Definición de Auditoría
Enviado por fredcascas • 20 de Junio de 2014 • Ensayo • 5.011 Palabras (21 Páginas) • 219 Visitas
Definición de Auditoría:
Metodología basada en Riesgo vs. Control vs. Coste. El auditor revisa o audita los controles con la ayuda de una lista de control (checklist) que consta de una serie de preguntas o cuestiones a verificar.
La evaluación consiste en identificar la existencia de unos controles establecidos.
Las listas de control suelen utilizarse por los auditores, generalmente por auditores con poca experiencia, como una guía de referencia, para asegurar que se han revisado todos los controles.
La naturaleza especializada de la auditoría de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información.
La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.
A continuación, la descripción de los dos principales objetivos de una auditoría de sistemas, que son, las evaluaciones de los procesos de datos y de los equipos de cómputo, con controles, tipos y seguridad.
En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:
Evaluación de los sistemas y procedimientos.
Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.
La auditoría de sistemas debe abarcar tres grandes áreas:
Auditoría de Infra Estructura Física y Lógica.
Auditoría de Aplicaciones y estaciones de trabajo.
Auditoría de Sistemas y su Administración.
Este tipo de auditorías generalmente son realizadas por un equipo de expertos en diferentes ramas de la informática, con el objetivo de poder revisar a fondo el área asignada y utilizar herramientas de software que permitan obtener "Logs o Bitácoras" de que esta aconteciendo en cada área, con lo cual podrán analizar y dictaminar el estatus de un departamento de informática.
Auditoría de Infra Estructura Física:
Esta etapa de la auditoría es muy importante de revisar, ya que en muchas ocasiones las empresas u organizaciones poseen pocos recursos, y esto puede crear vulnerabilidades, también existen situaciones opuestas en las cuales tienen muchos recursos y están siendo sub utilizados.
Hay que revisar el Hardware de los servidores que utilizan, y el propósito de uso del servidor en sí, con el objetivo de comprender si los recursos que posee cada servidor son los óptimos para prestar el tipo de servicio o función para lo que ha sido designado. Hay que tomar en cuenta que cada sistema operativo de servidor consume una "X" cantidad de recursos de Memoria RAM y procesador, y según el uso destinado deberán ser las características del equipo analizado. Es conveniente que se posean estudios de Benchmark del caso, para poder tener parámetros de comparaciones y recomendaciones.
Generalmente se pueden encontrar redes de tipo LAN, WAN, MAN dentro de una institucion, por lo cual hay que revisar el equipo y cableado que lo conforma.
Referente al cableado estructurado (verificar que realmente cumpla con este estándar) chequeando desde la categoría de cable utilizado para cada punto de red, el tipo de configuración que se utilizada para cada cable (568 A o B) y que dicha configuración sea la misma en todos y cada uno de los puntos de red. Verificar con equipos especiales la transmisión de datos de cada punto, certificando que se esta cumpliendo con el estándar mínimo de transmisión de paquetes por punto. Establecer si se posee un plano del diseño del cableado estructurado en el cual se tiene la ubicación e identificación de cada punto de red tanto en el edificio como en el Patch panel respectivo. Idealmente el plano debe tener identificado también el departamento, nivel, puesto que tiene asignado cada punto de red, con lo cual se simplificará la ubicación física del mismo. Verificar que la distancia máxima de cada punto de red sea de 90 metros del equipo activo y que el Patch Cord de la estación de trabajo no sea mayor a 10 metros, para cumplir con el estándar de distancias máximas de 100 metros.
Seguidamente hay que revisar el diseño de la red a nivel físico, esto significa revisar que tipo de equipo activo y equipo pasivo que poseen. En relación al equipo pasivo se debe verificar que los patch panel sean los adecuados para la cantidad de puntos de red existentes, de preferencia si el patch panel esta usando una configuración de espejo previo a conectarse al equipo activo del caso.
El equipo activo de una red LAN puede estar conformado por una "X" cantidad de concentradores entre los que se pueden encontrar HUB o SWITCH, de existir aun Hub en una red es recomendable reemplazarlos por Switch para que se pueda mantener el Qos de la red LAN. Ya que el HUB no realiza Qos.
Hay que revisar que el Rack o Gabinete sean aptos para el equipo pasivo y activo que soportan, así como para el caso de que posean servidores de Rack. Se debe verificar que posean tomas de corriente apta para la cantidad de equipos que tiene cada estructura.
En los casos que la empresa u organización están alojadas en un edificio de más de 3 niveles se recomienda que se posea un BACK BONE para comunicar los diferentes niveles del edificio o edificios que conforman la red.
Así mismo colocar un equipo activo en cada nivel del edificio para que brinde servicio a los diferentes puntos de red, este equipo activo deberá contar con su respectivo patch panel y estar alojados en un gabinete con llave para protección del equipo activo como pasivo.
El equipo activo debe contar con
...