Modelo de Auditoria de Seguridad de SI

INSTITUTO POLITEacuteCNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERIacuteA MECAacuteNICA Y

ELEacuteCTRICA

UNIDAD CULHUACAN

SECCIOacuteN DE ESTUDIOS DE POSGRADO E INVESTIGACIOacuteN

Modelo de Auditoriacutea en

Seguridad para Sistemas de

Informacioacuten

T E S I S

QUE PARA OBTENER EL GRADO DE

MAESTRO EN INGENIERIacuteA EN SEGURIDAD

Y TECNOLOGIacuteAS DE LA INFORMACIOacuteN

P R E S E N T A

ING AZUCENA SANTIAGO LOacutePEZ

ASESOR

DR RUBEacuteN VAacuteZQUEZ MEDINA

AGRADECIMIENTO AL CONACYT Y AL IPN

POR LAS BECAS DE POSGRADO

QUE ME OTORGARON EN MI PROCESO DE FORMACIOacuteN

MEacuteXICO D F ABRIL 2011

ii

iii

iv

v

vi

vii

AGRADECIMIENTOS

Agradezco a mi alma mater el Instituto Politeacutecnico Nacional y muy en especial a

la Seccioacuten de Estudios de Posgrado e Investigacioacuten de la ESIME Culhuacaacuten por

darme la oportunidad de pertenecer a la primera generacioacuten de la Maestriacutea en

Ingenieriacutea en Seguridad y Tecnologiacuteas de la Informacioacuten

Agradezco infinitamente al Dr Rubeacuten Vaacutezquez Medina por su valioso tiempo

dedicacioacuten compromiso experiencia consejos y apoyo Gracias Rubeacuten por toda

la confianza brindada

Agradezco a mis sinodales por tomarse el tiempo para revisar mi tesis y enriquecer

mi trabajo con sus valiosos comentarios y observaciones muy en especial al Dr

Jesuacutes Vaacutezquez por sus valiosas observaciones

Agradezco a mis padres y a mis hermanos por apoyarme en cada una de mis

decisiones por engrandecer cada uno de mis pequentildeos pasos por su infinito

amor dedicacioacuten y paciencia gracias por creer en miacute y sobre todo gracias por

ser mi soporte guiacutea luz y ejemplo a seguir

Agradezco infinitamente a mis amigos y a todas las personas que confiaron en miacute

y que siempre me alentaron para lograr mis suentildeos Gracias pollito gracias Bob

por ser parte de mi familia los amo

Y finalmente aunque no menos importante quiero agradecer infinitamente a

Dios y a la vida por lo bondadosos que ha sido conmigo Gracias por ponerme

en el lugar momento y con las personas indicadas

viii

ix

RESUMEN

El activo maacutes importante dentro de cualquier organizacioacuten es la informacioacuten a

traveacutes de su procesamiento se puede crear valor y se puede contribuir al logro de

objetivos organizacionales Por ello las organizaciones como parte de sus

procesos de negocio crecimiento e innovacioacuten adquieren tecnologiacuteas que

apoyen el procesamiento de informacioacuten y la toma de decisiones asiacute como la

automatizacioacuten de sus procesos de negocio Muchas organizaciones adquieren

tecnologiacutea de software aplicaciones disentildeadas a la medida mediante

consultores informaacuteticos especializados quienes emplean diversos modelos y

metodologiacuteas de ciclo de vida de desarrollo de software para concebir el Sistema

de Informacioacuten (SI) especificado

Generalmente los desarrolladores de aplicaciones orientan su tiempo

conocimientos recursos y esfuerzo a la funcionalidad especificada sin considerar

a la par la implementacioacuten de controles de seguridad en sus desarrollos Dejan la

fase de validacioacuten de seguridad para el final y la mayoriacutea de los casos es

independiente al proceso de desarrollo Con este proceder es una tarea difiacutecil

establecer un nivel determinado de seguridad en los sistemas que se desarrollan

Esta situacioacuten genera incertidumbre en las organizaciones propietarias de los SI

pues sus SI interactuacutean con otros sistemas a traveacutes de las redes de datos lo cual

generalmente pone en evidencia un conjunto de vulnerabilidades propias del SI

Para los duentildeos de los SI especialistas en informaacutetica desarrolladores y auditores

de seguridad de la informacioacuten debe ser importante contar con un mecanismo

que les permita tener un grado de certeza en la seguridad de sus SI En este

trabajo se propone que para un SI desarrollado o adquirido debe considerarse

como prioridad cumplir no solo con los requisitos funcionales sino tambieacuten con

requisitos miacutenimos de seguridad

A lo largo de este trabajo se abordan dos opciones para dotar de seguridad a los

SI la primera (a priori) que sugiere la adopcioacuten de una metodologiacutea que

considere el ciclo de vida de desarrollo seguro La segunda opcioacuten (a posteriori)

sugiere el uso de un modelo de auditoriacutea de seguridad de SI el cual garantice

que las aplicaciones desarrolladas cuenten con los controles necesarios que

x

reduzcan la vulnerabilidad tiacutepica de las aplicaciones Se pretende que estas dos

opciones en el aseguramiento de un SI sirvan como recomendaciones para

reducir su riesgo y vulnerabilidad

Finalmente este trabajo define la alternativa maacutes viable no con ello afirmando

que sea la mejor para dotar de seguridad a los SI la opcioacuten de adoptar un

modelo de auditoriacutea de SI Partiendo de ello se realiza la propuesta de un modelo

de auditoriacutea de seguridad de SI y para apoyar la adopcioacuten de este modelo

dentro de cualquier organizacioacuten se define una metodologiacutea y un conjunto de

Procedimientos Operativos Estaacutendar

xi

ABSTRACT

The most important asset within any organization is information Through its

processing creating value and achieving organizational goals can be done

Therefore the organizations as part of their business processes growth and

innovation acquire technologies that hold the information processing the

decision making and the automating of their business processes Many

organizations obtain software technology and custom-designed applications by

specialist computer consultants who use several Software Development Life Cycle

(SDLC) models and methodologies to design the specific information system (IS)

Generally the application developers focus their time knowledge resources and

effort to the specified functionality and forgetting at the same time the

implementation of security controls in their development The most part of the

time the security validation is the last phase that is considered or even itacutes

insolated to the development process Given this situation itacutes a hard task to

establish a specific security level to the systems that are developed In this case

uncertainty is created in the organizations that own the IS due to their IS interact

with other systems via data-network which reveals a set of vulnerabilities

associated of the IS

For the IS owners computer specialists developers and security information

auditors should be important to have a mechanism that allows them to have a

security certainty degree of there IS In this paper it is proposed that for IS

developed or acquired should be considered as a priority not only meet the

functional requirements but also with minimum safety requirements

Throughout this paper examines two options for providing security to the IS the first

(a priori) which suggests the adoption of a methodology that considers the life

cycle of safe the second option (a posteriori) suggests using a model of IS security

audit which ensures that applications developed have the necessary controls to

reduce the typical vulnerability applications It is intended that these two options in

securing a IS will serve as recommendations to reduce risk and vulnerability

Finally this paper identifies the most viable alternative not saying that this is the

best for providing security to the IS the option of adopting a model of audits On

this basis the proposal is made of a model of IS security audit and to support the

adoption of this approach within any organization defines a methodology and a

set of Standard Operating Procedures

xii

xiii

ORGANIZACIOacuteN DE LA TESIS

Esta tesis se encuentra dividida en cinco capiacutetulos Inicialmente se incluye una

seccioacuten donde se definen las bases para desarrollar el trabajo de investigacioacuten

En esta se identifica el problema existente se destaca la importancia por la que

debe desarrollarse el proyecto y se definen los objetivos y alcance del trabajo de

tesis

En el primer capiacutetulo se ofrece un panorama general sobre la situacioacuten actual que

guardan las organizaciones al adquirir e implementar sistemas de informacioacuten (SI)

como parte de sus procesos productivos Se presentan las consideraciones

actuales dentro del ciclo de vida de los SI y la importancia de integrar seguridad

en cada fase del ciclo de vida de desarrollo del SI Se presenta un resumen de

algunas publicaciones acerca de las vulnerabilidades en los SI y el estado del arte

del tema de investigacioacuten

En el segundo capiacutetulo se presentan los conceptos clave las bases y las

definiciones necesarios para el desarrollo de esta tesis Los temas que abarca este

capiacutetulo son generalidades de los SI y los Procedimientos Operativos Estaacutendar

(POE) se definen tambieacuten los estaacutendares y las mejores praacutecticas en el desarrollo

de SI auditoriacutea de seguridad de SI y calidad del software Se ofrecen

generalidades de auditoriacutea informaacutetica y auditoriacutea de seguridad informaacutetica

finalmente se describen las metodologiacuteas de auditoriacutea informaacutetica

El tercer capiacutetulo aborda la importancia de que los SI nazcan seguros es decir se

enfatiza en que se debe pasar de un enfoque en el que la seguridad es la parte

final del proceso de implantacioacuten del SI a un enfoque en el que la seguridad es

parte integral del proceso de desarrollo donde en cada etapa del ciclo de vida

se incluyen las consideraciones necesarias para dotar a la aplicacioacuten de

seguridad desde su nacimiento Los puntos que se incluyen en este capiacutetulo son El

ambiente de operacioacuten en el que se disentildean desarrollan e implementan los SI se

presentan 2 metodologiacuteas de desarrollo seguro y los principales retos en la

implementacioacuten y adopcioacuten de un ciclo de vida de desarrollo de software seguro

En el capiacutetulo cuatro se presentan los requerimientos funcionales y de seguridad

que los SI deben cumplir Los requerimientos funcionales se enfocan en que el SI

cumpla con el objetivo para el que fue disentildeado mientras que los requerimientos

de seguridad se enfocan en que el SI cuente con una seguridad miacutenima la cual

debe ser congruente con los requerimientos funcionales y con las necesidades de

seguridad de la organizacioacuten En el mismo sentido se presentan las

xiv

consideraciones necesarias para determinar el cumplimiento de los

requerimientos funcionales y de seguridad es decir el grado en que el SI cumple

con los requerimientos especificados en su concepcioacuten De igual manera se

incluye una lista de los errores de programacioacuten maacutes graves en los SI errores de los

que un SI auditado debe estar libre Finalmente se concluye el capiacutetulo con una

lista de las consideraciones de los requisitos miacutenimos funcionales y de seguridad

que se deben abordar en una auditoriacutea de SI

Finalmente el quinto capiacutetulo describe el modelo de auditoriacutea resultado de esta

tesis el cual estaraacute orientado a revisar la existencia y suficiencia de los

requerimientos funcionales y de seguridad presentados en el capiacutetulo 4 Para

implementar el modelo de auditoriacutea de seguridad propuesto se establece una

metodologiacutea para auditar la seguridad de un SI y un conjunto de POEs que

apoyan el proceso de auditoriacutea En ese sentido se presenta un conjunto de

recomendaciones generales propuestas para implementar este modelo de

auditoriacutea Se concluye con una aproximacioacuten de la aplicacioacuten del modelo de

auditoriacutea en los SI organizacionales

xv

INDICE DE CONTENIDO

AGRADECIMIENTOS vii

RESUMEN ix

ABSTRACT xi

ORGANIZACIOacuteN DE LA TESIS xiii

INDICE DE CONTENIDO xv

IacuteNDICE DE FIGURAS xix

IacuteNDICE DE TABLAS xxi

PLANTEAMIENTO DEL PROBLEMA xxiii

HIPOacuteTESIS xxv

OBJETIVO GENERAL xxvii

OBJETIVOS ESPECIacuteFICOS xxvii

ALCANCE xxix

JUSTIFICACIOacuteN xxxi

CAPIacuteTULO 1 MARCO CONTEXTUAL 1

Resumen 1

11 Sistemas de Informacioacuten consideraciones de desarrollo implementacioacuten

y seguridad 3

12 Cifras relevantes de los Sistemas de Informacioacuten y seguridad 6

13 Estado del arte 11

14 Comentarios del capiacutetulo 14

CAPIacuteTULO 2 MARCO TEOacuteRICO 15

Resumen 15

21 Generalidades de los Sistemas de Informacioacuten 17

22 Consideraciones de Procedimiento Operativo Estaacutendar 17

23 Generalidades de Auditoriacutea 21

24 Auditoriacutea de Seguridad de Sistemas de Informacioacuten 26

25 Metodologiacuteas de Auditoriacutea de Seguridad de SI 27

26 Estaacutendares y Mejores Praacutecticas 28

xvi

261 En el Desarrollo de aplicaciones 29

262 En la Seguridad y Auditoriacutea Informaacutetica 34

263 Calidad en los Sistemas de Informacioacuten 41

27 Comentarios del Capiacutetulo 46

CAPIacuteTULO 3 CICLO DE VIDA DE DESARROLLO SEGURO 49

Resumen 49

31 Ambiente de Operacioacuten considerado 51

32 Retos en la adopcioacuten e implementacioacuten de un CVDS Seguro 52

33 Metodologiacuteas de Desarrollo Seguro de Sistemas de Informacioacuten 54

331 Microsoft Security Development LifeCycle (SDL) 54

332 NIST SP 800-64 57


CAPIacuteTULO 4 REQUERIMIENTOS DE UNA AUDITORIacuteA DE SEGURIDAD PARA SISTEMAS

DE INFORMACIOacuteN 65

Resumen 65

41 Requerimientos miacutenimos funcionales y de seguridad de un SI 66

411 Requerimientos miacutenimos funcionales de un SI 67

412 Requerimientos miacutenimos de seguridad de un SI 69

42 Cumplimiento de los Requerimientos miacutenimos Funcionales y de Seguridad

de un SI 74

43 Seleccioacuten de controles de seguridad 75

44 Errores de Programacioacuten maacutes Peligrosos en los SI 76

45 Cumplimiento documental del SI 80

46 Marco regulatorio del SI 81


471 Requerimientos miacutenimos de una auditoriacutea de Seguridad de SI 82

472 Evaluacioacuten del cumplimiento de los requerimientos miacutenimos de un SI 83

473 Decisioacuten de Operacioacuten de un SI conforme al cumplimiento de los

requerimientos miacutenimos del SI 84

xvii

CAPIacuteTULO 5 DISENtildeO Y DOCUMENTACIOacuteN DE UN MODELO DE AUDITORIacuteA EN

SEGURIDAD PARA SISTEMAS DE INFORMACIOacuteN 85

Resumen 85

51 Disentildeo y documentacioacuten de un modelo de auditoriacutea en seguridad para

SI 87

52 Descripcioacuten del Modelo de auditoriacutea en Seguridad para SI 88

53 Aproximacioacuten del Proceso de auditoriacutea de seguridad de SI 95

54 Aplicacioacuten del Meacutetodo cientiacutefico en la metodologiacutea propuesta 99

55 Metodologiacutea de Auditoriacutea de Seguridad de SI para el modelo propuesto

101

551 Antecedentes 101

552 Caracteriacutesticas de la Metodologiacutea Propuesta 101

553 Alcance 103

554 Objetivo 104

555 Limitaciones 104

556 Requisitos 104

557 Etapas de la Metodologiacutea Propuesta 106

56 Recomendaciones para aplicar el Modelo Propuesto 133

57 Aplicacioacuten de la metodologiacutea propuesta en la auditoriacutea de seguridad de

un SI 135

CONCLUSIONES 143

TRABAJOS A FUTURO 149

APEacuteNDICES 151

APEacuteNDICE A GENERALIDADES DE LOS SISTEMAS DE INFORMACIOacuteN 151

APEacuteNDICE B ISO 17799ISO 27002 157

APEacuteNDICE C COBIT DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS 159

APEacuteNDICE D CRITERIOS COMUNES DE EVALUACIOacuteN ISOIEC 15408 161

APEacuteNDICE E FIPS PUB 199 167

APEacuteNDICE F FIPS PUB 200 169

APEacuteNDICE G APLICACIOacuteN DE LA METODOLOGIacuteA PROPUESTA 175

xviii

APEacuteNDICE H PUBLICACIONES 193

APENDICE I REFERENCIAS 215

APENDICE J ACRONIMOS 221

xix

IacuteNDICE DE FIGURAS

Fig 1 Reporte de vulnerabilidades de la empresa Cenzic correspondiente al 2ordm

Semestre del 2009 xxxii

Fig 2 Nuacutemero de Vulnerabilidades en Red SO y aplicaciones 5

Fig 3 Componentes de un sistema de Informacioacuten 152

Fig 4 Categoriacuteas de los sistemas de informacioacuten organizacionales 154

Fig 5 Proceso del Ciclo de vida de software seguacuten ISOIEC 12207 30

Fig 6 Las seis caracteriacutesticas de calidad de un software definidas por el ISO 9126

43

Fig 7 Costo de la integracioacuten de medidas de seguridad en diferentes fases del

ciclo de vida del desarrollo de software 52

Fig 8 Ciclo de Vida de Desarrollo Seguro de Microsoft 55

Fig 9 Caracteriacutesticas de calidad de un Sistema de Informacioacuten 68

Fig 10 Modelo propuesto de auditoriacutea en seguridad para Sistemas de

Informacioacuten 87

Fig 11 Elementos que conforman los Procedimientos Organizacionales Bien

conocidos (POBC) 89

Fig 12 Aproximacioacuten de la etapa 1 del modelo propuesto de auditoriacutea de

seguridad de Sistemas de Informacioacuten 95







xx

xxi

IacuteNDICE DE TABLAS

Tabla 1- Evaluacioacuten de vulnerabilidades en las distintas fases del Ciclo de Vida de

Desarrollo de Software CVDS 9

Tabla 2- Aspectos a considerar en el disentildeo de un POE 19

Tabla 3- Caracteriacutesticas y Sub-caracteriacutesticas de calidad definidas por el modelo

ISO 9126 44


ISO 9126(2) 45

Tabla 5- Consideraciones de seguridad a lo largo del ciclo de vida de desarrollo

de software propuesto por el NIST SP 800-64 58

Tabla 6- Correspondencia entre Requerimientos miacutenimos de Seguridad

propuestos por el FIPS PUB 200 71


propuestos por el FIPS PUB 200(2) 72



xxii

xxiii

PLANTEAMIENTO DEL PROBLEMA

La informacioacuten es un recurso vital para toda organizacioacuten y el buen manejo de

esta puede significar la diferencia entre el eacutexito o el fracaso para todos los

proyectos que se emprendan dentro de una organizacioacuten De lo anterior se

deriva la creciente adquisicioacuten por parte de las organizaciones de nuevas

tecnologiacuteas que apoyen al procesamiento de informacioacuten automatizacioacuten de

procesos y de apoyo en la toma de decisiones

La mayoriacutea de las organizaciones realizan la adquisicioacuten de tecnologiacutea de

software (aplicaciones) mediante el apoyo de consultores Informaacuteticos

especializados los cuales mediante diversas metodologiacuteas realizan un anaacutelisis de

requerimientos disentildeo del sistema desarrollo de aplicaciones pruebas unitarias e

integrales de la funcionalidad de las aplicaciones implementacioacuten del sistema y

finalmente el mantenimiento y apoyo a las aplicaciones

Comuacutenmente los desarrolladores de estas aplicaciones se enfocan y orientan su

tiempo conocimiento y esfuerzo por desarrollar la funcionalidad especificada sin

considerar a la par la implementacioacuten de controles de seguridad en sus

desarrollos Los desarrolladores dejan la fase de validacioacuten de seguridad para el

final Erroacuteneamente este proceso de revisioacuten de la seguridad en las aplicaciones

se lleva de manera independiente al coacutedigo De lo anterior se deriva que para

los desarrolladores es una tarea difiacutecil establecer un nivel determinado de

seguridad en los sistemas que desarrolla ya que la gran mayoriacutea soacutelo se preocupa

por que sus aplicaciones sean funcionales aunque esto no implica que se sigan

medidas de seguridad baacutesicas para defenderse de diversos ataques Esta

situacioacuten genera gran incertidumbre a las organizaciones propietarias de los

sistemas de informacioacuten

El tema que se pretende abordar responderaacute a las siguiente pregunta iquestCoacutemo se

aseguraraacute el desarrollador y los duentildeos de los SI que sus aplicaciones tienen los

requisitos miacutenimos de seguridad y cumplen con el nivel de seguridad adecuado

para preservar la integridad disponibilidad y confidencialidad de la informacioacuten

que en ellos se maneja

xxiv

xxv

HIPOacuteTESIS

Existen 2 maneras mediante las cuales tanto desarrolladores como propietarios de

los SI pueden asegurar que sus aplicaciones cumplen con los requisitos miacutenimos

de seguridad

- La primera de manera a priori mediante la adopcioacuten de una metodologiacutea de

Ciclo de Vida de Desarrollo seguro1 la cual sea un modelo a seguir en el proceso

de desarrollo de aplicaciones en una organizacioacuten2 y

- La segunda de manera a posteriori mediante el uso de un modelo de auditoriacutea

de seguridad de SI el cual garantice que las aplicaciones desarrolladas yo

adquiridas cuentan con los controles necesarios que reduzcan las tiacutepicas

vulnerabilidades de las aplicaciones y de igual manera sirva de apoyo al emitir

recomendaciones de seguridad para reducir el riesgo y vulnerabilidad

encontrada en la auditoriacutea de los SI

1

Modelo de desarrollo de software seguro que considera e implementa acciones de seguridad en cada una de

las etapas del Ciclo de Vida de desarrollo de software

2 En el mantenimiento de SI se deberiacutea aplicar (en el esquema a priori) el mismo modelo a los nuevos elementos

de SI agregados modificados o sustituidos

xxvi

xxvii

OBJETIVO GENERAL

Elaborar un modelo de auditoriacutea en seguridad para los Sistemas de Informacioacuten

