La auditoría de los servidores y plataformas.La auditoría de servidores y plataforma, consiste en una revisión exhaustiva de servicios vitales y archivos de registro o log. Objetivo general es impresionar el funcionamiento de los servidores y plataformas, detectando errores en la configuración de algunos de las entidades involucradasDefinir 25 objetos especiales de las auditaría: Revisión de Visor de sucesos o archivos de Registros Servicio de DNS Servicio de Autentificación de Dominio Pertenencia Nivel Permisos Elementos compartidos Para servidores Windows, Servicios de Active Directory Configuraciones de Servicios básicos tales como Servidor Web, Servidores de Base de datos, Servidores de Correo, Servidores FTP y más. Políticas de Seguridad 5. Elaborar planes, programas y presupuestos. Planes Planes PASOS A REALIZAR 1. Identificar el origen de la auditoria 2. Realizar una visita preliminar al área que será evaluada 3. Establecer los objetivos de la auditoria 4. Determinar los puntos que serán evaluados en la auditoria 5. Elaborar planes, programas y presupuestos para realizar la auditoria 6. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoria 7. Asignar los recursos y sistemas computacionales para la auditoria Planeación de la Auditoria de Sistemas Elaborar el dictamen preliminar y presentarlo a discusión 5.000.oo $ 80. imprevistos. Medios de almacenamiento magnético como: 1 caja de CD.oo $ 20. Gastos generales: Cafetería. Integrar el legajo de papeles de trabajo de la auditoria 1. Pago de Honorarios (1 millon mensual x c/au) Total presupuesto Valor $ 20.Ejecución de la Auditoria de Sistemas 1. aplicar los instrumentos y herramientas para la auditoria 3.000. 1 caja Diskettes.oo $4. Realizar las acciones programadas para la Auditoria 2. Elaborar el Dictamen final 3. etc. Analizar la información y elaborar un informe de situaciones detectadas 2. Presentar el informe de auditoria Dictamen de la Auditoria de Sistemas Programa Actividad Estudio Preliminar Determinación de Áreas Críticas de Auditoria Elaboración de Programa de Auditoria Aplicar el modelo de Evaluación de Riesgos auditoria Ejecución de Pruebas y Obtención de Evidencias Construir los Elaboración de Informe planes de mejoramiento Sustentación de Informe Planificar la auditoría 1 Mes 1 2 3 4 1 Mes 2 2 3 4 1 Mes 3 2 3 4 Presupuesto Ítem Útiles y Papelería Equipos de Oficina como calculadoras.000.000 .000. Identificar y elaborar los documentos de oportunidades de mejoramiento encontradas 4.000 $4. transporte.420.oo $300.000. del área de informática. de esta manera el auditor obtiene información que posteriormente puede clasificar e interpretar por medio de la tabulación y análisis. Encuestas Las encuestas son utilizadas frecuentemente para recolectar información sobre aspectos como el servicio. En la entrevista. permite recolectar la información directamente sobre el comportamiento de los sistemas. el auditor interroga. que contiene una serie de preguntas sobre los temas que se quiere tocar. seleccionar la herramienta técnica Observación Es una de las técnicas más utilizadas para examinar los diferentes aspectos que intervienen en el funcionamiento del área informática y los sistemas software. Cuestionarios Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado responde de acuerdo a su criterio. En su aplicación se utiliza una guía general de la entrevista. los procedimientos y operación de los sistemas. que se contemplan dentro de la aplicación de métodos probabilísticas y estadísticos para hacer la mejor elección de las muestras y recolección de opiniones. de las funciones y actividades. la actuación del personal y los usuarios. solo los que regulan los aspectos técnicos y estadísticos tales como la elección del universo y la muestra. y que a medida que avanza pueden irse adaptando para profundizar y preguntar sobre el tema. o analizar los eventos que se presentan en el desarrollo de las actividades del área o de un sistema que permita evaluar el cumplimiento de las funciones. operaciones y procedimientos. examinar. el comportamiento y utilidad del equipo. y de cualquier hecho que ocurra en el área. Inventarios . En el caso específico de la auditoria se aplica para observar todo lo relacionado con el área informática y los sistemas de una organización con el propósito de percibir. entre otros juicios de la función informática. No existen reglas para el uso de las encuestas. para evaluar lo que se está auditando y emitir una opinión sobre el aspecto evaluado. además de tips que permitirán conocer más sobre los puntos a evaluar o analizar.6. investiga y conforma directamente sobre los aspectos que se está