Embed Size (px)
Citation preview
5/14/2018 Auditoria de Sistemas - slidepdf.com
http://slidepdf.com/reader/full/auditoria-de-sistemas-55a932115dfa9 1/12
http://www.virtual.unal.edu.co/cursos/sedes/manizales/4060035/html/contenido.html
Contenido
CAPITULO 1: CONCEPTOS GENERALES DE AUDITORIA DESISTEMAS Y CONTROL
Concepto
Objetivos
Diseño de Controles
CAPITULO 2: POLITICAS DE SEGURIDAD INFORMATICA
Resumen
Introducción Etapas en el Diseño e Implementación de una Política de Seguridad
Mercadeo del Proyecto
Inventario y Calificación
Determinar los Objetivos
Análisis de Amenazas Política de Seguridad Informática
Plan de Implementación
Plan de Auditoría y Retroalimentación
Conclusiones
CAPITULO 3: TECNICAS DE AUDITORIA ASISTIDAS POR COMPUTADOR TAACs
Normas Técnicas Manuales Técnicas de Auditoria Asistidas por Computador (TAACs)
Técnicas para analizar programas
Consideraciones para el uso de TAAC's
Documentación de las TAAC's
CAPITULO 4: AUDITORÍA A LA SEGURIDAD E INTEGRIDAD DE LA
INFORMACIÓN EN UN SISTEMA DE BASES DE DATOS
Componentes
Metodología tradicional
Metodología propuesta
CAPITULO 5: AUDITORÍA A SISTEMAS DE BODEGAS DE DATOS,DATA WAREHOUSE
5/14/2018 Auditoria de Sistemas - slidepdf.com
http://slidepdf.com/reader/full/auditoria-de-sistemas-55a932115dfa9 2/12
Data Warehouse Componentes de un Data Warehouse
CAPITULO 6 : AUDITORÍA A SISTEMAS OPERATIVOS
Metodología Propuesta
Investigación Preliminar
Identificación y Agrupación de Riesgos
Ejemplo de Aplicación de la Metodología
Evaluación de la Seguridad en la Empresa objeto de la Auditoría
Diseño de Pruebas de Auditoría Ejecutar Pruebas de Auditoría
Análisis del Efecto de las debilidades de Seguridad
Diseño de Controles Elaboración de Informe de Auditoría Seguimiento
CAPITULO 7 : AUDITORIA A REDES DE COMPUTADORES
Objeto de Estudio
CAPITULO 8 : AUDITORIA A SISTEMAS EN AMBIENTES INTERNET
Introducción Componentes en Ambientes Internet
Riesgos asociados a estos ambientes
Vulnerabilidades de Seguridad en Internet más Criticas
Posibles Infractores Ataques
Herramientas Usadas Evaluación de Seguridad
BIBLIOGRAFIA
5/14/2018 Auditoria de Sistemas - slidepdf.com
http://slidepdf.com/reader/full/auditoria-de-sistemas-55a932115dfa9 3/12
CAPITULO 6 : AUDITORÍA A SISTEMAS OPERATIVOS
Auditoría a Sistemas Operativos
El tópico de sistemas operativos será el considerado en este capítulo, tiene especialinterés pues los sistemas operativos generan el ambiente de trabajo y la administraciónde los recursos en cualquier sistema de cómputo y se hace relevante como objeto de
estudio y punto de partida para abordar las demás áreas ya mencionadas. En este caso sebusca desarrollar una metodología general que permita auditar diversos sistemasoperativos, pero que pueda ser aplicada a un sistema operativo específico como Unix,Linux, Windows, Solaris, Netware, etc.
Metodología propuesta
A continuación se proponen y describen las principales etapas que se deben seguir almomento de auditar un sistema operativo.
A. Investigación PreliminarB. Identificación y Agrupación de RiesgosC. Evaluación de la Seguridad en la empresa objeto de la AuditoríaD. Diseño de Pruebas de AuditoríaE. Ejecutar Pruebas de AuditoríaF. Análisis del Efecto de las debilidades de Seguridad
G. Diseño de ControlesH. Elaboración de Informe de AuditoríaI. Seguimiento
A. Investigación Preliminar
Objetivos - Determinar los recursos de cómputo de la empresa y la estructura organizacional deesta.- Evaluar la importancia del sistema de información para los procesos de negocio objetode la auditoria y el soporte que los recursos de cómputo dan a estos.
- Conocer de manera global el sistema operativo sobre el cual se llevara a cabo laauditoria, identificando los elementos que apoyan la seguridad y administración.
Consideraciones
a. Conocimiento global de la empresa en cuanto a:
Área de Tecnología de la Información (Área de sistemas)Estructura organizacional y personalPlataforma de hardware
Sistemas operativosSistemas de redes y comunicaciones
b. Conocimiento global del sistema operativo, evaluando las herramientas queproporciona como apoyo a la seguridad y a la administración.
