Auditoria de Sistemas

Miguel A. Mendizabal Fernández

Ing. De Sistemas
Mail: mgmendizabalf@gmail.com
SEMANA 5: DESCRIPCIÓN GENERAL

• Auditoria de la infraestructura de red

• Auditoria de la seguridad.
INTRODUCCION

• Para poder auditar redes, lo primero y fundamental es utilizar el

mismo vocabulario que los expertos en comunicaciones que las
manejan.
• Debido a la constante evolución en este campo, un primer punto de
referencia es poder referirse a un modelo comúnmente aceptable.
• El modelo común de referencia, adoptado por ISO (International
Standards Organization) se denomina Modelo OSI (Open Systems
Interconection).
MODELO OSI

• La potencia del modelo OSI proviene de que cada capa no tiene que
preocuparse de qué es lo que hagan Ias capas superiores ni las
inferiores: cada capa se comunica con su igual en el interlocutor, con
un protocolo de comunicaciones específico. Entre cada par de capa N
y capa N -1 esta perfectamente definido el paso de la información,
que se produce dentro de la misma máquina, con métodos clásicos de
programación.
VULNERABILIDADES EN REDES (I)

• Todos los sistemas de comunicación, desde el punto de vista de

auditoría, presentan en general una problemática común: La
información transita por lugares físicamente alejados de las personas
responsables. Esto presupone un compromiso en la seguridad, ya
que no existen procedimientos físicos para garantizar la Inviolabilidad
de la información.
• En las redes de comunicaciones, por causas propias de la tecnología,
pueden producirse básicamente tres tipos de incidencias:
1. Alteración de bits.
2. Ausencia de tramas
3. Alteración de secuencia.
VULNERABILIDADES EN REDES (II)

• Por causas dolosas, y teniendo en cuenta que es físicamente posible

interceptar la información, los tres mayores riesgos a atajar son:

1. Indagación. Un mensaje puede ser leído por un tercero, obteniendo

la información que contenga.
2. Suplantación. Un tercero puede introducir un mensaje falso que el
receptor cree proveniente del emisor legitimo.
3. Modificación. Un tercero puede alterar el contenido de un mensaje.
PROTOCOLOS DE ALTO NIVEL

• Como protocolos de alto nivel, los mas importantes por orden de

aparición en la industria son:

• SNA
• OSI
• Netbios
• IPX
• TCP/IP
REDES ABIERTAS (TCP/IP)

• Ante el auge que esta tomando el protocolo TCP/IP, como una

primera clasificación de redes, se esta adoptando la siguiente
nomenclatura para las redes basadas en este protocolo:

• Intranet
• Extranet
• Internet
REDES ABIERTAS (TCP/IP)

• El mayor peligro que representa un acceso TCP/IP no autorizado viene

precisamente por la mayor virtud del TCP/IP: su amplia disponibilidad
de utilidades.
• Dada la estandarización de las utilidades TCP/IP, es muy razonable
suponer que cada maquina con acceso TCP/IP tenga "puertos
abiertos”, que a su vez tienen direcciones normalizadas donde
encontrar transmisores de archivos, servidores de correo, terminales
virtuales y todo tipo de servicios de utilidad. Una ausencia de
protección significaría que un tercero puede utilizar estos servicios
normalizados, de común existencia en cualquier máquina, en
beneficio propio.
AUDITANDO LA GERENCIA DE COMUNICACIONES (I)

• Cada vez más las comunicaciones están tomando un papel determinante en el

tratamiento de datos.
• No siempre esta importancia queda adecuadamente reflejada dentro de la
estructura, organizativa de proceso de datos, especialmente en organizaciones de
tipo "tradicional". donde la adaptación a los cambios no se produce
inmediatamente.
• Mientras que comúnmente el directivo informático tiene amplios conocimientos de
proceso de datos, no siempre sus habilidades en temas de comunicaciones están a
la misma altura, por lo que el nesgo de deficiente anclaje de la gerencia de
comunicaciones en el esquema organizativo existe. Por su parte, los informáticos a
cargo de las comunicaciones suelen autoconsiderarse exclusivamente técnicos,
obviando considerar las aplicaciones organizativas de su tarea.
• Por tanto, el primer punto de una auditoría es determinar que la función de gestión
de redes y comunicaciones esté claramente definida, debiendo ser responsable, en
general, de las siguientes áreas:
AUDITANDO LA GERENCIA DE COMUNICACIONES (II)

• Gestión de la red, inventario de equipamiento y normativa de

conectividad.
• Monitorización de las comunicaciones, registro y resolución de
problemas.
• Revisión de costos y su asignación de proveedores y servicios de
transporte, balanceo de trafico entre rutas y selección de
equipamiento.
• Participación activa en la estrategia de proceso de datos, fijación de
estándares a ser usados en el desarrollo de aplicaciones y evaluación
de necesidades en comunicaciones.
AUDITANDO LA GERENCIA DE COMUNICACIONES
(III)

