May 16, 2011

[AUDITORIA INFORMATICA]

CASO PRCTICO DE AUDITORIA INFORMATICA En el presente informe se detallan las recomendaciones que se pueden aplicar a la mejora en la seguridad fsica de un Centro de Proceso de Datos, as como tambin en los controles que se tengan implementados o la sugerencia a incorporar algunos de estos. Las recomendaciones se basan en punto por punto a excepcin de los puntos que durante los hallazgos tengan mayor puntaje. A continuacin detallamos las recomendaciones que podramos brindar pensando como Auditores en el centro de procesamiento de datos.

Control de Accesos: Autorizaciones

Existe un nico responsable de implementar la poltica de autorizaciones de entrada en el centro de cmputo? R. Si, el jefe de Explotacin, pero el director puede acceder a la sala con los acompaantes sin previo aviso. Recomendaciones: y El acceso al Director se puede dar siempre y cuando mande una notificacin previa con u tiempo prudencial al Jefe de Explotacin y asignarle un supervisor. y El acceso al centro de datos tiene que ser lo mayor restringido posible, por lo que para su seguridad el director debe notificar las visitas, en casos extremos se puede obviar y enviar una nota despus de la visita. Adems de la tarjeta magntica de identificacin hay que pasar otra especial? No, solamente la primera Recomendaciones: y La empresa puede crear anillos de seguridad utilizando accesos biomtricos (Anexo1), llaves u otros medios para una mejor seguridad del centro de datos. y Para llegar al centro de datos deberan de pasar por varias estaciones, el guardia de seguridad, tarjeta magntica, acceso biomtrico, etc. Se pregunta a las visitas si desean conocer el centro de cmputo? No, vale la primera autorizacin. Recomendaciones: y Las visitas NO deben estar autorizadas para entrar directamente a los centros de computo y Toda persona que entre al centro de computo tienen que estar autorizada.

May 16, 2011

[AUDITORIA INFORMATICA]

Se prevn las visitas a los centros de cmputo con 24 horas al menos? No, basta que vayan acompaados con el Jefe de explotacin o director. Recomendaciones y Si las personas no estn autorizadas para ingresar al centro de computo, estas deben de tener un autorizacin con anticipacin por parte gerencia

Control de Accesos: Controles Automticos

Cree usted que los controles automticos son adecuados? Si, aunque ha de reconocerse que a pie puede llegarse por la noche hasta el edificio principal. Recomendaciones: y Crear un permetro de seguridad alrededor del edificio donde solo pueda acceder personal autorizado. y Reforzar la seguridad al campus y al edificio. Quedan registradas todas las entradas y salidas del centro de computo? No, solamente las del personal ajeno a la operacin. y y y y Se debe registrar todas las entradas y salidas de todo el personal que accede tanto internamente de la empresa as como personas externas Toda persona que entre y salga del centro de computo tienen que registrarse (da, hora, y que operacin realizo), sin excepcin alguna del personal. Tambin se puede imprimir el log de accesos por medio de las tarjetas magnticas. Podra existir la posibilidad de poner un circuito cerrado de cmaras que registren los puntos de acceso.

Puede salirse del centro sin tarjeta magntica? S, porque existe otra puerta de emergencia que puede abrirse desde adentro. Recomendaciones: y La puerta de emergencia est bien que exista pero tienen que brindarle una mayor seguridad. y Los botones son adecuados cuando se cuente con un sistema de monitoreo permanete. (Anexo 2)

May 16, 2011

[AUDITORIA INFORMATICA]

Control de Accesos: Vigilancia

Identificadas las visitas, Se les acompaa hasta la persona que desean ver? No. Recomendaciones: y Toda persona que entre debe de ser acompaada hasta la persona que desea ver y a la vez llevar un registro de las visitas y Toda persona que no sea parte de la empresa debe de estar acompaado dentro del centro de datos, se debe contar con suficiente personal para realizar esta tarea. Conocen los vigilantes los terminales que deben quedar encendidos por la noche? No, sera muy complicado. Recomendaciones: y Es necesario que el personal de vigilancia conozca un poco acerca de lo que se debe de hacer, equipo que no se debe apagar. y El personal debe de poseer nmeros de telfono de las personas a las cuales llamar en caso de una emergencia en cualquiera de las terminales.

Control de Accesos: Registros

Existe una adecuada poltica de registros? No, reconocemos que casi nunca, pero hasta ahora no ha habido necesidad. Recomendaciones: y Se debe de contar con polticas de registros, no esperemos que sucedan los imprevistos para implementar polticas. Se ha registrado alguna vez alguna persona? Nunca. Recomendaciones: y Un control adecuado y un registro detallado puede ser til para cualquier situacin que pueda darse en el futuro.

May 16, 2011

[AUDITORIA INFORMATICA]

Se abren todos los paquetes dirigidos a personas concretas y no a informtica? Casi nunca Recomendaciones: y Al tener polticas establecidas se debera de crear una de ella donde nos permita dejar claro que todo paquete que llega va a ser revisado el personal de vigilancia para asegurar la seguridad del centro de datos. La parte de registros es la que mas debilidad presenta por lo que se sugiere se empiece a trabajar en un plan para el fortalecimiento de estos ya que la empresa podra atravesar por situaciones donde se vean afectadas sus operaciones por la falta o el mal empleo de estos. Tambin cabe mencionar que la vigilancia es parte esencial en la operacin, por lo cual ellos sin necesidad de tener un conocimiento pleno del campo informtico pueden suministrar ayuda importante al personal informtico, por lo cual es necesario que se les explique acerca de los procesos o procedimientos a hacer en caso de una emergencia o que una situacin este saliendo de los parmetros adecuados o en caso de ver una anomala por muy pequea que esta sea.

May 16, 2011

[AUDITORIA INFORMATICA]

ANEXOS Anexo 1. Controles de Acceso Biomtrico

Anexo 2. Botones de salida

Anexo3. Lectores de tarjetas magnticas