Control 8 Auditoria Informática

Principales áreas de la auditoría informática. Parte II

Walter Fernando Reyes Peña

AUDITORÍA INFORMÁTICA

Instituto IACC

28-10-2019

INTRODUCCIÓN

OBJETIVOS DEL CONTROL:

Aplicar tipos de auditoría en el contexto de procesos de auditoría informática.

DESARROLLO

INSTRUCCIONES: Responda a los planteamientos que se exponen a continuación:

1.- Usted debe evaluar las instalaciones de un centro de cómputo para determinar la mejor opción para una empresa de procesamiento de tarjetas de crédito. Los requisitos mínimos que se deben cumplir tienen relación con respaldo de energía y sistemas contra incendios.

1. Para cada uno de los requerimientos del enunciado construya un checklist de al menos 3 preguntas a utilizar en una auditoría de seguridad y otro para una auditoría de data center y recuperación de desastres. Compare las semejanzas que presenta cada checklist para los diferentes tipos de auditoría.

R: Se adjunta CheckList correspondientemente, conforme a requerimientos:

[pic 2]

[pic 3]

Se adjunta Excel.

 [pic 4]

1. La evaluación debe considerar un plan de contingencias y recuperación de desastres usando un segundo sitio. Se le solicita entonces que construya un documento que detalle las acciones mínimas a realizar en caso de desastre en función de los requerimientos mencionados en el enunciado.

R: En respuesta a “Un Plan de Contingencias y Recuperación de Desastres”, es posible decir que:

Dentro de las políticas de seguridad que debería mantener la corporación, se deberá seguir el siguiente Plan de Contingencia y Recuperación De Desastres.

• Se deberá reducir al mínimo los tiempos de Interrupción de los Servicios de la Corporación.
• Disponer de los elementos tales como, herramientas, equipamiento de seguridad, dispositivos de respaldo, entre otros. Con la finalidad de actuar con la mayor rapidez posible.
• Se deberá generar capacitaciones atingentes a los problemas que normalmente podrían causar contingencias al departamento TI.
• Se deberá disponer de personal Entrenado para evitar al máximo los daños en la reparación de los desastres.
• Se deberá establecer de turnos rotativos de personal altamente capacitado ante contingencias, a fin de reaccionar lo más rápido posible ante estas problemáticas.
• Generar un Informe Técnico e Informe Ejecutivo al finalizar las contingencias, con la finalidad de disponer una retroalimentación de lo acaecido.

2.- Se le ha solicitado conducir una auditoría de redes de una empresa de cosméticos que considera en su alcance solo los dispositivos perimetrales: En este caso, ¿la restricción de servicios del router perimetral puede considerarse como parte la auditoría? ¿Por qué? Fundamente su respuesta.

R: Para responder al punto anterior, es importante generar un preámbulo, a objeto de fundamentar mejor a la temática de la restricción del router perimetral.

Debemos entender que la auditoría de red es imprescindible para cualquier organización que mantenga un sistema de comunicación o telecomunicación para sostener la red de trabajo corporativa

Ahora para profundizar más en el tema que nos convoca, luego de analizar el sinnúmero de variantes que afectan a cada uno de los servicios y protocolos de la red, es posible decir que, es muy normal que los “Router Perimetrales” son los que reciben la mayor cantidad de ataques en una red computacional, de modo que la relevancia de mantener auditorías a estos dispositivos, se hace una necesidad básica dentro de las auditorías de red que se deben realizar.

...