Auditora de controles a nivel de entidad

Discutiremos cmo auditar los controles a nivel de entidad, que son omnipresentes en toda organizacin. Vamos a discutir la auditora de tecnologa de la informacin (IT) en reas como: Planificacin estratgica y planes de desarrollo tecnolgico Los indicadores y mtricas de rendimiento Aprobacin de los proyectos y procesos de monitoreo Las polticas, normas y procedimientos Gestin del Empleado Gestin de activos y la capacidad Gestin de cambios de configuracin del sistema

Qu es y qu no se considera un control a nivel de entidad, puede variar entre empresas u organizaciones, en funcin de cmo se define el entorno de TI. En resumen todo lo que este centralizado es posible determinarlo como un candidato para un control a nivel de entidad. Por ejemplo, en el tema de auditora de centros de datos y reas como seguridad fsica, control ambiental, monitorizacin del sistema, y as sucesivamente. Muchas compaas pueden tener mltiples centros de datos descentralizados, lo que significa que estos controles estn fsicamente centralizados para las empresas. Sin embargo, algunas empresas tienen un centro de datos y un conjunto de procesos para la ejecucin de estas reas, la seguridad fsica, controles ambientales, y la supervisin del sistema se califica como controles a nivel de entidad, ya que estn centralizados y presentes. Los auditores deben usar su buen juicio y conocimiento de la empresa para determinar qu es y qu no es un control de nivel de entidad.

Lista de control para auditora de controles a nivel de entidad 1. Revisar la estructura general de la organizacin de TI para asegurar que se establece clara asignacin de autoridad y responsabilidad sobre las operaciones de TI y que se prev adecuada segregacin de funciones. 2. Revisar el proceso de planificacin estratgica de TI para asegurar que se alinea con las estrategias de negocio. Evaluar los procesos de la organizacin de TI para monitorear el progreso con el plan estratgico. 3. Determinar si existen estrategias y planes de trabajo de tecnologa y aplicacin, y evaluar los procesos de planificacin tcnica de largo alcance. 4. Revisar los indicadores de desempeo y las medidas para ello. Asegurar que los procesos e indicadores establecidos (aprobados por las partes interesadas) para medir el desempeo de las actividades del da a da y para el seguimiento de desempeo contra SLAs, los presupuestos, y otros requisitos operacionales. 5. Revisar el proceso de la organizacin de TI para la aprobacin y priorizacin de nuevos proyectos.

Determinar si este proceso es adecuado para garantizar que la adquisicin del sistema y los proyectos de desarrollo no pueden comenzar sin su aprobacin. Asegrese de que la direccin y los principales interesados revisin del estado del proyecto, cronograma y presupuesto peridicamente durante todo el vida de los proyectos importantes. 6. Evaluar las normas para regular la ejecucin de proyectos de TI y garantizar la calidad de los productos desarrollados o adquiridos por la organizacin de TI. Determinar cmo se comunican y se hacen cumplir. 7. Asegrese de que existan polticas de seguridad de TI y proporcione los requisitos adecuados para la seguridad del medio ambiente. Determinar cmo se comunican las polticas y cmo es el cumplimiento de la supervisin y su aplicacin. 8. Revisar y evaluar los procesos de evaluacin de riesgos en el lugar de la organizacin de TI. 9. Revisar y evaluar los procesos para asegurar que los empleados de TI en la empresa tienen las habilidades y conocimientos necesarios para el desempeo de sus puestos de trabajo. 10. Revisar y evaluar las polticas y los procesos de asignacin de propiedad de los datos de la empresa, la clasificacin de los datos, la proteccin de los datos de acuerdo con su clasificacin, y definiendo el ciclo de vida de los datos. 11. Revisar y evaluar los procesos para asegurar que los usuarios del entorno de TI tienen la capacidad de reportar problemas, participan adecuadamente en las decisiones de TI, y si estn satisfechos con los servicios prestados por la misma. 12. Revisar y evaluar los procesos de gestin de servicios de terceros, lo que garantiza que sus funciones y responsabilidades estn claramente definidas y vigilar su desempeo. 13. Revisar y evaluar los procesos de control de acceso lgico no dependiente. 14. Revisar y evaluar los procesos para asegurar que la empresa cumple con licencias de software de aplicacin. 15. Revisar y evaluar los controles sobre el acceso remoto a la red de la empresa (por ejemplo, acceso telefnico, VPN, conexiones externas dedicadas). 16. Asegrese de que los procedimientos de contratacin y despidos sean claros y completos. 17. Revisar y evaluar las polticas y procedimientos de control de la adquisicin y movimiento de hardware. 18. Asegrese de que las configuraciones del sistema se controlan con la gestin del cambio para evitar interrupciones del sistema innecesarios. 19. Asegrese de que los medios de transporte, almacenamiento, reutilizacin y eliminacin se tratan adecuadamente por las polticas y procedimientos de toda la compaa. 20. Verifique que el control de la capacidad y planificacin se tratan adecuadamente por la empresa, polticas y procedimientos. 21. En base a la estructura de la organizacin y los procesos de TI de la empresa, identifique la auditora de otra entidad a nivel de los procesos de TI.

