explicación del tema 9-12
TRANSCRIPT
Explicación del tema 9
Proyecto integrador de administración de tecnologías de información Tema 9. Seguridad de información en las empresas
9.1 Controles de entrada
La plantilla laboral de la empresa consciente o inconscientemente pone en riesgo la estabilidad del proceso de negocio, por medio del desconocimiento de políticas de seguridad o riesgos que conllevan cada una de las actividades realizadas en su módulo de trabajo.
Para garantizar la seguridad y la información en la organización se deben de contar con los siguientes aspectos claves:
Apoyo de la administración ejecutiva.
Políticas y procedimientos.
Organización.
Conocimiento y capacitación sobre la seguridad.
Monitoreo y cumplimiento.
Administración de los incidentes y respuestas.
Los principales aspectos de una organización, que habitualmente están relacionados con incidentes de seguridad de información son los siguientes:
Los permisos para el acceso a los sistemas son la prerrogativa para utilizar un recurso de la computadora, los cuales se refieren regularmente a privilegios técnicos, por ejemplo consultar,
modificar o crear un archivo o datos, ejecutar un programa o abrir y usar una conexión externa.
Los controles para el acceso a la información de los sistemas de la organización son establecidos, administrados y controlados de una manera física y/o lógica.
Los controles físicos restringen la entrada o salida del personal a áreas determinadas dentro de la organización (edificios, oficinas, centros de datos, archivos de la organización, etc.).
Los controles lógicos restringen los recursos lógicos del sistema (transacciones, datos,
programas, aplicaciones) y son aplicados cuando el recurso es necesario, basándose en la identificación y autentificación de los usuarios.
Los recursos de TI que están asegurados lógicamente y pueden ser agrupados en cuatro capas de seguridad son:
Redes.
Plataformas (sistemas operativos).
Bases de datos.
Aplicaciones.
Este concepto de capas de seguridad para el acceso a los sistemas provee mayor alcance y especificación de controles para los recursos de información.
Los accesos lógicos y físicos deben de ser revisados periódicamente por los administradores de los recursos de información, para que actualicen los permisos de acceso y se aseguren que haya segregación de derechos y actividades.
Como auditor debes de verificar que estos controles estén asignados correctamente, y que no haya discrepancia
entre los permisos declarados y las acciones que los usuarios pueden utilizar.
9.2 Validación de procesamiento
Para asegurar que los datos que entren al sistema sean válidos, se establecerán procedimientos de validación de datos tan cerca del punto de origen como sea posible, esto se realiza con la intención de corregir los datos antes de que se proceseny con un costo menor; ya que un error
provocado por no validar la información, es más costoso después de su proceso y envío que si se hubiera detectado al momento de capturar la información.
Una forma de validación es el uso de formatos preestablecidos para captura de información. Estos formatos aseguran que los datos sean introducidos en el campo correcto y con el formato deseado. En caso de existir procedimientos que autoricen al supervisor anular o editar datos, se deberá dejar evidencia de estos cambios en un log automático de la computadora; este logdeberá ser revisado por otros supervisores.
La validación de datos tiene como objetivo identificar errores de datos, datos incompletos o
faltantes e inconsistencias en datos que se relacionan.
Algunos mecanismos que se pueden utilizar son los siguientes:
Mecanismos de edición y validación de datos
Mecanismo Descripción
Verificación de secuencia
Se establece un número de control que sigue un orden secuencial y cualquier número duplicado o fuera de secuencia es rechazado. Por ejemplo, la numeración en las facturas.
Verificación de límite
Se establece un límite, el cual no debe ser sobrepasado. Por ejemplo, en una nómina se puede establecer un tope salarial y ningún empleado puede ganar por encima de este tope.
Verificación de rango
Los datos deben estar en un rango de valor aceptado. Por ejemplo, las calificaciones de los alumnos deben estar entre 0 y 100.
Verificación de validez
Validación de datos de acuerdo a criterios predeterminados. Por ejemplo, en los registros de nómina existe un campo para el estado civil y solo acepta C=casado, S=soltero, V=viudo, D=divorciado.
