Professional Documents
Culture Documents
AUDITORÍA INFORMÁTICA
JAIME RADICH VASQUÉZ
IACC
Su empresa Auditoría Inc. desea participar de una licitación privada del Banco IACC
en la que solicitan realizar una auditoría informática de red interna y perimetral
que incluya:
A finales del siglo XX, los sistemas informáticos se han constituido en las
herramientas mas poderosas para materializar uno de los conceptos mas vitales y
necesarios para cualquier organización, los sistemas informáticos de la empresa.
La informática hoy, esta absolutamente inmersa en la gestión integral de la empresa,
por lo tanto las organizaciones “informáticas” forman parte de lo que se ha
denominado el management o gestión de la empresa. La informática no gestiona
directamente la empresa, ayuda a la toma de decisiones, pero no decide por si
misma, es por esta razón, la importancia de la auditoría informática.
La auditoría informática es un examen critico que se realiza con el fin de evaluar la
eficiencia de una sección, un organismo, una entidad, una organización empresarial
o gubernamental, etc.
Los principales objetivos de la auditoría informática son el control de la función
informática, el análisis de la eficiencia de los sistemas informáticos, la verificación del
cumplimiento de la normativa general de la empresa en este ámbito y la revisión de
la eficaz gestión de los recursos humanos, materiales e informáticos. Es decir una
auditoria informática recolecta y evalúa evidencia con la finalidad de determinar si
los sistemas de información y los recursos relacionados protegen adecuadamente los
activos, mantienen la integridad y disponibilidad de los datos y del sistema, proveen
información relevante y confiable, contribuyen al logro de las metas organizacionales,
usan efectivamente los recursos y tiene controles internos efectivos que proveen
una certeza razonable de que los objetivos del negocio, operaciones y de control
serán alcanzados y que los eventos no deseados serán evitados o detectados y
corregidos de forma oportuna. Las auditorías de redes internas y perimetrales tienen
como finalidad determinar si existen problemas de conectividad los cuales podrían
afectar el desempeño de los usuarios (colaboradores), o equipos que se encuentren
en una red, adisionalmente ayudan a determinar si existen los controles de acceso
necesario para la red, evitando accesos no deseados.
Las auditorías informáticas tienen varias aristas, en este caso se enfocara en
determinar y verificar si el equipamiento de los funcionarios, servidores y todos
aquellos dispositivos que se encuentran dentro de la red están en condiciones para
que se realice un trabajo seguro y sin deficiencias en la transmisión de la información,
adisionalmente se determinara si la red perimetral esta entregando la seguridad
necesaria para una organización de este tipo.
Método de trabajo:
El Método sera “Técnica asistida por computadora”, es una herramienta que sirve
para recolectar información de una red de manera completa, incluyendo todos los
equipos y dispositivos que la componen. S e realizan inspecciones físicas y lógicas,
con el fin de determinar si los servidores, equipos y en general todos los dispositivos
de la red, cuentan con sus respectivas licencias de software, y si todos los
componentes de la red poseen las características físicas adecuadas para prestar los
servicios asignados a cada parte o dispositivo. Por ejemplo; Instalaciones eléctricas,
cableado estructurado, entre otras.
Finalmente se entrega un informe de auditoría.
VERIFICACION DE RED:
* Se realiza una revisión de todos los equipos de comunicación para verificar si
están entregando un desempeño acorde a la estructura de la red y sus necesidades.
* Se realizan revisiones en base al enlace principal y los enlaces de respaldo que
puedan existir.
* Adisionalmente se realiza una revisión a la estructura de la red y a la normativa
vigente
* Se revisa equipo por equipo, con un respectivo inventario completo.
VERIFICACION LOGICA:
* Verificación detallada de los sistemas operativos, comprobando si estos cuentan
con licencia y cual es la versión del SO (32 o 64 bits), también se revisan las
aplicaciones adisionales del sistema y sus respectivas licencias, se verifican los
sistemas operativos de los servidores y firmware de los router, switch, firewall, entre
otros.
