AUDITORIA ESPECÍFICA: SEGURIDAD FISICA Y LÓGICA SISTEMAS ORIENTADOS A OBJETOS

Universidad de Caldas Facultad de Ingeniería

Programa Ingeniería de Sistemas y ComputaciónBlanca Rubiela Duque Ochoa

Código 1700210274

24/11/2010

¿POR QUÉ ES TAN IMPORTANTE LA SEGURIDAD?

Por la existencia de personas ajenas a la información, también conocidas como piratas informáticos o hackers, que buscan tener acceso a la red empresarial para modificar, sustraer o borrar datos.

Tales personajes pueden, incluso, formar parte del personal administrativo o de sistemas, de cualquier compañía; de acuerdo con expertos en el área, más de 70 por ciento de las violaciones e intrusiones a los recursos informáticos se realiza por el personal interno, debido a que éste conoce los procesos, metodologías y tiene acceso a la información sensible de su empresa, es decir, a todos aquellos datos cuya pérdida puede afectar el buen funcionamiento de la organización.

Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayoría de las compañías a nivel mundial, y porque no existe conocimiento relacionado con la planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las actuales amenazas combinadas.

El resultado es la violación de los sistemas, provocando la pérdida o modificación de los datos sensibles de la organización, lo que puede representar un daño con valor de miles o millones de dólares.

SEGURIDAD INFORMATICA

En términos generales, la seguridad puede entenderse como aquellas reglas técnicas y/o actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial.

En este sentido, es la información el elemento principal a proteger, resguardar y recuperar dentro de las redes empresariales.La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional. Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado “virus” de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorización (”piratas”) y borra toda la información que se tiene en un disco.

Al auditar los sistemas se debe tener cuidado que no se tengan copias “piratas” o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus. La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica.

Seguridad física:

Es muy importante ser consciente que por más que la empresa sea la más segura desde el punto de vista de ataques externos (hackers, virus, ataques de DoS, etc.); la seguridad de la misma será nula si no se ha previsto como combatir un incendio o cualquier otro tipo de desastre natural y no tener presente políticas claras de recuperación.

La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos de seguridad física básicos se prevén, otros, como la detección de un atacante interno a la empresa que intenta acceder físicamente a una sala de cómputo de la misma, no. Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de backup de la sala de cómputo, que intentar acceder vía lógica a la misma.

Así, la Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial”. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del centro de cómputo, así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

Las principales amenazas que se prevén en Seguridad Física son:

1. Desastres naturales, incendios accidentales, tormentas e inundaciones

2. Amenazas ocasionadas por el hombre

3. Disturbios, sabotajes internos y externos deliberados.

Evaluar y controlar permanentemente la seguridad física de las instalaciones de cómputo y del edificio es la base para comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo.

Tener controlado el ambiente y acceso físico permite:

Disminuir siniestros

Trabajar mejor manteniendo la sensación de seguridad

Descartar falsas hipótesis si se produjeran incidentes

Tener los medios para luchar contra accidentes

Seguridad lógica: Luego de ver como el sistema puede verse afectado por la falta de seguridad física, es importante recalcar que la mayoría de los daños que puede sufrir un centro de cómputo no será sobre los medios físicos sino contra información por él almacenada y procesada. Así, la seguridad física sólo es una parte del amplio espectro que se debe cubrir para no vivir con una sensación ficticia de seguridad. Como ya se ha mencionado, el activo más importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de la seguridad física que la asegure. Estas técnicas las brinda la Seguridad Lógica.

La Seguridad Lógica consiste en la “aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo”.

Existe un viejo dicho en la seguridad informática que dicta que “todo lo que no está permitido debe estar prohibido” y esto es lo que debe asegurar la Seguridad Lógica.

Los objetivos que se plantean serán:

1. Restringir el acceso a los programas y archivos

2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.

3. Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto.

4. Que la información transmitida sea recibida por el destinatario al cual ha sido enviada y no a otro.

5. Que la información recibida sea la misma que ha sido transmitida.

6. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.

7. Que se disponga de pasos alternativos de emergencia para la transmisión de información. Programa de Auditoria:

Primero que todo el auditor debe conocer las razones por las cuales el cliente desea desarrollar dicha auditoria; puede haber diferentes causas, como son:

Reglas internas del cliente.

Incrementos no previstos de costos.

Obligaciones Legales

Situación de ineficiencia global notoria, entre otras.

