ALCANCES DE LA AUDITORIA
Enviado por ISISNEMESIS • 4 de Marzo de 2013 • 1.476 Palabras (6 Páginas) • 819 Visitas
ALCANCES DE LA AUDITORIA DE SISTEMAS
1. AUDITORIA A CENTROS DE COMPUTO
En esta auditoría se debe verificar la Red instalada en la empresa, número y ubicación de los servidores, número de terminales conectadas, número de usuarios conectados al servidor, configuración de memoria y discos de los servidores, protocolos instalados y servicios, volumen de producción mensual de registros de cada aplicación, interfases que manejan, verificación de recepción y envío de archivos a otras entidades, sistemas de seguridad electrónica instalados, proveedores de tecnologías, planes de contingencia para el área de informática, proyectos a futuro planeados y verificación de si se tiene una auditoría de sistemas.
Se debe verificar los cuidados que se tienen en las instalaciones relacionados con ubicación del centro de computo y demás estantería, revisión de la electricidad y plano eléctrico existente, existencia de UPS y funcionamiento adecuado de las mismas y los circuitos, revisión del sistema de aire acondicionado (ubicación y funcionamiento), existencia de sistema de protección de incendios, revisión a nivel de software y hardware (licencias, revisión de amparos que tienen los pc).
También es fundamental observar la operación de los servidores en cuanto a la existencia del registro de operaciones cómo por ejemplo si se llevan bitácoras, conocimiento del manual de funciones, normas establecidas, procedimientos para el uso del servidor y permisos otorgados, programación de actividades haciendo uso de cronogramas y verificación del mantenimiento de archivos maestros.
El control de entrada y salida de información es necesario corroborarlo así como que tipo de seguridad tienen las instalaciones evaluando criterios existentes, sistemas de vigilancia; en este punto se verifica seguridad a nivel interno y externo.
En cuanto a la organización y al personal se evalúa la existencia de rotación en cargos, parámetros de ascenso y promoción, criterios de administración, revisar si existe segregación de funciones.
Finalmente se debe revisar la existencia de planes de contingencia, viendo si están debidamente creados, organizados y relacionados tanto a nivel de software (procedimientos manuales que den continuidad al servicio, existencia de matriz de sustitutos, difusión del plan y pruebas de simulación), como hardware (equipo de soporte, dispositivos claves, acuerdos con proveedores y compañías).
2. AUDITORIA A REDES
Al momento de auditar una red de microcomputadores se debe tener en cuenta; políticas administrativas verificando su existencia y controles en la adquisición y uso de microcomputadores, listado de usuarios y existencia de grupo de de trabajo que coordine los proyectos; así mismo se evalúan medios de difusión de los nuevos proyectos.
Con relación a la adquisición de hardware es necesario revisar si existe un análisis de costo – beneficio para los equipos adquiridos y solicitados, revisar la documentación existente del HW, realizar una planeación del sitio en que se instalaron los equipos garantizando protección antemagnética, conexión a la red, seguridad física y servicio eléctrico regulado; también es importante evaluar la memoria RAM y disco duro del servidor contra el número de usuarios que dependen de él y el registro de uso de microcomputadores por cada área.
La adquisición de software se debe vigilar observando la existencia de políticas para su uso y adquisición verificando paquetes en uso y que sean copias originales y licenciadas, viendo si existen alternativas manuales para realizar las tareas que se realizan en los pc, revisando archivos en el disco del servidor y la verificación de la existencia de un plan general de los desarrollos propuestos por los usuarios.
La documentación hace referencia a la existencia de catálogos actualizados del SW aplicativo desarrollado y adquirido, verificando la existencia de metodología y documentación requerida para aplicaciones desarrolladas en los micros.
Teniendo como referencia el modelo OSI en las comunicaciones se inicia con el nivel físico evaluando el plano de la red, soporte ante fallas y procesos de recuperación y verificación de procesos para mantenimiento periódico; en el nivel de enlace de datos es necesario ver que sistema existe para el monitoreo de las transmisiones verificando si es continúo o esporádico, si trabaja y se investigan tasas de estadísticas de errores; en el nivel de redes se analizan las estrategias para monitoreo de tráfico de red verificando las rutas, estadísticas de trafico y aprovechamiento de las herramientas que provee el sistema operativo, revisión de la conectividad a internet en cuanto a (controles de acceso, firewall, proxy, DNS, DHCP), revisión del uso de correo electrónico y la correcta administración de antivirus; en el nivel de transporte se verifica la existencia de procedimientos para iniciar la red diariamente o ante fallas, evidenciando la capacidad para detectar errores y corregirlos en transmisiones, revisar si los controles de acceso a las tablas el sistema son adecuados para las operaciones de la red percatándose de la existencia o no de una huella de auditoría para los cambios a las tablas e igualmente verificando la existencia de backups de las tablas del sistema operacional; en el nivel de sesión se observa si para cada estación de trabajo y para el servidor de la red se puede acceder al sistema
...