Professional Documents
Culture Documents
AUDITORÍA INFORMÁTICA
JAIME RADICH VASQUÉZ
IACC
Su empresa Auditoría Inc. desea participar de una licitación privada del Banco IACC
en la que solicitan realizar una auditoría informática de red interna y perimetral
que incluya:
A finales del siglo XX, los sistemas informáticos se han constituido en las
herramientas mas poderosas para materializar uno de los conceptos mas vitales y
necesarios para cualquier organización, los sistemas informáticos de la empresa.
La informática hoy, esta absolutamente inmersa en la gestión integral de la empresa,
por lo tanto las organizaciones “informáticas” forman parte de lo que se ha
denominado el management o gestión de la empresa. La informática no gestiona
directamente la empresa, ayuda a la toma de decisiones, pero no decide por si
misma, es por esta razón, la importancia de la auditoría informática.
La auditoría informática es un examen critico que se realiza con el fin de evaluar la
eficiencia de una sección, un organismo, una entidad, una organización empresarial o
gubernamental, etc.
Los principales objetivos de la auditoría informática son el control de la función
informática, el análisis de la eficiencia de los sistemas informáticos, la verificación del
cumplimiento de la normativa general de la empresa en este ámbito y la revisión de
la eficaz gestión de los recursos humanos, materiales e informáticos. Es decir una
auditoria informática recolecta y evalúa evidencia con la finalidad de determinar si
los sistemas de información y los recursos relacionados protegen adecuadamente los
activos, mantienen la integridad y disponibilidad de los datos y del sistema, proveen
información relevante y confiable, contribuyen al logro de las metas
organizacionales, usan efectivamente los recursos y tiene controles internos efectivos
que proveen una certeza razonable de que los objetivos del negocio, operaciones y
de control serán alcanzados y que los eventos no deseados serán evitados o
detectados y corregidos de forma oportuna. Las auditorías de redes internas y
perimetrales tienen como finalidad determinar si existen problemas de conectividad
los cuales podrían afectar el desempeño de los usuarios (colaboradores), o equipos
que se encuentren en una red, adisionalmente ayudan a determinar si existen los
controles de acceso necesario para la red, evitando accesos no deseados.
Las auditorías informáticas tienen varias aristas, en este caso se enfocara en
determinar y verificar si el equipamiento de los funcionarios, servidores y todos
aquellos dispositivos que se encuentran dentro de la red están en condiciones para
que se realice un trabajo seguro y sin deficiencias en la transmisión de la
información, adisionalmente se determinara si la red perimetral esta entregando la
seguridad necesaria para una organización de este tipo.
Método de trabajo:
El Método sera “Técnica asistida por computadora”, es una herramienta que sirve
para recolectar información de una red de manera completa, incluyendo todos los
equipos y dispositivos que la componen. S e realizan inspecciones físicas y lógicas,
con el fin de determinar si los servidores, equipos y en general todos los dispositivos
de la red, cuentan con sus respectivas licencias de software, y si todos los
componentes de la red poseen las características físicas adecuadas para prestar los
servicios asignados a cada parte o dispositivo. Por ejemplo; Instalaciones eléctricas,
cableado estructurado, entre otras.
Finalmente se entrega un informe de auditoría.
VERIFICACION DE RED:
* Se realiza una revisión de todos los equipos de comunicación para verificar si están
entregando un desempeño acorde a la estructura de la red y sus necesidades.
* Se realizan revisiones en base al enlace principal y los enlaces de respaldo que
puedan existir.
* Adisionalmente se realiza una revisión a la estructura de la red y a la normativa
vigente
* Se revisa equipo por equipo, con un respectivo inventario completo.
VERIFICACION LOGICA:
* Verificación detallada de los sistemas operativos, comprobando si estos cuentan
con licencia y cual es la versión del SO (32 o 64 bits), también se revisan las
aplicaciones adisionales del sistema y sus respectivas licencias, se verifican los
sistemas operativos de los servidores y firmware de los router, switch, firewall, entre
otros.
* S e verifican las configuraciones de las tarjetas de red, las puertas de enlace,
servidores DNS, mascaras de red y direcciones IP.
* Al revisar las configuraciones de los router y firewall perimetral se espera que estén
entregando los servicios necesario para el buen funcionamiento de la red.
* Se revisan enlaces redundantes entre las oficinas y el data center.
* revisión de la operabilidad de los sistemas de respaldo y recuperación en caso de
falla del sistema.
* Revisión de cunetas de usuario y accesos a estaciones de trabajo.
* Verificación de las cuentas que tiene acceso a los servidores.
*Verificación de activación o no de las tablas de auditorías de base de datos.
VERIFICACIÓN FÍSICA:
+ Se realiza una Verificación de la topologia de red y de cada componente
computadores, routers, switch, firewall, servidores, entre otros. Estas verificaciones
esteran apoyadas por la ficha Técnica de cada equipo o dispositivo.
+ Se verificaran las condiciones habilitantes del data center donde se encuentran los
servidores, los medios de seguridad existentes para llegar a ellos y las condiciones
que este presenta para que los servidores presenten un optimo funcionamiento a la
red.
+ Se revisara si existe equipamiento de respaldo para los servidores en caso de
posibles fallas eléctricas y como actuarían estos sistemas.
+ Se revisara que el data center cuente con las medidas de seguridad ante cualquier
tipo de siniestro.