auditoria alrededor de la computadora

7/23/2019 Auditoria Alrededor de La Computadora

http://slidepdf.com/reader/full/auditoria-alrededor-de-la-computadora 1/21

Facultad de Contaduría y Administración

E.E. Auditoria Informática

Tipo de Auditoria:

Alrededor de la computadora

Integrantes:

Joel David Hernández Hernández

José Iván Carlos Carballo

Gabriel Domínguez García

LSCA

Sección: 602



Contenido

INTRODUCCION ............................................................................................................................... 1

PLANEACION DE LA AUDITORIA ...................................................................................................... 2

ORIGEN DE LA AUDITORIA .............................................................................................................. 2

Empresa auditada: .......................................................................................................................... 2

DEFINICION DE LOS OBJETIVOS ....................................................................................................... 2

Objetivo general: ............................................................................................................................. 2

Objetivo Específicos: ....................................................................................................................... 2

ALCANSE .......................................................................................................................................... 3

RECURSOS A UTILIZAR ..................................................................................................................... 3

PLAN DE LA AUDITORIA ................................................................................................................... 4

INSTRUMENTOS DE RECOLECCION DE DATOS ................................................................................ 5

Uso de la norma ISO/IEC 27004 ...................................................................................................... 5

Técnicas de Recolección de Datos .................................................................................................. 5

Modelo de las mediciones .............................................................................................................. 5

CUESTIONARIOS .............................................................................................................................. 7

EJECUSION DE LA AUDITORIA ....................................................................................................... 12

Documento de desviaciones ......................................................................................................... 12

Documento de Desviaciones Relevantes ...................................................................................... 13

DIACTAMEN ................................................................................................................................... 18

Referencias ........................................................................................................................................ 19



1

INTRODUCCION

La auditoría alrededor de la computadora la revisión específica que se realiza a todo

lo que está alrededor de un equipo de cómputo, como son sus sistemas, actividades

y funcionamiento, evalúa los métodos y procedimientos de acceso y procesamiento

de datos, la emisión y almacenamiento de resultados, las actividades de planeacióny presupuestario del centro de cómputo, los aspectos operacionales y financieros, la

gestión administrativa de accesos al sistema, la atención a usuarios y al desarrollo de

nuevos sistemas, las comunicaciones internas y externas, y en si todos aquellos

aspectos que contribuyen al buen funcionamiento de una área de sistematización.

(Razo, 2002)

La empresa “Plastimar” dedicada a la fabricación de insumos plásticos para la

industria de agua embotellada en la región de Xalapa realizo una solicitud al grupo

“Progressvi” para la realización de una auditoria alrededor de la computadora a su

área de sistemas, con el fin de conocer el estatus de sus recursos informáticos.

En el presente trabajo se detallan los hallazgos encontrados durante el proceso de

elaboración de la auditoria así como la herramienta y recursos utilizados en la

misma.



2

PLANEACION DE LA AUDITORIA

ORIGEN DE LA AUDITORIA

Externo por petición de nuestro cliente

Empresa auditada:

Plásticos y Derivados Pm, S.A de S.V.

Sitio de internet: www.plastimar.com.mx

Ubicación: Nuevo León No. 720-2, Progreso Macuiltépetl, 91130 Xalapa Enríquez,

Ver.

DEFINICION DE LOS OBJETIVOS

Objetivo general:

Verificar la calidad y suficiencia de los métodos de acceso, seguridad y salvaguarda

de los activos informáticos del área de los sistemas.

Objetivo Específicos:

Revisar la existencia de planes y programas de prevención contra

contingencias en el funcionamiento del sistema, en la información y datos

de la empresa y de los demás bienes informáticos.

Identificar los métodos de acceso a: La información, almacenamiento,

sistemas operativos, archivos y programas de la empresa.

Supervisar los sistemas de control de accesos lógicos al sistema y a las bases

de datos.

Verificar los sistemas de control de accesos físicos al centro de cómputo.

