PROYECTO FINAL JAIME RADICH AUDITORÍA INFORMÁTICA.docx

April 15, 2019 | Author: Jaime Radich Vasquez | Category: Computer Network, Server (Computing), Redes sociales y digitales, Digital Technology, Computing
Share Embed Donate


Short Description

Download PROYECTO FINAL JAIME RADICH AUDITORÍA INFORMÁTICA.docx...

Description

PROYECTO FINAL AUDITORÍA INFORMÁTICA JAIME RADICH VASQUÉZ IACC

Su empresa Auditoría Inc. desea participar de una licitación privada del Banco IACC en la que solicitan realizar una auditoría informática de red interna y perimetral que incluya:



100 estaciones de trabajo con Windows 7.



bases de datos Oracle con Sistema Operativo Redhat Enterprise 5.



2 firewalls (uno interno y otro externo).



1 router perimetral.



1 data center donde se encuentran todos los servidores.



Enlaces redundantes entre las oficinas y el data center.

Para participar y adjudicársela, usted debe construir una propuesta técnica en la cual explique el objetivo y alcance de la auditoría, la metodología de trabajo que utilizar. Finalmente como anexo debe incluir lo siguiente: 

Detalle de pruebas a realizar por cada dispositivo (herramientas, checklist, etc.).

DESARROLLO

ADITORÍA INFORMÁTICA BANCO IACC

A finales del siglo XX, los sistemas informáticos se han constituido en las herramientas mas poderosas para materializar uno de los conceptos mas vitales y necesarios para cualquier organización, los sistemas informáticos de la empresa. La informática hoy, esta absolutamente inmersa en la gestión integral de la empresa, por lo tanto las organizaciones “informáticas” forman parte de lo que se ha denominado el management o gestión de la empresa. La informática no gestiona directamente la empresa, ayuda a la toma de decisiones, pero no decide por si misma, es por esta razón, la importancia de la auditoría informática. La auditoría informática es un examen critico que se realiza con el fin de evaluar la eficiencia de una sección, un organismo, una entidad, una organización empresarial o gubernamental, etc. Los principales objetivos de la auditoría informática son el control de la función informática, el análisis de la eficiencia de los sistemas informáticos, la verificación del cumplimiento de la normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos humanos, materiales e informáticos. Es decir una auditoria informática recolecta y evalúa evidencia con la finalidad de determinar si los sistemas de información y los recursos relacionados protegen adecuadamente los activos, mantienen la integridad y disponibilidad de los datos y del sistema, proveen información relevante y confiable, contribuyen al logro de las metas organizacionales, usan efectivamente los recursos y tiene controles internos efectivos que proveen una certeza razonable de que los objetivos del negocio, operaciones y de control serán alcanzados y que los eventos no deseados serán evitados o detectados y corregidos de forma oportuna. Las auditorías de redes internas y perimetrales tienen como finalidad determinar si existen problemas de conectividad los cuales podrían afectar el desempeño de los usuarios (colaboradores), o equipos que se encuentren en una red, adisionalmente ayudan a determinar si existen los controles de acceso necesario para la red, evitando accesos no deseados. Las auditorías informáticas tienen varias aristas, en este caso se enfocara en determinar y verificar si el equipamiento de los funcionarios, servidores y todos aquellos dispositivos que se encuentran dentro de la red están en condiciones para que se realice un trabajo seguro y sin deficiencias en la transmisión de la información, adisionalmente se determinara si la red perimetral esta entregando la seguridad necesaria para una organización de este tipo. Método de trabajo:

El Método sera “Técnica asistida por computadora”, es una herramienta que sirve

para recolectar información de una red de manera completa, incluyendo todos los equipos y dispositivos que la componen. S e realizan inspecciones físicas y lógicas, con el fin de determinar si los servidores, equipos y en general todos los dispositivos de la red, cuentan con sus respectivas licencias de software, y si todos los componentes de la red poseen las características físicas adecuadas para prestar los servicios asignados a cada parte o dispositivo. Por ejemplo; Instalaciones eléctricas, cableado estructurado, entre otras. Finalmente se entrega un informe de auditoría.

VERIFICACION DE RED: * Se realiza una revisión de todos los equipos de comunicación para verificar si están entregando un desempeño acorde a la estructura de la red y sus necesidades. * Se realizan revisiones en base al enlace principal y los enlaces de respaldo que puedan existir. * Adisionalmente se realiza una revisión a la estructura de la red y a la normativa vigente * Se revisa equipo por equipo, con un respectivo inventario completo.

