Auditoría de Sistemas Distribuidos by vct15937

VIEWS: 704 PAGES: 35

									                                          Auditoría de Sistemas
                                               Distribuidos




                                      AUDITORÍA DE
                                        SISTEMAS
                                      DISTRIBUIDOS


Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                     1
                                                                   Objetivo



         El objetivo general de la presentación es


             “INTENTAR CONCRETAR Y PRESENTAR EL ESTADO DEL ARTE
                   DE LA AUDITORÍA DE SISTEMAS DISTRIBUIDOS”

         Desarrollando brevemente:


                                      Definición de Auditoría y Sistema Distribuido
                                               ¿Cómo hacerlas confluir?
                                                  Pistas de Auditoría
                                             Situación actual y tendencias
Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                         2
                                                  Auditoría. Origen económico




                  Proceso sistemático de obtención y evaluación objetiva de evidencia acerca de las

                  aseveraciones efectuadas por terceros referentes a hechos y eventos de

                  naturaleza económica, para testimoniar el grado de correspondencia entre tales

                  afirmaciones y un conjunto de criterios convencionales, comunicando los

                  resultados obtenidos a los destinatarios y usuarios interesados.




                                                               Fuente: American Accounting Association

Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                            3
                                                   Auditoría de Sistemas de
                                                         Información

      NO ES:
      •     AUDITORÍA FINANCIERA, que tiene como objeto investigar la “imagen fiel”, es decir que el
            balance y cuenta de resultados de una entidad reflejan adecuadamente la realidad
            patrimonial.
      •     AUDITORÍA OPERATIVA que pretenda una revisión sistemática de las actividades de una
            organización para evaluar su rendimiento frente a estándares, cláusulas contractuales, etc.
      •     SEGURIDAD INFORMÁTICA, aunque más veces de lo necesario y deseable aparecen
            asociadas las palabras “seguridad” y “auditoría”, generalmente en productos comerciales.
            Las “audit trails” o pistas de auditoría de aplicaciones, bases de datos, etc., pueden ser
            empleados por responsables de seguridad, o por auditores de sistemas de información,
            pero las funciones de unos y otros, y el producto de sus trabajos, es muy distinto.
      •     EVALUACIÓN DEL RENDIMIENTO de los sistemas, aunque a veces en auditoría
            informática se efectúen tareas de “capacity assesment y performance appraisal”.
      •     “AUDITORÍA INFORMATIZADA”, aunque durante años se ha confundido en España la
            utilización de Técnicas de Auditoría Asistida por Ordenador con la Auditoría Informática.
Doctorado en Ingeniería Informática                                               Fuente: [LANZA02]
      M.J. Viscasillas - 2004                                                                             4
                                                     Auditoría de los Sistemas de
                                                             Información

      Y no siendo ninguna de estas cosas, sí comparte elementos sustanciales con ellas.


                                            Gobierno                 Gobierno
                                           Corporativo                 de TI


                            Auditoría               Auditoría                   Seguridad
                           Financiera
                                                de los Sistemas
                                                 de Información
                                                                         Evaluación del
                                      CAAT,s.                            rendimiento de
                                                                            sistemas
                                                         Auditoría
                                                         Operativa
Doctorado en Ingeniería Informática                                                         Fuente: [LANZA02]
      M.J. Viscasillas - 2004                                                                                   5
                                                    Auditoría de Sistemas de
                                                          Información


        Se puede definir la Auditoría de Sistemas de Información como

        Aquella revisión independiente que evalúa las operaciones de los sistemas de información
        automatizados de una Organización para determinar si estos sistemas producen información
        cualitativamente caracterizada por su fiabilidad, precisión, disponibilidad y seguridad, y si la
        forma en que esta información es producida atiende a los principios de economía, eficacia y
        eficiencia. [LANZA02]

                                      Conceptos clave:
                                         • Revisión independiente (Principio de independencia)
                                         • Evalúa operaciones (Búsqueda evidencia, hechos
                                           pasados)
                                         • Para determinar… (Alcance y Objetivos)
Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                              6
                                                         Sistemas Distribuidos


      •    Un sistema distribuido es aquel en el que los componentes localizados en computadores
           conectados en red, comunican y coordinan sus acciones únicamente mediante el paso de
           mensajes. [COU01]

      •    Colección de elementos de cómputo autónomo que se encuentran físicamente separados y
           no comparten una memoria común, se comunican entre sí a través del intercambio de
           mensajes utilizando un medio de comunicación.

