Auditoria Internet
Páginas: 24 (5792 palabras)
Publicado: 20 de enero de 2014
GUÍA DE AUDITORIA INFORMÁTICA
NOMBRE DE LA GUÍA:
INTERNET
ÁMBITO DE APLICACIÓN:
Todas las áreas de Petróleos Mexicanos, Organismos Subsidiarios y Empresas Filiales, que realizan actividades relacionadas a la prestación del servicio de INTERNET.
OBJETIVO GENERAL DE LA REVISIÓN:
La Auditoría de INTERNET, analiza y evalúa los mecanismos de control implementados para verificar que se cuentecon la infraestructura suficientemente robusta para proporcionar el servicio de acceso a INTERNET, sin exponer información de carácter confidencial o permitiendo el acceso a usuarios no autorizados a la red interna de Petróleos Mexicanos.
OBJETIVOS ESPECÍFICOS DE LA REVISIÓN:
• Oficializar la revisión, mediante una reunión con los responsables de la administración y prestación del servicio deINTERNET, en la que se dará a conocer el objetivo de la revisión y se solicitarán los nombres de los responsables con quienes se tramitará cualquier asunto relacionado con la revisión.
• Obtener los objetivos de la revisión del Programa Anual de Control y Auditoría.
• Asegurar que el área de administración y operación de redes tiene claramente definidos sus objetivos, funciones, políticas yprocedimientos, y que éstos están debidamente actualizados, documentados y difundidos, entre el personal del área, para su conocimiento y cumplimiento.
• Verificar si existe una adecuada estructura orgánica y segregación de funciones.
• Determinar si las medidas de control implementadas para dar seguridad a la comunicación con INTERNET y el acceso a los equipos utilizados son adecuadas.
•Asegurar el adecuado almacenamiento y restauración de software y archivos (datos y configuraciones).
• Verificar que el software instalado, sea la última versión y que satisfaga los requerimientos de los usuarios en forma segura.
• Revisar que las aplicaciones desarrolladas internamente, como son: páginas de INTERNET, INTRANET, bases de datos, etc., son seguras y que no exponen la seguridad de lared interna de Petróleos Mexicanos.
• Determinar si se tienen los controles adecuados para asegurar la continuidad del servicio de INTERNET, mediante el adecuado mantenimiento preventivo del equipo (servidores, etc.), software e instalaciones.
PROCEDIMIENTOS Y TÉCNICAS DE AUDITORÍA:
Análisis.- Clasificación y agrupación de los distintos elementos individuales que conforman las diferentesetapas que conforman la operación y el uso del servicio de INTERNET.
Inspección.- Examen físico de la documentación y de otra información involucrada, con el objeto de cerciorarse del apego a la normatividad y a las políticas, tanto externas como internas, que afectan la operación del sistema
Investigación.- Obtención de información, datos y comentarios de los funcionarios y empleados del áreaevaluada.
Observación.- Presencia física durante la operación, con el objeto de cerciorarse del cumplimiento de la normatividad, de las políticas y de los procedimientos de operación.
Ejecutar programas tales como SATAN, ISS, Courtney, etc. que permiten al auditor revisar remotamente la seguridad de los diferentes equipos, buscando y reportando la existencia de huecos específicos de seguridad.CONTENIDO DE LA GUÍA:
• Cuestionario de Control Interno
• Programación de la auditoría.
• Presentación e inicio de la revisión.
• Organización.
• Seguridad física y lógica
• Seguridad física
• Seguridad lógica
• Resguardo y Restauración de archivos.
• Planeación.
• Mantenimiento
• Comentarios y Sugerencias a la Guía
________________________________________
CUESTIONARIO DECONTROL INTERNO
INTERNET
VERSION EN WORD DEL CUESTIONARIO
I ORGANIZACIÓN.
1 ¿El área de administración y operación de redes tiene formalmente establecidos sus objetivos, funciones, políticas y procedimientos?
¿Están actualizados y difundidos entre el personal del área, para su conocimiento y cumplimiento?
2 ¿Existe una estructura orgánica y segregación de funciones?
