UNIVERSIDAD POLITÉCNICA SALESIANAUNIVERSIDAD POLITÉCNICA SALESIANAUNIVERSIDAD POLITÉCNICA SALESIANAUNIVERSIDAD POLITÉCNICA SALESIANA

AUDITORÍA INFORMÁTICA IIAUDITORÍA INFORMÁTICA II

20/04/2009 ADMINISTRACION SEGURIDAD INFORMATICAADMINISTRACION SEGURIDAD INFORMATICA

Arquitectura de Sistemas con aseguramientoN

TES

N

TES

Clientes Externos

Clientes M il

Clientes

Autenticación

Antivirus

CLI

ENC

LIEN Externos Moviles Internos Encripción

dad

Red LAN / WANRed LAN / WAN

TRA

NSP

OR

TE ACL´s

Monitoreo

EncripciónChecksum

nera

bilid

SST

Interfaces

AutorizaciónAdministración

as d

e Vu

lnC

AC

ION

ESC

AC

ION

ES

CalculosMotor de Ejecución

Interfaces

Reglas delNegocio

Auditabilidad

EncripciónPrue

ba

BASES de BASES de DATOSDATOS

APL

ICA

PLIC

LL ´́Servidor deServidor de DataWarehouseDataWarehouseC tC t T i lT i l ConfiguracionesConfiguraciones

Reglas de Seguridad Antivirus

Monitoreo

20/04/2009

DATOSDATOS(Logicas)(Logicas) LogLog´́ssServidor deServidor de

SeguridadSeguridad Correo, etc.Correo, etc. TransaccionalesTransaccionales ConfiguracionesConfiguraciones

Areas encargadas de toda la Seguridad Informática

Enfoque de la seguridadEnfoque de la seguridad

Enfocadas en la Enfocadas en la seguridad de las seguridad de las

AplicacionesAplicaciones

AplicaciónAplicación Enfocadas en la seguridadEnfocadas en la seguridad

Base de DatosBase de Datos

pp Enfocadas en la seguridad Enfocadas en la seguridad y uso de mejores prácticas y uso de mejores prácticas

a nivel de Sistema a nivel de Sistema Operativo o PlataformaOperativo o Plataforma

Enfocadas en la integridad Enfocadas en la integridad y aseguramiento de las y aseguramiento de las

Bases de DatosBases de Datos

Sistema Operativo / PlataformaSistema Operativo / Plataforma

TelecomunicacionesTelecomunicaciones

20/04/2009

Enfocadas en la seguridad y uso de Enfocadas en la seguridad y uso de mejores prácticas a nivel de mejores prácticas a nivel de

Dispositivos de RedDispositivos de Red

Gestión de la Seguridad informatica

EstándaresEstándaresProductos desplegados Productos desplegados Desarrollos propiosDesarrollos propios

Políticas de seguridad Políticas de seguridad Gestión de actualizaciones Gestión de actualizaciones Gestión de cambiosGestión de cambios Desarrollos propiosDesarrollos propiosGestión de cambiosGestión de cambiosPrevención de riesgosPrevención de riesgos

AuditoriasAuditorias

PersonasPersonasConcienciaciónConcienciaciónFormaciónFormación

PersonasPersonas

20/04/2009

FormaciónFormación

Antecedentes

CriptografiaM-banking seguro

ERPE-mailS t C d

Vídeo Conferencia

N

Extranetce Integrated Communications

M-banking seguro

ERPSecurityK

ISmart Cards

SVPNVo

ic

Desktop RefreshNetworkServices

OutsourceData Ma Security

PK S

Firewall Prot

Servicesanagemen

Switches e Hubs

ISO17799

DirLAN/WAN

tocolos

Software Standards

anetLegacy-to-Web

nt ISO17799

recto

ry Knowledge

LAN/WANDocument Management

Database

Servidores Intr

a20/04/2009

y

HubsTreinamento On-Line

Servidores ICambio de Cultura

S id dSeguridadIntroducción

Los recursos informáticos están sujetos a amenazas generadas por diferentes tipos de riesgos a los que están expuestos.riesgos a los que están expuestos.Es necesario implementar controles para prevenir, detectar o corregir los ataques de las amenazas para mitigar o disminuir los riesgospara mitigar o disminuir los riesgos. La seguridad involucra el establecimiento de un

sistema de control para proporcionar fid i lid d i id d di ibilid d d lconfidencialidad, integridad y disponibilidad de la

información.

