4to Informe Auditoria

Fecha: 06 Noviembre del 2014

La SerenaIngeniería en InformáticaAuditoría Computacional

Auditoría ComputacionalEmpresa: Constructora Elqui Limitada.

Auditores: Esteban Muñoz ContrerasAxel Lanas Rojas

Maikol González EspejoDocente: Francisco Caiceo León

Asignatura: Auditoría Computacional

Auditoría Computacional

Índice

Índice.....................................................................................................................2

Tabla de Ilustraciones............................................................................................4

Índice de tablas......................................................................................................5

Introducción...........................................................................................................6

Objetivo general....................................................................................................7

Objetivos específicos.............................................................................................7

Carta de presentación............................................................................................8

Carta de Compromiso............................................................................................9

Tipo de auditoría..................................................................................................10

Situación actual de la empresa............................................................................10

Planificación de las auditorías..............................................................................13

Auditoría de hardware.........................................................................................15

Objetivo de auditoría de hardware......................................................................15

Instrumentos utilizados para la aplicación de la auditoría...................................15

Hardware de la empresa......................................................................................16

Análisis de los datos.............................................................................................17

Resultado del análisis realizado...........................................................................18

Auditoría de software..........................................................................................19

Objetivo de auditoría de software.......................................................................19


Software de la empresa.......................................................................................20

Análisis de datos..................................................................................................22


Análisis de cruce de datos Hardware – software.................................................23

Auditoría de ergonomía/ergonometría...............................................................23

Objetivo de auditoría de ergonomía....................................................................23



Constructora Elqui Limitada 2



Auditoría de cableado estructurado....................................................................32

Objetivo de la auditoría de cableado estructurado..............................................32




Auditoría de seguridad computacional................................................................36

Objetivo de la auditoría de seguridad computacional.........................................36




Auditoría de CPD..................................................................................................39

Objetivo de la auditoría de CPD...........................................................................39




Conclusión........................................................................................................... 42

Bibliografía...........................................................................................................43

Anexos................................................................................................................. 44

Anexo 01 - Carta de presentación........................................................................44

Anexo 02 - Carta de compromiso.........................................................................45

Anexo 03 - Entrevista hardware y software.........................................................47

Anexo 04 - Checklist ergonomía...........................................................................48

Anexo 5 - Tabla de recopilación de información de hardware.............................50

Anexo 6 - Tabla de recopilación de información de software..............................52

Anexo 7 – Acta de reuniones con la constructora realizada................................53

Anexo 8 – Encuesta para la auditoría de cableado estructurado.........................55

Anexo 9 – Encuesta para la auditoría de seguridad computacional.....................56

Anexo 10 – Checklist para auditoría de CPD........................................................57



Tabla de Ilustraciones

Ilustración 1 Carta de presentación.......................................................................8Ilustración 2 Carta de compromiso........................................................................9Ilustración 3 Organigrama General de la empresa...............................................11Ilustración 4 Planificación Primera y Segunda visita...........................................13Ilustración 5 Planificación Tercera visita..............................................................13Ilustración 6 Planificación Cuarta y Quinta visita.................................................14Ilustración 7 Planificación Sexta visita.................................................................14Ilustración 8 Postura correcta para sentarse.......................................................27Ilustración 9 Postura incorrecta para sentarse....................................................28Ilustración 10 Postura de brazos frente al computador.......................................28Ilustración 11 Pausas para realizar ejercicios de estiramiento.............................28Ilustración 12 Silla ergonómica............................................................................29Ilustración 13 Brillo directo o indirecto................................................................30Ilustración 14 Ley N° 20.660, prohíbe fumar en recintos cerrados y públicos.....30Ilustración 15.- Mapa de puntos de red de las plantas en cuadro.......................33Ilustración 16.- Cuadro de usuarios puntos de red..............................................33Ilustración 17.- Departamentos y puntos de red.................................................34



Índice de tablas

Tabla 1 Características de hardware....................................................................16Tabla 2 Características de software.....................................................................20Tabla 3 Requerimientos mínimos del software....................................................21



Introducción

El informe corresponde a la última entrega de la auditoría computacional realizada a la Constructora Elqui LTDA, en donde se concentra toda la información obtenida a lo largo de todo este proceso. Los instrumentos utilizados para la obtención de la información fueron checklist, entrevistas y encuestas.

Se realizaron las 6 auditorías cada una orientada a un objetivo determinado. Las auditorías realizadas fueron:

1. Auditoría de hardware.2. Auditoría de software.3. Auditoría de ergonomía.4. Auditoría de cableado estructurado.5. Auditoría de seguridad computacional.6. Auditoría de CPD.

Todas las recomendaciones son en función del análisis de la información entregada por la empresa, cruzando la información de las diferentes auditorías para entregar recomendaciones más enfocadas a mejorar la productividad y seguridad de la empresa.



Objetivo general

Realizar una auditoría computacional a la empresa Constructora Elqui Limitada, recopilando información para obtener el estado actual de la empresa respecto a sus TIC. Para obtener la información se utilizarán diversos instrumentos de aplicación, para luego realizar un análisis y posteriormente entregar las recomendaciones correspondientes.

Objetivos específicos

Los objetivos específicos son los siguientes: Detectar las falencias a mejorar por parte de la empresa mediante

análisis de la información recolectada por medio de instrumentos. Analizar los resultados obtenidos en el total de las auditorías y elaborar

un cruzamiento de resultados para elaborar las recomendaciones finales Verificación de normas y estándares por parte de la empresa.



Carta de presentación

La carta de presentación acredita que somos alumnos de la Universidad Tecnológica de Chile, INACAP.

La carta de presentación es la siguiente:

Ilustración 1 Carta de presentación



Carta de Compromiso

La carta de compromiso acredita que toda la información recopilada de la empresa será utilizada solo para fines educativos.

La carta de compromiso es la siguiente:

Ilustración 2 Carta de compromiso



Tipo de auditoría

La auditoría computacional que se realizará en la empresa será de tipo externa, ya que los auditores de ésta no son parte de la empresa, lo que conlleva a que el resultado obtenido sea totalmente objetivo y sin conveniencia o influencia alguna por parte de la empresa al momento de entregar los resultados.

Situación actual de la empresa

La Constructora Elqui Limitada se encuentra en Av. Francisco de Aguirre 097 La Serena, Chile y su gerente general es Jorge Páez Guzmán.

