Scribd
Cargar
594 vistas4 páginas

Guía para El Levantamiento de Información

Este documento presenta los objetivos y metodología para realizar una auditoría de sistemas operativos. Describe las etapas preliminares de investigación e identificación de documentos y recursos relevantes. Luego, detalla 10 escenarios clave de análisis como instalación, seguridad física y lógica, documentación, mantenimiento, aspectos administrativos, monitoreo, planes de contingencia, administración de seguridad y servicios soportados. El objetivo final es elaborar una matriz de riesgos que guíe la auditoría.

Cargado por

PAULA ANDREA PERALTA TRIANA
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
594 vistas4 páginas

Guía para El Levantamiento de Información

Este documento presenta los objetivos y metodología para realizar una auditoría de sistemas operativos. Describe las etapas preliminares de investigación e identificación de documentos y recursos relevantes. Luego, detalla 10 escenarios clave de análisis como instalación, seguridad física y lógica, documentación, mantenimiento, aspectos administrativos, monitoreo, planes de contingencia, administración de seguridad y servicios soportados. El objetivo final es elaborar una matriz de riesgos que guíe la auditoría.

Cargado por

PAULA ANDREA PERALTA TRIANA
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

LEVANTAMIENTO DE INFORMACION PARA

AUDITORIA A SISTEMAS OPERACIONALES

1. Objetivos

 Identificar los recursos de tecnología y la estructura organizacional para ejecutar una


Auditoria a Sistemas Operativos basada en Analisis de Riesgos.
 Identificar los riesgos y controles existentes para cada componente de cada uno de
los Escenarios de Analisis que se presentan en el numeral 3 de esta guía.
 Elaborar una matriz de análisis de riesgos que podría tener estructura del documento
“Matriz Integrada”.

2. Investigación Preliminar

a. Conocimiento global de la empresa en cuanto a:

 Área de Tecnología de la Información (Área de sistemas)


 Estructura organizacional y personal
 Plataforma de hardware
 Sistemas operativos
 Sistemas de redes y comunicaciones

b. Conocimiento global del sistema operativo, evaluando las herramientas que


proporciona como apoyo a la seguridad y a la administración.

c. Documentos a revisar

 Listado de aplicaciones en producción y directorio de datos.


 Listado de empleados activos y despedidos en el último trimestre.
 Documento de autorización a cada usuario del sistema y aprobación de derechos y
privilegios.
 Listados de monitoreo del sistema.
 Listado de utilidades importantes usuarios y grupos que las acceden.
 Políticas de seguridad corporativa.
 Documento de configuración inicial del sistema operativo y las autorizaciones para su
actualización o cambio.
 Documento de definición de los roles en la administración del sistema y la seguridad.
 Planes de capacitación y entrenamiento.
 Contratos con entes externos relacionados con Tecnologías de la Información.
3. Escenarios de Análisis

3.1. Instalación y Configuración Inicial

 Políticas y estándares para el proceso de instalación y configuración inicial.


 Configuración de servicios (correo, FTP, WWW, DNS). Elección, instalación y
activación.
 Configuración de parámetros de seguridad.
 Sistemas de archivos.
 Realización y configuración de particiones.
 Instalaciones por defecto.
 Software instalado (Paquetes)

3.2. Seguridad Física

 Acceso del personal al centro de informática y salas de servidores.


 Señalización.
 Instalaciones eléctricas.
 Estado UPS
 Almacenamiento de cintas, discos y documentación
 Entorno (temperatura, humedad, ventilación).
 Ubicación de equipos, organización

3.3. Seguridad Lógica

 Mecanismos de control de acceso a objetos del sistema.


 Archivos con permisos especiales.
 Mecanismos de identificación y autenticación.
 Administración de usuarios y grupos (Creación, modificación, bloqueo y eliminación)
 Administración de cuentas. (Creación, modificación, bloqueo y eliminación)
 Perfiles de usuario y grupos.
 Manejo de usuarios especiales.
 Manejo de cuentas especiales. (Cuentas sin contraseña, cuentas predeterminadas,
cuentas de invitados, Cuentas de acceso de comandos, cuentas de grupo).
 Proceso de logon/Rogoff
 Proceso de arranque del sistema.
 Cifrado de datos
 Acceso remoto.

3.4. Documentación del Sistema

 Políticas y estándares de los procesos relacionados con el sistema operativo.


 Políticas de seguridad de la organización.
 Manuales del sistema operativo.
 Manuales de procedimientos.
 Manuales de usuario.
 Manuales de funciones.
 Documentación de la instalación y configuración inicial.
 Pólizas de seguros.
3.5. Mantenimiento y soporte

 Soporte del proveedor.


 Utilitarios para realización de tareas de mantenimiento.
 Planes de mantenimiento lógico y físico.
 Contratación de mantenimiento y soporte externo.
 Actualizaciones realizadas Hardware.
 Actualizaciones realizadas (parches, nuevas versiones).

3.6. Aspectos administrativos

 Estructura organizacional.
 Definición y correspondencia de roles y funciones.
 Segregación de funciones
 Selección y contratación de personal
 Capacitación y entrenamiento
 Ambiente laboral.

3.7. Monitoreo y Auditoría -

 Evaluación de la función de auditoría interna si existe o externa.


 Procedimientos de auditoría realizados con relación al sistema operativo.
 Existencia y utilización de herramientas de monitoreo y auditoría.
 Procedimientos de monitoreo y ajuste (Tunning)
 Reportes de análisis de logs del sistema (instalación, operaciones).
 Logs
 Reportes de monitoreo y auditoría.
 Software de auditoría.

3.8. Planes de contingencia (Planes de respaldo y recuperación)

 Existencia de un plan de contingencia.


 Conocimiento y divulgación del plan de contingencias.
 Pruebas y ajustes al plan de contingencias.
 Planes de respaldo (a nivel de personal, software y hardware) y recuperación.
 Elaboración y gestión de copias de seguridad (Backups)

3.9. Administración e implementación de la seguridad

 Función encargada de la administración de la seguridad.


 Roles y responsabilidades.
 Políticas y estándares.
 Entrenamiento y capacitación en seguridad.
 Personal Asesor
 Procedimientos de administración de la seguridad.
 Almacenamiento (Almacenamiento y Filesystem).
 Documentación.
3.10. Servicios que soporta el sistema operativo (aplicaciones, web, correo, proxy,
DNS, Base de datos)

En este sentido es muy importante tener un grupo de riesgos asociados con los servicios
que el sistema operativo evaluado esté soportando y la criticidad e importancia que
representen para la organización.

También podría gustarte