AUDITORÍA INFORMÁTICA: DE LA GESTIÓN DE EQUIPOS Y HERRAMIENTAS DE MONITOREO EN LA EMPRESA MEDIA NETWORKS LATIN AMÉRICA
gerard durandDocumentos de Investigación22 de Febrero de 2020
3.482 Palabras (14 Páginas)143 Visitas
UNIVERSIDAD PRIVADA
SAN JUAN BAUTISTA
[pic 1]
ESCUELA PROFESIONAL DE INGENIERÍA DE COMPUTACIÓN Y SISTEMAS
ASIGNATURA
SEGURIDAD Y AUDITORÍA DE SISTEMAS
TRABAJO DE INVESTIGACIÓN FORMATIVA
TEMA:
AUDITORÍA INFORMÁTICA: DE LA GESTIÓN DE EQUIPOS Y HERRAMIENTAS DE MONITOREO EN LA EMPRESA MEDIA NETWORKS LATIN AMÉRICA.
Chorrillos
2019
DOCENTE DE LA ASIGNATURA
ING. CASTRO LÓPEZ SEGUNDO VICENTE
PRESENTADO POR LOS ESTUDIANTES
- DURAND GAMARRA GERARD
- TIRADO ROMERO JOSÉ ANGEL
CICLO:
- X
AUDITORÍA INFORMÁTICA: DE LA GESTION DE EQUIPOS Y HERRAMIENTAS DE MONITOREO EN LA EMPRESA MEDIA NETWORKS LATIN AMERICA.
Contenido
1.- Introducción. 5
2.- La Empresa Media Network Latin América (MNLA) 6
Misión. 6
Visión. 6
Organigrama. 6
3.- Período, Objetivo y Alcance 7
3.1 Período 7
3.2 Objetivos 7
3.3 Alcance 8
4.- Costos, Diagrama de Gantt y Hoja de Recursos. 8
4.1 Costos 8
4.2 Diagrama de Gantt 8
4.3 Hoja de Recursos 9
5.- Hallazgos 10
6.- Conclusiones 18
7.- Recomendaciones 19
8.- Bibliografía 21
9.- Anexos 22
Anexo 1: Acta de trabajo N° 01 22
Anexo 2: Acta de trabajo N° 02 23
Ilustración 4. Controles ISO27002:2013 26
ENCUESTA 27
1.- Introducción.
Media Network Latim América es una empresa del grupo Telefónica dedica a la comercialización de servicios de televisión paga en Perú y a nivel regional, teniendo como clientes grandes empresas dedicadas a la comercialización del video en Brasil, Ecuador, Venezuela, Colombia, Argentina y Chile.
Durante su crecimiento se han ido implementando herramientas de desarrollo de gestión y monitoreo de la plataforma; ubicada en la sur de Lima, distrito de Lurín, la cual permite la detección de alarmas y averías que puedan impactar en la plataforma.
Durante el desarrollo de la investigación iremos validando las fortaleza y debilidades que está presenta en su plataforma de gestión de equipos, donde se propondrán las mejoras necesarias para que estas puedan estar en línea con lo que solicita el ISO 27001 – 2013.
2.- La Empresa Media Network Latin América (MNLA)
Misión.
Enriquecemos la vida de las personas, con entretenimiento, cultura e información, en todo lugar y momento, aprovechando nuestras capacidades digitales.
Visión.
Damos valor a la conectividad, enriqueciendo la vida de las personas, con entretenimiento, cultura e información, en todo lugar y momento, de la forma más simple.
Organigrama.
Ilustración 1. Organigrama del área de Soporte IT Plataforma Globales.
[pic 2]
Fuente: empresa Media Network Latin America SAC.
Ilustración 2 Ubicación del área Mantenimiento y Soporte IT Plataformas Globales.
[pic 3]
Fuente: empresa Media Networks Latin America
3.- Período, Objetivo y Alcance
3.1 Período
El período de evaluación será de 6 semanas aproximadamente, en la cual se asistirá a la empresa 2 veces por semana, con un tiempo de duración de 2 horas.
