Ejemplo Auditoría Informática

DESCRIPCIÓN DEL EJEMPLO Nota Previa Con este ejemplo de auditoría se pretende presentar como se lleva a la práctica la metodología detallada en la Unidad Didáctica. La organización sobre la que se estructura el ejemplo no existe en la Administración Pública, por lo cual la documentación que configura el ejemplo, aunque basada en actuaciones habituales, no es una trascripción de documentos reales. Es así, que previsiblemente el lector pueda identificar aspectos mejorables. El ejemplo se compone de: 

Políticas marco para las áreas de riesgo informático



Guión estandarizado para las actuaciones cuyo alcance sean esas áreas de riesgo



Borrador del informe de una actuación de auditoría informática.

Descripción de la Organización Auditada El ejemplo se desarrolla en un organismo público que tiene una estructura con Servicios Centrales, y una distribución territorial de Dependencias y de Oficinas de atención al público, que de estas últimas dependen. Desde el punto de vista informático, el servicio de los sistemas de información tiene una arquitectura centralizada para las aplicaciones corporativas, que residen en un ordenador central (host) en los Servicios Centrales. En las Dependencias de la periferia residen las aplicaciones departamentales en los equipos servidores ( clusters) ubicados en ellas. Las Oficinas de atención al público no cuentan con servidores propios, sino que se conectan a los servidores de las Dependencias de las que dependen. En todos los edificios los puestos de trabajo están conectados a redes de área local, y en la mayoría de ellos se presta atención al público. La unidad con competencias TIC, el Centro de Tecnologías de la Información (CTI), depende directamente de la Dirección General, e interviene en los órganos de dirección de la Organización. También cuenta con una estructura territorial en las Dependencias, en las que los temas informáticos son responsabilidad del Jefe de la Unidad Informática de la Dependencia (UID), así como de personal con perfil informático en las Oficinas de atención al público a cargo de la misma. La Organización también ha definido, mediante normas de rango legal suficiente, la siguiente estructura de control interno:  Comisión de Control: Órgano colegiado que define y materializa la política de seguridad, control y auditoría de la Organización, entre las que se incluyen las relativas a los sistemas de información. En lo que afecta al ejemplo, la Comisión de Control ha sido la encargada de definir el Documento de Seguridad (de los ficheros

que contienen datos de carácter personal) y las políticas marco para las áreas de riesgo informático. 

Centro de Tecnologías de la Información (CTI): Desarrolla las políticas definidas por la Comisión de Control, las plasma en Instrucciones Técnicas que comunican sus distintos Servicios y Dependencias, realiza el control de lo efectivamente implementado en las Dependencias, y analiza los resultados en el Comité de Jefes de Unidades Informáticas de las Dependencias.



Órgano de Auditoría Interna (OAI): Dependiendo orgánicamente de la Dirección General, se encarga de la supervisión de la política de control establecida en la Organización por la Comisión de Control y del desarrollo e implementación de las mismas por parte de los centros directivos (incluido el Centro de Tecnologías de la Información y sus Unidades Informáticas de las Dependencias). El OAI está dotado de personal cualificado para realizar auditorías internas, y está regulado por normas de funcionamiento, incluso para la rendición de informes.

Objetivo y Alcance de la Auditoría del Ejemplo Se pretende verificar de que forma en la UID de una Dependencia se aplican las políticas, normas, procedimientos e instrucciones de la Organización, en lo relativo a la infraestructura informática de la Dependencia y de las Oficinas que de ella dependen. Así mismo, se analizará si el sistema de control necesita ser revisado, o bien sigue siendo el adecuado y es conforme al estado de la tecnología y a las buenas prácticas del sector. Para ello se ha establecido que el alcance se limite a los puntos de control relacionados con las áreas de riesgo informático identificados por la Comisión de Control como los más relevantes. Estos son:  

Inventario de equipos informáticos Mantenimiento de equipos informáticos



Medidas de seguridad en los puestos de trabajo



Medidas de seguridad en las redes de área local



Protección antivirus.

Partiendo de las políticas marco de la Organización para las áreas de riesgo informático objeto de la auditoría, el OAI tiene elaborado un guión estandarizado para el desarrollo de las actuaciones a realizar en las Dependencias y en las Oficinas que de ellas dependen, el que ha sido personalizado para la Dependencia a auditar.

MINISTERIO DE XXXXXXX

POLÍTICAS MARCO PARA LAS ÁREAS DE RIESGO DE MICROINFORMÁTICA

Comisión de Control

-1-


Í N D I C E

INVENTARIO

3

MANTENIMIENTO

4

SEGURIDAD EN LOS EQUIPOS DE TRABAJO

5

SEGURIDAD EN LAS REDES DE ÁREA LOCAL

6

CONTROL DEL PROGRAMA ANTIVIRUS

7

-2-


INVENTARIO El inventario de bienes y servicios informáticos, además de funciones administrativas y contables, posee una utilidad técnica y estratégica. Desde el punto de vista técnico, es el instrumento desde el que se puede ofrecer: 

una panorámica completa de los distintos sistemas informáticos y de información.



una descripción de las interrelaciones entre los distintos componentes.

Desde el punto de vista estratégico, permite: 

determinar las necesidades informáticas generales de la organización.



planificar las sustituciones y actualizaciones de equipos y sistemas.



distribuir convenientemente los equipos en el nivel territorial y en el funcional.



calibrar el impacto de la evolución de las tecnologías.



precisar las actuaciones de mantenimiento requeridas. En términos económicos, el inventario refleja gastos e inversiones importantes y en muchos casos estructurales. Un inventario bien diseñado, unos procedimientos de gestión del mismo adecuados y una buena y puntual llevanza contribuyen a evitar además, el riesgo de circunstancias indeseadas como: 

el robo o extravío de equipos.



el deterioro o falta de operatividad de equipos.



la utilización de licencias o productos no autorizados.

El inventario de productos informáticos de hardware y de software se mantiene y consulta mediante una opción de la aplicación corporativa, denominada Inventario Informático. El alta y la preasignación los elementos deInformación este inventario se arealizan Servicio de Planificación del Centro dedeTratamiento de la (CTI), partir depor loselexpedientes administrativos tramitados. El elemento queda entonces en situación de PENDIENTE en la aplicación, para que una vez consignado el número de serie, la localización, los elementos conexos si los hubiere y las demás características consideradas obligatorias, pueda pasar a la situación de INVENTARIO. También se contemplan situaciones especiales para los elementos que: 

Cuentan con garantía del fabricante o están cubiertos con un contrato de mantenimiento y permanezcan en ALMACEN como reserva para cubrir contingencias.



No cuentan con garantía del fabricante ni están cubiertos con un contrato de



mantenimiento y a pesar de su OBSOLESCENCIA se siguen empleando. Están pendientes de un expediente de DESFECTACIÓN para causar baja definitiva.

-3-


MANTENIMIENTO Para cumplir adecuadamente con los fines a los que se destinan, los bienes y productos informáticos tienen que encontrarse en buen estado de funcionamiento, lo que obliga a realizar continuamente operaciones de mantenimiento, adaptación, actualización, reparación o sustitución. El mantenimiento de los equipos informáticos y del software no desarrollado por el CTI suele contratarse con empresas especializadas, dada su complejidad técnica, el despliegue territorial necesario y la insuficiencia de medios propios. Estos servicios se licitan habitualmente por lotes homogéneos, con objeto de tener en cuenta las distintas características de los sistemas y equipos instalados y de optimizar las prestaciones de las empresas adjudicatarias. Los contratos de mantenimiento suelen cubrir de forma permanente todos los equipos que no están en garantía y contienen cláusulas que prevén penalizaciones cuando se superan determinados tiempos de resolución. También permiten la sustitución definitiva por equipos nuevos en el caso de que la reparación no sea posible, y la sustitución temporal por equipos de características compatibles cuando sea necesario realizar la reparación en laboratorio o esperar la llegada de repuestos faltantes. Las averías e incidencias que se producen en los equipos informáticos y en el software no desarrollado por el CTI, y que el personal propio no puede o no debe solventar, son obligatoriamente comunicadas para su resolución al servicio competente del CTI, por medio de un formulario electrónico soportado por el sistema informático corporativo. El parte es enviado por la unidad o persona competente de la unidad donde se produjo la incidencia y tratado por la Servicio de Planificación del CTI, que a su vez lo remite por correo electrónico o fax a la empresa que debe atenderlo, que difiere según que el equipo esté en periodo de garantía o incluido en algún contrato de mantenimiento vigente. Con el fin de agilizar la tarea de resolución de averías, los concursos de mantenimiento establecen la obligatoriedad para el adjudicatario de facilitar una conexión específica para tales circunstancias. El parte, numerado automáticamente, contiene los elementos necesarios para identificar el elemento averiado, para conocer su ubicación y para describir la incidencia sobrevenida. Asimismo, contiene campos específicos de información para que se registren las distintas situaciones del expediente, y en particular las fechas de inicio y de cierre, la posible sustitución del equipo por uno nuevo y el número de días en que estuvo afectado el servicio. En el caso de sustitución, el personal autorizado del CTI procede a actualizar el inventario con los datos reflejados en el parte, en particular el nuevo número de serie. De esta forma, si puede decirse que una buena gestión del inventario contribuye a agilizar las labores de mantenimiento eficiente de los equipos, la afirmación recíproca también es cierta. Finalmente, una vez que la empresa realiza la intervención y que se presta la conformidad por parte de la unidad, con o sin visita de técnico de por medio, el usuario (en la práctica la unidad informática que puso el parte) debe cerrar la actuación por medio del mismo formulario. El cierre de la avería se utiliza para computar las penalizaciones por demora incluidas en el contrato, por lo que es importante que las averías pendientes de resolver lo estén realmente y no se haya simplemente omitido cerrarlas. -4-


El seguimiento de las averías e incidencias reflejadas en la aplicación se realiza mediante un formulario de contenido estadístico. Las instrucciones o incidencias que el CTI desea comunicar a las Unidades de Informática de las Dependencias (UIDs) suelen enviarse por medio de correo electrónico interno.

SEGURIDAD EN LOS EQUIPOS DE TR ABAJO Se entiende por seguridad de los sistemas de información al conjunto de técnicas y procedimientos que permiten garantizar los requisitos básicos de los sistemas de información:   

Disponibilidad de la información Integridad de la información Confidencialidad de los datos.

La utilización cada vez mayor por parte los autónoma funcionarios de los ordenadores como herramientas de trabajo, ya sea de de forma u organizados en redespersonales de área local, exigen la utilización de mecanismos de seguridad específicos: 

Utilización de un producto de seguridad instalado en los ordenadores que controle el acceso a los mismos y que encripte los datos mediante un algoritmo de cifrado.



Utilización de un antivirus en todos los ordenadores personales y portátiles de la organización.



Realización de un MASTER para la instalación uniforme de los ordenadores personales conectados a la red de área local.

Las medidas adoptadas para garantizar la seguridad en los equipos de puesto de trabajo, y que desarrollan la presente política, deben tener carácter reservado para evitar un uso malicioso de las mismas. La Comisión de Control definirá las características del producto de seguridad a instalar en los ordenadores personales, así como el esquema organizativo que señalará las pautas para: 

La implantación y mantenimiento del producto y de los usuarios.



Encargados de instalar el producto y de la conversión de soportes.



La habilitación de puertos USB.



La instalación de unidades lectoras/grabadoras CD o DVD.



Sistema de registro de las actividades de cifrado y del otorgamiento de privilegios en puertos USB o dispositivos CD o DVD.

Con ese esquema organizativo, tanto los Administradores como los Coordinadores de Seguridad podrán tener acceso a la información contenida en los discos duros de los ordenadores personales y a los soportes que se convierten de formato.

-5-


SEGURIDAD EN LAS REDES DE ÁREA LOCAL Un porcentaje cada vez mayor de los funcionarios dispone de ordenadores personales, y estos se encuentran configurados además, en redes de área local (RAL). Las redes permiten compartir recursos de software, de almacenamiento de ficheros o servicios de impresión. Descargan también al usuario, o al personal de apoyo microinformático, de determinadas tareas de actualización o mantenimiento, que pasan a ser realizadas automáticamente por el sistema operativo de red o por el Administrador de la RAL. El propio trabajo de los usuarios se modifica al utilizar profusamente medios ofimáticos y compartir información con mayor agilidad. Las redes también aportan mayor seguridad colectiva e individual, ya que se pueden: 

realizar salvaguardas sistemáticas.



establecer autorizaciones y perfiles de usuario.

 

auditar los movimientos realizados. proteger los equipos y el sistema en general por medio de antivirus actualizados con gran frecuencia y facilidad.



monitorizar la situación e incidencias de los elementos conectados en red.

