Auditoria de Sistemas Operativos

UNIVERSIDAD AUTÓNOMA DEL ESTADO DE MÉXICO

Centro Universitario UAEM Valle De México

Licenciatura en Informática Administrativa

Asignatura: Auditoria Informática

Profesora: María de los Ángeles Ángeles Carrillo

Integrantes:

Aguilar de Jesús Carlos ErastoCastro Lizardi Jhoana

Fonseca Reyna Guadalupe ArisdelslyGarcía Velázquez Carlos AlbertoSánchez Velázquez Berenice Iraís

Grupo: C97

Auditoría de Sistemas Operativos

AUDITORIA DE SISTEMAS OPERATIVOS

Auditoria de Sistemas Operativos

Los sistemas operativos generan el ambiente de trabajo y la administración de los recursos en cualquier sistema de cómputo y se hace relevante como objeto de estudio y punto de partida.

Existen distintos software de sistemas Operativos, que hacen necesario evaluarlos y clasificarlos. El factor común en los sistemas operativos son: el uso de puertos de acceso y en caso de Windows Server son servicios que habilitan los puertos, es importante identificar su utilización ya que estos pueden constituir una vulnerabilidad.

La Auditoría de Software es un término general que se refiere a la investigación y al proceso de entrevistas que determina cómo se adquiere, distribuye y usa el software en la organización.

Conducir la auditoría es una de las partes más críticas de un Programa de Administración de Software, porque la auditoría ayuda a la organización a tomar decisiones que optimicen sus activos de software.

Para llevar a cabo la auditoria de Sistemas Operativos, es de suma importancia que el auditor esté familiarizado con los conceptos y características de cada uno de los sistemas operativos.

También es necesario que se conozcan las actividades de la organización, con el fin de conocer la orientación y el uso de este dentro del área a auditar.


Objetivos de La Auditoria de Sistemas Operativos

Una de las razones por las que las organizaciones no maximizan su inversión en activos de software es que no hay información exacta disponible. La recopilación de toda la información necesaria es un proceso intenso, especialmente cuando se hace por primera vez. Otro problema es que la perspectiva de una auditoría puede ser vista con algunas reservas por algunos directivos de la organización, preocupados porque pueda interrumpir el flujo de trabajo, y por algunos usuarios finales que pueden ser forzados a abandonar sus programas o procedimientos favoritos.

Una de las formas de evitar las objeciones y dejar de lado estos problemas es planificar cuidadosamente la Auditoría de Software y comunicar su valor por adelantado.

Algunos de los objetivos que se persiguen con la auditoria del sistema operativo son:

• El uso eficiente de los equipos de cómputo• Detección de fallas y mejoras en la seguridad de la información (nivel usuarios y

archivos).


Puntos a Auditar

Los puntos más frecuentes a auditar en un Sistema Operativo son los siguientes:

• Licencias• Arquitectura• Características generales• Sistema de Archivos• Compatibilidad de controladores• Interfaz• Usuarios y permisos• Servicios del Sistema Operativo• Herramientas de mantenimiento• Nivel de Actualización

Estos son los puntos más frecuentes o más importantes debido a que determinan el grado de seguridad del sistema operativo y recordemos que un Sistema Operativo seguro brindará mayor seguridad a nuestra información independientemente de las medidas de seguridad que se pongan en marcha para la protección de la información.


Licencias

Determina el marco legal del sistema operativo y tiene que ver con el punto del nivel de actualización.

Una licencia de software es un contrato entre el licenciante y el licenciatario del programa informático, para utilizar el software cumpliendo una serie de términos y condiciones establecidas dentro de sus cláusulas.

Las licencias de software pueden establecer entre otras cosas: la cesión de determinados derechos del propietario al usuario final sobre una o varias copias del programa informático, los límites en la responsabilidad por fallos, el plazo de cesión de los derechos, el ámbito geográfico de validez del contrato e incluso pueden establecer determinados compromisos del usuario final hacia el propietario.

