Académique Documents
Professionnel Documents
Culture Documents
Practica
Transféré par
Juana Rosario MTitre original
Copyright
Formats disponibles
Partager ce document
Partager ou intégrer le document
Avez-vous trouvé ce document utile ?
Ce contenu est-il inapproprié ?
Signaler ce documentDroits d'auteur :
Formats disponibles
Practica
Transféré par
Juana Rosario MDroits d'auteur :
Formats disponibles
Metodologa para la Auditora Informtica de la Seguridad de la Intranet de un Sistema
ndice
pginas Introduccin ............................................................................ El plan auditor informtico ..................................................... Metodologa ............................................................................ Etapas de la metodologa de auditora .................................... a) Definicin de mbito y objetivos ............................ b) Diagnstico ............................................................. c) Etapa de justificacin ............................................. d) Etapa de adecuacin ............................................... e) Etapa de formalizacin ........................................... f) Etapa de desarrollo e implantacin .......................... g) Presentacin del informe final ................................ Bibliografa ............................................................................. 2 2-3 3-5 5-18 5 5-10 10-12 12-14 14-15 15-18 18 19
Metodologa para la Auditora Informtica de la Seguridad de la Intranet de un Sistema
Introduccin
Para entender la necesidad de la realizacin de auditoras informticas es necesario comprender el papel destacado y creciente de las tecnologas de informacin en nuestra sociedad. Con esta mayor importancia ha ido incrementndose tambin la sofisticacin de los sistemas que les dan apoyo. La complejidad y dimensiones que han adquirido estos sistemas han hecho que sea crtica la implantacin de normas y procedimientos para su utilizacin, desarrollo, implantacin y mantenimiento. La auditora informtica vela por el adecuado cumplimiento de las normas que rigen los sistemas informticos y por que el sistema informtico: Funcione de manera continuada. Sirva a los objetivos para los que fue diseado. Sea seguro. Haga una utilizacin de los recursos ptima.
Nuestro trabajo se centra en el tercero de los objetivos. En este documento abordaremos la elaboracin de una metodologa para la realizacin de la auditora informtica de la seguridad de una intranet. Una intranet es una infraestructura basada en los estndares y tecnologas de Internet que soporta el compartir informacin dentro de un grupo bien definido y limitado. Aunque una intranet sea una red privada en la que se tengan grupos bien definidos y limitados, no se encuentra a salvo de ataques que pudiesen poner en riesgo la informacin que maneja. La mayor preocupacin de la mayora de los ejecutivos y directivos respecto a la implantacin de una intranet es la seguridad. Al igual que en otros aspectos de la implementacin de una intranet, los asuntos ms complicados en la seguridad no son de carcter tcnico, sino organizacional o estratgico.
El plan auditor informtico
El plan auditor informtico es el documento en que se define esta funcin y el trabajo que realiza dentro de la entidad en que se encuadra. Su contenido debe estar orientado con la estrategia organizativa y con el resto de los planes auditores. En un plan auditor diferenciamos: Funciones: Ubicacin de la auditora informtica dentro de la empresa, sus funciones, estructura del departamento y recursos que aglutina.
Metodologa para la Auditora Informtica de la Seguridad de la Intranet de un Sistema
Procedimientos: Manera en que se realizarn las distintas tareas de las auditoras. Tipos de auditoras que se realizan. Sistema de evaluacin y los aspectos que evala. Lista de distribucin de informes. Seguimiento de las acciones correctoras. Planes de trabajo y su periodicidad.
El plan auditor informtico se concreta en la prctica, entre otros aspectos, en una metodologa de trabajo que determina los hitos desde el inicio de la auditora informtica, ya sea por auditor interno o externo, hasta la entrega del informe final y la manera de alcanzarlos.
Metodologa
La auditora informtica debe respaldarse en un proceso formal que asegure su previo entendimiento por cada uno de los responsables de llevar a la prctica dicho proceso en la empresa. Al igual que otras funciones en el negocio, la auditora informtica efecta sus tareas y actividades mediante una metodologa. No es recomendable fomentar la dependencia en el desempeo de esta importante funcin slo con base en la experiencia, habilidades, criterios y conocimientos sin una referencia metodolgica. Contar con un mtodo garantiza que las cualidades de cada auditor sean orientadas a trabajar en equipo para la obtencin de resultados de alta calidad y de acuerdo a estndares predeterminados. La funcin de auditora informtica ha de contar tambin con un desarrollo de actividades basado en un mtodo de trabajo formal, que sea entendido por los auditores y complementado con tcnicas y herramientas propias de la funcin. El objetivo es brindar a los responsables de dichas reas un camino estructurado por el que obtengan los resultados esperados por la empresa, siguiendo un plan. Es importante sealar que el uso de la metodologa no garantiza por s sola el xito de los proyectos de auditoria en informtica; adems, se requiere un buen dominio y uso constante de los siguientes aspectos complementarios: Tcnicas Herramientas de productividad Habilidades personales Conocimientos tcnicos y administrativos
Metodologa para la Auditora Informtica de la Seguridad de la Intranet de un Sistema
Experiencia en los campos de auditora e informtica Conocimiento de los factores del negocio y del medio externo al mismo Actualizacin permanente Comunicacin constante con asociaciones nacionales e internacionales relacionadas.