Asimismo, constituyen una arquitectura adecuada para desarrollar la intranet corporativa y regular el acceso a Internet, y permiten potencialmente un ahorro en determinados costes, tales como licencias de uso. Como contrapartida a estas posibilidades ofrecidas, debe prevenirse el riesgo de intrusiones de distinto tipo o de fugas de información, o el uso ineficaz de los medios disponibles. La estructura básica (directorios, recursos, etc.) de las redes de área local periféricas se define por el CTI. Debe procederse a regular la actividad de administración de las redes, especialmente en lo que concierne a la seguridad, elaborándose un censo de Administradores de RAL que pueda consultarse en el sistema corporativo, conjuntamente con el de Administradores de Seguridad, y con los Administradores del producto de seguridad microinformático. Las funciones de los Administradores de RAL están expuestas en el Documento de Seguridad de los ficheros automatizados de carácter personal, aprobado por la Comisión de Seguridad y Control. En cuanto a la seguridad informática, la utilización intensiva de las nuevas tecnologías de la información y de la comunicación, el aumento del número de ordenadores personales, la implantación de redes de área local, y en definitiva, la evolución de los sistemas de información y su organización han exigido, la actualización del Capítulo X, relativo a los ordenadores personales, del citado Documento de Seguridad. Dicho capítulo se estructura en seis secciones:

Sección 1.

Integridad de la información en la red

Sección 2.

Seguridad de los datos de carácter personal -6-


2.1.

Medidas de seguridad física

2.2.

Medidas de seguridad lógica

2.3.

Seguridad de los accesos

Sección 3. Control de accesos Sección 4.

Responsabilidades 4.1.

Administrador de Seguridad

4.2.

Administrador de Red de Área Local

Sección 5. Gestión de incidencias 5.1.

Tratamiento de las incidencias

5.2.

Control de las incidencias

5.3. Auditorías Sección 6. Planes de contingencias Además, el CTI desarrollará manuales de operación de los servidores que documentarán las actividades diarias que deberán ejecutarse o las que ejecutándose automáticamente deberán ser supervisadas periódicamente. Se incluirán directrices de buenas prácticas para otras tareas de administración no reguladas específicamente.

PROTECCIÓN ANTIVIRUS Los virus informáticos son programas que se introducen en los ordenadores, sin conocimiento de los usuarios de los mismos, y que pueden producir efectos nocivos o simplemente no deseados. Los medios de entrada más habituales para los virus son las unidades de disco extraíbles (disquetes), las redes de ordenadores, el correo electrónico y las páginas web de Internet. Para resolver este problema se han creado los denominados programas antivirus, que incorporan medidas de búsqueda y protección contra los virus conocidos. Según el Centro de Alerta Temprana sobre Virus y Seguridad Informática, del ente público “Red.es”, dependiente del Ministerio de Industria, Comercio y Turismo, tendríamos las siguientes acepciones: “Virus: Programa que está diseñado para copiarse a sí mismo sin conocimiento del usuario y con la intención de infectar el sistema operativo y/o aplicaciones, cuyos efectos pueden variar dependiendo de cada virus: mostrar un mensaje, sobrescribir archivos, borrar archivos, enviar información confidencial mediante e-mail a terceros, etc.” “Antivirus: Son todos aquellos programas que permiten analizar memoria y unidades de disco en busca de virus. Una vez el antivirus ha detectado alguno de ellos, informa -7-


al usuario procediendo inmediatamente y de forma automática a desinfectar los ficheros, directorios o discos que hayan sido víctimas del virus. Aplicación cuya finalidad es la detección y eliminación de virus, troyanos y gusanos informáticos.” El Centro de Alerta ofrece también unas recomendaciones generales para la protección frente a losTemprana virus: 

Utilizar siempre un antivirus actualizado.



Verificar, antes de abrirlo, cada mensaje nuevo de correo recibido.



Evitar la descarga de programas de lugares no seguros de Internet.



Rechazar archivos que no se hayan solicitado.



Realizar periódicamente copias de seguridad.



Utilizar software legal.



Mantenerse informado.



Utilizar usuarios sin privilegios para tareas comunes. El marco regulador de la Organización es el Capítulo X - Ordenadores personales, del Documento de Seguridad de los ficheros automatizados de carácter personal. Este capítulo establece, entre otras cosas que: 

Es obligatorio tener instalado en todos los servidores de red, servidores de impresión, ordenadores personales clientes de red y portátiles, el programa antivirus que determine la organización.



El programa antivirus deberá estar siempre activo y actualizado.



Son funciones del Administrador de Red de Área Local, aplicar el sistema de protección antivirus del servidor y de las estaciones de trabajo y velar por su estricto cumplimiento.



El Servicio de Redes Locales del CTI elabora y distribuye además instrucciones técnicas a los servicios territoriales en materia de administración y gestión en las redes de área local (RAL) y en las oficinas con servidor remoto. En particular, cabe mencionar el desarrollo de las instrucciones referentes a la instalación del programa y de la consola antivirus.

-8-


GUIÓN ESTÁNDAR PARA AUDITORÍAS EN MATERIA DE ÁREAS DE RIESGO DE INFORMÁTICA Noviembre 2008

-1-


Í N D I C E 1.

INVENTARIO ................. ................. ................. ................. ................. ................. ...4 1.1. RECOPILACIÓN DE DOCUMENTACIÓN ................ .................. ................. ...........5 1.2. ENTREVISTA CON LOS RESPONSABLES DEL INVENTARIO ............................5 1.3. OBSERVACIÓN DEL TRABAJO REALIZADO ................................ ................. ...... 6 1.4. COMPROBACIÓN DE UNA MUESTRA DE ELEMENTOS DEL INVENTARIO INFORMÁTICO ................. ................. ................. ................. ................. .................7 1.5. PRESENTACIÓN DE LOS HALLAZGOS ................................ ................. ..............8

2.

MANTENIMIENTO ............... ................. ................. ................. ................. ..............9 2.1. RECOPILACIÓN DE DOCUMENTACIÓN ................ .................. ................. ......... 10 2.2. ENTREVISTA CON LOS RESPONSABLES DEL MANTENIMIENTO .................. 10 2.3. GESTIÓN DE LOS PARTES DE MANTENIMIENTO............................................ 11 2.4. COMPROBACIÓN DE LOS PARTES DE MANTENIMIENTO...............................12 2.5. PRESENTACIÓN DE LOS HALLAZGOS ................................ ................. ............13

3.

SEGURIDAD EN LOS EQUIPOS DE PUESTO DE TRABAJO ........ ......... .......... 13 3.1. RECOPILACIÓN DE DOCUMENTACIÓN ................ .................. ................. ......... 14 3.2. ENTREVISTA CON LOS RESPONSABLES DE MICROINFORMÁTICA..............15 3.3. RECOGIDA DE INFORMACIÓN...........................................................................16 3.4. COMPROBACIÓN DE LA SEGURIDAD EN LOS EQUIPOS DE PUESTO DE TRABAJO.................... ................. ................. ................. ................. ................. .... 17 3.5. PRESENTACIÓN DE LOS HALLAZGOS ................................ ................. ............19

4.

SEGURIDAD EN LAS REDES DE ÁREA LOCAL...............................................20 4.1. RECOPILACIÓN DE DOCUMENTACIÓN ................ .................. ................. ......... 20 4.2. ENTREVISTA CON LOS RESPONSABLES Y ADMINISTRADORES DE LAS REDES DE ÁREA LOCAL............................. ................. ................. ................. .... 21 4.3. OBSERVACIÓN DEL TRABAJO REALIZADO ................................ ................. .... 24 4.4 COMPROBACIÓN DE LA SEGURIDAD EN LA RAL............................................25 3.5. PRESENTACIÓN DE LOS HALLAZGOS ................................ ................. ............27

5.

CONTROL DEL PROGRAMA ANTIVIRUS..........................................................27 5.1. RECOPILACIÓN DE DOCUMENTACIÓN ................ .................. ................. ......... 28 -2-


5.2. ENTREVISTA CON LOS RESPONSABLES Y ADMINISTRADORES DE LAS REDES DE ÁREA LOCAL............................. ................. ................. ................. .... 29 5.3. RECOGIDA DE INFORMACIÓN...........................................................................30 5.4. COMPROBACIÓN DEL SEGUIMIENTO DE LA ACTIVIDAD VÍRICA...................31 5.5. PRESENTACIÓN DE LOS HALLAZGOS ................................ ................. ............31

6.

CALENDARIO.......... ................. ................. ................. ................. ................. .......32

ANEXOS 1. Documento de seguridadde los ficheros que contienen datos de carácter personal. 2. Contexto de cada una de las áreas de riesgo a auditadar: 

Políticas y estrategias marco



Normativa aplicable



Procedimientos



Instrucciones del CTI.

3. Inventario de los activos a proteger. 4. Relación de equipos con incidencias en el inventario. 5. Detalle de la muestra de equipos de puesto de trabajo a revisar. 6. Detalle de las comprobaciones de seguridad a llevar a cabo en los puestos de trabajo. 7. Partes de mantenimiento resueltos y pendientes. 8. Resultado de las auditorías de seguridad en los equipos de puesto de trabajo. 9. Instrucciones técnicas del CTI sujetas a comprobación. 10. Detalle de las comprobaciones de seguridad a llevar a cabo en las redes de área local. 11. Monitorizaciones realizadas sobre dispositivos no autorizados. 12. Actividad vírica en las RALs.

-3-


Punto de Control 1

1.

INVENTARIO

Metodología

La actuación consiste en comprobar si: 

Se cumplen las instrucciones establecidas por el Centro de Tratamiento de la Información (CTI).



Los equipos se dan de alta, de baja y se modifican sus características y asignaciones, de forma completa, sin errores y en plazo.



No se detectan circunstancias anómalas o indebidas (licencias no registradas, equipos no encontrados o no inventariados, etc.).

Para lo cual, se determina: 

El procedimiento general de gestión del inventario informático.



El grado de utilización de la aplicación corporativa del inventario informático y el uso de medios alternativos de control.



Los criterios generales y específicos de asignación de equipos.



La razón por la que existen elementos informáticos del inventario catalogados aún pendientes de asignar, tomando como muestra en este caso la totalidad de los equipos que se encuentran en esa situación en el momento de la actuación.



La efectiva presencia en la Dependencia de los equipos consignados en la aplicación de gestión de inventario mediante la comprobación del número de serie y de sus características técnicas principales, tomando una muestra estratificada según el tipo de equipo.



La efectiva presencia en almacén de los equipos consignados en la aplicación de gestión de inventario con tal destino.



La efectiva ausencia en la Dependencia de equipos no catalogados o catalogados en otras unidades, mediante la comprobación de los elementos informáticos utilizados por los funcionarios usuarios de los equipos de la muestra anterior.



El procedimiento seguido para la baja de equipos obsoletos.

-4-


A.- Obtención de la comprensión del entorno auditado

Se obtendrá una los recursos físicos la actuación, laoperativos, estructura organizativa, suscompresión funciones yde responsabilidades, lasafectados políticas por y procedimientos las regulaciones normativas de obligado cumplimiento que le sean aplicables, las medidas de control existentes y los informes de control, para lo cuál se aplicarán las siguientes técnicas de auditoría:

1.1.

RECOPILACIÓN DE DOCUMENTACIÓN

AUDITORES: PRÁCTICA: Se recabará una serie de documentos antes de comenzar con los trabajos de campo, los que servirán de base para preparar las entrevistas o las visitas a las instalaciones. En caso que los auditados no tengan disponible parte de ella, podrá ser entregada a posteriori. 

Política de la Organización aplicable: Política marco para el Inventario



Marco normativo legal: Ley de propiedad intelectual



Procedimientos específicos: Gestión de inventario, activos a proteger, relaciones con los proveedores, medidas de control



Instrucciones: Instrucciones técnicas sobre la materia, Manual de usuario de la aplicación.



Buenas prácticas del sector aplicables al punto de control.



Otra documentación relevante: Inventario de los activos a proteger, Informes de incidencias, Actas de recepción de equipos, Expedientes de dasafectación.



Recursos: Sistema de información que soporta la gestión del inventario.



Identificación de interlocutores: responsables técnicos y organizativos del sistema para la gestión del inventario, funciones y responsabilidades.

1.2.

ENTREVISTA CON LOS RESPONSABLES DEL INVENTARIO

LUGAR, FECHA y HORA: AUDITORES: INTERLOCUTORES: 

Jefe de la Unidad Informática de la Dependencia (UID). -5-




Responsable del inventario informático.

CUESTIONARIO: 1.

Procedimiento de gestión del inventario.

2.

Uso de aplicaciones propias para la gestión del inventario.

3.

Criterios de asignación de equipos a los usuarios y en la aplicación de gestión de inventario.

4.

Criterios de asignación de licencias de software con un número de usuarios limitado.

5.

Calendario anual de instalación de equipos.

6.

Utilización efectiva de los elementos que se encuentran de baja en el inventario.

