Myslide.es Caso Practico de Auditoria Informatica

7/23/2019 Myslide.es Caso Practico de Auditoria Informatica

1/6

1

[AUDITORIA INFORMATICA]

CASO PRCTICO DE AUDITORIA INFORMATICA

En el presente informe se detallan las recomendaciones que se pueden aplicara la mejora en la seguridad fsica de un Centro de Proceso de Datos, as comotambin en los controles que se tengan implementados o la sugerencia aincorporar algunos de estos.

Las recomendaciones se basan en punto por punto a excepcin de los puntosque durante los !alla"gos tengan ma#or puntaje.

$ continuacin detallamos las recomendaciones que podramos brindarpensando como $uditores en el centro de procesamiento de datos.

Control de Accesos: $utori"aciones

Existe n !nico res"ons#$le de i%"le%ent#r l# "ol&tic# de#tori'#ciones de entr#d# en el centro de c(%"to)%. &i, el jefe de Explotacin, pero el director puede acceder a la sala con losacompa'antes sin pre(io a(iso.

Reco%end#ciones:El acceso al Director se puede dar siempre # cuando mande una

noti)cacin pre(ia con u tiempo prudencial al *efe de Explotacin #

asignarle un super(isor.

El acceso al centro de datos tiene que ser lo ma#or restringido posible,

por lo que para su seguridad el director debe noti)car las (isitas, en

casos extremos se puede ob(iar # en(iar una nota despus de la (isita.

Ade%*s de l# t#r+et# %#,n-tic# de identi.c#ci(n /#0 1e "#s#r otr#es"eci#l)+o, solamente la primera

Reco%end#ciones:

La empresa puede crear anillos de seguridad utili"ando accesos

biomtricos $nexo1-, lla(es u otros medios para una mejor seguridad

del centro de datos.

Para llegar al centro de datos deberan de pasar por (arias estaciones, el

guardia de seguridad, tarjeta magntica, acceso biomtrico, etc.

Se "re,nt# # l#s 2isit#s si dese#n conocer el centro de c(%"to)+o, (ale la primera autori"acin.

Reco%end#ciones:

Las (isitas + deben estar autori"adas para entrar directamente a los

centros de computo


2/6

/


0oda persona que entre al centro de computo tienen que estar

autori"ada.

Se "re2-n l#s 2isit#s # los centros de c(%"to con 34 /or#s #l%enos)+o, basta que (a#an acompa'ados con el *efe de explotacin o director.

Reco%end#ciones &i las personas no estn autori"adas para ingresar al centro de computo,

estas deben de tener un autori"acin con anticipacin por parte gerencia

Control de Accesos:Controles $utomticos

Cree sted 1e los controles #to%*ticos son #dec#dos)&i, aunque !a de reconocerse que a pie puede llegarse por la noc!e !asta eledi)cio principal.

Reco%end#ciones: Crear un permetro de seguridad alrededor del edi)cio donde solo pueda

acceder personal autori"ado. %efor"ar la seguridad al campus # al edi)cio.

5ed#n re,istr#d#s tod#s l#s entr#d#s 0 s#lid#s del centro deco%"to)+o, solamente las del personal ajeno a la operacin.

&e debe registrar todas las entradas # salidas de todo el personal que

accede tanto internamente de la empresa as como personas externas 0oda persona que entre # salga del centro de computo tienen que

registrarse da, !ora, # que operacin reali"o-, sin excepcin alguna del

personal. 0ambin se puede imprimir el log de accesos por medio de las tarjetas

magnticas. Podra existir la posibilidad de poner un circuito cerrado de cmaras que

registren los puntos de acceso.

Pede s#lirse del centro sin t#r+et# %#,n-tic#)&, porque existe otra puerta de emergencia que puede abrirse desde adentro.

Reco%end#ciones: La puerta de emergencia est bien que exista pero tienen que brindarle

una ma#or seguridad. Los botones son adecuados cuando se cuente con un sistema de

monitoreo permanete. $nexo /-


3/6

2


Control de Accesos:3igilancia

Identi.c#d#s l#s 2isit#s6 Se les #co%"#7# /#st# l# "erson# 1edese#n 2er)+o.

Reco%end#ciones: 0oda persona que entre debe de ser acompa'ada !asta la persona que

desea (er # a la (e" lle(ar un registro de las (isitas 0oda persona que no sea parte de la empresa debe de estar

acompa'ado dentro del centro de datos, se debe contar con su)ciente

personal para reali"ar esta tarea.

Conocen los 2i,il#ntes los ter%in#les 1e de$en 1ed#r encendidos"or l# noc/e)+o, sera mu# complicado.

Reco%end#ciones: Es necesario que el personal de (igilancia cono"ca un poco acerca de lo

que se debe de !acer, equipo que no se debe apagar. El personal debe de poseer n4meros de telfono de las personas a las

cuales llamar en caso de una emergencia en cualquiera de las

terminales.

Control de Accesos: %egistros

Existe n# #dec#d# "ol&tic# de re,istros)+o, reconocemos que casi nunca, pero !asta a!ora no !a !abido necesidad.

Reco%end#ciones: &e debe de contar con polticas de registros, no esperemos que sucedan

los impre(istos para implementar polticas.

Se /# re,istr#do #l,n# 2e' #l,n# "erson#)+unca.

Reco%end#ciones:


4/6

5


6n control adecuado # un registro detallado puede ser 4til para cualquier

situacin que pueda darse en el futuro.

Se #$ren todos los "#1etes diri,idos # "erson#s concret#s 0 no #in8or%*tic#)Casi nunca

Reco%end#ciones: $l tener polticas establecidas se debera de crear una de ella donde nos

permita dejar claro que todo paquete que llega (a a ser re(isado el

personal de (igilancia para asegurar la seguridad del centro de datos.

La parte de re,istroses la que mas debilidad presenta por lo que se sugierese empiece a trabajar en un plan para el fortalecimiento de estos #a que laempresa podra atra(esar por situaciones donde se (ean afectadas susoperaciones por la falta o el mal empleo de estos.

0ambin cabe mencionar que la 2i,il#nci#es parte esencial en la operacin,por lo cual ellos sin necesidad de tener un conocimiento pleno del campoinformtico pueden suministrar a#uda importante al personal informtico, porlo cual es necesario que se les explique acerca de los procesos o

procedimientos a !acer en caso de una emergencia o que una situacin estesaliendo de los parmetros adecuados o en caso de (er una anomala por mu#peque'a que esta sea.


5/6

7


ANE9OS

Anexo ; Controles de Acceso


6/6

8


Myslide.es Caso Practico de Auditoria Informatica

Documents

Transcript of Myslide.es Caso Practico de Auditoria Informatica