Auditoria Alrededor de La Computadora

Facultad de Contaduría y Administración

E.E. Auditoria Informátic Informáticaa Tipo de Auditoria: Alrededor de la computadora Integrantes: Joel David Hernández Hernández José Iván Carlos Carballo Gabriel Domínguez García

LSCA Sección: 602

The world's largest digital library

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.









Contenido INTRODUCCION ............................................................................................................................... 1 PLANEACION DE LA AUDITORIA ...................................................................................................... 2 ORIGEN DE LA AUDITORIA .............................................................................................................. 2 Empresa auditada: .......................................................................................................................... 2 DEFINICION DE LOS OBJETIVOS ....................................................................................................... 2 Objetivo general: ............................................................................................................................. 2 Objetivo Específicos: ....................................................................................................................... 2 ALCANSE .......................................................................................................................................... 3 RECURSOS A UTILIZAR ..................................................................................................................... 3 PLAN DE LA AUDITORIA ................................................................................................................... 4 INSTRUMENTOS DE RECOLECCION DE DATOS ................................................................................ 5 Uso de la norma ISO/IEC 27004 ...................................................................................................... 5 Técnicas de Recolección de Datos .................................................................................................. 5 Modelo de las mediciones .............................................................................................................. 5 CUESTIONARIOS .............................................................................................................................. 7 EJECUSION DE LA AUDITORIA ....................................................................................................... 12 Documento de desviaciones ......................................................................................................... 12 Documento de Desviaciones Relevantes ...................................................................................... 13 DIACTAMEN ................................................................................................................................... 18 Referencias ........................................................................................................................................ 19









INTRODUCCION

La auditoría alrededor de la computadora la revisión específica que se realiza a todo lo que está alrededor de un equipo de cómputo, como son sus sistemas, actividades y funcionamiento, evalúa los métodos y procedimientos de acceso y procesamiento de datos, la emisión y almacenamiento de resultados, las actividades de planeación y presupuestario del centro de cómputo, los aspectos operacionales y financieros, la gestión administrativa de accesos al sistema, la atención a usuarios y al desarrollo de nuevos sistemas, las comunicaciones internas y externas, y en si todos aquellos aspectos que contribuyen al buen funcionamiento de una área de sistematización. (Razo, 2002) La empresa “P lastimar” dedicada a la fabricación de insumos plásticos para la

industria de agua embotellada en la región de Xalapa realizo una solicitud al grupo “Progressvi” para la realización de una auditoria alrededor de la computadora a su área de sistemas, con el fin de conocer el estatus de sus recursos informáticos. En el presente trabajo se detallan los hallazgos encontrados durante el proceso de elaboración de la auditoria así como la herramienta y recursos utilizados en la misma.









PLANEACION DE LA AUDITORIA ORIGEN DE LA AUDITORIA

Externo por petición de nuestro cliente Empresa auditada:

Plásticos y Derivados Pm, S.A de S.V. Sitio de internet: www.plastimar.com.mx Ubicación: Nuevo León No. 720-2, Progreso Macuiltépetl, 91130 Xalapa Enríquez, Ver. DEFINICION DE LOS OBJETIVOS Objetivo general:

Verificar la calidad y suficiencia de los métodos de acceso, seguridad y salvaguarda de los activos informáticos del área de los sistemas.

Objetivo Específicos:



Revisar la existencia de planes y programas de prevención contra contingencias en el funcionamiento del sistema, en la información y datos de la empresa y de los demás bienes informáticos.



Identificar los métodos de acceso a: La información, almacenamiento, sistemas operativos, archivos y programas de la empresa.



Supervisar los sistemas de control de accesos lógicos al sistema y a las bases de datos.



Verificar los sistemas de control de accesos físicos al centro de cómputo.



Comprobar los métodos de prevención y erradicación de virus informáticos.









