AUDITORIA ESPECÍFICA:

SEGURIDAD FISICA Y LÓGICA

SISTEMAS ORIENTADOS A
OBJETOS
¿POR QUÉ ES TAN IMPORTANTE LA SEGURIDAD?
Por la existencia de personas ajenas a la información, también conocidas como
piratas informáticos o hackers, que buscan tener acceso a la red
empresarial para modificar, sustraer o borrar datos.
Tales personajes pueden, incluso, formar parte del personal
administrativo o de sistemas, de cualquier compañía; de acuerdo con expertos
en el área, más de 70 por ciento de las violaciones e intrusiones a los recursos
informáticos se realiza por el personal interno, debido a que éste conoce
los procesos, metodologías y tiene acceso a la información sensible de su
empresa, es decir, a todos aquellos datos cuya pérdida puede afectar el buen
funcionamiento de la organización.
Esta situación se presenta gracias a los esquemas ineficientes de
seguridad con los que cuentan la mayoría de las compañías a nivel mundial, y
porque no existe conocimiento relacionado con la planeación de un esquema
de seguridad eficiente que proteja los recursos informáticos de las
actuales amenazas combinadas.
El resultado es la violación de los sistemas, provocando la pérdida
o modificación de los datos sensibles de la organización, lo que
puede representar un daño con valor de miles o millones de dólares.
SEGURIDAD INFORMATICA
En términos generales, la seguridad puede entenderse como aquellas
reglas técnicas y/o actividades destinadas a prevenir, proteger y resguardar lo
que es considerado como susceptible de robo, pérdida o daño, ya sea de
manera personal, grupal o empresarial.
En este sentido, es la información el elemento principal a proteger, resguardar
y recuperar dentro de las redes empresariales.
La computadora es un instrumento que estructura gran cantidad
de información, la cual puede ser confidencial para individuos, empresas
o instituciones, y puede ser mal utilizada o divulgada a personas que hagan
mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que
provoquen la destrucción total o parcial de la actividad computacional.
Esta información puede ser de suma importancia, y el no tenerla en el
momento preciso puede provocar retrasos sumamente costosos.
En la actualidad y principalmente en las computadoras personales, se ha dado
otro factor que hay que considerar: el llamado “virus” de las computadoras, el
cual, aunque tiene diferentes intenciones, se encuentra principalmente
para paquetes que son copiados sin utorización (”piratas”) y borra toda
la información que se tiene en un disco.
Al auditar los sistemas se debe tener cuidado que no se tengan copias
“piratas” o bien que, al conectarnos en red con otras computadoras, no
exista la posibilidad de transmisión del virus.
La seguridad en la informática abarca los conceptos de seguridad física
y seguridad lógica.
Seguridad física:
Es muy importante ser consciente que por más que la empresa sea la
más
segura desde el punto de vista de ataques externos (hackers, virus,
ataques de DoS, etc.); la seguridad de la misma será nula si no se ha
previsto como combatir un incendio o cualquier otro tipo de desastre
natural y no tener presente políticas claras de recuperación.
La seguridad física es uno de los aspectos más olvidados a la hora del diseño
de un sistema informático. Si bien algunos de los aspectos de seguridad física
básicos se prevén, otros, como la detección de un atacante interno a la
empresa que intenta acceder físicamente a una sala de cómputo de la misma,
no. Esto puede derivar en que para un atacante sea más fácil lograr tomar y
copiar una cinta de backup de la sala de cómputo, que intentar
acceder vía lógica a la misma.
Así, la Seguridad Física consiste en la “aplicación de barreras físicas y
procedimientos de control, como medidas de prevención y contramedidas ante
amenazas a los recursos e información confidencial”. Se refiere a los controles
y mecanismos de seguridad dentro y alrededor del centro de cómputo,
así como los medios de acceso remoto al y desde el mismo; implementados
para proteger el hardware y medios de almacenamiento de datos.
Las principales amenazas que se prevén en Seguridad Física son:
1. Desastres naturales, incendios accidentales, tormentas e inundaciones
2. Amenazas ocasionadas por el hombre
3. Disturbios, sabotajes internos y externos deliberados.
Evaluar y controlar permanentemente la
seguridad física de las instalaciones
de cómputo y del edificio es la base para comenzar a integrar la
seguridad
como una función primordial dentro de cualquier organismo.
Tener controlado el ambiente y acceso físico permite:

Disminuir siniestros
Trabajar mejor manteniendo la sensación de seguridad

Descartar falsas hipótesis si se produjeran incidentes

Tener los medios para luchar contra accidentes

Seguridad lógica:
Luego de ver como el sistema puede verse afectado por la falta de seguridad
física, es importante recalcar que la mayoría de los daños que puede sufrir un
centro de cómputo no será sobre los medios físicos sino contra información
por él almacenada y procesada. Así, la seguridad física sólo es una
parte del amplio espectro que se debe cubrir para no vivir con una sensación
ficticia de seguridad. Como ya se ha mencionado, el activo más importante que
se posee es la información, y por lo tanto deben existir técnicas, más
allá de la seguridad física que la asegure. Estas técnicas las brinda la
Seguridad Lógica.
La Seguridad Lógica consiste en la “aplicación de barreras y procedimientos
que resguarden el acceso a los datos y sólo se permita acceder a ellos
a las personas autorizadas para hacerlo”.
Existe un viejo dicho en la seguridad informática que dicta que “todo lo que no
está permitido debe estar prohibido” y esto es lo que debe asegurar la
Seguridad Lógica.
Los objetivos que se plantean serán:
1. Restringir el acceso a los programas y archivos
2. Asegurar que los operadores puedan trabajar sin una supervisión
minuciosa y no puedan modificar los programas ni los archivos que no
correspondan.
3. Asegurar que se estén utilizando los datos, archivos y programas correctos
en y por el procedimiento correcto.
4. Que la información transmitida sea recibida por el destinatario al
cual ha sido enviada y no a otro.
5. Que la información recibida sea la misma que ha sido transmitida.
6. Que existan sistemas alternativos secundarios de transmisión
entre diferentes puntos.
7. Que se disponga de pasos alternativos de emergencia para la transmisión
de información.

Programa de Auditoria:

Primero que todo el auditor debe conocer las razones por las cuales el cliente
desea desarrollar dicha auditoria; puede haber diferentes causas, como son:
Reglas internas del cliente.
Incrementos no previstos de costos.
Obligaciones Legales
Situación de ineficiencia global notoria, entre otras.
Es por esto que debe ser fundamental que el auditor conozca dicha causa,
permitiéndole definir un entorno inicial sobre el cual se elaborara su respectivo
plan de trabajo.
Para realizar una correcta auditoria de seguridad, podemos dividir a la
organización AudiLácteos en áreas dedicadas a una misma actividad, que nos
permitan abarcar todas las áreas que confieren a una correcta auditoria de
seguridad. A continuación veremos las áreas
:
Área
1:Seguridad de cumplimiento de políticas normas y estándares.

Área
2: Seguridad de Sistema Operativo.

Área
3: Seguridad de Aplicaciones.

Área
4: Seguridad de Redes y Comunicaciones.

Área
5: Seguridad de Base de Datos.

Área
6: Seguridad de Procesos.

Área
7: Seguridad Física.

Luego de revisar las áreasa trabajar en nuestra auditoria procedemos a definir

las fases en las cuales se desarrollara la auditoria.

Fase1: Planeación:
Como ya mencionamos anteriormente es indispensable para el auditor conocer
las razones por las cuales se llevara a cabo la auditoria, para así, poder diseñar
un buen plan de acción. Dicha auditoria será realizada por los auditores de la
firma CH Auditoria Consultores S.A.S y se enfocara en todas las áreas de
la
empresa, evaluar, y así, poder determinar su nivel de seguridad. Buscando
alcanzar los siguientes objetivos:

Minimizar los riesgos de pérdida de información vital para la empresa,

causados por una catástrofe, robo o mal uso de la misma.
Garantizar el correcto uso de las tecnologías y la información de la
empresa por parte de los administradores y usuarios.
Realizar recomendaciones para una correcta gestión de la seguridad en la
empresa tanto física como lógica.
Definir un adecuado plan de continuidad de negocio.
Promover aplicación de políticas y estándares de seguridad.
Descubrir nuevas amenazas al sistema

