EJEMPLO DE AUDITORIA CASO 1 Caso prctico de auditoria informtica En el presente informe se detallan las recomendaciones que se pueden aplicar

a la mejora en la seguridad fsica de un centro de proceso de datos, as como tambin en los controles que se tengan implementados o la sugerencia a incorporar algunos de estos. Las recomendaciones se basan en punto por punto a excepcin de los puntos que durante los hallazgos tengan mayor puntaje. A continuacin detallamos las recomendaciones que podramos brindar pensando como auditor el centro de procesamiento de datos. Control de accesos: Autorizaciones Existe un nico responsable de implementar la poltica de autorizaciones de entrada en el centro de cmputo? si, el jefe de explotacin, pero el director puede acceder a la sala con los acompaantes sin previo aviso. Recomendaciones: El acceso al director se puede dar siempre y cuando mande una notificacin previa con o tiempo prudencial al jefe de explotacin y asignarle un supervisor. El acceso al centro de datos tiene que ser lo mayor restringido posible, por lo que para su seguridad el director debe notificar las visitas, en casos extremos se puede obviar y enva una nota despus de la visita. Adems de la tarjeta magntica de identificacin hay que pasar otra especial? No, solamente la primera Recomendaciones: La empresa puede crear anillos de seguridad utilizando accesos biomtricos, llaves u otros medios para una mejor seguridad del centro de datos. Para llegar al centro de datos deberan de pasar por varias estaciones, el guardia de seguridad, tarjeta magntica, acceso biomtrico, etc.

Se pregunta a las visitas si desean conocer el centro de cmputo? No, vale la primera autorizacin. Recomendaciones: Las visitas no deben estar autorizadas para entrar directamente a los centros de cmputo toda persona que entre al centro de cmputo tienen que estar autorizada Se prevn las visitas a los centros de cmputo con 24 horas al menos? No, basta que vayan acompaados con el jefe de explotacin o director. Recomendaciones Si las personas no estn autorizadas para ingresar al centro de cmputo, estas deben detener una autorizacin con anticipacin por parte de la gerencia Control de accesos: Controles automticos Cree usted que los controles automticos son adecuados? Si, aunque ha de reconocerse que a pie puede llegarse por la noche hasta el edificio principal. Recomendaciones: Crear un permetro de seguridad alrededor del edificio donde solo pueda acceder personal autorizado. Reforzar la seguridad al campus y al edificio. Quedan registradas todas las entradas y salidas del centro de cmputo? No, solamente las del personal ajeno a la operacin. se debe registrar todas las entradas y salidas de todo el personal que accede tanto internamente de la empresa as como personas externas toda persona que entre y salga del centro de cmputo tienen que registrarse (da, hora, y que operacin realizo), sin excepcin alguna del personal.

Tambin se puede imprimir el log de accesos por medio de las tarjetas magnticas podra existir la posibilidad de poner un circuito cerrado de cmaras que registren los puntos de acceso. Puede salirse del centro sin tarjeta magntica? S, porque existe otra puerta de emergencia que puede abrirse desde adentro. Recomendaciones: La puerta de emergencia est bien que exista pero tienen que brindarle una mayor seguridad. Los botones son adecuados cuando se cuente con un sistema de monitoreo permanente Control de accesos: Vigilancia Identificadas las visitas, se les acompaa hasta la persona que desean ver? No. Recomendaciones: Toda persona que entre debe de ser acompaada hasta la persona que desea ver y a la vez llevar un registro de las visitas Toda persona que no sea parte de la empresa debe de estar acompaado dentro del centro de datos, se debe contar con suficiente personal para realizar esta tarea. Conocen los vigilantes los terminales que deben quedar encendidos por la noche? No, sera muy complicado. Recomendaciones: Es necesario que el personal de vigilancia conozca un poco acerca de lo que se debe de hacer, equipo que no se debe apagar. El personal debe de poseer nmeros de telfono de las personas a las cuales llamar en caso de una emergencia en cualquiera de las terminales. Control de accesos: registros

