Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INFORMÁTICAS
EXPOSITORES…
DEFINICIÓN
• Quedaran claramente definidos los puntos débiles, y por contrapunto los fuertes, los
riesgos eventuales, y en primera instancia los posibles tipos de solución o mejoras de
los problemas planteados.
• Estas conclusiones se discutirán con las personas afectadas por lo que serán
suficientemente argumentadas y probadas
• Los auditores deben presentar estas conclusiones como un plan de mejoras en
beneficio de todos, en lugar de una reprobación de los afectados, salvo en el caos
de que esto sea estrictamente necesario.
FASE 5: PRESENTACIÓN DE CONCLUSIONES
La presentación de conclusiones de la auditoría informática de redes se refiere al
momento en que cada uno de los responsables de la ejecución de la auditoría dan a
conocer su opinión respecto a los resultados obtenidos.
La reunión para realizar dicha presentación se compone de:
• Presentar los resultados de la auditoría.
• Resaltar las fortalezas del sistema de calidad.
• Recordar el alcance de la auditoría.
• El Auditor Líder o a quien se delegue presenta los hallazgos (todos o agrupados).
• Aclaraciones sobre los hallazgos.
• Finalmente, se agradece a los auditados.
FASE 6: FORMULACIÓN DEL PLAN DE MEJORA
El plan de mejoras abarcara todas las recomendaciones derivadas
de las deficiencias detectadas en la realización de la auditoria.
Para ello se tendrán en cuenta los recursos disponibles, o al menos
potencialmente disponibles, por su parte de la empresa objeto de
la auditoria.
Estas mejoras pueden pasar por la reconsideración de los sistemas
en uso o delos medios, humanos y materiales, con que se cuenta.
Llegando si es preciso a una seria reconsideración del plan
informático.
AUDITORIA WEB
El objetivo de una auditoria en
WEB es dar a conocer el estado de
la pagina que se esta verificando,
dando como resultado una serie de
reportes que ayudaran al
webmaster o al propietario a
comprender varias áreas del sitio
como son la seguridad, la
usabilidad, contenido, calidad, etc.
AUDITORIA DE RED INTERNA
• Su objetivo es evaluar la seguridad de la red
interna de una empresa ante la posibilidad de
recibir ataques por parte de un hacker que
haya conseguido alcanzar la intranet o ataques
provenientes del personal interno a la empresa.
• La auditoria de la red interna se centra en
evaluar la seguridad de los sistemas de
protección perimetral situados en la red de una
empresa (routers y firewalls que separan
subredes, etc.) así como los diferentes sistemas
que están localizados en dicha red(sistemas
host, servidores de ficheros, de impresión, de
web, de correo, de noticias, etc.)
FORMATOS PARA AUDITORIA INFORMÁTICA
Para la planeación del proceso de auditoria es necesario el diseño de los formatos de para el
proceso de recolección de información y la presentación de los resultados de la auditoria, estos
documentos denominados papeles de trabajo finalmente son organizados por cada proceso
evaluado y al final se presenta el dictamen y el informe final de los resultados.
FORMATO DE DEFINICION DE FUENTES DE CONOCIMIENTO
Los formatos de fuentes de conocimientos son usados para especificar quienes tienen la
información o que documentos poseen y las pruebas de análisis o ejecución que deberán
practicarse en cada proceso.
FORMATO DE ENTREVISTA
La entrevista
generalmente se
aplica solo al
persona clave
(administrador del
sistema, usuarios de
mayor experiencia
del área de redes,
otros)
FORMATO DE CUESTIONARIO
El formato de cuestionario tiene dos objetivos:
1. La confirmación de los riesgos ya detectados anteriormente.
2. Descubrir nuevos riesgos que aun no se hayan detectado.
El cuestionario se aplica solamente al personal clave que posee la información
para responderlo, por eso es necesario identificar las personas que puedan
dar respuesta a las interrogantes planteados en el cuestionario.
Las preguntas en el cuestionario son de dos tipos:
1. El primer tipo son las preguntas sobre la existencia de controles o riegos.
2. El segundo tipo son las de completitud que tienen por objetivo saber si se
esta aplicando completamente los controles o de manera parcial
FORMATO DE HALLAZGOS
Una vez los riegos han sido conformados mediante pruebas y evidencias,
estos riesgos pasan a denominarse hallazgos. Los formatos de los
hallazgos son de suma importancia en la auditoria ya que llevan la
información de todo el proceso realizado y una descripción de como se
esta presentando el riesgo y sus consecuencias para la medición o
valoración de los riegos en el proceso de evaluación de riesgos que se
leva a cabo posteriormente. Además en el formato de hallazgos se
puede encontrar la información de las recomendaciones para determinar
los posibles controles para mitigarlos
CARACTERÍSTICAS DE UNA AUDITORIA DE RED
INTERNA
• Proporciona una visión detallada del estado de la seguridad en la red
interna
• Conectando un sistema a la red interna obtener acceso a los servidores e
información privilegiada que esta localizada en esta red
• Se simula la actuación de un empleado de la empresa que intenta utilizar
recursos de la red interna para los que no tiene permisos
• Se utiliza la misma metodología y técnica que en los TEST de intrusión,
excepto que ahora se ha de tener en cuenta que los ataques se realizan
desde dentro de la red interna
• Se incluye la revisión de la política de seguridad de la empresa
• La auditoria se realiza desde la dependencias del cliente
¿POR QUÉ Y AHORA QUE SE REALIZA UNA
AUDITORIA DE REDES INFORMÁTICAS?