PDF de programación - Auditoria informática de la seguridad de la red física y lógica para el departamento de gestión informática y sistemas

1

UNIVERSIDAD POLITECNICA

SALESIANA



FACULTAD DE INGENIERÍAS
SEDE QUITO-CAMPUS SUR

CARRERA DE INGENIERÍA DE SISTEMAS

MENCIÓN TELEMÁTICA



AUDITORIA INFORMÁTICA DE LA SEGURIDAD DE LA RED
FÍSICA Y LÓGICA PARA EL DEPARTAMENTO DE GESTIÓN

INFORMÁTICA Y SISTEMAS DE LA DIRECCIÓN PROVINCIAL DE

SALUD DE PICHINCHA (DPSP)

TESIS PREVIA A LA OBTENCIÓN DEL TÍTULO DE INGENIERO DE SISTEMAS







SONIA ELIZABETH BUÑAY CALLE

EMILLY JEANETTE GUANOTUÑA LASCANO




DIRECTOR ING. RAFAEL JAYA



Quito, enero del 2009











2




DECLARACIÓN


Nosotras, Sonia Elizabeth Buñay Calle y Emilly Jeanette Guanotuña Lascano,
declaramos bajo juramento que el trabajo aquí descrito es de nuestra autoría; que
no ha sido previamente presentada para ningún grado o calificación profesional; y,
que hemos consultado las referencias bibliográficas que se incluyen en este
documento.
A través de la presente declaración cedemos nuestros derechos de propiedad
intelectual correspondientes a este trabajo, a la Universidad Politécnica Salesiana,
según lo establecido por la Ley de Propiedad Intelectual, por su reglamento y por
la normativa institucional vigente.



------------------------------
Egr. Sonia Buñay Calle
















-----------------------------------
Egr. Emilly Guanotuña Lascano














3






CERTIFICACIÓN


Certifico que el presente trabajo fue desarrollado por Sonia Elizabeth Buñay Calle
y Emilly Jeanette Guanotuña Lascano bajo mi dirección.




---------------------------------------
Director de tesis




























4

AGRADECIMIENTOS

Agradezco a Dios por ayudarme en cada segundo de mi vida tanto a nivel
profesional como personal, y sobretodo por el desarrollo de este Proyecto.

Como también mis más sinceros agradecimientos al Sr. Gonzalo Cevallos y Sra.
Fanny Alcívar mis queridos suegros quienes me ayudaron en todos los
momentos, no solo en el desarrollo de este proyecto, sino en cada instante de mi
vida.

SoniaSoniaSoniaSonia

Agradezco a Dios Todopoderoso por permitirme terminar esta etapa de mi vida,
sin su ayuda todo esfuerzo hubiese sido en vano.

A mis padres por su apoyo incondicional y confianza brindada a lo largo de mi
existencia.

A mis hermanos: Jorgito, Patricio y Diego por su amor y comprensión. A mi
compañera de tesis y familia, por acogerme en su casa, y por el cariño brindado.

Al Ing. José Luis Torres Gerente de Macronet Cia. Ltda. quien con su
profesionalismo y experiencia ha sabido brindarme conocimientos acertados los
mismos reposan en este trabajo, y también por la confianza depositada al
prestarme gentilmente los equipos para la certificación del cableado FLUKE DTX
1800 (UTP).

EmillyEmillyEmillyEmilly

Al Ing. Rafael Jaya quien confió en nosotras al darnos su apoyo a lo largo de esta
tutoría, por sus guías para la culminación de este proyecto de manera
satisfactoria.

Sonia
Sonia yyyy EmillyEmillyEmillyEmilly
Sonia
Sonia









5





DEDICATORIAS

Este proyecto de tesis lo dedico a lo más hermoso de mi vida, a mi hija Ruby que
a pesar del tiempo que teníamos para estar juntas lo sacrifique, para culminar con
esta meta, espero que este sea un estímulo para su vida profesional.

A mi amado esposo por su compresión y apoyo para lograr éste, mi objetivo que
se convirtió de los dos.

A mis Padres por ser personas luchadoras y emprendedoras que me enseñaron
el verdadero valor del progreso, a quienes los amo y agradezco por todas las
cosas que hicieron y lo siguen haciendo por mí y mi familia.

SoniaSoniaSoniaSonia

Dedico este proyecto de tesis a Dios quien es el autor principal de esta tesis, ya
que es la fuente de toda sabiduría e inteligencia.

A mis padres por darme la oportunidad de estudiar, quienes no escatimaron nada,
quienes han estado a mi lado a lo largo de estos años, prestos a darme una
palabra de aliento cuando lo he necesitado.

A mis hermanos Jorgito, Patricio y Diego que todo sacrificio da frutos buenos y
sea este trabajo un estimulo para concluir él de ellos.









EmillyEmillyEmillyEmilly





6

RESUMEN

En el siguiente resumen el lector concebirá una idea clara acerca del presente proyecto
investigativo, denominado Auditoria Informática de la Seguridad de la Red Física y
Lógica para el Departamento de Gestión Informática y Sistemas de la Dirección Provincial
de Salud de Pichincha.


En el primer capítulo, el lector se encuentra frente a los Antecedentes más
destacables de la Institución como son Situación Actual de la Dirección Provincial de
Salud de Pichincha en lo referente a lo Tecnológico, y sobre todo la Situación Actual del
Proceso de Gestión Informática en sus diferentes áreas, realizando un levantamiento de
todas las falencias que se realizan con respecto a la Seguridad tanto Física como Lógica
de la Red. Con esta información recopilada se pudo realizar el Planteamiento del
Problema, Objetivo General & Específicos, Justificación, Alcance y la Descripción del
Proyecto de la Auditoria.


En el segundo capítulo, se exhibe el análisis y evaluación de los riesgos
tecnológicos a los que están expuestos los recursos informáticos en la Dirección
Provincial de Salud de Pichincha, como también la identificación de amenazas y
vulnerabilidades; el análisis y evaluación de los riesgos fue basada en el estándar NIST
800-30, para poder realizar la correcta evaluación de costos y así presentar las posibles
medidas de protección.


En el tercer capítulo, se detalla el desarrollo y ejecución de la auditoria para la
gestión de seguridad de la red física y lógica de la Dirección Provincial de Salud de
Pichincha, metodología empleada, plan de trabajo realizado por el auditor, e informe
preliminar de la auditoria realizada.


En el cuarto capítulo, se observa la elaboración y ejecución del instructivo a ser
implementado en el Proceso de Gestión Informática de la Dirección Provincial de Salud
de Pichincha, en el Cuarto de Servidores y los informes presentados de las principales
Fases de la Metodología.

Finalmente el quinto capítulo, contiene Conclusiones y Recomendaciones










7

PRESENTACION

La presente Auditoria Informática, esta propuesta a la seguridad de la red física y lógica
del Proceso de Gestión Informática de la Dirección Provincial de Salud de Pichincha.

Para el correspondiente análisis, se realizó un minucioso estudio del estado actual del
Proceso, enfocándonos en las tres áreas mas importantes como son: área de hardware,
área de software y área de comunicaciones, los cuales fueron examinados por medio de
hallazgos de auditoria y formularios de visitas, como también basándonos en las
herramientas de auditoria como son: entrevistas, cuestionarios y checklist

El análisis se concibió en las diferentes áreas ya citadas en el párrafo anterior con ayuda
de herramientas y software que ayudaron a identificar las vulnerabilidades y las
amenazas a las que la Seguridad Informática del Proceso de Gestión Informática están
expuestas, luego de la identificación se realizó el debido y acertado análisis de riegos
basado según el estándar NIST 800-30, el mismo que ayudó a analizar los riesgos y a
cuantificar
los costos, mediante ecuaciones y matrices, obteniendo una breve
identificación de los recursos más importantes para el Proceso y la Institución, de
acuerdo al trato que este Proceso realiza a cada uno de los recursos informáticos,
obteniendo las diferentes falencias y generando sus debidas recomendaciones, basadas
en la norma ISO/IEC 17799:2007 “Código de Buenas Prácticas para la Gestión de la
Seguridad de la Información”. Sobre la cual fue basada la generación de un enfocado
instructivo de procedimientos para el Cuarto de Servidores del Proceso de Gestión
Informática.



















8

CONTENIDO



1.1

1.2
1.3
1.4
1.5

2.1

2.1.1

1.1.4.1

1.1.5

1.1.5.1
1.1.5.2
1.1.5.3
1.1.5.4
1.1.5.5
1.1.5.6

CAPITULO I ................................................................................................................................................... 1
1 ANTECEDENTES ................................................................................................................................ 14
SITUACIÓN ACTUAL ................................................................................................................. 14
1.1.1 VISIÓN ...................................................................................................................................... 14
1.1.2 MISIÓN ..................................................................................................................................... 14
1.1.3 DESCRIPCIÓN DE LA ORGANIZACIÓN ADMINISTRATIVA DE LA DIRECCIÓN
PROVINCIAL DE SALUD DE PICHINCHA (DPSP) ............................................................................ 14
1.1.4 DESCRIPCIÓN DEL PROCESO DE GESTIÓN INFORMÁTICA (PGI) ................................. 15
Misión .............................................................................................................................................. 16
SITUACIÓN ACTUAL DEL PROCESO DE GESTIÓN INFORMÁTICA (PGI) ....................... 17
Área Hardware: ................................................................................................................................ 19
Área Software: .........