revista auditoría
DESCRIPTION
Auditoría de SistemasTRANSCRIPT
1ra Edición - Abril 2011
> SISTEMA OPERATIVO
• GanckTrack
• Optimización
• Seguridad Redes
• Vulnerabilidades
• Cifrado
• Virtualización
• Cortafuegos
> APLICACIONES
• Utilidad
• Compresor
• Copias de Seguridad
• Conversor
2
e-z
ing
@.c
om
3
e-zing
@.com
CONTENIDO DE ESTA EDICIÓN
COLABORADORES
Campos Daniel
Daza María
Loaiza Luís
Jiménez Ingrid
INTRODUCCION AUDITORIA DE SISTEMAS 4• Objetivos de Auditoria 5• Tipos 6• Tópicos Generales 7• Planeación de Auditoria 8
SISTEMA AUDITORIA• GanckTrack (KDE) 9APLICACIONES GRATUITAS
4
e-z
ing
@.c
omAUDITORÍA DE SISTEMAS
• El examen o revisión de carácter objetivo(independiente), crítico (evidencia),sistemático (normas), selectivo (muestras)de las políticas, normas, prácticas,funciones, procesos, procedimientos einformes relacionados con los sistemas deinformación computarizados, con el fin deemitir una opinión profesional (imparcial)con respecto a: eficiencia en el uso de losrecursos informáticos, validez de lainformación, efectividad de los controlesestablecidos.
• La verificación de controles en elprocesamiento de la información,desarrollo de sistemas e instalacióncon el objetivo de evaluar suefectividad y presentarrecomendaciones a la Gerencia.
Entre las definiciones de Auditoría de Sistemas se tienen:
• El examen y evaluación de los procesos del Área de ProcesamientoAutomático de Datos (PAD) y de la utilización de los recursos que enellos intervienen, para llegar a establecer el grado de eficiencia,efectividad y economía de los sistemas computarizados en unaempresa presentando conclusiones y recomendacionesencaminadas a corregir las deficiencias existentes y mejorarlas.
5
e-zing
@.com
OBJETIVO DE LA AUDITORÍA
• Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD.
• Incrementar la satisfacción de los usuarios de los sistemas computarizados.
• Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
• Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación
de seguridades y controles.
6
e-z
ing
@.c
omTIPOS DE AUDITORÍAS
Tipos
• Auditoria Informática de Explotación.
• Auditoria Informática de Desarrollo, Proyectos o Aplicaciones.
• Auditoria Informática de Sistemas.
• Auditoria Informática de Comunicación Y Redes.
• Auditoria de la Seguridad Informática.
7
e-zing
@.com
TIPOS DE AUDITORÍAS
• Auditoria Informática de Explotación
Se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, ordenes automatizadas, modificación de procesos, etc.
• Auditoria de la Seguridad Informática.
• Auditoria Informática de Desarrollo, Proyectos o Aplicaciones.
Es una evaluación del llamado Análisis de programación y sistemas.
• Auditoria Informática de Sistemas.
Se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus
factores.
• Auditoria Informática de Comunicación y Redes.
Deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con
información sobre tiempos de uso y de no uso, deberá conocer la topología de la red de
comunicaciones, ya sea la actual o la desactualizada.
Se debe tener presente la cantidad de información almacenada, la cual en muchos casos es confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta información,.
8
e-z
ing
@.c
omRiesgos Y ContingenciaTópicos
Generales
Riesgos
Identificar y clasificar los riesgos alos que esta expuesto el sistemaoperativo objeto de la auditoria,ya sean propios o generados porentidades externas (personas,datos, redes, etc.) queinteractúan con el sistema.
Grupos de Riesgos:
• Identificar los grupos deriesgo. Se busca agrupar laamenazas de acuerdo aoperaciones o temáticasimilares, a criterio delauditor.
• Plantear la justificación paracada grupo de riesgoidentificado.
• Determinar los objetivospara cada grupo de riesgo.En los objetivos se planteanaquellos aspectos que sequieren evaluar dentro delgrupo de riesgo.
Contingencias
Aspectos generales a considerar:
•Existencia de un plan de contingencia.•Pruebas y ajustes al plan de contingencias.•Planes de respaldo (a nivel de personal, software y hardware) y recuperación.•Elaboración y gestión de copias de seguridad (Backups).