Dichos objetivos se alcanzaran mediante el siguiente proceso:

Realizar una visita a la empresa para revisar su infraestructura.
Dicha revisión se llevara a cabo mediante la observación directa del
auditor
.
Evaluar la infraestructura en pro de la seguridad empresarial.
Realizar las debidas recomendaciones para realizar el mejoramiento de
la seguridad de la compañía.
Realización de listas de verificación para evaluar el desempeño de la
empresa en seguridad de la información.
Realizar la respectiva revisión documental
.
Comprobación mediante observación directa.

Fase 2: Ejecución:

El proceso de auditoría planteado anteriormente para el correcto desempeño

de la seguridad tanto física como lógica en la organización se llevara a
cabo mediante el uso de diferentes técnicas y herramientas de auditoría como son:

Listas de chequeo
.
Revisión documental
.
Observación.

Fase 3: Comunicación de Resultados:

Luego del estudio exhaustivo de la información recolectada en la fase de
ejecución se desarrollara el respectivo informe de auditoría, el cual, será
comunicado a los directivos de la compañía para evaluar discrepancias, y poder
cumplir con los objetivos propuestos.

Fase 4: Seguimiento:
Durante la fase de seguimiento se busca que las recomendaciones planteadas
a la compañía sean aplicadas de la forma correcta para así permitir llegar a un
nivel de seguridad optimo, dicha revisión se realizara de forma periódica cada
tres meses durante un año.

GUÍA DE AUDITORÍA

EMPRESA EQUIPO AUDITOR EMPRESA FECHA

AUDITORA AUDITADA
CH Auditoría Blanca Rubiela AudiLácteos S.A.S Noviembre de
Consultores Duque 2010
S.A.S
Referencia # Actividad a Procedimiento Herramientas a
Evaluar de Utilizar
Auditoría
SEGURIDAD Verificar la •Realizar una *Lista de
FÍSICA Y suficiencia y visita a la verificación.
LÓGICA cumplimiento de empresa para *
todos los revisar su Revisión
parámetros de infraestructura. documental.
seguridad tanto •Dicha revisión se *Observación
física como llevara a cabo directa de
lógica en la mediante la los sitios de
organización observación interés
directa del
auditor.
•Evaluar la
infraestructura en
 pro de la
seguridad
empresarial.
•Realizar las
debidas
recomendaciones
para realizar el
mejoramiento de la
seguridad de la
compañía.
•Realización de
listas de
verificación para
evaluar el
desempeño de la
empresa en
seguridad de la
información.
•Realizar la
respectiva
revisión
documental.

OBSERVACIONES:
Durante las actividades de observación directa se verificara no solo el
estado de los sitios de trabajo y los data center, si es que los posee, también se
evaluará el riguroso control de acceso tanto físicamente a las instalaciones de
la empresa, sino también, a el debido control de acceso que se realiza a los
sistemas con un debido sistema de log.

LISTA DE VERIFICACIÓNOBJETIVO: Solicitar y revisar los planes y

lineamientos establecidos para garantizar la seguridad física y lógica en la
empresa