Comprobar los métodos de prevención y erradicación de virus informáticos.

http://www.plastimar.com.mx/

http://www.plastimar.com.mx/



3

ALCANSE

En primera instancia la auditoria procederá a la identificación de los activos de la

empresa a proteger, ente caso el área de sistemas de la empresa, en ella se llevara a

cabo la puesta en práctica de la norma ISO/IEC 27004 que permite visualizar todosaquellos aspectos de control de seguridad e integridad que son o vulnerables dentro

de esta area. Esta norma sirve como punto de partida para la identificación de los

riesgos donde la organización puede tener problemas, además de que facilita la

mejora continua ya que los datos obtenidos de las mediciones realizadas sirven

como base de comparación en un periodo de tiempo.

RECURSOS A UTILIZAR

Recursos Humanos:

Auditores encargados.

Personal de la empresa del área de sistemas

Recursos Materiales:

Equipo de papelería.

Un equipo de cómputo para el concentrado de la información.

Recursos Financieros:

Gastos de transporte y viáticos.



PLAN DE LA AUDITORIA

Empresa: Platimar S.A. de C.V. Periodo: Del 20 abril al 31 de mayo de 2015

Auditor: Progressvi Área auditada: Área de sistemas de la empresa

ActividadSemanas

Abril Mayo

No. Nombre Responsable 1 2 3 4 5 6 7

1 Visita preliminar. Auditores Progressvi

2 Definición de los objetivos. Auditores Progressvi

3. Establecer el alancé de la auditoria. Auditores Progressvi

4. Elección de estrategias. Auditores Progressvi

5. Elección de la norma a utilizar. Auditores Progressvi

6. Preparar Instrumentos recolección de datos. Auditores Progressvi

7. Inspección física del área de cómputo. Auditores Progressvi

8. Aplicación de los instrumentos de recolección

de datos.

Auditores Progressvi

9. Análisis de la información obtenida. Auditores Progressvi

10. Elaborar documento de desviaciones. Auditores Progressvi

11. Elaborar dictamen final. Auditores Progressvi

12. Presentación de los resultados. Auditores Progressvi

DD MM AA

20 04 201531 05 2015



5

INSTRUMENTOS DE RECOLECCION DE DATOS

Uso de la norma ISO/IEC 27004

Sirven para desarrollar, mantener e implementar especificaciones para los sistemas degestión de la seguridad de la información, también conocido como (SGSI).

Específicamente la norma ISO/IEC 27004

Son métricas para la gestión de seguridad de la información. Proporcionan

recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la

información.

Técnicas de Recolección de Datos

Estas normas (las ISO/IEC ) hacen uso de métricas. Según el IEEE (Instituto de Ingenieros

Eléctricos y Electrónicos) define la métrica como una medida cuantitativa del grado en que

un sistema, componente o proceso posee un atributo dado.

Características principales de las métricas:

Tienen que ser fáciles de obtener.

Expresadas en porcentajes o números en escala.

Necesarias con el fin de realizar tomas de decisiones.

Tienen que ser detalladas explicando cada cosa que sea necesario.

Modelo de las mediciones

Para llevarlo a cabo se necesita crear un programa con el fin de realizar la medición de laseguridad de la información de la entidad. El programa deberá centrarse en las ayudasque aportan dichas mediciones a la hora de tomar decisiones.

El modelo se centra en una arquitectura que relaciona los atributos medibles con unaentidad relevante. Dichas entidades pueden incluir, productos, recursos, proyectos yprocesos.

Este modelo servirá para describir como dichos atributos son cuantificados ytransformados en indicadores que servirán para la entidad a la hora de tomar decisiones.Para desarrollar este modelo es necesario definir los atributos que son considerandos másimportantes para medir la información que la organización necesita.



6

Formulación

Colección

Analisis

Interptretación

Realimentación

Para el proceso de aplicación de las métricas se recomienda dividirlo en cinco etapas:

En estos procesos de mediciones se tienen que cumplir una serie de objetivos los cuales

son los siguientes: Indicar y avisar los valores de seguridad de la entidad.

Realizar una evaluación de la eficiencia de la seguridad de la Información.

Incluir niveles de seguridad que sirvan de guía para las revisiones futuras, lo cualprovocará nuevas entradas para auditar y para ayudar a mejorar la seguridad de laentidad.

Realizar una evaluación de la efectividad de la implementación de los controles dela seguridad de la entidad.

