UNA AUDITORA DE SEGURIDAD INFORMTICA Una auditora de seguridad informtica o auditora de seguridad de sistemas de informacin (SI) es el estudio que

comprende el anlisis y gestin de sistemas llevados a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisin exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores. Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes debern establecer medidas preventivas de refuerzo y/o correccin siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad. Las auditoras de seguridad de SI permiten conocer en el momento de su realizacin cul es la situacin exacta de sus activos de informacin en cuanto a proteccin, control y medidas de seguridad.

Fases de la auditoria
Enumeracin de redes, topologas y protocolos Verificacin del Cumplimiento de los estndares internacionales. ISO, COBIT, etc Identificacin de los sistemas operativos instalados Anlisis de servicios y aplicaciones Deteccin, comprobacin y evaluacin de vulnerabilidades Medidas especficas de correccin Recomendaciones sobre implantacin de medidas preventivas

Tipos de la auditoria
Auditora de seguridad interna. En este tipo de auditora se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carcter interno Auditora de seguridad perimetral. En este tipo de anlisis, el permetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores Test de intrusin. El test de intrusin es un mtodo de auditora mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusin no deseada. Es un complemento fundamental para la auditora perimetral. Anlisis forense. El anlisis forense es una metodologa de estudio ideal para el anlisis posterior de incidentes, mediante el cual se trata de reconstruir cmo se ha penetrado en el sistema, a la par que se valoran los daos ocasionados. Si los daos han provocado la inoperabilidad del sistema, el anlisis se denomina anlisis postmortem. Auditora de pginas web. Entendida como el anlisis externo de la web, comprobando vulnerabilidades como la inyeccin de cdigo sql, Verificacin de existencia y anulacin de posibilidades de Cross Site Scripting (XSS), etc. Auditora de cdigo de aplicaciones. Anlisis del cdigo tanto de aplicaciones pginas Web como de cualquier tipo de aplicacin, independientemente del lenguaje empleado

Realizar auditoras con cierta frecuencia asegura la integridad de los controles de seguridad aplicados a los sistemas de informacin. Acciones como el constante cambio en las configuraciones, la instalacin de parches, actualizacin de los software y la adquisicin de nuevo hardware hacen necesario que los sistemas estn continuamente verificados mediante auditora. Para que un sistema se pueda definir como seguro debe tener estas cuatro caractersticas: Integridad: La informacin slo puede ser modificada por quien est autorizado, esto es que no se realicen modificaciones por personas no autorizadas a los datos, informacin o procesos, que no se realicen modificaciones no autorizadas por personal autorizado a los datos, informacin o procesos y que los datos o informacin sea consistente tanto interna como externamente. Confidencialidad: La informacin slo debe ser legible para los autorizados, esto implica el buscar prevenir el acceso no autorizado ya sea en forma intencional o no intencional de la informacin. Disponibilidad: Debe estar disponible cuando se necesita los datos, la informacin o recursos para el personal adecuado. Irrefutabilidad: (No-Rechazo o No Repudio) Que no se pueda negar la autora.

Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en seguridad lgica y seguridad fsica. As mismo es importante tener en cuenta ciertos trminos que aclaran que puede tenerse en cuenta al hablar de seguridad informtica, tales son: Activo: recurso del sistema de informacin o relacionado con ste, necesario para que la organizacin funcione correctamente y alcance los objetivos propuestos. Amenaza: es un evento que pueden desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus activos. Impacto: medir la consecuencia al materializarse una amenaza. Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en un dominio o en toda la organizacin. Vulnerabilidad: posibilidad de ocurrencia de la materializacin de una amenaza sobre un activo. Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. Desastre o Contingencia: interrupcin de la capacidad de acceso a informacin y procesamiento de la misma a travs de computadoras necesarias para la operacin normal de un negocio.

Estndares de Auditora Informtica y de Seguridad Una auditora se realiza con base a un patrn o conjunto de directrices o buenas practicas sugeridas. Existen estndares orientados a servir como base para auditoras de informtica. Uno de ellos es COBIT (Objetivos de Control de la Tecnologas de la Informacin), dentro de los objetivos definidos como parmetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estndar podemos encontrar el estndar ISO 27002, el cual se conforma como un cdigo internacional de

buenas prcticas de seguridad de la informacin, este puede constituirse como una directriz de auditora apoyndose de otros estndares de seguridad de la informacin que definen los requisitos de auditora y sistemas de gestin de seguridad, como lo es el estndar ISO 27001. Entonces en conclusin, seguridad, describe las polticas, los procedimientos y las medidas tcnicas que se emplean para prevenir acceso no autorizado, alteracin, robo dao fsico a los sistemas de informacin.

1.1.

Problemas en los sistemas

Tenga en cuenta que muchos problemas en los sistemas de informacin se dan por errores propios de los sistemas y que permiten que se tenga acceso violando las normas establecidas, esto quiere decir por ejemplo los errores de programacin, porque al ser un sistema muy grande en ocasiones no son corregidos totalmente los errores y pueden a futuro crear inestabilidad en el sistema. Segn [3] los estudios muestran que aproximadamente 60% de los errores se detectan durante las pruebas y son resultado de especificaciones omitidas, ambiguas, errneas o no perceptibles en la documentacin del diseo.

Otra de las razones por las que los sistemas de informacin pueden ser inestables, es por el mantenimiento, ya que es la fase ms costosa de todo proyecto, adems porque casi la mitad del tiempo se dedica a realizar ajustes y mantenimiento a los sistemas.

Es por tanto que el proceso de certificar la calidad es esencial para el proceso de desarrollo de un sistema de informacin, ya que podr prevenir errores durante la captura de datos.