La Constructora Elqui Limitada, está constituido por los departamentos Gerencia general que está encargada de controlar y evaluar los procesos de la empresa. Subgerente que es el encargado de administrar los procesos de la empresa. El Gerente comercial cumple un rol en el ámbito del análisis de las ventas de los diferentes proyectos inmobiliarios. Jefe de oficina y Departamento de ventas. Por último sus cargos administrativos están divididos en los departamentos de:

Secretaría Informática Contabilidad Finanzas RRHH Remuneraciones Departamento técnico Auxiliar administrativo



El orden jerárquico se plantea de la siguiente manera:

Ilustración 3 Organigrama General de la empresa.

Todos los departamentos mencionados anteriormente están involucrados en la auditoría computacional, sus detalles son

Gerencia general, tiene un computador. Subgerencia, tiene un computador. Gerencia comercial, tiene un computador. Jefe de oficinas, tiene un computador. Departamento de ventas, tiene un computador. Los administrativos se dividen en:

o Secretaría, tiene un computador.o Informática, tiene un computador.o Contabilidad, tiene un computador.o Finanzas, tiene un computador.o RRHH Remuneraciones, tiene un computador.o Departamento técnico, tiene cinco computadores.o Auxiliar administrativo, tiene un computador.



Esta constructora tiene varios proyectos terminados para su venta, alguno de ellos son:

Loteo Barrio universitario: 700 unidades. Loteo Serena oriente: 1100 unidades. Edificio Barrio universitario: 400 deptos.

Por último, la persona a la que se le solicitará la información para el desarrollo de la auditoría computacional será variada, el gerente general Jorge Páez Guzmán es quien decide.



Planificación de las auditorías

La planificación esta descrita en las siguientes imágenes:

Ilustración 4 Planificación Primera y Segunda visita

Ilustración 5 Planificación Tercera visita



Ilustración 6 Planificación Cuarta y Quinta visita

Ilustración 7 Planificación Sexta visita



Auditoría de hardware

Objetivo de auditoría de hardware

Tener un panorama actualizado del hardware de la constructora obteniendo información respecto a su seguridad de hardware, protocolos y/o procedimientos que utiliza la constructora.

Instrumentos utilizados para la aplicación de la

auditoría

Los instrumentos utilizados para esta auditoría son:

Una entrevista (Véase anexo 3), de la que se rescataron los siguientes puntos: Tiempo que lleva en uso el hardware, y tiempo aproximado que se

compró el computador para la empresa. La eficiente distribución de los equipos. Funcionamiento óptimo del hardware. Medidas preventivas y de mantención al hardware. Documentación de las mantenciones del hardware.

Una tabla de recopilación de información, en el que se hicieron preguntas específicas para saber cuál es el hardware de los computadores de los departamentos de la empresa.



Hardware de la empresa

Cada computador de la empresa tiene distintas cualidades de hardware, son muy pocos los computadores que tienen las mismas características.

Las características de hardware de los computadores fueron anotadas en la tabla de recopilación de información, que ayudó a ordenar la información. Las características de hardware por departamento son los siguientes:

Tabla 1 Características de hardware



Análisis de los datos

Los años en que se adquirieron los computadores son variados ya que se fueron comprando a medida de las necesidades y presupuesto de la empresa.

Las características de computador dependen del departamento ya que no todos los computadores tienen las mismas características de uso.

Como se muestra en la tabla anterior (Véase tabla 1 de características de hardware), cada departamento tiene su propia impresora, a excepción de una multifuncional que está en línea para trabajar.

Cada equipo es utilizado solo por los trabajadores directos del departamento al que pertenecen. Este personal no ha tenido ningún problema en la utilización del hardware durante todo este tiempo, incluyendo impresoras y multifuncionales.

Respecto a la red de internet, utilizan el switch D-LINK DES-1024A 10/100 con wifi de 4 Mb, su proveedor ISP es Movistar. Todos los computadores están conectados a la red.

Existe protección eléctrica en las conexiones del hardware ya que todas utilizan conector Magic, manteniendo conexiones independientes de las demás. Además existen reguladores de voltajes y UPS en caso de corte repentino de energía para el servidor.

En la constructora no existen respaldo de bitácoras para los computadores, pero existe un procedimiento en caso de falla de computador que consiste en llamar al departamento informático, este se encarga de contactar con la empresa externa llamada “Laptec” que les ofrece servicios de mantenciones, reparaciones y actualizaciones. La empresa externa llega a la constructora para analizar el problema, si el problema es mínimo, se soluciona inmediatamente, en caso contrario, se llevan el computador para analizarlos profundamente, luego de analizarlo le entregan un presupuesto que es enviado por correo detallando el problema del computador, que posteriormente es aceptado o rechazado por los altos mandos. Este presupuesto es utilizado como bitácora del computador.

No existen fechas fijas para la mantención de computadores, ya que la constructora llama a la empresa externa “Laptec” cada 2 meses aproximadamente para realizar mantenciones de tipo preventivas (solamente limpieza de computadores).



Resultado del análisis realizado

Las recomendaciones son las siguientes:1. El hardware que utiliza la empresa es prácticamente nuevo, por lo que en

cualquier caso de error se debería hacer efectiva la garantía.2. Se recomiendo pedir y mantener las bitácoras de los computadores de la

empresa, que no solamente la tenga la empresa externa por trabajar directamente con sus computadores.

3. Se recomienda tener fechas de mantenciones del hardware fijas y no variadas para mantener en un estado óptimo el hardware.

4. En caso de tener un computador con problemas de hardware, se recomienda crear un procedimiento en el cual quede registrado en un documento el computador que se llevarán para mantener. Además del motivo por el que se lo llevan, y por último, la fecha aproximada de entrega de ese computador, para entregarle seguridad a la constructora.



Auditoría de software

Objetivo de auditoría de software

Tener un panorama actualizado del software de la constructora obteniendo información respecto a su seguridad de software, protocolos y/o procedimientos de instalación/desinstalación, perfiles de usuario y licencias para los programas que utiliza la constructora.


auditoría

Los instrumentos utilizados para esta auditoría son: Una entrevista, de la que se rescataron los siguientes puntos:

Sistema operativo con el que trabajan. La eficiente distribución de los equipos. Software con los que trabaja la empresa. Nivel de rendimiento del software. Tipos y vigencia de las licencias del software.

