PRINCIPALES ÁREAS DE LA AUDITORÍA INFORMÁTICA. PARTE II CRISTIAN ROMERO CANALES AUDITORÍA INFORMÁTICA Instituto IACC 11.JUN.2018
Desarrollo
1. Usted debe evaluar las instalaciones de un centro de cómputo para determinar la mejor opción para una empresa de procesamiento de tarjetas de crédito. Los requisitos mínimos que se deben cumplir tienen relación con respaldo de energía y sistemas contra incendios. a. Para cada uno de los requerimientos del enunciado construya un checklist de
al menos 3 preguntas a utilizar en una auditoría de seguridad y otro para una auditoría de data center y recuperación de desastres.
Respuesta:
Lo primero que debemos asegurar es la seguridad física y no basta solo con una inspección visual por parte del administrador, para lo cual es ideal realizar una checklist para la seguridad se guridad física. f ísica. La seguridad de red r ed es lo segundo más importante en cuanto a mantener el sistema seguro. La seguridad de la red también es más difícil de fiscalizar , ya que requiere de los conocimientos más profundos de todos los componentes y servicios.
Checklist Auditoria de seguridad Seguridad física N° de orden
1 2 3
SI
NO
N/A
SI
NO
N/A
Observaciones
¿Los sistemas están en una superficie sólida y estable? ¿Existe algún sistema de seguridad para monitorear el área? ¿Cuenta con sistema contra incendios?
Seguridad de Red N° de orden
1 2 3
¿Solo personal autorizado tiene acceso a la red? ¿Están bloqueados los puertos USB de todos los equipos para no infectar la red? ¿Se cambian las contraseñas de los usuarios en forma periódica?
Observaciones
Checklist Datacenter Seguridad física N° de orden
1 2 3 4
SI
NO
N/A
SI
NO
N/A
Observaciones
¿Rack y Gabinetes están rotulados en su parte fr ontal y trasera? ¿La dependencia cuenta con un sistema contraincendios? ¿La dependencia cuenta con cámaras de seguridad y control de acceso en sus puertas? ¿Los respaldos se hacen semanalmente y son guardados en lugar seguro?
Recuperación de desastres N° de orden
1 2 3
Observaciones
¿Existe un plan de contingencia en caso de algún accidente (terremoto, incendio, inundación, etc..)? ¿Están establecidas las prioridades en caso de algún desastre? ¿Existe algún plan de recuperación y tiempo de e spera de las novedades?
¿Compare las semejanzas que presenta cada Checklist para los diferentes tipos de auditoría?
Como principal semejanza entre las checklist son la seguridad de la información, la seguridad física de los equipos, evitando la perdida de datos. En caso de alguna emergencia estar muy claro de lo que se tiene que hacer. b. La evaluación debe considerar un plan de contingencias y recuperación de desastres
usando un segundo sitio. Se le solicita entonces que construya un documento que detalle las acciones mínimas a realizar en caso de desastre en función de los requerimientos mencionados en el enunciado. Respuesta:
Ante algún desastre lo primero es que los administradores cuenten con un segundo servidor de archivos en otro lugar físico. Contar con plan de contingencia y que todos los administradores sepan lo que tiene que hacer. En caso de alguna emergencia, deberá tener presente el tiempo de poner en marcha parte de la red para seguir trabajando. El mantenimiento de los generadores y UPS de las sala de servidores.
2.
Se le ha solicitado conducir una auditoría de redes de una empresa de cosméticos que considera en su alcance solo los dispositivos perimetrales: En este caso, ¿la restricción de servicios del router perimetral puede considerarse como parte la auditoría? ¿Por qué? Fundamente su respuesta.
Respuesta:
El aspecto más importante que debemos considerar es la seguridad del Routers, será necesario conocer las reglas y nivel de seguridad de cómo estará configurado. La revisión revisió n de los equipos perimetrales podrá podr á considerarse consid erarse al momento de la auditoria, todo dependerá depen derá lo que se s e desea des ea obtener del proceso de la auditoria.
3.
-
Todos los puertos que no se están usando deben estar deshabilitados
-
Clave de acceso robusta
-
Cambiar la SSID
-
Limitar el número de direcciones
-
Filtrado de direcciones MAC
Usted se encuentra realizando una auditoría de seguridad en una empresa de comercio electrónico que requiere que sus servicios estén disponibles las 24 horas del día y todos los días de la semana. ¿Es válido v álido como objetivo de la auditoría determinar la efectividad del plan de continuidad de negocio? Fundamente su respuesta.
Respuesta:
La empresa a auditar entrega un servicio los 365 días del año y las 24 horas del día, será necesario auditar lo que a nuestro juicio no se pueda cumplir. Es un gran riesgo el trabajo los 365 días del año ya que nos encontraremos con fallas físicas o lógica. Hay que tomar todas la medidas de seguridad para el buen funcionamiento de la empresa y poner en marcha para poder evaluar el plan que tiene que tener la capacidad de funcionar 24/7.
Bibliografía Material entregado semana 8 IACC
Instrucciones para la sección de las citas bibliográficas: Escriba la bibliografía aquí en orden alfabético (empezando por el apellido del primer autor o, de no haber autor, por la primera palabra del título). Esta página ya está formateada con sangrías francesas. Incluya sólo las citas bibliográficas a las que haya hecho referencia en su trabajo y asegúrese de incluir todas las todas las citas bibliográficas a las que se haya referido en el mismo. Ejemplo de un periódico: Lee, H. W. (2005). Los factores que influyen en los expatriados. Journal of American Academy of Business, 6 (2), (2), 273-279. Consultado el 29 de enero de 2009, del banco de datos ProQuest. Ejemplo de un texto: McShane, S. L., & Von Glinow, M. (2004). Organizational behavior: Emerging realities for the workplace. New workplace. New York: The McGraw-Hill Companies.
NOTA : Li s te las las citas bibliogr áficas áficas en orden alfab alfabét ético ico del apel apellido lido del autor, autor, NO por el tipo de la publicación . L os ejemplos ejemplos previos previ os le ayudarán ayudarán a darle darle formato a cada cada tipo tipo de public ación ació n en forma adecuada. adecuada.
Por ejemplo:
Banco de datos EBSCOhost Banco de datos ProQuest EIU Viewswire InvestText Plus
B orre este recuadro recuadro de ins trucciones ante ntess de enviar su trabajo trabajo de investig ación final. final.