U NIVERSIDAD A UTNOMA

DEL

E STADO

DE

M XICO

Centro Universitario UAEM Valle De Mxico

Licenciatura en Informtica Administrativa

Asignatura: Auditoria Informtica

Profesora: Mara de los ngeles ngeles Carrillo

Integrantes: Aguilar de Jess Carlos Erasto Castro Lizardi Jhoana Fonseca Re na !uadalu"e Arisdelsly !arca #elz$uez Carlos Al%erto &nchez #elz$uez 'erenice Iras

Grupo: C()

Auditora de Sistemas Operativos

A*+I,-RIA +E &I&,EMA& -.ERA,I#-&

Auditoria de Sistemas Operativos

Los sistemas operativos eneran el am!iente de tra!a"o # la administraci$n de los recursos en cual%uier sistema de c$mputo # se &ace relevante como o!"eto de estudio # punto de partida'
E/isten distintos soft0are de sistemas -"erati1os2 $ue hacen necesario e1aluarlos clasificarlos3 El factor comn en los sistemas o"erati1os son4 el uso de "uertos de acceso en caso de 5indo0s &er1er son ser1icios $ue ha%ilitan los "uertos2 es im"ortante identificar su utilizaci6n a $ue estos "ueden constituir una 1ulnera%ilidad3 La Auditora de &oft0are es un t7rmino general $ue se refiere a la in1estigaci6n al "roceso de entre1istas $ue determina c6mo se ad$uiere2 distri%u e usa el soft0are en la organizaci6n3 Conducir la auditora es una de las "artes ms crticas de un .rograma de Administraci6n de &oft0are2 "or$ue la auditora a uda a la organizaci6n a tomar decisiones $ue o"timicen sus acti1os de soft0are3 Para llevar a cabo la auditoria de Sistemas Operativos, es de suma importancia que el auditor est familiarizado con los conceptos caractersticas de cada uno de los sistemas operativos! "ambin es necesario que se conozcan las actividades de la organizaci#n, con el fin de conocer la orientaci#n el uso de este dentro del $rea a auditar!

A*+I,-RIA +E &I&,EMA& -.ERA,I#-&

O!"etivos de La Auditoria de Sistemas Operativos

*na de las razones "or las $ue las organizaciones no ma/imizan su in1ersi6n en acti1os de soft0are es $ue no ha informaci6n e/acta dis"oni%le3 La reco"ilaci6n de toda la informaci6n necesaria es un "roceso intenso2 es"ecialmente cuando se hace "or "rimera 1ez3 -tro "ro%lema es $ue la "ers"ecti1a de una auditora "uede ser 1ista con algunas reser1as "or algunos directi1os de la organizaci6n2 "reocu"ados "or$ue "ueda interrum"ir el flu8o de tra%a8o2 "or algunos usuarios finales $ue "ueden ser forzados a a%andonar sus "rogramas o "rocedimientos fa1oritos3 *na de las formas de e1itar las o%8eciones de8ar de lado estos "ro%lemas es "lanificar cuidadosamente la Auditora de &oft0are comunicar su 1alor "or adelantado3 Algunos de los ob%etivos que se persiguen con la auditoria del sistema operativo son: &l uso eficiente de los equipos de c#mputo 'etecci#n de fallas me%oras en la seguridad de la informaci#n (nivel usuarios arc)ivos*!

A*+I,-RIA +E &I&,EMA& -.ERA,I#-&

(untos a Auditar

Los "untos ms frecuentes a auditar en un &istema -"erati1o son los siguientes4 Licencias Ar$uitectura Caractersticas generales &istema de Archi1os Com"ati%ilidad de controladores Interfaz *suarios "ermisos &er1icios del &istema -"erati1o 9erramientas de mantenimiento :i1el de Actualizaci6n

Estos son los "untos ms frecuentes o ms im"ortantes de%ido a $ue determinan el grado de seguridad del sistema o"erati1o recordemos $ue un &istema -"erati1o seguro %rindar ma or seguridad a nuestra informaci6n inde"endientemente de las medidas de seguridad $ue se "ongan en marcha "ara la "rotecci6n de la informaci6n3

