AUDITORIA DE HARDWARE Y SOFTWARE EN ESTACIONES DE

TRABAJO

ALCANCE
La auditora se realizar sobre los sistemas informticos en
computadoras personales que estn conectados a la red interna de la
empresa.

OBJETIVO
Tener un panorama actualizado de los sistemas de informacin en
cuanto a la seguridad fsica, las polticas de utilizacin, transferencia de
datos y seguridad de los activos.

RECURSOS
El nmero de personas que integraran el equipo de auditoria ser de
tres, con un tiempo mximo de ejecucin de 3 a 4 semanas.

ETAPAS DE TRABAJO

1. 1. Recopilacin de informacin bsica

Una semana antes del comienzo de la auditoria se enva un cuestionario

a los gerentes o responsables de las distintas reas de la empresa. El
objetivo de este cuestionario es saber los equipos que usan y los
procesos que realizan en ellos.

Los gerentes se encargaran de distribuir este cuestionario a los distintos

empleados con acceso a los computadores, para que tambin lo
completen. De esta manera, se obtendr una visin ms global del
sistema.

Es importante tambin reconocer y entrevistarse con los responsables

del rea de sistemas de la empresa para conocer con mayor profundidad
el hardware y el software utilizado.

En las entrevistas incluirn:

Director / Gerente de Informtica

Subgerentes de informtica
Asistentes de informtica
 Tcnicos de soporte externo

1. 2. Identificacin de riesgos potenciales

Se evaluara la forma de adquisicin de nuevos equipos o aplicativos de

software. Los procedimientos para adquirirlos deben estar regulados y
aprobados en base a los estndares de la empresa y los requerimientos
mnimos para ejecutar los programas base.

Dentro de los riesgos posibles, tambin se contemplaran huecos de

seguridad del propio software y la correcta configuracin y/o
actualizacin de los equipos crticos como los cortafuegos.

Los riesgos potenciales se pueden presentar de la ms diversa variedad

de formas.

1. 3. Objetivos de control

Se evaluaran la existencia y la aplicacin correcta de las polticas de

seguridad, emergencia y disaster recovery de la empresa.

Se har una revisin de los manuales de poltica de la empresa, que los

procedimientos de los mismos se encuentren actualizados y que sean
claros y que el personal los comprenda.

Debe existir en la Empresa un programa de seguridad, para la

evaluacin de los riesgos que puedan existir, respecto a la seguridad del
mantenimiento de los equipos, programas y datos.

1. 4. Determinacin de los procedimientos de control

Se determinaran los procedimientos adecuados para aplicar a cada uno

de los objetivos definidos en el paso anterior.

Objetivo N 1: Existencia de normativa de hardware.

El hardware debe estar correctamente identificado y documentado.

 Se debe contar con todas las rdenes de compra y facturas con el fin
de contar con el respaldo de las garantas ofrecidas por los fabricantes.
El acceso a los componentes del hardware est restringido a la directo
a las personas que lo utilizan.
Se debe contar con un plan de mantenimiento y registro de fechas,
problemas, soluciones y prximo mantenimiento propuesto.

Objetivo N 2: Poltica de acceso a equipos.

Cada usuario deber contar con su nombre de usuario y contrasea

para acceder a los equipos.
Las claves debern ser seguras (mnimo 8 caracteres, alfanumricos
y alternando maysculas y minsculas).
Los usuarios se desbloquearn despus de 5 minutos sin actividad.
Los nuevos usuarios debern ser autorizados mediante contratos de
confidencialidad y deben mantenerse luego de finalizada la relacin
laboral.
Uso restringido de medios removibles (USB, CD-ROM, discos externos
etc.)

1. 5. Pruebas a realizar.

