Proyecto Final

Auditoria Informática
Instituto IACC
26 de Octubre de 2018

Actividad
 Su empresa Auditoría Inc. desea participar de una licitación privada del Banco IACC en la
que solicitan realizar una auditoría informática de red interna y perimetral que incluya:
 100 estaciones de trabajo con Windows 7.
 5 bases de datos Oracle con Sistema Operativo Redhat Enterprise 5.
 2 firewalls (uno interno y otro externo).
 1 Router perimetral.
 1 data center donde se encuentran todos los servidores.
 Enlaces redundantes entre las oficinas y el data center.
Para participar y adjudicársela, usted debe construir una propuesta técnica en la cual explique
el objetivo y alcance de la auditoría, la metodología de trabajo que utilizará, un plan de trabajo con
un programa y las actividades a desarrollar.
Finalmente como anexo debe incluir lo siguiente:
 Detalle de pruebas a realizar por cada dispositivo (herramientas, Checklist, etc.).

Desarrollo

PRESENTACION DEL PROYECTO

PROYECTO “Auditoria Informática en Banco IACC”

Introducción

En el mundo actual, la evolución de los sistemas de información y comunicación, han

generado la necesidad de implementar la gestión de sistemas en las diferentes instituciones; para
obtener seguridad, confiabilidad y estabilidad en todos los ámbitos que a tecnología de la
información conciernen. La velocidad con que los medios de comunicación progresan, ha hecho
que las empresas cada vez necesiten de más control sobre sus datos y los sistemas que estas
utilizan, provocando con ello el que el procesamiento de la información y la rapidez con la que se
realiza se vuelva de vital importancia.
Auditoria Inc. ha venido ejecutando varios proyectos relacionados con el área informática
con el fin de apoyar a las distintas actividades que se desarrollan dentro de ella. Se han
implementado algunos servicios informáticos para lo que se han adquirido equipos, instalado
redes y contratado otros servicios adicionales. Motivo por el cual se ha considerado la necesidad
de realizar una Auditoría Informática con el fin de enmendar fallas en el momento oportuno, fallas
que redundan en el costo de los productos y en la calidad de los mismos.

JUSTIFICACION

Para el caso planteado, es necesario realizar un adecuado Control, Planeación y

Organización de los procesos y sistemas que maneja el Banco IACC; se consideró de vital
importancia la realización de una Auditoría de Sistemas con el objeto de plantear medidas
correctivas para enmendar fallas en el momento oportuno. Auditoria Inc es una empresa en
constante evolución por lo que es necesario llevar un control de las actividades que se realiza.

AUDITORIA INFORMATICA
Introducción
Hoy en día los sistemas de información se han convertido en pilares fundamentales de la
empresa, ya que ayudan en la toma de decisiones y forman parte del Management de la misma,
por ello, los sistemas de información deben ir de acuerdo con el gestiona miento de la empresa
procurando mejorarla haciéndola cada vez más eficaz y eficiente, ya que la gestión de la empresa
sobre sistemas mal diseñados puede generar un serio problema y desencadenar un efecto dominó
sobre la misma que conlleve a poner en peligro su funcionamiento. Debido a la importancia de los
Sistemas de Información dentro de la empresa, existe la AUDITORÍA INFORMÁTICA cuya tarea
consiste en la realización de un examen crítico con el fin de evaluar la eficiencia y eficacia de una
empresa. Dentro de sus objetivos principales están:

 El control de la función informática,

 El análisis de la eficiencia de los Sistemas informáticos,
 La verificación del cumplimiento de la Normativa
 La revisión de la eficaz gestión de los recursos informáticos

