Upload File

58479547 caso practico de auditoria informatica

6
May 16, 2011 [AUDITORIA INFORMATICA] 1 CASO PRÁCTICO DE AUDITORIA INFORMATICA En el presente informe se detallan las recomendaciones que se pueden aplicar a la mejora en la seguridad física de un Centro de Proceso de Datos, así como también en los controles que se tengan implementados o la sugerencia a incorporar algunos de estos. Las recomendaciones se basan en punto por punto a excepción de los puntos que durante los hallazgos tengan mayor puntaje. A continuación detallamos las recomendaciones que podríamos brindar pensando como Auditores en el centro de procesamiento de datos. Control de Accesos: Autorizaciones ¿Existe un único responsable de implementar la política de autorizaciones de entrada en el centro de cómputo? R. Si, el jefe de Explotación, pero el director puede acceder a la sala con los acompañantes sin previo aviso. Recomendaciones: y El acceso al Director se puede dar siempre y cuando mande una notificación p revia con u tiempo prudencial al Jefe de Explotación y asignarle un supervisor. y El acceso al centro de datos tiene que ser lo mayor restringido posible, por lo que para su seguridad el director debe notificar las visitas, en casos extremos se puede obviar y enviar una nota después de la visita. Además de la tarjeta magnética de identificación ¿hay que pasar otra especial? No, solamente la primera Recomendaciones:  y La empresa puede crear anillos de seguridad utilizando accesos biométricos (Anexo1), llaves u otros medios para una mejor seguridad del centro de datos.  y Para llegar al centro de datos deberían de pasar por varias estaciones, el guardia de seguridad, tarjeta magnética, acceso biométrico, etc. ¿Se pregunta a las visitas si desean conocer el centro de cómputo? No, vale la primera autorización. Recomendaciones:  y Las visitas NO deben estar autorizadas para entrar directamente a los centros de computo  y Toda persona que entre al centro de computo tienen que estar autorizada.

Upload: ichi24

Post on 14-Apr-2018

235 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: 58479547 Caso Practico de Auditoria Informatica

7/30/2019 58479547 Caso Practico de Auditoria Informatica

http://slidepdf.com/reader/full/58479547-caso-practico-de-auditoria-informatica 1/5

May 16, 2011 [AUDITORIA INFORMATICA] 

1

CASO PRÁCTICO DE AUDITORIA INFORMATICA

En el presente informe se detallan las recomendaciones que se pueden aplicar a la mejora en la

seguridad física de un Centro de Proceso de Datos, así como también en los controles que se

tengan implementados o la sugerencia a incorporar algunos de estos.

Las recomendaciones se basan en punto por punto a excepción de los puntos que durante los

hallazgos tengan mayor puntaje.

A continuación detallamos las recomendaciones que podríamos brindar pensando como Auditores

en el centro de procesamiento de datos.

Control de Accesos: Autorizaciones

¿Existe un único responsable de implementar la política de autorizaciones de entrada en elcentro de cómputo? 

R. Si, el jefe de Explotación, pero el director puede acceder a la sala con los acompañantes sinprevio aviso.

Recomendaciones:

y  El acceso al Director se puede dar siempre y cuando mande una notificación previa con u

tiempo prudencial al Jefe de Explotación y asignarle un supervisor. 

y  El acceso al centro de datos tiene que ser lo mayor restringido posible, por lo que para su

seguridad el director debe notificar las visitas, en casos extremos se puede obviar y enviar

una nota después de la visita. 

Además de la tarjeta magnética de identificación ¿hay que pasar otra especial?No, solamente la primera

Recomendaciones: 

y  La empresa puede crear anillos de seguridad utilizando accesos biométricos (Anexo1),

llaves u otros medios para una mejor seguridad del centro de datos. 

y  Para llegar al centro de datos deberían de pasar por varias estaciones, el guardia de

seguridad, tarjeta magnética, acceso biométrico, etc.

¿Se pregunta a las visitas si desean conocer el centro de cómputo?No, vale la primera autorización.

Recomendaciones: 

y  Las visitas NO deben estar autorizadas para entrar directamente a los centros de computo 

y  Toda persona que entre al centro de computo tienen que estar autorizada.

Page 2: 58479547 Caso Practico de Auditoria Informatica

7/30/2019 58479547 Caso Practico de Auditoria Informatica

http://slidepdf.com/reader/full/58479547-caso-practico-de-auditoria-informatica 2/5

May 16, 2011 [AUDITORIA INFORMATICA] 

2

¿Se prevén las visitas a los centros de cómputo con 24 horas al menos?No, basta que vayan acompañados con el Jefe de explotación o director.

Recomendaciones

y  Si las personas no están autorizadas para ingresar al centro de computo, estas deben de

tener un autorización con anticipación por parte gerencia

Control de Accesos: Controles Automáticos

¿Cree usted que los controles automáticos son adecuados?Si, aunque ha de reconocerse que a pie puede llegarse por la noche hasta el edificio principal.

