ESTÁNDARES Y METODOLOGÍAS INTERNACIONALES DE AUDITORIA DE SISTEMAS

AUDITORIA DE SISTEMAS

¿Qué es la metodología de Auditoria de SI?

Un camino estructurado de forma lógica para asegurar el éxito de proyectos de auditoría de informática. Un grupo de etapas que pueden adaptarse a empresas pequeñas, medianas y grandes de cualquier giro para planear y desarrollar proyectos de auditoría en informática.

Metodología y Estándares

Utilización de metodologías, instrumentos y procedimientos operativos propios. En la planificación de las auditorías informáticas Empleo de marcos referenciales para la declaración de los objetivos del control. En el desarrollo de las auditorías informáticas empleo de herramientas de auditoría específicas.

Los organismos internacionales que se ocupan del control y de la auditoría de SI son fuente de fuente de estándares: 

1. COBIT investiga, desarrolla, publica y promueve un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores.
2. ISO  Organización Internacional para la estandarización. 
3. COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de control.

1. COBIT:

La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologías de la información que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del día a día de los gestores de negocios (también directivos) y auditores". Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Información (o tecnologías de la información) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compañías mediante el desarrollo de un modelo de administración de las tecnologías de la información.

• COBIT es un framework de Gobierno de TI y un conjunto de herramientas de soporte  para el gobierno de T.I.   que les permite a los gerentes cubrir la brecha entre los requerimientos de control, los aspectos técnicos y riesgos de negocio.
• COBIT hace posible el desarrollo de una política clara y las buenas prácticas para los controles de T.I. a través de las organizaciones.
• COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a incrementar el valor alcanzado desde la TI, permite el alineamiento y simplifica la implementación de la estructura COBIT.

2. ISO

¿Qué es ISO?

La Organización Internacional para la Estandarización (ISO) es una federación de alcance mundial integrada por cuerpos de estandarización nacionales de 130 países, uno por cada país.

La ISO es una organización no gubernamental establecida en 1947. La misión de la ISO es promover el desarrollo de la estandarización y las actividades con ella relacionada en el mundo con la mira en facilitar el intercambio de servicios y bienes, y para promover la cooperación en la esfera de lo intelectual, científico, tecnológico y económico.

Todos los trabajos realizados por la ISO resultan en acuerdos internacionales los cuales son publicados como Estándares Internacionales.

¿De dónde proviene el nombre ISO?

Muchas personas habrán advertido la falta de correspondencia entre el supuesto acrónimo en inglés de la Organización y la palabra “ISO”. Así sería, pero ISO no es el acrónimo.

En efecto, “ISO” es una palabra, que deriva del Griego “isos”, que significa “igual”, el cual es la raíz del prefijo “iso” el cual aparece en infinidad de términos. Desde “igual” a “estándar” es fácil seguir por esta línea de pensamiento que fue lo que condujo a elegir “ISO” como nombre de la Organización.

ISO Estándares

¿Cómo desarrolla la ISO sus estándares?

La Organización Internacional para la Estandarización estipula que sus estándares son producidos de acuerdo a los siguientes principios:

1) Consenso: Son tenidos en cuenta los puntos de vistas de todos los interesados: fabricantes, vendedores, usuarios, grupos de consumidores, laboratorios de análisis, gobiernos, especialistas y organizaciones de investigación.

2) Aplicación Industrial Global: Soluciones globales para satisfacer a las industrias y a los clientes mundiales.

3) Voluntario: La estandarización internacional es conducida por el mercado y por consiguiente basada en el compromiso voluntario de todos los interesados del mercado

3. COSO

Que es COSO?

 

El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de control. Debido a la gran aceptación de la que ha gozado, desde su publicación en 1992, el Informe COSO se ha convertido en el estándar de referencia.

Existen en la actualidad 2 versiones del Informe COSO. La versión del 1992 y la versión del 2004, que incorpora las exigencias de ley Sarbanes Oxley a su modelo.

