Auditoria de Seguridad a - JCOR

8/8/2019 Auditoria de Seguridad a - JCOR

1/17

Auditoria de Seguridad Informtica

Resumen: El presente trabajo tiene por finalidad brindar informacin sobre la las posiblesfalencias que se presentan en la administracin de seguridad informtica a travs de la

evaluacin de las defensas disponibles que permiten ayudar a enfrentar las brechas,vulnerabilidades o contingencias que se presenten, con la finalidad de identificarlas ypoder mitigar los riesgos de seguridad existentes en una organizacin.Keywords: Auditoria, riesgo, seguridad.

1.- INTRODUCCION

Las empresas dependen, cada da ms, de las computadoras en el logro de sus objetivos y estrategiasde negocio. La competencia y el cambio siguen afectando a las empresas y aunque el uso de lasTecnologas de Informacin les provee competencia, su evolucin obliga a su cambio constante para

que las empresas mantengan la ventaja competitiva de los avances tecnolgicos en el manejo delnegocio.

Con esto va de la mano el uso de Internet que se encuentra en aumento, cada vez ms compaas permiten a sus socios y proveedores acceder a sus sistemas de informacin. Por lo tanto, esfundamental saber qu recursos de la compaa necesitan proteccin para as controlar el acceso alsistema y los derechos de los usuarios del sistema de informacin. Los mismos procedimientos seaplican cuando se permite el acceso a la compaa a travs de Internet.Adems, debido a la tendencia creciente hacia un estilo de vida nmada de hoy en da, el cual permitea los empleados conectarse a los sistemas de informacin casi desde cualquier lugar, se pide a losempleados que lleven consigo parte del sistema de informacin fuera de la infraestructura segura de lacompaa.

Con un enfoque de sistemas, la auditora y consultora informtica estn para evaluar la confiabilidad,confidencialidad, integridad y disponibilidad de la informacin, adems de la alineacin de lasestrategias informticas a las del negocio, su control y direccin, as como la salvaguarda de lainformacin y de la tecnologa que la soporta, como principales activos del negocio, y la existencia deuna cultura organizacional y de la informacin, hoy son factores crticos de xito para toda empresaque soporte sus estrategias y operaciones en las Tecnologas de Informacin.

Desafortunadamente para muchas empresas la cuestin de la auditora y seguridad informtica es unasunto no prioritario. Por tratarse de "algo que no se ve" las empresas no destinan presupuesto paramantener niveles mnimos de seguridad en sus instalaciones informticas. Para qu gastar dinero enalgo que "no urge"...

Algunas empresas hacen "algo" slo cundo tienen el problema encima y hay que entregar ya!resultados. Se dan cuenta que "algo" no funcion o funcion mal, que no lo previnieron. Actancuando supieron que alguien viol sus instalaciones y con ello la confidencialidad de su informacinpor no hablar de la seguridad e integridad de la misma. No supieron prevenir el hecho que enocasiones puede ser tan lamentable al resultar daada su imagen y su informacin. Y, "una vezahogado el nio..."

Evale sus sistemas peridicamente, revise qu tan eficiente y efectivo son los controles informticosque tiene implantados, haga auditora de sistemas y de la seguridad informtica.

No espere a tener sorpresas que le ocasionen ms gasto del que "cree" que implica la prevencin quesignifica el invertir en una auditora de sistemas y de la seguridad de su informacin.

2.- DEFINICIN DE AUDITORIA DE SEGURIDAD


2/17

Se podra definir como la revisin exhaustiva, tcnica y especializada que se realizada a todo lorelacionado con la seguridad del entorno informtico, de sus reas y personal, as como las actividades,funciones y acciones preventivas y correctivas que contribuyen al salvaguardar la seguridad de losequipos informticos, de las bases de datos, redes, sistemas, instalaciones y usuarios del mismo.

Dentro de los elementos que estudia la auditoria de seguridad esta los riesgos, que en trminos deseguridad, se caracterizan por lo general mediante la siguiente ecuacin:

La amenaza representa el tipo de accin que tiende a ser daina, mientras que la vulnerabilidad(conocida a veces como falencias o brechas) representa el grado de exposicin a las amenazas en uncontexto particular. Finalmente, la contramedida representa todas las acciones que se implementanpara prevenir la amenaza.

Las contramedidas que deben implementarse no slo son soluciones tcnicas, sino tambin reflejan la

capacitacin y la toma de conciencia por parte del usuario, adems de reglas claramente definidas.Para que un sistema sea seguro, deben identificarse las posibles amenazas y por lo tanto, conocer yprever el curso de accin del enemigo. Por tanto, el objetivo de este informe es brindar una perspectivageneral de las posibles motivaciones de los hackers , categorizarlas, y dar una idea de cmo funcionanpara conocer la mejor forma de reducir el riesgo de intrusiones.

3.- POR QUE ES IMPORTANTE LA AUDITORIA DE SEGURIDAD?

Es importante por los siguientes aspectos que constituyen riesgos latentes que afectan a la seguridad:

- Se puede difundir y utilizar resultados o informacin errnea si los datos son inexactos o los

mismos son manipulados, lo cual abre la posibilidad de que afecte seriamente las operaciones,tomas de decisiones o la imagen de la empresa.

- Las computadoras, servidores y centros de base de datos se han convertido en blanco parafraudes, espionaje, delincuencia y terrorismo informtico.

- La continuidad de las operacin, administracin y organizacin de la empresa no debepermanecer en un sistema mal diseado, ya que podra convenirse en un serio peligro para laempresa.

- Existen grandes posibilidades de robo de secretos comerciales, informacin financiera,administrativa, la transferencia ilcita de tecnologa y dems delitos informticos.