En términos generales podemos definir a la auditoría informática como el conjunto de

técnicas, actividades y procedimientos destinados a analizar, evaluar, verificar y recomendar en los
asuntos relacionados a la planificación, control, eficacia, seguridad y adecuación del servicio
informático en la empresa; para plantear alternativas de acción, la toma de decisiones que
permitan corregir errores en caso de que existiesen, o bien para mejorar la forma de acción. Con la
realización de una Auditoría Informática se logrará conocer si la calidad de los datos es la
adecuada, si es errónea, inexacta o si la misma ha sido manipulada de alguna manera. Se podrá
también conocer si la seguridad que posean los centros de procesamiento, servidores y datos son
las suficientes, debido a que estos en los últimos tiempos se han convertido en blancos para la
realización de fraudes, espionaje, delincuencia y terrorismo informático; se deben analizar si los
planes de contingencia cumple las funciones para las cuales han sido creados, para lo cual también
se debe realizar un análisis de los riesgos a los cuales están expuestos los Sistemas de Información.
Así mismo se puede conocer si la empresa ha sido o puede ser víctima de robo de
información, si el soporte técnico es el que necesitan los usuarios. Además se puede conocer si el
Departamento de Sistemas como tal ha manejado su presupuesto de manera adecuada, con
inversiones justificadas o si han existido desviaciones del presupuesto planteado

OBJETIVO DEL PROYECTO

Objetivo General
 Revisar y Evaluar los controles, sistemas y procedimientos de informática; los equipos de
cómputo, su utilización, eficiencia y seguridad; equipamiento de red, su utilización y
eficiencia y seguridad.

Objetivos Específicos
 Evaluar el diseño y prueba de los sistemas del área de Informática
 Evaluar los procedimientos de control de operación, analizar su estandarización y evaluar
el cumplimiento de los mismos.
 Evaluar la forma como se administran los dispositivos de red
 Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.

Alcance
 La Auditoria de red, busca determinar si existen problemas de comunicación que puedan
afectar al desempeño de cada usuario o dispositivo, con este procedimiento podemos recomendar
mejoras en su infraestructura o determinar e informar si las condiciones son óptimas o deficientes.
Buscar posibles filtraciones de información, intencionada o accidental, provocada por agentes
externos o internos.
La auditoría determinara si las estaciones de trabajo, servidores y dispositivos de red,
cuentan con las características técnicas necesarias, si el rendimiento es consistente con las
características técnicas.
Se determinara si la seguridad en la red interna externa, se encuentra dentro de los
parámetros de seguridad y protección necesaria, se revisara cada dispositivo que se encuentre
dentro de los parámetros, desde el antivirus de cada estación de trabajo hasta el firewall de la red
externa del banco.

PROCESO DE AUDITORIA INFORMATICA

Planificación de la Auditoria Informática
La auditoría informática empieza por la realización de un plan de auditoría el cual con
llevará a la consecución de los objetivos de dicha auditoría, además de que de esta manera se
asegurará el éxito de la misma. El objetivo principal de la realización de esta planificación deberá
ser el determinar la estrategia para cada etapa de la auditoría, o el proporcionar la información
necesaria para la evaluación del riesgo y así poder determinar el enfoque de trabajo.

Metodología de trabajo
Para llevar a cabo esta auditoría se realizarán técnicas asistidas por computadores (CAAT),
estas son herramientas con las cuales recolectaremos información asociada a la red de manera
completa, incluyendo los distintos equipos y dispositivos que está presente, se realizarán
inspecciones tanto físicas y lógicas, con la finalidad de poder determinar si los servidores, equipos,
etc. Cuentan con sus respectivos licenciamientos a nivel de software y si estos poseen las
características físicas adecuadas para prestar los distintos servicios, como por ejemplo
instalaciones eléctricas, cableado estructurado entre otros. Finalmente se entregará un informe
con los resultados de la auditoría.
  Inspección Física: En esta sección se realizará una revisión de las estaciones de trabajo y
de los equipos de comunicación para determinar si están entregando un desempeño
acorde a la estructura de la red y sus necesidades.
Se realizara un inventario completo, el cual se detallara en el anexo, se revisaran
los servidores y cualquier otro dispositivo ya sea del equipamiento de computo como de
los dispositivos de red
Se realizarán revisiones en base al enlace principal y los enlaces de respaldo que
puedan existir. Se realizará adicionalmente una revisión de la estructura de la red y
normativas vigentes y verificaciones varias.
 Inspección Lógica: En esta sección se realizará:
o Una revisión detallada de los sistemas operativos, se verificará si estos cuentan
con licencia y versión correspondiente.
o Se revisarán aplicaciones adicionales al sistema y sus respectivos licenciamientos
o Se verificarán los sistemas operativos de los servidores y firmware de los
dispositivos como Router, switch, firewall, etc.
o Se realizará la verificación de las configuraciones de las tarjetas de red, se
revisarán las puertas de enlace, servidores DNS, máscaras de red y direcciones IP.
o Se revisarán configuraciones de los firewalls y el Router perimetral con la finalidad
de verificar que se encuentran entregando los servicios estrictamente necesarios
para la red.
o Se verificará los enlaces redundantes entre las oficinas y el data center.
o Se verificarán la operatividad de los sistemas de respaldo y recuperación en caso
de falla
o Se verificará las cuentas de usuarios y accesos a las estaciones de trabajo.
o Se realizará revisión exhaustiva de las cuentas que poseen acceso a los servidores.
o Se realizará revisión para verificar si las tablas de auditorías de bases de dato están
activadas o no.