Una tabla de recopilación de información, en el que se hicieron preguntas específicas para saber cuál es el software de los computadores de los departamentos de la empresa.



Software de la empresa

Los datos de utilización de software en los diferentes departamentos son los siguientes:

Tabla 2 Características de software



Los requerimientos mínimos de cada software que ocupa la empresa son:Nombre de software Requerimientos mínimos

Flexline Procesador (modelo) Pentium III o superior.

Memoria RAM (capacidad) 128 Mb. o superior.

Espacio en disco duro 300 MB. Tarjeta de red (Velocidad) 10/100 Mbs

o superior. MODEM 56 Kbps. o superior.

Microsoft office Procesador de x86 0 de x64 bits de 1 GHz o superior.

Memoria RAM (32 bits) de 1 GB; RAM (64 bits) de 2 GB.

Espacio en disco duro 3,00 GB. La aceleración de hardware de

gráficos requiere una tarjeta gráfica DirectX 10 y una resolución de 1024 x 576 o superior.

Autocad Navegador IE 7.0 o posterior. Procesador Intel Pentium 4 o superior. AMD Athlon Dual Core de 3,0 GHz o

superior con tecnología SSE2. Memoria RAM de 2 GB (Recomendado

4 GB). Resolución de visualización de

1024x768. Espacio en disco dura de 6,0 GB. .NET Framework versión 4.0.

Antivirus McAfee Procesador compatible con Pentium 1 GHz o superior.

Memoria RAM de 1 GB o superior. Espacio en disco duro de 500 MB. Resolución de video de 1024x768.

Tabla 3 Requerimientos mínimos del software



Análisis de datos

Como se puede observar en la tabla anterior (Tabla 2 de Características de software), la empresa trabaja principalmente con Windows 7, solo un computador tiene Windows 8.

Todos los sistemas operativos están licenciados permanentemente. Los programas ocupados por los distintos departamentos están licenciados, manteniendo las siguientes fechas:

Para el programa Flexline se compra licencia cada 1 año. Para el programa Autocad generalmente se compra la licencia cada 2

años.Todo el software se encuentra licenciados en la actualidad, ya que hace un

tiempo atrás les pasaron una multa por trabajar con software sin licencias.Las actualizaciones, mantenciones, instalación/desinstalación de programas

están encargadas a la misma empresa externa que realiza las mantenciones de hardware, llamada “Laptec”.

En el caso de instalación/desinstalación de programas, solo la empresa externa tiene el permiso, teniendo como protocolo un tiempo de 48 horas para realizar la instalación/desinstalación, mantención, ingreso de licencia, entre otras actividades.

Existen perfiles de usuario, que entrega un nombre de usuario y una clave a los trabajadores para solo entregarles permiso a lo que corresponde su departamento.


Las recomendaciones son las siguientes:1. Es recomendable que todos los computadores ocupen el mismo sistema

operativo para evitar cualquier problema con la compatibilidad de los diferentes programas que se ocupan. Ya que por ejemplo el programa Flexline no recomienda ser utilizado en el sistema operativo Windows 8.

2. Se destaca un punto positivo en la constructora, este es que todos los programas utilizados están licenciados para trabajar sin problemas.

3. Es recomendable que siempre pidan puntos de restauración a la empresa externa que les mantiene el software, ya que el punto de restauración ayuda a solucionar problemas rápidamente en caso de instalar un programa que no funciona correctamente o una actualización mal instalada.



Auditoría de ergonomía/ergonometría

Objetivo de auditoría de ergonomía

Evaluar las características ergonómicas que presenta la empresa respecto a las normas de la ACHS para entregar recomendaciones para el bien físico de los trabajadores de la constructora.


auditoría

El instrumento utilizado para esta auditoría es un checklist, el cual estaba enfocado en los siguientes puntos:

Postura de trabajo frente al computador. Distribución de los elementos del área de trabajo. Silla para el trabajo en oficina frente al computador. Iluminación en el sector de trabajo. Calidad de aire en el sector de trabajo. Ruido en el sector de trabajo.




El análisis de la ergonomía/ergonometría se realiza por departamento. Estos son los siguientes:

Operaciones El trabajador mantiene el brazo con el que utiliza el mouse con una

mala posición, es decir, muñeca desviada y brazo no apoyado en el apoya-brazos de la silla.

La mala posición del brazo y la muñeca es debido a que no tiene el espacio suficiente para poder mover el mouse libremente ya que tiene muchos objetos alrededor del mouse.

No pone los pies correctamente al sentarse ya que no tiene el espacio suficiente para sentarse, porque tiene cajas debajo del escritorio.

La silla que ocupaba el trabajador tenía la falencia de tener un respaldo completo y no uno independiente del asiento.

Gerencia El trabajador fuerza mucho el brazo ya que no apoya el antebrazo al

momento de digitar o utilizar el mouse. Al momento de digitar no utiliza el respaldo, forzando su espalda. No tiene apoya-muñeca en su escritorio para poder descansar la

muñeca al utilizar el mouse. El asiento que ocupa no tiene un respaldo independiente del asiento,

además es un asiento plano que no posee apoyo dorsal ni lumbar, y es de un material de cuero que no tiene una buena disipación de calor y humedad.

La ventana que tiene en su oficina está a su espalda, lo que provoca un reflejo directo de luz, provocando forzar la vista del trabajador, que con el tiempo dañará su visión.

Contabilidad El trabajador fuerza su cuello para ver el monitor ya que no lo tienen

al frente. Mantiene una mala posición de su muñeca ya que no tiene apoya-

muñecas para utilizar el mouse. El trabajador dobla su espalda en todo momento para trabajar sin

utilizar el respaldo del asiento. No tiene un asiento con respaldo lumbar y dorsal.



Dibujo El trabajador mantiene constantemente en una mala posición su

brazo ya que no utiliza apoya-brazos para digitar, no tiene apoya-muñecas, estira mucho su brazo para tomar el mouse

No utiliza el respaldo del asiento. Su asiento no es muy cómodo ya que es muy blando, de un material

que no tiene una buena disipación de calor y humedad, con respaldo que hace doblar la espalda del trabajador generando una mala posición.

Técnico El trabajador mantiene una mala posición del brazo con el que utiliza

el mouse ya que no tiene un apoya-muñecas, estira mucho su brazo para tomar el mouse, no reposa su antebrazo al momento de digitar.