Verificación de razonabilidad
Los datos son comparados para establecer límites razonables o tasas de ocurrencia predeterminadas. Por ejemplo, normalmente los pedidos de cierto
artículo no sobrepasan de 20 piezas. En caso de recibir un pedido de más de 20 piezas, el sistema debe mandar una advertencia para que se verifique el pedido.
Verificación de parámetros
Los datos deben satisfacer criterios predeterminados en una tabla de valores aceptados. Por ejemplo, las ciudades pueden tener un número de código y el dato capturado debe estar en esa tabla de ciudades.
Verificación de existencia
Los datos son introducidos correctamente y concuerdan con un valor predeterminado. Por ejemplo, se solicita un retiro de efectivo en el banco y si hay saldo suficiente se aprueba la transacción.
Verificación de digitación
Se solicita que se repita la captura de alguna información para validarla. Por ejemplo, se solicita dos veces el número de empleado para su validación.
Dígito de control
Es un valor numérico calculado y que se agrega a los datos para asegurar que los datos originales no han sido alterados o se haya capturado un valor incorrecto. Por ejemplo, cuando pagas en el banco la mensualidad de la escuela se pone como referencia el número de matrícula y un dígito verificador.
Estos son solamente algunos ejemplos de mecanismos que pueden aplicar en la organización, es tu responsabilidad como auditor
verificar e identificar que se estén aplicando este tipo de mecanismos dentro de la organización para que los recursos de información en los sistemas de información y su proceso de información no afecten a la organización.
9.3 Controles de salida
Todas las organizaciones deben asegurarse de que no existan fugas de información, ya que se debe de garantizar que la información no sea solamente confiable sino que también esté disponible para todos los individuos de la organización que deban de tener acceso a ella,
para desarrollar sus actividades.
Todos los datos que sean resultado de los procesos de la organización deben de ser accesibles para todos los usuarios de una manera eficiente y en el tiempo apropiado para que puedan ser utilizados en la toma de decisiones, y deben de estar diseñados para que puedan garantizar que los datos sean distribuidos y almacenados de forma segura.
A su vez, los datos más sensibles dentro de la organización deben de contar con los controles suficientes para que puedan monitorearse y saber quién los utiliza. Recuerda que su objetivo es garantizar que los datos entregados a los usuarios sean presentados, formateados y
entregados de una forma consistente y segura. Los controles de salida incluyen lo siguiente:
Como auditor debes de verificar que los controles de salida sean aplicados adecuadamente para que todos los individuos dentro de la organización reciban la información necesaria para realizar sus actividades.
Explicación del tema 10
Proyecto integrador de administración de tecnologías de información Tema 10. Recuperación de desastres
10.1 Definiendo la recuperación de desastres
La recuperación de desastres se puede definir con una sola palabra, reconstrucción, el propósito es permitir que la
organización pueda continuar ofreciendo servicios críticos en caso de que haya una interrupción de sus sistemas de información. Una planeación rigurosa y el compromiso de los recursos de la organización es necesario para adecuar el plan para este evento.
Algunos ejemplos de riesgos en la organización son los siguientes:
Los planes de recuperación de desastres especifican las actividades y los procesos que la organización realiza para asegurar que la
información no se pierda en caso de que algún suceso interrumpa abruptamente la operación de los sistemas de información; como auditor debes de identificar los pasos de este plan en la organización y asegurarte de que la gerencia y todos los individuos de la organización cumplan con los procesos establecidos para resguardar la información.
10.2 Importancia de la continuidad del negocio
El plan de continuidad (BCP) es un proceso diseñado para reducir
los riesgos de la operación del negocio derivados de una irrupción inesperada de las operaciones/funciones críticas de la organización y que son necesarias para su correcto funcionamiento. Esto incluye los recursos materiales y humanos que apoyen a estas funciones u operaciones, y el aseguramiento de la continuidad de al menos un nivel de servicios mínimo para estas operaciones críticas.
