Universidad Privada Dr.

Rafael Belloso Chacín

Facultad de Ingeniería
Escuela de Informática
Cátedra: Seguridad Informática

TALLER 30%

Se requiere que usted establezca el detalle de

actividades que deberán ser aplicadas en una Auditoria
de Seguridad Informática en relación a una Empresa u
organización.
Deberá dársele respuesta a las Interrogantes siguientes:

 Áreas o locaciones físicas que deben ser Auditadas.

 Cuales deberán ser los procedimientos o actividades que deberán

ser llevadas a cabo.

 Que elementos documentales se requerirán de la empresa Auditada.

 Nivel de involucramiento del personal de la Empresa u

Organización dentro del proceso de Auditoria.

 Especificar y explicar los tipos de Auditoria de Seguridad

informática que se aplicaran.

 Como debe presentarse el informe de Auditoría practicada en la

empresa u organización.
 • Áreas o locaciones físicas que deben ser Auditadas:
Auditoría de Infra Estructura Física:

Auditoría de Infra Estructura Lógica:

Auditoría de Aplicaciones:

Auditoría de Estaciones de Trabajo:

Auditoría de las instalaciones físicas del departamento de Informática:

Auditoría de los conocimientos del personal del departamento de Informática:

 Cuales deberán ser los procedimientos o actividades

que deberán ser llevadas a cabo.
1. Auditoría de Infra Estructura Física:

Esta etapa de la auditoría es muy importante de revisar, ya que en muchas

ocasiones las empresas u organizaciones poseen pocos recursos, y esto puede
crear vulnerabilidades, también existen situaciones opuestas en las cuales
tienen muchos recursos y están siendo sub utilizados.

Hay que revisar el Hardware de los servidores que utilizan, y el propósito de

uso del servidor en sí, con el objetivo de comprender si los recursos que posee
cada servidor son los óptimos para prestar el tipo de servicio o función para lo
que ha sido designado. Hay que tomar en cuenta que cada sistema operativo
de servidor consume una "X" cantidad de recursos de Memoria RAM y
procesador, y según el uso destinado deberán ser las características del equipo
analizado. Es conveniente que se posean estudios de Benchmark del caso, para
poder tener parámetros de comparaciones y recomendaciones.

2. Auditoría de Infra Estructura Lógica:

Esta etapa de la auditoría debe de revisar múltiples áreas de la infra estructura,

tales como lo son:

1. Diseño Lógico de la Red LAN.

 2. Diseño Lógico de la Red WAN o MAN.

3. Diseño de DNS.

4. Tipos de servicios o aplicaciones que se ejecutaran en los servidores.

5. Fin o propósito de cada servidor y su respectiva configuración.

6. Cantidad de usuarios a los que se presta servicio con el objetivo de

establecer si el performance de cada servidor es el adecuado para las
aplicaciones y cantidad de usuarios a los que presta servicio.

3. Auditoría de Aplicaciones:

Esta parte es muy compleja de revisar, ya que hay múltiples factores a tomar
en cuenta de la aplicación a revisar, tales como:

 Lenguaje de Programación.

 Actualizaciones de la Aplicación.

 Fabricante.

 Trayectoria del Fabricante.

 Soporte en sitio.

 Tipo de base datos que utiliza.

 Diccionario de la estructura de la base de datos.

 Compatibilidad con programas generadores de reporte de terceros.

 Arquitectura de la aplicación.

 Métodos de acceso de los usuarios.

 Establecer si un usuario del mas bajo nivel puede acceder a las partes
mas delicadas de la aplicación, de forma intuitiva, ya que hay que
recordar que los Hacker`s mas cercanos que tenemos son los mismos
usuarios por su propia curiosidad humana en el mejor de los casos.
  Revisar si la aplicación posee bitácoras de tipo transaccional, con las
cuales se pueda hacer rastreos de lo ejecutado por cada usuario en su
sesión de trabajo.