El uso de un proceso de trabajo metodolgico y estndar en la funcin de auditora informtica genera las siguientes ventajas: Los recursos orientan sus esfuerzos a la obtencin de productos y servicios de calidad, con caractersticas y requisitos comunes para todos los responsables. Las tareas y productos terminados de los proyectos se encuentran definidos y formalizados en un documento al alcance de los auditores informticos. Se facilita en alto grado la administracin y seguimiento de los proyectos, pues la metodologa obliga a la planificacin detallada de cada proyecto bajo criterios estndares. Facilita la superacin profesional y humana de los individuos, ya que orienta los esfuerzos hacia la especializacin, responsabilidad, estructuracin y depuracin de las funciones del auditor. El proceso de capacitacin o actualizacin en el uso de un proceso metodolgico es ms gil y eficiente, dado que se trabaja sobre tareas y pautas perfectamente definidas.
Requisitos para el xito del proceso metodolgico Contar con una metodologa formalmente documentada no es garanta de que los proyectos de auditora informtica tendrn xito; pero, no cumplir con las siguientes condiciones conducir a la funcin de auditora informtica a que sus proyectos no cumplan con los tiempos, costos o resultados esperados: Aprobacin de la metodologa por la alta direccin. Adecuacin de la metodologa a los requerimientos especficos del negocio (cuidado con reducir tareas y eliminar productos importantes con el fin de ahorrar tiempo o por criterios personales; es til apoyarse en un asesor experto). Documentacin o actualizacin de la metodologa. Capacitacin formal en el uso de la metodologa (de acuerdo con el perfil y nivel de participacin de cada individuo involucrado). Elaboracin de los planes de auditora informtica segn la metodologa.
Metodologa para la Auditora Informtica de la Seguridad de la Intranet de un Sistema
Verificacin del uso formal de la metodologa en cada proyecto. Capacitacin formal para el personal de nuevo ingreso o cuando se lleven a cabo actualizaciones relevantes a la metodologa.
Etapas de la metodologa de auditora
La metodologa de auditora de seguridad de la Intranet se estructura en seis etapas que detallamos a continuacin: a) Definicin de mbito y objetivos: Lo primero que debe tener en cuenta una auditora son los requerimientos del sistema: Necesitan disponibilidad las 24 horas de los siete das de la semana o slo un horario limitado? Cules son los requerimientos del acceso? Est limitado el acceso a al intranet a la alta direccin o pueden acceder todos los empleados? Pueden acceder clientes, proveedores o accionistas? Cuntos usuarios utilizan en promedio la intranet en las puntas de actividad? Qu cantidad de datos hay almacenados? Existe obligacin legal de almacenar datos durante un perodo de tiempo determinado? Existen datos personales o extremadamente confidenciales que requieran una especial proteccin? Qu criticidad tienen los datos almacenados para nuestro negocio en caso de acceso de competidores u otros intrusos, o si se destruyen los datos? A partir de estos requerimientos, partiendo de que nuestro objetivo es la seguridad de la intranet, se establecer los asuntos, infraestructura y personal que integran la intranet y que sern objeto de la auditora. b) Diagnstico: El siguiente paso que tiene que dar el auditor informtico dentro de las empresas o instituciones al efectuar un proyecto de auditora informtica es hacer un diagnstico del negocio, que incluye a la alta direccin y las reas usuarias. Se busca la opinin de la primera para poder saber el grado de satisfaccin y confianza que tienen en los productos, servicios y recursos de informtica en el negocio. Tambin se detectan las fortalezas, aciertos y apoyo que brinda dicha funcin, por otro lado son muy importantes las oportunidades que puede ofrece la informtica para hacer ms competitivo el negocio.
Metodologa para la Auditora Informtica de la Seguridad de la Intranet de un Sistema
Las actividades del auditor informtico deben quedar bien definidas en los componentes formales que integran cualquier trabajo dentro de una organizacin. En esta fase, se visualizan los primeros sntomas, los cuales posteriormente pueden ser los ms relevantes. Conocimiento del negocio: El auditor en informtica debe conocer e interiorizarse en el tipo de organizacin que acta: la misin, estrategias, planes y el nivel jerrquico de la funcin de informtica; tambin es importante saber las entidades externas a la empresa que se relacionan con cada rea de la misma. Apoyo al negocio: El auditor informtico debe tener una idea global del grado de apoyo y satisfaccin que existe en el negocio, y saber hacia donde se orienta el soporte de la funcin de informtica. Por ejemplo, se deben conocer de manera general los siguientes aspectos: La participacin de la informtica en los proyectos clave para el negocio, Imagen de informtica ante la alta direccin, Grado de satisfaccin que existe por los servicios prestados por la informtica, Expectativas que tiene el negocio sobre la funcin de la informtica, Debilidades y fortalezas de informtica Otros de inters especfico del auditor
