Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas. Sistemas. II - 2014
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA AUDITORÍA DE SISTEMAS
Trabajo Colaborativo 2
Presentado por: ANDRÉS GUILLERMO AVELLANEDA B - Cód. 79.803.814 JORGE IVAN PINEDA SUAREZ - Cód.: 80.194.695 OSCAR JOSÉ RAMÍREZ CARDONA – Cód.: 79810115 CESAR EDUARDO NIÑO PINZON –Cód.: 79778519
Tutora CARMEN ADRIANA AGUIRRE
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD INGENIERIA DE SISTEMAS Octubre de 2014
1
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas. II - 2014
Contenido INTRODUCCION ................................................................................................ ... 3 OBJETIVOS ..................................................................................................... ...... 4 DESARROLLO DE LAS ACTIVIDADES ................................................................ 5 1. Identificar el origen de la auditoria. ..................................................................................5 2. Realizar una visita preliminar al área que será evaluada. .................................. .....5 3. Establecer los objetivos de la auditoria. ..........................................................................8 4. Determinar los puntos que serán evaluados en la auditoria. .................................8 5. Elaborar planes, programas y presupuestos para realizar la auditoria. .............9 6. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoria. .....................................................................11 7. Asignar los recursos y sistemas computacionales para la auditoria ................14 CONCLUSIONES ............................................................................................... . 15 BIBLIOGRAFIA ................................................................................................ .... 16
2
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas. II - 2014
INTRODUCCION Dentro de las etapas de la auditoría encontramos la de la planeación, la cual es una fase fundamental en todo el proceso, gracias a una buena planeación proyectaremos de mejor forma las actividades que debemos realizar, acercá ndonos más fácil y de forma certera a las metas que como auditores nos proponemos. El presente trabajo contiene el desarrollo del momento 1, el cual desarrolla varias temáticas entre ellas la identificación y los objetivos de la auditoría a la empresa que en el momento 1 se estudió. Otros tópicos que abordaremos en el presente trabajo es la realización de los planes, programas y presupuestos además de los métodos y herramientas necesarios para realizar la autoría.
3
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas. II - 2014
OBJETIVOS
Ejecutar la planeación de la auditoria de sistemas a la empresa en cuestión.
Mencionar los distintos tipos de auditoría que se pueden implementar en la empresa.
Explicar las técnicas y desarrollo de la auditoria de seguridad informática en la empresa seleccionada.
Generar los planes necesarios para su ejecución.
4
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas. II - 2014
DESARROLLO DE LAS ACTIVIDADES 1. Identificar el origen de la auditoria. En primera instancia debemos hacer diferencia entre la auditoria de sistemas (busca detectar deficiencias en las organizaciones informáticas y los sistemas que se desarrollan u operan en ellas para realizar acciones preventivas o correctivas que eliminen fallos en los mismos) y la auditoria de seguridad informática (analiza únicamente los procesos relacionados con la seguridad: física, lógica o locativa siempre orientada a la protección de la información) para poder iniciar de manera particular el examen de la empresa seleccionada. Con esta información preliminar, la auditoría de sistemas en la empresa Colombian Natural Resources (CNR) surge por la necesidad de validar la seguridad de la red y sobre todo de la confidencialidad de la información, verificar que los usuarios no puedan extraer información cuando estén conectados en sitio, ni cuando lleven los equipos portátiles para trabajar fuera de las sedes de la empresa, es parte de la preocupación de las directivas de la compañía resguardar al máximo el activo más valioso de la empresa: la información.
2. Realizar una visita preliminar al área que será evaluada. Al contar con tres sedes, se hace una visita en la cual se evidencia que los centros de cómputo de las sedes cuentan con la seguridad adecu ada para evitar el ingreso de personal ajeno al departamento de TI, ya sea con sensores biométricos como en la sede de mina, o con sensores de proximidad con tarjetas de acceso con tecnología RFID configuradas únicamente con los usuarios del departamento de TI. Los centros de cómputo cuentan con equipos CISCO (Swiches, Routers, Controladoras de red WiFi) además se cuenta con 3 servidores Dell Power Vault NX300 con 4 discos de 2TB cada uno, los servidores se dividen así: servidor de archivos, servidor de backup y antivirus y por último servidor de dominio y DHCP, que se encuentran conectados entre a través de los SW Core de 48 puertos y SW de 24 puertos, usando cables UTP certificados de categoría 6, cuentan con dos UPS de 10 KVA una para los servidores y otra para los usuarios por medio
5
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas. II - 2014
de la red regulada, lo cual brinda una autonomía de aproximadamente una hora en caso de una falla eléctrica.
