ESTÁNDARES Y METODOLOGÍAS DE SISTEMAS

¿Qué es la metodología de Auditoria de SI?

•Un camino estructurado de forma lógica para asegurar el éxito de proyectos de auditoría de informática.

•Un grupo de etapas que pueden adaptarse a empresas pequeñas, medianas y grandes de cualquier giro para planear y desarrollar proyectos de auditoría en informática.

Metodología y Estándares

1.    Utilización de metodologías, instrumentos y procedimientos operativos propios.

2.    En la planificación de las auditorías informáticas Empleo de marcos referenciales para la declaración de los objetivos del control.

3.    En el desarrollo de las auditorías informáticas empleo de herramientas de auditoría específicas.

Los organismos internacionales que se ocupan del control y de la auditoría de SI son fuente de fuente de estándares:

•   ISACA - Asociación de Auditoría y Control de Sistemas de Información
•  ISO – Organización Internacional para la estandarización.
•  NIST – Instituto Nacional de Estándares y Tecnología de los Estados Unidos.

En la actualidad existen tres tipos de metodologías de auditoria informática:

•   R.O.A. (RISK ORIENTED APPROACH), diseñada por Arthur Andersen.
•  CHECKLIST o cuestionarios.
•  AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de Gestión de base de Datos DB2; paquete de seguridad RACF, etc.).

En sí las tres metodologías están basadas en la minimización de los riesgos, que se conseguirá en función de que existan los controles y de que éstos funcionen. En consecuencia el auditor deberá revisar estos controles y su funcionamiento. Las metodologías de auditoría de SI son de tipo cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Están basadas en profesionales de gran nivel de experiencia y formación, capaces de dictar recomendaciones técnicas, operativas y jurídicas, que exigen en gran profesionalidad y formación continua.

Solo existen dos tipos de metodologías para la auditoria de SI

·   Controles Generales: Son el producto estándar de los auditores profesionales. El objetivo aquí es dar una opinión sobre la fiabilidad de los datos del computador para la auditoría financiera, es resultado es escueto y forma parte del informe de auditoría, en donde se hacen notar las vulnerabilidades encontradas. Están desprestigiadas ya que dependen en gran medida de la experiencia de los profesionales que las usan.

Solo existen dos tipos de metodologías para la auditoria de SI

·     Metodologías de los auditores internos: Están formuladas por recomendaciones de plan de trabajo y de todo el proceso que se debe seguir. También se define el objetivo de la misma, que habrá que describirlo en el memorando de apertura al auditado. De la misma forma se describe en forma de cuestionarios genéricos, con una orientación de los controles a revisar. El auditor interno debe crear sus metodologías necesarias para auditar los distintos aspectos o áreas en el plan auditor

SEGURIDAD INFORMÁTICA

Seguridad Informática

Seguridad física: Habitualmente nos centramos en protegernos de posibles hackers, virus. Y nos olvidamos de un aspecto muy importante en la seguridad informática, la seguridad física. La seguridad física es aquella que trata de proteger el hardware (los equipos informáticos, el cableado.) de los posibles desastres naturales (terremotos, tifones.), de incendios, inundaciones, sobrecargas eléctricas, de robos y un sinfín de amenazas más.

Principales amenazas y los mecanismos para salvaguardarnos de las mismas:

Amenazas	Mecanismos de Defensa
Incendios	• El mobiliario de los centros de cálculo debe ser ignífugo. • Evitar la localización del centro de procesamiento de datos cerca de zonas donde se manejen o almacenen sustancias inflamables o explosivos. • Deben existir sistemas antiincendios, detectores de humo, rociadores de gas, extintores para sofocar el incendio en el menor tiempo posible y así evitar que se propague ocasionando numerosas pérdidas materiales.
Inundaciones	•Evitar la ubicación de los centros de cálculo en las plantas bajas de los edificios para protegerse de la entrada de aguas superficiales. • Sellar las puertas para evitar la entrada de agua proveniente de las plantas superiores.
Robos	•Proteger los centros de cálculo mediante puertas con medidas biométricas, cámaras de seguridad, vigilantes jurados; con todas estas medidas pretendemos evitar la entrada de personal no autorizado.
Señales electromagnéticas	•Evitar la ubicación de los centros de cálculo próximos a lugares con gran radiación de señales electromagnéticas, pues pueden interferir en el correcto funcionamiento de los equipos informáticos y del cableado de red. • En caso de no poder evitar la ubicación en zonas con grandes emisiones de este tipo de señales deberemos proteger el centro frente de dichas emisiones mediante el uso de filtros o de cableado especial, o si es posible, utilizar fibra óptica, que no es sensible a este tipo de interferencias.
Apagones	•Para evitar los apagones colocaremos Sistemas de Alimentación Ininterrumpida, SAl, que proporcionan corriente eléctrica durante un periodo de tiempo suficiente.

Seguridad lógica:

La seguridad lógica complementa a la seguridad física, protegiendo el software de los equipos informáticos, es decir, las aplicaciones y los datos de usuario, de robos, de pérdida de datos, entrada de virus informáticos, modificaciones no autorizadas de los datos, ataques desde la red, etc. Las principales amenazas y mecanismos en seguridad lógica,  para salvaguardarnos de las mismas:

Amenazas	Mecanismos de Defensa
Robos	•Cifrar la información almacenada en los soportes para que en caso de robo no sea legible. • Utilizar contraseñas para evitar el acceso a la información. • Sistemas biométricos (uso de huella dactilar, tarjetas identificadoras, caligrafía.).
Pérdida de información	•Realizar copias de seguridad para poder restaurar la información perdida. • Uso de sistemas tolerantes a fallos, elección del sistema de ficheros del sistema operativo adecuado. • Uso de conjunto de discos redundantes, protege contra la pérdida de datos y proporciona la recuperación de los datos en tiempo real.
Pérdida de integridad en la información	• Mediante la firma digital en el envío de información a través de mensajes enviados por la red. • Uso de la instrucción del sistema operativo Windows  sfc (system file checker).
Entrada de virus	• Uso de antivirus, que evite que se infecten los equipos con programas malintencionados.
Ataques desde la red	•Firewall, autorizando y auditando las conexiones permitidas. • Programas de monitorización. • Servidores Proxys, autorizando y auditando las conexiones permitidas.
Modificaciones no autorizadas	• Uso de contraseñas que no permitan el acceso a la información. • Uso de listas de control de acceso. • Cifrar documentos.

  

Seguridad activa: La seguridad activa la podemos definir como el conjunto de medidas que previenen e intentan evitar los daños en los sistemas informáticos.

A continuación, vamos o enumerar las principales técnicas de seguridad activa:

Amenazas	Mecanismos de Defensa
Uso de contraseñas	Previene el acceso a recursos por parte de personas no autorizadas.
Listas de control de acceso	Previene el acceso a los ficheros por parte de personal no autorizado.
Encriptación	Evita que personas sin autorización puedan interpretar la información.
Uso de software de seguridad informática	Previene de virus informáticos y de entradas indeseadas al sistema informático.
Firmas y certificados digitales	Permite comprobar la procedencia, autenticidad e integridad de los mensajes.
Sistemas de ficheros con tolerancia a fallos	Previene fallos de integridad en caso de apagones de sincronización o comunicación.
Cuotas de disco	Previene que ciertos usuarios hagan un uso indebido de la capacidad de disco.

En las fotos inferiores  podemos ver dos ejemplos de seguridad activa y pasiva. Las tarjetas inteligentes, ejemplo de seguridad activa, impiden el acceso a personas no autorizadas a los recursos, y los SAl (sistemas de alimentación ininterrumpida) permiten mantener los equipos encendidos el tiempo necesario para guardar la información una vez que se ha producido el desastre del apagón de luz).

Seguridad Pasiva: La seguridad pasiva complementa a la seguridad activa y se encarga de minimizar los efectos que haya ocasionado algún percance.

