Auditoría 2012         FACULTAD POLITÉCNICA               Trabajo Práctico de Auditoría“Auditoria de Hardware y Software e...
Auditoría 2012                                      Auditoria InformáticaAuditoria de Hardware y Software en Estaciones de...
Auditoría 2012Los riesgos potenciales se pueden presentar de la más diversa variedad de formas.3-Objetivos de Control.Se e...
Auditoría 2012-Facilidad para desarmar una PC.-Facilidad de acceso a información de confidencialidad (usuarios y claves).-...
Auditoría 201210-Redacción del Informe Resumen y Conclusiones.En este paso se muestran los verdaderos resultados a los res...
Próxima SlideShare
Cargando en…5
×

Auditoria

187 visualizaciones

Publicado el

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
187
En SlideShare
0
De insertados
0
Número de insertados
3
Acciones
Compartido
0
Descargas
3
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Auditoria

  1. 1. Auditoría 2012 FACULTAD POLITÉCNICA Trabajo Práctico de Auditoría“Auditoria de Hardware y Software en Estaciones de Trabajo.” Alumna: Cinthya Elizabeth Benítez Galarza. Carrera: Ingeniería de Sistemas Semestre: octavo Profesora: Ing. Amada Contrera. AÑO 2012 1
  2. 2. Auditoría 2012 Auditoria InformáticaAuditoria de Hardware y Software en Estaciones de Trabajo.AlcanceLa auditoría se realizará sobre los sistemas informáticos en computadoras personales que esténconectadas a una red interna de la empresa.ObjetivosTener un panorama actualizado de los sistemas de información en cuanto a la seguridad física,las políticas de utilización transferencia de datos y seguridad de los activos.RecursosEl número de personas que ingresarán en el equipo de auditoría será de tres con un tiempomáximo de ejecución de 3 a 4 semanas.Etapas de trabajo.1-Recopilación de información básicaUna semana antes del comienzo de la auditoría se envía un cuestionario antes a los gerentes oresponsables de distintas áreas de la empresa. Los objetivos de este cuestionario es saber losequipos que se usan y los procesos que se realizan en ellos.Los gerentes se encargan de distribuir este cuestionario a los distintos empleados con acceso alos computadores para que también lo completen. De esta manera se obtendrá una visión másglobal del sistema.Es importante reconocer y entrevistarse con los responsables del área de sistemas de la empresapara reconocer con mayor el hardware y el software utilizado.En las entrevistas incluirán:  Director/ Gerente de Informática.  Subgerentes de Informática.  Asistentes de Informática.  Técnicos de Soportes externos.2-Identificación de Riesgos de PotencialesSe evaluará la forma de adquisición de nuevos equipos o aplicativos de software. Losprocedimientos para adquirirlos deben estar regulados y aprobados en la base a los estándares dela empresa y los requerimientos mínimos para ejecutar los programas base.Dentro de los riesgos posibles también se contemplan huecos de seguridad del propio softwarela correcta configuración y/o actualización de los equipos críticos como los cortafuegos. 2
  3. 3. Auditoría 2012Los riesgos potenciales se pueden presentar de la más diversa variedad de formas.3-Objetivos de Control.Se evaluarán la existencia y la aplicación correcta de las políticas de seguridad, emergencia .Se hará revisión del manual de la política de la empresa que los procedimientos de los mismosse encuentren actualizados y que sea claro y que el personal los comprenda.Debe existir en la empresa un programa de seguridad, para la evaluación de los riesgos quepueda existir, respecto a la seguridad de mantenimientos de equipos.4-Determinación de los procedimientos de Control.Se determinan los procedimientos adecuados para aplicar a cada uno de los objetivos definidosen el paso anterior.Objetivo N1: Existencia de normativa-El hardware debe estar correctamente identificado y documentado-Se debe contar con todas las órdenes de compra y facturas con el fin de contar con el respaldode las garantías ofrecidas por los fabricantes.-El acceso de los componentes del hardware directo a las personas que lo utilizan.