Principales Áreas de la Auditoría Informática.

Parte II
Eduardo Flores Sepúlveda
Auditoría Informática
Instituto IACC
07 de Marzo de 2019
 Instrucciones

1. Usted debe evaluar las instalaciones de un centro de cómputo para determinar la mejor opción para una
empresa de procesamiento de tarjetas de crédito. Los requisitos mínimos que se deben cumplir tienen
relación con respaldo de energía y sistemas contra incendios.

a. Para cada uno de los requerimientos del enunciado construya un checklist de al

menos 3 preguntas a utilizar en una auditoría de seguridad y otro para una
auditoría de data center y recuperación de desastres.
 Desarrollo

Respuesta:
Antes que todo, debemos asegurar la seguridad física de los equipos, para lo cual no basta sólo con realizar una inspección
visual por parte del administrador, sino que es necesario realizar una checklist para corroborar la seguridad física del lugar.
Posteriormente debemos chequear la seguridad de la red, cual es importante en cuanto se refiere a mantener el sistema seguro.
Esta última es más difícil de fiscalizar, puesto que requiere de conocimientos más profundos, en cuanto a componentes y servicios.

Checklist Datacenter
Seguridad física
N° de Si No N/A Observaciones
orden
1 ¿Rack y Gabinetes están
rotulados en su parte
frontal y
trasera?
2 ¿La dependencia cuenta
con un sistema
contraincendios?
3 ¿La dependencia cuenta
con cámaras de
seguridad y
control de acceso en sus
puertas?
4 ¿Los respaldos se hacen
semanalmente y son
guardados
en lugar seguro?
Seguridad de red
N° de SI NO N/A Observaciones
orden
1 ¿Existe un plan de
contingencia en caso
de algún
Accidente (terremoto,
incendio, inundación,
etc..)?

2 ¿Están establecidas
las prioridades en
caso de algún
desastre?

3 ¿Existe algún plan de

recuperación y tiempo
de espera de
las novedades?
 ¿Compare las semejanzas que presenta cada Checklist para los diferentes tipos de auditoría?

La principal semejanza entre las checklist, es la seguridad, tanto de la información, como física de los equipos, con el objetivo
de evitar la pérdida de datos. Y en caso de presentarse alguna emergencia, debe estar muy bien definido lo que se tiene
que hacer, para evitar mayores consecuencias.

b. La evaluación debe considerar un plan de contingencias y recuperación de desastres usando un

segundo sitio. Se le solicita entonces que construya un documento que detalle las acciones
mínimas a realizar en caso de desastre en función de los requerimientos mencionados en el
enunciado.

Respuesta:

Ante un eventual desastre, lo primero que debemos corroborar, es que los administradores cuenten con un segundo servidor de
archivos (como respaldo), el cual debe estar en otro lugar físico, para no ser afectado por el desastre. Además se debe
tener un plan de contingencia, donde se específica lo que deben hacer todos los administradores. Por lo que en caso de
presentarse una eventualidad, se debe tener presente, el tiempo para poner en marcha parte de la red, y así poder seguir
trabajando. Por último es importante realizar mantenimiento de los generadores y UPS de las sala de servidores.
 2. Se le ha solicitado conducir una auditoría de redes de una empresa de cosméticos que
considera en su alcance solo los dispositivos perimetrales: En este caso, ¿la restricción de
servicios del router perimetral puede considerarse como parte la auditoría? ¿Por
qué? Fundamente su respuesta.

Respuesta:

Si se deben considerar, puesto que es importante considerar la seguridad del Router, ya que es necesario conocer las reglas y nivel de
seguridad de cómo están configurados. Por lo que, la revisión de los equipos perimetrales podrán considerarse al momento de la auditoria,
dependiendo de lo que se desea obtener del proceso de la auditoria.
Para lo cual se debe realizar lo siguiente:

- Todos los puertos que no se están usando, deben estar deshabilitados

- Tener la clave de acceso robusta

- Se debe cambiar la SSID

- Se debe Limitar el número de direcciones

- Y por último se debe filtrar las direcciones MAC

3. Usted se encuentra realizando una auditoría de seguridad en una empresa de comercio

electrónico que requiere que sus servicios estén disponibles las 24 horas del día y todos los
días de la semana. ¿Es válido como objetivo de la auditoría determinar la efectividad del
plan de continuidad de negocio? Fundamente su respuesta.

Respuesta:

Si la empresa a auditar entrega un servicio las 24 horas del día, los siete días de la semana, durante el año, no se puede
cumplir con la auditaría. Puesto que es riesgoso, al ser un trabajo durante los 365 días del año, generará fallas físicas o
lógicas. Por lo que se deben tomar todas la medidas de seguridad para el buen funcionamiento de la organización, y de
esta manera poner en marcha el plan de contingencia que debe tener la capacidad de funcionar 24/7, durante todo el año.
 Bibliografía

- IACC 2019. Auditoría Informática. Principales Áreas de la Auditoría Informática, Parte II. Contenido de la
Semana 8