M. Sc. Miguel Cotaña Mier Lp, Octubre 2010

AUDITORIA DE SISTEMAS

INFORMATICOS

12.6. Normas de Auditoria de Sistemas

UNIVERSIDAD MAYOR DE SAN ANDRES

FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS

MAESTRIA EN AUDITORIA Y CONTROL FINANCIERO

AUDITORIA DE SISTEMAS INFORMATICOS

2

La administración de usuarios es unaspecto fundamental para mantener laseguridad en los SI.Se deben tener en cuenta:

Administración de cuentas;Revisiones de auditoria;Detección de actividades noautorizadas.

ADMINISTRACION DE USUARIOS

3

Para la administraciónde cuentas deusuarios, debe existirun formulario paraque las áreas usuariasautorizadas realicenlas solicitudes dealtas, bajas ymodificaciones decuentas de usuario.

FORMULARIO DE SOLICITUD DE CAMBIOS

-

Alta

Área:

Tipo:

Baja Modif.

Explicación:

Firma Jefe área Firma Gerente Sistemas

Fecha

4

La administración de cuentas de usuariodebe ser periódicamente revisada ydebe incluir:El examen de las posibilidades deacceso que tiene el usuario;

Si todas las cuentas permanecenactivas;

Si todos los cambios fuerondebidamente autorizados.

REVISIONES DE AUDITORIA

5

Deben existir mecanismos adicionalespara impedir que los usuarios realicen lainstalación de nuevas aplicaciones noautorizadas, ingresen a sitios enInternet no relacionados con el trabajorealizado, modifiquen lasconfiguraciones del sistemas, o realicenactividades que perjudiquen el normaldesenvolvimiento del negocio.

DETECCION NO AUTORIZADAS

6

El control dehorario de uso delos equipostambién debe serrealizado, a fin deevitar la posibilidadde que se realicenactividades noautorizadas oilegales.

7

8

Las herramientas de control debenpermitir:Establecer restricciones de sitiosWeb.

Establecer límites de tiempo de usodel ordenador.

Controlar el acceso a juegos. Permitir o bloquear el uso deprogramas específicos.

Controlar las actividades de unusuario.

9

Restricciones de sitios Web:Alto: opción recomendada para niños;Medio: se filtran por categorías. Sepuede acceder a varios sitios, pero nopermite contenidos inapropiados;Ninguno: no se bloqueaautomáticamente ningún sitio Web.Personalizado: este nivel usa tambiénlas categorías de contenido, peropermite filtrar aún más categorías deforma personalizada.

10

Límites de tiempo deuso de lacomputadora: Permiteestablecer el horario enel que un usuario podráutilizar su sesión,indicando para cada díade la semana loshorarios permitidos ydenegados

11

Programas que sepueden utilizar tienedos configuracionesiniciales: Permitir que el

usuario pueda usartodos los programas;

Sólo utilizar losprogramaspermitidos.

12

Controlar la actividad del usuario:Realizar un control de la actividad de losusuarios del sistema. Cabe destacar que estaes una funcionalidad de control y no deprevención y que debe ser usada con elcriterio correcto para no invadir la privacidad.

13

Comprobar acciones realizadas, por ejemplo:sitios web más visitados;sitios web bloqueados recientemente;sitios web que se intentaron visitar y fueron

bloqueados;descargas de archivos bloqueadas;tiempos de conexión;aplicaciones ejecutadas;cantidad de correos electrónicos;uso de programas de mensajería instantánea;uso del reproductor multimedia.

14

La administración deidentificadores deusuarios debe incluir:Todos los usuariosdeben poseer un IDúnico;Los datos no deben sergenéricos;No debe existirinformación derespuesta ante unintento de ingresofallido;

IDENTIFICACION (User ID)

15

Debe desplegarse enpantalla la fecha y horadebajo del ID;Debe existir unadesconexión luego deun tiempo deinactividad;El reestablecimiento dela sesión tendrá lugarsolamente con elingreso del usuarioautorizado.

16

Es cualquier procesomediante el cual severifica si alguien esquien dice ser.La autorización escualquier proceso porel cual a alguien se lepermite estar dondequiere ir, o tener lainformación que quiereobtener.

AUTENTICACION (passwords)

17

La administración de contraseñasincluye:Construcción de la contraseña;Diseño de la interfaz de usuario delsistema de contraseñas;Diseño interno de contraseña.La administración de contraseñasincluye: responsabilidades del usuariocon respecto a la contraseña yresponsabilidades del administrador conrespecto de la contraseña.

18

Construcción de la contraseña: Paraun atacante, una contraseña segura debeparecerse a una cadena aleatoria decaracteres. Una contraseña segura debeconsiderar los siguientes criterios:Que no sea corta. Cada carácter que agregaa su contraseña aumenta exponencialmenteel grado de protección que ésta ofrece. Lascontraseñas deben contener en un rangoentre 8 y 14 caracteres.