No utiliza el respaldo de la silla al sentarse. Al momento de sentarse el trabajador no apoya lo pies en el suelo, si

no que los deja sobre la base de las ruedas del asiento. Su silla posee un respaldo que no deja sentarse correctamente ya

que es uy blando, de un material que mantiene la humedad y no disipa el calor.

El computador que ocupa se encuentra frente a una ventana, lo que provoca un reflejo directo en el monitor del trabajador, haciendo forzar la vista.

Su sector de trabajo tenía un aire muy tibio, no mantenía las ventanas abiertas de su sector de trabajo.

Computación El trabajador fuerza de mala forma el cuello para ver el monitor, esto

es debido a que tampoco utiliza el respaldo de la silla para mantener una posición correcta de la espalda.

Fuerza la muñeca ya que no tiene apoya-muñeca manteniendo una mala posición de esta, tampoco apoya la muñeca ni su antebrazo para digitar.

En su lugar de trabajo mantiene un servidor al costado de su escritorio que provoca ruido constantemente.

La silla que tiene cumple con todos los requisitos. Secretaría



El trabajador no tiene apoya muñecas para poder trabajar, generando una mala posición del brazo.

Tiene un asiento ovalado que provoca que el trabajador se vaya hundiendo en la silla, además el material de la silla no es de buena disipación de calor y humedad.

No tiene cortinas en el sector de trabajo, además su notebook esta frente a una ventana lo que provoca un reflejo directo en el monitor.

Ventas El trabajador no tiene apoya-muñecas para trabajar, además estira

mucho su brazo para poder tomar el mouse, no apoya el antebrazo para digitar.

Al momento de sentarse no apoya los pies correctamente en el suelo, si no que los apoya en la base de la silla, manteniendo los pies en el aire.

El asiento que posee es muy blando provocando que la persona que se siente se hunda en la silla, además de no tener un material adecuado para disipar el calor y la humedad.

Tiene su equipo frente a una ventana provocando un reflejo directo en el monitor.

Remuneraciones El trabajador fuerza el cuello para ver el monitor, esto es debido a

que ocupa el respaldo de la silla para sentarse. Además no mantiene una buena posición del brazo porque no tiene

un apoya-muñeca para trabajar, extiende mucho el brazo para mover el mouse, no apoya sus antebrazos para digitar.

El asiento que posee no tiene un asiento plano, además posee un respaldo completo y muy blando.

Tesorería El trabajador presiona mucho el antebrazo porque no tiene apoya

muñecas, estira mucho su brazo para tomar el mouse. No utiliza el respaldo para sentarse. Sus pies no siempre están en el suelo si no que los pone sobre la

base de la silla. El equipo mantiene mucho reflejo de luz directamente relacionado a

la posición de la ventana con el equipo. Adquisiciones

El trabajador no tiene apoya-muñecas para trabajar, además no utiliza los apoya-brazos para poder digitar.



No se sienta con los pies sobre el suelo, si no que los apoya sobre la base de la silla.

El material de la silla no es de buena disipación de calor y humedad, tiene un respaldo completo muy blando.

El equipo se encuentra frente una ventana provocando un reflejo directo en el monitor.


Respecto a la “postura de trabajo frente al computador”, la mayoría de los trabajadores no tienen una buena postura del brazo ya sea para utilizar el mouse o para digitar, constantemente fuerza y doblan de mala forma el brazo utilizando excesivamente fuerza. También su postura de asiento no es la correcta ya que doblan mucho su espalda y fuerzan mucho su cuello para observar el monitor.

Dentro de los riesgos asociados a los trabajos en oficina se encuentran las molestias musculo-esquelético de los trabajadores debido muchas veces a las malas posturas de estos. Una buena postura de trabajo frente al computador está definida de la siguiente forma:

Ilustración 8 Postura correcta para sentarse



Ilustración 9 Postura incorrecta para sentarse

Ilustración 10 Postura de brazos frente al computador

Realizar pausas de trabajo para hacer ejercicios de estiramiento también es una buena opción para evitar dolores musculares, en esta imagen se muestran algunos ejercicios:

Ilustración 11 Pausas para realizar ejercicios de estiramiento



Respecto a la “silla para el trabajo en oficina frente al computador”, esta debe cumplir con los siguientes requerimientos:

Poseer una base con ruedas semi-frenadas con apoyo en 5 puntos. Poseer un respaldo independiente del asiento. Un asiento plano. Un asiento con respaldo dorsal y lumbar. Silla con ajuste de altura. Un asiento con borde anterior redondeado.

Ilustración 12 Silla ergonómica

Respecto a la “iluminación en el sector de trabajo”, el trabajador debe saber utilizar los reguladores de brillo del monitor, debe tener cortinas en su lugar de trabajo y poder regular la luz natural frente en monitor, el monitor nunca debe estar posicionado donde la luz llegue directamente porque provocara reflejo directo o indirecto en el monitor provocando forzar la vista del trabajador, por último debe haber buena iluminación en el sector de trabajo.



Ilustración 13 Brillo directo o indirecto

Respecto a la “calidad de aire en la oficina”, el trabajador debe tener la costumbre de abrir las ventanas de su oficina para que tenga una renovación de aire, además no puede fumar dentro de la oficina gracias a la ley N° 20.660.

Ilustración 14 Ley N° 20.660, prohíbe fumar en recintos cerrados y públicos.

Para los trabajadores de la empresa se recomienda: No realizar torsiones de cuello para poder observar el equipo. Dejar el

monitor siempre al frente y no al costado. Utilizar apoya-muñecas. El único departamento que tiene apoya-muñeca

es el informático, todos los demás no tiene. Además mantienen una mala postura de la muñeca. Constantemente se genera Tendinitis por forzar los tendones de la muñeca.

Utilizar la inclinación del teclado para evitar mala posición del brazo. Utilizar el mouse al costado del teclado y no tan lejos del cuerpo para

evitar estirar y forzar mucho el antebrazo. Hay una cantidad considerable de trabajadores que no se sientan

utilizando el respaldo del asiento. Según nos indica la ACHS, la mayoría de los dolores musculares en el trabajo se refleja en la espalda y en cuello, estas malas posturas conllevan a sufrir de dolores lumbares.

