UNIVERSIDAD PANAMERICANA

REGIONAL DE AHUACHAPAN

MATERIA:

AUDITORIA DE SISTEMAS

CATEDRATICO:

LICDO. EDGARDO ENRIQUE CASTILLO.

TEMA:

EVALUACIÓN DE LA SEGURIDAD DE LOS SISTEMAS INFORMATICOS.

ALUMNO:

JUDITH ESTER ALVAREZ PINEDA.

ROXANA JANETH CACERES ALTUVE.

VIDAL OVED CRUZ MULATILLO.

DANILO ERNESTO HERRERA SINTIGO.

LESBIA SORAIDA SANCHEZ OSORIO.

AHUACHAPAN, 14 DE MAYO DE 2009.

INDICE

CONTENIDO PAGINA

1. Introducción. 3

2. Evaluacion de la seguridad de los sistemas de información. 4

3. Evaluación de la seguridad física de los sistemas. 5

4. Evaluación de la seguridad lógica del sistema. 6

5. Evaluación de la seguridad del personal del área de sistemas. 7

6. Evaluación de la seguridad de la información y las bases de datos. 8

7. Evaluación de la seguridad en el acceso y uso del software. 11

8. Evaluación de la seguridad en la operación del hardware. 15

9. Evaluación de la seguridad en las telecomunicaciones. 17

INTRODUCCION

En toda actividad se hace necesario, no sólo planear y ejecutar las actidades, sino

efectuar procedimientos de control que vayan encaminados a asegurar que dichas

actividades han sido ejecutadas de acuerdo a los parámetos que se habían establecido con

anterioridad.

En el caso particular de la Auditoría de Sistemas, se sigue el mismo proceso y si no se

realiza una evaluación consciente con respecto a lo realizado, se corre el peligro que se

violenten los principios de seguridad establecidos.

En vista de ellos, se hace necesario evaluar la seguridad de los sistemas de

información en diferentes aspectos y referidos al centro de cómputo.

Entre estos aspectos podemos mencionar la seguridad física, la cual hace referencia al

cuidado físico de cada uno de los componentes que intervienen e interactúan en el área de

informática, tales como hardware, software, personal y otros.

Al hablar de la seguridad lógica, nos referimos a que cada uno de los componentes

mencionados a continuación sigan de manera correcta y metódica los procesos para los

cuales fueron diseñados.

Al referirnos a la seguridad del personal, se debe verificar que el personal esté seguro

físicamente, así como tabién, esté capacitado y en las condiciones psicológicas adecuadas

para que esté realizando su trabajo de manera efectiva.

También hay aspectos referidos al hardware y software, con relación a los cuales se

presenta un cuestionario escueto sobre algunos aspectos que sería determinate realizar la

evaluación, ya que darían una respuestacon respecto al criterio sobre el buen uso de dichos

componentes.

En última instancia, se presentan aspectos sobre la seguridad de las bases de datos y

de las comunicaciones, aspectos en los cuales la seguridad debe estar bien definida para

responder así a las necesidades de la entidad.

EVALUACION DE LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN.

Uno de los rubros que están incrementando su popularidad dentro del ambiente

informático, es el relacionado con la seguridad del área de sistemas; con ello se incrementa

cada día más la necesidad de evaluar la seguridad y protección de los sistemas, ya sea en

los accesos a los centros de cómputo, en el ingreso y utilización de los propios sistemas y

en la consulta y manipulación de la información contenida en sus archivos, la seguridad de

las instalaciones, del personal y los usuarios de sistemas, así como de todo lo relacionado

con el resguardo de los sistemas computacionales.

Es evidente que uno de los aspectos básicos que se deben contemplar en la evaluación

de sistemas, es precisamente la protección y resguardo de la información de la empresa,

tanto en el hardware como en el software, así como de los equipos adicionales que ayudan

al adecuado funcionamiento de los sistemas.

En esta evaluación también se incluyen el acceso al área de sistemas, el acceso al

sistema, la protección y salvaguarda de los activos de esta área, las medidas de prevención

y combate de siniestros, y muchos otros aspectos que se pueden valorar mediante una

auditoría de sistemas.