Existe una adecuada poltica de registros? No, reconocemos que casi nunca, pero hasta ahora no ha habido necesidad. Recomendaciones: Se debe de contar con polticas de registros, no esperemos que sucedan los imprevistos para implementar polticas. Se ha registrado alguna vez alguna persona? Nunca. Recomendaciones: Un control adecuado y un registro detallado puede ser til para cualquier situacin que pueda darse en el futuro. Se abren todos los paquetes dirigidos a personas concretas y no a informtica? Casi nunca Recomendaciones: Al tener polticas establecidas se debera de crear una de ella donde nos permita dejar claro que todo paquete que llega va a ser revisado el personal de vigilancia para asegurarla seguridad del centro de datos. La parte de Registros Es la que ms debilidad presenta por lo que se sugiere se empiece a trabajaren un plan para el fortalecimiento de estos ya que la empresa podra atravesar por situaciones donde se vean afectadas sus operaciones por la falta o el mal empleo de estos. Tambin cabe mencionar que la Vigilancia Es parte esencial en la operacin, por lo cual ellos sin necesidad de tener un conocimiento pleno del campo informtico pueden suministrar ayuda importante al personal informtico, por lo cual es necesario que se les explique acerca de los procesos o procedimientos a hacer en caso de una emergencia o que una situacin este saliendo de los parmetros adecuados o en caso de ver una anomala por muy pequea que esta se

EJEMPLO DE AUDITORA CASO 2 Auditoria de hardware y software en estaciones de trabajo.

ndice. Alcance Objetivo Recursos Etapas de trabajo 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. Recopilacin de informacin bsica Identificacin de riesgos potenciales Objetivos de control Determinacin de los procedimientos de control Pruebas a realizar. Obtencin de los resultados. Conclusiones y Comentarios: Redaccin del borrador del informe Presentacin del borrador del informe, al responsable de microinformtica Redaccin del Informe Resumen y Conclusiones. Entrega del informe a los directivos de la empresa.

Alcance La auditora se realizar sobre los sistemas informticos en computadoras personales que estn conectados a la red interna de la empresa. Objetivo Tener un panorama actualizado de los sistemas de informacin en cuanto a la seguridad fsica, las polticas de utilizacin, transferencia de datos y seguridad de los activos.

Recursos El nmero de personas que integraran el equipo de auditoria ser de tres, con un tiempo mximo de ejecucin de 3 a 4 semanas. Etapas de trabajo 1. Recopilacin de informacin bsica

Una semana antes del comienzo de la auditoria se enva un cuestionario a los gerentes o responsables de las distintas reas de la empresa. El objetivo de este cuestionario es saber los equipos que usan y los procesos que realizan en ellos. Los gerentes se encargaran de distribuir este cuestionario a los distintos empleados con acceso a los computadores, para que tambin lo completen. De esta manera, se obtendr una visin ms global del sistema. Es importante tambin reconocer y entrevistarse con los responsables del rea de sistemas de la empresa para conocer con mayor profundidad el hardware y el software utilizado. En las entrevistas incluirn: Director / Gerente de Informtica Subgerentes de informtica Asistentes de informtica Tcnicos de soporte externo

2.

Identificacin de riesgos potenciales

Se evaluara la forma de adquisicin de nuevos equipos o aplicativos de software. Los procedimientos para adquirirlos deben estar regulados y aprobados en base a los estndares de la empresa y los requerimientos mnimos para ejecutar los programas base. Dentro de los riesgos posibles, tambin se contemplaran huecos de seguridad del propio software y la correcta configuracin y/o actualizacin de los equipos crticos como los cortafuegos. Los riesgos potenciales se pueden presentar de la ms diversa variedad de formas. 3. Objetivos de control

Se evaluaran la existencia y la aplicacin correcta de las polticas de seguridad, emergencia y disaster recovery de la empresa. Se har una revisin de los manuales de poltica de la empresa, que los procedimientos de los mismos se encuentren actualizados y que sean claros y que el personal los comprenda. Debe existir en la Empresa un programa de seguridad, para la evaluacin de los riesgos que puedan existir, respecto a la seguridad del mantenimiento de los equipos, programas y datos.