Es por esto que debe ser fundamental que el auditor conozca dicha causa, permitiéndole definir un entorno inicial sobre el cual se elaborara su respectivo plan de trabajo.

Para realizar una correcta auditoria de seguridad, podemos dividir a la organización AudiLácteos en áreas dedicadas a una misma actividad, que nos permitan abarcar todas las áreas que confieren a una correcta auditoria de seguridad. A continuación veremos las áreas:

Área 1: Seguridad de cumplimiento de políticas normas y estándares.

Área 2: Seguridad de Sistema Operativo.

Área 3: Seguridad de Aplicaciones.

Área 4: Seguridad de Redes y Comunicaciones.

Área 5: Seguridad de Base de Datos.

Área 6: Seguridad de Procesos.

Área 7: Seguridad Física.

Luego de revisar las áreas a trabajar en nuestra auditoria procedemos a definir las fases en las cuales se desarrollara la auditoria.

Fase1: Planeación: Como ya mencionamos anteriormente es indispensable para el auditor conocer las razones por las cuales se llevara a cabo la auditoria, para así, poder diseñar un buen plan de acción. Dicha auditoria será realizada por los auditores de la firma CH Auditoria Consultores S.A.S y se enfocara en todas las áreas de la empresa, evaluar, y así, poder determinar su nivel de seguridad. Buscando alcanzar los siguientes objetivos:

Minimizar los riesgos de pérdida de información vital para la empresa, causados por una catástrofe, robo o mal uso de la misma.

Garantizar el correcto uso de las tecnologías y la información de la empresa por parte de los administradores y usuarios.

Realizar recomendaciones para una correcta gestión de la seguridad en la empresa tanto física como lógica.

Definir un adecuado plan de continuidad de negocio.

Promover aplicación de políticas y estándares de seguridad.

Descubrir nuevas amenazas al sistema

Dichos objetivos se alcanzaran mediante el siguiente proceso:

Realizar una visita a la empresa para revisar su infraestructura.

Dicha revisión se llevara a cabo mediante la observación directa del auditor.

Evaluar la infraestructura en pro de la seguridad empresarial.

Realizar las debidas recomendaciones para realizar el mejoramiento de la seguridad de la compañía.

Realización de listas de verificación para evaluar el desempeño de la empresa en seguridad de la información.

Realizar la respectiva revisión documental.

Comprobación mediante observación directa.

Fase 2: Ejecución: El proceso de auditoría planteado anteriormente para el correcto desempeño de la seguridad tanto física como lógica en la organización se llevara a cabo mediante el uso de diferentes técnicas y herramientas de auditoría como son:

Listas de chequeo.

Revisión documental.

Observación.

Fase 3: Comunicación de Resultados:

Luego del estudio exhaustivo de la información recolectada en la fase de ejecución se desarrollara el respectivo informe de auditoría, el cual, será comunicado a los directivos de la compañía para evaluar discrepancias, y poder cumplir con los objetivos propuestos.

Fase 4: Seguimiento: Durante la fase de seguimiento se busca que las recomendaciones planteadas a la compañía sean aplicadas de la forma correcta para así permitir llegar a un nivel de seguridad optimo, dicha revisión se realizara de forma periódica cada tres meses durante un año.

GUÍA DE AUDITORÍA

EMPRESA AUDITORA

EQUIPO AUDITOR

EMPRESA AUDITADA FECHA

CH Auditoría Consultores

S.A.S

Blanca Rubiela Duque

AudiLácteos S.A.S Noviembre de 2010

Referencia #01

Actividad a Evaluar

Procedimiento de Auditoría

Herramientas a Utilizar

SEGURIDAD FÍSICA Y LÓGICA

Verificar la suficiencia y

cumplimiento de todos los

parámetros de seguridad tanto

física como lógica en la

organización.

Realizar una visita a la empresa para revisar su infraestructura.

Dicha revisión se llevara a cabo mediante la observación directa del auditor.

Evaluar la infraestructura en pro de la seguridad empresarial.

Realizar las debidas recomendaciones para realizar el mejoramiento de la seguridad de la compañía.

* Lista de verificación.

* Revisión documental.

*Observación directa de los sitios de interés

Realización de listas de verificación para evaluar el desempeño de la empresa en seguridad de la información.

Realizar la respectiva revisión documental.

