sábado, 29 de octubre de 2011

Auditoría de la Seguridad informática


La computadora es un instrumento que estructura gran cantidadde información, la cual puede ser confidencial para individuos, empresas oinstituciones, y puede ser mal utilizada o divulgada a personas que hagan maluso de esta. 

También puede ocurrir robos, fraudes o sabotajes que provoquen ladestrucción total o parcial de la actividad computacional. Esta informaciónpuede ser de suma importancia, y el no tenerla en el momento preciso puedeprovocar retrasos sumamente costosos
.
En la actualidad y principalmente en las computadoraspersonales, se ha dado otro factor que hay que considerar: el llamado"virus" de las computadoras, el cual, aunque tiene diferentesintenciones, se encuentra principalmente para paquetes que son copiados sinautorización ("piratas") y borra toda la información que se tiene enun disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias"piratas" o bien que, al conectarnos en red con otras computadoras, noexista la posibilidad de transmisión del virus. El uso inadecuado de lacomputadora comienza desde la utilización de tiempo de máquina para usosajenos de la organización, la copia de programas para fines de comercializaciónsin reportar los derechos de autor hasta el acceso por vía telefónica a basesde datos a fin de modificar la información con propósitos fraudulentos.
La seguridad en la informática abarca los conceptos deseguridad física y seguridad lógica. La seguridad física se refiere a laprotección del Hardware y de los soportes de datos, así como a la de losedificios e instalaciones que los albergan. Contempla las situaciones deincendios, sabotajes, robos, catástrofes naturales, etc.
La seguridad lógica se refiere a la seguridad de uso delsoftware, a la protección de los datos, procesos y programas, así como la delordenado y autorizado acceso de los usuarios a la información.

Un método eficaz para proteger sistemas de computación esel software de control de acceso. 

Dicho simplemente, los paquetes de control deacceso protegen contra el acceso no autorizado, pues piden del usuario unacontraseña antes de permitirle el acceso a información confidencial. Dichospaquetes han sido populares desde hace muchos años en el mundo de lascomputadoras grandes, y los principales proveedores ponen a disposición declientes algunos de estos paquetes.

Ejemplo: Existe una Aplicación de Seguridad que se llamaSEOS, para Unix, que lo que hace es auditar el nivel de Seguridad en todos losservidores, como ser: accesos a archivos, accesos a directorios, que usuario lohizo, si tenía o no tenía permiso, si no tenía permiso porque falló, entradade usuarios a cada uno de los servidores, fecha y hora, accesos con passwordequivocada, cambios de password, etc. La Aplicación lo puede graficar, tirar ennúmeros, puede hacer reportes, etc.

La seguridad informática se la puede dividir como AreaGeneral y como Area Especifica (seguridad de Explotación, seguridad de lasAplicaciones, etc.). Así, se podrán efectuar auditorías de la SeguridadGlobal de una Instalación Informática –Seguridad General- y auditorías dela Seguridad de un área informática determinada – Seguridad Especifica -.
Con el incremento de agresiones a instalaciones informáticasen los últimos años, se han ido originando acciones para mejorar la SeguridadInformática a nivel físico. Los accesos y conexiones indebidos a través delas Redes de Comunicaciones, han acelerado el desarrollo de productos deSeguridad lógica y la utilización de sofisticados medios criptograficos.


El sistema integral de seguridad debe comprender:
·                Elementos administrativosDefinición de una política de seguridad
·                Organización y división de responsabilidades
·                Seguridad física y contra catástrofes(incendio, terremotos, etc.)
·                Prácticas de seguridad del personal
·                Elementos técnicos y procedimientos
·                Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales.
·                Aplicación de los sistemas de seguridad, incluyendo datos y archivos
·                El papel de los auditores, tanto internos como externos
·                Planeación de programas de desastre y su prueba.
La decisión de abordar una Auditoría Informática deSeguridad Global en una empresa, se fundamenta en el estudio cuidadoso de losriesgos potenciales a los que está sometida. 

