AUDITORIA ESPECFICA: SEGURIDAD FISICA Y LGICA SISTEMAS ORIENTADOS A OBJETOS

Universidad de Caldas Facultad de Ingeniera Programa Ingeniera de Sistemas y Computacin Blanca Rubiela Duque Ochoa Cdigo 1700210274
24/11/2010

POR QU ES TAN IMPORTANTE LA SEGURIDAD?

Por la existencia de personas ajenas a la informacin, tambin conocidas como piratas informticos o hackers, que buscan tener acceso a la red empresarial para modificar, sustraer o borrar datos. Tales personajes pueden, incluso, formar parte del personal administrativo o de sistemas, de cualquier compaa; de acuerdo con expertos en el rea, ms de 70 por ciento de las violaciones e intrusiones a los recursos informticos se realiza por el personal interno, debido a que ste conoce los procesos, metodologas y tiene acceso a la informacin sensible de su empresa, es decir, a todos aquellos datos cuya prdida puede afectar el buen funcionamiento de la organizacin. Esta situacin se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayora de las compaas a nivel mundial, y porque no existe conocimiento relacionado con la planeacin de un esquema de seguridad eficiente que proteja los recursos informticos de las actuales amenazas combinadas. El resultado es la violacin de los sistemas, provocando la prdida o modificacin de los datos sensibles de la organizacin, lo que puede representar un dao con valor de miles o millones de dlares.

SEGURIDAD INFORMATICA
En trminos generales, la seguridad puede entenderse como aquellas reglas tcnicas y/o actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, prdida o dao, ya sea de manera personal, grupal o empresarial. En este sentido, es la informacin el elemento principal a proteger, resguardar y recuperar dentro de las redes empresariales. La computadora es un instrumento que estructura gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. Tambin pueden ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado virus de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para

paquetes que son copiados sin autorizacin (piratas) y borra toda la informacin que se tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias piratas o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin del virus. La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica. Seguridad fsica: Es muy importante ser consciente que por ms que la empresa sea la ms segura desde el punto de vista de ataques externos (hackers, virus, ataques de DoS, etc.); la seguridad de la misma ser nula si no se ha previsto como combatir un incendio o cualquier otro tipo de desastre natural y no tener presente polticas claras de recuperacin. La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Si bien algunos de los aspectos de seguridad fsica bsicos se prevn, otros, como la deteccin de un atacante interno a la empresa que intenta acceder fsicamente a una sala de cmputo de la misma, no. Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de backup de la sala de cmputo, que intentar acceder va lgica a la misma. As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del centro de cmputo, as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. Las principales amenazas que se prevn en Seguridad Fsica son: 1. Desastres naturales, incendios accidentales, tormentas e inundaciones 2. Amenazas ocasionadas por el hombre 3. Disturbios, sabotajes internos y externos deliberados. Evaluar y controlar permanentemente la seguridad fsica de las instalaciones de cmputo y del edificio es la base para comenzar a integrar la seguridad como una funcin primordial dentro de cualquier organismo. Tener controlado el ambiente y acceso fsico permite: Disminuir siniestros

Trabajar mejor manteniendo la sensacin de seguridad Descartar falsas hiptesis si se produjeran incidentes Tener los medios para luchar contra accidentes

Seguridad lgica: Luego de ver como el sistema puede verse afectado por la falta de seguridad fsica, es importante recalcar que la mayora de los daos que puede sufrir un centro de cmputo no ser sobre los medios fsicos sino contra informacin por l almacenada y procesada. As, la seguridad fsica slo es una parte del amplio espectro que se debe cubrir para no vivir con una sensacin ficticia de seguridad. Como ya se ha mencionado, el activo ms importante que se posee es la informacin, y por lo tanto deben existir tcnicas, ms all de la seguridad fsica que la asegure. Estas tcnicas las brinda la Seguridad Lgica. La Seguridad Lgica consiste en la aplicacin de barreras y procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo. Existe un viejo dicho en la seguridad informtica que dicta que todo lo que no est permitido debe estar prohibido y esto es lo que debe asegurar la Seguridad Lgica. Los objetivos que se plantean sern: 1. Restringir el acceso a los programas y archivos 2. Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no puedan modificar los programas ni los archivos que no correspondan. 3. Asegurar que se estn utilizando los datos, archivos y programas correctos en y por el procedimiento correcto. 4. Que la informacin transmitida sea recibida por el destinatario al cual ha sido enviada y no a otro. 5. Que la informacin recibida sea la misma que ha sido transmitida. 6. Que existan sistemas alternativos secundarios de transmisin entre diferentes puntos. 7. Que se disponga de pasos alternativos de emergencia para la transmisin de informacin.

