AUDITORÍA DE SISTEMAS DE SERVIDORES CENTRALES DE LA EMPRESA

MIJAIL DANIEL MOLINA LAVRISHCHEVA

YORKMAN ALONSO PICÓN VELÁSQUEZ

Documento de auditoría de sistemas realizado a una empresa.

Docente: Felipe Luis Figueroa Iglesias

UNIVERSIDAD LIBRE SECCIONAL BARRANQUILLA

PROGRAMA DE INGENIERÍA DE SISTEMAS
FACULTAD DE INGENIERÍA
BARRANQUILLA
2018
 TABLA DE CONTENIDO

Pág.

INTRODUCCIÓN ..................................................................................................... 5

1. PROYECTO ......................................................................................................... 6

1.1 OBJETIVO ......................................................................................................... 6

1.2 JUSTIFICACIÓN ................................................................................................ 6

2. PLANEACIÓN DE LA AUDITORÍA ...................................................................... 8

2.1 ORIGEN DE LA AUDITORÍA ............................................................................. 8

2.2 VISITA PRELIMINAR ......................................................................................... 8

2.3 OBJETIVOS ....................................................................................................... 9

2.3.1 Objetivo General ............................................................................................. 9

2.3.2 Objetivos Específicos ...................................................................................... 9

2.4 PUNTOS PARA EVALUAR EN LA AUDITORÍA ................................................ 9

2.4.1 Conocimiento y habilidades de los administradores encargados de los

servidores. ............................................................................................................... 9

2.4.2 Procesos programados actuales. .................................................................... 9

2.4.3 Capacidad instalada del hardware. ............................................................... 10

2.4.4 Acceso físico, local y remoto......................................................................... 10

2.5 CRONOGRAMA DE ACTIVIDADES ................................................................ 10

2.6 INSTRUMENTOS Y TÉCNICAS DE EVALUACIÓN ........................................ 11

2.6.1 Observación. ................................................................................................. 11

2.6.2 Cuestionario. ................................................................................................. 11

2.7 RECURSOS UTILIZADOS PARA LA AUDITORÍA .......................................... 11

2.8 SISTEMAS COMPUTACIONALES .................................................................. 12

3. EJECUCIÓN ...................................................................................................... 13

3.1CONOCIMIENTO Y HABILIDADES DE LOS ADMINISTRADORES

ENCARGADOS DE LOS SERVIDORES ............................................................... 13

3.1.1 Conocimientos acerca de la administración de un sistema........................... 13

3.1.2 Conocimiento sobre el uso del sistema operativo de los servidores. ............ 15

3.1.3 Conocimiento acerca del hardware. .............................................................. 17

3.1.4 Conocimiento en el manejo de los servidores............................................... 19

3.2 PROCEDIMIENTOS PROGRAMADOS ACTUALES ....................................... 20

3.2.1 Revisión del sistema de archivos. ................................................................. 20

3.2.2 Evaluación de los procesos de respaldo y recuperación de la información. . 22

3.2.3 Evaluación de métodos de acceso y niveles de seguridad. .......................... 24

3.2.3.1 Métodos de acceso físico........................................................................... 24

3.2.3.2 Métodos de acceso virtual. ........................................................................ 24

3.2.4 Revisión de la documentación del sistema. .................................................. 24

3.3 CAPACIDAD INSTALA DEL HARDWARE ...................................................... 25

3.3.1 Evaluar la utilización del hardware. ............................................................... 25

3.3.2 Evaluar la calidad de los componentes de hardware. ................................... 26

3.3.3 Evaluar la capacidad de expansión del hardware. ........................................ 26

3.3.4 Evaluar la capacidad de conexión del hardware. .......................................... 26

3.3.5 Evaluar los programas de mantenimiento existentes. ................................... 26

3
3.3.5.1 Mantenimiento de Hardware ...................................................................... 26