120/04/2009

Areas de ataque a recursos informaticosAreas de ataque a recursos informaticosqqAtaques a S.O Ataques de Correo

Ataques a servicios Gusanos

Nuestros RecursosAplicaciones, Datos,

ComunicacionesAtaques a

aplicacionesAtaques de Virus

Comunicaciones,Propiedad Intelectual,

Documentos Confidenciales

aplicaciones

Dispositivos de Red Spyware

Fuerza Bruta Denegación de Serviciosg

Accesos Remotos

20/04/2009

Oficinas

Interno

Infraestructura tecnológica

I t t

Usuario remotoInterno

ExternoPortátiles

RED

Internet

WAN

Hand Helds

S

BD

Móviles

Smart Phones

PCs

S

ServerMóviles

Server

BD

20/04/2009

Repercusiones de la transgresión de seguridad

Pérdida debeneficios

Perjuicio de lareputación

D t i d l Pérdida oDeterioro de laconfianza del

inversor

Pérdida ocompromisode seguridadde los datos

Interrupción deDeterioro de la Interrupción delos procesos

empresariales

Deterioro de laconfianza del

clienteConsecuencias

legales

20/04/2009

Modelos de ataques

Contenido Web M li i

Correos o dj t M li i Maliciosoadjuntos Maliciosos

Ataques a desborde de Buffers

Ataques dirigidos a

Puertos

20/04/2009

Construcción de un ambiente seguroConstrucción de un ambiente seguro

Emprender en forma modular el paso a paso para la

ió d bi 7Proceso de Mejoramiento

Contínuoconstrucción de un ambiente seguro

56

7

Automatizacion de las soluciones

Auditorias Periódicas

Contínuo

34 Concientizacion y entrenamiento

5 Automatizacion de las soluciones

12 Políticas y Estructura

3 Soluciones informaticas

01 Auditoria

Levantamiento de informacion

20/04/2009

Seguridad en la firma DigitalAlice Bob

t ttextoplano

textoplano

textoplano pplano Bob chequea

La firma

firma firmado

Llave privada Llave pública

20/04/2009

Llave privadade Alice

Llave públicade Alice

Arquitectura tecnólogicaArquitectura tecnólogica

NT/W2K/NT/W2K/

Top SecretTop SecretSIEBELSIEBEL

SAPSAP NT/W2K/NT/W2K/UNIXUNIX

MSMS--ExchangeExchange

WebWebFarmFarmControle Controle

de de Acesso Acesso

Administração de Administração de perfis de perfis de AutoAuto--

InternetInternet

cessocessona Webna Web

ppatendimentoatendimento

GUI GUI Totalmente Totalmente FuncionalFuncionalUsuário Usuário

FinalFinalRede Rede

InternaInterna

Cliente GUI Cliente GUI AdminAdmin

Administração Administração DelegadaDelegada

AutoAuto--atendimentoatendimento na na Reconfiguração Reconfiguração

de senhade senha

Entrada Entrada AutomatizadaAutomatizada

PeoplesoftPeoplesoftArborArbor

Usuário Usuário FinalFinal

20/04/2009

PeoplesoftPeoplesoftIntranetIntranet

Agentes de Ataque a Empresas

Usuario Remoto Potencialmente InfectadoUsuario Local Usuario Local

Potencialmente Infectado

20/04/2009

Compromiso del nivel de seguridad físicaCompromiso del nivel de seguridad física

Dañar el hardwareVer, cambiaro quitar archivos

Instalar códigomalintencionado

Quitar hardware

20/04/2009

Descripción del ambiente Socio comercial Oficina principal

LAN LAN

Los perímetros de red

Servicios Internet Servicios InternetInternet

InternetS l

Los perímetros de redincluyen conexiones a: Sucursal

R dUsuario remotoSucursalesSocios comercialesUsuarios remotos LAN

Redinalámbrica

Usuario remoto

Redes inalámbricasAplicaciones de Internet

