Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Estudio preliminar:
Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas hace
un estudio y análisis profundo en los que definirá concretamente su grupo de
trabajo y la distribución de carga del mismo, establecerá los motivos,
objetivos, alcance y recursos que usará, definirá la metodología de trabajo, la
duración de la auditoria, presentará el plan de trabajo y analizará
detalladamente cada problema encontrado con todo lo anteriormente
analizado.
Comunicación de resultados:
Motivos de la auditoría.
Objetivos.
Alcance.
Control Interno.
Resultados de la Auditoría.
Auditoría de aplicaciones.
Las empresas normalmente incluyen en su sitio Web pequeñas aplicaciones
(Applets, CGIs, ActiveX, etc.) que ayudan a gestionar los datos enviados por los
usuarios (datos personales, pedidos, pagos online, control de acceso, etc.). Existen
también otras empresas que utilizan su sitio Web para realizar una gran variedad
de operaciones con sus clientes/proveedores/personal (p.e. portales corporativos,
brokers/banking online, e-commerce, extranets, etc.) y esto implica la utilización de
una compleja aplicación que se ejecuta en el servidor Web o de aplicaciones y que
gestiona todas estas operaciones.
Análisis funcional.
Análisis Técnico.
Durante esta fase se llevan a cabo todas las pruebas sobre la aplicación
auditada, se analizan los resultados obtenidos y en el caso de detectar nuevas
vulnerabilidades a explotar se vuelve a la fase de diseño para intentar
explotarlas.
Nuestra metodología nos permite llevar a cabo una exhaustiva revisión sobre las
aplicaciones auditadas cubriendo los siguientes aspectos de seguridad:
Recopilación de información:
Descubrimiento de aplicaciones.
Identificación de puntos de entrada a la aplicación.
Análisis de códigos de error.
Identificación de plataformas.
Los ataques que pueden realizarse a las aplicaciones, se pueden iniciar a través del
análisis de los protocolos implementados por estas. A veces pueden no
implementarse controles de seguridad lo suficientemente robustos, y otras veces,
implementar librerías propietarias de protocolos estándar de forma incorrecta que
implican también vulnerabilidades de seguridad en el sistema.
Las reglas de negocio pueden incluir reglas que expresen políticas de negocio
(como productos, precios o ubicaciones) o workflows basados en tareas ordenadas
de transmisión de datos de un participante (una persona o un componente
software) a otro.
Se llevará a cabo un análisis sobre los Web Services implementados para intentar
detectar deficiencias. Se revisarán controles de acceso y seguridad a nivel IP, la
configuración, fugas de información motivada por deficiencias en la gestión de
errores y excepciones, filtros de validación implementados, así como la existencia
de controles de auditoría y logging.
Controles internos.
Controles en aplicaciones.
Están diseñados para evitar que se ingresen al sistema datos erróneos, es decir
que son primeramente controles preventivos. También permiten detectar y corregir
errores que fueron ingresados al sistema con anterioridad.
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad.
Los controles de aplicación se establecen para proporcionar una seguridad
razonable de que los objetivos que la gerencia establece sobre las aplicaciones, se
alcanzan. Estos objetivos se articulan típicamente a través de funciones específicas
para la solución, la definición de las reglas de negocio para el procesamiento de la
información y la definición de procedimientos manuales de soporte. Ejemplo de
ello son:
Totalidad (Integridad)
Exactitud
Validez
Autorización
Segregación de funciones