Es un medio para un fin, no un fin en sí mismo. Efectuado por la junta directiva, gerencia u otro personal. No es sólo normas, procedimientos y formas involucra gente. Aplicado en la definición de la estrategia y aplicado a través de la organización en cada nivel y unidad Diseñado para identificar los eventos que potencialmente puedan afectar a la entidad y para administrar los riesgos, proveer seguridad razonable para la administración y para la junta directiva de la organización orientada al logro de los objetivos del negocio.

SEGURIDAD INFORMÁTICA - continuación-

AUDITORIA DE SISTEMAS

Administración de la seguridad informática:

Una vez establecidos los controles de acceso sobre los sistemas y la aplicación, es necesari9o realizar una eficiente administración de estas medidas de seguridad lógica, lo que involucra la implementación, seguimientos, pruebas y modificaciones sobre los accesos e los usuarios de los sistemas.

La política de seguridad que se desarrolle respecto a la seguridad lógica debe guiar la las decisiones referidas a la administración de los controles de accesos y especificando las consideraciones necesarias para el establecimiento de perfiles de usuarios.

Entonces podemos decir que la administración de seguridad informática s el conjunto de aspectos interrelacionados que incluye:

• Estructura organizacional
• Análisis de riesgos
• Propiedad de los recursos
• Políticas
• Guías y estándares.

Políticas de seguridad informática

Las políticas de seguri9dad informática tienen por objeto establecer las medidas de índole técnica y de organización, necesarias para garantizar la seguridad de las tecnológicas de información (equipos de cómputo, sistemas de información, redes (Voz y Datos)) y personas que interactúan haciendo uso de los servicios asociados a ellos y se aplican a todos los usuarios de computo de las empresas.

Cada empresa tiene sus propios intereses de seguridad, nos encontramos con que no aplican las mismas restricciones de seguridad con la información en empresas como Google y Microsoft, tomando en cuenta que son reconocidas por sus altos niveles d seguridad interna. A continuación se mencionan algunas políticas de seguridad informática:

• Realizar respaldo de la información cada día, semana o mes
• No descargar música, películas u otros archivos no legales.
• No proporcionar datos personales a desconocidos por teléfono o e-mail.
• Entre otros.

Criptografía:

Tradicionalmente se ha definido como el ámbito de la cristología el que se ocupa de las técnicas de cifrado o codificado destinadas a alterar las representaciones lingüísticas de ciertos mensajes con el fin de hacerlos ininteligibles a receptores no autorizados.

SEGURIDAD INFORMATICA

AUDITORIA DE SISTEMAS

Definimos la seguridad de información como la protección de ventajas de información de la revelación no autorizada, de la modificación, o de la destrucción, o accidental o intencional, o la incapacidad para proteger una red del acceso no autorizado, interferencia accidental o intencionada con operaciones normales, o con la destrucción, inclusive la protección de facilidades físicas, del software, y de la seguridad del personal.

Objetivos de la seguridad:

Seguridad informática es el conjunto de procedimientos, estrategias y herramientas que permitan garantizar la integridad, la disponibilidad y la confidencialidad de la información de una entidad.

Integridad: es necesario asegurar que los datos no sufran cambios no autorizados, la pérdida de integridad puede acabar en fraudes, decisiones erróneas o como paso a otros ataques.

Disponibilidad: se refiere a la continuidad operativa de la entidad, la pérdida de disponibilidad puede implicar, la pérdida de productividad o de credibilidad de la entidad. El sistema contiene información o proporciona servicios que deben estar disponibles a tiempo para satisfacer requisitos o evitar pérdidas importantes, como sistemas esenciales de seguridad y protección de la vida.

Confidencialidad: se refiere a la protección de datos frente a la difusión no autorizada, la perdida de confidencialidad puede resultar en problemas legales, pérdida del negocio o de credibilidad. El sistema contiene información que necesita protección contra la divulgación no autorizada, como información parcial de informes, información personal o información comercial patentada.

