Académique Documents
Professionnel Documents
Culture Documents
Parte II
Auditoria de Informática
Instituto IACC
27-12-2019
Desarrollo
- Usted debe evaluar las instalaciones de un centro de cómputo para determinar la mejor
opción para una empresa de procesamiento de tarjetas de crédito. Los requisitos mínimos
que se deben cumplir tienen relación con respaldo de energía y sistemas contra incendios.
a. Para cada uno de los requerimientos del enunciado construya un checklist de al menos 3
preguntas a utilizar en una auditoría de seguridad y otro para una auditoría de data center y
recuperación de desastres. Compare las semejanzas que presenta cada checklist para los
diferentes tipos de auditoría.
Auditoria de seguridad
Lo primero que debemos asegurar es la seguridad física y no basta solo con una inspección
visual por parte del administrador, para lo cual es ideal realizar una checklist para la seguridad
física. La seguridad de red es lo segundo más importante en cuanto a mantener el sistema seguro.
La seguridad de la red también es más difícil de fiscalizar, ya que requiere de los conocimientos
más profundos de todos los componentes y servicios.
El acceso a la base de datos, se realiza a través del sistema corporativo. ¿Que niveles de
seguridad cuenta la clave de acceso a este sistema (mayúsculas, minúsculas, caracteres,
bloqueo por intentos o inactividad, etc.)?
¿Se cuenta con un sistema de monitoreo de los sensores de humo de la empresa?, de tal
forma de conocer si estos se encuentran activos o con fallas.
¿Se cuentan con mantenciones preventivas y correctivas al sistema de UPS, que protege
la conexión de los equipos de comunicaciones de la empresa?
¿La dependencia cuenta con cámaras de seguridad y control de acceso en sus puertas?
¿Se cuenta con un segundo site de servidores, ante un incendio que pueda afectar el
funcionamiento de estos?
Ante algún desastre lo primero es que los administradores cuenten con un segundo servidor de
archivos en otro lugar físico. Contar con plan de contingencia y que todos los administradores
sepan lo que tiene que hacer. En caso de alguna emergencia, deberá tener presente el tiempo de
poner en marcha parte de la red para seguir trabajando. El mantenimiento de los generadores y
UPS de las sala de servidores.
Monitorear el estado de la UPS del segundo site, de tal forma, de realizar las
mantenciones en sus fechas y realizar pruebas de funcionamiento de esta.
Mantener un control sobre los accesos al segundo site, tanto a nivel físico como las
conexiones a los servidores.
Monitorear los enlaces contratados, tanto el que permite la copia activa de datos entre el
site principal y el secundario, como el enlace que nos permita conectarnos y el enlace
contratado con un proveedor distinto.
Podríamos decir que esta puede ser interna o externa, interna hablamos de la configuración de los
segmentos de la red, la topología utilizada, protocolos establecidos, etc. Una auditoría externa,
considera el firewall, reglas y/o configuraciones tanto de este como del router o switch principal,
por lo tanto, la revisión de los equipos perimetrales si puede considerarse al momento de realizar
la auditoria, esto dependerá de que desee obtener del proceso de auditoría, la empresa en
cuestión. Más allá que los equipos perimetrales, pueden ser administrados por el proveedor de
internet, siempre es necesario conocer las reglas y el nivel de seguridad que estos tienen
configurados, y evitar posibles accesos no deseados por reglas que no han sido implementadas
por el proveedor, simplemente porque el cliente las desconoce y por ende no solicita su creación,
también revisar y evaluar si los equipos perimetrales que fueron instalados por el proveedor
cumple con los requisitos necesarios para un funcionamiento óptimo de la empresa, ya que, este
podría verse colapsado por las conexiones generando lentitud en la red del cliente, el cual podría
pensar que el problema de lentitud son los pc´s o el cableado, por ejemplo.
No debemos olvidar que el objetivo de revisar la seguridad de la red interna, es evitar recibir
ataques de hackers o de personas externas que deseen conectarse de forma indebida a la red
interna de la empresa.
La empresa a auditar entrega un servicio los 365 días del año y las 24 horas del día, será
necesario auditar lo que a nuestro juicio no se pueda cumplir. Es un gran riesgo el trabajo los 365
días del año ya que nos encontraremos con fallas físicas o lógica. Hay que tomar todas la
medidas de seguridad para el buen funcionamiento de la empresa y poner en marcha para poder
evaluar el plan que tiene que tener la capacidad de funcionar 24/7.