Auditoria Especifica SO

Anuncio
Auditoría Informática
Auditoria de Sistemas
Operativos
Auditoria Especifica
Juan Carlos Toro Giraldo
24/11/2010
Sistemas Operativos
El sistema operativo es un conjunto de programas que administra los recursos del
computador, y permite que el usuario los utilice.
Dependiendo de la forma y el nivel de empleo de los recursos, el usuario puede
trabajar directamente con el sistema operativo para comunicarse con el
computador, o puede recurrir al software de aplicación para ello.
Para aplicaciones aun mas complejas pueden existir modelos computacionales
con varios niveles adicionales de software (modelos de n capas).
La razón de la existencia de esas capas intermedias de software, entre el usuario
y los equipos computacionales, está en dos factores: por un lado los
computadores entienden y manejan un lenguaje binario, que resulta
incomprensible para el usuario común, razón por la que los desarrolladores de
software crean programas que traducen las ordenes de los usuarios a ese
lenguaje binario; y por otro lado las aplicaciones son cada vez mas complejas y se
requiere de software y hardware especializado a distintos niveles.
Clasificación de los Sistemas Operativos
Los sistemas operativos pueden ser clasificados de la siguiente forma:
•
Multiusuario: Permite que dos o más usuarios utilicen sus programas al
mismo tiempo. Algunos sistemas operativos permiten a centenares o
millares de usuarios al mismo tiempo.
•
Multiprocesador: soporta el abrir un mismo programa en más de una CPU.
•
Multitarea: Permite que varios programas se ejecuten al mismo tiempo.
•
Multitramo: Permite que diversas partes de un solo programa funcionen al
mismo tiempo.
•
Tiempo Real: Responde a las entradas inmediatamente. Los sistemas
operativos como DOS y UNIX, no funcionan en tiempo real.
Cómo se utiliza un Sistema Operativo
Un usuario normalmente interactúa con el sistema operativo a través de un
sistema de comandos, por ejemplo, el sistema operativo DOS contiene comandos
como copiar y pegar para copiar y pegar archivos respectivamente. Los comandos
son aceptados y ejecutados por una parte del sistema operativo llamada
procesador de comandos o intérprete de la línea de comandos. Las interfaces
gráficas permiten que utilices los comandos señalando y pinchando en objetos que
aparecen en la pantalla.
Ejemplos de Sistema Operativo
Familia Windows
Windows 95
Windows 98
Windows ME
Windows NT
Windows 2000
Windows 2000 server
Windows XP
Windows Server 2003
Windows CE
Windows Mobile
Windows XP 64 bits
Windows Vista (Longhorn) Universidad de Caldas Auditoría específica | Cristian
Yohanni Loaiza Duque
Familia Macintosh
Mac OS 7
Mac OS 8
Mac OS 9
Mac OS X
Familia UNIX
AIX
AMIX
GNU/Linux
GNU / Hurd
HP-UX
Irix
Minix
System V
Solaris
UnixWare
Sistema Operativo Windows
Es el sistema operativo de mayor difusión entre computadores personales, y
servidores pequeños y medianos. Fue desarrollado por Microsoft, aunque muchas
de sus ideas básicas provinieron del sistema operativo Mac OS, de los equipos
Macintosh.
•
•
Las primeras versiones del sistema operativo de Microsoft recibieron la
denominación de DOS (disk operating system-sistema operativo de disco),
software que trabajaba en ambiente de texto, es decir que las instrucciones
o comandos debían ser escritas desde teclado.
La primera version grafica de este sistema operativo fue Windows 3.1 para
equipos stand alone (aislados), que en realidad era un ambiente grafico que
trabajaba sobre DOS.
•
Recibió el nombre de Windows pues la información se presentaba dentro
de espacios rectangulares de la pantalla, con bordes, a modo de ventana.
•
Las versiones del sistema operativo para servidores son(Windows NT,
windows 2000 Server, Windows XP Server y Windows 2003 Server)
A partir del tiempo el sistema ha ido evolucionando con cada versión
presentando mas funcionalidades que la previa, y generalmente es
compatible con la versión anterior.
•
Críticas y polémicas
Con la aparición del software libre las polémicas se orientan a la política de código
cerrado de Microsoft.