Amenazas a la seguridad de la información

Los tres elementos principales  a proteger en cualquier sistema informático son el software, el hardware y los datos. Contra cualquiera de los tres elementos dichos anteriormente pero principalmente sobre los datos) se pueden realizar multitud de ataques o, dicho de otra forma, están expuestos a diferentes amenazas. Generalmente, la taxonomía más elemental de estas amenazas las divide en cuatro grandes grupos: interrupción, interceptación, modificación y fabricación. Un ataque se clasifica como interrupción si hace que un objeto del sistema se pierda, quede inutilizable o no disponible. Se tratará de una intercepción si un elemento no autorizado consigue un acceso a un determinado objeto del sistema, y de una modificación si además de conseguir el acceso consigue modificar el objeto; la destrucción entendiéndola como una modificación que inutiliza el objeto afectado. Por último, se dice que un ataque es una fabricación si se trata de una modificación destinada a conseguir un objeto similar al atacado de forma que sea difícil distinguir entre el objeto original y el fabricado. Quien amenaza un sistema:

1. Personas

2. Amenazas lógicas

• Software incorrecto
• Herramientas de seguridad
• Bombas lógicas
• Virus
• Gusanos
• Caballos de trolla

3. Amenazas físicas

1 Personas:

• Personal (se pasa por alto el hecho de la persona de la organización incluso a la persona ajeno a la estructura informática, puede comprometer la seguridad de los equipos)
• Ex-empleados (generalmente se trata de personas descontentas con la organización que pueden aprovechar debilidades de un sistema del que conocen perfectamente, pueden insertar troyanos, bombas lógicas, virus o simplemente conectarse al sistema como si aún trabajaran en la organización)
• Curiosos (son los atacantes juntos con los crackers los que más se dan en un sistema)
• Hackers (una persona que intenta tener acceso no autorizado a los recursos de la red con intención maliciosa aunque no siempre tiende a ser esa su finalidad)
• Crackers(es un término más preciso para describir una persona que intenta obtener acceso no autorizado a los recursos de la red con intención maliciosa)
• Intrusos remunerados (se trata de personas con gran experiencia en problemas de seguridad y un amplio conocimiento del sistema que son pagados por una tercera parte generalmente para robar secretos o simplemente para dañar la imagen de la organización)

2 Amenazas lógicas:

• Software incorrecto(a los errores de programación se les llama Bugs y a los programas para aprovechar uno de estos fallos se les llama Exploits.)
• Herramientas de seguridad (cualquier herramienta de seguridad representa un arma de doble filo de la misma forma que un administrador las utiliza para detectar y solucionar fallos en sus sistemas o la subred completa un intruso las puede utilizar para detectar esos mismos fallos y aprovecharlos para atacar los equipos, herramientas como NESUS,SAINT o SATAN pasa de ser útiles a peligrosas cuando la utilizan Crackers.)
• Puertas traseras (durante el desarrollo de aplicaciones grandes o sistemas operativos es habitual que entre los programadores insertar atajos en los sistemas habituales de autenticación del programa o núcleo de sistema que se está diseñando.) Son parte de código de ciertos programas que permanecen sin hacer ninguna función hasta que son activadas en ese punto la función que realizan no es la original del programa si no una acción perjudicial.)
• Canales cubiertos (son canales de comunicación que permiten a un proceso trasferir información de forma que viole la política de seguridad del sistema.)
• Virus (un virus es una secuencia de código que se inserta en un fichero ejecutable denominado huésped de forma que cuando el archivo se ejecuta el virus también lo hace insertándose a si mismo en otros programas.)
• Gusanos(es un programa capaz de ejecutarse y propagarse por si mismo a través de redes en ocasiones portando virus o aprovechando bugs de los sistemas a los que se conecta para dañarlos a ser difíciles de programar su número no es muy elevado pero el daño que causa es muy grave.)
• Caballos de Troya (son instrucciones escondidas en un programa de forma que este parezca realizar las tareas que un usuario espera de él pero que realmente ejecuta funciones ocultas.), Programas conejo o bacterias (bajo este nombre se conoce a este programa que no hace nada útil si no que simplemente se delimitan a reproducirse hasta que el número de copias acaba con los recursos del sistema produciendo una negación del servicio.

3 Amenazas Físicas: 

Robos, sabotajes, destrucción de sistemas. Suministro eléctrico. Condiciones atmosféricas. Catástrofes naturales.