Para un mejor entendimiento de estos puntos, a continuación veremos las principales

áreas de seguridad que se pueden evaluar en una auditoría de sistemas.

1. Evaluación de la seguridad física de los sistemas.

2. Evaluación de la seguridad lógica del sistema.

3. Evaluación de la seguridad del personal del área de sistemas.

4. Evaluación de la seguridad de la información y las bases de datos.

5. Evaluación de la seguridad en el acceso y uso del software.

6. Evaluación de la seguridad en la operación del hardware.

7. Evaluación de la seguridad en las telecomunicaciones.

A continuación se desarrollarán los aspectos más importantes que tienen que ver con

cada una de estas principales áreas:

1. EVALUACIÓN DE LA SEGURIDAD FISICA DE LOS SISTEMAS.

La seguridad de los sistemas de información envuelve la protección de la información

así como la de los sistemas computacionales usados para grabar, procesar y almacenar la

información. También esta involucrada en esta sección la seguridad equipamiento adicional

necesario y las personas designadas al manejo de la información.

La seguridad física, se refiere por lo tanto a la protección del Hardware y de los

soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla

las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.

El equipamiento de las organizaciones debe estar debidamente protegido de factores

físicos que los puedan dañar o mermar su capacidad de trabajo. Los equipos deben estar

protegidos de daños causados por incendios, exceso de humedad, robos, sabotajes. Los

equipos, físicamente no se limitan a solo las computadores y sus periféricos, también lo son

calculadoras, sistemas de almacenaje externos de datos como disquetes, CDs, etc., sistemas

de cableado, ruteadores.

AUDITORIA DE LA SEGURIDAD FÍSICA

Se evaluaran las protecciones físicas de datos, programas instalaciones, equipos redes

y soportes, y por supuesto habrá que considerar a las personas, que estén protegidas y

existan medidas de evacuación, alarmas, salidas alternativas, así como que no estén

expuestas a riesgos superiores a los considerados admisibles en la entidad e incluso en el

sector.

AMENAZAS

Pueden ser muy diversas: sabotaje, vandalismo, terrorismo accidentes de distinto tipo,

incendios, inundaciones, averías importantes, derrumbamientos, explosiones, así como

otros que afectan alas personas y pueden impactar el funcionamiento de los centros, tales

como errores, negligencias, huelgas, epidemias o intoxicaciones.

PROTECCIONES FÍSICAS ALGUNOS ASPECTOS A CONSIDERAR:

Ubicación del centro de procesos, de los servidores locales, y en general de cualquier

elemento a proteger.

Estructura, diseño, construcción y distribución de los edificios y de sus platas.

Riesgos a los accesos físicos no controlados.

Amenaza de fuego, problemas en el suministro eléctrico.

Evitar sustituciones o sustracción de quipos, componentes, soportes magnéticos,

documentación u otros activos.

2. EVALUACIÓN DE LA SEGURIDAD LÓGICA DEL SISTEMA.

La seguridad lógica, se refiere a la seguridad de uso del software, a la protección de

los datos, procesos y programas, así como la del ordenado y autorizado acceso de los

usuarios a la información.

AUDITORIA DE LA SEGURIDAD LOGICA

Es necesario verificar que cada usuario solo pude acceder a los recursos que sele

autorice el propietario, aunque sea de forma genérica, según su función, y con las

posibilidades que el propietario haya fijado: lectura, modificación, borrado, ejecución,

traslado a los sistemas lo que representaríamos en una matriz de accesos.

En cuanto a autenticación, hasta tanto no se abaraten más y generalicen los sistemas

basados en la biométrica, el método más usado es la contraseña,

Cuyas características serán acordes con las normas y estándares de la entidad, que

podrían contemplar diferencias para según que sistemas en función de la criticidad de los

recursos accedidos.

Aspectos a evaluar respecto a las contraseñas pueden ser:

Quien asigna la contraseña inicial y sucesivas.

Longitud mínima y composición de caracteres.

Vigencia, incluso puede haberlas de un solo uso o dependientes de una función

tiempo.

Control para no asignar las “x” ultimas.

Numero de intentos que se permiten al usuario.

Controles existentes para evitar y detectar caballos de Troya.