(SI) antes de su puesta en operacioacuten el cual permita tanto a desarrolladores

como a propietarios conocer y dar cierto grado de certeza en la seguridad de

los SI desarrollados y garantizar que los SI auditados cumplen con los requisitos

miacutenimos de seguridad y estaacuten listos para su puesta en operacioacuten

OBJETIVOS ESPECIacuteFICOS

Entender el ciclo de vida de desarrollo de aplicaciones y sistemas de

informacioacuten

Revisar los documentos de estaacutendares y mejores praacutecticas relacionados

con la auditoriacutea en seguridad a SI

Conocer los Procedimientos Operativos Estaacutendar (POE) y entender coacutemo se

pueden aplicar en la auditoriacutea de sistemas de informacioacuten

Realizar un comparativo entre diversos estaacutendares para determinar los

requisitos miacutenimos de seguridad de un SI

Establecer los requisitos miacutenimos funcionales y de seguridad que deben

cumplir los SI antes de ser puestos en operacioacuten

Establecer un conjunto de POEacutes que apoyen a la metodologiacutea de

auditoriacutea en seguridad para SI propuesta

Elaborar un POE orientado a la auditoriacutea de seguridad de SI

Proponer una metodologiacutea de auditoriacutea en seguridad para SI que apoye la

implementacioacuten del modelo de auditoriacutea en seguridad de SI propuesto

Realizar una aproximacioacuten del modelo de auditoriacutea de seguridad de SI

propuesto

Publicar resultados en congresos nacionales

xxviii

xxix

ALCANCE

El modelo propuesto para auditar la seguridad en los Sistemas de Informacioacuten (SI)

pretende servir de guiacutea para

Evaluar y conocer el nivel de seguridad que tienen las aplicaciones

desarrolladas

Identificar las vulnerabilidades tiacutepicas en los SI

Identificar los requerimientos miacutenimos que un SI debe incluir antes de ser

puesto en operacioacuten

Identificar los requerimientos miacutenimos de seguridad de las aplicaciones

Establecer caracteriacutesticas de Calidad en las aplicaciones basadas en

estaacutendares y mejores praacutecticas

Emitir recomendaciones de seguridad para reducir el nivel de riesgo y

vulnerabilidades encontradas

xxx

xxxi

JUSTIFICACIOacuteN

Hoy en diacutea se pueden tomar muchas medidas para crear SI seguros las cuales

minimicen el impacto de probables fallas de seguridad y la posibilidad de

ataques a las aplicaciones

Desafortunadamente aunque empieza a existir una conciencia en el desarrollo

de sistemas seguros las estrategias usadas son poco conocidas y poco

aceptadas por los desarrolladores los cuales solamente consideran la seguridad

de los SI en las etapas finales del disentildeo y no como parte integral del Ciclo de

Vida de Desarrollo de Sistemas tal como describe Jesuacutes Vaacutezquez Goacutemez en el

trabajo desarrollado con el tiacutetulo de bdquoInseguridad de los sistemas‟ en Junio de 2008

[1]

En la mayoriacutea de estos casos la seguridad es considerada como una correccioacuten a

los desarrollos en operacioacuten despueacutes de detectarse alguacuten problema En este

sentido la empresa estadounidense Cenzic proveedor de soluciones de

seguridad en aplicaciones Web publica semestralmente su informe de

tendencias en seguridad de aplicaciones Web [2] En el informe correspondiente

al segundo semestre de 2009 mediante el anaacutelisis de reportes de vulnerabilidades

de fuentes estadounidenses como el NIST (National Institute of Standards and

Technology) MITRE Corporation SANS (SysAdmin Audit Network Security) US-

CERT (United States Computer Emergency Readiness Team) OSVDB (The Open

Source Vulnerability Database) asiacute como bases de datos de terceros para las

cuestiones de seguridad de aplicaciones Web Cenzic logroacute identificar un total de

2165 vulnerabilidades en aplicaciones comerciales lo cual corresponde al 82

del total de vulnerabilidades publicadas de 2650

xxxii

Fig 1 Reporte de vulnerabilidades de la empresa Cenzic correspondiente al 2ordm Semestre del 2009

De lo anterior se deriva la importancia de proveer un modelo de procedimiento

de auditoriacutea para efectuar una revisioacuten integral de seguridad en

Aplicaciones que estaacuten proacuteximas a ser liberadas y puestas en produccioacuten

a nuevas aplicaciones y a cambios en las versiones productivas las cuales

no implementan la seguridad en el ciclo de vida de desarrollo de sus

aplicaciones

Aplicaciones desarrolladas bajo un enfoque considerando el ciclo de vida

de desarrollo de Software Seguro

Aplicaciones que ya se encuentran en operacioacuten para garantizar que los

controles de seguridad implementados son eficientes a traveacutes del tiempo

Se espera que esto permita garantizar que las aplicaciones cumplan con los

requisitos miacutenimos de seguridad y que son aptas para minimizar el impacto

causado por fallos violaciones o alteraciones que se pudieran llegar a efectuar

sobre dichas aplicaciones

Se establece la clasificacioacuten anterior porque se pretende que este modelo de

procedimiento pueda apoyar a las aacutereas de sistemas desarrolladores y

propietarios asiacute como conocer concientizar y adoptar un nuevo enfoque en el

desarrollo de SI

2165

485

Reporte de Vulnerabilidades de la empresa Cenzic del 2o Semestre de

2009

Vulnerabilidades asociadas a las aplicaciones

Vulnerabilidades no asociadas a la aplicaciones

xxxiii

Se pretende que este modelo de procedimiento de auditoriacutea valide que las

aplicaciones desarrolladas cuentan con los controles necesarios que reduzcan las

tiacutepicas vulnerabilidades de las aplicaciones

xxxiv

1

CAPIacuteTULO 1 MARCO CONTEXTUAL

Resumen

Este capiacutetulo pretende dar un panorama general sobre la situacioacuten actual de las

organizaciones al adquirir e implementar sistemas de informacioacuten (SI) como parte

de sus procesos productivos Se revisan las consideraciones actuales dentro del

ciclo de vida de los SI y la importancia de integrar seguridad en cada fase de su

ciclo de vida y de desarrollo de un SI De igual manera se presenta un resumen

de algunas publicaciones acerca de las vulnerabilidades de seguridad en los SI

Finalmente se describe el estado del arte del tema de investigacioacuten

Modelo de Auditoriacutea en Seguridad para Sistemas de Informacioacuten

2


3

11 Sistemas de Informacioacuten consideraciones de desarrollo

implementacioacuten y seguridad

Actualmente la mayoriacutea de las organizaciones como parte de su crecimiento e

innovacioacuten han incluido dentro de sus procesos productivos y de toma de

decisiones el uso de SI Parten de que el activo maacutes importante que tienen es la

informacioacuten y que a traveacutes de su procesamiento una compantildeiacutea puede crear

valor y puede contribuir a alcanzar sus objetivos

Un SI concentra todos los elementos que forman parte de un proceso productivo

se podriacutea decir que un SI es la realizacioacuten en software de un conjunto de tareas y

actividades del mundo real orientados a un objetivo en comuacuten Esta realizacioacuten

incluye parte de la administracioacuten alimentacioacuten de informacioacuten al sistema

procesamiento de datos transporte de la informacioacuten generada formateo y

distribucioacuten dentro y fuera de la organizacioacuten

Uacuteltimamente se asocia el crecimiento econoacutemico de una empresa con el nuacutemero

de procesos que esta tiene automatizados y por la inclusioacuten de SI dentro de sus

procesos productivos que le permitan automatizar y reducir costos de operacioacuten

Por ello en los uacuteltimos antildeos las empresas adquieren cada vez maacutes SI En este

sentido en el artiacuteculo ldquoLa inversioacuten en Tecnologiacuteas de la Informacioacuten creceraacute a

nivel mundial un 46 por ciento en 2010 rdquo publicado en enero de 2010 [3] Martiacuten

Peacuterez hace una investigacioacuten acerca de la inversioacuten de los mercados de TI y con

respecto a la adquisicioacuten de software comenta que el gasto en software va a

experimentar un crecimiento de 49 alcanzando los 231500 millones de doacutelares

a nivel mundial Por otro lado SoftServe proveedor de desarrollo de software en

una encuesta entre abril y junio de 2009 realizada a maacutes de 6000 ejecutivos y

profesionales de desarrollo de software muestra un incremento del 10 en los

presupuestos de desarrollo [4] La encuesta puso de manifiesto que el 60 de los

participantes afirman haber observado un incremento en los desarrollos de

software para 2009 Concretamente un 36 de los encuestados indicaron que los

presupuestos se han incrementado un 10 respecto los gastos de 2008 Taras

Kytsmey presidente de SoftServe afirma en el informe que ldquoincluso en medio de la

incertidumbre y la confusioacuten econoacutemica la mayoriacutea de las compantildeiacuteas escogen

invertir maacutes y no menos en iniciativas de desarrollo de software de misioacuten criacutetica

para fortalecerserdquo

Comuacutenmente se habla de una clasificacioacuten de los SI por paraacutemetros como los

objetivos que persiguen o la funcionalidad que estos implementan Para

cualquiera de las clasificaciones de los SI una decisioacuten importante a considerar

es la forma en que la organizacioacuten adquiriraacute el sistema de informacioacuten


4

Al adquirir un SI se pueden encontrar 2 tipos de aplicaciones

aplicaciones comerciales y

aplicaciones disentildeadas a la medida

Las aplicaciones comerciales incluido las de coacutedigo abierto (Opensource)

dentro de sus funciones aportan un comportamiento global del proceso que

automatizan es decir parten y se crean de la totalidad de funciones posibles del

proceso Lo anterior conlleva a que al adquirir una aplicacioacuten comercial seraacute

necesario definir paraacutemetros dentro de las funciones que integran a la aplicacioacuten

(personalizar parametrizar el SI que se ha adquirido) Ademaacutes cuando se

adquieren aplicaciones comerciales muchas de sus funciones son

desaprovechadas por la organizacioacuten ya sea porque no se alinean a la cultura

organizacional o porque simplemente el modelo de negocio no lo requiere Por

otro lado las aplicaciones disentildeados a la medida dan la certeza de que el SI

adquirido refleja en su totalidad el proceso que automatiza es decir la

funcionalidad se disentildea uacutenica y exclusivamente para los requerimientos del

negocio para el que ha sido concebido Esto genera un mejor aprovechamiento

de recursos procesos alineados al negocio y aseguramiento por parte de la

organizacioacuten de que el SI que les ha sido entregado cumple en un 100 con las

expectativas funcionales de negocio y requerimientos especificados ademaacutes de

proveer una aplicacioacuten exclusiva para la organizacioacuten Tambieacuten ha aumentado el

nuacutemero de adquisiciones de SIacutes tanto comerciales como desarrollados a la

medida

Diacutea tras diacutea los teacutecnicos y especialistas maacutes experimentados desarrollan distintas

innovaciones en los aspectos de seguridad de SI para que eacutestos sean lo menos

vulnerable posible tratando de evitar todo aquello que pueda afectar el

funcionamiento de un sistema El concepto de seguridad informaacutetica sigue

siendo para varios de caraacutecter utoacutepico ya que no se ha revelado en la

actualidad un sistema que pueda ser 100 seguro Morrie Gasser en su libro

ldquoBuilding a Secure Computer Systemrdquo [5] describe que ldquoA pesar de los avances

significativos en el estado del arte de la seguridad informaacutetica en los uacuteltimos antildeos

la informacioacuten en las computadoras es maacutes vulnerable que nunca Cada avance

tecnoloacutegico importante en informaacutetica plantea nuevas amenazas de seguridad

que requieren nuevas soluciones la tecnologiacutea avanza maacutes raacutepido que la

velocidad con la que este tipo de soluciones se desarrollanhelliprdquo ldquoProbablemente

no podamos cambiar la manera en que funciona el mundo pero si entender por

queacute funciona de esa manera lo que nos puede ayudar a evitar las fallas tiacutepicas y

optar por soluciones de seguridad aceptablesrdquo


5

El aumento de riesgos en los SI que en ocasiones pueden ser criacuteticos pone en

riesgo a la informacioacuten organizacional y afectan la continuidad del negocio

Actualmente la seguridad en las aplicaciones se lleva como una parte

independiente las organizaciones se preocupan por invertir en seguridad

perimetral que les proporcione alguacuten grado de certeza de que su infraestructura

informaacutetica estaacute protegida El error en esta concepcioacuten e implementacioacuten de

seguridad se deriva de que la mayor parte de las vulnerabilidades se encuentra

en el disentildeo de las propias aplicaciones no en su infraestructura En el artiacuteculo

ldquoThe Top Cyber Security Risksrdquo publicado en el portal de SANS en Septiembre de

2009 [6] se hace alusioacuten al punto anterior y se resume en la figura 2

Fig 2 Nuacutemero de Vulnerabilidades en Red SO y aplicaciones

Aplicaciones

Bibliotecas SO

Transporte SO

Red

Nuacutem

ero

de V

ulne

rabi

lidad

es


6

12 Cifras relevantes de los Sistemas de Informacioacuten y seguridad

La seguridad en las aplicaciones se ha vuelto una prioridad afortunadamente las

organizaciones ya estaacuten tomando conciencia de ello Cada vez maacutes y maacutes

portavoces se unen a esta nueva visioacuten de aplicaciones seguras independientes

de la infraestructura de seguridad que implementan [7]

A continuacioacuten se presenta una seleccioacuten de artiacuteculos publicados por

organizaciones y revistas internacionales las cuales muestran aspectos

relacionados con las vulnerabilidades de las aplicaciones

Urgen a proteger aplicaciones Web

Carlos Fernaacutendez de Lara publicoacute el artiacuteculo bdquoUrgen a proteger aplicaciones Web‟

en la revista Netmedia en Noviembre de 2009 en el marco del congreso 5ordm Diacutea de

la Seguridad de la Informacioacuten organizado por la Secretariacutea de Hacienda y

Creacutedito Puacuteblico (SCHP) [7] El autor resalta las siguientes declaraciones hechas por

Ariel Sucari gerente de la Consultora Itera

ldquoCon el crecimiento acelerado de los servicios de Internet las empresas y

responsables de la seguridad IT deben comenzar a priorizar proteger las

aplicaciones Web y no exclusivamente los servidores e infraestructura del

negociordquo

ldquoLas empresas tienen que establecer esquemas de proteccioacuten con base en la

ubicacioacuten de sus datos sensibles con poliacuteticas de control y manejo de riesgos y

con un anaacutelisis profundo para determinar los puntos rojos en temas de

vulnerabilidadesrdquo

ldquoLa proteccioacuten de las aplicaciones Web se coloca como uno de los vectores maacutes

urgentes y olvidados en teacuterminos de vulnerabilidades y resguardo por parte de las

organizacionesrdquo

ldquoDiversos anaacutelisis muestran que 549 de las aplicaciones Web cuentan con

vulnerabilidades o riesgos potenciales Peligros que en el 74 de los casos no han

sido solucionados luego de un antildeo de estar expuestosrdquo

ldquoEl total de los ataques a las organizaciones 75 van dirigidos a las aplicaciones

Web y el resto a la infraestructura de red y servidores de la empresa Sin embargo

iroacutenicamente 90 del presupuesto de seguridad IT se invierte en reforzar la


7

infraestructura en servidores y uacutenicamente 10 se gasta en mejorar la proteccioacuten

de las aplicaciones Webrdquo

ldquoLas empresas no estaacuten enfocando la seguridad hacia sus aplicaciones Web a

pesar de que siete de cada diez ataques estaacuten dirigidos a sus servicios en Internet

El tema no es dejar de proteger la infraestructura pero es necesario comenzar a

mirar nuevos vectores de riesgordquo

ldquoLa seguridad en las aplicaciones Web debe comenzar desde su gestacioacuten pues

el 64 de los programadores en las compantildeiacuteas desconocen coacutemo escribir

coacutedigos y programas sin errores o vulnerabilidadesrdquo

ldquoLa seguridad es problema de todos desde los departamentos de seguridad IT

los programadores de las herramientas hasta los usuarios que las utilizan Definir

de antemano procesos responsables por aacuterea tiempos de despliegue y de

ejecucioacuten puede ahorrar muchos problemas y riesgos para el negociordquo

Fallas importantes tienen 9 de 10 aplicaciones

La empresa estadounidense Cenzic proveedor de soluciones de seguridad en

aplicaciones Web publica semestralmente su informe de tendencias en

seguridad de aplicaciones Web El informe correspondiente al primer semestre de

2009 lleva por tiacutetulo ldquoWeb Application Security Trends Report Q1-Q2 2009rdquo

publicada en Noviembre de 2009[8] En este informe se afirma que la informacioacuten

de las organizaciones estaacute en riesgo ya que casi 9 de 10 aplicaciones Web tienen

vulnerabilidades que pueden ser explotadas en cualquier momento

Especiacuteficamente Cenzic encontroacute que de las aplicaciones Web analizadas 87

tienen serias vulnerabilidades que potencialmente pueden ocasionar la

exposicioacuten de la informacioacuten sensible o datos confidenciales producto de

transacciones de compradores en liacutenea En el mismo sentido Cenzic afirma que el

90 de las vulnerabilidades de las aplicaciones Web se encuentran en

aplicaciones comerciales y solo 8 en los navegadores que las corren


8

Las vulnerabilidades de aplicaciones exceden las Vulnerabilidades de los SO

Cada vez se da maacutes importancia a proteger las aplicaciones basaacutendose en el

hecho de que las vulnerabilidades en las aplicaciones exceden a las

vulnerabilidades de los Sistemas Operativos tal como se describe en el artiacuteculo

ldquoThe Top Cyber Security Risksrdquo publicado en el portal de SANS3 en Septiembre de

2009 [6]

ldquoDurante los uacuteltimos antildeos el nuacutemero de vulnerabilidades descubiertas en las

aplicaciones es mucho mayor que el nuacutemero de vulnerabilidades descubiertas en

los sistemas operativos Como resultado se han registrado maacutes intentos de

explotacioacuten a los programas de aplicacioacutenrdquo

3 SysAdmin Audit Network Security


9

Evaluaciones de vulnerabilidades en los SI

Con respecto a las vulnerabilidades de los sistemas de informacioacuten Joseph

Feiman en el trabajo titulado ldquoBuilding Secure Applicationsrdquo [9] realizoacute un anaacutelisis

y detectoacute que las vulnerabilidades de los SI son concebidos desde las primeras

etapas del ciclo de vida de los mismos el porcentaje que le dio a la insercioacuten de

vulnerabilidades por cada etapa del ciclo de vida de desarrollo se puede

apreciar en la tabla 1

Vulnerabilidades encontradas en cada etapa del Ciclo de vida de desarrollo de Software (CVDS)

Vulnerabilidades encontradas Fases CVDS

Madurez de

herramientas y

praacutecticas

Aportacioacuten de

vulnerabilidades

Vulnerabilidades en la toma de

requerimientos definicioacuten de flujos de

procesos de negocio y algoritmos

Anaacutelisis En desarrollo 15

Vulnerabilidades causadas por

interrelaciones de moacutedulos y servicios

(Web) loacutegica y flujo de datos

Disentildeo En desarrollo 40

Vulnerabilidades en las instrucciones

propias del lenguaje implementacioacuten de

la loacutegica y flujo de datos

Construccioacuten Bajo 35

Vulnerabilidades en ejecutables interfaz

de usuario Montaje de servicios de

seguridad

Pruebas Bajo 10

Falta de actualizaciones errores

administrativos errores de configuracioacuten

Si se encuentran vulnerabilidades se

regresa al anaacutelisis

Operacioacuten Bajo-Medio

Tabla 1- Evaluacioacuten de vulnerabilidades en las distintas fases del Ciclo de Vida de Desarrollo de

Software CVDS

Como se puede observar en la tabla 1 el mayor porcentaje de vulnerabilidades

en el Software es insertado en las etapas de disentildeo y desarrollo Y esto se debe en

gran parte a que los disentildeadores y desarrolladores de software enfocan su

tiempo conocimiento recursos y esfuerzos en disentildear y desarrollar la

funcionalidad especificada en el tiempo y forma especificada sin tomar a la par

Las vulnerabilidades aportadas en cada fase pueden aunque no son necesariamente vulnerabilidades de

seguridad Dentro de cada fase del CVDS pueden agregarse tambieacuten vulnerabilidades de negocio o

funcionales es decir que no se logre conceptualizar las necesidades reales del negocio como suele suceder en

las etapas de anaacutelisis y disentildeo


10

consideraciones miacutenimas de seguridad y mejores praacutecticas en el desarrollo de

software

La mayoriacutea de las veces las deficiencias encontradas resultan de un mismo origen

el desconocimiento de las implicaciones y praacutecticas de seguridad por parte de

los equipos de trabajo Es decir no se planea disentildea y programa pensando en

seguridad

Lo anterior ha impactado en que los SI se hayan convertido en el blanco

preferido por los atacantes debido a que el mayor nuacutemero de vulnerabilidades

encontradas en estos SI son vulnerabilidades ya conocidas explotadas

documentadas y ampliamente difundidas

Por ello surge la necesidad de no conformarnos solamente con la seguridad

perimetral a la que actualmente se encuentran sometidos los SI en la

organizacioacuten sino ir maacutes allaacute es decir no confiar plenamente en los mecanismos

de seguridad externos y optar por fortalecer a los SI desde su creacioacuten

El presente trabajo de tesis proporciona una alternativa de perfeccionamiento de

los SI antes y durante su puesta en operacioacuten mediante la cual tanto

desarrolladores y propietarios de los SI pueden asegurar que sus aplicaciones

cumplen con los requisitos miacutenimos de seguridad y que los controles

implementados reducen las tiacutepicas vulnerabilidades de las aplicaciones


11

13 Estado del arte

La mayor parte de las investigaciones existentes conforme al desarrollo de

Sistemas de Informacioacuten Seguros y a la auditoriacutea de Seguridad de los Sistemas de

Informacioacuten se ven reflejados en un conjunto de estaacutendares y mejores praacutecticas

utilizadas en la actualidad Las de mayor aceptacioacuten y que se toman como base

para el desarrollo de esta tesis son los siguientes

ISOIEC 15408 Define un criterio estaacutendar para la evaluacioacuten de las propiedades

y caracteriacutesticas de seguridad de determinado producto o sistema informaacutetico

Proporciona un marco comuacuten con el que determinar los niveles de seguridad y

confianza que implementa un determinado producto con base en el conjunto de

requisitos de seguridad y garantiacutea que satisface respecto a esta norma

obteniendo de esa forma una certificacioacuten oficial de nivel de seguridad que

satisface

ISO 9126 Es un estaacutendar internacional para la evaluacioacuten del Software Estaacute

dividido en cuatro partes modelo de calidad meacutetricas externas meacutetricas internas

y calidad en las meacutetricas de uso Este estaacutendar estaacute pensado para los

desarrolladores adquirentes personal que asegure la calidad y evaluadores

independientes responsables de especificar y evaluar la calidad del producto

software Se ocuparaacute como base del modelo de auditoriacutea de seguridad

propuesto en esta tesis

ISO 12207 Establece un marco de referencia comuacuten para los procesos del ciclo

de vida software con una terminologiacutea bien definida que puede ser

referenciada por la industria software En este marco se definen los procesos

actividades (que forman cada proceso) y tareas (que constituyen cada

Actividad) presentes en la adquisicioacuten suministro desarrollo operacioacuten y

mantenimiento del software

NIST SP800-64 Emitido por el Instituto Nacional de Estaacutendares y Tecnologiacuteas de

