UNIVERSIDAD AUTONOMA DE QUITO – UNAQ AUDITORIA INFORMATICA
PROFESOR : Ing. Fernando Andrade ALUMNO
: Jesús Cisneros Valle
FECHA
: Quito, 17 de Octubre del 2012
CURSO
: 10ASM
RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 17 y 18 DEL LIBRO “AUDITORIA INFORMATICA” Un enfoque práctico. p ráctico.
CAPITULO 17
AUDITORIA DE LA SEGURIDAD Cuestiones de Repaso: 1. La seguridad de la Información en España: Situación. Qué conoce realmente de los riesgos? Perspectivas. Situación: No existen datos concretos y fiables sobre el nivel de protección en España, inclusive el Control Interno no está generalizado en este país, respecto de los sistemas de información. Y de los riesgos no se conoce realmente la repercusión de los mismos en los sistemas, puesto que muchos no aplican sistemas de protección de información o si los tienen no están totalmente implementados, no se registran auditorias de los sistemas informáticos, que permitan evaluar los riesgos de las amenazas en contra de los datos informáticos (tesoro incalculable de las empresas). Perspectivas: Se espera que se implemente y refuercen los controles, que se implanten modelos se seguridad, que la auditoria de seguridad de sistemas de información brinden el control sobre los controles de protección de los sistemas. 2. El perfil del auditor en seguridad de sistemas de información? El perfil que se requiere para llevar a cabo las auditorias de sistemas de información no está de definido, pero se sobreentiende que se necesita una formación y sobre todo experiencia acordes con la función esto debe incluir conocer áreas como: - Seguridad física - Sistemas Operativos - Bases de datos - Lenguajes de programación - Independencia respecto de los auditados - Madurez 1
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ -
Capacidad de análisis y de síntesis Desinteresado Redactar Redactar informes
3. Estándares para la auditoria de la seguridad? Cobit, Certificación CISA, debería conocer ISO 27001 y 19011. 4. La comunicación a auditados y el factor sorpresa en auditorias de segur idad. Siempre debe haber una comunicación constante con el auditado, además no es imprescindible el factor sorpresa ya que una auditoria es planificada y coordinada con el auditado de acuerdo al Plan de auditoria que se haya planteado para la empresa. 5. Que debe hacer el auditor si se le pide que omita o varíe algún punto de su informe? NO debe acepar acepar semejante insinuación, insinuación, bajo bajo ninguna circunstancia. circunstancia. 6. Auditoria de la seguridad en las próximas décadas: nuevos riesgos, técnicas y herramientas. En el futuro aparecerán nuevos nuevos riegos, esto depende mucho del progreso vertiginoso de las tecnologías de información, ya que cada día aparecerán nuevos y valga decir mejores riesgos, así como técnicas y herramientas de Auditoria que permitan mitigar y controla eficientemente cada riesgo potencial ya que deben estar a la par de las tecnologías de información. El auditor debe prepararse continuamente con los nuevos estándares internacionales y de las buenas prácticas de auditoria generalmente aceptadas. 7. Equilibrio entre seguridad, calidad y productividad? Debería existir un equilibrio entre seguridad, calidad y productividad, ya que la seguridad es parte de los objetivos de seguridad de la empresa lo que permitirá tener un entorno protegido y seguro de las áreas técnicas, redes, sistemas, bases de datos, etc., evitando los potenciales riesgos. La calidad debe cumplir todos los estándares establecidos por la Alta gerencia o directorio, e ir de la mano con la productividad aportando especial atención de seguridad en la contratación de servicios. 8. Que es mas critico: datos, personas, comunicaciones, instalaciones…? Las personas el factor humano es el más crítico, salvo en algunas situaciones de seguridad física automatizadas, el factor humano muy sensible ya que si las personas no desean colaborar de nada sirven los medios y dispositivos aunque sean caros y sofisticados. 9. Relaciones entre Administración de Seguridad y Auditorias de Sistemas de Información interna y externa. Sera la parte interlocutora interlocutora entre los procesos procesos de auditoria auditoria de seguridad (Interna y externa), sin afectar la independencia de los auditores ya que estos evaluaran el
2
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ desempeño de la función de administración de la seguridad, desde si sus funciones son adecuadas y están respaldadas por documentos al nivel suficiente, el cumplimiento de las funciones y su conflicto con otras. 10. Calculo de la rentabilidad de la auditoria de la seguridad. Un ejercicio de auditoria realizado profesionalmente, alineado con las practicas generalmente aceptadas de auditoria y sobre todo puesta en marcha bajo un plan estrictamente determinado (bajo estándares internacionales) es un trabajo que da réditos tanto al auditor como a la empresa, ya que las recomendaciones que se emitan irán en beneficio directo del auditado.
