Repblica Bolivariana de Venezuela

Instituto Universitario de Tecnologa

Dr. Jos Gregorio Hernndez

UNIHER

Auditoria de la seguridad de los sistemas computacionales

Autor:

Br. Francisco Barazarte

Br. Alessca Violes

Tutor: Lcdo. Jos Rivero

Valera, Marzo de 2013

 INTRODUCCIN

En la auditora de sistemas computacionales se utilizan mltiples herramientas y

tcnicas tradicionales de la auditoria que permiten hacer una revisin al funcionamiento
de los sistemas de cmputo, a su gestin informtica y a los diferentes aspectos del
ambiente de sistemas.

Se debe tener presente la cantidad de informacin almacenada en el

computador, la cual en muchos casos puede ser confidencial, ya sea para los
individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal
uso de esta informacin, de los robos, los fraudes, sabotajes y sobre todo de la
destruccin parcial o total. En la actualidad se debe tambin cuidar la informacin de
los virus informticos, los cuales permanecen ocultos y daan sistemticamente los
datos.

En la actualidad y principalmente en las computadoras personales, se ha dado

otro factor que hay que considerar: el llamado virus de las computadoras, el cual,
aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que
son copiados sin autorizacin (piratas) y borra toda la informacin que se tiene en un
disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias piratas o
bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de
transmisin del virus. El uso inadecuado de la computadora comienza desde la
utilizacin de tiempo de mquina para usos ajenos de la organizacin, la copia de
programas para fines de comercializacin sin reportar los derechos de autor hasta el
acceso por va telefnica a bases de datos a fin de modificar la informacin con
propsitos fraudulentos.
 Auditoria de la seguridad de los sistemas computacionales

Una auditora de seguridad informtica o auditora de seguridad de sistemas de

informacin (SI) es el estudio que comprende el anlisis y gestin de sistemas llevados
a cabo por profesionales para identificar, enumerar y posteriormente describir las
diversas vulnerabilidades que pudieran presentarse en una revisin exhaustiva de las
estaciones de trabajo, redes de comunicaciones o servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los

responsables quienes debern establecer medidas preventivas de refuerzo y/o
correccin siguiendo siempre un proceso secuencial que permita a los administradores
mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con
anterioridad.

Las auditoras de seguridad de SI permiten conocer en el momento de su

realizacin cul es la situacin exacta de sus activos de informacin en cuanto a
proteccin, control y medidas de seguridad.

Fases de una auditora

Los servicios de auditora constan de las siguientes fases:

Enumeracin de redes, topologas y protocolos

Verificacin del Cumplimiento de los estndares internacionales. ISO, COBIT,
etc.
Identificacin de los sistemas operativos instalados
Anlisis de servicios y aplicaciones
Deteccin, comprobacin y evaluacin de vulnerabilidades
Medidas especficas de correccin
Recomendaciones sobre implantacin de medidas preventivas.
Tipos de auditora

Los servicios de auditora pueden ser de distinta ndole:

Auditora de seguridad interna. En este tipo de auditora se contrasta el nivel de

seguridad y privacidad de las redes locales y corporativas de carcter interno
Auditora de seguridad perimetral. En este tipo de anlisis, el permetro de la red
local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en
las entradas exteriores
Test de intrusin. El test de intrusin es un mtodo de auditora mediante el cual
se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la
intrusin no deseada. Es un complemento fundamental para la auditora
perimetral.
Anlisis forense. El anlisis forense es una metodologa de estudio ideal para el
anlisis posterior de incidentes, mediante el cual se trata de reconstruir cmo se
ha penetrado en el sistema, a la par que se valoran los daos ocasionados. Si
los daos han provocado la inoperabilidad del sistema, el anlisis se denomina
anlisis postmortem.
Auditora de pginas web. Entendida como el anlisis externo de la web,
comprobando vulnerabilidades como la inyeccin de cdigo sql, Verificacin de
existencia y anulacin de posibilidades de Cross Site Scripting (XSS), etc.
Auditora de cdigo de aplicaciones. Anlisis del cdigo tanto de aplicaciones
pginas Web como de cualquier tipo de aplicacin, independientemente del
lenguaje empleado