EUA (NIST por sus siglas en ingleacutes) Aborda el tema de consideraciones de

seguridad en el ciclo de vida de desarrollo de SI Presenta un capiacutetulo exclusivo

para la incorporacioacuten de la seguridad dentro del ciclo de vida de desarrollo de SI

Este documento serviraacute de base para desarrollar el tema de ciclo de vida de

desarrollo seguro

NIST SP800-37 (versioacuten anterior) Emitido por el Instituto Nacional de Estaacutendares y

Tecnologiacuteas de EUA (NIST por sus siglas en ingleacutes) Es una guiacutea para la certificacioacuten

y acreditacioacuten de seguridad de los Sistemas de Informacioacuten Federales El

propoacutesito de esta publicacioacuten es proporcionar las directrices y tareas necesarias


12

para cada una de las fases en el proceso de certificacioacuten y acreditacioacuten de la

seguridad para los sistemas de informacioacuten federales

COBIT (Objetivos de Control de la Tecnologiacuteas de la Informacioacuten) Es un conjunto

de mejores praacutecticas para el manejo de informacioacuten creado por la Asociacioacuten

para la Auditoriacutea y Control de Sistemas de Informacioacuten (ISACA por sus siglas en

ingleacutes) y el Instituto de Gobierno de Tecnologiacuteas de la Informacioacuten (ITGI4 por sus

siglas en ingleacutes) COBIT ofrece a directivos auditores y a usuarios de TI un conjunto

de medidas de aceptacioacuten general indicadores procesos y mejores praacutecticas

para asistirlos a maximizar los beneficios procedentes de la utilizacioacuten de TI y el

desarrollo adecuado gobierno de TI y control en una empresa COBIT 41 se

conforma de 34 procesos de alto nivel los cuales cubren 210 objetivos de control

clasificados en 4 dominios Planear y Organizar Adquirir e implantar Entrega y

Soporte y Monitorear y Evaluar Se aprovecharaacute esta base para desarrollar los

temas de capiacutetulo 4 y 5 de esta tesis

ISO 27002 Se conforma como un coacutedigo internacional de buenas praacutecticas de

seguridad de la informacioacuten Puede constituirse como una directriz de auditoriacutea

apoyaacutendose de otros estaacutendares de seguridad de la informacioacuten que definen los

requisitos de auditoriacutea y sistemas de gestioacuten de seguridad Se aprovecharaacute para

desarrollar el tema de requerimientos de auditoriacutea de seguridad de los SI

Manual de Metodologiacutea Abierta de Evaluacioacuten de Seguridad (OSSTMM por sus

siglas en ingleacutes) Es el documento de una metodologiacutea Abierta de evaluacioacuten de

seguridad emitido por el Instituto para la seguridad y metodologiacuteas abiertas

(ISECOM por sus siglas en ingleacutes) Es un conjunto de reglas y lineamientos para

determinar cuaacutendo queacute y cuaacuteles eventos deben ser evaluados Esta metodologiacutea

cubre uacutenicamente la prueba de seguridad externa es decir evaluar la seguridad

desde un entorno no privilegiado hacia un entorno privilegiado para evadir los

componentes de seguridad procesos y alarmas y ganar acceso privilegiado El

objetivo de este manual es crear un meacutetodo aceptado para la realizacioacuten de

pruebas de seguridad en profundidad

Guiacutea de Pruebas OWASP5 Es una metodologiacutea Abierta para realizar pruebas de

penetracioacuten a aplicaciones Web emitida por la organizacioacuten OWASP Esta guiacutea

incluye las mejores praacutecticas de pruebas de penetracioacuten para ser aplicadas

4 IT Governance Institute es una entidad sin fines de lucro de investigacioacuten independiente que proporciona

orientacioacuten a la comunidad mundial de negocios sobre temas relacionados con el gobierno empresarial de los

activos de TI El ITGI fue establecido en 1998 por ISACA asociacioacuten de miembros sin fines de lucro

5 Open Web Application Security Project


13

tanto a nivel de empresa como a nivel de proyecto de desarrollos de software

orientados a la Web

Publicaciones e Investigaciones

Se han publicado una serie de documentos que apoyan e inducen a los lectores

a optar por una construccioacuten de aplicaciones seguras Entre ellos se pueden

encontrar las siguientes

ldquoBuilding Secure Applicationsrdquo publicado en el antildeo 2007 por Joseph Feiman y

soportado por la firma internacional Gartner Presenta un artiacuteculo de 17 hojas en

las que introduce a las aplicaciones seguras su teoriacutea se basa en que las

vulnerabilidades de los SI se conciben desde las primeras etapas del ciclo de vida

del mismo Provee de la misma manera un estudio de las vulnerabilidades maacutes

comunes en los SI y la perspectiva de SI entre los desarrolladores y los expertos de

seguridad

ldquoA Guide to Building Secure Web Applications and Web Servicesrdquo publicada en

2002 por OWASP El proyecto OWASP es una comunidad abierta de colaboracioacuten

entre profesionales y expertos en la seguridad de aplicaciones Web Entre sus

muchos proyectos se incluye la Guiacutea de pruebas un manual de referencia con

vulnerabilidades contramedidas y una completa metodologiacutea para la revisioacuten y

evaluacioacuten del estado de seguridad de las aplicaciones El marco de trabajo

descrito en este documento pretende alentar a las personas a evaluar y tomar

medidas de seguridad a traveacutes de todo el proceso de desarrollo

ldquoElaboracioacuten de un modelo de ciclo de vida para el desarrollo de sistemas de

informacioacuten basados en WEBrdquo tesis elaborada por Carlos Leoacuten Martiacutenez Valle y

publicada en Junio 2006 para obtener el tiacutetulo de Maestro en Ciencias en

Computacioacuten en el Centro de Investigacioacuten en Computacioacuten del Instituto

Politeacutecnico Nacional Esta tesis define un modelo de ciclo de vida aplicable para

el desarrollo de Sistemas de Informacioacuten para WEB Toma como base modelos

claacutesicos de ingenieriacutea y nuevas teoriacuteas de Ingenieriacutea WEB asiacute como el estaacutendar

ISOIEC 12207 La tesis se encuentra estructurada en 7 capiacutetulos Introduccioacuten

Marco Teoacuterico Anaacutelisis Disentildeo Prototipo de Prueba Pruebas y resultados y

finalmente Conclusiones y futuros trabajos


14

14 Comentarios del capiacutetulo

Existe una creciente adquisicioacuten de SI por parte de las organizaciones como

parte de sus procesos productivos Cada avance tecnoloacutegico en materia de

informaacutetica plantea a su vez nuevos retos de seguridad que requieren ser

atendidos y solucionados Desafortunadamente la tecnologiacutea avanza maacutes

raacutepido que las soluciones a los retos de seguridad que la misma tecnologiacutea

impone

Se debe tener presente que el entorno en el que se encuentran los SI no es

estaacutetico Por ello no se puede considerar que un SI sea 100 seguro No se puede

asegurar que un SI esteacute libre de vulnerabilidades ya que conforme pasa el tiempo

y avanza el desarrollo tecnoloacutegico tambieacuten se descubren nuevas

vulnerabilidades Lo que siacute se puede asegurar es que los SI desarrollados estaacuten

exentos de las vulnerabilidades tiacutepicas y comuacutenmente conocidas

Como lo mostraron las cifras presentadas en este capiacutetulo la mayor parte de las

vulnerabilidades se encuentra en el disentildeo de los SI no en su infraestructura De

ahiacute surge la necesidad de atender no solamente la seguridad perimetral sino ir

maacutes allaacute Es decir no se debe confiar plenamente en los mecanismos de

seguridad externos y optar por el fortalecimiento de los SI desde su disentildeo y

concepcioacuten

15

CAPIacuteTULO 2 MARCO TEOacuteRICO

Resumen

Este capiacutetulo se presentan las bases definiciones y conceptos de los que se parte

para el desarrollo de esta tesis

Los temas que se tratan en este capiacutetulo son

- Sistemas de informacioacuten y la seguridad en los mismos

- Estaacutendares y mejores praacutecticas en el desarrollo de sistemas

auditoriacutea de seguridad calidad del software

- Procedimiento Operativo Estaacutendar

- Generalidades de auditoriacutea y auditoriacutea de seguridad

- Metodologiacuteas de auditoriacutea informaacutetica


16


17

21 Generalidades de los Sistemas de Informacioacuten

Un sistema de informacioacuten es un conjunto de elementos interrelacionados con el

fin de obtener procesar almacenar administrar formatear difundir y en

determinado momento destruir la informacioacuten procesada

En la medida en que maacutes funciones de las organizaciones se han automatizado

los Sistemas de Informacioacuten (SI) se han tornado aceleradamente maacutes

especializados dando origen a distintos tipos Sin importar la clasificacioacuten a la que

pertenezcan o la forma de adquisicioacuten todos los SI convergen en el hecho

relevante de aportar valor a la organizacioacuten

Un SI seguro es aquel que garantiza la confidencialidad integridad y

disponibilidad de los recursos del sistema y de la Informacioacuten que maneja

mediante la aplicacioacuten de controles de seguridad derivados del previo

establecimiento de los requerimientos miacutenimos de seguridad a satisfacer

Para ampliar la informacioacuten correspondiente a las definiciones de sistemas SI

componentes de un SI seguridad seguridad informaacutetica y sistemas de

informacioacuten seguros se recomienda consultar el apeacutendice A GENERALIDADES DE

LOS SISTEMAS DE INFORMACIOacuteN

22 Consideraciones de Procedimiento Operativo Estaacutendar

Un procedimiento es un documento que indica claramente los pasos

consecutivos para iniciar desarrollar y concluir una actividad u operacioacuten

relacionada con un proceso los elementos teacutecnicos a emplear las condiciones

requeridas los alcance limitaciones fijadas el nuacutemero y caracteriacutesticas del

personal que intervienen etc[17]

Un POE (Procedimiento Operativo Estaacutendar) es un procedimiento documentado

de manera formal que incluye un conjunto de instrucciones que describen la

manera en que deben realizarse las tareas repetitivas en una organizacioacuten Los

POEs constituyen un conjunto de instrucciones que tienen el caraacutecter de una

directiva y se definen para asegurar y mantener la calidad de los procesos que

ocurren en un sistema y principalmente donde no existen procedimientos

propiamente establecidos

Un procedimiento se vuelve obligatorio y es parte de las poliacuteticas de seguridad

dentro de una organizacioacuten [18]


18

Frecuentemente los POEs estaacuten conformados de componentes operacionales y

teacutecnicos Cuando los POEs han sido disentildeados de manera clara y efectiva se

convierten en elementos esenciales para el desarrollo y la implementacioacuten de

cualquier solucioacuten Todo buen sistema de calidad estaacute basado en POEs

Inicialmente los POEs eran usados en el aacuterea meacutedica actualmente se ha

extendido su uso a la industria de las tecnologiacuteas de informacioacuten entre las tareas

donde son utilizados los POEs se encuentran todas aquellas relacionadas con

mejores praacutecticas en el mantenimiento y desarrollo de hardware y software [19]

Asiacute los POEs resultan ser elementos que contribuyen al desarrollo de metodologiacuteas

que puedan ser usadas en el proceso de auditoriacutea de seguridad de los sistemas

de Informacioacuten

De acuerdo con la Royal Pharmaceutical Society of Great Britain (RPSGB) [20]

algunos de los beneficios que ofrece el trabajar mediante POEs son

Aseguran la calidad y consistencia de un servicio

Garantizan el uso y aplicacioacuten de las mejores praacutecticas en todo momento

Proporcionan la oportunidad de utilizar la experiencia del personal

involucrado en la tarea a realizar

Permiten segregar y delegar funciones asiacute como liberar tiempo del

personal para otras actividades

Ayudan a evitar confusiones entre las funciones de las personas

involucradas (esclarecimiento de funciones)

Proporcionan consejo y orientacioacuten a suplentes y personal de medio

tiempo

Son herramientas uacutetiles para la capacitacioacuten de nuevos miembros de

trabajo

Contribuyen al proceso de auditoriacutea

Los POEs frecuentemente se definen y utilizan como guiacuteas praacutecticas donde no

existe una doctrina oficial oacute un marco legal oacute institucional al respecto Los POEs se

utilizan para proporcionar detalles praacutecticos sobre el trabajo en una organizacioacuten

y para un aacuterea laboral especiacutefica deben ser lo suficientemente generales para

poder manejar los pasos baacutesicos en un proceso de auditoriacutea y a su vez deben


19

proveer flexibilidad para responder a circunstancias uacutenicas que puedan surgir

Adicionalmente los POEs pueden facilitar la integracioacuten y documentacioacuten de la

evidencia de auditoriacutea obtenida en el proceso de auditoriacutea pues ellos

especifican de manera escrita lo que se debe hacer cuaacutendo doacutende y por quieacuten

Si bien existen varias metodologiacuteas para desarrollar una auditoriacutea de sistemas

guiacuteas para probar la seguridad diversos estaacutendares y mejores praacutecticas en el

desarrollo de aplicaciones son escasos los procedimientos que definen los pasos

a seguir en la revisioacuten de la existencia y suficiencia de los requerimientos miacutenimos

funcionales y de seguridad que debe cubrir un SI Por ello se ha decidido que

para esta tesis se haraacute uso de los POEs para conformar una metodologiacutea de

auditoriacutea de seguridad de SI

Disentildeo de POE

Seguacuten RPSGB [20] para iniciar el proceso de disentildeo de un POE es recomendable

contestar las preguntas presentadas en la tabla 2

Aspectos a considerar en el disentildeo de un POE

Aspectos a cubrir por

el POE Preguntas a responder al disentildear un POE

Objetivos iquestQueacute es lo que el POE intenta lograr

Campo de aplicacioacuten iquestQueacute aacutereas de trabajo seraacuten cubiertas por este POE

Etapas del proceso iquestCoacutemo se llevaraacute a cabo la tarea iquestCuaacuteles son los pasos necesarios para

realizar la tarea

Responsabilidad iquestQuieacuten es el responsable de efectuar cada etapa o escenario del proceso

en condiciones normales o excepcionales

Otra informacioacuten uacutetil iquestHay alguna otra informacioacuten que pueda ser incluida en el POE

Revisioacuten iquestCoacutemo te aseguraraacutes de que el POE continuaraacute siendo uacutetil relevante y

actualizado

Tabla 2- Aspectos a considerar en el disentildeo de un POE


20

Estructura General de un POE

Lucio Santes Galvaacuten en la tesis con tiacutetulo ldquoPropuesta de una metodologiacutea de

anaacutelisis forense para dispositivos de telefoniacutea celularrdquo [19] describe la estructura

general de un POE Los elementos que conforman a un POE son

Una cabecera Contiene el nombre de la institucioacuten y del departamento

que disentildea y utiliza al procedimiento Ademaacutes tambieacuten se compone de

Tiacutetulo nuacutemero de POE nuacutemero de revisioacuten fecha de vigencia nuacutemero de

hojas

Objetivo Que describe brevemente la finalidad del POE

Alcance El procedimiento deberaacute indicar las restricciones de su

aplicacioacuten En otras palabras deberaacute especificar ya sea los elementos con

los que puede trabajar o establecer las circunstancias en las que deberaacute

detenerse

Responsable Establece expliacutecitamente la persona encargada de efectuar

el procedimiento documentado Se debe incluir el papel en la

investigacioacuten forense asiacute como el nombre propio para evitar confusiones

en caso de que dos personas tengan la misma funcioacuten

Definiciones En donde se aclaran aquellos teacuterminos que se consideren

convenientes

Materiales Hardware y software Especifica los dispositivos fiacutesicos y

aplicaciones que seraacuten utilizados en el procedimiento

Aspectos de seguridad Especifican aquellas medidas que se deben tomar

en cuenta al momento de realizar el trabajo y de esta manera efectuar el

procedimiento de manera exitosa

Procedimiento Es la seccioacuten que corresponde al cuerpo del POE en donde

se presentan los pasos que forman al procedimiento

Referencias Referencias a publicaciones originales y otras publicaciones

relevantes


21

23 Generalidades de Auditoriacutea

Auditoriacutea

Carlos Muntildeoz en el libro ldquoAuditoriacutea de Sistemas Computacionalesrdquo [21] define la

auditoriacutea como la revisioacuten independiente que realiza un auditor profesional

aplicando teacutecnicas meacutetodos y procedimientos especializados a fin de evaluar el

cumplimiento de las funciones actividades tareas y procedimientos de una

entidad administrativa asiacute como dictaminar sobre el resultado de dicha

evaluacioacuten

Roberto Sobrinos en el libro ldquoPlanificacioacuten y Gestioacuten de Sistemas de Informacioacutenrdquo

[22] define la auditoriacutea como la actividad consistente en la emisioacuten de una

opinioacuten profesional sobre si el objeto sometido a anaacutelisis presenta

adecuadamente la realidad que pretende reflejar yo cumple las condiciones

que le han sido prescritas

Se pueden descomponer los conceptos anteriores en los elementos

fundamentales que a continuacioacuten se especifican

Contenido una opinioacuten profesional

Actuacioacuten auditor

Justificacioacuten sustentada en determinadas teacutecnicas meacutetodos y

procedimientos especializados

Finalidad determinar si presenta adecuadamente la realidad o eacutesta

responde a las expectativas que le son atribuidas Evaluar el cumplimiento

de las funciones actividades tareas y procedimientos de una entidad

administrativa

Objetivo final emitir un dictamen profesional e independiente

En todo caso es una funcioacuten que se realiza a posteriori en relacioacuten con

actividades ya realizadas sobre las que hay que emitir una opinioacuten


22

Auditoriacutea Interna y Auditoriacutea Externa

La auditoriacutea informaacutetica tanto interna como externa debe ser una actividad

exenta de cualquier contenido o matiz poliacutetico ajena a la propia estrategia y

poliacutetica general de la empresa

Auditoriacutea Interna

La Auditoriacutea Interna es una funcioacuten independiente de evaluacioacuten establecida

dentro de una organizacioacuten para examinar y evaluar sus actividades como un

servicio a la organizacioacuten El objetivo de la auditoriacutea interna consiste en apoyar a

los miembros de la organizacioacuten en el desempentildeo de sus responsabilidades Para

ello la auditoriacutea interna les proporciona anaacutelisis evaluaciones recomendaciones

asesoriacutea e informacioacuten concerniente con las actividades revisadas [23]

Auditoriacutea Externa

A diferencia de la auditoriacutea interna esta se realiza por personas ajenas a la

organizacioacuten lo que deriva una mayor objetividad comparado con una auditoriacutea

interna debido al mayor distanciamiento entre auditor y auditado

Base Conceptual

Con base en el SI auditado el auditor realizaraacute un estudio y anaacutelisis siguiendo

alguna metodologiacutea de trabajo pero sin desviarse de la base conceptual del SI

de la empresa auditada

Los SI tienen sus bases en algunos aspectos importantes dentro de cualquier

organizacioacuten entre ellos se tienen los siguientes

Aspectos econoacutemicos- Considerar los recursos con los que cuenta la

organizacioacuten

Aspectos tecnoloacutegicos- Equipo fiacutesico dentro de la organizacioacuten Se deben

considerar las nuevas adquisiciones sustituciones y cambios ya sea de

software o hardware

Aspectos sociales- Mejoras orientadas hacia los empleados de la

empresa por ejemplo cursos capacitacioacuten etc


23

Aspecto poliacutetico legal- Estaacutendares y leyes vigentes para las empresas

tanto internas como externas se debe cuidar el aspecto legal

especialmente en el Software

Aspecto Administrativo- Relacioacuten a nivel de gerencias mayor confianza en

la toma de posiciones decisiones o fortunas siempre a favor de las

empresas

Tipos de auditoriacutea

Existe una amplia gama de tipos de auditoriacutea se presentan los tipos de auditoriacutea

de intereacutes en el aacuterea de Informaacutetica y coacutemputo

Auditoriacutea Informaacutetica de Explotacioacuten

La explotacioacuten informaacutetica se ocupa de producir resultados tales como listados

archivos soportados magneacuteticamente oacuterdenes automatizadas modificacioacuten de

procesos etc Para realizar la explotacioacuten informaacutetica se dispone de datos las

cuales sufren una transformacioacuten y se someten a controles de integridad y

calidad

Auditoriacutea Informaacutetica de Desarrollo de Proyectos o Aplicaciones

La funcioacuten de desarrollo es una evaluacioacuten del llamado Anaacutelisis de programacioacuten

y sistemas Todas estas fases del desarrollo de un proyecto deben estar sometidas

a un exigente control interno de lo contrario pueden producirse insatisfaccioacuten

del cliente insatisfaccioacuten del usuario altos costos etc Por lo tanto la auditoriacutea

deberaacute comprobar la seguridad de los programas en el sentido de garantizar

que el servicio ejecutado por la maacutequina los resultados sean exactamente los

previstos y no otros

Auditoriacutea de sistemas

Conjunto de procedimientos y teacutecnicas para evaluar y controlar total o

parcialmente un sistema informaacutetico con el fin de proteger sus activos y recursos

verificar si sus actividades se desarrollan eficientemente de acuerdo con las

normas informaacuteticas y generales existentes en cada empresa y para conseguir la

eficacia exigida en el marco de la organizacioacuten correspondiente


24

Auditoriacutea Informaacutetica de Comunicacioacuten y Redes

Para el informaacutetico y para el auditor informaacutetico el entramado conceptual que

constituyen las Redes Nodales Liacuteneas Concentradores Multiplexores Redes

Locales etc no son sino el soporte fiacutesico-loacutegico del Tiempo Real

En este tipo de auditoriacutea se investiga sobre los iacutendices de utilizacioacuten de las liacuteneas

contratadas con informacioacuten abundante sobre tiempos de desuso Deberaacute

proveerse de la topologiacutea de la Red de Comunicaciones actualizada ya que la

desactualizacioacuten de esta documentacioacuten significariacutea una grave debilidad Se

deberaacute determinar cuaacutentas liacuteneas existen coacutemo son y doacutende estaacuten instaladas y

sobre ellas hacer una suposicioacuten de la Inoperatividad Informaacutetica Todas estas

actividades deben estar coordinadas y dependientes de una sola organizacioacuten

Auditoriacutea de la Seguridad Informaacutetica

Se debe tener presente la cantidad de informacioacuten almacenada en el

computador la cual en muchos casos puede ser confidencial ya sea para los

individuos las empresas o las instituciones lo que significa que se debe cuidar del

mal uso de esta informacioacuten de los robos los fraudes sabotajes y sobre todo de

la destruccioacuten parcial o total En la actualidad se debe tambieacuten cuidar la

informacioacuten de los virus informaacuteticos los cuales permanecen ocultos y dantildean

sistemaacuteticamente los datos

Auditoriacutea de la Seguridad de los Sistemas de Informacioacuten

Una auditoriacutea de Seguridad se refiere a aquellos trabajos de anaacutelisis revisioacuten

evaluacioacuten y propuesta de perfeccionamiento de los SI de forma tal que se

contribuya a que su uso apoye las funciones para los que fueron creados Una

auditoriacutea de seguridad da una visioacuten exacta del nivel de exposicioacuten de los SI a

nivel de seguridad

Papel del Auditor de Seguridad de SI

El papel de auditor debe estar encaminado hacia la buacutesqueda de problemas

existentes dentro de los SI evaluados y a la vez proponer soluciones para corregir

las vulnerabilidades encontradas en el SI


25

Etapas de una Auditoriacutea

Se requieren varios pasos para realizar una auditoriacutea En general un proceso de

auditoriacutea se compone de las siguientes etapas [21]

