Control Semana 8: Principales áreas de la auditoría informática.

Parte II

Ruth Caro Raes

Auditoria de Informática

Instituto IACC

16 de abril de 2018
 Instrucciones y Desarrollo Control

Usted debe evaluar las instalaciones de un centro de cómputo para determinar la mejor opción para una

empresa de procesamiento de tarjetas de crédito. Los requisitos mínimos que se deben cumplir tienen

relación con respaldo de energía y sistemas contra incendios.

a) Para cada uno de los requerimientos del enunciado construya un checklist de al menos 3

preguntas a utilizar en una auditoría de seguridad y otro para una auditoría de data center

y recuperación de desastres. Compare las semejanzas que presenta cada checklist para los

diferentes tipos de auditoría.

Auditoria de seguridad

La auditoria de seguridad se encuentra orientada a la revisión y/o evaluación de la seguridad

lógica de la información, buscando minimizar los riesgos de pérdida o daño de información o

datos. Junto con esto, busca resguardar que esta no sea accesada y/o manipulada de forma

indebida.

 ¿Se cuenta con un sistema de control de acceso a la sala de servidores, donde se almacena

la información del proceso de tarjetas de créditos?, de ser así, especifique el

funcionamiento de este sistema de control y si su registro es manual o automático.

 El acceso a la base de datos, se realiza a través del sistema corporativo. ¿Que niveles de

seguridad cuenta la clave de acceso a este sistema (mayúsculas, minúsculas, caracteres,

bloqueo por intectos o inactividad, etc.)?

 ¿Se cuentan con mantenciones preventivas y correctivas al sistema de UPS, que protege

la conexión de los equipos de comunicaciones de la empresa?

 ¿Se realizan pruebas al sistema de electricidad, para confirmar que la UPS, funcione de

forma optima ante una falla?

 ¿Se cuenta con un sistema de monitoreo de los sensores de humo de la empresa?, de tal

forma de conocer si estos se encuentran activos o con fallas.

Auditoria de data center y recuperación de desastres

Esta auditoría se encuentra orientada a la seguridad a nivel de data center y al plan de

contingencia con el que puede contar la empresa ante una falla o como indica su nombre, un

desastre.

 ¿Se cuenta con un grupo electrógeno, que permita restituir el servicio de electricidad,

ante una falla o problema del proveedor del servicio?

 ¿Se cuenta con un segundo site de servidores, ante un incendio que pueda afectar el
funcionamiento de estos?
 “El riesgo de incendio es alto debido a la cantidad de sistemas eléctricos en
funcionamiento y la cantidad de calor disipada por estos”, ¿Se cuenta con un sistema de
monitoreo, que permita detectar alzas de calor en el data center?
 ¿Se cuenta con un plan de apagado de incendios, especialmente diseñado para el Data
Center, considerando el equipamiento que encontramos dentro de esta sala?

Comparación Preguntas

Al realizar las preguntas de una auditoria orientándonos al sistema de electricidad y de incendios,

nos damos cuenta que para ambas auditorias, se busca evitar la pérdida de datos, ya que, estos son
el gran valor de la empresa y las preguntas se orientan hacia contar con servicios que permitan
detectar errores y/o problemas antes que se conviertan en fallas o un desastre, que nos signifique
dedicar tiempo y recursos a recuperar y restaurar el servicio afectado.
b) La evaluación debe considerar un plan de contingencias y recuperación de desastres usando

un segundo sitio. Se le solicita entonces que construya un documento que detalle las acciones

mínimas a realizar en caso de desastre en función de los requerimientos mencionados en el

enunciado.

Ante la situación de un desastre y que se pueda ver afecto el data center donde se encuentran

nuestros servidores, es recomendable contar con un segundo sitio que contenga una réplica de los

servidores y que obviamente se encuentre físicamente en lugar distinto al principal. Para ello es

posible contar con servidores virtuales, los cuales mantengan una conexión activo/activo, es decir,

estos se encuentren en estado de escucha o copia, de tal forma, de contar con la información al

minuto entre el servidor principal y el de respaldo.

Este segundo site, debe contar con un enlace de comunicación dedicado entre el site principal y

el de respaldo, además de contar un enlace que nos permita conectarnos como empresa, ante la

falla del site principal y un tercer enlace con un proveedor distinto, ante la posibilidad de que la

falla del proveedor de enlace.

Este segundo site requiere al igual que el primero de respaldos programados, es fácil, pensar que

esto no es necesario si estamos respaldando el principal, sin embargo, la recuperación de un

servidor es mucho más rápido cuando contamos con los respaldos a nivel de máquina y datos.

