domingo, 29 de noviembre de 2015

Planeación de la auditoria informática y evaluación de la seguridad



La planeación de la auditoría es una fase fundamental en la realización de toda auditoria informática, se lleva a cabo bajo tres puntos de vista cuyo objetivos es realizar una planeación adecuada determinando el número y características del personal de auditoría, las herramientas necesarias, el tiempo y costo, así como definir los alcances de la auditoría para, en caso necesario, poder elaborar el contrato de servicios.


Puntos de vista:
  • Evaluar los sistemas y procedimientos.
  • Evaluar el equipo de cómputo.
  • Evaluación administrativa del área de procesos electrónicos.


Fases de la auditoría informática

Fase I: Conocimientos del sistema
  • Aspectos Legales y Políticas Internas: Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación.
  • Características del Sistema Operativo: Organigrama del área que participa en el sistema, Informes de auditoría realizadas anteriormente.
  • Características de la aplicación de computadora: Manual técnico de la aplicación del sistema, Equipos utilizados en la aplicación de computadora.


Fase II: Análisis de las transacciones y recursos

  • Definición de las transacciones.
  • Establecer el flujo de los documentos.
  • Identificar y codificar los recursos que participan en los sistemas.
  • Relación entre transacciones y recursos.


Fase III: Análisis de riesgos y amenazas
  • Identificación de riesgos.
  • Identificación de las amenazas.
  • Relación entre recursos/amenazas/riesgos.

Fase IV: Análisis de controles
  • Codificación de controles.
  • Relación entre recursos/amenazas/riesgos.
  • Análisis de cobertura de los controles requeridos.

Fase V: Evaluación de controles
  • Objetivos de la evaluación.
  • Plan de pruebas de los controles.
  • Pruebas de controles.
  • Análisis de resultados de las pruebas.

Fase VI: Informe de auditoría
  • Informe detallado de recomendaciones.
  • Evaluación de las respuestas.
  • Informe resumen para la alta gerencia.

Fase VII: Seguimiento de recomendaciones
  • Informes del seguimiento.
  • Evaluación de los controles implantados. 
 
 El material visual que se presenta a continuación desentraña a fondo las fases de la auditoría informática.
 




Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Los modelos se clasifican en:

  • Modelo abstracto: se ocupa de las entidades abstractas como sujetos y objetos. El modelo Bell LaPadula es un ejemplo de este tipo (no clasificado, confidencial, secreto y ultrasecreto).
  • Modelo concreto: traduce las entidades abstractas en entidades de un sistema real como procesos y archivos.

Fases de la auditoría de seguridad

Enumeración  de  redes,  topologías  y  protocolos
- Enumeración de  las subredes  existentes  y  estudio  de  la  topología  y  los  equipos  de  las mismas.
Identificación  de  los  sistemas  operativos  instalados
- Estudio preliminar de los equipos, detectando el sistema operativo instalado.
Análisis  de  servicios  y  aplicaciones
 - Análisis de  servicios  y aplicaciones que se ofrecen, detectando la versión de software instalada con el fin de encontrar agujeros de seguridad.
Detección, comprobación y evaluación de vulnerabilidades.
 - Búsqueda de vulnerabilidades de la red, para lo cual se suele recurrir a un test de intrusión, que consiste en intentar acceder a los sistemas para  comprobar el nivel de resistencia que estos ofrecen. Durante el test de  intrusión también se realizan pruebas de Denegación de Servicio.
Análisis de las comunicaciones
 - Esta fase suele constar de una comprobación de si la  red  es  vulnerable  a  ataques de tipo Man-in-the-Middle. Además se intenta interceptar  contraseñas  cifradas  en  texto  plano,  y en  caso  de  obtener  alguna cifrada se intenta romper para probar su seguridad.
Medidas específicas de corrección
 - Al final de la auditoría se genera un informe con los  pasos  realizados, las  vulnerabilidades encontradas y una serie de recomendaciones sobre  implantación de medidas preventivas con el fin de solventar los problemas encontrados.



Pueden recurrir a los vídeos de abajo, los cuales explican de manera visual lo anterior visto y demás puntos a tomar en cuenta en al auditoría informática.






Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)