3.3.5.2 Mantenimiento del Software ....................................................................... 27

3.4 ACCESO FÍSICO, LOCAL Y REMOTO ........................................................... 27

3.4.1 Evaluar la existencia de métodos de acceso remoto al servidor. .................. 27

3.4.2 Evaluar la infraestructura que protege el acceso físico al servidor. .............. 28

4. DICTAMEN ........................................................................................................ 29

4.1 COMUNICADO DE RESULTADOS ................................................................. 29

4.2 RECOMENDACIONES PARA LOS SERVIDORES DEL SISTEMA DE

INFORMACIÓN DE LA EMPRESA........................................................................ 32

4.2.1 Conocimiento y habilidades de los administradores ..................................... 32

4.2.2 Procesos programados actuales ................................................................... 32

4.2.3 Capacidad instalada del hardware ................................................................ 32

4.2.4 Acceso físico, local y remoto......................................................................... 33

5. CONCLUSIONES .............................................................................................. 34

4
 INTRODUCCIÓN

La auditoría a una empresa nació como proyecto de aula para afianzar y poner en
práctica nuestro aprendizaje del proceso de auditoría a toda, o una parte, del
sistema de información de una empresa. Durante todo el proceso que tiene la
realización de este proyecto estaremos practicando cómo hacer contacto con una
empresa, ofrecerle y venderle los servicios de auditoría, realizar la respectiva
auditoría y entregar un dictamen a partir de los resultados obtenidos.

El ejercicio de realizar la auditoría sirve como complemento en nuestra formación

como futuros auditores de sistemas, dándonos así una primera experiencia en lo
que respecta la auditoría de sistemas de información y nos lleva a la evaluación de
entornos profesionales reales (trabajo de campo) y a la interacción con condiciones
que pertenecen a la realidad de muchas empresas.

A continuación, se reúne el objetivo general y la justificación que tiene realizar la

auditoría de los sistemas de información de una empresa. Posteriormente, se habla
acerca de las 3 fases propias de la auditoría siguiendo la metodología ejemplo del
caso práctico manejado en el aula y termina el documento con las conclusiones que
surgieron a partir de la realización de la auditoría.

Las 3 fases de la auditoría tratadas en el documento son las fases de: planeación,
ejecución y dictamen. Todas ellas las realizaremos siguiendo el documento del caso
práctico enseñado en clases.

5
 1. PROYECTO

1.1 OBJETIVO
Auditar los sistemas de información de una empresa para la práctica, el aprendizaje
y la formación académica de los auditores.

1.2 JUSTIFICACIÓN
La realización de la auditoría complementa lo aprendido en el aula de clases. En el
aula vemos contenido teórico y práctico aplicado a situaciones y condiciones que
sirven para la formación académica de futuros auditores de sistemas de
información, pero no alcanza a transmitir la experiencia. La práctica de lo aprendido
en clases aporta a la experiencia de nosotros los estudiantes, sometiéndonos a
hacer el ejercicio de la auditoría en entornos profesionales con situaciones y
condiciones reales. Este acercamiento al campo profesional resulta enriquecedor
para los estudiantes.

Es necesario en la formación tener contacto con el ambiente profesional existente

en una empresa. Llevar la metodología a un caso particularmente orientado a la
enseñanza académica en un aula con variables controladas sirve como modelo para
aprender cómo se realiza una auditoría. Sin embargo, llevar esa misma metodología
a un entorno y ambiente distinto, como lo es el profesional, nos brinda una mayor
visión y conocimiento acerca de cómo son realmente las condiciones y situaciones
que experimenta cada empresa. Esto nos ayuda a prepararnos con lo que nos
encontraremos en nuestro futuro profesional y nos dará un nuevo punto de vista
para poder afrontar situaciones similares. No se logra lo mismo en un experimento
controlado en el aula y lo obtenido con la praxis en un ambiente arbitrario y
profesional.

Es útil conocer la opinión y posición de una empresa sometida a auditoría. Las

respuestas de las empresas varían y resultan ir en contra de todo pronostico
anticipado, durante la experiencia logramos darnos cuenta de que no todas las
empresas están dispuestas a ser auditadas por terceros, todas tienen sus razones
(distintas entre sí) para poder escoger no recibir una auditoría a sus sistemas de
información. Estas razones nos dan un panorama de motivos por los cuales es
conveniente o no, y en qué circunstancias les llegaría a interesar una auditoría
externa a las empresas. Conocer los distintos intereses de las empresas existentes
nos brinda de experiencia para poder diferenciar cuándo, cómo y en qué
condiciones ofrecer o se pide realizar una auditoría externa.