Preliminares El primer paso para realizar una auditoriacutea es definir las

actividades necesarias para su ejecucioacuten lo cual se lograraacute mediante una

adecuada planeacioacuten de estas es decir se deben identificar claramente

las razones por las que se va a realizar la auditoriacutea y la determinacioacuten de

objetivos de la misma asiacute como el disentildeo de los meacutetodos teacutecnicas y

procedimientos necesarios para llevarla a cabo y para preparar los

documentos que serviraacuten de apoyo para su ejecucioacuten culminando con la

elaboracioacuten documental de los planes programas y presupuestos para

esta auditoriacutea

Ejecucioacuten Estaraacute determinada por las caracteriacutesticas concretas los puntos

y requerimientos que se estimaron en la etapa de planeacioacuten

Dictamen de la auditoriacutea Se emite un dictamen el cual es el resultado final

de la auditoriacutea Esta etapa incluye la elaboracioacuten de un informe con las

situaciones detectadas elaboracioacuten del dictamen final y la presentacioacuten

del informe de auditoriacutea


26

24 Auditoriacutea de Seguridad de Sistemas de Informacioacuten

Una auditoriacutea de seguridad informaacutetica de sistemas de informacioacuten (SI) es el

estudio que comprende el anaacutelisis revisioacuten evaluacioacuten y propuesta de

perfeccionamiento de los SI para identificar y posteriormente corregir las diversas

vulnerabilidades que pudieran presentarse en una revisioacuten exhaustiva del SI De

forma tal que el uso del SI apoye las funciones para lo que fue creado

Una vez obtenidos los resultados se detallan archivan y reportan a los duentildeos y

responsables quienes deberaacuten establecer medidas correctivas y preventivas de

refuerzo tomando en cuenta las recomendaciones emitidas por el auditor

siguiendo siempre un proceso secuencial que permita mejorar la seguridad de sus

SI aprendiendo de los errores cometidos con anterioridad

Las auditoriacuteas de seguridad de SI permiten conocer en el momento de su

realizacioacuten y cuaacutel es la situacioacuten exacta de sus activos de informacioacuten en cuanto

a proteccioacuten control y medidas de seguridad Es decir da una visioacuten exacta del

nivel de exposicioacuten de los SI a nivel de seguridad

Una auditoriacutea se realiza con base en un patroacuten o conjunto de directrices o buenas

praacutecticas sugeridas Existen estaacutendares orientados a servir como base para

auditoriacuteas de informaacutetica Uno de ellos es COBIT (Objetivos de Control de la

Tecnologiacuteas de la Informacioacuten) dentro de los objetivos definidos como

paraacutemetro se encuentra el Garantizar la Seguridad de los Sistemas Adicional a

este estaacutendar se puede encontrar el estaacutendar ISO 27002 el cual se conforma

como un coacutedigo internacional de buenas praacutecticas de seguridad de la

informacioacuten Eacuteste puede considerarse como una directriz de auditoriacutea


requisitos de auditoriacutea y sistemas de gestioacuten de seguridad como lo es el estaacutendar

ISO 27001

Realizar auditoriacuteas con cierta frecuencia asegura la integridad de los controles de

seguridad aplicados a los SI Acciones como el constante cambio en las

configuraciones la instalacioacuten de parches actualizacioacuten del software y la

adquisicioacuten de nuevo hardware hacen necesario que los sistemas esteacuten

continuamente verificados mediante auditoriacutea [24]


27

25 Metodologiacuteas de Auditoriacutea de Seguridad de SI

Una metodologiacutea se define como la descripcioacuten secuencial de la manera de

efectuar una operacioacuten o una serie de operaciones que conducen a un objetivo

establecido

Mario Piattini en el libro ldquoAuditoriacutea Informaacuteticardquo [25] describe que todas las

metodologiacuteas existentes desarrolladas y utilizadas en la auditoriacutea y el control

informaacutetico se puede agrupar seguacuten su funcioacuten en dos grandes familias

Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la

realizacioacuten del trabajo estaacuten disentildeadas para producir una lista de riesgos que

pueden compararse entre siacute con facilidad por tener asignados unos valores

numeacuterico Estaacuten disentildeadas para producir una lista de riesgos que pueden

compararse entre si con facilidad por tener asignados unos valores numeacutericos

Estos valores son datos de probabilidad de ocurrencia de un evento que se debe

extraer de un riesgo de incidencias donde el nuacutemero de incidencias tiende al

infinito

Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un

proceso de trabajo para seleccionar en base a la experiencia acumulada

Puede excluir riesgos significantes desconocidos (depende de la capacidad del

profesional para usar el check-listguiacutea) Basadas en meacutetodos estadiacutesticos y loacutegica

borrosa que requiere menos recursos humanostiempo que las metodologiacuteas

cuantitativas

La auditoriacutea de seguridad informaacutetica identifica el nivel de exposicioacuten por la falta

de controles [25] Todas las metodologiacuteas existentes en seguridad de sistemas van

encaminadas a establecer y mejorar un conjunto de medidas que minimicen el

riesgo de que las amenazas exploten vulnerabilidades del SI y se materialicen en

hechos

Una metodologiacutea de auditoriacutea de seguridad de SI es la descripcioacuten secuencial de

la manera de de efectuar el anaacutelisis revisioacuten evaluacioacuten y propuesta de

perfeccionamiento de los SI dando una visioacuten exacta del nivel de exposicioacuten de

los SI

Las metodologiacuteas de auditoriacutea de seguridad son de tipo cualitativas es decir son

subjetivas por excelencia Estaacuten basadas en profesionales de gran nivel de

experiencia y formacioacuten capaces de dictar recomendaciones teacutecnicas

operativas y juriacutedicas que exigen gran profesionalidad y formacioacuten continua


28

26 Estaacutendares y Mejores Praacutecticas

Estaacutendar

Un estaacutendar6 es una regla norma o especificacioacuten publicada que establece un

lenguaje comuacuten para realizar un conjunto de procesos y actividades con el fin de

conseguir un objetivo determinado con un grado oacuteptimo de orden [26]

Mejores Praacutecticas

La Caacutemara Nacional de la Industria Electroacutenica de Telecomunicaciones y

Tecnologiacuteas de la Informacioacuten (CANIETI) [27] define a las mejores praacutecticas como

una compilacioacuten de las praacutecticas que empresas y organizaciones con un alto

reconocimiento han implementado y las cuales les han aportado buenos

resultados

Las mejores praacutecticas no son propiedad de una sola compantildeiacutea es decir tienen

aplicacioacuten universal en todas las compantildeiacuteas Pero es obvio que no exista una

praacutectica uacutenica que le sirva a todo el mundo El teacuterminos mejores significa mejores

para cada quien

Las organizaciones e instituciones en su afaacuten de estandarizar sus procesos han

disentildeado desarrollado e implementado un conjunto de estaacutendares y mejores

praacutecticas que apoyan a los procesos organizacionales y que son reconocidas por

su eficacia comprobada Los estaacutendares y mejores praacutecticas se utilizan para

describir el trabajo soacutelido respetable y actualizado que se realiza en un campo

especiacutefico

Existen diversos estaacutendares y mejores praacutecticas aceptadas internacionalmente en

el aacuterea de TI por conveniencia de esta tesis se han agrupado en 3 bloques

1) en el desarrollo de aplicaciones

2) en la auditoriacutea informaacutetica y de seguridad y

3) en la calidad en los SI

A continuacioacuten se describe cada uno de los estaacutendares y mejores praacutecticas

correspondientes a estos 3 bloques

6 Para el BSI (The British Standards Institucioacuten) un estaacutendar es una especificacioacuten publicada que establece un

lenguaje comuacuten y contiene las especificaciones teacutecnicas u otros criterios precisos y estaacute disentildeado para ser

utilizado generalmente como una guiacutea una regla o una definicioacuten


29

261 En el Desarrollo de aplicaciones

Los estaacutendares para el desarrollo de aplicaciones proporcionan un marco de

referencia comuacuten para los procesos del ciclo de vida del software incluye tareas

y actividades que se deben realizar en cada una de las etapas del ciclo de vida

de desarrollo del software

Cabe aclarar que este bloque corresponde uacutenicamente a la concepcioacuten del

Ciclo de Vida de desarrollo de Software (CVDS) es decir no se incluyen las

consideraciones de seguridad a lo largo del ciclo de vida En el capiacutetulo 3 se

retomaran los estaacutendares utilizados bajo la concepcioacuten de CVDS Seguro

El estaacutendar establecido por la ISOIEC para el desarrollo de aplicaciones es el

estaacutendar ISOIEC 12207 Proceso de Ciclo de Vida de Software a continuacioacuten se

presenta un breve resumen del estaacutendar

ISOIEC 12207

La norma ISOIEC 12207 ldquoSoftware Life Cycle Processesrdquo [28] es el estaacutendar para

los procesos de ciclo de vida del software el cual establece un marco de

referencia comuacuten para los procesos del ciclo de vida para el software incluye

procesos y actividades que se aplican desde la definicioacuten de requisitos pasando

por la adquisicioacuten y configuracioacuten de los servicios del sistema hasta la finalizacioacuten

de su uso Este estaacutendar tiene como objetivo principal proporcionar una

estructura comuacuten para que compradores proveedores desarrolladores personal

de mantenimiento operadores administradores y personal involucrados en el

desarrollo de software usen un lenguaje comuacuten Este lenguaje comuacuten se

establece en forma de procesos bien definidos

La estructura del estaacutendar ha sido concebida de manera flexible y modular de

manera que pueda ser adaptada a las necesidades de cualquiera que lo use

Para conseguirlo el estaacutendar se basa en dos principios fundamentales

Modularidad y responsabilidad Con la modularidad se pretende conseguir

procesos con un miacutenimo acoplamiento y una maacutexima cohesioacuten En cuanto a la

responsabilidad se busca establecer un responsable para cada proceso

facilitando la aplicacioacuten del estaacutendar en proyectos en los que pueden existir

distintas personas u organizaciones involucradas

Los procesos se clasifican en tres tipos Principales de soporte y de la

organizacioacuten esta clasificacioacuten se puede apreciar en la figura 5 [28]


30

Fig 5 Proceso del Ciclo de vida de software seguacuten ISOIEC 12207

Como puede apreciarse en la figura 5 la norma ISOIEC 12207 dentro de los

procesos de la organizacioacuten se considera tambieacuten el proceso de adaptacioacuten

cuyo objetivo es realizar la adaptacioacuten baacutesica de la norma ISO a distintos

proyectos de software teniendo en cuenta las variaciones en las poliacuteticas y

procedimientos propios de cada una de las organizaciones que requiera

implementar la norma dentro de sus procesos de desarrollo

Proceso Principales

ISOIEC 12207 define cinco procesos principales de cuya ejecucioacuten se encargan

las denominadas partes principales En la norma se considera ldquoparte principalrdquo la

que inicia o realiza uno de los cinco procesos principales por lo cual las partes

principales son el adquiriente el suministrador el desarrollador el operador y el

personal de mantenimiento del software

1 Proceso de adquisicioacuten Comienza definiendo la necesidad de adquirir un

sistema o un producto software y continuacutea con la preparacioacuten y

publicacioacuten de la solicitud de propuestas la seleccioacuten de un proveedor y la

gestioacuten de los procesos de adquisicioacuten hasta la aceptacioacuten del producto


31

2 Proceso de suministro Puede iniciarse bien por una decisioacuten de preparar

una propuesta para responder a una peticioacuten de un adquiriente bien por

la firma de un contrato con el adquiriente para proporcionar el producto

software El proceso continuacutea con la identificacioacuten de los procedimientos y

recursos necesarios para gestionar y asegurar el proyecto incluyendo el

desarrollo de los planes del proyecto y la ejecucioacuten de los planes hasta la

entrega del producto software

3 Proceso de desarrollo Contiene las actividades para el anaacutelisis de

requisitos disentildeo codificacioacuten integracioacuten pruebas e instalacioacuten y

aceptacioacuten relativas al software

4 Proceso de operacioacuten Abarca la operacioacuten del software y el soporte a

usuarios Debido a que la operacioacuten del software se integra en la

operacioacuten del sistema las actividades y tareas del proceso de operacioacuten

se refieren al sistema

5 Proceso de mantenimiento Se activa cuando el software sufre

modificaciones de coacutedigo o de documentacioacuten asociada debido a un

error una deficiencia un problema o la necesidad de mejoraadaptacioacuten

Procesos de soporte

La norma contiene ocho procesos de soporte los cuales pueden ser empleados

por los procesos de adquisicioacuten suministro desarrollo operacioacuten mantenimiento

o cualquier otro proceso de soporte Estos procesos se emplean en varios puntos

del ciclo de vida y pueden ser realizados por la organizacioacuten que los emplea por

una organizacioacuten independiente (como un servicio) o por un cliente como

elemento planificado o acordado del proyecto

1 Proceso de documentacioacuten Registra la informacioacuten producida por un

proceso o actividad del ciclo de vida Este proceso contiene el conjunto

de actividades que planifican disentildean desarrollan producen editan

distribuyen y mantienen los documentos necesarios para todos los

interesados tales como directores ingenieros y usuarios del sistema

2 Proceso de gestioacuten de configuracioacuten Consta ademaacutes de la

implementacioacuten del propio proceso (en la que se incluye la elaboracioacuten

del plan de gestioacuten de configuracioacuten) de las actividades de identificacioacuten

control evaluacioacuten de la configuracioacuten gestioacuten y entregas de liberaciones


32

3 Proceso de aseguramiento de la calidad Proporciona el aseguramiento

adecuado de que los procesos y productos de soporte del ciclo de vida

del proyecto cumplen con los requisitos especificados y que se ajustan a

los planes establecidos

4 Proceso de verificacioacuten Determina si los requisitos de un sistema o software

estaacuten completos y correctos asiacute tambieacuten que los productos de software en

cada fase de desarrollo cumplen los requisitos o condiciones impuestos

sobre ellos en las fases previas responde a la pregunta iquestEstamos

construyendo adecuadamente el producto La verificacioacuten puede

integrarse en el proceso que la emplee

5 Proceso de validacioacuten Determina si los requisitos y el software construido

cumplen con su uso proyectado la pregunta a la que responde es

iquestEstamos construyendo el producto correcto Al igual que el anterior este

proceso puede ejecutarlo una organizacioacuten independiente del proveedor

desarrollador operador o personal de mantenimiento

6 Proceso de revisioacuten conjunta Define las actividades que emplea

cualquiera de las partes para evaluar el estado y los productos de las

actividades

7 Proceso de auditoriacutea Permite determinar el cumplimiento de los requisitos

planes y contrato seguacuten sea apropiado

8 Proceso de resolucioacuten de problemas Analiza y resuelve los problemas que

se descubren durante el ciclo de vida del software Proporciona los medios

oportunos responsables y documentados para asegurar que todos los

problemas descubiertos se analizan y resuelven

Procesos Organizacionales

Los procesos organizacionales apoyan al establecimiento implementacioacuten y

mejoran la organizacioacuten consiguiendo una organizacioacuten maacutes eficiente

1 Proceso de gestioacuten Contiene las actividades y tareas geneacutericas que puede

emplear cualquier parte en la direccioacuten de sus respectivos procesos

comprende la iniciacioacuten y definicioacuten del alcance planificacioacuten ejecucioacuten

y control revisioacuten y evaluacioacuten y cierre

2 Proceso de infraestructura Establece la infraestructura necesaria para

cualquier otro proceso que puede incluir hardware software


33

herramientas teacutecnicas normas e instalaciones para desarrollo operacioacuten o

mantenimiento

3 Proceso de mejora Establece valora mide controla y mejora los procesos

del ciclo de vida del software

4 Proceso de formacioacuten Proporciona y mantiene un personal formado

5 Proceso de adaptacioacuten Permite realizar la adaptacioacuten baacutesica de la norma

ISO a distintos proyectos de software teniendo en cuenta las variaciones

en las poliacuteticas y procedimientos organizacionales los meacutetodos y

estrategias de adquisicioacuten el tamantildeo y complejidad de los proyectos los

requisitos de sistema y meacutetodos de desarrollo etc etc


34

262 En la Seguridad y Auditoriacutea Informaacutetica


praacutecticas sugeridas

Existen mejores praacutecticas y estaacutendares orientados a servir como base para

auditoriacuteas de informaacutetica entre ellos encontramos el ISO 27002 COBIT e ISOIEC

15408

Por otra parte el NIST presenta en la publicacioacuten FIPS PUB 199 y 200 el estaacutendar

para clasificar la seguridad de los SI y lo requerimientos miacutenimos de seguridad de

un SI De manera complementaria al FIPS PUB 200 se presenta el NIST SP 800-53 el

cual presenta los controles de seguridad recomendados

De igual manera existen mejores praacutecticas utilizadas para la evaluacioacuten de

seguridad entre las maacutes comunes se encuentra el OSSTMM y la guiacutea de pruebas

OWASP

A continuacioacuten se presenta una breve descripcioacuten de los estaacutendares y mejores

praacutecticas considerados para la seguridad y auditoriacutea informaacutetica

ISO 27002

Se ha conformado como un coacutedigo internacional de buenas praacutecticas de



requisitos de auditoriacutea y sistemas de gestioacuten de seguridad

Para ampliar la informacioacuten acerca de este estaacutendar se recomienda consultar el

apeacutendice B ISO 17799ISO 27002

COBIT

Los Objetivos de Control para la Informacioacuten y la Tecnologiacutea relacionada

(COBIT)[29] brindan un conjunto de las mejores praacutecticas para el manejo de

informacioacuten creado por la Asociacioacuten para la Auditoriacutea y Control de Sistemas de

Informacioacuten(ISACA) y el Instituto de Administracioacuten de las Tecnologiacuteas de la

Informacioacuten (ITGI)

COBIT presenta un marco de trabajo de dominios y procesos asiacute como las

actividades en una estructura manejable y loacutegica Las buenas praacutecticas de COBIT

representan el consenso de los expertos y estaacuten enfocadas fuertemente en el

control y menos en la ejecucioacuten


35

COBIT ofrece a directivos auditores y a usuarios de TI un conjunto de medidas de

aceptacioacuten general indicadores procesos y mejores praacutecticas para asistirlos a

maximizar los beneficios procedentes de la utilizacioacuten de TI y el desarrollo

adecuado gobierno de TI y control en una empresa COBIT 41 se conforma de 34

procesos de alto nivel los cuales cubren 210 objetivos de control clasificados en 4

dominios Planear y Organizar Adquirir e implantar Entrega y da soporte y

Monitorear y Evaluar Dentro de los objetivos definidos por COBIT con respecto a

la seguridad de los SI se encuentra definido el objetivo de control de alto Nivel

DS5 Garantizar la Seguridad de los Sistemas (contenido en el dominio de

ldquoEntrega y da soporterdquo)

El objetivo de control de alto nivel DS5 ldquoGarantizar la seguridad de los Sistemasrdquo

incluye los siguientes objetivos de control especiacuteficos

DS51 Administracioacuten de la seguridad de TI

DS52 Plan de seguridad de TI

DS53 Administracioacuten de identidad

DS54 Administracioacuten de cuentas del usuario

DS55 Pruebas vigilancia y monitoreo de la seguridad

DS56 Definicioacuten de incidente de seguridad

DS57 Proteccioacuten de la tecnologiacutea de seguridad

DS58 Administracioacuten de llaves criptograacuteficas

DS59 Prevencioacuten deteccioacuten y correccioacuten de software malicioso

DS510 Seguridad de la red

DS511 Intercambio de datos sensitivos

Para ampliar la informacioacuten acerca del objetivo de control de alto nivel DS5 se

recomienda consultar el apeacutendice C COBIT DS5 GARANTIZAR LA SEGURIDAD DE

LOS SISTEMAS


36

ISOIEC 15408

El estaacutendar ISOIEC 15408 [30] (common criteria) define un criterio estaacutendar para

la evaluacioacuten de las propiedades y caracteriacutesticas de seguridad de determinado

producto o sistema IT

El estaacutendar proporciona un marco comuacuten con el que determinar los niveles de

seguridad y confianza que implementa un determinado producto en base al

conjunto de requisitos de seguridad y garantiacutea que satisface respecto a esta

norma obteniendo de esa forma una certificacioacuten oficial de nivel de seguridad

que satisface

Los requisitos de seguridad presentados en el estaacutendar definen un

comportamiento deseado en materia de seguridad de un determinado producto

o sistema IT y se agrupa en clases las clases contenidas son

FAU- Auditoriacutea

FCO- Comunicaciones

FCS- Soporte criptograacutefico

FDP- Proteccioacuten de datos de usuario

FIA- Identificacioacuten y autenticacioacuten de usuario

FMT- Gestioacuten de la seguridad

FPR- Privacidad

FPT- Proteccioacuten de las funciones de seguridad del objetivo a

evaluar

FRU- Utilizacioacuten de recursos

FTA- Acceso al objetivo de evaluacioacuten

FTP- Canales seguros


apeacutendice D CRITERIOS COMUNES DE EVALUACIOacuteN ISOIEC 15408


37

FIPS PUB 199

Describe las normas para la clasificacioacuten de seguridad de la informacioacuten federal y

los Sistemas de Informacioacuten (SI) en esta publicacioacuten se detalla la forma en que las

agencias federales de los EUA pueden clasificar su informacioacuten y los SI

La publicacioacuten FIPS 199 requiere que la organizacioacuten clasifique sus sistemas de

informacioacuten como de bajo impacto impacto moderado o alto impacto para los

objetivos de seguridad de la confidencialidad integridad y disponibilidad

Los valores del impacto potencial asignado a los objetivos de seguridad

correspondientes son los valores maacutes altos de entre las categoriacuteas de seguridad

que se han determinado para cada tipo de informacioacuten residente en estos

sistemas de Informacioacuten

El formato generalizado para expresar la categoriacutea de seguridad (CS) de un SI es

