Upload File

ejercicio auditoría sistemas

8
Auditoria de Sistemas lnformáticos Caso de Auditoria De sistemas lnformáticos Auditoria de hardware y software en estaciones de trabajo. Msc. Julio César López Docente 7

Upload: jorge-mario-cabinal

Post on 13-Jan-2016

12 views

Category:

Documents


0 download

Report

DESCRIPTION

Planteamiento de una auditoría de sistemas

TRANSCRIPT

Page 1: Ejercicio Auditoría Sistemas

Auditoria de Sistemas lnformáticos

Caso de AuditoriaDe sistemaslnformáticos

Auditoria de hardware y software en estacionesde trabajo.

Msc. Julio César LópezDocente

7

Page 2: Ejercicio Auditoría Sistemas

Auditoria de Sistemas lnformáticos

AlcanceLa auditoria se realizará sobre los sistemas informaticos en computadoras personales que esténconectados a la red interna de la empresa.

ObjetivoTener un panorama actualizado de los sistemas de información en cuanto a la seguridad fisica, laspoliticas de utilizacion, transferencia de datos y seguridad de los activos.

RecursosEl numero de personas que integraran el equipo de auditoria sera de tres, con un tiempo maximo de

ejecucion de 3 a 4 semanas.

Etapas de trabajo1. Recopilacion de informacion básica

Una semana antes del comienzo de la auditoria se envia un cuestionario a los gerentes o

responsables de las distintas areas de la empresa. El objetivo de este cuestionario es conocer los

equipos que usan y los procesos que realizan en ellos. (se debera crear el cuestionarioconespondiente)

Los gerentes se encargaran de distribuir este cuestionario a los distintos empleados con acceso a

los computadores, para que tambien lo completen. De esta manera, se obtendra una vision masglobal del sistema.

Es importante tambien reconocer y entrevistarse con los responsables del area de sistemas de laempresa para conocer con mayor profundidad el hardware y el softrare utilizado (Se debe crear la

guia o cuestionano necesario)

En las entrcvistas incluiran:

. Director / Gerente de lnformatica

. Subgerentes de informatica

. Asistentes de informatica

. Tecnicos de soporte extemo

2. ldentificación de riesgos potenciales

Se evaluara la forma de adquisicion de nuevos equipos o aplicativos de software. Los

procedimientos para adquirirlos deben estar regulados y aprobados en base a los estandares de

la empresa y los requerimientos minimos para ejecutar los programas base.

2

Page 3: Ejercicio Auditoría Sistemas

Auditoria de Sistemas lnformáticos

Dentro de los riesgos posibles, tambien se contemplaran huecos de seguridad del propiosoftware y la correcta configuracion y/o actualizacion de los equipos criticos como elcortafuegos.

Los riesgos potenciales se pueden presentar de la mas diversa variedad de formas.

3. Objetivos de control

Se evaluaran la existencia y la aplicación conecta de las politicas de seguridad, emergencia y

disaster recovery de la empresa.

Se hara una revision de los manuales de politica de la empresa, que los procedimientos de losmismos se encuentren actualizados y que sean claros y que el personal los comprenda.

Debe existir en la Empresa un programa de seguridad, para la evaluación de los riesgos que

puedan existir, respecto a la seguridad del mantenimiento de los equipos, programas y datos.

Se debe considerar evaluar un plan de renovación de los equipos de hardware

4, Determinacion de los procedimientos de control

Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivosdefinidos en el paso anterior.

Objetivo N 1: Existencia de normativa de hardware.

I El hardware debe estar correctamente identificado y documentado.

{ Se debe contar con todas las órdenes de compra y facturas con el fin decontar con el respaldo de las garantías ofrecidas por los fabricantes.

o Auditoria requerirá de forna escrita a contabilidad para poderverificar las garantías, el auditor decidiÉ si se requiere realizar unaevaluación completa de facturas y ordenes de compra, para verificarelrespaldo de cada equrpo.

{ Elacceso a los componentes del hardware

{ Se debe contar con un plan de mantenímiento y registro de fechas,problemas, soluciones y proximo mantenim iento propuesto.

o La institución contrata a la empresa Servicios Computacionales S.A.para que le de mantenimiento al equipo de cómputo, este solo sepropicia cuando se detecta que los equipos están fallando.

Objetivo N 2: Política de acceso a equipos.

/ Cada usuario debeÉ contar con su nombre de usuario y contraseña para

acceder a los equipos.

3

Page 4: Ejercicio Auditoría Sistemas

Auditoria de Sistemas lnformáticos

o Se deberá establecer si los equipos realmente cuentan con estacaracterística y si lo usuarios hacen uso de los mismos

{ Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos yaltemando mayúsculas y minúsculas).