Si fuese necesario se entregaran informes con sugerencias relacionadas con las

configuraciones de firewall, Router, servidores y PCs. También se entregara informes de
sugerencias que permitan reemplazar equipamiento defectuoso u obsoleto por equipamiento con
mejores prestaciones que las actuales.
 PLAN DE AUDITORIA
Metodología
La metodología de investigación a utilizar en el proyecto se presenta a continuación: Para la
evaluación del Área de Informática se llevarán a cabo las siguientes actividades:
 Solicitud de los estándares utilizados y programa de trabajo
 Aplicación del cuestionario al personal
 Análisis y evaluación del a información
 Elaboración del informe

Para la evaluación de los sistemas tanto en operación como en desarrollo se llevarán a cabo las
siguientes actividades:
 Solicitud de la documentación de los sistemas en operación (manuales técnicos, de
operación del usuario, diseño de archivos y programas)
 Para la evaluación de los equipos se llevarán a cabo las siguientes actividades
 Solicitud de los estudios de viabilidad y características de los equipos actuales, proyectos
sobre ampliación de equipo, su actualización
 Solicitud de contratos de compra y mantenimientos de equipo y sistemas
 Solicitud de contratos y convenios de respaldo
 Solicitud de contratos de Seguros
 Elaboración de un cuestionario sobre la utilización de equipos, memoria, archivos,
unidades de entrada/salida, equipos periféricos y su seguridad

Programa de Trabajo

Etapa Actividad Objetivo Tiempo Cantidad Persona a

personas cargo
Etapa I Revisión de Se realizara la revisión de las Esta actividad se realizara 2 personas Auditor en jefe
estaciones de estaciones de trabajo se en 10 días hábiles. Para
trabajo realizara una vez que se tenga las estaciones de trabajo
una coordinación con el horario excluyendo los equipos
de atención de público del de cajas, se empezara
banco, se comenzará con los desde las 15:00 hrs, hasta
 equipos que se encuentran en las 11:00 hrs, con una
las distintas oficinas del banco, hora de colación.
después de esto se Para los equipos de cajas
concentraran directamente en la revisión comenzara a
los equipos de cajas las 16:00 hrs hasta las
11:00 hrs
Etapa II Revisión de Se realizaran las revisiones a las Esta actividad se realizara 2 personas Auditor en jefe
servidores bases de datos, credenciales de en 2 días hábiles. Se
(data center y acceso y distintos permisos que estima un tiempo aprox.
base de puedan tener los funcionarios de 4 horas por base de
datos): además de las tablas de datos
auditoría.
Etapa III Revisión de Se revisarán versiones de Esta actividad se realizara 2 personas Auditor en jefe
Router firmware, configuraciones de en 2 días hábiles, en
perimetral y seguridad, listas de accesos horario laboral
firewalls entre otros. Al mismo tiempo se
realizarán las revisiones
pertinentes al Router
perimetral, en él se realizará un
análisis de la arquitectura de la
red, configuraciones de
seguridad, los servicios que
presta el equipo, se verificarán
las configuraciones Ethernet y
sus listas de acceso.
Etapa IV Revisión de Se realizaran revisiones Esta actividad se realizara 2 personas Auditor en jefe
enlaces pertinentes a verificar si entre en un día hábil, en
las distintas oficinas y el data jornada laboral
center existe un enlace
redundante que sea capaz de
proporcionar la conectividad
necesaria en caso de algún
inconveniente que pueda
 suceder de manera fortuita.
Etapa V Revisión a Con la ayuda de software Esta actividad se realizara 2 personas Auditor en jefe
través de especializado se realizará una en un día hábil, en
CAAT verificación de los servicios que jornada laboral
están corriendo a través de la
red, al mismo tiempo, con este
tipo de software se realizará un
inventario de todos los
dispositivos conectados a la red
y sus características, de esta
manera podremos verificar de
manera certera los
componentes de los distintos
equipos.