Centro de Cómputo Minas
Centro de Cómputo Minas De otro lado están los usuarios de computadores de escritorio y portátiles, en quienes nos centraremos para identificar de qué forma están extrayendo 6
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas. II - 2014
información de la compañía, por lo que se procederá a revisar medios extraíbles como USB, DVD y además sitios de transferencia de archivos online. A todas las sedes llegan o se están implementando sistemas de comunicaciones los cuales permitirán la transferencia de cualquier tipo de información. La sede de Barranquilla cuenta con dos conexiones de internet la primera es la conexión principal de 10 Mbps contratada con COLUMBUS NETWORK y la segunda conexión alterna de 4 Mbps contratada por Media Commerce. Como podemos ver como en esta imagen como está conectado el diagrama de la red de la empresa:
Diagrama red de comunicaciones CNR
7
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas. II - 2014
3. Establecer los objetivos de la auditoria. Objetivo principal:
Reconocer y diagnosticar las fortalezas y amenazas en la seguridad de la información en la empresa CNR
Objetivos específicos:
Conocer los tipos de permiso que usuarios tienen respecto a sus equipos y accesos. Verificar las políticas de seguridad de la información impartidas a las distintas unidades organizacionales de la compañía. Identificar los dueños de los recursos compartidos en los servidores y a quienes se les ha dado autorización de lectura y/o escritura en dicho recurso.
4. Determinar los puntos que serán evaluados en la auditoria. La auditoría de seguridad informática plantea tres aspectos: evaluación, análisis y generación de soluciones, de los cuales se cubren varios frentes:
Auditoria desde internet : Vulnerabilidades de los recursos informáticos desde el sitio web de la empresa por parte de delincuentes informáticos. Auditoria de la red interna (LAN ): Vulnerabilidades identificables desde el interior de la empresa. Trabajo sobre los equipos: Por medio de programas especializados en la detección de vulnerabilidades como: software espía, virus informáticos. Además de un examen físico, lógico y locativo de los equipos de trabajo. Entrevistas: Al personal sobre el conocimiento de las políticas de seguridad físicas, lógicas y locativas y la implementación de las mismas en la organización.
8
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas. II - 2014
Evaluación de los equipos: Sea una estación de trabajo o un servidor se deben tener en cuenta: o o o o
Permisos de usuario Rendimiento de la maquina Carga al procesador Procesos presentes en los servicios
5. Elaborar planes, programas y presupuestos para realizar la auditoria. La auditoría que se realizará en la empresa CNR estará apoyada en: Auditoria de la Seguridad Informática: Se implementara para ello Manual de la Metodología Abierta de Testeo de Seguridad (OSSTMM), el cual cuanta con las siguientes características:
Seguridad de la Información Seguridad de los Procesos Seguridad en las Tecnologías de Internet Seguridad en las Comunicaciones Seguridad Inalámbrica Seguridad Física
Con estos aspectos se busca prevenir inconvenientes en los siguientes realizando tareas como:
Búsqueda de Vulnerabilidades: Orientado principalmente a realizar comprobaciones automáticas de un sistema o sistemas dentro de una red. Escaneo de la Seguridad : Orientado a las búsquedas principales de vulnerabilidades en el sistema que incluyen verificaciones manuales de falsos positivos, identificación de los puntos débiles en el sistemas y análisis individualizado. Test de Intrusión: Se plantean test de pruebas que se centran en romper la seguridad de un sistema determinado.
9
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas. II - 2014
Evaluación de Riesgo: se refiere a los análisis de seguridad a través de entrevistas e investigación de nivel medio que incluye la justificación negocios, las justificaciones legales y las justificaciones específicas de la industria. Auditoria de Seguridad : Se refiere a la continua inspección que sufre el sistema por parte de los administradores que controlan que se cumplan las políticas de seguridad definidas. Hacking Ético: Orientado a tratar de obtener, a partir de los test de intrusión, objetivos complejos dentro de la red de sistemas.
Plan de Auditoria: Empresa: Colombian Natural Resources (CNR) PERÍODO: Del 14 de agosto al 30 de septiembre de 2014 AUDITORES:
Andrés G. Avellaneda (Coordinador del Grupo de Auditores). Jorge Iván Pineda Suarez. Oscar J. Ramírez Cardona.