Auditora a centro de datos. Objetivos La seguridad fsica y los controles ambientales Las operaciones de centros de datos Preparacin para desastres La siguiente tabla resume los pasos que se indican en este documento para los centros de datos de auditora y recuperacin de desastres. Lista de control para auditoria a los centros de datos 1. La investigacin de la ubicacin del centro de datos para los riesgos ambientales y para determinar la distancia a los servicios de emergencia. 2. Revisin puertas del centro de datos y las paredes para determinar si protegen adecuadamente las instalaciones de los centros de datos. 3. Asegrese de que las alarmas de intrusin y sistemas de vigilancia protejan los centros de datos de la intrusin fsica. 4. Verifique que la calefaccin, ventilacin y aire acondicionado ( HVAC ), en los sistemas mantengan constantes las temperaturas dentro del centro de datos. 5. Asegrese de que el sistema de alarma de agua est configurado para detectar agua en las zonas de alto riesgo del centro de datos. 6. Determinar si el centro de datos cuenta con fuentes de alimentacin redundantes. 7. Compruebe que la tierra- fsica existe para proteger los sistemas informticos. 8. Asegrese de que la fuente de poder est debidamente acondicionada para evitar la prdida de datos. 9. Verificar que los sistemas de respaldo de batera estn proporcionando energa continua durante apagones. 10. Asegrese de que los generadores de evitar la prdida de energa prolongada y estn en buen estado de funcionamiento condiciones. 11. Evaluar el uso y la proteccin de los interruptores de apagado de emergencia ( EPO ). 12. Asegrese de que la construccin de edificios del centro de datos incorpora la extincin de incendios apropiado caractersticas. 13. Verificar que los extintores estn ubicados estratgicamente en todo el centro de datos y son mantenimiento adecuado. 14. Verifique que las alarmas contra incendios estn en su lugar para proteger el centro de datos del riesgo de incendio. 15. Revise la consola de control de alarma(s), los informes y los procedimientos para verificar que las alarmas son monitoreados continuamente por el personal del centro de datos. 16. Verifique que los deberes y funciones de trabajo del personal de los centros de datos estn separadas apropiadamente. 17. Asegrese de que los procedimientos de respuesta de emergencia frente a las amenazas razonablemente esperados. 18. Asegrese de que el personal de los centros de datos estn debidamente capacitados para desempear sus funciones de trabajo. 19. Asegrese de que se utiliza la redundancia de hardware (redundancia de los componentes dentro de un sistema) para proporcionar alta disponibilidad cuando sea necesario.

20. Asegrese de que los procedimientos de copia de seguridad y la capacidad son apropiados para los sistemas respectivos. 21. Verificar que los sistemas se pueden restaurar desde los medios de copia de seguridad. 22. Asegrese de que existe un plan de recuperacin de desastres (DRP) y es integral y que la clave los empleados son conscientes de su papel en el caso de un desastre. 23. Asegurar que los planes de recuperacin de desastres se actualizan y se prueban regularmente. 24. Verifique que los inventarios de piezas y acuerdos de proveedores son exactos y actuales.

Auditoria de aplicaciones Lista de control para auditora de aplicaciones 1. Revisar y evaluar los controles integrados en las transacciones del sistema sobre la entrada de datos. 2. Determinar la necesidad de informes de errores / excepciones relacionadas con la integridad de los datos y evaluar si esta necesidad ha sido satisfactoria. 3. Revisar y evaluar los controles existentes sobre el ingreso de los datos y salida correspondiente desde la interfaz de los sistemas. 4. Si se mantiene la misma informacin en mltiples bases de datos y/o sistemas, asegrese que la sincronizacin peridica de los procesos que se ejecutan pueden detectar cualquier inconsistencia en los datos. 5. Revisar y evaluar los registros de auditora presentes en el sistema y los controles sobre ellos. 6. Asegrese que el sistema proporcione un medio de rastreo de una transaccin o una parte de la misma desde el principio hasta el final del proceso y ste sea activado a travs del sistema. 7. Asegrese de que la aplicacin proporciona un mecanismo que autenticacin a los usuarios, basado en un identificador nico para cada usuario y una contrasea confidencial. 8. Revisar y evaluar los mecanismos de autorizacin de la aplicacin para garantizar que los usuarios no puedan acceder a todas las transacciones o los datos sensibles sin haber sido autorizados por el mecanismo de seguridad del sistema. 9. Asegrese de que el mecanismo de seguridad / autorizacin de este sistema a travs de administrador permita controlar la funcionalidad adecuada. 10. Determinar si esta activo el mecanismo de seguridad y este sea aplicado a todos los procesos. 11. Revisar los procesos para remover el acceso de los usuarios cuando ya no se necesiten. Asegrese de que este sea aplicado cuando el usuario cambia de lugar o bien cuando se rompe la relacin laboral con la empresa. 12. Verificar que la aplicacin tenga los controles adecuados para la administracin de contraseas. 13. Asegrese de que los usuarios se registren nuevamente despus de un tiempo determinado de inactividad. 14. Evaluar el uso de tcnicas de cifrado para proteger datos de la aplicacin. 15. Evaluar el acceso desarrollador de aplicaciones para alterar los datos de produccin.

