Trabajo Practico N° 02: Herramientas de uso común en Auditoría Informática

Trabajo Practico N° 02:

Herramientas de uso común en Auditoría Informática

Pérez Sofía1, Cano Ayelén 1 and Lopez Jessica1

1Instituto Universitario Aeronáutico

1. Consigna

Dar 3 ejemplos de cada tipo de herramienta aplicados a una potencial Auditoría Informática al IUA (siendo el IUA el auditado).

1.  Entrevistas

• Se ha detectado una serie de modificaciones en las notas de ciertos alumnos del IUA, las cuales se encuentran registradas en el sistema de Autogestión del mismo y archivadas en formato papel. Al comprobar que estas notas modificadas no corresponden a las notas que figuran en el formato papel se entrevistara al auditado para conocer cuáles son las medidas de seguridad de la página, que docentes tienen acceso a la misma, donde se registran los logs, etc.
• Se ha descubierto que el auditado no registra en su base de datos los usuarios que ingresan a su sistema de Autogestión, por lo cual se realiza una entrevista para conocer si esta información está registrada de otra manera, o si no lo estuviera conocer el motivo.
• Se ha detectado un software malicioso llamado “gusano informático” infectado en los servidores del auditado, se descubre que la causa del mismo es debido a un correo electrónico abierto en una de las computadoras conectadas al servidor. Por lo tanto se realizara una entrevista a la persona de dicho correo electrónico para conocer detalles del mismo, si ya es familiar ese tipo de correo electrónico, etc.

1. Encuestas

• Se desea conocer la experiencia de los usuarios que poseen el mail institucional del auditado, si han tenido problemas de seguridad, robo de información, intentos de hackeo, etc. Para lo cual se realizara una encuesta a todos los alumnos del IUA donde estos puntos planteados anteriormente deberán ser respondidos por los mismos.
• Debido a los inconvenientes de las modificaciones en las notas de algunos alumnos, se desea consultar a los profesores del IUA si realizan respaldo de esta información en algún sitio personal, en donde, por que lo hacen, además conocer si es la primera vez que algo así ocurre en su asignatura, etc.
• Debido al frecuente software malicioso se desea conocer el nivel de conocimiento de los alumnos frente a los mismos, para prevenir o reconocer una infección de este tipo. Por lo tanto se realizara una encuesta a todos los alumnos del IUA con distintas preguntas relacionadas a este tipo de malware y otros posibles, y así estimar cual es el conocimiento de los alumnos frente a este problema y capacitarlos para contribuir a la seguridad de la facultad y de ellos mismos.

1.  Pruebas de conformidad

• Se desea conocer la seguridad de la página de Autogestión y el sitio web del auditado, para lo cual se realiza un “ataque” intencional y comprobar que ambos cumplen con las medidas de seguridad que se requieren
• Se desea conocer la seguridad del centro de cómputos del IUA para lo cual se examinan las instalaciones de la sala en la que se encuentra, se examinan las medidas de seguridad que están presentes o no, como y quien accede a dicha sala, etc.
• Se desea conocer la seguridad de la información almacenada de los alumnos en la base de datos del auditado, para lo cual se realiza un procedimiento de captura del tráfico de datos comprobándose que la información “robada” se encuentra cifrada.

1.  Observación del trabajo realizado por el usuario

• Para validar la efectividad y seguridad del sistema de Autogestión, se observa al personal del departamento de alumnos realizar el proceso de carga de actas de exámenes (notas) a dicho sistema.  
• Para comprobar la seguridad y privacidad del sistema de autogestión, se hace uso de la computadora que está a disposición de los alumnos para que éstos accedan al mismo cuando así lo requieran. De esta forma, se observa si los datos visibles para el alumno son los adecuados o no, al igual que los permisos de modificación.
• Se desea conocer la seguridad del centro de cómputos del IUA, para lo cual se visualiza a alumnos de la institución auditada mientras trabajan, para contrastar cuáles son los permisos de lectura/escritura que tienen.  

1.  Pruebas sustantivas o de evaluación

• Para asegurar la calidad de los datos, se realiza un control sobre la base de datos de alumnos inscriptos y activos en el corriente ciclo lectivo, con el objetivo de detectar: alumnos duplicados y alumnos inactivos, que no hayan cursado ninguna materia en los últimos dos años.
• Para confirmar la adecuada comunicación entre la Facultad de Ingeniera y el AIT, se efectúa una inspección para certificar que efectivamente el alumno pueda inscribirse en las materias/exámenes debiendo no más de dos meses de arancel.
• Se efectúa un control sobre la base de datos del personal del departamento de alumnos con el fin de identificar si existe ex personal con cuentas de acceso al sistema, activas, con el objetivo fundamental de erradicar posibles focos de inseguridad.

1.  Uso de herramientas informáticas para auditar

• Scanners de redes: Se ha detectado una sobrecarga en la red del IUA y se quiere saber su origen. Para ello, se utiliza este tipo de softwares que permiten escrutar los equipos encendidos y conectados a la red obtener sus direcciones IP, sus nombres de host, y otros detalles.
• Software de almacenamiento cifrado de datos: Teniendo en cuenta, que los emails internos del IUA, pueden contener información confidencial y la misma debe ser resguardada, es importante hacer uso de este tipo de software para mantener dichos archivos cifrados.
• Software para manejo masivo de datos: Para detectar vulnerabilidades en la base de datos del IUA, se utiliza este tipo de software que permite establecer una conexión con una base de datos y lanzar consultas SQL orientadas a dicho fin.

...