ÁREA AUDITADA: Sistema de cómputo.
Nº 1 2 3 4 5 6 7
ACTIVIDAD NOMBRE Elaborar Plan de Auditoria Aprobar Plan de Auditoria Preparar Instrumentos Iniciar Preparativos Iniciar Auditoria Auditar el Área Presentar Borrador de Informe
RESPONSABLE Grupo Investigador Asesor Especifico Grupo Investigador Grupo Investigador Grupo Investigador Grupo Investigador Grupo Investigador
SEMANAS 1 2 3 4 5 6 7
10
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas. II - 2014
8 9
Preparar Dictamen Grupo Investigador Presentar Recomendaciones Grupo Investigador Tabla Nº 1: Plan de auditoria
6. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoria.
Elaborar la guía de la Auditoria
Logo y nombre de la empresa que realiza la auditoria. Nº ACTIVIDAD QUE SERA EVALUADA
Fecha Nombre de la empresa y área de sistemas auditada
HERRAMIENTAS QUE SERAN UTILIZADAS Tabla Nº 2: Guía de la Auditoria
PROCDIEMIENTOS DE AUDITORIA
Hoja
DD MM AA _de_
OBSERVACIONES
Empresa: Colombian Natural Resources (CNR) Fecha: Área: Gestión Administrativa Auditores de sistemas Asociados
Nº
1
ACTIVIDAD QUE SERA EVALUADA
Evaluar el centro de cómputo de la empresa
Empresa: Colombian Natural Resources Área: Centro de servicios de automatización
PROCDIEMIENTOS DE AUDITORIA Solicitar los inventarios de los equipos y verificar que estén en orden y actualizados.
HERRAMIENTAS QUE SERAN UTILIZADAS Revisión documental y observación
Fecha DD MM AA 28 09 2014
Hoja 1de2
OBSERVACIONES
Revisión documental y observación
Solicitar el reglamento del área donde se realiza la auditoria y además verificar el cumplimiento.
11
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas. II - 2014
2
3
4
5
6
7
Evaluar el adecuado cumplimiento de las funciones y actividades del personal del área Evaluación del Hardware
Evaluación del Software
Revisión de las instalaciones
Evaluar la seguridad que el acceso de usuarios de la red y la validez de sus atributos
Evaluar la seguridad de los niveles de acceso de usuarios.
Revisar el manual de funciones del personal del área.
Revisión documental y observación
Revisar las características de funcionamiento, periféricos y enlace a la red Rendimiento de máquina, programas instalados, carga de los procesos, usuarios y permisos Verificar : - Instalación de Racks - UPS - Sistema antiincendios - Aire acondicionado - Autenticación de ingreso Solicitar la asignación de una terminal para entrar al sistema y acceder información, cambiar datos, instrucciones y programas, hasta donde lo permite el sistema.
Revisar las características de las computadoras.
Ingresar al administrador y cambiar privilegios, atributos y contraseñas de varios usuarios. Entrar al sistema de red sin ninguna autorización y acceder a la información, alterar base de datos o cambios al sistema, hasta donde permita el sistema. Entrar al sistema y dar de alta a distintos accesos sin tener autorización. Solicitar a un usuario, sin forzarle, que ingrese a un nivel que no le
Revisión documental Pantallazos de los procesos y características Observación y fotografías.
Llevar programa que agilice la comprobación de las características.
Llevar cámara digital.
Observación partitiva, oculta.
El sistema no debe permitir ningún acceso.
Pruebas al sistema y a la base de datos.
Obtener respaldo previo del sistema y los movimientos previos a la prueba.
Experimentación a la seguridad del sistema. Revisión documental (electromagnética)
Documentar los accesos y cambios que se realicen al sistema.
Observación participativa y oculta.
El sistema no debe de permitir ningún acceso.
Pruebas al sistema y las bases de datos.
Obtener respaldo previo del sistema y los movimientos previos a la prueba.
12
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas. II - 2014
corresponda y verifique el sistema le permita la operación.
Experimentación en la seguridad del sistema. Revisión documental (electromagnética)
Documentar los accesos y cambios que se realicen al sistema.