      •    Colección de computadores independientes que se presentan ante los usuarios del sistema
           como un único computador [TAN ]

                                      Conceptos clave:
                                         • Computadores autónomos (plataformas heterogéneas)
                                         • Conectados en red (canal, protocolos,…)
                                         • Intercambio de mensajes (tiempos locales)

Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                        7
                                                 El proceso de la auditoría de
                                                   sistemas de información

              1. Definición del alcance y objetivo. Concretado documentalmente mediante la carta de
                 encargo, se fija qué se va a auditar, en qué entorno y ante quién se va a responder.

              2. Planificación de la auditoría. Definición del método y constitución del equipo de
                 trabajo.

              3. Recolección de la evidencia, construyendo una base sobre la que practicar las
                 pruebas necesarias. Debe ser suficiente, fiable, relevante y útil para alcanzar los
                 objetivos fijados.

              4. Evaluación de la evidencia, mediante pruebas específicamente diseñadas para ello, ya
                 sean substantivas o de cumplimiento.

              5. Formulación de un juicio profesional sobre cómo la información evaluada concuerda
                 con la realidad, tal y como el auditor percibe la realidad en ese momento.

              6. Comunicar los resultados. Hallazgos y recomendaciones. Informe de auditoría.

              7. Facilitar la implantación de los controles
Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                           8
                                           Recolección de la evidencia en
                                               un sistema distribuido


       La propia filosofía del sistema distribuido, uso compartido de recursos vistos como un todo
       único, exige que éste sea evaluado en términos de aplicaciones, valor de negocio, costes,
       efectividad, seguridad, etc. y no en función de su arquitectura.

       La arquitectura en capas de software viene dar una solución técnica a la posible
       heterogeneidad de las plataformas ofreciendo una “invisibilidad” de los componentes
       autónomos, pero la realidad es que la información de auditoría se genera en cada uno de ellos,
       debe ser recogida y posteriormente analizada de un modo conjunto.

       Normalmente la información se envía al analizador en un fichero. Pero… los datos son
       recogidos en sistemas y con formatos diferentes.




Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                           9
                                                      Esquema de auditoría


           En síntesis, un modelo sencillo de auditoría consiste en dos partes:
                      Recolector de datos de auditoría
                      Analizador de esos datos


           Una posible aproximación a un esquema básico de auditoría utilizando herramientas.
           Fundamentalmente, utilizado en Sistemas de detección de intrusos:




Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                   10
                                                Recolección de la evidencia en
                                                    un sistema distribuido

            Característica común de todas las definiciones :
                  Interconexión de los equipos en red

            Además de los datos de auditoría de cada componente hay que considerar de forma especial
            las de su interconexión.
            Las áreas de la gestión de la red que han sido analizadas y estandarizadas por ISO,
            comprenden la gestión de:
                     • Fallos. Dónde se produce, identificarlo, aislarlo, repararlo,…
                     • Contabilidad. Abuso de privilegios e usuario, planificar crecimiento,…
                     • Configuración. Inicialización, valor de los parámetros,…
                     • Prestaciones. Tráfico, cuellos de botella, tiempos de respuesta,…
                     • Seguridad. Control de accesos, cifrado, conf, disp, inte,…
              Una aproximación a la monitorización de redes puede encontrarse en [VEGA03]

Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                          11
                                                         Pistas de Auditoría


       Son una serie de registros de computador sobre las actividades del sistema operativo, de
       procesos o aplicaciones y/o de usuarios del sistema. [NIST96].
       Se generan por un subsistema que monitoriza las actividades del sistema, pudiendo ser
       utilizadas en una gran variedad de funciones, sobre todo dentro del ámbito de la seguridad
       informática, donde combinadas con herramientas y procedimientos adecuados, las pistas de
       auditoría pueden proporcionar un medio de ayudar a cumplir algunos objetivos, como por
       ejemplo:
                – Responsabilidad individual. Seguimiento de la traza de las acciones del usuario.
                – Reconstrucción de eventos. Investigaciones de cómo, cuándo y quién ha realizado las
                  operaciones una vez finalizadas.
                – Detección de intrusiones. Bien en tiempo real mediante un examen automático o
                  mediante procesos batch
                – Identificación de problemas. Además del punto anterior mediante su examen pueden
                  detectarse otra serie de problemas en el sistema.


Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                           12
                                              Pistas de Auditoría. Contenido


        En cuanto al contenido, la misma publicación señala que una Pista de Auditoría debe incluir
        suficiente información para establecer qué eventos han ocurrido y quién o qué los ha
        desencadenado.

        La definición del alcance y contenidos de las pistas de auditoría debe ser hecho con cuidado,
        balanceando las necesidades de seguridad con posibles niveles de prestaciones, privacidad u
        otros costes.

        En general, un registro deberá especificar:

                 – Tipo de Evento. El tipo de evento y su resultado, como por ejemplo: Intentos fallidos
                   de autenticación de usuario, cambios de perfiles de seguridad de usuarios o de
                   aplicaciones, eventos relevantes de seguridad,…

                 – Cuándo ha ocurrido el evento. Fecha y hora en la que se produjo el evento.

                 – Identificador de Usuario asociado con el evento.

                 – Programa o Comando usado para iniciar el evento.
Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                              13
                                                Pistas de Auditoría. Formatos
                                                         estándar (1)

      A lo largo del tiempo ha habido unos intentos para unificar los formatos de las pistas de
      auditoría. Podemos citar:

      Bishop’s Standard Audit Trail Format:
           – Establecido en 1995 para satisfacer las necesidades de extensibilidad y
               portabilidad entre sistemas heterogéneos y ser transportado usando varios
               protocolos de red.
               Cada registro consiste en campos separados por el símbolo “#” y delimitados por
               los símbolos de comienzo y fin “S” y “E”.
               El número de campos no es fijo y todos sus valores deben ser caracteres ASCII.



                    Una referencia del modelo se desarrolla en [BISH95]



Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                     14
                                           Pistas de Auditoría. Formatos
                                                    estándar (2)

      Normalized Audit Data Format (NADF):
          – Definido por los desarrolladores de ASAX, permite convertir cualquier pista de
              auditoría en un fichero de formato NADF. Durante la conversión cada registro del
              fichero de auditoría original es convertido en una secuencia de datos de auditoría,
              que son almacenados de forma separada en un registro NADF. Cada registro tiene
              tres campos:
                 • Identificador: Tipo del tipo de dato de auditoría (short integer 16 bits)
                 • Longitud: Longitud del valor del dato
                 • Valor: Valor del dato de auditoría




              – Una guía para implementar adaptadores NADF está descrita en [MOUN95]
Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                       15
                                                                       ASAX


      •     Analizador avanzado de pistas de auditoría para UNIX.
      •     Dispone de un lenguaje, basado en reglas, RUSSEL


                          Datos nativos


                            Conversor de            Regla 1
                              formato
                                                      Reglas activas
                                                                              Nueva
                                                                              Regla
                              Registros
                               NADF

                                                      Motor RUSSEL


                                                        Acciones
Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                         16
                                          Pistas de Auditoría. Formatos
                                                   estándar (3)

      Svr4++ Common Audit Trail Interchange Format for UNIX:
          – Formato específico para sistemas UNIX.
             Cada registro contiene: Tiempo, tipo de evento, identificador del proceso,
             resultado, información de usuario y grupo, identificador de sesión, información de
             etiquetado del proceso, información acerca de las características y objeto del dato.
             Todos los campos están en formato ASCII.
             Este estándar permite la portabilidad, pero no la extensibilidad.




Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                       17
                                         Pistas de Auditoría en entornos
                                                    de red (1)

      Para intentar estandarizar el contenido de las pistas de auditoría, de forma que se puedan
      analizar los datos procedentes de diferentes fuentes y se mejore la interoperatividad en un
      entorno de trabajo en red se propusieron algunos modelos:

      DoD Trusted Computer System Evsaluation Criteria (TCSEC):
          Norma creada por el National Computer Security Center para ser usada como referencia
          contra la que evaluar la garantía de seguridad de un producto o sistema. Definía 4 clases
          A, B, C y D.
          De acuerdo a la clase de nivel de aseguramiento definido en los criterios, se exigía
          disponer de pistas de auditoría para los niveles C2 a A1. La norma indicaba para cada uno
          la información necesaria.
          Por ejemplo, en un nivel C2, cada evento auditado debía contener: Fecha y hora del
          evento, identificador de usuario, tipo de evento, éxito o fallo del evento, origen de la
          solicitud de identificación/autenticación del evento y nombre de todos los objetos, uno a
          uno introducidos o borrados.


Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                         18
                                             Pistas de Auditoría en entornos
                                                        de red (2)

      Security Criteria for Distributed Systems:
          Creado por el Institute for Defense Analyses en 1995 para sistemas distribuidos, definía
          varios tipos de eventos que necesitaban ser auditados y los agrupaba en seis categorías:
                 • Política de administración y control de accesos
                 • Política de Integridad y Confidencialidad de datos
                 • Política no discrecional (Non-discretionary Policy Events)
                 • Política de Disponibilidad
                 • Política Criptográfica
                 • Dependientes y por defecto (Default and Dependent Events)

              La norma dice que para cada evento debe recogerse:
                     Fecha y hora, información del tema del atributo, identificación del host genera el
                     registro de auditoría, clase de evento e identificador del evento dentro de la clase
                     y resultado del evento (éxito o fallo).


Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                               19
                                                   Seguridad en sistemas
                                                        distribuidos

      Partiendo de una política de seguridad en la que se definan qué entidades del sistema tienen
      autorización para realizar qué acciones, entendiendo por entidades a usuarios, servicios, datos,
      máquinas, etc. es posible concretar qué mecanismos de seguridad deben ser exigidos para
      cumplir con la política.
      Los mecanismos son:
            – Cifrado de la información: Fundamental en la seguridad de un sistema distribuido.
               Permite que aunque los datos sufran un ataque, estos no puedan ser conocidos por el
               atacante.
            – Autenticación: Usada para verificar la identidad de la entidad.
            – Autorización: Una vez autenticada la entidad hay que comprobar si tiene los privilegios
               necesarios para realizar la acción que ha solicitado.
            – Auditoría: Permite hacer un seguimiento de qué clientes han accedido y por qué medio.
               La auditoría no proporciona protección, pero es muy útil en el seguimiento de la
               intrusión una vez que ha ocurrido. Si el posible atacante conoce la existencia de
               mecanismos de auditoría, estos pueden ser un buen elemento disuasorio. [TAYL03]


Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                            20
                                                   Seguridad en sistemas
                                                        distribuidos

      El número de referencias dedicadas a seguridad es muy grande, no así a auditoría.
      Un ejemplo:

      •     The 25th IEEE International Conference on Distributed Computing Systems (ICDCS 2005)
            be held in Columbus, Ohio, June 6-10, 2005.
            See details at: http://www.cse.msu.edu/icdcs/ICDCS-2005/



      Un enlace:
      Manual de Metodología abierta de testeo de
      seguridad.
      url: http://www.isecom.org




Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                      21
                                                                      XDAS


         En los sistemas distribuidos las actividades no se reducen a las de un componente
         individual, sino que se extienden a varios componentes. El propósito de un sistema
         distribuido es permitir a los usuarios finales utilizar los recursos de componentes de todo el
         sistema y no sólo de su estación de trabajo local.
         En un sistema distribuido surge la necesidad de monitorizar las actividades en y entre
         componentes, pero esto es muy difícil debido a la heterogeneidad de los mismos. No es
         fácil comparar la actividad que realizan dos elementos del sistema cuando los eventos de
         cada uno de ellos es monitorizado con un formato de registro diferente. Esto hace
         extremadamente difícil detectar y responder de forma oportuna a los intentos de intrusión.
         Open Group está desarrollando una especificación de propósito general en la industria que
         permita la auditoría global: XDAS.




Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                             22
                                                                  XDAS


      Distributed Audit Service (XDAS)
            The purpose of security audit services is to
            provide support for the principle of accountability
            and detection of security-policy violations in
            distributed systems. The XDAS specification
            defines a set of generic events of relevance at a
            global distributed system level, and a common
            portable audit record format to facilitate the
            merging and analysis of audit information from
            multiple components at the distributed system
            level. Four groups of APIs are provided to
            accomplish this. [OPEN98]




Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                            23
                                            Objetivo de la especificación
                                                        XDAS

      Definir:
             – Un conjunto global de eventos de relevancia a nivel global del sistema distribuido.
             – Un formato portable común de registro de auditoría para facilitar la combinación y
               análisis de información de auditoría procedente de componentes heterogéneos.
             – Un API para uso de las aplicaciones que submitan eventos a XDAS
             – Un API para importar a XDAS datos de auditoría desde componentes que tengan sus
               servicios específicos de registro de datos de auditoría
             – Un API para configurar los criterios de preselección de eventos para submitirlos a
               XDAS
             – Un API para leer registros desde las pistas de auditoría de XDAS.

