Escolar Documentos
Profissional Documentos
Cultura Documentos
REUNION DE APERTURA
ANDRS FELIPE LEMUS ESCOBAR 910526 JUAN PABLO LEN 910029 JOHAN SEBASTIN NAVARRO CANO 910536
Objetivo
Obtener una visin clara de los sistemas operativos Linux y UNIX con el fin de pueda reconocerse su funcionamiento y aplicacin Identificar los posibles riesgos asociados a los sistemas operativos Determinar si el tipo de licenciamiento de estos sistemas y sus pros y contras Determinar si los diferentes controles que son aplicados a estos sistemas operativos Determinar si las caractersticas de estos sistema operativos cumplen con los requerimientos de una organizacin Alcance
La auditora est enfocada en el anlisis de los diferentes riesgos y controles que presentan los sistemas operativos UNIX y Linux, con ello se busca obtener una clara visin de las condiciones bajo las cuales deben funcionar adecuadamente los sistemas, con el fin de emitir sugerencias para que las vulnerabilidades que se tengan puedan ser reducidas, de acuerdo a los estndares internacionalmente utilizados y comunicados por ISACA.
Metodologa Los procedimientos que se llevaran a cabo, constituyen un anlisis exhaustivo de las diferentes procesos de Gestin de Usuarios y contraseas, Seguridad de las carpetas y ficheros, Seguridad de la red, Auditora (logs), y el Seguimiento de la seguridad y controles generales, para las cuales es importante tener una atencin especial a los diferentes documentos que corroboran los hechos en el objeto auditado conforme a los estndares que son definidos por ISACA. Tambin sern implementadas entrevistas a las personas involucradas en el manejo de estos sistemas, de modo que puedan obtenerse pruebas sobre algunos cuestionamientos que se hayan presentado por parte de los usuarios, adems de herramientas y listas de chequeo estos se presentaran en el informe final de auditora.
Conductos de comunicacin La comunicacin que es pertinente en el momento de la implementacin de la auditoria se har de forma directa, en el momento de hacer las entrevistas se requiere que el auditado este presente y no se realizaran entrevistas por medio de ningn otro medio En el momento de hacer las pruebas al sistema operativo se requerir de los usuarios encargados del manejo de dicho sistema , en caso de que no pueda estar en presente en el momento , se debe establecer un medio de comunicacin ya sea telefnica o chat para el momento en el que el usuario deba ser consultado
Identificacin de las personas a auditar Personas vinculadas al departamento de sistemas quienes tienen a su cargo el correcto funcionamiento de hardware y software en las organizaciones, ya que el auditor no ejecuta directamente los comandos.
Personas de los dems departamentos que hacen uso de los diferentes sistemas como herramienta de apoyo a sus procesos (estas personas sern integradas a la auditoria mediante las entrevistas y/o listas de chequeo).
01/07/2013
8:00 a.m.
2 horas
Obtener informacin sobre la implementacin desde la mirada del usuario final a travs de las entrevistas y listas de verificacin.
02/07/2013
2:00 p.m.
3 horas
rea de sistemas
Hacer un anlisis a la documentacin haciendo un Andrs Felipe Lemus comparativo con la informacin suministrada por Escobar los usuarios de las dems dependencias y el Juan Pablo Len administrador del sistema. Johan Sebastin Navarro cano
03/07/2013
10:00 a.m.
5 horas
rea de Sistemas
Hacer anlisis a los sistemas operativos para determinar si es auditable y si existen posibles inconsistencias en su seguridad
Andrs Felipe Lemus Escobar Juan Pablo Len Johan Sebastin Navarro cano
04/07/2013
2:00 p.m.
4 horas
Andrs Felipe Lemus Escobar Juan Pablo Len Johan Sebastin Navarro cano
15/07/2013
8:00 a.m.
1 hora
Entrega informe
Revisin plan de auditoria Requisitos de confidencialidad Se establecern los requisitos necesarios de para la implementacin de la auditoria sin llegar a vulnerar la confidencialidad de la organizacin por los cual se establecen los siguientes parmetros
Procesos involucrados
1. Gestin de usuarios y contraseas: Prueba de los sistemas de Archivo de Contraseas. El cual comprende:
Gestin de las altas y bajas de usuarios. Determinacin de identificadores de usuario nicos. Establecimiento de contraseas encriptadas. Permisos de las carpetas passwd y shadow. Revisin y evaluacin de la fuerza del sistema de contraseas. Evaluacin de los controles del uso de contraseas y su duracin. Configuracin de las contraseas iniciales para los nuevos usuarios y comunicacin de esas contraseas. Gestin de cuentas asociadas a un usuario especfico. Implementacin de Shells en las cuentas invlidas. Revisin y evaluacin de accesos a cuentas de super Usuario. Gestin de grupos. Evaluacin del uso de contraseas a nivel de grupo.
Procesos involucrados
Procesos involucrados
3. Seguridad de la red. Comprende:
Seguridad de los servicios que se encuentran activados en el sistema operativo. Deteccin de vulnerabilidades. Accesos remotos configurados como accesos de confianza. Revisar y evaluar el uso de accesos confiables mediante claves SSH. Control de habilitacin del FTP annimo. Control de habilitacin del NFS. Revisin del uso de protocolos seguros. Verificacin de ficheros .netrc para configurar accesos automatizados. Revisin del funcionamiento del baner de alerta legal para un usuario. Uso de mdems para acceso remoto al servidor
Procesos involucrados
4. Registros de auditora. Comprende:
Revisin de los controles para prevenir inicios de sesin directos al directorio raz del sistema. Registro de uso de comandos su y sudo para rendicin de cuentas. Evaluacin del contenido, seguridad, seguimiento, y periodo de retencin del sistema de almacenamiento de datos de accesos (logs). Revisar las carpetas: sulog, sudolog, syslog, loguinglog, wtmp, utmp.
Reunion de cierre
Conclusiones de la auditoria Aspectos positivos En la empresa se a implementado de forma correcta el sistema operativo Linux lo que a logrado una mejora en cuanto el rendimiento monetario logrado por el rea de sistemas La empresa cuenta con un plan de auditoria interna que vela por el continuo funcionamiento de los sistemas de la organizacin Actualmente el sisma operativo Linux se encuentra en funcionamiento y este aporta muchas caractersticas funcionales en cuanto a la seguridad de la informacin y la validacin de usuarios en la organizaciones donde ser instalado
Debido a los controles ya existentes se han mantenido los riesgos de filtracin de documentacin y dems problemas de seguridad bajo
Conclusiones de la auditoria Observaciones Un problema encontrado de forma continua durante la documentacin de la auditoria es que la mayora de los problemas de seguridad de este sistema son de tipo humana Los problemas graves de seguridad siempre fueron la propia vulnerabilidad de los usuarios del sistema Se encontr que no existe un plan ni una documentacin adecuada sobre el uso, implantacin, ni la capacitacin de este tipo de software en la organizaciones
Conclusiones de la auditoria Inconformidades La falta de personal capacitado en el manejo de estar herramientas de software libre, por lo que hace de estas unas herramientas sub aprovechadas pudiendo ser la mano derecha de la organizacin Algunas personas del personal que utilizan este sistema operativo lo han descrito como complicado debido a la falta de pericia generada por la baja capacitacion