AUDITANDO SISTEMAS OPERATIVOS UNIX Y LINUX

REUNION DE APERTURA

AUDITANDO SISTEMAS OPERATIVOS UNIX Y LINUX

ANDRS FELIPE LEMUS ESCOBAR 910526 JUAN PABLO LEN 910029 JOHAN SEBASTIN NAVARRO CANO 910536

PROFESOR: FRANCISCO JAVIER VALENCIA DUQUE

Objetivo
Obtener una visin clara de los sistemas operativos Linux y UNIX con el fin de pueda reconocerse su funcionamiento y aplicacin Identificar los posibles riesgos asociados a los sistemas operativos Determinar si el tipo de licenciamiento de estos sistemas y sus pros y contras Determinar si los diferentes controles que son aplicados a estos sistemas operativos Determinar si las caractersticas de estos sistema operativos cumplen con los requerimientos de una organizacin Alcance

La auditora est enfocada en el anlisis de los diferentes riesgos y controles que presentan los sistemas operativos UNIX y Linux, con ello se busca obtener una clara visin de las condiciones bajo las cuales deben funcionar adecuadamente los sistemas, con el fin de emitir sugerencias para que las vulnerabilidades que se tengan puedan ser reducidas, de acuerdo a los estndares internacionalmente utilizados y comunicados por ISACA.

Metodologa Los procedimientos que se llevaran a cabo, constituyen un anlisis exhaustivo de las diferentes procesos de Gestin de Usuarios y contraseas, Seguridad de las carpetas y ficheros, Seguridad de la red, Auditora (logs), y el Seguimiento de la seguridad y controles generales, para las cuales es importante tener una atencin especial a los diferentes documentos que corroboran los hechos en el objeto auditado conforme a los estndares que son definidos por ISACA. Tambin sern implementadas entrevistas a las personas involucradas en el manejo de estos sistemas, de modo que puedan obtenerse pruebas sobre algunos cuestionamientos que se hayan presentado por parte de los usuarios, adems de herramientas y listas de chequeo estos se presentaran en el informe final de auditora.

Conductos de comunicacin La comunicacin que es pertinente en el momento de la implementacin de la auditoria se har de forma directa, en el momento de hacer las entrevistas se requiere que el auditado este presente y no se realizaran entrevistas por medio de ningn otro medio En el momento de hacer las pruebas al sistema operativo se requerir de los usuarios encargados del manejo de dicho sistema , en caso de que no pueda estar en presente en el momento , se debe establecer un medio de comunicacin ya sea telefnica o chat para el momento en el que el usuario deba ser consultado
Identificacin de las personas a auditar Personas vinculadas al departamento de sistemas quienes tienen a su cargo el correcto funcionamiento de hardware y software en las organizaciones, ya que el auditor no ejecuta directamente los comandos.

Personas de los dems departamentos que hacen uso de los diferentes sistemas como herramienta de apoyo a sus procesos (estas personas sern integradas a la auditoria mediante las entrevistas y/o listas de chequeo).

Revisin plan de auditoria

cronograma Cronograma
Fecha 28/06/2013 Hora 8:00 a.m. Tiempo 4 horas Lugar rea Sistemas Entrevista con funcionario o jefe encargado de la administracin de los sistemas y del soporte tcnico Objetivo Lograr obtener informacin detallada sobre el funcionamiento de los sistemas y sus posibles amenazas. Responsable Andrs Felipe Lemus Escobar Juan Pablo Len Johan Sebastin Navarro cano

01/07/2013

8:00 a.m.

2 horas

Diferentes dependencias de la organizacin

Obtener informacin sobre la implementacin desde la mirada del usuario final a travs de las entrevistas y listas de verificacin.

Andrs Felipe Lemus Escobar

Juan Pablo Len Johan Sebastin Navarro cano

02/07/2013

2:00 p.m.

3 horas

rea de sistemas

Hacer un anlisis a la documentacin haciendo un Andrs Felipe Lemus comparativo con la informacin suministrada por Escobar los usuarios de las dems dependencias y el Juan Pablo Len administrador del sistema. Johan Sebastin Navarro cano

03/07/2013

10:00 a.m.

5 horas

rea de Sistemas

Hacer anlisis a los sistemas operativos para determinar si es auditable y si existen posibles inconsistencias en su seguridad

Andrs Felipe Lemus Escobar Juan Pablo Len Johan Sebastin Navarro cano

04/07/2013

2:00 p.m.

4 horas

Elaboracin de Informe de Auditoria

Andrs Felipe Lemus Escobar Juan Pablo Len Johan Sebastin Navarro cano

15/07/2013

8:00 a.m.