7.

Observaciones de la Dependencia sobre la aplicación corporativa para la gestión del inventario informático.

8.

Procedimiento seguido para la recepción de equipos, entrega a usuarios, baja y desafectación de equipos.

B.- Evaluación de los controles

Se evaluarán los controles aplicados para determinar la eficiencia de las medidas existentes o el grado en que se logra el punto de control, determinando si existen procesos documentados, los resultados obtenidos son apropiados, y si las responsabilidades son claras y eficaces, concluyendo sobre el grado de cumplimiento del punto de control, para lo cuál se aplicarán las siguientestécnicas de auditoría:

1.3.

OBSERVACIÓN DEL TRABAJO REALIZADO



PREPARACIÓN: 1.

Consulta en la aplicación de gestión de inventario informático de la relación de elementos que constan como pendientes de asignar y en almacén en los siguientes momentos: antes de comunicar la visita de inspección, después de comunicar la visita, inmediatamente antes de realizar la visita, luego de realizar la inspección y al cierre del proyecto de informe. -6-


PRÁCTICA: 1.

2.

Se solicitará un informe a la Dependencia explicando los motivos por los que los elementos clasificados como pendientes antes de la visita no están plenamente inventariados. Se recabará información sobre el método empleado para resolver incidencias entre lo reflejado por la aplicación y el parque realmente instalado.

3.

En el caso que la Dependencia disponga de una aplicación informática propia para la gestión del inventario, se solicitará una copia total o parcial de la misma con objeto de verificar la conformidad con los datos de la aplicación corporativa.

4.

Se solicitarán: actas de recepción de suministradores, recibo en custodia de los usuarios, expedientes desafectación y certificados de “punto limpio”.

3.- Valoración de controles

Se evaluará el cumplimiento de las medidas de control establecidas, determinando si están funcionando como debieran, de manera consistente, para concluir sobre la suficiencia del ambiente de control. Se obtendrán evidencias del cumplimiento de los procedimientos, se llevará a cabo una revisión limitada de los resultados del proceso, y se efectuarán pruebas para asegurar que el proceso es adecuado, para lo cuál se aplicarán las siguientes técnicas de auditoría:

1.4.

COMPROBACIÓN

DE

UNA

MUESTRA

DE

ELEMENTOS

DEL

INVENTARIO INFORMÁTICO





Responsable de la red de área local.

PREPARACIÓN: 1.

El CTI facilita a petición expresa del equipo de inspección unos informes en hoja de cálculo del inventario informático de la Dependencia. Estos datos se extraen de la aplicación corporativa y facilitan al equipo de inspección el trabajo de selección y comprobación de la muestra.

2.

Obtención de una muestra estratificada de equipos entre los que consten asignados a la Dependencia en la aplicación corporativa del inventario informático. En -7-


particular se escogerán ordenadores personales, ordenadores portátiles y servidores, y se tratará de cubrir, en función del tiempo disponible para realizar las comprobaciones, las principales clases y subclases de elementos en que se clasifica el de ubicaciones deinventario. los mismosEn porcaso razones operativas.en varios edificios, se podrá limitar el número 3.

Inclusión en la muestra de elementos singulares: impresoras de red, sistema de videoconferencia, sistemas de alimentación ininterrumpida, unidades de cartuchos y cintas, paquetes de software específicos, etc.

4.

Es muy conveniente que al menos una de las personas del equipo de inspección que realice la comprobación tenga conocimientos informáticos suficientes, para que le permitan resolver las incidencias surgidas durante la verificación.

PRÁCTICA: 1.

Se recabarán evidencias de cómo se realizan y documentan las medidas de control para posteriormente evaluar el cumplimiento y justificar el riesgo residual.

2.

Verificación de la muestra de equipos seleccionada según diferentes criterios (tipo de elemento, función realizada, personal usuario del equipo) determinando en la comprobación si se identifican por número de serie o por características físicas, o bien, si se dan otras circunstancias (están de baja, en otro edificio, conectados a otro equipo, etc.).

3.

En el caso de ordenadores personales, se revisarán los elementos conexos, incluyendo el software de sistemas y de aplicación con licencia corporativa. Una actuación similar se realizará para el ordenador departamental ( cluster) de la

4.

Dependencia. La comprobación se realizará de forma coordinada e incluso de forma conjunta con la comprobación de la seguridad de los equipos de puestos de trabajo, en el caso de que el alcance de la visita cubra esta otra área de riesgo.

D.- Justificación del riesgo

Se justificará el riesgo de no cumplir con el objetivo de control, para lo cual se fundamentará la opinión. Se documentarán las debilidades de los controles, las amenazas y los puntos vulnerables, y se identificará el impacto real mediante un análisis causaefecto, para lo cuál se aplicarán las siguientes técnicas de auditoría:

1.5.

PRESENTACIÓN DE LOS HALLAZGOS

AUDITORES: -8-


PRÁCTICA: 1.

2.

El análisis de los datos permitirá establecer la gestión de los elementos con estado pendiente de inventariar, los elementos no localizados, los elementos mal inventariados, los elementos en almacén. Apoyar los hallazgos mediante información comparativa, con puntos de referencia o indicadores de calidad.

3.

Con objeto de no recargar el cuerpo principal del informe, los resultados obtenidos en la comprobación de cada uno de los elementos analizados se incluirán en anexo.

4.

Documentar las debilidades de los sistemas de control, y las amenazas y vulnerabilidades resultantes.

5.

Identificar y documentar el impacto real y potencial de las debilidades.

Punto de Control 2

2.

MANTENIMIENTO

Metodología

La actuación consiste en determinar si el sistema implantado para resolver las averías e incidencias ocurridas funciona correctamente, es decir si: 

Se cumplen las instrucciones establecidas por el Centro de Tratamiento de la Información (CTI).



La resolución se realiza con calidad, y por tanto de forma eficaz (se solventa el problema), rápida (en el tiempo más corto posible) y fiable (sin fallos posteriores).

Para lo cual, se examina: 

El procedimiento general utilizado para realizar el mantenimiento de los equipos y resolver las averías e incidencias sobrevenidas.



El grado de utilización de la aplicación corporativa para la gestión del servicio de mantenimiento del parque informático, y el uso de medios alternativos de control.



Las circunstancias relevantes o anómalas que pudieran derivarse del estudio de una muestra de partes de trabajo tomada de la aplicación para la gestión del servicio de mantenimiento.

-9-



Se obtendrá una compresión de los recursos físicos afectados por la actuación, la estructura organizativa, funcionesdey responsabilidades, las políticas procedimientos lasde regulaciones sus normativas obligado cumplimiento que le ysean aplicables, operativos, las medidas control existentes y los informes de control, para lo cuál se aplicarán las siguientes técnicas de auditoría:

2.1.



Política de la Organización aplicable: Política marco para el Mantenimiento de equipos informáticos



Marco normativo legal: Ley de protección de datos de carácter personal



Procedimientos específicos: Gestión de partes de mantenimiento, activos a proteger, relaciones con los proveedores, medidas de control



Instrucciones: Instrucciones técnicas sobre la materia, Manual de usuario de la aplicación.



Buenas prácticas del sector aplicables al punto de control



Otra documentación relevante: Parque en garantía, Informes de incidencias, Actas de recepción de arreglos.



Recursos: Sistema de información que soporta la gestión de los partes de mantenimiento.



Identificación de interlocutores: responsables técnicos y organizativos del sistema para la gestión del inventario, funciones y responsabilidades.

2.2.

ENTREVISTA CON LOS RESPONSABLES DEL MANTENIMIENTO

LUGAR, FECHA y HORA: AUDITORES: INTERLOCUTORES: - 10 -




Jefe de la UID.



Responsable del mantenimiento microinformático.

CUESTIONARIO: 1.

Procedimiento de gestión de las averías e incidencias, con especial atención al edificio de la Dependencia. En especial, uso de la aplicación para la gestión del servicio de mantenimiento.

2.

Averías recurrentes o graves por naturaleza de equipos, según la Dependencia, y sus causas.

3.

Utilización del material obsoleto: pantallas, impresoras matriciales, etc.

4.

Servicio prestado por las empresas de mantenimiento, e incidencias en el mismo.



2.3.

GESTIÓN DE LOS PARTES DE MANTENIMIENTO

AUDITORES: PRACTICA: 1.

Acceso y utilización en modo usuario de la aplicación corporativa para la gestión del servicio de mantenimiento.

2.

Consulta en la aplicación para la gestión del servicio de mantenimiento de los partes de mantenimiento de los equipos informáticos, indicando los resueltos, los pendientes y los anulados.

3.

Confección de un cuadro estadístico de las averías del año en curso (o del año anterior).

4.

Obtención del tiempo medio transcurrido entre el inicio y el cierre de las averías.

5.

Obtención del ratio de averías por usuario y por equipo de puesto de trabajo.

- 11 -




2.4.

COMPROBACIÓN DE LOS PARTES DE MANTENIMIENTO

LUGAR, FECHA y HORA: AUDITORES: INTERLOCUTORES: -

Responsable del mantenimiento microinformático.

PREPARACIÓN: 1.

Acceso y utilización en modo usuario de la aplicación corporativa para la gestión del servicio de mantenimiento.

2.

Consulta en la aplicación para la gestión del servicio de mantenimiento de los partes de mantenimiento de los equipos informáticos de los últimos meses, obteniendo los resueltos, los pendientes y los anulados.

3.

Analizar el tiempo de reparación de las averías reportadas.

4.

Analizar las posibles incidencias en la prestación dl servicio.

PRÁCTICA: 1.

Revisión de la documentación externa e interna de que se dispone en la Dependencia, correspondiendo preferentemente a las averías de los dos últimos meses.

2.

Contraste de los partes para la gestión del servicio de mantenimiento de un período significativo, verificando la completitud de los mismos.

3.

Gestión de incidencias con las empresas prestadoras del servicio de garantía o

4.

mantenimiento. Escalonamiento de problemas.

- 12 -



Se justificará el riesgo de no cumplir con el objetivo de control, para lo cual se fundamentará la opinión. Se documentarán las debilidades de los controles, las amenazas y los puntos vulnerables, y se identificará el impacto real mediante un análisis causa-efecto, para lo cuál se aplicarán las siguientes técnicas de auditoría:

2.5.


AUDITORES: PRÁCTICA: 1.

El análisis de los datos permitirá establecer la gestión de los partes de averías, la calidad del servicio recibido, el procedimiento para resolver incidencias con los prestadores del servicio.

2.

Apoyar los hallazgos mediante información comparativa, con puntos de referencia o indicadores de calidad.

3.

Con objeto de no recargar el cuerpo principal del informe, los resultados obtenidos en la comprobación de cada uno de los elementos analizados se incluirán en anexo, consignando.

4.


5.


Punto de Control 3

3.

SEGURIDAD EN LOS EQUIPOS DE PUESTO DE TRABAJO

Metodología


Se cumplen las instrucciones establecidas por el Centro de Tratamiento de la Información y de la Comisión de Control



Se realiza una adecuada instalación y se mantienen actualizados los productos de seguridad microinformáticos y los programas antivirus facilitados por la Organización.

- 13 -


Para lo cual se determinará: 



El procedimiento aplicado para la instalación de los productos de seguridad y de los antivirus así como el protocolo utilizado para el encriptado y desencriptado de los soportes. La instalación de los productos de seguridad y el cumplimiento de las normas técnicas de seguridad en una muestra de los equipos de puestos de trabajo utilizados (ordenadores personales, portátiles, etc.), tratando de cubrir diferentes situaciones (equipos conectados a red y no conectados a red, ordenadores personales conectados a Internet, etc.) y áreas de trabajo.


Se obtendrá una compresión de los recursos físicos afectados por la actuación, la estructura organizativa, sus funciones y responsabilidades, las políticas y procedimientos operativos, las regulaciones normativas de obligado cumplimiento que le sean aplicables, las medidas de control existentes y los informes de control, para lo cuál se aplicarán las siguientes técnicas de auditoría:

3.1.



Política de la Organización aplicable: Política marco de Seguridad de los Puestos de Trabajo



Marco normativo legal: Ley de protección de datos de carácter personal



Procedimientos específicos: Gestión de instalación de equipos, Gestión de configuraciones



Instrucciones: Instrucciones técnicas sobre la materia



Buenas prácticas del sector aplicables al punto de control



Otra documentación relevante: Documento de Seguridad de los ficheros que contienen datos de carácter personal

- 14 -




Recursos: Herramientas empleadas para la instalación y distribución de software, herramientas empleadas para las auditorías de seguridad.



Identificación de interlocutores: responsables técnicos y organizativos del parque microinformático, funciones y responsabilidades.

3.2.

ENTREVISTA CON LOS RESPONSABLES DE MICROINFORMÁTICA


Responsable del parque microinformático.