Las mayores críticas que recibió Windows hasta la versión Windows XP Service
Pack 2 era la estabilidad del sistema, el sistema operativo presentaba varios fallos
de distinta índole y gravedad, los cuales fueron disminuyendo con el correr de las
versiones. Desde Microsoft siempre expresaron que estos fallos se debían a
aplicaciones externas a Windows, pero algunos fallos se producían apenas
instalado el sistema, sin siquiera haber agregado programa alguno.
Otra crítica que se le hace al sistema, específicamente a Windows Vista, es la
gran cantidad de recursos del sistema que ocupa, estando "sobrecargado" de
objetos, los cuales hacen que los computadores de hoy no soporten
adecuadamente el sistema y no ofrezcan al usuario una experiencia fluida de uso.
Debido al fracaso de Windows Vista, Microsoft lanzó un parche para
"downgrading" a Windows XP en las versiones Business, Entreprise y Ultimate.
Microsoft ha lanzado una campaña, llamada "Get the facts" en la que muestra
cientos de empresas conocidas que migraron de GNU/Linux a Windows Server y
aumentaron su productividad. Los defensores de GNU/Linux desarrollaron su
propio estudio argumentando que, en contra de uno de los reclamos de Microsoft,
GNU/Linux tiene menores costos administrativos que Windows Server. Otro
estudio realizado por el Yankee Group afirma que la actualización desde una
versión de Windows Server a otra plataforma tiene un coste inferior al de cambiar
de GNU/Linux a Windows Server.
Seguridad
Una de las principales críticas que con frecuencia reciben los sistemas operativos
Windows es la debilidad del sistema en lo que a seguridad se refiere y el alto
índice de vulnerabilidades críticas.
Partiendo de la base de que no existe un sistema completamente libre de errores,
las críticas se centran en la lentitud con la que la empresa Microsoft reacciona
ante un problema de seguridad que pueden llegar a meses o incluso años de
diferencia desde que se avisa de la vulnerabilidad hasta que se publica un parche.
En algunos casos la falta de respuesta por parte de Microsoft ha provocado que se
desarrollen parches que arreglan problemas de seguridad hechos por terceros.
Uno de los pilares en que se basa la seguridad de los productos Windows es la
seguridad por ocultación, en general, un aspecto característico del software
propietario que sin embargo parece ser uno de los responsables de la debilidad de
este sistema operativo ya que, la propia seguridad por ocultación, constituye una
infracción del principio de Kerckhoff, el cual afirma que la seguridad de un sistema
reside en su diseño y no en una supuesta ignorancia del diseño por parte del
atacante.
Sistema Operativo Linux
GNU/Linux es uno de los términos empleados para referirse a la combinación del
núcleo o kernel libre similar a Unix denominado Linux, que es usado con
herramientas de sistema GNU. Su desarrollo es uno de los ejemplos más
prominentes de software libre; todo su código fuente puede ser utilizado,
modificado y redistribuido libremente por cualquiera bajo los términos de la GPL
(Licencia Pública General de GNU) y otra serie de licencias libres.
Linux puede ser utilizado en ordenadores con arquitecturas Intel (PCs
principalmente) y de otros tipos.
Proporciona altas prestaciones con un bajo consumo de recursos. Esto quiere
decir que puede sacar partido a un PC antiguo con un bajo coste.
Ventajas
La creciente popularidad de GNU/Linux se debe, entre otras razones, a su
estabilidad, al acceso al código fuente (lo que permite personalizar el
funcionamiento y auditar la seguridad y privacidad de los datos tratados), a la
independencia de proveedor, a la seguridad, a la rapidez con que incorpora los
nuevos adelantos tecnológicos (IPv6, microprocesadores de 64 bits), a la
escalabilidad (se pueden crear clusters de cientos de computadoras), a la activa
comunidad de desarrollo que hay a su alrededor, a su interoperatibilidad y a la
abundancia de documentación relativa a los procedimientos.
IBM Roadrunner, la supercomputadora más potente de 2008, funciona bajo una
distribución Gnu/Linux.
Hay varias empresas que comercializan soluciones basadas en GNU/Linux: IBM,
Novell (SuSE), Red Hat (RHEL), Mandriva (Mandriva Linux), Rxart, Canonical Ltd.