3. EVALUACIÓN DE LA SEGURIDAD DEL PERSONAL DEL ÁREA DE

SISTEMAS.

La seguridad del personal puede ser enfocada desde dos puntos de vista, la seguridad

del personal al momento de trabajar con los sistemas informáticos, estos deben estar en

óptimas condiciones para que no causen daño a las personas, y la seguridad de los sistemas

informáticos con respecto al mal uso de los mismos por parte de los empleados. Ambos

puntos de vista deben se considerados al momento de diseñar un sistema de seguridad.

Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que

están ligadas al sistema de información de forma directa y se deberá contemplar

principalmente:

La dependencia del sistema a nivel operativo y técnico.

Evaluación del grado de capacitación operativa y técnica.

Contemplar la cantidad de personas con acceso operativo y administrativo.

Conocer la capacitación del personal en situaciones de emergencia.

CONSIDERACIONES PARA CON EL PERSONAL.

Es de gran importancia la elaboración del plan considerando el personal, pues se debe

llevar a una conciencia para obtener una autoevaluación de su comportamiento con respecto

al sistema, que lleve a la persona a:

Asumir riesgos.

Cumplir promesas.

Innovar

Para apoyar estos objetivos se debe cumplir los siguientes pasos:

Motivar.

Se debe desarrollar métodos de participación reflexionando sobre lo que significa la

seguridad y el riesgo, así como su impacto a nivel empresarial, de cargo y individual.

Capacitación General.

En un principio a los ejecutivos con el fin de que conozcan y entiendan la relación

entre seguridad, riesgo y la información, y su impacto en la empresa. El objetivo de este

punto es que se podrán detectar las debilidades y potencialidades de la organización frente

al riesgo.

Este proceso incluye como práctica necesaria la implantación la ejecución de planes

de contingencia y la simulación de posibles delitos.

Capacitación de Técnicos:

Se debe formar técnicos encargados de mantener la seguridad como parte de su

trabajo y que esté capacitado para capacitar a otras personas en lo que es la ejecución de

medidas preventivas y correctivas.

4. EVALUACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y LAS

BASES DE DATOS.

AUDITORIA DE LA SEGURIDAD DE LOS DATOS

La protección de los datos puede tener varios enfoques respecto a las características

citadas: la confidencialidad, disponibilidad e integridad. Puede haber datos críticos en

cuanto a su confidencialidad, como datos médicos u otros especialmente sensibles para la

LIBERTAD (sobre religión, sexo, raza), otros datos cuya criticidad viene dada por la

disponibilidad; si se pierden o se pueden utilizar a tiempo pueden causar perjuicios graves

y en los casos más extremos, poner en peligro la comunidad de la entidad y finalmente

otros datos críticos atendiendo a su integridad, especialmente cuando su perdida no puede

detectarse fácilmente o una vez detectada no es fácil reconstruirlos.

Desde el origen del dato, que puede ser dentro o fuera de la entidad, y puede incluir

preparación, autorización, incorporación al sistema: por el cliente, por empleados, o bien

ser captado por otra forma, y debe revisarse como se verifican los errores.

Proceso de los datos:

Controles de validación, integridad, almacenamiento: que existan copias suficientes,

sincronizadas y protegidas.

Salida de resultados:

Controles en transmisiones, en impresión, en distribución.

Retención de la información y protección en funciona de su clasificación:

Destrucción de los diferentes soportes que la contengan cuando ya no sea necesaria, o

bien desmagnetización.

Designación de propietarios:

Clasificación de los datos, restricción de su uso para pruebas, inclusión de muescas

para poder detectar usos no autorizados.

Clasificación de los datos e información:

Debe revisarse quien la ha realizado y según que criterios y estándares; no suele ser

práctico que haya más de cuatro o cinco niveles.

Cliente-servidor:

Es necesario verificar los controles en varios puntos, y no solo en uno central como

en otros sistemas, y a veces en plataformas heterogéneas, con niveles y características de

seguridad muy diferentes, y con posibilidad de transferencia de ficheros o de captación y

exportación de datos que pueden perder sus protecciones al pasar de una plataforma a otra.

