Auditoria HW Y SW
Enviado por bal33 • 13 de Noviembre de 2013 • 3.640 Palabras (15 Páginas) • 271 Visitas
Auditoria de hardware y software en estaciones de trabajo.
Alcance
La auditoria se realizará sobre los sistemas informaticos en computadoras personales que estén conectados a la red interna de la empresa.
Objetivo
Tener un panorama actualizado de los sistemas de información en cuanto a la seguridad fisica, las politicas de utilizacion, transferencia de datos y seguridad de los activos.
Recursos
El numero de personas que integraran el equipo de auditoria sera de tres, con un tiempo maximo de ejecucion de 3 a 4 semanas.
Etapas de trabajo
1. 1. Recopilacion de informacion básica
Una semana antes del comienzo de la auditoria se envia un cuestionario a los gerentes o responsables de las distintas areas de la empresa. El objetivo de este cuestionario es saber los equipos que usan y los procesos que realizan en ellos.
Los gerentes se encargaran de distribuir este cuestionario a los distintos empleados con acceso a los computadores, para que tambien lo completen. De esta manera, se obtendra una vision mas global del sistema.
Es importante tambien reconocer y entrevistarse con los responsables del area de sistemas de la empresa para conocer con mayor profundidad el hardware y el software utilizado.
En las entrevistas incluiran:
• Director / Gerente de Informatica
• Subgerentes de informatica
• Asistentes de informatica
• Tecnicos de soporte externo
1. 2. Identificación de riesgos potenciales
Se evaluara la forma de adquisicion de nuevos equipos o aplicativos de software. Los procedimientos para adquirirlos deben estar regulados y aprobados en base a los estandares de la empresa y los requerimientos minimos para ejecutar los programas base.
Dentro de los riesgos posibles, tambien se contemplaran huecos de seguridad del propio software y la correcta configuracion y/o actualizacion de los equipos criticos como el cortafuegos.
Los riesgos potenciales se pueden presentar de la mas diversa variedad de formas.
1. 3. Objetivos de control
Se evaluaran la existencia y la aplicación correcta de las politicas de seguridad, emergencia y disaster recovery de la empresa.
Se hara una revicion de los manuales de politica de la empresa, que los procedimientos de los mismos se encuentren actualizados y que sean claros y que el personal los comprenda.
Debe existir en la Empresa un programa de seguridad, para la evaluación de los riesgos que puedan existir, respecto a la seguridad del mantenimiento de los equipos, programas y datos.
1. 4. Determinacion de los procedimientos de control
Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos definidos en el paso anterior.
Objetivo N 1: Existencia de normativa de hardware.
ü El hardware debe estar correctamente identificado y documentado.
ü Se debe contar con todas las órdenes de compra y facturas con el fin de contar con el respaldo de las garantías ofrecidas por los fabricantes.
ü El acceso a los componentes del hardware esté restringido a la directo a las personas que lo utilizan.
ü Se debe contar con un plan de mantenimiento y registro de fechas, problemas, soluciones y próximo mantenimiento propuesto.
Objetivo N 2: Política de acceso a equipos.
ü Cada usuario deberá contar con su nombre de usuario y contraseña para acceder a los equipos.
ü Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y alternando mayúsculas y minúsculas).
ü Los usuarios se desloguearan después de 5 minutos sin actividad.
ü Los nuevos usuarios deberán ser autorizados mediante contratos de confidencialidad y deben mantenerse luego de finalizada la relación laboral.
ü Uso restringido de medios removibles (USB, CD-ROM, discos externos etc).
1. 5. Pruebas a realizar.
Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de los objetivos establecidos. Entre ellas podemos mencionar las siguientes técnicas:
ü Tomar 10 maquinas al azar y evaluar la dificultad de acceso a las mismas.
ü Intentar sacar datos con un dispositivo externo.
ü Facilidad para desarmar una pc.
ü Facilidad de accesos a información de confidencialidad (usuarios y claves).
ü Verificación de contratos.
ü Comprobar que luego de 5 minutos de inactividad los usuarios se deslogueen.
1. 6. Obtencion de los resultados.
En esta etapa se obtendrán los resultados que surjan de la aplicación de los procedimientos de control y las pruebas realizadas a fin de poder determinar si se cumple o no con los objetivos de control antes definidos. Los datos obtenidos se registrarán en planillas realizadas a medida para cada procedimiento a fin de tener catalogado perfectamente los resultados con el objetivo de facilitar la interpretacion de los mismos y evitar interpretaciones erroneas.
7. Conclusiones y Comentarios:
En este paso se detallara el resumen de toda la información obtenida, asi como lo que se deriva de esa información, sean fallas de seguridad, organización o estructura empresarial. Se expondrán las fallas encontradas, en la seguridad física sean en temas de resguardo de información (Casos de incendio, robo), manejo y obtención de copias de seguridad, en las normativas de seguridad como por ejemplo normativas de uso de passwords, formularios de adquisición de equipos, y estudios previos a las adquisiciones para comprobar el beneficio que los mismos aportarían. Finalmente se verán los temas de organización empresarial, como
...