AUDITORIA DE LA SEGURIDAD Y EL DESARROLLO DE APLICACIONES

jueves, 28 de octubre de 2010 | | | 0 comentarios |
AUDITORIA DE LA SEGURIDAD Y EL DESARROLLO DE APLICACIONES

Todos los desarrollos deben estar autorizados a distintos nivel según la importancia del proyecto a desarrollar, incluso autorizados por una comisión si los costos o riesgos superan ciertos umbrales.

Si la auditoria es externa se revisará la participación de los usuarios y de los auditores internos

     La metodología seguida

     Ciclos de vida

     Gestión de los proyectos, aplicaciones que traen términos

     De los contratos y cumplimiento

     Selección y uso de paquetes

     Realización de pruebas a varios niveles y mantenimiento posterior

El pase al entorno de la explotación real debe estar controlado, no descartándose la revisión de programas por parte de técnicos independientes, o por auditores preparados a fin de determinar los errores y la calidad de las aplicaciones

Auditoria De La Seguridad En El Área De Producción

Las organizaciones cuidan especialmente las medidas de protección en el caso de contratación de servicios: desde el posible marcado de datos, proceso, impresión de etiquetas, distribución, acciones comerciales, gestión de cobros, hasta el outsourcing mas completo.

AUDITORIA DE LA SEGURIDAD DE DATOS

I. INTRODUCCIÓN

Se propone una serie de aspectos para evaluar y mantener una adecuada seguridad de los datos que se requieran en una determinada organización, a fin de diferir en su funcionamiento y detectar las deficiencias, así como proponer los aspectos principales en los que se tiene que mejorar a fin de incrementar su eficiencia o mejorar su funcionalidad y su productividad.

Además de la seguridad física también implica una protección a los datos de nuestro sistema, tanto a la que esta almacenada y en él, cómo es que se transmite entre diferentes equipos.

Hay ciertos aspectos a tener en cuenta en la seguridad de los datos de nuestra organización; existen ataques cuyo objetivo no es destruir el medio físico de nuestro sistema, sino simplemente conseguir la información almacenada en dicho medio.

II. AUDITORIA A SISTEMAS DE BASES DE DATOS.

Los Sistemas de Gestión de Bases de Datos proveen mecanismos que garantizan la seguridad, consistencia y reglas de integridad. Es de gran importancia para el auditor de sistemas, conocerlos y apoyarse en ellos para verificar el ambiente de control establecido en la instalación.

Características en la seguridad en los sistemas de bases de datos:

• Claves primarias.

• Dominio de los atributos

• Reglas de integridad

• Reglas de integridad del negocio

• Vistas

• Perfiles de usuario y acceso a objetos de la base de datos

• Auditoría

• Criptografía de datos

• Disparadores o triggers

III. METODOLOGIA DE SEGURIDAD DE DATOS.

1. Análisis y Diagnóstico Previos.-

       A.- Conocimiento del negocio y del Sistema

       B.- Aspectos del SGBD en la empresa.

       C.- Alcance de Auditoria.

2. Definir grupos de riesgos:

       1. Objetos de la base de datos y reportes.

       2. Programas de aplicación y utilitarios.

       3. Auditoría y Seguimiento

       4. Planes de Respaldo y Contingencia.

       5. Seguridad en la Red.

       6. Acceso a través de Internet.

       7. Seguridad Instalaciones y acceso físico.

       8. Diseño de la Base de Datos.

       9. Eficiencia y economía de recursos.

       10. Almacenamiento.

II. AUDITORIA A SISTEMAS DE BASES DE DATOS.

Los Sistemas de Gestión de Bases de Datos proveen mecanismos que garantizan la seguridad, consistencia y reglas de integridad. Es de gran importancia para el auditor de sistemas, conocerlos y apoyarse

Características en la seguridad en los sistemas de bases de datos:

• Claves primarias.

• Dominio de los atributos

• Reglas de integridad

• Reglas de integridad del negocio

• Vistas

• Perfiles de usuario y acceso a objetos de la base de datos

• Auditoría

• Criptografía de datos

• Disparadores o triggers

III. METODOLOGIA DE SEGURIDAD DE DATOS.

1 . Análisis y Diagnóstico Previos.-

a. Conocimiento del negocio y del Sistema

b. Aspectos del SGBD en la empresa.

c. Alcance de Auditoria.

2. Definir grupos de riesgos:

1. Objetos de la base de datos y reportes.

2. Programas de aplicación y utilitarios.

3. Auditoría y Seguimiento

4. Planes de Respaldo y Contingencia.

5. Seguridad en la Red.

6. Acceso a través de Internet.

7. Seguridad Instalaciones y acceso físico.

8. Diseño de la Base de Datos.

9. Eficiencia y economía de recursos.

10. Almacenamiento.

3. Evaluación del estado de control existente (checklist)

Objetivos de la evaluación para cada grupo de riesgos

Preguntar para cada objetivo gravedad, probabilidad, impacto, referencias observaciones.

a. Problemas por seguridad en instalaciones y acceso físico.

b. Riesgos relacionados con el acceso lógico y la privacidad a las bases de datos.

c. Causado por la relación Sistema Operativo - DBMS.

d. Riesgos asociados a las aplicaciones y utilitarios.

e. Problemas relacionados con el Diseño de la Base de Datos.

f. Asuntos concernientes al Diccionario de datos y documentación

g. Problemas con el Respaldo y planes de contingencia

h. Riesgos por personal y organización.

i. Auditabilidad.