Programa de Auditoria: Primero que todo el auditor debe conocer las razones por las cuales el cliente desea desarrollar dicha auditoria; puede haber diferentes causas, como son: Reglas internas del cliente. Incrementos no previstos de costos. Obligaciones Legales Situacin de ineficiencia global notoria, entre otras.

Es por esto que debe ser fundamental que el auditor conozca dicha causa, permitindole definir un entorno inicial sobre el cual se elaborara su respectivo plan de trabajo. Para realizar una correcta auditoria de seguridad, podemos dividir a la organizacin AudiLcteos en reas dedicadas a una misma actividad, que nos permitan abarcar todas las reas que confieren a una correcta auditoria de seguridad. A continuacin veremos las reas: rea 1: Seguridad de cumplimiento de polticas normas y estndares. rea 2: Seguridad de Sistema Operativo. rea 3: Seguridad de Aplicaciones. rea 4: Seguridad de Redes y Comunicaciones. rea 5: Seguridad de Base de Datos. rea 6: Seguridad de Procesos. rea 7: Seguridad Fsica. Luego de revisar las reas a trabajar en nuestra auditoria procedemos a definir las fases en las cuales se desarrollara la auditoria. Fase1: Planeacin: Como ya mencionamos anteriormente es indispensable para el auditor conocer las razones por las cuales se llevara a cabo la auditoria, para as, poder disear un buen plan de accin. Dicha auditoria ser realizada por los auditores de la firma CH Auditoria Consultores S.A.S y se enfocara en todas las reas de la empresa, evaluar, y as, poder determinar su nivel de seguridad. Buscando alcanzar los siguientes objetivos:

Minimizar los riesgos de prdida de informacin vital para la empresa, causados por una catstrofe, robo o mal uso de la misma. Garantizar el correcto uso de las tecnologas y la informacin de la empresa por parte de los administradores y usuarios. Realizar recomendaciones para una correcta gestin de la seguridad en la empresa tanto fsica como lgica. Definir un adecuado plan de continuidad de negocio. Promover aplicacin de polticas y estndares de seguridad. Descubrir nuevas amenazas al sistema

Dichos objetivos se alcanzaran mediante el siguiente proceso: Realizar una visita a la empresa para revisar su infraestructura. Dicha revisin se llevara a cabo mediante la observacin directa del auditor. Evaluar la infraestructura en pro de la seguridad empresarial. Realizar las debidas recomendaciones para realizar el mejoramiento de la seguridad de la compaa. Realizacin de listas de verificacin para evaluar el desempeo de la empresa en seguridad de la informacin. Realizar la respectiva revisin documental. Comprobacin mediante observacin directa.

Fase 2: Ejecucin: El proceso de auditora planteado anteriormente para el correcto desempeo de la seguridad tanto fsica como lgica en la organizacin se llevara a cabo mediante el uso de diferentes tcnicas y herramientas de auditora como son: Listas de chequeo. Revisin documental. Observacin.

Fase 3: Comunicacin de Resultados: Luego del estudio exhaustivo de la informacin recolectada en la fase de ejecucin se desarrollara el respectivo informe de auditora, el cual, ser comunicado a los directivos de la compaa para evaluar discrepancias, y poder cumplir con los objetivos propuestos. Fase 4: Seguimiento: Durante la fase de seguimiento se busca que las recomendaciones planteadas a la compaa sean aplicadas de la forma correcta para as permitir llegar a un nivel de seguridad optimo, dicha revisin se realizara de forma peridica cada tres meses durante un ao.

GUA DE AUDITORA

EMPRESA AUDITORA CH Auditora Consultores S.A.S Referencia #01

EQUIPO AUDITOR Blanca Rubiela Duque Actividad a Evaluar Verificar la suficiencia y cumplimiento de todos los parmetros de seguridad tanto fsica como lgica en la organizacin.

EMPRESA AUDITADA AudiLcteos S.A.S

FECHA Noviembre de 2010 Herramientas a Utilizar * Lista de verificacin. * Revisin documental.

