PRINCIPALES AREAS DE LA AUDITORÍA INFORMÁTICA PARTE II

Alejandro Fernández Garrido

AUDITORÍA INFORMÁTICA

Instituto IACC

24 Diciembre de 2018
 Desarrollo

Usted debe evaluar las instalaciones de un centro de cómputo para determinar la mejor opción
para una empresa de procesamiento de tarjetas de crédito. Los requisitos mínimos que se deben
cumplir tienen relación con respaldo de energía y sistemas contra incendios.

a. Para cada uno de los requerimientos del enunciado construya un checklist de al menos 3
preguntas a utilizar en una auditoría de seguridad y otro para una auditoría de data center y
recuperación de desastres. Compare las semejanzas que presenta cada checklist para los
diferentes tipos de auditoría.

b. La evaluación debe considerar un plan de contingencias y recuperación de desastres usando un

segundo sitio. Se le solicita entonces que construya un documento que detalle las acciones
mínimas a realizar en caso de desastre en función de los requerimientos mencionados en el
enunciado.
R:
a.- AUDITORIA DE SEGURIDAD
CHECK LIST RESPALDO ENERGETICO
1.- ¿Se cuenta con un respaldo eléctrico, independiente de la red eléctrica de las dependencias?
2.-Si tiene respaldo eléctrico, ¿Cuál es el Tipo de Respaldo, Ups, Equipo electrógeno o Red
eléctrica conmutable?
3.- ¿Qué equipos tenemos respaldado energéticamente?
4.- ¿Están las conexiones debidamente rotuladas?
4.-Baterias o acumuladores ¿Cuál fue la Ultima Mantención y comprobación de carga?

CHECK LIST SISTEMA CONTRA INCENDIO

1.- ¿Cuál fue la última mantención del sistema contra incendio?
2.- ¿Hay documentación de pruebas o simulacros, probando el sistema de incendio?
3.- Estas el equipamiento debidamente rotulado y señalizado.
4.-Existe un debido Plan de emergencia por escrito, con procedimiento en caso de siniestro.
CHECK LIST DATA CENTER Y RECUPERACION DE DESASTRE

1.- Existe un procedimiento escrito para respaldo y recuperación de sistema y base de datos, que
identifique frecuencia y tipo de respaldo. Estos respaldos son debidamente rotulados y guardados
en algún lugar fuera de la misma sala de equipos y/o en otras dependencias.
2.- Los respaldos son periódicos, mensuales, semanales o diarios, se lleva registro de esto en una
bitácora por el personal autorizado.
3.-Los equipos están dentro de un perímetro de seguridad donde solo hay acceso de personal
autorizado. Y también ver si los equipos se encuentran en un lugar apropiado para mantener la
integridad de los activos de información.
4.-Se tiene un registro de las salas y nodos de la plataforma
5.-los equipos están bien ocupados para evitar temperaturas o humedad extrema.
6.-Los equipos están ubicados para evitar riesgo de incendio o daños de techos o paredes
adyacentes.
7.- se encuentran los equipos debidamente rotulados.
8.-Bitacora de acceso y actividad en la sala de equipos.
9.-Cual es la estrategia para la gestión de incidentes
10.-Cual es la estrategia para la continuidad del negocio.
11.- Existe un Procedimiento y responsabilidades para la mantención del plan de estrategia en
caso de desastre.

Se le ha solicitado conducir una auditoría de redes de una empresa de cosméticos que considera
en su alcance solo los dispositivos perimetrales: En este caso, ¿la restricción de servicios del
router perimetral puede considerarse como parte la auditoría? ¿Por qué? Fundamente su
respuesta.
R: Según el ejemplo expuesto, podemos afirmar que la restricción del servicio del router si se
puede considerar como parte de la auditoria, ya que este es aquel que nos indica el borde o límite
de la red. Al definir el perímetro de una red, ósea es hasta donde llega esta, lo podemos ver como
un borde externo, es por esto que los firewall y routers son considerados como equipos
perimetrales ya que estos son el inicio o fin de la red según el punto de vistas, en este ejemplo
específico.

Usted se encuentra realizando una auditoría de seguridad en una empresa de comercio

electrónico que requiere que sus servicios estén disponibles las 24 horas del día y todos los días
de la semana. ¿Es válido como objetivo de la auditoría determinar la efectividad del plan de
continuidad de negocio? Fundamente su respuesta.

R: El objetivo de la Auditoria es evaluar el funcionamiento de la empresa, la eficacia de sus

procedimientos junto a sus recursos y activos informáticos, identificando falencia o errores en la
operatividad. La información que reúne o entrega como resultado una auditoria, es el reflejo de
cómo opera la institución. La empresa deberá establecer si su negocio puede tener continuidad ya
que con la información de la auditoria se clarificara que es lo que hace falta o que queda por
reparar o mejorar, y si para la empresa no es viable, si puede ser un factor determinante para
tomar una decisión.
 Bibliografía

Contenido Semana 8, Auditoría Informática, IACC 2018