A diferencia de la recuperación de desastres, el BCP se enfoca en los ingresos, ya que mientras la organización cuente con tiempo,
dinero y sus operaciones sigan ejecutándose, la organización estará
bien. El objetivo del BCP es asegurar que las funciones del núcleo del negocio continúen con una interrupción mínima o inexistente.
Las tareas de auditor de un plan de continuidad de negocio incluyen:
Entender y evaluar el BCP y su relación con los objetivos del negocio.
Evaluar el BCP para determinar si es adecuado y está actualizado.
Comparar el BCP con estándares y regulaciones gubernamentales.
Verificar la efectividad del BCP, analizando las pruebas realizadas y revisando los resultados reportados.
Revisar las condiciones del sitio alterno. Instalaciones, contenido, seguridad y condiciones ambientales.
Evaluar la capacidad del personal para responder a situaciones de emergencia.
Revisar los procedimientos de emergencia y la capacitación de los empleados.
Asegurar que exista y se realice un plan de mantenimiento al BCP.
Revisar los contratos y acuerdos que se incluyan en el BCP.
Revisar las pólizas de seguro.
Evaluar manuales y procedimientos de BCP.
A continuación se presenta una serie de preguntas que servirán como guía al auditor en el
desarrollo de la auditoría:
¿Quién es el responsable de coordinar y administrar el BCP?
¿Quién es el responsable de mantener el BCP actualizado?
¿Existen los equipos responsables de la implementación del plan?
¿Dónde están almacenadas las copias de los BCP?
¿Qué sistemas críticos cubre el BCP?
¿Qué equipos y aplicaciones no están cubiertas en el BCP?, ¿por qué?
¿Existen supuestos especiales para el plan?, ¿cuáles?
¿El BCP especifica los puntos de reunión?
¿Los procedimientos documentados son adecuados?
¿Existe una clasificación de desastres?, ¿cómo actuar ante cada una?
¿Incluye planes de recuperación para telecomunicaciones?
¿Dónde se encuentra ubicado el sitio alterno?
¿En caso de no poder regresar al sitio original, existe uno alterno?
¿Existen respaldos adecuados de información?
¿Qué método y frecuencia de respaldos tienen?
¿Qué medios se utilizan para respaldar información?
¿Dónde se almacenan los respaldos?
¿Cuáles son los procesos para restaurar los respaldos?
¿Están documentados los procesos de respaldo y de restauración de datos?
¿Qué entrenamiento se ha dado a los usuarios y al personal responsable del BCP?
¿Existe una lista de prioridades de los usuarios para su reequipamiento?
¿Existe un cronograma de pruebas?
Esta lista es un ejemplo de las preguntas que un auditor puede utilizar; sin embargo un auditor debe de adecuar las preguntas de acuerdo a la organización que esté auditando. Otros temas relevantes en la auditoría son los siguientes.
Sitio alterno
Es el lugar donde la organización puede archivar su información en caso de algún imprevisto, de esta forma puede asegurar que los datos de sus transacciones sean respaldadas y la organización pueda seguir operando.
El sitio alterno debe ser evaluado para asegurar la presencia, sincronización y vigencia de los datos y la documentación necesarios. El auditor deberá revisar el estado y la existencia de:
Archivos de datos.
Software de aplicación.
Documentación de aplicaciones.
Software del sistema y su documentación.
Documentación de operaciones.
Suministros necesarios.
Formularios.
Una copia del BCP.
El auditor realizará un inventario de los puntos mencionados anteriormente. Y revisará que se encuentren debidamente identificados.
Entrevistar al personal clave
El auditor deberá entrevistar a todo el personal involucrado en el plan de continuidad y recuperación de desastres. En sus entrevistas deberá encontrar:
Si el personal entiende y comprende sus labores durante una crisis.
Si cuentan con copias del plan.
Si tienen documentación detallada de sus actividades.
Evaluación de la seguridad del sitio alterno
Los puntos a revisar en cuanto a seguridad en el sitio alterno, incluyen:
Controles de acceso físico adecuados.