4. Auditoría de Estaciones de Trabajo:

Generalmente las empresas poseen un departamento de recursos Humanos que

tiene definidos los Roles, funciones, atribuciones de cada uno de los
empleados, por consiguiente informática debe tener conocimiento de que
funciones tiene un empleado, para poder instalar el Software necesario para el
trabajo del empleado. Así poder determinar que no tenga juegos o
herramientas que distraigan su atención, o que solamente consuman recursos
de la estación de trabajo necesarios para su trabajo cotidiano. Por ello es que
una empresa debe tener clara estas definiciones. Además se debe revisar que
los usuarios no sean Administradores de sus equipos, para que no puedan
instalar SW (Software) a su discreción. Revisar que se posea el licenciamiento
de los programas instados en la estación de trabajo. Hay que hacer las
revisiones del caso con Software destinado a realizar inventarios de HW
(Hardware) y SW instalados en la estación de trabajo.

5. Auditoría de las instalaciones físicas del departamento de Informática:

Esta parte es muy importante, ya que la seguridad Física es parte fundamental,

ya que las amenazas de este tipo son latentes, los puntos a revisar son:

 Métodos de acceso al cuarto de servidores.

 Bitácoras de acceso al área de servidores.
 Sistema de monitoreo por medio de video.
 Bitácoras de Video.
 Temperatura ambiente del área de servidores.
 Circuito eléctrico independiente del cuarto de servidores.
 Sistema de protección de descargas electro atmosféricas para el cuarto
de servidores.
 Ubicación, distribución de los Rack y propósito del rack.
 Sistemas detectores de Humo.
 Equipos para apagado de Fuego a base de CO2.
 Circulación del aire acondicionado en el cuarto de servidores.
 Canales aéreos de trasporte del cableado estructurado que ingresa al
cuarto.
  Rack independiente para equipos activos y pasivos de Voz, Datos,
Video.
 Mapas disponibles de los diferentes puntos de red y su uso.
 Métodos de limpieza del área de servidores, frecuencia, entrenamiento
del personal que la realiza, etc.

6. Auditoría de los conocimientos del personal del departamento de

Informática:

Hay múltiples factores a evaluar según la función y puesto del personal, ya

que el perfil y conocimientos de cada uno pueden variar según sus funciones y
atribuciones.

Generalmente hay 6 tipos de personal en IT:

 Gerente de Informática.
 Administrador(es) de red LAN, WAN.
 Administrador(es) de seguridad Perimetral e interna.
 Desarrolladores de aplicaciones.
 Administrador de bases de datos.
 Técnico de atención a usuarios.

 Que elementos documentales se requerirán de la

empresa Auditada.

 Totalidad de los documentos preparados o recibidos por los auditores,

Compendio de la información recabada y de las pruebas efectuadas,
sustento de la opinión.
 Guían las fases de la auditoría
 Nexo entre el trabajo de campo y el informe
 Sustentan las conclusiones, opiniones, comentarios y recomendaciones
 Son insumo a posteriores procesos judiciales

 Nivel de involucramiento del personal de la Empresa

u Organización dentro del proceso de Auditoria.
Los gerentes, jefes o autoridades administrativas de cada departamento,
sección o cuadro organizativo específico deberán ejercer vigilancia sobre:

 el cumplimiento de las normas constitucionales y legales, los planes y

políticas de los instrumentos de control interno, las operaciones y
actividades realizadas por las unidades administrativas y servidores de
las mismas, bajo su supervisión
 El sistema de control interno
 El grado de operatividad y eficacia de los sistemas de administración
 y de información gerencial
 Los registros y estados financieros, para determinar su pertinencia y
 confiabilidad
 La evaluación de la eficiencia, eficacia y economía en el marco de las
operaciones realizadas

 Como debe presentarse el informe de Auditoría

practicada en la empresa u organización.
Toda la información recopilada con las pruebas de control y sustantivas
deberá ser analizada y evaluada por el auditor, con la aplicación de
procedimientos analíticos, hasta el grado de que pueda determinar problemas e
inferir desviaciones en los procesos o resultados, para definir así los hallazgos
de auditoría.

El auditor obtendrá la certeza suficiente y apropiada a través de la ejecución

de sus procedimientos y comprobaciones para permitirle emitir las
conclusiones sobre las que fundamentar su opinión acerca de la información
operacional, financiera, presupuestaria o de otra índole.