Herramientas o Mecanismos para la realización de la Investigación Preliminar
- Entrevistas previas con el cliente (persona que solicita la realización de la auditoria).- Inspección de las instalaciones donde se llevará a cabo la auditoria y observación deoperaciones.
- Investigación e indagación con el personal involucrado en el proyecto de auditoría y losfuncionarios que administran y operan los sistemas a evaluar.
- Revisión de documentación proporcionada por la empresa.- Revisión de informes de auditorías anteriores, si se han realizado.- Estudio y evaluación del sistema de control interno.
5/14/2018 Auditoria de Sistemas - slidepdf.com
http://slidepdf.com/reader/full/auditoria-de-sistemas-55a932115dfa9 4/12
Documentos a solicitar para la Investigación Preliminar
- Listado de aplicaciones en producción y directorio de datos.- Listado de empleados activos y despedidos en el último trimestre.- Documento de autorización a cada usuario del sistema y aprobación de derechos yprivilegios.
- Listados de monitoreo del sistema.- Listado de utilidades importantes, con los usuarios y grupos que las acceden.
- Políticas de seguridad corporativa.- Documento de configuración inicial del sistema operativo y las autorizaciones para suactualización o cambio.- Documento de definición de los roles en la administración del sistema y la seguridad.- Planes de capacitación y entrenamiento.- Contratos con entes externos relacionados con Tecnologías de la Información.- Informes de auditoría previos.
5/14/2018 Auditoria de Sistemas - slidepdf.com
http://slidepdf.com/reader/full/auditoria-de-sistemas-55a932115dfa9 5/12
B. Identificación y Agrupación de Riesgos
Objetivo Identificar y clasificar los riesgos a los que está expuesto el sistema operativo objeto de la
auditoria, ya sean propios o generados por entidades externas (personas, procedimientos,bases de datos, redes, etc.) que interactúan con el sistema.
Para realizar este análisis se pueden utilizar varios métodos, entre los cuales se proponen:
1. Escenarios de Riesgos
Los pasos a seguir con este método son los siguientes:
- Determinar el sistema a evaluar- Definir escenarios de riesgo (E-R). Se entiende por escenario de riesgo un punto oactividad claramente ubicado dentro del sistema objeto de estudio.
- Para cada E-R se determinan actividades sujetas a control (A.S.C). Seentiende por A.S.C., actividades que se realizan en un E-R concreto.
- Para cada A.S.C se encuentran las amenazas a que está expuesta(situación de riesgo S-R).- Se califican estas amenazas.- Para cada amenaza se proponen controles que minimicen estos riesgos y se califican deacuerdo a su actuación
2. Grupos de Riesgos
Los pasos a seguir con este método son los siguientes:- Identificar los grupos de riesgo. Se busca agrupar la amenazas de acuerdo aoperaciones o temática similares, a criterio del auditor.- Plantear la justificación para cada grupo de riesgo identificado.
- Determinar los objetivos para cada grupo de riesgo. En los objetivos se planteanaquellos aspectos que se quieren evaluar dentro del grupo de riesgo.
- Se diseñan instrumentos que permitan evaluar los aspectos planteados en los objetivos.- Se identifican las principales amenazas a las que está expuesto el sistema operativo.
Para su estudio se puede dividir los diferentes tópicos a abordar en la investigación deauditoría:Instalación y Configuración Inicial
Aspectos generales a considerar
- Políticas y estándares para el proceso de instalación y configuración inicial.
- Configuración de servicios (correo, FTP, WWW, DNS). Elección, instalación y activación.- Configuración de parámetros de seguridad.
- Sistemas de archivos.- Realización y configuración de particiones.- Instalaciones por defecto.
- Software instalado (Paquetes)
Seguridad Física
Aspectos generales a considerar
5/14/2018 Auditoria de Sistemas - slidepdf.com
http://slidepdf.com/reader/full/auditoria-de-sistemas-55a932115dfa9 6/12
- Acceso del personal al centro de informática y salas de servidores.- Señalización.- Instalaciones eléctricas.- Estado UPS- Almacenamiento de cintas, discos y documentación- Entorno (temperatura, humedad, ventilación).
- Ubicación de equipos.- Aseo.
Seguridad Lógica
Aspectos generales a considerar
- Mecanismos de control de acceso a objetos del sistema.- Archivos con permisos especiales.- Mecanismos de identificación y autenticación.