reas de oportunidad: Aqu se detectan las caractersticas que van a facilitar la implementacin de soluciones brindadas por informtica y que tendrn un gran impacto sobre alguna funcin o gerencia del negocio. Tambin se pueden proponer acciones inmediatas o a corto plazo, de las cuales se podr obtener beneficios directos. En esta fase preliminar el estudio es corto en tiempo y general en su investigacin. Es muy importante mencionar que las propuestas de las reas de oportunidad deben ser analizadas y documentadas antes de ponerlas en prctica. Diagnstico de informtica Aqu el auditor se coordina directamente con el responsable de la funcin de informtica. Conocimiento de la funcin de informtica:
Metodologa para la Auditora Informtica de la Seguridad de la Intranet de un Sistema
En esta parte el auditor conocer la estructura interna de informtica, funciones, objetivos, estrategias, planes y polticas. La tecnologa de software y hardware es en la que se apoya para llevar a cabo su funcin dentro del negocio. Las entrevistas deben hacerse con el responsable de informtica. El auditor debe ser profesional y tico en su trabajo para brindarles seguridad de que al final de su tarea beneficiar a los que lo contrataron. El auditor en informtica debe lograr un equipo de trabajo unido, y que el lder de proyectos (es quien se encarga de coordinar y supervisar los proyectos de la auditora; puede tener a uno o ms auditores) desarrolle una buena comunicacin con el personal de informtica en esta etapa. Es clave remarcar y evaluar los servicios que presta informtica a las diferentes reas del negocio y en los distintos niveles organizacionales, estos servicios pueden ser ejecutados por personal externo y coordinados por informtica. Observacin: Para obtener toda la informacin posible sobre el diagnstico del negocio y de informtica, el auditor se apoyara sobre cuestionarios detallados. Debemos analizar las reas siguientes: Seguridad fsica: Al examinar la seguridad fsica el auditor deber estar preocupado por la localizacin fsica del sistema y desde dnde se puede acceder al mismo. Para la mayora de los sistemas, tiene sentido instalar el servidor de datos y servidor web en una habitacin con aire acondicionado que no tenga ventanas y sea de difcil acceso (preferiblemente con acceso controlado por algn lector de tarjetas de seguridad o sistema de claves de seguridad). Para sistemas ms crticos, puede ser tambin importante limitar los poseedores de esas tarjetas y cambiar el cdigo de acceso a la habitacin de los servidores de manera regular. En funcin del nivel de seguridad requerido, pude ser necesario comprobar que los guardias de seguridad estn formados para la defensa contra intrusos. Para sistemas con requerimientos de alta disponibilidad y alta criticidad para el negocio, es crucial asegurar que la totalidad del sistema ha sido duplicado en prevencin de desastres, de manera que se pueda cambiar al sistema de reserva en caso necesario. Es importante comprobar que el sitio de reserva es tan seguro como el principal.
Metodologa para la Auditora Informtica de la Seguridad de la Intranet de un Sistema
Procedimientos, roles y responsabilidades: Es fundamental asegurar que las polticas puestas en prctica en la Intranet para asegurar la auditora y trazabilidad se usan de manera efectiva. Algunos sistemas requerirn, por motivos legales u operacionales, un registro de transacciones mayor que otros, pero todos debern registrar los intentos de acceso a la red fallidos y su procedencia (IP u otro identificador). Existen procedimientos implantados para asegurar que los audit. logs o registros de auditora de la actividad del sistema se revisen en busca de indicios de actividades maliciosas? Quin los lleva a cabo? Con qu frecuencia? Son efectivos? Existen normas que eviten que las contraseas de acceso puedan ser descubiertas fcilmente? Por ejemplo, es obligatorio que las claves de acceso tengan ocho caracteres que combinen letras y nmeros? Fuerza el sistema a cambiar las claves de acceso regularmente? El software antivirus ms efectivo no puede enfrentarse a un virus tan nuevo para la que no exista antdoto todava. Se han implantado procedimientos sobre lo que debe hacerse si se descubre un ataque de un virus? Deben cerrarse los servidores de correo ante una eventualidad como esta? Y los servidores web?. En estos casos a quin se debe informar del ataque? Quin es el responsable de decidir lo seria que es la amenaza?. Es importante que el auditor contraste que los procedimientos no slo estn escritos en un documento y olvidados, sino que existe un conocimiento aceptable por parte de los responsables de su ejecucin. Identificacin, autenticacin y acceso: Un auditor debe vigilar no slo las rutas fsicas al sistema (hardware), sino tambin las lgicas, esto es, desde qu redes se puede acceder al sistema y de qu manera. Existe una red privada virtual que permita el acceso al rea local (LAN) desde fuera del edificio fsico? Se permite el acceso al sistema desde sitios web? Puede el personal acceder a la Intranet desde sus hogares? Para cada punto de acceso lgico el auditor debe comprobar que existen medios efectivos de identificar y autenticar los grupos de usuarios a los que se permite acceder desde el mismo. Dependiendo del nivel de seguridad requerido esto puede implicar simplemente usar usuarios y claves de acceso, emisin de passwords de un solo uso, uso de claves de encriptacin SSL almacenadas en sus PCc o usar claves SET residentes en una tarjeta leda por un lector especial. Donde no sea necesario cambiar claves a menudo, pero los datos son confidenciales, se pueden combinar las claves de acceso con otros medios orientados a autenticar al usuario como las tarjetas de coordenadas u la identificacin de la direccin IP del equipo.
