Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Caso Practico de Auditoria Informatica

    Cargado por

    crespinmite
    14 vistas5 páginas

    Título original

    58479547 Caso Practico de Auditoria Informatica

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    14 vistas5 páginas

    Caso Practico de Auditoria Informatica

    Cargado por

    crespinmite

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 5

    May 16, 2011 [AUDITORIA INFORMATICA]

    1
    CASO PRCTICO DE AUDITORIA INFORMATICA

    En el presente informe se detallan las recomendaciones que se pueden aplicar a la mejora en la
    seguridad fsica de un Centro de Proceso de Datos, as como tambin en los controles que se
    tengan implementados o la sugerencia a incorporar algunos de estos.

    Las recomendaciones se basan en punto por punto a excepcin de los puntos que durante los
    hallazgos tengan mayor puntaje.

    A continuacin detallamos las recomendaciones que podramos brindar pensando como Auditores
    en el centro de procesamiento de datos.


    Control de Accesos: Autorizaciones

    Existe un nico responsable de implementar la poltica de autorizaciones de entrada en el
    centro de cmputo?
    R. Si, el jefe de Explotacin, pero el director puede acceder a la sala con los acompaantes sin
    previo aviso.

    Recomendaciones:
    y El acceso al Director se puede dar siempre y cuando mande una notificacin previa con u
    tiempo prudencial al Jefe de Explotacin y asignarle un supervisor.
    y El acceso al centro de datos tiene que ser lo mayor restringido posible, por lo que para su
    seguridad el director debe notificar las visitas, en casos extremos se puede obviar y enviar
    una nota despus de la visita.
    Adems de la tarjeta magntica de identificacin hay que pasar otra especial?
    No, solamente la primera

    Recomendaciones:
    y La empresa puede crear anillos de seguridad utilizando accesos biomtricos (Anexo1),
    llaves u otros medios para una mejor seguridad del centro de datos.
    y Para llegar al centro de datos deberan de pasar por varias estaciones, el guardia de
    seguridad, tarjeta magntica, acceso biomtrico, etc.

    Se pregunta a las visitas si desean conocer el centro de cmputo?
    No, vale la primera autorizacin.

    Recomendaciones:
    y Las visitas NO deben estar autorizadas para entrar directamente a los centros de computo
    y Toda persona que entre al centro de computo tienen que estar autorizada.



    May 16, 2011 [AUDITORIA INFORMATICA]


    2
    Se prevn las visitas a los centros de cmputo con 24 horas al menos?
    No, basta que vayan acompaados con el Jefe de explotacin o director.

    Recomendaciones
    y Si las personas no estn autorizadas para ingresar al centro de computo, estas deben de
    tener un autorizacin con anticipacin por parte gerencia

    Control de Accesos: Controles Automticos

    Cree usted que los controles automticos son adecuados?
    Si, aunque ha de reconocerse que a pie puede llegarse por la noche hasta el edificio principal.

    Recomendaciones:
    y Crear un permetro de seguridad alrededor del edificio donde solo pueda acceder personal
    autorizado.
    y Reforzar la seguridad al campus y al edificio.
    Quedan registradas todas las entradas y salidas del centro de computo?
    No, solamente las del personal ajeno a la operacin.

    y Se debe registrar todas las entradas y salidas de todo el personal que accede tanto
    internamente de la empresa as como personas externas
    y Toda persona que entre y salga del centro de computo tienen que registrarse (da, hora, y
    que operacin realizo), sin excepcin alguna del personal.
    y Tambin se puede imprimir el log de accesos por medio de las tarjetas magnticas.
    y Podra existir la posibilidad de poner un circuito cerrado de cmaras que registren los
    puntos de acceso.
    Puede salirse del centro sin tarjeta magntica?
    S, porque existe otra puerta de emergencia que puede abrirse desde adentro.

    Recomendaciones:
    y La puerta de emergencia est bien que exista pero tienen que brindarle una mayor
    seguridad.
    y Los botones son adecuados cuando se cuente con un sistema de monitoreo permanete.
    (Anexo 2)








    May 16, 2011 [AUDITORIA INFORMATICA]


    3
    Control de Accesos: Vigilancia


    Identificadas las visitas, Se les acompaa hasta la persona que desean ver?
    No.

    Recomendaciones:
    y Toda persona que entre debe de ser acompaada hasta la persona que desea ver y a la vez
    llevar un registro de las visitas
    y Toda persona que no sea parte de la empresa debe de estar acompaado dentro del
    centro de datos, se debe contar con suficiente personal para realizar esta tarea.

    Conocen los vigilantes los terminales que deben quedar encendidos por la noche?
    No, sera muy complicado.

    Recomendaciones:
    y Es necesario que el personal de vigilancia conozca un poco acerca de lo que se debe de
    hacer, equipo que no se debe apagar.
    y El personal debe de poseer nmeros de telfono de las personas a las cuales llamar en
    caso de una emergencia en cualquiera de las terminales.

    Control de Accesos: Registros

    Existe una adecuada poltica de registros?
    No, reconocemos que casi nunca, pero hasta ahora no ha habido necesidad.

    Recomendaciones:
    y Se debe de contar con polticas de registros, no esperemos que sucedan los imprevistos
    para implementar polticas.

    Se ha registrado alguna vez alguna persona?
    Nunca.

    Recomendaciones:
    y Un control adecuado y un registro detallado puede ser til para cualquier situacin que
    pueda darse en el futuro.







    May 16, 2011 [AUDITORIA INFORMATICA]


    4
    Se abren todos los paquetes dirigidos a personas concretas y no a informtica?
    Casi nunca

    Recomendaciones:
    y Al tener polticas establecidas se debera de crear una de ella donde nos permita dejar
    claro que todo paquete que llega va a ser revisado el personal de vigilancia para asegurar
    la seguridad del centro de datos.

    La parte de registros es la que mas debilidad presenta por lo que se sugiere se empiece a trabajar
    en un plan para el fortalecimiento de estos ya que la empresa podra atravesar por situaciones
    donde se vean afectadas sus operaciones por la falta o el mal empleo de estos.

    Tambin cabe mencionar que la vigilancia es parte esencial en la operacin, por lo cual ellos sin
    necesidad de tener un conocimiento pleno del campo informtico pueden suministrar ayuda
    importante al personal informtico, por lo cual es necesario que se les explique acerca de los
    procesos o procedimientos a hacer en caso de una emergencia o que una situacin este saliendo
    de los parmetros adecuados o en caso de ver una anomala por muy pequea que esta sea.






























    May 16, 2011 [AUDITORIA INFORMATICA]


    5




    ANEXOS

    Anexo 1. Controles de Acceso Biomtrico



    Anexo 2. Botones de salida


    Anexo3. Lectores de tarjetas magnticas

    También podría gustarte