UNIVERSIDAD MAYOR DE SAN ANDRES

FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS

CARRERA DE AUDITORIA

AUDITORIA DE
SISTEMAS
INFORMATICOS

M. Sc. Miguel Cotaña Mier Lp, Noviembre 2011

4. Normas de Auditoria de Sistemas 1

 ADMINISTRACION DE USUARIOS

La administración de usuarios es un
aspecto fundamental para mantener la
seguridad en los SI.
Se deben tener en cuenta:
Administración de cuentas;
Revisiones de auditoria;
Detección de actividades no
autorizadas.
2
 FORMULARIO DE
Para la administración SOLICITUD DE CAMBIOS

de cuentas de
usuarios, debe existir Área:
un formulario para
que las áreas usuarias Tipo: -

autorizadas realicen Alta Baja Modif.

las solicitudes de Explicación:
altas, bajas y
modificaciones de
cuentas de usuario. Fecha
3
Firma Jefe área Firma Gerente Sistemas
 REVISIONES DE AUDITORIA

La administración de cuentas de usuario

debe ser periódicamente revisada y
debe incluir:
 El examen de las posibilidades de
acceso que tiene el usuario;
 Si todas las cuentas permanecen
activas;
 Si todos los cambios fueron
debidamente autorizados. 4
 DETECCION NO AUTORIZADAS

Deben existir mecanismos adicionales

para impedir que los usuarios realicen la
instalación de nuevas aplicaciones no
autorizadas, ingresen a sitios en
Internet no relacionados con el trabajo
realizado, modifiquen las
configuraciones del sistemas, o realicen
actividades que perjudiquen el normal
desenvolvimiento del negocio. 5
El control de
horario de uso de
los equipos
también debe ser
realizado, a fin de
evitar la posibilidad
de que se realicen
actividades no
autorizadas o
ilegales. 6
7
Las herramientas de control deben
permitir:
 Establecer restricciones de sitios
Web.
 Establecer límites de tiempo de uso
del ordenador.
Controlar el acceso a juegos.
 Permitir o bloquear el uso de
programas específicos.
 Controlar las actividades de un 8
usuario.
Restricciones de sitios Web:
Alto: opción recomendada para niños;
Medio: se filtran por categorías. Se
puede acceder a varios sitios, pero no
permite contenidos inapropiados;
Ninguno: no se bloquea
automáticamente ningún sitio Web.
Personalizado: este nivel usa también
las categorías de contenido, pero
permite filtrar aún más categorías de
forma personalizada. 9
Límites de tiempo de
uso de la
computadora: Permite
establecer el horario en
el que un usuario podrá
utilizar su sesión,
indicando para cada día
de la semana los
horarios permitidos y
denegados 10
Programas que se
pueden utilizar tiene
dos configuraciones
iniciales:
 Permitir que el
usuario pueda usar
todos los programas;
Sólo utilizar los
programas
permitidos. 11
Controlar la actividad del usuario:
Realizar un control de la actividad de los
usuarios del sistema. Cabe destacar que esta
es una funcionalidad de control y no de
prevención y que debe ser usada con el
criterio correcto para no invadir la privacidad.

12
Comprobar acciones realizadas, por ejemplo:
sitios web más visitados;
sitios web bloqueados recientemente;
sitios web que se intentaron visitar y fueron
bloqueados;
descargas de archivos bloqueadas;
tiempos de conexión;
aplicaciones ejecutadas;
cantidad de correos electrónicos;
uso de programas de mensajería instantánea;
uso del reproductor multimedia. 13
 IDENTIFICACION (User ID)

La administración de
identificadores de
usuarios debe incluir:
Todos los usuarios
deben poseer un ID
único;
Los datos no deben ser
genéricos;
No debe existir
información de
respuesta ante un
intento de ingreso
fallido;
14
Debe desplegarse en
pantalla la fecha y hora
debajo del ID;
Debe existir una
desconexión luego de
un tiempo de
inactividad;
El reestablecimiento de
la sesión tendrá lugar
solamente con el
ingreso del usuario
autorizado.
15
 AUTENTICACION (passwords)

