SEDE MANIZALES DNSAV

Auditoría a Sistemas Operativos

El tópico de sistemas operativos será el considerado en este capitulo, tiene especial interés pues los sistemas operativos generan el ambiente de trabajo y la administración de los recursos en cualquier sistema de cómputo y se hace relevante como objeto de estudio y punto de partida para abordar las demás áreas ya mencionadas. En este caso se busca desarrollar una metodología general que permita auditar diversos sistemas operativos, pero que pueda ser aplicada a un sistema operativo específico como Unix, Linux, Windows, Solaris, Netware, etc.

Metodología propuesta

A continuación se proponen y describen las principales etapas que se deben seguir al momento de auditar un sistema operativo.

A. Investigación Preliminar
B. Identificación y Agrupación de Riesgos
C. Evaluación de la Seguridad en la empresa objeto de la Auditoría
D. Diseño de Pruebas de Auditoría
E. Ejecutar Pruebas de Auditoría
F. Análisis del Efecto de las debilidades de Seguridad
G. Diseño de Controles
H. Elaboración de Informe de Auditoría
I. Seguimiento


A. Investigación Preliminar
		Objetivos
			- Determinar los recursos de cómputo de la empresa y la estructura organizacional de esta. - Evaluar la importancia del sistema de información para los procesos de negocio objeto de la auditoria y el soporte que los recursos de cómputo dan a estos. - Conocer de manera global el sistema operativo sobre el cual se llevara a cabo la auditoria, identificando los elementos que apoyan la seguridad y administración.

	Consideraciones
			a. Conocimiento global de la empresa en cuanto a: Área de Tecnología de la Información (Área de sistemas) Estructura organizacional y personal Plataforma de hardware Sistemas operativos Sistemas de redes y comunicaciones b. Conocimiento global del sistema operativo, evaluando las herramientas que proporciona como apoyo a la seguridad y a la administración.

	Herramientas o Mecanismos para la realización de la Investigación Preliminar
			- Entrevistas previas con el cliente (persona que solicita la realización de la auditoria). - Inspección de las instalaciones donde se llevará a cabo la auditoria y observación de operaciones. - Investigación e indagación con el personal involucrado en el proyecto de auditoria y los funcionarios que administran y operan los sistemas a evaluar. - Revisión de documentación proporcionada por la empresa. - Revisión de informes de auditorias anteriores, si se han realizado. - Estudio y evaluación del sistema de control interno.

	Documentos a solicitar para la Investigación Preliminar
			- Listado de aplicaciones en producción y directorio de datos. - Listado de empleados activos y despedidos en el último trimestre. - Documento de autorización a cada usuario del sistema y aprobación de derechos y privilegios. - Listados de monitoreo del sistema. - Listado de utilidades importantes, con los usuarios y grupos que las acceden. - Políticas de seguridad corporativa. - Documento de configuración inicial del sistema operativo y las autorizaciones para su actualización o cambio. - Documento de definición de los roles en la administración del sistema y la seguridad. - Planes de capacitación y entrenamiento. - Contratos con entes externos relacionados con Tecnologías de la Información. - Informes de auditoría previos.

B. Identificación y Agrupación de Riesgos
	Objetivo
	Identificar y clasificar los riesgos a los que esta expuesto el sistema operativo objeto de la auditoria, ya sean propios o generados por entidades externas (personas, procedimientos, bases de datos, redes, etc.) que interactúan con el sistema.

	Para realizar este análisis se pueden utilizar varios métodos, entre los cuales se proponen: 1. Escenarios de Riesgos Los pasos a seguir con este método son los siguientes:
		- Determinar el sistema a evaluar - Definir escenarios de riesgo (E-R). Se entiende por escenario de riesgo un punto o actividad claramente ubicado dentro del sistema objeto de estudio. - Para cada E-R se determinan actividades sujetas a control (A.S.C). Se entiende por A.S.C., actividades que se realizan en un E-R concreto. - Para cada A.S.C se encuentran las amenazas a que está expuesta (situación de riesgo S-R). - Se califican estas amenazas. - Para cada amenaza se proponen controles que minimicen estos riesgos y se califican de acuerdo a su actuación
	2. Grupos de Riesgos Los pasos a seguir con este método son los siguientes:
		- Identificar los grupos de riesgo. Se busca agrupar la amenazas de acuerdo a operaciones o temática similares, a criterio del auditor. - Plantear la justificación para cada grupo de riesgo identificado. - Determinar los objetivos para cada grupo de riesgo. En los objetivos se plantean aquellos aspectos que se quieren evaluar dentro del grupo de riesgo. - Se diseñan instrumentos que permitan evaluar los aspectos planteados en los objetivos. - Se identifican las principales amenazas a las que está expuesto el sistema operativo.