Pisos falsos.
Controles de humedad.
Controles de temperatura.
Circuitos eléctricos adecuados.
Suministros ininterrumpidos de energía.
Dispositivos de detección de agua.
Detectores de humo.
Sistemas de extinción de incendios.
Revisión del contrato de sitio alterno
El auditor deberá revisar el contrato con el proveedor del sitio alterno, considerando lo siguiente:
Revisión del seguro contra desastres
El auditor deberá revisar las cláusulas del seguro, buscando entre otras cosas:
Que la cobertura del seguro cubra el costo real de recuperación.
Revisar las primas y costos del seguro.
Revisar la cobertura del seguro (hardware de proceso y comunicaciones).
Cobertura de reemplazos de equipos.
Cobertura de costo de interrupciones.
Explicación del tema 11
Proyecto integrador de administración de tecnologías de información Tema 11. Unificando el plan de continuidad con otros planes
11.1 Áreas de práctica del plan de continuidad
Como ya viste en el tema anterior, el plan de continuidad trabaja en dos vías, en una protege los recursos existentes en la organización y la otra ofrece la oportunidad de generar más ingresos que antes.
Un plan de continuidad efectivo define una estrategia y detalles para apoyar una organización con menos recursos e incluso puede ocasionar cambios, y garantiza que la efectividad de la organización aumente debido a que ya se probó que la organización puede
recuperarse y seguir funcionando sin necesidad de contar con todos los recursos que se utilizaban antes del desastre.
El plan de continuidad integra y coordina el reducido ámbito de aplicación de los planes más pequeños, ya que sería imposible que un solo departamento provea el nivel de apoyo necesario para que el plan sea exitoso.
Existen diez áreas de práctica en el plan de continuidad según el Instituto de Continuidad en el
Negocio (BCI), este tipo de planeación usa una versión muy especializada de la administración de proyectos, estas áreas son las siguientes:
1. Iniciación. Se establece la autoridad, los límites de la aplicación y los recursos financieros
para el proyecto. Su objetivo es asegurar lo siguiente: a. Patrocinador del proyecto. b. Carta para asegurar responsabilidades y autoridad. c. Alcance definido (geográfico, sitios, divisiones, departamentos, productos o
clientes). d. Objetivos de negocio específicos (factores críticos de éxito, directriz de la
gerencia).
A su vez también se identifican las amenazas, las cuales se dividen en las siguientes categorías:
a. Estratégicas (planeación). Pobre estrategia de mercadeo, cambio en leyes, actitudes del consumidor.
b. Financieras (controles). Fraudes, mala administración de efectivo y crédito, etc. c. Operacionales (error humano). Errores humanos, apatía, procedimientos
equivocados, conflictos de comunicación, políticas, etc. d. Comerciales (asociaciones). Pérdida de clientes o proveedores clave, fallas en la
cadena de suministro, etc. e. Técnicas (activos). Fallas de equipo, desastres naturales, destrucción, pérdida de
uso, etc.
Como auditor de TI, te enfocarás en todas las funciones de TI de la organización y serás capaz de apoyar a los objetivos de la organización, ya que la planeación para la continuidad y la recuperación de desastres solamente será exitosa si está apoyada desde los niveles más altos a los más bajos.
2. Análisis del riesgo. Se documentan y se ponen prioridades de los riesgos actuales,
incluyendo los desastres naturales y los errores provocados por la mano del hombre.
Como auditor de TI, debes de enfocarte en que el análisis de riesgo incluya los apartados necesarios donde se calculen los riesgos de algún suceso y que dañen toda la infraestructura informática.
3. Análisis del impacto en la organización (BIA). Se desarrolla un anteproyecto con los
procesos de bajo nivel más representativos de la empresa, en donde se determina qué es necesario para sostener la operación de la organización. Sin un BIA no existe el plan de continuidad, ya que tendrías solamente un plan de recuperación de desastres; recuerda que este análisis descubre la forma de trabajar y las vulnerabilidades de la organización.