* S e verifican las configuraciones de las tarjetas de red, las puertas de enlace,
servidores DNS, mascaras de red y direcciones IP.
* Al revisar las configuraciones de los router y firewall perimetral se espera que
estén entregando los servicios necesario para el buen funcionamiento de la red.
* Se revisan enlaces redundantes entre las oficinas y el data center.
* revisión de la operabilidad de los sistemas de respaldo y recuperación en caso de
falla del sistema.
* Revisión de cunetas de usuario y accesos a estaciones de trabajo.
* Verificación de las cuentas que tiene acceso a los servidores.
*Verificación de activación o no de las tablas de auditorías de base de datos.
VERIFICACIÓN FÍSICA:
+ Se realiza una Verificación de la topologia de red y de cada componente
computadores, routers, switch, firewall, servidores, entre otros. Estas verificaciones
esteran apoyadas por la ficha Técnica de cada equipo o dispositivo.
+ Se verificaran las condiciones habilitantes del data center donde se encuentran los
servidores, los medios de seguridad existentes para llegar a ellos y las condiciones
que este presenta para que los servidores presenten un optimo funcionamiento a la
red.
+ Se revisara si existe equipamiento de respaldo para los servidores en caso de
posibles fallas eléctricas y como actuarían estos sistemas.
+ Se revisara que el data center cuente con las medidas de seguridad ante cualquier
tipo de siniestro.
PLAN DE TRABAJO:
revisión de las estaciones de trabajo: Esta actividad se realiza en forma
coordinada para cubrir la revisión de los equipos en el menor tiempo posible.
Teniendo en cuenta que se debe prever los imprevistos posibles en estas
acciones. Tratándose de una entidad bancaria y que el trabajo se realiza
directamente en las cajas, y en los escritorios (equipos) de los ejecutivos de
cunetas, durante el horario am (hasta las 14:00). S Se partirá la con los equipos
que están en las distintas oficinas que no sean las antes mencionadas, el trabajo
estará a cargo de cuatro personas, su comieso sera a las 09:00 de la mañana
hasta las 18:00 con una hora de colación respectivamente. Se establece un
tiempo de duración de la evaluación, de 30 minutos por equipo, por lo que se
debería revisar un total de 30 estaciones diarias.
revisión datacenter y base de datos: El mismo equipo de cuatro personas que
realizo la evaluación de las estaciones de trabajo, realizara la revisión del data
center, para estos efectos se espera realizarlo en medio día, simultanemente se
realizara la revisión de las bases de datos, credenciales de acceso y los distintos
permisos y privilegios que puedan tener los colaboradores, ademas de las tablas
de auditoria, se determina un promedio de tres horas por base de datos por lo
que el trabajo terminaría en tres días aproximadamente.
revisión de router perimetral y los firewall: Se programa un aproximado de
medio día por cada revisión de firewall, se verificaran versiones de firmware,
configuraciones de seguridad, listas de acceso entre otros. Al mismo tiempo se
revisara el router perimetral, en el se realizara un análisis de la arquitectura de
la red, configuraciones de seguridad, todos los servicios que presta el dispositivo,
se revisan las configuraciones ethernet y sus listas de acceso. Un día de trabajo
aproximadamente.
Enlaces redundantes: Se programa en un día las revisiones pertinentes para
verificar si entre las distintas oficinas y el data center existe un enlace
redundante que sea capas de proporcionar la conectividad necesaria en caso de
algún inconveniente que suceda de manera fortuita.
Varios: Con la ayuda de un software especializado se realiza una Verificación de
los servicios que están corriendo en la red, simultáneamente con este tipo de
software se realizara un inventario de todos los equipos conectados en red y sus
características, así se podrá verificar de manera efectiva los componentes de los
distintos equipos.
CHECK LIST.