La práctica ayuda a identificar la cantidad de conocimientos y las actitudes que debe

poseer un auditor. En la teoría se hace referencia a las actitudes y conocimientos
que requiere un auditor para auditar los sistemas de información de una empresa,
6
pero es solo durante la práctica donde se logra entender por qué se requiere que
cumpla o tenga esas actitudes y conocimientos. Fue durante la praxis que nos dimos
cuenta de que, si queríamos auditar los sistemas de información de la empresa,
debíamos reunir suficiente conocimiento para poder evaluar, comparar y valorar los
distintos puntos que tuvimos que manejar en la auditoría. También fuimos sometidos
a situaciones en las que tuvimos que adoptar las actitudes que conocíamos que
debía poseer un auditor para poder dar el resultado esperado durante la realización
de la auditoría. El reconocimiento de esto es un aporte significativo a nuestra
formación como futuros auditores de sistemas de información.

7
 2. PLANEACIÓN DE LA AUDITORÍA

2.1 ORIGEN DE LA AUDITORÍA

La auditoría será realizada sobre los servidores del sistema de información del
departamento tecnológico de una empresa en Barranquilla.

Esta auditoría servirá para conocer el estado en el que se encuentran los servidores,
verificar que cuenten con la capacidad necesaria para ejecutar todo el software con
arquitectura cliente-servidor de manera adecuada y que existan políticas y
configuraciones que mantengan seguros los equipos. Para esto será tomada en
cuenta las características del software y hardware ejecutado por los servidores y la
seguridad física de los equipos.

La auditoría es de carácter externo debido a que será realizado por personas ajenas
a la empresa.

2.2 VISITA PRELIMINAR

En la visita preliminar se logró hablar con la directora del departamento tecnológico,
en la que nos relató que desean conocer la valoración externa del estado de los
servidores según las necesidades y lo determinado por la organización. Nos
manifestó que es de su interés evaluar la configuración de los equipos para
responder las funciones para las que fueron destinados.

8
2.3 OBJETIVOS
2.3.1 Objetivo General
Auditar los servidores del sistema de información del departamento tecnológico de
la empresa.

2.3.2 Objetivos Específicos

• Auditar los procesos programados ejecutados en los servidores del sistema

de información del departamento tecnológico de la empresa.

• Evaluar la capacidad configurada de los servidores del sistema de

información del departamento tecnológico de la empresa.

• Evaluar los conocimientos de los administradores encargados de los

servidores del sistema de información del departamento tecnológico de la
empresa.

• Evaluar las configuraciones de acceso y las personas autorizadas a acceder

a los servidores del sistema de información del departamento tecnológico de
la empresa.

2.4 PUNTOS PARA EVALUAR EN LA AUDITORÍA

2.4.1 Conocimiento y habilidades de los administradores encargados de los
servidores.

• Evaluar qué es lo que los administradores encargados de los servidores

saben acerca de la administración de un sistema.
• Evaluar los conocimientos de los administradores encargados de los
servidores sobre el uso del sistema.
• Evaluar los conocimientos de los administradores encargados de los
servidores en cuanto a hardware.
• Evaluar la habilidad de los administradores encargados de los servidores en
el manejo de los equipos.

2.4.2 Procesos programados actuales.

• Revisión del sistema de archivos.

• Evaluación de los procesos de respaldo y recuperación de la información.
• Evaluación de métodos de acceso y niveles de seguridad.
• Revisión de la documentación del sistema.

9
2.4.3 Capacidad instalada del hardware.

• Evaluar la utilización del hardware.

• Evaluar la calidad de los componentes de hardware.
• Evaluar la capacidad de expansión del hardware.
• Evaluar la capacidad de conexión del hardware.
• Evaluar los programas de mantenimiento existentes.