Y es aqu cuando se empieza a hablar de controles para la custodia de la informacin; es importante detallar que un control segn Laudon en su libro [3] son todos los mtodos, polticas y procedimientos que aseguran la proteccin de los activos de la organizacin, la exactitud y confiabilidad de sus registros y el apego de sus operaciones a los estndares que defina la administracin. Es as que el control de un sistema de informacin debe ser una parte integral de su diseo. Los usuarios y constructores de

sistemas deben prestar una estrecha atencin a los controles durante toda la vida del sistema.

Pero no solo el control es importante, as mismo se debe destacar que existen dos tipos de controles, los generales y los de aplicaciones. Los primeros gobiernan el diseo, la seguridad y el uso de programas de computacin y la seguridad de archivos de datos a lo largo de la infraestructura de tecnologa de la informacin; por otra parte los controles de aplicaciones son ms especficos para cada aplicacin computarizada. Tenga en cuenta que los controles generales incluyen a su vez controles de software, de hardware fsico, controles de operaciones de cmputo, controles de seguridad de datos, controles sobre el proceso de implementacin de sistemas y controles administrativos.

Teniendo en cuenta este esquema actualmente existen proveedores de servicios administrativos (MSP) por su sigla en ingls que proporcionan redes, sistemas, almacenamiento y administracin de seguridad para sus clientes suscriptores.

Es entonces como aparte de la seguridad que se debe tener en cuenta para los aplicativos de software, tambin se debe tener en cuenta la seguridad de componentes de hardware, para esto se crearon los sistemas de deteccin de intrusos, que son herramientas para monitorear los puntos ms vulnerables en una red, para detectar y detener a los intrusos no autorizados.

Siguiendo con los conceptos se puede tambin tener en cuenta que la informacin al ser manejada por varias personas es importante mantenerla intacta, por lo que en busca de este concepto, se crea la encriptacin, que desde la poca rabe viene funcionando y ha sido aplicada a los sistemas de cmputo actuales, esto consiste en codificacin para mensajes para que se impida la lectura o acceso sin autorizacin.

En este sentido tambin se debe de hablar de otro tipo de seguridad implementada para las organizaciones y en concepto a sus altos directivos o reas especficas de la compaa, esto es la aplicacin de certificados digitales que se pueden utilizar para establecer la identidad de personas o de activos electrnicos, igualmente protegen las transacciones en lnea proporcionando comunicacin segura y encriptada. Actualmente estos mtodos de seguridad de la informacin son utilizados por

entidades financieras que transmiten informacin importante a otras entidades controladoras, as como por compaas donde la informacin es valiosa y no puede ser conocida sino por ciertas personas.

1.2.

Tcnicas de aseguramiento del sistema

Como se nombr anteriormente actualmente se manejan varios mtodos para tener seguridad dentro de un sistema, tales pueden ser:

Codificar la informacin: Por medio de la criptografa, contraseas difciles de averiguar a partir de datos personales del individuo. Vigilancia de red. Tecnologas repelentes o protectoras: Manejar firewalls, antispyware o sistemas de deteccin de intrusos, antivirus. Llaves para proteccin de software, etc. Mantener los sistemas de informacin con las actualizaciones que ms impacten en la seguridad. 1.3. Consideraciones de software

Una persona o compaa debe tener instalado en la mquina nicamente el software necesario ya que esto permite reducir los riesgos. As mismo tener controlado el software ya que asegura la calidad de la procedencia del mismo (el software pirata o sin garantas aumenta los riesgos).

En todo caso un inventario de software proporciona un mtodo correcto de asegurar la reinstalacin en caso de desastre. El software con mtodos de instalacin rpidos facilita tambin la reinstalacin en caso de contingencia.

Tenga en cuenta que en Internet existen actualmente gran cantidad de pginas que advierten sobre seguridad y muestran los virus riesgosos, antivirus existentes y procedimientos para custodia de informacin importante.

1.4.

Consideraciones de una red

Los puntos de entrada en la red son generalmente el correo, las pginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como porttiles.

Mantener al mximo el nmero de recursos de red slo en modo lectura, impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mnimo.

Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las mquinas.

Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperacin, cmo se ha introducido el virus.

En este punto es importante recalcar que toda persona y/o compaa es vulnerable en su seguridad pues como se nombr desde un inicio no existe an un sistema 100% seguro y confiable.
Conclusiones El ordenador es un instrumento que estructura gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de sta. Tambin pueden ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. En la actualidad y principalmente en los ordenadores personales, se ha dado otro factor que hay que considerar: el llamado "virus" de los ordenadores, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorizacin ("piratas") y borra toda la informacin que se tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otros ordenadores, no exista la posibilidad de transmisin del virus. El uso inadecuado del ordenador comienza desde la utilizacin de tiempo de mquina para usos ajenos de la organizacin, la copia de programas para fines de comercializacin sin reportar los derechos de autor hasta el acceso por va telefnica a bases de datos a fin de modificar la informacin con propsitos Fraudulentos.

La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica. La seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc. La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin. Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a informacin confidencial. Dichos paquetes han sido populares desde hace muchos aos en el mundo de los ordenadores grandes, y los principales proveedores ponen a disposicin de clientes algunos de estos paquetes. Ejemplo Ejemplo: Existe una Aplicacin de Seguridad que se llama SEOS, para Unix, que lo que hace es auditar el nivel de Seguridad en todos los servidores, como ser: accesos a archivos, accesos a directorios, qu usuario lo hizo, si tena o no tena permiso, si no tena permiso porque fall, entrada de usuarios a cada uno de los servidores, fecha y hora, accesos con password equivocada, cambios de password, etc. La Aplicacin lo puede graficar, tirar en nmeros, puede hacer reportes, etc.