May 16, 2011
[AUDITORIA INFORMATICA] INFORMATICA]
CASO PRÁCTICO DE AUDITORIA INFORMATICA En el presente informe se detallan las recomendaciones que se pueden aplicar a la mejora en la seguridad física de un Centro de Proceso de Datos, así como también en los controles que se tengan implementados o la sugerencia a incorporar algunos de estos. Las recomendaciones se basan en punto por punto a excepción de los puntos que durante los hallazgos tengan mayor puntaje. A continuación detallamos las recomendaciones que podríamos brindar pensando como Auditores en el centro de procesamiento de datos.
Control de Accesos: Autorizaciones ¿Existe un único responsable de implementar la política de autorizaciones de entrada en el centro de cómputo? R. Si, el jefe de Explotación, pero el director puede acceder a la sala con los acompañantes sin previo aviso.
Recomendaciones: y
El acceso al Director se puede dar siempre y cuando mande una notificación previa previa con u tiempo prudencial al Jefe de Explotación y asignarle un supervisor.
y
El acceso al centro de datos tiene que ser lo mayor restringido posible, por lo que para su seguridad el director debe notificar las visitas, en casos extremos se puede obviar y enviar una nota después de la visita.
Además de la tarjeta magnética de identificación ¿hay que pasar otra especial? No, solamente la primera
Recomendaciones: y
La empresa puede crear anillos de seguridad utilizando accesos biométricos (Anexo1), llaves u otros medios para una mejor seguridad del centro de datos.
y
Para llegar al centro de datos deberían de pasar por varias estaciones, el guardia de seguridad, tarjeta magnética, acceso biométrico, etc.
¿Se pregunta a las visitas si desean conocer el centro de cómputo? No, vale la primera autorización.
Recomendaciones: y
Las visitas NO deben estar autorizadas para entrar directamente a los centros de computo
y
Toda
persona que entre al centro de computo tienen que estar autorizada.
1
May 16, 2011
[AUDITORIA INFORMATICA]
¿Se prevén las visitas a los centros de cómputo con 24 horas al menos? No, basta que vayan acompañados con el Jefe de explotación o dir ector.
Recomendaciones y
Si las personas no están autorizadas para ingresar al centro de computo, estas deben de tener un autorización con anticipación por parte gerencia
Control de Accesos: Controles Automáticos ¿Cree usted que los controles automáticos son adecuados? Si, aunque ha de reconocerse que a pie puede llegarse por la noche hasta el edificio principal.
Recomendaciones: y
Crear un perímetro de seguridad alrededor del edificio donde solo pueda acceder personal autorizado.
y
Reforzar la seguridad al campus y al edificio.
¿Quedan registradas todas las entradas y salidas del centro de computo? No, solamente las del personal ajeno a la operación. y
Se debe registrar todas las entradas y salidas de todo el personal que accede tanto internamente de la empresa así como personas externas
y
Toda
persona que entre y salga del centro de computo tienen que registrarse (día, hora, y
que operación realizo), sin excepción alguna del personal. y
También
se puede imprimir el log de accesos por medio de las tarjetas magnéticas.
y
Podría existir la posibilidad de poner un circuito cerrado de cámaras que r egistren los puntos de acceso.
¿Puede salirse del centro sin tarjeta magnética? Sí, porque existe otra puerta de emergencia que puede abrirse desde adentro.
Recomendaciones: y
La puerta de emergencia está bien que exista pero tienen que brindarle una mayor seguridad.
y
Los botones son adecuados cuando se cuente con un sistema de monitoreo permanete. (Anexo 2)
2
May 16, 2011
[AUDITORIA INFORMATICA]
Control de Accesos: Vigilancia Identificadas las visitas, ¿Se les acompaña hasta la persona que desean ver? No.
Recomendaciones: y
Toda
persona que entre debe de ser acompañada hasta la persona que desea ver y a la vez
llevar un registro de las visitas y
Toda
persona que no sea parte de la empresa debe de estar acompañado dentro del
centro de datos, se debe contar con suficiente personal para realizar esta tarea.
¿Conocen los vigilantes los terminales que deben quedar encendidos por la noche? No, sería muy complicado.
Recomendaciones: y
Es necesario que el personal de vigilancia conozca un poco acerca de lo que se debe de hacer, equipo que no se debe apagar.
y
El personal debe de poseer números de teléfono de las personas a las cuales llamar en caso de una emergencia en cualquiera de las terminales.
Control de Accesos: Registros ¿Existe una adecuada política de registros? No, reconocemos que casi nunca, pero hasta ahora no ha habido necesidad.
Recomendaciones: y
Se debe de contar con políticas de registros, no esperemos que sucedan los imprevistos para implementar políticas.
¿Se ha registrado alguna vez alguna persona? Nunca.
Recomendaciones: y
Un
control adecuado y un registro detallado puede ser útil para cualquier situación que
pueda darse en el futuro.
3
May 16, 2011
[AUDITORIA INFORMATICA]
¿Se abren todos los paquetes dirigidos a personas concretas y no a informática? Casi nunca
Recomendaciones: y
Al tener políticas establecidas se debería de crear una de ella donde nos permita dejar claro que todo paquete que llega va a ser revisado el personal de vigilancia para asegurar la seguridad del centro de datos.
La parte de registros es la que mas debilidad presenta por lo que se sugiere se empiece a trabajar en un plan para el fortalecimiento de estos ya que la empresa podría atravesar por situaciones donde se vean afectadas sus operaciones por la falta o el mal empleo de estos. cabe mencionar que la vigilancia es parte esencial en la operación, por lo cual ellos sin necesidad de tener un conocimiento pleno del campo informático pueden suministrar ayuda importante al personal informático, por lo cual es necesario que se les explique acerca de los procesos o procedimientos a hacer en caso de una emergencia o que una situación este saliendo de los parámetros adecuados o en caso de ver una anomalía por muy pequeña que esta sea. También
4
May 16, 2011
[AUDITORIA INFORMATICA]
ANEXOS Anexo 1. Controles de Acceso Biométrico
Anexo 2. Botones de salida
Anexo3. Lectores de tarjetas magnéticas
5
