Auditoria De Sistemas Operativos

ORIGEN DE LA AUDITORIA

Realizaremos una auditoria de origen Externa.

Empresa auditada:

Administradora de Riesgos Laborales

VISITA PRELIMINAR, OBJETIVOS GENERALES Y ESPECIFICOS.

Tomamos como objeto de estudio la Administradora de Riesgos Laborales (ARL) y en una visita preliminar realizada el 19 de marzo del año en curso pudimos obtener los

Área de a ser auditada: Departamento de Cómputos.

Recibimiento: Fuimos recibidos por el Gerente del Departamento de Cómputos, el Ing. Juan Carlos Arguelles, quien a su vez, nos introdujo a su equipo de trabajo.

Su equipo de trabajo está compuesto por las siguientes áreas:

• Sistemas e Información

• Soporte Técnico

• Operaciones

• Estadísticas

Entrevistados:

Tuvimos la facilidad de entrevistar al personal encargado de la instalación y mantenimiento de los sistemas operativos, este personal es del área de Soporte Técnico, compuesto por 4 personas.

También realizamos un muestreo del personal de planta que labora día a día, tomamos 20 personas de la sede principal, pues más adelante se tomara un muestreo de las sucursales.

Construimos un cuestionario, para entrevistar al personal en cuestión.

Observaciones: a simple vista, nos percatamos que el método de trabajo era muy transparente y a pesar de la poca documentación para los procedimientos, los trabajos estaban organizados de acuerdo a las secciones y que no habían documentos que impregnaran la viabilidad de un área hacia otra al momento de interactuar en conjunto.

El personal no presentó ninguna queja en particular a la hora de la visita, todo fue acogedor y con un aire de colaboración.

Herramientas y Materiales: Para esta visita preliminar utilizamos una Computadora Portátil para tomar anotes y completar algunos cuadros de uso propio; algunos cuestionarios impresos y 2 herramientas para verificar rendimiento de sistemas operativos colocados en una memoria portable.

Entrevistas

1) ¿Qué tiempo usted tiene usando el sistema operativo?

2) ¿Ha tenido algún inconveniente con el sistema operativo regularmente?

3) ¿Cómo cataloga la seguridad en el área de cómputos?

4) ¿Ha escuchado algún comentario sobre la vulnerabilidad del sistema?

5) ¿El sistema le ha dado algún error cuando usted está usando alguna aplicación?

6) ¿Usan alguna aplicación para trabajar en la empresa?

7) ¿Le ha dado algún error esta aplicación con el sistema operativo?

8) En dado caso que lo haga ¿con que frecuencia lo hace?

9) ¿El antivirus le ha detectado algún virus en su máquina en el tiempo que tiene laborando?

10) ¿Con que frecuencia el equipo de soporte técnico viene a darle mantenimiento al sistema operativo?

Observaciones y/o Recomendaciones

1) Cada usuario siempre usara la misma PC.

2) Prohibido llevar documentos personales y guárdalos en la PC.

3) La persona que pase al área de cómputos tiene que estar identificado y previamente anotado en un libro de visitas.

4) Cada vez que sea necesario se actualizara el antivirus.

5) Establecer los permisos y dispositivos que los usuarios puedan usar.

6) Realizar un análisis diario a una hora fija de antivirus.

7) Instalar un firewall aparte del que tiene el sistema operativo.

8) Eliminar archivos temporales del sistema operativo.

9) Actualización del sistema operativo.

CUADRO DE RIESGOS

ESCENARIO DE RIESGO

SEGURIDAD LOGICA

Teniendo en cuenta que el recurso más importante dentro de una organización es la información, se deben tener mecanismos de protección que vayan más allá de los límites físicos, se debe garantizar que el acceso y el tratamiento de los objetivos propio del sistema operativo y la información sea solo por aquellos que estén autorizados y bajo condiciones establecidas.

ACTIVIDADES SUJETAS A CONTROL SITUACIONES DE RIESGO

Autenticación Que el sistema no posea ningún mecanismo de autenticación.

Protección de objeto Asignación de permisos a usuarios que no tienen los perfiles adecuados.

