AUDITORIA INFORMATICA 1. ORIG ORIGEN EN DE DE LA AUDI AUDITO TORI RIA: A: La presente auditoria se da en resultado a la necesidad de de verificación de la disponibilidad y seguridad del sitio web de la empresa WeellFire, así como el evaluar sus posibles riesgos. 1.2
OBJETIVOS Y ALCANCE
1.2. 1.2.1 1
OBJE OBJETI TIVO VO GE GENE NERA RAL L
Revisar y Evaluar los controles, sistemas, procedimientos de informática de los e!uipos de cómputo, su utili"ación, eficiencia y seguridad, de la organi"ación !ue participan en el funcionamiento del sitio web de la compa#ía. 1.2. 1.2.2 2 OBJET OBJETIV IVOS OS ESP ESPEC ECIFI IFICO COS S •
Evaluar el dise#o y prueba de los sistemas del área de $nformática
•
%eterminar la veracidad de la información del área de $nformática
•
Evaluar los procedimientos de control de operación, anali"ar su estandari"ación y evaluar el cumplimiento de los mismos.
•
Evaluar Evaluar la forma como se administra administran n los dispositivos dispositivos de almacenamien almacenamiento to básico del área de $nformática con referencia al sitio web.
•
Evaluar el control !ue se tiene sobre el mantenimiento y las fallas del servidor web.
•
&erificar las disposiciones y reglamentos !ue coadyuven al mantenimiento del orden dentro del departamento de cómputo.
•
&alidar la seguridad del sitio web
•
&alidar la disponibilidad del del sitio web
1.3
ANTECEDENTES
La empresa WeellFire pensando en la necesidad de sus clientes y con aras de me'orar sus servicios (ace la implementación de un sitio web desde donde brindara servicios enfocados a nivel interno en cuanto a la administración del sitio y una ventana promocional, y a nivel e)terno enfocado a los servicios del cliente !ue van enfocados a los temarios y temas del curso. Este sitio por ser nuevo no cuenta con auditorias previas, pero se (ace necesario la misma para identificar los posibles riesgos y falencias.
1.4
RELACION DE FUNCIONARIOS A CARGO DE LA AUDITORIA
Nombr! "
C'r(o
A#$$%&o! Jor( Ar&%$' A/&%)or L%&r Ro+'$& A/&%)or P'$'%o!
Pr%o&o & G!)%*+ I+%%o F%+ 0111201 0111201
Aom#'6'+)
1.
CRONOGRAMA DE TRABAJO
111201 111201
T$,-o+o 31425124 301242
1.
DOCUMENTOS A SOLICITAR
*olíticas, estándares, normas y procedimientos. *lan de sistemas. *lanes de seguridad y continuidad +ontratos, póli"as de seguros. rganigrama y manual de funciones. -anuales de sistemas. Registros Entrevistas rc(ivos Re!uerimientos de /suarios Registros de +opias de 0eguridad %ocumentación 12cnica del 0itio WE3 %ocumentación 12cnica de $nfraestructura Registro de %emanda de /suarios al 0itio *olíticas de asignación de +laves y usuarios al sitio 3itácora de 0ervicio del sitio
PLAN DE AUDITORIA 2. 2.1.METODOLOGIA La metodología de investigacin a !tili"a# en el $#o%ecto se $#esenta a contin!acin& Pa#a la eval!acin del '#ea de In(o#m)tica se lleva#)n a ca*o las sig!ientes actividades& +olicit!d de los est)nda#es !tili"ados % $#og#ama de t#a*a,o A$licacin del c!estiona#io al $e#sonal An)lisis % eval!acin del a in(o#macin Ela*o#acin del in(o#me Pa#a la eval!acin de los sistemas tanto en o$e#acin como en desa##ollo se lleva#)n a ca*o las sig!ientes actividades& •
•
•
•
•
•
•
•
+olicit!d del an)lisis % dise-o del os sistemas en desa##ollo % en o$e#acin +olicit!d de la doc!mentacin de los sistemas en o$e#acin man!ales t/cnicos0 de o$e#acin del !s!a#io0 dise-o de a#civos % $#og#amas Reco$ilacin % an)lisis de los $#ocedimientos administ#ativos de cada sistema 3!,o de in(o#macin0 (o#matos0 #e$o#tes % cons!ltas An)lisis de llaves0 #ed!ndancia0 cont#ol0 seg!#idad0 con4dencial % #es$aldos An)lisis del avance de los $#o%ectos en desa##ollo0 $#io#idades % $e#sonal asignado Ent#evista con los !s!a#ios de los sistemas Eval!acin di#ecta de la in(o#macin o*tenida cont#a las necesidades % #e5!e#imientos del !s!a#io An)lisis o*,etivo de la est#!ct!#acin % 3!,o de los $#og#amas
