PROYECTO FINAL

AUDITORÍA INFORMÁTICA
JAIME RADICH VASQUÉZ
IACC
Su empresa Auditoría Inc. desea participar de una licitación privada del Banco IACC
en la que solicitan realizar una auditoría informática de red interna y perimetral
que incluya:

 100 estaciones de trabajo con Windows 7.

 bases de datos Oracle con Sistema Operativo Redhat Enterprise 5.
 2 firewalls (uno interno y otro externo).
 1 router perimetral.
 1 data center donde se encuentran todos los servidores.
 Enlaces redundantes entre las oficinas y el data center.

Para participar y adjudicársela, usted debe construir una propuesta técnica en la

cual explique el objetivo y alcance de la auditoría, la metodología de trabajo que
utilizar.
Finalmente como anexo debe incluir lo siguiente:
 Detalle de pruebas a realizar por cada dispositivo (herramientas, checklist,
etc.).
 DESARROLLO

ADITORÍA INFORMÁTICA BANCO IACC

A finales del siglo XX, los sistemas informáticos se han constituido en las
herramientas mas poderosas para materializar uno de los conceptos mas vitales y
necesarios para cualquier organización, los sistemas informáticos de la empresa.
La informática hoy, esta absolutamente inmersa en la gestión integral de la empresa,
por lo tanto las organizaciones “informáticas” forman parte de lo que se ha
denominado el management o gestión de la empresa. La informática no gestiona
directamente la empresa, ayuda a la toma de decisiones, pero no decide por si
misma, es por esta razón, la importancia de la auditoría informática.
La auditoría informática es un examen critico que se realiza con el fin de evaluar la
eficiencia de una sección, un organismo, una entidad, una organización empresarial o
gubernamental, etc.
Los principales objetivos de la auditoría informática son el control de la función
informática, el análisis de la eficiencia de los sistemas informáticos, la verificación del
cumplimiento de la normativa general de la empresa en este ámbito y la revisión de
la eficaz gestión de los recursos humanos, materiales e informáticos. Es decir una
auditoria informática recolecta y evalúa evidencia con la finalidad de determinar si
los sistemas de información y los recursos relacionados protegen adecuadamente los
activos, mantienen la integridad y disponibilidad de los datos y del sistema, proveen
información relevante y confiable, contribuyen al logro de las metas
organizacionales, usan efectivamente los recursos y tiene controles internos efectivos
que proveen una certeza razonable de que los objetivos del negocio, operaciones y
de control serán alcanzados y que los eventos no deseados serán evitados o
detectados y corregidos de forma oportuna. Las auditorías de redes internas y
perimetrales tienen como finalidad determinar si existen problemas de conectividad
los cuales podrían afectar el desempeño de los usuarios (colaboradores), o equipos
que se encuentren en una red, adisionalmente ayudan a determinar si existen los
controles de acceso necesario para la red, evitando accesos no deseados.
Las auditorías informáticas tienen varias aristas, en este caso se enfocara en
determinar y verificar si el equipamiento de los funcionarios, servidores y todos
aquellos dispositivos que se encuentran dentro de la red están en condiciones para
que se realice un trabajo seguro y sin deficiencias en la transmisión de la
información, adisionalmente se determinara si la red perimetral esta entregando la
seguridad necesaria para una organización de este tipo.
Método de trabajo:
El Método sera “Técnica asistida por computadora”, es una herramienta que sirve
para recolectar información de una red de manera completa, incluyendo todos los
equipos y dispositivos que la componen. S e realizan inspecciones físicas y lógicas,
con el fin de determinar si los servidores, equipos y en general todos los dispositivos
de la red, cuentan con sus respectivas licencias de software, y si todos los
componentes de la red poseen las características físicas adecuadas para prestar los
servicios asignados a cada parte o dispositivo. Por ejemplo; Instalaciones eléctricas,
cableado estructurado, entre otras.
Finalmente se entrega un informe de auditoría.
VERIFICACION DE RED:
* Se realiza una revisión de todos los equipos de comunicación para verificar si están
entregando un desempeño acorde a la estructura de la red y sus necesidades.
* Se realizan revisiones en base al enlace principal y los enlaces de respaldo que
puedan existir.
* Adisionalmente se realiza una revisión a la estructura de la red y a la normativa
vigente
* Se revisa equipo por equipo, con un respectivo inventario completo.
VERIFICACION LOGICA:
* Verificación detallada de los sistemas operativos, comprobando si estos cuentan
con licencia y cual es la versión del SO (32 o 64 bits), también se revisan las
aplicaciones adisionales del sistema y sus respectivas licencias, se verifican los
sistemas operativos de los servidores y firmware de los router, switch, firewall, entre
otros.
* S e verifican las configuraciones de las tarjetas de red, las puertas de enlace,
servidores DNS, mascaras de red y direcciones IP.
* Al revisar las configuraciones de los router y firewall perimetral se espera que estén
entregando los servicios necesario para el buen funcionamiento de la red.
* Se revisan enlaces redundantes entre las oficinas y el data center.
* revisión de la operabilidad de los sistemas de respaldo y recuperación en caso de
falla del sistema.
* Revisión de cunetas de usuario y accesos a estaciones de trabajo.
* Verificación de las cuentas que tiene acceso a los servidores.
*Verificación de activación o no de las tablas de auditorías de base de datos.
VERIFICACIÓN FÍSICA:
+ Se realiza una Verificación de la topologia de red y de cada componente
computadores, routers, switch, firewall, servidores, entre otros. Estas verificaciones
esteran apoyadas por la ficha Técnica de cada equipo o dispositivo.
+ Se verificaran las condiciones habilitantes del data center donde se encuentran los
servidores, los medios de seguridad existentes para llegar a ellos y las condiciones
que este presenta para que los servidores presenten un optimo funcionamiento a la
red.
+ Se revisara si existe equipamiento de respaldo para los servidores en caso de
posibles fallas eléctricas y como actuarían estos sistemas.
+ Se revisara que el data center cuente con las medidas de seguridad ante cualquier
tipo de siniestro.