Son los procedimientos que se llevaran a cabo a fin de verificar el

cumplimiento de los objetivos establecidos. Entre ellas podemos
mencionar las siguientes tcnicas:

Tomar 10 mquinas al azar y evaluar la dificultad de acceso a las

mismas.
Intentar sacar datos con un dispositivo externo.
Facilidad para desarmar una pc.
Facilidad de accesos a informacin de confidencialidad (usuarios y
claves).
Verificacin de contratos.

Comprobar que luego de 5 minutos de inactividad los usuarios se

desbloqueen.
 CUESTIONARIO PARA HARDWARE
AULA DE INFORMTICA EDIFICIO DE LABORATORIOS
Cuestionario de Control
Dominio Adquisicin e Implementacin
Pregunta Si No OBSERVACIONES
Se cuenta con un inventario de equipos de X
cmputo?
Si existe inventario contiene los siguientes
tems?
Nmero del computador X
Fecha X
Ubicacin X
Responsable X
Caractersticas(memoria, procesador, X
monitor, disco duro) X
Se lleva una hoja de vida por equipo X
La hoja de vida del equipo tiene los datos?
Numero de hoja de vida X
Nmero del computador correspondiente X
Falla reportada X
Diagnstico del encargado X
Solucin que se le dio X
Se posee un registro de fallas detectadas X
en los equipos?
En el registro de fallas se tiene en cuenta
con los siguientes datos?
Fecha X
Hora X
Nmero de registro X
Nmero del computador X
Encargado X
Al momento de presentar una falla en el
equipo, la atencin que se presta es?
Inmediata
De una a 24 horas
De un da a 5 das
Ms de 5 das X
Se cuenta con servicio de mantenimiento X Semestral
para todos los equipos?
Qu tipo de mantenimiento se lleva a
cabo?
Mantenimiento preventivo X
Mantenimiento correctivo
Profesores y/o estudiantes pueden instalar X
y desinstalar programas en el computador?
Al finalizar el horario de clase en dichas X
aulas, se hace una revisin de los equipos?
El personal que se encarga del X
mantenimiento es personal capacitado?
Se lleva un procedimiento para la X
adquisicin de nuevos equipos?
La infraestructura tecnolgica de los X
equipos soporta la instalacin de diferentes
sistemas operativos?
Son compatibles software y hardware? X

