AUDITORIA DE SISTEMAS INFORMATICOS - …cotana.informatica.edu.bo/downloads/4. normas de auditoria...

48
M. Sc. Miguel Cotaña Mier Lp, Noviembre 2011 AUDITORIA DE SISTEMAS INFORMATICOS 1 4. Normas de Auditoria de Sistemas UNIVERSIDAD MAYOR DE SAN ANDRES FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS CARRERA DE AUDITORIA

Transcript of AUDITORIA DE SISTEMAS INFORMATICOS - …cotana.informatica.edu.bo/downloads/4. normas de auditoria...

M. Sc. Miguel Cotaña Mier Lp, Noviembre 2011

AUDITORIA DE SISTEMAS

INFORMATICOS

1 4. Normas de Auditoria de Sistemas

UNIVERSIDAD MAYOR DE SAN ANDRES

FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS

CARRERA DE AUDITORIA

2

La administración de usuarios es un aspecto fundamental para mantener la seguridad en los SI. Se deben tener en cuenta:

Administración de cuentas; Revisiones de auditoria; Detección de actividades no

autorizadas.

ADMINISTRACION DE USUARIOS

3

Para la administración de cuentas de usuarios, debe existir un formulario para que las áreas usuarias autorizadas realicen las solicitudes de altas, bajas y modificaciones de cuentas de usuario.

FORMULARIO DE SOLICITUD DE CAMBIOS

-

Alta

Área:

Tipo:

Baja Modif.

Explicación:

Firma Jefe área Firma Gerente Sistemas

Fecha

4

La administración de cuentas de usuario debe ser periódicamente revisada y debe incluir: El examen de las posibilidades de

acceso que tiene el usuario; Si todas las cuentas permanecen

activas; Si todos los cambios fueron

debidamente autorizados.

REVISIONES DE AUDITORIA

5

Deben existir mecanismos adicionales para impedir que los usuarios realicen la instalación de nuevas aplicaciones no autorizadas, ingresen a sitios en Internet no relacionados con el trabajo realizado, modifiquen las configuraciones del sistemas, o realicen actividades que perjudiquen el normal desenvolvimiento del negocio.

DETECCION NO AUTORIZADAS

6

El control de horario de uso de los equipos también debe ser realizado, a fin de evitar la posibilidad de que se realicen actividades no autorizadas o ilegales.

7

8

Las herramientas de control deben permitir: Establecer restricciones de sitios

Web. Establecer límites de tiempo de uso

del ordenador. Controlar el acceso a juegos. Permitir o bloquear el uso de

programas específicos. Controlar las actividades de un

usuario.

9

Restricciones de sitios Web: Alto: opción recomendada para niños; Medio: se filtran por categorías. Se puede acceder a varios sitios, pero no permite contenidos inapropiados; Ninguno: no se bloquea automáticamente ningún sitio Web. Personalizado: este nivel usa también las categorías de contenido, pero permite filtrar aún más categorías de forma personalizada.

10

Límites de tiempo de uso de la computadora: Permite establecer el horario en el que un usuario podrá utilizar su sesión, indicando para cada día de la semana los horarios permitidos y denegados

11

Programas que se pueden utilizar tiene dos configuraciones iniciales: Permitir que el

usuario pueda usar todos los programas;

Sólo utilizar los programas permitidos.

12

Controlar la actividad del usuario: Realizar un control de la actividad de los usuarios del sistema. Cabe destacar que esta es una funcionalidad de control y no de prevención y que debe ser usada con el criterio correcto para no invadir la privacidad.

13

Comprobar acciones realizadas, por ejemplo: sitios web más visitados; sitios web bloqueados recientemente; sitios web que se intentaron visitar y fueron

bloqueados; descargas de archivos bloqueadas; tiempos de conexión; aplicaciones ejecutadas; cantidad de correos electrónicos; uso de programas de mensajería instantánea; uso del reproductor multimedia.

14

La administración de identificadores de usuarios debe incluir: Todos los usuarios deben poseer un ID único; Los datos no deben ser genéricos; No debe existir

información de respuesta ante un intento de ingreso fallido;

IDENTIFICACION (User ID)

15

Debe desplegarse en pantalla la fecha y hora debajo del ID; Debe existir una

desconexión luego de un tiempo de inactividad; El reestablecimiento de

la sesión tendrá lugar solamente con el ingreso del usuario autorizado.

16

Es cualquier proceso mediante el cual se verifica si alguien es quien dice ser. La autorización es cualquier proceso por el cual a alguien se le permite estar donde quiere ir, o tener la información que quiere obtener.

