M. Sc. Miguel Cotaña Mier Lp, Octubre 2010 AUDITORIA DE SISTEMAS INFORMATICOS 1 2.6. Normas de Auditoria de Sistemas UNIVERSIDAD MAYOR DE SAN ANDRES FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS MAESTRIA EN AUDITORIA Y CONTROL FINANCIERO AUDITORIA DE SISTEMAS INFORMATICOS
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
M. Sc. Miguel Cotaña Mier Lp, Octubre 2010
AUDITORIA DE SISTEMAS
INFORMATICOS
12.6. Normas de Auditoria de Sistemas
UNIVERSIDAD MAYOR DE SAN ANDRES
FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS
MAESTRIA EN AUDITORIA Y CONTROL FINANCIERO
AUDITORIA DE SISTEMAS INFORMATICOS
2
La administración de usuarios es unaspecto fundamental para mantener laseguridad en los SI.Se deben tener en cuenta:
Administración de cuentas;Revisiones de auditoria;Detección de actividades noautorizadas.
ADMINISTRACION DE USUARIOS
3
Para la administraciónde cuentas deusuarios, debe existirun formulario paraque las áreas usuariasautorizadas realicenlas solicitudes dealtas, bajas ymodificaciones decuentas de usuario.
FORMULARIO DE SOLICITUD DE CAMBIOS
-
Alta
Área:
Tipo:
Baja Modif.
Explicación:
Firma Jefe área Firma Gerente Sistemas
Fecha
4
La administración de cuentas de usuariodebe ser periódicamente revisada ydebe incluir:El examen de las posibilidades deacceso que tiene el usuario;
Si todas las cuentas permanecenactivas;
Si todos los cambios fuerondebidamente autorizados.
REVISIONES DE AUDITORIA
5
Deben existir mecanismos adicionalespara impedir que los usuarios realicen lainstalación de nuevas aplicaciones noautorizadas, ingresen a sitios enInternet no relacionados con el trabajorealizado, modifiquen lasconfiguraciones del sistemas, o realicenactividades que perjudiquen el normaldesenvolvimiento del negocio.
DETECCION NO AUTORIZADAS
6
El control dehorario de uso delos equipostambién debe serrealizado, a fin deevitar la posibilidadde que se realicenactividades noautorizadas oilegales.
7
8
Las herramientas de control debenpermitir:Establecer restricciones de sitiosWeb.
Establecer límites de tiempo de usodel ordenador.
Controlar el acceso a juegos. Permitir o bloquear el uso deprogramas específicos.
Controlar las actividades de unusuario.
9
Restricciones de sitios Web:Alto: opción recomendada para niños;Medio: se filtran por categorías. Sepuede acceder a varios sitios, pero nopermite contenidos inapropiados;Ninguno: no se bloqueaautomáticamente ningún sitio Web.Personalizado: este nivel usa tambiénlas categorías de contenido, peropermite filtrar aún más categorías deforma personalizada.
10
Límites de tiempo deuso de lacomputadora: Permiteestablecer el horario enel que un usuario podráutilizar su sesión,indicando para cada díade la semana loshorarios permitidos ydenegados
11
Programas que sepueden utilizar tienedos configuracionesiniciales: Permitir que el
usuario pueda usartodos los programas;
Sólo utilizar losprogramaspermitidos.
12
Controlar la actividad del usuario:Realizar un control de la actividad de losusuarios del sistema. Cabe destacar que estaes una funcionalidad de control y no deprevención y que debe ser usada con elcriterio correcto para no invadir la privacidad.
13
Comprobar acciones realizadas, por ejemplo:sitios web más visitados;sitios web bloqueados recientemente;sitios web que se intentaron visitar y fueron
bloqueados;descargas de archivos bloqueadas;tiempos de conexión;aplicaciones ejecutadas;cantidad de correos electrónicos;uso de programas de mensajería instantánea;uso del reproductor multimedia.
14
La administración deidentificadores deusuarios debe incluir:Todos los usuariosdeben poseer un IDúnico;Los datos no deben sergenéricos;No debe existirinformación derespuesta ante unintento de ingresofallido;
IDENTIFICACION (User ID)
15
Debe desplegarse enpantalla la fecha y horadebajo del ID;Debe existir unadesconexión luego deun tiempo deinactividad;El reestablecimiento dela sesión tendrá lugarsolamente con elingreso del usuarioautorizado.
16
Es cualquier procesomediante el cual severifica si alguien esquien dice ser.La autorización escualquier proceso porel cual a alguien se lepermite estar dondequiere ir, o tener lainformación que quiereobtener.
AUTENTICACION (passwords)
17
La administración de contraseñasincluye:Construcción de la contraseña;Diseño de la interfaz de usuario delsistema de contraseñas;Diseño interno de contraseña.La administración de contraseñasincluye: responsabilidades del usuariocon respecto a la contraseña yresponsabilidades del administrador conrespecto de la contraseña.
18
Construcción de la contraseña: Paraun atacante, una contraseña segura debeparecerse a una cadena aleatoria decaracteres. Una contraseña segura debeconsiderar los siguientes criterios:Que no sea corta. Cada carácter que agregaa su contraseña aumenta exponencialmenteel grado de protección que ésta ofrece. Lascontraseñas deben contener en un rangoentre 8 y 14 caracteres.