Metodologa para la Auditora Informtica de la Seguridad de la Intranet de un Sistema
Es importante ver lo bien que se gestionan las sesiones, cuentas y accesos. Caducan las sesiones, tras un perodo de inactividad? Este mecanismo evita el uso no autorizado de un PC en el que un usuario haya dejado la sesin abierta. Se borran las cuentas de antiguos usuarios de manera regular? Se controla adecuadamente quien puede crear nuevas cuentas de usuario? Se corresponden los perfiles de acceso con las tareas que desempean los usuarios que los detentan?. Requerimientos de la arquitectura tcnica: El auditor debe garantizar que la arquitectura tcnica puede soportar el nivel de seguridad requerido. La arquitectura tcnica de una intranet se disea para permitir el acceso slo a usuarios internos a sistemas y datos internos. Con este escenario, un firewall o servidor proxy puede facilitar la puerta de acceso a travs de la cual los empleados puedan acceder a Internet, pero nadie pueda acceder al sistema interno desde Internet. El firewall se puede utilizar tambin para restringir los tipos de contenidos a los que pueden acceder en Internet los usuarios internos. Los empleados con conexiones mviles generalmente usarn una red privada virtual para el acceso. Es importante que el auditor compruebe todas las rutas de acceso y salida de la intranet, para asegurar que slo puedan acceder usuarios autorizados. Debe comprobarse que no existan puertas falsas o back doors a la intranet desde la extranet (si existe) a travs de las cuales un hacker pueda acceder a los sistemas internos. Una de las back doors ms comunes en este escenario es no haber deshabilitado FTP en el servidor web de la extranet. El auditor debe comprobar la integridad de los datos permanece intacta incluso, si el sitio fallase por alguna razn. Esto implica examinar la manera en que se estructuran las transacciones dentro de la base de datos, para asegurar que cuando existan transacciones parciales, o bien se pueden retrotraer si lleva a inconsistencias o que el usuario tenga alguna manera de completar la transaccin cuando el sitio se recupere. Es interesante sugerir, dentro de la auditora, tcnicas que eviten la cada de la intranet, como una planificacin adecuada o la utilizacin de sistemas redundantes. El balanceo de carga debe ser tambin considerado. El balanceo puede implicar un grupo de servidores web que trabajan juntos y se reparten la carga o simplemente repartir los datos en diferentes bases y servidores de bases de datos, dependiendo de donde se prevean los cuellos de botella. Para los casos en que la intranet se caiga, puede ser prudente que el auditor sugiera mejoras en la estrategia de recuperacin/ backup utilizada e investigar el plan de recuperacin de desastres. El auditor de seguridad deber tener muy en cuenta la manera en que se desarrolla el software que se utilizar en el sistema que est siendo auditado. Muchos de los
Metodologa para la Auditora Informtica de la Seguridad de la Intranet de un Sistema
problemas de seguridad estn relacionados con errores incorporados en la fase de programacin. Los procesos de diseo, desarrollo, revisin del cdigo, pruebas y cambios se deben revisar cuidadosamente para asegurar que han sido configurados para evitar la incorporacin de errores al sistema. Deben responderse preguntas como las siguientes: Vigilan los desarrolladores, administradores de bases de datos y administradores de la red del riesgo de agujeros de seguridad? Se mantienen al da dichos empleados va cursos, listas de correos, grupos de Internet, etc.? Estn implantadas buenas prcticas de codificacin que contemplen tratamiento de errores, caducidad de sesiones y condiciones excepcionales? Se revisa la seguridad de los diseos y los programas adecuadamente antes de ser probados? Incluyen las pruebas aspectos de seguridad? Software antivirus: Una organizacin que se tome la seguridad seriamente tendr polticas de escaneo de virus. Las polticas asegurarn que todos los PCs que accedan a la red tengan instalado software antivirus que se actualiza de manera frecuente. Despus de una desconexin del escaneado de virus, el sistema debe ser escaneado con anterioridad a volver a ser conectado a la intranet. Los servidores de ficheros y servidores web, deben tener tambin instalado software antivirus. c) Etapa de justificacin: Una vez finalizada la etapa anterior, el auditor informtico se centrar en elaborar un documento que es fundamental para la aprobacin del proyecto. El documento contiene tres partes que contemplan: las reas que se auditarn (matriz de riesgo), el tiempo sugerido para hacerlo (plan de auditora informtica) y el visto bueno (compromiso ejecutivo). Matriz de riesgo: El objetivo principal es detectar las reas de mayor peligro en relacin con informtica y que requieren una revisin formal y oportuna. Ejemplos de las reas susceptibles a auditar:
10
Metodologa para la Auditora Informtica de la Seguridad de la Intranet de un Sistema
Administracin de informtica (misin, organizacin, servicios, etc.) Usuarios de informtica (comunicacin e integracin, proyectos conjuntos) Sistemas de informacin (planeacin, desarrollo, operacin) Mantenimiento (hardware, software, telecomunicaciones) Redes locales (administracin, instalacin, operacin/ seguridad) Software (administracin y legalizacin de lenguajes de programacin, sistemas operativos) Seguridad (hardware, software/ aplicaciones) Investigacin tecnolgica (metodologas, tcnicas, herramientas, capacitacin)
