Professional Documents
Culture Documents
AUDITORIAS ESPECFICAS
Universidad de Caldas
Facultad de Ingenieras
Ingeniera de Sistemas y Computacin
Manizales, 03 de Julio de 2014
Tabla de contenido
1. INTRODUCCIN
1.1. CARACTERSTICAS
1.2 APACHE: IMPACTO Y RIESGO DEL NEGOCIO
1.3. MDULOS
1.4 COBIT COMO MARCO DE REFERENCIA
2
3
3
4
2. OBJETIVOS Y ALCANCE
3. PROGRAMA DE AUDITORIA
4. GUIAS DE AUDITORIA
5. ANLISIS DE MADUREZ
11
6. CONCLUSIONES Y OBSERVACIONES
12
7. BIBLIOGRAFIA
13
13
1. INTRODUCCIN
Apache Web Server, comnmente conocido como Apache, es el servidor web ms
popular en uso hoy en da y es responsable de ms del 50 por ciento de las bases
instaladas de servidor web. Apache se utiliza principalmente para mostrar las
pginas web en la World Wide Web. Reside como una aplicacin en un equipo
host o servidor. Apache opera en la mayora de sistemas operativos (hosts),
incluyendo las distintas versiones propietarias de UNIX, Linux, Windows Server y
Macintosh de Apple, proporcionando la portabilidad y la coherencia entre
plataformas operativas. Proporciona la plataforma bsica del entorno operativo
para las aplicaciones web de soporte especficos, incluidos los sistemas de
gestin de bases de datos, gestin de contenido dinmico, programacin de
servidor, etc. Apache opera como un proceso, utilizando el sistema operativo host
con soporte bsico, seguridad incluida, control de acceso, etc.
Apache es desarrollado por la Apache Software Foundation (ASF). La licencia es
de cdigo abierto, lo que requiere que el usuario preserve la informacin de
copyright, pero permite que el cdigo fuente pueda ser modificado y / o distribuido
libremente. Algunos proveedores de hardware incluyen Apache con su sistema
operativo; otros proporcionan enlaces del sitio Web de Apache Software
Foundation. Los usuarios pueden descargar el cdigo fuente, determinar los
componentes que se incluirn en su versin interna y compilar una versin
ejecutable personalizada del Apache Web Services Server.
1.1. Caractersticas
Entre las caractersticas ms significativas se puede destacar:
Es modular
Multiplataforma
Permite crear servidores virtuales
Permite crear servidores seguros https
13
1.3. Mdulos
La arquitectura del servidor Apache es muy modular. El servidor consta de una
seccin core y diversos mdulos que aportan mucha de la funcionalidad que
podra considerarse bsica para un servidor web. Algunos de estos mdulos son:
mod_deflate -
Compresin
transparente
con
el
mod_aspdotnet -
Pginas
dinmicas
en .NET
de
Microsoft (Mdulo
retirado).
2. OBJETIVOS Y ALCANCE
Objetivo
Proporcionar a la direccin una evaluacin independiente en relacin con la
eficacia de la configuracin y la seguridad de los servidores Apache Web Services
en el entorno informtico de la empresa.
Alcance
La revisin se centrar en las configuraciones de los correspondientes servidores
Apache Web Services dentro de la empresa. La seleccin de las aplicaciones /
funciones y servidores especficos se basar en los riesgos introducidos a la
empresa por estos sistemas.
3. PROGRAMA DE AUDITORIA
Pasos
1. PLANIFICACIN Y ALCANCE DE LA AUDITORA
1.1 Definir los objetivos de auditora / aseguramiento.
1.2 Definir los lmites de la revisin.
1.3 Identificar y documentar los riesgos.
1.4 Definir los cambios en el proceso.
1.5 Definir el xito de la asignacin.
1.6 Definir los recursos de auditora / aseguramiento requeridos.
1.7 Definir los entregables.
1.8 Comunicaciones
2. PASOS PARA LA PREPARACIN
2.1 Obtener y revisar el organigrama actual de las funciones de gestin y de
seguridad del sistema operativo.
2.2 Determinar si una auditora del sistema operativo host ha sido realizada.
2.3 Seleccione los servidores que se incluirn en la revisin.
2.4 Obtener la documentacin de configuracin web para los servidores a ser
revisados.
3. SISTEMA HOST
3.1 Sistema host
13
4. GUIAS DE AUDITORIA
Documento:
Tipo de Documento:
Empresa Auditora:
Empresa Auditada:
Auditores:
AUDIE1101
Lista de Chequeo
Diligenciada por:
Fecha:
13
Proceso
Objetivo
Aspecto a
considerar
No Cumple
de
Observaciones
1. Se tiene un
repositorio
de
todas
las
configuraciones
que
permita
rastrear
los
cambios, o saber
la
manera
adecuada
de
proceder
ante
actualizaciones?
2.
Las
actualizaciones
del
sistema
operativo
se
aplican de forma
rutinaria?
3.
