Scribd
Cargar
59 vistas5 páginas

Caso

Este documento presenta un caso práctico de auditoría informática realizado por estudiantes de ingeniería de sistemas. El documento describe la misión y alcance de la auditoría, así como los objetivos, funciones de usuarios, fortalezas y debilidades identificadas, y recomendaciones para mejorar los controles, perfiles, y la infraestructura de red del centro de datos.

Cargado por

fernandahherrera0118
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
59 vistas5 páginas

Caso

Este documento presenta un caso práctico de auditoría informática realizado por estudiantes de ingeniería de sistemas. El documento describe la misión y alcance de la auditoría, así como los objetivos, funciones de usuarios, fortalezas y debilidades identificadas, y recomendaciones para mejorar los controles, perfiles, y la infraestructura de red del centro de datos.

Cargado por

fernandahherrera0118
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

UNIVERSIDAD NACIONAL DE INGENIERÍA

Área de Conocimiento de Tecnología de la Información


y Comunicación.

Caso Práctico de Auditoría Informática

Carrera:

Ingeniería de Sistemas.

Docente:

Msc. Juan José Martínez.

Elaborado por:

Br. Katherine Pamela Cerda Calero. Carnet: 2020-0283I.

Br. María Fernanda López Herrera. Carnet: 2020-0294I.

Managua, Nicaragua.
Miércoles 09 de Abril del 2024.
A. Dicte la misión y visión de la auditoria.

Misión: evaluar minuciosamente las actividades del departamento de


informática de la empresa, identificar puntos débiles en los procedimientos de
seguridad y gestión de tecnología de la información, mejorar la seguridad de la
información, la eficiencia operativa para la continuidad de la empresa
Visión: establecer estándares de seguridad y gestión de TI que aseguren la
protección de la información, la optimización de los recursos tecnológicos y la
adaptabilidad ante posibles contingencias.

B. Para usted cual será el alcance de esta auditoria


El alcance de esta auditoría incluye la evaluación de los procedimientos de
seguridad y gestión de TI del departamento de informática, con especial
atención en la organización y control, el control de acceso, la infraestructura de
la data center, los planes de contingencia y recuperación ante desastres, y las
políticas y normas establecidas.

C. Cuáles son los Objetivos de esta auditoría.

 Evaluar la organización y control del departamento de informática.


 Revisar los manuales de puestos, funciones, perfiles y
responsabilidades.
 Verificar la existencia y adecuación de planes de contingencia y
recuperación ante desastres.
 Evaluar la seguridad de la información y del personal.
 Identificar puntos débiles y fortalezas en los procesos de TI.
 Proporcionar recomendaciones para mejorar la seguridad y eficiencia de
TI.
 Asegurar la continuidad del negocio frente a posibles contingencias.

D. Cual deberá ser las funciones permitidas a los usuarios


Las funciones permitidas a los usuarios deben ser definidas de acuerdo con las
responsabilidades y necesidades laborales de cada empleado. Se debe
implementar el principio de privilegios mínimos para limitar el acceso a la
información y los recursos de TI a lo estrictamente necesario para realizar las
tareas asignadas.
También hay que señalar que las funciones incluyen acceso controlado a la red
y sistemas, uso responsable de dispositivos USB, acceso a Internet restringido
y seguro, cumplimiento de políticas de contraseñas y seguridad de dispositivos
personales.

E. Cuáles son las fortalezas y debilidades que encuentra.

Fortalezas:

1. Perfiles de acceso establecidos según las necesidades laborales.


2. Restricción del acceso a Internet para la mayoría de los empleados.

Debilidades:

1. Falta de señalización en el lugar de trabajo, incluyendo la ruta de


evacuación.
2. Ausencia de una política de contraseñas y sistemas de redundancia más
allá del servidor de Active Directory.
3. Organización deficiente en el data center y espacio reducido.
4. Sistema de vigilancia que borra las grabaciones después de un mes sin
respaldo.
5. Falta de cableado estructurado y señalización adecuada en el data
center.
6. Extintores inadecuados en el centro de datos.
7. Acceso indiscriminado a Internet y uso de dispositivos USB y discos
portátiles para manejar información sin restricciones.
8. Ausencia de contraseñas en las computadoras personales.
9. Carencia de documentos formales que permitan constar las políticas y
normas establecidas.
10. Bóveda de seguridad siempre permanece abierta.
F. ¿Qué tipos de controles serán necesarios para Resolver el
Problema?

1. Se deben colocar carteles de señalización en áreas estratégicas de la


empresa, así como en las rutas de evacuación, con instrucciones claras y
visibles para garantizar la seguridad de los empleados en caso de
emergencia.
2. Es recomendable implementar una política de contraseñas obligatoria,
además de sistemas de redundancia de datos más allá del servidor de
Active Directory para garantizar la seguridad y disponibilidad de la
información en caso de fallos.
3. Mejorar la organización de la data center mediante la implementación de
racks adecuados, etiquetación de equipos y cables, y la creación de un
inventario detallado de los recursos disponibles, con el objetivo de optimizar
el espacio y facilitar el mantenimiento.
4. Es importante implementar un sistema de respaldo para las grabaciones de
vigilancia, así como su conservación a largo plazo.
5. Reemplazar los extintores tipo AB por extintores tipo ABC, adecuados para
equipos electrónicos, y asegurar que estén ubicados correctamente dentro
del data center para garantizar la seguridad en caso de incendio.
6. Se debe limitar el acceso indiscriminado a Internet y restringir el uso de
dispositivos USB y discos portátiles para el manejo de información.
7. Establecer contraseñas de seguridad en las computadoras personales para
proteger la información confidencial y prevenir accesos no autorizados.
8. Es fundamental documentar formalmente políticas y normativas de
seguridad, así como proporcionar capacitación al personal para su correcta
implementación y cumplimiento.
9. implementar medidas para mejorar la seguridad de la bóveda, como el
establecimiento de controles de acceso adecuados y el monitoreo constante
para prevenir accesos no autorizados.
G. ¿Cuál sería su recomendación para mejorar la funciones, perfiles y
responsabilidades?

1. Establecer una política de contraseñas obligatoria.


2. Revisar y ajustar los perfiles de acceso según las responsabilidades de
cada empleado.
3. Documentar formalmente políticas y normas de seguridad.
4. Restringir el acceso a Internet solo a personal autorizado y para fines
laborales.
5. Implementar controles de acceso físico adecuados a la data center y
mejorar su organización.

H. ¿Qué tipo de infraestructura red propone para ordenar el data


center?
Para ordenar sería ideal un cableado estructurado que organice los cables de
red y eléctricos de manera ordenada. Se debe señalizar el equipo y el cableado
para facilitar su identificación y mantenimiento. Además, se deben instalar
extintores tipo ABC y ubicarlos estratégicamente dentro del centro de datos.
También se debe mejorar el sistema de vigilancia para garantizar la seguridad
física de las instalaciones.

También podría gustarte