2.4.4 Acceso físico, local y remoto.

• Evaluar la existencia de métodos de acceso remoto al servidor.

• Evaluar la infraestructura que protege el acceso físico al servidor.

2.5 CRONOGRAMA DE ACTIVIDADES

10
2.6 INSTRUMENTOS Y TÉCNICAS DE EVALUACIÓN
2.6.1 Observación.
A través de la observación podremos percibir, examinar y analizar las actividades
relacionadas, condiciones y hechos que afectan al desarrollo de las actividades del
sistema, la operación de los servidores y el rendimiento de los servidores al
momento de realizar alguna tarea.

Esta técnica será utilizada en el desarrollo de la auditoría.

2.6.2 Cuestionario.
Se usará un formato de cuestionario creado por el equipo auditor para evaluar los
conocimientos de los responsables del área, así como conocer más a detalle ciertos
detalles que ocurren en el área de sistemas.

El cuestionario implementado durante la auditoría es diseñado e implementado a

través de internet por medio de la aplicación Forms del paquete de ofimática en la
nube MS Office 365. Se puede acceder al cuestionario a partir de estos enlaces:

• Para ver y editar:

https://forms.office.com/Pages/DesignPage.aspx?fragment=FormId%
3D4UqjbG9GvESnqgrFp4xhseV1COe4bO9MneBrAVNBeN5UMjczU
ExVUTdBSDFEMk9FR0k3Q0pGSVdJUC4u%26Token%3D13ed9f6a
d8eb4b5093724a4d185d1382
(es necesaria una cuenta en Office 365).

• Para responder:
https://forms.office.com/Pages/ResponsePage.aspx?id=4UqjbG9GvE
SnqgrFp4xhseV1COe4bO9MneBrAVNBeN5UMjczUExVUTdBSDFE
Mk9FR0k3Q0pGSVdJUC4u

2.7 RECURSOS UTILIZADOS PARA LA AUDITORÍA

• Recurso humano:
o Dos auditores externos y personal del departamento tecnológico de la
empresa.
• Recurso técnico:
o 2 computadores usados por los administradores del sistema.
o 1 rack que contiene los dispositivos de red.
• Tiempo:
o Tiempo disponible del personal involucrado.
• Materiales:
o Papelería, Bibliografía, Documentación digital.
11
2.8 SISTEMAS COMPUTACIONALES
Para la realización de la auditoría serán necesarias herramientas como: un
procesador de texto (MS Word), una herramienta gráfica para diseñar diagramas
(Draw.io), herramientas para monitorizar al sistema operativo como: el
administrador de tareas, el administrador de discos y el administrador de
dispositivos.

12
 3. EJECUCIÓN

3.1CONOCIMIENTO Y HABILIDADES DE LOS ADMINISTRADORES

ENCARGADOS DE LOS SERVIDORES
Se ha registrado que se realizan capacitaciones de actualización para los
administradores de sistemas encargados de los servidores manejados por la
empresa cada año.

3.1.1 Conocimientos acerca de la administración de un sistema.

Para la evaluación acerca de los conocimientos básicos para la administración de
un Sistema Operativo Windows Server 2012 se tomaron los puntos que van a partir
del 1 al 5 y se obtuvieron los siguientes resultados:

13
14
3.1.2 Conocimiento sobre el uso del sistema operativo de los servidores.
Para la evaluación acerca de los conocimientos básicos para el uso del Sistema
Operativo Windows Server 2012 se tomaron los puntos que van a partir del 6 al 10
y se obtuvieron los siguientes resultados:

15
16
3.1.3 Conocimiento acerca del hardware.
Para la evaluación acerca de los conocimientos básicos acerca del hardware que
compone a los servidores se tomaron los puntos que van a partir del 11 al 15 y se
obtuvieron los siguientes resultados:

17
18
3.1.4 Conocimiento en el manejo de los servidores.
Para la evaluación acerca de los conocimientos básicos para la administración de
un Sistema Operativo Windows Server 2012 se tomaron los puntos que van a partir
del 16 al 20 y se obtuvieron los siguientes resultados:

19
3.2 PROCEDIMIENTOS PROGRAMADOS ACTUALES
3.2.1 Revisión del sistema de archivos.
Periódicamente y tras cada incidente o interrupción en el correcto funcionamiento
de los servidores se realiza una revisión y reparación del sistema de archivos del
sistema.