19

Combine letras, números y símbolos. Cuantomás diversos sean los tipos de caracteres dela contraseña, más difícil será adivinarla.Cuantos menos tipos de caracteres haya en lacontraseña, más larga deberá ser ésta. Unacontraseña de 15 caracteres formadaúnicamente por letras y números aleatorios esunas 33.000 veces más segura que unacontraseña de 8 caracteres compuesta decaracteres de todo tipo.

20

Las contraseñas son fácilmente averiguablesmediante ingeniería social.

21

Utilizar palabras y frases que resultefácil recordar, pero que a otras personasles sea difícil adivinar. La manera mássencilla de recordar sus contraseñas y frasescodificadas consiste en anotarlas. Al contrarioque lo que se cree habitualmente, no haynada malo en anotar las contraseñas, si bienestas anotaciones deben estar debidamenteprotegidas para que resulten seguras yeficaces.

22

Por lo general, lascontraseñas escritas en untrozo de papel suponen unriesgo menor en Internetque un administrador decontraseñas, un sitio web uotra herramienta dealmacenamiento basada ensoftware.

23

6 pasos para crear contraseñas:1. Piense en una frase que pueda recordar;2. Compruebe si el equipo o el sistema en línea

admite directamente la frase codificada;3. Si el equipo o el sistema en línea no admite

frases codificadas, conviértalas encontraseñas;

4. Aumente la complejidad combinandomayúsculas, minúsculas y números;

5. Realice sustituciones con algunos caracteresespeciales;

6. Pruebe la fortaleza de la contraseña.

24

Estrategias: Algunos métodos que suelenemplearse para crear contraseñas resultanfáciles de adivinar para un delincuente. A finde evitar contraseñas poco seguras: No incluya secuencias ni caracteres

repetidos. Cadenas como "12345678","222222", "abcdefg" o el uso de letrasadyacentes en el teclado no ayudan a crearcontraseñas seguras.

25

Evite utilizar únicamente sustituciones deletras por números o símbolos similares.Los delincuentes y otros usuariosmalintencionados que tienen experienciaen descifrar contraseñas no se dejaránengañar fácilmente por reemplazos deletras por números o símbolos parecidos;por ejemplo, 'i' por '1' o 'a' por '@', comoen "M1cr0$0ft" o en "C0ntr@señ@“.

26

No utilice el nombre de inicio de sesión.Cualquier parte del nombre, fecha denacimiento, número de la seguridad socialo datos similares propios o de susfamiliares constituye una mala elecciónpara definir una contraseña. Son algunasde las primeras claves que probarán losdelincuentes.

27

No utilice palabras de diccionario de ningúnidioma. Los delincuentes empleanherramientas complejas capaces dedescifrar rápidamente contraseñas basadasen palabras de distintos diccionarios, quetambién abarcan palabras inversas, erroresortográficos comunes y sustituciones. Estoincluye todo tipo de blasfemias y cualquierpalabra que no diría en presencia de sushijos.

28

Utilice varias contraseñas para distintosentornos. Si alguno de los equipos osistemas en línea que utilizan estacontraseña queda expuesto, toda lainformación protegida por esa contraseñatambién deberá considerarse en peligro. Esmuy importante utilizar contraseñasdiferentes para distintos sistemas.

Evite utilizar sistemas de almacenamientoen línea.

29

Mantener en secreto las contraseñas: No las revele a nadie. Proteja las contraseñas registradas. No facilite nunca su contraseña por

correo electrónico ni porque se le pidapor ese medio.

Cambie sus contraseñas con regularidado en forma periódica.

No escriba contraseñas en equipos queno controla.

30

Diseño interno de la contraseña:Las contraseñas no deben seralmacenados en formato legible;Encripción de contraseñas;Prevención de extracción de contraseñas;Cambio de contraseña de proveedor.

31

La administración de copias de respaldoincluyen:

Datos a ser almacenados yfrecuencia mínima de backups;

Encripción de backupsalmacenados en lugar externo;

Dos copias de la informaciónsensible, valiosa o crítica;

Realizar backups de datos adiario, semanales, etc.

COPIAS DE RESPALDO (backup)

32

Las mas importantes deben sertomadas en cuenta por gerentes y jefesdel departamento de sistemas:Planificación estratégica;Comité de sistemas;Políticas y procedimientos;Políticas de Recursos Humanos.

NORMAS DE ADM. DEPTO. SISTEMAS

33

La asociación de Auditoria y Control deSistemas (ISACA) señala que lasnormas definen los requerimientosmandatorios para la auditoria desistemas e informes relacionados

NORMAS DE AUDITORIA DE SISTEMAS

34

Normas principales de la ISACA:Responsabilidad y autoridad;Independencia profesional;Relación organizacional;Ética profesional y normas;El debido cuidado profesional;Competencia;Educación profesional continua;Planificación;Evidencia;Preparación para informe;Actividades de seguimiento.

35

Tienen por objetivo el asegurar que lossistemas desarrollados son consistentesy que se elabora la documentaciónadecuada para su posterior operación ymantenimiento:

Inicio del proyecto;Estudio de factibilidad;Análisis y diseño;Desarrollo;Implantación.

NORMAS DE DESARROLLO DE SISTEMAS