Colaborativo 2 Auditoria de Sistemas

Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas.

II - 2014

1

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

AUDITORÍA DE SISTEMAS

Trabajo Colaborativo 2

Presentado por:

ANDRÉS GUILLERMO AVELLANEDA B - Cód. 79.803.814

JORGE IVAN PINEDA SUAREZ - Cód.: 80.194.695

OSCAR JOSÉ RAMÍREZ CARDONA – Cód.: 79810115

CESAR EDUARDO NIÑO PINZON –Cód.: 79778519

Tutora

CARMEN ADRIANA AGUIRRE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

INGENIERIA DE SISTEMAS

Octubre de 2014


II - 2014

2

Contenido

INTRODUCCION ................................................................................................... 3

OBJETIVOS ........................................................................................................... 4

DESARROLLO DE LAS ACTIVIDADES ................................................................ 5

1. Identificar el origen de la auditoria. ..................................................................................5

2. Realizar una visita preliminar al área que será evaluada. .......................................5

3. Establecer los objetivos de la auditoria. ..........................................................................8

4. Determinar los puntos que serán evaluados en la auditoria. .................................8

5. Elaborar planes, programas y presupuestos para realizar la auditoria..............9

6. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoria. ..................................................................... 11

7. Asignar los recursos y sistemas computacionales para la auditoria ................ 14

CONCLUSIONES ................................................................................................ 15

BIBLIOGRAFIA .................................................................................................... 16


II - 2014

3

INTRODUCCION

Dentro de las etapas de la auditoría encontramos la de la planeación, la cual es una

fase fundamental en todo el proceso, gracias a una buena planeación

proyectaremos de mejor forma las actividades que debemos realizar, acercándonos

más fácil y de forma certera a las metas que como auditores nos proponemos.

El presente trabajo contiene el desarrollo del momento 1, el cual desarrolla varias

temáticas entre ellas la identificación y los objetivos de la auditoría a la empresa que

en el momento 1 se estudió.

Otros tópicos que abordaremos en el presente trabajo es la realización de los

planes, programas y presupuestos además de los métodos y herramientas

necesarios para realizar la autoría.


II - 2014

4

OBJETIVOS

Ejecutar la planeación de la auditoria de sistemas a la empresa en cuestión.

Mencionar los distintos tipos de auditoría que se pueden implementar en la

empresa.

Explicar las técnicas y desarrollo de la auditoria de seguridad informática en

la empresa seleccionada.

Generar los planes necesarios para su ejecución.


II - 2014

5

DESARROLLO DE LAS ACTIVIDADES

1. Identificar el origen de la auditoria.

En primera instancia debemos hacer diferencia entre la auditoria de sistemas

(busca detectar deficiencias en las organizaciones informáticas y los sistemas

que se desarrollan u operan en ellas para realizar acciones preventivas o

correctivas que eliminen fallos en los mismos) y la auditoria de seguridad

informática (analiza únicamente los procesos relacionados con la seguridad:

física, lógica o locativa siempre orientada a la protección de la información) para

poder iniciar de manera particular el examen de la empresa seleccionada.

Con esta información preliminar, la auditoría de sistemas en la empresa

Colombian Natural Resources (CNR) surge por la necesidad de validar la

seguridad de la red y sobre todo de la confidencialidad de la información, verificar

que los usuarios no puedan extraer información cuando estén conectados en

sitio, ni cuando lleven los equipos portátiles para trabajar fuera de las sedes de

la empresa, es parte de la preocupación de las directivas de la compañía

resguardar al máximo el activo más valioso de la empresa: la información.

2. Realizar una visita preliminar al área que será evaluada.

Al contar con tres sedes, se hace una visita en la cual se evidencia que los

centros de cómputo de las sedes cuentan con la seguridad adecuada para evitar

el ingreso de personal ajeno al departamento de TI, ya sea con sensores

biométricos como en la sede de mina, o con sensores de proximidad con tarjetas

de acceso con tecnología RFID configuradas únicamente con los usuarios del

departamento de TI.

Los centros de cómputo cuentan con equipos CISCO (Swiches, Routers,

Controladoras de red WiFi) además se cuenta con 3 servidores Dell Power Vault

NX300 con 4 discos de 2TB cada uno, los servidores se dividen así: servidor de

archivos, servidor de backup y antivirus y por último servidor de dominio y DHCP,

que se encuentran conectados entre a través de los SW Core de 48 puertos y

SW de 24 puertos, usando cables UTP certificados de categoría 6, cuentan con

dos UPS de 10 KVA una para los servidores y otra para los usuarios por medio


II - 2014

6

de la red regulada, lo cual brinda una autonomía de aproximadamente una hora

en caso de una falla eléctrica.