1 hora

Entrega informe

Revisin plan de auditoria Requisitos de confidencialidad Se establecern los requisitos necesarios de para la implementacin de la auditoria sin llegar a vulnerar la confidencialidad de la organizacin por los cual se establecen los siguientes parmetros

1. En el momento de ingreso del auditor a la organizacin ser a acompaado por

el auditado correspondiente a auditar segn el cronograma 2. Se firmara un contrato de confidencialidad Auditor Empresa 3. El auditor no ejecutara los comandos de prueba en ninguno de los equipos 4. En el momento que el auditor necesite de ingresar al sistema, se le creara una cuenta de usuario de solo consulta

Fin de reunin de apertura

Lectura del plan de auditoria

Procesos involucrados
1. Gestin de usuarios y contraseas: Prueba de los sistemas de Archivo de Contraseas. El cual comprende:
Gestin de las altas y bajas de usuarios. Determinacin de identificadores de usuario nicos. Establecimiento de contraseas encriptadas. Permisos de las carpetas passwd y shadow. Revisin y evaluacin de la fuerza del sistema de contraseas. Evaluacin de los controles del uso de contraseas y su duracin. Configuracin de las contraseas iniciales para los nuevos usuarios y comunicacin de esas contraseas. Gestin de cuentas asociadas a un usuario especfico. Implementacin de Shells en las cuentas invlidas. Revisin y evaluacin de accesos a cuentas de super Usuario. Gestin de grupos. Evaluacin del uso de contraseas a nivel de grupo.

Evaluacin de los directorios en la ruta por defecto.

Evaluacin de la seguridad de los directorios en las rutas raz. Seguridad del directorio principal del usuario y los archivos de configuracin.

Procesos involucrados

2. Seguridad de las carpetas y ficheros. Comprende: Seguridad de las carpetas con

informacin crtica.
Verificar la existencia de directorios abiertos. Evaluacin de la seguridad de los ficheros SUID, que permiten ser ejecutados por usuarios distintos a su propietario. Evaluacin de la seguridad sobre el ncleo. Comprobacin de propietarios legales de los archivos.

Configuracin para impedir la transferencia de propiedad de archivos.

Revisar la configuracin de permisos por defecto. Examinar los crontabs del sistema. Revisin de las carpetas que tienen programadas tareas (crontab). Examinar los atjobs programados del sistema.

Procesos involucrados
3. Seguridad de la red. Comprende:
Seguridad de los servicios que se encuentran activados en el sistema operativo. Deteccin de vulnerabilidades. Accesos remotos configurados como accesos de confianza. Revisar y evaluar el uso de accesos confiables mediante claves SSH. Control de habilitacin del FTP annimo. Control de habilitacin del NFS. Revisin del uso de protocolos seguros. Verificacin de ficheros .netrc para configurar accesos automatizados. Revisin del funcionamiento del baner de alerta legal para un usuario. Uso de mdems para acceso remoto al servidor

Procesos involucrados
4. Registros de auditora. Comprende:
Revisin de los controles para prevenir inicios de sesin directos al directorio raz del sistema. Registro de uso de comandos su y sudo para rendicin de cuentas. Evaluacin del contenido, seguridad, seguimiento, y periodo de retencin del sistema de almacenamiento de datos de accesos (logs). Revisar las carpetas: sulog, sudolog, syslog, loguinglog, wtmp, utmp.

Evaluar la seguridad sobre el archivo utmp.

5. Seguimiento de la seguridad y controles generales. Comprende:

Procedimientos establecidos para el control de la situacin de seguridad del sistema. Procedimientos para las configuraciones iniciales de los sistemas verificando las configuraciones de seguridad. Verificar que existen controles fsicos y de ejecucin de operaciones que aseguren la proteccin y disponibilidad del sistema. (Minguilln Roy, 2010)

Reunion de cierre

Agradecimientos personal involucrado

Conclusiones de la auditoria Aspectos positivos En la empresa se a implementado de forma correcta el sistema operativo Linux lo que a logrado una mejora en cuanto el rendimiento monetario logrado por el rea de sistemas La empresa cuenta con un plan de auditoria interna que vela por el continuo funcionamiento de los sistemas de la organizacin Actualmente el sisma operativo Linux se encuentra en funcionamiento y este aporta muchas caractersticas funcionales en cuanto a la seguridad de la informacin y la validacin de usuarios en la organizaciones donde ser instalado

Debido a los controles ya existentes se han mantenido los riesgos de filtracin de documentacin y dems problemas de seguridad bajo

Conclusiones de la auditoria Observaciones Un problema encontrado de forma continua durante la documentacin de la auditoria es que la mayora de los problemas de seguridad de este sistema son de tipo humana Los problemas graves de seguridad siempre fueron la propia vulnerabilidad de los usuarios del sistema Se encontr que no existe un plan ni una documentacin adecuada sobre el uso, implantacin, ni la capacitacin de este tipo de software en la organizaciones

La falta de un plan de mantenimiento y actualizacin

Conclusiones de la auditoria Inconformidades La falta de personal capacitado en el manejo de estar herramientas de software libre, por lo que hace de estas unas herramientas sub aprovechadas pudiendo ser la mano derecha de la organizacin Algunas personas del personal que utilizan este sistema operativo lo han descrito como complicado debido a la falta de pericia generada por la baja capacitacion