Auditoría de proyectos de tecnología. Parte 6. Pruebas

octubre 11, 2010 Deja un comentario

 

Bien, ya hemos avanzado un 60% en nuestra evaluación de proyectos de tecnología, y ahora nos toca buscar anomalías o la falta de un marco de trabajo adecuado para las pruebas en el proyecto. Buscaremos procesos faltantes en la etapa de pruebas.

Vamos con nuestro checklist.

  1. Determina si han sido preparados datos de prueba y verifica si éstos incluyen todas los posibles condiciones incluidos los errores.
    1. Han sido preparados scripts de prueba?
    2. Han sido definidos archivos de pruebas
    3. se tienen pasos detallados para la realización de las pruebas
  2. determina si existen procesos desarrollados para evaluar los resultados de las pruebas.
    1. Tenemos resultados predeterminados para poder realizar las comparaciones necesarias?
    2. Existe un esquema de resolución de problemas?
    3. Existe un registro detallado respecto a los problemas que se fueron presentando las pruebas?
    4. Los usuarios están incluidos en las pruebas y en las evaluaciones de los resultados?
  3. Determina si los resultados esperados de las pruebas han sido definidos con anterioridad a las pruebas en sí.
    1. Los scripts de prueba deben incluir todos los resultados esperados.
    2. Existen procedimientos definidos para monitorear los resultados de las pruebas?
  4. Determina existe un procedimiento de resolución de los problemas diseñados para aquellas pruebas que no logren los resultados esperados.

Finalmente, debe determinar si existe un registro detallado y que además es revisado adecuadamente de los resultados de la prueba que pueden ser considerados como inesperados, en este grupo podrás encontrar por ejemplo la generación de buffer overflows, punteros al vacío y otros, que suelen ser ignorados porque se presentaron en alguna prueba y nunca más se repitieron.

Anuncios
Categorías:Auditoria de Sistemas

Para qué siempre sepas lo que está pasando en XeKur ahora incluimos RSS feeds

octubre 5, 2010 Deja un comentario

A partir de hoy, incluimos en nuestro blog el uso de RSS feeds, en la parte derecha encima de “categoría nube” encontrarás el símbolo naranja para poder suscribirte a este servicio. Simplemente haz clic en el mismo y podrás suscribir utilizando cualquier agregador de noticias o inclusive tu Outlook y enterarte, en cuanto sean publicados, sobre los nuevos artículos en el blog.

Pruébalo, es extremadamente útil.

 

Saludos

Categorías:General

El primer “virus” diseñado para destruir físicamente una planta nuclear

octubre 4, 2010 Deja un comentario

Expertos en seguridad han identificado la primera súper arma cibernética diseñada específicamente para destruir un y objetivo del mundo real, una fábrica, refinería planta nuclear.
El gusano cibernético llamado Stuxnet, es algo completamente nuevo dentro del mundo de la guerra cibernética pues ha sido creado específicamente para destruir algo físico. La aparición de Stuxnet ha causado altísimo revuelo en la comunidad de seguridad de sistemas pues es extremadamente complejo y utiliza solamente el acceso por lo que conocemos como memoria flash, para instalarse y tomar control de sistemas de control industrial.
A la fecha, y en menos de tres meses el virus ha infectado al menos 45,000 sistemas de control industrial en todo el mundo, siendo los principales afectados centrales de distribución de energía.
En estos días la noticia se torna aún más alarmante dado que expertos en seguridad confirman que el virus es esencialmente un misil cibernético de altísima precisión de búsqueda y destrucción de un objetivo del mundo real . El objetivo todavía es desconocido, sin embargo ya existen varias teorías respecto a que este sería la nueva planta nuclear de Irán llamada Bushehr.

Auditoria de proyectos de tecnología. Parte 5

octubre 4, 2010 3 comentarios

 

 

En esta nuestra nueva entrega sobre metodología para la auditoría de proyectos de tecnología revisaremos la etapa conocida como:

 

Plan de pruebas

 

Esta etapa si bien es sencilla, es fundamental en la auditoría del proyecto pues nos revelará si se ha creado una estructura ordenada para realizar las pruebas del software o elemento de tecnología. Qué es lo que debemos buscar?

 

  1. El equipo del proyecto ha desarrollado un plan de pruebas
    1. el plan de pruebas está escrito?
    2. Considera pruebas del sistema y aceptación?
    3. Los usuarios finales están incluidos en las pruebas?

       

  2. Determinar si todos los aspectos del sistema van a ser probados tal como están definidos en el detalle de requerimientos, esto incluye, pero no se limita a:
    1. entrada de datos
    2. edición
    3. reportes
    4. cálculos realizados dentro aplicación
    5. reporte de errores
    6. interfases con otros sistemas
    7. comunicaciones de red
    8. todas las funciones críticas

       

  3. determinar cuándo se realizarán las pruebas y asegurarse que las pruebas serán concluidas todas de manera exitosa previa a la implementación, por lo cual debemos verificar si el plan permite nuevas pruebas de errores que se generan así como también de cambios realizados en el sistema. En general, te recomiendo tener mucho cuidado en la verificación de que los cambios que se hagan en el sistema sean probados adecuadamente.

     

  4. Determinar si una prueba en paralelo será realizada.

     

     

  5. Determinar si se realizaran pruebas que contemplen el final de periodos específicos es decir finales de mes finales de semestre y finales de año.