auditando. La entrevista en general es un medio directo para la recolección de información para la captura de los datos informados por medio de grabadoras digitales o cualquier otro medio. Entrevistas Esta técnica es la más utilizada por los auditores ya que a través de esta se obtiene información sobre lo que esta auditando. periféricos. con el fin de comparar la cantidad real con las existencias que se registra en los documentos. recursos informáticos. Aplicar la Auditoria Etapa de Ejecución de la Auditoria La siguiente etapa después de la planeación de la auditoria es la ejecución de la misma. documentos. Asignar los recursos del sistema. los programas. los puntos elegidos y los requerimientos estimados en la planeación. el auditor de sistemas también puede examinar las existencias de los elementos disponibles para el funcionamiento del área informática o del sistema. 7. la elaboración del dictamen final y la presentación del informe de auditoría. . la información y los datos de la empresa. y está determinada por las características propias. Consiste en comparar las cantidades reales existentes con las que debería haber para comprobar que sean iguales. antes de presentarlo al representante o gerente de la empresa. de lo contrario iniciar la investigación de la diferencia para establecer las causas. 8.Consiste en hacer el recuento físico de lo que se está auditando. Analizar la información y elaborar un informe de las situaciones detectadas: Junto con la detección de las oportunidades de mejoramiento se debe realizar el análisis de los papeles de trabajo y la elaboración del borrador de las oportunidades detectadas. para después presentarlo a los directivos del área auditada para que conozcan la situación actual del área. después se hacen las modificaciones necesarias y posteriormente el informe final de las situaciones detectadas. consumibles. con el fin de compararla con la que existe en los documentos en la misma fecha. para ser discutidas con los auditados. que es el resultado final de la auditoria. contabilizando los equipos de cómputo. y demás aspectos que se desee conocer. Con la aplicación de esta herramienta de la auditoria tradicional. Elaborar el Dictamen Final: El auditor debe terminar la elaboración del informe final de auditoría y complementarlo con el dictamen final. Etapa de Dictamen de la Auditoria La tercera etapa Lugo de la planeación y ejecución es emitir el dictamen. donde se presentan los siguientes puntos: la elaboración del informe de las situaciones que se han detectado. se elabora el informe final. Elaborar el Dictamen Formal: El último paso de esta metodología es presentar formalmente el informe y el dictamen de la auditoria al más alto de los directivos de la empresa donde se informa de los resultados de la auditoria. Cronograma Actividad 1 Planificar la auditoría Estudio Preliminar Determinación de Áreas Críticas de Auditoria Elaboración de Programa de Auditoria Evaluación de Riesgos Ejecución de Pruebas y Obtención de Evidencias Mes 1 2 3 4 1 Mes 2 2 3 4 1 Mes 3 2 3 4 Aplicar el modelo de auditoria Construir los Elaboración de Informe planes de mejoramiento Sustentación de Informe . correcta y profesional.Una vez comentadas las desviaciones con los auditados. el informe de situaciones relevantes y los anexos y cuadros estadísticos. La presentación de la misma se hace en una reunión directiva y por eso es indispensable usar un lenguaje claro tanto en el informe como en la exposición del mismo. el dictamen de la auditoria. lo cual es garantía de que los auditados ya aceptaron las desviaciones encontradas y que luego se llevan a documentos formales. La integración del dictamen y el informe final de auditoría deben ser elaborados con la máxima perfección. tratando de evitar errores. Al elaborar el dictamen formal se hace tomando en cuenta el informe comentado a los directivos. El informe debe contener los siguientes puntos: la carta de presentación. las desviaciones detectadas en la evaluación. Tanto el informe como el dictamen deben presentarse en forma resumida. junto al formato de hallazgos o desviaciones y los papeles de trabajo de cada uno de los auditores. También deben contener de manera clara y concreta. Elaborar el Dictamen final 3.ETAPAS Planeación de la Auditoria de Sistemas PASOS A REALIZAR 1. Asignar los recursos y sistemas computacionales para la auditoria Ejecución de la Auditoria de Sistemas 1. herramientas. Identificar y seleccionar los métodos. Presentar el informe de auditoria Dictamen de la Auditoria de Sistemas 9. además de la aplicación de instrumentos como listas de chequeo o checklist de verificación y cuestionarios al