ITEM A EVALUAR CUMPL NO CUMPLE OBSERVACIONES

E
¿La información de la
empresa se encuentra
siempre disponible para
cumplir sus propósitos?
¿Existe algún análisis de
riesgos en la
organización?
¿La información
susceptible de robo,
pérdida o daño se
encuentra protegida y
resguardada?
¿Existe Documentación
en cuanto a: políticas
aplicables, análisis de
riesgos, descripción de
procesos, lista de
controles.
¿La empresa tiene
conocimiento relacionado
con la planeación de un
esquema de seguridad
eficiente que proteja los
recursos informáticos de
las actuales amenazas
combinadas?
¿Se cuenta con un
sistema de control de
acceso y autorización?
¿Se mantiene un registro
de las actividades que los
Administradores y
usuarios realizan sobre
un sistema?
¿Se aplican barreras
físicas y procedimientos
de control, como medidas
de prevención y
contramedidas ante
amenazas a los recursos e
información confidencial?
¿Se cuenta con planes de
contingencia y de manejo
de incidentes?
¿En la empresa se han
contemplado las
amenazas ocasionadas
por el hombre?
¿La empresa tiene un
plan para la realización
de backups?
¿Se evalúan y controlan
permanentemente la
seguridad física de las
instalaciones de cómputo
y del edificio donde
funciona la empresa?
¿La empresa tiene
implementados firewalls?
¿Existen procedimientos y
barreras que resguarden
el acceso a los datos y
sólo se permita acceder a
ellos a las personas
autorizadas para hacerlo?
¿Existe una política
específica del sistema
para el manejo de
seguridad?
 ¿Se asegura que se estén
utilizando los datos,
archivos y programas
correctos en y por el
procedimiento correcto?
¿Existen políticas para el
manejo de redes, sistemas
operativos, aplicaciones,
etc.?
¿Existen sistemas
alternativos secundarios
de transmisión de
información entre
diferentes puntos?
¿Existen políticas para el
manejo de Internet?
¿Los operadores pueden
trabajar sin una
supervisión minuciosa y
no pueden modificar los
programas ni los archivos
que no correspondan?
¿Existen políticas para el
manejo de otras redes
externas?
¿La información
transmitida es recibida
por el destinatario al cual
ha sido enviada y no a
otro?
¿Las funciones de
seguridad están
integradas en las
funciones del personal?
¿Se realiza un plan de
seguridad física contra
catástrofes como:
inundaciones, incendios,
cortes de energía?
NOTA: Todas las preguntas deben ser justificadas en el campo
correspondiente.
Revisión Documental:

Luego de diligenciar la lista de verificación el auditado deberá presentar

la respectiva documentación que sustente lo que en los campos
anteriores diligencio, para ser evaluados por la firma auditora.

Observación:
Con la información recolectada en la ejecución de la auditoria se
realizara el respectivo informe que permita vislumbrar en qué estado se
encuentra la organización en materia de seguridad y poder dar a
conocer algunas recomendaciones para su mejoramiento, dichas
recomendaciones serán seguidas por la firma auditora para garantizar
su cumplimiento en la organización con revisiones periódicas
.
SISTEMAS ORIENTADOS A OBJETOS

El software orientado a objetos apoya ciertos aspectos que mejoran la robustez

de los sistemas, este software requiere de ciertas características mínimas para
considerarse orientado a objetos y finalmente debe integrarse como parte
de un lenguaje de programación.

¿Qué es un objeto?
Un modelo orientado a objetos de un sistema de información se basa
en abstracciones llamadas clases que representan las cosas, personas y
conceptos en el mundo real. Por ejemplo, en un ciclo de ingresos puede
ser una abstracción / cliente clase llamada que
define lo que un cliente típico es. Un cliente en particular es una
instancia u "objeto" de la clase del cliente.
El enfoque orientado a objetos construye sistemas de información de
una colección de colaboración de estos componentes reutilizables
estándar u objetos, como coches están montados para minimizar la
producción y el mantenimiento de los costes y mantener la flexibilidad. Al
igual que las bujías para automóviles, estándar de clases funcionales y
robada se puede encontrar en la biblioteca de módulos y reutilizados en
múltiples sistemas con necesidades similares.

Atributos y Métodos:
Un rasgo de los sistemas orientados a objetos básicos es que ambos
campos de datos y la lógica de programación afectan aquellos campos,
tales como pruebas de integr
idad, los requisitos contables y las rutinas de actualización, son
"encapsulada" en módulos para representar objetos. Los objetos
contienen:

Los atributos (o campos de datos), como la dirección de un cliente o

saldo pendiente, que contienen datos sobre el estado actual del objeto.

Métodos y operaciones, que son las acciones realizadas que pueden cambiar
los atributos de un objeto.
Los atributos de cliente incluyen identificación de cliente, nombre y
dirección.
Las acciones de clientes se definen a través de los métodos. Los atributos no
pueden acceder directamente. Más bien, sus valores están protegidos
por los métodos, lo que representa un "muro de código," para que los
valores se puedan cambiar sólo a través de los métodos definidos,
proporcionando un control firme y coherente sobre los datos.