Recomendaciones:

y  Crear un perímetro de seguridad alrededor del edificio donde solo pueda acceder personal

autorizado.

y Reforzar la seguridad al campus y al edificio.

¿Quedan registradas todas las entradas y salidas del centro de computo?No, solamente las del personal ajeno a la operación.

y  Se debe registrar todas las entradas y salidas de todo el personal que accede tanto

internamente de la empresa así como personas externas

y  Toda persona que entre y salga del centro de computo tienen que registrarse (día, hora, y

que operación realizo), sin excepción alguna del personal.

y  También se puede imprimir el log de accesos por medio de las tarjetas magnéticas.

y  Podría existir la posibilidad de poner un circuito cerrado de cámaras que registren los

puntos de acceso.

¿Puede salirse del centro sin tarjeta magnética?Sí, porque existe otra puerta de emergencia que puede abrirse desde adentro.

Recomendaciones: 

y  La puerta de emergencia está bien que exista pero tienen que brindarle una mayor

seguridad.

y  Los botones son adecuados cuando se cuente con un sistema de monitoreo permanete.

(Anexo 2)

Page 3: 58479547 Caso Practico de Auditoria Informatica

7/30/2019 58479547 Caso Practico de Auditoria Informatica

http://slidepdf.com/reader/full/58479547-caso-practico-de-auditoria-informatica 3/5

May 16, 2011 [AUDITORIA INFORMATICA] 

3

Control de Accesos: Vigilancia

Identificadas las visitas, ¿Se les acompaña hasta la persona que desean ver? 

No.

Recomendaciones: 

y  Toda persona que entre debe de ser acompañada hasta la persona que desea ver y a la vez

llevar un registro de las visitas

y  Toda persona que no sea parte de la empresa debe de estar acompañado dentro del

centro de datos, se debe contar con suficiente personal para realizar esta tarea.

¿Conocen los vigilantes los terminales que deben quedar encendidos por la noche? 

No, sería muy complicado.

Recomendaciones:

y  Es necesario que el personal de vigilancia conozca un poco acerca de lo que se debe de

hacer, equipo que no se debe apagar.

y  El personal debe de poseer números de teléfono de las personas a las cuales llamar en

caso de una emergencia en cualquiera de las terminales.

Control de Accesos: Registros

¿Existe una adecuada política de registros? 

No, reconocemos que casi nunca, pero hasta ahora no ha habido necesidad.

Recomendaciones:

y  Se debe de contar con políticas de registros, no esperemos que sucedan los imprevistos

para implementar políticas.

¿Se ha registrado alguna vez alguna persona? 

Nunca.

Recomendaciones:

y  Un control adecuado y un registro detallado puede ser útil para cualquier situación que

pueda darse en el futuro. 

Page 4: 58479547 Caso Practico de Auditoria Informatica

7/30/2019 58479547 Caso Practico de Auditoria Informatica

http://slidepdf.com/reader/full/58479547-caso-practico-de-auditoria-informatica 4/5

May 16, 2011 [AUDITORIA INFORMATICA] 

4

¿Se abren todos los paquetes dirigidos a personas concretas y no a informática? 

Casi nunca

Recomendaciones:

y  Al tener políticas establecidas se debería de crear una de ella donde nos permita dejar

claro que todo paquete que llega va a ser revisado el personal de vigilancia para asegurarla seguridad del centro de datos.

La parte de registros es la que mas debilidad presenta por lo que se sugiere se empiece a trabajar

en un plan para el fortalecimiento de estos ya que la empresa podría atravesar por situaciones

donde se vean afectadas sus operaciones por la falta o el mal empleo de estos.

También cabe mencionar que la vigilancia es parte esencial en la operación, por lo cual ellos sin

necesidad de tener un conocimiento pleno del campo informático pueden suministrar ayuda

importante al personal informático, por lo cual es necesario que se les explique acerca de los

procesos o procedimientos a hacer en caso de una emergencia o que una situación este saliendo

de los parámetros adecuados o en caso de ver una anomalía por muy pequeña que esta sea.

Page 5: 58479547 Caso Practico de Auditoria Informatica

7/30/2019 58479547 Caso Practico de Auditoria Informatica

http://slidepdf.com/reader/full/58479547-caso-practico-de-auditoria-informatica 5/5

May 16, 2011 [AUDITORIA INFORMATICA] 

5

ANEXOS

Anexo 1. Controles de Acceso Biométrico

Anexo 2. Botones de salida

Anexo3. Lectores de tarjetas magnéticas


auditoria informatica

trabajo practico -- informatica!

Practico 2 informatica

auditoria informatica

Auditoria Caso Practico

AUDITORIA INFORMATICA,

Practico de Informatica

AUDITORIA INFORMATICA

Trabajo practico informatica