4.

Determinacin de los procedimientos de control

Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos definidos en el paso anterior. Objetivo N 1: Existencia de normativa de hardware. El hardware debe estar correctamente identificado y documentado. Se debe contar con todas las rdenes de compra y facturas con el fin de contar con el respaldo de las garantas ofrecidas por los fabricantes. El acceso a los componentes del hardware est restringido a la directo a las personas que lo utilizan. Se debe contar con un plan de mantenimiento y registro de fechas, problemas, soluciones y prximo mantenimiento propuesto.

Objetivo N 2: Poltica de acceso a equipos. Cada usuario deber contar con su nombre de usuario y contrasea para acceder a los equipos. Las claves debern ser seguras (mnimo 8 caracteres, alfanumricos y alternando maysculas y minsculas). Los usuarios se bloquearan despus de 5 minutos sin actividad. Los nuevos usuarios debern ser autorizados mediante contratos de confidencialidad y deben mantenerse luego de finalizada la relacin laboral. Uso restringido de medios removibles (USB, CD-ROM, discos externos etc). 5. Pruebas a realizar.

Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de los objetivos establecidos. Entre ellas podemos mencionar las siguientes tcnicas: Tomar 10 mquinas al azar y evaluar la dificultad de acceso a las mismas. Intentar sacar datos con un dispositivo externo. Facilidad para desarmar una pc. Facilidad de accesos a informacin de confidencialidad (usuarios y claves). Verificacin de contratos. Comprobar que luego de 5 minutos de inactividad los usuarios se des loguen. 6. Obtencin de los resultados.

En esta etapa se obtendrn los resultados que surjan de la aplicacin de los procedimientos de control y las pruebas realizadas a fin de poder determinar si se cumple o no con los objetivos de control antes definidos. Los datos obtenidos se registrarn en planillas realizadas a medida para cada procedimiento a fin de tener catalogado perfectamente los resultados con el objetivo de facilitar la interpretacin de los mismos y evitar interpretaciones errneas. 7. Conclusiones y Comentarios: En este paso se detallara el resumen de toda la informacin obtenida, as como lo que se deriva de esa informacin, sean fallas de seguridad, organizacin o estructura empresarial. Se expondrn las fallas encontradas, en la seguridad

fsica sean en temas de resguardo de informacin (Casos de incendio, robo), manejo y obtencin de copias de seguridad, en las normativas de seguridad como por ejemplo normativas de uso de passwords, formularios de adquisicin de equipos, y estudios previos a las adquisiciones para comprobar el beneficio que los mismos aportaran. Finalmente se vern los temas de organizacin empresarial, como son partes responsables de seguridad, mantenimiento y supervisin de las otras reas. 8. Redaccin del borrador del informe Se detalla de manera concisa y clara un informe de todos los problemas encontrados, anotando los datos tcnicos de cada una de las maquinas auditadas: Marca Modelo Nmero de Serie Problema encontrado Solucin recomendada 9. Presentacin del borrador del informe, al responsable de microinformtica Se le presentara el informe borrador a un responsable del rea informtica, como sea claro en el punto anterior, con el mximo de detalle posible de todos los problemas y soluciones posibles recomendadas, este informe se pasara por escrito en original y copia firmando un documento de conformidad del mismo para adquirir un compromiso fuerte en la solucin de los mismos, de esta forma evitaremos posibles confusiones futuras. 10. Redaccin del Informe Resumen y Conclusiones. Es en este paso es donde se muestran los verdaderos resultados a los responsables de la empresa, el informe presentado dar a conocer todos los puntos evaluados durante la auditoria, resultados, conclusiones, puntaje y posibles soluciones.

La conclusin tendr como temas los resultados, errores, puntos crticos y observaciones de los auditores. Mientras que en el resumen se vern las posibles soluciones de esos puntos crticos y fallas, as como recomendaciones para el

buen uso y tambin recomendaciones sobre la forma incorrecta de realizar algunos procedimientos. 11. Entrega del informe a los directivos de la empresa.