personal de la administración de los recursos tecnológicos. Identificar y elaborar los documentos de oportunidades de mejoramiento encontradas 4. Identificar el origen de la auditoria 2. y específicamente a las instalaciones de las aulas de cómputo. Establecer los objetivos de la auditoria 4. Realizar las acciones programadas para la Auditoria 2. Integrar el legajo de papeles de trabajo de la auditoria 1. . Elaborar planes. Realizar una visita preliminar al área que será evaluada 3. aplicar los instrumentos y herramientas para la auditoria 3. Determinar los puntos que serán evaluados en la auditoria 5. Elaborar el dictamen preliminar y presentarlo a discusión 5. instrumentos y procedimientos necesarios para la auditoria 7. Analizar la información y elaborar un informe de situaciones detectadas 2. LISTA DE RIESGOS ENCONTRADOS. programas y presupuestos para realizar la auditoria 6. Elaborar el Borrador de la Auditoria Para el listado de riesgos enumerados a continuación se realizaron visitas a las instalaciones de la institución educativa. Faltan definir políticas para la asignación de contraseñas de los equipos de cómputo. No se lleva monitoreo de la capacidad del hardware con el fin de asegurar que siempre exista una capacidad justificable para procesar las cargas de trabajo. Tabla 1. No se hace monitoreo sobre la prestación de servicios del ISP contratado. Los usuarios no son capacitados en el uso adecuado de extintores. No hay un control de asistencia sobre los responsables del aula. No hay sistemas de vigilancia para detectar posibles movimientos fraudulentos a los equipos de cómputo. No se hace monitoreo sobre la prestación de servicios de mantenimiento de hardware contratados por la institución educativa. Valoración de riesgos Probabilidad A M B Impacto L M C Riesgos / Valoración Eléctricos . El rack no posee las medidas de seguridad necesarias. No se realiza un escaneo para evitar intrusiones en la red. No hay una hoja de vida de la existencia de los equipos. No existe caja de breakers de los circuitos del aula. se realiza la valoración de los riesgos teniendo en cuenta la probabilidad de ocurrencia y el impacto del riesgo dentro de la red de datos de las aulas de informática de la institución educativa. No existen sensores de Temperatura. No existen sistemas de censores de humo. No existen controles sobre el acceso de personas al aula. VALORACIÓN DE RIESGOS De acuerdo a los riesgos citados. No existen sistemas contra incendios. No se definen fechas para cambios del proveedor de servicios de internet. No se llevan bitácoras para la realización de procesos de mantenimiento. La ventilación del aula no es la adecuada. No se ha definido un protocolo para la organización de los equipos dependiendo que clase de mantenimiento se procederá a efectuar. para ello se realiza la siguiente tabla 1 donde se valoran los riesgos para su posterior clasificación. No existe personal encargado del mantenimiento de los equipos. No se lleva un registro detallado de los usuarios que hacen uso de los equipos. No se hace inventario de existencias de equipos de cómputo. No existen sistemas Extractores de calor. No se ha asignado un espacio locativo para el ejercicio del mantenimiento preventivo y correctivo. No se lleva un registro detallado de los usuarios que R13 hacen uso de los equipos R11 x x x x x x x x x x x x x x .R1 R2 R3 R4 R5 R6 No existe conexión de polo a tierra No existe instalación de sistema eléctrico regulado No existe sistema de protección en caídas de energía No hay medidores de voltaje eléctrico en sus tres fases La fase neutra no se encuentra bien identificada No existe caja de breakers de los circuitos del aula Siniestros y Catástrofes x x x x x x x x x x x x R7 No existen sistemas contra incendios Los usuarios no son capacitados en el uso adecuado de R8 extintores R9 No existen sistemas de censores de humo R10 No existen sistemas Extractores de calor Manejo y Control de Personal No hay un control de asistencia sobre los responsables del aula No hay sistemas de vigilancia para detectar posibles R12 movimientos fraudulentos a los equipos de cómputo. Manejo y Control de Hardware R14 No hay una hoja de vida de la existencia de los equipos No se llevan bitácoras para la realización de procesos de R15 mantenimiento No existe personal encargado del mantenimiento de los R16 equipos x R17 La ventilación del aula no es la adecuada no se hace monitoreo sobre la prestación de servicios de R18 mantenimiento de hardware contratados por la institución educativa no se hace inventario de existencias de equipos de R19 computo x no se lleva monitoreo de la capacidad del hardware con R20 