Definición de Auditoría

Definición de Auditoría:

Metodología basada en Riesgo vs. Control vs. Coste. El auditor revisa o audita los controles con la ayuda de una lista de control (checklist) que consta de una serie de preguntas o cuestiones a verificar.

La evaluación consiste en identificar la existencia de unos controles establecidos.

Las listas de control suelen utilizarse por los auditores, generalmente por auditores con poca experiencia, como una guía de referencia, para asegurar que se han revisado todos los controles.

La naturaleza especializada de la auditoría de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información.

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

A continuación, la descripción de los dos principales objetivos de una auditoría de sistemas, que son, las evaluaciones de los procesos de datos y de los equipos de cómputo, con controles, tipos y seguridad.

En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:

Evaluación de los sistemas y procedimientos.

Evaluación de los equipos de cómputo.

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

La auditoría de sistemas debe abarcar tres grandes áreas:

Auditoría de Infra Estructura Física y Lógica.

Auditoría de Aplicaciones y estaciones de trabajo.

Auditoría de Sistemas y su Administración.

Este tipo de auditorías generalmente son realizadas por un equipo de expertos en diferentes ramas de la informática, con el objetivo de poder revisar a fondo el área asignada y utilizar herramientas de software que permitan obtener "Logs o Bitácoras" de que esta aconteciendo en cada área, con lo cual podrán analizar y dictaminar el estatus de un departamento de informática.

Auditoría de Infra Estructura Física:

Esta etapa de la auditoría es muy importante de revisar, ya que en muchas ocasiones las empresas u organizaciones poseen pocos recursos, y esto puede crear vulnerabilidades, también existen situaciones opuestas en las cuales tienen muchos recursos y están siendo sub utilizados.

Hay que revisar el Hardware de los servidores que utilizan, y el propósito de uso del servidor en sí, con el objetivo de comprender si los recursos que posee cada servidor son los óptimos para prestar el tipo de servicio o función para lo que ha sido designado. Hay que tomar en cuenta que cada sistema operativo de servidor consume una "X" cantidad de recursos de Memoria RAM y procesador, y según el uso destinado deberán ser las características del equipo analizado. Es conveniente que se posean estudios de Benchmark del caso, para poder tener parámetros de comparaciones y recomendaciones.

Generalmente se pueden encontrar redes de tipo LAN, WAN, MAN dentro de una institucion, por lo cual hay que revisar el equipo y cableado que lo conforma.

Referente al cableado estructurado (verificar que realmente cumpla con este estándar) chequeando desde la categoría de cable utilizado para cada punto de red, el tipo de configuración que se utilizada para cada cable (568 A o B) y que dicha configuración sea la misma en todos y cada uno de los puntos de red. Verificar con equipos especiales la transmisión de datos de cada punto, certificando que se esta cumpliendo con el estándar mínimo de transmisión de paquetes por punto. Establecer si se posee un plano del diseño del cableado estructurado en el cual se tiene la ubicación e identificación de cada punto de red tanto en el edificio como en el Patch panel respectivo. Idealmente el plano debe tener identificado también el departamento, nivel, puesto que tiene asignado cada punto de red, con lo cual se simplificará la ubicación física del mismo. Verificar que la distancia máxima de cada punto de red sea de 90 metros del equipo activo y que el Patch Cord de la estación de trabajo no sea mayor a 10 metros, para cumplir con el estándar de distancias máximas de 100 metros.

Seguidamente hay que revisar el diseño de la red a nivel físico, esto significa revisar que tipo de equipo activo y equipo pasivo que poseen. En relación al equipo pasivo se debe verificar que los patch panel sean los adecuados para la cantidad de puntos de red existentes, de preferencia si el patch panel esta usando una configuración de espejo previo a conectarse al equipo activo del caso.

El equipo activo de una red LAN puede estar conformado por una "X" cantidad de concentradores entre los que se pueden encontrar HUB o SWITCH, de existir aun Hub en una red es recomendable reemplazarlos por Switch para que se pueda mantener el Qos de la red LAN. Ya que el HUB no realiza Qos.

Hay que revisar que el Rack o Gabinete sean aptos para el equipo pasivo y activo que soportan, así como para el caso de que posean servidores de Rack. Se debe verificar que posean tomas de corriente apta para la cantidad de equipos que tiene cada estructura.

En los casos que la empresa u organización están alojadas en un edificio de más de 3 niveles se recomienda que se posea un BACK BONE para comunicar los diferentes niveles del edificio o edificios que conforman la red.

Así mismo colocar un equipo activo en cada nivel del edificio para que brinde servicio a los diferentes puntos de red, este equipo activo deberá contar con su respectivo patch panel y estar alojados en un gabinete con llave para protección del equipo activo como pasivo.

El equipo activo debe contar con un mínimo de 2 puertos de Fibra Óptica o GBIC los cuales se deben conectar a un Router que atenderá a la red LAN y con esto se lograra segmentar y direccionar correctamente el trafico de paquetes de la red. Dicho Router debe tener la capacidad de manejar la misma tecnología con que recibirá la señal de los switch de cada nivel.

Hay que tomar en cuenta que el área de servidores debe poseer su propio Switch para servicio exclusivo de los mismos, con lo cual se optimiza la comunicación entre dicho FARM (granja de servidores) y esto permite que el tiempo de respuesta en la comunicación entre servidores sea óptimo. El Switch que se debe utilizar en este segmento de red deberá ser de fibra óptica o GBIC para que la velocidad de comunicación y transferencia de paquetes sea excelente. Se debe tomar en cuenta que los modelos de servidores existentes soporten este tipo de tecnología de redes.

En los casos que una empresa u organización posea red WAN o MAN se debe establecer la cantidad de usuarios que hay en cada oficina remota, con lo cual se deben de revisar las configuraciones de cableado estructurado de cada oficina, ya que deberán de cumplir con lis estándares que se tienen en las oficinas centrales. Al existir este tipo de redes se entiende que existe un Router que tiene como objetivo brindarles servicio y optimizar el tráfico de estas redes. Esto significa que dicho tráfico accede únicamente al área de servidores y muy poco o prácticamente nulo a la red LAN. La razón del poco acceso o prácticamente nulo a la red LAN central es porque todos los archivos o programas compartidos deben estar alojados en los servidores.

En esta fase no se audita aun el equipo del Gateway y/o Firewall que pueda tener una empresa, ya que estos equipos son parte de la infra estructura Física pero su funcionamiento y configuración dependen de la infra estructura Lógica de la red. Las únicas revisiones que se deben de hacer son relacionadas a que cumplan con estándares relacionados a cableado estructurado.

Es importante recomendar que un auditor revise si el equipo activo existente en la organización tiene las facultades de administrarse de forma remota.

Auditoría de Infra Estructura Lógica:

Esta etapa de la auditoría debe de revisar múltiples áreas de la infra estructura, tales como lo son:

Diseño Lógico de la Red LAN.

Diseño Lógico de la Red WAN o MAN.

Diseño de DNS.

Tipos de servicios o aplicaciones que se ejecutaran en los servidores.

Fin o propósito de cada servidor y su respectiva configuración.

Cantidad de usuarios a los que se presta servicio con el objetivo de establecer si el performance de cada servidor es el adecuado para las aplicaciones y cantidad de usuarios a los que presta servicio.

Diseño Lógico de la Red LAN.

Esta

...