20/04/2009

Compromiso de seguridad del ambiente

Socio comercial Oficina principal

LAN LAN

Servicios Internet Servicios InternetInternetEl compromiso de seguridad en el

SucursalAtaque a la red corporativaAt l i

El compromiso de seguridad en elperímetro de red puede resultar en:

Redinalámbrica

Usuario remotoAtaque a los usuariosremotosAtaque desde un socio

i l LANcomercialAtaque desde una sucursalAtaque a servicios Internet

20/04/2009

qAtaque desde Internet

Aseguramiento del ambiente informatico

Socio comercial Oficina principal

LAN LAN

La protección del perímetroServicios Internet Servicios Internet

Internet

Servidores de seguridad

La protección del perímetrode red incluye:

Sucursal

Bloqueo de puertosde comunicaciónTraducción de direcciones

Redinalámbrica

Usuario remoto

IP y puertosRedes privadas virtualesProtocolos de túnel

LAN

20/04/2009

Protocolos de túnelCuarentena en VPN

Compromiso de seguridad del ambiente internoCompromiso de seguridad del ambiente interno

Acceso noautorizado a los

sistemasPuertos de

comunicación Acceso noinesperados

Acceso noautorizado a redes

inalámbricas

Rastreo deRastreo depaquetes

desde la redAcceso a todoAcceso a todo

el tráfico de red

20/04/2009

Principios de la SeguridadPrincipios de la Seguridad

P incipios básicosPrincipios básicos:ConfidencialidadIntegridadIntegridadDisponibilidadAuditabilidadAuditabilidad

Mecanismos aplicados:AutenticaciónAutorizaciónAdministraciónNo repudiaciónControl de acceso

ó

20/04/2009

Encripción

Mecanismo: Autorización

Administración de recursosP ifé iPeriféricosDirectorios, etc.

ArchivosArchivosOperaciones

PerfilesPerfilesNiveles de Sensibilidad

ACL’sACL sHorarios y holguraPrivilegios

20/04/2009

Privilegios

Mecanismo: Administración

Políticas Usuarios autorizadosRelación entre usuarios y recursosRelación entre usuarios y recursos

20/04/2009

Mecanismo: Auditabilidad y Registro

Verificación de reglas de autenticación i ióy autorización

Monitoreo de pistas pOcasionalPeriódicoPeriódicoPermanente

AlertasAlertas

20/04/2009

Objetivos

Diseñar controles de acceso y estándaresque permitan el uso racional de losrecursos informáticos al igual que laintegridad de la información, buscando:g

Identificación y autenticación delos usuarios.Autorización de acceso a lainformacióninformación.Encriptado de los datosconfidenciales.Backups automatizados yac ups auto at ados yconfiables.Estimular y facilitar la creación deuna cultura de seguridad eninformáticainformática.

Garantizar la adecuada protección fisicade los recursos informáticos.

20/04/2009

Objetivos

Identificar el nivel de sensibilidad de la

Objetivos

Identificar el nivel de sensibilidad de lainformación y establecerresponsabilidades por su manejo.Informar a los empleados de lasInformar a los empleados de laspoliticas de seguridad.Definir los requerimientos mínimos deseguridad de acuerdo con laseguridad, de acuerdo con lasensibilidad de la informacióninvolucrada.Definir atributos de seguridad para laDefinir atributos de seguridad para lainformación, los cuales se debenpreservar cuando se comparta lainformación con otras entidades.Garantizar la continuidad de lasoperaciones, ante una situación críticade suspensión del servicio informático.