- Mala imagen e insatisfaccin de los usuarios porque no reciben el soporte tcnico adecuado ono se reparan los daos de hardware ni se resuelven los problemas en un lapso razonable, esdecir, el usuario percibir que est abandonado y desatendido permanentemente, esto dar unamala imagen de la organizacin.

- En el Departamento de Sistemas se observa un incremento de costos, inversiones injustificadas odesviaciones presupuestarias significativas.

- Evaluacin de nivel de riesgos en lo que respecta a seguridad lgica, seguridad fsica yconfidencialidad.

- Mantener la continuidad del servicio, la elaboracin y la actualizacin de los planes decontingencia para lograr este objetivo.

Riesgos =Amenaza x Vulnerabilidad

Contramedida


3/17

- El inadecuado uso de la computadora para usos ajenos a la organizacin que puede llegar aproducir problemas de infiltracin, borrado de informacin y un mal rendimiento.

- Las comunicaciones es el principal medio de negocio de las organizaciones, una dbiladministracin y seguridad podra lograr una mala imagen, retraso de negocios, falta deconfianza para los clientes y una mala expectativa para la produccin.

- Evaluacin de los riesgos de Internet (operativos, tecnolgicos y financieros) y as como suprobabilidad de ocurrencia.

- Evaluacin de vulnerabilidades y arquitectura de seguridad implementada.

- Verificar la confidencialidad e integridad de las aplicaciones y la publicidad negativa comoconsecuencia de ataques exitosos por parte de hackers.

La Auditoria de la Seguridad Informtica en la informtica abarca el concepto de seguridad fsica ylgica. La seguridad fsica se refiere a la proteccin de hardware y los soportes de datos, as tambincomo la seguridad del los edificios y las instalaciones que lo albergan. Esto mismo contemplasituaciones de incendios, inundaciones, sabotajes, robos, catstrofes naturales, etc.

Por su parte la seguridad lgica se refiere a la seguridad del uso de software, proteccin de lainformacin, procesos y programas, as como el acceso ordenado y autorizado de los usuarios a lainformacin.

El auditar la seguridad de los sistemas, tambin implica que se debe tener cuidado que no existancopias piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad detransmisin de virus.

4.- OBJETIVO DE LA AUDITORIA DE SEGURIDAD INFORAMTICA

Generalmente, los sistemas de informacin incluyen todos los datos de una compaa y tambin en elmaterial y los recursos de software que permiten a una compaa almacenar y hacer circular estosdatos. Los sistemas de informacin son fundamentales para las compaas y deben ser protegidos.

Generalmente, la seguridad informtica consiste en garantizar que el material y los recursos desoftware de una organizacin se usen nicamente para los propsitos para los que fueron creados ydentro del marco previsto.La seguridad informtica se resume, por lo general, en cinco objetivos principales:

Integridad: garantizar que los datos sean los que se supone que son

Confidencialidad: asegurar que slo los individuos autorizados tengan acceso a los

recursos que se intercambian Disponibilidad: garantizar el correcto funcionamiento de los sistemas de informacin

Evitar el rechazo: garantizar de que no pueda negar una operacin realizada.

Autenticacin: asegurar que slo los individuos autorizados tengan acceso a los

recursos

CONFIDENCIALIDADLa confidencialidad consiste en hacer que la informacin sea ininteligible para aquellos individuosque no estn involucrados en la operacin.

INTEGRIDAD


4/17

La verificacin de la integridad de los datos consiste en determinar si se han alterado los datosdurante la transmisin (accidental o intencionalmente).

DISPONIBILIDADEl objetivo de la disponibilidad es garantizar el acceso a un servicio o a los recursos.

NO REPUDIOEvitar el repudio de informacin constituye la garanta de que ninguna de las partes involucradaspueda negar en el futuro una operacin realizada.

AUTENTICACINLa autenticacin consiste en la confirmacin de la identidad de un usuario; es decir, la garanta paracada una de las partes de que su interlocutor es realmente quien dice ser. Un control de accesopermite (por ejemplo gracias a una contrasea codificada) garantizar el acceso a recursos nicamentea las personas autorizadas.

NECESIDAD DE UN ENFOQUE GLOBAL

Frecuentemente, la seguridad de los sistemas de informacin es objeto de metforas. A menudo, se lacompara con una cadena, afirmndose que el nivel de seguridad de un sistema es efectivo nicamentesi el nivel de seguridad del eslabn ms dbil tambin lo es. De la misma forma, una puerta blindadano sirve para proteger un edificio si se dejan las ventanas completamente abiertas.Lo que se trata de demostrar es que se debe afrontar el tema de la seguridad a nivel global y que debeconstar de los siguientes elementos:

Concienciar a los usuarios acerca de los problemas de seguridad

Seguridad lgica, es decir, la seguridad a nivel de los datos, en especial los datos de la

empresa, las aplicaciones e incluso los sistemas operativos de las compaas.

Seguridad en las telecomunicaciones: tecnologas de red, servidores de compaas, redes

de acceso, etc.

Seguridad fsica, o la seguridad de infraestructuras materiales: asegurar las habitaciones,los lugares abiertos al pblico, las reas comunes de la compaa, las estaciones de trabajode los empleados, etc.

