AUDITORIA DE SISTEMAS INFORMATICOS

Transcripción

1 UNIVERSIDAD MAYOR DE SAN ANDRES FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS CARRERA DE AUDITORIA AUDITORIA DE SISTEMAS INFORMATICOS M. Sc. Miguel Cotaña Mier Lp, Noviembre Normas de Auditoria de Sistemas 1

2 ADMINISTRACION DE USUARIOS La administración de usuarios es un aspecto fundamental para mantener la seguridad en los SI. Se deben tener en cuenta: Administración de cuentas; Revisiones de auditoria; Detección de actividades no autorizadas. 2

3 Para la administración de cuentas de usuarios, debe existir un formulario para que las áreas usuarias autorizadas realicen las solicitudes de altas, bajas y modificaciones de cuentas de usuario. FORMULARIO DE SOLICITUD DE CAMBIOS Área: Tipo: Alta Explicación: Firma Jefe área - Baja Modif. Fecha 3 Firma Gerente Sistemas

4 REVISIONES DE AUDITORIA La administración de cuentas de usuario debe ser periódicamente revisada y debe incluir: El examen de las posibilidades de acceso que tiene el usuario; Si todas las cuentas permanecen activas; Si todos los cambios fueron debidamente autorizados. 4

5 DETECCION NO AUTORIZADAS Deben existir mecanismos adicionales para impedir que los usuarios realicen la instalación de nuevas aplicaciones no autorizadas, ingresen a sitios en Internet no relacionados con el trabajo realizado, modifiquen las configuraciones del sistemas, o realicen actividades que perjudiquen el normal desenvolvimiento del negocio. 5

6 El control de horario de uso de los equipos también debe ser realizado, a fin de evitar la posibilidad de que se realicen actividades no autorizadas o ilegales. 6

7 7

8 Las herramientas de control deben permitir: Establecer restricciones de sitios Web. Establecer límites de tiempo de uso del ordenador. Controlar el acceso a juegos. Permitir o bloquear el uso de programas específicos. Controlar las actividades de un usuario. 8

9 Restricciones de sitios Web: Alto: opción recomendada para niños; Medio: se filtran por categorías. Se puede acceder a varios sitios, pero no permite contenidos inapropiados; Ninguno: no se bloquea automáticamente ningún sitio Web. Personalizado: este nivel usa también las categorías de contenido, pero permite filtrar aún más categorías de forma personalizada. 9

10 Límites de tiempo de uso de la computadora: Permite establecer el horario en el que un usuario podrá utilizar su sesión, indicando para cada día de la semana los horarios permitidos y denegados 10

11 Programas que se pueden utilizar tiene dos configuraciones iniciales: Permitir que el usuario pueda usar todos los programas; Sólo utilizar los programas permitidos. 11

12 Controlar la actividad del usuario: Realizar un control de la actividad de los usuarios del sistema. Cabe destacar que esta es una funcionalidad de control y no de prevención y que debe ser usada con el criterio correcto para no invadir la privacidad. 12

13 Comprobar acciones realizadas, por ejemplo: sitios web más visitados; sitios web bloqueados recientemente; sitios web que se intentaron visitar y fueron bloqueados; descargas de archivos bloqueadas; tiempos de conexión; aplicaciones ejecutadas; cantidad de correos electrónicos; uso de programas de mensajería instantánea; uso del reproductor multimedia. 13

14 IDENTIFICACION (User ID) La administración de identificadores de usuarios debe incluir: Todos los usuarios deben poseer un ID único; Los datos no deben ser genéricos; No debe existir información de respuesta ante un intento de ingreso fallido; 14

15 Debe desplegarse en pantalla la fecha y hora debajo del ID; Debe existir una desconexión luego de un tiempo de inactividad; El reestablecimiento de la sesión tendrá lugar solamente con el ingreso del usuario autorizado. 15

16 AUTENTICACION (passwords) Es cualquier proceso mediante el cual se verifica si alguien es quien dice ser. La autorización es cualquier proceso por el cual a alguien se le permite estar donde quiere ir, o tener la información que quiere obtener. 16

17 La administración de contraseñas incluye: Construcción de la contraseña; Diseño de la interfaz de usuario del sistema de contraseñas; Diseño interno de contraseña. La administración de contraseñas incluye: responsabilidades del usuario con respecto a la contraseña y responsabilidades del administrador con respecto de la contraseña. 17