Cada vez que los servidores se apagan indebidamente, intencionalmente o por

accidente, se procede a buscar fallos o corrupción en las particiones del sistema de
archivos en cada servidor de la empresa para su automática corrección o aviso de
la necesidad de la recuperación de la información del disco.

El sistema de archivos utilizado (ReFS) es robusto, de rápida recuperación de fallos,

adecuado para almacenar cantidades grandes de información sin perder
20
rendimiento, con la capacidad de escalar su tamaño y mantener la integridad de los
datos almacenados.

El formato del sistema de archivos utilizado es ReFS (Resistent File Sistem) y es

utilizado en 3 particiones que contienen información sensible para la empresa y para
el sistema operativo.

Semanalmente se realiza una búsqueda de fallos o corrupción en las particiones del

sistema de archivos en cada servidor de la empresa para su automática corrección
o aviso de la necesidad de la recuperación de la información del disco.

Mensualmente, el día 7 de cada mes, se preparan las particiones para ser

desfragmentadas en las horas de la noche.

21
3.2.2 Evaluación de los procesos de respaldo y recuperación de la información.

Flujo de proceso
de respaldo de la
información

22
 Flujo de proceso
de restauración
de la información

23
3.2.3 Evaluación de métodos de acceso y niveles de seguridad.
Los servidores cuentan con protección para sus métodos de acceso manera física
y virtual. Los podemos especificar de esta manera:

3.2.3.1 Métodos de acceso físico.

• Para acceder físicamente a los servidores se debe pasar una infraestructura

de seguridad que consta de una puerta blindada, un sistema de
reconocimiento biométrico y un sistema de cerraduras y llaves.
• Se tiene una terminal física con la cual se puede conectar a cada uno de los
servidores.
• Se debe autenticar el usuario en la terminal con su nombre de usuario y su
contraseña.

3.2.3.2 Métodos de acceso virtual.

• Se debe ingresar con usuario y contraseña a través de los métodos de

autenticación incluidos en Windows Server 2012.
• Utilizan distintos usuarios con distintos permisos para cada funcionario del
personal que deba interactuar con los servidores.
• Los usuarios son gestionados por el servicio Active Directory de Microsoft
manejado por uno de los servidores.
• Se permite el acceso remoto por medio del protocolo RDP a los servidores
proveniente de la intranet y la internet.
• Se filtran las conexiones entrantes a través de un firewall.
• Se habilitan servicios o software únicamente para funcionar en la intranet de
la empresa y otros que pueden ser accedidos desde internet.

3.2.4 Revisión de la documentación del sistema.

La documentación relacionada a los servidores (HP ML350 G6) y al sistema
operativo (Windows Server 2012) y el software utilizado por la empresa se puede
acceder a través de internet como archivos en formato PDF o en formato de páginas
web:

• Referencia del servidor HP ML350 G6.

• Manual de usuario del servidor HP ML350 G6.
• Documentación de Windows Server 2012.
• Documentación de Active Directory.
• Documentación de SQL Server.
• Documentación de OasisCom.
• Documentación de Wordpress.
24
A partir de la documentación anterior, el personal es capaz de tener una fuente de
conocimiento al momento de realizar sus labores utilizando el software existente en
cada servidor.