A*+I,-RIA +E &I&,EMA& -.ERA,I#-&

Licencias
Determina el marco le al del sistema operativo # tiene %ue ver con el punto del nivel de actuali)aci$n'
*na licencia de soft0are es un contrato entre el licenciante el licenciatario del "rograma informtico2 "ara utilizar el soft0are cum"liendo una serie de t7rminos condiciones esta%lecidas dentro de sus clusulas3 Las licencias de soft0are "ueden esta%lecer entre otras cosas4 la cesi6n de determinados derechos del "ro"ietario al usuario final so%re una o 1arias co"ias del "rograma informtico2 los lmites en la res"onsa%ilidad "or fallos2 el "lazo de cesi6n de los derechos2 el m%ito geogrfico de 1alidez del contrato e incluso "ueden esta%lecer determinados com"romisos del usuario final hacia el "ro"ietario3 +icencias de ,#digo Abierto: Las licencias de soft0are de c6digo a%ierto contienen una clusula $ue o%liga a $ue las modificaciones $ue se realicen al soft0are original se de%an licenciar %a8o los mismos t7rminos condiciones de la licencia original2 "ero $ue las o%ras deri1adas $ue se "uedan realizar de 7l "uedan ser licenciadas %a8o otros t7rminos condiciones distintas3 +icencias de ,#digo ,errado: Estas licencias tam%i7n se conocen con el nom%re de soft0are "ro"ietario o "ri1ati1o3 En ellas los "ro"ietarios esta%lecen los derechos de uso2 distri%uci6n2 redistri%uci6n2 co"ia2 modificaci6n2 cesi6n en general cual$uier otra consideraci6n $ue se estime necesaria3 Independientemente del "ipo de +icencia ba%o la que est el Soft-are esta deber$ especificarse dentro de la auditoria, a que como se mencion# anteriormente, esta parte va mu de la mano con las actualizaciones, recordemos que en alg.n momento al actualizar el sistema operativo el propio proveedor puede instalar alguna especie de candado con el fin de frenar las copias ilegales de soft-are, limitando incluso las actualizaciones!

A*+I,-RIA +E &I&,EMA& -.ERA,I#-&

Ar%uitectura

Se eval.a si el sistema operativo es compatible con el %uego de instrucciones del microprocesador del equipo de c#mputo!
La ar$uitectura es el dise;o conce"tual la estructura o"eracional fundamental de un sistema de com"utadora3 Es decir2 es un modelo una descri"ci6n funcional de los re$uerimientos las im"lementaciones de dise;o "ara 1arias "artes de una com"utadora2 con es"ecial inter7s en la forma en $ue la unidad central de "roceso <C.*= tra%a8a internamente accede a las direcciones de memoria3 Los "rocesadores estn com"uestos "or una lista de segmentos lineales secuenciales en donde cada segmento lle1a a ca%o una tarea o un gru"o de tareas com"utacionales3 Los datos $ue "ro1ienen del e/terior se introducen en el sistema "ara ser "rocesados3 La com"utadora realiza o"eraciones con los datos $ue tiene almacenados en memoria2 "roduce nue1os datos o informaci6n "ara uso e/terno3

A*+I,-RIA +E &I&,EMA& -.ERA,I#-&

Caracter*sticas enerales
&n este punto se describe si el Sistema Operativo es multitareas, multiusuario, distribuido, etc! *n sistema o"erati1o "uede clasificarse de la siguiente manera4
.or ,areas $ue realiza

Monotarea4 &olamente "uede e8ecutar una sola

a"licaci6n en un momento dado3 *na 1ez $ue em"ieza a e8ecutarse alguna a"licaci6n2 continuar haci7ndolo hasta su finalizaci6n o interru"ci6n3 Multitarea4 Es ca"az de e8ecutar 1arios a"licaciones al mismo tiem"o3 Este ti"o de &3-3 normalmente asigna los recursos dis"oni%les <C.*2 memoria2 "erif7ricos= de forma alternada a los "rocesos $ue los solicitan3