3.2 Objetivos
3.2.1 Objetivo General
Verificar el cumplimiento de los procedimientos de la seguridad de la información, que se aplican en la empresa Media Network Latin América.
3.2.2 Objetivos específicos
- Comprobar las buenas prácticas en la gestión e infraestructura de los equipos asignados al área Centro de Supervisión y Monitoreo N1 del NOC-Lurín (Network Operations Centers - Lurín).
- Asegurar la continuidad de los sistemas de monitoreo de la empresa MNLA.
- Verificar los procesos de respaldo de la gestión del Centro de Supervisión y Monitoreo N1 del NOC-Lurín (Network Operations Centers - Lurín).
3.3 Alcance
Validar los procedimientos de la gestión de la empresa MNLA, para cumplir con los respaldos, seguridad y continuidad del negocio.
4.- Costos, Diagrama de Gantt y Hoja de Recursos.
4.1 Costos
Tabla 1 Costos Realizados.
Descripción | Cantidad | Monto (En Soles) |
Laptop | 2 |
|
Lapiceros | 8 |
|
Hoja Bond | 250 |
|
Escritorio | 2 |
|
Pasajes | 24 pasajes |
|
Costo personal consultoría 6 semanas | 2 personas |
|
Total (mas IGV) |
| |
Fuente Elaboración de Autores |
4.2 Diagrama de Gantt
Ilustración 3 Cronograma de actividades.
[pic 4]
[pic 5]
[pic 6]
4.3 Hoja de Recursos
Tabla 2 Recursos Materiales.
Descripción | Cantidad |
Laptop | 2 |
Lapiceros | 8 |
Hoja Bond | 250 |
Escritorio | 2 |
Fuente Elaboración de Autores
5.- Hallazgos
Tabla 3 Hallazgos Encontrados
N | DETALLE | NIVEL DE RIESGO | REF. INF. | FOTO |
1 | Condición: El perímetro del rack de los sistemas de gestión presenta obstáculos, tal como se muestra en la fotografía 01, tomada en el Acta de Trabajo N° 02, correspondiente al objetivo específico N° 01. Criterio: 11.1 Áreas Seguras, subpunto 11.1.1 Perímetro de la seguridad física del ISO 27002:2013 Causa: Producto de los trabajos de mantenimiento y la llegada de equipos son almacenados en esta sal por la facilidad de tenerlo a la mano. Efecto: Produce que la sala de equipos siempre se encuentre desordenada, estando propenso a que haya algún incidente. Recomendación: Mantener la sala libre de equipos, estos deben ser guardados en sus ambientes correspondientes y el material de desuso llevado al vertedero de cables. | ALTO MEDIO BAJO | [pic 7] | |
2 | Condición: No se tiene el orden adecuado para las conexiones de los cables de red quedando los cabes templados en demasía, tal como se muestra en la fotografía 02, tomada en el acta de trabajo N° 02, correspondiente al objetivo específico N° 01. Criterio: 11.2 Seguridad en los Equipos, subpunto 11.2.3 Seguridad del cableado del ISO 27002:2013. Causa: Producto de los trabajos de emergencia que se realizan sin tomar en cuenta el orden correcto ni la distancia del cable. Efecto: Produce que los racks siempre estén desordenados no se guarda el orden correcto. Recomendación: Realizar el seguimiento de la instalación del cableado y guardar el respectivo orden de los recorridos de los cables que se tienen organizados, lado izquierdo cables no energizados(cables RF, red, audio y video (HDMI, SDI, DVI)), lado derecho cables que lleven corriente (cables de energía de los diversos equipos que se tienen en producción). | ALTO MEDIO BAJO | [pic 8] | |
3 | Condición: El rack de gestión de los equipos DATAPACK que permiten el correcto funcionamiento del Video Wall presenta un total desorden en el cableado de red, energía y video (HDMI, SDI DVI), tal como se muestra en la fotografía 03, tomada en el Acta de Trabajo N° 02, correspondiente al objetivo específico N° 01. Criterio: 11.2 Seguridad en los Equipos, subpunto 11.2.3 Seguridad del cableado del ISO 27002:2013. Causa: Producto de los trabajos de mantenimiento y cambios de equipos que se averían por el uso constante de estos (7x24). Efecto: Produce que se muevan o desconecten los cables y afecte el correcto funcionamiento del monitoreo en el video Wall Recomendación: Coordinar trabajos programados por etapas para el respectivo ordenamiento de los cables manteniendo el orden que deben seguir, lado izquierdo cables no energizados(cables RF, red, audio y video (HDMI, SDI, DVI)), lado derecho cables que lleven corriente (cables de energía de los diversos equipos que se tienen en producción). | ALTO MEDIO BAJO | [pic 9] | |