Responsable de las redes de área local.

CUESTIONARIO: 1.

Política de seguridad seguida en los PCs. Grado de conocimiento de las directrices de la Comisión de Control o del CTI: a. Control del número de licencias instaladas de determinado software. b. Personas autorizadas parala instalación del producto de seguridad. c. Introducción de datos externos o extracción de datos internos. Tipos de soportes empleados. d. Protocolo seguido para la grabación de CDs a petición de usuarios. Contenidos. e. Protocolo seguido para la habilitación de puertos USB y conexión de dispositivos extraíbles. f. Activación bloqueo de pantalla por inactividad. g. Bloqueo de la BIOS con contraseña del administrador del producto de seguridad. h. Otras iniciativas o medidas propias adoptadas por la UID.

2.

Actuaciones seguidas en los casos de sustitución del equipo a un usuario, ya sea por cambio de uso del equipo, avería grave, obsolescencia del equipo sustituido (borrado de datos, formateo del disco, instalación y desinstalación de software, etc.).

3.

Protocolo seguido en caso de avería de equipos: Tratamiento de los datos en los equipos que deben ser retirados de los edificios de la organización.

4.

Protocolo seguido en caso de baja de equipos: Tratamiento de los datos en los equipos incluidos en expedientes de desafectación.

- 15 -


5.

Comprobación de la existencia de un CD Master para la reinstalación del software básico en los PCs, siguiendo las indicaciones del CTI.

6.

Monitorizaciones y controles sobre seguridad en los puestos de trabajo realizados

7.

regularmente por la Dependencia. Otras medidas de seguridad: a. Reutilización de soportes magnéticos: i. Dispositivo o mecanismo empleado para la reutilización o destrucción de los soportes magnéticos de copias de seguridad. ii. Protocolos aplicados a los soportes presentados por los ciudadanos: recepción, volcado información, almacenamiento, devolución, borrado, desmagnetización, destrucción, etc. b. Eliminación de ficheros temporales en los diferentes entornos: i. Carpetas de intercambio en las RALs. ii. Colas de impresión y otros ficheros temporales del entorno departamental. c. Destrucción de listados e informes de papel: i. Distribución de listados. ii. Eliminación de listados defectuosos. iii. Existencia de destructoras o contenedores de papel usado.



3.3.

RECOGIDA DE INFORMACIÓN


Responsable de microinformática.

PRACTICA: - 16 -


Si se estima necesario, se solicitarán los siguientes datos e informaciones de cómo se lleva a cabo el trabajo: 1.

Peticiones para la incorporación o extracción de información en los equipos de la

2.

organización. Peticiones registradas para conectar dispositivos USB y justificación de las autorizaciones dadas según equipos y usuarios solicitantes.

3.

Instrucciones recibidas sobre conservación o destrucción de información en soportes informáticos o en papel.

4.

Informes de controles realizados sobre los equipos.

5.

Informes de auditorías en los puestos de trabajo.



3.4.

COMPROBACIÓN DE LA SEGURIDAD EN LOS EQUIPOS DE PUESTO DE TRABAJO



PREPARACIÓN: 1.

Se coordina esta actuación con la verificación del inventario, en caso de que el alcance de la visita cubra esa otra área de riesgo, tomando en común la muestra, si es posible.

2.

Autorización corporativo. para realizar consultas en la aplicación para la gestión del inventario

3.

Es muy conveniente que al menos una de las personas del equipo de inspección que realice la comprobación tenga conocimientos informáticos profesionales que le permitan resolver las incidencias surgidas durante la verificación. - 17 -


4.

Se selecciona la muestra objeto de comprobación entre los equipos del inventario informático, de forma que se cubran diferentes áreas funcionales y tipologías (ordenadores personales, ordenadores portátiles, equipos singulares, etc.).

5.

El CTI facilita a petición expresa del equipo de inspección unos informes en hoja de cálculo del inventario informático de la Dependencia. Estos datos se extraen de la aplicación corporativa de inventario informático y facilitan al equipo de inspección el trabajo de selección y comprobación de la muestra.

PRÁCTICA: La comprobación se realizará de forma coordinada e incluso de forma conjunta con la comprobación del inventario informático, en el caso de que el alcance de la visita cubra esta área de riesgo. Sobre cada equipo seleccionado en la muestra se realizarán las siguientes comprobaciones: 1.

Se anotará la nomenclatura del puesto de trabajo.

2.

Se anotará la versión del sistema operativo instalado.

3.

Se verificará la versión instalada del antivirus y su actualización periódica, ya sea de forma automática para los equipos conectados a la RAL, como de forma manual en los puestos de trabajo aislados u ordenadores portátiles.

4.

Se verificará la instalación del producto de seguridad informática y el control de acceso efectivo mediante el sistema de palabra de paso.

5.

Se determinará el estado de la disquetera de los ordenadores personales (en adelante PCs) y ordenadores portátiles: a. En los PCs clientes de RAL de uso general, no deben poder leerse disquetes no cifrados, ni conectarse dispositivos no autorizados a los puertos USB. b. En los puestos de trabajo aislados o los conectados a Internet, la disquetera se encuentra “abierta” y no existe conexión a la RAL. Además, el producto de seguridad debe estar configurado en modo adecuado y el antivirus instalado y actualizado. c. En general, el producto de seguridad se encuentra configurado según las funciones del puesto de trabajo (usuario, aislado o administración), y la habilitación de dispositivos USB extraíbles autorizados. d. Como consecuencia de haberse actuado sobre el programa Setup de la BIOS, puede ser que la disquetera esté inhabilitada, que la unidad de arranque obligatorio sea la C:\, o que el programa Setup esté bloqueado por la palabra de paso empleada por el administrador del producto de seguridad.

- 18 -


6.

Se comprobará que los equipos conectados a las redes de área local no disponen con carácter general de dispositivos tipo módem o unidad de CD.

7.

Si existen PCs o portátiles con módem, se comprobará que están aislados de la red de área local. El producto de seguridad debe estar configurado en modo adecuado y el antivirus instalado y actualizado (ya sea el programa, el motor o el fichero con la definición de virus).

8.

Determinar si la función asignada y el personal usuario se ajustan a lo reflejado en el inventario informático.

9.

Señalar si los elementos se identifican por número de serie o por sus características físicas, así como si se dan otras circunstancias (están de baja, en otro edificio, conectados a otro equipo, etc.).

10.

En caso que en la Dependencia se apliquen otras medidas de seguridad adicionales, se verificará su modo de implementación.


Se justificará el riesgo de no cumplir con el objetivo de control, para lo cual se fundamentará la opinión. Se documentarán las debilidades de los controles, las amenazas y los puntos vulnerables, y se identificará el impacto real mediante un análisis causa-efecto, para lo cuál se aplicarán las siguientestécnicas de auditoría:

3.5.



El análisis de los datos permitirá establecer la gestión de la seguridad en los equipos de trabajo, y el procedimiento para resolver incidencias de seguridad.

2.


3.


4.


5.

Identificar y documentar el impacto real y potencial de las debilidades. - 19 -


Punto de Control 4

4.


Metodología


Se cumplen las instrucciones establecidas por el Centro de Tratamiento de la Información y de la Comisión de Control.



Se realiza una buena administración de las redes y de los recursos microinformáticos en general, con especial atención a las salvaguardas y auditorías.

Para lo cual, se determina: 

De manera general, las características técnicas de las redes, su despliegue funcional y la utilización de los recursos hardware y software disponibles, así como la efectiva organización de la administración de red.



De manera específica, la aplicación de las medidas técnicas de seguridad en cuanto a copias de seguridad, restauraciones y auditorías de accesos.


Se obtendrá una compresión de los recursos físicos afectados por la actuación, la estructura organizativa, sus funciones y responsabilidades, las políticas y procedimientos operativos, las regulaciones de obligado cumplimiento que sean aplicables, las medidas de control existentes y los informes de control, para lo cuál se aplicarán las siguientestécnicas de auditoría:

4.1.


AUDITORES: PRÁCTICA: Se recabará una serie de documentos antes de comenzar con los trabajos de campo, los que servirán de base para preparar las entrevistas o las visitas a las instalaciones. En caso que los auditados no tengan disponible parte de ella, podrá ser entregada a posteriori. 1.

Política de la Organización aplicable: Política marco de Seguridad de las Redes de Área Local.

2.

Marco normativo legal: Ley de protección de datos de carácter personal.

- 20 -


3.

Procedimientos específicos: Gestión de instalación de equipos, Gestión de configuraciones, Manual de operación y de buenas prácticas de administración.

4.

Instrucciones: Instrucciones técnicas sobre la materia.

5.


6.

Otra documentación relevante: Documento de Seguridad de los ficheros que contienen datos de carácter personal.

7.

Recursos: Herramientas empleadas para la instalación y distribución de software, herramientas empleadas para las auditorías de seguridad.

8.

Identificación de interlocutores: responsables técnicos y organizativos del parque microinformático, Administradores de Seguridad, Administradores de Redes, Gestores Ayudantes y Administradores del Producto de Seguridad, funciones y responsabilidades.

4.2.

ENTREVISTA CON LOS RESPONSABLES Y ADMINISTRADORES DE LAS REDES DE ÁREA LOCAL


Jefe de la UID.

-

Administradores o gestores de la RAL.

CUESTIONARIO: Características técnicas de la RAL 1.

2.

3.

Tipo de red: a. Sistema Operativo. b. Electrónica de red: descripción de la instalación, cableado, características de los elementos activos (concentradores, routers, etc.), velocidad. c. Topología de red. Tamaño: a. Número de clientes. b. Número de usuarios. Recursos hardware y software instalados: a. Servidores: para cada equipo señalar el uso principal (aplicaciones, ficheros, impresión), marca y modelo, principales características técnicas (procesadores, memoria RAM, configuración, etc.). - 21 -


b. Almacenamiento en red: tipo (dedicado a cada servidor o compartido), nivel RAID, capacidad disponible y ocupada, previsiones de crecimiento. c. Dispositivos para copias de seguridad.

4.

d. Otros dispositivos e. Impresoras de red.HW o SW para alta disponibilidad. f. Otros recursos (Torre CD, Torre DVD, SAI, etc.). Software disponible por los clientes de red: a. Sistema operativo. b. Software de seguridad. c. Paquetes ofimáticos. d. Paquete conexión a host con doble sesión de pantalla. e. Utilidades (compresión de ficheros, impresión PDF, etc.). f. Cliente para correo electrónico. g. Otro software autorizado.

Instrucciones 5. 6.

7.

Conocimiento e impacto esperado de la implantación de la Instrucción X/2005 que modifica el Capítulo X del Documento de Seguridad. Instrucciones recibidas desde los servicios centrales: medio de comunicación, periodicidad, materias, srcen de las comunicaciones, claridad del contenido, resolución de dudas, etc. Situación de las infraestructuras de RAL en las Oficinas del ámbito territorial.

Formación de técnicos y usuarios 8.

Cursos recibidos o impartidos al nivel de administrador de red.

9. Formación de los usuarios de la RAL. Implantación inicial y actualizaciones. Evolución de la RAL 10.

Actuaciones previstas o realizadas recientemente.

Directorios 11.

Estructura de Directorios de la RAL: a. Directorios de usuarios. b. Directorios de intercambio. c. Recursos de directorio para usuarios conforme a grupos. d. Asignación de cuotas de almacenamiento. e. Mantenimiento de recursos comunes: borrado periódico de los ficheros del directorio común en los servidores.

Usuarios y Grupos de Usuarios 12.

Asignación de códigos de usuario al personal: criterios de asignación, usuarios para cursos de formación. - 22 -


13.

Grupos de Usuarios definidos en la RAL: denominación, composición, propósito, recursos a los que acceden.

Política de Seguridad. Copias de Seguridad 14. 15. 16. 17.

18.

19.

20.

Seguridad física de la sala de ordenadores: ubicación del servidor principal y de otros equipos, puntos de acceso y autenticación. Instalaciones de seguridad: sistema de alimentación ininterrumpida del servidor principal, detección y extinción de incendios, aire acondicionado. Acceso a los armarios distribuidores de planta (racks). Planes de Contingencia: alcance y modo de actuación (Procedimiento de Salvaguarda y Restauración del Servicio de Redes Locales del CTI). Protocolos de actuación ante contingencias en las instalaciones. Copias de seguridad: a. Alcance a los Servidores. b. Tipo de copias: incrementales / parciales / totales, diarias programadas / mensuales / anuales / ocasionales, duración de los procesos (ventana disponible para este fin), verificaciones posteriores, tipos de soportes empleados. c. Posibilidad de realizar copias remotas. d. Problemática en el proceso de copias: error de medios, actualización firmware, interacción del proceso de copia con el antivirus, etc. e. Verificación de la consola del producto: tareas realmente programadas, incidencias, etc. Soportes para las copias de seguridad: a. Disponibilidad de cintas o cartuchos. b. Etiquetado de los soportes. c. Almacenamiento de las copias: medidas de protección. d. Registro de contenido (LOGs). e. Dispositivo o mecanismo empleado para la reutilización o destrucción de los soportes magnéticos. Mantenimiento de los servidores en horario fuera de servicio (en principio, encendidos salvo causa justificada).