Procedimiento de anlisis y elaboracin de la matriz: Es importante identificar el nivel de riesgo de cada uno de los elementos en el negocio a travs del diagnstico de la situacin actual de informtica. Las reas que se van a diagnosticar pueden variar segn el tamao y estructura del negocio. El auditor debe utilizar los elementos de medicin y evaluacin posibles sin caer en un anlisis detallado, ya que solo se trata de detectar la problemtica principal de cada rea. Si se producen dificultades de considerable importancia de algn elemento evaluado, se deben tomar acciones inmediatas para eliminar o minimizar el problema. Tambin hay que determinar el nivel de riesgo que existe en cada rea de la funcin de informtica, ya que son susceptibles a una evaluacin y control para asegurar que se desarrolle de acuerdo con los estndares, polticas y procedimientos que se le asignaron segn su funcin. Plan de auditora informtica: Una vez elaboradas, revisadas y documentadas la matriz de riesgos, se procede a la formulacin del plan general de informtica, que consiste en plantear las tareas ms importantes que se ejecutarn durante cierto perodo al efectuar la auditora. Este plan se deriva de los siguientes elementos: reas de oportunidad, matriz de riesgos y las prioridades de la alta direccin, de auditora y de informtica. El lder del proyecto debe: Estimar el tiempo necesario para auditar cada rea determinada en la matriz de riesgo Analizar y definir los aspectos ms relevantes que se evaluarn
11
Metodologa para la Auditora Informtica de la Seguridad de la Intranet de un Sistema
Asignar prioridades a cada rea por revisar o evaluar Establecer fechas estimadas de inicio y terminacin por rea de revisin Establecer fechas de revisin formales e informales Definir responsables directos por etapas de proyecto
El plan detallado se lleva a cabo, posteriormente, en la etapa de adecuacin. Compromiso ejecutivo Es la ultima tarea de esta etapa y su objetivo principal es obtener el visto bueno (aprobacin) inicial de la alta direccin y dems responsables para continuar con el proyecto de auditora. d) Etapa de adecuacin: Esta etapa es un conjunto de tareas estructuradas para que el proyecto de auditora informtica se adapte a las necesidades de la empresa estudiada, pero sin olvidar la referencia de los estndares, polticas y procedimientos de auditora que siempre son aceptados y recomendados por las asociaciones relacionadas con el proceso. A continuacin se mencionan los elementos que se deben contemplar antes de iniciar formalmente la revisin de las reas aprobadas en la etapa anterior. Objetivos y requerimientos de xito por cada rea que se auditar: Luego de terminar las etapas preliminares y de justificacin, el auditor podr definir mejor los objetivos y requerimientos particulares, tomando como referencia la matriz de riesgo, con el objetivo de concluir exitosamente la revisin de las reas mencionadas en el plan de auditora informtica. Sabiendo que en el proyecto, a medida que avanza surgen cancelaciones, prioridades, requerimientos, expectativas, nuevos involucrados, etc. el auditor se encuentra obligado a actualizar el plan de trabajo y detallar fechas, tiempos, resultados esperados, funciones y responsabilidades, as como estimar gastos y el numero de personas de las reas usuarias y de informtica que participarn en el proyecto. As, ya es posible estimar, con bastante precisin, los aspectos o componentes que se deben evaluar por cada rea de informtica durante el desarrollo de la etapa de adecuacin. Plan detallado del proyecto de auditora informtica Es una de las tareas ms importantes de la etapa de adecuacin, ya que en ella se define cada detalle de los elementos del proyecto; se especifican las tareas, productos terminados, responsables, fechas, etc., que sern validados y aprobados en la etapa de formalizacin para arrancar el proyecto.
12
Metodologa para la Auditora Informtica de la Seguridad de la Intranet de un Sistema
Hay dos tipos de planes detallados con orientacin diferente y objetivo comn: Plan interno: Le corresponde al lder de proyecto y su propsito es hacer un seguimiento interno a las tareas y responsabilidades de los auditores en informtica. Plan detallado de auditoria en informtica: Se especifica el detalle emanado del plan general de auditora informtica definido en la fase de justificacin.
Los datos mencionados en este plan pretenden ser gua del proyecto de auditora desde el punto de vista del cliente, ya que describen tareas, productos terminados, responsables, involucrados, fechas de revisin, etc. Definicin de tcnicas y herramientas Esta es una parte muy importante para el buen desempeo de la auditora informtica que consiste en definir las tcnicas y herramientas fundamentales para revisar eficientemente cada rea seleccionada. Un claro ejemplo son los software que incluyen un conjunto de tcnicas como anlisis, documentacin, muestreo, etc., resultan elementos indispensables para asegurar la calidad y confiabilidad de la auditora. La experiencia profesional que se haya obtenido en cada una de las reas (desarrollo, telecomunicaciones, mantenimiento, base de datos, seguridad, etc.) hace ms viable la auditora como la definicin de soluciones. Adecuacin a la alta poltica de empresa Todas las tareas realizadas por la auditora informtica deben cumplir con los estndares, polticas y procedimientos establecidos por las asociaciones profesionales relativas a la misma; tambin se cumplirn con los de las empresas donde se preste el servicio durante la gestin de auditoria. Dichas asociaciones integradas por profesionales de gran experiencia y conocimiento en el campo que se enfocan a establecer, formalizar, difundir y recomendar la aplicacin de los estndares, polticas y procedimientos ms convenientes a las necesidades actuales y futuras del rea de especializacin a la que se dedican. Definido y detallado el plan, el auditor proceder con objetividad y disciplina a establecer referencias cruzadas entre los estndares, polticas y procedimientos generalmente aceptados y cada uno de los componentes de informtica que se auditarn. Elaboracin de cuestionarios Un conjunto de cuestionarios particulares complementan el trabajo del auditor durante el desarrollo de su evaluacin; de los mismos derivan entrevistas, visitas a los centros de cmputo o departamentos usuarios.