Se elaboran "matrices deriesgo", en donde se consideran los factores de las "Amenazas" alas que está sometida una instalación y los "Impactos" que aquellaspuedan causar cuando se presentan.

 Las matrices de riesgo se representan encuadros de doble entrada <<Amenaza-Impacto>>, en donde se evalúanlas probabilidades de ocurrencia de los elementos de la matriz.
Ejemplo:

ImpactoAmenaza1: Improbable
2: Probable
3: Certeza
-: Despreciable
ErrorIncendioSabotaje……..
Destrucción
de Hardware		-11

Borrado de
Información		311



El cuadro muestra que si por error codificamos un parámetro que ordene el borrado de un fichero, éste se borrará con certeza.
Publicado por en No hay comentarios:

Auditoria Informática de Comunicaciones y Redes

Para el informático y para el auditor informático, elentramado conceptual que constituyen las Redes Nodales, Líneas, Concentradores,Multiplexores, Redes Locales, etc. no son sino el soporte físico-lógico delTiempo Real. El auditor tropieza con la dificultad técnica del entorno, pues hade analizar situaciones y hechos alejados entre sí, y está condicionado a laparticipación del monopolio telefónico que presta el soporte.

 Como en otroscasos, la auditoría de este sector requiere un equipo de especialis-tas,expertos simultáneamente en Comunicaciones y en Redes Locales (no hay queolvidarse que en entornos geográficos reducidos, algunas empresas optan por eluso interno de Redes Locales, diseñadas y cableadas con recursos propios).

El auditor de Comunicaciones deberá inquirir sobre los índicesde utilización de las líneas contratadas con información abundante sobretiempos de desuso. Deberá proveerse de la topología de la Red deComunicaciones, actualizada, ya que la desactualizacion de esta documentaciónsignificaría una grave debilidad.

 La inexistencia de datos sobre la cuantas líneasexisten, cómo son y donde están instaladas, supondría que se bordea laInoperatividad Informática.

 Sin embargo, las debilidades más frecuentes oimportantes se encuentran en las disfunciones organizativas. 

La contratación einstalación de líneas va asociada a la instalación de los Puestos de Trabajocorrespondientes (Pantallas, Servidores de Redes Locales, Computadoras contarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades debenestar muy coordinadas y a ser posible, dependientes de una sola organización.
Publicado por en No hay comentarios:

Auditoria Informática de Sistemas


Se ocupa de analizar la actividad que se conoce como Técnicade Sistemas en todas sus facetas. Hoy, la importancia creciente de lastelecomunicaciones ha propiciado que las Comunicaciones, Líneas y Redes de lasinstalaciones informáticas, se auditen por separado, aunque formen parte delentorno general de Sistemas.
Sistemas Operativos:
Engloba los Subsistemas de Teleproceso, Entrada/Salída, etc.Debe verificarse en primer lugar que los Sistemas están actualizados con las últimasversiones del fabricante, indagando las causas de las omisiones si las hubiera.El análisis de las versiones de los Sistemas Operativos permite descubrir lasposibles incompatibilidades entre otros productos de Software Básico adquiridospor la instalación y determinadas versiones de aquellas. Deben revisarse losparámetros variables de las Librerías más importantes de los Sistemas, por sidifieren de los valores habituales aconsejados por el constructor.
Software Básico:
Es fundamental para el auditor conocer los productos desoftware básico que han sido facturados aparte de la propia computadora. Esto,por razones económicas y por razones de comprobación de que la computadorapodría funcionar sin el producto adquirido por el cliente. En cuanto alSoftware desarrollado por el personal informático de la empresa, el auditordebe verificar que éste no agreda ni condiciona al Sistema. Igualmente, debeconsiderar el esfuerzo realizado en términos de costes, por si hubieraalternativas más económicas.
Software de Teleproceso (Tiempo Real):
No se incluye en Software Básico por su especialidad eimportancia. Las consideraciones anteriores son válidas para éste también.
Tunning:

Objetivos:

1. Participación en el desarrollo de nuevos sistemas:


• evaluación de controles

• cumplimiento de la metodología.