Es recomendable tomarse un pequeño tiempo para poder ejercitar la musculatura con ejercicios de estiramiento.



La única silla que cumple con todos los requisitos para trabajar es la del departamento informático, por esta razón se recomienda que al momento de renovar la silla se compre una igual a la del departamento informático.

Ventilar constantemente el lugar de trabajo, ya sea abrir las ventanas. Llevar todos los equipos ruidosos a lugar donde no trabajen personas.



Auditoría de cableado estructurado

Objetivo de la auditoría de cableado estructurado

Auditar todo lo relacionado con el cableado estructurado de la empresa, con el fin de conocer si se están rigiendo bajo los estándares internacionales (como la IEEE 802.3) y el cumplimiento de las normas (como la ANSI/TIA/EIA-568-A) respecto a los equipos.


auditoría

El instrumento utilizado para esta auditoría es una encuesta (véase anexo 8), el cual estaba enfocado en los siguientes puntos:

Tipo de cable. Topología del cableado.

Nota: Cabe destacar que la empresa puso la restricción desde el comienzo para sacar fotos, por lo que solo se pudo obtener fotos cuando la encargada de informática lo permitía.




En primer lugar se solicitó un mapa con la estructura física del cableado, lo que se logró encontrar fue un cuadro del departamento informático donde muestra los puntos de red de la planta.

Ilustración 15.- Mapa de puntos de red de las plantas en cuadro



Ilustración 16.- Cuadro de usuarios puntos de red

Ilustración 17.- Departamentos y puntos de red



Con este mapa se puede definir qué punto de red le corresponde a cada departamento.

Para comenzar el análisis se observaron los patch user de las estaciones de trabajo, para así poder obtener las categorías y estándares de cableado. La categoría de los patch user es 5e.

Se observó el rack y los equipos que contenía en su interior. Además se extrajo un punto de red del switch para observar la disposición de los pares trenzados para identificar el estándar que ocupa. El conector es de tipo RJ-45 y su estándar es 568-A.

Los patch user y los puntos de red están identificados en el mapa mostrado anteriormente (Véase Ilustración 15.- Mapa de puntos de red de las plantas), pero no están rotulados.

La oficina donde se encuentran el Datacenter mantiene temperatura aproximada de 24°C lo que es riesgoso para los equipos.

La norma EIA/TIA se cumple ya que la distancia entre el punto de red y el rack no supera los 100 metros.




Las recomendaciones para esta auditoría son las siguientes:1. Es recomendable que todo el cableado pertenezca a una misma

categoría, en este caso, que todo el cableado pertenezca a la categoría 5e.

2. Todo el cableado y dispositivos deberían estar rotulados. Aunque exista un mapa que indique la numeración de los puntos de red para los departamentos, no basta al momento de análisis la red. Esto ayudará a identificar rápidamente a cambiar una oficina de posición o identificar rápidamente un problema de red.

3. El cableado del Datacenter debería estar etiquetado, amarrado y ordenado al momento de llegar al rack. Esto no solo sirve para tener una buena estética, si no que ayuda a identificar mejor el cable al momento de realizar mantenciones. Lo ideal sería que estas etiquetas estén documentadas y actualizadas cada vez que se realice un cambio.

4. Se recomienda pedir los mapas físicos y lógicos de la estructura de cableado que se utiliza para mantener un respaldo y no depender 100% de la empresa externa.

5. Se recomienda pedir a la empresa externa, entregar la información a tiempo cuando la encargada de informática la pide, ya que cuando le solicitamos documentación, ella la pidió a la empresa externa pero nunca llegaron los documentos.



Auditoría de seguridad computacional

Objetivo de la auditoría de seguridad computacional

Verificar que la empresa posea procedimientos, política, reglas o normas respecto a la seguridad de la información y del personal. Además verificar la aplicación y el cumplimiento de estas.


auditoría

El instrumento utilizado para esta auditoría es una encuesta (véase anexo 9), el cual estaba enfocado en los siguientes puntos:

Protocolos para la creación de contraseñas. Restricciones para la obtención de información. Respaldos de información. Restricciones de ingreso a oficina.


El análisis de la seguridad computacional se dividió en 2 sectores: seguridad física y seguridad lógica.

Respecto a la seguridad lógica:

1. La constructora cuenta con protocolo para la creación de contraseñas: se utilizan las 3 primeras iniciales del usuario, termina con 3 números que varían respecto a los departamentos. Las contraseñas no pueden ser modificadas, si a un usuario se le olvida la contraseña se resetea y se crea una nueva. Solo puede ver y crear contraseñas la encargada del departamento informático y el jefe general. No se logró observar ningún recordatorio en papel sobre clave en las oficinas. Según la encargada de informática todas las contraseñas y número de cuentas bancarias no se mantienen en correos electrónicos ni en recordatorios pegados en algún lugar de la oficina, éstas se aprenden de memoria.



2. Los usuarios de los departamentos pueden ver solo la información que les corresponde ya que tienen perfiles de usuarios con restricciones.

3. Todos los computadores cuentan con antivirus actualizados y con sus respectivas licencias.

4. Existen respaldos de información en un disco externo que mantiene la encargada de informática. Los respaldos de información se hacen semanalmente.

5. No todos los usuarios cierran sus sesiones, ya que algunos trabajadores dejan sus cuentas abiertas cuando se mantienen dentro del edificio, pero cuando terminan su jornada laboral cierran todas sus sesiones.

6. Por último, cualquier trabajador puede insertar un dispositivo periférico para almacenar información de la empresa y llevársela a su casa. Pero cada trabajador se hace responsable de ello al momento de llevarse trabajo ya que no existe una restricción de utilización de dispositivos periféricos.

Respecto a la seguridad física:

1. No se registran los computadores personales al ingresar a la empresa, algunos trabajadores se llevan información en su computador para poder trabajar en su casa. Por esta razón cada persona es responsable de subir la información actualizada al servidor.

2. Existe un UPS que trabaja para los dos servidores que se ocupan en caso de algún corte de suministro eléctrico.

3. Todos los departamentos cuentan con una chapa de seguridad que se abre con una llave, a excepción del departamento informático que cuenta con doble chapa.

4. No todas las oficinas quedan con llave cuando no hay personal de ese departamento, por lo cual, cualquier trabajador puede ingresar a la oficina aun cuando no haya nadie. La responsabilidad del cierre de los departamentos recae solamente en los trabajadores de ese lugar.