13
Metodologa para la Auditora Informtica de la Seguridad de la Intranet de un Sistema
Los cuestionarios representan una herramienta de gran valor para el auditor informtico; se estructuran de manera que funcionan como gua para verificar la confiabilidad de la informacin del personal entrevistado; adems, permiten percibir el grado de cumplimiento de estndares, polticas y procedimientos que generalmente son aceptados. e) Etapa de formalizacin: Las etapas anteriores brindan en conjunto, al auditor, un panorama de la situacin de la empresa y de la funcin de informtica; en ellas se detectaron las debilidades y fortalezas ms relevantes, tambin se defini la planeacin y proyeccin de las reas que requieren ser auditadas, y se documentaron las adecuaciones. En esta etapa corresponde a la alta direccin dar su aprobacin y apoyo formal para el desarrollo del proyecto de auditora (presentado por el lder de proyectos y el responsable de auditora informtica), de manera tal que, su funcin es justificar el desarrollo del proyecto basndose en lo que se hizo en las etapas anteriores. 1) Verificacin de prioridades, restricciones y alcance del proyecto: La verificacin, validacin, clasificacin y documentacin de las prioridades, restricciones y alcances del proyecto tienen un alto valor para el auditor informtico, ya que mediante su realizacin se clarifica el rumbo, lmites y cobertura que tendr el proyecto. Es recomendable que el auditor documente lo expuesto en las reuniones o entrevistas, donde se mencionen los puntos tratados y las conclusiones. Y para que tenga mas validez el documento, se necesita las firmas de conformidad de cada participante. Prioridades: Son las acciones que deben llevarse a cabo antes que las dems sugeridas para el proyecto. Por ejemplo, la urgencia de mejorar algn hecho que perjudica en alto grado al negocio. Restricciones: Son los hecho o circunstancias que no se identifican con facilidad y que ocurren o pueden ocurrir durante el transcurso de la auditora y que afectan directa o indirectamente al proyecto. Generalmente son limitaciones o carencias que no se podran resolver de inmediato o a lo largo del proyecto, por ejemplo el bajo presupuesto para asignar recursos al proyecto. Alcance: Aqu se aclara que se realizar en el proyecto (tareas, etapas) y los resultados (productos terminados). Lo que no se mencione aqu no se obtendr durante el proyecto. 2) Presentacin formal del plan de auditora informtica: Esta tarea es la ms importante para el lder del proyecto y el responsable de la auditora informtica, ya que se justificara la continuidad del proceso. Las actividades fundamentales del responsable de esta tarea son: Asegurarse de contar con toda la informacin resumida y presentable, ya que su principal audiencia ser la alta direccin.
14
Metodologa para la Auditora Informtica de la Seguridad de la Intranet de un Sistema
Revisarla y verificarla con este ltimo. Concertar en una cita en una fecha y lugar apropiados. Ser fluido, claro y contundente en la presentacin. Asegurar el entendimiento de la audiencia de los datos presentados.
3) Aprobacin formal del proyecto: Esta no es una tarea que demande mucho tiempo a pesar de ser una de las ms importantes, ya que en ella surge la aprobacin formal del proyecto de auditora. Dado el visto bueno de los involucrados, la responsabilidad de la funcin de auditora informtica es mas clara y evidente. 4) Compromiso ejecutivo: Una vez terminada la tarea anterior, el siguiente paso es lograr que la alta direccin, los usuarios clave, el responsable de informtica y el de la auditora se comprometan a lo largo del proyecto, desde ese momento hasta el desarrollo e implantacin de las acciones recomendadas por auditora informtica en su informe final. f) Etapa de desarrollo e implantacin: En esta etapa, el auditor informtico va a ejercer su funcin de manera prctica, es decir, comienza a ejecutar sus tareas con profesionalismo, tica personal y aplicando sus conocimientos y experiencias, de acuerdo con el plan aprobado en la etapa anterior; con el fin de obtener un producto final de calidad y beneficios tangibles para el negocio. Comprende los siguientes puntos: Concertacin de fechas: Fechas de entrevistas, de visitas y de aplicacin de cuestionarios. La accin es inmediata y hay que corroborar las fechas aprobadas o actualizadas. Las visitas se realizan con el objetivo de validar el uso de polticas y procedimientos de seguridad y control, como el registro de acceso a centros de cmputo y reas en donde existe documentacin o tecnologa importante para el negocio. Se solicita al responsable de informtica una lista con los nombres, puestos y departamentos del personal de informtica y de las reas usuarias involucradas en el proyecto. Verificacin de las tareas y productos involucrados: El personal involucrado tambin debe ser revisado al igual que tareas y productos. Se verifica si la tarea anterior alter el orden de las acciones mencionadas en el plan
15
Metodologa para la Auditora Informtica de la Seguridad de la Intranet de un Sistema