Es cualquier proceso
mediante el cual se
verifica si alguien es
quien dice ser.
La autorización es
cualquier proceso por
el cual a alguien se le
permite estar donde
quiere ir, o tener la
información que quiere
obtener. 16
La administración de contraseñas
incluye:
Construcción de la contraseña;
Diseño de la interfaz de usuario del
sistema de contraseñas;
Diseño interno de contraseña.
La administración de contraseñas
incluye: responsabilidades del usuario
con respecto a la contraseña y
responsabilidades del administrador con
respecto de la contraseña. 17
Construcción de la contraseña: Para
un atacante, una contraseña segura debe
parecerse a una cadena aleatoria de
caracteres. Una contraseña segura debe
considerar los siguientes criterios:
Que no sea corta. Cada carácter que agrega
a su contraseña aumenta exponencialmente
el grado de protección que ésta ofrece. Las
contraseñas deben contener en un rango
entre 8 y 14 caracteres.
18
Combine letras, números y símbolos. Cuanto
más diversos sean los tipos de caracteres de
la contraseña, más difícil será adivinarla.
Cuantos menos tipos de caracteres haya en la
contraseña, más larga deberá ser ésta. Una
contraseña de 15 caracteres formada
únicamente por letras y números aleatorios es
unas 33.000 veces más segura que una
contraseña de 8 caracteres compuesta de
caracteres de todo tipo. 19
Las contraseñas son fácilmente averiguables
mediante ingeniería social.

20
Utilizar palabras y frases que resulte
fácil recordar, pero que a otras personas
les sea difícil adivinar. La manera más
sencilla de recordar sus contraseñas y frases
codificadas consiste en anotarlas. Al contrario
que lo que se cree habitualmente, no hay
nada malo en anotar las contraseñas, si bien
estas anotaciones deben estar debidamente
protegidas para que resulten seguras y
eficaces. 21
Por lo general, las
contraseñas escritas en un
trozo de papel suponen un
riesgo menor en Internet
que un administrador de
contraseñas, un sitio web u
otra herramienta de
almacenamiento basada en
software.
22
6 pasos para crear contraseñas:
1. Piense en una frase que pueda recordar;
2. Compruebe si el equipo o el sistema en línea
admite directamente la frase codificada;
3. Si el equipo o el sistema en línea no admite
frases codificadas, conviértalas en
contraseñas;
4. Aumente la complejidad combinando
mayúsculas, minúsculas y números;
5. Realice sustituciones con algunos caracteres
especiales; 23
6. Pruebe la fortaleza de la contraseña.
Estrategias: Algunos métodos que suelen
emplearse para crear contraseñas resultan
fáciles de adivinar para un delincuente. A fin
de evitar contraseñas poco seguras:
 No incluya secuencias ni caracteres
repetidos. Cadenas como "12345678",
"222222", "abcdefg" o el uso de letras
adyacentes en el teclado no ayudan a crear
contraseñas seguras.
24
 Evite utilizar únicamente sustituciones de
letras por números o símbolos similares.
Los delincuentes y otros usuarios
malintencionados que tienen experiencia
en descifrar contraseñas no se dejarán
engañar fácilmente por reemplazos de
letras por números o símbolos parecidos;
por ejemplo, 'i' por '1' o 'a' por '@', como
en "M1cr0$0ft" o en "C0ntr@señ@“.
25
 No utilice el nombre de inicio de sesión.
Cualquier parte del nombre, fecha de
nacimiento, número de la seguridad social
o datos similares propios o de sus
familiares constituye una mala elección
para definir una contraseña. Son algunas
de las primeras claves que probarán los
delincuentes.
26
No utilice palabras de diccionario de ningún
idioma. Los delincuentes emplean
herramientas complejas capaces de
descifrar rápidamente contraseñas basadas
en palabras de distintos diccionarios, que
también abarcan palabras inversas, errores
ortográficos comunes y sustituciones. Esto
incluye todo tipo de blasfemias y cualquier
palabra que no diría en presencia de sus
hijos. 27
 Utilice varias contraseñas para distintos
entornos. Si alguno de los equipos o
sistemas en línea que utilizan esta
contraseña queda expuesto, toda la
información protegida por esa contraseña
también deberá considerarse en peligro. Es
muy importante utilizar contraseñas
diferentes para distintos sistemas.
 Evite utilizar sistemas de almacenamiento
en línea. 28
Mantener en secreto las contraseñas:
 No las revele a nadie.
 Proteja las contraseñas registradas.
 No facilite nunca su contraseña por
correo electrónico ni porque se le pida
por ese medio.
 Cambie sus contraseñas con regularidad
o en forma periódica.
 No escriba contraseñas en equipos que
no controla. 29
Diseño interno de la contraseña:
Las contraseñas no deben ser
almacenados en formato legible;
Encripción de contraseñas;
Prevención de extracción de contraseñas;
Cambio de contraseña de proveedor.

30
 COPIAS DE RESPALDO (backup)

La administración de copias de respaldo

incluyen:
 Datos a ser almacenados y
frecuencia mínima de backups;
 Encripción de backups
almacenados en lugar externo;
 Dos copias de la información
sensible, valiosa o crítica;
 Realizar backups de datos a
diario, semanales, etc. 31
 NORMAS DE ADM. DEPTO. SISTEMAS

Las mas importantes deben ser

tomadas en cuenta por gerentes y jefes
del departamento de sistemas:
Planificación estratégica;
Comité de sistemas;
Políticas y procedimientos;
Políticas de Recursos Humanos.