3.3 CAPACIDAD INSTALA DEL HARDWARE

El hardware de cada servidor de la empresa tiene la siguiente configuración:

COMPONENTE PRODUCTO CAPACIDAD

• 3.06 GHz
• 12MB L3 cache
Procesador Intel Xeon X5675 • 95 W
• DDR3-1333
• HT
DDR3 Registered
Memoria RAM (RDIMM) and Unbuffered 16 GB
(UDIMM)
• 1 TB
Almacenamiento 8 x Disco Duro Seagate
• 7200 rpm
Persistente FireCuda ST1000DX002
• 6 Gb/s
• 2 Puertos
Adaptador de servidor
Ethernet
Gigabit de puerto dual
Conectividad Gigabit
PCI Express NC326i
• 2 Puertos Wifi
integrado
ac
• Puerto Serial • 1
• Apuntador (Mouse) • 1
• Puerto Gráfico • 1
Interfaces • Teclado • 1
• Puertos de Red • 3
RJ-45
• Puertos USB 2.0 • 6
Procesador Gráfico
ATI RN50 64MB video standard
integrado

3.3.1 Evaluar la utilización del hardware.

El hardware es utilizado de manera debida para hospedar los servicios y software
que ofrece y maneja la empresa.
El hardware se utiliza únicamente para ejecutar el software que maneja la empresa.

25
3.3.2 Evaluar la calidad de los componentes de hardware.
El hardware de cada servidor y los servidores como tal fueron provistos por marcas
reconocidas internacionalmente por la calidad de sus productos comercializados.

Todos los componentes de hardware tienen una garantía que se encuentra vencida
actualmente.

3.3.3 Evaluar la capacidad de expansión del hardware.

La configuración de hardware de cada servidor puede ser cambiada a gusto. Los
elementos que se le pueden añadir o expandir son:

• Memoria RAM (Hasta máximo 192 GB).

• Procesadores (Hasta 2 procesadores de 4 u 8 núcleos).
• 6 puertos PCIe Gen 2.
• Almacenamiento Persistente (Hasta 8 x 1 TB).

El hardware de cada servidor tiene la capacidad de expandirse y ajustarse a las

necesidades de la empresa.

3.3.4 Evaluar la capacidad de conexión del hardware.

El hardware cuenta con 2 conectores Ethernet y antenas WiFi.

Uno de los puertos Ethernet está conectado con un proveedor de conexión a internet
y el otro está conectado a la red cableada e inalámbrica (intranet) de la empresa.

Ambas antenas WiFi están deshabilitadas.

3.3.5 Evaluar los programas de mantenimiento existentes.

3.3.5.1 Mantenimiento de Hardware

• Mantenimiento Preventivo:

o La empresa realiza mensualmente actividades de limpieza de partes,

conexión de periféricos e inventario a los equipos de cómputo.

• Mantenimiento Correctivo:

o Al momento de presentarse un incidente que afecte físicamente a los

servidores, la empresa ordena al departamento tecnológico a identificar

26
 empíricamente la falla que impide que funcionen adecuadamente,
reporten la falla y propongan soluciones para corregir la falla.

3.3.5.2 Mantenimiento del Software

• Mantenimiento Preventivo: Dentro del plan de mantenimiento preventivo del

software que maneja la empresa, está determinado que:

o Diariamente se realizará una copia de respaldo de las bases de datos que

la empresa determine más importantes, se realizará un análisis rápido de
virus en cada una de las particiones del sistema de archivos y se revisarán
los registros presentados por el aplicativo monitor del sistema.

o Semanalmente se debe proceder a la revisión de los sistemas de

archivos, a la desfragmentación de estos, a la búsqueda de
actualizaciones para el software empleado, manejado u ofrecido por la
empresa y la realización de la copia de respaldo de todas las bases de
datos que maneja la empresa.

o Mensualmente se realizará una copia de respaldo de toda la información

valiosa que se encuentre en los sistemas de archivos de la empresa.

• Mantenimiento Correctivo:

o Al momento de presentarse un incidente que afecte al software de los

servidores, la empresa ordena al departamento tecnológico a identificar
empíricamente la falla que impide que el sistema operativo y/o el/los
programas que se requieran funcionen adecuadamente, reporten la falla
y propongan soluciones para corregir la falla.

3.4 ACCESO FÍSICO, LOCAL Y REMOTO

3.4.1 Evaluar la existencia de métodos de acceso remoto al servidor.

• Para acceder remotamente al servidor se utiliza el protocolo RDP (Remote

Desktop Protocol) a través de la internet o de la intranet de la empresa.