• Objetivos de Control: (Se debe marcar la existencia de:)

• Una gerencia de comunicaciones con autoridad para establecer
procedimientos y normativa.
• Procedimientos y registros de inventarios y cambios.
• Funciones de vigilancia del uso de la red de comunicaciones, ajustes de
rendimiento, registro de incidencias y resolución de problemas.
• Procedimientos para el seguimiento del coste de las comunicaciones y su
reparto a las personas o unidades apropiadas.
• Procedimientos para vigilar el uso de la red de comunicaciones, realizar
ajustes para mejorar el rendimiento, y registrar y resolver cualquier
problema.
AUDITANDO LA GERENCIA DE COMUNICACIONES
(IV)

• Comprobar que:
• Haya coordinación organizativa entre la comunicación de datos y la de voz, en caso
de estar separadas estas dos funciones.
• Existan descripciones del puesto de trabajo, competencias, requerimientos y
responsabilidades para el personal involucrado en las comunicaciones.
• Existan planes de comunicaciones a largo plazo, incluyendo estrategia de
comunicaciones de voz y datos.
• Se planifican redes de cableado integral para cualquier nuevo edificio o
dependencia que vaya a utilizar la empresa.
• El plan general de recuperación de desastres considera el respaldo y recuperación
de los sistemas de comunicaciones.
• Se refleja correctamente, en el registro de inventario y en los diagramas de red,
una muestra seleccionada de equipos de comunicaciones, de dentro y de fuera de
la sala de computadores.
AUDITANDO LA RED FISICA (I)

• En una primera división, se establecen distintos riesgos para los datos

que circulan dentro del edificio de aquellos que viajan por el exterior.
Por tanto, ha de auditarse hasta qué punto las instalaciones físicas del
edificio ofrecen garantías y han sido estudiadas las vulnerabilidades
existentes.
AUDITANDO LA RED FISICA (II)

• Como objetivos de control, se debe marcar la existencia de:

• Áreas controladas para los equipos de comunicaciones, previniendo así
accesos inadecuados.
• Protección y tendido adecuado de cables y líneas de comunicaciones, para
evitar accesos físicos
• Controles de utilización de los equipos de pruebas de comunicaciones,
usados para monitorizar la red y su tráfico, que impidan su utilización
inadecuada.
• Atención específica a la recuperación de los sistemas de comunicación de
datos en el plan de recuperación de desastres en sistemas de información.
• Controles específicos en caso de que se utilicen líneas telefónicas normales
con acceso a la red de datos para prevenir accesos no autorizados al sistema
o a la red.
AUDITANDO LA RED FISICA (III)

• Lista de control. Comprobar que:

• El equipo de comunicaciones se mantiene en habitaciones cerradas con
acceso limitado a personas autorizadas.
• La seguridad física de los equipos de comunicaciones, tales como
controladores de comunicaciones, dentro de las salas de computadores
sea adecuada.
• En las zonas adyacentes a las salas de comunicaciones, todas las líneas
de comunicaciones fuera de la vista.
• Se revisa periódicamente la red de comunicaciones, buscando
intercepciones activas o pasivas
AUDITANDO LA RED LOGICA (I)

• Cada vez más se tiende a que un equipo pueda comunicarse con cualquier
otro equipo, de manera que sea la red de comunicaciones el substrato
común que les une.
• Leído a la inversa, la red hace que un equipo pueda acceder legítimamente
a cualquier otro, incluyendo al tráfico que circule hacia cualquier equipo de
la red. Y todo ello por métodos exclusivamente lógicos, sin necesidad de
instalar físicamente ningún dispositivo. Simplemente si un equipo, por
cualquier circunstancia, se pone a enviar indiscriminadamente mensajes,
puede ser capaz de bloquear la red completa y, por tanto, al resto de los
equipos de la instalación.
• Es necesario monitorizar la red, revisar tos errores o situaciones anómalas
que se producen y tener establecidos los procedimientos para detectar y
aislar equipos en situación anómala. En general, si se quiere que la
información que viaja por la red no pueda ser espiada, la única solución
totalmente efectiva es la encriptación.
AUDITANDO LA RED LOGICA (II)

• Como objetivos de control, se debe marcar la existencia de:

• Contraseñas y otros procedimientos para limitar y detectar cualquier
intento de acceso no autorizado a la red de comunicaciones
• Facilidades de control de errores para detectar errores de transmisión y
establecer las retransmisiones apropiadas.
• Registro de la actividad de la red, para ayudar a reconstruir incidencias y
detectar accesos no autorizados.
• Técnicas de cifrado de datos donde haya riesgos de accesos impropios a
transmisiones sensibles.
• Controles adecuados que cubran la importación o exportación de datos a
través de puertas, en cualquier punto de la red, a otros sistemas
informáticos
AUDITANDO LA RED LOGICA (III)