3 ¿Se cuenta con un...
NOMBRE DE LA GUÍA:
INTERNET
ÁMBITO DE APLICACIÓN:
Todas las áreas de Petróleos Mexicanos, Organismos Subsidiarios y Empresas Filiales, que realizan actividades relacionadas a la prestación del servicio de INTERNET.
OBJETIVO GENERAL DE LA REVISIÓN:
La Auditoría de INTERNET, analiza y evalúa los mecanismos de control implementados para verificar que se cuentecon la infraestructura suficientemente robusta para proporcionar el servicio de acceso a INTERNET, sin exponer información de carácter confidencial o permitiendo el acceso a usuarios no autorizados a la red interna de Petróleos Mexicanos.
OBJETIVOS ESPECÍFICOS DE LA REVISIÓN:
• Oficializar la revisión, mediante una reunión con los responsables de la administración y prestación del servicio deINTERNET, en la que se dará a conocer el objetivo de la revisión y se solicitarán los nombres de los responsables con quienes se tramitará cualquier asunto relacionado con la revisión.
• Obtener los objetivos de la revisión del Programa Anual de Control y Auditoría.
• Asegurar que el área de administración y operación de redes tiene claramente definidos sus objetivos, funciones, políticas yprocedimientos, y que éstos están debidamente actualizados, documentados y difundidos, entre el personal del área, para su conocimiento y cumplimiento.
• Verificar si existe una adecuada estructura orgánica y segregación de funciones.
• Determinar si las medidas de control implementadas para dar seguridad a la comunicación con INTERNET y el acceso a los equipos utilizados son adecuadas.
•Asegurar el adecuado almacenamiento y restauración de software y archivos (datos y configuraciones).
• Verificar que el software instalado, sea la última versión y que satisfaga los requerimientos de los usuarios en forma segura.
• Revisar que las aplicaciones desarrolladas internamente, como son: páginas de INTERNET, INTRANET, bases de datos, etc., son seguras y que no exponen la seguridad de lared interna de Petróleos Mexicanos.
• Determinar si se tienen los controles adecuados para asegurar la continuidad del servicio de INTERNET, mediante el adecuado mantenimiento preventivo del equipo (servidores, etc.), software e instalaciones.
PROCEDIMIENTOS Y TÉCNICAS DE AUDITORÍA:
Análisis.- Clasificación y agrupación de los distintos elementos individuales que conforman las diferentesetapas que conforman la operación y el uso del servicio de INTERNET.
Inspección.- Examen físico de la documentación y de otra información involucrada, con el objeto de cerciorarse del apego a la normatividad y a las políticas, tanto externas como internas, que afectan la operación del sistema
Investigación.- Obtención de información, datos y comentarios de los funcionarios y empleados del áreaevaluada.
Observación.- Presencia física durante la operación, con el objeto de cerciorarse del cumplimiento de la normatividad, de las políticas y de los procedimientos de operación.
Ejecutar programas tales como SATAN, ISS, Courtney, etc. que permiten al auditor revisar remotamente la seguridad de los diferentes equipos, buscando y reportando la existencia de huecos específicos de seguridad.CONTENIDO DE LA GUÍA:
• Cuestionario de Control Interno
• Programación de la auditoría.
• Presentación e inicio de la revisión.
• Organización.
• Seguridad física y lógica
• Seguridad física
• Seguridad lógica
• Resguardo y Restauración de archivos.
• Planeación.
• Mantenimiento
• Comentarios y Sugerencias a la Guía
________________________________________
CUESTIONARIO DECONTROL INTERNO
INTERNET
VERSION EN WORD DEL CUESTIONARIO
I ORGANIZACIÓN.
1 ¿El área de administración y operación de redes tiene formalmente establecidos sus objetivos, funciones, políticas y procedimientos?
¿Están actualizados y difundidos entre el personal del área, para su conocimiento y cumplimiento?
2 ¿Existe una estructura orgánica y segregación de funciones?
3 ¿Se cuenta con un...
Leer documento completo
Regístrate para leer el documento completo.