20/04/2009

p

Obj iObjetivos

M i i l l é i d lMaximizar el valor estratégico delsistema de información sosteniendolos esquemas de autorización yseguridad en permanente operaciónseguridad en permanente operación,siguiendo y analizando las conductasseguidas por los usuarios.Asignar claramente lasAsignar claramente lasresponsabilidades en caso de usosinaceptables o no autorizados.Promover medidas de seguridad enPromover medidas de seguridad enbusca de mantener la integridad delsistema de información.Asegurar que los usuarios autorizadosAsegurar que los usuarios autorizadosy las demás personas involucradascon el manejo de la seguridad tienenconocimiento sobre las normas

20/04/2009

legales que afectan el tipo deinformación manejada.

Roles y Responsabilidades

Dirección de SistemaDesarrolladores Administrador de la Base DesarrolladoresSoporteSeguridad InformáticaAdministración del

de DatosDirector del Centro de ComputoDi ió N i lSistema

OperaciónUsuariosJefes de Area

Dirección Nacional, Oficinas o SucursalesAdministrador de la red

Jefes de AreaEntidades Externas

20/04/2009

Políticas Generales

Fortalecer la formación del empleado en materia de seguridad informáticaseguridad informática. Establecer programas de inducción para los empleados. Establecer la función de administración de seguridad en informática. Garantizar que el Sistema Operativo las Aplicaciones lasOperativo, las Aplicaciones, las Bases de Datos y las comunicaciones con los que se trabaja ofrezcan los estándares de seguridad aceptablesde seguridad aceptables.

20/04/2009

Políticas GeneralesPolíticas Generales

Proteger los recursos informáticos mediante medidas de seguridad física. Limitar el uso de los recursos informáticos a los usuarios autorizados. Mantener un inventario de hardware y software instalado en los diferentes equipos. D ll d i i ftDesarrollar o adquirir un software que detecte o evite instalación de software no autorizado. Delimitar responsabilidades yDelimitar responsabilidades y funciones. Revisar periódicamente el ambiente de seguridad informática.

20/04/2009

de seguridad informática.

Normas de Seguridadg

Ambiente OrganizacionalAmbiente OrganizacionalSeguridad FísicaSeguridad LógicaSeguridad Lógica

Sistema OperativoBase de DatosBase de DatosAplicación

20/04/2009

Normas de SeguridadAmbiente Organizacionalg

Las Políticas de seguridad deben ser difundidas y apoyadaspor las altas directivas.

La seguridad debe entenderse como un conjunto homogéneo y coordinado de medidas aplicables a toda la organización.Composición y responsabilidades de funcionarios de sistemasManejo adecuado de políticas de personalEvaluación de los usuariosRevisión del cumplimiento de la normatividad internaPolíticas de mantenimiento de los equipos del sistemaPolíticas de mantenimiento de los equipos del sistemaIdentificación de los equipos informáticos y pólizas de seguridadPanorama o mapa de riesgos de la organización

20/04/2009

Panorama o mapa de riesgos de la organización.

Normas de SeguridadSeguridad FisicaSeguridad Fisica

Acceso Físico a Formatos especialesAcceso Físico a Formatos especialesAcceso Físico a los Recursos InformaticosAcceso al Centro de ComputoAcceso a Reportes y Medios MagnéticosAcceso RemotoDemarcación Física de ZonasDemarcación Física de ZonasSalas de computo o centros de procesamiento de datos Seguras

20/04/2009

Normas de SeguridadS id d Fi iSeguridad Fisica

Espacios de ServiciosEspacios de ServiciosAlmacenamiento de Respaldos Magnéticos Respaldo EléctricopAcceso a Zonas RestringidasPrevención de Contingencias

20/04/2009

Normas de SeguridadSeguridad LógicaSeguridad Lógica

Control de Acceso al Sistema.Control de Acceso al Sistema.Acceso a Datos en ProducciónUso de ContraseñasEstaciones de TrabajoEstaciones de TrabajoMovimiento de personalExcepciones a las NormasSeguridad en las ActualizacionesEntrenamiento a los Empleados