A continuación enumeramos las técnicas más importantes de seguridad pasiva:

Técnicas de seguridad pasiva	¿Cómo minimiza?
Conjunto de discos redundantes	Podemos restaurar información que no es válida ni consistente.
SAl	Una vez que la corriente se pierde las baterías del SAl se ponen en funcionamiento proporcionando la corriente necesaria para el correcto funcionamiento.
Realización de copias de seguridad	A partir de las copias realizadas, podemos recuperar la información en caso de pérdida de datos.

SEGURIDAD INFORMATICA

Seguridad Informática

La seguridad informática: es la disciplina que se Ocupa de diseñar las normas, procedimientos, métodos y técnicas, orientados a proveer condiciones seguras y confiables, para el procesamiento de datos en sistemas informáticos.

consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organizacion  sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.

Principios de Seguridad Informática:

Para lograr sus objetivos la seguridad informática se fundamenta en tres principios, que debe cumplir todo sistema informático:

Confidencialidad: Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático, Basándose en este principio, las herramientas de seguridad informática deben proteger el sistema de invasiones y accesos por parte de personas o programas no autorizados. Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que los usuarios, computadores y datos residen en localidades diferentes, pero están física y lógicamente interconectados.

Integridad: Se refiere a la validez y consistencia de los elementos de información almacenados y procesador en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben asegurar que los procesos de actualización estén bien sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos. Este principio es importante en sistemas descentralizados, es decir, aquellos en los que diferentes usuarios, computadores y procesos comparten la misma información.

Disponibilidad: Se refiere a la continuidad de acceso a los elementos de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deber reforzar la permanencia del sistema informático, en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicación que requieran, este principio es importante en sistemas informáticos cuyos compromiso con el usuario, es prestar servicio permanente.

Factores de Riesgo:

Ambientales/Físicos: factores externos, lluvias, inundaciones, terremotos, tormentas, rayos, humedad, calor entre otros.

Tecnológicos: Fallas de hardware y/o software, fallas en el aire acondicionado, falla en el servicio eléctrico, ataque por virus informático, etc.

Humanos: hurto, adulteración, fraude, modificación, revelación, pérdida, sabotaje, vandalismo, crackers,  hackers, falsificación, robo de contraseñas, alteraciones etc.

SOFTWARE DE AUDITORIA

SOFTWARE DE AUDITORIA

El software de auditoria se refiere a los programas computacionales sofisticados que tienen la capacidad realizar cálculos a una gran velocidad, tomando como base archivos de información de diferentes plataformas y formatos.

Planning Advisor. La Herramienta de Planeamiento de Auditoría Basada en Riesgos:

Este programa ayuda a automatizar el proceso de planeación de la auditoria. Utilizando este programa se puede identificar y clasificar las áreas de mayor exposición mediante criterios de evaluación basados en riesgos. Esta herramienta se puede utilizar en combinación con el Pro audit. Advisor como herramienta de ejecución de la planeación.

Cobit Advisor. Información del producto del Software: Es un programa que automatiza el marco de referencia Cobit. Permite la definición del personal de trabajo en una auditoria, así como elegir el dominio en el cual se trabajara es decir planificación y organización, adquisición y mantenimiento, desarrollo y soporte y monitoreo, así como los subdominios o procesos por cada dominio. También se pueden definir los criterios y recursos de información que se evaluarán.

Audicontrol. Software Gestión de Riesgos y Diseño de Controles para Procesos de Negocio: Es la metodología asistida por computador, desarrollada por AUDISIS para evaluar riesgos, diseñar y documentar controles en ambientes automatizados.

ACL (Lenguaje de Comandos de auditoria): Es un software para análisis y extracción de datos más usado en la actualidad. Con ACL los auditores y profesionales de los negocios pueden transformar grandes cantidades de datos electrónicos en un conocimiento comercial de valor. Es un software, poderoso y fácil de usar, le permite convertir datos en información significativa, lo cual le ayuda a alcanzar sus objetivos de negocios y agregar valor a su organización.

IDEA (Software de Análisis y Auditoria de Datos): IDEA es un software que permite visualizar, analizar, manipular, muestrear o extraer datos de virtualmente cualquier tipo de archive, sin importar su tamaño.