Esta es la ltima parte de la auditoria y en una reunin se formaliza la entrega del informe final con los resultados obtenidos en la auditoria. Tambin se fijan los parmetros si as se requieren para realizar el seguimientos de los puntos en los que el resultado no haya sido satisfactorio o simplemente se quiera verificar que los que los objetivos de control se sigan cumpliendo a lo largo del tiempo. Bibliografa. Ejercicio prctico de la Universidad Pontificia de Salamanca. Se examin el trabajo realizado en dicha entidad y siguiendo las pautas aplicadas en el informe, se fue elaborando el trabajo.

PLAN PARA AUDITORA INFORMTICA 1. Recopilacin de informacin acerca de la empresa y especficamente sobre el software y el software que utiliza la misma empresa. 2. Definicin de recursos a utilizar (humanos, financieros y tcnicos). 3. Elaboracin del plan y programas de trabajo.

del cronograma de actividades. Creacin de herramientas para la auditora informtica. informacin, manejo de software, equipamiento, infraestructura de red)

cin de formatos de reportes de resultados. 4. Iniciacin de la auditoria. 5. Anlisis /sntesis de los resultados obtenidos. 6. Verificacin de la informacin. 7. Evaluacin de cumplimiento de objetivos. 8. Redaccin de informe final. 9. Entrega de resultados de la auditoria

CUADRO COMPARATIVO Caso 1 Caso 2

El reporte de auditoria arroja como Se elabor un plan de trabajo donde resultado fallas en la seguridad al especifica las personas que realizarn acceso del centro de cmputo, la auditoria y el tiempo estimado. Para cada una de las fallas en el acceso al centro de cmputo se dan recomendaciones pertinentes que la empresa puede llevar a cabo Se especifica quienes sern las personas a quienes se le solicitar la informacin necesaria de la empresa a evaluar. En el plan de trabajo se especifica cmo ser el proceso y los pasos de la evaluacin, que sern evaluados y de acuerdo a las normas que la empresa ha establecido. El reporte se elaborar en borrador para posteriormente redactar el informe final q ser entregado.

REPORTE DE AUDITORIA Se deber entregar un documento o que incluya la metodologa de la auditoria, especificando cada una de las etapas (preliminar, justificacin, formalizacin, adecuacin, desarrollo e implementacin) y el informe final. Informe final La presentacin de las conclusiones de la auditoria deber hacerse de la siguiente forma: 1. Una breve descripcin de la situacin acta en la cual se reflejen los puntos ms importantes (esta presentacin es para el nivel ms alto de la organizacin). 2. Una descripcin detallada quien comprende: Los problemas detectados Posibles causas, problemas, y fallas que originaron la situacin presentada Repercusiones que pueden tener problema detectado Alternativas de solucin Comentarios y observaciones del rea de informtica y delos usuarios sobre las soluciones propuestas Al proponer una alternativa de solucin, se debe incluir cuales son las repercusiones, ventajas y desventajas y tiempo estimado para efectuar el cambio. Se debe hacer hincapi en cmo se corregir el problema o se mejorara una determinada situacin, se obtendr los beneficios, en cuanto tiempo y cules son los puntos dbiles. Se proponen los formatos anexos

S.E.P.

D.G.E.S.T.

S.N.E.S.T.

INSTITUTO TECNOLGICO
De Tuxtepec
MATERIA: AUDITORIA INFORMTICA DOCENTE: LIC. ROSALBA REYES LPEZ NOMBRE DEL PROYECTO: CASO PRCTICO DE AUDITORIA

INTEGRANTES DEL EQUIPO: CRUZ HERMIDA LIZBETH DEL ROSARIO MENDOZA ROLDAN FRANCISCO TROLLE PEREZ DEYARELI VILLATORO FLORES IMELDA MARA ESPECIALIDAD. LICENCIATURA EN INFROMATICA.

San Juan Bautista Tuxtepec, Oax. A 22 de Octubre de 2012