DOMINIOS DE TI

auditoria de sistemas

ysraelguzman@gmail.com 1
NETWORKING TECHNOLOGY

ysraelguzman@gmail.com 2
Arquitectura del Computador
• 3 básicos componentes: CPU, Canal de
Input/Output y Almacenamiento de Datos.
• Existen varios Sistemas Operativos que
utilizan el Hardware para procesar
información.
• Las computadoras pueden cumplir varios
roles. (User Workstation, File Server, etc.)
Seleccionando el Mejor Computador
• SUPERCOMPUTADORES: Diseñados
para cálculos científicos. Como calcular
detalles de una reacción nuclear.
• MAINFRAMES: Grandes, escalables, de
propósito general, diseñados para soporta
increíbles volúmenes de datos. Procesan
datos en paralelo. Buen THROUGHPUT
(información procesada en un tiempo)
Seleccionando el Mejor Computador
• MAINFRAMES: Rango de precios entre
US$ 50 mil y US$ 10 millones. Estos
equipos pueden particionar sus recursos
de hardware y emitir reportes de trabajos
de uso para poder costear por áreas.
• RANGO MEDIO MINICOMPUTADORES:
diseñadas para operar en un
departamento o pequeña organización.
Seleccionando el Mejor Computador
• RANGO MEDIO MINICOMPUTADORES:
Por ejemplo IBM AS/400 o Z series son
diseñadas para ser Mainframes o
Midrange computers. (Unix S.O. midrange)
• MICROCOMPUTADORES: Pequeños
sistemas como una PC, notebook o PDA.
MIPS: Millions of instructions per second.
Seleccionando el Mejor Computador
Almacenamiento de Datos
• Un adecuado almacenamiento de datos es
importante para el ambiente de
producción.
• El auditor revisa cuantas copias de
backups existen y los controles utilizados.
(Integridad y mecanismos de seguridad)
Almacenamiento de Datos
Protección de Puertos de Control y
Acceso
• Como los accesos físicos pueden romper
los controles lógicos.
• Los Microcomputadores más propenso a
ellos. (keyboard, USB, Modems, etc.)
• El auditor debe de revisar si los controles
de acceso físico protegen los puertos.
Conocimiento de…
• Modelo OSI.
• Diseño Físico de Red. (switch, hub, etc.)
• Topologías de Red. (bus, estrella, etc.)
• Tipos de Cables. (utp, coaxial, fibra óptica)
• Dispositivos de Red.
• Servicios de Red. (dns, dhcp, etc.)
Administrando la Red
• Las Redes tiene crecimientos constantes y
complejos.
• Syslog, Cable Tester, Protocol Analizer
(sniffer), SNMP, RMONv2.
• El auditor debe conocer los términos,
tecnología de red y sus roles de los
equipos, verificando que no existan riesgos
de diseño e implementación.
ADMINISTRACION DEL
CICLO DE VIDA
Introducción
• Metodologías de las mejores prácticas del
desarrollo del software. (Ciclo de vida del
Desarrollo de Sistemas)
• El auditor deberá evaluar los procesos
utilizados para el desarrollo o adquisición
de software para asegurar que los
programas se alinean a los objetivos del
negocio.
Gobierno en el Desarrollo de
Software
• El objetivo es incrementar los réditos y reducir
los costos operativos.
• Por ejemplo el Software de Subastas
implementado y marketeado por Ebay es un
ejemplo de estrategia de sistemas.
• El objetivo del Auditor es verificar si los objetivos
de la empresa han sido identificados y han
satisfecho las expectativas.
Administrando la Calidad del
Software
• La verdadera calidad es diseñada desde el
inicio del sistema.
• Modelos que promueven la calidad del
software:
– Capacity Maturity Model (CMM)
– International Standar Model (Spice)
Capacibility Maturity Model - CMM
• Fue desarrollado para proveer una
estrategia para determinar la madurez de
los procesos e identificar los siguientes
pasos necesarios para mejorar.
• Nivel 0 (no reconocido), Nivel 1=Initial,
Nivel 2=Repeatable, Nivel 3=Defined,
Nivel 4=Managed, Nivel 5=Optimized.
• El Banco de Crédito y GMD tiene nivel 3
ISO - International Organization for
Standarization
• ISO 15504 Spice – Variacion de CMM (Ej.
CMM level 2 es ISO level 2 =Managed)
• ISO 9001 Quality Management (adopta
formalmente una guia de calidad).
• ISO 9126 Software Quality (Como aplicar
metricas de calidad del software, tiene 6
atributos a evaluar)
IT SERVICE DELIVERY
Introducción
• Administración de las operaciones de TI
diseñadas para soportar a la organización.
• Practicas para monitorear los niveles de
servicio y control de cambios en la
organización.
• Las mejores prácticas de administración
de incidentes y resolución de problemas.
Operaciones de TI
• TI provee un servicio a los usuarios del negocio.
