Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
UNI-IES
Asignatura:
Ingeniera de Software III
Tema:
Auditora de Seguridad Informtica de la Librera Karen #2
Autor:
Francisco Moreno Darce
Grupo:
5N1-Co
Docente:
Ing. Jacqueline Montes
Contenido
1.
Introduccin: ........................................................................................................................... 3
2.
3.
Objetivos: ................................................................................................................................. 5
3.1.
General:............................................................................................................................. 5
3.2.
Especficos: ..................................................................................................................... 5
4.
Alcance ..................................................................................................................................... 6
5.
6.
Metodologa ............................................................................................................................. 8
7.
Procedimiento ......................................................................................................................... 9
7.1.
7.2.
Protocolos/Servicios ....................................................................................................... 10
7.3.
7.4.
Contraseas .................................................................................................................... 11
7.5.
8.
8.1.
8.2.
Protocolos/Servicios ....................................................................................................... 12
8.3.
8.4.
Contraseas .................................................................................................................... 12
8.5.
9.
9.1.
9.2.
Protocolos/Servicios ....................................................................................................... 13
9.3.
Contraseas .................................................................................................................... 13
10.
Conclusiones..................................................................................................................... 14
11.
Bibliografa ......................................................................................................................... 15
1. Introduccin
Desde el punto de vista econmico, la seguridad de los datos de los cuales lleva
control un establecimiento es de suma importancia para la toma de decisiones. La
seguridad informtica es un rea en el que debemos de invertir tiempo para evitar
posibles problemas y luego tener que reparar daos.
Dado esto, la ejecucin de una auditoria externa al sistema que los maneja
pretende generar tranquilidad y seguridad a los encargados, adems de
proporcionarles pautas en reas donde el sistema posea debilidades o fallas.
El presente trabajo pretende auditar el sistema de control de ventas e inventario
del establecimiento Librera Karen #2 desde la perspectiva de la seguridad,
tanto: fsica, de protocolos y servicios, del usuario, las contraseas y la
administracin del sistema en general.
3. Objetivos:
3.1. General:
Determinar si el sistema de informacin del establecimiento mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de esta y utiliza
eficientemente los recursos a travs de una auditora de seguridad
informtica.
3.2. Especficos:
Presentar el estado actual del establecimiento, permitiendo dar a conocer
con claridad el alcance del presente trabajo.
Inspeccionar los elementos de hardware y software que constituyen el
sistema para ubicar y determinar debilidades (si existen).
Proponer medidas para mitigar las posibles reas que presenten
vulnerabilidades que perjudiquen directa o indirectamente los fines del
establecimiento.
4. Alcance
Con objeto de cumplir los objetivos de este trabajo, la auditora se limitar a
inspeccionar el apartado de seguridad de los siguientes sectores del sistema:
1.
2.
3.
4.
5.
Seguridad Fsica
Protocolos / Servicios
Seguridad del usuario
Contraseas
Administracin del sistema
5. Identificacin de Recursos
Tomando como punto de referencia el alcance de esta auditora, los recursos
necesarios para su realizacin se resumen en:
Recursos Humanos
o Ingeniero en Computacin, Estudiante o Egresado de la Carrera de
Ingeniera en computacin.
Recursos Materiales
o Herramientas para para el des ensamblaje de computadoras
(desarmadores).
o Software para probar el uso de recursos de sistema (benchmarks o
pruebas de referencia).
o Entrevista.
6. Metodologa
En este trabajo se ha decidido utilizar la metodologa Check-List, esta consiste
en una serie de preguntas especficas para cada rea a evaluar, permitiendo
saber si se cumple o no con los estndares que la auditora pretende establecer.
Se ha escogido esta metodologa por su sencillez y precisin al momento de
detectar anomalas y debilidades. Adems, dada la envergadura del trabajo,
permite conseguir mejores resultados en un lapso de tiempo menor.
7. Procedimiento
La auditora fue realizada entre los das 17 y 18 de noviembre del 2014. El
presente informe inici su redaccin el da 20 de noviembre del 214.
Con el objeto de la realizacin de la auditora, se procedi a visitar el
establecimiento para la comprobacin del aspecto fsico del ordenador, as como
tambin para la las pruebas que se deben realizar para asegurar si se cumplen o
no los aspectos relacionados con el software que es utilizado.
