Академический Документы
Профессиональный Документы
Культура Документы
LSCA
Seccin: 602
Contenido
INTRODUCCION ............................................................................................................................... 1
PLANEACION DE LA AUDITORIA ...................................................................................................... 2
ORIGEN DE LA AUDITORIA .............................................................................................................. 2
Empresa auditada: .......................................................................................................................... 2
DEFINICION DE LOS OBJETIVOS....................................................................................................... 2
Objetivo general: ............................................................................................................................. 2
Objetivo Especficos: ....................................................................................................................... 2
ALCANSE .......................................................................................................................................... 3
RECURSOS A UTILIZAR ..................................................................................................................... 3
PLAN DE LA AUDITORIA................................................................................................................... 4
INSTRUMENTOS DE RECOLECCION DE DATOS ................................................................................ 5
Uso de la norma ISO/IEC 27004 ...................................................................................................... 5
Tcnicas de Recoleccin de Datos .................................................................................................. 5
Modelo de las mediciones .............................................................................................................. 5
CUESTIONARIOS .............................................................................................................................. 7
EJECUSION DE LA AUDITORIA ....................................................................................................... 12
Documento de desviaciones ......................................................................................................... 12
Documento de Desviaciones Relevantes ...................................................................................... 13
DIACTAMEN................................................................................................................................... 18
Referencias ........................................................................................................................................ 19
INTRODUCCION
PLANEACION DE LA AUDITORIA
ORIGEN DE LA AUDITORIA
Objetivo Especficos:
ALCANSE
Auditores encargados.
Personal de la empresa del rea de sistemas
Recursos Materiales:
Equipo de papelera.
Un equipo de cmputo para el concentrado de la informacin.
Recursos Financieros:
PLAN DE LA AUDITORIA
DD
20
31
MM
04
05
AA
2015
2015
Semanas
Actividad
Abril
No.
Nombre
Responsable
Visita preliminar.
Auditores Progressvi
Auditores Progressvi
3.
Auditores Progressvi
4.
Eleccin de estrategias.
Auditores Progressvi
5.
Auditores Progressvi
6.
Auditores Progressvi
7.
Auditores Progressvi
8.
Auditores Progressvi
9.
10.
Auditores Progressvi
11.
Auditores Progressvi
12.
Auditores Progressvi
Mayo
3
Auditores Progressvi
Formulacin
Analisis
Interptretacin
En estos procesos de mediciones se tienen que cumplir una serie de objetivos los cuales
son los siguientes:
Indicar y avisar los valores de seguridad de la entidad.
Realizar una evaluacin de la eficiencia de la seguridad de la Informacin.
Incluir niveles de seguridad que sirvan de gua para las revisiones futuras, lo cual
provocar nuevas entradas para auditar y para ayudar a mejorar la seguridad de la
entidad.
Realizar una evaluacin de la efectividad de la implementacin de los controles de
la seguridad de la entidad.
CUESTIONARIOS
Cuestionario
Seguridad Lgica
1. Uso de contraseas por parte de los empleados?
2. Las contraseas tienen ms de 8 caracteres?
3. La contrasea es alfanumrica?
4. Existen diferentes niveles de acceso? (ejecutivos, programadores,
analistas)
5. Se registra la entrada al equipo informtico?
6. Se registra la salida al equipo informtico?
7. Los empleados son informados sobre los riesgos de las contraseas?
8. Uso de contraseas que no tienen nada que ver con informacin del
personal de la entidad (nombre, telfono, matrcula del coche?
9. Las cuentas de los empleados que vayan a ser despedidos son bloqueadas
o elimiadas antes del aviso de despido?
10. Las contraseas son cambiadas peridicamente?
11. Las contraseas de cada empleado son diferentes para cada tipo de
acceso?
12. Se comprueba que las cuentas que estn en desuso son eliminadas?
13. Existe un responsable del control de dichas cuentas?
14. Hay diferentes modalidades de accesos dependiendo del grado de acceso
del empleado?(lectura, escritura, borrado, ejecucin)
15. El empleado solo puede acceder a los recursos en determinadas horas
del da?
16. El empleado solo puede acceder a determinados equipos informticos?
17. Se cambian las contraseas que vienen por defecto en los equipos
informticos?
18. Existen cuentas sin contrasea?
19. Existe un nmero limitado de intentos a la hora de introducir la
contrasea?