- Administración de usuarios y grupos (Creación, modificación, bloqueo y eliminación)- Administración de cuentas. (Creación, modificación, bloqueo y eliminación)- Perfiles de usuario y grupos.- Manejo de usuarios especiales.- Manejo de cuentas especiales. (Cuentas sin contraseña, cuentas predeterminadas,cuentas de invitados, Cuentas de acceso de comandos, cuentas de grupo).- Proceso de logon/logoff
- Proceso de arranque del sistema.- Cifrado de datos- Acceso remoto.
Documentación del Sistema
Aspectos generales a considerar
- Políticas y estándares de los procesos relacionados con el sistema operativo.- Políticas de seguridad de la organización.- Manuales del sistema operativo.- Manuales de procedimientos.- Manuales de usuario.- Manuales de funciones.- Documentación de la instalación y configuración inicial.
- Pólizas de seguros.
Mantenimiento y soporte
Aspectos generales a considerar
- Soporte del proveedor.- Utilitarios para realización de tareas de mantenimiento.
- Planes de mantenimiento lógico y físico.- Contratación de mantenimiento y soporte externo.
- Actualizaciones realizadas Hardware.- Actualizaciones realizadas (parches, nuevas versiones).
Aspectos administrativos
Aspectos generales a considerar
5/14/2018 Auditoria de Sistemas - slidepdf.com
http://slidepdf.com/reader/full/auditoria-de-sistemas-55a932115dfa9 7/12
- Estructura organizacional.- Definición y correspondencia de roles y funciones.- Segregación de funciones- Selección y contratación de personal- Capacitación y entrenamiento- Ambiente laboral.
Monitoreo y Auditoría
Aspectos generales a considerar
- Evaluación de la función de auditoría interna si existe o externa.- Procedimientos de auditoría realizados con relación al sistema operativo.
- Existencia y utilización de herramientas de monitoreo y auditoría.- Procedimientos de monitoreo y ajuste (Tunning)- Reportes de análisis de logs del sistema (instalación, operaciones).- Logs- Reportes de monitoreo y auditoría.
- Software de auditoría.
Planes de contingencia (Planes de respaldo y recuperación)
Aspectos generales a considerar
- Existencia de un plan de contingencia.- Conocimiento y divulgación del plan de contingencias.- Pruebas y ajustes al plan de contingencias.- Planes de respaldo (a nivel de personal, software y hardware) y recuperación.
- Elaboración y gestión de copias de seguridad (Backups)
Administración e implementación de la seguridad
Aspectos generales a considerar
- Función encargada de la administración de la seguridad.- Roles y responsabilidades.- Políticas y estándares.- Entrenamiento y capacitación en seguridad.- Personal Asesor- Procedimientos de administración de la seguridad.- Almacenamiento (Almacenamiento y Filesystem).
- Documentación.
Servicios que soporta el sistema operativo (aplicaciones, web, correo, proxy, DNS,Base de datos)
Aspectos generales a considerar
En este sentido es muy importante tener un grupo de riesgos asociados con los serviciosque el sistema operativo evaluado este soportando y la criticidad e importancia que
representen para la organización, pues estos pueden ser una puerta de entrada al sistema.Los aspectos a considerar están estrechamente relacionados con el servicio específico y
sería bastante extenso enumerar en este punto los aspectos a considerar, los cualesquedan a criterio del auditor de acuerdo al previo que se ha dado hasta aquí.
5/14/2018 Auditoria de Sistemas - slidepdf.com
http://slidepdf.com/reader/full/auditoria-de-sistemas-55a932115dfa9 8/12
Ejemplo de Aplicación de la Metodología
A continuación se plantea un ejemplo completo de la aplicación de las herramientas
anteriormente descritas.
GRUPOS DE RIESGO
Nombre del grupo de riesgo: INSTALACIÓN Y CONFIGURACIÓN INICIAL Justificación: Durante el proceso de instalación y configuración del sistema operativo sedefinen los parámetros que guiaran el funcionamiento y rendimiento de este, dicho procesodebe realizarse cuidadosamente y se debe garantizar que la configuración final cumpla conlos requisitos funcionales y de seguridad del o los sistemas informáticos que soporta.Objetivos:
- Verificar la existencia de políticas y estándares para la instalación y configuración delsistema operativo y evaluarlas.
- Evaluar el número de particiones que se realizaron durante el proceso de instalación y eltamaño y distribución de estas.
- Verificar los servicios instalados, cuales se encuentran activos y cuales arrancanautomáticamente.- Evaluar la configuración de opciones de montaje para los diferentes sistemas de archivos.- Evaluar que paquetes se encuentran instalados en el sistema operativo.- Verificar y evaluar los parámetros de seguridad configurados.- Evaluar si se ha realizado instalación por defecto.