Eliminación de objetos por usuarios que no tienen los permisos adecuados.

Creación de objetos por usuarios que no tienen los permisos de creación.

Dejar los permisos por defecto.

Cifrado de datos No se utilizan mecanismos de cifrado de datos.

Contraseñas Que no se cuente con una política de creación de contraseña.

Dejar contraseñas por defecto.

Tener contraseña genérica

Consola Ingreso de usuarios al modo consola

Creación de usuario El usuario creado en el sistema operativo no corresponde con un usuario real

Se crean usuarios que serán compartidos por diferentes personas.

Creación no autorizada de usuarios.

Eliminación de usuarios. No se bloquean los usuarios que dejan temporalmente sus funciones dentro de la dependencia.

Bloqueo no autorizado de usuarios.

Creación de grupos Los grupos creados no están acorde con la estructura y funciones de la dependencia

Se tienen usuarios en grupos que no corresponden desde el punto de vista funcional.

Creación no autorizada de grupos

Eliminación de grupos eliminación no autorizada de grupos registrados

Los Métodos Utilizados: Utilizamos los materiales ya antes mencionados y utilizamos la siguiente metodología:

- Observación

- Indagación

- Conciliación (cruce de información con persona o documentos)

- Inspección

- Investigación analítica: Evaluar tendencias

- Confirmación

- TAAC'S: Técnicas de Auditoria Asistidas por Computador.

Equipos instalados dentro del Departamento: Los equipos que evaluamos a primera vista son 6 computadores Dell Optiplex 320 y 5 Computadores Dell Inspiron 530.

Dell Optiplex 320.

Pentium (R) D CPU 2.80 GHz

512MB Memoria DDR2

Disco Duro 80GB

Monitor Dell CRT 17”

Mouse y Teclado

Intel Video Card 128 MB Shared Memory

Windows Xp Professional

Sistemas Internos y de Oficina.

Dell Optiplex 320.

CPU Intel Core 2 Duo 2.20 GHz

1GB Memoria DDR2

Disco Duro 250GB

Monitor Dell LCD 17”

Mouse y Teclado

Intel Video Card 256MB Shared Memory

Windows Xp Professional

Sistemas Internos y de Oficina.

Conexiones físicas de red: Las conexiones físicas están ordenadas de manera modular, cada estación de trabajo esta conectada a la red vía cables UTP y usan un servidor de Dominio en combinación con ISA Server 2004 para asignación de permisos, etc.

Revisión de Sistemas Operativos (auditoria general de sistemas)

No hay sistemas operativos variados, solo hay Windows Xp Profesional y Windows Server 2003. Están experimentando con Ubuntu Server y Ubuntu. Esto hace más cómoda nuestra labor a la hora de medir los sistemas operativos respecto a su utilidad y fiabilidad.

Problemas que presenta el Departamento de Cómputos con relación a los Sistemas Operativos: A partir de nuestra visita, tomamos algunas notas sobre posibles problemas que visualizamos a la hora de revisión de algunas computadoras u ordenadores:

• Sistemas Operativos sin actualizar.

• Falta de último Service Pack.

• Administración de memoria virtual inadecuada.

• Espacio en disco insuficiente en algunas maquinas.

• Los registros de eventos (Logs) se llenan con frecuencia.

Objetivo General

• Descubrir irregularidades en los procedimientos de instalación de sistemas operativos, verificar infraestructura tecnológica para la instalación de sistemas operativos y confirmar que los sistemas operativos instalados trabajen acorde a lo necesitado en la empresa para su desempeño eficaz y eficiente diariamente. En caso de no tener procedimientos, establecer procedimientos para los anteriores.

Objetivos Específicos

• Examinar sistemas operativos instalados en busca de fallos de instalación, implementación e integración.

• Verificar los procedimientos existentes para la instalación de los sistemas operativos.

• Comparar los sistemas operativos existentes con otras opciones en el mercado, a fin de aprobar el gasto realizado en contraste con las demás muestras analizadas.

• Verificar que los sistemas operativos estén bajo licencia y con actualización permanente de parches.

• Experimentar, discutir

...