CS SI = (confidencialidad impacto)

(integridad impacto)

(disponibilidad impacto)

Los valores aceptables para el impacto potencial son bajo moderado o alto

FIPS PUB 200

Denominado ldquoMinimum Security Requirements for Federal Information and

Information Systemsrdquo fue publicado en Marzo del 2006 y define los requerimientos

miacutenimos de seguridad para la informacioacuten y SI federales de los EUA

El NIST define un requerimiento de seguridad [12] como los requerimientos

percibidos en un SI que se derivan de las leyes decretos directivas poliacuteticas

normas instrucciones regulaciones o procedimientos o la misioacuten de la

organizacioacutencasos de negocio necesarios para garantizar la confidencialidad

integridad y disponibilidad de los informacioacuten que es procesada almacenada o

transmitida

Los requisitos miacutenimos de seguridad cubren diecisiete aacutereas relacionadas con la

seguridad con respecto a la proteccioacuten de la confidencialidad integridad y

disponibilidad de los SI y la informacioacuten procesada almacenada y transmitida

por estos sistemas

Las diecisiete aacutereas representan una amplia base de un programa equilibrado de

seguridad de la informacioacuten que se ocupa de la gestioacuten operacioacuten y aspectos


38

teacutecnicos de la proteccioacuten de la informacioacuten y los SI Estas aacutereas relacionadas con

la seguridad son

1 Control de acceso (AC)

2 Sensibilizacioacuten y Formacioacuten (AT)

3 Auditoriacutea y Rendicioacuten de Cuentas (AU)

4 Certificacioacuten Acreditacioacuten y evaluaciones de Seguridad (CA)

5 Gestioacuten de la Configuracioacuten (CM)

6 Planes de Contingencia (CP)

7 Identificacioacuten y autenticacioacuten (IA)

8 Respuesta a Incidentes (IR)

9 Mantenimiento (MA)

10 Proteccioacuten de Medios (MP)

11 Proteccioacuten fiacutesica y Ambiental (PE)

12 Planificacioacuten (PL)

13 Personal de Seguridad (PS)

14 Evaluacioacuten de Riesgos (RA)

15 Adquisicioacuten de sistema y servicios (SA)

16 Proteccioacuten de Sistemas y Comunicaciones (SC)

17 Integridad de Sistema y la informacioacuten (SI)

Para ampliar la informacioacuten correspondiente a cada una de las aacutereas sugeridas

por el FIPS PUB 200 se recomienda consulta el apeacutendice F FIPS PUB 200

NIST SP 800-53

La publicacioacuten especial SP 800-53 [31] del NIST ldquoRecommended Security Controls

for Federal Information Systems and Organizationsrdquo es un documento que agrupa

los controles de seguridad recomendados para los Sistemas de informacioacuten y

organizaciones federales de los Estados Unidos de Ameacuterica

Los controles de seguridad descritos en 800-53 tienen una organizacioacuten bien

definida y estructurada Para facilidad de seleccioacuten del Control de Seguridad y las

especificaciones de sus procesos se organizan en 17 familias

1 Control de acceso

2 Concientizacioacuten y capacitacioacuten

3 Auditoriacutea y rendicioacuten de cuentas

4 Certificacioacuten acreditacioacuten y evaluaciones de seguridad

5 Gestioacuten de configuracioacuten

6 Planificacioacuten de contingencia

7 Identificacioacuten y autenticacioacuten

8 Respuesta a incidentes

9 Mantenimiento

10 Proteccioacuten de Medios


39

11 Proteccioacuten fiacutesica y ambiental

12 La planificacioacuten

13 Personal de seguridad

14 Evaluacioacuten del riesgo

15 Adquisicioacuten de sistemas y servicios

16 Proteccioacuten del sistema y comunicaciones

17 Integridad del sistema y la informacioacuten

Para ayudar a las organizaciones en la seleccioacuten adecuada de los controles de

seguridad para un SI se introduce el concepto de los controles de referencia Los

controles de referencia son el punto de partida para el proceso de seleccioacuten de

los controles de seguridad descritos en SP800-53 y son elegidos en base a la

categoriacutea de seguridad y nivel de impacto de los asociados del sistema de

informacioacuten determinado de conformidad con FIPS 199 y FIPS 200

respectivamente La medida de referencia de control de seguridad es el conjunto

miacutenimo de controles de seguridad para el SI

Para ampliar la informacioacuten de la publicacioacuten FIPS 199 consultar el apeacutendice E

FIPS PUB 199 Para ampliar la informacioacuten de la publicacioacuten FIPS 200 consultar el

apeacutendice F FIPS PUB 200

OSSTMM Manual de Metodologiacutea Abierta de Evaluacioacuten de Seguridad

El manual de metodologiacutea abierta de evaluacioacuten de seguridad [32] es un

documento de metodologiacutea Abierta de evaluacioacuten de seguridad emitido por

ISECOM Esta guiacutea proporciona un conjunto de reglas y lineamientos para

determinar cuaacutendo queacute y cuaacuteles eventos deben ser evaluados Esta

metodologiacutea cubre uacutenicamente la prueba de seguridad externa es decir evaluacutea

la seguridad desde un entorno no privilegiado hacia un entorno privilegiado para

evadir los componentes de seguridad procesos y alarmas y ganar acceso

privilegiado El objetivo de este manual es crear un meacutetodo aceptado para la

realizacioacuten de pruebas de seguridad en profundidad Las secciones consideradas

en este manual son

1 Seguridad de la Informacioacuten

2 Seguridad de los Procesos

3 Seguridad en las tecnologiacuteas de Internet

4 Seguridad en las Comunicaciones

5 Seguridad Inalaacutembrica

6 Seguridad Fiacutesica


40

Guiacutea de Pruebas OWASP

La guiacutea de Pruebas OWASP [33] es una metodologiacutea Abierta la cual cubre los

procedimientos y herramientas para probar la seguridad en las aplicaciones Web

La versioacuten 3 fue emitida por la organizacioacuten OWASP en el antildeo 2008 Esta guiacutea



orientados al entorno Web La guiacutea de pruebas OWASP V30 se conforma de un

total de 10 categoriacuteas de pruebas y 66 controles

Las categoriacuteas de pruebas de seguridad presentadas por el OWASP V30 son

1 Recopilacioacuten de la informacioacuten

2 Pruebas de gestioacuten de la configuracioacuten

3 Pruebas de la loacutegica de negocio

4 Pruebas de autenticacioacuten

5 Pruebas de autorizacioacuten

6 Pruebas de gestioacuten de sesiones

7 Pruebas de validacioacuten de datos

8 Pruebas de denegacioacuten de Servicio

9 Pruebas de Servicios Web

10 Pruebas de AJAX


41

263 Calidad en los Sistemas de Informacioacuten

La definicioacuten de calidad propuesta por la norma ISO IEC 8402 [34] es

La totalidad de rasgos y caracteriacutesticas de un producto o un servicio que le

confieren su aptitud para satisfacer necesidades impliacutecitas o expliacutecitas

Hablar de calidad del software implica la necesidad de contar con paraacutemetros

que permitan establecer los niveles miacutenimos que un producto de este tipo debe

alcanzar para que se considere de calidad [35]

La calidad del software no soacutelo se puede especificar como software sin errores La

especificacioacuten de la calidad del software debe ser maacutes precisa y detallada La

formalizacioacuten de la calidad del software puede llevarse a cabo mediante la

adopcioacuten de un modelo de calidad Para conveniencia de esta tesis se utilizaraacute

el modelo propuesto por la norma ISO 9126

Modelo de calidad establecido por ISO 9126

La norma ISO 9126[36] es un estaacutendar internacional para la evaluacioacuten de la

calidad de productos de software en el cual se establecen las caracteriacutesticas de

calidad consideradas para el software El estaacutendar fue publicado en 1992 con el

nombre de ldquoInformation technology ndashSoftware product evaluation Quality

characteristics and guidelines for their userdquo La norma ISO 9126 define un modelo

de calidad que es aplicable a todo tipo de software en eacutel se definen seis

caracteriacutesticas de calidad del producto Las caracteriacutesticas de calidad definidas

en el modelo ISO 9126 y la pregunta central que atiende cada una de estas

caracteriacutesticas se pueden apreciar en la figura 6 Establece que cualquier

componente de la calidad del software puede ser descrito en teacuterminos de

caracteriacutesticas baacutesicas las cuales son funcional confiable utilizable eficiente

susceptible a mantenimiento y portable

Cada una de las caracteriacutesticas de esta Norma se detalla a traveacutes de un

conjunto de sub-caracteriacutesticas y a su vez se componen de atributos que

permiten profundizar en la evaluacioacuten de la calidad de productos de software El

proceso de evaluacioacuten se divide en tres etapas [36-A]


42

A) Definicioacuten de requisitos de calidad Se toma como entrada un conjunto de

necesidades expresadas o impliacutecitas documentacioacuten teacutecnica y la propia

norma ISO y se produce una especificacioacuten de requisitos de calidad

B) Preparacioacuten de la evaluacioacuten Implica la seleccioacuten de las meacutetricas

apropiadas definicioacuten de los niveles de evaluacioacuten y criterios de evaluacioacuten

Las meacutetricas en la norma ISO 9126 suelen dar lugar a medidas cuantificables

asignadas a escalas La definicioacuten de los niveles de evaluacioacuten determina queacute

rangos de valores en estas escalas cuentan como satisfactorio o

insatisfactorio Del mismo modo la definicioacuten de los criterios de evaluacioacuten

consiste en la preparacioacuten de un procedimiento para resumir los resultados de

la evaluacioacuten para un entorno especiacutefico

C) Procedimiento de evaluacioacuten se conforma de pasos medicioacuten calificacioacuten

y evaluacioacuten En la medicioacuten las meacutetricas seleccionadas se aplican a los

productos de software y se evaluacutea sobre las escalas de las meacutetricas

obtenidas Subsecuentemente para cada valor medido se determina el nivel

de calificacioacuten La evaluacioacuten es el paso final donde se resume un conjunto

de niveles previamente calificados El resultado es un resumen de la calidad

del producto de software La calidad final se compara entonces con otros

aspectos tales como el tiempo y costo y la decisioacuten final se toma con base a

criterios de gestioacuten

Sin embargo a pesar de la existencia de estos modelos de mejora de la calidad

del producto software la medicioacuten de la misma no estaacute cerrada ya que la

implantacioacuten o puesta en praacutectica de dichos modelos es difiacutecil de llevar a la

praacutectica


43


ISOIEC9126

Funcionalidad

Confiabilidad

Usabilidad

Eficiencia

Mantenible

Portabilidad

iquestLas funciones y propiedades

del software satisfacen las

necesidades iquestPuede mantener el

nivel de rendimiento

bajo ciertas condiciones

por cierto tiempo

iquestEl software es

faacutecil de usar y

aprender

iquestEs raacutepido y

minimiza el uso

de recursos

iquestEs faacutecil de modificar

y verificar el

software

iquestEs faacutecil de

transferir de un

ambiente a otro


44

Las sub-caracteriacutesticas aprobados por la ISO 9126[34][35] Se presentan en las

tablas 3 y 4

Caracteriacutesticas y Sub-caracteriacutesticas definidas por el modelo ISO 9126

Caracteriacutesticas Sub-caracteriacutesticas

Funcionalidad

En este grupo se conjunta

una serie de atributos que

permiten calificar si un

producto de software

maneja en forma adecuada

el conjunto de funciones que

satisfacen las necesidades

para las cuales fue disentildeado

Adecuacioacuten

Se enfoca a evaluar si el software cuenta con un conjunto de

funciones apropiadas para efectuar las tareas que fueron

especificadas en su definicioacuten

Exactitud

Este atributo permite evaluar si el software presenta resultados o

efectos acordes a las necesidades para las cuales fue creado

Interoperabilidad

Permite evaluar la habilidad del software de interactuar con

otros sistemas previamente especificados

Cumplimiento

Evaluacutea si el software se adhiere a estaacutendares convenciones o

regulaciones en leyes y prescripciones similares

Seguridad

Se refiere a la habilidad de prevenir el acceso no autorizado ya

sea accidental o premeditado a los programas y datos

Confiabilidad

Aquiacute se agrupan un conjunto

de atributos que se refieren a

la capacidad del software

de mantener su nivel de

ejecucioacuten bajo condiciones

normales en un periodo de

tiempo establecido

Madurez

Permite medir la frecuencia de falla por errores en el software

Tolerancia a fallos

Se refiere a la habilidad de mantener un nivel especiacutefico de

funcionamiento en caso de fallas del software o de la

vulneracioacuten de su interfaz especiacutefica

Recuperacioacuten

Se refiere a la capacidad de restablecer el nivel de operacioacuten y

recuperar los datos que hayan sido afectados directamente por

una falla asiacute como el tiempo y esfuerzo necesario para lograrlo

Usabilidad

Consiste de un conjunto de

atributos que permiten

evaluar el esfuerzo necesario

que deberaacute invertir el usuario

para utilizar el sistema

Comprensibilidad

Se refiere al esfuerzo requerido por los usuarios para reconocer la

estructura loacutegica del sistema y los conceptos relativos a la

aplicacioacuten del software

Facilidad de aprender

Establece atributos del software relativos al esfuerzo que los

usuarios deben hacer para aprender a usar la aplicacioacuten

Operabilidad

Agrupa los conceptos que evaluacutean la operacioacuten y el control del

sistema

Tabla 3- Caracteriacutesticas y Sub-caracteriacutesticas de calidad definidas por el modelo ISO 9126


45


Caracteriacutesticas Sub-caracteriacutestica

Eficiencia

Esta caracteriacutestica permite

evaluar la relacioacuten entre el

nivel de funcionamiento del

software y la cantidad de

recursos usados

Comportamiento respecto al tiempo

Atributos del software relativos a los tiempos de respuesta y de

procesamiento de los datos

Comportamiento con respecto a recursos

Atributos del software relativos a la cantidad de recursos usados

y la duracioacuten de su uso en la realizacioacuten de sus funciones

Mantenible

Se refiere a los atributos que

permiten medir el esfuerzo

necesario para realizar

modificaciones al software

ya sea por la correccioacuten de

errores o por el incremento

de funcionalidad

Capacidad de anaacutelisis

Relativo al esfuerzo necesario para diagnosticar las deficiencias

o causas de fallas o para identificar las partes que deberaacuten ser

modificadas

Capacidad de modificacioacuten

Mide el esfuerzo necesario para modificar aspectos del software

remover fallas o adaptar el software para que funcione en un

ambiente diferente

Estabilidad

Permite evaluar los riesgos de efectos inesperados debidos a las

modificaciones realizadas al software

Facilidad de prueba

Se refiere al esfuerzo necesario para validar el software una vez

que fue modificado

Portabilidad

En este caso se refiere a la

habilidad del software de ser

transferido de un ambiente a

otro

Adaptabilidad

Evaluacutea la oportunidad para adaptar el software a diferentes

ambientes sin necesidad de aplicarle modificaciones

Facilidad de instalacioacuten

Es el esfuerzo necesario para instalar el software en un ambiente

determinado

Conformidad

Permite evaluar si el software se adhiere a estaacutendares o

convenciones relativas a portabilidad

Capacidad de sustitucioacuten

Se refiere a la oportunidad y el esfuerzo usado en sustituir el

software por otro producto con funciones similares

Tabla 4- Caracteriacutesticas y Sub-caracteriacutesticas de calidad definidas por el modelo ISO 9126(2)


46

27 Comentarios del Capiacutetulo

En la medida en que las funciones y procesos en las organizaciones se han

automatizado los SI se han tornado aceleradamente maacutes especializados dando

origen a un sin nuacutemero de SI que aportan valor a la organizaciones Como

consecuencia de este crecimiento en el nuacutemero de SI el problema de SI inseguros

se ha convertido en uno de los retos teacutecnicos maacutes importante de nuestros

tiempos

Asiacute los SI seguros son aquellos que garantizan la confidencialidad integridad y



establecimiento de los requerimientos miacutenimos de seguridad que plantea la

misioacuten visioacuten y objetivos de la organizacioacuten

Partiendo de la hipoacutetesis planteada en esta tesis existen 2 maneras de dotar

seguridad a un SI la primera es incluir seguridad en cada una de las fases del

ciclo de vida de desarrollo de software mediante la adopcioacuten de metodologiacuteas

de CVDS Seguro y la segunda mediante el uso de un modelo de auditoriacutea de

seguridad de SI el cual garantice que las aplicaciones desarrolladas cuenten con

los controles necesarios que reduzcan las tiacutepicas vulnerabilidades de las

aplicaciones

Los estaacutendares y mejores praacutecticas utilizadas en la industria de TI y presentados en

este capiacutetulo proporcionan una guiacutea de proceder en las tareas de planeacioacuten

adquisicioacuten disentildeo desarrollo implementacioacuten evaluacioacuten y operacioacuten de los SI

entre otras En este capiacutetulo los estaacutendares y mejores praacutecticas se agruparon en

tres grandes bloques 1) en el desarrollo de aplicaciones 2) en la seguridad y

auditoriacutea informaacutetica y 3) en la calidad del software

Los estaacutendares y mejores praacutecticas en el desarrollo de aplicaciones dependen en

gran parte de la adopcioacuten de diferentes metodologiacuteas de CVDS por parte de los

equipos de desarrollo y de las organizaciones para las que se desarrollan los SI En

este capiacutetulo se presentoacute el estaacutendar ISOIEC 12207 el cual muestra un proceso

de Ciclo de Vida de Desarrollo de Software En este estaacutendar auacuten no se dan las

consideraciones necesarias de las tareas y actividades necesarias para incluir

seguridad en cada una de las etapas del ciclo de vida Por ello en el siguiente

capiacutetulo se abordaraacute el Ciclo de Vida Desarrollo de Software Seguro (CVDS

Seguro)


47

Los estaacutendares y mejores praacutecticas en la seguridad y auditoriacutea informaacutetica

presentados en este capiacutetulo seraacuten abordados en el capiacutetulo 4 para determinar

los requerimientos miacutenimos de seguridad de los SI

El estaacutendar de calidad del software presentado en este capiacutetulo seraacute abordado

en el capiacutetulo 4 para determinar los requerimientos miacutenimos funcionales de los SI

Las consideraciones presentadas en este capiacutetulo correspondiente a los POE

seraacuten utilizados en el capiacutetulo 5 para definir los POE que apoyen la

implementacioacuten del modelo de auditoriacutea de seguridad de los SI propuesta en esta

tesis


48

49

CAPIacuteTULO 3 CICLO DE VIDA DE

DESARROLLO SEGURO

Resumen

Este capiacutetulo pretende concientizar al lector de la importancia de que los sistemas

de informacioacuten nazcan seguros Es decir pasar de un punto en el que la

seguridad es soacutelo la parte final del proceso de implantacioacuten del sistema de

informacioacuten a otro en el que la seguridad se considera como parte integral de un

sistema donde cada etapa del ciclo de vida incluye las consideraciones

necesarias para dotar a la aplicacioacuten de una seguridad desde su nacimiento

Los puntos a tocar en este capiacutetulo son

El ambiente de operacioacuten considerado en el que actualmente se disentildean

desarrollan prueban y ponen en operacioacuten los SI

Retos a los que se enfrentan las organizaciones al integrar un Ciclo de Vida


Metodologiacutea de Desarrollo seguro de sistemas de informacioacuten de Microsoft

Estaacutendar y mejores praacutecticas en el desarrollo de aplicaciones (NIST SP 800-

64)


50


51

31 Ambiente de Operacioacuten considerado

Como se describioacute en el capiacutetulo 1 la mayor parte de las organizaciones adquiere

un SI para apoyar los procesos de su negocio Como todo software los SI pueden

contener fallas de seguridad y a diferencia del software comercial estos SI no

disponen generalmente de las actualizaciones liberadas de manera continua por

parte del fabricante para cubrir las vulnerabilidades detectadas Por lo general el

tratamiento de las vulnerabilidades en los SI de una organizacioacuten se da hasta el

momento que el SI ya ha sido vulnerado es decir surge como una medida

reactiva

En la actualidad la mayoriacutea de las organizaciones auacuten no considera en sus

procesos organizacionales del Ciclo de Vida de Desarrollo de Software (CVDS) las

consideraciones de seguridad de los SI desarrollados Es una praacutectica muy comuacuten

por parte de las organizaciones la puesta en produccioacuten de SI sin la participacioacuten

del aacuterea de Seguridad de la Informacioacuten En el mejor de los casos el aacuterea de

seguridad realiza una evaluacioacuten de seguridad una vez que el SI ya estaacute

desarrollado en este punto la mayoriacutea de los errores y vulnerabilidades

encontradas requieren de su correccioacuten por parte del equipo de desarrollo y en

algunas ocasiones un redisentildeo del SI lo cual implica un costo adicional en tiempo

y esfuerzo

Estaacute comprobado que cuaacutento maacutes temprano se encuentre una falla de

seguridad en las fases del CVDS maacutes raacutepida y econoacutemica seraacute su mitigacioacuten

iquestCuaacutel es el rumbo a seguir Las buenas praacutecticas indican la conveniencia de

incluir seguridad de la informacioacuten desde el principio y a lo largo de todas las

etapas del CVDS [37]