• La conexión remota entre el servidor y el cliente cuenta con una encriptación

de 128-bit utilizada por defecto.

• Se utiliza el firewall del sistema operativo para hacer manejo del puerto para
la conexión remota por RDP.

27
 • Se utiliza un sistema de usuario y contraseña para el acceso remoto al
servidor.

3.4.2 Evaluar la infraestructura que protege el acceso físico al servidor.

• Los servidores se encuentran protegidos por una puerta de acero blindado y

un sistema de cámaras e identificación biométrica para el acceso al cuarto
en el que se encuentran los servidores y se logra obtener el acceso físico a
los mismos.

• El rack donde se encuentran los servidores se encuentra protegido con un

sistema de cerradura y llave.

• La ubicación física de los servidores está demostrada en el siguiente

diagrama:

28
 4. DICTAMEN

4.1 COMUNICADO DE RESULTADOS

Logo Empresa X, Noviembre del 2018

Ingenieriera de Sistemas
Directora del Departamento Tecnológico
Empresa X
Presente:

Estimada directora del Departamento Tecnológico:

Nos complace dirigirnos hacia usted para comunicarle el dictamen de la auditoría

realizada hacia los servidores centrales de la sede en Barranquilla manejados por
el Departamento Tecnológico de la empresa.

Basado en los resultados objetivos obtenidos durante la evaluación, realizada entre

el 23 de octubre al 23 de Noviembre, dirigida a la calidad, rendimiento, seguridad y
acceso a los servidores, y al personal encargado de mantenerlos, nos permitimos
comunicarle las siguientes observaciones:

• Conocimiento y habilidades de los administradores:

El personal maneja una excelente base de conocimientos para poder realizar
sus labores correctamente. A pesar de que la capacitación que recibe el
personal del Departamento de Tecnología de la empresa es recibida
anualmente, el personal no se encuentra desactualizado de las tecnologías
y procedimientos que se realizan con el software manejado.

29
 Reconocemos que el personal maneja la cantidad de conocimiento básico
necesario para sus cargos.

• Procesos programados actuales:

Actualmente, la empresa presenta unos procesos para el manejo de la
integridad de los datos almacenados en los servidores excelente, permitiendo
la mínima pérdida de la información almacenada en sus discos duros.

Los procesos determinados para la creación de copias de respaldo y

restauración de estas son completos, adecuados y se realizan en intervalos
suficientes para las necesidades de la organización de salvaguardar la
información que maneja.

Los métodos de acceso físicos son muy rigurosos y complejos, garantizando

también la seguridad e integridad de los servidores y otorgando únicamente
el acceso al personal autorizado.

Los métodos de acceso virtuales son posibles desde la intranet e internet.

Esto aumenta la cantidad de medios por la cual el personal puede acceder a
administrar los servidores. El acceso a la internet deja abierto los puertos
utilizados por el protocolo de conexión remota RDP al mundo, disminuyendo
la seguridad que tiene la conexión remota a los servidores y abriendo otro
vector de ataque posible a los ciberdelincuentes.

• Capacidad instalada del hardware:

Actualmente la capacidad instalada del hardware es suficiente para los
procesos que se deben ejecutar en ellos. Además, la construcción de cada
servidor permite la ampliación de sus capacidades y componentes de
hardware con las que pueden funcionar.

Se reconoce que la capacidad de interconexión de cada servidor es

suficiente.

Los programas de mantenimiento manejados en la empresa se enfocan en

la prevención de desastres. El mantenimiento encargado de la corrección de
desastres depende de la experiencia del personal responsable de su
solución, participando como una condición desfavorable en la recuperación
de un desastre.

• Acceso físico, local y remoto:

El control del acceso físico es suficiente mente seguro como para permitir el
acceso a los servidores únicamente al personal autorizado y advertir del
acceso no permitido a los mismos.

30
 El acceso remoto se realiza correctamente a través de la intranet de la
empresa y a través de internet. El inconveniente de abrir el puerto que utiliza
el protocolo de conexión remota RDP.es el de permitir un nuevo vector de
ataque a los servidores centrales de la empresa.

