Universidad Nacional de Ingeniera Instituto de Estudios Superiores

UNI-IES

Asignatura:
Ingeniera de Software III
Tema:
Auditora de Seguridad Informtica de la Librera Karen #2

Autor:
Francisco Moreno Darce

Grupo:
5N1-Co

Docente:
Ing. Jacqueline Montes

Managua, Nicaragua, 03 de diciembre de 2014

Contenido
1.

Introduccin: ........................................................................................................................... 3

2.

Antecedentes Generales y Situacin Actual................................................................... 4

3.

Objetivos: ................................................................................................................................. 5
3.1.

General:............................................................................................................................. 5

3.2.

Especficos: ..................................................................................................................... 5

4.

Alcance ..................................................................................................................................... 6

5.

Identificacin de Recursos .................................................................................................. 7

6.

Metodologa ............................................................................................................................. 8

7.

Procedimiento ......................................................................................................................... 9
7.1.

Seguridad Fsica ............................................................................................................... 9

7.2.

Protocolos/Servicios ....................................................................................................... 10

7.3.

Seguridad de Usuarios .................................................................................................. 10

7.4.

Contraseas .................................................................................................................... 11

7.5.

Administracin del Sistema ........................................................................................... 11

Puntos dbiles y amenazas. .............................................................................................. 12

8.

8.1.

Seguridad fsica .............................................................................................................. 12

8.2.

Protocolos/Servicios ....................................................................................................... 12

8.3.

Seguridad de Usuarios .................................................................................................. 12

8.4.

Contraseas .................................................................................................................... 12

8.5.

Administracin del Sistema ........................................................................................... 12

Recomendaciones y Planes de Accin .......................................................................... 13

9.

9.1.

Seguridad Fsica ............................................................................................................. 13

9.2.

Protocolos/Servicios ....................................................................................................... 13

9.3.

Contraseas .................................................................................................................... 13

10.

Conclusiones..................................................................................................................... 14

11.

Bibliografa ......................................................................................................................... 15

1. Introduccin
Desde el punto de vista econmico, la seguridad de los datos de los cuales lleva
control un establecimiento es de suma importancia para la toma de decisiones. La
seguridad informtica es un rea en el que debemos de invertir tiempo para evitar
posibles problemas y luego tener que reparar daos.
Dado esto, la ejecucin de una auditoria externa al sistema que los maneja
pretende generar tranquilidad y seguridad a los encargados, adems de
proporcionarles pautas en reas donde el sistema posea debilidades o fallas.
El presente trabajo pretende auditar el sistema de control de ventas e inventario
del establecimiento Librera Karen #2 desde la perspectiva de la seguridad,
tanto: fsica, de protocolos y servicios, del usuario, las contraseas y la
administracin del sistema en general.

2. Antecedentes Generales y Situacin Actual

La Librera Karen #2 es un establecimiento dedicado a la venta de tiles escolares
y artculos varios relacionados a la temtica, adems de prestar los servicios de
fotocopias e impresiones.
El establecimiento se encuentra ubicado en la ciudad de Jinotepe, en el
departamento de Carazo. Es propiedad de la seora Karla Vannessa Bermdez
Aguirre, y es administrada por el seor Edgard Jos Rodrguez Aguirre.
El control de ventas e inventario es llevado en un ordenador personal dedicado
nicamente a esta funcin, no presenta ningn tipo de interaccin con algn otro
ordenador en el establecimiento o en algn otro sitio, por lo cual este sistema ser
considerado como un sistema informtico aislado.
A este solo tienen acceso el administrador y un usuario adicional que hace uso del
sistema cuando el administrador no se encuentra presente.
La base de datos se encuentra en el mismo ordenador donde se ejecuta la
aplicacin, esta almacena los datos procedentes de la misma utilizando diferentes
tablas para el control ordenado de la informacin.
Como dato relevante, cabe destacar que esta es la primera vez en el transcurso
del funcionamiento de este establecimiento que se realizar una auditora
informtica en general, haciendo notar que no existen archivos que permitan crear
una base para determinar situaciones anteriores a la realizacin de la presente
auditora.