5.- LOS BENEFICIOS DE UN SISTEMA DE SEGURIDAD SON:

Desarrollar un sistema de seguridad significa planear, organizar, coordinar dirigir y controlar lasactividades relacionadas a mantener y garantizar la integridad fsica de los recursos implicados en la

funcin informtica, as como el resguardo de los activos de la empresa. Involucra otros aspectosgenerales como:

- Aumento de la productividad- Aumento de la motivacin del personal- Compromiso con la misin de la compaa- Mejoras de las relaciones laborales- Mejoras del rendimiento- Mayor profesionalismo- Ayuda a formar equipos competentes- Mejora los climas laborares de los RR.HH

6.- ESTANDARES INTERNACIONALES DE SEGURIDAD


5/17

En materia de Auditora de Sistemas de Informacin existen varias metodologas desde el enfoque decontrol a nivel internacional. Algunas de las ms importantes para los profesionales de la contabilidady la auditora son:

ISACA (COBIT) COSO AICPA (SAS) IFAC (NIA) SAC MARGERIT EDP

A) ISACA-COBIT

The Information Systems Audit and Control Foundation, ISACA (http://www.isaca.org). Es laasociacin lider en Auditora de Sistemas, con 23.000 miembros en 100 pases.

ISACA propone la metodologa COBIT (Control Objectives for Information and relatedTechnology). Es un documento realizado en el ao de 1996 y revisado posteriormente, dirigido aauditores, administradores y usuarios de sistemas de informacin, que tiene como objetivos decontrol la efectividad y la eficiencia de las operaciones; confidencialidad e integridad de lainformacin financiera y el cumplimiento de las leyes y regulaciones.

COBIT v 4.0 [19-ene-2007]; COBIT (http://www.isaca.org/cobit.htm). Objetivos de Control parala Informacin y Tecnologas Afines. Est disponible en espaol el Resumen Ejecutivo, Marco deReferencia, Objetivos de Control, Directrices de Auditora y Conjunto de Herramientas deImplementacin.

El COBIT se desarrolla a travs de varios captulos: planificacin y organizacin, adquisicin e

implementacin, desarrollo, soporte y control.

Planificacin y organizacinPo1 Definicin de un plan estratgicoPo2 Definicin de la arquitectura de informacinPo3 Determinacin de la direccin tecnolgicaPo4 Definicin de organizacin y relacionesPo5 Administracin de la inversinPo6 Comunicacin de las polticasPo7 Administracin de los recursos humanosPo8 Asegurar el cumplimiento con los requerimientos ExternosPo9 Evaluacin de riesgosPo10 Administracin de proyectos

Po11 Administracin de la calidad

Adquisicin e implementacinA11. Identificacin de soluciones automatizadasA12. Adquisicin y mantenimiento del software aplicativoA13. Adquisicin y mantenimiento de la infraestructura tecnolgicaA14. Desarrollo y mantenimiento de procedimientosA15. Instalacin y aceptacin de los sistemasA16. Administracin de los cambios

Prestacin y soporteDs1. Definicin de los niveles de serviciosDs2. Administrar los servicios de terceros

Ds3. Administrar la capacidad y rendimientosDs4. Asegurar el servicio continuo


6/17

Ds5. Asegurar la seguridad de los sistemasDs6. Entrenamiento a los usuariosDs7. Identificar y asignar los costosDs8. Asistencia y soporte a los clientesDs9. Administracin de la configuracinDs10. Administracin de los problemas

Ds11. Administracin de los datosDs12. Administracin de las instalacionesDs13. Administracin de la operacin

ControlM1. Monitoreo del cumplimiento de los objetivos de los procesos de tecnologa de lainformacin.M2. Obtener realizacin de las evaluaciones independientes

B) COSO

The Committee of Sponsoring Organizations of the Treadway Commission's Internal Control -

Integrated Framework (COSO).

Publicado en 1992 hace recomendaciones a los contables de gestin de cmo evaluar, informar eimplementar sistemas de control, teniendo como objetivo de control la efectividad y eficiencia delas operaciones, la informacin financiera y el cumplimiento de las regulaciones que explica en loscomponentes del ambiente de control, valoracin de riesgos, actividades de control, informacin ycomunicacin, y el monitoreo.

C) AICPA-SAS

The American Institute of Certified Public Accountants' Consideration of the Internal ControlStructure in a Financial Statement Audit (SAS 55), que ha sido modificado por el (SAS 78), 1995.

Da una gua a los auditores externos sobre el impacto del control interno en la planificacin ydesarrollo de una auditora de estados financieros de las empresas, presentado como objetivos decontrol la informacin financiera, la efectividad y eficiencia de las operaciones y el cumplimientode regulaciones, que desarrolla en los componentes de ambiente de control, valoracin de riesgo,actividades de control, informacin, comunicacin y monitoreo.

Systrust, la respuesta de AICPA y the Canadian Institute of Chartered Accountants (CICA)

Systrust (http://infotech.aicpa.org/...) es un producto lanzado por AICPA y CICA para que los CPA(Contables colegiados) asesoren en temas de auditora informtica.

"SysTrustTM Principles and Criteria for Systems Reliability" utiliza los siguientes cuatroprincipios para evaluar si un sistema de informacin es fiable:

Disponibilidad Seguridad Integridad Que se puede mantener

D) IFAC-NIA

La Federacin Internacional de Contables IFAC (http://www.ifac.org) emiti las NormasInternacionales de Auditora NIA 15, 16 y 20 en 1991.

IFAC muestra en la NIA 15 (Auditora en Entornos Informatizados) una referencia de controlespara procesamiento electrnico de datos y la necesidad de estos cuando estamos en ambientes


7/17

donde los instrumentos tradicionales del papel y dems pistas de auditora no son visibles para loscontables en el momento de realizar su trabajo.

La NIA 16 (Tcnicas de Auditora Asistida por Computador) describe tcnicas y procedimientosde auditora que se pueden hacer en entornos informatizados con ayuda de los computadores yotras tecnologas.

La NIA 20 nos presenta los efectos de un entorno informatizado en la evaluacin de sistemas deinformacin contables. Junto con las dems normas dan una gua al auditor de los controles engeneral a tener en cuenta en un ambiente informatizado y en las aplicaciones que procesan lainformacin, as como tcnicas de auditora asistidas por computador y su importancia.