Para que este site, cumpla su función en el caso de un desastre es necesario:

 Mantener un monitoreo sobre los servidores ubicados en el segundo site, revisando su

estado de conexión, uso de disco duro, estados de copias de información, bases de datos,

etc.

 Monitorear los enlaces contratados, tanto el que permite la copia activa de datos entre el

site principal y el secundario, como el enlace que nos permita conectarnos y el enlace

contratado con un proveedor distinto.

 Monitorear y probar los respaldos realizados a los servidores del segundo site.
 Monitorear el estado de la UPS del segundo site, de tal forma, de realizar las

mantenciones en sus fechas y realizar pruebas de funcionamiento de esta.

 Mantener un control sobre los accesos al segundo site, tanto a nivel físico como las

conexiones a los servidores.

 Mantener un monitoreo sobre la temperatura del segundo site, ademas de la temperatura

de los servidores.

 Revisar las configuraciones de los equipos de comunicaciones, de tal forma de no correr

riesgos de accesos no autorizados.

 Replicar todas las reglas que puedan estar implementadas en el site principal, ya sea, en

el firewall, vlands creadas en los equipos de comunicaciones, reglas en la planta

telefónica, etc.

 Documentar, ningún plan o proceso debe quedar sin la documentación adecuada, de tal

forma de que los distintos funcionarios involucrados cuenten con toda la información

necesaria, ya sea, para monitorear o revisar el funcionamiento de los site. Esta

documentación debe contar con checklist de revisión, mapas de comunicaciones,

informes de monitoreo, etc.

Se le ha solicitado conducir una auditoría de redes de una empresa de cosméticos que considera en

su alcance solo los dispositivos perimetrales: En este caso, ¿la restricción de servicios del router

perimetral puede considerarse como parte la auditoría? ¿Por qué? Fundamente su respuesta.

Al realizar una auditoría de redes, podríamos decir que esta puede ser interna o externa, interna hablamos

de la configuración de los segmentos o vlands de red, la topología utilizada, protocolos establecidos, etc.

Una auditoría externa, considera el firewall, reglas y/o configuraciones tanto de este como del router o

switch principal, por lo tanto, la revisión de los equipos perimetrales si puede considerarse al momento de

realizar la auditoria, esto dependerá de que desea obtener del proceso de auditoría, la empresa en cuestión.

Mas allá que los equipos perimetrales, pueden ser administrados por el proveedor de internet, siempre es

necesario conocer las reglas y el nivel de seguridad que estos tienen configurados, y evitar posibles

accesos no deseados por reglas que no han sido implementadas por el proveedor, simplemente porque el

cliente las desconoce y por ende no solicita su creación, también revisar y evaluar si los equipos

perimetrales que fueron instalados por el proveedor cumple con los requisitos necesarios para un

funcionamiento optimo de la empresa, ya que, este podría verse colapsado por las conexiones generando

lentitud en la red del cliente, el cual podría pensar que el problema de lentitud son los pc´s o el cableado,

por ejemplo.

No debemos olvidar que el objetivo de revisar la seguridad de la red interna, es evitar recibir ataques de

hackers o de personas externas que deseen conectarse de forma indebida a la red interna de la empresa.
Usted se encuentra realizando una auditoría de seguridad en una empresa de comercio electrónico

que requiere que sus servicios estén disponibles las 24 horas del día y todos los días de la semana.

¿Es válido como objetivo de la auditoría determinar la efectividad del plan de continuidad de

negocio? Fundamente su respuesta.

Absolutamente, la empresa que estamos auditando necesita entregar un servicio los 365 días del año, las

24 horas del día, por lo tanto, es necesario auditar los distintos puntos que pueden provocar que esto no se

cumpla. Si bien no existe el sistema infalible y siempre nos encontramos ante el riesgo de una falla física

o lógica, es en este punto donde el plan de continuidad de negocio toma gran relevancia, ya que, este debe

haber sido pensado bajo la lógica "Siempre desear lo mejor y planear para lo peor", ya que, los factores

que pueden afectar un negocio son diversos.

Para esto, es necesario revisar los puntos que considera el plan de continuidad de negocio, desde los

procedimientos, instalaciones habilitadas, procesos de prevención ante desastres y/o fallas, etc.
 Bibliografía

Contenido Semana 8 IACC

http://online.iacc.cl/mod/resource/view.php?id=3239394

Wikipedia

https://es.wikipedia.org/wiki/Plan_de_recuperaci%C3%B3n_ante_desastres

Auditoria de Redes

https://www.welivesecurity.com/la-es/2015/04/20/auditorias-de-redes/

Wagner

http://www.wagner-es.com/productos/brandloeschung200/