Sie sind auf Seite 1von 15

AuditandolaSeguridad

ObjetivodelaClase
Proveerlosconocimientosanivelgeneralpara conoceryauditarlaseguridaddeTI

ObjetivodelaAuditoria para Evaluar y determinar si existen controles adecuados p proteger la integridad, confiabilidad y disponibilidad de los equipos, software e informacin, contra usos y modificaciones no autorizados, por dao y/o prdida de los mismos.

Introduccin
La auditora de seguridad deber valorar aspectos relacionados con los sistemas operativos, operativos software, software de comunicaciones, de bases de datos, de proceso, de aplicaciones p e indudablemente las instalaciones y aspectos fsicos.

1 Organizacional
Verificar la existencia de una poltica de seguridad , aprobada por la JD y actualizada de acuerdo a la realidad de TI, TI misma que debe ser conocida por todo el personal.

1 Organizacional
Determinar si las responsabilidades relativas a la seguridad fsica y lgica se encuentran debidamente asignadas. Revisar las normas, polticas y procedimientos dictados para garantizar la seguridad de los activos del centro (equipo, ( software e informacin) y determinar si estos definen claramente las responsabilidades de los usuarios, administradores y personal en general. Determinar el grado de conocimiento general de los grupos usuario e informtico sobre la importancia de la seguridad fsica y l i de lgica d los l activos i para su adecuada d d salvaguarda. l d Revisar el organigrama para determinar si existe una rea responsable de la administracin de la seguridad e informacin. informacin

2 SeguridadFsica
Ubi Ubicacin i F Fsica i d del lasInstalaciones I t l i Obtenerunplanodelasinstalacionesyrealizarlassiguientes acciones: Identificartodoslosposiblesaccesosalasinstalaciones, Determinarsiestosaccesossonrestringidosporelusode llaves,tarjetasodeotrosdispositivosdeseguridad. Siseusaunaclaveocualquierotromedioqueactiveun cdigointerno,verificarqueestesecambieperidicamente p yverificarq quenoexistenseales Visitarlasaladecmputo exterioresqueindiquensuubicacinaextraosycomprobar loscontrolesanteriores

3 Accesoalasintalaciones
Verificarqueexistanprocedimientos, procedimientos talescomolosquedescribena continuacin,pararegularelaccesoalasinstalaciones: Eliminarpuertasnoesencialesalcentrodecmputo,ubicandounasola puerta t d deaccesoconcontrol t lcontinuo. ti Colocar,dondeseanecesario,unguardiaorecepcionista,enelpuntode entradadurantetodoeltiempoqueelcentrodecmputoesttrabajando. Deserposible,utilizarunasolarutadeevacuacinencasode emergencia. i Equipartodoslospuntosdeentradaysalidaconmecanismosdecontrol deacceso. Restringirelaccesoalreadecomputadorassloalpersonalautorizado. Requerir R i quet todas d las l personasautorizadas t i d aefectuar f t operaciones i dentrodelreadecomputadorasseregistrenenunabitcora,endonde indiquensunombre,firma,propsitoyhoradeentradaydesalida. Identificaralpersonalautorizadoatravsdeunacredencialcon f t fotografa. f Nopermitirelaccesoalreadecmputoalosprogramadoresoanalistas, exceptobajocondicionesestrictasdecontrol.

4 Accesoalasintalaciones
Otrasactividades: Determinarsilosprocedimientosparaprevenirelaccesodepersonalno autorizado,sonadecuadosysiseaplicanentodoslosaccesosposibles. Obtenerunalistadelpersonalautorizadoparaaccesar lasinstalacionesy ,verificarsistalistaesregularmente g determinarsisuaccesoesnecesario, revisadaparadecidirsielaccesodeestepersonalsiguesiendovlido. Observarelfuncionamientodelasinstalacionesendiferentes oportunidadesyadiversoshorariosparaverificarquenicamentese permiteelaccesoapersonalautorizado. autorizado Asegurarsedequecuandolasaladecmputoseencuentrevacaexistauna vigilanciapermanente,yaseaatravsdeobservacindirectaoporla existenciadealarmasomonitoresqueprevenganelaccesonoautorizado. Realizar l visitasnoanunciadas d al lcentrod decmputo, particularmente l enel l segundoytercerturno,paracomprobarlaefectividaddelasmedidasde seguridadparaelcontroldeacceso. queelaccesoalequipo q p delcentrodecmputo p slolorealiceel Verificarq personalautorizado.

5 Entrenamientoenseguridad
Asegurarse de d que el l personal l del d l centro de d cmputo recibe ib entrenamiento peridico sobre procedimientos y controles de seguridad. Verificar f que el l personal l recibe b un entrenamiento adecuado sobre los procedimientos que debern seguir en caso de emergencia por fuego, agua o cualquier otro incidente que cause alarma. l Determinar por observacin directa y entrevistas, si el personal del departamento de servicios tiene conocimiento d de l la ubicacin bi i d de l las alarmas l contra t i incendio, di extinguidores, interruptores regulares y auxiliares de electricidad, interruptores de aire acondicionado, mascarillas y cualquier otro dispositivo de emergencia que ellos pudieran usar.

