Principales áreas de la auditoría informática.

Parte II

Camilo Carrasco

Auditoria Informática

Instituto IACC

11/06/2018
 Desarrollo

1- Usted debe evaluar las instalaciones de un centro de cómputo para determinar la mejor

opción para una empresa de procesamiento de tarjetas de crédito. Los requisitos mínimos

que se deben cumplir tienen relación con respaldo de energía y sistemas contra incendios.

a. Para cada uno de los requerimientos del enunciado construya un checklist de al

menos 3 preguntas a utilizar en una auditoría de seguridad y otro para una

auditoría de data center y recuperación de desastres. Compare las semejanzas que

presenta cada checklist para los diferentes tipos de auditoría.

b. La evaluación debe considerar un plan de contingencias y recuperación de

desastres usando un segundo sitio. Se le solicita entonces que construya un

documento que detalle las acciones mínimas a realizar en caso de desastre en

función de los requerimientos mencionados en el enunciado.

1- Checklist de auditorias

- Auditoria de seguridad:

o ¿Existe control de acceso a la instalación del datacenter?

o ¿Cuál es el nivel mínimo de la contraseña de seguridad de las BD?

o ¿Existe sensores antiincendios dentro de la empresa?

- Auditoría de data center y recuperación de desastres

o ¿Existe generador de energía en caso de corte de suministro eléctrico?

o ¿Existe servidores de seguridad donde se realicen respaldos en caso de

desastre?

o ¿En caso de incendio se cuenta con un plan de emergencia para evitar

perdida de datos?

- Comparativas entre las dos checklist

La primera lista de preguntas son enfocadas más al ámbito de seguridad a nivel de

software, aunque excluyendo la última pregunta sobre los “sensores anti-

incendios”, pero en tanto las dos primeras preguntas van a un control de acceso a

la sala donde está ubicado el datacenter para que no cualquier usuario pueda

acceder a esta, mientras que el nivel de contraseña debe ser algo seguro para

evitar accesos no deseados (contraseñas como ‘12345’, ‘admin’, ‘pass’ son

consideradas no segura.), mientras que la segunda lista de preguntas son más

enfocadas a desastres naturales como incendios u otro percance de procedencia

natural, siempre será recomendable para una empresa tener generador de energía

ya que nunca tendremos una certeza sobre cuando puede fallar la red eléctrica,

tener bases de datos de respaldo también es recomendable ya que en caso de

incendio o algún otro desastre podremos tener todos los datos respaldados en otro

sitio físicamente.
2- La evaluación debe considerar un plan de contingencias y recuperación de desastres

usando un segundo sitio. Se le solicita entonces que construya un documento que detalle

las acciones mínimas a realizar en caso de desastre en función de los requerimientos

mencionados en el enunciado.

Lo primero que debemos realizar es tener una base de datos o servidor en un segundo

sitio que en lo posible este dentro de la misma ciudad, ya que en caso de desastre

podremos recuperar todos nuestros datos de manera más rápida.

Debemos contar que todos los datos del servidor principal o del sitio 1 deben ser

respaldados a diario para poder recuperar todos los datos en caso de emergencia, los

pasos a realizar son los siguientes:

- Realizar copias de seguridad a diario del sitio 1 al sitio 2

- Tener un control constante sobre el sitio 2 donde podamos tener todos los datos de

este sitio, para poder asegurarnos de que todo esté bien con el servidor.

- Comprobar que las copias de seguridad o backup de datos se realice de forma

correcta.

- Probar las copias de seguridad en alguna otra máquina para poder comprobar que

todos los datos sean los correctos

- Tener control sobre quienes acceden a estas copias de seguridad para evitar

problemas de filtración de datos.

- Documentar todo lo que pasa con el segundo servidor que tenga los datos de la

empresa, accesos a los respaldos, bases de datos, modificación de datos,

eliminación de datos, etc.

3- Se le ha solicitado conducir una auditoría de redes de una empresa de cosméticos que

considera en su alcance solo los dispositivos perimetrales: En este caso, ¿la restricción de

servicios del router perimetral puede considerarse como parte la auditoría? ¿Por qué?

Fundamente su respuesta.

Si, esto si se considera como parte de la auditoria ya que el router es uno de los

dispositivos que se deben tener en cuenta en cualquier empresa sin importar el rumbo de

la empresa, todos los dispositivos deben ser auditados ya sea de software (firewall) como

de hardware (router, switch, topologías, etc.), es necesario tener claro sobre todos los

elementos a auditar, y los aspectos que hay que tener en cuenta de cada dispositivo, en

resumen si es correcto que la restricción de servicios del router sea considerado dentro de

la auditoria, para poder evitar cualquier problema de seguridad.

4- Usted se encuentra realizando una auditoría de seguridad en una empresa de comercio

electrónico que requiere que sus servicios estén disponibles las 24 horas del día y todos

los días de la semana. ¿Es válido como objetivo de la auditoría determinar la efectividad

del plan de continuidad de negocio? Fundamente su respuesta.

Obviamente debemos determinar la efectividad del plan, esto es como definir los

objetivos de la auditoria, si solo se audita elementos internos de la empresa jamás

podríamos conocer que tan viable es una empresa, y tan viable será el plan de tener un

servicio disponible las 24 horas, ya que hay que tener en cuenta los pro-contras que esto

puede generar, gastos en personal, gatos en electricidad que ocupará la empresa, agua,

etc. Al determinar la auditoria se podrá obtener la información sobre si durante las horas

de menor ganancia de la empresa (madrugada) genera mas de lo que gasta la empresa en

mantener abierto sus servicios, ya que, si la empresa solo pierde dinero por mantener este

tipo de negocio de mantener las 24 horas abierto, no se hace un negocio viable y que

pueda generar ganancias.

Es por estas razones que si es totalmente concreto correcto determinar como objetivo de

la auditoria determinar la efectividad de la continuidad de negocio.

 Bibliografía

1- Material de apoyo IACC