Los datos son el corazón de los sistemas informáticos por tanto estos deben ser

celosamente cuidados y manejados. La protección de la integridad, disponibilidad y

confidencialidad de los mismos debe ser el objetivo principal de todo sistema de seguridad

informático.

Confidencialidad: La confidencialidad de los sistemas informáticos se refiere

básicamente a la accesibilidad de la información, se deben establecer niveles de

accesibilidad que guarden relaciones coherentes entre el usuario, su rol en la organización y

el grado de profundidad al que puede llegar al momento de desplegar la información.

Integridad: El concepto de integridad hace referencia a la protección de los datos de

modificaciones y/o alteraciones de los mismos. Solo aquellas personas autorizadas podrán

hacer modificaciones a los datos almacenados.

Disponibilidad: Esta se puede definir como la disposición de información que las

personas autorizadas tienen al momento de necesitarlas. Si la información que el personal

requiere para realizar un trabajo no se encuentra disponible entonces dicho trabajo no se

podrá realizar o por lo menos se retrazara su conclusión.

Validez: Un dato es valido cuando este refleja con exactitud, precisión y de forma

completa la información que transmite. Este concepto se encuentra estrechamente ligado

con el de integridad, si la integridad de un dato es violada entonces así lo será también su

validez.

Autenticidad: Este concepto hace referencia a la modificación fraudulenta de la

información, por ejemplo, una transacción puede ser ingresada dentro de un sistema

contable computarizado por una persona no autorizada a hacer, el dato ingresado puede

cumplir con el requisito de validez pero no con el de autenticidad ya que no fue ingresado

por la persona autorizada.

Privacidad: "Normalmente los conceptos de privacidad, confidencialidad y seguridad

se confunden. Privacidad hace referencia al concepto particular y personal del uso de la

información. Confidencialidad es una clasificación particular del grado de exposición de

datos.

Exactitud: Este concepto hace referencia al mantenimiento de una relación legítima

entre lo que un dato es y lo que representa. Por ejemplo, un dato que representa monto de

préstamos debe representar exactamente el monto prestado, éste no puede ser mayor o

menor, deber ser el que represente fielmente la realidad.

5. EVALUACIÓN DE LA SEGURIDAD EN EL ACCESO Y USO DEL

SOFTWARE.

Cuando buscamos evaluar la seguridad en la operación del software, debemos

identificar las principales vulnerabilidades del software de la entidad, entre los cuales,

mencionamos los aspectos siguientes:

Errores de aplicaciones.

Errores de sistemas operativos.

Rutinas de acceso no autorizados.

Servicios no autorizados.

A continuación se presenta un custionario que podría ser resuelto al momento de

evaluar la seguridad en cuanto al software utilizado en los sistemas de información:

1. Se tienen políticas y procedimientos relativos al uso y protección del software

existentes?

1.1 Si las hay, indique si los siguientes aspectos de seguridad están formalmente

identificados.

Administración del software.

Sistemas operativos, utilerías, paquetes, etc.

Cuantificación del software (Original y copias).

Descripción (Por original).

Distribución (Cuál es la localización).

Registro del software instalado, dado de baja, en proceso de adquisición, etc.

Uso del software.

Procedimientos y controles de seguridad para la evaluación, selección y

adquisición de software.

Otros.

2. Diga si poseen políticas relacionadas con el ingreso y salida del software que

aseguren al menos lo siguiente:

Que el software que salga de la empresa sea:

Revisado (contenido, cantidad, destino).

Esté registrado formalmente en la empresa.

Justificado.

Aprobado por el responsable de informática.

Registrado (quién y a qué hora lo sacó).

Devuelto (comparado con fecha de devolución).

Devuelto en las mismas condiciones en que salió.

Que el software que ingrese a la empresa sea:

Revisado (contenido, cantidad, destino).

Esté registrado formalmente en la empresa.

Justificado.

Aprobado por el responsable de informática.

Registrado (quién y a qué hora lo metió).

Devuelto (comparado con fecha de devolución).

Devuelto en las mismas condiciones que tenía en la salida.

3. En cuanto a las aplicaciones (sistemas de información) que se desarrollan en la

empresa, ¿se tienen los controles y procedimientos necesarios para garantizar la

seguridad mínima requerida?