C1
SI NO N/A Observaciones
(Quiros, 2010)
Cuestionario
Control de acceso a las instalaciones (Seguridad Fsica)
S
I
N
O
N/
A
C2
Observacio
nes
Cuestionario
Contingencias contra picos de tensin
Se cuenta con instalacin con tierra fsica para todos los equipos?
SI
NO
N/A
C4
Observaciones
Cuestionario
Inventario sobre activos informticos
Se cuenta con un inventario de todos los equipos que
integran el centro de cmputo?
Con cuanta frecuencia se revisa el inventario?
Se posee de bitcoras de fallas detectadas en los
equipos?
Caractersticas de la bitcora (seale las opciones).
La bitcora es llenada por personal
especializado?
Seala fecha de deteccin de la falla?
Seala fecha de correccin de la falla y revisin
de que el equipo funcione correctamente?
Se poseen registros individuales de los equipos?
La bitcora hace referencia a hojas de servicio,
en donde se detalla la falla, y las causas que la
originaron, as como las refacciones utilizadas?
Se lleva un control de los equipos en garanta, para que a
la finalizacin de sta, se integren a algn programa de
mantenimiento?
Se cuenta con servicio de mantenimiento para todos los
equipos?
Con cuanta frecuencia se realiza mantenimiento a los
equipos?
Se cuenta con procedimientos definidos para la
adquisicin de nuevos equipos?
Se tienen criterios de evaluacin para determinar el
rendimiento de los equipos a adquirir y as elegir el
mejor?
Documentos probatorios presentados:
SI
NO
N/A Observaciones
10
Cuestionario
Respaldo de la informacin
SI NO N/A
C3
Observaciones
1. Existencias de Backups?
2. La informacin se guarda en los backups de forma peridicas?
3. Todas las copias de la informacin se guardan junta?
4. Los Backups estn en una situacin fsica segura (lejos de la
entidad) en caso de fuegos, inundaciones, etc.?
5. Los backups estn protegidos ante robos (uso de salas de
seguridad, cajas fuertes)?
6. Los Backups tienen un plan de mantenimiento?
7. Los backups estn protegidos ante ataques informticos (hackers,
virus, crackers, etc)?
8. Existen procedimientos para la reconstruccin de los archivos en
caso de su destruccin?
9. Estn identificados los archivos con informacin clasificada?
10. Dicha informacin clasificada tiene clave de acceso?
11. Hay personal autorizado para firmar la salida de los archivos
clasificados?
12. Hay responsable en caso de fallo de los backups?
(Quiros, 2010)
11
EJECUSION DE LA AUDITORIA
Documento de desviaciones
DIA
07
MES
06
AO
2015
SITUACION
Las contraseas de los
sistemas de informacin son
frgiles en cuanto a su nivel
de seguridad.
CAUSA
Se busc que estn fuera
sencillas para que fueran
fciles de recordar para los
empleados.
SOLUCION
Implementar contraseas
cortas pero con letras y
nmeros.
Instalacin en el servidor de
un firewall que inclusive
puede ser de licencia libre.
12
DIA
07
MES
06
AO
2015
SITUACION
CAUSAS
SOLUCION
Exposicin del
servidor
principal de la
empresa.
No se dise un
lugar adaptado
especficamente
para l.
Realizar una
adaptacin en
las instalaciones
que le den un
segundo nivel de
seguridad fsico.
Su adquisicin y
puesta en
funcionamiento
es reciente.
FECHA DE
SOLUCION
Julio 2015
RESPONSABLE
Gerencia de la
organizacin (para
autorizar un
presupuesto), y
encargado del rea
de sistemas (para
realizar la
propuesta de
adaptacin)
13
14
15
16
17
DIACTAMEN
18
Referencias
Quiros, A. L. (2010). Uso de la Norma ISO/IEC 27004 para Auditoria Infromatica. Madrid Espaa.
Consultado: 14 /05/2015
Obtenido de: http://earchivo.uc3m.es/bitstream/handle/10016/10564/PFC_Agustin_Larrondo_Quiros.pdf?sequence=1
Razo, C. M. (2002). Auditoria en Sistemas Computacionales . Mexico : Pearson Educacion.
Solarate, F. N. (13 de Febrero de 2013). Auditoria Informatica y de Sistemas. Consultado: 24
/05/2015 Obtenido de http://auditordesistemas.blogspot.com/2012/02/listas-dechequeo-o-checklist-para.html
19