Upload
yoel-hernandez-hernandez
View
217
Download
0
Embed Size (px)
Citation preview
7/23/2019 Auditoria Alrededor de La Computadora
http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 1/21
Facultad de Contaduría y Administración
E.E. Auditoria Informática
Tipo de Auditoria:
Alrededor de la computadora
Integrantes:
Joel David Hernández Hernández
José Iván Carlos Carballo
Gabriel Domínguez García
LSCA
Sección: 602
7/23/2019 Auditoria Alrededor de La Computadora
http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 2/21
Contenido
INTRODUCCION ............................................................................................................................... 1
PLANEACION DE LA AUDITORIA ...................................................................................................... 2
ORIGEN DE LA AUDITORIA .............................................................................................................. 2
Empresa auditada: .......................................................................................................................... 2
DEFINICION DE LOS OBJETIVOS ....................................................................................................... 2
Objetivo general: ............................................................................................................................. 2
Objetivo Específicos: ....................................................................................................................... 2
ALCANSE .......................................................................................................................................... 3
RECURSOS A UTILIZAR ..................................................................................................................... 3
PLAN DE LA AUDITORIA ................................................................................................................... 4
INSTRUMENTOS DE RECOLECCION DE DATOS ................................................................................ 5
Uso de la norma ISO/IEC 27004 ...................................................................................................... 5
Técnicas de Recolección de Datos .................................................................................................. 5
Modelo de las mediciones .............................................................................................................. 5
CUESTIONARIOS .............................................................................................................................. 7
EJECUSION DE LA AUDITORIA ....................................................................................................... 12
Documento de desviaciones ......................................................................................................... 12
Documento de Desviaciones Relevantes ...................................................................................... 13
DIACTAMEN ................................................................................................................................... 18
Referencias ........................................................................................................................................ 19
7/23/2019 Auditoria Alrededor de La Computadora
http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 3/21
1
INTRODUCCION
La auditoría alrededor de la computadora la revisión específica que se realiza a todo
lo que está alrededor de un equipo de cómputo, como son sus sistemas, actividades
y funcionamiento, evalúa los métodos y procedimientos de acceso y procesamiento
de datos, la emisión y almacenamiento de resultados, las actividades de planeacióny presupuestario del centro de cómputo, los aspectos operacionales y financieros, la
gestión administrativa de accesos al sistema, la atención a usuarios y al desarrollo de
nuevos sistemas, las comunicaciones internas y externas, y en si todos aquellos
aspectos que contribuyen al buen funcionamiento de una área de sistematización.
(Razo, 2002)
La empresa “Plastimar” dedicada a la fabricación de insumos plásticos para la
industria de agua embotellada en la región de Xalapa realizo una solicitud al grupo
“Progressvi” para la realización de una auditoria alrededor de la computadora a su
área de sistemas, con el fin de conocer el estatus de sus recursos informáticos.
En el presente trabajo se detallan los hallazgos encontrados durante el proceso de
elaboración de la auditoria así como la herramienta y recursos utilizados en la
misma.
7/23/2019 Auditoria Alrededor de La Computadora
http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 4/21
2
PLANEACION DE LA AUDITORIA
ORIGEN DE LA AUDITORIA
Externo por petición de nuestro cliente
Empresa auditada:
Plásticos y Derivados Pm, S.A de S.V.
Sitio de internet: www.plastimar.com.mx
Ubicación: Nuevo León No. 720-2, Progreso Macuiltépetl, 91130 Xalapa Enríquez,
Ver.
DEFINICION DE LOS OBJETIVOS
Objetivo general:
Verificar la calidad y suficiencia de los métodos de acceso, seguridad y salvaguarda
de los activos informáticos del área de los sistemas.
Objetivo Específicos:
Revisar la existencia de planes y programas de prevención contra
contingencias en el funcionamiento del sistema, en la información y datos
de la empresa y de los demás bienes informáticos.
Identificar los métodos de acceso a: La información, almacenamiento,
sistemas operativos, archivos y programas de la empresa.
Supervisar los sistemas de control de accesos lógicos al sistema y a las bases
de datos.
Verificar los sistemas de control de accesos físicos al centro de cómputo.
Comprobar los métodos de prevención y erradicación de virus informáticos.