Cuestionario de Control (Instrumento de evaluación)
5/14/2018 Auditoria de Sistemas - slidepdf.com
http://slidepdf.com/reader/full/auditoria-de-sistemas-55a932115dfa9 9/12
ESCENARIOS DE RIESGO
5/14/2018 Auditoria de Sistemas - slidepdf.com
http://slidepdf.com/reader/full/auditoria-de-sistemas-55a932115dfa9 10/12
C. Evaluación de la Seguridad en la empresa objeto de la Auditoría
Objetivos
Determinar si los controles existentes protegen apropiadamente la empresa contra losriesgos identificados.
En este sentido cuatro métodos pueden combinarse:Análisis de riesgosFlujogramas de controlCuestionarios de controlMatrices de control
5/14/2018 Auditoria de Sistemas - slidepdf.com
http://slidepdf.com/reader/full/auditoria-de-sistemas-55a932115dfa9 11/12
D. Diseño de Pruebas de Auditoria
Objetivo
Definir Los procedimientos de Auditoria que permitan recolectar la evidencia que apoye loshallazgos y recomendaciones.
Consideraciones Una vez realizados los pasos anteriores en este punto se tienen las bases para diseñar laspruebas de auditoría que se han de efectuar.
Este es un trabajo de escritorio donde se determina en términos generales: el objetivo dela prueba, se describe brevemente (procedimientos a emplear), tipo de la prueba, técnicas
a utilizar, recursos requeridos en cuanto a información, hardware, software y personal.
Tipos de pruebas
Pruebas de cumplimiento: Busca determinar si existe el control para el riesgoidentificado.Pruebas sustantivas: Busca conocer la forma en que esta implementado el control, encaso de que este exista.
Técnicas comúnmente usadas para el Diseño y Ejecución de Pruebas de Auditoría
- Observación- Indagación- Conciliación (cruce de información con persona o documentos)- Inspección- Investigación analítica: Evaluar tendencias
- Confirmación- TAAC'S: Técnicas de Auditoria Asistidas por Computador.
E. Ejecutar Pruebas de Auditoría
Objetivo Obtener evidencia sobre los controles establecidos, su utilización, y el entendimiento yejecución de los mismos por parte de las personas.
Consideraciones
Se ejecutan las pruebas de auditoría diseñadas en el anterior paso, adjuntándose paracada prueba ejecutada los soportes correspondientes.
F. Análisis del Efecto de las debilidades de Seguridad
Consiste en dos pasos:- Identificar las debilidades- Determinar el impacto más probable que tendrá cada debilidad.
G. Diseño de Controles
Este tema fue tratado en capitulo anterior.
H. Elaboración de Informe de Auditoría
Objetivos
5/14/2018 Auditoria de Sistemas - slidepdf.com
http://slidepdf.com/reader/full/auditoria-de-sistemas-55a932115dfa9 12/12
- Comunicar a las personas o entes involucrados en la organización con los sistemas losresultados de la auditoria, para que ellos hagan la gestión necesaria para implementarlos controles que cubran aquellas situaciones de riesgo de mayor relevancia, ymantengan y optimicen los que funcionan eficientemente.- Servir de apoyo en la toma de decisiones, gracias a la información que proveen.- Hacer parte de la documentación para futuras auditorías.
Consideraciones
- Por ser información que de cierta manera puede afectar la imagen de la empresa si salea la luz pública, debe ser de carácter confidencial.- La elaboración del informe debe ser cuidadosa e en cuanto a la información quecontiene, no debe dar lugar a ambigüedades, y los hallazgos y recomendaciones debenser claramente descritos.- El informe debe estar documentado: información provista por la empresa yprincipalmente las pruebas de auditoría; Pues esto es el sustento de los hallazgos,
conclusiones y recomendaciones.
I. Seguimiento
Objetivo La empresa debe tomar las recomendaciones consignadas en los informes de auditoría ydar inicio a un proceso de implementación de mejoras basado en dichas recomendaciones.
Consideraciones
- El implementar nuevos controles y tener en cuenta las recomendaciones generadas por la
auditoria es responsabilidad de la empresa que contrató la auditoria.- El auditor puede participar en el nuevo proceso aportando su conocimiento y experiencia,pero bajo otros términos contractuales.
En que consiste el Seguimiento
Esta es la etapa final del proceso de auditoría, pero también es la etapa inicial de unproceso de retroalimentación que lleva a la mejora de los sistemas, el trabajo del auditorllega hasta la entrega de los respectivos informes, de aquí en adelante es decisión de la
empresa implementar las recomendaciones e involucrar al antes auditor en el nuevoproceso. Este es el punto neurálgico de la auditoria, ya que de nada vale hacer un estudio
minucioso si una empresa no está dispuesta a implementar las medidas o controlesrecomendados, por esta razón debe medirse el impacto costo - beneficio de lasrecomendaciones, ya que ninguna organización está dispuesta a pagar por la seguridad dealgo más de lo que este vale.