Administración e implementación de la seguridad:
•Función encargada de la administración de la seguridad.•Roles y responsabilidades.•Políticas y estándares.•Entrenamiento y capacitación en seguridad.
9
e-zing
@.com
PLANEACION AUDITORIA
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.
En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de
vista de los dos objetivos:
Planeación Auditoria
e-z
ing
@.c
omPLANEACION AUDITORIA
1. Evaluación de los sistemas y procedimientos.2. Evaluación de los equipos de cómputo.
Personal ParticipantePerfil:
1. Técnico en informática.2. Experiencia en el área de informática.3. Experiencia en operación y análisis de sistemas.4. Conocimientos de los sistemas más importantes
Se requiere es obtener información general sobre la organización y sobre la función de
informática a evaluar.
Administración
1. A nivel del área de informática2. Recursos materiales y técnicos
3. Sistemas
Investigación Preliminar
1. Evaluación de sistemas2. Evaluación del análisis
3. Evaluación del diseño lógico del sistema
4. Evaluación del desarrollo del sistema
5. Control de diseño de sistemas yProgramación.
6. Entrevista a usuarios.7. Controles.
8. Orden en el centro de cómputo.9. Evaluación de la configuración del
sistema de cómputo.10. Seguridad lógica y confidencial.
EjecuciónElementos de la fase de ejecución
1. Las Pruebas de Auditoria2. Técnicas de Muestreo3. Evidencias de Auditoria4. Papeles de Trabajo5. Hallazgos de Auditoria
Preparación del Informe
El informe de Auditoría debe contener a lo menos:1- Dictamen sobre los estados financieros o del área administrativa auditada.
2- Informe sobre la estructura del Control Interno de la entidad.3- Conclusiones y recomendaciones resultantes de la Auditoría.
4- Deben detallarse en forma clara y sencilla, los hallazgos Encontrados
10
11
e-zing
@.com
Distribución LinuxS.O.
GnackTrack el Backtrack con Gnome
GnackTrack es una distribución Live e instalable diseñada y pensada para laauditoría de seguridad y que está basada en Ubuntu.
Pocos los que desconocen la existencia de BackTrack, la distribución GNU/Linuxenfocada en la seguridad informática, en poco tiempo se ha convertido en lapreferida; Ya que con solo bootear con ella, tendremos anuestra disposición todas las herramientas necesarias para realizar casicualquier auditoria en seguridad. Pero Backtrack tiene un problema paraquienes prefieren el entorno de ventanas Gnome, que a diferencia dela distribución en la que se basa (Ubuntu), Backtrack decidió utilizar el gestor deventanas KDE y al parecer no es del agrado de grupo de personas sin importar lobien que pinta BackTrack 5 con KDE 4.
Para resolver este inconveniente, ha nacido GnackTrack, una distribuciónbasada también en Ubuntu que incluye todas las herramientas y funcionalidadesde Backtrack pero con el gestor de ventanas Gnome que tanta falta hacia amuchas personas. Si eres de los que prefiere Gnome a KDE, espero queGnackTrack cumpla tus expectativas.
12
e-z
ing
@.c
omAPLICACIONES
PROGRAMAS SIN COSTE ALGUNO
Una selección de las mejores herramientas que podemos encontrar en la Red y que cumplen con unos objetivos concretos.
Software Gratuito
CCIeaner
Utilidad para Windows que realiza una limpieza deficheros dentro de los discos duros del PC. Detectafragmentos de archivo corruptos, elimina restos deinstalaciones, temporales de Internet. paraaumentar el espacio disponible y permitir un mejorfuncionamiento del sistema. También incorpora unlimpiador del Registro. Puede ser una solución anteun sistema que se ralentiza por un exceso defragmentos de ficheros o entradas en el Registroque no corresponden a programas activos.
Cobian Backup
Con este programa es posible realizar copias deseguridad de nuestros datos importantes paraponerlas a salvo grabándolas en discos externos yotras unidades de almacenamiento. Dispone de laposibilidad de realizar copias periódicasprogramadas. Puede comprimirlas mediantecompresión ZIP y también proteger los fiche-rosgenerados con contraseña. Se ejecuta en unaventana en la que podemos agregar los ficheros acopiar. Posibilita la realización de copias deseguridad progresivas.