Para aprender ms: Descargue en IFAC el documento en pdf "Information Security Governance":(http://www.ifac.org/Members/DownLoads/Info_Security_final.pdf_1.pdf)

E) SAC

The Institute of Internal Auditors Research Foundation's Systems Auditability and Control (SAC).

Realizado en 1991 y revisado posteriormente. Ofrece una gua de estndares y controles para losauditores internos en el rea de auditora de sistemas de informacin y tecnologa. Tiene comoobjetivos de control la efectividad y eficiencia de las operaciones, la integridad de la informacinfinanciera y el cumplimiento de normas y regulaciones que explica en el ambiente de control,sistemas manuales y automatizados y procedimientos de control.

F) MARGERIT

Consejo superior de informtica del ministerio de administraciones pblicas de EspaaMARGERIT (Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin).

1997

Es una metodologa de anlisis y gestin de riesgos de los sistemas de informacin de lasadministraciones pblicas, emitida en el ao 1997 por el consejo superior de informtica y recogelas recomendaciones de las directivas de la Unin Europea en materia de seguridad de sistemas deinformacin, esta metodologa presenta un objetivo definido en el estudio de los riesgos queafectan los sistemas de informacin y el entorno de ellos haciendo unas recomendaciones de lasmedidas apropiadas que deberan adoptarse para conocer, prevenir, evaluar y controlar los riesgosinvestigados. Margerit desarrolla el concepto de control de riesgos en las guas de procedimientos,tcnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales.

G) EDP

La E.D.P. Auditors Foundation (EDPAF) fundada en 1976, es otra entidad de carcter educativo einvestigativo en los temas sobre estndares para la auditora de los sistemas de informacin.

Esta fundacin ha investigado sobre controles en los sistemas de informacin, generando los diezestndares generales de auditora de sistemas y el cdigo de tica para los auditores de sistemasque relacionamos a continuacin.

Para una auditora de seguridad de caja negra normalmente comienza con trabajos desde el exterior,para encontrar puntos dbiles y ganar algn tipo de acceso a los sistemas, y una vez conseguido esteacceso, examinar el sistema para escalar privilegios y tomar control sobre l. Estas pruebas desdehace tiempo se vienen realizando basndose en el estndar OSSTMM (Open Source TestingMethodology Manual) o el documento SP 800-46 del NIST (instituto de estndares americano) quecontemplan las pruebas


8/17

a realizar para realizar una revisin de seguridad tcnica completa.En el caso de una auditora de caja blanca el objetivo no es lograr el acceso (la empresa loproporciona para realizarla) sino revisar las medidas de seguridad implementadas en el sistema y suconformidad, o no, con estndares reconocidos y guas de "buenas prcticas", como por ejemplo, lostrabajos del instituto de estndares norteamericanos, NIST, el CSI, Center of Internet Security, o delSANS Institute.

7.- METODOLOGA DE TRABAJO DE AUDITORIA

El mtodo del auditor pasa por las siguientes etapas:

- Alcances y Objetivos de la Auditoria Informtica.- Estudio inicial del entorno auditable.- Determinacin de los recursos necesarios para realizar la auditoria.- Elaboracin de Plan y de los Programas de trabajo.- Actividades propiamente dichas de la auditoria.- Confeccin y elaboracin del informe final.

Como he dicho antes las comunicaciones son la base de los negocios modernos, pues sin las mismasninguna empresa podra sobrevivir. Para esta razn, es necesario que las organizaciones mantengan asus servidores, datos e instalaciones lejos de los hackers y piratas informticos.

La privacidad de las redes es un factor muy importante ya que las empresas se sienten amenazadaspor el crimen informtico. El mantener una red segura fortalece la confianza entre los clientes de laorganizacin y mejora su imagen corporativa, ya que muchos son los criminales informticos queacechan da a da.

Por lo cual el auditor o consultor informtico ayuda a mantener la privacidad de las redes, trabajandoen los siguientes factores: Disponibilidad - Autentificacin - Integridad - Confidencialidad

Es preciso tener en cuenta todos los factores que puedan amenazar la privacidad y no solamente losintencionados. Desde el punto de vista de los usuarios, los peligros derivados de los incidentes delentorno o de errores humanos que alteren la red pueden ser tan costosos como los ataquesintencionados. La seguridad de las redes y la informacin puede entenderse como la capacidad de lasredes o de los sistemas de informacin para resistir, con un determinado nivel de confianza, todos losaccidentes o acciones malintencionadas, que pongan en peligro la disponibilidad, autenticidad,integridad y confidencialidad de los datos almacenados o transmitidos y de los correspondientesservicios que dichas redes y sistemas ofrecen o hacen accesibles.

8.- ASPECTOS AUDITABLES EN LA SEGURIDAD INFORMTICA

La auditora de seguridad permite determinar la situacin actual de la seguridad en los sistemas de

informacin y en las comunicaciones para, de esto modo, poder decidir qu se debe mejorar yactuar en consecuencia. Este proceso se fundamenta en las pautas establecidas en OSSTMM, con lasnecesarias adaptaciones en las diferentes actuaciones de la auditora; as mismo se posibilita laverificacin en el cumplimiento de las recomendaciones recogidas en la norma ISO-17799.

En funcin de las necesidades definidas, la auditora puede incluir varias de las actuaciones que sedetallan a continuacin.

INVENTARIO

Realizar un inventario de los diferentes sistemas informticos (hardware y software) que formanparte de la infraestructura tecnolgica, as como de la carga de trabajo que soporta esa infraestructura.

SEGURIDAD PERIMETRAL


9/17

Auditar la configuracin de cortafuegos, sistemas de deteccin de intrusiones,proxys de aplicaciones,filtrado de contenidos, sistemas contra el correo basura, etc.