Como auditor de TI, debes de asegurarte que toda la información recolectada con este análisis sea protegida y archivada con el nivel de seguridad más alto en la organización.
4. Creación de la estrategia. Se utiliza el análisis del riesgo y el análisis del impacto en la
organización para formular una estrategia basada en los hechos y las evidencias encontradas; los procesos se clasifican en las siguientes categorías:
a. Procesos centrales. Son requeridos específicamente en la ruta crítica para la
producción de ingresos. b. Procesos de soporte. Están dirigidos para realizar acciones específicas. c. Procesos discrecionales. Son todos los demás procesos que no son de soporte
o centrales.
Como auditor de TI, debes de enfocarte en verificar que todos los procesos de la empresa estén reflejados en la estrategia, y que toda la información resultante de estos procesos sea almacenada adecuadamente dentro de la infraestructura de las TI.
5. Respuesta en la emergencia. Se integra la estrategia planeada con el encargado de la
primera respuesta utilizando el sistema de comando de incidentes.
Debes de verificar que el plan de respuesta a los incidentes o emergencias refleje las acciones necesarias, para que toda la información de la empresa sea respaldada adecuadamente y que no se pierda información en caso de algún evento.
6. Creación del plan. Se crea y organiza un plan, incluyendo las asignaciones personales y
procedimientos detallados.
En esta área verificarás que todos los departamentos de TI tengan asignados sus roles, y que los procesos estén detallados lo más específicamente posible para que no pueda haber confusiones al ejecutar el plan.
7. Entrenamiento y conciencia. Se le enseña a cada individuo los roles y las habilidades
necesarias para aplicar todas las funciones de los planes de recuperación de desastres y de continuidad; a su vez se educa a la organización acerca de la existencia de los planes y las áreas de cobertura anticipada.
Se verificará que el entrenamiento sea el adecuado para el personal de TI y que toda la organización esté enterada de la planeación.
8. Mantenimiento y pruebas. Todos los individuos en la organización deben de practicar sus
roles y acciones para ganar eficiencia, en caso de que sea necesario un cambio de control en el sistema se deberá actualizar toda la documentación.
Debes confirmar que el mantenimiento y las pruebas diseñadas cumplan con su objetivo, y de esta forma evalúen correctamente a los individuos que están a cargo de los procesos de la empresa.
9. Comunicación. La información de los procesos deben de fluir de manera eficaz y se debe
de hacer llegar los datos necesarios a los individuos adecuados.
Como auditor de TI, debes revisar que todos los datos e información lleguen al destinatario final y que no haya ningún dato que sea corrompido en el proceso de flujo de la información.
10. Integración con otras organizaciones. Se integrará con los planes de negocios de
socios, proveedores, clientes e incluso agencias gubernamentales.
Explicación del tema 12
Proyecto integrador de administración de tecnologías de información Tema 12. Riesgos de información
12.1 Actividades en la administración de la seguridad de información
Para que la organización cuente con una administración de la seguridad de su información, se debe de contar con los siguientes elementos claves:
Compromiso y soporte de la alta gerencia.
Políticas y procedimientos.
Organización para el establecimiento de responsabilidades para los activos individuales.
Conciencia de la seguridad y la educación.
Monitoreo y cumplimiento.
Tratamiento y respuesta a incidentes.
Estos elementos deben de cumplirse para que en toda la organización exista una buena seguridad de información, las actividades que la administración de la seguridad de información implica
son las siguientes:
Inventarios de activos de información. Se asignan clases o niveles de sensibilidad y
criticidad a los recursos de información, y se establecen reglas específicas de seguridad
para cada clase.
Clasificación de los activos de información. Los activos de información tienen diversos grados de sensibilidad y de criticidad en cuanto a la satisfacción de los objetivos del negocio. El acceso a los activos de información de TI (Tecnologías de Información) se
establece, administra y gestiona, a nivel lógico y a nivel físico.
