Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sistemas
Seguridad y Auditoria en las TICs Código:03070
Proyecto
Caso Práctico: La Auditoria de Sistemas de
Información
Objetivo
Desarrollo.
Para facilitar este caso práctico se definen los controles que deberá
evaluar a lolargo del ejercicio.
• Procedimiento.
a. Evaluar el control de salidas e ingresos de equipos de
cómputo y personal. (cuando es funcionario). Precisar el
ingreso de personal externo en el área.
i. Se deberá revisar en los formularios la información
referente a: la fecha de ingresos y salidas, el nombre
del personal que ingresa o si es acompañado, el
motivo del ingreso, las autorizaciones firmadas
para la salida o ingreso del equipo de cómputo.
b. Claves de acceso.
i. Se deberá revisar las claves para ingreso a la red.
Revisión de los funcionarios con claves activos en la
red, fecha de activación, nombre del usuario, fecha
de expiración de la clave, cambios de claves, fechas
de accesos, estatus de la clave (funcionarios
pensionados, despedidos u otros).
c. Revisión del inventario de equipos (activo).
i. Se deberá solicitar el registro de inventario del
equipo de cómputo, verificando su existencia
Cátedra Tecnología de
Sistemas
Seguridad y Auditoria en las TICs Código:03070
física, plaqueado de
identificación, asignación de activos por
funcionario, actualización del valor y el estatus del
activo. Se podrá solicitar información del Software
utilizado para el mantenimiento del inventario de
equipos.
d. Revisión del procedimiento de respaldo de la información
procesada.
i. Se deberá verificar el proceso actual de respaldos,
así como laperiodicidad y efectuar al menos un
proceso de recuperación de respaldo. Con esto se
procederá a verificar su funcionalidad.
e. Procesos (Ver generalidades)
i. Protección y acceso al área. Revisión de la
protección de losequipos físicos.
ii. Respaldos de la información. Revisión de los
procedimientos derespaldos y recuperación.
iii. Inventario de equipo. Análisis y revisión de las pólizas
de seguros, presupuestos para nuevas compras y
mantenimiento general.
iv. Verificación del Plan de continuidad del
negocio (incluyedesastres naturales o
emergencias nacionales).
Cátedra Tecnología de
Sistemas
Seguridad y Auditoria en las TICs Código:03070
Instrucciones
1. Elaborar la carta de formalización del inicio de la Auditoria.
2. Elaborar el Informe final de la Auditoria.
a. Introducción.
b. Objetivo.
c. Alcance.
d. Cronograma propuesto de las sesiones de revisión para la
auditoria.
e. Matriz de de riesgo operacional. Incluir riesgos por cada
control antes identificado (Acceso al área, respaldos de la
información, inventario de equipo y plan de continuidad de
negocios)
3. Anexos