La relacioacuten de costos relacionados con la incorporacioacuten de medidas de

seguridad en un SI en las diferentes fases del CVDS se detallan en la figura 7 [37]

Estos datos se derivan de los costos reales necesarios para realizar los cambios y

correcciones necesarias a los SI en diferentes puntos del CVDS


52

Fuente MILANO PabloldquoSeguridad en el ciclo de vida de desarrollo de softwarerdquo

httpwwwprensariotilacompdfTutorialCybsec_0710pdf

Fig 7 Costo de la integracioacuten de medidas de seguridad en diferentes fases del ciclo de vida del

desarrollo de software

La pregunta obligada es iquestCoacutemo implementar seguridad a lo largo del CVDS

Mediante la adopcioacuten e implementacioacuten de un modelo de Ciclo de Vida de

Desarrollo Seguro (CVDS) donde el personal de seguridad de la informacioacuten se

encuentre involucrado y participe en las distintas etapas de desarrollo

supervisando la realizacioacuten de las mismas

32 Retos en la adopcioacuten e implementacioacuten de un CVDS Seguro

La mejor forma de integrar seguridad a los SI es tomando acciones a lo largo del

Ciclo de vida mediante la adopcioacuten de un CVDS Seguro donde en cada fase del

ciclo se realicen las tareas necesarias que doten de seguridad al SI desarrollado

En cada una de estas fases debe existir la participacioacuten activa por parte del aacuterea

de seguridad la cual validaraacute y verificaraacute la adecuada realizacioacuten de las tareas

de seguridad

Desgraciadamente en la actualidad la estructura y cultura organizacional por

parte de la mayoriacutea de las organizaciones no permite la implementacioacuten de este

modelo de desarrollo Los principales retos a los que la adopcioacuten de un CVDS

dentro de una organizacioacuten se enfrenta son los siguientes

Erradicar la idea erroacutenea por parte de la alta gerencia propietarios del SI

usuarios equipos de disentildeo y desarrollo de que dotar de seguridad a un SI


53

es un proceso independiente al Ciclo de Vida de Desarrollo del SI y

generalmente se lleva en las uacuteltimas fases del ciclo de vida

Poco o nulo compromiso por parte de la alta gerencia con respecto a las

consideraciones de seguridad de los SI organizacionales

Erradicar el pensamiento erroacuteneo por parte de la alta gerencia

propietarios del SI usuarios e integrantes de los equipos de disentildeo y

desarrollo de que el aacuterea de seguridad soacutelo entorpece el trabajo y

ejecucioacuten habitual de sus actividades diarias

Escasa o nula sensibilizacioacuten y capacitacioacuten en seguridad de la gerencia y

equipo de liderazgo de la organizacioacuten lo que deriva en la incomprensioacuten

del incremento en tiempo recursos y esfuerzos derivado de las acciones

planeadas al incluir seguridad en los SI

Escaso o nulo entrenamiento en seguridad de los profesionales de TI

Desconocimiento por parte de los equipos de disentildeo y desarrollo de las

consideraciones y uso de las mejores praacutecticas de seguridad como parte

de sus procesos en el desarrollo de SI

Poca colaboracioacuten entre las aacutereas de seguridad y las aacutereas de disentildeo y

desarrollo

La inversioacuten inicial para realizar el cambio en la forma de trabajo por las

aacutereas de disentildeo y desarrollo es alta considerando que se tiene que

trabajar e invertir esfuerzo en la reorganizacioacuten de la estructura de trabajo

y en la capacitacioacuten de sus equipos

Se requiere tiempo para que una organizacioacuten absorba cambios y maacutes

cuando estos se reflejan en sus procesos internos y cultura organizacional


54

33 Metodologiacuteas de Desarrollo Seguro de Sistemas de Informacioacuten

En un Ciclo de Vida de Desarrollo Seguro (CVDS Seguro) la seguridad se aborda

desde la primera etapa del ciclo de desarrollo y a lo largo de todas las etapas En

cada etapa se realizan diversas actividades que en su conjunto aumentan la

seguridad de la aplicacioacuten Incluir seguridad tempranamente en el CVDS suele

resultar menos costoso y maacutes eficiente que agregarla a un sistema en operacioacuten

Es importante que el personal de seguridad de la informacioacuten participe en las

distintas etapas de desarrollo

Las organizaciones han empezado a darle la importancia debida a la seguridad

en las aplicaciones Existen modelos de desarrollo seguro los cuales estaacuten

disponibles al puacuteblico La idea es que estos modelos puedan ser aceptados y

utilizados y posteriormente enriquecidos con las aportaciones y sugerencias y

experiencia de los profesionales que han implementado estos modelos dentro de

las organizaciones

331 Microsoft Security Development LifeCycle (SDL)

Esta metodologiacutea incorpora varias actividades y materiales relacionados con la

seguridad a cada una de las fases del proceso de desarrollo de software Estas

actividades y materiales incluyen el desarrollo de modelos de amenazas durante

el disentildeo de software el uso de herramientas de exploracioacuten del coacutedigo de

anaacutelisis estaacutetico durante la implementacioacuten y la realizacioacuten de revisiones del

coacutedigo y pruebas de seguridad durante una campantildea de seguridad Antes del

lanzamiento de software sometido al SDL un equipo independiente del grupo de

desarrollo debe realizar una revisioacuten final de seguridad En comparacioacuten con el

software que no se ha sometido al SDL el software que ha seguido este proceso

ha presentado una reduccioacuten considerable en el nuacutemero de deteccioacuten externa

de vulnerabilidades de seguridad

Esta metodologiacutea supone que hay un grupo central en la organizacioacuten que

controla el desarrollo y la evolucioacuten de las praacutecticas recomendadas de seguridad

y las mejoras de los procesos actuacutea como fuente de conocimientos para toda la

organizacioacuten y realiza la revisioacuten final de seguridad antes del lanzamiento del

software Seguacuten la experiencia de Microsoft la existencia de tal organizacioacuten es

vital para implementar adecuadamente el SDL asiacute como para mejorar la

seguridad del software Sin embargo algunas organizaciones delegan en un

consultor externo esta funcioacuten de equipo de seguridad central Describe la

integracioacuten de un conjunto de pasos destinados a aumentar la seguridad del

software durante el proceso de desarrollo que suelen utilizar grandes


55

organizaciones El objetivo de dichas mejoras de procesos es reducir el nuacutemero y

la gravedad de las deficiencias de seguridad Recomienda que el equipo de

seguridad pertenezca a la organizacioacuten donde se desarrollo el software debido a

que el equipo de seguridad debe estar disponible para recurrir a eacutel con

frecuencia durante el disentildeo y el desarrollo del software y es preciso confiarle

informacioacuten teacutecnica y empresarial confidencial

Puede considerarse al grupo central como un auditor de seguridad interno dentro

de la metodologiacutea de Microsoft

Las fases de SDL definidas por Microsoft son las siguientes

entrenamiento

anaacutelisis de requerimientos

disentildeo

implementacioacuten

verificacioacuten

liberacioacuten y

respuesta

En la figura 8 [38] se muestran las etapas y actividades clave consideradas por el

SDL de Microsoft

Fig 8 Ciclo de Vida de Desarrollo Seguro de Microsoft

Entrenamiento

Entrenamiento Principal

Requisitos

Definir medidas de calidad barra de errores

Analizar el riesgo a la seguridad y la privacidad

Disentildeo

Anaacutelisis superficial de los ataques

Modelizacioacuten de amenazas

Implementacioacuten

Especificacioacuten de herramientas

Reforzamiento de funciones

Anaacutelisis estaacutetico

Verificacioacuten

Pruebas dinaacutemicas

Verificacioacuten de la modelizacioacuten de amenazas de ataques superficiales

Liberacioacuten

Plan de respuestas

Revisioacuten final de seguridad

Archivo de liberacioacuten

Respuesta

Ejecucioacuten de respuesta


56

Entrenamiento Considera actividades de capacitacioacuten las cuales permiten

aprender acerca de las bases de seguridad uso de teacutecnicas especificas y

actualizacioacuten de las amenazas recientes en el aacutembito de seguridad

Anaacutelisis de Requisitos Se llevan a cabo actividades para integrar las

caracteriacutesticas de seguridad y las medidas de control con los programas que

probablemente se utilizaraacuten con el software que estaacuten desarrollando Esta fase es

considerada como la mejor para integrar la seguridad a los procesos de

desarrollo e identificar los objetivos de seguridad

Disentildeo Se debe identificar la estructura y los requisitos globales del software y se

establece el uso de las mejores praacutecticas a utilizar Desde el punto de vista de la

seguridad los elementos clave de la fase de disentildeo son definir la arquitectura de

seguridad y las directrices de disentildeo documentar los elementos de la interfaz de

ataque del software y realizar un modelado de las amenazas

Implementacioacuten Se prueba e integra el software Los pasos destinados a eliminar

los errores de seguridad o a impedir que se incluyan desde el principio son de

gran utilidad ya que reducen la probabilidad de que las deficiencias de

seguridad lleguen a la versioacuten final que se lanzaraacute a los clientes Las tareas que se

aplican en la fase son uso de normas de codificacioacuten y de pruebas

herramientas de comprobacioacuten de seguridad herramientas de exploracioacuten del

coacutedigo de anaacutelisis estaacutetico y realizar revisiones del coacutedigo

Verificacioacuten Se realizan revisiones del coacutedigo de seguridad aparte de las

realizadas en la fase de implementacioacuten asiacute como la realizacioacuten de pruebas

centradas en la seguridad

Liberacioacuten El software debe someterse a una revisioacuten final de seguridad la cual

definiraacute si desde el punto de vista de la seguridad el software estaacute preparado

para su lanzamiento a los clientes Esta revisioacuten se lleva a cabo mediante una

revisioacuten independiente del software que realiza el equipo de seguridad central de

la organizacioacuten Adicional a ello se lleva a cabo la creacioacuten del plan de

respuesta a incidentes

Respuesta El equipo de desarrollo debe estar disponible para responder a

cualquier posible vulnerabilidad de seguridad que surja Una tarea importante de

esta etapa es la difusioacuten a los equipos de desarrollo y de seguridad de los

procesos adaptados en los SI para que errores detectados y corregidos en los

productos no se repitan en el futuro Ademaacutes desarrollar un plan de respuesta

que incluye los preparativos para posibles problemas posteriores a la liberacioacuten


57

332 NIST SP 800-64

Fue emitido por el Instituto Nacional de Estaacutendares y Tecnologiacuteas de EUA y aborda

el tema de las consideraciones de seguridad en el ciclo de vida de desarrollo de

SI Presenta una guiacutea para la incorporacioacuten de la seguridad en todas las fases del

proceso de CVDS desde su inicio hasta su disposicioacuten Esta guiacutea provee apoyo a

las organizaciones para seleccionar y adquirir controles de seguridad rentables

explicando la forma de incluir requerimientos de seguridad en un SI en las fases

adecuadas del CVDS Las 5 fases baacutesicas del CVDS son definidas por el NIST

SP800-18 Guiacutea para el desarrollo de planes de seguridad para sistemas de TI y

son

Iniciacioacuten

AdquisicioacutenDesarrollo

Implementacioacuten

OperacioacutenMantenimiento

Disposicioacuten

El NIST 800-64 describe los pasos que pueden ayudar a integrar la seguridad de TI

dentro del ciclo de vida de desarrollo de software (CVDS) Relaciona en cada

fase del CVDS con los requerimientos teacutecnicos y de seguridad La tabla 5 [39]

muestra coacutemo incorpora la seguridad dentro del CVDS


58

Comienzo Adquisicioacuten

Desarrollo

Implementacioacuten Operaciones

Mantenimiento

Disposicioacuten C

VD

S

Determinacioacuten

de necesidades

o Percepcioacuten

de una

necesidad

o Vinculacioacuten

de las

necesidades

con la misioacuten

y objetivos de

rendimiento

o Evaluacioacuten

de

Alternativas

de los Bienes

de Capital

o Preparacioacuten

para el

Anaacutelisis de

Inversioacuten y

Presupuesto

Declaracioacuten

funcional de la

necesidad

Investigacioacuten de

mercado

Estudio de

factibilidad

Anaacutelisis de

requerimientos

Anaacutelisis de

alternativas

Anaacutelisis costo-

beneficio

Estudio del

cambio de

software

Anaacutelisis de costos

Planeacioacuten de la

administracioacuten

del riesgo

Planeacioacuten de

adquisiciones

Instalacioacuten

Inspeccioacuten

Pruebas de

Aceptacioacuten

Entrenamiento

inicial al usuario

Documentacioacuten

Medicioacuten del

Rendimiento

Modificaciones

Contractuales

Operaciones

Mantenimiento

Oportunidad

de

Disposicioacuten

Intercambio y

venta

Seleccioacuten

interna de la

Organizacioacuten

Transferencia

y Donacioacuten

Cierre de

Contrato

Co

nsi

de

rac

ion

es

de

Se

gu

rid

ad

Clasificacioacuten de

la Seguridad

Evaluacioacuten

preliminar del

riesgo

Evaluacioacuten del

Riesgo

Anaacutelisis de

requerimientos

funcionales de

seguridad

Anaacutelisis de

requerimientos

de garantiacuteas de

seguridad

Consideraciones

de costos y

generacioacuten de

informes


seguridad

Desarrollo de

controles de

seguridad

Desarrollo de

Pruebas y

evaluacioacuten de

Seguridad

Otros

componentes de

planeacioacuten

Inspeccioacuten y

aceptacioacuten

Integracioacuten de

los controles de

seguridad

Certificacioacuten de

seguridad

Acreditacioacuten de

seguridad

Administracioacuten

de la

configuracioacuten y

controles

Monitoreo

continuo

Preservacioacuten

de la

Informacioacuten

Limpieza de

medios

Eliminacioacuten

de hardware

y software

Tabla 5- Consideraciones de seguridad a lo largo del ciclo de vida de desarrollo de software

propuesto por el NIST SP 800-64


59

Cada una de estas cinco fases incluye un conjunto miacutenimo de medidas de

seguridad necesarias para incorporar de manera efectiva la seguridad en un

sistema durante su desarrollo

Iniciacioacuten

En la primera fase del ciclo de vida el cual contempla las tareas de

Categorizacioacuten de Seguridad y una evaluacioacuten preliminar del Riesgo

La categorizacioacuten de Seguridad define tres niveles de impacto potencial

(bajo moderado o alto) sobre la organizacioacuten o los individuos en caso de

existir una violacioacuten de seguridad (peacuterdida de confidencialidad integridad

o disponibilidad) El estaacutendar de categorizacioacuten de la seguridad apoya a

las organizaciones en la seleccioacuten apropiada de los controles de seguridad

para sus SI

Evaluacioacuten Preliminar de Riesgo Esta actividad da lugar a la descripcioacuten

inicial de las necesidades baacutesicas de seguridad del sistema Una

evaluacioacuten preliminar del riesgo debe definir el entorno de amenazas en los

que el SI deberaacute funcionar


Durante la fase de adquisicioacuten y desarrollo se consideran las tareas de

Evaluacioacuten del riesgo anaacutelisis que identifica los requisitos de proteccioacuten

para el sistema a traveacutes de un proceso de evaluacioacuten de riesgos formal

Este anaacutelisis se basa en la evaluacioacuten inicial de riesgos realizada durante la

fase de iniciacioacuten pero es maacutes profundo y especiacutefico

Anaacutelisis de requerimientos funcionales de seguridad anaacutelisis de las

necesidades que pueden incluir los siguientes componentes (1) de entorno

de seguridad del sistema (informacioacuten de la empresa poliacutetica de seguridad

y arquitectura de seguridad de la empresa) y (2) requerimientos de

seguridad funcional

Anaacutelisis de requerimientos de las garantiacuteas de seguridad el anaacutelisis de

requerimientos se ocupan de las actividades de desarrollo requeridas y el

aseguramiento de la evidencia necesaria para producir el nivel de

confianza deseado en que la seguridad de la informacioacuten funcionaraacute

correctamente y con eficacia


60

Consideraciones de costos y generacioacuten de informes determina la

cantidad del costo de desarrollo que puede atribuirse a la seguridad de la

informacioacuten sobre el ciclo de vida del sistema Estos costos incluyen

hardware software personal y capacitacioacuten

Planeacioacuten de la seguridad asegura que los controles de seguridad

acordados y planificados esteacuten completamente documentadas El plan de

seguridad tambieacuten ofrece una descripcioacuten del SI asiacute como archivos

adjuntos o referencias a los documentos importantes que apoyan el

programa de la organizacioacuten de seguridad de la informacioacuten Por ejemplo

el plan de gestioacuten de la configuracioacuten plan de contingencia plan de

respuesta a incidentes la conciencia de seguridad y un plan de formacioacuten

las normas de la conducta la evaluacioacuten del riesgo autorizaciones y

acreditaciones y un plan de accioacuten y metas

Desarrollo de controles de seguridad garantiza que los controles de

seguridad descritos en los correspondientes planes de seguridad son

disentildeados desarrollados e implementados Para los SI actualmente en

operacioacuten los planes de seguridad para estos sistemas pueden derivar el

desarrollo de controles de seguridad adicionales para complementar los

controles ya existentes o la modificacioacuten de los controles seleccionados

que se consideran menos eficaces

Desarrollo de pruebas y evaluacioacuten de seguridad garantiza que los

controles de seguridad desarrollados para un nuevo SI funcionan

correctamente y son eficaces

Otros componentes de planeacioacuten asegura que todos los componentes

necesarios del proceso de desarrollo son considerados cuando se

incorpora la seguridad en el ciclo de vida Estos componentes incluyen la

seleccioacuten del tipo de contrato correspondiente la participacioacuten de todos

los grupos funcionales necesarios dentro de una organizacioacuten la

participacioacuten por el certificador y acreditador y el desarrollo y ejecucioacuten

de los planes de contratacioacuten y procesos necesarios

Implementacioacuten

Durante la fase de implementacioacuten se consideran las tareas de

Inspeccioacuten y aceptacioacuten asegura que la organizacioacuten valida y verifica que

la funcionalidad descrita en las especificaciones se incluye en el producto

final


61

Integracioacuten de los controles de seguridad asegura que los controles de

seguridad son integrados en el centro de operacioacuten donde el SI seraacute

implementado para operar La configuracioacuten de los controles de seguridad

se habilitaraacute de acuerdo con las instrucciones del fabricante y las guiacuteas de

implementacioacuten de seguridad disponibles

Certificacioacuten de seguridad se asegura de que los controles se apliquen

efectivamente a traveacutes de teacutecnicas de verificacioacuten y procedimientos

establecidos De igual manera da a los funcionarios de la organizacioacuten la

confianza de que las medidas que se han adoptado protegen el SI de la

organizacioacuten Una certificacioacuten de Seguridad tambieacuten descubre y describe

las vulnerabilidades conocidas en el SI

Acreditacioacuten de Seguridad proporciona la autorizacioacuten de seguridad

necesaria de un SI para procesar almacenar o transmitir la informacioacuten

que se requiere Esta autorizacioacuten se concede por un oficial de alto nivel

de la organizacioacuten y se basa en la verificacioacuten de la efectividad de los

controles de seguridad a un nivel acordado de garantiacutea y a un nivel de

riesgo residual identificado para los activos u operaciones de la

organizacioacuten


Durante la fase de Operacioacuten y Mantenimiento se consideran las siguientes

tareas

Administracioacuten y control de la configuracioacuten garantiza la adecuada

consideracioacuten de los impactos potenciales de seguridad debido a

cambios especiacuteficos en un SI o de su entorno La administracioacuten de la

configuracioacuten y los procedimientos de configuracioacuten de control son

fundamentales para establecer una base inicial de hardware software y

componentes de firmware para el SI y posteriormente controlar y

mantener un inventario exacto de los cambios en el sistema

Monitoreo continuo asegura que los controles siguen siendo eficaces en su

aplicacioacuten a traveacutes de pruebas y evaluaciones perioacutedicas El monitoreo de

controles de seguridad (es decir verificar la eficacia permanente de los

controles en el tiempo) y la comunicacioacuten del estado de seguridad del

sistema de informacioacuten para funcionarios de la organizacioacuten son

actividades esenciales de un programa de seguridad de la informacioacuten

global


62

Disposicioacuten

Durante la fase de disposicioacuten se consideran las siguientes tareas

Preservacioacuten de la Informacioacuten garantiza que la informacioacuten se conserva

seguacuten sea necesario para ajustarse a los requisitos legales vigentes y para

adaptarse a futuros cambios de tecnologiacutea que puede hacer que el

meacutetodo de recuperacioacuten sea obsoleto

Limpieza de medios asegura que los datos se han eliminado borrado y

sobre escritos conforme sea necesario

Eliminacioacuten de hardware y software asegura que el hardware y el software

son eliminados de la manera indicada por el funcionario de seguridad de

la informacioacuten del sistema


63


La forma ideal de integrar seguridad a los SI es tomando acciones a lo largo del

Ciclo de vida mediante la adopcioacuten de un CVDS Seguro En cada una de estas

fases debe existir la participacioacuten activa por parte del aacuterea de seguridad la cual

validaraacute y verificaraacute la adecuada realizacioacuten de las tareas de seguridad