Tiene como principal objetivo el de buscar y elegirlas métricas apropiadas para aplicarlo al sistema

informático en cuestión.

Se dan las recomendacionesobtenidas de la interpretación delas métricas técnicas trasmitidas alequipo de software.

Ahora con los datos obtenidos en la anterior etapa,se realizan los cálculos de las métricas.

A continuación con los cálculos hechos se

realiza su evaluación con el fin de obtener

una visión interna de la calidad de la

representación.

En esta segunda etapa hay que acumular yobtener todos los datos necesarios.



7

CUESTIONARIOS

(Quiros, 2010)

Cuestionario C1

Seguridad Lógica SI NO N/A Observaciones

1. ¿Uso de contraseñas por parte de los empleados?

2. ¿Las contraseñas tienen más de 8 caracteres?3. ¿La contraseña es alfanumérica?

4. ¿Existen diferentes niveles de acceso? (ejecutivos, programadores,analistas)

5. ¿Se registra la entrada al equipo informático?

6. ¿Se registra la salida al equipo informático?

7. ¿Los empleados son informados sobre los riesgos de las contraseñas?

8. ¿Uso de contraseñas que no tienen nada que ver con información delpersonal de la entidad (nombre, teléfono, matrícula del coche?

9. ¿Las cuentas de los empleados que vayan a ser despedidos son bloqueadaso elimiadas antes del aviso de despido?

10. ¿Las contraseñas son cambiadas periódicamente?

11. ¿Las contraseñas de cada empleado son diferentes para cada tipo deacceso?12. ¿Se comprueba que las cuentas que están en desuso son eliminadas?

13. ¿Existe un responsable del control de dichas cuentas?

14. ¿Hay diferentes modalidades de accesos dependiendo del grado de accesodel empleado?(lectura, escritura, borrado, ejecución)

15. ¿El empleado solo puede acceder a los recursos en determinadas horasdel día?

16. ¿El empleado solo puede acceder a determinados equipos informáticos?

17. ¿Se cambian las contraseñas que vienen por defecto en los equiposinformáticos?18. ¿Existen cuentas sin contraseña?

19. ¿Existe un número limitado de intentos a la hora de introducir lacontraseña?



8

Cuestionario C2

Control de acceso a las instalaciones (Seguridad Física) S

I

N

O

N/

A

Observacio

nes

1. ¿Uso de cámaras de seguridad?

2. ¿Sistemas de sensores de movimiento?3. ¿Las puertas están cerradas?

4. ¿Uso de sistemas de control de acceso a las salas (tarjetas,biometría, etc.)?

5. ¿Existencia de personal de seguridad?

6. ¿Existencia de un registro de entrada al edificio?

7. ¿Existencia de un registro de salida del edificio?

8. ¿Existencia de un registro de entrada de las salas del edificio?

9. ¿Existencia de un registro de salida de las salas del edificio?

10. ¿Las cámaras de seguridad están bien colocadas?

11. ¿Los sensores de movimiento están bien colocados?12. ¿Existe un plan de mantenimiento de las cámaras deseguridad?13. ¿Existe un plan de mantenimiento de los sensores demovimiento?

14. ¿Existe un plan de mantenimiento de los sistemas de controlde acceso a las salas?15. ¿Existencia de un registro para el edificio para invitados(personas que no trabajan en la entidad)?16. ¿Son capaces de acceder personas no relacionadas con laentidad en el edificio?

17. ¿El personal de seguridad está bien capacitado?18. ¿Existencia de cursos de reciclaje para el personal deseguridad?19. ¿Tras finalizar la jornada laboral se cierran las puertas?

20. ¿El personal de la entidad respeta ese control?

21. ¿El trato del personal de seguridad es correcto?

22. ¿Existe división de la responsabilidad para tener un controlmejor de la seguridad?

23. ¿Se investiga a los vigilantes antes de ser contratados?

24. ¿Se bloquean las tomas de red que no son utilizadas paraevitar pinchazos de terceras personas?

26. ¿Una vez despedido un empleado se le retira su tarjeta deacceso a la entidad?