CAPITULO 18
AUDITORIA DE REDES Cuestiones de Repaso: 1. Cuáles son los niveles del modelo OSI? Físico • Enlace • Red • Transporte • Sesión • Presentación • Aplicación • 2. Cuáles son las incidencias que pueden producirse en las redes de comunicaciones? comu nicaciones? En las redes de comunicaciones por causas propias de la tecnología se pueden producir las siguientes incidencias: •
•
•
Alteración de bits. Por error en los medios de transmisión, una trama puede sufrir alteración en parte de su contenido. La manera más fácil de detectar y corregir este caso es fijar la trama con un código de redundancia cíclica que detecte cualquier error y permita corregirlo. Aunque el error sea de unos pocos bits. Ausencia de tramas. Por error en el medio o en algún nodo, o por sobrecarga. Alguna trama puede desaparecer desaparecer en el camino del emisor al receptor. Se suele resolver este error dándole un número de secuencia a las tramas. Alteración de secuencia. secuencia. El orden en que se envía y se reciben las tramas no coincide. Unas tramas se han adelantado a otras. En el receptor mediante el número de secuencia se reconstruye el original.
3. Cuáles son los mayores riesgos que ofrecen las redes? Por causas dolosas y teniendo en cuenta que es posible interceptar la información.
3
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ •
•
•
Indagación. Un mensaje puede ser leído por un tercero, obteniendo la información que contenga. Suplantación. Un tercero puede introducir un mensaje falso que el receptor cree proviene del del emisor legitimo. Modificación. Modificación. Un tercero puede alterar el contenido del mensaje.
4. Existe el riesgo de que se intercepte un canal de comunicaciones? Si, existe tal riesgo. Sea de manera física o lógica (Sniffer o traceadores) que permitirá extraer la información. Es como poder entrar sin control sin ser detectado. Un punto especialmente crítico son las contraseñas de usuario que no han sido cifradas. 5. Que suele hacerse con las contraseñas de los usuarios? Por lo regular las contraseñas son muy sensibles y al ser interceptadas pueden ser usadas para acceder a información confidencial. Además la caratula inicial donde se teclea la contraseña siempre es la misma lo que facilita a acción de los intrusos. Pues esta caratula proporciona un patrón del paquete donde viaja la contraseña a interceptar. 6. Cuáles son los protocolos más importantes de alto nivel? Son: SNA, OSI, Netbios, IPX, TCP/IP 7. Diferencias entre Internet, Intranet y Extranet.
INTERNET Es la red de redes a donde se conecta cualquier red a nivel mundial (pública e insegura), donde se puede conseguir una interlocución entre dos dodos, está dotada de todo tipo de servicios.
INTRANET Es una red interna privada y segura de una empresa, utilice o no medios de transporte de terceros
EXTRANET Es una red privada y segura, compartida por un grupo de empresas, aunque utilice medios de transporte ajenos e inseguros como Internet
8. Que es cortafuegos? (Firewall) Es un dispositivo especial que permite la protección de una intranet, ante una extranet o internet. Es una maquina dedicad exclusivamente a leer cada paquete que entra o sale de una red para permitir su paso o desecharlo definitivamente. Esta autorización o rechazo se basa en tablas que identifican cada pareja de interlocutores. Para hacer su trabajo tiene diversas configuraciones donde se pueden incluir routers, proxis, zonas desmilitarizadas, desmilitarizadas, bastiones, parafernalia a veces copias de modelos militares.
Las políticas de detección de un cortafuego pueden ser: paranoicas o promiscuas. Paranoicas conde está prohibido absolutamente todo y requiere de una autorización 4
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ específica para acceder a cada servicio. Promiscuas, cuando todo está autorizado, identificándose los servicios entre parejas de interlocutores que se prohíben. Los más habitual es autorizar específicamente servicios para ciertos usuarios y el resto no autorizarlo. 9. Que es un gusano? Mensajes de correo electrónico que se reproducen y acaban por colapsar la red. 10. Que objetivos de control destacaría en la Auditoria de la Gerencia de Comunicaciones? •
Una gerencia de comunicaciones con autoridad para establecer procedimientos y normativas
•
Procedimientos y registros de inventarios y cambios
•
Funciones de vigilancia del uso de la red de comunicaciones, ajustes de rendimiento, registro de incidencias y resolución de problemas.
•
Procedimientos para el seguimiento del coste de las comunicaciones y su reparto a las personas y unidades apropiadas.
•
Procedimientos para vigilar el uso de la red de comunicaciones, realizar ajustes para mejorar el rendimiento y registrar y resolver cualquier problema.
•
Participación activa de la gerencia de comunicaciones en el diseño de las nuevas aplicaciones on line para asegurar que se sigue la normativa de comunicaciones.
5