Auditoría 21. 22. 23.

Procesos de auditoría de recursos de la RAL. Monitorizaciones de la RAL: análisis realizado por la UID de las monitorizaciones remitidas por el CTI (equipos y accesos). Otras verificaciones que pueden realizar: disponibilidad suficiente de almacenamiento, etc.

- 23 -


Administrador de la RAL 24.

25. 26.

Creación y mantenimiento de cuentas de usuarios de operación y de administración. Cumplimiento del requisito de designación y comunicación al CTI de los administradores de red y gestores. Conocimiento de sus funciones. Medidas adoptadas. Opinión general sobre la madurez de la RAL, especialmente respecto de su utilización efectiva por los usuarios.



4.3.

OBSERVACIÓN DEL TRABAJO REALIZADO



-

Responsable de red de área local

PREPARACIÓN: 1.

Recabar información de las monitorizaciones realizadas por el CTI sobre dispositivos no autorizados.

2.

Informes de auditoría de accesos a los recursos compartidos en la RAL.

PRACTICA: Si se estima necesario, se solicitarán los siguientes datos e informaciones adicionales de cómo se lleva a cabo el trabajo: 1.

Notas de envío y sus anexos con las instrucciones relevantes recibidas desde el CTI durante el último trimestre.

2.

Relación de recursos de red, grupos de usuarios y usuarios, etc.

3.

Registro de la realización de las copias de seguridad de la semana anterior a la visita. - 24 -


4.

Archivos de configuración de conexión a la red para los usuarios.

5.

Informes sobre monitorización de la RAL y auditoría de los equipos conectados en la RAL realizados por el CTI y remitidos a los Jefes de UID (los 2 últimos).



4.4

COMPROBACIÓN DE LA SEGURIDAD EN LA RAL


Administrador o gestor de la RAL.

PRÁCTICA: Del resultado de la entrevista podrán realizarse, si resultan oportunas para confirmar ciertos extremos, las siguientes actuaciones de comprobación: 1.

Los funcionarios del equipo de inspección deberán estar autorizados en el servidor de la RAL como usuarios ordinarios con objeto de poder llevar a cabo determinadas acciones elementales por sí mismos. Si por razones de tiempo u oportunidad no fuera posible, se apoyarán en los administradores y gestores de la red. Deberán estar autorizados además a las opciones Redes de Área Local del sistema corporativo.

2.

Es muy conveniente que al menos una de las personas del equipo de inspección que realice la comprobación tenga conocimientos informáticos suficientes para resolver las incidencias surgidas durante la comprobación. Deberá estar al día de las normas e instrucciones relevantes de índole técnica sobre redes que el CTI

3.

remite a las UIDs. Volcado a soporte o impresión de la estructura básica del directorio de la RAL.

- 25 -


4.

Verificación de la asignación biunívoca de persona física y de código de usuario, que debe ser el del usuario único, y campo descripción con el nombre y los apellidos.

5.

Verificación de una muestra de las incidencias incluidas en las últimas monitorizaciones del sistema realizadas por el CTI.

6.

Verificación de la sala de ordenadores. Debe estar aislada con control de acceso autorizado solo para el personal responsable. Además del servidor principal de red, también en ella es deseable que se ubiquen los servidores de impresión y las torres de CD y DVD. Existencia de puestos de detección y extinción de incendios, estos últimos convenientemente mantenidos.

7.

Verificación de los armarios distribuidores de planta (racks). Deben estar dotados de cerraduras y permanecer cerrados.

8.

Verificación de la existencia y uso de un sistema de alimentación ininterrumpida (SAI), al menos para el servidor principal, y del software para su gestión que garantice el cierre ordenado.

9.

Verificación del mantenimiento del servicio de manera ininterrumpida.

10.

Verificación de la existencia en el armario ignífugo de las copias de seguridad requeridas para la RAL y de que se encuentra en un lugar con condiciones ambientales y de control de acceso adecuadas. Los soportes magnéticos deben encontrarse debidamente etiquetados y clasificados según el formato definido en el procedimiento de definido por el Servicio de Redes Locales del CTI, y protegidos contra escritura accidental. Protocolo seguido en caso de almacenamiento en otro

11.

edificio. Verificación del resultado de la ejecución de los procesos de copia diaria para la semana anterior a la visita.

12.

Verificación de la existencia del CD Master para recuperación.

13.

Verificación en algunos puestos de trabajo que las funciones y recursos disponibles se ajustan a lo necesario, habida cuenta del perfil de los usuarios.

14.

Análisis de ficheros o de directorios de usuario o de grupo de usuarios para detectar bases de datos derivadas de datos del sistema corporativo, pero residentes en la red de área local.

15.

Verificación de la ejecución y aplicación de las últimas instrucciones recibidas desde el CTI, según detalle del anexo.

- 26 -



Se justificará el riesgo de no cumplir con el objetivo de control, para lo cual se fundamentará la opinión. Se documentarán las debilidades de los controles, las amenazas y los puntos vulnerables, y se identificará el impacto real mediante un análisis causa-efecto, para lo cuál se aplicarán las siguientestécnicas de auditoría:

3.5.



El análisis de los datos permitirá establecer la gestión de la seguridad en las redes de área local, y el procedimiento para resolver incidencias de seguridad.

2.


3.


4.


5.


Punto de Control 5

5.


Metodología

La actuación consiste en comprobar: 

El cumplimiento de las instrucciones establecidas por el Centro de Tratamiento de la Información (CTI) y por la Comisión de Control.



La correcta instalación de la consola antivirus de administrador de la red de área



local. La correcta aplicación de la guía para la utilización de los ficheros de control de antivirus en el dominio.



La correcta gestión del programa antivirus en los puestos aislados. - 27 -


Para lo cual, se han aplicado los siguientes métodos: 

Entrevistas con el Jefe de la UID, con los responsables de microinformática y con el administrador de la red de área local.



Solicitudes específicas de información a los responsables del Servicio de Redes Locales del CTI.



Análisis de los sistemas utilizados para el control antivirus, tanto en las oficinas con servidor remoto como en la red de área local de la Dependencia.



Verificación de las actuaciones realizadas por los servicios técnicos de la Dependencia sobre una muestra de incidencias detectadas en las oficinas con servidor remoto.



Análisis de los ficheros remitidos periódicamente por el CTI que contienen las incidencias detectadas en las oficinas con servidor remoto.


Se obtendrá una compresión de los recursos físicos afectados por la actuación, la estructura organizativa, sus funciones y responsabilidades, las políticas y procedimientos operativos, las regulaciones de obligado cumplimiento que sean aplicables, las medidas de control existentes y los informes de control, para lo cuál se aplicarán las siguientestécnicas de auditoría:

5.1.


AUDITORES: PRÁCTICA: Se recabará una serie de documentos antes de comenzar con los trabajos de campo, los que servirán de base para preparar las entrevistas o las visitas a las instalaciones. En caso que los auditados no tengan disponible parte de ella, podrá ser entregada a posteriori. 1.

Política de la Organización aplicable: Política marco de Seguridad de las Redes de Área Local.

2.

Marco normativo legal: Ley de protección de datos de carácter personal.

3.

Procedimientos específicos: Gestión de instalación, monitorización, actualización y

4.

resolución de incidencias. Instrucciones: Instrucciones técnicas sobre la materia.

5.


- 28 -


6.

Otra documentación relevante: Documento de Seguridad de los ficheros que contienen datos de carácter personal.

7.

Recursos: Productos antivirus y contra otro software malicioso, herramientas empleadas para la instalación y distribución de software, herramientas empleadas para las auditorías de seguridad.

8.

Identificación de interlocutores: responsables técnicos y organizativos del parque microinformático, Administradores de Redes, Gestores Ayudantes y Administradores del Producto Antivirus, funciones y responsabilidades.

5.2.

ENTREVISTA CON LOS RESPONSABLES Y ADMINISTRADORES DE LAS REDES DE ÁREA LOCAL


Jefe de la UID.




CUESTIONARIO: Grado de conocimiento y estado de cumplimiento de las instrucciones recibidas desde los servicios centrales: 1.

Antivirus en los servidores: consola antivirus, revisión y vigilancia actividad vírica en UID (conforme a la instrucción IXX-XXX de XX/XX/04), frecuencia de revisiones, acciones tomadas en las alarmas detectadas, últimas incidencias.

2.

Antivirus en puestos de trabajo conectados a la RAL: instalación desatendida del cliente (conforme a la instrucción IXX-XXX de XX/XX/04), actualización de programas y ficheros.

3.

Antivirus en puestos de trabajo de oficinas con servidor remoto: control antivirus e informes del CTI sobre virus en PCs (conforme a la instrucción IXX-XXX de XX/XX/04). Informes, acciones tomadas sobre las alarmas detectadas, últimas incidencias.

4.

Antivirus en puestos de trabajo aislados de la RAL y en ordenadores portátiles: mecanismos para la actualización del software y ficheros, procedimientos de actuación ante infecciones, últimas incidencias.

- 29 -




5.3.

RECOGIDA DE INFORMACIÓN

LUGAR, FECHA y HORA: AUDITORES: PREPARACIÓN: 1.

Solicitar al Servicio de Redes un informe de la actividad detectada por la consola local.

INTERLOCUTORES: -


PRACTICA: Si se estima necesario, se solicitarán los siguientes datos e informaciones de cómo se lleva a cabo el trabajo: 1.

Recabar información sobre estado de virus en equipos de la Dependencia y sus Oficinas con servidor remoto.

2.

Notas de envío y sus anexos con las instrucciones relevantes recibidas desde el CTI, durante el último trimestre.

3.

Informes de revisión y vigilancia de la actividad vírica detectada en la consola antivirus local durante el último mes.

4.

Adicionalmente, informes sobre monitorización de la RAL y auditoría de los equipos conectados en la RAL realizados por el CTI y remitidos a los Jefes de UID (los últimos 2 bimestrales).

C.- Valoración de controles

Se evaluará el cumplimiento de las medidas de control establecidas, determinando si están funcionando como debieran, de manera consistente, para concluir sobre la suficiencia del ambiente de control. Se obtendrán evidencias del cumplimiento de los procedimientos, se llevará a cabo una revisión limitada de los resultados del proceso, y se efectuarán pruebas para asegurar que el proceso es adecuado, para lo cuál se aplicarán las siguientes técnicas - 30 de auditoría:


5.4.

COMPROBACIÓN DEL SEGUIMIENTO DE LA ACTIVIDAD VÍRICA



PRÁCTICA: Del resultado de la entrevista podrán realizarse, si resultan oportunas para confirmar ciertos extremos, las siguientes actuaciones de comprobación: 1.

2.

Verificación de la actualización del antivirus y de la efectiva resolución de las incidencias detectadas en los mensajes del LOG del antivirus en los servidores bajo su control (consola antivirus local) y contraste con la información solicitada al Servicio de Redes del CTI. Verificación de la actualización del antivirus y de la efectiva resolución de las incidencias detectadas en los mensajes del LOG del antivirus en los puestos de trabajo de las oficinas con servidor remoto y contraste con la información solicitada al Servicio de Redes del CTI.


Se justificará el riesgo de no cumplir con el objetivo de control, para lo cual se fundamentará la opinión. Se documentarán las debilidades de los controles, las amenazas y los puntos vulnerables, y se identificará el impacto real mediante un análisis causa-efecto, para lo cuál se aplicarán las siguientes técnicas de auditoría:

5.5.



El análisis de los datos permitirá establecer la protección antivirus y contra otro software malicioso en los equipos de trabajo y servidores departamentales, y el procedimiento para resolver incidencias de seguridad.

2.


3.

Con objeto de no recargar el cuerpo principal del informe, los resultados obtenidos en la comprobación de cada uno de los elementos analizados se incluirán en anexo, consignando. - 31 -


4.


5.


6.

CALENDARIO

Tareas a realizar Reunión inicial (1) Recopilación info. (2) Entrevistas 1, 4 y 5 Entrevistas 2 y 3 Observaciones in-situ

Semana 1

Semana 2

Semana 3

Semana 4

Auditores

♦ ♦♦♦♦♦

♦

♦ ♦ ♦ ♦ ♦ ♦

Pruebas in-situhallazgos Identificación Evaluación Preparación borrador informe Comunicación resultados

(1)

♦♦

♦♦ ♦♦♦♦ ♦♦♦

♦♦♦♦ ♦

Reunión inicial: El inicio de la actuación se formalizará con la notificación de la Orden de Servicio para realizar la auditoría, firmada por el responsable de la OAI, al responsable de Dependencia, y se concretará la reunión inicial. En la misma, se presentará a todo el equipo de auditoría que intervendrá en la actuación, se describirá el objetivo y alcance de la actuación, y se consensuará el plan de trabajo con los interlocutores, lo más ajustado al calendario propuesto.