I Los usuarios se desloguearan después de 5 minutos sin actividad.

/ Los nuevos usuarios deberán ser autorizados mediante contratos deconfidencialidad y deben mantenerse luego de finalizada la relación laboral,se deberá establecer si esto esta sucediendo en realidad, verificarelcontratode confidenciatidad.

./ Uso restringido de medios removibles (USB, CD-ROM, discos extemos etc).

Objetivo N 3: Uso e instalación de software

{ Tipos de sistema operativo instalado en cada equipo

,/ Licenciamiento para equipo en función de sistema operativo

{ Licenciamiento para otros programas de soft¡¡are a utilizar

/ Mantenimiento de software

/ Antivirus

Objetivo N 4: Protección de datos

r' Medios para el backup de datos

/ Periodicidad con relación al backup de datos

{ Lugardonde se almacena el backup de datos

./ Acceso a los datos (seEuridad de acceso)

Objetivo N 5: lntemet

{ Acceso a intemet por medio de los usuarios

/ Control del ancho de banda por los usuarios

./ Acceso a redes sociales

{ Transmisión de información por ¡'nedio de coneo electrónico

./ Utiliza del servidor de correo.

4

Page 5: Ejercicio Auditoría Sistemas

Auditoria de Sistemas lnformáticos

5. Pruebas a realizar.

Son los procedimientos que se llevaran a cabo a fin de verificar el cumptlmiento de los objetivosestablecidos. Entre ellas podemos mencionar las siguientes técnicas:

,/ Tomar equipos al azar y evaluar la dificultad de acceso a las mismas.

/ lntentar sacar datos con un dispositivo extemo.

/ Facilidad para desarmar una pc.

./ Facilidad de accesos a información de confidencialidad (usuarios y claves).

,/ Verificación de contratos.

/ Comprobar que luego de 5 minutos de inactividad los usuarios sedeslogueen.

/ Creación de contraseñas seguras, quienes tienen acceso a esascontraseñas

,/ Todas las pruebas necesarias para poder desanollar la auditoriacorrespondiente.

,/ Otras

6. Obtencion de los resultados.

En esta etapa se obtendrán los resultados que surjan de la aplicación de los procedimientos decontrol y las pruebas realizadas a fin de poder determinar si se cumple o no con los objetivos decontrol antes definidos. Los datos obtenidos se registrarán en papeles, cuestionarios, cedulasrealizadas a medida para cada procedimiento a fin de tener catalogado perfectamente los resultadoscon el objetivo de facilitar la interpretacion de los mismos y evitar interpretaciones erroneas.

Resultados de la Auditoria.

Los servidores central se encuentran en un salón aislado de cualquier persona particular, alpreguntarse indicó que solo el Gerente del Sistema tiene acceso a é1, pero en la observaciónse verifico que cualquier de los empleados del departamento de informática acceden alservidor y pueden realizar configuraciones, esto sin autorización del Gerente del Sistema.El área de servidores fue ubicada en el sótano del edificio, ediflcio que se encuentra cercanaa un área de inundaciones continuas, afortunadamente nunca la crecida del rio ha llegado alas instalaciones de la empresa, cabe mencionar que no se cuentan con reposaderas enesta área.Actualmente se cuenta con 50 equipos en la institución, el 50% de ellos son de marca Dell y

el resto son genéricos. Se deberá realizar un inventario de los equipos ya que ni el director,gerentes ni asistentes, tienen conciencia de los tipos de equipo con los que cuentan, estoen referencia a memoria ram, disco duro, procesador.

-5-

Page 6: Ejercicio Auditoría Sistemas

Auditoria de Sistemas lnformáticos

Se contabilizan 25 impresoras laser, 10 de inyección de tita, pero se desconoce lascaracterísticas puntuales.

Se utilizan 2 servidores redundantes marca dell , disco duro de 2 Tb, procesador Xion ymemoria de 16 gb

Los equipos son utilizados por los empleados, los usuarios se les asigna una computadoraespecÍfica para el uso, regularmente los empleados no utilizan computadoras de otraspersonas, aunque por la falta de claves en el arceso a las mismas, en algunas ocasiones si

se presta para que otras personas utilicen el computador de otra persona.

Los computadores tienen la facilidad de poder moverse al lugar donde se desean reubicarsi fuera necesario.

Se debe verifico si los equipos cuentan con regulador de voltaje y UPS, en una revisión que

se realizó hace 3 años, solo en 4OVo de los equipos contaba con estos dispositivos por loque se deberá evaluar su disponibilidad actual en todos los equipos, si el auditor así loconsidera.