OBSERVACIONES: Durante las actividades de observación directa se verificara no solo el estado de los sitios de trabajo y los datacenter, si es que los posee, también se evaluará el riguroso control de acceso tanto físicamente a las instalaciones de la empresa, sino también, a el debido control de acceso que se realiza a los sistemas con un debido sistema de log.

LISTA DE VERIFICACIÓN

OBJETIVO: Solicitar y revisar los planes y lineamientos establecidos para garantizar la seguridad física y lógica en la empresa.

ITEM A EVALUAR Cumple

No Cumple

Observaciones

¿La información de la empresa se encuentra

siempre disponible para cumplir sus propósitos?

¿Existe algún análisis de riesgos en la organización?

¿La información susceptible de robo, pérdida o daño se

encuentra protegida y resguardada?

¿Existe Documentación en cuanto a: políticas aplicables, análisis de riesgos, descripción de

procesos, lista de

controles.

¿La empresa tiene conocimiento relacionado con la planeación de un esquema de seguridad

eficiente que proteja los recursos informáticos de las actuales amenazas

combinadas?

¿Se cuenta con un sistema de control de acceso y autorización?

¿Se mantiene un registro de las actividades que los

Administradores y usuarios realizan sobre un

sistema?

¿Se aplican barreras físicas y procedimientos

de control, como medidas de prevención y

contramedidas ante amenazas a los recursos

e información confidencial?

¿Se cuenta con planes de contingencia y de manejo

de incidentes?

¿En la empresa se han contemplado las

amenazas ocasionadas por el hombre?

¿La empresa tiene un plan para la realización de

backups?

¿Se evalúan y controlan permanentemente la seguridad física de las

instalaciones de cómputo y del edificio donde

funciona la empresa?

¿La empresa tiene implementados firewalls?

¿Existen procedimientos y

barreras que resguarden el acceso a los datos y

sólo se permita acceder a ellos a las personas

autorizadas para hacerlo?

¿Existe una política específica del sistema

para el manejo de seguridad?

¿Se asegura que se estén utilizando los datos,

archivos y programas correctos en y por el

procedimiento correcto?

¿Existen políticas para el manejo de redes,

sistemas operativos, aplicaciones, etc.?

¿Existen sistemas alternativos secundarios

de transmisión de información entre diferentes puntos?

¿Existen políticas para el manejo de Internet?

¿Los operadores pueden trabajar sin una

supervisión minuciosa y no pueden modificar los

programas ni los archivos que no correspondan?

¿Existen políticas para el manejo de otras redes

externas?

¿La información transmitida es recibida

por el destinatario al cual ha sido enviada y no a

otro?

¿Las funciones de seguridad están integradas en las

funciones del personal?

¿Se realiza un plan de seguridad física contra

catástrofes como: inundaciones, incendios,

cortes de energía?

NOTA: Todas las preguntas deben ser justificadas en el campo correspondiente.

Revisión Documental: Luego de diligenciar la lista de verificación el auditado deberá presentar la respectiva documentación que sustente lo que en los campos anteriores diligencio, para ser evaluados por la firma auditora.

Observación:

Con la información recolectada en la ejecución de la auditoria se realizara el respectivo informe que permita vislumbrar en qué estado se encuentra la organización en materia de seguridad y poder dar a conocer algunas recomendaciones para su mejoramiento, dichas recomendaciones serán seguidas por la firma auditora para garantizar su cumplimiento en la organización con revisiones periódicas.

SISTEMAS ORIENTADOS A OBJETOS

El software orientado a objetos apoya ciertos aspectos que mejoran la robustez de los sistemas, este software requiere de ciertas características mínimas para considerarse orientado a objetos y finalmente debe integrarse como parte de un lenguaje de programación.

¿Qué es un objeto?

Un modelo orientado a objetos de un sistema de información se basa en abstracciones llamadas clases que representan las cosas, personas y conceptos en el mundo real. Por ejemplo, en un ciclo de ingresos puede ser una abstracción / cliente clase llamada que define lo que un cliente típico es. Un cliente en particular es una instancia u "objeto" de la clase del cliente. El enfoque orientado a objetos construye sistemas de información de una colección de colaboración de estos componentes reutilizables estándar u objetos, como coches están montados para minimizar la producción y el mantenimiento de los costes y mantener la flexibilidad. Al igual que las bujías para automóviles, estándar de clases funcionales y probada se puede encontrar en la biblioteca de módulos y reutilizados en múltiples sistemas con necesidades similares.