detallado, y hay que asegurar que los cambios sean mnimos y de bajo impacto en el plan. Tambin se tienen que documentar los cambios necesarios y justificados. Clasificar tcnicas y herramientas: Verificar la lista de mtodos, tcnicas y herramientas sugeridas por el rea auditada, junto con los cuestionarios sugeridos con el objetivo de asegurar que sean los requeridos para cada rea que se auditar. Actualizar cuestionarios slo si es necesario, y elaborar la entrevista con base en la experiencia, cuestionarios y necesidades del proyecto. Realizacin de entrevistas y cuestionarios: Efectuar cada una de las entrevistas en las fechas y horas planeadas y aplicar cada uno de los cuestionarios en las fechas planeadas. (siempre hay que documentar todo los hechos). Obtener apoyo requerido (reportes, copias, documentos fuente, entre otros). Registrar entrevistas y cuestionarios pendientes. Efectuar visitas para la verificacin: Hacer visitas a centros de cmputo o a los usuarios de informtica. Notificar la visita a los representantes de dicho departamento. Registrar la informacin ms relevante y obtener el soporte requerido. Registrar visitas pendientes. Elaboracin de informes preliminares: Por lo general son de largo plazo y su informacin es sacada detalladamente de las visitas realizadas, comentarios documentados y previamente analizados. Luego se elabora observaciones y conclusiones de cada uno de los componentes y reas auditadas y llenar la hoja de resumen de observaciones y recomendaciones de la auditora informtica. Revisin de estos informes: Se tiene que verificar detalladamente cada rea comprendida con la ayuda de borradores revisados. Asegurarse de registrar por escrito el soporte requerido para validar cada una de las observaciones (copias de reporte, documentos fuente, etc.). Y por ltimo, concertar citas con el responsable de informtica y los usuarios para sacar conclusiones. Clasificacin y documentacin de los informes, para su correcta lectura: Registrar de manera formal cada observacin, conclusin y recomendacin sugerida, revisada y aprobada y luego clasificar la informacin por componente de rea auditada. Finalizacin de tareas o productos pendientes: Se analizar la informacin emanada de cada entrevista, visita o cuestionario, y luego se deber actualizar, documentar y clasificar el informe de la auditora. Elaboracin del informe final de la auditora informtica:
16
Metodologa para la Auditora Informtica de la Seguridad de la Intranet de un Sistema
Elaborar un informe orientado a la alta direccin y otro mas detallado (que contenga antecedentes, observaciones, recomendaciones, etc.) para el responsable de informtica y los usuarios clave. Presentacin a la alta direccin e involucrados clave: Se debe verificar que los informes sean claros, completos y congruentes entre s. Comprobar que se encuentre con el soporte documentado de lo mencionado en los informes y formalizar la fecha de la presentacin de informes a la alta direccin. Aprobacin del proyecto y compromiso ejecutivo: Se obtiene la aprobacin y el compromiso formal de la alta direccin para luego elaborar un plan de implantacin general de acciones sugeridas y clasificadas por plazos sugeridos. Luego se presenta el costo beneficio del plan a seguir. Y por ltimo se delega a informtica y las reas usuarias la implantacin de las acciones recomendadas. En este momento nos encontramos en la etapa media del proceso de la auditora. La etapa de formalizacin ya se encuentra determinada, y la etapa de desarrollo se encuentra en ejecucin, para pasar luego a la etapa de implantacin. Esta es la ms importante para los involucrados en el proyecto de auditora informtica, ya que termina la tarea de los auditores y comienza para los responsables de las reas usuarias y de informtica. Ellos ejecutaran las acciones recomendadas en los informes detallados y aprobados por la alta direccin. La funcin del auditor se convierte as en una labor de seguimiento y apoyo. Los elementos clave de la etapa de implantacin son: Definicin de requerimientos para el xito de la etapa de implantacin (la ejecuta el responsable de informtica): Se analizan algunos aspectos (recursos humano, materiales tecnolgicos, inversiones, etc.) que se necesitan para ejecutar las acciones recomendadas en los plazos acordados anteriormente. Desarrollo del plan (tambin a cargo del responsable de informtica): Se documentan dichos requerimientos y, de ser necesario, solicitar la aprobacin de la alta direccin. Implantacin de las acciones sugeridas por auditoria en informtica (responsable de inf.): Primero hay que verificar que se cuente con los recursos estimados en la tarea anterior. Consultar los informes para verificar acciones y tiempos de terminacin
17
Metodologa para la Auditora Informtica de la Seguridad de la Intranet de un Sistema