• Comprobar que:
• El software de comunicaciones, para permitir el acceso, exige código de
usuario y contraseña.
• Cualquier procedimiento del fabricante, mediante hardware o software,
que permita el libre acceso y que haya sido utilizado en la instalación
original, ha de haber sido inhabilitado o cambiado.
• Se toman estadísticas que incluyan tatas de errores y de retransmisión.
• Existen controles para que los datos sensibles sólo puedan ser impresos en
las impresoras designadas y vistos desde los terminales autorizados.
• Existen procedimientos de registro para capturar y ayudar a reconstruir
todas las actividades de las transacciones.
AUDITORIA DE LA SEGURIDAD
INTRODUCCION

• Para muchos la seguridad sigue siendo el área principal a auditar,

hasta el punto de que en algunas entidades se creo inicialmente la
función de auditoria informática para revisar la seguridad, aunque
después se hayan ido ampliando los objetivos.
AREAS QUE PUEDE CUBRIR LA AUDITORIA DE LA
SEGURIDAD

• Se incluyen las que con carácter general pueden formar parte de los
objetivos de una revisión de la seguridad, si bien esta puede abarcar
solo parte de ellas si asi se ha determinado de antemano.
• Las áreas generales citadas, algunas de las cuales se amplían después,
son:
Lo que hemos
Comunicaciones y denominado
redes: topologíacontroles
y tipo directivos,
de es decir, posible
comunicaciones, los uso dey
El desarrollo de las políticas: procedimientos, posibles estándares, normas
fundamentos
cifrado, proteccionesde ante
la segundad:
virus, políticas,
éstas planes,
también en funciones,
sistemas existencia
aislados aunque el
guías, sin ser suficiente que existan estas últimas.
y funcionamiento
impacto será menor que deenalgún
una comité
red relacionado, objetivos de control,
presupuesto, así como que existen sistemas y métodos de evaluación
periódica de riesgos.
EVALUACION DE RIESGOS

• Se trata de identificar los riesgos, cuantificar su probabilidad e

impacto, y analizar medidas que los eliminen - lo que generalmente
no es posible- o que disminuyan la probabilidad de que ocurran los
hechos o mitiguen el impacto.
• Para evaluar riesgos hay que considerar, entre otros factores, el tipo
de información almacenada, procesada y transmitida, la criticidad de
las aplicaciones, la tecnología usada, el marco legal aplicable, el sector
de la entidad, la entidad misma y el momento.
FASES DE LA AUDITORÍA DE SEGURIDAD

• Con carácter general pueden ser:

1. Concreción de los objetivos y delimitación del alcance y profundidad de la
auditoria, así como del periodo cubierto en su caso.
2. Análisis de posibles fuentes y recopilación de información: en el caso de los
internos este proceso puede no existir.
3. Determinación del plan de trabajo y de los recursos y plazos en caso necesario,
así como de comunicación a la entidad.
4. Adaptación de cuestionarios, y a veces consideración de herramientas o perfiles
de especialistas necesarios, sobre todo en la auditoría externa.
5. Realización de entrevistas y pruebas.
6. Análisis de resultados y valoración de riesgos.
7. Presentación y discusión del informe provisional.
8. Informe definitivo.
TIPOS

• Auditoria de la seguridad física

• Auditoria de la seguridad lógica
• Auditoria de la seguridad y el desarrollo de aplicaciones
• Auditoria de la seguridad en el área de producción
• Auditoria de la seguridad de los datos
• Auditoria de la seguridad en comunicaciones y redes
• Auditoria de la continuidad de las operaciones
FUENTES DE LA AUDITORÍA

• Las fuentes estarán relacionadas con los objetivos, y entre ellas pueden
estar:
• Políticas, estándares, normas y procedimientos
• Planes de seguridad
• Contratos, pólizas de seguros
• Organigrama y descripción de funciones
• Topología de redes
• Inventarios: de soporte, de aplicaciones.
PERFIL DEL AUDITOR

• El perfil que se requiere para llevar a cabo auditorías de sistemas de

información no esta regulado, pero es evidente que son necesarias
una formación y sobre todo una experiencia acordes con la función, e
incluso con las áreas a auditar: seguridad física, sistemas operativos
concretos, determinados gestores de bases de datos o plataformas e
incluso lenguajes si hubiera que llegar a revisar programas, además de
ser imprescindibles en el perfil otras características o circunstancias
comunes, como independencia respecto a los auditados, madurez,
capacidad de análisis y de síntesis.
• En el seno de la citada ISACA existe un certificado relacionado: CISA
(Certified Information Systems Auditor).
GRACIAS