Ejemplo de como elaborar

una auditora de Sistemas

Alcance
La auditoria se realizar sobre los sistemas
informticos en computadoras personales que estn
conectados a la red interna de la empresa.
Objetivo
Tener un panorama actualizado de los sistemas de
informacin en cuanto a la seguridad fsica, las
polticas de utilizacin, transferencia de datosy
seguridad de los activos.
Recursos
El numero de personas que integraran el equipo de
auditoria ser de tres, con un tiempo mximo de
ejecucin de 3 a 4 semanas.

Etapas de trabajo
1. Recopilacin de informacin bsica
Una semana antes del comienzo de la auditoria se
enva un cuestionario a los gerentes o responsables
de las distintas reas de la empresa. El objetivo de
este cuestionario es saberlos equipos que usan y los
procesosque realizan en ellos. Los gerentes se
encargaran de distribuir este cuestionario a los
distintos empleados con acceso a los computadores,
para que tambin lo completen. De esta manera, se
obtendr una visin mas global del sistema. E s
importante tambin reconocer y entrevistarse con los
responsables del rea de sistemas de la empresa para
conocer con mayor profundidad el hardware y el
software utilizado.

2. Identificacin de riesgos potenciales

Se evaluara la forma de adquisicin de
nuevos equipos o aplicativos de software.
Losprocedimientos para adquirirlos deben
estar regulados y aprobados en base a los
estndares
de
la
empresa
y
los
requerimientos mnimos para ejecutar los
programasbase. Dentro de los riesgos
posibles,
tambin
se
contemplaran
agujeros de seguridad del propio software
y la correcta configuracin y/o actualizacin
de los equipos crticos como el corta
fuegos.

Agujero de Seguridad

Imaginar por un momento que el antivirus es el guardia de un banco: l

decide qu programas pueden pasar y cules deben quedarse fuera. Si el
guardia es eficaz y el edificio est bien diseado, no habr forma alguna
de quealgo se cuele sin permiso.
Ahora bien, si en el sistema operativo hubiera una puerta trasera, esta
podra ser aprovechada para penetrar en el interior y llevar a cabo todo
tipo de fechoras. Los malos podran entrar, robar datos y salirsin
levantar las sospechasdel guardia-antivirus.
Qu puede daos hacer un agujero de seguridad?
Los agujeros no son ms que la va de entrada para problemas y dolores de
cabeza
informticos. Lo que daa los datoses lo que
puede entrar a travs de los agujeros o lo que puede aprovechar esas
vulnerabilidades con fines destructivos.
Ese aprovechamiento se denomina ataque, y puede ser activo o
pasivo. Cuando es activo, el ataque daa el sistema hasta que deja de
funcionar. Los ataques activosfuerzan las entradas del sistema, y se
usan, por ejemplo, para tumbar sitios web o desactivar software de
importancia vital.
Losataques pasivosactan como un ninja: se introducen en el sistema
sin causar dao aparente. Mucho ms peligrosos a largo plazo, tienen por
objetivo la obtencin de privilegios en los sistemas atacados, la
instalacin de programas dainos y la sustraccin de datos
confidenciales. (http://articulos.softonic.com)

Corta Fuegos

Es una parte de un sistema o una red que est diseada para bloquear el
acceso no autorizado, permitiendo al mismo tiempo comunicaciones
autorizadas.
Se trata de un dispositivo o conjunto de dispositivos configurados para
permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos
sobre la base de un conjunto de normas y otros criterios.
Los cortafuegos pueden ser implementados en hardware o software, o en
una combinacin de ambos. Los cortafuegos se utilizan con frecuencia para
evitar que los usuarios de Internet no autorizados tengan acceso a redes
privadas conectadas a Internet, especialmente intranets. Todos los
mensajes que entren o salgan de la intranet pasan a travs del cortafuegos,

3. Objetivosdecontrol
Se evaluaran la existencia y la aplicacin correcta
de las polticas de seguridad, emergencia y
disaster recovery (plan de recuperacin ante
desastres) de la empresa. Se har una revisin de
los manuales de poltica de la empresa, que los
procedimientos de los mismos se encuentren
actualizados y que sean claros y que el personal
los comprenda. Debe existir en la Empresa un
programa de seguridad, para la evaluacin delos
riesgos
que
puedan
existir,
respectoalaseguridaddelmantenimiento de los
equipos,programas y datos.