Atributos y Métodos: Un rasgo de los sistemas orientados a objetos básicos es que ambos campos de datos y la lógica de programación afectan aquellos campos, tales como pruebas de integridad, los requisitos contables y las rutinas de actualización,

son "encapsulada" en módulos para representar objetos. Los objetos contienen:

Los atributos (o campos de datos), como la dirección de un cliente o saldo pendiente, que contienen datos sobre el estado actual del objeto. Métodos y operaciones, que son las acciones realizadas que pueden cambiar los atributos de un objeto. Los atributos de cliente incluyen identificación de cliente, nombre y dirección. Las acciones de clientes se definen a través de los métodos. Los atributos no pueden acceder directamente. Más bien, sus valores están protegidos por los métodos, lo que representa un "muro de código," para que los valores se puedan cambiar sólo a través de los métodos definidos, proporcionando un control firme y coherente sobre los datos.

Herencia: Al igual que un niño puede heredar el color de los ojos de un padre, una clase puede heredar los datos y comportamiento definido en una o varias otras clases. Por lo tanto, el auditor debe ser capaz de interpretar la jerarquía de herencia en la documentación diagrama de clase para entender qué operaciones y atributos, además de las que se definen dentro de una clase, puede pertenecer a esa clase.

Aspectos que Mejoran la Robustez de los Sistemas:

Existen razones un poco más técnicas que motivan a la orientación a objetos, como son la abstracción, modularidad, extensibilidad y reutilización.

Abstracción. Una de las consideraciones más importantes para tratar el problema de la complejidad del software es el concepto de abstracción. La idea básica de la abstracción es reducir el nivel de primitivas o representaciones básicas necesarias para producir un sistema de software. De manera sencilla esto se logra mediante el uso de lenguajes de programación que contengan estructuras de datos de alto nivel. En otras palabras, la pregunta opuesta sería: ¿por qué no programar en código binario, o sea 0s y 1s? La respuesta es que ninguna persona sería capaz de comprender una aplicación al verse el código y por otro lado requeriría de programas extremadamente extensos para representar la aplicación completa dada la simplicidad de la primitiva básica.

Los sistemas de software construidos con lenguajes de programación de más alto nivel reducen el número total de líneas de código por lo tanto reducen su complejidad. Con la programación orientada a objetos se definen dos niveles de abstracción. El nivel más alto, el de los objetos, es utilizado para describir la aplicación mientras que el nivel más bajo, el de los datos y las funciones, es utilizado para describir sus detalles.

Modularidad. Otro aspecto importante de una aplicación es su modularidad. La modularidad de un sistema depende de sus abstracciones básicas, lo cual permite dividir el sistema en componentes separados. Al tener abstracciones de mayor nivel la modularidad de los componentes también es de mayor nivel reduciendo el número final de componentes lo cual a su vez simplifica su manipulación y mantenimiento. Con la orientación a objetos, la modularidad del sistema se da en base a objetos, un nivel más alto que los datos y funciones tradicionales. El número final de módulos, o sea objetos, es menor que el número original de datos y funciones. Esto reduce la complejidad de la aplicación ya que el programador piensa en menos componentes a la vez descartando detalles innecesarios.

Extensibilidad. En general, los sistemas de software tienden a ser modificados y ampliados durante el transcurso de su vida. Si un programa no se modifica es porque nadie lo quiere usar, por lo cual uno se pregunta: ¿Qué tan larga es la vida de un sistema? En otras palabras, ¿cuándo se vuelve más costoso mantener un sistema de software que desarrollar uno nuevo? La extensibilidad tiene como objetivo permitir cambios en el sistema de manera modular afectando lo mínimo posible el resto del sistema. Con la orientación a objetos, los cambios se dan a dos niveles: modificación externa e interna de los objetos. Los cambios internos a los objetos afectan principalmente al propio objeto, mientras que los cambios externos a los objetos afectarán de mayor forma al resto del sistema

Reutilización. Una de las maneras de reducir la complejidad del software es mediante la reutilización o re uso de partes existentes. La pregunta que uno se hace es: ¿cuánto puedo reutilizar del código y sistemas ya existentes? El re uso de código reduce el tiempo del diseño, la codificación, y el costo del sistema al amortizar el esfuerzo sobre varios diseños. El reducir el tamaño del código también simplifica su entendimiento, aumentando la probabilidad de que el código sea correcto. Mediante el re uso de código se puede aprovechar componentes genéricos para estructurar bibliotecas reutilizables, y así lograr una estandarización y simplificación de aplicaciones por medio de componentes genéricos prefabricados. Tradicionalmente, los componentes o librerías de software han existido por muchos años como procedimientos y funciones, particularmente para aplicaciones numéricas y estadísticas. Y aunque el re uso es posible en lenguajes convencionales, los lenguajes orientados a objetos aumentan substancialmente las posibilidades de tal re uso, gracias a la modularidad de los sistemas.