(Ubuntu), así como miles de PYMES que ofrecen productos o servicios basados
en esta tecnología.
Sistema Operativo Mac
Mac OS (del inglés Macintosh Operating System, en español Sistema Operativo
de Macintosh) es el nombre del sistema operativo creado por Apple para su línea
de computadoras Macintosh. Es conocido por haber sido el primer sistema dirigido
al gran público en contar con una interfaz gráfica compuesta por la interacción del
mouse con ventanas, Icono y menús.
El Sistema Operativo Mac OS no fue la primer interfaz gráfica, pero fue la primera
con gran éxito por su accesibilidad de precio. Para aquellos años en el mercado lo
que existía era La Xerox Alto con un costo de 32,000 dólares, la Xerox Star costó
16,600 dólares y la Apple Lisa con un precio de 10,000 dólares. El nombre de esta
Apple fue un capricho de Steve Jobs por su hija. Este Sistema 1 venía incluido en
el primer Macintosh, que tenía un precio de 2,500 dólares.
El uso del sistema operativo MAC es definitivamente el mas apropiado para
trabajar en cuestiones de diseño; aunque hay aplicaciones diseñadas para
Windows o Linux que intentan hacer sombra a desarrollos como Aperture
(fotógrafos), Logic (para técnicos de sonido) o Final Cut (edición de vídeo), el
resultado no es el que esperan los profesionales del diseño.
Por otro lado en los últimos tiempo los profesionales de campos como el desarrollo
web, el marketing y la comunicación también parecen haber apostado por las
máquinas de Cupertino, convencidos que la experiencia online que obtienen es
mejor que la puede proprocionarles Microsoft, aunque en honor a la verdad, esta
elección suele deberse más a una cuestión de preferencia que a responder a una
necesidad real.
En el terreno de la seguridad, tanto Mac OS X como Linux, tienen fama de ser
mucho mejores que Windows, y en el caso específico de los equipos de Apple
encontramos máquinas muy estables, con un ciclo de vida mucho más largo que
el de cualquier otra compañía, y que no debemos de cambiar cada vez que sale a
la luz un nuevo sistema operativo.
Sistema Operativo Solaris
Solaris es un sistema operativo de tipo Unix desarrollado desde 1992 inicialmente
por Sun Microsystems y actualmente por Oracle Corporation como sucesor de
SunOS. Es un sistema certificado oficialmente como versión de Unix. Funciona en
arquitecturas SPARC y x86 para servidores y estaciones de trabajo.
Solaris tiene una reputación de ser muy adecuado para el multiprocesamiento
simétrico (SMP), soportando un gran número de CPUs. También ha incluido
soporte para aplicaciones de 64 bits SPARC desde Solaris 7. Históricamente
Solaris ha estado firmemente integrado con la plataforma hardware de Sun,
SPARC, con la cual fue diseñado y promocionado como un paquete combinado.
Solaris 10, ha sido diseñada con AMD64 en mente, permitiendo a Sun capitalizar
en la disponibilidad de CPUs de 64 bits commodities basadas en la arquitectura
AMD64. Sun ha promocionado intensamente Solaris con sus estaciones de trabajo
de nivel de entrada basadas en AMD64, así como con servidores que en 2006
varían desde modelos dual-core hasta modelos a 16 cores.
La base de OpenSolaris fue alimentada el 14 de junio de 2005 a partir de la
entonces actual base de desarrollo de código de Solaris. Es posible descargar y
licenciar versiones tanto binarias como en forma de código fuente sin coste
alguno. Además, se ha añadido al proyecto Open Solaris código para
características venideras como soporte Xen. Sun ha anunciado que las versiones
futuras de Solaris se derivarán a partir de OpenSolaris.