.or el nmero de usuarios

Monousuario4 &6lo "ermite e8ecutar los "rogramas de un usuario al mismo tiem"o3

Multiusuario4 &i "ermite $ue 1arios usuarios e8ecuten simultneamente sus "rogramas2 accediendo a la 1ez a los recursos de la com"utadora3

.or el mane8o de recursos

Centralizado4 .ermite utilizar los recursos de una sola com"utadora3 +istri%uido4 .ermite utilizar los recursos <memoria2 C.*2 disco2 "erif7ricos333 = de ms de
una com"utadora al mismo tiem"o3

A*+I,-RIA +E &I&,EMA& -.ERA,I#-&

Compati!ilidad de controladores

Evaluar si los dispositivos con los %ue cuenta el e%uipo de c$mputo funcionan de manera adecuada en el sistema operativo+ o si es posi!le &acerlos funcionar sin demasiada comple"idad'
,ontrolador de 'ispositivo: Son "rogramas a;adidos al ncleo del sistema o"erati1o2 conce%idos inicialmente "ara gestionar "erif7ricos dis"ositi1os es"eciales3 Los controladores de dis"ositi1o "ueden ser de dos ti"os4

-rientados a caracteres <tales como los dis"ositi1os :*L2 -rientados a %lo$ues2 constitu endo las conocidas unidades
de disco3 La diferencia fundamental entre am%os ti"os de controladores es $ue los "rimeros reci%en o en1an la informaci6n carcter a carcter2 en cam%io2 los controladores de dis"ositi1o de %lo$ues "rocesan2 como su "ro"io nom%re indica2 %lo$ues de cierta longitud en % tes <sectores=3 A*>2 .R:2 etc3 del sistema=

A*+I,-RIA +E &I&,EMA& -.ERA,I#-&

Interfa)

Simplemente se eval,a el rado de facilidad %ue tiene el usuario para utili)ar cada una de las funciones del sistema operativo' Iinterfaz de usuario4 es el medio "or el cual el usuario "uede comunicarse con una com"utadora2 com"rende todos los "untos de contacto entre el usuario el e$ui"o2 normalmente suelen ser fciles de entender fciles de accionar3 Las interfaces %sicas son a$uellas $ue inclu en cosas como mens2 1entanas2 teclado2 rat6n2 algunos sonidos $ue la com"utadora hace2 en general2 todos a$uellos canales "or los cuales se "ermite la comunicaci6n entre el ser humano la com"utadora3 Interfaz Gr$fica de /suario (G/I*: Es un ti"o de interface $ue "ermite al usuario elegir comandos2 iniciar "rogramas 1er listas de archi1os otras o"ciones utilizando las re"resentaciones 1isuales <iconos= las listas de elementos del men3 Las selecciones "ueden acti1arse %ien a tra17s del teclado o con el rat6n3 Interfaz de +nea de ,omandos: Es una interfaz en la cual el usuario escri%e las instrucciones utilizando un lengua8e de comandos es"ecial2 se consideran ms difciles de a"render utilizar $ue los de las interfaces grficas3 La interfaz con comandos son "or lo general "rograma%les2 lo $ue les otorga una fle/i%ilidad $ue no tienen los sistemas %asados en grficos3

A*+I,-RIA +E &I&,EMA& -.ERA,I#-&

Usuarios # permisos
Este punto eval,a el nivel de se uridad de la informaci$n+ pues se determina los permisos %ue tienen los usuarios para escri!ir+ leer editar o e"ecutar arc&ivos # aplicaciones'
Indis"ensa%le "ara mantener la integridad confia%ilidad de nuestro sistema en general3 la