19
Combine letras, números y símbolos. Cuantomás diversos sean los tipos de caracteres dela contraseña, más difícil será adivinarla.Cuantos menos tipos de caracteres haya en lacontraseña, más larga deberá ser ésta. Unacontraseña de 15 caracteres formadaúnicamente por letras y números aleatorios esunas 33.000 veces más segura que unacontraseña de 8 caracteres compuesta decaracteres de todo tipo.
20
Las contraseñas son fácilmente averiguablesmediante ingeniería social.
21
Utilizar palabras y frases que resultefácil recordar, pero que a otras personasles sea difícil adivinar. La manera mássencilla de recordar sus contraseñas y frasescodificadas consiste en anotarlas. Al contrarioque lo que se cree habitualmente, no haynada malo en anotar las contraseñas, si bienestas anotaciones deben estar debidamenteprotegidas para que resulten seguras yeficaces.
22
Por lo general, lascontraseñas escritas en untrozo de papel suponen unriesgo menor en Internetque un administrador decontraseñas, un sitio web uotra herramienta dealmacenamiento basada ensoftware.
23
6 pasos para crear contraseñas:1. Piense en una frase que pueda recordar;2. Compruebe si el equipo o el sistema en línea
admite directamente la frase codificada;3. Si el equipo o el sistema en línea no admite
frases codificadas, conviértalas encontraseñas;
4. Aumente la complejidad combinandomayúsculas, minúsculas y números;
5. Realice sustituciones con algunos caracteresespeciales;
6. Pruebe la fortaleza de la contraseña.
24
Estrategias: Algunos métodos que suelenemplearse para crear contraseñas resultanfáciles de adivinar para un delincuente. A finde evitar contraseñas poco seguras: No incluya secuencias ni caracteres
repetidos. Cadenas como "12345678","222222", "abcdefg" o el uso de letrasadyacentes en el teclado no ayudan a crearcontraseñas seguras.
25
Evite utilizar únicamente sustituciones deletras por números o símbolos similares.Los delincuentes y otros usuariosmalintencionados que tienen experienciaen descifrar contraseñas no se dejaránengañar fácilmente por reemplazos deletras por números o símbolos parecidos;por ejemplo, 'i' por '1' o 'a' por '@', comoen "M1cr0$0ft" o en "C0ntr@señ@“.
26
No utilice el nombre de inicio de sesión.Cualquier parte del nombre, fecha denacimiento, número de la seguridad socialo datos similares propios o de susfamiliares constituye una mala elecciónpara definir una contraseña. Son algunasde las primeras claves que probarán losdelincuentes.
27
No utilice palabras de diccionario de ningúnidioma. Los delincuentes empleanherramientas complejas capaces dedescifrar rápidamente contraseñas basadasen palabras de distintos diccionarios, quetambién abarcan palabras inversas, erroresortográficos comunes y sustituciones. Estoincluye todo tipo de blasfemias y cualquierpalabra que no diría en presencia de sushijos.
28
Utilice varias contraseñas para distintosentornos. Si alguno de los equipos osistemas en línea que utilizan estacontraseña queda expuesto, toda lainformación protegida por esa contraseñatambién deberá considerarse en peligro. Esmuy importante utilizar contraseñasdiferentes para distintos sistemas.
Evite utilizar sistemas de almacenamientoen línea.
29
Mantener en secreto las contraseñas: No las revele a nadie. Proteja las contraseñas registradas. No facilite nunca su contraseña por
correo electrónico ni porque se le pidapor ese medio.
Cambie sus contraseñas con regularidado en forma periódica.
No escriba contraseñas en equipos queno controla.
30
Diseño interno de la contraseña:Las contraseñas no deben seralmacenados en formato legible;Encripción de contraseñas;Prevención de extracción de contraseñas;Cambio de contraseña de proveedor.
31
La administración de copias de respaldoincluyen:
Datos a ser almacenados yfrecuencia mínima de backups;
Encripción de backupsalmacenados en lugar externo;
Dos copias de la informaciónsensible, valiosa o crítica;
Realizar backups de datos adiario, semanales, etc.
COPIAS DE RESPALDO (backup)
32
Las mas importantes deben sertomadas en cuenta por gerentes y jefesdel departamento de sistemas:Planificación estratégica;Comité de sistemas;Políticas y procedimientos;Políticas de Recursos Humanos.
NORMAS DE ADM. DEPTO. SISTEMAS
33
La asociación de Auditoria y Control deSistemas (ISACA) señala que lasnormas definen los requerimientosmandatorios para la auditoria desistemas e informes relacionados
NORMAS DE AUDITORIA DE SISTEMAS
34
Normas principales de la ISACA:Responsabilidad y autoridad;Independencia profesional;Relación organizacional;Ética profesional y normas;El debido cuidado profesional;Competencia;Educación profesional continua;Planificación;Evidencia;Preparación para informe;Actividades de seguimiento.
35
Tienen por objetivo el asegurar que lossistemas desarrollados son consistentesy que se elabora la documentaciónadecuada para su posterior operación ymantenimiento:
Inicio del proyecto;Estudio de factibilidad;Análisis y diseño;Desarrollo;Implantación.
NORMAS DE DESARROLLO DE SISTEMAS
Related Documents