AULA DE INFORMTICA EDIFICIO DE R/PT

LABORATORIOS
Lista de chequeo LC3
Dominio Entrega de Servicios y Soportes
Proceso DS12: Administracin de Instalaciones.
Objetivo de Visitantes
Control
Cuestionario
Pregunta SI NO N/A
Las instalaciones (aulas, cubculos y oficinas) X
fueron diseadas o adaptadas especficamente para
funcionar como un centro de cmputo?
Se tiene una distribucin del espacio adecuada, de X
forma tal que facilite el trabajo y no existan
distracciones?
Existe suficiente espacio dentro de las instalaciones X
de forma que permita una circulacin fluida?
Existen lugares de acceso restringido? X
Se cuenta con sistemas de seguridad para impedir X
el paso a lugares de acceso restringido?
Se cuenta con sistemas de emergencia como son X
detectores de humo, alarmas, u otro tipo de
censores?
Existen sealizaciones adecuadas en las salidas de X
emergencia y se tienen establecidas rutas de
evacuacin?
Se tienen medios adecuados para extincin de X
fuego en el centro de cmputo?
Se cuenta con iluminacin adecuada y con X
iluminacin de emergencia en casos de
contingencia?
Se tienen sistemas de seguridad para evitar que se X
sustraiga equipo de las instalaciones?
Se tiene un lugar asignado para papelera y X
utensilios de trabajo?
Son funcionales los muebles instalados dentro del X
centro de cmputo: cintoteca, Discoteca, archiveros,
mesas de trabajo, etc.?
Existen prohibiciones para fumar, consumir X
alimentos y bebidas?
Se cuenta con suficientes carteles en lugares X
visibles que recuerdan estas prohibiciones?
Se limpian las instalaciones? X
Documentos probatorios presentados:
 LISTA DE CHEQUEO SALA DE INFORMTICA R/PT
Cuestionario de Control LC1
Dominio Adquisicin e Implementacin
Proceso AI3: Adquirir y mantener la arquitectura
tecnolgica
Objetivo de Evaluacin de Hardware
Control
Cuestionario
Pregunta SI NO N/A
Se cuenta con un inventario de todos los equipos X
que integran el centro de cmputo?
Se revisa el inventario? X
Se posee de bitcoras de fallas detectadas en los X
equipos?
Caractersticas de la bitcora (seale las opciones).
La bitcora es llenada por personal especializado? X
Seala fecha de deteccin de la falla? X
Seala fecha de correccin de la falla y revisin de X
que el equipo funcione correctamente?
Se poseen registros individuales de los equipos? X
La bitcora hace referencia a hojas de servicio, en
donde se detalla la falla, y las causas que la
originaron, as como las refacciones utilizadas?
Se lleva un control de los equipos en garanta, para X
que a la finalizacin de sta, se integren a algn
programa de mantenimiento?
Se cuenta con servicio de mantenimiento para X
todos los equipos?
Se cuenta con procedimientos definidos para la X
adquisicin de nuevos equipos?
Se tienen criterios de evaluacin para determinar el X
rendimiento de los equipos a adquirir y as elegir el
mejor?
AULA DE INFORMTICA EDIFICIO DE R/PT
LABORATORIOS
Lista de chequeo LC4
Dominio Entrega de Servicios y Soportes
Proceso Proteccin contra Factores Ambientales
Objetivo de Controles Ambientales
Control
Cuestionario
Pregunta SI NO N/A
El centro de cmputo tiene alguna seccin con X
sistema de refrigeracin?
Se revisan y calibran los controles ambientales? X
Se tiene contrato de mantenimiento para los X
equipos que proporcionan el control ambiental?
Se tienen instalados y se limpian regularmente los X
filtros de aire?
Se tiene plan de contingencia en caso de que fallen X
los controles ambientales?

AULA DE INFORMTICA EDIFICIO DE R/PT

LABORATORIOS
Lista de chequeo LC5
Dominio Entrega de Servicios y Soportes
Proceso DS12 Administracin de Instalaciones.
Objetivo de Suministro Ininterrumpido de Energa
Control
Cuestionario
Pregunta SI NO N/A
Se cuenta con instalacin con tierra fsica para X
todos los equipos?
La instalacin elctrica se realiz especficamente X
para el centro de cmputo?
Se cuenta con otra Instalacin dentro el centro de X
cmputo, diferente de la que alimenta a los equipos
de cmputo?
La acometida llega a un tablero de distribucin? X
El tablero de distribucin esta en la sala, visible y X
accesible?
El tablero considera espacio para futuras X
ampliaciones de hasta de un 30 % (Considerando
que se dispone de espacio fsico para la instalacin
de ms equipos)?
La Instalacin es independiente para el centro de X
cmputo?
La misma instalacin con tierra fsica se ocupa en X
otras partes del edificio?
La iluminacin est alimentada de la misma X
acometida que los equipos?
Se cuenta con interruptores generales? X
Se tienen protecciones contra corto circuito? X
Se tiene implementado algn tipo de equipo de X
energa auxiliar?
Se cuenta con Planta de emergencia?

AULA DE INFORMTICA EDIFICIO DE R/PT

LABORATORIOS
Cuestionario de Control LC6
Dominio Entrega de Servicios y Soportes
Proceso Proteccin contra Factores Ambientales
Objetivo de Seguridad Fsica
Control
Cuestionario
Pregunta SI NO N/A
Se tienen lugares de acceso restringido? X
Se poseen mecanismos de seguridad para el acceso X
a estos lugares?
A este mecanismo de seguridad se le han X
detectado debilidades?
Tiene medidas implementadas ante la falla del X
sistema de seguridad?
Se actualizan las claves o credenciales de acceso? X
Se tiene un registro de las personas que ingresan a X
las instalaciones?