4. Determinacin de los procedimientos de control

Se determinaran los procedimientos adecuados para aplicar a
cada uno de los objetivos definidos en el paso anterior.
Objetivo N 1: Existencia de normativa de hardware.
El hardware
documentado.

debe

estar

correctamente

identificado

Se debe contar con todas las rdenes de compra yfacturas con

elfin decontarconelrespaldodelasgarantasofrecidasporlos
fabricantes.
El acceso a los componentes del hardware est restringido a las
personas que lo utilizan.
Se debe contar con un plan de mantenimiento y registro de
fechas,problemas, soluciones y prximo mantenimiento
propuesto

Objetivo N 2: Poltica de acceso a equipos.

Cada usuario deber contar con su nombre de usuario y
contraseapara acceder a los equipos.
Lasclaves debern serseguras (mnimo 8
caracteres,alfanumricos y alternando maysculas y
minsculas).
Los usuarios se desloguearan despus de 5 minutos sin
actividad.
Los nuevos usuarios debern ser autorizados mediante
contratos de confidencialidad ydeben mantenerseluego
definalizada larelacin laboral.
Usorestringidodemediosremovibles(USB,CDROM,discosexternos etc).

5. Pruebas a realizar.
Son los procedimientos que se llevaran a cabo a fin de
verificar el cumplimiento de los objetivos
establecidos.Entre ellas se puedenmencionar las
siguientestcnicas:
Tomar 5 maquinas al azar y evaluar la dificultad de
acceso a las mismas.
Intentar sacar datos con un dispositivo externo.
Facilidad de accesos a informacin de confidencialidad
(usuarios y claves).
Verificacin de contratos.
Comprobar que luego de 5 minutos de inactividad los
usuarios se deslogueen.

6.Obtencion de los
resultados.
En esta etapa se obtendrn los resultados que
surjan de la aplicacin de los procedimientos
de control y las pruebas realizadas a fin de
poder determinar si se cumple o no con los
objetivosdecontrolantesdefinidos.Losdatos
obtenidosseregistrarnenplanillas
(papeles de trabajo) realizadas a medida para
cada procedimiento a fin de tener catalogado
perfectamente
los
resultados
con
el
objetivodefacilitarlainterpretacindelosmi
smosyevitarinterpretaciones errneas.

7.Conclusionesy
Comentarios:
En este paso se detallara el resumen

de toda la
informacin obtenida, as como lo que se deriva de
esa informacin, sean fallas de seguridad,
organizacin
o
estructura
empresarial.
Se
expondrn las fallasencontradas, en la seguridad
fsica sean en temas de resguardo de informacin
(Casos de incendio, robo), manejo y obtencin de
copias de seguridad, en las normativas de
seguridad como por ejemplonormativas de uso de
passwords, formularios de adquisicin de equipos, y
estudios previos a las adquisiciones para comprobar
el beneficio que los mismos aportaran. Finalmente
se vern los temas de organizacin empresarial,
como son partes responsables de seguridad,
mantenimientoy supervisin de las otras reas.

8. Redaccin del borrador

del informe
Se detalla de manera concisa y clara un informe de
todos los problemas encontrados, anotando los datos
tcnicos de cada una de las maquinas auditadas:
Marca
Modelo
Numero de Serie
Problema encontrado
Solucin recomendada

9. Redaccin del Informe

Resumen yConclusiones.
Es eneste paso es donde se muestran los verdaderos
resultadosa los responsables de la empresa,el informe
presentado dar aconocer todoslos puntos evaluados
durante la auditoria, resultados, conclusiones, puntaje
y posibles soluciones.
La conclusin tendr como temas los resultados,
errores, puntos crticos y observaciones delos
auditores. Mientras que en el resumen se vern las
posibles soluciones de esos puntos crticos y fallas, as
como recomendaciones para el buen uso y tambin
recomendaciones sobre la forma correcta de realizar
algunosprocedimientos.

11. Entrega del informe a los

directivos de la empresa.
Esta es la ultima parte de la auditoria y en
una reunin se formaliza la entrega del
informe final con los resultados obtenidos
en
la auditora. Tambin se fijan los
parmetros si as se requieren para realizar
el seguimientos de lospuntos en los que el
resultado no haya sido satisfactorio o
simplemente se quiera verificarque los que
los
objetivos
decontrol
se
sigan
cumpliendo a lolargo del tiempo.

Bibliografa.
Ejercicio prctico de la Universidad Pontificia de Salamanca.

Esta diapositivas se realizaron tomando como ejemplo de la auditoria

de sistemas el siguiente enlace

http://www.geronet.com.ar/wp-content/uploads/2008/03/ejemplo-de
-auditoria.doc