Permite por tanto determinar la fortaleza frente a intentos de acceso no autorizados, tanto desde elexterior como desde el interior, y la posibilidad de detectarlos si se llegan a producir; analizandotambin los sistemas de respuesta implementados.

PRUEBAS DE PENETRACIN INTERNA Y/O EXTERNA

Determinar si es posible el acceso a sistemas sensibles y el grado de acceso desde el exterior y/odesde el interior de la red corporativa.

ANLISIS DE VULNERABILIDADES INTERNA Y/O EXTERNA

Determinar si los sistemas adolecen de errores conocidos, bien debidos al propio software o bien auna incorrecta configuracin, explotables desde el exterior y/o interior de la red corporativa, as comola existencia de puertas traseras conocidas y normalmente instaladas por cdigo maligno (virus,troyanos, etc.).

ACTUALIZACIN Y PARCHEADO DE SISTEMAS.

Comprobar el grado de actualizacin de los diferentes elementos de la infraestructura informticacorporativa.

CORRECTA IMPLANTACIN DE SISTEMAS CONTRA EL CDIGO MALIGNO

Revisar la correcta instalacin, configuracin y actualizacin de antivirus, sistemas contra cdigoespa, etc.

VERIFICACIN DE INTEGRIDAD

Comprobar la implantacin de soluciones que permitan verificar la integridad de los sistemas paraque, de este modo, sea ms fcil y rpido determinar si un sistema ha sido comprometido y en qugrado.

SEGURIDAD DE APLICACIONES

Determinar si la solucin adoptada para realizar una determinada tarea es la adecuada en trminos deseguridad informtica y, en todo caso, su correcta implementacin; esto incluye las aplicaciones Web.

CIFRADO DE DATOS Y COMUNICACIONES

Determinar la existencia de cifrado en las comunicaciones externas y/o internas y su correcto uso,desde VPN hasta cifrado del correo electrnico, pasando por el cifrado de las transmisiones dentro dela red local y en el almacenamiento de datos.

RESPALDO DE DATOS Y PLAN DE CONTINGENCIA

Comprobar la correcta implantacin de un sistema de respaldo de la informacin, que permita surecuperacin en caso de daos en los sistemas, y la existencia de un Plan de Contingencia que permitahacer frente, de manera ordenada, a esos daos.

PLAN DIRECTOR DE SEGURIDAD

Determinar la existencia de un plan que recoja los diferentes puntos detallados con anterioridad, ascomo su adecuada definicin y actualizacin. Este plan debe definir todos los procesos y


10/17

procedimientos que inciden en la seguridad de la informacin, incluyendo la seguridad fsica (accesofsico a los sistemas, respuesta ante incendios, etc.).

EVALUACION DE PLANES DE SEGURIDAD

Revisin de los planes y procedimientos de seguridad y su concordancia con la poltica de seguridad

de la empresa.

EVALUACION DE POLTICAS DE SEGURIDAD

Generalmente, la seguridad de los sistemas informticos se concentra en garantizar el derecho aacceder a datos y recursos del sistema configurando los mecanismos de autentificacin y control queaseguran que los usuarios de estos recursos slo posean los derechos que se les han otorgado.Los mecanismos de seguridad pueden sin embargo, causar inconvenientes a los usuarios. Confrecuencia, las instrucciones y las reglas se vuelven cada vez ms complicadas a medida que la redcrece. Por consiguiente, la seguridad informtica debe estudiarse de modo que no evite que losusuarios desarrollen usos necesarios y as puedan utilizar los sistemas de informacin en formasegura.

Por esta razn, uno de los primeros pasos que debe dar una compaa es definir una poltica deseguridad que pueda implementar en funcin a las siguientes cuatro etapas:

Identificar las necesidades de seguridad y los riesgos informticos que enfrenta lacompaa as como sus posibles consecuencias Proporcionar una perspectiva general de las reglas y los procedimientos que debenimplementarse para afrontar los riesgos identificados en los diferentes departamentos de laorganizacin Controlar y detectar las vulnerabilidades del sistema de informacin, y mantenerseinformado acerca de las falencias en las aplicaciones y en los materiales que se usan Definir las acciones a realizar y las personas a contactar en caso de detectar unaamenaza

La poltica de seguridad comprende todas las reglas de seguridad que sigue una organizacin (en elsentido general de la palabra). Por lo tanto, la administracin de la organizacin en cuestin debeencargarse de definirla, ya que afecta a todos los usuarios del sistema.En este sentido, no son slo los administradores de informtica los encargados de definir los derechosde acceso sino sus superiores. El rol de un administrador de informtica es el de asegurar que losrecursos de informtica y los derechos de acceso a estos recursos coincidan con la poltica deseguridad definida por la organizacin.

Es ms, dado que el/la administrador/a es la nica persona que conoce perfectamente el sistema,deber proporcionar informacin acerca de la seguridad a sus superiores, eventualmente aconsejar aquienes toman las decisiones con respecto a las estrategias que deben implementarse, y constituir el

punto de entrada de las comunicaciones destinadas a los usuarios en relacin con los problemas y lasrecomendaciones de seguridad.La seguridad informtica de una compaa depende de que los empleados (usuarios) aprendan lasreglas a travs de sesiones de capacitacin y de concientizacin. Sin embargo, la seguridad debe irms all del conocimiento de los empleados y cubrir las siguientes reas:

Un mecanismo de seguridad fsica y lgica que se adapte a las necesidades de la compaa yal uso de los empleados

Un procedimiento para administrar las actualizaciones

Una estrategia de realizacin de copias de seguridad (backup) planificada adecuadamente

Un plan de recuperacin luego de un incidente.

Un sistema documentado actualizado.


