Josh
Páginas: 8 (1984 palabras)
Publicado: 27 de noviembre de 2010
LOGs DE AUDITORIA Y PISTAS DE AUDITORIA
Uno de los controles preventivos más importantes respecto a seguridad que pueden integrarse a un software aplicativo, es la creación de los “Logs de Auditoria”, tanto es así que la ISO 17799 nos da lineamientos generales, los cuales se analizarán en el presente artículo y se propondrán estructuras de tablas que nos podrían ayudar a generar logs medianteel aplicativo (programación) o mediante la base de datos (triggers). Al realizar el análisis indicaremos ¿qué información debemos almacenar en la base de datos para poder hacer revisiones posteriores y aportar tanto con evidencia de auditoría como evidencia para fines legales (forense)?.
Una vez implementados los Logs de Auditoría estaremos en condiciones de poder analizar los datos almacenados,por ejemplo aplicar “Técnicas de Detección de Fraudes” como la Ley de Benford, Análisis estadístico, Análisis de Patrones y Relaciones, Análisis Visual, Data Mining, Procedimientos analíticos, todas estas técnicas optimizadas mediante el uso de CAATTS “Computer Aided Audit Techniques and Tools”.
Lo primero tanto para otorgar acceso a los diferentes aplicativos como al comenzar a analizar losdatos con Técnicas de Detección de Fraudes, es determinar quienes serán/son/fueron los responsables de la creación, eliminación o modificación de los diferentes registros de la Base de Datos, para esto debemos considerar los lineamientos del domino 11 de la ISO 17799 referida al Control de Accesos.
Control de Accesos
“Objetivo: Asegurar el acceso autorizado de usuario y prevenir accesos noautorizados a los sistemas de de información”
En base a la guía de implementación del punto 11.2.1. Registro de usuarios, sugerimos crear la siguiente tabla:
Con esta tabla se podrán identificar a los diferentes usuarios del aplicativo de tal forma de hacerlos responsables por las acciones que ellos realicen en el aplicativo. Esto deberá ir acompañado de una columna adicional en las tablas donde seconsidere necesario identificar al responsable, por ejemplo si hablamos de una entidad financiera la tabla que contenga las transacciones de caja, deberá contener por cada registro una columna que indique que usuario realizó la transacción. Adicionalmente es de suma utilidad un campo autonumérico que lo denominamos “identificador” para poder detectar en las revisiones faltantes y repetidos en losregistros, este campo identificador lo incluimos en cada una de las siguientes tablas sugeridas.
En base a la guía de implementación de los diferentes puntos de Control de Accesos, sugerimos crear también las siguientes tablas:
En base a esta tabla, se puede realizar el control en la repetición de contraseñas en el último año por ejemplo, o al momento de que los usuarios cambien su contraseñaimpedirles que reciclen sus contraseñas como mínimo no pueden utilizar las últimas 3 contraseña.
En base a esta tabla se podrá parametrizar la seguridad de accesos, siendo más exigentes o menos exigentes al momento de crear las contraseñas, el tiempo para cambiar contraseñas, así mismo podrían definirse tiempos diferentes de expiración de clave diferenciando entre los usuarios administradores,supervisores y normales, puesto que la ISO 17799 recomienda que los usuarios con mayores privilegios cambien su contraseña con mayor frecuencia.
Una vez que se tienen como mínimo las anteriores tablas, esto se deberá reforzar con una GESTIÓN adecuada de la Seguridad de la Información, por ejemplo respecto de la administración del ciclo de vida de los usuarios, es decir desde que se crean losusuarios hasta se dan de baja (temporal o definitiva), considerando las prácticas recomendadas en el ISO 17799. Por ejemplo contar con una política de control de accesos, procedimiento de altas y bajas de usuarios, Controles en la asignación de privilegios. Para fines legales (forense) es muy importante que los usuarios se les haga entrega de una relación escrita de sus derechos de acceso; la...
Uno de los controles preventivos más importantes respecto a seguridad que pueden integrarse a un software aplicativo, es la creación de los “Logs de Auditoria”, tanto es así que la ISO 17799 nos da lineamientos generales, los cuales se analizarán en el presente artículo y se propondrán estructuras de tablas que nos podrían ayudar a generar logs medianteel aplicativo (programación) o mediante la base de datos (triggers). Al realizar el análisis indicaremos ¿qué información debemos almacenar en la base de datos para poder hacer revisiones posteriores y aportar tanto con evidencia de auditoría como evidencia para fines legales (forense)?.
Una vez implementados los Logs de Auditoría estaremos en condiciones de poder analizar los datos almacenados,por ejemplo aplicar “Técnicas de Detección de Fraudes” como la Ley de Benford, Análisis estadístico, Análisis de Patrones y Relaciones, Análisis Visual, Data Mining, Procedimientos analíticos, todas estas técnicas optimizadas mediante el uso de CAATTS “Computer Aided Audit Techniques and Tools”.
Lo primero tanto para otorgar acceso a los diferentes aplicativos como al comenzar a analizar losdatos con Técnicas de Detección de Fraudes, es determinar quienes serán/son/fueron los responsables de la creación, eliminación o modificación de los diferentes registros de la Base de Datos, para esto debemos considerar los lineamientos del domino 11 de la ISO 17799 referida al Control de Accesos.
Control de Accesos
“Objetivo: Asegurar el acceso autorizado de usuario y prevenir accesos noautorizados a los sistemas de de información”
En base a la guía de implementación del punto 11.2.1. Registro de usuarios, sugerimos crear la siguiente tabla:
Con esta tabla se podrán identificar a los diferentes usuarios del aplicativo de tal forma de hacerlos responsables por las acciones que ellos realicen en el aplicativo. Esto deberá ir acompañado de una columna adicional en las tablas donde seconsidere necesario identificar al responsable, por ejemplo si hablamos de una entidad financiera la tabla que contenga las transacciones de caja, deberá contener por cada registro una columna que indique que usuario realizó la transacción. Adicionalmente es de suma utilidad un campo autonumérico que lo denominamos “identificador” para poder detectar en las revisiones faltantes y repetidos en losregistros, este campo identificador lo incluimos en cada una de las siguientes tablas sugeridas.
En base a la guía de implementación de los diferentes puntos de Control de Accesos, sugerimos crear también las siguientes tablas:
En base a esta tabla, se puede realizar el control en la repetición de contraseñas en el último año por ejemplo, o al momento de que los usuarios cambien su contraseñaimpedirles que reciclen sus contraseñas como mínimo no pueden utilizar las últimas 3 contraseña.
En base a esta tabla se podrá parametrizar la seguridad de accesos, siendo más exigentes o menos exigentes al momento de crear las contraseñas, el tiempo para cambiar contraseñas, así mismo podrían definirse tiempos diferentes de expiración de clave diferenciando entre los usuarios administradores,supervisores y normales, puesto que la ISO 17799 recomienda que los usuarios con mayores privilegios cambien su contraseña con mayor frecuencia.
Una vez que se tienen como mínimo las anteriores tablas, esto se deberá reforzar con una GESTIÓN adecuada de la Seguridad de la Información, por ejemplo respecto de la administración del ciclo de vida de los usuarios, es decir desde que se crean losusuarios hasta se dan de baja (temporal o definitiva), considerando las prácticas recomendadas en el ISO 17799. Por ejemplo contar con una política de control de accesos, procedimiento de altas y bajas de usuarios, Controles en la asignación de privilegios. Para fines legales (forense) es muy importante que los usuarios se les haga entrega de una relación escrita de sus derechos de acceso; la...
Leer documento completo
Regístrate para leer el documento completo.