Accesos lógicos. Controlar cómo los recursos son accedidos, de tal manera que puedan
ser protegidos contra accesos o modificaciones no autorizadas.
Exposiciones de acceso lógico. Las exposiciones a riesgos que existen desde del
control de acceso lógico incluyen la exposición técnica y el crimen informático. Las exposiciones técnicas son las actividades no autorizadas que interfieren con el procesamiento normal. Algunas son las que se mencionan a continuación:
o Fuga de datos. o Virus. o Intercepción de líneas. o Gusanos (worms). o Bombas lógicas. o Ataque de negación de servicio. o Paralización o caída de la computadora (computer shut down). o War driving. o Piggybacking. o Puertas traseras (trap doors).
o Ataques asíncronos.
Acceso físico. Algunas acciones que se pueden tomar son las siguientes:
a. Analizadores de retina. b. Tarjetas inteligentes. c. Videocámaras d. Vigilantes jurados.
Estas son algunas acciones que se deben de tomar para asegurar un nivel mínimo en la seguridad de información, como auditor de sistemas de información debes de confirmar que la organización cumpla con al menos algunas de estas actividades.
12.2 Accesos lógicos
Como ya se mencionó anteriormente, los accesos lógicos se encargan de los accesos a los recursos, por lo tanto los procesos de control de accesos permiten manejar cómo los usuarios y los sistemas se comunican e interactúan con otros sistemas y recursos. Los controles que hacen cumplir el control de acceso pueden sertécnicos, físicos o administrativos.
Los activos de TI bajo la seguridad lógica pueden agruparse en cuatro capas: las redes, las plataformas de sistemas
operativos, las bases de datos y las aplicaciones. Esto permite el concepto de seguridad en capas para acceso al sistema, que proporciona un mayor alcance y granularidad de control de los
recursos de información.
Los controles de las bases de datos y de las aplicaciones, por lo general, proporcionan un mayor grado de control sobre la actividad del usuario dentro de un proceso particular del negocio al controlar el acceso a registros, campos de datos específicos y transacciones.
Las capacidades de acceso lógico son implementadas por medio de la administración de la seguridad en un conjunto de reglas de acceso que estipulan cuáles usuarios (o grupos de usuarios) están autorizados para tener acceso a un recurso a un nivel en particular, (por ejemplo, leer, actualizar, ejecutar solamente) y bajo qué condiciones (por ejemplo, hora del día o conjunto de terminales informáticos).
El administrador de la seguridad invoca el mecanismo apropiado de control de acceso del sistema cuando recibe el pedido de autorización del propietario de la información (data owner), para otorgar derechos de acceso o uso de un recurso protegido a un usuario especificado.
El auditor de sistemas de información debe estar consciente de que se otorga acceso a los sistemas de información utilizando los principios de necesidad de saber, el menor privilegio y segregación de funciones.
12.3 Seguridad en redes de telecomunicaciones
Las redes son un activo de vital importancia en la organización, ya que por este medio es donde se comparte toda la información y es donde se pueden recibir los ataques para tratar de perjudicar a la organización, sustrayéndola y atacando los activos de información, así como su infraestructura informática, algunos de los controles que la organización puede aplicar son los siguientes:
Como auditor de sistemas de información, es importante que verifiques que las redes tengan alguno de estos controles aplicados y que los departamentos donde se genere, se comparta y se almacene toda la información sensible para los procesos de la empresa estén contemplados dentro de estos controles.
12.4 Controles físicos y ambientales en la seguridad de la información
Los riesgos ambientales se deben principalmente a acontecimientos que ocurren derivados de actos naturales, tales como tormentas eléctricas, terremotos, erupciones volcánicas, huracanes, tornados y otros tipos de condiciones climatológicas extremas.