3.1 En caso de que existan, ¿al menos contemplan lo siguiente?

Procedimiento de llenado de documentos fuente.

Procedimiento de uso de la computadora.

- Encendido e inicialización del equipo.

- Reinicialización del equipo en el caso de fallas.

- Manejo de bitácoras en el uso de la computadora.

- Monitoreo de uso de la computadora.

Niveles de acceso (perfil de usuarios) al módulo de:

- Captura.

- Actualización.

- Consulta.

- Generación de reportes.

- Respaldo.

- Otros.

Procedimientos de uso de los módulos de:

- Captura.

- Actualización.

- Consulta.

- Generación de reportes.

- Respaldo.

- Otros.

4. ¿Existen procedimientos que verifiquen que la construcción (programación),

prueba e implantación de los controles y procedimientos de seguridad sean

formalmente aprobados antes de que se utilice el sistema?

5. ¿Participan funciones de control o evaluación de sistemas, como auditores o

consultores, en la aprobación de los controles de seguridad de los sistemas antes

que sean formalmente aprobados por los usuarios?

5.1 Si es así, ¿en qué etapas de desarrollo participan?

5.2 Se involucran en todos los proyectos de desarrollo?

6. Mencione si los controles aseguran que el sistema contemple los procedimientos

necesarios para que la información manejada en el mismo, sea total, exacta,

autorizada, mantenida y actualizada.

6.1 ¿Existen procedimientos para comprobar que los totales de los reportes de

validación del usuario concuerden con los totales de validación de los

sistemas computarizados?

6.2 ¿Los documentos fuente por capturar llevan preimpresos los números

consecutivos o se los asigna el usuario?

7. En cuanto al mantenimiento de sistemas señale si se cuenta con un procedimiento

formal para asegurar que los cambios efectuados en los sistemas sean:

Justificados.

Descritos.

Probados en el área de desarrollo antes de ser trasladados al área de

producción.

Revisados por funciones de control.

Aprobados por los responsables correspondientes antes de ser puestos

en operación.

Implantados los controles de seguridad de dichos cambios.

Otros.

8. ¿Hay un proceso formal para asegurar que los requerimientos de los

departamentos usuarios sean registrados, justificados, programados, probados e

implantados de acuerdo con los estándares de la metodología del CVDS?

9. ¿Cómo se da seguimiento a los cambios de los sistemas sugeridos por la función

de informática?

10. ¿Existen procedimientos que permiten identificar con claridad las

responsabilidades en cuanto al uso del sistema y equipo de cómputo donde será

implantado y operado?

6. EVALUACIÓN DE LA SEGURIDAD EN LA OPERACIÓN DEL

HARDWARE.

Cuando buscamos evaluar la seguridad en la operación del hardware, debemos

identificar las principales vulnerabilidades de hardware, las cuales podemos mencionar a

continuación:

Inapropiada operación.

Fallas en mantenimiento.

Inadecuada seguridad física.

Falta de protección contra desastres naturales.

A continuación se presenta un cuestionario de los probables aspectos a evaluar con

relación al hardware:

1. Hay políticas y procedimientos relativos al uso y protección del hardware de la

organización.

1.1 Si existen, indique si están formalmente identificados los siguientes aspectos

de seguridad.

Administración del hardware.

Micros, minis y super computadoras.

Tecnología de comunicaciones, redes y otros.

Cuantificación del hardware.

Descripción del hardware (Características básicas).

Distribución del hardware (Ubicación física).

Areas de informática: departamentos, usuarios y áreas locales y remotas.

Registro del hardware instalado, dado de baja, en proceso de adquisición, etc.

Uso del hardware: desarrollo, operación, mantenimiento, monitoreo y toma de

decisiones.

Funciones responsables del control del hardware.

Procedimientos y controles de seguridad parala evaluación, selección y

adquisición de hardware.

Otros.

2. En cuanto al equipo de soporte, se han de tener los siguientes datos:

Localización física de:

Aire acondicionado.

Equipos contra incendios.

Otros.

3. ¿La ubicación física del equipo de cómputo en el edificio es la más adecuada

pensando en los diversos desastres o contingencias que se pueden presentar

(Manifestaciones o huelgas, inundaciones, incendios y otros).