ALCANSE

En primera instancia la auditoria procederá a la identificación de los activos de la empresa a proteger, ente caso el área de sistemas de la empresa, en ella se llevara a cabo la puesta en práctica de la norma ISO/IEC 27004 que permite visualizar todos aquellos aspectos de control de seguridad e integridad que son o vulnerables dentro de esta area. Esta norma sirve como punto de partida para la identificación de los riesgos donde la organización puede tener problemas, además de que facilita la mejora continua ya que los datos obtenidos de las mediciones realizadas sirven como base de comparación en un periodo de tiempo. RECURSOS A UTILIZAR Recursos Humanos:  

Auditores encargados. Personal de la empresa del área de sistemas

Recursos Materiales:  

Equipo de papelería. Un equipo de cómputo para el concentrado de la información.

Recursos Financieros: 

Gastos de transporte y viáticos.









PLAN DE LA AUDITORIA

Empresa: Platimar S.A. de C.V. Auditor: Progressvi

Periodo: Del 20 abril al 31 de mayo de 2015 Área auditada: Área de sistemas de la empresa

DD 20 31

MM 04 05

AA 2015 2015

Semanas Actividad

Abril

No.

Nombre

Responsable

1

Visita preliminar.

Auditores Progressvi

2

Definición de los objetivos.


3.

Establecer el alancé de la auditoria.


4.

Elección de estrategias. estrategias .


5.

Elección de la norma a utilizar.


6.

Preparar Instrumentos recolección de datos.


7.

Inspección física del área de cómputo.


8.


9.

Aplicación de los instrumentos de recolección de datos. Análisis de la información obtenida.


10.

Elaborar E laborar documento de desviaciones.


11.

Elaborar dictamen final.


12.

Presentación de los resultados.


1

2

Mayo 3

4

5

6

7

4





INSTRUMENTOS DE RECOLECCION DE DATOS Uso de la norma ISO/IEC 27004

Sirven para desarrollar, mantener e implementar especificaciones para los sistemas de gestión de la seguridad de la información, también conocido como (SGSI). Específicamente la norma ISO/IEC 27004 Son métricas para la gestión de seguridad de la información. Proporcionan recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información.

Técnicas de Recolección de Datos

Estas normas (las ISO/IEC ) hacen uso de métricas. Según el IEEE (Instituto de Ingenieros Eléctricos y Electrónicos) define la métrica como una medida cuantitativa del grado en que un sistema, componente o proceso posee un atributo dado. Características principales de las métricas:    

Tienen que ser fáciles de obtener. Expresadas en porcentajes o números en escala. Necesarias con el fin de realizar tomas de decisiones. Tienen que ser detalladas explicando cada cosa que sea necesario.

Modelo de las mediciones

Para llevarlo a cabo se necesita crear un programa con el fin de realizar la medición de la









Para el proceso de aplicación de las métricas se recomienda dividirlo en cinco etapas:

Tiene como principal objetivo el de buscar y elegir las métricas apropiadas para aplicarlo al sistema informático en cuestión.

Formulación

Colección

En esta segunda etapa hay que acumular y obtener todos los datos necesarios.

Analisis

Ahora con los datos obtenidos en la anterior etapa, se realizan los cálculos de las métricas.

Interptretación

A continuación con los cálculos hechos se realiza su evaluación con el fin de obtener una visión interna de la calidad de la representación.

Realimentación

Se dan las recomendaciones obtenidas de la interpretación de las métricas técnicas trasmitidas al equipo de software.

En estos procesos de mediciones se tienen que cumplir una una serie de objetivos los cuales cuales son los siguientes: Indicar y avisar los valores de seguridad de la entidad. Realizar una evaluación de la eficiencia de la seguridad de la Información. Incluir niveles de seguridad que sirvan de guía para las revisiones futuras, lo cual provocará nuevas entradas para auditar y para ayudar a mejorar la seguridad de la   









