Principales áreas de la auditoría informática.

Parte II

Rooney Hurtado Pino

Auditoria de Informática

Instituto IACC

20 de octubre 2018
 Desarrollo

Usted debe evaluar las instalaciones de un centro de cómputo para determinar la

mejor opción para una empresa de procesamiento de tarjetas de crédito. Los

requisitos mínimos que se deben cumplir tienen relación con respaldo de energía

y sistemas contra incendios.

a) Para cada uno de los requerimientos del enunciado construya un checklist

de al menos 3 preguntas a utilizar en una auditoría de seguridad y otro para

una auditoría de data center y recuperación de desastres. Compare las

semejanzas que presenta cada checklist para los diferentes tipos de

auditoría.

Auditoria de seguridad:

La auditoria de seguridad se encuentra orientada a la revisión y/o evaluación de

la seguridad lógica de la información, buscando minimizar los riesgos de pérdida

o daño de información o datos. Junto con esto, busca resguardar que esta no sea

ingresada y/o manipulada de forma indebida.

 ¿Se cuenta con un sistema de control de acceso a la sala de servidores,

donde se almacena la información del proceso de tarjetas de créditos?, de

ser así, especifique el funcionamiento de este sistema de control y si su

registro es manual o automático.

 El acceso a la base de datos se realiza a través del sistema corporativo.

¿Qué niveles de seguridad cuenta la clave de acceso a este sistema

(mayúsculas, minúsculas, caracteres, bloqueo por intentos o inactividad,

etc.)?
  ¿Se cuentan con mantenciones preventivas y correctivas al sistema de

UPS, que protege la conexión de los equipos de comunicaciones de la

empresa?

 ¿Se realizan pruebas al sistema de electricidad, para confirmar que la UPS,

funcione de forma optima ante una falla?

 ¿Se cuenta con un sistema de monitoreo de los sensores de humo de la

empresa?, de tal forma de conocer si estos se encuentran activos o con

fallas.

Auditoria de data center y recuperación de desastres:

Esta auditoría se encuentra orientada a la seguridad a nivel de data center y al

plan de contingencia con el que puede contar la empresa ante una falla o como

indica su nombre, un desastre.

 ¿Se cuenta con un grupo electrógeno, que permita restituir el servicio de

electricidad, ante una falla o problema del proveedor del servicio?

 ¿Se cuenta con un segundo site de servidores, ante un incendio que pueda
afectar el funcionamiento de estos?
 “El riesgo de incendio es alto debido a la cantidad de sistemas eléctricos
en funcionamiento y la cantidad de calor disipada por estos”, ¿Se cuenta
con un sistema de monitoreo, que permita detectar alzas de calor en el data
center?
 ¿Se cuenta con un plan de apagado de incendios, especialmente diseñado
para el Data Center, considerando el equipamiento que encontramos
dentro de esta sala?

Comparación Preguntas:

Al realizar las preguntas de una auditoria orientándonos al sistema de electricidad

y de incendios, nos damos cuenta que para ambas auditorias, se busca evitar la
 pérdida de datos, ya que, estos son el gran valor de la empresa y las preguntas
se orientan hacia contar con servicios que permitan detectar errores y/o problemas
antes que se conviertan en fallas o un desastre, que nos signifique dedicar tiempo
y recursos a recuperar y restaurar el servicio afectado.

b) La evaluación debe considerar un plan de contingencias y recuperación de

desastres usando un segundo sitio. Se le solicita entonces que construya

un documento que detalle las acciones mínimas a realizar en caso de

desastre en función de los requerimientos mencionados en el enunciado.

Ante la situación de un desastre y que se pueda ver afecto el data center donde

se encuentran nuestros servidores, es recomendable contar con un segundo sitio

que contenga una réplica de los servidores y que obviamente se encuentre

físicamente en lugar distinto al principal. Para ello es posible contar con

servidores virtuales, los cuales mantengan una conexión activa/activo, es decir,

estos se encuentren en estado de escucha o copia, de tal forma, de contar con la

información al minuto entre el servidor principal y el de respaldo.

Este segundo site, debe contar con un enlace de comunicación dedicado entre el

site principal y el de respaldo, además de contar un enlace que nos permita

conectarnos como empresa, ante la falla del site principal y un tercer enlace con

un proveedor distinto, ante la posibilidad de que la falla del proveedor de enlace.