32
 NORMAS DE AUDITORIA DE SISTEMAS

La asociación de Auditoria y Control de

Sistemas (ISACA) señala que las
normas definen los requerimientos
mandatorios para la auditoria de
sistemas e informes relacionados

33
Normas principales de la ISACA:
Responsabilidad y autoridad;
Independencia profesional;
Relación organizacional;
Ética profesional y normas;
El debido cuidado profesional;
Competencia;
Educación profesional continua;
Planificación;
Evidencia;
Preparación para informe;
Actividades de seguimiento. 34
 NORMAS DE DESARROLLO DE SISTEMAS

Tienen por objetivo el asegurar que los

sistemas desarrollados son consistentes
y que se elabora la documentación
adecuada para su posterior operación y
mantenimiento:
Inicio del proyecto;
Estudio de factibilidad;
Análisis y diseño;
Desarrollo;
Implantación. 35
 NORMAS DE AUDITORIA GUBERNAMENTAL

Según resolución originada de la

Contraloría General de la República
(ahora Contraloría General del Estado
Plurinacional) CGR/079/2006 estas
normas son de aplicación obligatoria en
la práctica de la auditoria a realizarse,
específicamente considerando los
conceptos de relevancia ajustados a TI.
36
Las normas generales de Auditoría
Gubernamental, están relacionadas a:
Competencia;
Independencia;
Ética;
Diligencia profesional;
Control de calidad;
Ordenamiento jurídico;
Relevamiento de la información;
Ejecución;
Seguimiento. 37
 NORMAS DE AUDITORIA DE TI

El manual de Normas de Auditoria

Gubernamental hace referencia a un
conjunto de normas y aclaraciones que
permiten asegurar la uniformidad y la
calidad de la auditoria gubernamental
en Bolivia.
Son de aplicación obligatoria en el
marco de la ley 1178.
38
Una Auditoría de Tecnologías de la
Información y la Comunicación (NAG-
TIC) es el examen objetivo, crítico,
metodológico y selectivo de evidencia
relacionada con políticas, prácticas,
procesos y procedimientos en materia
de TIC.

39
Para que de esta manera expresar una
opinión independiente respecto:
 A la confidencialidad, integridad,
disponibilidad y confiabilidad de la
información;
Al uso eficaz de los recursos
tecnológicos;
A la efectividad del sistema de
control interno asociado a las TIC´s.
40
La auditoria de TIC´s está definida por
sus objetivos y puede ser orientada
hacia uno o varios de los enfoques:
a) Enfoque a las seguridades:
Consiste en evaluar las seguridades
implementadas en los SI con la
finalidad de mantener la
confidencialidad, integridad y
disponibilidad de la información;
41
b) Enfoque a la información:
Consiste en evaluar la estructura,
integridad y confiabilidad de la
información gestionada por el SI;
c) Enfoque a la infraestructura
tecnológica: Consiste en evaluar la
correspondencia de los recursos
tecnológicos en relación a los
objetivos previstos;
42
d) Enfoque al software de
aplicación: Consiste en evaluar la
eficacia de los procesos y controles
inmersos en el software de
aplicación, que el diseño conceptual
de éste cumpla con el ordenamiento
jurídico administrativo vigente;

43
e) Enfoque a las Comunicaciones y
Redes: Consiste en evaluar la
confidencialidad y desempeño del
sistema de comunicación para
mantener la disponibilidad de la
información.

44
El conjunto de actividades, acciones y
tareas debe contemplar las siguientes
normas (según CGR/079/2006):
1. PLANIFICACIÓN
“La auditoria de TIC se debe planificar
en forma metodológica, para alcanzar
eficientemente los objetivos de la
misma”
45
2. SUPERVISION
“Personal competente debe
supervisar sistemática y
oportunamente el trabajo realizado
por los profesionales que conformen
el equipo de auditoria”

46
3. CONTROL INTERNO
“Se debe comprender y evaluar el
control interno para identificar las
áreas críticas que requieren un
examen profundo y determinar su
grado de confiabilidad a fin de
establecer la naturaleza, alcance y
oportunidad de los procedimientos
de auditoria a aplicar” 47
4. EVIDENCIA
“Debe obtenerse evidencia válida,
relevante y suficiente como base
razonable para sustentar los
hallazgos y conclusiones del auditor
gubernamental”
5. COMUNICACIÓN RESULTADOS
“El informe de auditoria de TIC debe
ser oportuno, objetivo, claro,
preciso y será el medio para
comunicar los resultados obtenidos
48

durante la misma”.