De acuerdo con los procedimientos realizado para la evaluación de los aspectos de

mantenimiento, seguridad, rendimiento y calidad de los servidores, dictaminamos
que:

Los servidores cuentan con una muy buena calidad en sus componentes de
hardware, … los accesos físicos y virtuales a los servidores, … el personal
encargado de mantenerlos, … procedimientos actualmente manejados.

Atentamente,

f._____________________________ f._____________________________
Mijail Moina Lavrishcheva Yorkman Picón Velásquez
Auditor Auditor

31
4.2 RECOMENDACIONES PARA LOS SERVIDORES DEL SISTEMA DE
INFORMACIÓN DE LA EMPRESA

4.2.1 Conocimiento y habilidades de los administradores

• Se recomienda realizar capacitaciones más frecuentes al personal, sugerido

cada 6 meses.

• Se recomienda tener en cuenta la gestión del conocimiento manejado en toda

la empresa por el Departamento Tecnológico de todas las sedes para la
documentación de soluciones y el manejo de la información generada en la
empresa. Es recomendable crear una base de datos administrada por un
software que ayude a gestionar el conocimiento dentro de la empresa.

• Se recomienda enfocar el conocimiento de cada miembro del Departamento

Tecnológico de la empresa en una o unas labores específicas distintas a las
de su compañero para tener una mayor cobertura de conocimiento y
experiencia referente a la informática en la empresa.

4.2.2 Procesos programados actuales

• No se tienen recomendaciones.

4.2.3 Capacidad instalada del hardware

• Se recomienda que se proyecte en el tiempo el software que necesitará la

empresa y el nivel de automatización que tendrán dependiente de los
servidores centrales, para así valorar si será necesario a corto y mediano
plazo la expansión de las capacidades de hardware de los servidores.

• Se recomienda que se determine el proceso que se deba seguir en caso de

una falla en el hardware o software relacionado a los servidores de la
empresa, no se debe permitir que dependa de la experiencia del responsable
en resolver la falla.

• Se recomienda que se capacite al personal en la reparación y restauración

del sistema en caso de fallas de software o hardware y se alimente a una
base de datos de conocimiento con esta información.
4.2.4 Acceso físico, local y remoto

• Se recomienda que se permita únicamente el acceso remoto a los servidores

desde la intranet (red interna) de la empresa. En caso de no poder acceder
a ella, se recomienda el uso de una VPN (Red Virtual Privada) para crear una
conexión a la intranet a través de internet de forma segura y confiable, para
luego conectarse así remotamente a los servidores.

• Se recomienda el control y el bloqueo de todos los posibles métodos de

conexión remota que puedan realizarse directamente desde internet hacia
los servidores de la empresa.

33
 5. CONCLUSIONES

Para poder auditar algo, nos dimos cuenta de que es necesario que los auditores
(nosotros) conozcan bastante del tema que van a auditar. Así que, si queríamos
auditar los servidores centrales de la empresa, necesitábamos conocer bastante
acerca de cómo se utilizan, manejan, administran, monitorean y funcionan.

La labor de auditoría no es sencilla y para su preparación y realización son

necesarios bastantes recursos, en especial el de tiempo. Preparar y ejecutar una
auditoría toma relativamente la mayoría del tiempo destinado a la auditoría,
adicionalmente, toma también su esfuerzo realizar el dictamen. Las observaciones,
recomendaciones y resultados presentados por los auditores involucran su trabajo
que invertido en comparar y evaluar según sus conocimientos cada uno de los
puntos auditados, esto consume recurso humano principalmente.

Lo que hace especial a una empresa son sus secretos. A partir de la experiencia
que tuvimos en la realización de la auditoría de sistemas nos dimos cuenta de que
la información relacionada a sus sistemas de información y de otros aspectos es
considerada muy valiosa y, por lo tanto, la información permanece confidencial entre
el mismo personal que hace parte de la empresa, dificultando así poder hacer una
auditoría (en especial a los sistemas de información centrales) de la empresa.
Vulgarmente hablando, toda empresa tiene su guardado o secreto que no le
gustaría que un tercero conozca.

34