VERIFICACION LOGICA: * Verificación detallada de los sistemas operativos, comprobando si estos cuentan con licencia y cual es la versión del SO (32 o 64 bits), también se revisan las aplicaciones adisionales del sistema y sus respectivas licencias, se verifican los sistemas operativos de los servidores y firmware de los router, switch, firewall, entre otros. * S e verifican las configuraciones de las tarjetas de red, las puertas de enlace, servidores DNS, mascaras de red y direcciones IP. * Al revisar las configuraciones de los router y firewall perimetral se espera que estén entregando los servicios necesario para el buen funcionamiento de la red. * Se revisan enlaces redundantes entre las oficinas y el data center. * revisión de la operabilidad de los sistemas de respaldo y recuperación en caso de falla del sistema. * Revisión de cunetas de usuario y accesos a estaciones de trabajo. * Verificación de las cuentas que tiene acceso a los servidores. *Verificación de activación o no de las tablas de auditorías de base de datos.

VERIFICACIÓN FÍSICA:

+ Se realiza una Verificación de la topologia de red y de cada componente computadores, routers, switch, firewall, servidores, entre otros. Estas verificaciones esteran apoyadas por la ficha Técnica de cada equipo o dispositivo. + Se verificaran las condiciones habilitantes del data center donde se encuentran los servidores, los medios de seguridad existentes para llegar a ellos y las condiciones que este presenta para que los servidores presenten un optimo funcionamiento a la red. + Se revisara si existe equipamiento de respaldo para los servidores en caso de posibles fallas eléctricas y como actuarían estos sistemas. + Se revisara que el data center cuente con las medidas de seguridad ante cualquier tipo de siniestro.

Finalmente se realiza un informe que contiene los resultados de las verificaciones y revisiones descritas con anterioridad, dependiendo de los resultados que este informe determine se podrá decidir si se requiere de un plan de mejoras para la red, con el afán de que la organización cuente con los estándares adecuados para un correcto y eficiente funcionamiento.

PLAN DE TRABAJO: 

revisión de las estaciones de trabajo:   Esta actividad se realiza en forma

coordinada para cubrir la revisión de los equipos en el menor tiempo posible. Teniendo en cuenta que se debe prever los imprevistos posibles en estas acciones. Tratándose de una entidad bancaria y que el trabajo se realiza directamente en las cajas, y en los escritorios (equipos) de los ejecutivos de cunetas, durante el horario am (hasta las 14:00). S Se partirá la con los equipos que están en las distintas oficinas que no sean las antes mencionadas, el trabajo estará a cargo de cuatro personas, su comieso sera a las 09:00 de la mañana hasta las 18:00 con una hora de colación respectivamente. Se establece un tiempo de duración de la evaluación, de 30 minutos por equipo, por lo que se debería revisar un total de 30 estaciones diarias. 

revisión datacenter y base de datos: El mismo equipo de cuatro personas que

realizo la evaluación de las estaciones de trabajo, realizara la revisión del data center, para estos efectos se espera realizarlo en medio día, simultanemente se realizara la revisión de las bases de datos, credenciales de acceso y los distintos

permisos y privilegios que puedan tener los colaboradores, ademas de las tablas de auditoria, se determina un promedio de tres horas por base de datos por lo que el trabajo terminaría en tres días aproximadamente. 

revisión de router perimetral y los firewall: Se programa un aproximado de

medio día por cada revisión de firewall, se verificaran versiones de firmware, configuraciones de seguridad, listas de acceso entre otros. Al mismo tiempo se revisara el router perimetral, en el se realizara un análisis de la arquitectura de la red, configuraciones de seguridad, todos los servicios que presta el dispositivo, se revisan las configuraciones ethernet y sus listas de acceso. Un día de trabajo aproximadamente. 

Enlaces redundantes: Se programa en un día las revisiones pertinentes para

verificar si entre las distintas oficinas y el data center existe un enlace redundante que sea capas de proporcionar la conectividad necesaria en caso de algún inconveniente que suceda de manera fortuita. 

Varios: Con la ayuda de un software especializado se realiza una Verificación de

los servicios que están corriendo en la red, simultáneamente con este tipo de software se realizara un inventario de todos los equipos conectados en red y sus características, así se podrá verificar de manera efectiva los componentes de los distintos equipos.