Los riesgos con sistemas orientados a objetos: Una preocupación es que sistemas Orientados a Objetos es un nuevo paradigma y, por tanto, los diseñadores y los auditores pueden no estar familiarizados con ella. Es posible que hayan sido entrenados en la construcción procedimental de sistemas.

Otro riesgo es la aplicación incorrecta de las herramientas de diseño. Las tecnologías Orientadas a Objetos han madurado y el Lenguaje Unificado de

Modelado (UML) es el estándar de diseño. Con esta maduración, el diseño, la asistencia de software, tales como la ingeniería de software asistida por ordenador (CASE), se ha vuelto popular para acelerar el proceso de diseño. Sin embargo, la mala aplicación o interpretación errónea puede ocurrir. Por ejemplo, un atributo que debe ser privado puede ser definido como público, exponiendo así a la clase para el acceso indebido. O bien, la norma de diseño UML no pueden ser aplicadas de forma coherente a través de diferentes partes del sistema, ya que diferentes programadores con experiencia Orientado a Objetos diferentes pueden estar involucrados.

Muchas empresas a menudo deben trabajar con sistemas de legado. Estos sistemas se implantaron en un lenguaje de procedimientos con el uso limitado de la encapsulación de datos y métodos. Sin embargo, ellos tienen la confianza de los usuarios y son costosos de reemplazar.

Un enfoque común es proporcionar un interfaz orientado a objetos a un módulo de herencia, es decir, para "envolver" el código heredado en una capa de interfaz orientado a objetos. Un auditor tiene que ser consciente, sin embargo, que estas envolturas Orientadas a Objetos son sólo una interfaz de programación de aplicaciones (API) para el código heredado subyacente.

La mejor solución es hacer una reingeniería del sistema anterior (siempre y cuando se disponga de recursos).

LISTA DE VERIFICACÍON

OBJETIVO: Evaluar la solidez de los Sistemas Orientados a Objetos de uso en la empresa.

ITEM A EVALUAR Cumple

No Cumple

Observaciones

¿Se cuenta con documentación del

desarrollo de software?

¿El software orientado a objetos aporta aspectos que mejoran la robustez

de sus sistemas?

¿Utilizan el lenguaje unificado de modelado

UML?

¿Consideran importante tratar el problema de la

complejidad del software con el concepto de

abstracción?

¿El modelo UML coincide exactamente con el

código real?

¿Sus sistemas orientados a objetos se encuentran

divididos por componentes separados?

¿Se tienen diagramas de clase del desarrollo de

aplicaciones orientadas a objetos?

¿Se permiten cambios en el sistema de manera modular afectando lo

mínimo posible el resto del sistema?

¿Se tiene casos de uso del análisis y diseño de los SI

orientados a objetos?

¿Sus sistemas se organizan como una colección de objetos

discretos que contienen tanto estructuras de

datos como un comportamiento?

¿Los casos de uso cuentan con su respectiva

descripción?

¿Los sistemas reutilizan partes existentes de

código?

¿El diseño y análisis de los SI cuentan con

diagramas de flujo?

¿El diseño de los sistemas se fundamenta en

framework?

¿Que metodología de desarrollo de software

utilizan?

¿Los sistemas orientados a objetos manejan

jerarquías de generalización de clases?

NOTA: Todas las preguntas deben ser justificadas en el campo correspondiente.

Revisión Documental

Luego de diligenciar la lista de verificación el auditado deberá presentar la respectiva documentación que sustente lo que en los campos anteriores diligencio, para ser evaluados por la firma auditora.

Observación. Con la información recolectada en la ejecución de la auditoria se realizara el respectivo informe que permita vislumbrar en qué estado se encuentra la organización en el área de desarrollo de SI y poder dar a conocer algunas recomendaciones para su mejoramiento, dichas recomendaciones serán seguidas por la firma auditora para garantizar su cumplimiento en la organización con revisiones periódicas