Auditora a los Ambientes Computacionales

El constante avance y desarrollo tecnolgico de las empresas ha llevado a utilizar diversos ambientes de trabajo para sus aplicaciones como:

Ambientes de Red Ambientes Cliente/Servidor Ambientes Windows NT

Ambientes Intranet e Internet

Que auditar en Ambientes de REDES

Administracin de recursos
Espacio, Areas compartidas, Dispositivos externos, etc.

Seguridad de la red
Creacin de cuentas Uso de Contraseas Restricciones de cuenta

Permisos y perfiles de usuarios

Que auditar en Ambientes CLIENTE/SERVIDOR

En SERVIDOR:

Aplicaciones Seguridad del Servidor Accesos y Permisos Base de Datos y Conectividad

En CLIENTE:

Controles de Transaccin Seguridad de la aplicacin

Aplicaciones :

Versin correcta Registro de aplicaciones existentes Accesos y Permisos a las Bases de Datos
Seguridad del SERVIDOR:

Cuentas Usuarias

Acceso a Programas fuentes

Administracin de cuentas Permisos de Ejecucin

Accesos y Permisos :

Mascara de Cuenta Usuaria UNIX Grupos de usuarios y usuarios en Base de Datos Accesos y Permisos sobre las tablas Permisos sobre los procedimientos almacenados
Base de Datos y Conectividad:

Accesos a las Bases de Datos Manipulacin de datos en tablas Ejecucin de procedimientos almacenados

Uso de herramientas paquetes de conexin

Polticas de Seguridad de Datos

Controles de Transaccin en CLIENTE:

Ingreso de Datos Actualizacin de Datos Mantencin de Datos

Seguridad de la aplicacin CLIENTE:

Esquema de Acceso a aplicacin y Base de Datos

Niveles de Seguridad de funciones

Perfiles usuarios segn funcionalidad

Cuenta administrador de aplicacin Esquema de mensajes de error

Usuarios Finales

Interfaz Grfica Aplicacin Usuaria (Cliente)

Capa de Permisos Motor de datos en Servidor Datos Solicitados

Base de Datos

Que Auditar en Windows NT

Eventos sobre Servidor NT. Registro de los eventos fallidos o exitosos en Servidor NT. Restricciones a los niveles de acceso a Servidores NT. Registro de las actividades de todos los usuarios que han accesado el Servidor NT. Monitoreo y control del uso de los recursos compartidos.
Que Auditar en Intranet e Internet

Uso de FireWall como esquema de seguridad. Los permisos de usuarios en FireWall. Algoritmo de encriptacin de datos. Polticas de seguridad asociadas al FireWall. Grupos de usuarios con acceso a Intranet e Internet. Cuentas usuarias y cambio de contraseas.

INTERNET

Paquetes de comunicacin entrantes y salientes

Servicios de un FireWall: .- Verificacin de Contraseas .- Monitoreo de actividades .- Encriptacin de paquetes de informacin entre otras..

FireWall
Paquetes de comunicacin autorizados

Red Corporativa

INTERNET

Intranet

FireWall

Red Corporativa

TESTING

Consiste en la realizacin de pruebas programadas a una aplicacin Debe estar incluida en la planificacin del desarrollo. Permite evidenciar el comportamiento integral y funcional de una aplicacin. Puede realizarse mediante herramientas automatizadas o manuales. Provee un grado de calidad del producto entregable. Debe considerar conjunto de datos de pruebas (vlidos, invlidos, lmites, estrs, coherentes, incoherentes, etc.) Involucra al usuario final y a los desarrolladores. Se realiza por fases: pruebas unitarias, funcionales, integrales y sistmicas.

 Auditor debe verificar: Existencia de plan de testing. Scripts de testing abarquen todas las funcionalidaes de la aplicacin. Scripts hayan sido validados por los usuarios finales. Existencia de parmetros de comparacin de pruebas. Utilizacin de metodologa de testing. Testing se realice en ambiente smil a produccin. Cumplimiento integral de pruebas. Aceptacin final de usuario.