7/23/2019 Auditoria Alrededor de La Computadora
http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 5/21
3
ALCANSE
En primera instancia la auditoria procederá a la identificación de los activos de la
empresa a proteger, ente caso el área de sistemas de la empresa, en ella se llevara a
cabo la puesta en práctica de la norma ISO/IEC 27004 que permite visualizar todosaquellos aspectos de control de seguridad e integridad que son o vulnerables dentro
de esta area. Esta norma sirve como punto de partida para la identificación de los
riesgos donde la organización puede tener problemas, además de que facilita la
mejora continua ya que los datos obtenidos de las mediciones realizadas sirven
como base de comparación en un periodo de tiempo.
RECURSOS A UTILIZAR
Recursos Humanos:
Auditores encargados.
Personal de la empresa del área de sistemas
Recursos Materiales:
Equipo de papelería.
Un equipo de cómputo para el concentrado de la información.
Recursos Financieros:
Gastos de transporte y viáticos.
7/23/2019 Auditoria Alrededor de La Computadora
http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 6/21
PLAN DE LA AUDITORIA
Empresa: Platimar S.A. de C.V. Periodo: Del 20 abril al 31 de mayo de 2015
Auditor: Progressvi Área auditada: Área de sistemas de la empresa
ActividadSemanas
Abril Mayo
No. Nombre Responsable 1 2 3 4 5 6 7
1 Visita preliminar. Auditores Progressvi
2 Definición de los objetivos. Auditores Progressvi
3. Establecer el alancé de la auditoria. Auditores Progressvi
4. Elección de estrategias. Auditores Progressvi
5. Elección de la norma a utilizar. Auditores Progressvi
6. Preparar Instrumentos recolección de datos. Auditores Progressvi
7. Inspección física del área de cómputo. Auditores Progressvi
8. Aplicación de los instrumentos de recolección
de datos.
Auditores Progressvi
9. Análisis de la información obtenida. Auditores Progressvi
10. Elaborar documento de desviaciones. Auditores Progressvi
11. Elaborar dictamen final. Auditores Progressvi
12. Presentación de los resultados. Auditores Progressvi
DD MM AA
20 04 201531 05 2015
7/23/2019 Auditoria Alrededor de La Computadora
http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 7/21
5
INSTRUMENTOS DE RECOLECCION DE DATOS
Uso de la norma ISO/IEC 27004
Sirven para desarrollar, mantener e implementar especificaciones para los sistemas degestión de la seguridad de la información, también conocido como (SGSI).
Específicamente la norma ISO/IEC 27004
Son métricas para la gestión de seguridad de la información. Proporcionan
recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la
información.
Técnicas de Recolección de Datos
Estas normas (las ISO/IEC ) hacen uso de métricas. Según el IEEE (Instituto de Ingenieros
Eléctricos y Electrónicos) define la métrica como una medida cuantitativa del grado en que
un sistema, componente o proceso posee un atributo dado.
Características principales de las métricas:
Tienen que ser fáciles de obtener.
Expresadas en porcentajes o números en escala.
Necesarias con el fin de realizar tomas de decisiones.
Tienen que ser detalladas explicando cada cosa que sea necesario.
Modelo de las mediciones
Para llevarlo a cabo se necesita crear un programa con el fin de realizar la medición de laseguridad de la información de la entidad. El programa deberá centrarse en las ayudasque aportan dichas mediciones a la hora de tomar decisiones.
El modelo se centra en una arquitectura que relaciona los atributos medibles con unaentidad relevante. Dichas entidades pueden incluir, productos, recursos, proyectos yprocesos.
Este modelo servirá para describir como dichos atributos son cuantificados ytransformados en indicadores que servirán para la entidad a la hora de tomar decisiones.Para desarrollar este modelo es necesario definir los atributos que son considerandos másimportantes para medir la información que la organización necesita.
7/23/2019 Auditoria Alrededor de La Computadora
http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 8/21
6
Formulación
Colección
Analisis
Interptretación
Realimentación
Para el proceso de aplicación de las métricas se recomienda dividirlo en cinco etapas:
En estos procesos de mediciones se tienen que cumplir una serie de objetivos los cuales
son los siguientes: Indicar y avisar los valores de seguridad de la entidad.
Realizar una evaluación de la eficiencia de la seguridad de la Información.
Incluir niveles de seguridad que sirvan de guía para las revisiones futuras, lo cualprovocará nuevas entradas para auditar y para ayudar a mejorar la seguridad de laentidad.
Realizar una evaluación de la efectividad de la implementación de los controles dela seguridad de la entidad.
Tiene como principal objetivo el de buscar y elegirlas métricas apropiadas para aplicarlo al sistema
informático en cuestión.
Se dan las recomendacionesobtenidas de la interpretación delas métricas técnicas trasmitidas alequipo de software.
Ahora con los datos obtenidos en la anterior etapa,se realizan los cálculos de las métricas.
A continuación con los cálculos hechos se
realiza su evaluación con el fin de obtener
una visión interna de la calidad de la
representación.
En esta segunda etapa hay que acumular yobtener todos los datos necesarios.
7/23/2019 Auditoria Alrededor de La Computadora
http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 9/21
7
CUESTIONARIOS
(Quiros, 2010)
Cuestionario C1
Seguridad Lógica SI NO N/A Observaciones
1. ¿Uso de contraseñas por parte de los empleados?
2. ¿Las contraseñas tienen más de 8 caracteres?3. ¿La contraseña es alfanumérica?
4. ¿Existen diferentes niveles de acceso? (ejecutivos, programadores,analistas)
5. ¿Se registra la entrada al equipo informático?
6. ¿Se registra la salida al equipo informático?
7. ¿Los empleados son informados sobre los riesgos de las contraseñas?
8. ¿Uso de contraseñas que no tienen nada que ver con información delpersonal de la entidad (nombre, teléfono, matrícula del coche?
9. ¿Las cuentas de los empleados que vayan a ser despedidos son bloqueadaso elimiadas antes del aviso de despido?
10. ¿Las contraseñas son cambiadas periódicamente?
11. ¿Las contraseñas de cada empleado son diferentes para cada tipo deacceso?12. ¿Se comprueba que las cuentas que están en desuso son eliminadas?
13. ¿Existe un responsable del control de dichas cuentas?
14. ¿Hay diferentes modalidades de accesos dependiendo del grado de accesodel empleado?(lectura, escritura, borrado, ejecución)
15. ¿El empleado solo puede acceder a los recursos en determinadas horasdel día?
16. ¿El empleado solo puede acceder a determinados equipos informáticos?
17. ¿Se cambian las contraseñas que vienen por defecto en los equiposinformáticos?18. ¿Existen cuentas sin contraseña?
19. ¿Existe un número limitado de intentos a la hora de introducir lacontraseña?
7/23/2019 Auditoria Alrededor de La Computadora
http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 10/21
8
Cuestionario C2
Control de acceso a las instalaciones (Seguridad Física) S
I
N
O
N/
A
Observacio
nes
1. ¿Uso de cámaras de seguridad?
2. ¿Sistemas de sensores de movimiento?3. ¿Las puertas están cerradas?
4. ¿Uso de sistemas de control de acceso a las salas (tarjetas,biometría, etc.)?
5. ¿Existencia de personal de seguridad?
6. ¿Existencia de un registro de entrada al edificio?
7. ¿Existencia de un registro de salida del edificio?
8. ¿Existencia de un registro de entrada de las salas del edificio?
9. ¿Existencia de un registro de salida de las salas del edificio?
10. ¿Las cámaras de seguridad están bien colocadas?
11. ¿Los sensores de movimiento están bien colocados?12. ¿Existe un plan de mantenimiento de las cámaras deseguridad?13. ¿Existe un plan de mantenimiento de los sensores demovimiento?
14. ¿Existe un plan de mantenimiento de los sistemas de controlde acceso a las salas?15. ¿Existencia de un registro para el edificio para invitados(personas que no trabajan en la entidad)?16. ¿Son capaces de acceder personas no relacionadas con laentidad en el edificio?
17. ¿El personal de seguridad está bien capacitado?18. ¿Existencia de cursos de reciclaje para el personal deseguridad?19. ¿Tras finalizar la jornada laboral se cierran las puertas?
20. ¿El personal de la entidad respeta ese control?
21. ¿El trato del personal de seguridad es correcto?
22. ¿Existe división de la responsabilidad para tener un controlmejor de la seguridad?
23. ¿Se investiga a los vigilantes antes de ser contratados?
24. ¿Se bloquean las tomas de red que no son utilizadas paraevitar pinchazos de terceras personas?
26. ¿Una vez despedido un empleado se le retira su tarjeta deacceso a la entidad?
(Quiros, 2010)
7/23/2019 Auditoria Alrededor de La Computadora
http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 11/21
9
Cuestionario C4
Contingencias contra picos de tensión SI NO N/A Observaciones
¿Se cuenta con instalación con tierra física para todos los equipos?
¿La instalación eléctrica se realizó específicamente para el área de
cómputo?
¿Se cuenta con otra Instalación dentro el centro de cómputo,
diferente de la que alimenta a los equipos de cómputo?
¿La acometida llega a un tablero de distribución?
¿El tablero de distribución esta en la sala, visible y accesible?
¿El tablero considera espacio para futuras ampliaciones de hasta de un
30 % (Considerando que se dispone de espacio físico para la
instalación de más equipos)?
¿La Instalación es independiente para el area de cómputo?
¿La misma instalación con tierra física se ocupa en otras partes del
edificio?
¿La iluminación está alimentada de la misma acometida que los
equipos?
¿Las reactancias (balastros de las lámparas) están ubicadas dentro de
la sala?
¿Los ventiladores y aire acondicionado están conectados en la misma
instalación de los equipos a la planta de emergencia?
¿Los ventiladores y aire acondicionado están conectados en la misma
instalación de los equipos a los no-brake?
¿Se cuenta con interruptores generales?
¿Se cuenta con interruptores de emergencia en serie al interruptorgeneral?
¿Se cuenta con interruptores por secciones ó generales?
¿Se tienen los interruptores rotulados adecuadamente?
¿Se tienen protecciones contra corto circuito?
¿Se tiene implementado algún tipo de equipo de energía auxiliar?
¿Se cuenta con Planta de emergencia?
¿Se tienen conectadas algunas lámparas del centro de cómputo a la
planta de emergencia?
¿Qué porcentaje de lámparas: % están conectadas a la planta de
emergencia (recomendable el 25 %)?
(Solarate, 2013)
7/23/2019 Auditoria Alrededor de La Computadora
http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 12/21
10
Cuestionario
Inventario sobre activos informáticos SI NO N/A Observaciones
¿Se cuenta con un inventario de todos los equipos que
integran el centro de cómputo?
¿Con cuanta frecuencia se revisa el inventario?
¿Se posee de bitácoras de fallas detectadas en losequipos?
Características de la bitácora (señale las opciones).
¿La bitácora es llenada por personal
especializado?
¿Señala fecha de detección de la falla?
¿Señala fecha de corrección de la falla y revisión
de que el equipo funcione correctamente?
¿Se poseen registros individuales de los equipos?
¿La bitácora hace referencia a hojas de servicio,
en donde se detalla la falla, y las causas que laoriginaron, así como las refacciones utilizadas?
¿Se lleva un control de los equipos en garantía, para que a
la finalización de ésta, se integren a algún programa de
mantenimiento?
¿Se cuenta con servicio de mantenimiento para todos los
equipos?
¿Con cuanta frecuencia se realiza mantenimiento a los
equipos?
¿Se cuenta con procedimientos definidos para la
adquisición de nuevos equipos?
¿Se tienen criterios de evaluación para determinar el
rendimiento de los equipos a adquirir y así elegir el
mejor?
Documentos probatorios presentados:
7/23/2019 Auditoria Alrededor de La Computadora
http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 13/21
11
Cuestionario C3Respaldo de la información SI NO N/A Observaciones
1. ¿Existencias de Back‐ups?
2. ¿La información se guarda en los back‐ups de forma periódicas?
3. ¿Todas las copias de la información se guardan junta?
4. ¿Los Back‐ups están en una situación física segura (lejos de laentidad) en caso de fuegos, inundaciones, etc.?
5. ¿Los back‐ups están protegidos ante robos (uso de salas de
seguridad, cajas fuertes)?
6. ¿Los Back‐ups tienen un plan de mantenimiento?
7. ¿Los back‐ups están protegidos ante ataques informáticos (hackers,
virus, crackers, etc)?
8. ¿Existen procedimientos para la reconstrucción de los archivos encaso de su destrucción?
9. ¿Están identificados los archivos con información clasificada?
10. ¿Dicha información clasificada tiene clave de acceso? 11. ¿Hay personal autorizado para firmar la salida de los archivosclasificados?
12. ¿Hay responsable en caso de fallo de los backups?
(Quiros, 2010)
7/23/2019 Auditoria Alrededor de La Computadora
http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 14/21
12
EJECUSION DE LA AUDITORIA
Documento de desviaciones
Empresa: Platimar S.A. de C.V. Periodo: Del 20 abril al 31 de mayo de 2015
Auditor: Progressvi Área auditada: Área de sistemas de la empresa
DIA MES AÑO07 06 2015
Aprobó (Nombre y Firma)Elaboro (Nombre y Firma)
SITUACION CAUSA SOLUCIONLas contraseñas de lossistemas de información sonfrágiles en cuanto a su nivel
de seguridad.
Se buscó que están fuerasencillas para que fueranfáciles de recordar para los
empleados.
Implementar contraseñascortas pero con letras ynúmeros.
