE EVIDENCIAS FOTOGRÁFICAS

El que suscribe: Jefe de Sistemas e Informática

Doy mi consentimiento al Sr. Cruzado Rojas, Joes Enrique con D.N.I. N° 76886870 en representación de la Universidad Privada Antenor Orrego, para el uso o la reproducción de las secuencias filmadas en vídeo, fotografías o grabaciones del CIP. Entiendo que el uso de fotografías, videos o de grabaciones, será principalmente para fines de la enseñanza en el marco de la Práctica del Curso Auditoría de Sistemas de Información de la Escuela de Ingeniería de Computación y Sistemas (ICSI) de la Universidad Privada Antenor Orrego (UPAO), correspondiente al Semestre 2018-1.

Las secuencias filmadas pueden usarse para los siguientes fines: (Marcar lo que proceda) ☐ Las presentaciones en conferencias. ☐ Las presentaciones educativas. Se me informará acerca del uso de la grabación en vídeo o fotografías para cualquier otro fin, diferente a los anteriormente citados. Los datos solicitados serán confidenciales y únicamente utilizados para estudiar y evaluar. Nunca se publicarán los datos de una producción de manera independiente.

Trujillo, 3 de abril del 2018

APROBACIÓN DE ACCESO A LAS ÁREAS RESTRINGIDAS

El que suscribe: Jefe de Sistemas e Informática Doy mi consentimiento al Sr. Rivero Valencia, Christian José con D.N.I. N° 46759961 en representación de la Universidad Privada Antenor Orrego, para el acceso a las Áreas Restringidas del CIP. Que el presente sirva como caso de estudio para el curso Auditoria de Sistemas de Información de la Escuela de Ingeniería de Computación y Sistemas (ICSI) de la Universidad Privada Antenor Orrego (UPAO), correspondiente al Semestre 2017-2.

Queda prohibido el acceso a personas ajenas a la institución en día de trabajo inhábiles.

Trujillo, 20 de abril del 2018

SOLICITUD PARA ENTREVISTA CON EL PERSONAL DEL ÁREA DE TI

SR./SRA. Jefe de Sistemas e Informática Milagritos Rojales Alfaro, Por medio de la presente nos dirigimos a usted con la finalidad de solicitar una entrevista con el personal del área de TI de su empresa. Por lo expuesto solicito procedan a brindarme el acceso solicitado

Trujillo, 15 de junio del 2018

CheCklist Encargado y responsable Apellidos y nombres:

Ing. Italo Cervantes Prieto CIP: 149226

Fecha: 08-0618

Cargo:

Jefe de Sistemas e Informática

Hora: 6:30 pm

Evaluación de Seguridad de la Base de Datos

Nº 1 2 3 4 5 6 7 8 9 10

Evaluación de Seguridad de la Base de Datos Pregunta ¿Hay algún procedimiento para dar de alta a un usuario? ¿Hay algún procedimiento para dar de baja a un usuario? ¿Se revisan las copias de seguridad generadas? ¿Se guardan los registros de eventos? ¿Las copias de seguridad son encriptados? ¿Se ha probado restaurar alguna vez una copia de seguridad, para probar que las mismas se encuentren bien hechas? ¿Cuándo se necesita restablecer la base de datos, se le comunica al administrador? ¿Se documenta los cambios efectuado en la base de datos? ¿El motor de base de datos soporta herramientas de auditoría? ¿Existe algún plan de contingencia ante alguna situación no deseada en la Base de datos?

Si X X X X

No

X X X X X X

Evaluación de Seguridad de Datos

Nº 1 2 3 4 5 6 7 8 9 10

Evaluación de Seguridad de Datos Pregunta ¿El sistema cuenta con un firewall implementado? ¿Son seguras las contraseñas para el SGBD? ¿El acceso web cuenta con el protocolo HTTPS? ¿Existen copias de seguridad de las B. D? ¿Son frecuentes al menos una vez al día los backup programados? ¿La data crítica está replicada en dispositivos externos? ¿Hay normas internas que permitan asegurar la información en caso de intento de robo de la misma? ¿Se cuenta con software de protección como antivirus en la organización? ¿Existen scripts que automaticen las copias de seguridad de las B. D? ¿Se tiene en cuenta el tipo de hardware(marca, modelo,

Si X X

No

X X X X X X X X

tecnología) utilizado en el almacenamiento de datos? Evaluación de la Disponibilidad del S. I.

Nº 1 2 3 4 5 6 7 8 9 10

Evaluación del Sistema Operativo Pregunta ¿Quién es el responsable de garantizar la disponibilidad del S. I? Jefe de Sistemas ¿Se cuenta con un plan de contingencia? ¿Cuándo fue el último incidente que afectó la disponibilidad del S. I? Hace 1 Año ¿Se cuenta con un procedimiento para la mitigación de incidentes? ¿Existe un cronograma para la verificación del correcto funcionamiento de los equipos de contingencia? ¿Se elabora un reporte por cada incidente ocurrido? ¿Se cumple con estándares para garantizar la disponibilidad de los S. I? ¿La disponibilidad del S. I. varía de acuerdo a los diferentes usuarios? ¿Donde se encuentran instalados los equipos para garantizar la disponibilidad del S. I? En la empresa (CIP-CDLL) ¿Existe programas de capacitación para el personal encargado de los equipos que garantizan la disponibilidad del S. I?

Si X

No

X X X X X X X X X

Evaluación de Control de Acceso de Usuarios

Nº 1 2 3 4 5 6 7

8 9

10

Evaluación del Sistema Operativo Pregunta ¿Los usuarios se identifican según los perfiles? ¿Las contraseñas cambia cada cierto tiempo de forma periódicamente? ¿Existe un registro en donde se pueda controlar qué usuarios entran al sistema? ¿Cuando se quiere asignar un privilegio a un usuario se hace con previo permiso del administrador del sistema? ¿Existe un control para restringir y/o bloquear a usuarios no autorizados ? ¿Los usuarios tienen restricción de recursos según el perfil que tengan? ¿Suele comprobar si los programas no autorizados que se ejecutan en su sistema que potencialmente podría permitir a un usuario conectarse a través de la red? ¿Se cuenta con un manual de usuario? ¿Los administradores encargados de realizar las modificaciones tienen la formación y conocimientos adecuados? ¿Se envía información como tips y guías rápidas a los

Si X

No X

X X X X X

X X

X

usuarios, de las actividades cotidianas? Sistemas - Oficinal Virtual del Cip

Anexo 0X.-Intranet del CIP

Anexo 0X.-Lista de Horarios

Anexo 0X.-Lista de Asignatura

Anexo 0X.-Lista de Reservas/Matrículas

Anexo 0X.- Creación de Horario

Anexo 0X.-Búsqueda de Persona

Anexo 0X.-Horarios Activos-Usuario de Docente/Estudiante

Anexo 0X.-Encuestas para la apertura o cierre de cursos.

Anexo 0X.-Registro para usuarios externos a CIP.

Anexo 0X.-Data Center del CIP

Anexo 0X.-Instalación de la nueva ubicación del Data Center.

ANEXO VALIDACIÓN DE DATOS EN EL REGISTRO DE USUARIO

ANEXO VENTANA PRINCIPAL

ANEXO INICIO DE SESIÓN