(2)

Recopilación Información: En la reunión inicial se requerirá a los interlocutores la documentación para la comprensión del entorno de los diferentes puntos de control. Al mismo tiempo o con anterioridad, se solicitará la necesaria a obtener directamente desde CTI.

- 32 -


BORRADOR DEL INFORME DE AUDITORÍA EN MATERIA DE ÁREAS DE RIESGO DE INFORMÁTICA EN LA DEPENDENCIA DE XXXXXXXX Noviembre 2008

-1-


Í N D I C E

1.

INTRODUCCIÓN ............... ................. ................. ................. ................. ................. 4

2.

OBJETIVOS Y ALCANCE............ ................. ................. ................. ................. ...... 5 2.1. OBJETIVOS....................... ................. ................. ................. ................. ................. 5 2.2. ALCANCE...............................................................................................................5

3.

METODOLOGÍA................ ................. ................. ................. ................. ................. 6 3.1. INVENTARIO Y SEGURIDAD EN PUESTOS DE TRABAJO..................................6 3.2. SEGURIDAD EN LAS REDES DE ÁREA LOCAL...................................................7 3.3. CONTROL DEL PROGRAMA ANTIVIRUS .............................................................7

4.

RESULTADOS ............... ................. ................. ................. ................. ................. ... 9 4.1. INVENTARIO, MANTENIMIENTO Y SEGURIDAD EN PUESTOS DE TRABAJO ..9 4.2. SEGURIDAD EN LAS REDES DE ÁREA LOCAL.................................................15 4.3. CONTROL DEL PROGRAMA ANTIVIRUS ...........................................................16

5.

CONCLUSIONES ................. ................. ................. ................. ................. .............1 9 5.1. INVENTARIO Y SEGURIDAD EN PUESTOS DE TRABAJO................................19 5.2. SEGURIDAD EN LAS REDES DE ÁREA LOCAL ................. ................. ...............2 0 5.3. CONTROL DEL PROGRAMA ANTIVIRUS ...........................................................20

6.

RECOMENDACIONES....................... ................. ................. ................. ................2 2 6.1. INSTRUCCCIONES................. ................. ................. ................. ................. .........22 6.2. PROPUESTAS GENERALES ................ ................. ................. ................. ............22

7.

ANEXOS 7.1.

Orden de servicio.

7.2.

Relación de la documentación aportada por la UID en el curso de la auditoría.

7.3.

Elementos en situación pendiente en inventariar.

7.4.

Relación de incidencias de mantenimiento del parque microinformático.

7.5. 7.6.

Resultados comprobación elementos inventario. Detalle de las comprobaciones de seguridad realizadas en los puestos de trabajo.

7.7.

Relación de incidencias de seguridad en los puestos de trabajo. -2-


7.8.

Detalles técnicos de la RAL de la Dependencia.

7.9.

Detalle de las comprobaciones de seguridad realizadas en las redes de área local.

7.10. Instrucciones técnicas del CTI comprobadas en la auditoría. 7.11. Relación de incidencias de seguridad en las redes de área local. 7.12. Detalles de las incidencias detectadas en las consolas de los servidores antivirus.

-3-


1.

INTRODUCCIÓN

Por Orden del Director del Órgano de Auditoría Interna (OAI) de fecha X de xxxxxx de 2008, que se adjunta en anexo, se ha realizado entre los días XX y XX de xxxxxx de 2008, una actuación de auditoría en materia de áreas de riesgo de informática en la Dependencia de Xxxxxxxxx. El equipo de Inspección constituido al efecto ha estado formado por Xxxxxxx Xxxxxxxx Xxxxxxx, Xxxxx Xxxxxxx Xxxxxxxx y Xxxxxxx Xxxxxxxx Xxxxxxx, siendo también los autores del presente Informe. De la auditoría se dio cuenta previamente al Jefe de la Dependencia de Xxxxxxxx, efectuando al mismo una presentación de los contenidos sobre los que versaría, y del calendario previsto para las actuaciones. Las muestras comprobadas durante la auditoría, en este caso de equipos y componentes informáticos, fueron comunicadas con antelación suficiente a la Dependencia para el mejor desarrollo de la actuación. Durante la actuación, el personal de la Dependencia de Xxxxxxxx ha cumplido satisfactoriamente con el deber de colaboración para el mejor cumplimiento de la auditoría, según lo establecido en el artículo X del RD XXXX/XXXX, de X de xxxxxx, que regula las competencias del Órgano de Auditoría Interna. La última documentación solicitada a la Dependencia se recibió el XX de xxxxx.

-4-


2.

OBJETIVOS Y ALCANCE

2.1.

OBJETIVOS

El objetivo de la actuación ha consistido en la comprobación de los riesgos y áreas sensibles de informática, según lo previsto en el programa X.X. “Infraestructura Técnica y Seguridad Física y Lógica en Redes de Área Local”, del Plan de Actuaciones de 2008 del OAI. La actuación ha tenido el objetivo adicional de propiciar la implantación de las medidas recogidas en la nueva redacción del Capítulo X del Documento de Seguridad, aprobado por la Instrucción X/2005 de XX de xxxx de 2005.

2.2.

ALCANCE

Durante la auditoría, se ha entrevistado al Jefe de la Unidad de Informática de la Dependencia (UID) para conocer la organización general y sus problemas más relevantes. Asimismo, se han escogido un conjunto de comprobaciones que permitieran evaluar la situación de la Dependencia en relación con las áreas de riesgo objeto de la auditoría. No han existido limitaciones al alcance de la actuación de la auditoría. Los resultados del Informe se han estructurado en tres apartados principales: 

El apartado 4.1. se refiere al área de riesgo inventario, mantenimiento y seguridad de los puestos de trabajo .



El apartado 4.2. se refiere al área de riesgoseguridad en las redes de área local.



El apartado 4.3. se refiere al área de riesgocontrol del programa antivirus.

En anexo se ha incluido: 

Una relación de la documentación aportada por la UID en el curso de la auditoría.



Parte de esa documentación aportada por la UID, relevante a efectos de comprensión del Informe.



El detalle de alguna de las actuaciones desarrolladas y las evidencias recopiladas.



Diversa documentación complementaria procedente de los sistemas de información corporativos.



Una descripción sucinta del contexto de las áreas de riesgo tratadas en el Informe.

-5-


3.

METODOLOGÍA

La metodología se enmarca en el guión estandarizado de auditorías para áreas de riesgo de informática a realizar en Dependencias, que se actualiza periódicamente por el equipo de auditoría del OAI.

3.1.

INVENTARIO Y SEGURIDAD EN PUESTOS DE TRABAJO

La actuación ha consistido en comprobar si:   

  

Se cumplen las Instrucciones establecidas por el Centro de Tratamiento de la Información (CTI), impartidas y oportunamente comunicadas a las UIDs. Los equipos se dan de alta, de baja y se modifican sus características y asignaciones, de forma completa, sin errores y en plazo. La resolución de las incidencias se realiza con calidad, y por tanto de forma eficaz (se solventa el problema), rápida (en el tiempo más corto posible) y fiable (sin fallos posteriores). No se detectan circunstancias anómalas o indebidas (licencias no registradas, equipos no encontrados o no inventariados, etc.). Se realiza una adecuada instalación y se mantienen actualizados los productos de seguridad microinformáticos y los programas antivirus facilitados por la Organización. La situación actual de temas específicos relevantes que afectan a la problemática de seguridad como la reutilización de soportes magnéticos, la eliminación de ficheros temporales y la destrucción de listados e informes en papel.

Para lo cual se han realizado las siguientes actuaciones y verificaciones:     



Entrevistas con el Jefe de la UID y su equipo técnico. El procedimiento general de gestión del inventario informático. El grado de utilización de la aplicación corporativa que soporta el inventario informático, y el uso de medios alternativos de control. Los criterios generales y específicos de asignación de equipos. La efectiva presencia en la Dependencia de los equipos consignados en la aplicación del inventario mediante la comprobación del número de serie y de sus características técnicas principales, tomando una muestra estratificada según el tipo de equipo. La efectiva ausencia en la Dependencia de equipos no catalogados o catalogados en otras unidades, mediante la comprobación de los elementos informáticos utilizados por los funcionarios usuarios de los equipos de la muestra anterior.

-6-

MINISTERIO DE XXXXXXX 





  

3.2.

El procedimiento aplicado para la instalación de los productos de seguridad y de los antivirus, así como el protocolo utilizado para el encriptado y desencriptado de los soportes. La instalación de los productos de seguridad y el cumplimiento de las normas técnicas de seguridad en una muestra de los equipos de puestos de trabajo utilizados (ordenadores personales, portátiles, etc.), tratando de cubrir diferentes situaciones (equipos conectados a red y no conectados a red, equipos utilizados para lectura de soportes, ordenadores personales conectados a internet, etc.) y áreas de trabajo. Auditoría a las zonas de trabajo del edificio de la Dependencia, donde se realizaban actividades relacionadas con los aspectos de seguridad mencionados (archivo, entrada de datos, sala de explotación, etc.). El procedimiento general utilizado para realizar el mantenimiento de los equipos y resolver las averías e incidencias sobrevenidas. El grado de utilización de la aplicación corporativa para gestionar el servicio de mantenimiento, y el uso de medios alternativos de control. Las circunstancias relevantes o anómalas que pudieran derivarse del estudio de una muestra de partes de trabajo tomada de dicha aplicación.


La actuación consistió en comprobar:  

El cumplimiento de las Instrucciones establecidas por el CTI y por la Comisión de Control. El conocimiento e impacto esperado de la implantación de la Instrucción X/2005 que modifica el Capítulo X del Documento de Seguridad.

Para lo cual, se han aplicado los siguientes métodos:  

3.3.

Entrevistas con el Jefe de la UID y su equipo técnico. Verificación de las actuaciones realizadas por los servicios técnicos de la Dependencia sobre una muestra de Instrucciones recibidas desde el CTI.


La actuación consistió en comprobar: 

El cumplimiento de las Instrucciones establecidas por el CTI y por la Comisión de Control. -7-

MINISTERIO DE XXXXXXX  



La correcta instalación de la consola antivirus de administrador de la red de área local. La correcta aplicación de la guía para la utilización de los ficheros de control de antivirus en el dominio local. La correcta gestión del programa antivirus en los puestos aislados.

Para lo cual, se han aplicado los siguientes métodos: 

Entrevista con el Jefe de la UID y su equipo técnico.



Solicitudes específicas de información a los Responsables del Servicio de Redes del CTI.



Análisis de los sistemas utilizados para el control antivirus, tanto en las oficinas sin servidor como en la red de área local de la Dependencia.



Verificación de las actuaciones realizadas por los servicios técnicos de la Dependencia sobre una muestra de incidencias detectadas en las oficinas sin servidor.



Análisis de los ficheros remitidos periódicamente por el CTI a las Dependencias que contienen las incidencias detectadas en las oficinas sin servidor.

-8-


4.

RESULTADOS

4.1.

INVENTARIO, MANTENIMIENTO Y SEGURIDAD EN PUESTOS DE TRABAJO

4.1.1. GESTIÓN DEL INVENTARIO En la UID, el control del inventario de los elementos informáticos se realiza a través de la aplicación corporativa, de acuerdo con las Instrucciones recibidas del CTI. No realizan una gestión paralela del inventario con otro instrumento diferente, aunque periódicamente descargan los datos de la aplicación corporativa a un formato de base de datos para contar con un instrumento más ágil. Entre los problemas que presenta la actual aplicación corporativa de inventario, los entrevistados señalan los siguientes: 

Poca operatividad a la hora de obtener información para la gestión del parque microinformático, lo que obliga precisamente a exportar los datos a una aplicación Access para efectuar, con mayor comodidad, las consultas.



En ocasiones, se han detectado en la aplicación de inventario modificaciones de la situación de determinados elementos, probablemente debido, a juicio de los responsables, a actuaciones que se han puesto en marcha en el CTI y de las que no se ha informado expresamente a la Dependencia.