Falta control del acceso alárea de sistemas.
No se tiene planteado unaregla dentro de laorganización u orden queintente mitigar los accesosinnecesarios al área desistemas por parte depersonal de otras áreas.
Implementar una política queregule en la medida posiblelos accesos a esta área.
El servidor donde se almacenala información con quetrabaja la empresa (como labase de datos de clientes,inventarios etc), se encuentratotalmente visible y expuesto.
No se implementó unamedida de seguridad paraproteger el servidor de robode información.
Adaptar un método físico deseguridad al servidor comopodría ser adaptar una cabinacon llave especial para este.
El servidor no tieneimplementada algún tipo deprotección contra ataques ovirus.
Recién se instaló y puso enfuncionamiento el servidor.
Instalación en el servidor deun firewall que inclusivepuede ser de licencia libre.
7/23/2019 Auditoria Alrededor de La Computadora
http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 15/21
13
Documento de Desviaciones Relevantes
Empresa: Platimar S.A. de C.V. Periodo: Del 20 abril al 31 de mayo de 2015
Auditor: Progressvi Área auditada: Área de sistemas de la empresa
DIA MES AÑO07 06 2015
SITUACION CAUSAS SOLUCION FECHA DESOLUCION
RESPONSABLE
Exposición del
servidorprincipal de laempresa.
No se diseñó un
lugar adaptadoespecíficamentepara él.
Su adquisición ypuesta enfuncionamientoes reciente.
Realizar una
adaptación enlas instalacionesque le den unsegundo nivel deseguridad físico.
Julio 2015 Gerencia de la
organización (paraautorizar unpresupuesto), yencargado del áreade sistemas (pararealizar lapropuesta deadaptación)
Elaboro (Nombre y Firma) Aprobó (Nombre y Firma)
7/23/2019 Auditoria Alrededor de La Computadora
http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 16/21
14
7/23/2019 Auditoria Alrededor de La Computadora
http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 17/21
15
7/23/2019 Auditoria Alrededor de La Computadora
http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 18/21
16
7/23/2019 Auditoria Alrededor de La Computadora
http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 19/21
17
7/23/2019 Auditoria Alrededor de La Computadora
http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 20/21
18
DIACTAMEN
Xalapa Ver 8 de Junio de 2015
Ángel Hernández Díaz
Gerente General
PRESENTE
En cumplimiento con la solicitud de auditoria a la empresa que tiene a su cargo me
permito hacerle llegar el dictamen del trabajo realizado al área de sistemas,
mismos que especificare a continuación.
De acuerdo a la información recabada se concluye que la empresa específicamente
en el área auditada presenta algunas vulnerabilidades que podrían afectar en cierto
grado sus actividades diarias:
El uso de contraseñas en el uso se SI de la organización son uso común por
lo que son fáciles de descifrar.
Personal de otras áreas diferentes al auditada se introducen con facilidad en
ella inclusive por actividades que no tienen nada que ver con su trabajo.
El servidor principal de la empresa se encuentra expuesto tanto física como
lógicamente. (El servidor esta visible en el área de sistemas y no cuenta con
algún tipo de protección instalado contra virus o ataques.)
La asignación de contraseñas y cuentas nuevas para cada empleado nuevo
que ingresa hace difícil tener un control total sobre estas. Principalmente
para mitigar el la existencia de cuentas en desuso.
Con lo anterior concluimos que existen ciertos factores de que ponen en riesgo la
integridad de la información de suma importancia con la que trabaja la empresa.
Respecto a la seguridad física existen irregularidades respecto a los accesos que se
realizan al área de cómputo, mientras que contingencias relacionadas con la tensión
eléctrica serian difíciles de ocurrir debido a la adecuada instalación separada que setiene.
7/23/2019 Auditoria Alrededor de La Computadora
http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 21/21
Referencias
Quiros, A. L. (2010). Uso de la Norma ISO/IEC 27004 para Auditoria Infromatica. Madrid España.Consultado: 14 /05/2015
Obtenido de: http://e-
archivo.uc3m.es/bitstream/handle/10016/10564/PFC_Agustin_Larrondo_Quiros.pdf?sequence=1
Razo, C. M. (2002). Auditoria en Sistemas Computacionales . Mexico : Pearson Educacion.
Solarate, F. N. (13 de Febrero de 2013). Auditoria Informatica y de Sistemas. Consultado: 24
/05/2015 Obtenido de http://auditordesistemas.blogspot.com/2012/02/listas-de-
chequeo-o-checklist-para.html