5. Todas las oficinas cuenta con alarmas con sensor de movimiento, pero solamente el departamento informático cuenta con protección en su ventana.




En primer lugar se destaca que exista un protocolo para la creación de contraseñas para los usuarios. Además se destaca que haya restricciones a quienes puedan obtener las contraseñas de los trabajadores, ya que solo la encargada de informática y el jefe general pueden obtenerlas.

Las recomendaciones son las siguientes:1. Deberían bloquearse los puertos USB para no dejar guardar información

en dispositivos periféricos. Otra opción sería crear un protocolo para consultar a la encargada poder guardar información o que solo ella tenga ese privilegio.

2. Se recomienda definir una política que evite o controle que los trabajadores se lleven información a sus hogares, ya que en caso de un robo o pérdida del dispositivo facilitaran la entrega de esa información.

3. Se recomienda realizar reuniones generales en donde se destaque el ámbito de la seguridad del cierre de las sesiones en las oficinas, para que estén información del actuar a la hora de abandonar su puesto de trabajo.

4. Las protecciones de puertas y ventanas lleva a tener una mayor seguridad en las oficinas en caso de robos de personas externas. Tener chapas reforzadas y protección en ventanas para cada oficina evita que un externo ingrese a la fuerza a robar equipos que puedan contener información de la empresa.



Auditoría de CPD

Objetivo de la auditoría de CPD

Verificar la infraestructura y seguridad física de las instalaciones donde reside el CPD.


auditoría

El instrumento utilizado para esta auditoría es: Checklist, el cual estaba enfocado en los siguientes puntos:

Políticas relacionadas con CPD. Respaldo de CPD. Nivel de seguridad de CPD.

Nota: Cabe destacar que la empresa no dejo sacar fotos, solo mirar y realizar preguntas.


Respecto a la herramienta utilizada, se presentaron todas las preguntas del checklist relacionadas con los requisitos que debe tener un CPD en una estación de trabajo (véase anexo 10).

No existe realmente una sala CPD, la oficina de la encargada de computación se utiliza como CPD, ya que ahí se encuentran los servidores.

Respecto a la infraestructura según la información entregada por la empresa:La sala presenta un sistema eléctrico de doble cableado, además de un UPS en caso de interrupción eléctrica.

No posee el espacio suficiente ya que es una oficina, por esta razón no cuenta con montacargas para llevar elementos pesados, no posee puertas anchas ni ignifugas, el piso es alfombrado por lo que hay mayor probabilidad de estática para los equipos, por último cumple con tener una estructura de techo falso.

Además no tiene un espacio específico para carga y descarga de elementos por ser una oficina.





Respecto a la temperatura y ambiente de la sala CPD:La oficina no cuenta con aire acondicionado por lo que la temperatura es

bastante alta para los equipos. Utilizando un termómetro de ambiente para medir la temperatura de la oficina, éste arrojó 24° grados, correspondiente a una temperatura muy alta que podría dañar los equipos del CPD.

Respecto a la seguridad de la sala CPD:Se mantienen visibles las señaléticas de vía de evacuación en caso de

emergencias. No tienen un sistema de drenaje óptimo en caso de incendios, además sus puertas no son ignifugas. Existen extintores de CO2 clase C fuera de la sala CPD a unos 10 metros, la fecha de vencimiento del extintor es para marzo del 2016.

El ingreso a la sala de CPD es mediante 2 llaves que solo tiene el encargado de informática y el jefe general, cuenta también con alarma de seguridad dentro de la sala.

Respecto a la mantención de la sala de CPD:Realizan limpieza a la oficina y a los soportes 3 veces al mes. La empresa externa

es quien realiza y mantiene las fechas para la limpieza de los equipos de CPD. La encargada de informática mantiene copias de seguridad en discos externos que solo mantiene ella y el jefe general.




La constructora ocupa un departamento como CPD, por esta razón se debe evitar ocupar el departamento informático como CPD. Es recomendable tener una sala aparte para dejar los servidores.

En el caso de no tener el espacio ni el dinero para invertir en un CPD, es recomendable seguir las siguientes recomendaciones:

1. Evitar tener un piso alfombrado ya que crea mucha estática que puede dañar los equipos.

2. Mantener aire acondicionado en el lugar con temperatura de 18°C, ya que tener una temperatura mayor a o menor a ese rango puede dañar los equipos.

3. De ser posible, tener detectores de incendios con sensores de temperatura para prevenir que los equipos ubicados en el CPD sufran daños.



Análisis y cruce de recomendaciones

El análisis de la información y el cruce de este generan las siguientes recomendaciones:

El hardware que tienen los computadores son apropiados para trabajar con los software que utiliza la empresa. Por esta razón, no hay problemas para la ejecución de las tareas diarias que realiza el personal con los programas. Cabe mencionar que el hardware que tiene los computadores superan con creces los requerimientos mínimos de los programas que se ocupan (Véase tabla 2 de Requerimientos mínimo para la utilización del software), por lo que la utilización del hardware no escatiman demasiados recursos.

Ya que la seguridad física no es intensa, se recomienda integrar un sistema avanzado de seguridad ya sea utilizando cerraduras electromagnéticas, sistema de tarjeta de identificación, cámaras con sensor de movimientos. Esta seguridad también ayudará a la seguridad de la sala CPD que debe tener requisitos de seguridad por el nivel de información que se maneja en la sala. Es recomendable además, llevar un registro de ingreso y egreso de personas a la sala CPD.

Además de una seguridad física también se debe tener en cuenta la seguridad lógica. Esta seguridad lógica resguardará la información importante para empresa, ya sea cuentas, contraseñas, transferencias, entre otras. Este resguardo lógico se reflejara al momento de crear perfiles de usuarios (existentes en la empresa), evitar mantener claves o números de transacciones en notas físicas dentro de la oficina.

Tener el respaldo de mapas físicos y lógicos ayudarán a no depender 100% de la empresa externa. El exceso de tiempo de respuesta de la empresa externa para responder consultas específicas, provocó un retraso en la obtención de la información para las auditorias.

La falta de información respecto a las posturas de trabajo frente al computador generan molestias musculo-esquelético, esto provoca muchas veces que los trabajadores dejen sus puestos de trabajo para caminar, relajarse o estirar los músculos. Dejar el puesto de trabajo con las sesiones de trabajo abiertas puede provocar que alguna persona externa al departamento ocupe esa cuenta y obtenga información indebida.