4 | Condición: El rack de gestión de los equipos de recepción muestra un cruce en los cables de gestión y energía, tal como se muestra en la fotografía 04, tomada en el Acta de Trabajo N° 02, correspondiente al objetivo específico N° 01. Criterio: 11.2 Seguridad en los Equipos, subpunto 11.2.3 Seguridad del cableado del ISO 27002:2013. Causa: Producto de la reutilización del rack que se deshabilito de otros equipos y no se reubico la regleta de energía hacia el lado derecho, tal como se tiene mapeado para las tomas de energía. Efecto: Posible energización de los cables de red, RF, audio y video de encontrarse en mal estado, provocando la quema de los puertos afectados. Recomendación: Coordinar trabajos programados por etapas para el respectivo ordenamiento de los cables manteniendo el orden que deben seguir lado izquierdo cables no energizados(cables RF, red, audio y video (HDMI, SDI, DVI)), lado derecho cables que lleven corriente (cables de energía de los diversos equipos que se tienen en producción). | ALTO MEDIO BAJO | [pic 10] | |
5 | Condición: La laptop de gestión de los servidores XMS no está asegurada, se aprecia que está sobre una bandeja sin la protección en caso de algún movimiento, tal como se muestra en la fotografía 05, tomada en el Acta de Trabajo N° 02, correspondiente al objetivo específico N° 01. Criterio: 11.2 Seguridad en los Equipos, subpunto 11.2.1 Emplazamiento y protección de equipos del ISO 27002:2013. Causa: Exceso de confianza al no tener ningún implemento de protección o seguro que fije el equipo al rack de su posición. Efecto: Caída inminente ante algún movimiento por trabajos en el rack o movimiento telúrico. Recomendación: Asegurar equipo con las bandejas correspondientes con la protección lateral, al estar encendida las 24 horas del día usar y/o adaptar cooler de laptop. | ALTO MEDIO BAJO | [pic 11] | |
6 | Condición: Cables de red conectados a switch de gestión sin la etiqueta correspondiente, se aprecia solo números y no indican a de donde vienen o hacia donde van, tal como se muestra en la fotografía 06, tomada en el Acta de Trabajo N° 02, correspondiente al objetivo específico N° 01. Criterio: 11.2 Seguridad en los Equipos, subpunto 11.2.3 Seguridad del cableado ISO 27002:2013. Causa: No tener el tiempo adecuado para la correcta identificación indicando datos técnicos en caso de una incidencia sea más fácil la identificación. Efecto: Perdida de tiempo al hacer seguimiento del cableado para poder atender una incidencia. Recomendación: Etiquetar el cableado con los respectivos datos técnicos (De donde viene, a donde va, ubicación del switch, puerto usado, ubicación del equipo) que puedan proporcionar información para levantar a la brevedad una incidencia en curso. | ALTO MEDIO BAJO | [pic 12] | |
7 | Condición: Extensión de energía colgada en la parte lateral del rack de switch de gestión y cruzado con los cales de red, tal como se muestra en la fotografía 07, tomada en el Acta de Trabajo N° 02, correspondiente al objetivo específico N° 01. Criterio: 11.2 Seguridad de los Equipos, subpunto 11.2.2 Instalaciones de suministro ISO 27002:2013. Causa: El no tener conectores de energía cerca al rack para usos diversos. Efecto: Que ante una mala instalación o cable de red defectuoso puede ser conductor de energía a los equipos produciendo el apago de switch. Recomendación: Proceder a retirar regleta de energía y habilitarla en otro lado, teniendo en cuenta las precauciones del caso y el máximo de amperaje a la cual debe estar expuesta. | ALTO MEDIO BAJO | [pic 13] | |
