Auditoria de
hardware y software en estaciones de trabajo
La auditoria se realizará sobre los sistemas informaticos en computadoras
personales que estén conectados a la red interna de la empresa.
Tener un panorama actualizado de los sistemas de información en cuanto a
la seguridad fisica, las politicas de utilizacion, transferencia de datos y seguridad de los activos.
El numero de personas que integraran el equipo de auditoria sera de tres,
con un tiempo maximo de ejecucion de 3 a 4 semanas.
Una semana antes del comienzo de la auditoria se envia un cuestionario a
los gerentes o responsables de las distintas areas de la empresa. El objetivo
de este cuestionario es saber los equipos que usan y los procesos que realizan
en ellos.
Los gerentes se encargaran de distribuir este cuestionario a los distintos
empleados con acceso a los computadores, para que tambien lo completen. De esta
manera, se obtendra una vision mas global del sistema.
Es importante tambien reconocer y entrevistarse con los responsables del
area de sistemas de la empresa para conocer con mayor profundidad el hardware y
el software utilizado.
En las entrevistas incluiran:
- Director / Gerente de Informatica
- Subgerentes de informatica
- Asistentes de informatica
- Tecnicos de soporte externo
Se evaluara la forma de
adquisicion de nuevos equipos o aplicativos de software. Los procedimientos
para adquirirlos deben estar regulados y aprobados en base a los estandares de
la empresa y los requerimientos minimos para ejecutar los programas base.
Dentro de los riesgos posibles,
tambien se contemplaran huecos de seguridad del propio software y la correcta
configuracion y/o actualizacion de los equipos criticos como el cortafuegos.
Los riesgos potenciales se pueden
presentar de la mas diversa variedad de formas.
Se evaluaran la existencia y la
aplicación correcta de las politicas de seguridad, emergencia y disaster
recovery de la empresa.
Se hara una revicion de los
manuales de politica de la empresa, que los procedimientos de los mismos se
encuentren actualizados y que sean claros y que el personal los comprenda.
Debe
existir en la Empresa
un programa de seguridad, para la evaluación de los riesgos que puedan
existir, respecto a la seguridad del mantenimiento de los equipos, programas y datos.
Se
determinaran los procedimientos adecuados para aplicar a cada uno de los
objetivos definidos en el paso anterior.
Objetivo
N 1: Existencia de normativa de hardware.
El
hardware debe estar correctamente identificado y documentado.
Se
debe contar con todas las órdenes de compra y facturas con el fin de contar con
el respaldo de las garantías ofrecidas por los fabricantes.
El
acceso a los componentes del hardware esté restringido a la directo a las personas
que lo utilizan.
Se
debe contar con un plan de mantenimiento y registro de fechas, problemas,
soluciones y próximo mantenimiento propuesto.
Objetivo
N 2: Política de acceso a equipos.
Cada
usuario deberá contar con su nombre de usuario y contraseña para acceder a los
equipos.
Las claves deberán ser seguras (mínimo 8
caracteres, alfanuméricos y alternando mayúsculas y minúsculas).
Los
usuarios se desloguearan después de 5 minutos sin actividad.
Los
nuevos usuarios deberán ser autorizados mediante contratos de confidencialidad
y deben mantenerse luego de finalizada la relación laboral.
Uso
restringido de medios removibles (USB, CD-ROM, discos externos etc).
Son los procedimientos que se llevaran a
cabo a fin de verificar el cumplimiento de los objetivos establecidos. Entre ellas podemos mencionar las siguientes
técnicas:
Tomar
10 maquinas al azar y evaluar la dificultad de acceso a las mismas.
Intentar
sacar datos con un dispositivo externo.
Facilidad
para desarmar una pc.
Facilidad
de accesos a información de confidencialidad (usuarios y claves).
Verificación
de contratos.
Comprobar
que luego de 5 minutos de inactividad los usuarios se deslogueen.
6.
Obtencion de los resultados.
En esta etapa se obtendrán los resultados que surjan de la aplicación de
los procedimientos de control y las pruebas realizadas a fin de poder determinar
si se cumple o no con los objetivos de control antes definidos. Los datos
obtenidos se registrarán en planillas realizadas a medida para cada
procedimiento a fin de tener catalogado perfectamente los resultados con el
objetivo de facilitar la interpretacion de los mismos y evitar interpretaciones
erroneas.
7. Conclusiones y
Comentarios:
En este paso se detallara el resumen de
toda la información obtenida, asi como lo que se deriva de esa información,
sean fallas de seguridad, organización o estructura empresarial. Se expondrán
las fallas encontradas, en la seguridad
física sean en temas de resguardo de información (Casos de incendio, robo),
manejo y obtención de copias de seguridad, en las normativas de seguridad como
por ejemplo normativas de uso de passwords, formularios de adquisición de
equipos, y estudios previos a las adquisiciones para comprobar el beneficio que
los mismos aportarían. Finalmente se verán los temas de organización
empresarial, como son partes responsables de seguridad, mantenimiento y
supervisión de las otras áreas.
8. Redaccion del borrador del informe
Se detalla de manera concisa y clara un
informe de todos los problemas encontrados, anotando los datos técnicos de cada
una de las maquinas auditadas:
Marca
Modelo
Numero
de Serie
Problema
encontrado
Solución
recomendada
9 . Presentación del borrador del informe, al
responsable de microinformática
Se le presentara el informe borrador a
un responsable del área informática, como se aclaro en el punto anterior, con
el máximo de detalle posible de todos los problemas y soluciones posibles
recomendadas, este informe se pasara por escrito en original y copia firmando
un documento de conformidad del mismo para adquirir un compromiso fuerte en la
solución de los mismos, de esta forma evitaremos posibles confusiones futuras.
10. Redacción del Informe Resumen y Conclusiones.
Es en este paso es donde se
muestran los verdarderos resultados a
los responsables de la empresa, el informe presentado dará a conocer todos los puntos evaluados durante la
auditoria, resultados, conclusiones, puntaje y posibles soluciones.
La conclusión tendrá como temas los resultados, errores, puntos críticos y
observaciones de los auditores. Mientras que en el resumen se verán las
posibles soluciones de esos puntos críticos y fallas, así como recomendaciones
para el buen uso y también recomendaciones sobre la forma incorrecta de
realizar algunos procedimientos.
11. Entrega del informe a
los directivos de la empresa.
Esta es la ultima parte de la auditoria y en una reunion se formaliza la
entrega del informe final con los resultados obtenidos en la auditoria.
Tambien se fijan los parametros
si asi se requieren para realizar el seguimientos de los puntos en los que el
resultado no haya sido satifactorio o simplemente se quiera verificar que los
que los objetivos de control se sigan cumpliendo a lo largo del tiempo.
No hay comentarios:
Publicar un comentario