11/17

EVALUACION DE LA REACCIN ANTE INCIDENTES DE SEGURIDAD

Es fundamental identificar las necesidades de seguridad de una organizacin para establecer lasmedidas que permitirn a dicha organizacin evitar una situacin catastrfica, como una intrusin,una falla en los equipos o incluso un dao por filtracin de agua. No obstante, es imposible evitar porcompleto todo tipo de riesgos, por lo que todas las empresas deben estar preparadas para experimentar

algn da una situacin catastrfica.En estas circunstancias, resulta fundamental una reaccin rpida, ya que una mquina afectada hacepeligrar el sistema de informacin de la compaa en su totalidad. Adems, cuando el compromisoprovoca el mal funcionamiento del servicio, una interrupcin prolongada puede aparejar prdidaseconmicas. Por ltimo, en los casos en los que se ha alterado un sitio web (modificacin de pginas)la reputacin de la compaa est en juego.

Generalmente, la etapa de reaccin es la que menos se toma en cuenta en los proyectos de seguridadinformtica. Esta etapa consiste en prever eventos y planificar las medidas que deben tomarse si surgeun problema.

En el caso de una intrusin, por ejemplo, el administrador de sistemas puede reaccionar de una de las

siguientes maneras:

Obtener la direccin del hacker y contraatacar Cortar el suministro elctrico de la mquina Desconectar la mquina de la red Reinstalar el sistema

El problema es que cada una de estas acciones puede resultar ms perjudicial (particularmente entrminos de costos) que la intrusin en s misma. En efecto, si el funcionamiento de la mquinacomprometida es fundamental para el funcionamiento del sistema de informacin o si se trata de unsitio web de ventas online, una interrupcin prolongada del servicio podra ser catastrfica.

A su vez, en este tipo de situaciones es importante establecer pruebas en caso de que se realice unainvestigacin judicial. De lo contrario, si la mquina comprometida se ha usado para realizar otroataque, la compaa corre el riesgo de ser considerada responsable.

La implementacin de un plan de recuperacin de desastres permite a la organizacin evitar que eldesastre empeore y tener la certeza de que todas las medidas tomadas para establecer pruebas seaplicarn correctamente.

Asimismo, un plan contra desastres desarrollado correctamente define las responsabilidades de cadaindividuo y evita que se emitan rdenes y contrardenes, que impliquen una prdida de tiempo.

EVALUACION DE LA RESTAURACIN

En el plan de recuperacin, se debe especificar en detalle cmo hacer que el sistema comprometidovuelva a funcionar correctamente. Es necesario tomar en cuenta los siguientes elementos:

Anotar la fecha de intrusin: conocer la fecha aproximada en la que se ha comprometido lamquina permite a la organizacin evaluar el nivel de riesgo de intrusin para el resto de la red yel grado de compromiso de la maquina.

Restringir el compromiso: tomar las medidas necesarias para que el compromiso no se expanda Estrategia de seguridad: si la compaa tiene una estrategia de seguridad, se recomienda comparar

los cambios que se realizaron a los datos del sistema comprometido con los datos supuestamentefiables. Si los datos estn infectados con un virus o un troyano, la restauracin de stos puede

expandir an ms el dao.


12/17


13/17

operativo y legal.

Se selecciona y capacita al personal de seguridad (para empresas con personal propio).

Se confeccionan pliegos de licitacin para contratacin de servicios de seguridad privada.

Se audita al personal de seguridad para verificar que conocen los procedimientos y que estossean los recomendados para cada puesto.

Se disea, pone en prctica y audita servicios terciarizados bajo la modalidad deadministracin por objetivos.

Control de Ingreso y Egreso

Revisin de Procedimientos y medios de control para identificar, visitantes, empleados,elementos, vehculos, etc.

Empleados

Sistemas de incorporacin, evaluacin, informes y seguimiento de los mismos.

9.- DEFINICIN DE OBJETIVOS AUDITABLES EN SEGURIDADINFORMTICA

Objetivo de control N 01 : Evaluacin a la gestin de seguridad en la institucin

Aspectos a evaluar:

A. Evaluar la administracin en la gestin de seguridad

a) Comprobar la existencia de un Comit de Seguridad en la institucin.

b) Identificar a la autoridad responsable de aplicar los correctivos o sanciones.c) Verificar que el comit de seguridad establece parmetros para la formulacin de las polticas deseguridad, como:

- Efectuar un anlisis de riesgos informticos, para valorar los activos y as adecuar laspolticas a la realidad de la institucin.

- Identificar quin tiene la autoridad para tomar decisiones en cada departamento, pues sonellos los interesados en salvaguardar los activos crticos de su rea.

- Detallar explcita y concretamente el alcance de las polticas con el propsito de evitarsituaciones de tensin al momento de establecer los mecanismos de seguridad querespondan a las polticas trazadas.

d) Verificar que se sigue un proceso de actualizacin peridica sujeto a los cambios institucionales

relevantes, como son: el aumento de personal, cambios en la infraestructura tecnolgica, altarotacin de personal, desarrollo de nuevos servicios, etc.

B. Evaluar la organizacin de la seguridad informtica en la institucin.

a) Comprobar el establecimiento de reas de seguridad, a fin de manejar lo mejor posible el tema.b) Verificar que se hayan establecido las diferentes responsabilidades para las distintas reas.c) Verificar la existencia de un proceso para el manejo de respuestas a incidentes.