Licencias de Código Abierto: Las licencias de software de código abierto contienen una cláusula que obliga a que las modificaciones que se realicen al software original se deban licenciar bajo los mismos términos y condiciones de la licencia original, pero que las obras derivadas que se puedan realizar de él puedan ser licenciadas bajo otros términos y condiciones distintas.

Licencias de Código Cerrado: Estas licencias también se conocen con el nombre de software propietario o privativo. En ellas los propietarios establecen los derechos de uso, distribución, redistribución, copia, modificación, cesión y en general cualquier otra consideración que se estime necesaria.

Independientemente del Tipo de Licencia bajo la que esté el Software esta deberá especificarse dentro de la auditoria, ya que como se mencionó anteriormente, esta parte va muy de la mano con las actualizaciones, recordemos que en algún momento al actualizar el sistema operativo el propio proveedor puede instalar alguna especie de candado con el fin de frenar las copias ilegales de software, limitando incluso las actualizaciones.


Arquitectura

Se evalúa si el sistema operativo es compatible con el juego de instrucciones del microprocesador del equipo de cómputo.

La arquitectura es el diseño conceptual y la estructura operacional fundamental de un sistema de computadora. Es decir, es un modelo y una descripción funcional de los requerimientos y las implementaciones de diseño para varias partes de una computadora, con especial interés en la forma en que la unidad central de proceso (CPU) trabaja internamente y accede a las direcciones de memoria.

Los procesadores están compuestos por una lista de segmentos lineales y secuenciales en donde cada segmento lleva a cabo una tarea o un grupo de tareas computacionales. Los datos que provienen del exterior se introducen en el sistema para ser procesados. La computadora realiza operaciones con los datos que tiene almacenados en memoria, produce nuevos datos o información para uso externo.


Características generales

En este punto se describe si el Sistema Operativo es multitareas, multiusuario, distribuido, etc.

Un sistema operativo puede clasificarse de la siguiente manera:

Por Tareas que realiza

• Monotarea: Solamente puede ejecutar una sola aplicación en un momento dado. Una vez que empieza a ejecutarse alguna aplicación, continuará haciéndolo hasta su finalización o interrupción.

• Multitarea: Es capaz de ejecutar varios aplicaciones al mismo tiempo. Este tipo de S.O. normalmente asigna los recursos disponibles (CPU, memoria, periféricos) de forma alternada a los procesos que los solicitan.

Por el número de usuarios

• Monousuario: Sólo permite ejecutar los programas de un usuario al mismo tiempo.• Multiusuario: Si permite que varios usuarios ejecuten simultáneamente sus programas,

accediendo a la vez a los recursos de la computadora.

Por el manejo de recursos

• Centralizado: Permite utilizar los recursos de una sola computadora.• Distribuido: Permite utilizar los recursos (memoria, CPU, disco, periféricos... ) de más de

una computadora al mismo tiempo.


Compatibilidad de controladores

Evaluar si los dispositivos con los que cuenta el equipo de cómputo funcionan de manera adecuada en el sistema operativo, o si es posible hacerlos funcionar sin demasiada complejidad.

Controlador de Dispositivo: Son programas añadidos al núcleo del sistema operativo, concebidos inicialmente para gestionar periféricos y dispositivos especiales. Los controladores de dispositivo pueden ser de dos tipos:

• Orientados a caracteres (tales como los dispositivos NUL, AUX, PRN, etc. del sistema)

• Orientados a bloques, constituyendo las conocidas unidades de disco.

La diferencia fundamental entre ambos tipos de controladores es que los primeros reciben o envían la información carácter a carácter, en cambio, los controladores de dispositivo de bloques procesan, como su propio nombre indica, bloques de cierta longitud en bytes (sectores).


Interfaz

Simplemente se evalúa el grado de facilidad que tiene el usuario para utilizar cada una de las funciones del sistema operativo.

Iinterfaz de usuario: es el medio por el cual el usuario puede comunicarse con una computadora, y comprende todos los puntos de contacto entre el usuario y el equipo, normalmente suelen ser fáciles de entender y fáciles de accionar.