4. ¿Hay procedimientos que garanticen la continuidad y disponibilidad del equipo de

cómputo en caso de desastres y contingencias?

Si es así, están documentados y difundidos formalmente?

5. Indique si se cuenta con controles y procedimientos para:

Clasificación y justificación del personal con acceso a los centros de cómputo del

negocio y a las oficinas donde se encuentra papelería o accesorios relacionados

con informática.

Restringir el acceso a los centros de cómputo sólo al personal autorizado.

Definición y difusión de las horas de acceso al centro de cómputo.

Uso y control de bitácoras de acceso a los centros de cómputo.

6. ¿Existe personal de seguridad encargado de la salvaguarda de los equipos de

cómputo de la empresa?

6.1 Fue capacitado el personal para este trabajo o simplemente sigue las normas

de seguridad que se aplican en bancos e industrias?

6.2 Si no se cuenta con tal personal, ¿A qué área o función pertenecen los

responsables de proteger físicamente el equipo?

7. Mencione si existen políticas relacionadas con el ingreso y salida del hardware

que aseguren al menos lo siguiente:

Que la entrada y salida del hardware sea:

Revisada.

Justificada.

Aprobada por el responsable de informática que va a recibirla.

Registrada.

Devuelta.

Devuelta en las mismas condiciones de entrada.

Devolución autorizada por medio de un responsable de informática.

8. ¿Existe alguna función de investigación, auditoría o seguridad que se dedique a la

evaluación permanente de software, métodos, procedimientos, etc., sugeridos en

el mercado (como conferencias, publicaciones, asesores, investigaciones) para la

implantación de nuevas acciones relativas a la seguridad que brinden continuidad

en la operación y cuidado de los recursos relacionados con informática?

8.1 Si es así, ¿cuáles son las actividades principales que se asignan a esta tarea?

8.2 En caso de que lo anterior no ocurra, ¿qué acciones garantizan la adecuación

de los controles y procedimientos de seguridad en el momento de implantar

nuevas tecnologías?

7. EVALUACIÓN DE LA SEGURIDAD EN LAS TELECOMUNICACIONES.

AUDITORIA DE LA SEGURIDAD EN COMUNICACIONES Y REDES

En las políticas de entidad debe reconocerse que los sistemas, redes y mensajes

transmitidos y procesados son propiedad de la entidad y no deben usarse para otros fines no

autorizados, por seguridad y por productividad, talvez salvo emergencias concretas si allí se

ha especificado y mas bien para comunicaciones con voz.

Los usuarios tendrán restricción de accesos según dominios, únicamente podrán

cargar los programas autorizados, y solamente podrán variar las configuraciones y

componentes los técnicos autorizados.

Se revisaran especialmente las redes cuando existan repercusiones económicas por

que se trate de transferencia de fondos o comercio electrónico. Puntos a revisar:

Tipos de redes y conexiones

Tipos de transacciones.

Tipos de terminales y protecciones: físicas, lógicas, llamadas de retorno.

Transferencia de ficheros y controles existentes.

Consideración especial respecto a las conexiones externas a través de pasarelas

(gateway) y encaminadores (routers).

INTERNET E INTRANET: separación de dominios e implantación de medidas

especiales, como normas y cortafuegos (firewall), y no solo en relación con la seguridad,

sino por accesos no justificados por la función desempeñada, como a páginas de ocio o

eróticas, por lo que pueden suponer para la productividad.

CORREO ELECTRÓNICO: tanto por privacidad y para evitar virus como para que el

uso del correo sea adecuado y referido ala propia función, y no utilizado para fines

particulares.

PROTECCIÓN DE PROGRAMAS: y tanto la prevención del uso no autorizado de

programas propiedad de la entidad o de los que tengan licencia de uso.

CONTROL SOBRE LAS PAGINAS WEB: quien puede modificarlo y desde donde,

finalmente preocupan también los riesgos que pueden existir en el comercio electrónico.

Vulnerabilidades de comunicaciones: inadecuados controles de acceso a la red,

inadecuados mecanismos para prevenir fallas en comunicaciones.