3. Objetivos:

3.1. General:
Determinar si el sistema de informacin del establecimiento mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de esta y utiliza
eficientemente los recursos a travs de una auditora de seguridad
informtica.

3.2. Especficos:
Presentar el estado actual del establecimiento, permitiendo dar a conocer
con claridad el alcance del presente trabajo.
Inspeccionar los elementos de hardware y software que constituyen el
sistema para ubicar y determinar debilidades (si existen).
Proponer medidas para mitigar las posibles reas que presenten
vulnerabilidades que perjudiquen directa o indirectamente los fines del
establecimiento.

4. Alcance
Con objeto de cumplir los objetivos de este trabajo, la auditora se limitar a
inspeccionar el apartado de seguridad de los siguientes sectores del sistema:
1.
2.
3.
4.
5.

Seguridad Fsica
Protocolos / Servicios
Seguridad del usuario
Contraseas
Administracin del sistema

Todos ellos sern evaluados en el nico equipo que posee el establecimiento.

Dicho esto, el apartado de seguridad de redes ser omitido dado que este equipo
no posee ningn tipo de conexin con otro, de forma directa o indirecta.

5. Identificacin de Recursos
Tomando como punto de referencia el alcance de esta auditora, los recursos
necesarios para su realizacin se resumen en:

Recursos Humanos
o Ingeniero en Computacin, Estudiante o Egresado de la Carrera de
Ingeniera en computacin.
Recursos Materiales
o Herramientas para para el des ensamblaje de computadoras
(desarmadores).
o Software para probar el uso de recursos de sistema (benchmarks o
pruebas de referencia).
o Entrevista.

6. Metodologa
En este trabajo se ha decidido utilizar la metodologa Check-List, esta consiste
en una serie de preguntas especficas para cada rea a evaluar, permitiendo
saber si se cumple o no con los estndares que la auditora pretende establecer.
Se ha escogido esta metodologa por su sencillez y precisin al momento de
detectar anomalas y debilidades. Adems, dada la envergadura del trabajo,
permite conseguir mejores resultados en un lapso de tiempo menor.

7. Procedimiento
La auditora fue realizada entre los das 17 y 18 de noviembre del 2014. El
presente informe inici su redaccin el da 20 de noviembre del 214.
Con el objeto de la realizacin de la auditora, se procedi a visitar el
establecimiento para la comprobacin del aspecto fsico del ordenador, as como
tambin para la las pruebas que se deben realizar para asegurar si se cumplen o
no los aspectos relacionados con el software que es utilizado.
Adems, ciertos aspectos (cubiertos en el cuestionario) fueron discutidos con el
administrador del local para esclarecer cualquier duda que no pueda ser resuelta
con la interrogante base.
Como fue planteado anteriormente se utilizar la tcnica de Checklist y a
continuacin se presenta el cuestionario utilizado durante el proceso de auditora
dividido en cada una de las reas a cubrir con su respectiva respuesta.
7.1. Seguridad Fsica

o Seguridad Fsica
Se encuentra el sistema en una superficie slida y estable lo
ms cerca del suelo posible?
Est el sistema a salvo de la luz solar excesiva, viento, polvo,
agua o temperaturas extremas de fro / calor?
Est el sistema situado en un sitio donde pueda tener un
seguimiento, aislado y con poco trfico humano?
Est la sala / edificio en el que se encuentra el sistema
asegurado con una cerradura o sistema de alarma para que slo
personal autorizado acceda?
Estn las puertas cerradas con llave y las alarmas activadas
fuera de horario de oficina?
Est el terminal del sistema bloqueado para evitar que alguien
por casualidad pase por el sistema y lo use (aunque slo sea
por unos segundos)?
Estn todos los usuarios desconectados del terminal?
Estn los interruptores del terminal bloqueados o protegidos?
Existen dispositivos de entrada al sistema no asegurados /
deshabilitados: unidades de disco bloqueadas / deshabilitadas?
Estn los puertos paralelo / serie / infrarrojo / USB / SCSI
asegurados o deshabilitados?
Existen discos duros conectados fsicamente al sistema sin
bloquear?