Las interfaces básicas son aquellas que incluyen cosas como menús, ventanas, teclado, ratón, y algunos sonidos que la computadora hace, en general, todos aquellos canales por los cuales se permite la comunicación entre el ser humano y la computadora.

Interfaz Gráfica de Usuario (GUI): Es un tipo de interface que permite al usuario elegir comandos, iniciar programas y ver listas de archivos y otras opciones utilizando las representaciones visuales (iconos) y las listas de elementos del menú. Las selecciones pueden activarse bien a través del teclado o con el ratón.

Interfaz de Línea de Comandos: Es una interfaz en la cual el usuario escribe las instrucciones utilizando un lenguaje de comandos especial, se consideran más difíciles de aprender y utilizar que los de las interfaces gráficas. La interfaz con comandos son por lo general programables, lo que les otorga una flexibilidad que no tienen los sistemas basados en gráficos.


Usuarios y permisos

Este punto evalúa el nivel de seguridad de la información, pues se determina los permisos que tienen los usuarios para escribir, leer editar o ejecutar archivos y aplicaciones.

Indispensable para mantener la integridad y la confiabilidad de nuestro sistema en general.

Debe iniciar sesión en una cuenta para obtener acceso a los recursos y objetos del sistema operativo. En la mayor parte de los sistemas no se puede cambiar la cuenta de inicio de sesión predeterminada; si ésta se cambiara, es probable que el sistema no funcionara correctamente. Si selecciona una cuenta que no dispone de permiso para iniciar sesión otorgará automáticamente a esa cuenta los derechos de

usuario de inicio de sesión necesarios como un servicio en el equipo que está administrando.

La seguridad se basa en usuarios. Si un ordenador va a ser utilizado por varias personas, cada una debe tener un usuario y debe identificarse con su nombre y contraseña para que el sistema sepa quién está sentado delante.

Los administradores tienen control total sobre el equipo, mientras que los otros están más limitados. Los derechos sobre el sistema que puede tener cada grupo o usuario.

Un análisis detallado de los cambios que se producen sobre los permisos de acceso a archivos y carpetas. Ofrecer una información más completa, incluyendo qué usuarios han realizado los cambios, dónde y cuándo se han hecho tales cambios y los valores previos y posteriores. Esta información permite monitorizar de forma efectiva los cambios sobre los permisos y revertirlos en caso necesario.


Servicios del sistema operativo

Este punto evalúan las funciones avanzadas del sistema operativo, como el firewall incorporado, escritorio remoto o asistencia remota, administración de colas de impresión, funciones de red, etc.

El sistema operativo contiene programas de servicios que sirven de apoyo al procesamiento de los trabajos y seguridad de nuestra computadora, como son:

Firewall crea una barrera entre los datos privados de nuestra computadora y las amenazas externas que nos pueden atacar cuando estamos conectados a una red.

Escritorio remoto tecnología que permite a un usuario trabajar en una computadora a través de su escritorio gráfico desde otro terminal ubicado en otro lugar.

Asistencia remota proporciona una forma de obtener la ayuda que necesita cuando surgen problemas con su equipo.

Administración de colas de impresión El administrador decide cómo repartir los privilegios entre los usuarios, guardando los datos hasta que la impresora está preparada para imprimirlos.

Funciones de red muestra la velocidad en la transferencia de archivos, bien sea cuando descargamos algo de la red, como archivos o páginas web, o bien cuando somos nosotros los que hacemos de servidor y están descargando algo de nuestro ordenador.