Existen
polticas
que
prescriban cmo
se evalan las
actualizaciones de
seguridad,
priorizadas,
probadas
y
aplicadas a los
servidores
de
produccin?
4. El Servidor
Web Apache tiene
un
archivo
separado
de
contraseas para
el
acceso
al
Servidor
Web
Apache?
13
5. Hay alguna
dependencia en la
empresa
designada
a
monitorear, y dar
soporte
a
la
configuracin del
servidor
Web
Apache
?
6. Se revisan
peridicamente
los
datos
de
configuracin para
verificar
y
confirmar
la
integridad de la
configuracin
actual e histrica?
Documento:
Tipo de Documento:
Empresa Auditora:
Empresa Auditada:
Auditores:
AUDIE1201
Lista de Chequeo
Proceso
Diligenciada por:
Objetivo
Aspecto a
considerar
Cumple
No Cumple
Fecha:
Observaciones
1. Los directorios
del servidor Web
estn protegidos
contra el acceso
no
autorizado
usando chroot.?
13
2.
Existen
directorios
que
estn restringidos
del ROOT.?
3.
La
configuracin de
la red limita a los
puertos 80 (HTTP)
y (443) de SSL?
4. Se utilizan
tcnicas
de
seguridad
y
procedimientos de
gestin
relacionados (por
ejemplo, firewalls,
dispositivos
de
seguridad,
segmentacin de
redes, deteccin
de intrusos) para
autorizar
el
acceso y el control
de los flujos de
informacin desde
y hacia las redes?
5. Se prueba y
supervisa
la
implementacin
de la seguridad de
TI
de
forma
proactiva?
6.
Existen
procedimientos
para la gestin de
incidencias?
7. Se definen
claramente
y
comunican
las
caractersticas de
posibles
incidentes
de
seguridad
para
que puedan ser
13
debidamente
clasificados
y
tratados por el
proceso
de
gestin
de
incidentes
y
problemas?
8.
Las
actividades de la
web se incluyen
en
el
procedimiento de
gestin
de
incidencias?
Documento:
Tipo de Documento:
Empresa Auditora:
Empresa Auditada:
Auditores:
AUDIE1301
Lista de Chequeo
Proceso
AI3
Adquirir
y
mantener
la
infraestructura tecnolgica
Analizar la eficiencia de los Sistemas
Informticos su comportamiento, la
verificacin del cumplimiento de la
normativa general de la empresa en
este mbito y la revisin de la eficaz
gestin de los recursos materiales y
humanos informticos.
Diligenciada por:
Objetivo
Aspecto a
considerar
Cumple
No Cumple
Fecha:
Observaciones
1. Se tienen
implementadas
medidas
de
control, seguridad
y
auditabilidad
internos durante la
configuracin,
integracin
y
mantenimiento de
13
hardware
y
software
de
infraestructura
para proteger los
recursos
y
garantizar
la
disponibilidad y la
integridad?
2.
Las
responsabilidades
para el uso de los
componentes de
infraestructura
sensitiva,
estn
claramente
definidas
y
entendidas
por
aquellos
que
desarrollan
e
integran
los
componentes de
infraestructura?
3. Se cuenta con
un
plan
de
mantenimiento de
la infraestructura?
4. Se desarrollan
estrategias, y se
asegura de que
los cambios son
controlados
de
acuerdo con el
procedimiento de
gestin
del
cambio
de
la
organizacin?
5. Se hacen
revisiones
peridicas
para
las necesidades
del
negocio,
gestin
de
parches,
actualizacin de
13
las
estrategias,
riesgos,
evaluacin
de
vulnerabilidades y
requerimientos de
seguridad?
5. ANLISIS DE MADUREZ
De acuerdo a los resultados encontrados en la auditoria del servidor Web Apache,
determinar el nivel de madurez para los 3 procesos contemplados por COBIT para
esta auditora.
Proceso
0
Nivel de Madurez
3
DS9
Administrar la
configuracin
DS5
Garantizar la
seguridad de
los sistemas
AI3 Adquirir y
mantener la
infraestructur
a tecnolgica
Niveles de madurez
0 No Existente
1 Inicial / Ad Hoc
2 Repetible pero Intuitivo
3 Definido
4 Administrado y Medible
5 Optimizado
6. CONCLUSIONES Y OBSERVACIONES
El Apache Web Server es una excelente opcin a la hora de escoger montar un
Servidor Web, su caracterstica open-source lo hace asequible a toda persona
13
13
7. BIBLIOGRAFIA
http://documentacion.nexun.org/mediawiki/index.php/13._Introducci
%C3%B3n_a_Apache._Versiones._Instalaci%C3%B3n_y_resoluci
%C3%B3n_de_problemas._Servicios_y_programas_instalados.
http://www.ite.educacion.es/formacion/materiales/85/cd/linux/m3/index.html
http://www.isaca.org/Journal/Past-Issues/2003/Volume-5/Pages/ApacheSecurity-Controls-and-Auditing.aspx
13