Este segundo site requiere al igual que el primero de respaldos programados, es

fácil, pensar que esto no es necesario si estamos respaldando el principal, sin

embargo, la recuperación de un servidor es mucho más rápido cuando contamos

con los respaldos a nivel de máquina y datos.

Para que este site, cumpla su función en el caso de un desastre es necesario:

 Mantener un monitoreo sobre los servidores ubicados en el segundo site,

revisando su estado de conexión, uso de disco duro, estados de copias de

información, bases de datos, etc.

 Monitorear los enlaces contratados, tanto el que permite la copia activa de

datos entre el site principal y el secundario, como el enlace que nos permita

conectarnos y el enlace contratado con un proveedor distinto.

 Monitorear y probar los respaldos realizados a los servidores del segundo

site.

 Monitorear el estado de la UPS del segundo site, de tal forma, de realizar

las mantenciones en sus fechas y realizar pruebas de funcionamiento de

esta.

 Mantener un control sobre los accesos al segundo site, tanto a nivel físico

como las conexiones a los servidores.

 Mantener un monitoreo sobre la temperatura del segundo site, ademas de

la temperatura de los servidores.

 Revisar las configuraciones de los equipos de comunicaciones, de tal forma

de no correr riesgos de accesos no autorizados.

 Replicar todas las reglas que puedan estar implementadas en el site

principal, ya sea, en el firewall, vlands creadas en los equipos de

comunicaciones, reglas en la planta telefónica, etc.

 Documentar, ningún plan o proceso debe quedar sin la documentación

adecuada, de tal forma de que los distintos funcionarios involucrados

 cuenten con toda la información necesaria, ya sea, para monitorear o

revisar el funcionamiento de los site. Esta documentación debe contar con

checklist de revisión, mapas de comunicaciones, informes de monitoreo,

etc.

Se le ha solicitado conducir una auditoría de redes de una empresa de cosméticos

que considera en su alcance solo los dispositivos perimetrales: En este caso, ¿la

restricción de servicios del router perimetral puede considerarse como parte la

auditoría? ¿Por qué? Fundamente su respuesta.

Al realizar una auditoría de redes, podríamos decir que esta puede ser interna o externa,

interna hablamos de la configuración de los segmentos o vlands de red, la topología

utilizada, protocolos establecidos, etc. Una auditoría externa, considera el firewall, reglas

y/o configuraciones tanto de este como del router o Switch principal, por lo tanto, la

revisión de los equipos perimetrales si puede considerarse al momento de realizar la

auditoria, esto dependerá de que desea obtener del proceso de auditoría, la empresa en

cuestión. Mas allá que los equipos perimetrales, pueden ser administrados por el

proveedor de internet, siempre es necesario conocer las reglas y el nivel de seguridad

que estos tienen configurados, y evitar posibles accesos no deseados por reglas que no

han sido implementadas por el proveedor, simplemente porque el cliente las desconoce

y por ende no solicita su creación, también revisar y evaluar si los equipos perimetrales

que fueron instalados por el proveedor cumple con los requisitos necesarios para un

funcionamiento optimo de la empresa, ya que, este podría verse colapsado por las

conexiones generando lentitud en la red del cliente, el cual podría pensar que el problema

de lentitud son los PCs o el cableado, por ejemplo.

No debemos olvidar que el objetivo de revisar la seguridad de la red interna, es evitar

recibir ataques de hackers o de personas externas que deseen conectarse de forma

indebida a la red interna de la empresa.

Usted se encuentra realizando una auditoría de seguridad en una empresa de

comercio electrónico que requiere que sus servicios estén disponibles las 24

horas del día y todos los días de la semana. ¿Es válido como objetivo de la

auditoría determinar la efectividad del plan de continuidad de negocio?

Absolutamente, la empresa que estamos auditando necesita entregar un servicio los 365

días del año, las 24 horas del día, por lo tanto, es necesario auditar los distintos puntos

que pueden provocar que esto no se cumpla. Si bien no existe el sistema infalible y

siempre nos encontramos ante el riesgo de una falla física o lógica, es en este punto

donde el plan de continuidad de negocio toma gran relevancia, ya que, este debe haber

sido pensado bajo la lógica "Siempre desear lo mejor y planear para lo peor", ya que, los

factores que pueden afectar un negocio son diversos.

Para esto, es necesario revisar los puntos que considera el plan de continuidad de

negocio, desde los procedimientos, instalaciones habilitadas, procesos de prevención

ante desastres y/o fallas, etc.

 Bibliografía

Contenido Semana 8 IACC