PRINCIPALES ÁREAS DE LA AUDITORÍA INFORMÁTICA.

PARTE II

CRISTIAN ROMERO CANALES

AUDITORÍA INFORMÁTICA

Instituto IACC

11.JUN.2018
 Desarrollo

1. Usted debe evaluar las instalaciones de un centro de cómputo para determinar la

mejor opción para una empresa de procesamiento de tarjetas de crédito. Los
requisitos mínimos que se deben cumplir tienen relación con respaldo de energía y
sistemas contra incendios.

a. Para cada uno de los requerimientos del enunciado construya un checklist de

al menos 3 preguntas a utilizar en una auditoría de seguridad y otro para una
auditoría de data center y recuperación de desastres.

Respuesta:

Lo primero que debemos asegurar es la seguridad física y no basta solo con una

inspección visual por parte del administrador, para lo cual es ideal realizar una checklist

para la seguridad física. La seguridad de red es lo segundo más importante en cuanto a

mantener el sistema seguro. La seguridad de la red también es más difícil de fiscalizar, ya

que requiere de los conocimientos más profundos de todos los componentes y servicios.

Checklist Auditoria de seguridad

Seguridad física
N° de
Observaciones
orden SI NO N/A
1 ¿Los sistemas están en una superficie sólida y estable?
¿Existe algún sistema de seguridad para monitorear el
2
área?
3 ¿Cuenta con sistema contra incendios?
Seguridad de Red
N° de
Observaciones
orden SI NO N/A
1 ¿Solo personal autorizado tiene acceso a la red?
¿Están bloqueados los puertos USB de todos los equipos
2 para no infectar la red?
¿Se cambian las contraseñas de los usuarios en forma
3 periódica?
 Checklist Datacenter
Seguridad física
N° de
Observaciones
orden SI NO N/A
¿Rack y Gabinetes están rotulados en su parte frontal y
1
trasera?
2 ¿La dependencia cuenta con un sistema contraincendios?
¿La dependencia cuenta con cámaras de seguridad y
3
control de acceso en sus puertas?
¿Los respaldos se hacen semanalmente y son guardados
4
en lugar seguro?
Recuperación de desastres
N° de
Observaciones
orden SI NO N/A
¿Existe un plan de contingencia en caso de algún
1 accidente (terremoto, incendio, inundación, etc..)?
¿Están establecidas las prioridades en caso de algún
2 desastre?
¿Existe algún plan de recuperación y tiempo de espera de
3 las novedades?

¿Compare las semejanzas que presenta cada Checklist para los diferentes tipos de
auditoría?

Como principal semejanza entre las checklist son la seguridad de la información, la seguridad
física de los equipos, evitando la perdida de datos. En caso de alguna emergencia estar muy
claro de lo que se tiene que hacer.

b. La evaluación debe considerar un plan de contingencias y recuperación de desastres

usando un segundo sitio. Se le solicita entonces que construya un documento que
detalle las acciones mínimas a realizar en caso de desastre en función de los
requerimientos mencionados en el enunciado.

Respuesta:
Ante algún desastre lo primero es que los administradores cuenten con un segundo servidor
de archivos en otro lugar físico. Contar con plan de contingencia y que todos los
administradores sepan lo que tiene que hacer. En caso de alguna emergencia, deberá tener
presente el tiempo de poner en marcha parte de la red para seguir trabajando. El
mantenimiento de los generadores y UPS de las sala de servidores.
2. Se le ha solicitado conducir una auditoría de redes de una empresa de cosméticos que
considera en su alcance solo los dispositivos perimetrales: En este caso, ¿la restricción de
servicios del router perimetral puede considerarse como parte la auditoría? ¿Por
qué? Fundamente su respuesta.

Respuesta:

El aspecto más importante que debemos considerar es la seguridad del Routers, será necesario
conocer las reglas y nivel de seguridad de cómo estará configurado. La revisión de los equipos
perimetrales podrá considerarse al momento de la auditoria, todo dependerá lo que se desea
obtener del proceso de la auditoria.

- Todos los puertos que no se están usando deben estar deshabilitados

- Clave de acceso robusta
- Cambiar la SSID
- Limitar el número de direcciones
- Filtrado de direcciones MAC

3. Usted se encuentra realizando una auditoría de seguridad en una empresa de

comercio electrónico que requiere que sus servicios estén disponibles las 24 horas del
día y todos los días de la semana. ¿Es válido como objetivo de la auditoría determinar
la efectividad del plan de continuidad de negocio? Fundamente su respuesta.

Respuesta:
La empresa a auditar entrega un servicio los 365 días del año y las 24 horas del día, será
necesario auditar lo que a nuestro juicio no se pueda cumplir. Es un gran riesgo el trabajo
los 365 días del año ya que nos encontraremos con fallas físicas o lógica. Hay que tomar
todas la medidas de seguridad para el buen funcionamiento de la empresa y poner en
marcha para poder evaluar el plan que tiene que tener la capacidad de funcionar 24/7.
 Bibliografía

Material entregado semana 8 IACC

Instrucciones para la sección de las citas bibliográficas:

Escriba la bibliografía aquí en orden alfabético (empezando por el apellido del primer autor o, de
no haber autor, por la primera palabra del título). Esta página ya está formateada con sangrías
francesas. Incluya sólo las citas bibliográficas a las que haya hecho referencia en su trabajo y
asegúrese de incluir todas las citas bibliográficas a las que se haya referido en el mismo.

Ejemplo de un periódico:

Lee, H. W. (2005). Los factores que influyen en los expatriados. Journal of American Academy of

Business, 6(2), 273-279. Consultado el 29 de enero de 2009, del banco de datos

ProQuest.

Ejemplo de un texto:

McShane, S. L., & Von Glinow, M. (2004). Organizational behavior: Emerging realities for the

workplace. New York: The McGraw-Hill Companies.

NOTA: Liste las citas bibliográficas en orden alfabético del apellido del autor, NO por el
tipo de la publicación. Los ejemplos previos le ayudarán a darle formato a cada tipo de
publicación en forma adecuada.

Por ejemplo:

 Banco de datos EBSCOhost

 Banco de datos ProQuest
 EIU Viewswire
 InvestText Plus

Borre este recuadro de instrucciones antes de enviar su trabajo de investigación final.