AUTENTICACION (passwords)

17

La administración de contraseñas incluye: Construcción de la contraseña; Diseño de la interfaz de usuario del

sistema de contraseñas; Diseño interno de contraseña.

La administración de contraseñas incluye: responsabilidades del usuario con respecto a la contraseña y responsabilidades del administrador con respecto de la contraseña.

18

Construcción de la contraseña: Para un atacante, una contraseña segura debe parecerse a una cadena aleatoria de caracteres. Una contraseña segura debe considerar los siguientes criterios: Que no sea corta. Cada carácter que agrega a su contraseña aumenta exponencialmente el grado de protección que ésta ofrece. Las contraseñas deben contener en un rango entre 8 y 14 caracteres.

19

Combine letras, números y símbolos. Cuanto más diversos sean los tipos de caracteres de la contraseña, más difícil será adivinarla. Cuantos menos tipos de caracteres haya en la contraseña, más larga deberá ser ésta. Una contraseña de 15 caracteres formada únicamente por letras y números aleatorios es unas 33.000 veces más segura que una contraseña de 8 caracteres compuesta de caracteres de todo tipo.

20

Las contraseñas son fácilmente averiguables mediante ingeniería social.

21

Utilizar palabras y frases que resulte fácil recordar, pero que a otras personas les sea difícil adivinar. La manera más sencilla de recordar sus contraseñas y frases codificadas consiste en anotarlas. Al contrario que lo que se cree habitualmente, no hay nada malo en anotar las contraseñas, si bien estas anotaciones deben estar debidamente protegidas para que resulten seguras y eficaces.

22

Por lo general, las contraseñas escritas en un trozo de papel suponen un riesgo menor en Internet que un administrador de contraseñas, un sitio web u otra herramienta de almacenamiento basada en software.

23

6 pasos para crear contraseñas: 1. Piense en una frase que pueda recordar; 2. Compruebe si el equipo o el sistema en línea

admite directamente la frase codificada; 3. Si el equipo o el sistema en línea no admite

frases codificadas, conviértalas en contraseñas;

4. Aumente la complejidad combinando mayúsculas, minúsculas y números;

5. Realice sustituciones con algunos caracteres especiales;

6. Pruebe la fortaleza de la contraseña.

24

Estrategias: Algunos métodos que suelen emplearse para crear contraseñas resultan fáciles de adivinar para un delincuente. A fin de evitar contraseñas poco seguras: No incluya secuencias ni caracteres

repetidos. Cadenas como "12345678", "222222", "abcdefg" o el uso de letras adyacentes en el teclado no ayudan a crear contraseñas seguras.

25

Evite utilizar únicamente sustituciones de letras por números o símbolos similares. Los delincuentes y otros usuarios malintencionados que tienen experiencia en descifrar contraseñas no se dejarán engañar fácilmente por reemplazos de letras por números o símbolos parecidos; por ejemplo, 'i' por '1' o 'a' por '@', como en "M1cr0$0ft" o en "C0ntr@señ@“.

26

No utilice el nombre de inicio de sesión. Cualquier parte del nombre, fecha de nacimiento, número de la seguridad social o datos similares propios o de sus familiares constituye una mala elección para definir una contraseña. Son algunas de las primeras claves que probarán los delincuentes.

27

No utilice palabras de diccionario de ningún idioma. Los delincuentes emplean herramientas complejas capaces de descifrar rápidamente contraseñas basadas en palabras de distintos diccionarios, que también abarcan palabras inversas, errores ortográficos comunes y sustituciones. Esto incluye todo tipo de blasfemias y cualquier palabra que no diría en presencia de sus hijos.

28

Utilice varias contraseñas para distintos entornos. Si alguno de los equipos o sistemas en línea que utilizan esta contraseña queda expuesto, toda la información protegida por esa contraseña también deberá considerarse en peligro. Es muy importante utilizar contraseñas diferentes para distintos sistemas.

Evite utilizar sistemas de almacenamiento en línea.

29

Mantener en secreto las contraseñas: No las revele a nadie. Proteja las contraseñas registradas. No facilite nunca su contraseña por

correo electrónico ni porque se le pida por ese medio.

Cambie sus contraseñas con regularidad o en forma periódica.

No escriba contraseñas en equipos que no controla.

30

Diseño interno de la contraseña: Las contraseñas no deben ser almacenados en formato legible; Encripción de contraseñas; Prevención de extracción de contraseñas; Cambio de contraseña de proveedor.

31

La administración de copias de respaldo incluyen:

Datos a ser almacenados y frecuencia mínima de backups;

Encripción de backups almacenados en lugar externo;

Dos copias de la información sensible, valiosa o crítica;

Realizar backups de datos a diario, semanales, etc.