-Se debe contar con un plan de mantenimiento y registros de fechas, problemas, soluciones ypróximo mantenimiento propuestoObjetivo N2: Politica de acceso a equipos.-Cada usuario deberá contar con su nombre de usuario y contraseña para acceder a los equipos.-Las claves deberán ser seguras(mínimo 8 caracteres, alfanuméricos y alternados mayúsculas yminúsculas .-Los usuarios se desloguearan después de 5 minutos sin actividad.-Los nuevos usuarios deberán ser autorizados mediante contratos de confidencialidad y debemantenerse luego de finalizada la relación laboral.-Uso restringido de medios removibles (USB,CD-ROM,discos externos,etc).5-Pruebas a realizar.Son los procedimientos que se llevarán a cabo a fin de verificar el cumplimiento de losobjetivos establecidos. Entre ellas podemos señalar las siguientes técnicas-Tomar 10 maquinas al azar y evaluar la dificultad del acceso de las mismas.-Intentar sacar datos con un dispositivo externo. 3
  4. 4. Auditoría 2012-Facilidad para desarmar una PC.-Facilidad de acceso a información de confidencialidad (usuarios y claves).-Verificación de contratos.-Comprobar que luego de 5 minutos de inactividad los usuarios se deslogueen.6- Obtención de los resultados .En esta etapa se obtendrán los resultados que surjan de la aplicación de los procedimientos decontrol y las pruebas realizadas a fin de poder determinar si cumple o no con los objetivos decontrol antes definidos. Los datos obtenidos se registrarán en planillas realizados a medida paracada procedimiento a fin de tener catalogado perfectamente los resultados con el objetivo defacilitar la interpretación de los mismos y evitar interpretaciones erróneas7-Conclusiones y Comentarios.En este paso se detallará toda la información obtenida así como lo que se deriva de esainformación, sean fallas de seguridad, organización o estructura empresarial.Se expondrán las fallas encontradas, en la seguridad física sean en temas de resguardo deinformación (Casos de incendio, robos) manejos y obtención de seguridad en las normativas deseguridad como por ejemplo normativa de uso de paswords, formularios de adquisión deequipos y estudios previos a las adquisiciones para comprobar el beneficio que los mismosaportarían. Finalmente se verán los temas de organización empresarial, como son las partesresponsables de seguridad, mantenimiento y supervisión de otras áreas.8-Redacción del Borrador del Informe.Se detalla de manera concisa y clara el informe de todos los problemas encontrados, anotandolos datos técnicos de cada una de las maquinas auditadas.  Marca .  Modelo.  Numero de Serie.  Problema encontrado  Solución recomendada.9-Presentación del borrador y del informe al responsable de microinformática.Se le presenta el informe borrador al responsable del área de informática, como se aclaro en elpunto anterior, con el máximo detalle posible de todos los problemas y soluciones posiblesrecomendadas, este informe se pasará por escrito en original y copia firmando un documento deconformidad del mismo para adquirir un compromiso fuerte en la solución de los mismos, deesta forma evitaremos posibles confusiones futuras. 4
  5. 5. Auditoría 201210-Redacción del Informe Resumen y Conclusiones.En este paso se muestran los verdaderos resultados a los responsables de la empresa, el informepresentado dará a conocer todos los puntos evaluados durante la auditoria, resultados,conclusiones, puntaje y posibles soluciones.La conclusión tendrá como temas los resultados, errores, puntos críticos y observaciones de losauditores. Mientras que en el resumen se verá la posible solución de esos puntos críticos yfallas, así como recomendaciones para el buen uso y también recomendaciones sobre la formaincorrecta de realizar algunos procedimientos.11-Entrega del Informe a los directivos de la empresa.Esta es la última parte de la auditoria y en una reunión se formaliza la entrega del informe finalcon los resultados obtenidos en la auditoria.También se fijan los parámetros si así se requieren para realizar el seguimientos de los puntosen los que el resultado no haya sido satisfactorio o simplemente se quiera verificar que losobjetivos de control se sigan cumpliendo a lo largo del tiempo. 5

×