Centro de Cómputo Minas

Centro de Cómputo Minas

De otro lado están los usuarios de computadores de escritorio y portátiles, en

quienes nos centraremos para identificar de qué forma están extrayendo


II - 2014

7

información de la compañía, por lo que se procederá a revisar medios extraíbles

como USB, DVD y además sitios de transferencia de archivos online.

A todas las sedes llegan o se están implementando sistemas de comunicaciones

los cuales permitirán la transferencia de cualquier tipo de información.

La sede de Barranquilla cuenta con dos conexiones de internet la primera es la

conexión principal de 10 Mbps contratada con COLUMBUS NETWORK y la

segunda conexión alterna de 4 Mbps contratada por Media Commerce.

Como podemos ver como en esta imagen como está conectado el diagrama de

la red de la empresa:

Diagrama red de comunicaciones CNR


II - 2014

8

3. Establecer los objetivos de la auditoria.

Objetivo principal:

Reconocer y diagnosticar las fortalezas y amenazas en la seguridad de la

información en la empresa CNR

Objetivos específicos:

Conocer los tipos de permiso que usuarios tienen respecto a sus equipos y accesos.

Verificar las políticas de seguridad de la información impartidas a las distintas unidades organizacionales de la compañía.

Identificar los dueños de los recursos compartidos en los servidores y a quienes se les ha dado autorización de lectura y/o escritura en dicho recurso.

4. Determinar los puntos que serán evaluados en la auditoria.

La auditoría de seguridad informática plantea tres aspectos: evaluación, análisis

y generación de soluciones, de los cuales se cubren varios frentes:

Auditoria desde internet: Vulnerabilidades de los recursos informáticos

desde el sitio web de la empresa por parte de delincuentes informáticos.

Auditoria de la red interna (LAN): Vulnerabilidades identificables desde el

interior de la empresa.

Trabajo sobre los equipos: Por medio de programas especializados en la

detección de vulnerabilidades como: software espía, virus informáticos.

Además de un examen físico, lógico y locativo de los equipos de trabajo.

Entrevistas: Al personal sobre el conocimiento de las políticas de

seguridad físicas, lógicas y locativas y la implementación de las mismas

en la organización.


II - 2014

9

Evaluación de los equipos: Sea una estación de trabajo o un servidor se

deben tener en cuenta:

o Permisos de usuario

o Rendimiento de la maquina

o Carga al procesador

o Procesos presentes en los servicios

5. Elaborar planes, programas y presupuestos para realizar la auditoria.

La auditoría que se realizará en la empresa CNR estará apoyada en: Auditoria de la Seguridad Informática: Se implementara para ello Manual de la

Metodología Abierta de Testeo de Seguridad (OSSTMM), el cual cuanta con las

siguientes características:

Seguridad de la Información

Seguridad de los Procesos

Seguridad en las Tecnologías de Internet

Seguridad en las Comunicaciones

Seguridad Inalámbrica

Seguridad Física

Con estos aspectos se busca prevenir inconvenientes en los siguientes realizando

tareas como:

Búsqueda de Vulnerabilidades: Orientado principalmente a realizar

comprobaciones automáticas de un sistema o sistemas dentro de una red.

Escaneo de la Seguridad: Orientado a las búsquedas principales de

vulnerabilidades en el sistema que incluyen verificaciones manuales de

falsos positivos, identificación de los puntos débiles en el sistemas y análisis

individualizado.

Test de Intrusión: Se plantean test de pruebas que se centran en romper la

seguridad de un sistema determinado.


II - 2014

10

Evaluación de Riesgo: se refiere a los análisis de seguridad a través de

entrevistas e investigación de nivel medio que incluye la justificación

negocios, las justificaciones legales y las justificaciones específicas de la

industria.

Auditoria de Seguridad: Se refiere a la continua inspección que sufre el

sistema por parte de los administradores que controlan que se cumplan las

políticas de seguridad definidas.

Hacking Ético: Orientado a tratar de obtener, a partir de los test de intrusión,

objetivos complejos dentro de la red de sistemas.

Plan de Auditoria:

Empresa: Colombian Natural Resources (CNR)

PERÍODO: Del 14 de agosto al 30 de septiembre de 2014

AUDITORES: Andrés G. Avellaneda (Coordinador del Grupo de Auditores). Jorge Iván Pineda Suarez. Oscar J. Ramírez Cardona.