(Quiros, 2010)



9

Cuestionario C4

Contingencias contra picos de tensión SI NO N/A Observaciones

¿Se cuenta con instalación con tierra física para todos los equipos?

¿La instalación eléctrica se realizó específicamente para el área de

cómputo?

¿Se cuenta con otra Instalación dentro el centro de cómputo,

diferente de la que alimenta a los equipos de cómputo?

¿La acometida llega a un tablero de distribución?

¿El tablero de distribución esta en la sala, visible y accesible?

¿El tablero considera espacio para futuras ampliaciones de hasta de un

30 % (Considerando que se dispone de espacio físico para la

instalación de más equipos)?

¿La Instalación es independiente para el area de cómputo?

¿La misma instalación con tierra física se ocupa en otras partes del

edificio?

¿La iluminación está alimentada de la misma acometida que los

equipos?

¿Las reactancias (balastros de las lámparas) están ubicadas dentro de

la sala?

¿Los ventiladores y aire acondicionado están conectados en la misma

instalación de los equipos a la planta de emergencia?

¿Los ventiladores y aire acondicionado están conectados en la misma

instalación de los equipos a los no-brake?

¿Se cuenta con interruptores generales?

¿Se cuenta con interruptores de emergencia en serie al interruptorgeneral?

¿Se cuenta con interruptores por secciones ó generales?

¿Se tienen los interruptores rotulados adecuadamente?

¿Se tienen protecciones contra corto circuito?

¿Se tiene implementado algún tipo de equipo de energía auxiliar?

¿Se cuenta con Planta de emergencia?

¿Se tienen conectadas algunas lámparas del centro de cómputo a la

planta de emergencia?

¿Qué porcentaje de lámparas: % están conectadas a la planta de

emergencia (recomendable el 25 %)?

(Solarate, 2013)



10

Cuestionario

Inventario sobre activos informáticos SI NO N/A Observaciones

¿Se cuenta con un inventario de todos los equipos que

integran el centro de cómputo?

¿Con cuanta frecuencia se revisa el inventario?

¿Se posee de bitácoras de fallas detectadas en losequipos?

Características de la bitácora (señale las opciones).

¿La bitácora es llenada por personal

especializado?

¿Señala fecha de detección de la falla?

¿Señala fecha de corrección de la falla y revisión

de que el equipo funcione correctamente?

¿Se poseen registros individuales de los equipos?

¿La bitácora hace referencia a hojas de servicio,

en donde se detalla la falla, y las causas que laoriginaron, así como las refacciones utilizadas?

¿Se lleva un control de los equipos en garantía, para que a

la finalización de ésta, se integren a algún programa de

mantenimiento?

¿Se cuenta con servicio de mantenimiento para todos los

equipos?

¿Con cuanta frecuencia se realiza mantenimiento a los

equipos?

¿Se cuenta con procedimientos definidos para la

adquisición de nuevos equipos?

¿Se tienen criterios de evaluación para determinar el

rendimiento de los equipos a adquirir y así elegir el

mejor?

Documentos probatorios presentados:



11

Cuestionario C3Respaldo de la información SI NO N/A Observaciones

1. ¿Existencias de Back‐ups?

2. ¿La información se guarda en los back‐ups de forma periódicas?

3. ¿Todas las copias de la información se guardan junta?

4. ¿Los Back‐ups están en una situación física segura (lejos de laentidad) en caso de fuegos, inundaciones, etc.?

5. ¿Los back‐ups están protegidos ante robos (uso de salas de

seguridad, cajas fuertes)?

6. ¿Los Back‐ups tienen un plan de mantenimiento?

7. ¿Los back‐ups están protegidos ante ataques informáticos (hackers,

virus, crackers, etc)?

8. ¿Existen procedimientos para la reconstrucción de los archivos encaso de su destrucción?

9. ¿Están identificados los archivos con información clasificada?

10. ¿Dicha información clasificada tiene clave de acceso? 11. ¿Hay personal autorizado para firmar la salida de los archivosclasificados?

12. ¿Hay responsable en caso de fallo de los backups?