OSX
Mac OS X es la décima versión del sistema operativo de Apple para computadores
Macintosh. Las versiones previas usaron una numeración cardinal, p.j. Mac OS 8 y
Mac OS 9. La letra X en el nombre Mac OS X se refiere al 10 en números
romanos. Por tal motivo, la pronunciación correcta es "diez" en este contexto,
aunque pronunciarlo como "equis" es muy común.2 20 El centro del Mac OS X es
compatible con POSIX construido sobre el núcleo XNU, con facilidades UNIX
disponibles en la interfaz de línea de comandos (terminal). Apple liberó esta familia
de software como un sistema operativo libre y de código abierto, bajo el nombre
de Darwin, pero parcialmente se fue volviendo código cerrado. Sobre Darwin,
Apple colocó varios componentes, incluyendo la interfaz de usuario Aqua y el
Finder, para completar la interfaz en la que estaba basado Mac OS X.11
Mac OS X introdujo un buen número de nuevas funciones para proveer una
plataforma más viable y estable que su predecesora, el Mac OS 9. Por ejemplo, la
multitarea preventiva y la memoria protegida mejoraron la habilidad del sistema
para ejecutar múltiples aplicaciones simultáneamente sin interrupciones.21
Muchos aspectos de la arquitectura del Mac OS X se derivan de OpenStep, el cual
fue diseñado para ser portable, con el objetivo de facilitar la transición de una
plataforma a otra. Por ejemplo, Nextstep fue portado de estaciones de trabajo Next
basadas en procesadores 68k a x86 y otras arquitecturas antes de que NeXT
fuese adquirido por Apple, y OpenStep fue luego portado a la arquitectura
PowerPC como parte del proyecto Rhapsody.22
El cambio más visible fue la inclusión de la interfaz Aqua. La misma hacía uso de
bordes suaves, colores translucidos y rayas -similar al diseño del hardware de los
primeros iMac- trajo más textura y color a la interfaz de usuario al ser comparado
con el OS 9 o el OS X Server 1.0. Hubo recepciones encontradas respecto a la
nueva interfaz. Bruce Tognazzini (quien fundó el Apple Human Interface Group
inicial) afirmó que la interfaz Aqua en Mac OS X v10.0 representó un paso atrás en
la usabilidad comparado con la interfaz original del Mac OS.23 24 Mientras tanto,
John Siracusa, uno de los editores de Ars Technica, dijo que la introducción de
Aqua y su salida del entonces convencional look fue un tremendo éxito.25 A pesar
la controversia por la nueva interfaz, los desarrolladores de aplicaciones
comenzaron a producir pieles para aplicaciones personalizadas para Mac y otros
sistemas operativos que imitaban a Aqua.
OS/400 (iseries)
OS/400 es un sistema operativo utilizado en la línea de miniordenadores AS/400
(actualmente servidores eServer iSeries) de IBM.
El sistema operativo OS/400 apareció en el mercado en 1988 al mismo tiempo que
la línea de miniordenadores AS/400, llamados en la jerga de IBM, servidores
midrange. El desarrollo conjunto de hardware y sistema operativo da como
resultado un intenso aprovechamiento de los recursos de aquél.
Entre sus características iniciales más destacadas podríamos señalar la
integración a nivel del propio sistema de la base de datos DB2/400, que no solo se
ofrece como soporte para los datos de aplicaciones y usuarios, sino también como
un almacenamiento estructurado para todos los objetos del sistema operativo,
incluyendo un sistema de librerías mononivel. Como es usual en los sistemas
medios tiene la posibilidad de generar "subsistemas", es decir asignar recursos
(memoria, procesadores, etc) a funciones o entornos concretos, permitiendo un
control más profundo de los mismos que el existente en otras arquitecturas.
Tiene subsistemas incorporados que le permiten ejecutar aplicaciones de los
Sistemas/3x de IBM en el hardware del AS/400 de forma nativa o bien modificado.
En las últimas versiones también pueden ejecutarse aplicaciones AIX de manera
nativa e instalarse GNU/Linux en particiones lógicas (LPAR).
Aun tratándose de un sistema operativo que no incorpora un interface gráfico
nativo, el producto bajo licencia iSeries Access incluye iSeries Navigator con
versiones para Windows y para web, que permite la administración del sistema y
de la Base de datos mediante un interface gráfico. También incluye administración
web para el servidor web Apache y para el servidor de aplicaciones Websphere
Application Server.
En estos momentos OS/400 se conoce como i5 OS.
AUDITORIA DE SISTEMAS OPERATIVOS
1. Que sistemas operativos se tienen implementados en cada área de la
empresa?