18 Construcción de la contraseña: Para un atacante, una contraseña segura debe parecerse a una cadena aleatoria de caracteres. Una contraseña segura debe considerar los siguientes criterios: Que no sea corta. Cada carácter que agrega a su contraseña aumenta exponencialmente el grado de protección que ésta ofrece. Las contraseñas deben contener en un rango entre 8 y 14 caracteres. 18

19 Combine letras, números y símbolos. Cuanto más diversos sean los tipos de caracteres de la contraseña, más difícil será adivinarla. Cuantos menos tipos de caracteres haya en la contraseña, más larga deberá ser ésta. Una contraseña de 15 caracteres formada únicamente por letras y números aleatorios es unas veces más segura que una contraseña de 8 caracteres compuesta de caracteres de todo tipo. 19

20 Las contraseñas son fácilmente averiguables mediante ingeniería social. 20

21 Utilizar palabras y frases que resulte fácil recordar, pero que a otras personas les sea difícil adivinar. La manera más sencilla de recordar sus contraseñas y frases codificadas consiste en anotarlas. Al contrario que lo que se cree habitualmente, no hay nada malo en anotar las contraseñas, si bien estas anotaciones deben estar debidamente protegidas para que resulten seguras y eficaces. 21

22 Por lo general, las contraseñas escritas en un trozo de papel suponen un riesgo menor en Internet que un administrador de contraseñas, un sitio web u otra herramienta de almacenamiento basada en software. 22

23 6 pasos para crear contraseñas: 1. Piense en una frase que pueda recordar; 2. Compruebe si el equipo o el sistema en línea admite directamente la frase codificada; 3. Si el equipo o el sistema en línea no admite frases codificadas, conviértalas en contraseñas; 4. Aumente la complejidad combinando mayúsculas, minúsculas y números; 5. Realice sustituciones con algunos caracteres especiales; 6. Pruebe la fortaleza de la contraseña. 23

24 Estrategias: Algunos métodos que suelen emplearse para crear contraseñas resultan fáciles de adivinar para un delincuente. A fin de evitar contraseñas poco seguras: No incluya secuencias ni caracteres repetidos. Cadenas como " ", "222222", "abcdefg" o el uso de letras adyacentes en el teclado no ayudan a crear contraseñas seguras. 24

25 Evite utilizar únicamente sustituciones de letras por números o símbolos similares. Los delincuentes y otros usuarios malintencionados que tienen experiencia en descifrar contraseñas no se dejarán engañar fácilmente por reemplazos de letras por números o símbolos parecidos; por ejemplo, 'i' por '1' o 'a' por '@', como en "M1cr0$0ft" o en "C0ntr@señ@. 25

26 No utilice el nombre de inicio de sesión. Cualquier parte del nombre, fecha de nacimiento, número de la seguridad social o datos similares propios o de sus familiares constituye una mala elección para definir una contraseña. Son algunas de las primeras claves que probarán los delincuentes. 26

27 No utilice palabras de diccionario de ningún idioma. Los delincuentes emplean herramientas complejas capaces de descifrar rápidamente contraseñas basadas en palabras de distintos diccionarios, que también abarcan palabras inversas, errores ortográficos comunes y sustituciones. Esto incluye todo tipo de blasfemias y cualquier palabra que no diría en presencia de sus hijos. 27

28 Utilice varias contraseñas para distintos entornos. Si alguno de los equipos o sistemas en línea que utilizan esta contraseña queda expuesto, toda la información protegida por esa contraseña también deberá considerarse en peligro. Es muy importante utilizar contraseñas diferentes para distintos sistemas. Evite utilizar sistemas de almacenamiento en línea. 28

29 Mantener en secreto las contraseñas: No las revele a nadie. Proteja las contraseñas registradas. No facilite nunca su contraseña por correo electrónico ni porque se le pida por ese medio. Cambie sus contraseñas con regularidad o en forma periódica. No escriba contraseñas en equipos que no controla. 29

30 Diseño interno de la contraseña: Las contraseñas no deben ser almacenados en formato legible; Encripción de contraseñas; Prevención de extracción de contraseñas; Cambio de contraseña de proveedor. 30

31 COPIAS DE RESPALDO (backup) La administración de copias de respaldo incluyen: Datos a ser almacenados y frecuencia mínima de backups; Encripción de backups almacenados en lugar externo; Dos copias de la información sensible, valiosa o crítica; Realizar backups de datos a diario, semanales, etc. 31