Anexo Checklist y detalle de pruebas a realizar por cada dispositivo

Checklist a verificar por cada estación de trabajo:

 Marca
 Modelo
 Procesador
 Disco Duro
 Memoria RAM
 Configuración IP
 MAC
 Periféricos
 Conexiones
 Sistema operativo y licencia
 Aplicaciones adicionales y licencias
 Antivirus
 Usuario
  Dominio

Checklist a verificar por Firewalls y Router:

 Marca
 Modelo
 Firmware
 Seguridad
 Conexiones
 Servicios configurados

Checklist a verificar en Data center:

 Control de acceso
 Sistema de seguridad ante imprevistos (incendios, problemas eléctricos, etc.)
 Estado de conexiones y enlaces


Detalle de pruebas a realizar

Para las pruebas a realizar a los distintos dispositivos se utilizara el Software GLPI

Software GLPI
GLPI es una herramienta ITSM libre y de código abierto, la cual maneja y controla los
cambios en la infraestructura informática de manera sencilla, permite resolver problemas
emergentes de manera eficiente y además hace posible el control fiable sobre el presupuesto y
gastos que realiza la organización en TI.
GLPI, es el único software que garantiza el manejo de grandes infraestructuras TI,
permitiendo la segmentación por entidades con sus respectivas políticas administrativas y gastos
permitidos, mantiene un seguimiento al ciclo de vida de los activos de la organización
supervisando su obsolescencia, obteniendo en tiempo real el estatus de licencias y obsolescencia
de software y hardware.
 Realiza un inventario automático multiplataforma de los activos de TI, visualizando la
condición de cada activo en la organización en tiempo real, detectando con anticipación
renovaciones o actualizaciones de software o hardware ejecutados.
Con esta herramienta, puedes crear, mantener, administrar y realizar un seguimiento del
inventario de datos y activos de TI de toda la empresa:
 Inventario de activos de TI: PC y servidores, redes, software, Smartphone y tabletas,
impresoras, consumibles, cartuchos, etc.
 Inventario de datos: información financiera, contratos, gestión de presupuesto, informes y
cuadros de mando, etc.

Bibliografía
Mariño, E. (2013, 07). Proyecto Final Auditoria. Scribd. Obtenido 10, 2018, de
https://es.scribd.com/document/353709982/Proyecto-Final-Auditoria

Valero, M. (2016, 10). Alcance y Objetivos de La Auditoria Informatica. Scribd. Obtenido 10, 2018,
de https://es.scribd.com/document/328862606/Alcance-y-Objetivos-de-La-Auditoria-Informatica

IACC (2018). Contenidos de la Semana, Auditoría Informática, Semana 1.

IACC (2018). Contenidos de la Semana, Auditoría Informática, Semana 2.

IACC (2018). Contenidos de la Semana, Auditoría Informática, Semana 3.

IACC (2018). Contenidos de la Semana, Auditoría Informática, Semana 4.

IACC (2018). Contenidos de la Semana, Auditoría Informática, Semana 5.

IACC (2018). Contenidos de la Semana, Auditoría Informática, Semana 6.

IACC (2018). Contenidos de la Semana, Auditoría Informática, Semana 7.

IACC (2018). Contenidos de la Semana, Auditoría Informática, Semana 8.

Trabajos anteriores