Académique Documents
Professionnel Documents
Culture Documents
AUDITORIA DE
SISTEMAS
INFORMATICOS
La administración de usuarios es un
aspecto fundamental para mantener la
seguridad en los SI.
Se deben tener en cuenta:
Administración de cuentas;
Revisiones de auditoria;
Detección de actividades no
autorizadas.
2
FORMULARIO DE
Para la administración SOLICITUD DE CAMBIOS
de cuentas de
usuarios, debe existir Área:
un formulario para
que las áreas usuarias Tipo: -
12
Comprobar acciones realizadas, por ejemplo:
sitios web más visitados;
sitios web bloqueados recientemente;
sitios web que se intentaron visitar y fueron
bloqueados;
descargas de archivos bloqueadas;
tiempos de conexión;
aplicaciones ejecutadas;
cantidad de correos electrónicos;
uso de programas de mensajería instantánea;
uso del reproductor multimedia. 13
IDENTIFICACION (User ID)
La administración de
identificadores de
usuarios debe incluir:
Todos los usuarios
deben poseer un ID
único;
Los datos no deben ser
genéricos;
No debe existir
información de
respuesta ante un
intento de ingreso
fallido;
14
Debe desplegarse en
pantalla la fecha y hora
debajo del ID;
Debe existir una
desconexión luego de
un tiempo de
inactividad;
El reestablecimiento de
la sesión tendrá lugar
solamente con el
ingreso del usuario
autorizado.
15
AUTENTICACION (passwords)
Es cualquier proceso
mediante el cual se
verifica si alguien es
quien dice ser.
La autorización es
cualquier proceso por
el cual a alguien se le
permite estar donde
quiere ir, o tener la
información que quiere
obtener. 16
La administración de contraseñas
incluye:
Construcción de la contraseña;
Diseño de la interfaz de usuario del
sistema de contraseñas;
Diseño interno de contraseña.
La administración de contraseñas
incluye: responsabilidades del usuario
con respecto a la contraseña y
responsabilidades del administrador con
respecto de la contraseña. 17
Construcción de la contraseña: Para
un atacante, una contraseña segura debe
parecerse a una cadena aleatoria de
caracteres. Una contraseña segura debe
considerar los siguientes criterios:
Que no sea corta. Cada carácter que agrega
a su contraseña aumenta exponencialmente
el grado de protección que ésta ofrece. Las
contraseñas deben contener en un rango
entre 8 y 14 caracteres.
18
Combine letras, números y símbolos. Cuanto
más diversos sean los tipos de caracteres de
la contraseña, más difícil será adivinarla.
Cuantos menos tipos de caracteres haya en la
contraseña, más larga deberá ser ésta. Una
contraseña de 15 caracteres formada
únicamente por letras y números aleatorios es
unas 33.000 veces más segura que una
contraseña de 8 caracteres compuesta de
caracteres de todo tipo. 19
Las contraseñas son fácilmente averiguables
mediante ingeniería social.
20
Utilizar palabras y frases que resulte
fácil recordar, pero que a otras personas
les sea difícil adivinar. La manera más
sencilla de recordar sus contraseñas y frases
codificadas consiste en anotarlas. Al contrario
que lo que se cree habitualmente, no hay
nada malo en anotar las contraseñas, si bien
estas anotaciones deben estar debidamente
protegidas para que resulten seguras y
eficaces. 21
Por lo general, las
contraseñas escritas en un
trozo de papel suponen un
riesgo menor en Internet
que un administrador de
contraseñas, un sitio web u
otra herramienta de
almacenamiento basada en
software.
22
6 pasos para crear contraseñas:
1. Piense en una frase que pueda recordar;
2. Compruebe si el equipo o el sistema en línea
admite directamente la frase codificada;
3. Si el equipo o el sistema en línea no admite
frases codificadas, conviértalas en
contraseñas;
4. Aumente la complejidad combinando
mayúsculas, minúsculas y números;
5. Realice sustituciones con algunos caracteres
especiales; 23
6. Pruebe la fortaleza de la contraseña.
Estrategias: Algunos métodos que suelen
emplearse para crear contraseñas resultan
fáciles de adivinar para un delincuente. A fin
de evitar contraseñas poco seguras:
No incluya secuencias ni caracteres
repetidos. Cadenas como "12345678",
"222222", "abcdefg" o el uso de letras
adyacentes en el teclado no ayudan a crear
contraseñas seguras.
24
Evite utilizar únicamente sustituciones de
letras por números o símbolos similares.