20/04/2009

Normas de SeguridadS id d L iSeguridad Logica

Departamento de SistemasDepartamento de SistemasSoftware y DatosNuevas AplicacionesManejo de Cuentas InactivasAcceso de los usuariosAcceso de Agentes ExternosAcceso de Agentes ExternosRecuperación de DesastresBackup

20/04/2009

Barreras de Seguridadg

Sistema OperativoSistema OperativoBase de DatosAplicaciónAplicaciónComunicaciones

20/04/2009

AplicaciónObjetivo General

Adquirir un software o desarrollar un Sistema deInformación, que permita la administración de laseguridad del Sistema de manera centralizadaseguridad del Sistema de manera centralizada,garantizando confidencialidad, integridad de losdatos, oportunidad, disponibilidad, consistencia,control auditoria Este software o desarrollo debe sercontrol, auditoria. Este software o desarrollo debe serla base para el manejo de la seguridad al nivel detodos los futuros desarrollos

20/04/2009

AplicaciónObjetivos EspecíficosObjetivos Específicos

Ad i i d ll h i t d jAdquirir o desarrollar una herramienta de manejointuitivo y de tecnología abiertaCentralizar y controlar administración de usuariosCentralizar y controlar administración de usuariosRegistro de las transacciones de cada usuariosSistema eficiente de control y creación de usuarios.Sistema eficiente de control y creación de usuarios.Chequear y registrar los mas recientes ingresos porusuario, dar de baja cuentas no usadas durante undeterminado período de tiempo

20/04/2009

Aplicación Objetivos Específicosj p

Proveer un sistema de Monitoreo, auditoría yProveer un sistema de Monitoreo, auditoría yevaluación para problemas de seguridad.Controlar el acceso por perfiles de usuario.Di ñ t l l ió d l t ñDiseñar controles para la creación de las contraseñasRestricción de acceso en tres nivelesGenerar procesos de cambio regular de contraseñas yGenerar procesos de cambio regular de contraseñas yanexo de rutinas de verificación de su complejidad.Registrar log de accesos y eventos sobre opciones yprocesos críticosprocesos críticos

20/04/2009

Aplicación Admón. de Contraseñas

Aplicación de políticas y estándares de contraseñas.óManejo de Cuentas Viejas y Expiración

Escaneo de intentos de login fallidosSincronización de las contraseñasSincronización de las contraseñasDetectar contraseñas cambiadas por vías diferentes.Registro de información de cambios en contraseñas.gUtilización de las fechas de expiración de las cuentasManejo de cuentas inactivas o sin uso

20/04/2009

AplicaciónAuditoriaAuditoria

Información de usuarios ejecutando la aplicaciónTiempo de conexión de los usuarios activosRegistro de las actividades.Para accesos no autorizados posibilidad de rastrear comofue habilitado para tal accesoRegistro de intentos de uso de privilegios del sistema,sentencias SQL u operaciones sobre objetos.Registro no solo de las ventanas alteradas sino de lasRegistro no solo de las ventanas alteradas sino de lascampos específicos al igual que el anterior valorAlerta en tiempo real a personal clave sobre la alteraciónde campos altamente sensitivosde campos altamente sensitivos.

20/04/2009

Aplicaciónadmón de Políticasadmón. de Políticas

Verificación de usuarios no autorizados con acceso ai f ió i iinformación criticaRegistro de quienes poseen los mas altos privilegiosRegistro de información o procesos accesible por fuerag p pde la aplicaciónVerificación de usuarios y los roles.Eliminación o bloqueo temporal de UsuariosEliminación o bloqueo temporal de Usuarios.Auditoría sobre los accesos a las opciones.Auditoría sobre la ejecución de procesos críticos.Opción de revocar los privilegios detectados como noautorizados

20/04/2009