Funciones:
• Gestión del Dpto. de TI: administradores y trabajadores
enfocados en la disponibilidad, integridad y
confidencialidad de los sistemas.
• Ciclo de vida de los Sistemas: A todos los sistemas se
les da mantenimiento. (SDLC, CMM).
• Políticas de TI: Políticas de Protección de Antivirus,
designación de un Oficial como custodio de la Data.
• Estándares de TI: Desarrollados por Ejecutivos. Ej.
Separación de Responsabilidades y Horas de
Disponibilidad.
Operaciones de TI
• Procedimientos de TI: Para asistir la Gestión. Ej.
Licenciamiento, escalamiento de problemas.
• Descripción de Trabajos y Responsabilidad de TI:
Funciones de cada posición.
• Administración de Riesgos de Procesos de TI: Mitigación
de posibles fallas.
• Administración de Activos de TI: Control de Mantemiento
de Datos, licencias, hardware, networking y datacenter.
• Servicios de TI para Usuarios: Soporte. Medido por el
valor de satisfacción. Solución de problemas
individuales.
IT Balanced Scorecard
• Convierte los objetivos de negocio de
crecimiento, procesos de negocio, clientes
y metas financieras en una serie de
métricas definidas.
• Uso de Scorecard para poder eliminar
actividades de pequeño o de ningún valor.
• ISACA implementa 3 capas para el IT
Balanced Scorecard: Misión, Estrategia y
Métricas.
Otros temas a conocer.
• Help Desk: Asistencia, servicio, competencias,
procedimientos.
• Administración de niveles de Servicio: SLA
(service-lever agreement) representa un acuerdo
entre el usuario y proveedor del servicio.
Propósito de definir el criterio de rendimiento ya
sea por cantidad o calidad del servicio proveído.
(Disponibilidad del sistema, definición del
servicio, calificación del personal, requisitos de
seguridad, integridad de datos, reporte del nivel
de servicio, costo del servicio, etc)
Controles de Monitoreo
• Sin controles efectivos, un pequeño error podría llegar a
salir en el output de un proceso.
• El trabajo del auditor, es evaluar los controles internos.
• Controles de Acceso a los Sistemas: user login,
privileged administrator login y maintenance login. (6-8
caracteres, 30 a 60 días vencimiento)
• Controles de Archivos de Datos: controles perimetrales,
acceso directo y aplicativos.
• Controles de Procesamiento de Aplicativos: controles de
entrada, procesamiento y salida.
• Controles de Mantenimiento: Backup and Recovery,
Administración de Proyectos.
Administración de Cambios
• Cualquier cambio constituye un riesgo en
la integridad de los sistemas y en su
disponibilidad, sin embargo son
inevitables.
Administración de Cambios
• Versión de Software y Administración de Parches.
(Mayor lanzamiento 12 a 24 meses, actualización,
soluciones de emergencia)
• Control de Configuración. (Pruebas formales)
• Autorización de cambios. (no saltar el ciclo de vida)
• Cambios de Emergencia. (minimiza interrupciones)
• Administración de Controles. (Licenciamiento e
Inventario, etiquetado de Medios, Entrenamiento de
Usuarios, disposición de activos, etc.)
Entrega de Servicios de TI
• Monitoreo de Sistemas. (inconsistencias,
errores y fallas)
• Administración de Red. (SNMP)
• Administración de Capacidad. (recursos
para una disponibilidad del servicio a
futuro)
• Administración de Problemas. (Método de
resolución y escalamiento, Prioridades)
Indicadores del Rendimiento de TI
• Presupuesto de TI.
• Satisfacción del Usuario.
• Indicadores técnicos.
• El auditor revisa la eficiencia y eficacia del
Dpto. de TI.
PROTECCION DE LOS ACTIVOS
DE INFORMACIÓN
Introducción
• Implementación de controles
administrativos, físicos y métodos técnicos.
• El objetivo es salvaguardar el
almacenamiento, transporte, acceso y la
disposición de la confidencialidad de la
información.
• Seguridad en Redes, Encriptación de
Datos, Diseño de Protección Física y
Autenticación de usuarios.
Protección de Amenazas
• Controles:
Puente,
fortaleza, VPN,
Firewalls, etc.
• Activos:
Reyes,
laptops, PDAs,
Base de
Datos.
Amenazas y Crímenes de Computo
• Robos. • Pérdida de Credibilidad.
• Fraudes. • Pérdida de Propiedad de
• Sabotage. Información.
• Blackmail. • Repercusiones Legales.
• Espionaje.
Causantes
• Hackers.
• Crakers.
• Script Kiddies.
• Traición de Empleados.
• Ethical Hacker Gone Bad.
• Terceras Partes.
• Desconocedores o Ignorantes.
Métodos de Ataques - Pasivos
• Usan Técnicas de observación.
• Network Analysis. (obtiene un mapa de la
red)
• Host traffic analysis. (identifica un sistema
en particular)
Métodos de Ataques - Activos
• Primero intenta obtener información, luego procede con
el ataque.