Procedimiento de Auditora Realizar una visita a la empresa para revisar su infraestructura. Dicha revisin se llevara a cabo mediante la observacin directa del auditor. Evaluar la infraestructura en pro de la seguridad empresarial. Realizar las debidas recomendaciones para realizar el

*Observaci
n directa de los sitios de inters

SEGURIDAD FSICA Y LGICA

mejoramiento de la seguridad de la compaa. Realizacin de listas de verificacin para evaluar el desempeo de la empresa en seguridad de la informacin. Realizar la respectiva revisin documental.

OBSERVACIONES: Durante las actividades de observacin directa se

verificara no solo el estado de los sitios de trabajo y los datacenter, si es que los posee, tambin se evaluar el riguroso control de acceso tanto fsicamente a las instalaciones de la empresa, sino tambin, a el debido control de acceso que se realiza a los sistemas con un debido sistema de log. LISTA DE VERIFICACIN OBJETIVO: Solicitar y revisar los planes y lineamientos establecidos para garantizar la seguridad fsica y lgica en la empresa.

ITEM A EVALUAR

Cumple

No Cumple

Observaciones

La informacin de la empresa se encuentra siempre disponible para cumplir sus propsitos? Existe algn anlisis de riesgos en la organizacin?

La informacin susceptible de robo, prdida o dao se encuentra protegida y

resguardada?

Existe Documentacin en cuanto a: polticas aplicables, anlisis de riesgos, descripcin de procesos, lista de controles. La empresa tiene conocimiento relacionado con la planeacin de un esquema de seguridad eficiente que proteja los recursos informticos de las actuales amenazas combinadas? Se cuenta con un sistema de control de acceso y autorizacin? Se mantiene un registro de las actividades que los Administradores y usuarios realizan sobre un sistema? Se aplican barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial? Se cuenta con planes de contingencia y de manejo de incidentes? En la empresa se han contemplado las amenazas ocasionadas por el hombre? La empresa tiene un plan para la realizacin de backups?

Se evalan y controlan permanentemente la seguridad fsica de las instalaciones de cmputo y del edificio donde funciona la empresa? La empresa tiene implementados firewalls? Existen procedimientos y barreras que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo? Existe una poltica especfica del sistema para el manejo de seguridad? Se asegura que se estn utilizando los datos, archivos y programas correctos en y por el procedimiento correcto? Existen polticas para el manejo de redes, sistemas operativos, aplicaciones, etc.? Existen sistemas alternativos secundarios de transmisin de informacin entre diferentes puntos? Existen polticas para el manejo de Internet? Los operadores pueden trabajar sin una supervisin minuciosa y no pueden modificar los programas ni los archivos que no correspondan? Existen polticas para el manejo de otras redes externas?

La informacin transmitida es recibida por el destinatario al cual ha sido enviada y no a otro? Las funciones de seguridad estn integradas en las funciones del personal? Se realiza un plan de seguridad fsica contra catstrofes como: inundaciones, incendios, cortes de energa? NOTA: Todas las preguntas deben ser justificadas en el campo correspondiente.

Revisin Documental: Luego de diligenciar la lista de verificacin el auditado deber presentar la respectiva documentacin que sustente lo que en los campos anteriores diligencio, para ser evaluados por la firma auditora. Observacin: Con la informacin recolectada en la ejecucin de la auditoria se realizara el respectivo informe que permita vislumbrar en qu estado se encuentra la organizacin en materia de seguridad y poder dar a conocer algunas recomendaciones para su mejoramiento, dichas recomendaciones sern seguidas por la firma auditora para garantizar su cumplimiento en la organizacin con revisiones peridicas.

SISTEMAS ORIENTADOS A OBJETOS

El software orientado a objetos apoya ciertos aspectos que mejoran la robustez de los sistemas, este software requiere de ciertas caractersticas mnimas para considerarse orientado a objetos y finalmente debe integrarse como parte de un lenguaje de programacin. Qu es un objeto? Un modelo orientado a objetos de un sistema de informacin se basa en abstracciones llamadas clases que representan las cosas, personas y conceptos en el mundo real. Por ejemplo, en un ciclo de ingresos puede ser una

