Está en la página 1de 2

Auditoria y Justificaciones Administrativas Mster Universitario de Diseo y Gestin de Proyectos Tecnolgicos

UNIR
Ejemplo de EDR basado en ISO 27002

RIESGOS

OBJETIVO DE CONTROL

CONTROL

PRUEBA DE CUMPLIMIENTO

Procedimiento
de Altas y
Bajas de
Usuario

1. Comprobar que existe un procedimiento de


altas/bajas de usuarios
2. Seleccionar varios usuarios de cada rea a los
que se les haya dado de alta recientemente
3. Seleccionar varios usuarios de cada rea a los
que se les haya dado de baja recientemente.

R1.
Acceso no
autorizado a
sistemas y
aplicaciones.

Garantizar el acceso de
usuarios autorizados y
evitar el acceso no
autorizado a los sistemas
y servicios.

Procedimiento
para la
Restriccin de
Acceso a la
informacin

1. Comprobar que existen definiciones de perfiles de


usuarios por reas.

Procedimiento
de gestin de
Contraseas

1. Comprobar que existe un procedimiento que


defina la longitud y robustez de las password de
usuario

2. Verificar en Base de Datos, Directorio Activo


(LDAP) o RACF que un usuario tiene el acceso
necesario a los sistemas de informacin

2. Verificar en Base de Datos, Directorio Activo, etc.


que varios usuarios cumplen con la definicin de
password.

PRUEBA SUSTANTIVA

- Ampliar muestra de usuarios dados de


alta en cada rea.

- Ampliar muestra de usuarios dados de


baja en cada rea.

- Ampliar muestra de usuarios que tengan


el acceso correctamente definido

- Ampliar muestra de usuarios que tengan


el acceso correctamente definido

Auditoria y Justificaciones Administrativas Mster Universitario de Diseo y Gestin de Proyectos Tecnolgicos


UNIR

Procedimiento
de proteccin
de red
(firewall, IDS).

R2.
Ataques e intrusin
a redes corporativas

Asegurar la proteccin de
la informacin en las
redes y los servicios de
soporte de tratamiento de
la informacin.

Procedimiento
de
configuracin
(setup) de
firewalls e IDS.

1. Comprobar que existe un procedimiento que


configuracin (setup), mantenimiento y
monitorizacin de los firewall, IDS, etc.

Procedimiento
de
mantenimiento
de firewalls e
IDS..

3. Comprobar que los IDS tienen actualizados los


ficheros de firmas y/o reglas de acceso.

Procedimiento
de
monitorizacin
firewall e IDS

2. Comprobar que se implantado las polticas de


filtrado adecuadas para el firewall