Conclusión

El sistema de trabajo de la empresa es óptima, pero con el análisis de esta auditoria se pudo lograr observar que existen puntos que se pueden mejorar, ya sea seguridad, infraestructura, instrumentos de apoyo en oficina, posturas de trabajo frente al trabajo en computador. Entre otros.

Se logró captar información mediante herramientas como encuestas y checklist para la obtención de los datos y posteriormente el análisis para entregar la recomendación.

Los auditores siempre fueron recibidos en la empresa por parte de la encargada de informática, quien ayudó constantemente entregando toda la información solicitada. Lamentablemente no toda la información estaba en la empresa, si no que en su mayoría lo relacionado al cableado de la empresa solo mantenía respaldo la empresa externa que les prestaba servicios de informática.

Se pudo lograr entregar una serie de recomendaciones finales en cada auditoría, las cuales tuvieron como finalidad mostrar y mejorar cada uno de los problemas por los que pasando la empresa en la actualidad. La empresa deberá considerar que las recomendaciones podrían traer consecuencias positivas a su producción.



Bibliografía

http://www.monografias.com/trabajos32/auditoria-seguridad-informatica/auditoria-seguridad-informatica.shtml

http://www.buenastareas.com/materias/auditoria-de-cableado-estructurado/0

http://www.academia.edu/7322061/ITEssentials_V5_0_Capitulo_8_-_Tutorial_Virtual

http://es.slideshare.net/hgv9651/estandares-decableado-estructurado-presentation

http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1ticahttp://www.slideshare.net/lauramiranda16/norma-iso-17799-15652263Recomendaciones de seguridad, por Chelo Malagón Poyato, Versión 0.1

(PDF)


http://www.slideshare.net/lauramiranda16/norma-iso-17799-15652263

http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica










Anexos

Anexo 01 - Carta de presentación

La Serena, 03 de octubre de 2014

Señor(a)Nombre: Jorge Páez GuzmánCargo: Gerente generalEmpresa: Constructora Elqui Ltda.Ciudad: La Serena

Presente

Junto con saludarle, me permito presentar a los señores:

Axel Lanas Rojas Rut N° 18.012.192-7 Esteban Muñoz Contreras Rut N° 17.980.233-3 Maikol González Espejo Rut N° 18.449.912-6

Todos ellos actualmente son alumnos regulares de la carrera de Ingeniería en Informática, de la Universidad Tecnológica de Chile.

Como parte de sus actividades de formación profesional en nuestra casa de estudios, ellos deben desarrollar diversos proyectos realmente vinculados y aplicables al mundo empresarial, permitiendo de esta forma satisfacer necesidades concretas de nuestra sociedad.

En esta oportunidad y al igual que en años anteriores y considerando la importancia que tiene para nuestros alumnos el conocer estructuras y procesos de gestión reales, es que solicito respetuosamente a usted autorizar a que ellos puedan tener acceso a sus dependencias, con el fin de poder realizar una Auditoría Computacional y a la vez proponer una serie de recomendaciones, las cuales irían en beneficio directo de ustedes como Institución y por supuesto de nuestros alumnos, como futuros profesionales.

Cabe destacar, que el desarrollo de esta actividad, corresponde a la asignatura de Auditoría Computacional dictada por el docente Francisco Caiceo León.

Agradeciendo de antemano vuestra disposición y colaboración, le saluda cordialmente;

_________________Raúl Astorga BarriosDirector De Carrera



Área Informática y TelecomunicacionesUniversidad Tecnológica de Chile INACAPSede La Serena

Anexo 02 - Carta de compromiso

Ref.: Servicio de Auditoría InformáticaLa Serena, 03 de Octubre del 2014

EstimadoJorge Páez GuzmánGerente generalConstructora Elqui Ltda.

Junto con saludarle:

Por medio de la presente nos dirigimos a usted por el motivo de prestar un servicio de Auditoría Informática para su sucursal, somos alumnos de la carrera de Ingeniería en Informática de la Universidad Tecnológica de Chile INACAP sede La Serena.

Toda la información que se adquiera de su sucursal será totalmente confidencial, será un trabajo serio realizado con fines educativos y guiados por un docente de la institución a la cual pertenecemos. Cabe destacar que no se solicitará ningún tipo de información abocada a la parte económica, financiera y personal de los trabajadores de la empresa.

Con el objetivo de realizar una buena gestión por medio de una Auditoría Informática se verifica la utilización eficiente de los recursos informáticos disponibles o por disponer, en función de las estrategias de la Empresa y de los objetivos previstos.

A lo menos se realizarán tres visitas a la sucursal para la

recopilación de información.

Sin otro particular nos despedimos agradeciendo de antemano su colaboración.

Jorge Páez GuzmánGerente general.

Constructora Elqui Ltda.

Esteban Muñoz Contreras.

Alumno de Ingeniería en Informática.

Universidad Tecnológica de Chile INACAP

Maikol González Espejo.Alumno de Ingeniería en

Informática.Universidad Tecnológica de Chile INACAP

Axel Lanas Rojas.Alumno de Ingeniería en

Informática.Universidad Tecnológica de Chile INACAPConstructora Elqui Limitada 48




Anexo 03 - Entrevista hardware y software

Entrevista para identificar recursos de hardware y software de la empresa

Preguntas*La recopilación de información de esta entrevista ayudará a las auditorías de Software y

Hardware.*Si existe la opción de sacar fotos al hardware de la empresa, sacar a los notebook o desktop que

se serán auditados. Nombre entrevistado:Cargo entrevistado:Fecha aplicación entrevista:

Hardware1. ¿Cuáles son las características de hardware de los equipos de la empresa? Si no sabe la

información, realizar los siguientes pasos:a. Inicio>Mi Equipo>Realizar clic derecho en Mi Equipo>Clic izquierdo a Propiedades.b. Cuando se muestre la ventana Propiedades necesitamos la información de “Edición de

Windows” y por último “Sistema”.2. ¿Cuenta con un inventario de los equipos que tiene la empresa?3. ¿Cuántos equipos tiene cada departamento de la empresa?4. ¿Realizan y mantienen bitácoras en los equipos? (Cambios, actualizaciones).5. ¿Programan fechas para la mantención de los equipo? (Correctivas y preventivas).

a. Si es así, ¿Realizan bitácoras de la mantención del equipo?6. ¿Con que tipo de conexión a internet trabajan los equipos? (Hardware y conexión a internet)7. ¿Poseen impresoras conectadas a los equipos?

a. Si es así, ¿Cuántas impresoras tiene la empresa en general o por departamento?b. ¿Cuál es el modelo de las impresoras que se encuentran en la empresa?