Objetivo de control N 02: Evaluacin al Plan de administracin de riesgos

Aspectos a evaluar:

A. Examinar el plan de administracin de riesgos.

a) Comprobar si existe un plan para la administracin de riesgos.
http://www.bsasprotection.com/servicios-de-seguridad-privada.htmlhttp://www.bsasprotection.com/servicios-de-seguridad-privada.htmlhttp://www.consultorasebgon.com/servicios-de-seguridad-corporativa.phphttp://www.consultorasebgon.com/servicios-de-seguridad-corporativa.phphttp://www.consultorasebgon.com/informes-prelaborales-laborales.phphttp://www.consultorasebgon.com/informes-prelaborales-laborales.phphttp://www.bsasprotection.com/servicios-de-seguridad-privada.htmlhttp://www.consultorasebgon.com/servicios-de-seguridad-corporativa.phphttp://www.consultorasebgon.com/informes-prelaborales-laborales.php


14/17

b) Comprobar que el plan este aprobada por la mxima autoridad de la institucin y el comit deseguridad.

c) Verificar que el plan incluya:- Objetivos claros y especficos.- Planes de evaluacin.- Proyectos en curso y los riesgos asociados a estos.

B. Evaluar la identificacin de riesgos.

a) Verificar si existe algn procedimiento para la identificacin de riesgos, que incluya:cuantificar su probabilidad e impacto, as como analizar medidas que lo eliminen o quedisminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto.

b) Verificar que para la identificacin de riesgos, se tuvieron en cuenta factores como:- El tipo de informacin almacenada, procesada y transmitida.- La criticidad de las aplicaciones.

- La tecnologa usada.- El marco legal aplicable.- El sector de la institucin.- La institucin misma y el momento.

C. Examinar la valoracin del riesgo.

a) Comprobar si existen criterios de prioridad para evaluar los riesgos segn su magnitud.b) Verificar si se realiza con periodicidad una revisin y actualizacin de los riesgos asociados a

las reas identificadas como crticas.

Objetivo de control N 03: Evaluacin a la poltica de seguridad definida en la institucin.

Aspectos a evaluar:

A. Examinar la definicin y aprobacin de la poltica de seguridad

a) Verificar la existencia de una poltica de seguridad en la institucin.b) Verificar que el plan de seguridad este aprobada por la mxima autoridad de la institucin y el

comit de seguridad institucional.c) Comprobar que la poltica defina la forma de comunicarse con los usuarios, ya que las mismas

establecen un canal formal de actuacin, en relacin con los recursos y servicios informticosde la institucin.

d) Verificar que la poltica de seguridad se difunde a todo el personal, con la finalidad de formaruna cultura de seguridad informtica institucional.

B. Evaluar los elementos de la poltica de seguridad informtica

a) Verificar que se documenta el alcance de las polticas, incluyendo facilidades, sistemas ypersonal sobre la cual aplica.

b) Identificar los objetivos de la poltica y descripcin clara de los elementos involucrados en sudefinicin.

c) Identificar responsabilidades por cada uno de los servicios y recursos informticos aplicado atodos los niveles de la institucin.

d) Verificar la existencia de requerimientos mnimos para configuracin de la seguridad de lossistemas que abarca el alcance de la poltica.

e) Identificar la definicin de violaciones y sanciones por no cumplir con las polticas.f) Identificar responsabilidades de los usuarios con respecto a la informacin a la que tiene

acceso.


15/17

Objetivo de control N 04: Evaluacin al control de la seguridad ambiental y el manejo de lacontinuidad de la institucin

Aspectos a evaluar:

A. Evaluar la seguridad ambiental establecida para la institucin.

a) Verificar si se ha establecido condiciones generales de trabajo en relacin del medio ambiente,para el bienestar y comodidad de los empleados y usuarios.

b) Verificar si existe algn mecanismo de proteccin contra la humedad del medio ambiente.c) Comprobar si existen medidas para prevenir que los sistemas informticos, las instalaciones

elctricas, telefnicas y de datos tengan contacto con el agua.d) Comprobar si se establecieron medidas de proteccin contra las partculas de polvo y

deshechos voltiles de cualquier tipo en el medio ambiente, a fin de evitar desperfectos en lossistemas informticos, medios de almacenamiento y el deterioro de los activos informticosdel centro de informacin.

e) Comprobar que se realice un anlisis de sistemas de acondicionamiento y pisos falsos.f) Comprobar que se realice un anlisis de la regulacin de temperatura y aire acondicionado.

B. Evaluar el manejo de la continuidad de la institucin.

a) Comprobar si se establecieron medidas de proteccin causados por factores metereolgicos,atmosfricos y desastres naturales incontrolables, como:

- Precipitacin pluvial, de nieve, y otras precipitacin.- Vientos, huracanes y fenmenos atmosfricos.- Terremotos y temblores.- Tormentas elctricas.- Incendios accidentales.

b) Comprobar si se establecieron medidas de proteccin derivados del suministro de energaelctrica, como:

- Interrupciones del suministro de energa elctrica para el funcionamiento de lossistemas informticos.

- Continuidad del suministro de la energa elctrica, por medio de la red pblica o plantasde emergencia, fuentes ininterrumpidas de poder.- Previsin en la funcionalidad, distribucin adecuada y seguridad de las instalacioneselctricas del centro de informacin.- Previsin de fallas y deficiencias de la red pblica de suministro de electricidad.- Proteccin contra las variaciones de voltaje, as como el uso de reguladores de corrientey contactos de supresores de picos.

10.- HERRAMIENTAS A UTILIZAR EN LA AUDITORA

Encuestas y entrevistas

Tcnica de la Observacin

La tcnica permite verificar al auditor el establecimiento de parmetros para la formulacin de laspolticas de seguridad como: anlisis de riesgos informticos, autoridad para tomar decisiones, y si sedetalla y concreta el alcance de la poltica; asimismo se comprobar si se establecieron medidas deproteccin causadas por cualquier desastre (metereolgico, atmosfricos, etc.), adems se verificarsi existe un anlisis de acondicionamiento de pisos falsos, regulacin de temperatura y aire

acondicionado y otros que el auditor considere dentro de esta categora.