Herramientas de mantenimiento

Se evalúa si el Sistema operativo cuenta con herramientas que permitan mejorar el desempeño del mismo, tales como Desfragmentadores, corrección de errores en discos, copias de seguridad etc. Y si estas se encuentran instaladas

Con el tiempo, todos los equipos necesitarán algún tipo de mantenimiento. Los errores, los archivos fragmentados, y otros elementos adversos pueden desarrollar en el disco y afectar el rendimiento del equipo. Para ello, el usuario puede elegir entre una variedad de herramientas de mantenimiento diferentes. Algunas de las herramientas de mantenimiento que están disponibles para esta tarea son el software anti-malware, desfragmentadores de disco, damas de error, y otro software diseñado para simplificar las diferentes partes del sistema informático.

Cuando se guarda un archivo, no se puede guardar en un lugar. Más bien, el equipo puede salvar a los fragmentos de archivo en diferentes lugares. Un desfragmentador de disco reorganizar los archivos para que un determinado archivo se guarda en un área contigua. Algunas computadoras pueden venir con un desfragmentador de disco incluido con el sistema operativo, tanto que otros no.

Software utilizado para la limpieza del disco duro es otra de las herramientas de mantenimiento que pueden ser útiles para los usuarios. La herramienta Liberador de espacio en disco se utiliza en los sistemas operativos Windows ® para desinstalar y eliminar programas no deseados, a fin de liberar espacio en disco y permitir que el equipo funcione más rápido. Con el fin de despejar el escritorio de iconos no utilizados y no deseados, la herramienta de

limpieza de escritorio se puede utilizar. Otros sistemas operativos no pueden tener estas herramientas. Los propietarios de dichos sistemas operativos pueden necesitar limpieza de sus sistemas manualmente.

Otra de las herramientas de mantenimiento que se pueden utilizar para mantener los equipos en la mejor forma es la herramienta de limpieza del Registro. El propósito de esta herramienta es para agilizar el registro y librarla de elementos no deseados. Limpieza del Registro puede ayudar a acelerar el equipo y conseguir que funcione correctamente. En general, esta herramienta sólo está disponible para los sistemas operativos Windows. Muchos otros sistemas operativos no usan los registros, por lo que para ellos esta herramienta es irrelevante.


Otras consideraciones

Algunos otros puntos que se pueden considerar dentro de la auditoria pueden ser:

• El perfil del usuario.

• Grado de conocimientos del usuario.

• Procesos de mantenimiento

El perfil del usuario, Grado de conocimientos del usuario, Procesos de mantenimiento facilitan el mantenimiento y control de los usuarios, definiendo características por área de trabajo y responsabilidad, para permitir asignar a cada uno la actividad correspondiente a sus habilidades.


Metodología propuesta

A. Investigación Preliminar

Objetivos

- Determinar los recursos de cómputo de la empresa y la estructura organizacional de esta.- Evaluar la importancia del sistema de información para los procesos de negocio objeto de la auditoria y el soporte que los recursos de cómputo dan a estos.- Conocer de manera global el sistema operativo sobre el cual se llevara a cabo la auditoria, identificando los elementos que apoyan la seguridad y administración.

Consideraciones

a. Conocimiento global de la empresa en cuanto a:

Área de Tecnología de la Información (Área de sistemas)Estructura organizacional y personal Plataforma de hardware Sistemas operativosSistemas de redes y comunicaciones

b. Conocimiento global del sistema operativo, evaluando las herramientas que proporciona como apoyo a la seguridad y a la administración.

Herramientas o Mecanismos para la realización de la Investigación Preliminar

- Entrevistas previas con el cliente (persona que solicita la realización de la auditoria).- Inspección de las instalaciones donde se llevará a cabo la auditoria y observación de operaciones.- Investigación e indagación con el personal involucrado en el proyecto de auditoria y los funcionarios que administran y operan los sistemas a evaluar.- Revisión de documentación proporcionada por la empresa.- Revisión de informes de auditorias anteriores, si se han realizado.- Estudio y evaluación del sistema de control interno.