Finalmente se realiza un informe que contiene los resultados de las verificaciones y

revisiones descritas con anterioridad, dependiendo de los resultados que este
informe determine se podrá decidir si se requiere de un plan de mejoras para la red,
con el afán de que la organización cuente con los estándares adecuados para un
correcto y eficiente funcionamiento.
PLAN DE TRABAJO:
 revisión de las estaciones de trabajo: Esta actividad se realiza en forma
coordinada para cubrir la revisión de los equipos en el menor tiempo posible.
Teniendo en cuenta que se debe prever los imprevistos posibles en estas
acciones. Tratándose de una entidad bancaria y que el trabajo se realiza
directamente en las cajas, y en los escritorios (equipos) de los ejecutivos de
cunetas, durante el horario am (hasta las 14:00). S Se partirá la con los equipos
que están en las distintas oficinas que no sean las antes mencionadas, el trabajo
estará a cargo de cuatro personas, su comieso sera a las 09:00 de la mañana
hasta las 18:00 con una hora de colación respectivamente. Se establece un
tiempo de duración de la evaluación, de 30 minutos por equipo, por lo que se
debería revisar un total de 30 estaciones diarias.
 revisión datacenter y base de datos: El mismo equipo de cuatro personas que
realizo la evaluación de las estaciones de trabajo, realizara la revisión del data
center, para estos efectos se espera realizarlo en medio día, simultanemente se
realizara la revisión de las bases de datos, credenciales de acceso y los distintos
permisos y privilegios que puedan tener los colaboradores, ademas de las tablas
de auditoria, se determina un promedio de tres horas por base de datos por lo
que el trabajo terminaría en tres días aproximadamente.
 revisión de router perimetral y los firewall: Se programa un aproximado de
medio día por cada revisión de firewall, se verificaran versiones de firmware,
configuraciones de seguridad, listas de acceso entre otros. Al mismo tiempo se
revisara el router perimetral, en el se realizara un análisis de la arquitectura de la
red, configuraciones de seguridad, todos los servicios que presta el dispositivo,
se revisan las configuraciones ethernet y sus listas de acceso. Un día de trabajo
aproximadamente.
 Enlaces redundantes: Se programa en un día las revisiones pertinentes para
verificar si entre las distintas oficinas y el data center existe un enlace
redundante que sea capas de proporcionar la conectividad necesaria en caso de
algún inconveniente que suceda de manera fortuita.
 Varios: Con la ayuda de un software especializado se realiza una Verificación de
los servicios que están corriendo en la red, simultáneamente con este tipo de
software se realizara un inventario de todos los equipos conectados en red y sus
características, así se podrá verificar de manera efectiva los componentes de los
distintos equipos.
CHECK LIST.