el fin de asegurar que siempre exista una capacidad justificable para procesar las cargas de trabajo x Manejo y Control de Redes R21 No se realiza un escaneo para evitar intrusiones en la red R22 El rack no posee las medidas de seguridad necesarias no se hace monitoreo sobre la prestación de servicios del R23 ISP contratado x x x x x x x x x x x x x x x X X Probabilidad Alta: A Media: M Baja: B Impacto Catastrófico: C Moderado: M Leve: L MATRIZ DE RIESGOS De acuerdo a la valoración que se hace a los riesgos encontrados en la visita que se realiza a la institución educativa y a las instalaciones de las aulas de informáticas. . se puede clasificar los riesgos como se muestra en la tabla 2. Tabla 2.R10. No existen controles sobre el acceso de personas al aula.R8.R6. Clasificación de Riesgos LEVE MODERADO CATASTROFICO R7. No hay sistemas de vigilancia para detectar posibles movimientos fraudulentos a los equipos de cómputo. Presentar la Deviaciones.R13. No se lleva un registro detallado de los usuarios que hacen uso de los equipos. R20 ALTO R16 R12. R21 MEDIO R24.R17. No se ha definido un protocolo para la organización de los equipos dependiendo que clase de mantenimiento se procederá a efectuar. No se ha asignado un espacio locativo para el ejercicio del mantenimiento preventivo y correctivo.R4. Faltan definir políticas para la asignación de contraseñas de los equipos de cómputo.R18 R14 10. R19. No existen sistemas Extractores de calor. Los usuarios no son capacitados en el uso adecuado de extintores. No existen sensores de Temperatura. . No existen sistemas de censores de humo. No hay un control de asistencia sobre los responsables del aula. No se hace monitoreo sobre la prestación de servicios de mantenimiento de hardware contratados por la institución educativa. No se llevan bitácoras para la realización de procesos de mantenimiento.R5. No hay una hoja de vida de la existencia de los equipos. La ventilación del aula no es la adecuada. R23 BAJO R1.R9.R3.R15. No existe caja de breakers de los circuitos del aula.R2.R11 R22. No existe personal encargado del mantenimiento de los equipos. No se hace inventario de existencias de equipos de cómputo. No existen sistemas contra incendios. Dominio: Adquisición e implementación. El Administrador de las aulas de informática solamente da de baja equipos no funcionales. además no existe personal de mantenimiento dedicado a este proceso. una vez revisadas las observaciones y aclaraciones hechas al grupo auditor. . el inventario no se actualiza sino hasta cuando se solicita informes por el rector. Recomendación: El Administrador de las aulas de informática debe sugerir calendarización de inventarios y mantenimientos de hardware. Hallazgos que soportan el dictamen: La Institución educativa no tiene programadas jornadas de mantenimiento estas están sujetas a las programaciones de acuerdo a los recursos económicos para dicho fin. Objetivo de Control: Mantenimiento Preventivo para Hardware Dictamen: Nivel de madurez 1 INICIAL: Se aplican algunos procesos administrativos por el Administrador de las aulas de informática pero estos son realizados de manera desorganizada y espontánea. Recomendación: El Administrador de las aulas de informática debe sugerir calendarización de inventarios y mantenimientos de hardware. Proceso: AI3 Adquirir y mantener la arquitectura tecnológica. Objetivo de Control: Mantenimiento Preventivo para Hardware. pero no hace solicitudes de cambio de nuevos equipos ya que el nuevo hardware está supeditado a los recursos destinados para la adquisición de tecnología. no se hace calendarios de inventarios y mantenimientos de hardware.12. Dictamen: Nivel de madurez 1 INICIAL: Se aplican algunos procesos administrativos por el Administrador de las aulas de informática pero estos son realizados de manera desorganizada y espontánea. Hallazgos que soportan el dictamen: En las aulas de informática no se lleva un registro de mantenimiento y de cambios de hardware. Presentar el Dictamen de la Auditoria A continuación se presentan los resultados definitivos de la auditoria y las recomendaciones de mejoramiento por cada proceso COBIT auditado. Objetivo de Control: Evaluación de Hardware. además de solicitar recursos para realizar mantenimiento y adquisición de tecnología. no se hace calendarios de inventarios y mantenimientos de hardware. el mantenimiento está sujeto a los recursos económicos disponibles. El Administrador de las aulas de informática solamente da de baja equipos no funcionales.Dictamen: Nivel de madurez 1 INICIAL: Se aplican algunos procesos administrativos por el Administrador de las aulas de informática pero estos