AUDITORIA DE SISTEMAS
Páginas: 12 (2753 palabras)
Publicado: 19 de abril de 2013
Auditoría a Sistemas Operativos
El tópico de sistemas operativos será el considerado en este capitulo, tiene especial interés pues los sistemas operativos generan el ambiente de trabajo y la administración de los recursos en cualquier sistema de cómputo y se hace relevante como objeto de estudio y punto de partida para abordar las demás áreas ya mencionadas. En este caso se busca desarrollaruna metodología general que permita auditar diversos sistemas operativos, pero que pueda ser aplicada a un sistema operativo específico como Unix, Linux, Windows, Solaris, Netware, etc.
Metodología propuesta
A continuación se proponen y describen las principales etapas que se deben seguir al momento de auditar un sistema operativo.
A. Investigación Preliminar
B. Identificación yAgrupación de Riesgos
C. Evaluación de la Seguridad en la empresa objeto de la Auditoría
D. Diseño de Pruebas de Auditoría
E. Ejecutar Pruebas de Auditoría
F. Análisis del Efecto de las debilidades de Seguridad
G. Diseño de Controles
H. Elaboración de Informe de Auditoría
I. Seguimiento
A. Investigación Preliminar
Objetivos
- Determinar los recursos de cómputo de la empresa yla estructura organizacional de esta.
- Evaluar la importancia del sistema de información para los procesos de negocio objeto de la auditoria y el soporte que los recursos de cómputo dan a estos.
- Conocer de manera global el sistema operativo sobre el cual se llevara a cabo la auditoria, identificando los elementos que apoyan la seguridad y administración.
Consideraciones
a. Conocimiento global de la empresa en cuanto a:
Área de Tecnología de la Información (Área de sistemas)
Estructura organizacional y personal
Plataforma de hardware
Sistemas operativos
Sistemas de redes y comunicaciones
b. Conocimiento global del sistema operativo, evaluando las herramientas que proporciona como apoyo a la seguridad y a la administración.
Herramientas o Mecanismos para larealización de la Investigación Preliminar
- Entrevistas previas con el cliente (persona que solicita la realización de la auditoria).
- Inspección de las instalaciones donde se llevará a cabo la auditoria y observación de operaciones.
- Investigación e indagación con el personal involucrado en el proyecto de auditoria y los funcionarios que administran y operan los sistemas a evaluar.
-Revisión de documentación proporcionada por la empresa.
- Revisión de informes de auditorias anteriores, si se han realizado.
- Estudio y evaluación del sistema de control interno.
Documentos a solicitar para la Investigación Preliminar
- Listado de aplicaciones en producción y directorio de datos.
- Listado de empleados activos y despedidos en el último trimestre.
- Documento deautorización a cada usuario del sistema y aprobación de derechos y privilegios.
- Listados de monitoreo del sistema.
- Listado de utilidades importantes, con los usuarios y grupos que las acceden.
- Políticas de seguridad corporativa.
- Documento de configuración inicial del sistema operativo y las autorizaciones para su actualización o cambio.
- Documento de definición de los roles en laadministración del sistema y la seguridad.
- Planes de capacitación y entrenamiento.
- Contratos con entes externos relacionados con Tecnologías de la Información.
- Informes de auditoría previos.
B. Identificación y Agrupación de Riesgos
Objetivo
Identificar y clasificar los riesgos a los que esta expuesto el sistema operativo objeto de la auditoria, ya sean propios ogenerados por entidades externas (personas, procedimientos, bases de datos, redes, etc.) que interactúan con el sistema.
Para realizar este análisis se pueden utilizar varios métodos, entre los cuales se proponen:
1. Escenarios de Riesgos
Los pasos a seguir con este método son los siguientes:
- Determinar el sistema a evaluar
- Definir escenarios de riesgo (E-R). Se entiende por...
El tópico de sistemas operativos será el considerado en este capitulo, tiene especial interés pues los sistemas operativos generan el ambiente de trabajo y la administración de los recursos en cualquier sistema de cómputo y se hace relevante como objeto de estudio y punto de partida para abordar las demás áreas ya mencionadas. En este caso se busca desarrollaruna metodología general que permita auditar diversos sistemas operativos, pero que pueda ser aplicada a un sistema operativo específico como Unix, Linux, Windows, Solaris, Netware, etc.
Metodología propuesta
A continuación se proponen y describen las principales etapas que se deben seguir al momento de auditar un sistema operativo.
A. Investigación Preliminar
B. Identificación yAgrupación de Riesgos
C. Evaluación de la Seguridad en la empresa objeto de la Auditoría
D. Diseño de Pruebas de Auditoría
E. Ejecutar Pruebas de Auditoría
F. Análisis del Efecto de las debilidades de Seguridad
G. Diseño de Controles
H. Elaboración de Informe de Auditoría
I. Seguimiento
A. Investigación Preliminar
Objetivos
- Determinar los recursos de cómputo de la empresa yla estructura organizacional de esta.
- Evaluar la importancia del sistema de información para los procesos de negocio objeto de la auditoria y el soporte que los recursos de cómputo dan a estos.
- Conocer de manera global el sistema operativo sobre el cual se llevara a cabo la auditoria, identificando los elementos que apoyan la seguridad y administración.
Consideraciones
a. Conocimiento global de la empresa en cuanto a:
Área de Tecnología de la Información (Área de sistemas)
Estructura organizacional y personal
Plataforma de hardware
Sistemas operativos
Sistemas de redes y comunicaciones
b. Conocimiento global del sistema operativo, evaluando las herramientas que proporciona como apoyo a la seguridad y a la administración.
Herramientas o Mecanismos para larealización de la Investigación Preliminar
- Entrevistas previas con el cliente (persona que solicita la realización de la auditoria).
- Inspección de las instalaciones donde se llevará a cabo la auditoria y observación de operaciones.
- Investigación e indagación con el personal involucrado en el proyecto de auditoria y los funcionarios que administran y operan los sistemas a evaluar.
-Revisión de documentación proporcionada por la empresa.
- Revisión de informes de auditorias anteriores, si se han realizado.
- Estudio y evaluación del sistema de control interno.
Documentos a solicitar para la Investigación Preliminar
- Listado de aplicaciones en producción y directorio de datos.
- Listado de empleados activos y despedidos en el último trimestre.
- Documento deautorización a cada usuario del sistema y aprobación de derechos y privilegios.
- Listados de monitoreo del sistema.
- Listado de utilidades importantes, con los usuarios y grupos que las acceden.
- Políticas de seguridad corporativa.
- Documento de configuración inicial del sistema operativo y las autorizaciones para su actualización o cambio.
- Documento de definición de los roles en laadministración del sistema y la seguridad.
- Planes de capacitación y entrenamiento.
- Contratos con entes externos relacionados con Tecnologías de la Información.
- Informes de auditoría previos.
B. Identificación y Agrupación de Riesgos
Objetivo
Identificar y clasificar los riesgos a los que esta expuesto el sistema operativo objeto de la auditoria, ya sean propios ogenerados por entidades externas (personas, procedimientos, bases de datos, redes, etc.) que interactúan con el sistema.
Para realizar este análisis se pueden utilizar varios métodos, entre los cuales se proponen:
1. Escenarios de Riesgos
Los pasos a seguir con este método son los siguientes:
- Determinar el sistema a evaluar
- Definir escenarios de riesgo (E-R). Se entiende por...
Leer documento completo
Regístrate para leer el documento completo.