abstraccin / cliente clase llamada que define lo que un cliente tpico es. Un cliente en particular es una instancia u "objeto" de la clase del cliente. El enfoque orientado a objetos construye sistemas de informacin de una coleccin de colaboracin de estos componentes reutilizables estndar u objetos, como coches estn montados para minimizar la produccin y el mantenimiento de los costes y mantener la flexibilidad. Al igual que las bujas para automviles, estndar de clases funcionales y probada se puede encontrar en la biblioteca de mdulos y reutilizados en mltiples sistemas con necesidades similares. Atributos y Mtodos: Un rasgo de los sistemas orientados a objetos bsicos es que ambos campos de datos y la lgica de programacin afectan aquellos campos, tales como pruebas de integridad, los requisitos contables y las rutinas de actualizacin, son "encapsulada" en mdulos para representar objetos. Los objetos contienen: Los atributos (o campos de datos), como la direccin de un cliente o saldo pendiente, que contienen datos sobre el estado actual del objeto. Mtodos y operaciones, que son las acciones realizadas que pueden cambiar los atributos de un objeto. Los atributos de cliente incluyen identificacin de cliente, nombre y direccin. Las acciones de clientes se definen a travs de los mtodos. Los atributos no pueden acceder directamente. Ms bien, sus valores estn protegidos por los mtodos, lo que representa un "muro de cdigo," para que los valores se puedan cambiar slo a travs de los mtodos definidos, proporcionando un control firme y coherente sobre los datos. Herencia: Al igual que un nio puede heredar el color de los ojos de un padre, una clase puede heredar los datos y comportamiento definido en una o varias otras clases. Por lo tanto, el auditor debe ser capaz de interpretar la jerarqua de herencia en la documentacin diagrama de clase para entender qu operaciones y atributos, adems de las que se definen dentro de una clase, puede pertenecer a esa clase. Aspectos que Mejoran la Robustez de los Sistemas: Existen razones un poco ms tcnicas que motivan a la orientacin a objetos, como son la abstraccin, modularidad, extensibilidad y reutilizacin. Abstraccin. Una de las consideraciones ms importantes para tratar el problema de la complejidad del software es el concepto de abstraccin. La idea

bsica de la abstraccin es reducir el nivel de primitivas o representaciones bsicas necesarias para producir un sistema de software. De manera sencilla esto se logra mediante el uso de lenguajes de programacin que contengan estructuras de datos de alto nivel. En otras palabras, la pregunta opuesta sera: por qu no programar en cdigo binario, o sea 0s y 1s? La respuesta es que ninguna persona sera capaz de comprender una aplicacin al verse el cdigo y por otro lado requerira de programas extremadamente extensos para representar la aplicacin completa dada la simplicidad de la primitiva bsica. Los sistemas de software construidos con lenguajes de programacin de ms alto nivel reducen el nmero total de lneas de cdigo por lo tanto reducen su complejidad. Con la programacin orientada a objetos se definen dos niveles de abstraccin. El nivel ms alto, el de los objetos, es utilizado para describir la aplicacin mientras que el nivel ms bajo, el de los datos y las funciones, es utilizado para describir sus detalles. Modularidad. Otro aspecto importante de una aplicacin es su modularidad. La modularidad de un sistema depende de sus abstracciones bsicas, lo cual permite dividir el sistema en componentes separados. Al tener abstracciones de mayor nivel la modularidad de los componentes tambin es de mayor nivel reduciendo el nmero final de componentes lo cual a su vez simplifica su manipulacin y mantenimiento. Con la orientacin a objetos, la modularidad del sistema se da en base a objetos, un nivel ms alto que los datos y funciones tradicionales. El nmero final de mdulos, o sea objetos, es menor que el nmero original de datos y funciones. Esto reduce la complejidad de la aplicacin ya que el programador piensa en menos componentes a la vez descartando detalles innecesarios. Extensibilidad. En general, los sistemas de software tienden a ser modificados y ampliados durante el transcurso de su vida. Si un programa no se modifica es porque nadie lo quiere usar, por lo cual uno se pregunta: Qu tan larga es la vida de un sistema? En otras palabras, cundo se vuelve ms costoso mantener un sistema de software que desarrollar uno nuevo? La extensibilidad tiene como objetivo permitir cambios en el sistema de manera modular afectando lo mnimo posible el resto del sistema. Con la orientacin a objetos, los cambios se dan a dos niveles: modificacin externa e interna de los objetos. Los cambios internos a los objetos afectan principalmente al propio objeto, mientras que los cambios externos a los objetos afectarn de mayor forma al resto del sistema Reutilizacin. Una de las maneras de reducir la complejidad del software es mediante la reutilizacin o re uso de partes existentes. La pregunta que uno se hace es: cunto puedo reutilizar del cdigo y sistemas ya existentes? El re uso de cdigo reduce el tiempo del diseo, la codificacin, y el costo del sistema al amortizar el esfuerzo sobre varios diseos. El reducir el tamao del cdigo tambin simplifica su entendimiento, aumentando la probabilidad de que el cdigo sea correcto. Mediante el re uso de cdigo se puede aprovechar