Elaborar un plan de implantacin que tenga: Tareas. Productos terminados Responsables e involucrados Fechas de inicio y trmino Fechas de revisin Verificar tareas, productos terminados, etc. del plan de implantacin Ejecutar cada una de las tareas Seguimiento a la implantacin (esta tarea le corresponde al auditor informtico): Tiene que solicitar el plan de implantacin para revisar su congruencia con los informes de la auditora informtica. Luego, comprobar el cumplimiento formal de las tareas en los tiempos y formas que considere convenientes para asegurar resultados. Documentar debilidades y anomalas relevantes. Y por ultimo, sugerir acciones para el cumplimiento oportuno de la implantacin al nivel que se considere pertinente. g) Presentacin del informe final: La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la elaboracin del informe final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinin entre auditor y auditado y que pueden descubrir fallos de apreciacin en el auditor. Estructura del informe final El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente. Se incorporarn los informes parciales que hayan sido entregados. A continuacin se especificar el mbito y objetivos de la auditora. Se relacionarn una por una las reas analizadas: su situacin, sus debilidades, las amenazas que implican y sus oportunidades. Finalmente se relacionan las recomendaciones, su plan de implantacin, seguimiento y control. El informe tiene especial importancia porque en l ha de resumirse la auditora realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona concreta que encargo o contrato la auditora. As como pueden existir tantas copias del informe final como solicite el cliente, la auditora no har copias del citado informe. 18
Metodologa para la Auditora Informtica de la Seguridad de la Intranet de un Sistema
Bibliografa
De Pablos, C., Izquierdo, V. Direccin y gestin de los sistemas de informacin en la empresa ESIC Editorial 2001 Piattini M., Del Peso, E. Auditora Informtica. Un Enfoque Prctico. RAMA 1998. Martn, A., de Quinto, F. Manual de seguridad en Internet. Soluciones tcnicas y jurdicas. Fundacin una Galicia moderna. IGAPE 2003
Johnston, M How to Perform a Security Audit InformIT. Pearson Education 2005
19
Vous aimerez peut-être aussi
- Lineas Clase3Document35 pagesLineas Clase3eliza24pimentel4727100% (3)
- Criminologia y CriminalisticaDocument47 pagesCriminologia y CriminalisticaGabriela Gonzalez HernandezPas encore d'évaluation
- Entrenar A Un Bodeguero AndaluzDocument2 pagesEntrenar A Un Bodeguero AndaluzobedientdogPas encore d'évaluation
- Ficha de Integración de EquipoDocument5 pagesFicha de Integración de EquipoLUIS RICARDO BARBOZAPas encore d'évaluation
- Conectores LógicosDocument2 pagesConectores Lógicoss_g_elprofePas encore d'évaluation
- URP 2021-II EEI Guia 2 Ley de Corrientes de KirchoffDocument5 pagesURP 2021-II EEI Guia 2 Ley de Corrientes de KirchoffMilton MezaPas encore d'évaluation
- Primer Laboratorio de Petrologia MetamorficaDocument22 pagesPrimer Laboratorio de Petrologia MetamorficaHenry BritoPas encore d'évaluation
- Trabajo de Titulacion JHON QUIROZDocument100 pagesTrabajo de Titulacion JHON QUIROZPablo F. Chacho OchoaPas encore d'évaluation
- Diagrama Bebidas GaseosasDocument1 pageDiagrama Bebidas GaseosasJorgePas encore d'évaluation
- Libretas Inti PakariDocument23 pagesLibretas Inti PakariCristy LduPas encore d'évaluation
- Universidad TécnicaDocument12 pagesUniversidad TécnicaPaulina CobeñaPas encore d'évaluation
- Espectrofotometria UVDocument64 pagesEspectrofotometria UVAlex F. Perdomo0% (1)
- Sesión de Aprendizaje 2do Grado Exp 3Document5 pagesSesión de Aprendizaje 2do Grado Exp 3Soledad Peralta TapiaPas encore d'évaluation
- Dyce - RolesDocument1 pageDyce - RoleskatherinePas encore d'évaluation
- Teoria de Cargas AxialesDocument14 pagesTeoria de Cargas AxialesFerPas encore d'évaluation
- Taller - Formas de Expresar La Concentración de Soluciones - Quimica 1Document2 pagesTaller - Formas de Expresar La Concentración de Soluciones - Quimica 1Alex AlexPas encore d'évaluation
- 116 Examen Sustitutorio Modulo Vii, Viii y IxDocument2 pages116 Examen Sustitutorio Modulo Vii, Viii y Ixoscarariagna100% (1)
- Teoría Del Color y Sus CualidadesDocument5 pagesTeoría Del Color y Sus CualidadesChristian ChojolánPas encore d'évaluation
- Autoclave AravelDocument2 pagesAutoclave AravelEdna Carolina Gutierrez CastañedaPas encore d'évaluation
- Estudio de Caso Actividad No 4 Grupo 3Document5 pagesEstudio de Caso Actividad No 4 Grupo 3Tania HernandezPas encore d'évaluation
- PDF Boletaeb01 5220607862312Document1 pagePDF Boletaeb01 5220607862312Rolando Herrera MatosPas encore d'évaluation
- Secadores FD PDFDocument12 pagesSecadores FD PDFAdolfo LeonPas encore d'évaluation
- Ficha Tecnica OJOSDocument4 pagesFicha Tecnica OJOSMarelbys LunaPas encore d'évaluation
- Plan de Área Inglés Grado 8°Document1 pagePlan de Área Inglés Grado 8°Diana Alejandra Sanchez PeraltaPas encore d'évaluation
- AGROECOLOGIADocument195 pagesAGROECOLOGIABretna MinayaPas encore d'évaluation
- 1nGuiandenAprendizajenGestinnnndenIncidentes 42602c27800c8eaDocument8 pages1nGuiandenAprendizajenGestinnnndenIncidentes 42602c27800c8eaCamila Marquez GutierrezPas encore d'évaluation
- Taller de NegociacionDocument6 pagesTaller de NegociacionVanessa LlanesPas encore d'évaluation
- Modelo Ficha ProfesiograficaDocument3 pagesModelo Ficha ProfesiograficaDiana R TG33% (3)
- Nicomar Propc 1000Document1 pageNicomar Propc 1000José Luis Gualotuña P.0% (1)
- Marco Teorico InventariosDocument13 pagesMarco Teorico InventariosRicardo CervantesPas encore d'évaluation
