Upload
ichi24
View
242
Download
0
Embed Size (px)
Citation preview
7/30/2019 58479547 Caso Practico de Auditoria Informatica
http://slidepdf.com/reader/full/58479547-caso-practico-de-auditoria-informatica 1/5
May 16, 2011 [AUDITORIA INFORMATICA]
1
CASO PRÁCTICO DE AUDITORIA INFORMATICA
En el presente informe se detallan las recomendaciones que se pueden aplicar a la mejora en la
seguridad física de un Centro de Proceso de Datos, así como también en los controles que se
tengan implementados o la sugerencia a incorporar algunos de estos.
Las recomendaciones se basan en punto por punto a excepción de los puntos que durante los
hallazgos tengan mayor puntaje.
A continuación detallamos las recomendaciones que podríamos brindar pensando como Auditores
en el centro de procesamiento de datos.
Control de Accesos: Autorizaciones
¿Existe un único responsable de implementar la política de autorizaciones de entrada en elcentro de cómputo?
R. Si, el jefe de Explotación, pero el director puede acceder a la sala con los acompañantes sinprevio aviso.
Recomendaciones:
y El acceso al Director se puede dar siempre y cuando mande una notificación previa con u
tiempo prudencial al Jefe de Explotación y asignarle un supervisor.
y El acceso al centro de datos tiene que ser lo mayor restringido posible, por lo que para su
seguridad el director debe notificar las visitas, en casos extremos se puede obviar y enviar
una nota después de la visita.
Además de la tarjeta magnética de identificación ¿hay que pasar otra especial?No, solamente la primera
Recomendaciones:
y La empresa puede crear anillos de seguridad utilizando accesos biométricos (Anexo1),
llaves u otros medios para una mejor seguridad del centro de datos.
y Para llegar al centro de datos deberían de pasar por varias estaciones, el guardia de
seguridad, tarjeta magnética, acceso biométrico, etc.
¿Se pregunta a las visitas si desean conocer el centro de cómputo?No, vale la primera autorización.
Recomendaciones:
y Las visitas NO deben estar autorizadas para entrar directamente a los centros de computo
y Toda persona que entre al centro de computo tienen que estar autorizada.
7/30/2019 58479547 Caso Practico de Auditoria Informatica
http://slidepdf.com/reader/full/58479547-caso-practico-de-auditoria-informatica 2/5
May 16, 2011 [AUDITORIA INFORMATICA]
2
¿Se prevén las visitas a los centros de cómputo con 24 horas al menos?No, basta que vayan acompañados con el Jefe de explotación o director.
Recomendaciones
y Si las personas no están autorizadas para ingresar al centro de computo, estas deben de
tener un autorización con anticipación por parte gerencia
Control de Accesos: Controles Automáticos
¿Cree usted que los controles automáticos son adecuados?Si, aunque ha de reconocerse que a pie puede llegarse por la noche hasta el edificio principal.
Recomendaciones:
y Crear un perímetro de seguridad alrededor del edificio donde solo pueda acceder personal
autorizado.
y Reforzar la seguridad al campus y al edificio.
¿Quedan registradas todas las entradas y salidas del centro de computo?No, solamente las del personal ajeno a la operación.
y Se debe registrar todas las entradas y salidas de todo el personal que accede tanto
internamente de la empresa así como personas externas
y Toda persona que entre y salga del centro de computo tienen que registrarse (día, hora, y
que operación realizo), sin excepción alguna del personal.
y También se puede imprimir el log de accesos por medio de las tarjetas magnéticas.
y Podría existir la posibilidad de poner un circuito cerrado de cámaras que registren los
puntos de acceso.
¿Puede salirse del centro sin tarjeta magnética?Sí, porque existe otra puerta de emergencia que puede abrirse desde adentro.
Recomendaciones:
y La puerta de emergencia está bien que exista pero tienen que brindarle una mayor
seguridad.
y Los botones son adecuados cuando se cuente con un sistema de monitoreo permanete.
(Anexo 2)
7/30/2019 58479547 Caso Practico de Auditoria Informatica
http://slidepdf.com/reader/full/58479547-caso-practico-de-auditoria-informatica 3/5
May 16, 2011 [AUDITORIA INFORMATICA]
3
Control de Accesos: Vigilancia
Identificadas las visitas, ¿Se les acompaña hasta la persona que desean ver?
No.
Recomendaciones:
y Toda persona que entre debe de ser acompañada hasta la persona que desea ver y a la vez
llevar un registro de las visitas
y Toda persona que no sea parte de la empresa debe de estar acompañado dentro del
centro de datos, se debe contar con suficiente personal para realizar esta tarea.
¿Conocen los vigilantes los terminales que deben quedar encendidos por la noche?
No, sería muy complicado.
Recomendaciones:
y Es necesario que el personal de vigilancia conozca un poco acerca de lo que se debe de
hacer, equipo que no se debe apagar.
y El personal debe de poseer números de teléfono de las personas a las cuales llamar en
caso de una emergencia en cualquiera de las terminales.
Control de Accesos: Registros
¿Existe una adecuada política de registros?
No, reconocemos que casi nunca, pero hasta ahora no ha habido necesidad.
Recomendaciones:
y Se debe de contar con políticas de registros, no esperemos que sucedan los imprevistos
para implementar políticas.
¿Se ha registrado alguna vez alguna persona?
Nunca.
Recomendaciones:
y Un control adecuado y un registro detallado puede ser útil para cualquier situación que
pueda darse en el futuro.
7/30/2019 58479547 Caso Practico de Auditoria Informatica
http://slidepdf.com/reader/full/58479547-caso-practico-de-auditoria-informatica 4/5
May 16, 2011 [AUDITORIA INFORMATICA]
4
¿Se abren todos los paquetes dirigidos a personas concretas y no a informática?
Casi nunca
Recomendaciones:
y Al tener políticas establecidas se debería de crear una de ella donde nos permita dejar
claro que todo paquete que llega va a ser revisado el personal de vigilancia para asegurarla seguridad del centro de datos.
La parte de registros es la que mas debilidad presenta por lo que se sugiere se empiece a trabajar
en un plan para el fortalecimiento de estos ya que la empresa podría atravesar por situaciones
donde se vean afectadas sus operaciones por la falta o el mal empleo de estos.
También cabe mencionar que la vigilancia es parte esencial en la operación, por lo cual ellos sin
necesidad de tener un conocimiento pleno del campo informático pueden suministrar ayuda
importante al personal informático, por lo cual es necesario que se les explique acerca de los
procesos o procedimientos a hacer en caso de una emergencia o que una situación este saliendo
de los parámetros adecuados o en caso de ver una anomalía por muy pequeña que esta sea.
7/30/2019 58479547 Caso Practico de Auditoria Informatica
http://slidepdf.com/reader/full/58479547-caso-practico-de-auditoria-informatica 5/5
May 16, 2011 [AUDITORIA INFORMATICA]
5
ANEXOS
Anexo 1. Controles de Acceso Biométrico
Anexo 2. Botones de salida
Anexo3. Lectores de tarjetas magnéticas