+e%e iniciar sesi6n en una cuenta "ara o%tener acceso a los recursos o%8etos del sistema o"erati1o3 En la ma or "arte de los sistemas no se "uede cam%iar la cuenta de inicio de sesi6n "redeterminada? si 7sta se cam%iara2 es "ro%a%le $ue el sistema no funcionara correctamente3 &i selecciona una cuenta $ue no dis"one de "ermiso "ara iniciar sesi6n otorgar automticamente a esa cuenta los derechos de usuario de inicio de sesi6n necesarios como un ser1icio en el e$ui"o $ue est administrando3 La seguridad se %asa en usuarios3 &i un ordenador 1a a ser utilizado "or 1arias "ersonas2 cada una de%e tener un usuario de%e identificarse con su nom%re contrase;a "ara $ue el sistema se"a $ui7n est sentado delante3 Los administradores tienen control total so%re el e$ui"o2 mientras $ue los otros estn ms limitados3 Los derechos so%re el sistema $ue "uede tener cada gru"o o usuario3 *n anlisis detallado de los cam%ios $ue se "roducen so%re los "ermisos de acceso a archi1os car"etas3 -frecer una informaci6n ms com"leta2 inclu endo $u7 usuarios han realizado los cam%ios2 d6nde cundo se han hecho tales cam%ios los 1alores "re1ios "osteriores3 Esta informaci6n "ermite monitorizar de forma efecti1a los cam%ios so%re los "ermisos re1ertirlos en caso necesario3

A*+I,-RIA +E &I&,EMA& -.ERA,I#-&

Servicios del sistema operativo

Este punto eval,an las funciones avan)adas del sistema operativo+ como el fire-all incorporado+ escritorio remoto o asistencia remota+ administraci$n de colas de impresi$n+ funciones de red+ etc'
El sistema o"erati1o contiene "rogramas de ser1icios $ue sir1en de a"o o al "rocesamiento de los tra%a8os seguridad de nuestra com"utadora2 como son4 0ire-all crea una %arrera entre los datos "ri1ados de nuestra com"utadora e/ternas $ue nos "ueden atacar cuando estamos conectados a una red3 las amenazas

&scritorio remoto tecnologa $ue "ermite a un usuario tra%a8ar en una com"utadora a tra17s de su escritorio grfico desde otro terminal u%icado en otro lugar3 Asistencia remota "ro"orciona una forma de o%tener la a uda $ue necesita cuando surgen "ro%lemas con su e$ui"o3 Administraci#n de colas de impresi#n El administrador decide c6mo re"artir los "ri1ilegios entre los usuarios2 guardando los datos hasta $ue la im"resora est "re"arada "ara im"rimirlos3 0unciones de red muestra la 1elocidad en la transferencia de archi1os2 %ien sea cuando descargamos algo de la red2 como archi1os o "ginas 0e%2 o %ien cuando somos nosotros los $ue hacemos de ser1idor estn descargando algo de nuestro ordenador3

A*+I,-RIA +E &I&,EMA& -.ERA,I#-&

.erramientas de mantenimiento
Se eval,a si el Sistema operativo cuenta con &erramientas %ue permitan me"orar el desempe/o del mismo+ tales como Desfra mentadores+ correcci$n de errores en discos+ copias de se uridad etc' 0 si estas se encuentran instaladas
Con el tiem"o2 todos los e$ui"os necesitarn algn ti"o de mantenimiento3 Los errores2 los archi1os fragmentados2 otros elementos ad1ersos "ueden desarrollar en el disco afectar el rendimiento del e$ui"o3 .ara ello2 el usuario "uede elegir entre una 1ariedad de herramientas de mantenimiento diferentes3 Algunas de las herramientas de mantenimiento $ue estn dis"oni%les "ara esta tarea son el soft0are anti@mal0are2 desfragmentadores de disco2 damas de error2 otro soft0are dise;ado "ara sim"lificar las diferentes "artes del sistema informtico3 Cuando se guarda un archi1o2 no se "uede guardar en un lugar3 Ms %ien2 el e$ui"o "uede sal1ar a los fragmentos de archi1o en diferentes lugares3 *n desfragmentador de disco reorganizar los archi1os "ara $ue un determinado archi1o se guarda en un rea contigua3 Algunas com"utadoras "ueden 1enir con un desfragmentador de disco incluido con el sistema o"erati1o2 tanto $ue otros no3 &oft0are utilizado "ara la lim"ieza del disco duro es otra de las herramientas de mantenimiento $ue "ueden ser tiles "ara los usuarios3 La herramienta Li%erador de es"acio en disco se utiliza en los sistemas o"erati1os 5indo0s A "ara desinstalar eliminar "rogramas no deseados2 a fin de li%erar es"acio en disco "ermitir $ue el e$ui"o funcione ms r"ido3 Con el fin de des"e8ar el escritorio de iconos no utilizados no deseados2 la herramienta de lim"ieza de escritorio se "uede utilizar3 -tros sistemas o"erati1os no "ueden tener estas herramientas3 Los "ro"ietarios de dichos sistemas o"erati1os "ueden necesitar lim"ieza de sus sistemas manualmente3 -tra de las herramientas de mantenimiento $ue se "ueden utilizar "ara mantener los e$ui"os en la me8or forma es la herramienta de lim"ieza del Registro3 El "ro"6sito de esta herramienta es "ara agilizar el registro li%rarla de elementos no deseados3 Lim"ieza del Registro "uede a udar a acelerar el e$ui"o conseguir $ue funcione correctamente3 En general2 esta herramienta s6lo est dis"oni%le "ara los sistemas o"erati1os 5indo0s3 Muchos otros sistemas o"erati1os no usan los registros2 "or lo $ue "ara ellos esta herramienta es irrele1ante3

