Proceso de Auditoria Informática

Sergio Ahumada

Auditoria Informática

Instituto IACC

10-12-2018
Proceso de auditoria informática

Instrucciones: Responda a los planteamientos que se exponen a continuación

1. Durante la planificación de una auditoria, se describen actividades orientadas a realizar

un levantamiento de políticas y procedimientos relacionados al plan de recuperación ante

desastres de una compañía. Con esta actividad se pretende identificar los controles claves,

sus responsables y la evidencia a solicitar. Indique el objetivo y las principales

características de este tipo de auditoria.

Para este caso es necesario iniciar con un plan de seguridad o contingencia. Como bien se

explica en el contenido de la semana antes de iniciar trabajos de auditoria debemos entender y

conocer la organización. Sus puntos relevantes su visión, misión y negocio y cada uno de los

responsables.

Los planes de recuperación ante desastres debemos seguir paso a paso para la recuperación de

los sistemas y de manera de reanudar las operaciones con normalidad. El objetivo de estos

procesos es minimizar cualquier impacto negativo en las operaciones de la empresa. Un proceso

de recuperación que podamos identificar los sistemas y redes que se encuentren críticos. Con el

fin de reducir tiempos en recuperación, haciendo los pasos necesarios para reiniciar equipos o

reconfigurarlos.

Características

1. Reunir todos los documentos pertinentes de infraestructura de como diagramas de red.

Configuraciones de equipos y las bases de datos. Preparar un análisis de riesgo y crear

lista de posibles desastres, estos pueden ser naturales o daños por equipos o personal no

calificado.
 2. Equipos ante respuestas e incidentes, tener a mano todos los datos y contactos de

responsabilidades, especificando cada una de sus funciones.

3. Proporcionar información sobre incidentes al personal designado.

4. Planificar pruebas para asegurar que el plan de respuesta este operativo ante accidentes.

Luego realizar periódicamente ejercicios para asegurar el funcionamiento el plan y los

miembros del equipo se encuentren altamente calificados o capacitados y cuáles serán sus

responsabilidades.

5. Mantener actualizado toda documentación de manera de reflejar los cambios.

6. Resultados: una vez que el plan de recuperación ante un desastre este completo

revisamos los hallazgos con el personal líder o a cargo de cada operación para asegurar

que cada persona esta bien asignada en sus puestos.

7. al momento de realizar auditorías, incluiría revisión de correos de personal, ya que es la

herramienta mas utilizada para llevar a cabo estafas, introducir virus, etc. Por eso se

recomienda que

- no abran mensajes o no hayan abierto correo de remitente desconocido

- no enviar ni recibir correos donde soliciten envíos de datos personales

En estos casos y debido a la infraestructura de la empresa debemos invertir tiempo y recursos

suficientes para proteger nuestras operaciones y estar atento a eventos no planificados que

pueden ser potencialmente destructivos.

Tomar enserio el proceso de planificación puede tomar tiempo, pero debemos tener la suficiente

información correcta y precisa.

2- El banco donde usted se desempeña como auditor informático fue victima de un sabotaje

informático, que se materializo en un robo de mil millones de pesos de cuentas corrientes de

importantes empresas. En base a lo anterior, indique el proceso a auditar para mitigar el riesgo de

que vuelva a ocurrir un sabotaje de estas características. Justifique su respuesta.

Para el caso planteado debemos evaluar todos los riesgos, es de mucha importancia este paso, si

es necesario de debe revisar cada servicio una por una. Esto sirve para identificar anomalías,

riesgos en el rubro del banco.

Para esto debemos identificar los riesgos que pueden afectar los negocios, evaluar cada pagina o

servicio que entrega para identificar posibles filtraciones o vulnerabilidades que pueden volver a

perjudicar el banco. También es necesario identificar cuentas que pueden estar involucradas en

las perdidas millonarias del banco.

- Etiquetar los ordenadores mas relevantes, ante cualquier eventualidad o catástrofe, se

necesita recuperar información

- Acciones legales. Debemos seguir tal problema informático que implica la perdida de

muchos clientes, debemos investigar y realizar un proceso judicial en los que puede ser

necesario un peritaje informático.

- Mantener actualizado regularmente todos los sistemas tanto como sistemas operativos y

software instalados en los equipos, poniendo en especial atención a las actualizaciones

del navegador. Mantener al día como también aplicar los parches de seguridad
 recomendados por los mismos fabricantes que ayudaran a prevenir posibles intrusos

(hackers) o virus que pueden dañar el sistema

- Instalar corta fuegos (Firewall) con el fin de restringir accesos no autorizados de

internet.

Bibliografía

IACC 2018 Contenidos de la semana 5 proceso de auditoria informática

http://online.iacc.cl/pluginfile.php/4392205/mod_resource/content/0/auditoria_informatica/Conte

nidos/05_contenido_auditoria_informatica_V5.pdf

Seguridad Informática 2017 recursos de internet

http://www.delitosinformaticos.info/consejos/sobre_seguridad_informatica.html