En el resto de departamentos se cuentan con equipos bastante actualizados, el80% de losequipos cuentan con UPS y Regulador de voltaje, un 10% t¡enen el dispositivo pero no sirvey el restante no cuentan con un dispositivo de este tipo. Debido alcrecimiento de la empresaen los últimos años se han incorporado en cada departamento más equipos de cómputo,conectados a la misma toma conientes ya existentes.No se observaron Extintores de fuego.Siempre que llega un nuevo empleado recursos humanos solicita a informática se cree elnuevo usuario, se le asigne clave y se le dé, de alta en el sistema, esto lo hace cualquier delas 5 personas en eldepartamento de informática. Algunas veces la activación del usuariolleva más tiempo de lo esperado debido a que nadie tiene la responsabilidad asignada.No se llena ningún documento físico para realizar la habilitación del nuevo usuario.Según el instrumento que se utilizó para verificar las contraseñas, se pudo verificar que un50% de los usuarios utilizan contraseñas mayores a 8 dígitos pero con nombres de personas,lugares, fechas, Contraseñas que se consideran inseguras, el resto de las personas utilizancontraseñas seguras, aunque no ormplen el total de requisitos para ser totalmente seguras.Algo que se pudo comprobar es que si un usuario pierde su clave de acceso, puede realizarilimitados intentos para intentar ingresar al sistema (el sistema nunca se bloquea), si al finalno logra encontrar su clave, la solicita a lnformática via telefónica y se la dictan o enviar porconeo, sin comprobar la autenticidad de la llamada.Todos los equipos están conectados al servidor central, pero se logró establecer que notodos dependen del antivirus central, en ocasiones cuando un equipo de ha re¡nstalado,informática olvida asignar el antivirus con el que cuenta la empresa, esto provoca que losempleados instalen un antivirus gratuito de intemet.En algunas máquinas se encontraron virus y esp[as. Un porcentaje mÍnimo. 5%

Todos los empleados del área informática están altamente calificados para desanollar lostrabajos que se les encomiendenTodos los empleados del departamento de informática, se distribuyen las tareas yasignaciones del día, en ocasiones 2 empleados resultan haciendo la misma larea.El personal en generaltiene conocimientos básicos del uso del sistema ERP SAP y adicionalconocimientos básicos sobre Offlce, Sistema Operativo y uso delcomputador.Los empleados han mencionado que al tener problemas con un equipo de cómputo, sabenque deben solicitar ayuda al departamento de informática.

-6-

Page 7: Ejercicio Auditoría Sistemas

Auditoria de Sistemas !nformáticos

- La empresa no propicia capacitaciones, al preguntársele al encargado de recursos humanossobre este tema, informo que nunca se han tenido quejas ni solicitudes para capacitar a losempleados en función del personal

- La información se procesa a través del ERP SAP, a pesar que está instalado en losservidores de la empresa, no es administrado por el departamento de informática. Para laadministración se contrató a un grupo de consultores extemos que permiten llevar el controlde la administración del sistema.

- Cada departamento tiene sus propias claves de acceso y administración- La información es segura y confiable, según lo expresaron los diferentes gerentes de área.- Muy tatavez no se ha tenido acceso a las bases de datos delsistema.- Las diferentes estaciones de trabajo No reportan anomalÍas en el acceso a la información o

al momento de depositar información en el sistema.- A los usuarios de la base de datos se les asigna un nivel de trabajo, lo cual permite definir si

pueden, grabar, modificar o solo consultar datos.- El sistema ERP SAP es muy estable y no presenta problemas- La empresa aposto por instalar el nuevo Windows 8 en las computadoras de los empleados,

esto ha provocado desconcierto porque muchos empleados no lo saben utilizar, no hubocapacitación ya que recursos humanos argumento que no era necesario, esto no se consultócon informática y tampoco a gerencia.

- Los empleados pueden instalar sottware que lleven en memorias USB- Se estableció que los empleados pueden accesar a redes sociales desde su computador,

esto porque se dieron cuenta que al instalar Mozilla Firefox, no bloquea las redes socialescomo Facebook y Twitter. Actualmente usan lnternet Explorer.

- Los equipos no están sellados y cualquier podrían destapar la computadora crn solo tenerun par de desarmadores

- El mantenimiento de un equipo solo se da hasta que es solicitado por el empleado. No existemantenimiento preventivo.

