Documente Academic
Documente Profesional
Documente Cultură
Parte II
Auditoria de Informática
Instituto IACC
16 de abril de 2018
Instrucciones y Desarrollo Control
Usted debe evaluar las instalaciones de un centro de cómputo para determinar la mejor opción para una
empresa de procesamiento de tarjetas de crédito. Los requisitos mínimos que se deben cumplir tienen
a) Para cada uno de los requerimientos del enunciado construya un checklist de al menos 3
preguntas a utilizar en una auditoría de seguridad y otro para una auditoría de data center
y recuperación de desastres. Compare las semejanzas que presenta cada checklist para los
Auditoria de seguridad
datos. Junto con esto, busca resguardar que esta no sea accesada y/o manipulada de forma
indebida.
¿Se cuenta con un sistema de control de acceso a la sala de servidores, donde se almacena
El acceso a la base de datos, se realiza a través del sistema corporativo. ¿Que niveles de
¿Se cuentan con mantenciones preventivas y correctivas al sistema de UPS, que protege
¿Se realizan pruebas al sistema de electricidad, para confirmar que la UPS, funcione de
¿Se cuenta con un sistema de monitoreo de los sensores de humo de la empresa?, de tal
contingencia con el que puede contar la empresa ante una falla o como indica su nombre, un
desastre.
¿Se cuenta con un grupo electrógeno, que permita restituir el servicio de electricidad,
¿Se cuenta con un segundo site de servidores, ante un incendio que pueda afectar el
funcionamiento de estos?
“El riesgo de incendio es alto debido a la cantidad de sistemas eléctricos en
funcionamiento y la cantidad de calor disipada por estos”, ¿Se cuenta con un sistema de
monitoreo, que permita detectar alzas de calor en el data center?
¿Se cuenta con un plan de apagado de incendios, especialmente diseñado para el Data
Center, considerando el equipamiento que encontramos dentro de esta sala?
Comparación Preguntas
un segundo sitio. Se le solicita entonces que construya un documento que detalle las acciones
enunciado.
Ante la situación de un desastre y que se pueda ver afecto el data center donde se encuentran
nuestros servidores, es recomendable contar con un segundo sitio que contenga una réplica de los
servidores y que obviamente se encuentre físicamente en lugar distinto al principal. Para ello es
posible contar con servidores virtuales, los cuales mantengan una conexión activo/activo, es decir,
estos se encuentren en estado de escucha o copia, de tal forma, de contar con la información al
Este segundo site, debe contar con un enlace de comunicación dedicado entre el site principal y
el de respaldo, además de contar un enlace que nos permita conectarnos como empresa, ante la
falla del site principal y un tercer enlace con un proveedor distinto, ante la posibilidad de que la
Este segundo site requiere al igual que el primero de respaldos programados, es fácil, pensar que
servidor es mucho más rápido cuando contamos con los respaldos a nivel de máquina y datos.
estado de conexión, uso de disco duro, estados de copias de información, bases de datos,
etc.
Monitorear los enlaces contratados, tanto el que permite la copia activa de datos entre el
site principal y el secundario, como el enlace que nos permita conectarnos y el enlace
Monitorear y probar los respaldos realizados a los servidores del segundo site.
Monitorear el estado de la UPS del segundo site, de tal forma, de realizar las
Mantener un control sobre los accesos al segundo site, tanto a nivel físico como las
de los servidores.
Replicar todas las reglas que puedan estar implementadas en el site principal, ya sea, en
telefónica, etc.
Documentar, ningún plan o proceso debe quedar sin la documentación adecuada, de tal
forma de que los distintos funcionarios involucrados cuenten con toda la información
su alcance solo los dispositivos perimetrales: En este caso, ¿la restricción de servicios del router
perimetral puede considerarse como parte la auditoría? ¿Por qué? Fundamente su respuesta.
Al realizar una auditoría de redes, podríamos decir que esta puede ser interna o externa, interna hablamos
de la configuración de los segmentos o vlands de red, la topología utilizada, protocolos establecidos, etc.
Una auditoría externa, considera el firewall, reglas y/o configuraciones tanto de este como del router o
switch principal, por lo tanto, la revisión de los equipos perimetrales si puede considerarse al momento de
realizar la auditoria, esto dependerá de que desea obtener del proceso de auditoría, la empresa en cuestión.
Mas allá que los equipos perimetrales, pueden ser administrados por el proveedor de internet, siempre es
necesario conocer las reglas y el nivel de seguridad que estos tienen configurados, y evitar posibles
accesos no deseados por reglas que no han sido implementadas por el proveedor, simplemente porque el
cliente las desconoce y por ende no solicita su creación, también revisar y evaluar si los equipos
perimetrales que fueron instalados por el proveedor cumple con los requisitos necesarios para un
funcionamiento optimo de la empresa, ya que, este podría verse colapsado por las conexiones generando
lentitud en la red del cliente, el cual podría pensar que el problema de lentitud son los pc´s o el cableado,
por ejemplo.
No debemos olvidar que el objetivo de revisar la seguridad de la red interna, es evitar recibir ataques de
hackers o de personas externas que deseen conectarse de forma indebida a la red interna de la empresa.
Usted se encuentra realizando una auditoría de seguridad en una empresa de comercio electrónico
que requiere que sus servicios estén disponibles las 24 horas del día y todos los días de la semana.
¿Es válido como objetivo de la auditoría determinar la efectividad del plan de continuidad de
Absolutamente, la empresa que estamos auditando necesita entregar un servicio los 365 días del año, las
24 horas del día, por lo tanto, es necesario auditar los distintos puntos que pueden provocar que esto no se
cumpla. Si bien no existe el sistema infalible y siempre nos encontramos ante el riesgo de una falla física
o lógica, es en este punto donde el plan de continuidad de negocio toma gran relevancia, ya que, este debe
haber sido pensado bajo la lógica "Siempre desear lo mejor y planear para lo peor", ya que, los factores
Para esto, es necesario revisar los puntos que considera el plan de continuidad de negocio, desde los
procedimientos, instalaciones habilitadas, procesos de prevención ante desastres y/o fallas, etc.
Bibliografía
http://online.iacc.cl/mod/resource/view.php?id=3239394
Wikipedia
https://es.wikipedia.org/wiki/Plan_de_recuperaci%C3%B3n_ante_desastres
Auditoria de Redes
https://www.welivesecurity.com/la-es/2015/04/20/auditorias-de-redes/
Wagner
http://www.wagner-es.com/productos/brandloeschung200/