32 NORMAS DE ADM. DEPTO. SISTEMAS Las mas importantes deben ser tomadas en cuenta por gerentes y jefes del departamento de sistemas: Planificación estratégica; Comité de sistemas; Políticas y procedimientos; Políticas de Recursos Humanos. 32

33 NORMAS DE AUDITORIA DE SISTEMAS La asociación de Auditoria y Control de Sistemas (ISACA) señala que las normas definen los requerimientos mandatorios para la auditoria de sistemas e informes relacionados 33

34 Normas principales de la ISACA: Responsabilidad y autoridad; Independencia profesional; Relación organizacional; Ética profesional y normas; El debido cuidado profesional; Competencia; Educación profesional continua; Planificación; Evidencia; Preparación para informe; Actividades de seguimiento. 34

35 NORMAS DE DESARROLLO DE SISTEMAS Tienen por objetivo el asegurar que los sistemas desarrollados son consistentes y que se elabora la documentación adecuada para su posterior operación y mantenimiento: Inicio del proyecto; Estudio de factibilidad; Análisis y diseño; Desarrollo; Implantación. 35

36 NORMAS DE AUDITORIA GUBERNAMENTAL Según resolución originada de la Contraloría General de la República (ahora Contraloría General del Estado Plurinacional) CGR/079/2006 estas normas son de aplicación obligatoria en la práctica de la auditoria a realizarse, específicamente considerando los conceptos de relevancia ajustados a TI. 36

37 Las normas generales de Auditoría Gubernamental, están relacionadas a: Competencia; Independencia; Ética; Diligencia profesional; Control de calidad; Ordenamiento jurídico; Relevamiento de la información; Ejecución; Seguimiento. 37

38 NORMAS DE AUDITORIA DE TI El manual de Normas de Auditoria Gubernamental hace referencia a un conjunto de normas y aclaraciones que permiten asegurar la uniformidad y la calidad de la auditoria gubernamental en Bolivia. Son de aplicación obligatoria en el marco de la ley

39 Una Auditoría de Tecnologías de la Información y la Comunicación (NAG- TIC) es el examen objetivo, crítico, metodológico y selectivo de evidencia relacionada con políticas, prácticas, procesos y procedimientos en materia de TIC. 39

40 Para que de esta manera expresar una opinión independiente respecto: A la confidencialidad, integridad, disponibilidad y confiabilidad de la información; Al uso eficaz de los recursos tecnológicos; A la efectividad del sistema de control interno asociado a las TIC s. 40

41 La auditoria de TIC s está definida por sus objetivos y puede ser orientada hacia uno o varios de los enfoques: a) Enfoque a las seguridades: Consiste en evaluar las seguridades implementadas en los SI con la finalidad de mantener la confidencialidad, integridad y disponibilidad de la información; 41

42 b) Enfoque a la información: Consiste en evaluar la estructura, integridad y confiabilidad de la información gestionada por el SI; c) Enfoque a la infraestructura tecnológica: Consiste en evaluar la correspondencia de los recursos tecnológicos en relación a los objetivos previstos; 42

43 d) Enfoque al software de aplicación: Consiste en evaluar la eficacia de los procesos y controles inmersos en el software de aplicación, que el diseño conceptual de éste cumpla con el ordenamiento jurídico administrativo vigente; 43

44 e) Enfoque a las Comunicaciones y Redes: Consiste en evaluar la confidencialidad y desempeño del sistema de comunicación para mantener la disponibilidad de la información. 44

45 El conjunto de actividades, acciones y tareas debe contemplar las siguientes normas (según CGR/079/2006): 1. PLANIFICACIÓN La auditoria de TIC se debe planificar en forma metodológica, para alcanzar eficientemente los objetivos de la misma 45

46 2. SUPERVISION Personal competente debe supervisar sistemática y oportunamente el trabajo realizado por los profesionales que conformen el equipo de auditoria 46

47 3. CONTROL INTERNO Se debe comprender y evaluar el control interno para identificar las áreas críticas que requieren un examen profundo y determinar su grado de confiabilidad a fin de establecer la naturaleza, alcance y oportunidad de los procedimientos de auditoria a aplicar 47

48 4. EVIDENCIA Debe obtenerse evidencia válida, relevante y suficiente como base razonable para sustentar los hallazgos y conclusiones del auditor gubernamental 5. COMUNICACIÓN RESULTADOS El informe de auditoria de TIC debe ser oportuno, objetivo, claro, preciso y será el medio para comunicar los resultados obtenidos durante la misma. 48