Principales áreas de la auditoría informática.

Parte II

Auditoria de Informática

Instituto IACC

27-12-2019
 Desarrollo

- Usted debe evaluar las instalaciones de un centro de cómputo para determinar la mejor
opción para una empresa de procesamiento de tarjetas de crédito. Los requisitos mínimos
que se deben cumplir tienen relación con respaldo de energía y sistemas contra incendios.

a. Para cada uno de los requerimientos del enunciado construya un checklist de al menos 3
preguntas a utilizar en una auditoría de seguridad y otro para una auditoría de data center y
recuperación de desastres. Compare las semejanzas que presenta cada checklist para los
diferentes tipos de auditoría.

Auditoria de seguridad

Lo primero que debemos asegurar es la seguridad física y no basta solo con una inspección
visual por parte del administrador, para lo cual es ideal realizar una checklist para la seguridad
física. La seguridad de red es lo segundo más importante en cuanto a mantener el sistema seguro.
La seguridad de la red también es más difícil de fiscalizar, ya que requiere de los conocimientos
más profundos de todos los componentes y servicios.

 El acceso a la base de datos, se realiza a través del sistema corporativo. ¿Que niveles de
seguridad cuenta la clave de acceso a este sistema (mayúsculas, minúsculas, caracteres,
bloqueo por intentos o inactividad, etc.)?

 ¿Se cuenta con un sistema de monitoreo de los sensores de humo de la empresa?, de tal
forma de conocer si estos se encuentran activos o con fallas.

 ¿Se cuentan con mantenciones preventivas y correctivas al sistema de UPS, que protege
la conexión de los equipos de comunicaciones de la empresa?

Auditoria de data center y recuperación de desastres

Esta auditoría se encuentra orientada a la seguridad a nivel de data center y al plan de

contingencia con el que puede contar la empresa ante una falla o como indica su nombre, un
desastre.

 ¿La dependencia cuenta con cámaras de seguridad y control de acceso en sus puertas?

 ¿Se cuenta con un segundo site de servidores, ante un incendio que pueda afectar el
funcionamiento de estos?

 ¿Los respaldos se hacen semanalmente y son guardados en lugar seguro?

Al realizar las preguntas de una auditoria orientándonos al sistema de electricidad y de incendios,
nos damos cuenta que para ambas auditorias, se busca evitar la pérdida de datos, ya que, estos
son el gran valor de la empresa y las preguntas se orientan hacia contar con servicios que
permitan detectar errores y/o problemas antes que se conviertan en fallas o un desastre, que nos
signifique dedicar tiempo y recursos a recuperar y restaurar el servicio afectado.

b. La evaluación debe considerar un plan de contingencias y recuperación de desastres usando un

segundo sitio. Se le solicita entonces que construya un documento que detalle las acciones
mínimas a realizar en caso de desastre en función de los requerimientos mencionados en el
enunciado.

Ante algún desastre lo primero es que los administradores cuenten con un segundo servidor de
archivos en otro lugar físico. Contar con plan de contingencia y que todos los administradores
sepan lo que tiene que hacer. En caso de alguna emergencia, deberá tener presente el tiempo de
poner en marcha parte de la red para seguir trabajando. El mantenimiento de los generadores y
UPS de las sala de servidores.

 Monitorear el estado de la UPS del segundo site, de tal forma, de realizar las
mantenciones en sus fechas y realizar pruebas de funcionamiento de esta.

 Mantener un control sobre los accesos al segundo site, tanto a nivel físico como las
conexiones a los servidores.

 Mantener un monitoreo sobre la temperatura del segundo site, además de la temperatura

de los servidores.

 Revisar las configuraciones de los equipos de comunicaciones, de tal forma de no correr

riesgos de accesos no autorizados.

 Monitorear los enlaces contratados, tanto el que permite la copia activa de datos entre el
site principal y el secundario, como el enlace que nos permita conectarnos y el enlace
contratado con un proveedor distinto.

- Se le ha solicitado conducir una auditoría de redes de una empresa de cosméticos que

considera en su alcance solo los dispositivos perimetrales: En este caso, ¿la restricción de
servicios del router perimetral puede considerarse como parte la auditoría? ¿Por qué?
Fundamente su respuesta.

Podríamos decir que esta puede ser interna o externa, interna hablamos de la configuración de los
segmentos de la red, la topología utilizada, protocolos establecidos, etc. Una auditoría externa,
considera el firewall, reglas y/o configuraciones tanto de este como del router o switch principal,
por lo tanto, la revisión de los equipos perimetrales si puede considerarse al momento de realizar
la auditoria, esto dependerá de que desee obtener del proceso de auditoría, la empresa en
cuestión. Más allá que los equipos perimetrales, pueden ser administrados por el proveedor de
internet, siempre es necesario conocer las reglas y el nivel de seguridad que estos tienen
configurados, y evitar posibles accesos no deseados por reglas que no han sido implementadas
por el proveedor, simplemente porque el cliente las desconoce y por ende no solicita su creación,
también revisar y evaluar si los equipos perimetrales que fueron instalados por el proveedor
cumple con los requisitos necesarios para un funcionamiento óptimo de la empresa, ya que, este
podría verse colapsado por las conexiones generando lentitud en la red del cliente, el cual podría
pensar que el problema de lentitud son los pc´s o el cableado, por ejemplo.

No debemos olvidar que el objetivo de revisar la seguridad de la red interna, es evitar recibir
ataques de hackers o de personas externas que deseen conectarse de forma indebida a la red
interna de la empresa.

- Usted se encuentra realizando una auditoría de seguridad en una empresa de comercio

electrónico que requiere que sus servicios estén disponibles las 24 horas del día y todos
los días de la semana. ¿Es válido como objetivo de la auditoría determinar la efectividad
del plan de continuidad de negocio? Fundamente su respuesta.

La empresa a auditar entrega un servicio los 365 días del año y las 24 horas del día, será
necesario auditar lo que a nuestro juicio no se pueda cumplir. Es un gran riesgo el trabajo los 365
días del año ya que nos encontraremos con fallas físicas o lógica. Hay que tomar todas la
medidas de seguridad para el buen funcionamiento de la empresa y poner en marcha para poder
evaluar el plan que tiene que tener la capacidad de funcionar 24/7.