	Para su estudio se puede dividir los diferentes tópicos a abordar en la investigación de auditoría:
	Instalación y Configuración Inicial Aspectos generales a considerar
		- Políticas y estándares para el proceso de instalación y configuración inicial. - Configuración de servicios (correo, FTP, WWW, DNS). Elección, instalación y activación. - Configuración de parámetros de seguridad. - Sistemas de archivos. - Realización y configuración de particiones. - Instalaciones por defecto. - Software instalado (Paquetes)
	Seguridad Física Aspectos generales a considerar
		- Acceso del personal al centro de informática y salas de servidores. - Señalización. - Instalaciones eléctricas. - Estado UPS - Almacenamiento de cintas, discos y documentación - Entorno (temperatura, humedad, ventilación). - Ubicación de equipos. - Aseo.
	Seguridad Lógica Aspectos generales a considerar
		- Mecanismos de control de acceso a objetos del sistema. - Archivos con permisos especiales. - Mecanismos de identificación y autenticación. - Administración de usuarios y grupos (Creación, modificación, bloqueo y eliminación) - Administración de cuentas. (Creación, modificación, bloqueo y eliminación) - Perfiles de usuario y grupos. - Manejo de usuarios especiales. - Manejo de cuentas especiales. (Cuentas sin contraseña, cuentas predeterminadas, cuentas de invitados, Cuentas de acceso de comandos, cuentas de grupo). - Proceso de logon/logoff - Proceso de arranque del sistema. - Cifrado de datos - Acceso remoto.
	Documentación del Sistema Aspectos generales a considerar
		- Políticas y estándares de los procesos relacionados con el sistema operativo. - Políticas de seguridad de la organización. - Manuales del sistema operativo. - Manuales de procedimientos. - Manuales de usuario. - Manuales de funciones. - Documentación de la instalación y configuración inicial. - Pólizas de seguros.
	Mantenimiento y soporte Aspectos generales a considerar
		- Soporte del proveedor. - Utilitarios para realización de tareas de mantenimiento. - Planes de mantenimiento lógico y físico. - Contratación de mantenimiento y soporte externo. - Actualizaciones realizadas Hardware. - Actualizaciones realizadas (parches, nuevas versiones).
	Aspectos administrativos Aspectos generales a considerar
		- Estructura organizacional. - Definición y correspondencia de roles y funciones. - Segregación de funciones - Selección y contratación de personal - Capacitación y entrenamiento - Ambiente laboral.
	Monitoreo y Auditoría Aspectos generales a considerar
		- Evaluación de la función de auditoría interna si existe o externa. - Procedimientos de auditoría realizados con relación al sistema operativo. - Existencia y utilización de herramientas de monitoreo y auditoría. - Procedimientos de monitoreo y ajuste (Tunning) - Reportes de análisis de logs del sistema (instalación, operaciones). - Logs - Reportes de monitoreo y auditoría. - Software de auditoría.
	Planes de contingencia (Planes de respaldo y recuperación) Aspectos generales a considerar
		- Existencia de un plan de contingencia. - Conocimiento y divulgación del plan de contingencias. - Pruebas y ajustes al plan de contingencias. - Planes de respaldo (a nivel de personal, software y hardware) y recuperación. - Elaboración y gestión de copias de seguridad (Backups)
	Administración e implementación de la seguridad Aspectos generales a considerar
		- Función encargada de la administración de la seguridad. - Roles y responsabilidades. - Políticas y estándares. - Entrenamiento y capacitación en seguridad. - Personal Asesor - Procedimientos de administración de la seguridad. - Almacenamiento (Almacenamiento y Filesystem). - Documentación.
	Servicios que soporta el sistema operativo (aplicaciones, web, correo, proxy, DNS, Base de datos) Aspectos generales a considerar
	En este sentido es muy importante tener un grupo de riesgos asociados con los servicios que el sistema operativo evaluado este soportando y la criticidad e importancia que representen para la organización, pues estos pueden ser una puerta de entrada al sistema. Los aspectos a considerar están estrechamente relacionados con el servicio específico y sería bastante extenso enumerar en este punto los aspectos a considerar, los cuales quedan a criterio del auditor de acuerdo al previo que se ha dado hasta aquí.

Ejemplo de Aplicación de la Metodología
	A continuación se plantea un ejemplo completo de la aplicación de las herramientas anteriormente descritas.