Realizar auditoras con cierta frecuencia asegura la integridad de los controles de

seguridad aplicados a los sistemas de informacin. Acciones como el constante cambio
en las configuraciones, la instalacin de parches, actualizacin de lossoftware y la
adquisicin de nuevo hardware hacen necesario que los sistemas estn continuamente
verificados mediante auditora.
Estndares de Auditora Informtica y de Seguridad

Una auditora se realiza con base a un patrn o conjunto de directrices o buenas

practicas sugeridas. Existen estndares orientados a servir como base para auditoras
de informtica. Uno de ellos es COBIT (Objetivos de Control de la Tecnologas de la
Informacin), dentro de los objetivos definidos como parmetro, se encuentra el
"Garantizar la Seguridad de los Sistemas". Adicional a este estndar podemos
encontrar el estndar ISO 27002, el cual se conforma como un cdigo internacional de
buenas prcticas de seguridad de la informacin, este puede constituirse como una
directriz de auditora apoyndose de otros estndares de seguridad de la informacin
que definen los requisitos de auditora y sistemas de gestin de seguridad, como lo es
el estndar ISO 27001.

Es la Revisin exhaustiva, tcnica y especializada que se realiza a todo lo

relacionado Con la seguridad de un sistema de cmputo, sus reas y personal, as
como a lasactividades, funciones y acciones preventivas y correctivas que contribuyan
asalvaguardar la seguridad de los equipos computacionales, las bases de datos,redes,
instalaciones y usuarios del sistema. Es tambin la revisin de los planesde
contingencia y medidas de proteccin para la informacin, los usuarios y lospropios
sistemas computacionales, y en s para todos aquellos aspectos quecontribuyen a la
proteccin y salvaguarda en el buen funcionamiento del rea desistematizacin,
sistemas de redes o computadores personales, incluyendo laprevencin y erradicacin
de los virus informticos.

Auditoria a un ambiente de microcomputadoras

El propsito de esta Norma Internacional de Auditora (NIA) es establecer normas y

proporcionar lineamientos sobre los procedimientos que deben seguirse cuando se
conduce una auditora en un ambiente de sistemas de informacin computarizado (SIC)
Para fines de las NIAs, un ambiente SIC existe cuando est involucrada una
computadora de cualquier tipo o tamao en el procesamiento de informacin financiera
de importancia para la auditora, ya sea que dicha computadora sea operada por la
entidad o por un tercero.
El auditor deber considerar como afecta a la auditora un ambiente SIC.

El objetivo y alcance globales de una auditora no cambia en un ambiente SIC.

Sin embargo, el uso de una computadora cambia el procesamiento, almacenamiento y
comunicacin de la informacin financiera y puede afectar los sistemas de contabilidad
y de control interno empleados por la entidad. Por consiguiente, un ambiente SIC
puede afectar:

Los procedimientos seguidos por un auditor para obtener una comprensin suficiente
de los sistemas de contabilidad y de control interno.

La consideracin del riesgo inherente y del riesgo de control a travs del cual el
auditor llega a la evaluacin del riesgo.

El diseo y desarrollo por el auditor de pruebas de control y procedimientos

sustantivos apropiados para cumplir con el objetivo de la auditora.

Auditoria Informtica De Comunicacin Y Redes

Este tipo de auditoria deber inquirir o actuar sobre los ndices de utilizacin de las
lneas contratadas con informacin sobre tiempos de uso y de no uso, deber conocer
la topologa de la red de comunicaciones, ya sea la actual o la desactualizada. Deber
conocer cuantas lneas existen, como son, donde estn instaladas, y sobre ellas hacer
una suposicin de inoperatividad informtica. Todas estas actividades deben estar
coordinadas y dependientes de una sola organizacin (Debemos conocer los tipos de
mapas actuales y anteriores, como son las lneas, el ancho de banda, suponer que
todas las lneas estn mal, la suposicin mala confirmarlo).

Auditoria Informtica De Sistemas

Se ocupa de analizar la actividad que se conoce como tcnica de sistemas, en

todos sus factores. La importancia creciente de las telecomunicaciones o propicia de
que las comunicaciones, lneas y redes de las instalaciones informticas se auditen por
separado, aunque formen parte del entorno general del sistema (Ej. De auditar el
cableado estructurado, ancho de banda de una red LAN)