AUDIchecbox
Páginas: 6 (1337 palabras)
Publicado: 9 de julio de 2015
Manual de Auditoria de Sistemas para la Evaluación de la TI.
PROGRAMA DE AUDITORIA DE SISTEMAS
FECHA DE INICIO:
INSTITUCION: CORTE SUPREMA DE JUSTICIA
FECHA FIN:
AUDITOR:
FIRMA:
AREAS/ACTIVIDADES
SI
SG 3.2: IDENTIFICAN, AUTENTICAN Y AUTORIZAN EL ACCESO A LA
BASE DE DATOS
1.
Verificar la existencia de un administrador de la base de datos de la empresa
(DBA).
2.
Verificar cuales son lasherramientas que se usan para administrar y supervisar
la base de datos.
3.
Verificar el procedimiento utilizado para definir el nivel de acceso de los
usuarios.
4.
Verificar si solo las personas autorizadas tienen privilegios a nivel
administrativo para hacer cambios a la base de datos.
5.
Verificar los diferentes tipos de usuario que tienen acceso a la base de datos.
6.
Verificar que elusuario y contraseña del de los usuarios que tienen acceso a la
base de datos se resguarde en un lugar seguro.
7.
Verificar que existan reglas de validación y acceso.
8.
Verificar que las contraseñas de los usuarios se almacenen con encriptación en
la base de datos
9.
Verificar que los usuarios no tengan acceso directo a la base de datos, sino que
el acceso sea a través del servidor deaplicaciones.
10. Verificar que solo el administrador de base de datos tenga acceso a las tablas de
usuario y contraseña.
11. Verificar que el sistema exija código de usuario y contraseña para el acceso al
mismo.
12. Verificar que los usuarios no puedan acceder al sistema sin antes haberse
autenticado correctamente.
13. Verificar si se inhabilita al usuario después de ingresar la contraseña un númerodeterminado de intentos fallidos.
14. Verificar que el sistema obligue a cambiar de contraseña luego de cierto
periodo de tiempo.
NO
REFERENCIA
Manual de Auditoria de Sistemas para la Evaluación de la TI.
PROGRAMA DE AUDITORIA DE SISTEMAS
FECHA DE INICIO:
INSTITUCION: CORTE SUPREMA DE JUSTICIA
FECHA FIN:
AUDITOR:
FIRMA:
AREAS/ACTIVIDADES
SI
SG 3.3: PARED DE FUEGO (FIREWALL)
1.Verificar si existen normas o políticas para la Administración del firewall.
2.
Verificar la existencia de procedimientos, prácticas y políticas de control
interno, y si estos son adecuados.
3.
Verificar la seguridad en las transacciones enviadas o recibidas.
4.
Verificar si han recibido ataques internos o externos a los sistemas
informáticos.
5.
Verificar si la Organización dispone de un procesoadecuado para
identificar cualquier acceso remoto, diferente que el Firewall, y como la
administración monitorea y controla ese acceso.
6.
Verificar la adecuación del proceso para restringir acceso a la
documentación de la configuración del Firewall.
7.
Verificar el procedimiento utilizado por los responsables de la
administración de los Firewall para prevenir el acceso no autorizado a lared
interna.
8.
Verificar los procesos que la Organización utiliza para controlar el acceso
no autorizado a la sala de los Firewall.
9.
Verificar los procedimientos usados para la certificación las pruebas y
actualización políticas en los cortafuegos.
NO
REFERENCIA
Manual de Auditoria de Sistemas para la Evaluación de la TI.
PROGRAMA DE AUDITORIA DE SISTEMAS
FECHA DE INICIO:
INSTITUCION:CORTE SUPREMA DE JUSTICIA
FECHA FIN:
AUDITOR:
FIRMA:
AREAS/ACTIVIDADES
SI
SG 3.4: RESTRICCIÓN DEL TRÁFICO DENTRO Y FUERA DE LA RED
1.
Verificar que la plataforma de Hardware del servidor de defensa ejecuta una
versión “segura” de su sistema operativo, diseñado específicamente para
proteger los sistemas operativos vulnerables y garantizar la integridad del
Firewall.
2.
Verificar queúnicamente los servicios que el administrador de redes considera
esenciales son instalados en el servidor de defensa.
3.
Verificar que exista un servicio Proxy en la red para poder inhabilitar
direcciones no deseadas en la red, y que sean perjudiciales para el sistema, en
las cuales se pueda extraer información de la misma.
4.