A*+I,-RIA +E &I&,EMA& -.ERA,I#-&

A*+I,-RIA +E &I&,EMA& -.ERA,I#-&

Otras consideraciones
Al unos otros puntos %ue se pueden considerar dentro de la auditoria pueden ser1 El perfil del usuario' 2rado de conocimientos del usuario' (rocesos de mantenimiento

El "erfil del usuario2 !rado de conocimientos del usuario2 .rocesos de mantenimiento facilitan el mantenimiento control de los usuarios2 definiendo caractersticas "or rea de tra%a8o res"onsa%ilidad2 "ara "ermitir asignar a cada uno la acti1idad corres"ondiente a sus ha%ilidades3

A*+I,-RIA +E &I&,EMA& -.ERA,I#-&

Metodolo *a propuesta
A' Investi aci$n (reliminar O!"etivos

- Determinar los recursos de cmputo de la empresa y la estructura organizacional de esta. - Evaluar la importancia del sistema de informacin para los procesos de negocio objeto de la auditoria y el soporte que los recursos de cmputo dan a estos. - Conocer de manera global el sistema operativo sobre el cual se llevara a cabo la auditoria, identificando los elementos que apoyan la seguridad y administracin.

Consideraciones a' Conocimiento global de la empresa en cuanto a !rea de "ecnolog#a de la $nformacin %!rea de sistemas& Estructura organizacional y personal 'lataforma de (ard)are *istemas operativos *istemas de redes y comunicaciones !' Conocimiento global del sistema operativo, evaluando las (erramientas que proporciona como apoyo a la seguridad y a la administracin.

.erramientas o Mecanismos para la reali)aci$n de la Investi aci$n (reliminar - Entrevistas previas con el cliente %persona que solicita la realizacin de la auditoria&. - $nspeccin de las instalaciones donde se llevar+ a cabo la auditoria y observacin de operaciones. - $nvestigacin e indagacin con el personal involucrado en el proyecto de auditoria y los funcionarios que administran y operan los sistemas a evaluar. - ,evisin de documentacin proporcionada por la empresa. - ,evisin de informes de auditorias anteriores, si se (an realizado. - Estudio y evaluacin del sistema de control interno.

Documentos a solicitar para la Investi aci$n (reliminar - -istado de aplicaciones en produccin y directorio de datos. - -istado de empleados activos y despedidos en el .ltimo trimestre. - Documento de autorizacin a cada usuario del sistema y aprobacin de derec(os y privilegios. - -istados de monitoreo del sistema. - -istado de utilidades importantes, con los usuarios y grupos que las acceden. - 'ol#ticas de seguridad corporativa. - Documento de configuracin inicial del sistema operativo y las autorizaciones para su actualizacin o cambio. - Documento de definicin de los roles en la administracin del sistema y la seguridad. - 'lanes de capacitacin y entrenamiento.