ÁREA AUDITADA: Sistema de cómputo.

ACTIVIDAD SEMANAS

Nº NOMBRE RESPONSABLE 1 2 3 4 5 6 7

1 Elaborar Plan de Auditoria Grupo Investigador

2 Aprobar Plan de Auditoria Asesor Especifico

3 Preparar Instrumentos Grupo Investigador

4 Iniciar Preparativos Grupo Investigador

5 Iniciar Auditoria Grupo Investigador

6 Auditar el Área Grupo Investigador

7 Presentar Borrador de Informe Grupo Investigador


II - 2014

11

Tabla Nº 1: Plan de auditoria

6. Identificar y seleccionar los métodos, herramientas, instrumentos y

procedimientos necesarios para la auditoria.

Elaborar la guía de la Auditoria

Logo y nombre

de la empresa

que realiza la

auditoria.

Nombre de la empresa y área de sistemas

auditada

Fecha Hoja

DD MM AA _de_

Nº ACTIVIDAD

QUE SERA

EVALUADA

PROCDIEMIENTOS DE

AUDITORIA

HERRAMIENTAS

QUE SERAN

UTILIZADAS

OBSERVACIONES

Tabla Nº 2: Guía de la Auditoria

Empresa: Colombian Natural Resources (CNR)

Fecha:

Área: Gestión Administrativa

8 Preparar Dictamen Grupo Investigador

9 Presentar Recomendaciones Grupo Investigador

Auditores de sistemas

Asociados

Empresa: Colombian Natural Resources

Área: Centro de servicios de automatización

Fecha Hoja

DD MM AA 1de2

28 09 2014

Nº ACTIVIDAD QUE

SERA EVALUADA

PROCDIEMIENTOS DE

AUDITORIA

HERRAMIENTAS QUE

SERAN UTILIZADAS OBSERVACIONES

1 Evaluar el centro de

cómputo de la

empresa

Solicitar los inventarios de

los equipos y verificar que

estén en orden y

actualizados.

Solicitar el reglamento del

área donde se realiza la

auditoria y además

verificar el cumplimiento.

Revisión documental y

observación


observación


II - 2014

12

2

Evaluar el adecuado

cumplimiento de las

funciones y

actividades del

personal del área

Revisar el manual de

funciones del personal del

área.


observación

3 Evaluación del

Hardware

Revisar las características

de funcionamiento,

periféricos y enlace a la

red

Revisar las

características de las

computadoras.

Llevar programa que

agilice la comprobación

de las características.

4 Evaluación del

Software

Rendimiento de máquina,

programas instalados,

carga de los procesos,

usuarios y permisos

Revisión documental

Pantallazos de los

procesos y

características

5 Revisión de las

instalaciones

Verificar :

- Instalación de Racks

- UPS

- Sistema antiincendios

- Aire acondicionado

- Autenticación de ingreso

Observación y

fotografías.

Llevar cámara digital.

6

Evaluar la

seguridad que

el acceso de

usuarios de la

red y la validez

de sus

atributos

Solicitar la asignación de

una terminal para entrar al

sistema y acceder

información, cambiar

datos, instrucciones y

programas, hasta donde lo

permite el sistema.

Ingresar al administrador y

cambiar privilegios,

atributos y contraseñas de

varios usuarios.

Entrar al sistema de red

sin ninguna autorización y

acceder a la información,

alterar base de datos o

cambios al sistema, hasta

donde permita el sistema.

Observación partitiva,

oculta.

Pruebas al sistema y a

la base de datos.

Experimentación a la

seguridad del sistema.


(electromagnética)

El sistema no debe

permitir ningún acceso.

Obtener respaldo previo

del sistema y los

movimientos previos a la

prueba.

Documentar los accesos

y cambios que se

realicen al sistema.

7 Evaluar la seguridad

de los niveles de

acceso de usuarios.

Entrar al sistema y dar de

alta a distintos accesos sin

tener autorización.

Solicitar a un usuario, sin

forzarle, que ingrese a un

nivel que no le

Observación

participativa y oculta.

Pruebas al sistema y

las bases de datos.

El sistema no debe de

permitir ningún acceso.

Obtener respaldo previo

del sistema y los

movimientos previos a la

prueba.


II - 2014

13

Tabla Nº 3: Guía de la auditoria respondida

Elaborar los documentos necesarios para la Auditoría

Diseño de la lista de verificación

Verificar la existencia de: SI NO Observaciones

Existencia del manual de puestos

Existencia, difusión y control de normas

Existencia de planes de contingencia

Existencia de plan de recuperación

Inventario de hardware

Inventario de software

Licencias de software

Bitácora de uso de software original

Control de movimientos del software (cargas, descargas, etc.)

