Music
Páginas: 10 (2288 palabras)
Publicado: 30 de noviembre de 2012
Explicación del tema 15
AS04003 Bases de infraestructura técnica y protección de activos de información
Tema 15. Auditoría
Auditoría
A continuación se brindarán breves consejos a seguir por parte de los auditores de SI en relación a conducir una auditoria de los controles de acceso lógico.
Cuando se evalúan los controles de acceso lógico el auditor de SI debe:
•Documentar yevaluar los controles sobre las vías posibles de acceso a los sistemas de información para determinar si son adecuados, eficientes y efectivos.
•Obtener un entendimiento de los riesgos de seguridad que enfrenta el procesamiento de la información a través de una revisión de la documentación relevante, la observación y la estimación del riesgo.
•Probar los controles sobre las vías de accesopara determinar que están funcionando y que son efectivas aplicando las técnicas apropiadas de auditoría.
•Evaluar el ambiente de seguridad para determinar si es adecuado revisando las políticas de seguridad de información escritas, observando las prácticas y los procedimientos operativos y comparándolas con las mejores prácticas de seguridad de información (ejemplo: ISO27001) o con las prácticas ylos procedimientos que usan otras organizaciones.
Documentación de las vías de acceso
La vía de acceso es la ruta lógica tomada por un usuario para tener acceso a los activos de información o a su infraestructura que los soporta.
El auditor de SI debe evaluar cada componente y ver si está debidamente implementado y si tiene la debida seguridad de acceso físico y lógico. Lasecuencia típica de los componentes es la siguiente:
•Una computadora personal es un elemento de una red local usado por un usuario final para registrarse ante el sistema (hacer el Sign on).
•El Logon-ID y la contraseña que se usa debe estar sujeto a las restricciones o normas establecidas de longitud, caracteres, etc.
•El software de telecomunicaciones intercepta el Logon El software detelecomunicaciones puede restringir el acceso desde las terminales a datos específicos o al software de aplicaciones. Un aspecto clave de auditoría del software de telecomunicaciones es asegurar que todas las aplicaciones hayan sido definidas en el software y que las diversas funciones opcionales de control de las telecomunicaciones y de procesamiento usadas sean las apropiadas y estén aprobadas por lagerencia.
•El software de procesamiento de transacciones puede ser el siguiente elemento en la vía de acceso. Dirige las transacciones al software apropiado de aplicación. Los aspectos clave de auditoría incluyen asegurar la debida identificación, autenticación del usuario (Logon-ID y contraseña) y la autorización del usuario para tener acceso a la aplicación.
•La aplicación se encuentraentonces procesando las transacciones de acuerdo con la lógica del programa. Los aspectos de auditoría incluyen restringir el acceso a la biblioteca de software de producción.
•El sistema de administración de la base de datos dirige el acceso a los archivos de información.
•Los aspectos de auditoría incluyen asegurar que todos los elementos de los datos sean identificados en el diccionario dedatos, que el acceso al diccionario de datos esté restringido al administrador de la base de datos y que todos los elementos de datos estén sujetos al control de acceso lógico. Los datos de la aplicación pueden ahora ser accedidos.
Técnicas para probar la seguridad
Los auditores pueden usar diferentes técnicas para probar los controles de seguridad de información. Algunos métodos se describena continuación:
•Identificación de terminales. El auditor puede trabajar con el administrador de la red para obtener información de las direcciones y ubicaciones de las terminales. El auditor de SI puede luego usar esta lista para inventariar las terminales.
•Identificadores de inicio de sesión y contraseñas. Para probar la confidencialidad, el auditor puede tratar de adivinar la...
AS04003 Bases de infraestructura técnica y protección de activos de información
Tema 15. Auditoría
Auditoría
A continuación se brindarán breves consejos a seguir por parte de los auditores de SI en relación a conducir una auditoria de los controles de acceso lógico.
Cuando se evalúan los controles de acceso lógico el auditor de SI debe:
•Documentar yevaluar los controles sobre las vías posibles de acceso a los sistemas de información para determinar si son adecuados, eficientes y efectivos.
•Obtener un entendimiento de los riesgos de seguridad que enfrenta el procesamiento de la información a través de una revisión de la documentación relevante, la observación y la estimación del riesgo.
•Probar los controles sobre las vías de accesopara determinar que están funcionando y que son efectivas aplicando las técnicas apropiadas de auditoría.
•Evaluar el ambiente de seguridad para determinar si es adecuado revisando las políticas de seguridad de información escritas, observando las prácticas y los procedimientos operativos y comparándolas con las mejores prácticas de seguridad de información (ejemplo: ISO27001) o con las prácticas ylos procedimientos que usan otras organizaciones.
Documentación de las vías de acceso
La vía de acceso es la ruta lógica tomada por un usuario para tener acceso a los activos de información o a su infraestructura que los soporta.
El auditor de SI debe evaluar cada componente y ver si está debidamente implementado y si tiene la debida seguridad de acceso físico y lógico. Lasecuencia típica de los componentes es la siguiente:
•Una computadora personal es un elemento de una red local usado por un usuario final para registrarse ante el sistema (hacer el Sign on).
•El Logon-ID y la contraseña que se usa debe estar sujeto a las restricciones o normas establecidas de longitud, caracteres, etc.
•El software de telecomunicaciones intercepta el Logon El software detelecomunicaciones puede restringir el acceso desde las terminales a datos específicos o al software de aplicaciones. Un aspecto clave de auditoría del software de telecomunicaciones es asegurar que todas las aplicaciones hayan sido definidas en el software y que las diversas funciones opcionales de control de las telecomunicaciones y de procesamiento usadas sean las apropiadas y estén aprobadas por lagerencia.
•El software de procesamiento de transacciones puede ser el siguiente elemento en la vía de acceso. Dirige las transacciones al software apropiado de aplicación. Los aspectos clave de auditoría incluyen asegurar la debida identificación, autenticación del usuario (Logon-ID y contraseña) y la autorización del usuario para tener acceso a la aplicación.
•La aplicación se encuentraentonces procesando las transacciones de acuerdo con la lógica del programa. Los aspectos de auditoría incluyen restringir el acceso a la biblioteca de software de producción.
•El sistema de administración de la base de datos dirige el acceso a los archivos de información.
•Los aspectos de auditoría incluyen asegurar que todos los elementos de los datos sean identificados en el diccionario dedatos, que el acceso al diccionario de datos esté restringido al administrador de la base de datos y que todos los elementos de datos estén sujetos al control de acceso lógico. Los datos de la aplicación pueden ahora ser accedidos.
Técnicas para probar la seguridad
Los auditores pueden usar diferentes técnicas para probar los controles de seguridad de información. Algunos métodos se describena continuación:
•Identificación de terminales. El auditor puede trabajar con el administrador de la red para obtener información de las direcciones y ubicaciones de las terminales. El auditor de SI puede luego usar esta lista para inventariar las terminales.
•Identificadores de inicio de sesión y contraseñas. Para probar la confidencialidad, el auditor puede tratar de adivinar la...
Leer documento completo
Regístrate para leer el documento completo.