      Este servicio está pensado para complementar a los servicios de auditoría específicos
      existentes en los distintos componentes y no para reemplazarlos. Los servicios locales
      analizarán con más nivel de detalle ciertos aspectos que no son relevantes para el sistema en
      su conjunto.


Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                         24
                                      XDAS. Visión global




Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                               25
                                                   Auditoría de seguridad de
                                                   sistemas de información


            La auditoría de la seguridad de SI implica proporcionar unas evaluaciones independientes
            de la las políticas, procedimientos, normas, medidas y prácticas de la Organización para la
            salvaguarda de la información electrónica contra pérdidas, daños, divulgaciones no
            deliberadas o denegación de disponibilidad.

            El alcance de trabajo de auditoría incluye la evaluación de controles generales y específicos
            de las aplicaciones.

            El estado actual de la tecnología exige procesos de auditoría que verifiquen los controles de
            los métodos de acceso originados por la conectividad en redes de área local, área extensa,
            intranets o Internet en el entorno de las Tecnologías de la Información.




Doctorado en Ingeniería Informática                                                   Fuente: [NSAA01]
      M.J. Viscasillas - 2004                                                                               26
                                      Guías de Auditoría




Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                              27
                                      Procedimientos de auditoría




Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                       28
                                      COBIT. Guías de auditoría




Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                     29
                                                          Otros trabajos (1)


      Normalizing Security Audir Data in XML-Format

            Asumiendo que hay algunos formatos de log tomados como estándares, la posibilidad de
            combinar datos procedentes de ellos sigue siendo un problema.

            En un nuevo intento de facilitar los trabajos de auditoría, en este informe técnico [CHEN04]
            se describe como establecer una representación intermedia e independiente de la
            plataforma que permita normalizar todos los logs de seguridad. El trabajo forma parte de
            otro más amplio que busca la detección de intrusiones utilizando técnicas de minería de
            datos.

            La implementación del formato de log propuesto se hace en XML. Además de flexible,
            extensible y heterogéneo XML aporta otras posibilidades como ser fácil de compartir,
            transmitir y almacenar en diferentes sistemas de computación.



Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                              30
                                                       Otros trabajos (2)


      Introducción:
           En el desarrollo y cumplimiento del ejercicio del control fiscal de acuerdo al Manual de
           Auditoría Fiscal para Bogotá (MAFISBO) se observa la carencia de un instrumento que
           permita hacer Auditoría de Sistemas y en especial al ambiente de Cliente / Servidor
           (C/S).
           Basado en mi experiencia como Auditor de Sistemas por más de diez años y como
           catedrádito de respetuosas universidades de Colombia, me atrevo a afirmar que en el país
           no existe una metodología que permita hacer control fiscal basado en AUDITORÍA DE
           SISTEMAS EN AMBIENTES DE CLIENTE SERVIDOR.

      Alcance:
          Esta metodología abarcará únicamente lo relacionado con la arquitectura CLIENTE /
          SERVIDOR y sus incidencias en el control fiscal de manera tal que brinde una herramienta
          sistemática y amplia en el ejercicio de la auditoria de sistemas en ambientes de cliente
          servidor para el ejercicio del control fiscal para los organismos que ejercen control
          gubernamental en Colombia. [OROZ02]

Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                         31
                                                                Conclusiones


      •     No existe un procedimiento de auditoría de sistemas distribuidos en su conjunto.

      •     Se continúan haciendo intentos para unificar los criterios de recogida de pistas de auditoría
            o al menos para poderlas compartir y tratar de forma conjunta.

      •     Las auditorías se centran en aspectos concretos del sistema. En base a ellos se definen
            objetivos y alcance, se concreta el equipo de trabajo y la auditoría se desarrolla mediante el
            método tradicional apoyada en las guías o estándares que el equipo estime convenientes.

      •     El uso de herramientas de monitorización y evaluación de las pistas de auditoría y de
            técnicas de inteligencia artificial distribuida abre nuevas formas de auditoría, llegando a ser
            imprescindibles en un futuro no muy lejano.