Inventario de software instalado en cada maquina

Registro de cuáles y cuantas licencias están en uso

Control de impresiones

Bitácora de ingreso al área

Bitácora de solicitud de mantenimiento

Hoja de salida de equipo por mantenimiento

Lugar apropiado del servidor

Ambiente adecuado para los equipos

Aire acondicionado

Buena distribución de los cables de los equipos y de la red

Existencia de extintores dentro del área

Tabla Nº 4: Diseño de las lista de verificación

Lista de verificación hoja de salida de equipo por mantenimiento

Contenido SI No Observaciones

Fecha de retiro

Hora de retiro

Fecha estimada de devolucion

Detalles de las razones para retirar el equipo

corresponda y verifique el

sistema le permita la

operación.

Experimentación en la

seguridad del sistema.


(electromagnética)

Documentar los accesos

y cambios que se

realicen al sistema.


II - 2014

14

observaciones

Firma del coordinador

Nombre, documento de identidad, y firma de la persona que efectúa

el retiro del equipo.

Tabla Nº 5: Diseño de hoja de salida de quipo por mantenimiento

Lista de verificación para el hardware

Verificar los siguientes

aspectos Características

Monitor

Disco duro

Tarjeta de Red

Memoria RAM

Procesador

Unidad de CD-ROM

Quemador de CD

Puerto USB

Teclado

Mouse

Tabla Nº 6: diseño de lista de verificación de hardware

7. Asignar los recursos y sistemas computacionales para la auditoria

Los recursos que se van a asignar por parte de CNR para la realización auditoría

son:

Computador de escritorio ubicado en una de las sedes de la compañía para

verificar la seguridad de la red como un usuario dentro de la sede de la

compañía.

Usuario estándar del dominio con los permisos habituales de acceso a una

carpeta específica del servidor de datos.

Usuario estándar de correo de la compañía para verificación de la seguridad

de la plataforma de correo.

Computador portátil para verificar el comportamiento de los permisos de los

usuarios y las políticas aplicadas por medio del antivirus a los equipos dentro

y fuera de la red de la compañía, ya sea conectándose por una red pública o

mediante un acceso VPN.


II - 2014

15

CONCLUSIONES

Las auditorias informáticas se construyen mediante la recolección de información y

documentación de todo tipo. Los informes finales varían dependiendo de la

capacidad del auditor para analizar las situaciones de debilidad o fortaleza de los

diferentes medios. El trabajo del auditor es reunir toda la información necesaria para

emitir un juicio global objetivo, siempre apoyado en las evidencias comprobatorias

recolectadas a través del proceso.

El auditor debe estar entrenado para entender los mecanismos que se desarrollan

en un procesamiento informático. También debe estar preparado para enfrentar

sistemas computarizados en los cuales se encuentra la información necesaria para

auditar.

Toda empresa, pública o privada, que tenga un Sistema de Información

medianamente complejo, debe de someterse a un control estricto de evaluación de

eficacia y eficiencia. Hoy en día, la mayoría de las empresas tienen toda su

información estructurada en Sistemas Informáticos, de aquí, la vital importancia que

los sistemas de información funcionen correctamente. El éxito de la empresa

depende de la eficiencia de sus sistemas de información. Una empresa puede

contar con personal altamente capacitado, pero si tiene un sistema informático

propenso a errores, lento, frágil e inestable; la empresa nunca saldrá a adelante.

La auditoría de sistemas en sistemas de información se constituye como un pilar en

cuanto a tener protegidos los datos vitales de una empresa, los cuales los activos

más importantes que permiten que esta funcione eficazmente. Por ende una

correcta recolección de la información, permite un análisis preciso y la creación de

conclusiones y estrategias a tomar adecuadas para mejorar y controlar la seguridad

en los sistemas de información.


II - 2014

16

BIBLIOGRAFIA

Aguirre Cabrera, Adriana (2006): Módulo Auditoría de Sistemas

Information Systems Audit and Control Association (ISACA) (2012): COBIT 5. Estados

Unidos

Muñoz Razo, Carlos. (2002) Auditoría en Sistemas Computacionales, Primera Edición,

Prentice Hall, México.

Muñoz Razo, Carlos. (2002) Auditoría en Sistemas Computacionales. Primera Edición,

Pearson Educación.

Colaborativo 2 Auditoria de Sistemas

Documents

Transcript of Colaborativo 2 Auditoria de Sistemas