Desgraciadamente en la actualidad existen muchos retos en la estructura

madurez y cultura organizacional esto impide la correcta implementacioacuten de un

modelo de desarrollo de software seguro Los cambios se deben hacer

gradualmente y requieren de un trabajo conjunto de las organizaciones

profesionistas y la academia donde se cambie la manera de requerir analizar

disentildear desarrollar probar e implementar los SI por parte de todos los elementos

de la organizacioacuten Pasaraacute todaviacutea alguacuten tiempo para que las organizaciones

integren totalmente el CVDS Seguro en sus procesos de desarrollo de SI

Por ello se destaca la importancia de buscar una solucioacuten alternativa para dotar

de seguridad a los SI en lo que se logra implementar los procesos internos de

CVDS Seguro La pregunta obligada es iquestDe queacute otras alternativas disponemos

para ello Tenemos 2 alternativas

Tomar medidas reactivas Seguir trabajando como hasta ahora y mantener

los SI expuestos a posibles amenazas y en el momento en que se detecte

que el SI ha sido comprometido tomar las acciones reactivas necesarias

para corregir la vulnerabilidad explotada y poner de nuevo en operacioacuten

el SI

Tomar medidas preventivas Sea cual sea el modelo de desarrollo del SI

adoptar una auditoriacutea de seguridad de SI para evaluar el grado en que el

SI cumple con los requerimientos miacutenimos de seguridad y determinar el

grado de exposicioacuten del SI de tal manera que la auditoriacutea de seguridad

arroje las vulnerabilidades encontradas en el SI y se tomen las medidas

correctivas necesarias antes de poner en operacioacuten el SI

Bajo este escenario la alternativa para dotar de seguridad los SI en lo que se

logra implementar un CVDS Seguro en la organizacioacuten e incluso como

complemento de la adopcioacuten de un CVDS Seguro es la adopcioacuten de una

auditoriacutea de seguridad de SI para ello se propone una metodologiacutea de auditoriacutea

de seguridad de SI en los capiacutetulos siguientes


64

65

CAPIacuteTULO 4 REQUERIMIENTOS DE UNA

AUDITORIacuteA DE SEGURIDAD PARA

SISTEMAS DE INFORMACIOacuteN

Resumen

En este capiacutetulo se presentan las definiciones correspondientes a los

requerimientos miacutenimos funcionales y de seguridad que los SI deben contar Los

requerimientos funcionales se enfocan a que el SI cumpla con el objetivo para el

que fue disentildeado mientras que los requerimientos de seguridad se enfocan a que

el SI cuente con las funciones miacutenimas de seguridad para dar soporte a las

operaciones provistas por SI De igual manera se introducen las consideraciones

necesarias para evaluar el grado de cumplimiento de los Requerimientos

Funcionales y de Seguridad de los SI es decir validar la existencia y suficiencia de

funciones medidas y controles implementados en el SI para dar respuesta a los

requerimientos funcionales y de seguridad descritos Finalmente se concluye el

capiacutetulo con los errores de software maacutes comunes en los SI


66

41 Requerimientos miacutenimos funcionales y de seguridad de un SI

Un requerimiento o tambieacuten llamado requisito es una descripcioacuten de las

necesidades o deseos que debe cumplir un SI El objetivo de documentar un

requerimiento es identificar lo que en realidad se necesita Se debe expresar de

manera que pueda ser faacutecilmente entendido por el cliente y el equipo de

desarrollo De igual manera la definicioacuten de requisitos provee un comuacuten

entendimiento del SI entre el duentildeo del SI y el equipo de desarrollo Se

recomienda aquiacute definir al menos los siguientes puntos

Panorama general iquestCoacutemo encaja el SI en el sistema global iquestCon queacute

otros sistemas debe interactuar

Metas iquestQueacute se espera lograr con la implementacioacuten del SI

Funciones del sistema iquestQueacute es lo que debe hacer el SI

Atributos del sistema iquestCuaacuteles son las caracteriacutesticas que debe contar el SI

Comuacutenmente suele agruparse los requerimientos de un SI en funcionales y no

funcionales para fines didaacutecticos en este capiacutetulo agruparemos a los requisitos

funcionales y no funcionales en los Requerimientos funcionales del SI

Un SI debe cumplir no soacutelo con los requerimientos funcionales del SI ademaacutes de

ellos debe cubrir un conjunto de requisitos miacutenimos de seguridad los cuales

garanticen que el SI cubre con las necesidades funcionales para las que fue

disentildeado y a su vez implementa un conjunto de controles de seguridad que dan

soporte a la funcionalidad del SI


67

411 Requerimientos miacutenimos funcionales de un SI

Requerimientos Funcionales

Ian Sommerville en el libro ldquoIngenieriacutea de softwarerdquo [10] define un requerimiento

funcional como toda caracteriacutestica requerida del sistema que expresa una

capacidad de accioacuten del mismo Es decir la funcionalidad que debe realizar el

sistema generalmente expresada en una declaracioacuten en forma verbal

Un requerimiento funcional es la declaracioacuten de los servicios que debe

proporcionar el SI Especifica la manera en que el SI debe reaccionar a

determinadas entradas la forma en que el SI debe comportarse en situaciones

particulares De igual manera un requerimiento funcional puede declarar

expliacutecitamente lo que eacutel SI no debe hacer

Las funciones pueden clasificarse en tres categoriacuteas evidentes ocultas y

superfluas Las evidentes deben realizarse y el usuario debe saber que se han

realizado Las ocultas tambieacuten deben realizarse y puede que no sean visibles

para el usuario Muchas de estas funciones se omiten (erroacuteneamente) durante el

proceso de obtencioacuten de requerimientos Las superfluas son opcionales y su

inclusioacuten no repercute significativamente en el costo ni en otras funciones

Requerimientos no funcionales

Ian Sommerville[10] define un requerimiento no funcional como un conjunto de

restricciones de los servicios o funciones ofrecidas por el sistema (fiabilidad tiempo

de respuestas capacidad de almacenamiento etc) En general se refiera a

todas aquellas caracteriacutesticas no funcionales que debe cubrir un SI las cuales se

aplican al sistema en su totalidad Estos requisitos surgen de las necesidades

especiacuteficas del usuario u organizacioacuten como son las poliacuteticas de la organizacioacuten

necesidad de interoperabilidad etc De la definicioacuten anterior se podriacutea incluir en

este rubro a los atributos de calidad que debe cubrir un SI pero por practicidad y

manejo en esta tesis se utilizaraacute en un siguiente rubro correspondiente a los

requerimientos de calidad de un SI


68

Requerimientos de calidad

Los requerimientos de calidad variacutean de un SI a otro seguacuten el modelo de calidad

que se esteacute utilizando Para el caso de estudio de esta tesis se define un

requerimiento de calidad como todas aquellas caracteriacutesticas miacutenimas que un SI

debe cubrir para que se considere de calidad Para determinar las caracteriacutesticas

miacutenimas que un SI debe alcanzar se utilizaraacute el modelo de calidad definido por el

ISO 9126 (para ampliar informacioacuten ver el apartado 263 de esta tesis) en general

las caracteriacutesticas de calidad que cualquier SI deberiacutea cubrir son las mostradas en

la figura 9

Fig 9 Caracteriacutesticas de calidad de un Sistema de Informacioacuten

Como se puede apreciar en la figura 9 el modelo de calidad ISO 9126 incluye

una caracteriacutestica de calidad relacionada a la funcionalidad No se debe

confundir los requerimientos funcionales con la funcionalidad incluida dentro de

las caracteriacutesticas de calidad del ISO 9126 ya que los requerimientos funcionales

hablan especiacuteficamente de las funciones y tareas que el SI debe realizar mientras

que la funcionalidad como atributo de calidad se refiere a que el producto final

(SI) implementado para cubrir los requerimientos funcionales es congruente con

las sub-caracteriacutesticas funcionales de adecuacioacuten exactitud interoperabilidad

cumplimiento y seguridad

CALIDAD

en los Sistemas de Informacioacuten

FuncionalidadConfiabilidad Usabilidad Eficiencia Mantenible Portabilidad


69

412 Requerimientos miacutenimos de seguridad de un SI

No existe una regulacioacuten nacional en Meacutexico acerca de los requerimientos

miacutenimos de seguridad de la Informacioacuten y los SI por lo que en este trabajo se ha

optado por utilizar la propuesta por el NIST en la Publicacioacuten FIPS PUB 199 para

clasificar la seguridad de la informacioacuten y el FIPS PUB 200 para determinar los

Requerimientos Miacutenimos de Seguridad de los SI






transmitida

Los requisitos miacutenimos de seguridad descritos por el FIPS PUB 200 cubren diecisiete

aacutereas relacionadas con la seguridad con respecto a la proteccioacuten de la

confidencialidad integridad y disponibilidad de los SI y la informacioacuten procesada

almacenada y transmitida por estos sistemas Las diecisiete aacutereas representan

una amplia base de un programa equilibrado de seguridad de la informacioacuten

que se ocupa de la gestioacuten operacioacuten y aspectos teacutecnicos de la proteccioacuten de la

informacioacuten y los SI Estas aacutereas relacionadas definidas por el FIPS PUB 200 fueron

mencionadas en el apartado 262 de esta tesis Para ampliar la informacioacuten

correspondiente a cada una de las aacutereas sugeridas por el FIPS PUB 200 se

recomienda consulta el apeacutendice F FIPS PUB 200

Para el cumplimiento de los requerimientos de seguridad las organizaciones

deben seleccionar e implementar los controles de seguridad apropiados para el

SI conforme a la clasificacioacuten de la seguridad previamente realizada de la

informacioacuten y el SI auditado Para ampliar la informacioacuten de la clasificacioacuten de la

informacioacuten y de los SI revisar el apeacutendice E FIPS PUB 199

Se eligieron los requerimientos miacutenimos de seguridad para los SI presentados en el

estaacutendar FIPS PUB 200 debido a que el NIST presenta como complemento a este

el estaacutendar NIST SP 800-53 para la seleccioacuten e implementacioacuten de controles de

seguridad El NIST SP 800-53 agrupa los controles de seguridad recomendados

para la informacioacuten y SI que pueden implementarse para cubrir los requerimientos

miacutenimos de seguridad para los SI

De igual manera se hizo una comparativa entre los estaacutendares y mejores

praacutecticas FIPS PUB 200 ISOIEC 15408 ISOIEC 27002 COBIT OSSTMM y la guiacutea de

pruebas OWASP y se encontroacute que los requisitos miacutenimos de seguridad


70

presentados por el estaacutendar FIPS PUB 200 coinciden con los aspectos presentados

por los demaacutes estaacutendares

En las siguientes tablas se muestra la correspondencia de los requisitos

miacutenimos de seguridad propuestos en esta tesis (FIPS PUB 200) y los aspectos

considerados en los estaacutendares y mejores praacutecticas de seguridad y

auditoriacutea informaacutetica presentados en el capiacutetulo 262 En las tablas 6 y 7 se

muestra la correspondencia entre los requerimientos de seguridad

propuestos por el FIPS PUB 200 y los estaacutendares ISOIEC 27002 ISOIEC 15408

y COBIT en su objetivo de control de alto nivel DS5 ldquoGarantizar la seguridad

de los Sistemasrdquo En la tabla 8 se muestra la correspondencia entre los

requerimientos de seguridad propuestos por el FIPS PUB 200 y el manual de

metodologiacutea abierta de evaluacioacuten de seguridad OSSTMM y la guiacutea de

pruebas OWASP


71

Estaacutendares y Mejores Praacutecticas D

om

inio

s su

ge

rid

os

FIPS PUB 200 ISOIEC 27002 ISOIEC 15408

1 Control de acceso (AC) 11- Control de Acceso

FPR- Privacidad

FTA- Acceso al objetivo de

evaluacioacuten


3 Auditoriacutea y Rendicioacuten de

Cuentas (AU) FAU- Auditoriacutea

4 Certificacioacuten Acreditacioacuten y

evaluaciones de Seguridad (CA)

5 Gestioacuten de la Configuracioacuten

(CM)

10- Gestioacuten de

Comunicaciones y

operaciones

6 Planes de Contingencia (CP) 14- Gestioacuten de la

continuidad del negocio


(IA)

FIA- Identificacioacuten y

autenticacioacuten de usuario


13- Gestioacuten de incidentes

en la seguridad de la

informacioacuten

9 Mantenimiento (MA) 12- Adquisicioacuten desarrollo

y mantenimiento de los SI


11 Proteccioacuten fiacutesica y Ambiental

(PE)

9- Seguridad Fiacutesica y

ambiental



FMT- Gestioacuten de la

seguridad




15 Adquisicioacuten de sistema y

servicios (SA)

12- Adquisicioacuten desarrollo




16 Proteccioacuten de Sistemas y

Comunicaciones (SC)

10- Gestioacuten de

Comunicaciones y

operaciones

FCO- Comunicaciones


FPT- Proteccioacuten de las

funciones de seguridad

17 Integridad de Sistema y la

informacioacuten (SI)

FDP- Proteccioacuten de datos

de usuario

Tabla 6- Correspondencia entre Requerimientos miacutenimos de Seguridad propuestos por el FIPS PUB

200


72


om

inio

s su

ge

rid

os

FIPS PUB 200

COBIT

DS5 Garantizar la Seguridad de Sistemas

1 Control de acceso (AC) DS53 Administracioacuten de identidad





5 Gestioacuten de la Configuracioacuten (CM) DS58 Administracioacuten de llaves criptograacuteficas



8 Respuesta a Incidentes (IR) DS56 Definicioacuten de incidente de seguridad


10 Proteccioacuten de Medios (MP) DS57 Proteccioacuten de la tecnologiacutea de

seguridad









14 Evaluacioacuten de Riesgos (RA) DS55 Pruebas vigilancia y monitoreo de la

seguridad



Comunicaciones (SC)

DS59 Prevencioacuten deteccioacuten y correccioacuten de

software malicioso


17 Integridad de Sistema y la informacioacuten

(SI)


DS55 Pruebas vigilancia y monitoreo de la

seguridad


200(2)


73

Mejores Praacutecticas para la evaluacioacuten de la seguridad D

om

inio

s su

ge

rid

os

FIPS PUB 200 OSSTMM Guiacutea de Pruebas OWASP

1 Control de acceso (AC) 5 Pruebas de

autorizacioacuten


3 Auditoriacutea y Rendicioacuten de Cuentas

(AU)



5 Gestioacuten de la Configuracioacuten (CM) 2 Pruebas de gestioacuten de

la configuracioacuten



(IA)

4 Pruebas de

autenticacioacuten





(PE) 6 Seguridad Fiacutesica





servicios (SA)


Comunicaciones (SC)

2 Seguridad de los

Procesos

3 Seguridad en las

comunicaciones




1 Seguridad de la

Informacioacuten

7 Pruebas de validacioacuten

de datos


200(3)


74

42 Cumplimiento de los Requerimientos miacutenimos Funcionales y de

Seguridad de un SI

La decisioacuten de operacioacuten se limita a 3 posibilidades

El SI cumple con los requerimientos miacutenimos por lo que se autoriza la

operacioacuten del SI

El SI no cumple con los requisitos miacutenimos funcionales y de seguridad por lo

que no se autoriza la operacioacuten del SI y el SI es regresado al equipo de

desarrollo para corregir las vulnerabilidades encontradas y dar seguimiento

a las recomendaciones realizadas por el equipo auditor

El SI no cumple con los requisitos miacutenimos funcionales y de seguridad pero

es una prioridad para la organizacioacuten que el SI sea puesto en produccioacuten

por lo que se emite una autorizacioacuten condicionada es decir que el SI

puede ser puesto en operacioacuten bajo ciertas condiciones y limitaciones

Cumplimiento de los Requerimientos de Seguridad






Para validar el cumplimiento de los controles de seguridad se deberaacuten ejecutar

un conjunto de actividades por parte del auditor para determinar el grado de

efectividad con el que un control de seguridad se implementa funcionando

seguacuten lo previsto y produciendo los resultados deseados respecto al

cumplimiento de los requerimientos de seguridad definidos para el SI

La severidad y extensioacuten de esta evaluacioacuten del cumplimiento dependeraacute de la

clasificacioacuten de la Informacioacuten y del SI auditado asiacute como los objetivos

planteados por la auditoriacutea


75

43 Seleccioacuten de controles de seguridad

La clasificacioacuten de la informacioacuten y del SI seraacuten un factor determinante en la

seleccioacuten y aplicacioacuten de los controles de seguridad en el SI Esta clasificacioacuten de

la informacioacuten y de los SI se deberaacute determinar conforme a los procedimientos

internos de cada organizacioacuten de no contar con los procedimientos internos de

clasificacioacuten de la informacioacuten se sugiere utilizar los definidos por el NIST en la

Publicacioacuten FIPS PUB 199 donde clasifica la informacioacuten y los SI de acuerdo al

nivel de impacto de los objetivos de seguridad (integridad confidencialidad y

disponibilidad) en las operaciones activos e individuos Para ampliar la

informacioacuten con respecto al FIPS PUB 199 se recomienda revisar el apeacutendice E

FIPS PUB 199

Tras el proceso de clasificacioacuten de seguridad de la informacioacuten y los SI la

organizacioacuten deberaacute seleccionar un conjunto apropiado de controles de

seguridad para sus SI que satisfagan los requerimientos miacutenimos de seguridad

establecidos correspondientes a la clasificacioacuten de seguridad del SI

Algunos de los controles que se pueden considerar como guiacuteas para la gestioacuten de

la seguridad de la informacioacuten y aplicables a la mayoriacutea de las organizaciones se

encuentran contenidos en los estaacutendares y mejores praacutecticas como ISO 27002

COBIT NIST SP 800-53 entre otros De igual manera la propia organizacioacuten podriacutea

proponer y desarrollar el conjunto de controles especiacuteficos y adecuados para los

SI de la propia organizacioacuten

Es importante mencionar que aunque los controles seleccionados por cualquier

estaacutendar son importantes y deben de ser considerados se debe determinar la

relevancia de cualquier control a la luz de los riesgos especiacuteficos que enfrenta la

organizacioacuten Por lo tanto aunque el enfoque arriba mencionado es considerado

como un buen punto de inicio no reemplaza la seleccioacuten de controles basada en

la evaluacioacuten del riesgo de la organizacioacuten


76

44 Errores de Programacioacuten maacutes Peligrosos en los SI

Otro aspecto importante a evaluar en una auditoriacutea de seguridad de SI es la

revisioacuten de que el SI auditado estaacute libre de los errores de programacioacuten maacutes

comunes y peligrosos que pueden conducir a graves deficiencias de software

Existen varias fuentes de las publicaciones de las vulnerabilidades maacutes comunes

en los SI Para esta tesis se propone la lista emitida anualmente por el Instituto

SANS la cual presenta la descripcioacuten detallada de los 25 principales errores de

programacioacuten junto a una guiacutea recomendada para mitigarlos y evitarlos

El sitio Web CWE7 publica anualmente una lista de los errores de programacioacuten

maacutes comunes que pueden conducir a graves vulnerabilidades de software [40] el

uacuteltimo artiacuteculo presentado lleva por tiacutetulo bdquo2010 CWESANS Top 25 Most Dangerous

Programming Errors‟ Tambieacuten en esta lista se presentan las descripciones

detalladas de los 25 principales errores de programacioacuten junto con una guiacutea

recomendada para mitigarlos y evitarlos La lista es el resultado de la

colaboracioacuten entre SANS MITRE y expertos destacados de software de seguridad

en los EEUU y Europa MITRE mantiene el sitio web CWE (Common Weakness

Enumeration) con el apoyo del Departamento de Seguridad Interna Nacional de

la Divisioacuten de Seguridad Ciberneacutetica de los EUA El sitio tambieacuten contiene

informacioacuten sobre maacutes de 800 errores de programacioacuten adicionales errores de

disentildeo arquitectura y los errores que pueden llevar a vulnerabilidades

explotables Esta lista es una herramienta para la educacioacuten y sensibilizacioacuten que

apoya a los programadores a prevenir los tipos de vulnerabilidades que afectan a

la industria del software

El Top 25 estaacute organizado en tres categoriacuteas de alto nivel que contienen entradas

CWE muacuteltiples

Interaccioacuten insegura entre componentes

Gestioacuten riesgosa de los recursos

Defensas Insuficientes

A continuacioacuten se describe cada una de las categoriacuteas y se enlistan los errores

maacutes comunes conforme al Top 25 correspondientes a cada categoriacutea La posicioacuten

que corresponde dentro del top 25 de cada CWE se encuentra denotada por

RNK-XX donde XX es la posicioacuten que ocupa en el ranking

7 httpcwemitreorg


77


Las vulnerabilidades en esta categoriacutea se relacionan con formas poco seguras en

la cuales se enviacutean y reciben los datos entre componentes moacutedulos programas

procesos hilos (ejecucioacuten simultanea de procesos) o sistemas aislados

1 CWE-79 (Failure to Preserve Web Page Structure Cross-site Scripting) Error

al preservar la Estructura de la paacutegina Web (RNK-01)

2 CWE-89 (Failure to Preserve SQL Query Structure SQL Injection) Error al

preservar la estructura de las consultas SQL (RNK-02)

3 CWE-352 (Cross-Site Request Forgery bdquoCSRF‟) Falsificacioacuten de peticioacuten en

sitios cruzados (RNK-04)

4 CWE-434 (Unrestricted Upload of File with Dangerous Type) Carga de

archivos no restringida con posible contenido malicioso (RNK-08)

5 CWE-78 (Improper Sanitization of Special Elements used in an OS

Command OS Command Injection) Incorrecta validacioacuten y

discriminacioacuten de elementos especiales utilizados en comandos del sistema

operativo (RNK-09)

6 CWE-209 (Information Exposure Through an Error Message) Revelacioacuten de

informacioacuten a traveacutes de Mensajes de error (RNK-16)

7 CWE-601 (URL Redirection to Untrusted Site Open Redirect)

Redireccionamiento URL a Sitios no confiables (RNK-23)

8 CWE-362 (Race Condition) Condicioacuten de Competencia (RNK-25)

Gestioacuten Riesgosa de Recursos

Las vulnerabilidades en esta categoriacutea se relacionan con las formas en las que el

software maneja inapropiadamente la creacioacuten uso transferencia o destruccioacuten

de recursos importantes del sistema

1 CWE-120 (Buffer Copy without Checking Size of Input Classic Buffer

Overflow) Copiado del Buffer sin validacioacuten del tamantildeo de entrada

(RNK-03)


78

2 CWE-22 (Improper Limitation of a Pathname to a Restricted Directory Path

Traversal) Limitacioacuten inapropiada de una ruta a un directorio restringido

(RNK-07)

3 CWE-805 (Buffer Access with Incorrect Length Value) Acceso de Buffer con

un valor de longitud incorrecto (RNK-12)

4 CWE-754 (Improper Check for Unusual or Exceptional Conditions)

Validacioacuten Inapropiada para condiciones excepcionales o inusuales (RNK-

13)

5 CWE-98 Improper Control of Filename for IncludeRequire Statement in PHP

Program (PHP File Inclusion) Control inapropiado de un nombre archivo

para las sentencias IncludeRequire en programas PHP (RNK-14)

6 CWE-129 (Improper Validation of Array Index) Validacioacuten inapropiada de

los iacutendices de un arreglo (RNK-15)