      •     Cada vez más y sobre todo en el campo de los sistemas distribuidos hay que tender a
            sustituir el término “auditor” por el de equipo de auditoría, formado por profesionales
            multidisciplinares.

Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                                 32
                                                             REFERENCIAS

       [LANZA02] Lanza Suárez, Pablo. Iniciación a la Auditoría de Sistemas de Información. 2ª Ed. INAP.
       2002. Pág,s. 17 y 22. disponible en Internet: http://www.auditoresdesistemas.com
       [NSAA01] National State Auditors Association and the U. S. General Accounting Office. A Joint
       Initiative: Management Planning Guide for Information Systems Security Auditing. Diciembre 2001.
       pág. 6. Disponible en Internet: http://www.gao.gov/special.pubs/mgmtpln.pdf
       [COU01] Coulouris, Dollimore, Kindberg. Sistemas distribuidos. Conceptos y Diseño. 3ª Ed. Addison
       Wesley-Pearson. Madrid. 2001.
       [TAYL03] Taylor, Ian. Security in Distributed Systems. 2003. Disponible en Internet:
       http://users.cs.cf.ac.uk/I.J.Taylor/DistributedSystems/Notes/lecture8.pdf
       [MOUN95] Mounji, Abdelazid. User Guide for Implementing NADF Adaptors. Institut d’Informatique
       des FUNDP. 1995. Disponible en Internet: http://www.dsinet.org/tools/various/nadf.ps.Z
       [NIST96] Swanson, Marianne; Guttman, Barbara. SP 800-14. Generally Accepted Principles and
       Practices for Securing Information Technology Systems. NIST. 1996. Disponible en Internet:
       http://csrc.nist.gov/publications/nistpubs/800-14/800-14.pdf
       [CHEN04] Chen, Ke-gang, Astrom, Orci. Technical Report: Normalizing Security Audit Data in XML-
       Format. Lulea University of Technology. 2004. Disponible en Internet: http://epubl.luth.se/1402-
       1536/2004/13/LTU-TR-0413-SE.pdf
Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                              33
                                                              REFERENCIAS

       [OROZ02] Orozco R, J.W. Auditoría de sistemas en ambientes de cliente servidor para el ejercicio
       del control fiscal. 2002. Disponible en Internet: http://www.asofis.org.mx/informacion.html
       [VEGA03] Vegas Hernández, Jesús. Ampliación de Redes. Universidad de Valladolid. 2003.
       Disponible en Internet: http://www.infor.uva.es/~jvegas/docencia/ar/arcap6.pdf
       Lafargue, Edouard. Wireless Network Audits using Open Source tools. SANS' Information Security
       Reading Room. 2003. Disponible en Internet: http://www.sans.org/rr/whitepapers/auditing/1235.php
       [OPEN98].The Open Group. Distributed Audit Services. Preliminary specification. 1998. Disponible
       en Internet: http://www.opengroup.org/pubs/catalog/p441.htm
       [BISH95] Bishop, Matt. Standard Audit Trail Format . 18th NIST-NCSC National Information Systems
       Security Conference. 1995. Disponible en Internet:
       http://citeseer.ist.psu.edu/cache/papers/cs/873/http:zSzzSzolympus.cs.ucdavis.eduzSz~bishopzSzsc
       rivzSz1995-nissc18.pdf/bishop95standard.pdf
       NIST. Special Publications. Serie 800.
            SP 800-47 Security Guide for Interconnecting Information Technology Systems. 2002
            SP 800-42 Guideline on Network Security Testing. 2003
       Disponibles en Internet: http://csrc.nist.gov/publications/nistpubs/index.html


Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                             34
                                                          Enlaces de Interés


      •     ISACA. Information Systems Audit and Control Association. url: http://www.isaca.org

      •     ITGI. Information Technology Governance Institute. url: http://www.itgi.org

      •     ASIA. Asociación de Auditores y Auditoría y Control de Sistemas y Tecnologías de la
            Información y las Comunicaciones. url: http://www.auditoresdesistemas.com (Capítulo de
            ISACA en Madrid)

      •     ISECOM. Institute for the Secyrity and Open Methodologies. url: http://www.isecom.org

      •     THE OPEN GROUP. url: http://www.opengroup.org

      •     NETWORK SECURITY LIBRARY. url: http://www.secinf.net/




Doctorado en Ingeniería Informática
      M.J. Viscasillas - 2004                                                                        35

								
To top