- Se hace notar las excesivas conexiones para una misma toma corriente.- Existe una impresora industrial por departamento, esta se comunica a través de la red para

con todos los equipos- La empresa cuenta con red en estrella, todas conectadas a un servidor central, el cable

detectado es calibre 6 rj45. En todas las estaciones- Muchos de los cables viajan muy cerca deltendido eléctrico de la empresa- Cualquier empleado puede conectar y desconectar su cable de red.- No existe ningún control para la transferencia de archivos entre usuarios y equipos- Para ciertas áreas hay intemet inalámbrico disponible, hace poco un empleado logro a través

de esta red WiFi, accesar al equipo de otro empleado del 3er nivel y jugarle una broma.- NO hay politicas de control para el uso de memorias USB

7. Conclusiones y Comentarios:

En este paso se detallara el resumen de toda la información obtenida, asi como lo que se deriva deesa infornación, sean fallas de seguridad, organización o estructura empresarial. Se expondrán lasfallas encontradas, en la seguridad fÍsica sean en temas de resguardo de información (Casos deincendio, robo), manejo y obtención de copias de segundad, en las normativas de seguridad comopor ejemplo normativas de uso de passwords, formularios de adquisición de equipos, y estudiosprevios a las adquisiciones para comprobar el beneficio que los mismos aportarían. Finalmente severán los temas de organización empresarial, como son partes responsables de seguridad,mantenimiento y supervisión de las otras áreas.

-7-

Page 8: Ejercicio Auditoría Sistemas

Auditoria de Sistemas lnformáticos

8. Redacción del lnforme, Conclusiones y Recomendaciones.

Es en este paso es donde se muqstran los verdarderos resultiados a los responsables de laempresa, el informe presentado dará a @nocer todos los puntos evaluados durante la auditoria,resultados, conclusiones, puntaje y posibles solucones.

La condusión tendrá como temas los resultados, erores, puntos críticos y observaciones de losauditores. Mientras que en el resumen se verán las posibles soluciones de esos puntos oíticos y

fallas, así como recomendaciones para el buen uso y también recomendacíones sobre la formaconecta de real2ar algunos procedimientos.

-8-


Curso: Auditoría de sistemas: 03 Auditoría informática

AUDITORÍA Auditoría de Sistemas Informáticos 1. AUDITORÍA AUDITORÍA DE SISTEMAS INFORMÁTICOS

Auditoría financiera del Ayuntamiento de Valdés, ejercicio 2013

Auditoría de Sistemas Electromecánic

Auditoría y Sistemas de la Información

Auditoría de sistemas de información presentación

NORMAS PARA EL EJERCICIO DE LA AUDITORÍA … · Tribunal Supremo de Elecciones Normativa _____ i NORMAS PARA EL EJERCICIO DE LA AUDITORÍA INTERNA

Auditoría sistemas 1(2011)

Auditoría de sistemas clase 2

Auditoría de sistemas instalados

Auditoría de Sistemas

AUDITORÍA DE SISTEMAS DE INFORMACIÓN PRESENTACIÓN.ppt

04 Auditoría de Sistemas

Presentación Auditoría de Sistemas de Información

Manual de Auditoría de Sistemas

AUDITORÍA DE SISTEMAS. CAPÍTULO 5 AUDITORÍA DEL DESARROLLO DE SISTEMAS

Auditoría de Sistemas de Información

Auditoría de Sistemas y reglamentacion PCI

ASI-S01-La Auditoría de Sistemas

Auditoría de Sistemas de TI

INFORME DE AUDITORÍA DIRECCIÓN DE AUDITORÍA DE ... de auditori… · informe de auditorÍa de obra pÚblica direcciÓn de auditorÍa de infraestructura pÚblica ejercicio fiscal

Introducción a la Auditoría de Sistemas

Dossier - Implementación y Auditoría de Sistemas

Informes de Auditoría de Sistemas

InfoDF Auditoría de Sistemas

Auditoría de Seguridad en Sistemas SCADA

Memoria de Actividades ejercicio 2020 Comisión de Auditoría

LA AUDITORÍA DE SISTEMAS COMO APOYO A LA AUDITORÍA … · LA AUDITORÍA DE SISTEMAS COMO APOYO A ... Cuando una determinada tarea debe ser realizada entre el ing. de sistemas y

Metodología de Una Auditoría de Sistemas

AUDITORÍA CIERRE DE EJERCICIO 2020 INFORME EJECUTIVO

AUDITORÍA DE SISTEMAS. CAPÍTULO 6 AUDITORÍA DE SISTEMAS DE APLICACIÓN INSTALADOS

Conceptos de Auditoría de Sistemas

AUDITORÍA DE SISTEMAS. CAPÍTULO 2 AUDITORÍA DE SISTEMAS DE INFORMACIÓN

Fases de la Auditoría en Sistemas

Metodología Auditoría de Sistemas