Auditoría de sistemas
Páginas: 5 (1250 palabras)
Publicado: 5 de noviembre de 2009
Ejemplo de auditoría de sistemas
Auditoria de hardware y software en estaciones de trabajo.
Índice.
Alcance 3
Objetivo 3
Recursos 3
Etapas de trabajo 3
1. Recopilacion de informacion básica 3
2. Identificación de riesgos potenciales 4
3. Objetivos de control 4
4. Determinacion de los procedimientos de control 4
5. Pruebas a realizar. 5
6. Obtencionde los resultados. 5
7. Conclusiones y Comentarios: 6
8. Redaccion del borrador del informe 6
9 . Presentación del borrador del informe, al responsable de microinformática 6
10. Redacción del Informe Resumen y Conclusiones. 6
11. Entrega del informe a los directivos de la empresa. 7
Alcance
La auditoria se realizará sobre los sistemas informaticos encomputadoras personales que estén conectados a la red interna de la empresa.
Objetivo
Tener un panorama actualizado de los sistemas de información en cuanto a la seguridad fisica, las politicas de utilizacion, transferencia de datos y seguridad de los activos.
Recursos
El numero de personas que integraran el equipo de auditoria sera de tres, con un tiempo maximo de ejecucion de 3 a 4semanas.
Etapas de trabajo
1. Recopilacion de informacion básica
Una semana antes del comienzo de la auditoria se envia un cuestionario a los gerentes o responsables de las distintas areas de la empresa. El objetivo de este cuestionario es saber los equipos que usan y los procesos que realizan en ellos.
Los gerentes se encargaran de distribuir este cuestionario a los distintosempleados con acceso a los computadores, para que tambien lo completen. De esta manera, se obtendra una vision mas global del sistema.
Es importante tambien reconocer y entrevistarse con los responsables del area de sistemas de la empresa para conocer con mayor profundidad el hardware y el software utilizado.
En las entrevistas incluiran:
▪ Director / Gerente de Informatica
▪Subgerentes de informatica
▪ Asistentes de informatica
▪ Tecnicos de soporte externo
2. Identificación de riesgos potenciales
Se evaluara la forma de adquisicion de nuevos equipos o aplicativos de software. Los procedimientos para adquirirlos deben estar regulados y aprobados en base a los estandares de la empresa y los requerimientos minimos para ejecutar los programas base.Dentro de los riesgos posibles, tambien se contemplaran huecos de seguridad del propio software y la correcta configuracion y/o actualizacion de los equipos criticos como el cortafuegos.
Los riesgos potenciales se pueden presentar de la mas diversa variedad de formas.
3. Objetivos de control
Se evaluaran la existencia y la aplicación correcta de las politicas de seguridad,emergencia y disaster recovery de la empresa.
Se hara una revicion de los manuales de politica de la empresa, que los procedimientos de los mismos se encuentren actualizados y que sean claros y que el personal los comprenda.
Debe existir en la Empresa un programa de seguridad, para la evaluación de los riesgos que puedan existir, respecto a la seguridad del mantenimiento de los equipos,programas y datos.
4. Determinacion de los procedimientos de control
Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos definidos en el paso anterior.
Objetivo N 1: Existencia de normativa de hardware.
✓ El hardware debe estar correctamente identificado y documentado.
✓ Se debe contar con todas lasórdenes de compra y facturas con el fin de contar con el respaldo de las garantías ofrecidas por los fabricantes.
✓ El acceso a los componentes del hardware esté restringido a la directo a las personas que lo utilizan.
✓ Se debe contar con un plan de mantenimiento y registro de fechas, problemas, soluciones y próximo mantenimiento propuesto.
Objetivo N 2:...
Auditoria de hardware y software en estaciones de trabajo.
Índice.
Alcance 3
Objetivo 3
Recursos 3
Etapas de trabajo 3
1. Recopilacion de informacion básica 3
2. Identificación de riesgos potenciales 4
3. Objetivos de control 4
4. Determinacion de los procedimientos de control 4
5. Pruebas a realizar. 5
6. Obtencionde los resultados. 5
7. Conclusiones y Comentarios: 6
8. Redaccion del borrador del informe 6
9 . Presentación del borrador del informe, al responsable de microinformática 6
10. Redacción del Informe Resumen y Conclusiones. 6
11. Entrega del informe a los directivos de la empresa. 7
Alcance
La auditoria se realizará sobre los sistemas informaticos encomputadoras personales que estén conectados a la red interna de la empresa.
Objetivo
Tener un panorama actualizado de los sistemas de información en cuanto a la seguridad fisica, las politicas de utilizacion, transferencia de datos y seguridad de los activos.
Recursos
El numero de personas que integraran el equipo de auditoria sera de tres, con un tiempo maximo de ejecucion de 3 a 4semanas.
Etapas de trabajo
1. Recopilacion de informacion básica
Una semana antes del comienzo de la auditoria se envia un cuestionario a los gerentes o responsables de las distintas areas de la empresa. El objetivo de este cuestionario es saber los equipos que usan y los procesos que realizan en ellos.
Los gerentes se encargaran de distribuir este cuestionario a los distintosempleados con acceso a los computadores, para que tambien lo completen. De esta manera, se obtendra una vision mas global del sistema.
Es importante tambien reconocer y entrevistarse con los responsables del area de sistemas de la empresa para conocer con mayor profundidad el hardware y el software utilizado.
En las entrevistas incluiran:
▪ Director / Gerente de Informatica
▪Subgerentes de informatica
▪ Asistentes de informatica
▪ Tecnicos de soporte externo
2. Identificación de riesgos potenciales
Se evaluara la forma de adquisicion de nuevos equipos o aplicativos de software. Los procedimientos para adquirirlos deben estar regulados y aprobados en base a los estandares de la empresa y los requerimientos minimos para ejecutar los programas base.Dentro de los riesgos posibles, tambien se contemplaran huecos de seguridad del propio software y la correcta configuracion y/o actualizacion de los equipos criticos como el cortafuegos.
Los riesgos potenciales se pueden presentar de la mas diversa variedad de formas.
3. Objetivos de control
Se evaluaran la existencia y la aplicación correcta de las politicas de seguridad,emergencia y disaster recovery de la empresa.
Se hara una revicion de los manuales de politica de la empresa, que los procedimientos de los mismos se encuentren actualizados y que sean claros y que el personal los comprenda.
Debe existir en la Empresa un programa de seguridad, para la evaluación de los riesgos que puedan existir, respecto a la seguridad del mantenimiento de los equipos,programas y datos.
4. Determinacion de los procedimientos de control
Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos definidos en el paso anterior.
Objetivo N 1: Existencia de normativa de hardware.
✓ El hardware debe estar correctamente identificado y documentado.
✓ Se debe contar con todas lasórdenes de compra y facturas con el fin de contar con el respaldo de las garantías ofrecidas por los fabricantes.
✓ El acceso a los componentes del hardware esté restringido a la directo a las personas que lo utilizan.
✓ Se debe contar con un plan de mantenimiento y registro de fechas, problemas, soluciones y próximo mantenimiento propuesto.
Objetivo N 2:...
Leer documento completo
Regístrate para leer el documento completo.