SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
Auditoria CDP
1. Dennys Arturo Ramones
21.725.354
Informática 78
REPUBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR PARA LA EDUCACION
INSTITUTO UNIVERSITARIO DE TECNOLOGIA “ANTONIO JOSE DE
SUCRE”
BARQUISIMETO EDO-LARA
2. “es aquella ubicación donde se
concentran los recursos
necesarios para el procesamiento
de la información de una
organización”
3. Función
Garantizar que los sistemas de ordenador salvaguardan
los “bienes” de la organización, mantienen la integridad
de los datos y alcanzan los objetivos de la empresa de un
modo eficaz y efectivo.”
4. Se debe tomar en cuenta:
• Seguridad Física
• Seguridad Lógica
5. Entran dentro de esta categoría todas las medidas para asegurar la integridad física de los equipos
almacenados:
• Control de acceso: aquellos compartimentos del centro de procesamiento de datos que albergan la
infraestructura más valiosa
• Pruebas de mecanismos de detección y alarma: es obligatorio realizar pruebas periódicas de los
sistemas. Es recomendable dedicar tiempo a esto.
6. • Acceso de mercancías y personal de proveedores: No sería la primera vez que llegar a las zonas cero
del centro de procesamiento de datos es imposible si se pretende la intrusión a través de las vías de
acceso convencionales, pero relativamente sencillo si se utilizan los accesos especiales para
equipamiento y proveedores
• Ausencia de seguridad perimetral o seguridad perimetral insuficiente: Tener presente al cuerpo de
seguridad encargado y ver que no tengan fisuras dentro de su vigilancia
7. • Acceso de mercancías y personal de proveedores: No sería la primera vez que llegar a las zonas cero
del centro de procesamiento de datos es imposible si se pretende la intrusión a través de las vías de
acceso convencionales, pero sencillo o relativamente sencillo si se utilizan los accesos especiales
para equipamiento y proveedores
• Ausencia de seguridad perimetral o seguridad perimetral insuficiente: Tener presente al cuerpo de
seguridad encargado y ver que no tengan fisuras dentro de su vigilancia
8. • Gestión de energía y continuidad: en estos centros se consume mucha energía, y por tanto, requiere
de medidas especiales para asegurar que el flujo energético esté garantizado ante cualquier tipo de
incidente
• Ausencia de compartimentación. Especialmente relevante en el caso de data centers públicos o
destinados al uso de múltiples clientes
9. “aquella que compete a lo que no es estrictamente físico, y que
como su propio nombre indica, deriva de las condiciones lógicas
de los distintos sistemas que componen el proceso de negocio en
estudio.”
10. Tomar en cuenta los siguientes aspectos:
• Actualización de los sistemas: Conviene siempre obtener
evidencias de que los sistemas se están actualizando, y es
deseable poder verificar con alguna herramienta de análisis
de vulnerabilidades la fiabilidad de lo que nos cuentan con
los papeles por delante
11. • Configuración de seguridad: Se incluye la ausencia de
seguridad que deriva de la falta de militarización de los
componentes puestos en producción
• Operaciones de seguridad: En un centro de procesamiento de
datos tiene que haber operaciones de seguridad, sí o sí.
12. • Segregación de entornos: Tener entornos de producción,
aceptación, soporte, desarrollo y pruebas compartiendo los
mismos discos en distintas particiones es normal, pero
también es posible cometer errores de configuración que
permitan el salto entre particiones
13. • Datos reales en entornos no controlados: Conviene
cerciorarse de que los entornos no controlados, no contienen
datos reales, o que contemplan medidas de enmascaramiento
para impedir que los datos reales de la producción acaben en
las memorias USB de los desarrolladores
14. • Cifrado: Hay que comprobar que en general los datos en
tránsito y en reposo están cifrados allí donde es susceptible
interceptarlo
• Compartir de la red: Las redes tienen que tener suficiente
segmentación no sólo para poder soportar adecuadamente la
segregación de entornos, sino la creación de zonas con
distintos requisitos de seguridad
15. • Gestión de cambios: La colocación de código malicioso en la
producción por la falta de herramientas de inspección
automática del código
• Accesos privilegiados: En un centro de procesamiento de
datos es necesario tener accesos privilegiados para poder
operar los servicios
16. • Accesos remotos de terceras partes: Tratar de comprender
cómo acceden las terceras partes a la infraestructura es
importante, y cuáles son las limitaciones de su acceso
• Continuidad y recuperación: Aspectos esenciales de un
centro de procesamiento de datos. Las máquinas se rompen,
la electricidad se pierde. Las tuberías se estropean, etc.