CUESTIONARIOS Cuestionario Seguridad Lógica

1. ¿Uso de contraseñas por parte de los empleados? 2. ¿Las contraseñas tienen más de 8 caracteres? 3. ¿La contraseña es alfanumérica? 4. ¿Existen diferentes niveles de acceso? (ejecutivos, programadores, analistas) 5. ¿Se registra la entrada al equipo informático? 6. ¿Se registra la salida al equipo informático? 7. ¿Los empleados son informados sobre los riesgos de las contraseñas? 8. ¿Uso de contraseñas que no tienen nada que ver con información del personal de la entidad (nombre, teléfono, matrícula del coche? 9. ¿Las cuentas de los empleados que vayan a ser despedidos son bloqueadas o elimiadas antes del aviso de despido? 10. ¿Las contraseñas son cambiadas periódicamente? 11. ¿Las contraseñas de cada empleado son diferentes para cada tipo de acceso? 12. ¿Se comprueba que las cuentas que están en desuso son eliminadas? 13. ¿Existe un responsable del control de dichas cuentas? 14. ¿Hay diferentes modalidades de accesos dependiendo del grado de acceso del empleado?(lectura, escritura, borrado, ejecución) 15. ¿El empleado solo puede acceder a los recursos en determinadas horas del día? 16. ¿El empleado solo puede acceder a determinados equipos informáticos? 17. ¿Se cambian las contraseñas que vienen por defecto en los equipos informáticos? 18. ¿Existen cuentas sin contraseña? 19. ¿Existe un número limitado de intentos a la hora de introducir la contraseña?

C1

SI

NO

N/A

Observaciones









Cuestionario Control de acceso a las instalaciones (Seguridad Física)

1. ¿Uso de cámaras de seguridad? 2. ¿Sistemas de sensores de movimiento? 3. ¿Las puertas están cerradas? 4. ¿Uso de sistemas de control de acceso a las salas (tarjetas, biometría, etc.)? 5. ¿Existencia de personal de seguridad? 6. ¿Existencia de un registro de entrada al edificio? 7. ¿Existencia de un registro de salida del edificio? 8. ¿Existencia de un registro de entrada de las salas del edificio? 9. ¿Existencia de un registro de salida de las salas del edificio? 10. ¿Las cámaras de seguridad están bien colocadas? 11. ¿Los sensores de movimiento están bien colocados? 12. ¿Existe un plan de mantenimiento de las cámaras de seguridad? 13. ¿Existe un plan de mantenimiento de los sensores de movimiento? 14. ¿Existe un plan de mantenimiento de los sistemas de control de acceso a las salas? 15. ¿Existencia de un registro para el edificio para invitados (personas que no trabajan en la entidad)? 16. ¿Son capaces de acceder personas no relacionadas con la entidad en el edificio? 17. ¿El personal de seguridad está bien capacitado? 18. ¿Existencia de cursos de reciclaje para el personal de seguridad? 19. ¿Tras finalizar la jornada laboral se cierran las puertas? 20. ¿El personal de la entidad respeta ese control?

C2 S I

N O

N/ A

Observacio nes









Cuestionario Contingencias contra picos de tensión ¿Se cuenta con instalación con tierra física para todos los equipos? ¿La instalación eléctrica se realizó específicamente para el área de cómputo? ¿Se cuenta con otra Instalación dentro el centro de cómputo, diferente de la que alimenta a los equipos de cómputo? ¿La acometida llega a un tablero de distribución? ¿El tablero de distribución esta en la sala, visible y accesible? ¿El tablero considera espacio para futuras ampliaciones de hasta de un 30 % (Considerando que se dispone de espacio físico para la instalación de más equipos)? ¿La Instalación es independiente para el area de cómputo? ¿La misma instalación con tierra física se ocupa en otras partes del edificio? ¿La iluminación está alimentada de la misma acometida que los equipos? ¿Las reactancias (balastros de las lámparas) están ubicadas dentro de la sala? ¿Los ventiladores y aire acondicionado están conectados en la misma instalación de los equipos a la planta de emergencia? ¿Los ventiladores y aire acondicionado están conectados en la misma instalación de los equipos a los no-brake? ¿Se cuenta con interruptores generales? ¿Se cuenta con interruptores de emergencia en serie al interruptor general? ¿Se cuenta con interruptores por secciones ó generales? ¿Se tienen los interruptores rotulados r otulados adecuadamente?

SI

NO

N/A

C4 Observaciones











Cuestionario Inventario sobre activos informáticos ¿Se cuenta con un inventario de todos los equipos que integran el centro de cómputo? ¿Con cuanta frecuencia se revisa el inventario? ¿Se posee de bitácoras de fallas detectadas en los equipos? Características de la bitácora (señale las opciones).