CHECK LIST.

Check list por estación de trabajo: 

MARCA



MODELO



PROCESADOR



DISCO DURO



MEMORIA RAM



CONFIGURACION IP



MAC



PERIFERICOS



CANEXIONES



SISTEMA OPERATIVO Y SU LICENCIA



APLICACIONES ADISIONALES Y SU LICENCIA



ANTIVIRUS



USUARIO



DOMINIO

Check list firewalls y routers: 

MARCA



MODELO



FIRMWARE



SEGURIDAD



CONEXIONES



SERVICIOS CONFIGURADOS

Check list data center: 

CONTROL DE ACCESO



SISTEMA DE SEGURIDAD ANTE IMPREVISTOS (CORTES DE ENERGIA, INCENDIO...)



ESTADO DE CONEXIONES.

INFORME

1.

Preparación de borrador de informe y recomendaciones.

2.

Discusión de borrador con el cliente.

3.

Entrega de informe y carta con recomendaciones.

Se debe resaltar la importancia de la discusión de los borradores parciales con el cliente, la referencia a clientes debe entenderse como los responsables directos de los distintos segmentos. En este punto es posible que el auditado no este de acuerdo en algún segmento y redacte un contra informe del punto cuestionado, este se adjunta al informe este final. Las recomendaciones podrán ser de tres tipos:

a)

Recomendaciones correspondientes a la zona roja. serán muy detalladas e irán en primer lugar, con la máxima prioridad. La redacción de las recomendaciones se hará de modo que sea simple verificar el cumplimiento de la misma por parte del cliente.

b)

Recomendaciones correspondientes a la zona amarilla, son las que deben observarse en el mediano plazo, e igualmente irán priorizadas.

c)

Recomendaciones correspondientes a la zona verde, Son las que suelen referirse a medidas de mantenimiento, puede detallarse alguna recomendación de este

tipo cuando una acción sencilla y económica podría eventualmente reportar beneficios de consideración.

A modo de conclusión, con la realización de este tipo de trabajo se puede deducir que toda empresa publica o privada, que posea sistemas de información medianamente complejos, deben someterse a un control estricto de evaluación de eficacia y eficiencia. Hoy en día mas de el 90% de todas las empresas tienen toda su información estructurada en sistemas informáticos, de aquí la vital importancia que los sistemas de información funcionen correctamente. Las empresas hoy deben y precisan informarse. El éxito de la empresa depende de la eficiencia de sus sistemas de información. Una empresa puede tener un staff de persona muy bien calificadas en sus profesiones, pero si el sistema informático es propenso a errores, lento, vulnerable e inestable, las cosas definitivamente no andarán bien, debe existir un balance entre las dos cosas, para alcanzar las metas y objetivos de la organización. En cuanto al trabajo de la auditoría en si, me gustaría recalcar que se necesita un gran conocimiento de informática, seriedad, capacidad, minuciosidad y responsabilidad. La auditoría de sistemas de información debe ser realizadas por profesionales altamente calificados, para salvaguardar lo mas importante la empresa y su información. La auditoria informática, hoy en día es de vital importancia para las empresas modernas con visión de futuro, sobre todo inmersas en un mundo globalizado, porque si no se prevé los mecanismos de control, seguridad y respaldo de la información dentro de una organización, esta se vera sumida en riesgos lógicos, físicos y humanos, que pueden causar fraudes no solo económicos sino de información, ocasionando perdidas importantes para la empresa. La auditoria de sistemas de información deberá comprender no solo la evaluación de los equipos de computo de un sistema o procedimiento especifico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles y salidas. En la mayoría de las empresas existe una constante preocupación por la presencia ocasional de fraudes, sin embargo, muchos de estos podrían prevenirse. Evitar fraudes es responsabilidad de todos los empleados, por ello es importante crear una cultura de buenas practicas, encaminada a minimizar el riesgo de fraude.

BIBLIOGRAFIA

DOCUMENTOS IACC (2018) http://www.gadae.com/blog/guia-para-hacer-una-auditoria-informatica-en-tu-empr esa/ https://www.apser.es/blog/2016/03/03/8-ventajas-de-hacer-una-auditoria-informat ica/ https://www.google.cl/search?q=auditoria+informatica https://e-archivo.uc3m.es/bitstream/handle/10016/22997/PFC_Jorge_Barrio_Ibane z_2014.pdf 

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF