AUDITORÍA INFORMÁTICA

PRINCIPALES ÁREAS DE LA AUDITORÍA INFORMÁTICA PARTE II

JAIME RADICH VASQUÉZ
IACC
21/10/2018
 DESARROLLO

Usted debe evaluar las instalaciones de un centro de cómputo para determinar la

mejor opción para una empresa de procesamiento de tarjetas de crédito. Los
requisitos mínimos que se deben cumplir tienen relación con respaldo de energía y
sistemas contra incendios.

a. Para cada uno de los requerimientos del enunciado construya un checklist de al

menos 3 preguntas a utilizar en una auditoría de seguridad y otro para una
auditoría de data center y recuperación de desastres. Compare las semejanzas que
presenta cada checklist para los diferentes tipos de auditoría.

La seguridad es una de las principales preocupaciones con las que se encuentran las
empresas en el ambito informatico. Para asegurar que no se produzcan eventos no
deseados e inesperados, son nesesarias las auditorías de seguridad informática, que
anliza los sistemas y las estaciones de trabajo con el fin de estableser o descubrir
bulnerabilidades existentes. La auditoria de seguridad esta orientada a la revision y
evaluacion de la seguridad logica de la información, busca minimizar los riesgos por
perdida o daños de la informacion y tambien busca resguardar que el acceso a la
informacion y los datos no pueda ser efectuado por personas o sistemas no
autorizados.

CHECK LIST AUDITORIA DE SEGURIDAD

Seguridad fisica:

N° PREGUNTA SI NO N/A NOTAS

01 ¿Los sistemas estan en una

superficie solida y estable?

02 ¿Existe sistemas de seguridad

que monitoreen el area?

03 ¿Existe en el lugar un sistema

contra incendios?

Seguridad de la red:

N° PREGUNTA SI NO N/A NOTAS

01 ¿Solo el personal autorizado

tiene acceso a la red?

02 ¿Estan bloqueados todos los

puertos USB de los equipos?

03 ¿Se realiza el cambio de

contraseñas de usuario?
CHECK LIST DATA CENTER:

Seguridad física:

N° PREGUNTA SI NO N/A NOTAS

01 ¿Rack y gabinetes
rotulados al frente y
atras?

02 ¿El lugar cuenta con

sistemas contra
incendios?

03 ¿El lugar cuenta

concamaras de
seguridad y control de
acceso en los
ingresos?

04 ¿Con que frecuencia

se realizan los
respaldos, son
guardados en lugar
seguro?

Recuperacion de desastres:

N° PREGUNTA SI NO N/A NOTAS

01 Existe un plan de
emergencias de
terremoto, incendio,
inundacion,
terrorismo, tec...

02 ¿Existen prioridades
pre establecidas
frente a un evento
desastre?
 03 ¿Existe plan de
recuperacion y su
correspondiente
tiempo de espera de
novedades?

En cuanto a las semejansas, creo que podriamos decir que la seguridad de los datos,
es primordial, por esta razon se chequea que la seguridad fisica de los equipos e
instalaciones sistemas de seguridad como incendios o inundacion, y finalmente se
revisan los procedimientos posteriores al evento no deseado, y el “que hacer”, en
caso de producirse.

b. La evaluación debe considerar un plan de contingencias y recuperación de

desastres usando un segundo sitio. Se le solicita entonces que construya un
documento que detalle las acciones mínimas a realizar en caso de desastre en
función de los requerimientos mencionados en el enunciado.

PLAN DE RECUPERACION POR SINIESTRO:

 Garantizar la continuidad de las operaciones de los elementos considerados
criticos que componen los sistemas de informacion.
 Definir acciones y procedimirntos a ejecutar en caso de siniestro en el sistema
de informacion.
 Reducir al minimo las interrupciones de operaciones del sistema.
 Minimizar el impacto economico de la interrupcion.
 Estableser medios alternativos de funcionamiento.
 Capacitar a los colavoradores en los procedimientos en un siniestro.
 Estableser una restauracion rapida y uniforme de los servicios.
 Copoias de seguridad de la informacion y datos.
 Activar seguros que mitiguen la perdida por siniestro.
 El plan de recuperacion por siniestro debe estar siempre en evaluacion, para
mantener su bigencia.

Se le ha solicitado conducir una auditoría de redes de una empresa de cosméticos

que considera en su alcance solo los dispositivos perimetrales: En este caso, ¿la
restricción de servicios del router perimetral puede considerarse como parte la
auditoría? ¿Por qué? Fundamente su respuesta.

“Auditar un router o un switch puede ser un trabajo tedioso pero necesario, de

acuerdo a SANS Institute (2001.a) la siguiente es una lista de comprobacion general
de seguridad recomendada para un router o switch que se encuentra clasificada
deacuerdo al ambito en que deberia aplicarse cada evaluacion y que se resume en la
siguiente lista: * Interfaces, * Servicios, * Administracion.” IACC (2018).