17. Evaluación Técnica:
¿Es la tasa de transmisión de datos lo suficientemente rápida para manejar todo los datos?
¿Hay suficiente almacenamiento para guardar los datos necesarios?
¿Responde la CPU a todas las peticiones dentro de un periodo especificado de tiempo?
18. Evaluación Operacional: Las consideraciones establecen si la entrada de datos está apropiadamente
provista y si la salida es útil y se emplea de manera adecuada.
Existe una tendencia a no terminar un informe una vez que éste ha sido comenzado. Aún cuando el
no sea usado, hoy a menudo la sensación de que puede tener utilidad en el futuro. Varios métodos
pueden servir para identificar los informes no usados:
• Terminación del reporte para ver si alguien pregunta por él cuando no llega.
• Revisión periódica de todos de todos los reportes por fuerza de trabajo.
• El colocarle precio a los informes para ofrecer incentivos a los administradores para eliminar
aquellos que son innecesarios.
19. Evaluación Económica: En la evaluación económica de post auditoría los costos actuales se comparan
con los beneficios actuales
• Los costos se pueden estimar con una exactitud razonable en las post auditoría, pero varios
beneficios todavía pueden ser difíciles de medir
• La evaluación económica puede ser útil más allá de la aplicación específica examinada
• Para los propósitos administrativos, la evaluación puede ayudar en la toma futura de decisiones
para identificar los costos de aplicaciones para las cuales un retorno (rendimiento) económico era
esperado o no se puede estimar
20. Evaluación Del Hardware Y Software Existentes: El propósito de la evaluación del hardware y
software existentes es el de determinar si todos los recursos se necesitan. Algunos ejemplos de
acciones resultantes de la evaluación del desempeño del sistema de hardware y software existentes
son:
Adición de capacidad de memoria principal.
Cambio de las unidades de almacenamiento en disco.
Cambio en la organización del almacenamiento en disco.
Cambio en el software de manejo de la base de datos.
Cambio en la red de comunicaciones.
21. Evaluación mediante el uso de monitores de desempeño: Los monitores de hardware son dispositivos
sensores acoplados a líneas de señales seleccionadas en el hardware del computador para medir la
presencia o ausencia de impulsos eléctricos
• El dispositivo de monitoreo no afecta la operación del hardware del computador
• No requiere almacenamiento primario ni tampoco tiempo de ciclos de CPU
• Los monitores pueden recoger datos tanto de la CPU como de la actividad de los dispositivos
periféricos, tales como el almacenamiento en disco
• Los monitores de hardware y software se pueden usar para detectar los recursos ociosos, los cuellos
de botella, y los desbalances de carga
22. Evaluación mediante el uso de bitácora del sistema y de la observación: La bitácora del sistema puede
brindar datos útiles para evaluación. Esto se pone en evidencia en pequeñas instalaciones que
mantienen bitácoras sencillas de trabajos, del tiempo de trabajo, etc.
La observación de las operaciones del computador es útil para detectar la distribución de los recursos
usados y aplicaciones o ineficientes. Algunos signos de distribución ineficiente o procedimientos de
operación pobres son:
• Atrasos en el procesamiento mientras el operador localiza archivos, monta cintas o discos, carga
formas, o realiza funciones similares.
• Excesivos requerimientos de respuesta en la consola al operador.
• Atrasos causados por la falta de entrenamiento en los procedimientos apropiados de re – arranque
cuando el procesamiento es interrumpido.
23. Evaluación del hardware y software propuestos: El proceso de evaluación para un nuevo o importante
reemplazo de un sistema de hardware – software variará según el nivel de experiencia de la
organización que usa los computadores, la urgencia del reemplazo, y otros factores. Un enfoque
general consta de pasos como los siguientes:
1. Estudio de los requerimientos.
2. Preparación de las especificaciones.
3. Obtención de las propuestas del vendedor.
4. Evaluación de las propuestas.
24. Riesgo inherente: Este tipo de riesgo tiene ver exclusivamente con la actividad económica o negocio
de la empresa, independientemente de los sistemas de control interno que allí se estén aplicando.
Riesgo de control: Aquí influye de manera muy importante los sistemas de control interno que
estén implementados en la empresa y que en circunstancias lleguen a ser insuficientes o
inadecuados para la aplicación y detección oportuna de irregularidades
Riesgo de detección: Este tipo de riesgo está directamente relacionado con los procedimientos de
auditoría por lo que se trata de la no detección de la existencia de erros en el proceso realizado.