Los responsables entrevistados indican que los criterios generales de distribución de los equipos vienen fijados por el CTI, que marca a qué área debe asignarse cada equipo recibido y en algunos casos especifica incluso el uso concreto que debe dársele. No existe, en este momento, problema de falta de equipos en la Dependencia. Únicamente se utilizan equipos dados ya de baja en caso de algunas impresoras de uso personal. Se ha informado a los usuarios que sólo podrán utilizarlas hasta que dejen de funcionar correctamente, ya que se carece de contrato de mantenimiento para ese material. Consultados los interlocutores de la actuación sobre la presencia de equipos en la aplicación de inventario en estado PENDIENTE, es decir a los que falta todavía alguno de los datos solicitados obligatoriamente por la aplicación para pasar a la situación definitiva de elemento inventariado, llegan a la conclusión de que se trata, sobretodo, de 3 equipos recibidos recientemente desde otra ubicación, y de sus elementos auxiliares. En todo caso, el porcentaje de “pendientes” en el momento de la Auditoría no es elevado. El cuadro siguiente refleja los elementos en dicha situación antes y después de la auditoría (en anexo se ofrece un estudio más detallado de los elementos en situación de “pendientes”): -9-


Número de elementos en situación PENDIENTES

Fecha consulta de la aplicación inventario XX/XX/2008

XX/XX/2008

Ordenadores personales

4

0

Impresoras

6

4

Periféricos entrada

4

1

Periférico salida no impresa

2

10

Equipo auxiliar (Redes Locales)

6

3

Herramientas de seguridad

3

2

Comunicaciones síncronas

2

0

Paquetes ofimáticos

2

0

27

20

Total

Con posterioridad a la auditoría, la recepción de nuevo material ha supuesto que el número de ordenadores personales en el inventario del edificio de la Dependencia pase de 114 a 124, con las consiguientes altas de elementos auxiliares y periféricos. El número total de elementos en inventario antes de la auditoría era de 1.613, pasando a 1.747 elementos en la consulta realizada después de la auditoría. A pesar de recibirse este nuevo material, el número de elementos en inventario clasificados como “pendientes” se ha reducido de 27 a 20, lo que indica que la recepción e inventariado se ha realizado eficazmente. El ratio de ordenadores personales en el edificio de la Dependencia es superior a uno por persona: 124 ordenadores para 102 personas, si bien pueden considerarse obsoletos al menos 16 ordenadores. Este cifra de dotación de ordenadores personales es satisfactoria, siendo similar a la media habitual de la Organización. Otro aspecto relacionado con el inventario que ha cobrado especial importancia es el control de las licencias de software asignadas a los usuarios. Ante la limitación de licencias, el procedimiento al que se han sometido en la Dependencia es el de retirar a todos los usuarios las aplicaciones no necesarias para el desempeño.

4.1.2. GESTIÓN DE LA SEGURIDAD Interpelados los interlocutores de la actuación en la Dependencia acerca del grado de conocimiento de las políticas de seguridad en los equipos de puesto de trabajo, marcadas por la Comisión de Control o por el CTI, estaban al tanto de todos los documentos relevantes y manifestaron que las cumplían, en ocasiones antes incluso de que llegara la - 10 -


documentación técnica correspondiente. En concreto, se han tomado las siguientes medidas: -

-

Control de número de licencias: Se ha desinstalado de todos los equipos de la Dependencia las aplicaciones para las que no se contaba con licencia. Personal autorizado para la instalación del producto de seguridad microinformático: En la Dependencia, todas las instalaciones de PCs se realizan a partir del master enviado por el CTI, que ya tiene incorporado la instalación del producto de seguridad, por lo que su instalación es exhaustiva. Uso del formulario de correo electrónico para la introducción y extracción de datos: La tarea de cifrado y descifrado la realiza para toda la Dependencia un único funcionario de la UID, que exige rellenar el formulario del registro. Son autorizadores todos los Jefes de Unidad, y no se ejecuta el proceso de cifrado o descifrado hasta que no llega la autorización. Realizada la consulta en la aplicación sobre la utilización del formulario en la Dependencia, se comprueba que, tanto antes como después de la auditoría, se utiliza habitualmente este sistema.

-

Protocolo para la grabación de CDs: En la Dependencia el protocolo seguido para la grabación de CDs consiste en que la Unidad peticionaria dirija la petición empleando el formulario de correo electrónico antes mencionado, motivando la petición y señalando la carpeta de la RAL donde se encuentran los datos a grabar. Las peticiones son atendidas por el Jefe de la UID, y de ser aprobadas son ejecutadas por un funcionario de la UID que dispone de la unidad grabadora.

-

Protocolo para la habilitación de puertos USB: El Jefe de Unidad usuaria realiza una solicitud a la UID, quien informa al CTI del dispositivo que se va a conectar, si no figura

-

en la relación de elementos autorizados, para que si procede se habilite el puerto USB. Bloqueo de pantalla por inactividad: Está activado el bloqueo de pantalla y, como medida de seguridad se impide que los usuarios puedan cambiar dicho bloqueo.

-

Bloqueo de la BIOS con contraseña: El acceso a la BIOS está restringido por contraseña y la disquetera está eliminada como dispositivo de arranque del sistema operativo.



Medidas de seguridad propias de la UID: En caso de sustitución de un equipo, el procedimiento aplicado es borrar el disco duro y realizar una instalación completa desde el CD master.

4.1.3.

MANTENIMIENTO

El sistema utilizado para la resolución de incidencias informáticas en la Dependencia consiste en lo siguiente: - 11 -


Los usuarios se ponen en contacto con la UID, bien por teléfono o por correo electrónico, y desde la UID se rellena el parte de mantenimiento en la aplicación Gestión de Mantenimiento del parque informático. La experiencia de la Dependencia es que las empresas de mantenimiento contratadas acuden con rapidez tras recibir el aviso y que suelen resolver las incidencias en el mismo día. En relación con algunas incidencias que se repiten en la documentación consultada durante la auditoría, se atribuye a algunos casos de atascos de papel en impresoras, ya que en el primer aviso de este tipo únicamente se efectúa una limpieza del atasco, y es en el segundo aviso cuando se ejecutan las operaciones necesarias para la reparación. Estas situaciones no son frecuentes y dejan sin funcionar a los equipos implicados a lo sumo durante más de un día. Analizados los datos en la aplicación Gestión de Mantenimiento, con anterioridad a la auditoría (XX/XX/2008) no había incidencias pendientes de resolución. Durante los meses de xxxxxxxxxxx y xxxxxxxx de 2008 hubo en total 13 avisos que se resolvieron en una media de 2 días. En anexo se puede ver un cuadro de las incidencias resueltas.

4.1.4.

COMPROBACIÓN DE UNA MUESTRA DE ELEMENTOS DEL INVENTARIO

La actuación continuó con una comprobación de inventario y de seguridad de una muestra no aleatoria de elementos seleccionada del total del inventario y estratificada por tipo de equipo. Los elementos fueron identificados por sus características técnicas y por su número de serie, verificando su efectiva presencia en la Dependencia auditada. En concreto, la muestra contenía 39 equipos de puesto de trabajo (21 ordenadores personales, 4 portátiles y 13 impresoras), tratando de cubrir diferentes áreas funcionales y situaciones de los equipos. Los resultados de la comprobación se detallan en anexo. La actuación se completó con la comprobación, sobre los elementos software conectados a los ordenadores de la muestra, de los siguientes aspectos de seguridad: 

La instalación del producto de seguridad microinformática



La correcta actualización del producto antivirus



El modo de encriptación compatible con la función y las conexiones



El estado de la disquetera y puertos UBS



La conexión directa al host o a la RAL - 12 -

MINISTERIO DE XXXXXXX 

La correcta instalación de versiones de programas.

Adicionalmente se comprobó que la función con la que figuran en el inventario se correspondía con la real. Los resultados obtenidos se pueden resumir en el siguiente cuadro:

Elementos del inventario informático – DEPENDENCIA DE XXXXXXXXXX Total de elementos

Elementos en la muestra

Identificados Identificados Otras por número por situaciones de serie aracterísticas

Equipo de puesto de trabajo Ordenadores personales

114

21

21

0

0

5

4

4

0

0

54

13

10

0

3

Otros periféricos

348

65

45

0

20

Almacenamiento

49

16

1

13

2

Comunicaciones

27

6

0

5

1

Otros elementos de RAL

131

27

0

26

1

Total Hardware

728

152

81

44

27

135

27

0

24

3

92

25

0

22

3

Producto de seguridad

110

23

0

23

0

Paquete ofimático

108

25

0

25

0

Emulación host

102

21

0

21

0

Total Software

547

121

0

115

6

1.275

273

81

159

33

Portátiles Impresoras

Software Sistema operativo Antivirus

TOTAL

En definitiva, se identificaron sin incidencias 240 elementos del inventario informático de los 273 seleccionados, 81 por número de serie y 159 por sus características técnicas (estos últimos son elementos internos a los ordenadores o elementos de software en la mayoría de los casos). Para el hardware, se identificaron sin incidencias 125 elementos de los 152 seleccionados del inventario; mientras que para el software hubo un total de 6 incidencias entre los 121 elementos seleccionados. Aunque en anexo puede consultarse el detalle de las comprobaciones, las incidencias principales son las siguientes: - 13 -


-

Determinados elementos hardware no están conectados allí donde el inventario los sitúa: 





Impresoras con números de serie QQQQQQQ, WWWWWW, EEEEEEE. Teclados RRRRRRR, TTTTTTTT, YYYYYYY, UUUUUU, IIIIIIIIIIIII, OOOOOO, PPPPPPP, AAAAAAA, SSSSSSSS. Ratones DDDDDDD, FFFFFFFF, GGGGGG, HHHHHH, JJJJJJJJ, KKKKKKK, LLLLLLLLL, ÑÑÑÑÑÑÑ.



Monitores ZZZZZZZZ, XXXXXXXX, CCCCCCCC.



Unidades de CD-ROM VVVVVVVV, BBBBBBBB.



Tarjeta de emulación 3270 NNNNNNN.

-

Los ordenadores personales o portátiles con números de serie ÇÇÇÇÇÇÇ, @@@@@@@ no tienen instalado el programa antivirus.

-

El ordenador personal con número de serie ######## tienen instalado el antivirus

-

aunque en el inventario no aparece entre los elementos conectados. Los portátiles con números de serie &&&&&&&, %%%%%% no tienen instalada la versión correcta del sistema operativo (falta la instalación de ciertos parches).

4.1.5. OTRAS MEDIDAS DE SEGURIDAD Los listados en papel que ya no se necesitan, o que han sido defectuosos, son destruidos. Para este fin, cada Unidad dispone de una pequeña destructora de papel y hay otra de mayor tamaño instalada en la Secretaría General. En cuanto a la reutilización de soportes magnéticos (disquetes) expresan que todos los presentados por los ciudadanos son destruidos una vez leídos, o son devueltos al presentador si así lo solicita, cumpliendo así la normativa legal. Únicamente se reutilizan los disquetes propios de la Dependencia. Respecto a los ficheros que los usuarios de la RAL dejan en la carpeta compartida para uso común, son borrados con una frecuencia mensual. Adicionalmente, se ha creado una carpeta por cada Unidad para que puedan situar información de utilidad para los usuarios del resto de Unidades. Aunque el contenido de estas carpetas no es borrado, sí se efectúan en ellas búsquedas de los ficheros que pudieran contener datos de carácter personal para instar a los Jefes de Unidad respectivos a que sean retirados de dichas carpetas compartidas y se les apliquen unas restricciones de acceso apropiadas.

- 14 -


4.2.


La Dependencia de Xxxxxxxxx cuenta con una red de área local (RAL) que da servicio al edificio situado en la calle Zzzzzzz, y que soporta a 118 usuarios. Esta red ha seguido la evolución técnica establecida por el CTI, y a tenor del reflejo sobre determinadas actividades, como el acceso a Internet e Intranet y la utilización de carpetas de trabajo compartidas por grupos específicos de usuarios, se ha convertido en un soporte informático básico de la Dependencia. Se incorporan en anexo los detalles técnicos de esta red de área local. Además, en el curso de la auditoría se recabó información sobre el estado de cumplimiento de las Instrucciones Técnicas del CTI más relevantes, y se comprobó la efectiva implementación de las mismas, según detalle incluido en anexo: -

Instalación o actualización del hardware y el software básico o cambios de configuración: IXX-XXX de XX/XX/05 sobre actualización de BIOS y firmware de servidores.





IXX-XXX de XX/XX/04 e IXX-XXX de XX/XX/04 sobre instalación de actualizaciones y parches del sistema operativo en los clusters.



IXX-XXX de XX/XX/04 sobre instalación de actualizaciones en PCs.



IXX-XXX de XX/XX/05 sobre corrección de anomalías en el navegador de Internet.



IXX-XXX de XX/XX/05 sobre instalación de máquina virtual.



IXX-XXX de XX/XX/04 sobre historial de contraseñas.



-

IXX-XXX de XX/XX/05 sobre la adecuación de las infraestructuras. Instalación o actualización de herramientas de control: 





IXX-XXX de XX/XX/04 sobre control de la instalación del producto de seguridad en PCs. IXX-XXX de XX/XX/04 sobre instalación del producto para sincronización de contraseñas entre entornos host y RAL: Faltaba modificar el fichero new_users.vbs (script de creación de usuarios) corrigiendo la línea “contrase=Lcase(parametro(6))”. Instrucción de XX/XX/04 sobre nomenclatura de los puestos de trabajo en la red de área local (RAL).