6 Ambiental
Verificarlaexistenciadeequipodeaireacondicionadoysilasoperaciones realizadasenelcentroloameritan,queexistaotroequipoderespaldo. Verificarqueexistaequipodeenergaininterrumpible (UPS)yquesu mantenimientopreventivoycorrectivoseallevadopormediodeuna bitcorademantenimiento. Verificarqueexistanmedidoresdetemperatura(termmetros)ystasea menorde20Cymayorde17C,ascomomedidoresdehumedadrelativa laquedebersermayorde40%ymenorde80%. 80% Verificarqueelementostalescomo:luzsolar,lluvia,viento,etc.,noincidan directamentesobrelosequiposdelasaladecmputo. quelosmanualesdeadministracindelosequipos q p estnbien Verificarq protegidosysolopuedanseraccesados porpersonalautorizado. Verificarqueexistasuficienteespaciofsicodentrodelasinstalacionesdela saladecmputo,deacuerdoaladensidaddeequiposyalosplanesa futuro. futuro

7 Seguridadlgica
Garantizarqueel laccesol lgicoal lequipoest restringidoporprocedimientosypolticasde accesoutilizandopasswords. Verificarqueexistanprocedimientosautorizados paralaasignacinyactualizacindelasclavesde accesoalosequipos. equipos Solicitaraladministradordelosequiposlaslistas, tablasomatricesdelasclavesdeaccesoyverificar siseincluyenlasclavesdeaccesoadispositivos perifricos(discos,impresoras,unidadesdecinta etc ) etc.).

7 Seguridadlgica(password)
Estn E d definidas fi id d deacuerdo d aunanormaestablecida. bl id Lasolicitudyautorizacinsehaceporescrito. Lascaractersticasdelongitud,composicin(quepermitaletras maysculasyminsculas,nmerosycaracteresespeciales),encriptado,etc. sonadecuadas d d paraqueestosnoseanfcilmente f il deducidos. d d id Prevnquelospasswords noseandifundidosenformainadvertida,ni desplegadosduranteelprocesodeaccesoalaredoimpresosenalguna salida. Prevn P quel lospasswords d seanalmacenados l d enarchivos hi encriptados. i d Contemplanpolticasdecambiofrecuentedestos.Porej.usarunafecha deexpiracinasociadaalospasswords olimitarsuusoaunnmero determinadodeaccesosparaobligarsucambio. Prevn P l laeliminacin li i i d del lasclaves l de d accesod deaquellos ll i individuos di id que cesansurelacindetrabajoconlaempresa. Prevnladesconexinautomticacuandotranscurrenalgunosminutos dehaberrealizadoelltimoaccesoalsistema(ltimainstruccintecleada). Prevn P l lasuspensin i d del lcdigo di d deacceso,ol ladeshabilitacin d h bilit i del d lequipo i encasoquehayavariosintentosdeaccesofallidosduranteelmismoda. Especificanlaaplicacindesancionesporelmalusodelospasswords y divulgacindeestosaotraspersonas.

7 Seguridadlgica(Accesoala ) informacin)
Asegurarqueelaccesoalainformacinestrestringidoconlaadecuada estratificacindenivelesdeacceso procedimientosprevn p que q lasclavesasignadas g alos Determinarsilosp usuariosconsiderenelniveldeaccesopara: Equipos Archivos Programasdelasaplicaciones Comandosdelsistemaoperativo,etc. Verificarlaexistenciadeladocumentacinmediantelacualsejustificaron lasasignacionesdeclavesdeaccesoalosequiposeinformacin. informacin

Verificarqueexistanprocedimientosparalaasignacindeclavesdeacceso temporalodeemergencia. Verificarelusodecuentasgenricas

7 Seguridadlgica(Perfiles)
Verificarqueexistanprocedimientosparalaasignacinde perfilesdeaccesoalossistemas. Verificarqueexistaunabitcoraautomatizada, automatizada enlaquese registren: Todoslosintentosdeaccesoalsistema,vlidoseinvlidos Todoslosrequerimientoshechosalsistemapararespaldar programas,datos,otransacciones. Todaslasmodificacionesdedatoscrticosoprogramas. Verificarque: q Existanprocedimientosparadetectarlasposibles violaciones. Laseguridaddelabitcoraestprotegida. Peridicamentesereviselabitcoraporelsupervisor indicado.

8 Monitoreo
Verificarqueexistanprocedimientosparael monitoreodealertas alertas,ataquesyotras incidenciasdeseguridadrelacionadosa: Servicios S i i web b Firewall Aplicaciones Basesdedatos Sistemasoperativos