Auditora Servidores Web Lista de control para auditora de servidores Web 1. Compruebe que el servidor Web se ejecuta en un sistema dedicado y no en relacin con otras aplicaciones crticas. 2. Compruebe que el servidor web est totalmente parcheado y actualizado con el cdigo la ltima versin actualizada. 3. Verifique que los servicios innecesarios, mdulos, objetos y APIs sean removidos o deshabilitados. Estos servicios y mdulos deben estar operando con las cuentas menos privilegiadas. 4. Compruebe que nicamente los protocolos y puertos correspondientes estn autorizados para acceder al servidor web. 5. Verificar que las cuentas que permiten el acceso al servidor web se gestionen adecuadamente y sus contraseas sean seguras. 6. Asegrese de que existen controles adecuados para archivos, directorios y directorios virtuales. 7. Asegrese de que el servidor web tiene registro adecuado permitido y asegurado. 8. Asegrese de que las extensiones de script sea mapeadas (asignan) adecuadamente. 9. Verificar la validez y el uso de los certificados de servidor en uso. Auditora de Aplicaciones Web Lista de control para auditora de aplicaciones Web 1. Asegrese de que la aplicacin web est protegida contra ataques de inyeccin. 2. Revisar la solicitud de autenticacin y vulnerabilidades en la administracin de la sesin. 3. Verifique la adecuada referencia de los objetos y autorizacin, reforzar los controles de autorizacin. 4. Verifique que los mecanismos de seguridad de almacenamiento cifrado se utilicen correctamente. 5. Verifique los controles adecuados a travs del filtrado de URLS. 6. Evaluar los mecanismos de proteccin en la capa de transporte (encripcin del trfico de red) para proteger informacin sensible. 7. Revise los re direccionamientos de las aplicaciones web para verificar que sean vlidas URLS. 8. Verifique que todas las entradas prioritarias se validen antes de su uso por el servidor web. 9. Evaluar el uso sobre el manejo de errores. Auditora de Sistemas Operativos Windows. El sistema operativo Windows ha crecido desde sus humildes comienzos y se convirti en uno de los sistemas operativos ms extendido del mundo para los servidores y clientes. Cmo auditar servidores de Windows Cmo auditar los clientes de Windows Herramientas y recursos para la mejora de sus auditoras de Windows

Auditora de servidores Windows Lista de control para auditora servidores Windows 1. Obtener la informacin del sistema y la versin del Service Pack , y compararla con los requisitos de la poltica. 2. Determine si el servidor se est ejecutando la empresa y tiene firewall. 3. Determine si el servidor se est ejecutando un programa antivirus proporcionado por la compaa. 4. Asegrese de que todos los parches aprobados se encuentran instalados por la poltica de gestin de servidor. 5. Determine si el servidor se est ejecutando solucin adecuada de parches proporcionada por una compaa reconocida. Usando la solucin de gestin de parches, validar la historia de parches aplicado al cliente, si es posible. 6. Revisar y verificar la informacin de inicio. 7. Determine qu servicios estn habilitados en el sistema y validar su necesidad con el administrador del sistema. Para los servicios necesarios, revisar y evaluar los procedimientos de evaluacin de las vulnerabilidades asociadas a los servicios y mantenerlos actualizados. 8. Asegrese de que slo las aplicaciones aprobadas se hayan instalado en el sistema por el servidor poltica de gestin. 9. Asegrese de que slo las tareas programadas aprobadas se estn ejecutando. 10. Revisar y evaluar los procedimientos para la creacin de cuentas de usuarios y asegurar que las cuentas se crean slo cuando hay una necesidad comercial legtima . Tambin revisar y evaluar los procesos para asegurar que las cuentas sean removidas o desactivadas en el momento oportuno en el caso de cese o cambio de trabajo del empleado. 11. Asegrese de que todos los usuarios se crean en el nivel de dominio y claramente anotado en el directorio activo. Cada usuario debe realizar un seguimiento a un empleado o un equipo especfico. 12 . Revisar y evaluar el uso de los grupos, y determinar el grado de restriccin de su uso. 13 . Revisar y evaluar la fortaleza de las contraseas del sistema. 14 . Evaluar el uso de los controles de contraseas en el servidor, como el envejecimiento de la contrasea, la longitud, complejidad, la historia y las polticas de bloqueo. 15 . Revisar y evaluar el uso de los derechos de usuario y opciones de seguridad asignados a los elementos de la configuracin de directiva de seguridad. 16 . Revisar y evaluar el uso y la necesidad de acceso remoto, incluyendo conexiones RAS , FTP , Telnet , SSH , VPN , y otros mtodos . 17 . Asegrese de que una bandera de advertencia legal se muestra cuando los usuarios se conectan al sistema. 18 . Busque y evale el uso de las acciones en el host. 19 . Asegrese de que el servidor tenga habilitado la auditora por las polticas de su organizacin. 20 . Revisar y evaluar los procedimientos de administrador del sistema para el seguimiento del estado de la seguridad en el sistema. 21 . Si usted esta en un entorno de auditora mayor (en lugar de uno o dos sistemas aislados) , determine si hay una construccin estndar y se encuentre disponible para los nuevos sistemas y si esa lnea base tiene una configuracin de seguridad adecuada . Considere la posibilidad de auditar un sistema recin creado a travs de la lnea de base.