Herencia:
Al igual que un niño puede heredar el color de los ojos de un padre, una clase
puede heredar los datos y comportamiento definido en una o varias
otras clases. Por lo tanto, el auditor debe ser capaz de interpretar la
jerarquía de herencia en la documentación diagrama de clase para
entender qué operaciones y atributos, además de las que se definen
dentro de una clase, puede pertenecer a esa clase.
Aspectos que Mejoran la Robustez de los Sistemas:

Existen razones un poco más técnicas que motivan a la orientación a objetos,

como son la abstracción, modularidad, extensibilidad y reutilización.

Abstracción.
Una de las consideraciones más importantes para tratar el problema de
la complejidad del software es el concepto de abstracción.
La idea básica de la abstracción es reducir el nivel de primitivas o
representaciones
básicas necesarias para producir un sistema de software. De manera
sencilla esto se logra mediante el uso de lenguajes de programación que
contengan estructuras de datos de alto nivel. En otras palabras, la
pregunta opuesta sería: ¿por qué no programar en código binario, o sea 0s y
1s? La respuesta es que ninguna persona sería capaz de comprender una
aplicación al verse el código y por otro lado requeriría de programas
extremadamente extensos para representar la aplicación completa dada la
simplicidad de la primitiva básica.
Los sistemas de software construidos con lenguajes de programación de
más alto nivel reducen el número total de líneas de código por lo tanto
reducen su complejidad. Con la programación orientada a objetos se
definen dos niveles de abstracción. El nivel más alto,
el de los objetos, es utilizado para describir la aplicación mientras que el
nivel más bajo, el de los datos y las funciones, es utilizado para
describir sus detalles.

Modularidad.
Otro aspecto importante de una aplicación es su modularidad.
La modularidad de un sistema depende de sus abstracciones básicas, lo
cual permite dividir el sistema en componentes separados. Al tener
abstracciones de mayor nivel la modularidad de los componentes también es
de mayor nivel reduciendo el número final de componentes lo cual a su
vez simplifica su manipulación y mantenimiento. Con la orientación a
objetos, la modularidad del sistema se da en base a objetos, un nivel
más alto que los datos y funciones tradicionales. El número final de
módulos, o sea objetos, es menor que el número original de datos y
funciones.
Esto reduce la complejidad de la aplicación ya que el programador
piensa en menos componentes a la vez descartando detalles innecesarios.

Extensibilidad.
En general, los sistemas de software tienden a ser modificados y
ampliados durante el transcurso de su vida. Si un programa no
se modifica es porque nadie lo quiere usar, por lo cual uno se pregunta: ¿Qué
tan larga es la vida de un sistema? En otras palabras, ¿cuándo se vuelve más
costoso mantener un sistema de software que desarrollar uno nuevo? La
extensibilidad
tiene como objetivo permitir cambios en el sistema de manera modular
afectando lo mínimo posible el resto del sistema. Con la orientación a objetos,
los cambios se dan a dos niveles: modificación externa e interna de los
objetos. Los cambios internos a los objetos afectan principalmente al propio
objeto, mientras que los cambios externos a los objetos afectarán de
mayor forma al resto del sistema
Reutilización.
Una de las maneras de reducir la complejidad del software es mediante la
reutilización o re uso de partes existentes. La pregunta que uno se hace es:
¿cuánto puedo reutilizar del código y sistemas ya existentes? El reuso
de código reduce el tiempo del diseño, la codificación, y el costo del
sistema al amortizar el esfuerzo sobre varios diseños. El reducir el tamaño del
código también simplifica su entendimiento, aumentando la probabilidad
de
que el código sea correcto. Mediante el re uso de código se puede aprovechar
componentes genéricos para estructurar bibliotecas reutilizables, y así
lograr una estandarización y simplificación de aplicaciones por medio de
componentes genéricos prefabricados.

Tradicionalmente, los componentes o librerías de software han existido

por muchos años como procedimientos y funciones, particularmente para
aplicaciones numéricas y estadísticas. Y aunque el re uso es posible en
lenguajes convencionales, los lenguajes orientados a objetos aumentan
substancialmente las posibilidades de tal re uso, gracias a la
modularidadde los sistemas.