A*+I,-RIA +E &I&,EMA& -.ERA,I#-&

- Contratos con entes e/ternos relacionados con "ecnolog#as de la $nformacin. - $nformes de auditor#a previos. 3' Identificaci$n # A rupaci$n de 4ies os

O!"etivos - Determinar los recursos de cmputo de la empresa y la estructura organizacional de esta. - Evaluar la importancia del sistema de informacin para los procesos de negocio objeto de la auditoria y el soporte que los recursos de cmputo dan a estos. - Conocer de manera global el sistema operativo sobre el cual se llevara a cabo la auditoria, identificando los elementos que apoyan la seguridad y administracin.

Consideraciones a' Conocimiento global de la empresa en cuanto a !rea de "ecnolog#a de la $nformacin %!rea de sistemas& Estructura organizacional y personal 'lataforma de (ard)are *istemas operativos *istemas de redes y comunicaciones !' Conocimiento global del sistema operativo, evaluando las (erramientas que proporciona como apoyo a la seguridad y a la administracin.

.erramientas o Mecanismos para la reali)aci$n de la Investi aci$n (reliminar - Entrevistas previas con el cliente %persona que solicita la realizacin de la auditoria&. - $nspeccin de las instalaciones donde se llevar+ a cabo la auditoria y observacin de operaciones. - $nvestigacin e indagacin con el personal involucrado en el proyecto de auditoria y los funcionarios que administran y operan los sistemas a evaluar. - ,evisin de documentacin proporcionada por la empresa. - ,evisin de informes de auditorias anteriores, si se (an realizado. - Estudio y evaluacin del sistema de control interno.

Documentos a solicitar para la Investi aci$n (reliminar - -istado de aplicaciones en produccin y directorio de datos. - -istado de empleados activos y despedidos en el .ltimo trimestre. - Documento de autorizacin a cada usuario del sistema y aprobacin de derec(os y privilegios. - -istados de monitoreo del sistema. - -istado de utilidades importantes, con los usuarios y grupos que las acceden. - 'ol#ticas de seguridad corporativa.

A*+I,-RIA +E &I&,EMA& -.ERA,I#-&

- Documento de configuracin inicial del sistema operativo y las autorizaciones para su actualizacin o cambio. - Documento de definicin de los roles en la administracin del sistema y la seguridad. - 'lanes de capacitacin y entrenamiento. - Contratos con entes e/ternos relacionados con "ecnolog#as de la $nformacin. - $nformes de auditor#a previos.

C' Evaluaci$n de la Se uridad en la empresa o!"eto de la Auditor*a O!"etivos Determinar si los controles e/istentes protegen apropiadamente la empresa contra los riesgos identificados. En este sentido cuatro m0todos pueden combinarse 1n+lisis de riesgos 2lujogramas de control Cuestionarios de control 3atrices de control

D' Dise/o de (rue!as de Auditor*a O!"etivo Definir -os procedimientos de 1uditoria que permitan recolectar la evidencia que apoye los (allazgos y recomendaciones.

Consideraciones 4na vez realizados los pasos anteriores en este punto se tienen las bases para dise5ar las pruebas de auditoria que se (an de efectuar. Este es un trabajo de escritorio donde se determina en t0rminos generales el objetivo de la prueba, se describe brevemente %procedimientos a emplear&, tipo de la prueba, t0cnicas a utilizar, recursos requeridos en cuanto a informacin, (ard)are, soft)are y personal.

5ipos de prue!as

A*+I,-RIA +E &I&,EMA& -.ERA,I#-&

(rue!as de cumplimiento1 6usca determinar si e/iste el control para el riesgo identificado . (rue!as sustantivas1 6usca conocer la forma en que esta implementado el control, en caso de que este e/ista.

5cnicas com,nmente usadas para el Dise/o # E"ecuci$n de (rue!as de Auditor*a - 7bservacin - $ndagacin - Conciliacin %cruce de informacin con persona o documentos& - $nspeccin - $nvestigacin anal#tica Evaluar tendencias - Confirmacin - "11C8* "0cnicas de 1uditoria 1sistidas por Computador.