S
X

No

N/A

X
X
X

X
X

X
X
X
X
X

7.2. Protocolos/Servicios

o Protocolos/Servicios
Estn instalados en el sistema los ltimos parches de
seguridad, notas de versin y otra informacin relevante para su
configuracin particular?
Est plenamente seguro de las credenciales del desarrollador,
todos los parches de seguridad, vulnerabilidades existentes y
notas de la versin que existen?
Sigue las instrucciones del proveedor para la instalacin de
software?
Toma apuntes sobre cualquier problema que encuentre en el
proceso de configuracin?
Cuando instala un software que requiere credenciales de
administrador est consciente de implicaciones de hacerlo y
los posibles efectos secundarios de esto?
Los programas que tienen acceso a informacin sensible solo
son ejecutados por usuarios autorizados?
Los servicios que se ejecutan de forma constante hacen
correcto uso de los recursos?
Cuentan con las medidas de seguridad pertinentes para
manejar correctamente desbordamientos de bfer, ataques de
denegacin de servicio y de sobrecarga general del sistema?
Lleva control del uso promedio de recursos de los servicios y
programas que son utilizados con frecuencia en el sistema?

S
X

No

N/A

X
X
X

X
X
X

7.3. Seguridad de Usuarios

o Seguridad de Usuarios
Posee un mtodo estndar para la creacin y mantenimiento
de cuentas de usuario; polticas aceptables de uso, claras y
concisas?
Crea cuentas de usuario para personas u organizaciones con
quienes no ha interactuado de alguna forma, o que han sido
conocidos por tener problemas de seguridad en otros sistemas?
Limita a la cantidad de recursos que un usuario puede
consumir (el nmero de inicios de sesin, cantidad de espacio
en disco)?
Mantiene registros detallados de la actividad del usuario? (la
hora de conexin, la duracin)
Revisa peridicamente la actividad inusual del usuario?
(intentos fallidos por parte de los usuarios de obtener permisos
de administrador, acceder a archivos que no deben, o realizar

S
X

No

N/A

X
X

10

otras tareas no autorizadas)

7.4. Contraseas

o Contraseas
Requiere contraseas nicas y complejas de todas las cuentas
de usuario en el sistema?
Es alto el nivel de complejidad de las contraseas?
Las palabras comunes Son contraseas vlidas en el sistema?
Las contraseas son permanente?
Cuentan con una fecha lmite antes de su renovacin?
El archivo donde se almacenan las contraseas cuenta con
alguna forma de encriptacin?
Las contraseas son almacenadas en algn otro tipo de medio
de almacenamiento?
Son cambiadas frecuentemente las contraseas del sistema?

S
X

No

N/A

X
X
X
X
X
X
X

7.5. Administracin del Sistema

o Administracin del Sistema

Navega de forma regular a travs de su sistema? (buscando
en el contenido de los directorios del sistema, registros y otros
archivos)
Ejecuta de forma frecuente herramientas para comprobar la
robustez de su sistema para encontrar posibles fallos de
seguridad?
Es consciente de las personas o grupos que puedan tener
intenciones de romper en su sistema?
Mantiene a sus usuarios informados de sus tcnicas y lo que
espera de ellos para mantener la seguridad?

S
X

No

N/A

X
X

11

8. Puntos dbiles y amenazas.

8.1. Seguridad fsica

Se puede apreciar una clara debilidad a intromisiones de terceros en situaciones
donde el ordenador quede desatendido ya sea por el administrador o por los
usuarios, adems de las amenazas a las que se enfrentan por ataques externos a
travs de medios extrables, dado que los puertos externos no poseen ningn
mecanismo de seguridad.
8.2. Protocolos/Servicios
En este apartado, los problemas en el proceso de configuracin son obviados por
completo, y no son tratados de una forma debida (solicitando asistencia experta);
adems de que se le resta importancia a las posibles consecuencias que puedan
ocurrir al instalar un software externo al sistema que requiera privilegios de
administrador.
Adicionalmente, la carencia de un control del uso de recursos del sistema, muestra
una apertura peligrosa para ataques externos a travs de procesos que se
ejecuten de fondo y consuman recursos que podran ser necesarios para el
software del establecimiento.
8.3. Seguridad de Usuarios
El apartado de la seguridad de usuarios no requiere de mucha atencin, ya que
este est bien controlado, adems de que por la cantidad de usuarios que tienen
acceso al sistema, es donde se presentan menos factores peligrosos.
8.4. Contraseas
En cuanto las contraseas, el que la complejidad de estas no sea alto, genera la
probabilidad de un ataque a travs de intentos de acceso por fuerza bruta si se da
la oportunidad de que algn agente externo tenga acceso al sistema.
Este problema se ve ms acentuado cuando se toma en consideracin la
inexistencia de un servicio dedicado para la revisin de la caducidad de las
contraseas y el hecho de que estas no son cambiadas con frecuencia.
8.5. Administracin del Sistema
Es importante sealar nivel de seguridad en este aspecto del sistema, ya que es el
que posee la mayor robustez y debera de tomarse como ejemplo para el resto de
componentes, tanto de hardware como software. No se encontr ninguno.
12