Everest Dictionary
Aplicación que es capaz de almacenar diccionariosde hasta 37 idiomas distintos. Es necesariodescargar la aplicación y, luego, los diccionarios porseparado. Ofrece la mayoría de las lenguas oficialeseuropeas y muchas más. Permite la búsqueda depalabras, traducción de las mismas de diccionario adiccionario (incluso desde dentro de algunosprogramas de Windows), agente parapronunciación en inglés, histórico de búsquedas e,incluso, juegos con el diccionario. También permiteacceder aun traductor on-line entre algunosidiomas.
Format Factory
Potente pero sencilla herramienta capaz de realizarconversiones de formato de audio, vídeo e imagenpara distintos tipos de archivo. Especialmenteindicado para convertir ficheros multimedia paraque puedan ser visualizados en dispositivos móvilescomo la PSP o el ¡Phone. Se pueden cambiarciertas configuraciones de los formatos, como laresolución o la calidad de la compresión paraajustarlo al medio en el que va a ser reproducido.Todo al alcance de unos pocos clic de ratón.
www.ccleaner.com
TIPO DE PROGRAMA
Utilidad del sistema
www.educ.umu.se/~cobian/cobi
anbackup.htm
TIPO DE PROGRAMA
Copia de seguridad
www.free-
soft.ro/everest/everest.html
TIPO DE PROGRAMA
Diccionarios
www.formatoz.com
TIPO DE PROGRAMA
Conversor multimedia
13
e-zing
@.com
Google Desktop
Apoyándose en los sistemas de búsqueda de la firma,localiza en nuestro PC ficheros de todo tipo, e-mailsincluidos. Además, muestra un resumen del contenido delfichero y una imagen del mismo para seleccionar másfácilmente el que estamos buscando. Se puede configurarpara mostrar todo tipo de información y qadqets outilidades en su barra lateral. Es fácil e intuitivo, puesposee la misma interfaz que el buscador. Las búsquedasincluso se pueden bloquear por contraseña.
IZArc
Los programas de compresión de ficheros se siguenutilizando mucho para intercambiar datos por Internet.Uno de sus usos habituales es el de comprimirlos paraenviarlos por correo electrónico, ya que muchosservidores ponen limitaciones al tamaño de los adjuntos.IZArc es un compre-sor/descompresor gratuitocompatible con los formatos más utilizados, incluidos ZIPy RAR, con lo que tendremos una herramienta muyversátil. Reconoce también imágenes de disco ISO ypermite otras operaciones, como cifrar archivos alcomprimirlos o repararlos si están dañados.
PortableApps Suite
Esta utilidad permite almacenar en una llave USB unaserie de programas y utilidades que podremos emplear sinnecesidad de instalación. De esa forma, las llevaremoscon nosotros a cualquier ordenador y las pondremos enmarcha desde la propia llave. El programa incorporaaplicaciones portátiles, como un navegador Firefox, uncliente de correo Thunderbird, un antivirus ClamWin ouna suite ofimática Openoffice.org. Es posible agregarmas siempre que estén en el formato portable eincorporarlos a nuestra llave USB mediante un sencilloproceso de instalación.
Skype
Este popular programa permite establecer gratuitamenteconexiones telefónicas y videoconferencia entre dosusuarios del servicio. Una vez nos demos de alta,podremos comunicarnos con otros si conocemos sunúmero de usuario. La herramienta dispone de archivo dellamadas, gestión de la agenda, buscador de usuarios delsistema, indicador de estado... El funcionamiento es muyintuitivo, incluso existen teléfonos USB que permiten eluso de Skype. También es posible realizar llamadas ateléfonos normales a tarifas competitivas (sobre todopara llamadas internacionales).
ZATTOO
Un sencillo software para ver en pan-talla gran cantidadde canales on-line como los que ofrecen las propiascadenas de televisión en sus páginas web y que requiereun registro como usuario para utilizar el servicio. Actualizaautomáticamente los nuevos canales que se vayanencontrando disponibles y dispone de una escaleta en laque consultar la programación de las distintas cadenas alas que tenemos acceso. También permite configurardistintos aspectos de la visualización.
http://desktop.google.es
TIPO DE PROGRAMA
Buscador para PC
www.izarc.org
TIPO DE PROGRAMA
Compresor/descompresor
de archivos
http://portableapps.com/s
uite TIPO DE
PROGRAMA
Aplicaciones portátiles
www.skype.es
TIPO DE PROGRAMA
Llamadas por Internet
www.zattoo.com/es TIPO
DE PROGRAMA TV en
Internet
APLICACIONESSoftware Gratuito