•
An)lisis % eval!acin de la in(o#macin #eco$ilada
•
Ela*o#acin del in(o#me
Pa#a la eval!acin de los e5!i$os se lleva#)n a ca*o las sig!ientes actividades& •
•
•
•
•
•
•
+olicit!d de los est!dios de via*ilidad % ca#acte#ísticas de los e5!i$os act!ales0 $#o%ectos so*#e am$liacin de e5!i$o0 s! act!ali"acin +olicit!d de cont#atos de com$#a % mantenimientos de e5!i$o % sistemas +olicit!d de cont#atos % convenios de #es$aldo +olicit!d de cont#atos de +eg!#os Ela*o#acin de !n c!estiona#io so*#e la !tili"acin de e5!i$os0 memo#ia0 a#civos0 !nidades de ent#ada6salida0 e5!i$os $e#i(/#icos % s! seg!#idad 7isita t/cnica de com$#o*acin de seg!#idad (ísica % lgica de la instalaciones de la Di#eccin de In(o#m)tica Eval!acin t/cnica del sistema elect#nico % am*iental de los e5!i$os % del local !tili"ado Eval!acin de la in(o#macin #eco$ilada0 o*tencin de g#)4cas0 $o#centa,e de !tili"acin de los e5!i$os % s! ,!sti4cacin Ela*o#acin % $#esentacin del in(o#me 4nal concl!siones % #ecomendaciones
2.2. 8U+TI9I:A:ION ; A!mento conside#a*le e in,!sti4cado del $#es!$!esto del PAD De$a#tamento de P#ocesamiento de Datos ; Desconocimiento en el nivel di#ectivo de la sit!acin in(o#m)tica de la em$#esa ; 9alta total o $a#cial de seg!#idades lgicas % 4sicas 5!e ga#anticen la integ#idad del $e#sonal0 e5!i$os e in(o#macin. ; Desc!*#imiento de (#a!des e(ect!ados con el com$!tado# ; 9alta de !na $lani4cacin in(o#m)tica
; O#gani"acin 5!e no (!nciona co##ectamente0 (alta de $olíticas0 o*,etivos0 no#mas0 metodología0 asignacin de ta#eas % adec!ada administ#acin del Rec!#so
•
No coinciden los o*,etivos del )#ea de In(o#m)tica % de la $#o$ia Instit!cin. Los est)nda#es de $#od!ctividad se desvían sensi*lemente de los $#omedios conseg!idos a*it!almente. P!ede oc!##i# con alg>n cam*io masivo de $e#sonal0 o en !na #eest#!ct!#acin (allida de alg!na )#ea o en la modi4cacin de alg!na No#ma im$o#tante
2.=.2. +íntomas de mala imagen e insatis(accin de los !s!a#ios& •
•
•
No se atienden las $eticiones de cam*ios de los !s!a#ios. E,em$los& cam*ios de so(t?a#e en los te#minales de !s!a#io0 #e(#escamiento de $aneles0 va#iacin de los 4ce#os 5!e de*en $one#se dia#iamente a s! dis$osicin0 etc. No se #e$a#an las ave#ías de a#d?a#e ni se #es!elven incidencias en $la"os #a"ona*les. El !s!a#io $e#ci*e 5!e est) a*andonado % desatendido $e#manentemente. No se c!m$len en todos los casos los $la"os de ent#ega de #es!ltados $e#idicos. Pe5!e-as desviaciones $!eden ca!sa# im$o#tantes desa,!stes en la actividad del !s!a#io0 en es$ecial en los #es!ltados de A$licaciones c#íticas % sensi*les.
2.=.=. +íntomas de de*ilidades econmico@4nancie#as& •
•
Inc#emento desmes!#ado de costes. Necesidad de ,!sti4cacin de Inve#siones In(o#m)ticas la em$#esa no est) a*sol!tamente convencida de tal necesidad % decide cont#asta# o$iniones.
•
•
Desviaciones P#es!$!esta#ias signi4cativas. :ostes % $la"os de n!evos $#o%ectos de*en a!dita#se sim!lt)neamente a Desa##ollo de P#o%ectos % al #gano 5!e #eali" la $eticin.
2.=.. +íntomas de Inseg!#idad& Eval!acin de nivel de #iesgos •
+eg!#idad Lgica
•
+eg!#idad 9ísica
•
:on4dencialidad
•
Los datos son $#o$iedad inicialmente de la o#gani"acin 5!e los gene#a. Los datos de $e#sonal son es$ecialmente con4denciales
AUDITORIA 9I+I:A 1. Alcance de la A!dito#ia ; O#gani"acin % c!ali4cacin del $e#sonal de +eg!#idad.
; Remodela# el am*iente de t#a*a,o. ; Planes % $#ocedimientos. ; +istemas t/cnicos de +eg!#idad % P#oteccin. 2. O*,etivos Revisin de las $olíticas % No#mas so*#e seg!#idad 9ísica. 7e#i4ca# la seg!#idad de $e#sonal0 datos0 a#d?a#e0 so(t?a#e e instalaciones • •
•
+eg!#idad0 !tilidad0 con4an"a0 $#ivacidad % dis$oni*ilidad en el am*iente in(o#m)tico