9. Recomendaciones y Planes de Accin

Dadas las amenazas encontradas en el punto anterior, las recomendaciones para

su solucin y mitigacin sern presentadas a continuacin.
9.1. Seguridad Fsica
Crear polticas o rutinas que obliguen al sistema a entrar en un modo de acceso
limitado, solo siendo utilizable cuando se tengan las credenciales aptas para su
utilizacin.
En el caso de no ser necesarios los puertos externos del ordenador, es
recomendable deshabilitar su funcionamiento, creando de esta forma una infalible
para ataques desde dispositivos ajenos al ordenador.
9.2. Protocolos/Servicios
Formular medidas que permitan llevar un control o registro de todos los sucesos
que ocurren en el ordenador, tanto como errores de configuracin y ejecucin de
protocolos y servicios necesarios, como de los recursos que son utilizados por
estos (espacio en disco, memoria).
Se recomienda que estos registros queden permanentemente guardados en
sistema para referencias futuras, tanto para futuras auditoras como para
actualizaciones que se deban realizar en el sistema y as contar con un algo que
permita comparar la situacin anterior con las posibles mejoras o problemas que
se puedan genera a raz de estas actualizaciones.
Concientizar a los usuarios que tienen privilegios elevados (acceso de
administrador) las posibles consecuencias de la ejecucin de programas que
pidan este tipo de credenciales para su instalacin o configuracin.
Llevar un control de todos los accesos, ya sean por protocolos, servicios o
usuarios, que requieran credenciales de administrador.
9.3. Contraseas
Se sugiere un cambio en las polticas relacionadas a la complejidad de las
contraseas, minimizando de esa forma la probabilidad de un acceso no
autorizado por medio de ataque de fuerza bruta.
En cuanto a las polticas de caducidad de las contraseas, que por consiguiente
implica modificaciones en el aspecto de la renovacin de estas, se recomienda
que estas tengan una validez mxima de 3 meses, evitando que cualquier ataque
a la seguridad que haya ocurrido con anterioridad no se repita y no cause mayores
daos.

13

10. Conclusiones

Gracias a este trabajo se ha podido aplicar los conocimientos adquiridos a lo largo

de la asignatura, relacionados especficamente a la auditoria de un sistema
informtico.
A pesar de que este trabajo est centrado nicamente en aspecto de la seguridad
del sistema, es imprescindible sealar la importancia del resto de reas que la
auditora de sistemas de informacin, ya que esta no solo permite encontrar
anomalas y debilidades en un determinado sistema, sino que tambin permite
proponer medidas que ayuden a mejorar el funcionamiento de un establecimiento
o de una organizacin, aumentando as su eficacia y eficiencia.
La auditora fue realizada con xito, en tiempo y forma, intentando minimizar los
inconvenientes que pudieran ser causados al establecimiento Dicho esto, se
lograron completar con xito los objetivos anteriormente propuestos.
Las anormalidades y vulnerabilidades encontradas fueron tratadas con el
administrador del establecimiento, proponiendo, en este trabajo, soluciones
razonables que podran ser aplicadas para lograr un mejor funcionamiento de
este.

14

11. Bibliografa

Impulso Tecnolgico - http://www.impulsotecnologico.com/

Artculo: Informe de Auditoria Informtica - Auditores Informticos

Natalia Rosales Hidrobo Alcance de la Auditora Informtica

15