Documentos a solicitar para la Investigación Preliminar

- Listado de aplicaciones en producción y directorio de datos.- Listado de empleados activos y despedidos en el último trimestre.- Documento de autorización a cada usuario del sistema y aprobación de derechos y privilegios.- Listados de monitoreo del sistema.- Listado de utilidades importantes, con los usuarios y grupos que las acceden. - Políticas de seguridad corporativa.- Documento de configuración inicial del sistema operativo y las autorizaciones para su actualización o cambio.- Documento de definición de los roles en la administración del sistema y la seguridad.- Planes de capacitación y entrenamiento.


- Contratos con entes externos relacionados con Tecnologías de la Información.- Informes de auditoría previos.

B. Identificación y Agrupación de Riesgos

Objetivos

- Determinar los recursos de cómputo de la empresa y la estructura organizacional de esta.- Evaluar la importancia del sistema de información para los procesos de negocio objeto de la auditoria y el soporte que los recursos de cómputo dan a estos.- Conocer de manera global el sistema operativo sobre el cual se llevara a cabo la auditoria, identificando los elementos que apoyan la seguridad y administración.

Consideraciones

a. Conocimiento global de la empresa en cuanto a:

Área de Tecnología de la Información (Área de sistemas)Estructura organizacional y personal Plataforma de hardware Sistemas operativosSistemas de redes y comunicaciones

b. Conocimiento global del sistema operativo, evaluando las herramientas que proporciona como apoyo a la seguridad y a la administración.

Herramientas o Mecanismos para la realización de la Investigación Preliminar

- Entrevistas previas con el cliente (persona que solicita la realización de la auditoria).- Inspección de las instalaciones donde se llevará a cabo la auditoria y observación de operaciones.- Investigación e indagación con el personal involucrado en el proyecto de auditoria y los funcionarios que administran y operan los sistemas a evaluar.- Revisión de documentación proporcionada por la empresa.- Revisión de informes de auditorias anteriores, si se han realizado.- Estudio y evaluación del sistema de control interno.

Documentos a solicitar para la Investigación Preliminar

- Listado de aplicaciones en producción y directorio de datos.- Listado de empleados activos y despedidos en el último trimestre.- Documento de autorización a cada usuario del sistema y aprobación de derechos y privilegios.- Listados de monitoreo del sistema.- Listado de utilidades importantes, con los usuarios y grupos que las acceden. - Políticas de seguridad corporativa.


- Documento de configuración inicial del sistema operativo y las autorizaciones para su actualización o cambio.- Documento de definición de los roles en la administración del sistema y la seguridad.- Planes de capacitación y entrenamiento.- Contratos con entes externos relacionados con Tecnologías de la Información.- Informes de auditoría previos.

C. Evaluación de la Seguridad en la empresa objeto de la Auditoría

Objetivos

Determinar si los controles existentes protegen apropiadamente la empresa contra los riesgos identificados.

En este sentido cuatro métodos pueden combinarse:

• Análisis de riesgos

• Flujogramas de control

• Cuestionarios de control

• Matrices de control

D. Diseño de Pruebas de Auditoría

Objetivo

Definir Los procedimientos de Auditoria que permitan recolectar la evidencia que apoye los hallazgos y recomendaciones.

Consideraciones

Una vez realizados los pasos anteriores en este punto se tienen las bases para diseñar las pruebas de auditoria que se han de efectuar.Este es un trabajo de escritorio donde se determina en términos generales: el objetivo de la prueba, se describe brevemente (procedimientos a emplear), tipo de la prueba, técnicas a utilizar, recursos requeridos en cuanto a información, hardware, software y personal.

Tipos de pruebas


Pruebas de cumplimiento: Busca determinar si existe el control para el riesgo identificado .Pruebas sustantivas: Busca conocer la forma en que esta implementado el control, en caso de que este exista.

Técnicas comúnmente usadas para el Diseño y Ejecución de Pruebas de Auditoría

- Observación- Indagación- Conciliación (cruce de información con persona o documentos)- Inspección- Investigación analítica: Evaluar tendencias- Confirmación- TAAC'S: Técnicas de Auditoria Asistidas por Computador.

Auditoria de Sistemas Operativos

Documents

Transcript of Auditoria de Sistemas Operativos