8 | Condición: Cables de red con adaptadores sin la debida protección del caso ni el debido etiquetado en los extremos en caso de que estos se suelten, tal como se muestra en la fotografía 08, tomada en el Acta de Trabajo N° 02, correspondiente al objetivo específico N° 01. Criterio: 11.2 Seguridad de los Equipos, subpunto 11.2.3 Seguridad del cableado ISO 27002:2013. Causa: No prever la desconexión del adaptador. Efecto: Perdida eminente de la gestión del equipo conectado, proporcionando así un falso positivo en el monitoreo de los equipos. Recomendación: Identificar los extremos de los cables indicando los datos técnicos, usar cinta retráctil o aislante para evitar una posible desconexión. | ALTO MEDIO BAJO | [pic 14] | |
9 | Condición: Equipos de respaldo en malas condiciones sin tapa de protección y empolvado de la falta de cuidado, tal como se muestra en la fotografía 09, tomada en el Acta de Trabajo N° 02, correspondiente al objetivo específico N° 03. Criterio: 11.2 Seguridad de los Equipos, subpunto 11.2.1 Emplazamiento y protección de los equipos ISO 27002:2013. Causa: No se tiene el debido cuidado de guardar y mantener los equipos debidamente en el ambiente de trabajo o almacén. Efecto: Posible mal funcionamiento por la falta de mantenimiento y/o cuidados respectivos. Recomendación: Dar el debido mantenimiento a los equipos (interno y externo), manteniendo su estructura original. | ALTO MEDIO BAJO | [pic 15] | |
10 | Condición: Equipos de almacenamiento externo de información sin protección contra golpes o accidentes al medio ambiente, tal como se muestra en la fotografía 10, tomada en el Acta de Trabajo N° 02, correspondiente al objetivo específico N° 03. Criterio: 11.2 Seguridad de los Equipos, subpunto 11.2.1 Emplazamiento y protección de los equipos ISO 27002:2013. Causa: No se tiene un ambiente adecuado para guardar y tener a la mano información necesaria en caso de incidencia. Efecto: Perdida de la información, o posible Mal funcionamiento del equipo durante su puesta en marcha. Recomendación: Habilitar ambiente ideo para guardar este tipo de equipos con información delicada al momento de una incidencia. | ALTO MEDIO BAJO | [pic 16] | |
11 | Condición: Equipos de uso personal (asignado a para las labores cotidianas) no están en buen estado los códigos de barra que permite la salida o ingreso de equipos en las instalaciones, tal como se muestra en la fotografía 11, tomada en el Acta de Trabajo N° 02, correspondiente al objetivo específico N° 03. Criterio: 11.2 Seguridad de los Equipos, subpunto 11.2.5 Salida de activos fuera de la dependencia de la empresa. ISO 27002:2013. Causa: Falta de mantenimiento en la parte de identificación y etiquetado en los equipos. Efecto: Demora en los registros de los equipos al momento de ingreso y/o salida de estos. Recomendación: Dar mantenimiento periódico a los elementos de identificación de los equipos para evitar demora en los registros. | ALTO MEDIO BAJO | [pic 17] | |
12 | Condición: Registro de usuarios que ya no pertenecen a la empresa, tal como se muestra en la fotografía 12, tomada en el Acta de Trabajo N° 02, correspondiente al objetivo específico N° 02. Criterio: 9.2 Gestion de accesos de usuarios, subpunto 9.2.1Gestion de altas/bajas en el registro de usuarios. ISO 27002:2013. Causa: Nombre de usuario que ya no labora en la empresa. Efecto: Puede causar errores al momento de distribuir los correos por no tener la baja correspondiente. Recomendación: Aplicar el respectivo proceso para dar de alta y/o baja a personal de la empresa. | ALTO MEDIO BAJO | [pic 18] |
...