Los delincuentes y otros usuarios
malintencionados que tienen experiencia
en descifrar contraseñas no se dejarán
engañar fácilmente por reemplazos de
letras por números o símbolos parecidos;
por ejemplo, 'i' por '1' o 'a' por '@', como
en "M1cr0$0ft" o en "C0ntr@señ@“.
25
No utilice el nombre de inicio de sesión.
Cualquier parte del nombre, fecha de
nacimiento, número de la seguridad social
o datos similares propios o de sus
familiares constituye una mala elección
para definir una contraseña. Son algunas
de las primeras claves que probarán los
delincuentes.
26
No utilice palabras de diccionario de ningún
idioma. Los delincuentes emplean
herramientas complejas capaces de
descifrar rápidamente contraseñas basadas
en palabras de distintos diccionarios, que
también abarcan palabras inversas, errores
ortográficos comunes y sustituciones. Esto
incluye todo tipo de blasfemias y cualquier
palabra que no diría en presencia de sus
hijos. 27
Utilice varias contraseñas para distintos
entornos. Si alguno de los equipos o
sistemas en línea que utilizan esta
contraseña queda expuesto, toda la
información protegida por esa contraseña
también deberá considerarse en peligro. Es
muy importante utilizar contraseñas
diferentes para distintos sistemas.
Evite utilizar sistemas de almacenamiento
en línea. 28
Mantener en secreto las contraseñas:
No las revele a nadie.
Proteja las contraseñas registradas.
No facilite nunca su contraseña por
correo electrónico ni porque se le pida
por ese medio.
Cambie sus contraseñas con regularidad
o en forma periódica.
No escriba contraseñas en equipos que
no controla. 29
Diseño interno de la contraseña:
Las contraseñas no deben ser
almacenados en formato legible;
Encripción de contraseñas;
Prevención de extracción de contraseñas;
Cambio de contraseña de proveedor.
30
COPIAS DE RESPALDO (backup)
32
NORMAS DE AUDITORIA DE SISTEMAS
33
Normas principales de la ISACA:
Responsabilidad y autoridad;
Independencia profesional;
Relación organizacional;
Ética profesional y normas;
El debido cuidado profesional;
Competencia;
Educación profesional continua;
Planificación;
Evidencia;
Preparación para informe;
Actividades de seguimiento. 34
NORMAS DE DESARROLLO DE SISTEMAS
39
Para que de esta manera expresar una
opinión independiente respecto:
A la confidencialidad, integridad,
disponibilidad y confiabilidad de la
información;
Al uso eficaz de los recursos
tecnológicos;
A la efectividad del sistema de
control interno asociado a las TIC´s.
40
La auditoria de TIC´s está definida por
sus objetivos y puede ser orientada
hacia uno o varios de los enfoques:
a) Enfoque a las seguridades:
Consiste en evaluar las seguridades
implementadas en los SI con la
finalidad de mantener la
confidencialidad, integridad y
disponibilidad de la información;
41
b) Enfoque a la información:
Consiste en evaluar la estructura,
integridad y confiabilidad de la
información gestionada por el SI;
c) Enfoque a la infraestructura
tecnológica: Consiste en evaluar la
correspondencia de los recursos
tecnológicos en relación a los
objetivos previstos;
42
d) Enfoque al software de
aplicación: Consiste en evaluar la
eficacia de los procesos y controles
inmersos en el software de
aplicación, que el diseño conceptual
de éste cumpla con el ordenamiento
jurídico administrativo vigente;
43
e) Enfoque a las Comunicaciones y
Redes: Consiste en evaluar la
confidencialidad y desempeño del
sistema de comunicación para
mantener la disponibilidad de la
información.
44
El conjunto de actividades, acciones y
tareas debe contemplar las siguientes
normas (según CGR/079/2006):
1. PLANIFICACIÓN
“La auditoria de TIC se debe planificar
en forma metodológica, para alcanzar
eficientemente los objetivos de la
misma”
45
2. SUPERVISION
“Personal competente debe
supervisar sistemática y
oportunamente el trabajo realizado
por los profesionales que conformen
el equipo de auditoria”
46
3. CONTROL INTERNO
“Se debe comprender y evaluar el
control interno para identificar las
áreas críticas que requieren un
examen profundo y determinar su
grado de confiabilidad a fin de
establecer la naturaleza, alcance y
oportunidad de los procedimientos
de auditoria a aplicar” 47
4. EVIDENCIA
“Debe obtenerse evidencia válida,
relevante y suficiente como base
razonable para sustentar los
hallazgos y conclusiones del auditor
gubernamental”
5. COMUNICACIÓN RESULTADOS
“El informe de auditoria de TIC debe
ser oportuno, objetivo, claro,
preciso y será el medio para
comunicar los resultados obtenidos
48
durante la misma”.