(Quiros, 2010)



12

EJECUSION DE LA AUDITORIA

Documento de desviaciones



DIA MES AÑO07 06 2015

Aprobó (Nombre y Firma)Elaboro (Nombre y Firma)

SITUACION CAUSA SOLUCIONLas contraseñas de lossistemas de información sonfrágiles en cuanto a su nivel

de seguridad.

Se buscó que están fuerasencillas para que fueranfáciles de recordar para los

empleados.

Implementar contraseñascortas pero con letras ynúmeros.

Falta control del acceso alárea de sistemas.

No se tiene planteado unaregla dentro de laorganización u orden queintente mitigar los accesosinnecesarios al área desistemas por parte depersonal de otras áreas.

Implementar una política queregule en la medida posiblelos accesos a esta área.

El servidor donde se almacenala información con quetrabaja la empresa (como labase de datos de clientes,inventarios etc), se encuentratotalmente visible y expuesto.

No se implementó unamedida de seguridad paraproteger el servidor de robode información.

Adaptar un método físico deseguridad al servidor comopodría ser adaptar una cabinacon llave especial para este.

El servidor no tieneimplementada algún tipo deprotección contra ataques ovirus.

Recién se instaló y puso enfuncionamiento el servidor.

Instalación en el servidor deun firewall que inclusivepuede ser de licencia libre.



13

Documento de Desviaciones Relevantes



DIA MES AÑO07 06 2015

SITUACION CAUSAS SOLUCION FECHA DESOLUCION

RESPONSABLE

Exposición del

servidorprincipal de laempresa.

No se diseñó un

lugar adaptadoespecíficamentepara él.

Su adquisición ypuesta enfuncionamientoes reciente.

Realizar una

adaptación enlas instalacionesque le den unsegundo nivel deseguridad físico.

Julio 2015 Gerencia de la

organización (paraautorizar unpresupuesto), yencargado del áreade sistemas (pararealizar lapropuesta deadaptación)

Elaboro (Nombre y Firma) Aprobó (Nombre y Firma)



14



15



16



17



18

DIACTAMEN

Xalapa Ver 8 de Junio de 2015

Ángel Hernández Díaz

Gerente General

PRESENTE

En cumplimiento con la solicitud de auditoria a la empresa que tiene a su cargo me

permito hacerle llegar el dictamen del trabajo realizado al área de sistemas,

mismos que especificare a continuación.

De acuerdo a la información recabada se concluye que la empresa específicamente

en el área auditada presenta algunas vulnerabilidades que podrían afectar en cierto

grado sus actividades diarias:

El uso de contraseñas en el uso se SI de la organización son uso común por

lo que son fáciles de descifrar.

Personal de otras áreas diferentes al auditada se introducen con facilidad en

ella inclusive por actividades que no tienen nada que ver con su trabajo.

El servidor principal de la empresa se encuentra expuesto tanto física como

lógicamente. (El servidor esta visible en el área de sistemas y no cuenta con

algún tipo de protección instalado contra virus o ataques.)

La asignación de contraseñas y cuentas nuevas para cada empleado nuevo

que ingresa hace difícil tener un control total sobre estas. Principalmente

para mitigar el la existencia de cuentas en desuso.

Con lo anterior concluimos que existen ciertos factores de que ponen en riesgo la

integridad de la información de suma importancia con la que trabaja la empresa.

Respecto a la seguridad física existen irregularidades respecto a los accesos que se

realizan al área de cómputo, mientras que contingencias relacionadas con la tensión

eléctrica serian difíciles de ocurrir debido a la adecuada instalación separada que setiene.



Referencias

Quiros, A. L. (2010). Uso de la Norma ISO/IEC 27004 para Auditoria Infromatica. Madrid España.Consultado: 14 /05/2015

Obtenido de: http://e-

archivo.uc3m.es/bitstream/handle/10016/10564/PFC_Agustin_Larrondo_Quiros.pdf?sequence=1

Razo, C. M. (2002). Auditoria en Sistemas Computacionales . Mexico : Pearson Educacion.

Solarate, F. N. (13 de Febrero de 2013). Auditoria Informatica y de Sistemas. Consultado: 24

/05/2015 Obtenido de http://auditordesistemas.blogspot.com/2012/02/listas-de-

chequeo-o-checklist-para.html

auditoria alrededor de la computadora

Documents