Tabla Nº 3: Guía de la auditoria respondida
Elaborar los documentos necesarios para la Auditoría
Diseño de la lista de verificación
Verificar la existencia de: Existencia del manual de puestos Existencia, difusión y control de normas Existencia de planes de contingencia Existencia de plan de recuperación Inventario de hardware Inventario de software Licencias de software Bitácora de uso de software original Control de movimientos del software (cargas, descargas, etc.) Inventario de software instalado en cada maquina Registro de cuáles y cuantas licencias están en uso Control de impresiones Bitácora de ingreso al área Bitácora de solicitud de mantenimiento Hoja de salida de equipo por mantenimiento Lugar apropiado del servidor Ambiente adecuado para los equipos Aire acondicionado Buena distribución de los cables de los equipos y de la red Existencia de extintores dentro del área
SI NO Observaciones
Tabla Nº 4: Diseño de las lista de verificación
Lista de verificación hoja de salida de equipo por mantenimiento Contenido
SI No Observaciones
Fecha de retiro Hora de retiro Fecha estimada de devolucion Detalles de las razones para retirar el equipo
13
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas. II - 2014
observaciones Firma del coordinador Nombre, documento de identidad, y firma de la persona que efectúa el retiro del equipo.
Tabla Nº 5: Diseño de hoja de salida de quipo por mantenimiento
Lista de verificación para el hardware
Verificar los siguientes aspectos
Características
Monitor Disco duro Tarjeta de Red Memoria RAM Procesador Unidad de CD-ROM Quemador de CD Puerto USB Teclado Mouse
Tabla Nº 6: diseño de lista de verificación de hardware
7. Asignar los recursos y sistemas computacionales para la auditoria Los recursos que se van a asignar por parte de CNR para la realización auditoría son: Computador de escritorio ubicado en una de las sedes de la compañía para verificar la seguridad de la red como un usuario dentro de la sede de la compañía. Usuario estándar del dominio con los permisos habituales de acceso a una carpeta específica del servidor de datos. Usuario estándar de correo de la compañía para verificación de la seguridad de la plataforma de correo. Computador portátil para verificar el comportamiento de los permisos de los usuarios y las políticas aplicadas por medio del antivirus a los equipos dentro y fuera de la red de la compañía, ya sea conectándose por una red pública o mediante un acceso VPN.
14
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas. II - 2014
CONCLUSIONES Las auditorias informáticas se construyen mediante la recolección de información y documentación de todo tipo. Los informes finales varían dependiendo de la capacidad del auditor para analizar las situaciones de debilidad o fortaleza de los diferentes medios. El trabajo del auditor es reunir toda la información necesari a para emitir un juicio global objetivo, siempre apoyado en las evidencias comprobatorias recolectadas a través del proceso. El auditor debe estar entrenado para entender los mecanismos que se desarrollan en un procesamiento informático. También debe estar preparado para enfrentar sistemas computarizados en los cuales se encuentra la información necesaria para auditar. Toda empresa, pública o privada, que tenga un Sistema de Información medianamente complejo, debe de someterse a un control estricto de evaluación de eficacia y eficiencia. Hoy en día, la mayoría de las empresas tienen toda su información estructurada en Sistemas Informáticos, de aquí, la vital importancia que los sistemas de información funcionen correctamente. El éxito de la empresa depende de la eficiencia de sus sistemas de información. Una empresa puede contar con personal altamente capacitado, pero si tiene un sistema informático propenso a errores, lento, frágil e inestable; la empresa nunca saldrá a adelante. La auditoría de sistemas en sistemas de información se c onstituye como un pilar en cuanto a tener protegidos los datos vitales de una empresa, los cuales los activos más importantes que permiten que esta funcione eficazmente. Por ende una correcta recolección de la información, permite un análisis preciso y la creación de conclusiones y estrategias a tomar adecuadas para mejorar y controlar la seguridad en los sistemas de información.
15
Escuela de Ciencias Básicas, Tecnología e Ingeniería 90168 - Auditoría de Sistemas. II - 2014
BIBLIOGRAFIA Aguirre Cabrera, Adriana (2006): Módulo Auditoría de Sistemas Information Systems Audit and Control Association (ISACA) (2012): COBIT 5 . Estados Unidos Muñoz Razo, Carlos. (2002) Auditoría en Sistemas Computacionales, Primera Edición, Prentice Hall, México. Muñoz Razo, Carlos. (2002) Auditoría en Sistemas Computacionales. Primera Edición, Pearson Educación.
16