2. Evaluación de la seguridad en el área informática.

3. Evaluación de suficiencia en los planes de contingencia.

• respaldos, preveer qué va a pasar si se presentan fallas.

4. Opinión de la utilización de los recursos informáticos.

• resguardo y protección de activos.

5. Control de modificación a las aplicaciones existentes.

• fraudes

• control a las modificaciones de los programas.

6. Participación en la negociación de contratos con los proveedores.

7. Revisión de la utilización del sistema operativo y los programas

• utilitarios.

• control sobre la utilización de los sistemas operativos

• programas utilitarios.



8. Auditoría de la base de datos.

• estructura sobre la cual se desarrollan las aplicaciones...

9. Auditoría de la red de teleprocesos.

10. Desarrollo de software de auditoría.

Es el objetivo final de una auditoría de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.
Publicado por en No hay comentarios:

Auditoria Informática de Desarrollo de Proyectos

La función de Desarrollo es una evolución del llamado Análisis y Programación de Sistemas y Aplicaciones. A su vez, engloba muchas áreas, tantas como sectores informatizables tiene la empresa. Muy escuetamente, una Aplicación recorre las siguientes fases:
  • · Prerequisitos del Usuario (único o plural) y del entorno 
  • · Análisis funcional 
  • · Diseño 
  • · Análisis orgánico (Preprogramación y Programación) 
  • · Pruebas 
  • · Entrega a Explotación y alta para el Proceso.

Estas fases deben estar sometidas a un exigente control interno, caso contrario, además del disparo de los costes, podrá producirse la insatisfacción del usuario.
Finalmente, la auditoría deberá comprobar la seguridad de los programas en el sentido de garantizar que los ejecutados por la maquina sean exactamente los previstos y no otros.
Una auditoría de Aplicaciones pasa indefectiblemente por la observación y el análisis de cuatro consideraciones:
1. Revisión de las metodologías utilizadas: Se analizaran éstas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de las mismas.
2. Control Interno de las Aplicaciones: se deberán revisar las mismas fases que presuntamente han debido seguir el área correspondiente de Desarrollo:
· Estudio de Vialidad de la Aplicación. [importante para Aplicaciones largas, complejas y caras]
· Definición Lógica de la Aplicación. [se analizará que se han observado los postulados lógicos de actuación, en función de la metodología elegida y la finalidad que persigue el proyecto]
· Desarrollo Técnico de la Aplicación. [Se verificará que éste es ordenado y correcto. Las herramientas técnicas utilizadas en los diversos programas deberán ser compatibles]
· Diseño de Programas. [deberán poseer la máxima sencillez, modularidad y economía de recursos]
· Métodos de Pruebas. [ Se realizarán de acuerdo a las Normas de la Instalación. Se utilizarán juegos de ensayo de datos, sin que sea permisible el uso de datos reales]
· Documentación. [cumplirá la Normativa establecida en la Instalación, tanto la de Desarrollo como la de entrega de Aplicaciones a Explotación]
· Equipo de Programación. [Deben fijarse las tareas de análisis puro, de programación y las intermedias. En Aplicaciones complejas se producirían variaciones en la composición del grupo, pero estos deberán estar previstos]

Es aconsejable que las Empresas cuenten con un Departamento QA (Quality Assurance – Aseguramiento de la Calidad) que tendría la función de controlar que el producto que llegue al usuario sea el correcto en cuanto a funcionamiento y prestaciones, antes del U.A.T.
Publicado por en No hay comentarios:

Auditoria Informática de Explotación

Definimos la Explotación Informática se ocupa de producir resultados informáticas de todo tipo: listados impresos, archivos soportados magnéticamente para otros informáticos, órdenes automatizadas para lanzar o modificar procesos industriales, etc.
Para realizar la Explotación informática se dispone de una materia prima, los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad.
La transformación se realiza por medio del Proceso Informático, el cual está dirigido por programas. Obtenido el producto final, los resultados son sometidos nuevamente a uno o varios controles de calidad, y finalmente son distribuídos al cliente, al usuario. En ocasiones, el propio cliente realiza funciones de reelaboración del producto terminado.
Para mantener el criterio finalista y utilitario, el concepto de centro productivo ayuda a la elaboración de la auditoría de la Explotación. Auditar Explotación consiste en auditar las secciones que la componen y sus interrelaciones.
Las Básicas son la planificación de la producción y la producción misma de resultados informáticos. El auditor informático debe tener muy en cuenta que toda la organización informática está superditada a la obtención de resultados en plazo y calidad, siendo subsidiario a corto plazo cualquier otro objetivo.
Se quiere insistir nuevamente en que la Operatividad es prioritaria, al igual que el plan crítico diario de producción que debe ser protegido a toda costa.

Publicado por en No hay comentarios:

Tipos y Clases de Auditoria

El departamento de Informática posee una actividad proyectada al exterior, al usuario,

aunque el "exterior" siga siendo la misma empresa. He aquí, la Auditoria Informática de

Usuario. Se hace esta distinción para contraponerla a la informática interna, en donde se

hace la informática cotidiana y real. En consecuencia, existe una Auditoria Informática

de Actividades Internas.

El control del funcionamiento del departamento de informática con el exterior, con el

usuario se realiza por medio de la Dirección. Su figura es importante, en tanto en cuanto

es capaz de interpretar las necesidades de la Compañía. Una informática eficiente y

eficaz requiere el apoyo continuado de su Dirección frente al "exterior". Revisar estas

interrelaciones constituye el objeto de la Auditoria Informática de Dirección. Estas tres

Auditorias, mas la Auditoria de Seguridad, son las cuatro Areas Generales de la

Auditoria Informática más importantes.

Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoria

Informática: 

  • de Explotación, 
  • de Desarrollo de Proyectos,
  • de Sistemas, 
  • de Comunicaciones y Redes,
  • de Seguridad Informática.

Publicado por en No hay comentarios:

Alcance de la Auditoria Informática


Introducción


La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.


Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.


Los objetivos de la auditoría Informática son:
  • El control de la función informática
  • El análisis de la eficiencia de los Sistemas Informáticos
  • La verificación del cumplimiento de la Normativa en este ámbito
  • La revisión de la eficaz gestión de los recursos informáticos.
La auditoría informática sirve para mejorar ciertas características en la empresa como:
  • Desempeño 
  • Fiabilidad 
  • Eficacia
  • Rentabilidad 
  • Seguridad 
  • Privacidad


    Generalmente se puede desarrollar en alguna o combinación de las siguientes areas:
  • Gobierno corporativo
  • Administración del Ciclo de vida de los sistemas
  • Servicios de Entrega y Soporte
  • Protección y Seguridad
  • Planes de continuidad y Recuperación de desastres
Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.

Alcance

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. 
Ejemplo: 
¿Se someterán los registros grabados a un control de integridad exhaustivo*? 
¿Se comprobará que los controles de validación de errores son adecuados y suficientes*?

 La indefinición de los alcances de la auditoría compromete el éxito de la misma.

*Control de integridad de registros: Hay Aplicaciones que comparten registros, son registros comunes.
 Si una Aplicación no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionaría como debería.
*Control de validación de errores: Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.






Los principales objetivos    que constituyen a la auditoría Informática son:
  • el control de la función informática,
  • el análisis de la eficacia del Sistema Informático,
  • la verificación de la implantación de la Normativa,
  • y la revisión de la gestión de los recursos informáticos.
Carcateristicas






  • Síntomas de descoordinación y desorganización:


- No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.
[Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante]
  • Síntomas de mala imagen e insatisfacción de los usuarios:
- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.- No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.
  • Síntomas de debilidades económico-financiero:
- Incremento desmesurado de costes.- Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).- Desviaciones Presupuestarias significativas.
- Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).
  • Síntomas de Inseguridad: Evaluación de nivel de riesgos
- Seguridad Lógica- Seguridad Física - Confidencialidad[Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales]- Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales.
- Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.
Publicado por en No hay comentarios:
Etiquetas:
Suscribirse a: Entradas (Atom)