Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

AUDITORIA DE SEGURIDAD FISICA Y LOGICA

No description
by

Cesar Marcos

on 5 September 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of AUDITORIA DE SEGURIDAD FISICA Y LOGICA

ALCANCE DE LA AUDITORÍA :

La realización de esta auditoría se llevó acabo en la empresa XXX , en un periodo de 15 día, en el cual se abordó el área de Tecnología de la información de la empresa en el área donde se realizan los procesos informáticos de la organización. Se evaluara la seguridad física la seguridad lógica, así como la documentación general y específica sobre equipos, sistemas y software utilizados por la empresa.
AUDITORÍA DE LA SEGURIDAD FISICA Y LOGICA
EMPRESA ATC MULTISERVICIOS
Revisar y evaluar los controles, sistemas, procedimientos de informática de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información.
OBJETIVOS GENERAL
Evaluar la existencia de:
a. Áreas controladas para los equipos de comunicaciones, previniendo así accesos inadecuados
b. Protección y tendido adecuado de cables y líneas de comunicaciones, para evitar accesos físicos
c. Controles de utilización de los equipos de pruebas de comunicaciones, usados para monitorizar la red y su trafico, que impidan su utilización inadecuada
d. Controles específicos para restringir el acceso a directorios y guías telefónicas únicamente al personal autorizado con la finalidad de prevenir el ingreso a la red.
OBJETIVOS DE LA AUDITORÍA FÍSICA
OBJETIVOS AUDITORÍA LOGICA
El data center de la empresa está ubicada en el cuarto nivel del edificio de la empresa lugar apropiado de movimiento pero muy accesible a cualquier tipo de usuario
En el área se encuentran instaladas más de 8 servidores y se observan las debilidades que se muestran a continuación.

ÁREA DONDE SE UBICAN LOS SERVIDORES INSTITUCIONALES
En los informes de accesos y visitas a las instalaciones, se encontró que la empresa no lleva control de ingreso, las notificaciones para el ingreso se hacen de forma verbal y no hay ningún soporte.
SOBRE EL LIBRO DE ANOTACIONES AL DATACENTER
Al comprobar la existencia de documentos adquisitivos de equipos de software y contratos legales de ISP, se encontró que la empresa cuenta con la documentación, resguardados por el área contable, en cuanto al contrato de ISP se comprobó el contrato de ancho de banda por parte de la empresa ATC MULTISERVICIOS.
DEL REGISTRO DE ALGUNOS DATACENTER EN EL SISTEMA DE INVENTARIOS
SEGURIDAD LOGICA
seguridad física
RESPALDO Y PLAN DE CONTINGENCIA
DOCUMENTACION
1. Restringir el acceso a los programas y archivos.
2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.
3. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto.
4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.
5. Que la información recibida sea la misma que ha sido transmitida.
6. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
7. Que se disponga de pasos alternativos de emergencia para la transmisión de información.

SEGURIDAD FISICA
ALCANCE
La realización de esta auditoria se llevó acabo en la empresa ATC MULTISERVICIOS, en un periodo de 15 día, en el cual se abordó el área de Tecnología de la información de la empresa en el área donde se realizan los procesos informáticos de la organización. Se evaluó la seguridad física la seguridad lógica, así como la documentación general y específica sobre equipos, sistemas y software utilizados por la empresa.

LIMITACIONES
Las limitaciones que se presentaron para poder realizar la auditoía fueron:
• El tiempo de realización no era el suficiente para ver todo los procesos que realiza dicho negocio
• No se obtuvo la suficiente documentación del cableado estructurado de dicha empresa
• No se nos dejo tomar fotografías, evidencias de las falencias que se presentaron durante la auditorÍa.

PREGUNTAS REALIZADAS
DEL CONTROL DE SALIDAS DEL DATACENTER
En cuanto al registro de salida de activos se pudo verificar que el registro se lleva a cargo con un cuaderno de cargo el cual es realizado por el personal que se encuentre ene l área al momento de retirar el activo, se pudo ver que el cuaderno no cuenta en algunos casos con la información completa que se requiere (fecha y hora) en la que se retiran los activos se pudo apreciar que en algunas oportunidades no se registran las salidas, así mismo cada fin de mes se registra en un inventario todas las salidas de estos activos sin la previa verificación.
SOBRE EL INVENTARIO DE ACTIVOS DEL DATACENTER REALIZADOS POR AUDITORÍA INTERNA
En el inventario de equipos y software, se evidencio que la empresa cuenta con un almacén donde se encuentran las computadoras y equipos electrónicos que ya no funcionan, tienen un inventario manual de estos equipos con un diagnostico donde se detallan piezas dañadas y piezas en funcionamiento, entre estos están: Pc’s, impresoras, sistemas operativos en uso, etc.
DE LA CREACIÓN E INHABITACIÓN DE USUARIOS EN EL CORREO ELECTRÓNICO Y LOS SISTEMAS DE INFORMACIÓN INSTITUCIONAL
Se observó que aún permanecían registrados usuarios habilitados para el acceso al software de uso dentro de la empresa
SOBRE LA EXISTENCIA DE UN GRUPO ALTERNO PARA EL RESPALDO Y RECUPERACIONES EN LA INSTITUCIÓN

En los respaldos de información crítica, se encontró que se maneja un respaldo de la información de los clientes únicamente en físico y están resguardados en las instalaciones de la empresa, no hay respaldo digitalizado de la información, la empresa no posee redundancia en este aparato.

SOBRE LOS CONTROLES DE ACCESO LOGICO A LA BASE DE DATOS
El acceso a la base de datos era específico y se manejan permiso mediante IP, PATH de usuarios con los permisos suficientes para realizar cambios dentro del mismo
RECOMENDACIONES
La auditoría realizada en el datacenter de la empresa ATC MULTISERVICIOS, se efectuó con fin de obtener un mejor rendimiento del área de información en general para alcanzar los objetivos establecidos, por tal motivo se recomienda:
CONCLUSIONES
Durante la ejecución de la auditoría se determinó la problemática que presentaba el datacenter de la empresa ATC MULTISERVICIOS lo que conllevo a proponer soluciones para el mejoramiento de las actividades que realiza la empresa mediante sus actividades de información. Con la propuesta, se busca mejorar las condiciones y el rendimiento de los servidores con los cuales cuenta la institución, estos con la finalidad de obtener una mejor confiabilidad, disponibilidad, fiabilidad y reguardo de la información del centro de datos auditado. Que son necesarias para atender las necesidades de los clientes.
Full transcript