8. ¿Tienen reguladores de energía conectadas al hardware del equipo?9. ¿Poseen protocolos y procedimientos en caso de una mantención de hardware por personal

externo a la empresa?

Software10. ¿Qué programas ocupan los equipos en general o por departamentos de empresa?11. ¿Todos los programas se encuentran con sus respectivas licencias?12. ¿Qué software se ocupan en la empresa para trabajar?13. ¿Realizan bitácoras para el software? (Puntos de restauración, actualizaciones, update del S.O.)14. ¿Poseen protocolos y procedimientos para la instalación y desinstalación de software? ¿Quiénes

tienen permiso para realizar esas actividades?15. ¿Poseen protocolos y procedimientos en caso de una mantención de software por personal externo

a la empresa?



Anexo 04 - Checklist ergonomía

Checklist (Auditoría de Ergonomía)Objetivo

Obtener información de las regulaciones para la salud física de los trabajadores Definir la prevención y control de todos aquellos factores de riesgo ergonómico

que podrían estar presentes en la utilización de un computador.

Si NoPostura de trabajo frente al computadorEl trabajador no realiza torsiones del cuello para

poder observar el monitorEl trabajador utiliza apoya-muñecas y/o el borde

redondeado de la mesa para evitar compresión del antebrazo

El trabajador utiliza apoya-brazos de la silla o la mesa para apoyar sus antebrazos para poder digitar

Se utiliza el teclado sin una mal posición de la muñeca utilizando la inclinación del teclado

Se utiliza el mouse sin extender excesivamente en brazo, cerca del teclado

Se alterna el uso del mouse entre la mano izquierda y derecha

Se mantienen las muñecas alineadas respecto al antebrazo

El trabajador se sienta siempre utilizando el respaldo

El trabajador se sienta en el centro del asiento evitando sentarse en la mitad o en la delantera del asiento

Mientras se está sentado, siempre los pies del trabajador están apoyados en el piso

Mientras se está sentado, los pies del trabajador mantienen un ángulo superior a 90° entre muslo y pierna

Se utiliza reposapiés en caso de ser necesarioDistribución de los elementos de área de trabajoPosee el espacio necesario debajo del escritorio

para sentarse cómodamente



Se utilizan micro-pausas para cambiar de posición sentado o suele caminar

El monitor o notebook se ubica frente al trabajador que lo utiliza

La línea visual de la pantalla está ubicado frente a los ojos del trabajador sin la necesidad de bajar el cuello

La distancia ojo-pantalla se mantiene entre 50 cm y 70 cm

El mouse está ubicado en el mismo plano al costado izquierdo o derecho del teclado

Existe espacio necesario para mover el mouse libremente

Se utiliza apoya muñeca para la utilización del mouse

Silla para el trabajo en oficina frente al computador

La silla posee una base con ruedas semi-frenadas con apoyo en 5 puntos

La silla posee un respaldo independiente del asiento

La silla es de asiento planoLa silla tiene el asiento con borde anterior

redondeadoLa silla posee mecanismo de ajuste de alturaLa silla posee un respaldo con apoyo dorsal y

lumbarLa silla posee un respaldo con mecanismo de

ajuste de alturaEl ángulo del respaldo con respecto al asiento es

entre 90° y 110°La silla tiene un tapiz de buena disipación de calor

y humedadLos apoya brazos de la silla son regulablesIluminación en el sector de trabajo Si NoEl trabajador utiliza los sistemas de regulación de

brillo/contraste que incorpora el notebook para adecuarlo a la iluminación del ambiente

El trabajador utiliza las cortinas para regular la luz



natural de su sector e trabajoEl trabajador regula la disposición espacial de la

pantalla del notebook para evitar reflejosEl plano del notebook está ubicado en forma

perpendicular respecto al plano de las ventanasEl trabajador mantiene un buen nivel de

iluminación en su entorno de trabajo (uso adecuado de interruptores de iluminaria)

Calidad de aireEl trabajador acostumbra ventilar periódicamente

el sector de trabajoEl trabajador no acostumbra fumar en su lugar de

trabajoRuidoSe han implementado encerramientos acústicos

para impresoras ruidosasLos equipos ruidosos están ubicados lejos de las

esquinasLos equipos ruidosos se han trasladado a recintos

no ocupados por personasSe tiene el hábito de regular los niveles de

volumen del computador

Anexo 5 - Tabla de recopilación de información de

hardware

Registro de hardware de equipos de constructora

Ge

renc

ia

Secr

etar

ía

Vent

as 1

Vent

as 2

Ope

raci

ones Co

mpu

taci

ón Cont

abili

dad

1 Cont

abili

dad

2 Teso

rería

Rem

uner

acio

nes

Fina

nzas

1

Fina

nzas

2

Fina

nzas

3

Di

bujo

Adqu

isic

ione

s

RAM

MONITOR

CPU



HDD

Impresor

a

Año



Anexo 6 - Tabla de recopilación de información de

software

Registro de software de equipos de constructora

Ger

enci

a

Secr

etar

ía

Vent

as 1

Vent

as 2

Ope

raci

ones Co

mpu

taci

ón Cont

abili

dad

1 Cont

abili

dad

2 Teso

rería

Rem

uner

acio

nes

Fina

nzas

1

Fina

nzas

2

Fina

nzas

3

Di

bujo

Adqu

isic

ione

s

Sistema Operativo

Licencia Sistema Operativo

Software que ocupan

Licencia de software

Puntos de restauración

Actualizac



iones

Anexo 7 – Acta de reuniones con la constructora

realizada

Acta de reunión para la auditoría de hardware y software



Acta de reunión para la auditoría de ergonomía



Anexo 8 – Encuesta para la auditoría de cableado

estructurado



Anexo 9 – Encuesta para la auditoría de seguridad

computacional



Anexo 10 – Checklist para auditoría de CPD


Documents

4to Informe Auditoria