Principales áreas de la auditoria informática

Fernando Moraga

Auditoria Informática

Instituto IACC

21-12-2018
 Desarrollo
1. Usted debe evaluar las instalaciones de un centro de cómputo para determinar la
mejor opción para una empresa de procesamiento de tarjetas de crédito. Los
requisito mínimos que se deben cumplir tienen relación con respaldo de
energía y sistemas contra incendios
 Para cada uno de los requerimientos del anunciado construya un
checklist de al menos tres preguntas a utilizar en una auditoria de
seguridad y otro para una auditoria de data center y recuperación de
desastres. Compare las semejanzas que presenta cada checklist para los
diferentes tipos de auditoria
R: para dar respuesta a la primera pregunta comenzaremos definiendo los tipos de auditoria:
Auditoria de seguridad:
La auditoría de seguridad se encuentra orientada a la revisión y/o evaluación de la seguridad
lógica de la información, buscando minimizar los riesgos de pérdida o daño de información o
datos. Junto con esto, busca resguardar que esta no sea accesada y/o manipulada de forma
indebida. Lo primero que debemos asegurar es la seguridad física y no basta solo con una
inspección visual por parte del administrador, para lo cual es ideal realizar una checklist para la
seguridad física.
Preguntas auditoria de seguridad:
1. ¿Se cuenta con un sistema de control de acceso a la sala de servidores, donde se almacena
la información del proceso de tarjetas de créditos y de qué tipo es?

2. ¿Existen extintores suficientes y la distribución es correcta?

3. ¿Se cuentan con mantenciones preventivas y correctivas al sistema de UPS?

4. El acceso a la base de datos, se realiza a través del sistema interno. ¿Con qué niveles de
seguridad cuentan?

5. ¿Se cambian las contraseñas de los usuarios en forma periódica?

Auditoria de data center:
Según lo expuesto por Echeñique (2001), los datos son los recursos más importantes y valiosos
para cualquier organización y bajo esa perspectiva son muy importante protegerlos y auditarlos.
La protección se basa en mantener un proceso y almacenamiento seguro. Para ello se debe
aplicar controles que permitan lo anterior y que se transformen en los momentos que se auditan.
Los controles más importantes son principalmente los de respaldo
Preguntas auditoria de data center:
1. ¿Se cuenta con un generador eléctrico, que permita restituir el servicio de electricidad,
ante una falla o problema del suministro eléctrico?
2. Se cuenta con un sitio de respaldo para los servidores?
3. ¿Los respaldos se hacen diarios y son guardados en un lugar seguro?
4. ¿El perímetro der seguridad previene el acceso no autorizado al personal?
Preguntas recuperación de desastres:
1. ¿Existe un plan de contingencia en caso de algún accidente (terremoto, incendio,
inundación, etc.)
2. ¿Están establecidas las prioridades en caso de algún desastre?
3. ¿Se cuenta con un generador eléctrico, que permita restituir el servicio de electricidad,
ante una falla o problema del suministro eléctrico después de un desastre?

Semejanzas de los checklist

Al realizar las preguntas de una auditoria orientándonos al sistema de electricidad y de incendios,
nos podemos darnos cuenta que tanto para la auditoria de seguridad y la auditoria de data center,
se busca evitar la pérdida de los datos (información de la empresa), las preguntas están
orientadas hacia como disminuir y lograr minimizar los errores y/o problemas antes que se
conviertan en fallas o en un desastre.
  La evaluación debe considerar un plan de contingencia y recuperación de
desastres usando un segundo sitio. Se le solicita entonces que construya
un documento que detalle las acciones mínimas a realizar en caso de
desastre en funciones de los requerimientos mencionadas en el anunciado

R: Ante algún desastre que pueda afectar al data center donde se encuentran anclados los
servidores de datos, lo primero es que los administradores cuenten con servidores de respaldo
(replicas) en otro lugar físico y con otro proveedor. Contar con un plan de contingencia y que
todos los administradores sepan lo que tiene que hacer. En caso de alguna emergencia, también
se deberá realizar mantenciones a los equipos de generadores y UPS de las sala de servidores
donde se encuentra alojado la réplica.
Además este segundo servidor requiere al igual que el primero respaldos programados y debe
contar un enlace de comunicación dedicado entre el servidor principal y el de respaldo, además
de contar con un enlace que permita conectarnos como empresa, ante la falla del servidor
principal

2. Se le ha solicitado conducir una auditoria de redes de una empresa de cosméticos

que considera en su alcance solo los dispositivos perimetrales: En este caso, ¿la
restricción de servicios del router perimetral puede considerarse como parte de la
auditoria? ¿Por qué?
R: La seguridad perimetral es un método de defensa de red, que se basa en el establecimiento de
recursos de seguridad en el perímetro de la red y a diferentes niveles, permitiendo definir niveles
de confianza, el acceso de usuarios internos o externos a determinados servicios, y denegando
cualquier tipo de acceso a otros usuarios.

Para monitorizar la red perimetral y prevenir la intrusión hay varios métodos como pueden ser:

 Examinar los ficheros log

 Utilizar cortafuegos
 Revisar archivos binarios del sistema
 Revisar las cuentas de usuario y los intentos de entrar en el sistema.

Al realizar una auditoría de redes, podríamos decir que esta puede ser interna o externa, interna
hablamos de la configuración de los segmentos o vlands de red, la topología utilizada, protocolos
establecidos, etc. Una auditoría externa, considera el firewall, reglas y/o configuraciones tanto
de este como del router o switch principal, por lo tanto, la revisión de los equipos perimetrales si
puede considerarse al momento de realizar la auditoria, esto dependerá de que se desee obtener
del proceso de auditoría.

3. Usted se encuentra realizando una auditoria de seguridad en una empresa de

comercio electrónico que quiere que su servicio esté disponible las 24 horas del
día y todos los días de la semana. ¿es válido como objetivo de la auditoria
determinar la efectividad del plan continuidad de negocio?
R: Según lo estudiado en el contenido 8 y lo investigado creo que es válido auditar la efectividad
del plan de continuidad de negocio ya que esto va de la mano junto al crecimiento de la
organización y debe haberse creado un plan para la expansión de la empresa.
La empresa que estamos auditando necesita entregar un servicio los 365 días del año, las 24
horas del día, por lo tanto, es necesario auditar los distintos puntos que pueden provocar que esto
no se cumpla. Si bien no existe el sistema infalible y siempre nos encontramos ante el riesgo de
una falla física o lógica es de suma importancia tratar de tener todo controlado para minimizar
los riesgos de fallas.
 Bibliografía
IACC (2018) contenido semana 7 principales áreas de la auditoria informática parte 2
https://www.welivesecurity.com/la-es/2015/04/20/auditorias-de-redes/

http://multicomp.com.mx/seguridad-informatica/seguridad-perimetral/

https://www.monografias.com/trabajos106/elementos-basicos-seguridad-perimetral/elementos-

basicos-seguridad-perimetral.shtml