IV. ANÁLISIS DE RIESGOS.

1. Control del ambiente de login en Sistema Operativo

2. Asegúrese que cada usuario se autentica con la base de datos.

3. Si los usuarios se conectan a las bases de datos a través de interfaces de administración o desarrollo

4. Realice una detallada revisión de los login, procesos de autenticación, perfiles de usuario y roles y privilegios.

5. Si un programa es una aplicación Web a través de http:

a. Determine si el enrutador y/o firewall restringe el acceso a la Base de Datos.

b. Determine que son adecuados los controles de accesos al servidor web.

c. Que se realizan procesos de auditoría sobre los usuarios del sistema operativo y de la base de datos.

V. SEGURIDAD EN EL SISTEMA OPERATIVO

1. Usuario de base de datos y sistema operativo.

a. verifique que todos los usuarios creados en el sistema operativo representan un usuario valido.

b. Asegúrese que las conexiones remotas están controladas.

2. Seguridad de los archivos de bases de datos en el sistema operativo.

3. Auditoria a la seguridad de la base de datos para propietarios y grupos.

VI. PROCESOS DE CONEXIÓN Y AUTENTICACIÓN:

1. Sobre las tablas de usuarios:

a. Determine que todos los usuarios representan un usuario valido y autenticado.

b. Prueba que el passwords por defecto en las cuentas de administración del sistema han sido cambiadas.

c. Verifique que están definidos los procedimientos para cambios de claves periódicamente y que los passwords son seguros.

d. En caso de conexiones con parámetros string, verifique que a través de comandos como ps, no es posible ver la clave del usuario.

e. Si la conexión a la base de datos se hace a través de programas o utilidades, asegúrese que están protegidos por permisos de archivos y directorios.

2. En una impresión de la bitácora de sesiones de usuarios:

VII. CONTROL DE ACCESO A LA BASE DE DATOS.

1. Obtenga listado de todos los archivos de privilegios y roles de usuarios.

2. Obtenga listado de los archivos de logs:

VIII. DISPONIBILIDAD, RESPALDO Y RECUPERACIÓN.

1. Usando comandos

2. Obtenga un listado de los procedimientos de backup de la base de datos, cronogramas de backup y programas utilitarios de backup.

3. Evaluar los medios de almacenamiento, los procedimientos usados, la revisión de las copias, la correcta etiquetada (interna y externa), la seguridad del sitio de almacenamiento y la correcta rotación de las copias.

4. Obtenga y revise la documentación de los procesos de pruebas de recuperación.

IX. BASES DE DATOS EN RED:

1. Partiendo de un diagrama de red donde se especifique los servidores de bases de datos y sus conexiones físicas y lógicas al resto de la red:

a. Determine si los altos usos SQL entre componentes en la red (Servidor y aplicaciones) están soportados por canales de alta velocidad y alto ancho de banda.

b. Asegúrese que los enlaces redundantes son usados para soportar los sistemas de requerimientos de disponibilidad.

c. Usando comandos o aplicaciones tipo netstat (protocolo, dirección remota y local y estado) revise el ruteo y direccionamiento IP usado para los servidores de bases de datos.

d. Asegúrese que los dispositivos de control de acceso garantizan solo conexiones autorizadas.

AUDITORIA DE LA SEGURIDAD EN COMUNICACIONES – REDES Y

AUDITORIA DE LA SEGURIDAD DE LA CONTINUIDAD DE LAS OPERACIONES

Auditoria Informática de Comunicaciones y Redes:

Los auditores de sistemas deben, en las empresas actuales, obligatoriamente enfrentar su labor profesional en Redes de Computadores, por donde se transporta información sensitiva y vital para las organizaciones. etc.

• Para el informático y para el auditor informático, el entramado conceptual que constituyen las Redes Nodales, Líneas, Concentradores, Multiplexores, Redes Locales, etc. no son sino el soporte físico-lógico del Tiempo Real.

• El auditor tropieza con la dificultad técnica del entorno, pues ha de analizar situaciones y hechos alejados entre sí, y está condicionado a la participación del monopolio telefónico que presta el soporte.

• Como en otros casos, la auditoría de este sector requiere un equipo de especialistas, expertos simultáneamente en Comunicaciones y en Redes Locales (no hay que olvidarse que en entornos geográficos reducidos, algunas empresas optan por el uso interno de Redes Locales, diseñadas y cableadas con recursos propios).

• El auditor de Comunicaciones deberá inquirir sobre los índices de utilización de las líneas contratadas con información abundante sobre tiempos de desuso.

• Deberá proveerse de la topología de la Red de Comunicaciones, actualizada, ya que la desactualización de esta documentación significaría una grave debilidad. La inexistencia de datos sobre la cuantas líneas existen, cómo son y donde están instaladas, supondría que se bordea la Inoperatividad Informática.

PUNTOS CRITICOS

1. Diseño e implementación de la red

a. Análisis de necesidades

d. diseño y selección de la arquitectura.

Revisar el procedimiento seguido en la selección, adquisición e instalación de la red LAN ela

Evaluar los estándares soportados en la arquitectura seleccionada

2. Documentación de la Red

a. Revisar los manuales de diseño.

b. Verificar que exista un plano de las instalaciones correctamente documentados los centros de cableado, los servidores, el cableado y los puntos de red.

DEAJA TU COMENTARIO..........................