COPIAS DE RESPALDO (backup)

32

Las mas importantes deben ser tomadas en cuenta por gerentes y jefes del departamento de sistemas: Planificación estratégica; Comité de sistemas; Políticas y procedimientos; Políticas de Recursos Humanos.

NORMAS DE ADM. DEPTO. SISTEMAS

33

La asociación de Auditoria y Control de Sistemas (ISACA) señala que las normas definen los requerimientos mandatorios para la auditoria de sistemas e informes relacionados

NORMAS DE AUDITORIA DE SISTEMAS

34

Normas principales de la ISACA: Responsabilidad y autoridad; Independencia profesional; Relación organizacional; Ética profesional y normas; El debido cuidado profesional; Competencia; Educación profesional continua; Planificación; Evidencia; Preparación para informe; Actividades de seguimiento.

35

Tienen por objetivo el asegurar que los sistemas desarrollados son consistentes y que se elabora la documentación adecuada para su posterior operación y mantenimiento:

Inicio del proyecto; Estudio de factibilidad; Análisis y diseño; Desarrollo; Implantación.

NORMAS DE DESARROLLO DE SISTEMAS

36

Según resolución originada de la Contraloría General de la República (ahora Contraloría General del Estado Plurinacional) CGR/079/2006 estas normas son de aplicación obligatoria en la práctica de la auditoria a realizarse, específicamente considerando los conceptos de relevancia ajustados a TI.

NORMAS DE AUDITORIA GUBERNAMENTAL

37

Las normas generales de Auditoría Gubernamental, están relacionadas a:

Competencia; Independencia; Ética; Diligencia profesional; Control de calidad; Ordenamiento jurídico; Relevamiento de la información; Ejecución; Seguimiento.

38

El manual de Normas de Auditoria Gubernamental hace referencia a un conjunto de normas y aclaraciones que permiten asegurar la uniformidad y la calidad de la auditoria gubernamental en Bolivia. Son de aplicación obligatoria en el marco de la ley 1178.

NORMAS DE AUDITORIA DE TI

39

Una Auditoría de Tecnologías de la Información y la Comunicación (NAG-TIC) es el examen objetivo, crítico, metodológico y selectivo de evidencia relacionada con políticas, prácticas, procesos y procedimientos en materia de TIC.

40

Para que de esta manera expresar una opinión independiente respecto: A la confidencialidad, integridad,

disponibilidad y confiabilidad de la información;

Al uso eficaz de los recursos tecnológicos; A la efectividad del sistema de

control interno asociado a las TIC´s.

41

La auditoria de TIC´s está definida por sus objetivos y puede ser orientada hacia uno o varios de los enfoques: a) Enfoque a las seguridades:

Consiste en evaluar las seguridades implementadas en los SI con la finalidad de mantener la confidencialidad, integridad y disponibilidad de la información;

42

b) Enfoque a la información: Consiste en evaluar la estructura, integridad y confiabilidad de la información gestionada por el SI;

c) Enfoque a la infraestructura tecnológica: Consiste en evaluar la correspondencia de los recursos tecnológicos en relación a los objetivos previstos;

43

d) Enfoque al software de aplicación: Consiste en evaluar la eficacia de los procesos y controles inmersos en el software de aplicación, que el diseño conceptual de éste cumpla con el ordenamiento jurídico administrativo vigente;

44

e) Enfoque a las Comunicaciones y Redes: Consiste en evaluar la confidencialidad y desempeño del sistema de comunicación para mantener la disponibilidad de la información.

45

El conjunto de actividades, acciones y tareas debe contemplar las siguientes normas (según CGR/079/2006): 1. PLANIFICACIÓN

“La auditoria de TIC se debe planificar en forma metodológica, para alcanzar

eficientemente los objetivos de la misma”

46

2. SUPERVISION “Personal competente debe

supervisar sistemática y oportunamente el trabajo realizado por los profesionales que conformen

el equipo de auditoria”

47

3. CONTROL INTERNO “Se debe comprender y evaluar el control interno para identificar las

áreas críticas que requieren un examen profundo y determinar su

grado de confiabilidad a fin de establecer la naturaleza, alcance y oportunidad de los procedimientos

de auditoria a aplicar”

48

4. EVIDENCIA “Debe obtenerse evidencia válida, relevante y suficiente como base

razonable para sustentar los hallazgos y conclusiones del auditor

gubernamental” 5. COMUNICACIÓN RESULTADOS

“El informe de auditoria de TIC debe ser oportuno, objetivo, claro, preciso y será el medio para

comunicar los resultados obtenidos durante la misma”.