EVALUACIN DE RIESGOS

N DESCRIPCIN PROBABILIDAD IMPACTO

BAJ MEDI ALTA LEVE MODE CATA
A A RADO STR
FICO
R No existe restricciones X X
1 para el acceso a
personal externo a los
equipos de cmputo
R Equipos con bajo X X
2 rendimiento para las
operaciones que se
deben desarrollar
R Dao en los equipos X X
3 por cadas en el fluido
elctrico
R Insatisfaccin por X X
4 parte de los usuarios
respecto al servicios
internet
R No se han levantado X X
5 hojas de vida de los
equipos existentes
R La seal de los X X
6 operadores de internet
presenta fallas por la
ubicacin de la
empresa
R Se presentan X X
7 problemas de conexin
 en la intranet y a
internet
R Se han presentado X X
8 hurtos y robo de
partes de los equipos
de cmputo
R No existen controles y X X
9 responsables de los
equipos de cmputo

HALLAZGOS

No existen normas y procedimientos que indiquen las tareas manuales e

informticas que son necesarias para realizar y recuperar la capacidad
de procesamiento ante una eventual contingencia (desperfectos de
equipos, incendios, cortes de energa con ms de una hora), y que
determinen los niveles de participacin y responsabilidades del rea de
sistemas y de los usuarios.

En las aulas de informtica no se lleva un registro de mantenimiento y

de cambios de hardware, el mantenimiento est sujeto a las directrices
de la rectora de acuerdo al presupuesto y el inventario no se actualiza
peridicamente cuando se han realizado cambios

Muchos cables de elctricos y de red sobre el piso que obstaculizan el

paso a los usuarios, Existen puntos elctricos de 220 voltios juntos a
tomas de 110 voltios sin identificacin adecuada, Cables de electricidad
sueltos sin identificacin, Canaletas plsticas sin proteccin, Cables de
red de datos areos sin proteccin

RECOMENDACIONES

Documentar y diferenciar en forma precisa los procesos, polticas

administrativas y procedimientos de la administracin de riesgos, la
seguridad de la informacin, la propiedad de datos y del sistema. Esto
es, separar completamente en diferentes responsables los procesos de
captura de lecturas, correcciones masivas sobre las tablas de la base de
datos, administracin de la base de datos, auditoria.
Asignar funciones de auditora a uno de los funcionarios que est en
capacidad de registrar los movimientos realizados por los sper usuarios
del sistema, pudiendo el mismo realizar auditoras y ejerciendo controles
adecuados sobre la seguridad del servidor e produccin y sobre la base
de datos.

SUGERENCIAS

Establecer un plan de contingencia escrito, en donde se establezcan los

procedimientos manuales e informticos para restablecer la operatoria
normal de la empresa y establecer los responsables de cada sistema.

Efectuar pruebas simuladas en forma peridica a efectos de monitorear

el desempeo de los funcionarios responsables ante eventuales
desastres.

Establecer convenios bilaterales con empresas o proveedores a los

efectos de asegurar los equipos necesarios para sustentar la continuidad
del procesamiento.

Establecer un plan de prevencin ante cualquier amenaza ya sea por

motivos naturales, operacionales o tecnolgicos para impedir o disminuir
los efectos que producen con motivo de las ocurrencias de calamidades.

Elaborar toda la documentacin tcnica correspondiente a los sistemas

implementados y establecer normas y procedimientos para los
desarrollos y su actualizacin.

Evaluar e implementar un software que permita mantener el resguardo

de acceso de los archivos de programas y an de los programadores.

Implementar y conservar todas las documentaciones de prueba de los

sistemas, como as tambin las modificaciones y aprobaciones de
programas realizadas por los usuarios.

irrisorio