16/17

Test de IntrusinContacte con nosotros

El objetivo de las auditoras de seguridad de red basadas en tests de intrusin es la comprobacin delos niveles reales de seguridad de la red que contiene los sistemas de informacin, as como laelaboracin de una lista de actuaciones recomendadas respecto a sta.

Los tests de intrusin, tambin conocidos como Anlisis de Penetracin o Hacking tico, sonactualmente una prctica habitual para conocer el nivel de seguridad que tiene una organizacin. Seencargan de evaluar el tipo y extensin de las vulnerabilidades de sistemas y redes en trminos deconfidencialidad e integridad. Comprueban la seguridad de la red y verifican empricamente laresistencia de las aplicaciones y servicios de usos indebidos.

El xito del ataque se consigue al ver informacin secreta, obtener acceso de escritura a undispositivo no seguro, evitar un control de autorizacin, anular cualquier caracterstica de seguridad,o al alterar el funcionamiento normal de algn dispositivo, introduciendo un riesgo en la seguridad.

La metodologa utilizada ha sido diseada de acuerdo con la legislacin de proteccin personal dedatos y seguridad de la informacin. Las pruebas realizadas aportan informacin sobre aspectos de la

privacidad de la informacin contemplados en la mayora de las legislaciones. La ejecucin de estostests no supone el cumplimiento de las legislaciones preceptivas pero puede aportar informacinsobre aspectos de incumplimiento de stas. Dependiento del tipo de acceso, podemos distinguirdiferentes tipos de auditoras tcnicas de seguridad basadas en test de intrusin:

Auditora tcnica de Seguridad Perimetral: Se desarrolla un ataque perimetral ciegodesde el exterior en el que se desconocer la estructura informtica de la compaa auditada.Mediante mtodos manuales y herramientas propias se intentar acceder a la red interna y ala DMZ sobrepasando las barreras de seguridad, hasta llegar a los puntos vitales.

Auditora Tcnica de Seguridad Interna: el atacante est conectado fsicamente a la redinterna de la compaa atacada, pudiendo adoptar dos perfiles diferenciados: conectadocomo usuario autenticado o conectado sin autenticacin. Se le entregar al cliente uninforme detallado acerca de las vulnerabilidades de los dispositivos descritos.

Auditora Tcnica de Seguridad Wireless: En este servicio se audita la seguridad real delos accesos va Wireless al interior de las redes privadas de las organizaciones tantolgicamente (validacin de la seguridad WEP, WPA, etc..), como fsicamente (ubicacin depuntos de acceso y antenas).

Auditora Tcnica de Accesos: La extensin de los servicios TIC a ubicaciones remotasy/o movibles se ha solucionado principalmente mediante soluciones de autentificacin mso menos seguras. En este servicio, auditamos la implementacin de sistemas deautentificacin segura (RSA), no seguras (usuario/contrasea) y va VPN (redes privadas

virtuales).

11.- CONCLUSIN

Como ha podido verse a lo largo de este documento, existen diversasaproximaciones a la hora de realizar una auditora de seguridad. Pese a que lasolucin ideal suele ser la realizacin de un proyecto de auditora completo,que incluya todas y cada una de las aproximaciones comentadas en estedocumento, en algunos casos, dependiendo del tipo de organizacin y de susnecesidades, nicamente se realizan algunas de ellas. Pese a la existencia demetodologas concretas para el desarrollo de auditoras informticas, el factor

clave que sin duda har que los resultados de las mismas respondan a las
http://integrity.abast.es/auditoria_seguridad_perimetral.shtmlhttp://integrity.abast.es/auditoria_seguridad_interna.shtmlhttp://integrity.abast.es/auditoria_seguridad_wireless.shtmlhttp://integrity.abast.es/auditoria_tecnica_accesos.shtmlhttp://integrity.abast.es/auditoria_seguridad_perimetral.shtmlhttp://integrity.abast.es/auditoria_seguridad_interna.shtmlhttp://integrity.abast.es/auditoria_seguridad_wireless.shtmlhttp://integrity.abast.es/auditoria_tecnica_accesos.shtml


17/17

exigencias de las empresas se encuentra sobre todo en la experiencia yconocimiento de los auditores.

BIBLIOGRAFIA

[1] ASI Auditores World Wide Web. Auditoria, control y seguridad de la informacin DerechosReservados 2001-2008 Auditora y Seguridad Informtica SA CV.http://www.auditoria.com.mx/

[2] SEBGON CONSULTORESWorld Wide Web. Auditorias de seguridad externas e internas.Obtenido el 02/01/2009http://www.consultorasebgon.com/servicio-de-auditoria-de-seguridad-auditorias-externas-de-seguridad.php.

[3] FRANCO, Alfonso. Germinus Ingeniera en servicios avanzados.Auditoria de Sistemas. Copyright 2001-2006, GERMINUS XXI, S.A. Todos los derechos reservados.http://www.germinus.com/sala_prensa/articulos/Auditorias%20Seguridad.pdf

[4] Shell Security World Wide Web. Seguridad en las Empresas. Obtenido el 02/01/2009http://www.shellsec.net/articulo/auditoria-empresas/

[5] KIOSKEA.NET knowledge kiosk World Wide Web. Seguridad informtica. Obtenido el02/01/2009.http://es.kioskea.net/contents/secu/secuintro.php3

[6] TecVD.NET World Wide Web. Seguridad y control de Sistemas de informacin. 2005-2008Tecnologas de Vigilancia y Deteccin, S.L. Todos los derechos reservadoshttp://www.tecvd.com/servicios/seg_si_audit.html

Auditoria de Seguridad a - JCOR

Documents

Transcript of Auditoria de Seguridad a - JCOR