Adems, ciertos aspectos (cubiertos en el cuestionario) fueron discutidos con el
administrador del local para esclarecer cualquier duda que no pueda ser resuelta
con la interrogante base.
Como fue planteado anteriormente se utilizar la tcnica de Checklist y a
continuacin se presenta el cuestionario utilizado durante el proceso de auditora
dividido en cada una de las reas a cubrir con su respectiva respuesta.
7.1. Seguridad Fsica
o Seguridad Fsica
Se encuentra el sistema en una superficie slida y estable lo
ms cerca del suelo posible?
Est el sistema a salvo de la luz solar excesiva, viento, polvo,
agua o temperaturas extremas de fro / calor?
Est el sistema situado en un sitio donde pueda tener un
seguimiento, aislado y con poco trfico humano?
Est la sala / edificio en el que se encuentra el sistema
asegurado con una cerradura o sistema de alarma para que slo
personal autorizado acceda?
Estn las puertas cerradas con llave y las alarmas activadas
fuera de horario de oficina?
Est el terminal del sistema bloqueado para evitar que alguien
por casualidad pase por el sistema y lo use (aunque slo sea
por unos segundos)?
Estn todos los usuarios desconectados del terminal?
Estn los interruptores del terminal bloqueados o protegidos?
Existen dispositivos de entrada al sistema no asegurados /
deshabilitados: unidades de disco bloqueadas / deshabilitadas?
Estn los puertos paralelo / serie / infrarrojo / USB / SCSI
asegurados o deshabilitados?
Existen discos duros conectados fsicamente al sistema sin
bloquear?
S
X
No
N/A
X
X
X
X
X
X
X
X
X
X
7.2. Protocolos/Servicios
o Protocolos/Servicios
Estn instalados en el sistema los ltimos parches de
seguridad, notas de versin y otra informacin relevante para su
configuracin particular?
Est plenamente seguro de las credenciales del desarrollador,
todos los parches de seguridad, vulnerabilidades existentes y
notas de la versin que existen?
Sigue las instrucciones del proveedor para la instalacin de
software?
Toma apuntes sobre cualquier problema que encuentre en el
proceso de configuracin?
Cuando instala un software que requiere credenciales de
administrador est consciente de implicaciones de hacerlo y
los posibles efectos secundarios de esto?
Los programas que tienen acceso a informacin sensible solo
son ejecutados por usuarios autorizados?
Los servicios que se ejecutan de forma constante hacen
correcto uso de los recursos?
Cuentan con las medidas de seguridad pertinentes para
manejar correctamente desbordamientos de bfer, ataques de
denegacin de servicio y de sobrecarga general del sistema?
Lleva control del uso promedio de recursos de los servicios y
programas que son utilizados con frecuencia en el sistema?
S
X
No
N/A
X
X
X
X
X
X
o Seguridad de Usuarios
Posee un mtodo estndar para la creacin y mantenimiento
de cuentas de usuario; polticas aceptables de uso, claras y
concisas?
Crea cuentas de usuario para personas u organizaciones con
quienes no ha interactuado de alguna forma, o que han sido
conocidos por tener problemas de seguridad en otros sistemas?
Limita a la cantidad de recursos que un usuario puede
consumir (el nmero de inicios de sesin, cantidad de espacio
en disco)?
Mantiene registros detallados de la actividad del usuario? (la
hora de conexin, la duracin)
Revisa peridicamente la actividad inusual del usuario?
(intentos fallidos por parte de los usuarios de obtener permisos
de administrador, acceder a archivos que no deben, o realizar
S
X
No
N/A
X
X
10
o Contraseas
Requiere contraseas nicas y complejas de todas las cuentas
de usuario en el sistema?
Es alto el nivel de complejidad de las contraseas?
Las palabras comunes Son contraseas vlidas en el sistema?
Las contraseas son permanente?
Cuentan con una fecha lmite antes de su renovacin?
El archivo donde se almacenan las contraseas cuenta con
alguna forma de encriptacin?
Las contraseas son almacenadas en algn otro tipo de medio
de almacenamiento?
Son cambiadas frecuentemente las contraseas del sistema?
S
X
No
N/A
X
X
X
X
X
X
X
S
X
No
N/A
X
X
11
13
10. Conclusiones
14
11. Bibliografa
15