Este documento describe la auditoría de sistemas de información. Explica que la auditoría verifica y valida los sistemas, procesos y resultados. Describe dos tipos de auditoría: interna realizada dentro de la empresa y externa contratada fuera de la empresa. También describe tres tipos de auditorías informáticas: regular, especial y recurrente. Luego, detalla los pasos para implementar el servidor de auditoría en Windows Server 2003 y configurar la auditoría de acceso a objetos y de inicio de sesión. Finalmente, presenta tres casos prácticos de auditoría
1. Hugo BeltranSuloaga
Auditoria
I. Concepto
La Auditoría es la función cuya finalidad es analizar y apreciar el control interno de las
organizaciones para garantizar la integridad de su patrimonio, la veracidad de su
información y el mantenimiento de la eficacia de sus sistemas de gestión.
Por otra parte la Auditoría constituye una herramienta de control y supervisión que
contribuye a la creación de una cultura de la disciplina de la organización y permite
descubrir fallas en las estructuras o vulnerabilidades existentes en la organización.
Auditoria de Sistemas de Información
Cuando se generalizó el uso de las nuevas tecnologías, surgió también la necesidad de realizar
auditorías sobre los sistemas de tratamiento de información. En este sentido se podría decir
que la auditoria informática comprende el conjunto de actividades a la validación y verificación
de los sistemas, procesos y resultados
La auditoría informática tiene 2 tipos las cuales son:
AUDITORIA INTERNA
Es aquella que se hace adentro de la empresa; sin contratar a personas de afuera.
AUDITORIA EXTERNA
Como su nombre lo dice es aquella en la cual la empresa contrata a personas de afuera para
que haga la auditoria en su empresa.
2. Hugo BeltranSuloaga
Tipos de auditorías Informáticas
Regular Informática: Se refiere a las que se realizan a la calidad de la información existente en
las bases de datos de los sistemas informáticos que se utilizan para controlar los recursos, su
entorno y los riesgos asociados a esta actividad.
Especial Informática: Consiste en el análisis de los aspectos específicos relativos a las bases de
datos de los sistemas informáticos en que se haya detectado algún tipo de alteración o
incorrecta operatoria de los mismos.
Recurrente Informática: Son aquellas donde se examinan los Planes de Medidas elaborados en
auditorias informáticas anteriores donde se obtuvo la calificación de Deficiente o Malo, ya sea
en una Regular o Especial.
3. Hugo BeltranSuloaga
Auditar sucesos de inicio de sesión de cuenta
El valor de configuración Auditar sucesos de inicio de sesión de cuenta determina si se
debe auditar cada instancia de un usuario que inicie o cierre una sesión desde otro equipo.
Auditar la administración de cuentas
El valor de configuración Auditar la administración de cuentas determina si se deben
auditar todos los sucesos de administración de cuentas de un equipo.
Se crea, cambia o elimina una cuenta de usuario o grupo.
Se establece o cambia una contraseña.
Auditar el acceso a objetos
El valor de configuración Auditar el acceso a objetos determina si se debe auditar el
suceso de un usuario que obtiene acceso a un objeto como, por ejemplo, un archivo, una
carpeta, una clave de Registro, una impresora, etc., que tiene su propia lista de control de
acceso al sistema especificada.
Auditar el seguimiento de procesos
El valor de configuración Auditar el seguimiento de procesos determina si se debe
auditar información de seguimiento detallada de sucesos como la activación de programas,
la salida de procesos, la duplicación de identificadores y el acceso indirecto a objetos.
Auditar sucesos del sistema
El valor de configuración Auditar sucesos del sistema determina si se debe auditar el
reinicio o cierre de un equipo realizado por un usuario o un suceso que afecte a la
seguridad del sistema o al registro de seguridad.
4. Hugo BeltranSuloaga
II. Implementación del Servidor de Auditoria
PASO 1
Para la configuración de auditoria en Windows Server 2003 se tiene que dirigir en la opción
Directiva de Seguridad de Dominio.Para lo cual ingresar en la Opción Usuarios y Equipos de
Active Directory, luego en DomainControllers,clic derecho propiedades, Directiva de grupo y
Editar.
Luego dirigirse en siguiente ruta:
--Configuración de Seguridad
- -- - Directivas Locales
--- Directiva de Auditoría
Aparecerá varias opciones de auditoría en la cual no están configurado respectivamente.
PASO 2
Configuración de Auditoria de acceso a Objeto
Esta configuración de seguridad determina si se debe auditar el suceso de un usuario que
obtiene acceso a un objeto (por ejemplo, un archivo, carpeta, clave del Registro, impresora,
etc.). La configuración es simple como se muestra en la imagen.
5. Hugo BeltranSuloaga
Configuración de Auditar sucesos de inicio de sesión de cuenta
Los inicios de sesión que utilizan una cuenta de dominio generan un suceso de inicio o cierre de
sesión en la estación de trabajo o servidor, y generan un suceso de inicio de sesión de cuenta en
el controlador de dominio.
PASO 3
Ahora creamos un Usuario llamado Hugo Beltran para realizar las pruebas .
Luego en la unidad C: creamos una carpeta llamada Prueba, lo compartimos, le asignamos
permisos para que el usuario Hugo Beltran pueda acceder a esta carpeta y auditamos al
usuario.En la pestaña de Seguridad ir al boton Opciones Avanzadas. Luego ir a la pestaña
Auditoría y agregar al usuario.
PASO 4
6. Hugo BeltranSuloaga
Luego en el equipo cliente miembro del dominio, primero iniciamos sesión con el usuario Hugo
Beltran y en la primera instancia ingresamos contraseña errónea, para luego visualizarlo en el
visor de eventos, luego ingresamos la contraseña correcta. Después accedemos a la carpeta
compartida.
Como se puede apreciar en la imagen muestra todos los sucesos. Para un mejor orden se
empleara el filtro en el suceso de Seguridad. En la ventana de propiedades de Seguridad se
tiene varias opciones, en la cual facilita la auditoria.
7. Hugo BeltranSuloaga
Casos Prácticos
Caso 1
Uso de Programas
En las empresas normalmente avances los usuarios tienen una determinada actividad laboral
en cuales han sido contratados como diseñadores, ventas y otras áreas. Pero hay ocasiones en
que los usuarios roban tiempo a la empresa y realizan otras actividades.
Por ejemplo en la área de control de vigilancia, como su mismo nombre indica es de vigilar al
personal de trabajo y de que no pierdan cosas de la empresa. Pero puede suceder que en vez
de hacer su labor pueda estar realizando otra actividad. En la cual puede suceder que los
trabajadores de la empresa pueden hacer de las suyas o que se puedan perder cosas de la
empresa.
Caso 2
Eliminación de Archivos Importantes
En toda red siempre se va a compartir carpetas en la cual el contenido será de vital
importancia para los trabajadores como carpetas personales, archivos de trabajo, etc. En este
caso puede ser que la carpeta compartida tenga permisos de lectura y escritura o que una
cuenta con permisos de mayores privilegios, pueda borrar ya se con malas intenciones o por
un error. Esta acción afecta a los usuarios en la cual genera perdida de dinero y tiempo.
8. Hugo BeltranSuloaga
Caso 3
Instalación de Programas Innecesarios
Puede suceder que una cuenta con privilegios de instalación de programas según en la área
laboral. Esto puede ocurrir cuando un usuario obtiene la cuenta de otro usuario con mayores
privilegios o que este usuario hace mal uso de su cuenta con privilegios y empieza a instalar
programas innecesarios en la cual ocupa espacio en disco duro o dañar el sistema.