	GRUPOS DE RIESGO
	Nombre del grupo de riesgo:INSTALACIÓN Y CONFIGURACIÓN INICIAL Justificación: Durante el proceso de instalación y configuración del sistema operativo se definen los parámetros que guiaran el funcionamiento y rendimiento de este, dicho proceso debe realizarse cuidadosamente y se debe garantizar que la configuración final cumpla con lo requisitos funcionales y de seguridad del o los sistemas informáticos que soporta. Objetivos: - Verificar la existencia de políticas y estándares para la instalación y configuración del sistema operativo y evaluarlas. - Evaluar el número de particiones que se realizaron durante el proceso de instalación y el tamaño y distribución de estas. - Verificar los servicios instalados, cuales se encuentran activos y cuales arrancan automáticamente. - Evaluar la configuración de opciones de montaje para los diferentes sistemas de archivos. - Evaluar que paquetes se encuentran instalados en el sistema operativo. - Verificar y evaluar los parámetros de seguridad configurados. - Evaluar si se ha realizado instalación por defecto. Cuestionario de Control (Instrumento de evaluación)
	ESCENARIOS DE RIESGO


C. Evaluación de la Seguridad en la empresa objeto de la Auditoría
	Objetivos Determinar si los controles existentes protegen apropiadamente la empresa contra los riesgos identificados. En este sentido cuatro métodos pueden combinarse:
		Análisis de riesgos Flujogramas de control Cuestionarios de control Matrices de control

D. Diseño de Pruebas de Auditoria
	Objetivo
	Definir Los procedimientos de Auditoria que permitan recolectar la evidencia que apoye los hallazgos y recomendaciones.

	Consideraciones
	Una vez realizados los pasos anteriores en este punto se tienen las bases para diseñar las pruebas de auditoria que se han de efectuar. Este es un trabajo de escritorio donde se determina en términos generales: el objetivo de la prueba, se describe brevemente (procedimientos a emplear), tipo de la prueba, técnicas a utilizar, recursos requeridos en cuanto a información, hardware, software y personal.

	Tipos de pruebas
	Pruebas de cumplimiento: Busca determinar si existe el control para el riesgo identificado . Pruebas sustantivas: Busca conocer la forma en que esta implementado el control, en caso de que este exista.

	Técnicas comúnmente usadas para el Diseño y Ejecución de Pruebas de Auditoría
	- Observación - Indagación - Conciliación (cruce de información con persona o documentos) - Inspección - Investigación analítica: Evaluar tendencias - Confirmación - TAAC'S: Técnicas de Auditoria Asistidas por Computador.

E. Ejecutar Pruebas de Auditoría
	Objetivo
	Obtener evidencia sobre los controles establecidos, su utilización, y el entendimiento y ejecución de los mismos por parte de las personas.


	Consideraciones
	Se ejecutan las pruebas de auditoria diseñadas en el anterior paso, adjuntándose para cada prueba ejecutada los soportes correspondientes.

F. Análisis del Efecto de las debilidades de Seguridad
	Consiste en dos pasos: - Identificar las debilidades - Determinar el impacto más probable que tendrá cada debilidad.

G. Diseño de Controles
	Este tema fue tratado en capitulo anterior.

H. Elaboración de Informe de Auditoría
	Objetivos
		- Comunicar a las personas o entes involucrados en la organización con los sistemas los resultados de la auditoria, para que ellos hagan la gestión necesaria para implementar los controles que cubran aquellas situaciones de riesgo de mayor relevancia, y mantengan y optimicen los que funcionan eficientemente. - Servir de apoyo en la toma de decisiones, gracias a la información que proveen. - Hacer parte de la documentación para futuras auditorías.

	Consideraciones
		- Por ser información que de cierta manera puede afectar la imagen de la empresa si sale a la luz pública, debe ser de carácter confidencial. - La elaboración del informe debe ser cuidadosa e en cuanto a la información que contiene, no debe dar lugar a ambigüedades, y los hallazgos y recomendaciones deben ser claramente descritos. - El informe debe estar documentado: información provista por la empresa y principalmente las pruebas de auditoría; Pues esto es el sustento de los hallazgos, conclusiones y recomendaciones.

I. Seguimiento
	Objetivo
	La empresa debe tomar las recomendaciones consignadas en los informes de auditoria y dar inicio a un proceso de implementación de mejoras basado en dichas recomendaciones.

	Consideraciones
	- El implementar nuevos controles y tener en cuenta las recomendaciones generadas por la auditoria es responsabilidad de la empresa que contrató la auditoria. - El auditor puede participar en el nuevo proceso aportando su conocimiento y experiencia, pero bajo otros términos contractuales.

	En que consiste el Seguimiento
	Esta es la etapa final del proceso de auditoria, pero también es la etapa inicial de un proceso de retroalimentación que lleva a la mejora de los sistemas, el trabajo del auditor llega hasta la entrega de los respectivos informes, de aquí en adelante es decisión de la empresa implementar las recomendaciones e involucrar al antes auditor en el nuevo proceso. Este es el punto neurálgico de la auditoria, ya que de nada vale hacer un estudio minucioso si una empresa no está dispuesta a implementar las medidas o controles recomendados, por esta razón debe medirse el impacto costo - beneficio de las recomendaciones, ya que ninguna organización está dispuesta a pagar por la seguridad de algo más de lo que este vale.