-

IXX-XXX de XX/XX/05 sobre monitorización de puestos de trabajo. Instalación o actualización de software de aplicación:



IXX-XXX de XX/XX/05 sobre actualización de clientes de correo electrónico en PCs. - 15 -




IXX-XXX de XX/XX/05 sobre instalación del programa compresor: Se ha eliminado de todos los puestos de trabajo la aplicación no licenciada y ha sido sustituida por la regularizada, pero no de forma generalizada.

En relaciónverificaciones: con las comprobaciones de seguridad, se desarrollaron durante la auditoría las siguientes -

Existencia de control de acceso a las salas de ordenadores, y sólo para personal autorizado.

-

Existencia de puestos de detección y extinción de incendios convenientemente mantenidos.

-

Verificación de los armarios distribuidores de planta (racks) con cerradura. Debido a la perdida de las llaves de acceso a estos, las cerraduras se tuvieron que romper aunque ya se había avisado a un cerrajero para que las repusiera.

-

Existencia de sistema de alimentación ininterrumpida. Existencia de armarios ignífugos para el almacenamiento de las copias de seguridad. No obstante, se encuentra situado en un edificio anexo, a dos manzanas del edificio de la Dependencia.

En cuanto a la problemática de la adecuación a lo dispuesto en la Instrucción que modifica el Capítulo X del Documento de Seguridad, los responsables señalan que analizado su contenido han comprobado que ya cumplían con lo expuesto en el documento. Únicamente han tenido problemas, que aun persisten, en cuanto a la instalación del antivirus en los ordenadores personales conectados a Internet y no conectados a la RAL, debido a la dificultad práctica de mantener actualizado el antivirus. Otro tema tratado fue la racionalización de los directorios de la RAL. El Jefe de la UID apuntó que se ha constituido un grupo de trabajo en el que participan todas las Unidades para la creación de subcarpetas dentro de cada una de ellas. Desde su punto de vista, la experiencia ha sido muy satisfactoria y ya ha comenzado la creación de grupos restringidos de usuarios en la red para la compartición de recursos. Esta tarea, sin embargo, aún no ha sido terminada.

4.3.


4.3.1. OFICINAS CON SERVIDOR LOCAL En lo que se refiere al control del programa antivirus en la RAL del edificio de la Dependencia, el Jefe de la UID manifiesta que la instalación y actualización del software - 16 -


antivirus en los puestos de trabajo conectados a la RAL se ha realizado de forma desatendida, aunque señala que han detectado algunos fallos en la instalación y están repitiéndola de forma manual. Durante la revisión de una 4.1.4. muestra de Informe, equipos se de detectó la Dependencia, tal conectado y como queda documentado en el apartado de este un ordenador a la RAL que no disponía del programa antivirus. Precisamente había fallado la instalación automática, por lo que procede una reinstalación manual durante la auditoría. El Administrador de la RAL indica que la consola antivirus se revisa en su ámbito, pero normalmente, cuando se avisa de algún virus, éste ya ha sido descubierto por el usuario utilizando las facilidades que a nivel cliente ofrece el antivirus, y se ha eliminado. Con carácter general, las explicaciones ofrecidas sobre su modo operativo por la UID siguen las Instrucciones impartidas por el Servicio de Redes Locales del CTI en el documento IXXXXX sobre la “Instalación de antivirus en clientes”.

4.3.2. OFICINAS CON SERVIDOR REMOTO En lo que se refiere al control del programa antivirus en las oficinas sin servidor propio, en estas redes se aplica el procedimiento para despliegue y actualización del programa antivirus determinado por el CTI. El Servicio de Redes Locales del CTI remite semanalmente a las UIDs un informe con una relación de los clientes de red de las oficinas sin servidor, que incluye las incidencias detectadas en las monitorizaciones, correspondiendo fundamentalmente a virus encontrados ymedidas a programas antivirus no actualizados. Las UIDs revisar las incidencias y aplicarno lasse que corresponda para su solución. Esta deben relación de clientes con incidencias recibe clasificada por Dependencias ni por Oficinas, por lo que resulta complicado establecer un procedimiento automático para comprobar que problemas se repiten periódicamente. Se incluye en anexo un estudio comparativo de las incidencias detectadas durante las últimas cinco semanas en las diferentes Dependencias. Se ha comprobado la repetición de algunas incidencias, siendo difícil determinar si se trata de una solución ineficaz de la anterior o de una nueva incidencia. En la Dependencia de Xxxxxxxx, el número de incidencias por virus encontrado en el informe enviado desde el CTI con fecha XX/XX/2006, el último disponible al realizar la auditoría, era de cero virus encontrados, cuando la media nacional se cifraba en un 0,8% de los ordenadores.

- 17 -


En cuanto al número de incidencias por falta de actualización del antivirus fue de 2 ordenadores que representan un 9,1% del total del parque de la Dependencia de Xxxxxxxx. Esta cifra relativa no es significativa debido a que el parque de ordenadores de las oficinas sin servidor propio es de 22 equipos, y por tanto la variación en uno de las incidencias por falta de actualización en Xxxxxxxx altera notablemente el porcentaje. No hay otras incidencias dignas de resaltarse. Las explicaciones ofrecidas por la UID concuerdan con las Instrucciones distribuidas por el CTI y recogidas en el documento “Guía para la utilización de la consola antivirus” del Servicio de Redes Locales del CTI.

4.3.3. PUESTOS AISLADOS El software antivirus instalado en estos equipos es el mismo que en los casos anteriores, pero en estoselequipos el problema fundamental la instalación y la actualización, actualmente CTI no envía de forma regular loses ficheros para realizar estas tareas.dado que Durante la revisión de una muestra de equipos de la Dependencia, tal y como queda documentado en el apartado 4.1.4. de este Informe, se detectaron las siguientes anomalías: -

Ordenador conectado a Internet y no conectado a la RAL que no disponía de programa antivirus. Esta situación ya había sido descrita por el Jefe de UID durante la entrevista y se debía a la dificultad práctica, según los recursos suministrados desde el CTI, de instalar y actualizar los ordenadores no conectados a la RAL.

-

Ordenador utilizado para xxxxxxxxx y no conectado a la RAL que disponía de una

versión antigua de antivirus. El problema es similar al del caso anterior. En los ordenadores portátiles se ha ultimado la instalación del producto Xxxxxxxx, que permite su actualización de forma desatendida y transparente para el usuario, cuando el equipo se conecta a Internet. Desde la UID no efectúan un seguimiento de la actualización del antivirus en los portátiles, debido a la dificultad de conseguir que los usuarios lleven periódicamente los equipos a la Dependencia para estas revisiones.

- 18 -


5.

CONCLUSIONES

5.1.

INVENTARIO Y SEGURIDAD EN PUESTOS DE TRABAJO

•

Gestión del inventario

El control del inventario se realiza a través de la aplicación corporativa, de la que se señala por la UID su poca operatividad a la hora de extraer información y algunas incidencias de funcionamiento. Los criterios generales de distribución de equipos vienen fijados por el CTI. No existe problema de falta de equipos en la Dependencia de Xxxxxxxx, cuyo ratio de ordenadores personales es similar al del conjunto de la organización. El material recibido recientemente se ha inventariado adecuadamente y el porcentaje de elementos en situación de “pendiente” es del 1,1 %. •

Gestión de la seguridad

La política de seguridad informática de la Dependencia sigue las directrices del CTI y de la Comisión de Control, concretándose en el control de licencias de software, la instalación exhaustiva del producto de seguridad, el uso generalizado del formulario de correo electrónico para introducción y extracción de datos, la utilización del protocolo establecido para habilitación de puertos USB, el bloqueo de la pantalla por inactividad y el bloqueo de la BIOS por contraseña. Cuando algún funcionario de la Dependencia cambia de destino se reemplazan las contraseñas del producto de seguridad. •

Mantenimiento

La Dependencia sigue el procedimiento general para resolución La de repetición averías por medio de formularios, sin que consten incidencias pendientes de resolución. de averías en los mismos equipos se debe a que, en el caso de ciertas impresoras, el técnico efectúa, en una primera ocasión, únicamente una simple limpieza del equipo. •

Comprobación de una muestra de elementos del inventario

Durante la auditoría, se comprobó la situación de inventario y de seguridad en una muestra no aleatoria de 273 componentes situados en el edificio de la Dependencia. En materia de instalaciones y seguridad, se siguen las instrucciones establecidas, pero se han detectado incidencias que afectan al 12,1% de los componentes analizados y a varios de los aspectos revisados, tales como: -

elementos hardware que no están conectados allí donde el inventario los ubica.

-

ordenadores personales o portátiles que no tienen instalado el programa antivirus. - 19 -


-

•

licencias de software cuya situación en el equipo no se corresponde con la situación que figura en inventario.

Otras medidas de seguridad

La carpeta compartida de uso común en la RAL es borrada mensualmente. No obstante, las unidades pueden situar información de utilidad general en carpetas específicas del entorno común.

5.2. •


Situación general

La gestión y administración de la RAL se realiza de conformidad con las Instrucciones remitidas por el CTI, que fija las políticas de seguridad física y lógica. Con alguna incidencia menor, se comprobó la implantación de 14 Instrucciones Técnicaso relativas cambios configuración o a instalaciones y actualizaciones de hardware software,a así como de la aplicación de medidas de seguridad física en el entorno de redes. •

Características específicas

El armario ignífugo para el almacenamiento de las copias de seguridad no se encuentra en el edificio de la Dependencia, sino en uno anexo. Se ha constituido un grupo de trabajo en la Dependencia para acometer la racionalización de los directorios de la RAL.

5.3. •


Oficinas con servidor local

La instalación y actualización del software antivirus se realiza de forma desatendida. Aunque en la Dependencia se habían efectuado algunas reinstalaciones al detectarse fallos, durante la revisión de la muestra de equipos, documentada en el apartado 4.1.4, se comprobó que un ordenador no disponía del programa antivirus. La consola antivirus se revisa periódicamente. •

Oficinas sin servidor propio

La Dependencia aplica las instrucciones recibidas del CTI y, en particular, actúa sobre las incidencias detectadas en las monitorizaciones semanales. •

Puestos aislados - 20 -


En los equipos no conectados a la RAL, la Dependencia destaca la dificultad de instalar y mantener actualizado el software antivirus. Efectivamente, se detectó un equipo que no disponía de programa antivirus y otro cuya versión estaba desactualizada.

- 21 -


6.

RECOMENDACIONES

6.1.

INSTRUCCCIONES

La UID de Xxxxxxxxxxx, en las áreas revisadas durante la actuación tiene unos parámetros de funcionamiento acordes con los establecidos en la Organización, si bien se considera recomendable efectuar determinadas propuestas específicas. Por todo lo observado se proponen al Director General las siguientes INSTRUCCIONES dirigidas al Jefe de la Dependencia de Xxxxxxxxxxx:

1ª)

INCIDENCIAS EN EL INVENTARIO DE LOS EQUIPOS Deberán resolverse las incidencias detectadas durante una actuación de verificación por muestreo de las condiciones de inventario y seguridad de determinados elementos de hardware y de software, que afectan al 12,5 % de los componentes revisados y que han sido documentadas en el apartado 4.1.4. del Informe y detalladas en anexo del mismo.

2ª)

FICHEROS TEMPORALES Deberá aumentarse la frecuencia de borrado de ficheros ubicados en carpetas de acceso compartido y no restringido, pasando de mensual a semanal.

3ª)

CONTROL DEL PROGRAMA ANTIVIRUS Deberá revisarse la correcta instalación del software antivirus en los puestos clientes de la red de área local de la Dependencia, verificando en especial la primera instalación y la situación de los equipos que no aparezcan en las monitorizaciones efectuadas.

6.2.

PROPUESTAS GENERALES

Durante la actuación, se han observado determinadas situaciones que pueden ser objeto de interés y reflexión para el CTI. No se sustancian en moción debido a que ya han sido objeto de propuestas en otras actuaciones, a que están enmarcadas en comprobaciones de mayor entidad que la presente en este Informe o a que su alcance es muy limitado. No obstante, resulta conveniente reflejar algunos de estos temas en este apartado: -

El cambio de contraseñas en el producto de seguridad microinformático cuando algún funcionario del área cambia de destino resulta una medida de seguridad prudente.

- 22 -


-

Las dificultades de la instalación y actualización del software antivirus en los ordenadores personales aislados de la red, podrían ser objeto de una Instrucción Técnica, aunque es cierto que el número de estos equipos se encuentra en retroceso.

- 23 -

Ejemplo Auditoría Informática

Recommend Documents