Check list por estación de trabajo:

 MARCA
 MODELO
 PROCESADOR
 DISCO DURO
 MEMORIA RAM
 CONFIGURACION IP
 MAC
 PERIFERICOS
 CANEXIONES
 SISTEMA OPERATIVO Y SU LICENCIA
 APLICACIONES ADISIONALES Y SU LICENCIA
 ANTIVIRUS
 USUARIO
 DOMINIO

Check list firewalls y routers:

 MARCA
 MODELO
 FIRMWARE
 SEGURIDAD
 CONEXIONES
 SERVICIOS CONFIGURADOS

Check list data center:

 CONTROL DE ACCESO
 SISTEMA DE SEGURIDAD ANTE IMPREVISTOS (CORTES DE ENERGIA, INCENDIO...)
 ESTADO DE CONEXIONES.
INFORME

1. Preparación de borrador de informe y recomendaciones.

2. Discusión de borrador con el cliente.
3. Entrega de informe y carta con recomendaciones.

Se debe resaltar la importancia de la discusión de los borradores parciales con el

cliente, la referencia a clientes debe entenderse como los responsables directos de
los distintos segmentos. En este punto es posible que el auditado no este de acuerdo
en algún segmento y redacte un contra informe del punto cuestionado, este se
adjunta al informe este final.
Las recomendaciones podrán ser de tres tipos:

a) Recomendaciones correspondientes a la zona roja. serán muy detalladas e irán

en primer lugar, con la máxima prioridad. La redacción de las recomendaciones
se hará de modo que sea simple verificar el cumplimiento de la misma por parte
del cliente.
b) Recomendaciones correspondientes a la zona amarilla, son las que deben
observarse en el mediano plazo, e igualmente irán priorizadas.
c) Recomendaciones correspondientes a la zona verde, Son las que suelen referirse
a medidas de mantenimiento, puede detallarse alguna recomendación de este
tipo cuando una acción sencilla y económica podría eventualmente reportar
beneficios de consideración.

A modo de conclusión, con la realización de este tipo de trabajo se puede deducir

que toda empresa publica o privada, que posea sistemas de información
medianamente complejos, deben someterse a un control estricto de evaluación de
eficacia y eficiencia. Hoy en día mas de el 90% de todas las empresas tienen toda su
información estructurada en sistemas informáticos, de aquí la vital importancia que
los sistemas de información funcionen correctamente. Las empresas hoy deben y
precisan informarse. El éxito de la empresa depende de la eficiencia de sus sistemas
de información. Una empresa puede tener un staff de persona muy bien calificadas
en sus profesiones, pero si el sistema informático es propenso a errores, lento,
vulnerable e inestable, las cosas definitivamente no andarán bien, debe existir un
balance entre las dos cosas, para alcanzar las metas y objetivos de la organización. En
cuanto al trabajo de la auditoría en si, me gustaría recalcar que se necesita un gran
conocimiento de informática, seriedad, capacidad, minuciosidad y responsabilidad.
La auditoría de sistemas de información debe ser realizadas por profesionales
altamente calificados, para salvaguardar lo mas importante la empresa y su
información.
La auditoria informática, hoy en día es de vital importancia para las empresas
modernas con visión de futuro, sobre todo inmersas en un mundo globalizado,
porque si no se prevé los mecanismos de control, seguridad y respaldo de la
información dentro de una organización, esta se vera sumida en riesgos lógicos,
físicos y humanos, que pueden causar fraudes no solo económicos sino de
información, ocasionando perdidas importantes para la empresa.
La auditoria de sistemas de información deberá comprender no solo la evaluación de
los equipos de computo de un sistema o procedimiento especifico, sino que además
habrá de evaluar los sistemas de información en general desde sus entradas,
procedimientos, controles y salidas.
En la mayoría de las empresas existe una constante preocupación por la presencia
ocasional de fraudes, sin embargo, muchos de estos podrían prevenirse.
Evitar fraudes es responsabilidad de todos los empleados, por ello es importante
crear una cultura de buenas practicas, encaminada a minimizar el riesgo de fraude.
 BIBLIOGRAFIA

DOCUMENTOS IACC (2018)

http://www.gadae.com/blog/guia-para-hacer-una-auditoria-informatica-en-tu-
empresa/
https://www.apser.es/blog/2016/03/03/8-ventajas-de-hacer-una-auditoria-
informatica/
https://www.google.cl/search?q=auditoria+informatica
https://e-
archivo.uc3m.es/bitstream/handle/10016/22997/PFC_Jorge_Barrio_Ibanez_2014.pd
f