Verificar si la Autenticación adicional para que el usuario acceda a los...
PROGRAMA DE AUDITORIA DE SISTEMAS
FECHA DE INICIO:
INSTITUCION: CORTE SUPREMA DE JUSTICIA
FECHA FIN:
AUDITOR:
FIRMA:
AREAS/ACTIVIDADES
SI
SG 3.2: IDENTIFICAN, AUTENTICAN Y AUTORIZAN EL ACCESO A LA
BASE DE DATOS
1.
Verificar la existencia de un administrador de la base de datos de la empresa
(DBA).
2.
Verificar cuales son lasherramientas que se usan para administrar y supervisar
la base de datos.
3.
Verificar el procedimiento utilizado para definir el nivel de acceso de los
usuarios.
4.
Verificar si solo las personas autorizadas tienen privilegios a nivel
administrativo para hacer cambios a la base de datos.
5.
Verificar los diferentes tipos de usuario que tienen acceso a la base de datos.
6.
Verificar que elusuario y contraseña del de los usuarios que tienen acceso a la
base de datos se resguarde en un lugar seguro.
7.
Verificar que existan reglas de validación y acceso.
8.
Verificar que las contraseñas de los usuarios se almacenen con encriptación en
la base de datos
9.
Verificar que los usuarios no tengan acceso directo a la base de datos, sino que
el acceso sea a través del servidor deaplicaciones.
10. Verificar que solo el administrador de base de datos tenga acceso a las tablas de
usuario y contraseña.
11. Verificar que el sistema exija código de usuario y contraseña para el acceso al
mismo.
12. Verificar que los usuarios no puedan acceder al sistema sin antes haberse
autenticado correctamente.
13. Verificar si se inhabilita al usuario después de ingresar la contraseña un númerodeterminado de intentos fallidos.
14. Verificar que el sistema obligue a cambiar de contraseña luego de cierto
periodo de tiempo.
NO
REFERENCIA
Manual de Auditoria de Sistemas para la Evaluación de la TI.
PROGRAMA DE AUDITORIA DE SISTEMAS
FECHA DE INICIO:
INSTITUCION: CORTE SUPREMA DE JUSTICIA
FECHA FIN:
AUDITOR:
FIRMA:
AREAS/ACTIVIDADES
SI
SG 3.3: PARED DE FUEGO (FIREWALL)
1.Verificar si existen normas o políticas para la Administración del firewall.
2.
Verificar la existencia de procedimientos, prácticas y políticas de control
interno, y si estos son adecuados.
3.
Verificar la seguridad en las transacciones enviadas o recibidas.
4.
Verificar si han recibido ataques internos o externos a los sistemas
informáticos.
5.
Verificar si la Organización dispone de un procesoadecuado para
identificar cualquier acceso remoto, diferente que el Firewall, y como la
administración monitorea y controla ese acceso.
6.
Verificar la adecuación del proceso para restringir acceso a la
documentación de la configuración del Firewall.
7.
Verificar el procedimiento utilizado por los responsables de la
administración de los Firewall para prevenir el acceso no autorizado a lared
interna.
8.
Verificar los procesos que la Organización utiliza para controlar el acceso
no autorizado a la sala de los Firewall.
9.
Verificar los procedimientos usados para la certificación las pruebas y
actualización políticas en los cortafuegos.
NO
REFERENCIA
Manual de Auditoria de Sistemas para la Evaluación de la TI.
PROGRAMA DE AUDITORIA DE SISTEMAS
FECHA DE INICIO:
INSTITUCION:CORTE SUPREMA DE JUSTICIA
FECHA FIN:
AUDITOR:
FIRMA:
AREAS/ACTIVIDADES
SI
SG 3.4: RESTRICCIÓN DEL TRÁFICO DENTRO Y FUERA DE LA RED
1.
Verificar que la plataforma de Hardware del servidor de defensa ejecuta una
versión “segura” de su sistema operativo, diseñado específicamente para
proteger los sistemas operativos vulnerables y garantizar la integridad del
Firewall.
2.
Verificar queúnicamente los servicios que el administrador de redes considera
esenciales son instalados en el servidor de defensa.
3.
Verificar que exista un servicio Proxy en la red para poder inhabilitar
direcciones no deseadas en la red, y que sean perjudiciales para el sistema, en
las cuales se pueda extraer información de la misma.
4.
Verificar si la Autenticación adicional para que el usuario acceda a los...
Leer documento completo
Regístrate para leer el documento completo.