AUDITORÍA INFORMÁTICA

PRINCIPALES ÁREAS DE LA AUDITORÍA INFORMÁTICA PARTE II

JAIME RADICH VASQUÉZ
IACC
21/10/2018
 DESARROLLO

Usted debe evaluar las instalaciones de un centro de cómputo para determinar la

mejor opción para una empresa de procesamiento de tarjetas de crédito. Los
requisitos mínimos que se deben cumplir tienen relación con respaldo de energía y
sistemas contra incendios.

a. Para cada uno de los requerimientos del enunciado construya un checklist de al

menos 3 preguntas a utilizar en una auditoría de seguridad y otro para una
auditoría de data center y recuperación de desastres. Compare las semejanzas que
presenta cada checklist para los diferentes tipos de auditoría.

La seguridad es una de las principales preocupaciones con las que se encuentran las
empresas en el ámbito informático. Para asegurar que no se produzcan eventos no
deseados e inesperados, son necesarias las auditorías de seguridad informática, que
analiza los sistemas y las estaciones de trabajo con el fin de establecer o descubrir
vulnerabilidades existentes. La auditoria de seguridad esta orientada a la revisión y
evaluación de la seguridad lógica de la información, busca minimizar los riesgos por
perdida o daños de la información y también busca resguardar que el acceso a la
información y los datos no pueda ser efectuado por personas o sistemas no
autorizados.

CHECK LIST AUDITORIA DE SEGURIDAD

Seguridad física:

N° PREGUNTA SI NO N/A NOTAS

01 ¿Los sistemas están en una

superficie solida y estable?

02 ¿Existe sistemas de seguridad

que monitoreen el área?

03 ¿Existe en el lugar un sistema

contra incendios?

Seguridad de la red:

N° PREGUNTA SI NO N/A NOTAS

01 ¿Solo el personal autorizado

tiene acceso a la red?

02 ¿están bloqueados todos los

puertos USB de los equipos?

03 ¿Se realiza el cambio de

contraseñas de usuario?
CHECK LIST DATA CENTER:

Seguridad física:

N° PREGUNTA SI NO N/A NOTAS

01 ¿Rack y gabinetes
rotulados al frente y
atrás?

02 ¿El lugar cuenta con

sistemas contra
incendios?

03 ¿El lugar cuenta con

cámaras de seguridad
y control de acceso en
los ingresos?

04 ¿Con que frecuencia

se realizan los
respaldos, son
guardados en lugar
seguro?

Recuperación de desastres:

N° PREGUNTA SI NO N/A NOTAS

01 Existe un plan de
emergencias de
terremoto, incendio,
inundación,
terrorismo, etc...

02 ¿Existen prioridades
pre establecidas
frente a un evento
desastre?

03 ¿Existe plan de
 Recuperación y su
correspondiente
tiempo de espera de
novedades?

En cuanto a las semejanzas, creo que podríamos decir que la seguridad de los datos,
es primordial, por esta razón se chequea que la seguridad física de los equipos e
instalaciones sistemas de seguridad como incendios o inundación, y finalmente se
revisan los procedimientos posteriores al evento no deseado, y el “que hacer”, en
caso de producirse.

b. La evaluación debe considerar un plan de contingencias y recuperación de

desastres usando un segundo sitio. Se le solicita entonces que construya un
documento que detalle las acciones mínimas a realizar en caso de desastre en
función de los requerimientos mencionados en el enunciado.

PLAN DE RECUPERACION POR SINIESTRO:

 Garantizar la continuidad de las operaciones de los elementos considerados
críticos que componen los sistemas de información.
 Definir acciones y procedimientos a ejecutar en caso de siniestro en el sistema
de información.
 Reducir al mínimo las interrupciones de operaciones del sistema.
 Minimizar el impacto económico de la interrupción.
 establecer medios alternativos de funcionamiento.
 Capacitar a los colaboradores en los procedimientos en un siniestro.
 establecer una restauración rápida y uniforme de los servicios.
 Copias de seguridad de la información y datos.
 Activar seguros que mitiguen la perdida por siniestro.
 El plan de Recuperación por siniestro debe estar siempre en evaluación, para
mantener su vigencia.

Se le ha solicitado conducir una auditoría de redes de una empresa de cosméticos

que considera en su alcance solo los dispositivos perimetrales: En este caso, ¿la
restricción de servicios del router perimetral puede considerarse como parte la
auditoría? ¿Por qué? Fundamente su respuesta.

“Auditar un router o un switch puede ser un trabajo tedioso pero necesario, de

acuerdo a SANS Institute (2001.a) la siguiente es una lista de comprobación general
de seguridad recomendada para un router o switch que se encuentra clasificada de
acuerdo al ámbito en que debería aplicarse cada evaluación y que se resume en la
siguiente lista: * Interfaces, * Servicios, * Administración.” IACC (2018).
Al implementar las medidas de seguridad la de los router seria critica, ya que los
router son la puerta de enlace hacia las demás redes, y están mas expuestos a los
ataques desde el exterior de la red. Por otra parte los switch direccionan y controlan
una parte importante del trafico que fluye a través de las redes de datos y proveen
conexión directa entre los elementos de una red de área local, es por esto que
también son blanco de ataques. Estas son las razones por las que se debe incluir en
la auditoria la revisión de los router.

Usted se encuentra realizando una auditoría de seguridad en una empresa de

comercio electrónico que requiere que sus servicios estén disponibles las 24 horas
del día y todos los días de la semana. ¿Es válido como objetivo de la auditoría
determinar la efectividad del plan de continuidad de negocio? Fundamente su
respuesta.

En mi opinión creo que si, determinar la efectividad de este plan es un elemento

fundamental para la gobernación de tecnologías de la información. Creo que el
principal objetivo de las empresas u organizaciones es garantizar su perdurabilidad,
la permanencia y continuidad de su actividad, en el tiempo, solo de esta modo
tendrá sentido que las empresas se planteen otros objetivos. La desaparición de la
empresa invalidara cualquier otra pretensión de rentabilidad y beneficio, por
ejemplo para los accionistas o dueños de la misma. Se debe entonces controlar de
manera efectiva estos planes, para que se adecuen y estén actualizados a las
necesidades actuales de la organización, de ahí la importancia de incluirlos en la
auditoria, la auditoria darán la base para su evaluación y corrección en caso de ser
necesario.
 BILIOGRAFIA

Documentos iacc (2018)