A las exposiciones ambientales debe asignarse el mismo nivel de protección que las exposiciones físicas y lógicas. Los controles ambientales están descritos a continuación:
Imagina que tienes todos los controles lógicos y físicos implantados en la organización, pero por un corto circuito inicia un incendio en el departamento de tecnologías de información y no se cuenta con ninguna forma de suprimirlo, por lo que se pierde toda la infraestructura informática. En este caso, todo se pudo solucionar con una alarma de incendios, un detector de humo y extintores; por lo que es importante que las organizaciones tomen en cuenta estos controles y que como auditor de sistemas de información puedas confirmar que estén preparados para cualquier riesgo ambiental.
12.5 Auditoría en la seguridad de la información
A continuación se brindarán breves consejos a seguir por parte de los auditores de SI, en relación a conducir una auditoría de los controles de acceso lógico.
Cuando se evalúan los controles de acceso lógico, el auditor de SI debe:
Documentar y evaluar los controles sobre las vías posibles de acceso a los sistemas de información para determinar si son adecuados, eficientes y efectivos.
Obtener un entendimiento de los riesgos de seguridad que enfrenta el procesamiento de la información a través de una revisión de la documentación relevante, la observación y la estimación del riesgo.
Probar los controles sobre las vías de acceso para determinar que están funcionando y que son efectivas aplicando las técnicas apropiadas de auditoría.
Evaluar el ambiente de seguridad para determinar si es adecuado revisando las políticas de seguridad de información escritas, observando las prácticas y los procedimientos operativos y comparándolas con las mejores prácticas de seguridad de información o con las prácticas y los procedimientos que usan otras organizaciones.
Algunas técnicas que el auditor de SI puede utilizar para probar la seguridad son las siguientes:
Identificación de terminales. El auditor puede trabajar con
el administrador de la red para obtener información de las direcciones y ubicaciones de las terminales. Posteriormente, el auditor de SI puede usar esta lista para inventariar las terminales.
Identificadores de inicio de sesión y contraseñas. Para probar la confidencialidad, el auditor puede tratar de adivinar la contraseña de una muestra de Logon-IDs.
Uso de tarjetas y llaves para el uso de terminales. El
auditor de SI puede tomar una muestra de estas tarjetas o llaves y tratar de entrar a los sistemas.
Seguimiento a intentos de violación fallidos. También el auditor de SI querrá saber si el
administrador de seguridad dio seguimiento a algún intento fallido de violación.
Probar los Logon-IDs y las contraseñas inactivas que están no habilitadas o han sido
borradas, el auditor de SI debe obtener una lista de los Logon-IDsactivos. Con base en una muestra, el auditor debe comparar esta lista con los empleados actuales en ese momento; en busca de Logon-IDs asignados a empleados o consultores que ya no trabajan con la compañía.
Probar la sintaxis o diseño de las contraseñas, el auditor de SI debe tratar de crear
contraseñas en un formato no válido, demasiado corto, demasiado largo, repetición de contraseñas anteriores, una mezcla incorrecta de caracteres alfabéticos o numéricos, uso de caracteres no apropiados.
Probar si hay Logoff automático de las computadoras no atendidas, el auditor de SI
debe conectarse a varias terminales. El auditor de SI luego espera sencillamente que las terminales se desconecten después del intervalo de tiempo establecido.
Probar si hay desactivación automática de las terminales después de intentos infructuosos de acceso, el auditor de SI debe tratar de conectarse, introduciendo
intencionalmente la contraseña equivocada un determinado número de veces. El Logon-ID deberá desactivarse después de que haya introducido el número establecido de contraseñas inválidas. El auditor estará interesado en verificar el procedimiento seguido por el administrador de seguridad para activar el Logon-ID.
El auditor de SI debe hacer un recorrido de las áreas de trabajo de los usuarios finales y de los
programadores y verificar si existen contraseñas pegadas a los lados de las terminales, sobre los escritorios o ubicadas en los archivos de tarjetas, lo que será una violación importante de la seguridad.
Estas son solamente algunas técnicas que puedes utilizar para auditar adecuadamente la organización en cuanto a la seguridad de información, te recordamos que es importante que consultes regularmente las normas y estándares internacionales (ISACA, ISO, etc.), para mantenerte actualizado en los criterios establecidos.