¿La bitácora es llenada por personal especializado? ¿Señala fecha de detección de la falla? ¿Señala fecha de corrección de la falla y revisión de que el equipo funcione correctamente? ¿Se poseen registros individuales de los equipos? ¿La bitácora hace referencia a hojas de servicio, en donde se detalla la falla, y las causas que la originaron, así como las refacciones r efacciones utilizadas? ¿Se lleva un control de los equipos en garantía, para que a la finalización de ésta, se integren a algún programa de mantenimiento? ¿Se cuenta con servicio de mantenimiento para todos los equipos? 

 

 

SI

NO

N/A Observaciones









Cuestionario Respaldo de la información

C3 SI

NO

N/A

Observaciones

1. ¿Existencias de Back‐ups? 2. ¿La información se guarda en los back‐ups de forma periódicas?

3. ¿Todas las copias de la información se guardan junta? 4. ¿Los Back‐ups están en una situación física segura (lejos de la

entidad) en caso de fuegos, inundaciones, etc.? 5. ¿Los back‐ups están protegidos ante robos (uso de salas de

seguridad, cajas fuertes)? 6. ¿Los Back‐ups tienen un plan de mantenimiento? 7. ¿Los back‐ups están protegidos ante ataques informáticos (hackers,

virus, crackers, etc)? 8. ¿Existen procedimientos para la reconstrucción de los archivos en caso de su destrucción? 9. ¿Están identificados los archivos con información i nformación clasificada? 10. ¿Dicha información clasificada tiene clave de acceso? 11. ¿Hay personal autorizado para firmar la salida de los archivos clasificados? 12. ¿Hay responsable en caso de fallo de los backups? (Quiros, 2010)









EJECUSION DE LA AUDITORIA Documento de desviaciones

DIA 07


MES 06

AÑO 2015


SITUACION Las contraseñas de los sistemas de información son frágiles en cuanto a su nivel de seguridad.

CAUSA Se buscó que están fuera sencillas para que fueran fáciles de recordar para los empleados.

SOLUCION Implementar contraseñas cortas pero con letras y números.

Falta control del acceso al área de sistemas.

No se tiene planteado una regla dentro de la organización u orden que

Implementar una política que regule en la medida posible los accesos a esta área.









Documento de Desviaciones Relevantes

DIA 07


MES 06

AÑO 2015


SITUACION

CAUSAS

SOLUCION

Exposición del servidor principal de la empresa.

No se diseñó un lugar adaptado específicamente para él.

Realizar una adaptación en las instalaciones que le den un segundo nivel de seguridad físico.

Su adquisición y puesta en funcionamiento

FECHA DE SOLUCION Julio 2015

RESPONSABLE Gerencia de la organización (para autorizar un presupuesto), y encargado del área de sistemas (para realizar la propuesta de











































DIACTAMEN

Xalapa Ver 8 de Junio de 2015 Ángel Hernández Díaz Gerente General PRESENTE En cumplimiento con la solicitud de auditoria a la empresa que tiene a su cargo me permito hacerle llegar el dictamen del trabajo realizado al área de sistemas,









Referencias Quiros, A. L. (2010). Uso de la Norma ISO/IEC 27004 para Auditoria Infromatica. Madrid España. Consultado: 14 /05/2015 Obtenido de: http://earchivo.uc3m.es/bitstream/handle/ archivo.uc3m.es/bitstream/handle/10016/10564/PFC_Agustin_Larrondo 10016/10564/PFC_Agustin_Larrondo_Quiros.pdf?seque _Quiros.pdf?sequence=1 nce=1 Computacionales . Mexico : Pearson Educacion. Razo, C. M. (2002). Auditoria en Sistemas Computacionales

Solarate, F. N. (13 de Febrero de 2013). Auditoria Informatica y de Sistemas. Consultado: 24 /05/2015 Obtenido de http://auditordesistemas.blogspot.c http://auditordesistemas.blogspot.com/2012/02/listas-deom/2012/02/listas-de-

Auditoria Alrededor de La Computadora

Recommend Documents