Principales áreas de la auditoria en Informática II

Auditoria Informática
IACC
04 de Febrero 2019
 Instrucciones:
Lea atentamente las situaciones planteadas y responda según lo solicitado.
Usted debe evaluar las instalaciones de un centro de cómputo para determinar la mejor
opción para una empresa de procesamiento de tarjetas de crédito. Los requisitos
mínimos que se deben cumplir tienen relación con respaldo de energía y sistemas
contra incendios.

A. Para cada uno de los requerimientos del enunciado construya un Checklist de al

menos 3 preguntas a utilizar en una auditoría de seguridad y otro para una
auditoría de data center y recuperación de desastres. Compare las semejanzas
que presenta cada Checklist para los diferentes tipos de auditoría.

 Auditoria de Data Center.

Este tipo de auditoría principalmente busca prevenir eventos de carácter
posterior que no son deseados junto con ello definir futuras líneas de actuación y
eliminar riesgos.
En la fase de diseño debemos tener muy considerado lo que es la ejecución y el
mantenimiento ya que un problema puede provocar graves daños en el negocio.

Para una mejor compresión en Data Center lo que se audita es lo siguiente:

 Diseño y construcción.
 Sistema de Energía.
 Sistema de Refrigeración.
 Eficiencia Energética.
 Etc.
Check List – Seguridad Informática y Sistemas
Responsable: Miguel Navarro Contreras
Ítem. Actividades SI NO N/A Observación
1.1 Relacionado Con la Infraestructura
¿Existe alarma para detectar fuego? x
 ¿Existen Extintores de CO2 o PQS dependiendo x Cumple con la certificación
del área? Cesmec.
1.2 Relacionado con Instalaciones eléctricas
¿Tiene la empresa contratado un electricista? x Se sugiere capacitación
¿La empresa Cuenta con grupos electrógenos x
ante algún tipo de falla?

 Auditoría de seguridad.
La principal característica es que busca analizar la información de los sistemas
informáticos para poder identificar y enumerar las vulnerabilidades y problemas su
objetivo es conseguir información de carácter fidedigno del estado de los sistemas y
así conseguir un documento final en donde reflejen que vulnerabilidades se han
detectado.

Como lo es el:
 Resguardo de Información.
 Manipulación de la Información
 Tipos de accesos.
 Etc.

Check List – Seguridad Informática y Sistemas

Responsable: Miguel Navarro Contreras
Ítem. Actividades SI NO N/A Observación

1.1 Seguridad lógica “Relacionado con

Accesos/Usuarios”
¿Existe un administrador de sistemas que controle el x
acceso a los usuarios?
¿Se Pide clave de acceso para iniciar sesión en los x
equipos?
1.2 Sala de servidores “Relacionado con la
Infraestructura”
¿La cantidad de extintores automáticos en el x
area de servidores es la adecuada?
¿Están separados los circuitos eléctricos de los x
que alimentan los equipos?

Comparación
En ambas auditorías con las preguntas que realizan son con la única finalidad de
buscar la del sistema de gestión de calidad u cualquier otro sistemas de gestión y nos
permite la evaluación y ver el desempeño y el logro de los objetivo para asi prevenir o
detectar a tiempo problemas que nos puedan llevar a problemas más significativos en
cuanto a la protección de la información.

B. La evaluación debe considerar un plan de contingencias y recuperación de

desastres usando un segundo sitio. Se le solicita entonces que construya un
documento que detalle las acciones mínimas a realizar en caso de desastre en
función de los requerimientos mencionados en el enunciado.

Se le ha solicitado conducir una auditoría de redes de una empresa de cosméticos que

considera en su alcance solo los dispositivos perimetrales: En este caso, ¿la restricción
de servicios del router perimetral puede considerarse como parte la auditoría? ¿Por
qué? Fundamente su respuesta.

Desde mi punto de vista seria cierto ya que el equipo de seguridad debe comprobar si
la red es segura frente a futuros posibles ataques de por terceras personas y
determinar asi el nivel de seguridad, con la finalidad de evaluar de extensión de las
vulnerabilidades de las redes.
Junto con ello como mejora elaborar un informe en detalle acerca del estado actual de
la seguridad perimetral de la red.
De acuerdo a la pregunta plateada sobre la restricción de servicios del router perimetral
puede considerarse como parte la auditoría mi respuesta seria si, la empresa debe
tener como objetivo también es evaluar la seguridad de la red interna solo con el fin de
que exista la posibilidad de recibir ataques de parte un hacker que haya conseguido
alcanzar la intranet o ataques provenientes del personal interno.

La auditoría de red interna evalúa la seguridad de los sistemas de protección perimetral

los cuales e sitúan en la red interna de una organización o empresa “router y firewall los
que se separan en sub-redes” y así todos los sistemas que están en dicha red como:

 Sistemas Host.
 Servidores de Ficheros.
 Servidores de Impresión.
 Servidores Web
 Etc.

Las características de este servicio son:

1. Visión detallada del estado de la seguridad en la red interna.

2. Si se conecta un sistema a la red interna se intenta tener acceso a los servidores
e información privilegiada que es localizada en esta red.
3. Se simula la actuación de un empleado de la empresa que intenta utilizar
recursos de la red interna para los que no tienen permisos.
4. La metodología utilizada es la misma que en los test de Intrusión.
5. Se incluye la revisión de la política de seguridad de la empresa.
6. La Auditoría se realiza desde las dependencias del cliente.

Usted se encuentra realizando una auditoría de seguridad en una empresa de comercio

electrónico que requiere que sus servicios estén disponibles las 24 horas del día y
todos los días de la semana. ¿Es válido como objetivo de la auditoría determinar la
efectividad del plan de continuidad de negocio? Fundamente su respuesta.

Las pruebas de continuidad del negocio podemos decir que es la única forma de
establecer la eficacia de un sistema de gestión de la continuidad del negocio ya que
nos permite garantizar la eficacia del plan de continuidad del negocio.

Existen formas para de mejoras del sistema “Plan de Continuidad” las cuales son:
 Se crea un tipo de esquema de prueba el cual es aprobado.
 El plan de prueba, este punto debe asegurar la simulación de algún tipo de
situación de desastre de carácter real o de un incidente que pueda generar la
interrupción temporal del negocio, esta misma prueba debemos asegurar l
información o restablecimiento de las condiciones normales de desarrollo del
negocio que se presentaban al momento del inicio del simulacro.
 Los participantes en las pruebas de continuidad del negocio deben haber sido
capacitados y advertidos según la ISO 22301.

IACC (2019). Auditoria Informática. Semana 8.

http://www.criptored.upm.es/guiateoria/gt_m142k.htm
https://nmap.org/man/es/
https://chaui201521701020289.files.wordpress.com/2015/11/auditoria8152.pdf