son realizados de manera desorganizada y espontánea. Objetivo de Control: Suministro Ininterrumpido de Energía. la cual presenta ruido alto en su funcionamiento. No se ha implementado procesos estándar para el manejo de controles ambientales. No existe identificación de áreas restringidas dentro de las salas de informática. Hallazgos que soportan el dictamen: La Institución educativa no tiene programadas jornadas de mantenimiento estas están sujetas a las programaciones de acuerdo a los recursos económicos para dicho fin. no se hace calendarios de inventarios y mantenimientos de hardware. Proceso: DS12 Administración de Instalaciones. Hallazgos que soportan el dictamen: Solo una de las salas de informática tiene ventilación. pero no hace solicitudes de cambio de nuevos equipos ya que el nuevo hardware está supeditado a los recursos destinados para la adquisición de tecnología. Hallazgos que soportan el dictamen: Las instalaciones no son adecuadas para la oficina del Administrador de las aulas de informática. Recomendación: El Administrador de las aulas de informática debe realizar identificación adecuada de las aulas. sugerir a las directivas gestionar los recursos necesarios para la adecuación de cámaras de seguridad para seguimiento de visitantes. No se ha instalado cámaras de seguridad. además de solicitar recursos para realizar mantenimiento y adquisición de tecnología. Recomendación: El Administrador de las aulas de informática debe sugerir calendarización de inventarios y mantenimientos de hardware. Objetivo de Control: Escolta de Visitantes. Dominio: Entrega de servicios y soporte. Dictamen: Nivel de madurez 0 NO EXISTENTE: No se aplican procesos administrativos en lo absoluto. No se hace el seguimiento de personas que ingresan a la institución. No existen ningún tipo de detectores de . Dictamen: Nivel de Madurez 1-INICIAL: Los procesos son espontáneos y desorganizados. No hay una buena identificación de las aulas de informática. se comunican y se capacita al personal encargado. existe una UPS para el servidor pero es de baja capacidad. Recomendación: El Administrador de las aulas de informática debe realizar adecuar de manera correcta de acuerdo a las normas el tendido de red eléctrica. Los interruptores de emergencia no están debidamente identificados. temperatura dentro de las aulas de informática. realizar la adquisición de una UPS para el servidor y los equipos administrativos que necesiten estar en funcionamiento para atención de usuarios. Falta capacitación del personal encargado. Objetivo de Control: Controles Ambientales. se documentan. pero no se miden o se hacen mediciones parciales de las metas. Cables de red de datos aéreos sin protección. Hallazgos que soportan el dictamen: Muchos cables de eléctricos y de red sobre el piso que obstaculizan el paso a los usuarios. Proceso: Protección contra Factores Ambientales. Recomendación: El Administrador de las aulas de informática debe realizar una adecuación de las aulas de informática para restringir accesos al servidor y equipos de red. cubrir. desinstalar las conexiones que generen riesgo a los usuarios. pero no se ha documentado suficientemente. Existen puntos eléctricos de 220 voltios juntos a tomas de 110 voltios sin identificación adecuada. Existen en el techo de las salas cables sueltos sin marcar. Hallazgos que soportan el dictamen: Existen cables en el suelo que estorban a los usuarios. Canaletas plásticas sin protección. Dominio: Entrega de servicios y soporte. Recomendación: El Administrador de las aulas de informática debe realizar mantenimiento al ventilador actual y gestionar recursos necesarios para adecuar las aulas restantes. No existen ningún tipo de alarmas dentro de las aulas de informática. Proceso: Protección contra Factores Ambientales. Cables de electricidad sueltos sin identificación. Las señalización para salidas de emergencia no existen. Dictamen: Nivel de madurez 3 DEFINIDO: Los procesos están estandarizados. Objetivo de Control: Seguridad Física. además del . La iluminación solo cuenta con ventanales grandes e iluminación artificial insuficiente. Dictamen: Nivel de madurez 2 REPETIBLE: Los procesos siguen un patrón regular o estándar. La eficiencia y eficacia depende en gran parte del conocimiento y profesionalismo de los empleados y contratistas.humo. Existen conexiones de 220 voltios sin sellar junto a las fuentes reguladas. .diseño de un plan de seguridad que permita conseguir recursos para adquisición de cámaras de seguridad e instalación de alarmas y sensores para protección de personal y activos de la institución educativa.
Report "Auditoria de Servidores Y Plataforma.docx"