Los riesgos con sistemas orientados a objetos:

Una preocupación es que sistemas Orientados a Objetos es un nuevo
paradigma y, por tanto, los diseñadores y los auditores pueden no estar
familiarizados con ella. Es posible que hayan sido entrenados en
la construcción procedimental de sistemas.
Otro riesgo es la aplicación incorrecta de las herramientas de diseño.
Las tecnologías Orientadas a Objetos han madurado y el Lenguaje
Unificado de Modelado (UML) es el estándar de diseño. Con esta maduración,
el diseño, la asistencia de software, tales co
mo la ingeniería de software asistida por ordenador (CASE), se ha vuelto
popular para acelerar el proceso de diseño. Sin embargo, la mala aplicación
o interpretación errónea puede ocurrir. Por ejemplo, un atributo que
debe ser privado puede ser definido co
mo público, exponiendo así a la clase para el acceso indebido. O bien, la
norma de diseño
UML no pueden ser aplicadas de forma coherente a través de diferentes partes
del sistema, ya que diferentes programadores con experiencia Orientado
a Objetos diferentes pueden estar involucrados.
Muchas empresas a menudo deben trabajar con sistemas de legado.
Estos sistemas se implantaron en un lenguaje de procedimientos con el uso
limitado de la encapsulación de datos y métodos. Sin embargo, ellos tienen la
confianza de los usuarios y son costosos de reemplazar.
Un enfoque común es proporcionar un interfaz orientado a objetos a un
módulo de herencia, es decir, para "envolver" el código heredado en una capa
de interfaz orientado a objetos. Un auditor tiene que ser consciente, sin
embargo, que estas envolturas Orientadas a Objetos son sólo una interfaz de
programación de aplicaciones (API) para el código heredado subyacente.
La mejor solución es hacer una reingeniería del sistema anterior
(siempre y cuando se disponga de recursos).

LISTA DE VERIFICACÍON
OBJETIVO:
Evaluar la solidez de los Sistemas Orientados a Objetos de uso en
la empresa
.
ITEM A CUMPLE NO OBSERVACIONES
EVALUAR CUMPLE
¿Se cuenta con
documentación del
desarrollo de software?
¿El software orientado
a objetos aporta
aspectos que mejoran
la robustez de sus
sistemas?
¿Utilizan el lenguaje
unificado de modelado
UML?
¿Consideran
importante tratar el
problema de la
complejidad del
software con el
concepto de
abstracción?
¿El modelo UML
coincide exactamente
con el código real?
¿Sus sistemas
orientados a objetos se
encuentran divididos
por componentes
separados?
¿Se tienen diagramas
de clase del desarrollo
de aplicaciones
orientadas a objetos?
¿Se permiten cambios
en el sistema de
manera modular
afectando lo mínimo
posible el resto del
sistema?
¿Se tiene casos de uso
del análisis y diseño de
los SI orientados a
objetos?
¿Sus sistemas se
organizan como una
colección de objetos
discretos que contienen
tanto estructuras de
datos como un
comportamiento?
¿Los casos de uso
cuentan con su
respectiva descripción?
¿Los sistemas
reutilizan partes
existentes de código?
¿El diseño y análisis de
los SI cuentan con
diagramas de flujo?
¿El diseño de los
sistemas se
 fundamenta en
framework?
¿Que metodología de
desarrollo de software
utilizan?
¿Los sistemas
orientados a objetos
manejan jerarquías de
generalización de
clases?NO

NOTA:
Todas las preguntas deben ser justificadas en el campo correspondiente.

Revisión Documental
Luego de diligenciar la lista de verificación el auditado deberá presentar la
respectiva documentación que sustente lo que en los campos anteriores
diligencio, para ser evaluados por la firma auditora.

Observación.
Con la información recolectada en la ejecución de la auditoria se realizara
el
respectivo informe que permita vislumbrar en qué estado se encuentra la
organización en el área de desarrollo de SI y poder dar a conocer algunas
recomendaciones para su mejoramiento, dichas recomendaciones serán
seguidas por la firma auditora para garantizar su cumplimiento en la
organización con revisiones periódicas