componentes genricos para estructurar bibliotecas reutilizables, y as lograr una estandarizacin y simplificacin de aplicaciones por medio de componentes genricos prefabricados. Tradicionalmente, los componentes o libreras de software han existido por muchos aos como procedimientos y funciones, particularmente para aplicaciones numricas y estadsticas. Y aunque el re uso es posible en lenguajes convencionales, los lenguajes orientados a objetos aumentan substancialmente las posibilidades de tal re uso, gracias a la modularidad de los sistemas. Los riesgos con sistemas orientados a objetos: Una preocupacin es que sistemas Orientados a Objetos es un nuevo paradigma y, por tanto, los diseadores y los auditores pueden no estar familiarizados con ella. Es posible que hayan sido entrenados en la construccin procedimental de sistemas. Otro riesgo es la aplicacin incorrecta de las herramientas de diseo. Las tecnologas Orientadas a Objetos han madurado y el Lenguaje Unificado de Modelado (UML) es el estndar de diseo. Con esta maduracin, el diseo, la asistencia de software, tales como la ingeniera de software asistida por ordenador (CASE), se ha vuelto popular para acelerar el proceso de diseo. Sin embargo, la mala aplicacin o interpretacin errnea puede ocurrir. Por ejemplo, un atributo que debe ser privado puede ser definido como pblico, exponiendo as a la clase para el acceso indebido. O bien, la norma de diseo UML no pueden ser aplicadas de forma coherente a travs de diferentes partes del sistema, ya que diferentes programadores con experiencia Orientado a Objetos diferentes pueden estar involucrados. Muchas empresas a menudo deben trabajar con sistemas de legado. Estos sistemas se implantaron en un lenguaje de procedimientos con el uso limitado de la encapsulacin de datos y mtodos. Sin embargo, ellos tienen la confianza de los usuarios y son costosos de reemplazar. Un enfoque comn es proporcionar un interfaz orientado a objetos a un mdulo de herencia, es decir, para "envolver" el cdigo heredado en una capa de interfaz orientado a objetos. Un auditor tiene que ser consciente, sin embargo, que estas envolturas Orientadas a Objetos son slo una interfaz de programacin de aplicaciones (API) para el cdigo heredado subyacente. La mejor solucin es hacer una reingeniera del sistema anterior (siempre y cuando se disponga de recursos).

LISTA DE VERIFICACON OBJETIVO: Evaluar la solidez de los Sistemas Orientados a Objetos de uso en la empresa.

ITEM A EVALUAR

Cumple

No Cumple

Observaciones

Se cuenta con documentacin del desarrollo de software? El software orientado a objetos aporta aspectos que mejoran la robustez de sus sistemas? Utilizan el lenguaje unificado de modelado UML? Consideran importante tratar el problema de la complejidad del software con el concepto de abstraccin? El modelo UML coincide exactamente con el cdigo real? Sus sistemas orientados a objetos se encuentran divididos por componentes separados?

Se tienen diagramas de clase del desarrollo de aplicaciones orientadas a objetos?

Se permiten cambios en el sistema de manera modular afectando lo mnimo posible el resto del sistema? Se tiene casos de uso del anlisis y diseo de los SI orientados a objetos? Sus sistemas se organizan como una coleccin de objetos discretos que contienen tanto estructuras de datos como un comportamiento? Los casos de uso cuentan con su respectiva descripcin? Los sistemas reutilizan partes existentes de cdigo? El diseo y anlisis de los SI cuentan con diagramas de flujo? El diseo de los sistemas se fundamenta en framework? Que metodologa de desarrollo de software utilizan? Los sistemas orientados a objetos manejan jerarquas de generalizacin de clases?

NOTA: Todas las preguntas deben ser justificadas en el campo correspondiente.

Revisin Documental Luego de diligenciar la lista de verificacin el auditado deber presentar la respectiva documentacin que sustente lo que en los campos anteriores diligencio, para ser evaluados por la firma auditora. Observacin. Con la informacin recolectada en la ejecucin de la auditoria se realizara el respectivo informe que permita vislumbrar en qu estado se encuentra la organizacin en el rea de desarrollo de SI y poder dar a conocer algunas recomendaciones para su mejoramiento, dichas recomendaciones sern seguidas por la firma auditora para garantizar su cumplimiento en la organizacin con revisiones peridicas