     

  6. Determinar si se realizaran pruebas de estrés
    1. una prueba de estrés adecuada deberá tener dos escenarios: un escenario normal de procesamiento y un escenario de alto volumen de transacción, impresión, etcétera.
    2. Durante esta prueba de estrés también se debe probar los tiempos de respuesta del sistema en estas situaciones específicas.

       

En la parte seis de nuestra entrega entraremos en detalle a identificar los aspectos de las pruebas en sí.

 

Saludos,

 

Álvaro cuadros

Categorías:Auditoria de Sistemas

Auditoria de proyectos de tecnología. Parte 4

octubre 1, 2010 Deja un comentario

En esta parte de nuestra revisión de una metodología para realizar auditorías de proyectos de tecnología veremos la fase de:

 

Capacitación

El objetivo es buscar anomalías por la falta de entrenamiento en el proyecto. No olvidemos que muchas veces cuando el proyecto se retrasa por razones de falencias dentro del desarrollo mismo del proyecto, las áreas que sufren las consecuencias más duramente son las áreas de seguridad, por tener tiempos extremadamente restringidos para hacer sus evaluaciones y las áreas de usuarios finales que se capacitan muy brevemente y de manera inadecuada.

 

Pruebas: determinar si

 

  1. Un plan de capacitación ha sido desarrollado y se encuentra apropiadamente documentado

     

  2. El plan de capacitación y entrenamiento contiene capacitación relativa a
    1. Entrada de datos
    2. Respaldos del sistema
    3. Operaciones de usuarios
    4. Reconciliación.

       

  3. El entrenamiento será completado antes de la implementación del sistema?
    1. El personal crítico será entrenado con la suficiente anticipación?
    2. Habrá un equipo que será entrenado para que a su vez entrene al resto de los usuarios?
    3. El manejo de las cuentas de usuarios se hace en un ambiente específico para el entrenamiento y capacitación y que está separado del de producción?

       

  4. Ha sido claramente definida la audiencia asistente a la capacitación y entrenamiento?
    1. Hay diferentes niveles de entrenamiento de acuerdo a las responsabilidades y roles dentro del sistema (Gerentes, Front Office, etc….)?
    2. Habrá algún método de evaluación al final del periodo de capacitación de manera que los usuarios puedan probar que tienen la competencia adecuada para operar el nuevo sistema?
    3. Habrá algún método de evaluación del equipo de capacitación y entrenamiento?
    4. Hay un procedimiento que nos asegura que los futuros nuevos usuarios serán entrenados adecuadamente?

 

Alvaro Cuadros

Categorías:Auditoria de Sistemas

Roban 9.5 Millones de dólares usando el gusano Zeus

septiembre 30, 2010 Deja un comentario

 

Así es, la policía en Gran Bretaña ha restado 19 individuos que son parte de una organización criminal que usó el troyano Zeus para robar 6 millones de libras esterlinas de cuentas bancarias en Gran Bretaña.

 

La unidad central de la policía contra el crimen electrónico considera que este monto subirá considerablemente mientras vayan avanzando las investigaciones. Esto es sólo la punta del iceberg.

Le recuerdo que Zeus, también conocido como Zbot es el malware más diseminado en Internet hoy en día, este troyano típicamente es diseñado para robar información de cuentas bancarias de sus víctimas.

 

Identificado ya el 2007, CEU sigue activo y durante esta semana ha sido intensamente utilizado para robar usuarios y claves para acceso a cuentas bancarias , con la novedad de hacerlo específicamente para cuentas accesadas vía teléfonos celulares.

 

La ingeniería social utilizada para este delito viene a través del correo electrónico con un invitación para unirse a la red Linkedln de algún amigo, si uno abre el correo y hace clic en el enlace que éste ofrece, el seleccionado hace una página que te da el mensaje “por favor espere……………. en proceso de acceso” , es en este punto en que Zeus es instalado en la computadora del usuario y se prepara acá para capturar la información de las cuentas, luego envía al usuario una página Google y reporta un error la configuración del navegador que impide el acceso a la página Linkedln

 

Este tipo de delito es particularmente dañino, porque diferencia de la banca de consumo en cajeros automáticos no existe un seguro que proteja las cuentas.

 

Alvaro

 

 

 

 

 

Categorías:Fraude

Te espian a traves de tu celular

septiembre 30, 2010 Deja un comentario

Así es, tú puedes estar entre las ya muchas personas que tienen instalado un software espía en celulares tipo Smartphone (BlackBerry, Android, IPhone, WM, Symbian), pues se encuentran disponibles, piezas de software que al ser instalados en estos dispositivos pueden:
Registrar cada mensaje, incluido contenido, tipo SMS enviado o recibido, el 100% de las llamadas salientes y entrantes, los sitios web que visitaste desde tu teléfono. Y si lo tienes habilitado también puede informar de tu posición geográfica en todo momento.
Luego de que el software está instalado en el celular a espiar este grabará todas las actividades arriba citadas y luego enviará esta información de forma totalmente silenciosa a un sitio de Internet donde la persona que configuró el software podrá ver todos los detalles luego de colocar su usuario y password.
Si bien este software ha sido creado con la finalidad de controlar y evitar la fuga de información de empresas, está siendo utilizado ampliamente para fines menos “de negocio” pues tiene bastante éxito entre quienes espían a su conyugue o quienes quieren asegurarse que sus hijos solo usan el teléfono en horarios y para fines permitidos.
Como puedes evitar ser espiado con este software? y, tal vez aún más importante, como darte cuenta si ya lo eres? . Lo veremos en nuestra siguiente columna

Alvaro Cuadros