2. Cuenta la empresa con estándares para la configuración del sistema
operativo?
3. Se tiene un registro de las modificaciones y/o actualizaciones de la
configuración del sistema?
4. Existe un responsable directo de los cambios que se realizan en el
sistema?
5. Se cuenta con un procedimiento formal para realizar modificaciones al
sistema?
6. Se tiene conocimiento y se realizan controles en cuanto a la estabilidad que
presenta el sistema operativo implementado?
7. Se pueden llevar a cabo en el sistema operativo las políticas de
almacenamiento de datos para cumplir con la seguridad que estos
requieren?
8. Es compatible el funcionamiento del sistema operativo con los acuerdos de
seguridad en cuanto a la eliminación de datos?
9. Se cuenta con una copia exacta del sistema operativo que sirva como
apoyo en caso de pérdida o daños del mismo?
10. Se tienen estándares y políticas definiadas para realizar actualizaciones al
sistema operativo?
11. Se tienen definidas características y/o aspectos específicos para la
instalación del sistema operativo?
12. Se cuenta con documentación de la instalación?
13. Qué servicios se tienen instalados y activos en el sistema?
14. Cuántas particiones se le realizaron al disco duro en el proceso de la
instalación?
15. Es el sistema operativo instalado en la empresa seguro en cuanto al recibo,
almacenamiento, procesamiento y salida de datos?
16. Son las instalaciones compatibles para trabajar con el sistema operativo
que este implementado en cada área de su empresa?
17. El desempeño del sistema operativo es el esperado por su empresa?
18. Según el desempeño se toman las correspondientes acciones correctivas
en cuanto a seguridad del sistema operativo?
19. Se encuentra la organización al día en cuanto a regulaciones y leyes
correspondientes al uso del sistema operativo dentro de la empresa?
20. Están los reportes legislativos integrados con los otros similares de las otras
áreas del negocio?
21. Se llevan los correctos informes de costos relacionados con la
implementación y uso del sistema operativo?
22. Se cuenta con políticas de inversión que aseguren el mejor desempeño del
sistema operativo como este lo vaya requiriendo?
23. Están definidos sistemas de análisis que comparen el nivel de riesgo que
presenta el sistema operativo con el definido como aceptado por la
empresa?
24. Se asegura que se tomen las medidas necesarias en cuanto a
licenciamiento del software cada vez que es necesario?
25. Cuenta la sección de publicidad de la empresa con un sistema operativo
que cumpla con las necesidades de los profesionales de esta área?
Listas de Chequeo
24
FECHA
11
2010
EMPRESA
GUIA DE AUDITORIA
Ucaldas Consultores S.A
Sistemas Operativos
AUDITOR
Juan Carlos Toro
ASPECTO A EVALUAR
Tiene documentos que soporten
el por qué se usa un cierto
sistema operativo en un equipo.
Al momento de comprar las
licencias se asesoran de un
distribuidor
o
se
indagan
SI / NO
AUDITADO
OBSERVACION
características desde el propio
fabricante?
Se han definido las características
minimas del hardware para
soportar
eficientemente
el
funcionamiento
del
sistema
operativo?
Se tiene definida la distribución de
los recursos del sistema operativo
para cada usuario?
Permiten las claves de acceso
limitar las funciones del sustema
de acuerdo al perfil de cada
usuario?
BIBLIOGRAFÍA
•
PERGAMINO VIRTUAL. (s.f.). Recuperado el 15 de Mayo de 2010, de:
http://www.pergaminovirtual.com.ar/revista/cgibin/hoy/archivos/00001399.shtml
•
SUN. (s.f.). Recuperado el 15 de Mayo de 2010, de:
http://es.sun.com/practice/software/solaris/faqs_general.jsp#q_1
•
SUN. (s.f.). Recuperado el 15 de Mayo de 2010, de:http://www.sun.com
•
MICROSOFT. (s.f.). Recuperado el 15 de Mayo de 2010, de
http://www.microsoft.com/windowsserver2003/default.mspx
•
MICROSOFT. (s.f.). Recuperado el 15 de Mayo de 2010, de
http://www.microsoft.com/latam/windowsserver2003/default.mspx
Descargar