• Ingeniería social.
• Phishing. (correos falsos)
• Otros: Dumpster diving, Virus, Worm, Logic Bomb,
Trapdoor, Brute Force attack, Denial of service, IP
fragmentation attack, Crash-restart, Mantenimiento de
cuentas, Remote access attacks (War dialing, War
driving/walking), Cross-network connectivity, source
routing, salami technique, packet replay, message
modification, email spamming an spoofing.
• PING DE LA MUERTE: ping –l 65510
Protección Administrativa
• Establecer estrategia para reglas
operativas.
• Administración de la Seguridad de la
Información: asegurar disponibilidad,
confidencialidad e integridad de los
recursos computacionales. Gestión se
Sistemas de Seguridad de la Información.
Protección Administrativa
• Gobierno de Seguridad de TI: Los datos
pueden ser clasificados según su valor o
sensibilidad.
• La clasificación de datos puede definir
controles necesarios de acuerdo a su
confidencialidad.
• Ej.: Publica, Sensible, Privada o de uso
interno y Confidencial.
Protección Administrativa
• Roles de Autoridad sobre la Data.
• Propietario de la Data: responsables del contenido.
(Niveles de Clasificación, controles, uso, usuarios,
designa custodio)
• Usuario de la Data: beneficia de la data computarizada.
(estándares de uso, cumplimiento de controles,
confidencialidad, reporta actividad no autorizada)
• Custodio de la Data: almacenamiento y disponibilidad.
(monitoreo de violaciones, control de accesos, integridad
a través de procesos de control, backup, resolución de
problemas.
• Auditor debe verificar criterios de clasificación,
integración de políticas y procedimientos, capacitación.
Protección Administrativa
• Requerimientos de Almacenamiento: depende
del negocio, deben almacenarse la información.
En Perú mantener 10 años, pero para temas de
Registros Médicos debe ser indefinido.
• Documentación de Rutas de Acceso: Layout
para identificar puntos críticos de acceso.
• Administración del Personal: Capacitación y
concientización.
• Accesos Físicos: Como obtienen derechos de
accesos el personal o externos. (Áreas
Sensibles, Puertos de Servicio, Consolas, etc.)
Protección Administrativa
• Desactivación de Accesos:
Procedimiento para eliminar accesos
cuando un empleado deja la empresa.
• Respuesta de Incidentes.
• Reportes de Violaciones.
• El auditor deberá determinar si los
controles son apropiados para
gestionar las actividades del personal.
Protección Física
• Barreras para proteger los activos.
• Circuitos de Televisión cerrada. (Verificar
la calidad del video y capacidad de
retención)
• Guardias de Seguridad.
• Bloqueos Especiales. (Chapas
Electrónicas, biométricas, etc.)
Protección Física
• Lugar de Procesamiento de Datos: Área sensible
y restrictiva al personal. Protección contra
incendios.
• Controles de Ambiente: Botón de Apagado de
Emergencia de energía (EPO), UPS, Generador
Alterno o de contingencia, sistema de
transferencia de energía, ventiladores, aire
condicionado, detectores de temperatura, humo,
incendios, aniegos, supresores de fuego.
Protección Física
• Resguardo de Información: Almacenar la
información en lugares protegidos contra el
fuego.
• El resguardo fuera de la empresa debería
brindar seguridad y facilidad de acceso las 24
horas.
• El transporte de los Medios de Backup, debe
tener la seguridad del caso, enviándose en cajas
cerradas y correctamente etiquetadas
Protección Técnica
• Se refiere a la protección lógica que se le
da a la información a través de controles
técnicos y automatizados.
• Controles de Aplicaciones: combinación de
identidad, autenticación, autorización y
auditabilidad. (Vistas de BD, Restricciones
de Menús, Etiquetas de Seguridad, etc.)
Protección Técnica
• Métodos de Autenticación: identificar al usuario
que desea acceder, asegurar que la identidad es
la correcta en el acceso a la información.
• 3 factores que pueden ayudar en la
autenticación:
– algo que una persona conoce (PASSWORD),
– algo que una persona posee (TARJETA)
– característica física (retina scan, hand geometry, etc.)
Protección Técnica
Protección de acceso a la Red:
• Kerberos Single Sign-On.
• Firewall. (Generaciones de Firewalls)
• Acceso Dia-up.
• Acceso remoto vía VPN.
• Acceso Inalámbrico.
• Detector de Intrusos (IDS, IPS).
Métodos de Encriptación
• Método que convierta la información en
datos no legibles.
• Clave Privada. Simétrica.
• Clave Pública. Asimétrica.
• Protocolos Seguros de Red: PGP, SSL,
HTTPS, TLS, IPsec.
Protección.
• Diseño de Redundancia. (Rutas alternas,
Espejo de Servidores, RAID.
• Seguridad en Telefonía: criterios similares
a la protección de Redes, crecimiento de
estos temas por Telefonía IP.