Auditora clientes Windows Lista de control para auditora de clientes Windows 1. Determine si el cliente est ejecutando en la empresa y tiene firewall. 2. Determine si el cliente est ejecutando un programa antivirus proporcionado por una compaa recocida. 3. Determine si el cliente tiene solucin actualizada de parches. 4. Determinar si el cliente cuenta con el servicio mnimo recomendado: Pack, revisiones y software. 5. Asegrese de que el cliente tiene el acuerdo base con Microsoft Baseline Security Analyzer ( MBSA ) . 6. Escanear el sistema utilizando un escner de red con calidad comercial. 7. Evaluar los controles de seguridad fsica durante un recorrido. Auditora de bases de datos Cmo llevar a cabo auditoras en los siguientes componentes que afectan a la seguridad operativa de sus almacenes de datos: Permisos de bases de datos La seguridad del sistema operativo fortaleza y caractersticas de gestin de contrasea Monitoreo de Actividad Encriptacin de datos Vulnerabilidades de bases de datos, la integridad, y el proceso de aplicacin de parches

Lista de control para auditora de bases de datos. 1. Obtener la versin de base de datos y compararlo con los requisitos de la poltica. Compruebe que la base de datos se est ejecutando una versin del proveedor sigue apoyando. 2. Verificar que las polticas y procedimientos establecidos para identificar cuando un parche est disponible y aplicar el parche. Asegrese de que todos los parches aprobados se instalan por su base de datos poltica de gestin. 3. Determinar si una construccin estndar est disponible para los nuevos sistemas de base de datos y si que la lnea de base tiene la configuracin de seguridad adecuadas. 4. Asegrese de que el acceso al sistema operativo est correctamente restringido. 5. Asegrese de que los permisos en el directorio en el que est instalada la base de datos y los archivos de base de datos en s, estn bien limitados o restringidos. 6. Asegrese de que los permisos de las claves de registro utilizadas por la base de datos estn correctamente. 7. Revisar y evaluar los procedimientos para la creacin de cuentas de usuario y la garanta de que las cuentas se crean slo cuando hay una necesidad comercial legtima. Tambin revisar y evaluar procedimientos para asegurar que las cuentas son removidas o desactivadas en el momento oportuno en el caso de cese o cambio de trabajo. 8. Compruebe los nombres de usuario y contraseas por defecto.

 9. Compruebe contraseas fciles de adivinar. 10. Compruebe que las capacidades de gestin de contraseas estn habilitadas. 11. Verifique que los permisos de base de datos se otorgan o revocan apropiadamente para el nivel de autorizacin necesario. 12. Base de datos de permisos concedidos a personas fsicas en lugar de grupos o roles. 13. Asegrese de que los permisos de base de datos no se otorgan implcitamente incorrectamente. 14. Revisin de SQL dinmico ejecutado en los procedimientos almacenados. 15. Asegrese de que el acceso a nivel de registro de datos de la tabla se implementa correctamente. 16. Revocar permisos pblicos donde no se necesitan. 17. Verifique que el cifrado de red se realiza. 18. Verifique que el cifrado de datos en reposo se implementa en su caso. 19. Verificar el uso adecuado de auditora de base de datos y control de la actividad. 20. Evaluar cmo se gestiona la capacidad para el entorno de bases de apoyo existentes. y los requisitos de negocio esperados. 21. Evaluar cmo se gestiona el rendimiento y monitoreado por el medio ambiente de base de datos para atender las necesidades de negocio actuales y futuras....