7 CWE-190 (Integer Overflow or Wraparound) Desbordamiento de enteros o

Wrapround (RNK-17)

8 CWE-131 (Incorrect Calculation of Buffer Size) Calculo incorrecto del

tamantildeo de Buffer (RNK-18)

9 CWE-494 (Download of Code Without Integrity Check) Descarga de

coacutedigo sin validacioacuten de integridad (RNK-20)

10 CWE-770 (Allocation of Resources Without Limits or Throttling) Reservacioacuten

de recursos de manera ilimitada (RNK-22)

Defensas Inconsistentes

Las vulnerabilidades en esta categoriacutea se relacionadas con las teacutecnicas de

defensa que a menudo son violadas utilizados incorrectamente o simplemente

ignoradas

1 CWE-285 (Improper Access Control (Authorization)) Control de acceso

inadecuado (autorizacioacuten) (RNK-05)

2 CWE-807 (Reliance on Untrusted Inputs in a Security Decision) Dependencia

en entradas no confiables en una decisioacuten de seguridad (RNK-06)


79

3 CWE-311 (Missing Encryption of Sensitive Data) Falta de cifrado en datos

sensibles (RNK-10)

4 CWE-798 (Use of Hard-coded Credentials) Uso de ldquocoacutedigo durordquo en las

credenciales de autenticacioacuten (RNK-11)

5 CWE-306 (Missing Authentication for Critical Function) Ausencia de

autenticacioacuten para funciones criacuteticas (RNK-19)

6 CWE-732 (Incorrect Permission Assignment for Critical Resource) Incorrecta

asignacioacuten de permisos para los recursos criacuteticos (RNK-21)

7 CWE-327 (Use of a Broken or Risky Cryptographic Algorithm) Uso de un

Algoritmo criptograacutefico descifrado (RNK-24)

En la actualidad los SI se han convertido en el blanco preferido por los atacantes

debido a que el mayor nuacutemero de vulnerabilidades encontradas en estos SI son

vulnerabilidades ya conocidas documentadas y ampliamente difundidas para

muestra de ello se encuentra el ldquoTop 25rdquo presentado en este apartado

La mayoriacutea de las veces las vulnerabilidades encontradas en los SI resultan de un

mismo origen el desconocimiento de las implicaciones y praacutecticas de seguridad

por parte de los equipos que disentildean y desarrollan estos SI Las publicaciones de

vulnerabilidades maacutes comunes deberiacutean ser tomadas como una herramienta de

capacitacioacuten y sensibilizacioacuten para los equipos de disentildeo y desarrollo de manera

que les permita prevenir las diferentes vulnerabilidades que afectan en la

actualidad a la industria del software

Un aspecto importante a considerar en cualquier proceso de perfeccionamiento

en los SI pej el modelo de auditoriacutea en seguridad propuesta en este trabajo de

tesis deberiacutea ser la revisioacuten de que el SI auditado estaacute libre de los errores de

programacioacuten maacutes comunes que pudieran ser utilizados para vulnerar la

seguridad de las aplicaciones y comprometer la informacioacuten que estas manejan

En el modelo de auditoriacutea propuesto en esta tesis se propone utilizar como base

de la revisioacuten de que el SI estaacute libre de vulnerabilidades la lista emitida

anualmente por el Instituto SANS ldquoCWESANS Top 25 Most Dangerous

Programming Errorsrdquo Cabe aclarar que la utilizacioacuten de cualquier lista de

vulnerabilidades deberaacute estar sujeta a una constante revaloracioacuten actualizacioacuten

y readaptacioacuten en caso de ser necesario


80

45 Cumplimiento documental del SI

Otro aspecto importante a considerar en la auditoriacutea de seguridad de SI es el

cumplimiento documental del SI

Para uso de esta tesis se define al cumplimiento documental como el conjunto

de procedimientos disentildeos manuales formatos y documentacioacuten de un SI

requeridos por la organizacioacuten

Este cumplimiento documental debe ser definido con anterioridad por la

organizacioacuten y las aacutereas relacionadas a los SI como pueden ser las aacutereas de

disentildeo y desarrollo las aacutereas de seguridad las aacutereas de calidad las aacutereas de

mantenimiento las aacutereas de auditoriacutea entre otras

Entre los elementos que contemplan el cumplimiento documental se encuentran

Procedimientos de Operacioacuten

Disentildeos funcionales

Disentildeos teacutecnicos

Anaacutelisis de factibilidad

Manual de Usuario

Manual de Operacioacuten

Plan de Instalacioacuten

Clasificacioacuten de la informacioacuten y SI

Autorizacioacuten de Operacioacuten

Informes de Seguimiento

Etc

Es tarea de la organizacioacuten y de las aacutereas correspondientes establecer los

elementos que conforman el cumplimiento documental de un SI Una vez

establecido el cumplimiento documental para los SI organizacionales es de vital

importancia difundir este conocimiento a toda la organizacioacuten


81

46 Marco regulatorio del SI

Un aspecto considerado en la auditoriacutea de seguridad de SI es el cumplimiento

con el marco regulatorio del SI El objetivo del cumplimiento regulatorio del SI es

evitar las violaciones a cualquier ley regulacioacuten estatutaria reguladora o

contractual y a cualquier requerimiento de seguridad [41] Los requerimientos

legislativos variacutean de un paiacutes a otro y pueden variar para la informacioacuten creada

en un paiacutes que es transmitida a otro paiacutes (es decir flujo de datos entre fronteras)

Se debe definir expliacutecitamente documentar y actualizar todos los requerimientos

normativos relevantes para el SI De igual manera la organizacioacuten debe definir y

documentar los controles y responsabilidades individuales especiacuteficas para

satisfacer estos requerimientos normativos El cumplimiento normativo que todo SI

debe considerar y al cual debe alinearse corresponde a

1 Regulacioacuten internacional

2 Regulacioacuten nacional

3 Regulacioacuten por sector

4 Regulacioacuten Institucional y

5 Regulacioacuten de validez oficial8

8 En esta tesis se agrupa bajo este teacutermino la regulacioacuten para procesos de acreditacioacuten y certificacioacuten


82


471 Requerimientos miacutenimos de una auditoriacutea de Seguridad de SI

Los aspectos a evaluar en la auditoriacutea de seguridad propuesta en esta tesis son

Cumplimiento de los requerimientos miacutenimos funcionales estos se

conforman de

1 Requerimientos funcionales Se define a los requisitos funcionales como

las necesidades explicitas por parte de los duentildeos del SI acerca de la

funcionalidad que el SI debe de cubrir funciones que en su conjunto

apoyan los procesos del negocio para los que fueron disentildeados

2 Requerimientos no funcionales Se define un requisito no funcional

como los atributos que le indican al sistema como realizar su trabajo De

igual manera se debe incluir las restricciones del SI

3 Requerimientos de calidad Se define un requisito de calidad como

todas aquellas caracteriacutesticas de calidad que un SI debe cubrir

teniendo como base el modelo de calidad del ISO 9126

Cumplimiento de los requerimientos miacutenimos de seguridad de un SI estos

se conforman por los requerimientos relacionados con la proteccioacuten de la

confidencialidad integridad y disponibilidad de los SI y la informacioacuten

procesada almacenada y transmitida por estos sistemas En esta tesis se

proponen los requerimientos miacutenimos definidos en el FIPS PUB 200

presentados en el apartado 262 y explicados en el apeacutendice F FIPS PUB

200 de esta tesis

Revisioacuten de que el SI auditado estaacute libre de los errores de programacioacuten

maacutes comunes y peligrosos que pueden conducir a graves deficiencias de

software Se propone la lista emitida anualmente por el Instituto SANS

ldquoCWESANS Top 25 Most Dangerous Programming Errorsrdquo esta lista

presenta la descripcioacuten detallada de los 25 principales errores de


Cumplimiento documental establecido por la organizacioacuten el cual consiste

de un conjunto de procedimientos disentildeos manuales formatos y

documentacioacuten de un SI requeridos por la organizacioacuten


83

Cumplimiento regulatorio del SI cuyo objetivo es evitar las violaciones a

cualquier ley regulacioacuten estatutaria reguladora o contractual y cualquier

requerimiento de seguridad Dentro de esta tesis se ha considerado el

cumplimiento regulatorio presentado en el apartado 46

Consideraciones de aplicacioacuten de los Requerimientos miacutenimos de un SI

Los elementos a evaluar por una auditoriacutea de SI se pueden ver como un punto de

inicio para desarrollar los lineamientos especiacuteficos de cada organizacioacuten No

todos los controles y lineamientos pueden ser aplicables a la organizacioacuten Es maacutes

se pueden requerir controles y lineamientos adicionales no incluidos en la

definicioacuten anterior Se requiere de un proceso de personalizacioacuten de

requerimientos y controles aplicables a la organizacioacuten

Es responsabilidad de la organizacioacuten y las aacutereas correspondientes definir el

conjunto de requerimientos miacutenimos de seguridad con base en la determinacioacuten

de la categoriacutea de seguridad de los SI Es decir establecer el conjunto de

requerimientos miacutenimos de seguridad para cada clasificacioacuten de seguridad de los

SI El procedimiento para determinar la categoriacutea de seguridad de los SI debe ser

previamente establecido y acatado por la organizacioacuten de no contar con este

procedimiento se sugiere el propuesto por el FIPS PUB 199 que es el que se

considera en esta tesis

472 Evaluacioacuten del cumplimiento de los requerimientos miacutenimos de

un SI

Una vez establecidos los requerimientos miacutenimos de un SI seraacute tarea del equipo

auditor realizar el conjunto de actividades realizadas por el equipo de auditores

para evaluar exhaustivamente el nivel de cumplimiento del SI con respecto a los

requerimientos miacutenimos previstos para el SI y con ello determinar el nivel de

exposicioacuten del SI auditado(Riesgo del SI)

La profundidad de la evaluacioacuten del cumplimiento dependeraacute de la clasificacioacuten

de seguridad de la informacioacuten y del SI auditado

Los criterios de evaluacioacuten del cumplimiento de los requerimientos miacutenimos

deberaacuten ser establecidos por la organizacioacuten y deberaacuten ser acatados por el

equipo auditor


84

473 Decisioacuten de Operacioacuten de un SI conforme al cumplimiento de

los requerimientos miacutenimos del SI

La decisioacuten de operacioacuten de un SI9 es la autorizacioacuten formal de operacioacuten del SI

auditado conforme al cumplimiento de los requerimientos miacutenimos del SI y el nivel

de riesgo del SI auditado

La organizacioacuten deberaacute determinar los criterios bajo los cuales se determinaraacute la

decisioacuten de operacioacuten del SI la cual considere la evaluacioacuten del cumplimiento de

los requerimientos miacutenimos del SI y el nivel de riesgo del SI

Las decisiones de operacioacuten de un SI consideradas en esta tesis son10

Autorizacioacuten para operar el SI cumple con los requerimientos miacutenimos y el

nivel de riesgo del SI es aceptable es decir El SI estaacute autorizado para

operar sin ninguacuten tipo de restricciones o limitaciones en su funcionamiento

No autorizado para operar el SI no cumple con los requisitos miacutenimos y el

nivel de riesgo del SI es inaceptable por lo tanto no se autoriza la

operacioacuten del SI y el este es regresado al equipo de desarrollo para corregir

las vulnerabilidades encontradas y dar seguimiento a las recomendaciones

realizadas por el equipo auditor

Autorizacioacuten condicionada el SI no cumple con los requisitos miacutenimos y el

nivel de riesgo del SI es inaceptable pero es una prioridad para la

organizacioacuten que el SI sea puesto en produccioacuten por lo que se emite una

autorizacioacuten condicionada es decir que el SI puede ser puesto en

operacioacuten bajo ciertas condiciones y limitaciones incluidas las medidas

correctivas que deban adoptarse por el propietario del SI y un plazo de

tiempo requerido para la realizacioacuten de esas acciones

9 El NIST define en el estaacutendar ldquoNIST SP 800-37 Guiacutea para la Certificacioacuten y Acreditacioacuten de los SI Federales de los

EUArdquo el concepto de decisioacuten de acreditacioacuten este concepto ha sido adaptado a esta tesis bajo el concepto

de decisioacuten de operacioacuten de un SI

10 Las decisiones de operacioacuten establecidas en esta tesis han sido adaptadas de la decisioacuten de acreditacioacuten

definidas por el NIST en el estaacutendar ldquoNIST SP-800-37 Guiacutea para la Certificacioacuten y acreditacioacuten de los SI Federales

de los EUArdquo

85

CAPIacuteTULO 5 DISENtildeO Y DOCUMENTACIOacuteN

DE UN MODELO DE AUDITORIacuteA EN

SEGURIDAD PARA SISTEMAS DE

INFORMACIOacuteN

Resumen

En este capiacutetulo se plantea el disentildeo y documentacioacuten de un modelo de

auditoriacutea en seguridad para sistemas de informacioacuten (SI) el cual estaraacute orientado

a revisar la existencia y suficiencia de los requerimientos miacutenimos de un SI

Adicionalmente se incluye una aproximacioacuten de la aplicacioacuten del modelo de

auditoriacutea en los SI organizacionales Para implementar el modelo de auditoriacutea de

seguridad propuesto se establece una metodologiacutea para auditar la seguridad de

un SI y para apoyar su implementacioacuten se documentan los Procedimientos

Operativos Estaacutendar (POE) desarrollados para aplicar la metodologiacutea de auditoriacutea

de seguridad propuesta De igual manera se presenta un conjunto de


auditoriacutea Finalmente se concluye el capiacutetulo con la aplicacioacuten de la

metodologiacutea propuesta en la auditoriacutea de seguridad para SI


86


87

51 Disentildeo y documentacioacuten de un modelo de auditoriacutea en

seguridad para SI

Tomando las consideraciones planteadas a lo largo del desarrollo de esta tesis se

propone el modelo de auditoriacutea de seguridad de SI contenido en la figura 10

Fig 10 Modelo propuesto de auditoriacutea en seguridad para Sistemas de Informacioacuten


88

52 Descripcioacuten del Modelo de auditoriacutea en Seguridad para SI

El modelo de auditoriacutea de seguridad de SI que se propone considera que la

auditoriacutea es un proceso interno encada organizacioacuten el cual puede tener

especificidades durante su ejecucioacuten y aplicacioacuten No obstante en este

apartado se presenta una aproximacioacuten de una posible aplicacioacuten del modelo

propuesto donde se definen responsables entradas y salidas

El modelo propuesto se divide en 2 grandes bloques

1 Los Procedimientos Organizacionales Bien Conocidos (POBC) y

2 El proceso de Auditoriacutea de Seguridad

Procedimientos Organizacionales Bien Conocidos

POBC

Los POBC son aquellos procedimientos y definiciones formales establecidas por la

organizacioacuten y con caraacutecter de directiva los cuales apoyan al proceso de

auditoriacutea de seguridad de SI por lo que antes de realizar cualquier auditoriacutea de

seguridad de SI es necesario que la organizacioacuten defina los POBC que respalden

el proceso de auditoriacutea de sus SI

Establecer los POBC en una organizacioacuten conlleva a la estandarizacioacuten de los

aspectos considerados en las auditoriacuteas de seguridad de SI en la organizacioacuten lo

que permite realizar un proceso maacutes objetivo que los proporcionados por las

auditoriacuteas tradicionales Emplear los POBC proporciona una estandarizacioacuten en el

proceso de auditoriacutea y permite la comparacioacuten de resultados de auditoriacutea de

seguridad entre SI similares

Los POBC pueden considerarse como un repositorio de procedimientos y

lineamientos organizacionales considerados en el proceso de auditoriacutea de ahiacute el

nombre de procedimientos organizacionales bien conocidos Los POBC son

importantes debido a que son la base del proceso de auditoriacutea

Los elementos que integran al POBC se pueden apreciar en la figura 11


89

Fig 11 Elementos que conforman los Procedimientos Organizacionales Bien conocidos (POBC)

Componentes de los POBC

Los POBC definidos en el modelo propuesto se conforman por

1 Procedimientos organizacionales para clasificar la seguridad de la

Informacioacuten y los SI La organizacioacuten deberaacute determinar los procedimiento

organizacional aplicables para clasificar la seguridad de la informacioacuten y

de los SI auditados Si la organizacioacuten no cuenta con estos procedimientos

un punto de partida pueden ser los recomendados por el NIST

documentado en el FIPS PUB 199(Para ampliar informacioacuten revisar el

apartado 262 de esta tesis)

2 Determinacioacuten de los requerimientos miacutenimos del SI La organizacioacuten

deberaacute determinar los requerimientos miacutenimos de un SI que seraacuten

evaluados en la auditoriacutea de seguridad del SI conforme a la clasificacioacuten

de seguridad de la informacioacuten y los SI organizacionales Los

requerimientos miacutenimos deben considerar los aspectos funcionales de

seguridad cumplimiento documental marco normativo y revisioacuten de que

el SI estaacute libre de las vulnerabilidades conocidas Si la organizacioacuten no

cuenta con estos requerimientos miacutenimos del SI un punto de partida

pueden ser los recomendados en el capiacutetulo 4 de esta tesis

3 Establecimiento de los criterios de evaluacioacuten organizacionales La

organizacioacuten deberaacute establecer los criterios de evaluacioacuten que el equipo

de auditores utilizaraacute para determinar el nivel de cumplimiento de los

requerimientos miacutenimos de los SI auditados asiacute como determinar los criterios

de evaluacioacuten que el comiteacute autorizador deberaacute considerar en la toma de

decisioacuten de operacioacuten del SI (un punto de partida pueden ser los

establecidos en el capiacutetulo 4 de esta tesis)


90

Es decir los criterios de evaluacioacuten organizacionales definen formalmente

la forma en que el equipo de auditores evaluaraacute el grado de cumplimiento

del SI para ello se considera

Preparacioacuten de la evaluacioacuten Implica la seleccioacuten de las meacutetricas

apropiadas definicioacuten de los niveles de evaluacioacuten y criterios de

evaluacioacuten Las meacutetricas suelen dar lugar a medidas cuantificables

asignadas a escalas La definicioacuten de los niveles de evaluacioacuten

determina queacute rangos de valores en estas escalas cuentan como

satisfactorio o insatisfactorio La definicioacuten de los criterios de

evaluacioacuten consiste en la preparacioacuten de un procedimiento para

resumir los resultados de la evaluacioacuten para un entorno especiacutefico

Procedimiento de evaluacioacuten se conforma de pasos medicioacuten

calificacioacuten y evaluacioacuten En la medicioacuten las meacutetricas

seleccionadas se aplican a los SI y se evaluacutea sobre las escalas de las

meacutetricas obtenidas Subsecuentemente para cada valor medido

se determina el nivel de calificacioacuten La evaluacioacuten es el paso final

donde se resume un conjunto de niveles previamente calificados El

resultado es un resumen del cumplimiento de los Requerimientos

miacutenimos del SI

4 Los POBC suponen la integracioacuten de equipos de trabajo La organizacioacuten

deberaacute definir y documentar formalmente los procedimientos para integrar

de los equipos de trabajo y definir las responsabilidades funciones y

limitaciones de los equipos de trabajo

El aacuterea de auditoriacutea seraacute conformada por un equipo de auditores y

especialistas con un perfil altamente teacutecnico y con conocimiento de

la estructura organizacional Es tarea de la organizacioacuten definir los

procedimientos y perfiles para conformar el aacuterea y equipo de

auditoriacutea de seguridad de SI se propone que los perfiles del equipo

de auditoriacutea consideren amplios conocimientos en las aacutereas de

informaacutetica SI entornos de desarrollo seguridad y auditoriacutea para

adaptar la metodologiacutea al entorno en especifico en que se

desarrolla Finalmente deberaacute existir independencia entre aacutereas

una de las premisas de la auditoriacutea es que no se puede ser juez y

parte por lo que el equipo auditor debe ser diferente al equipo

desarrollador

Un comiteacute autorizador del SI para el modelo de auditoriacutea propuesto

la figura del comiteacute autorizador del SI es de vital importancia ya que


91

en este reside la decisioacuten de operacioacuten11 del SI El comiteacute autorizador

del SI deberaacute ser un oacutergano conformado como miacutenimo por el liacuteder

de la auditoriacutea los responsables del aacuterea de seguridad de la

informacioacuten y un representante ejecutivo de la organizacioacuten el cual

pueda dar respaldo a la decisioacuten tomada con respecto a la

autorizacioacuten de operacioacuten del SI Es tarea de la organizacioacuten

determinar la conformacioacuten responsabilidades y obligaciones del

comiteacute autorizador del SI

5 Establecimiento de los procedimientos organizacionales para determinar el

nivel de exposicioacuten de los SI Es tarea de la organizacioacuten determinar y

documentar formalmente los procedimientos que seraacuten interpretados

como directivas para determinar el nivel de exposicioacuten de los SI entre ellos

se encuentran los procedimientos para determinar el nivel de riesgo del SI y

la ponderacioacuten de aspectos a evaluar en el SI auditado

6 Establecimiento de las herramientas de apoyo al proceso de auditoriacutea La

organizacioacuten deberaacute seleccionar desarrollar cuando sea necesario y

documentar formalmente las herramientas de apoyo al proceso de

auditoriacutea Las herramientas consideradas incluyen el uso de diversas

teacutecnicas instrumentos y procedimientos manuales u automatizados y

tecnologiacutea aplicable Se sugiere que en lugar de desarrollar herramientas

uacutenicas o especializadas y procedimientos para evaluar los controles de

seguridad en el SI se pueden consultar los meacutetodos y procedimientos

estandarizados12 para evaluar los controles de seguridad estos meacutetodos y

procedimientos pueden ser sumados a los definidos en este punto

Lo uacutenico constante es el cambio CAT

Una variable importante en el modelo propuesto es la consideracioacuten del Cambio

a traveacutes del Tiempo (CAT) Esta consideracioacuten supone que el ambiente de

operacioacuten de los SI organizacionales no es constante y como tal los POBC se

encuentran en continua valoracioacuten redefinicioacuten y adaptacioacuten de cualquiera de

sus componentes para responder a los cambios del entorno y ser reflejados

dentro del proceso organizacional de auditoriacutea de seguridad de los SI

11

Autorizacioacuten formal de operacioacuten del SI auditado conforme al cumplimiento de los requerimientos miacutenimos del

SI y el nivel de riesgo del SI auditado

12 por ejemplo para los SI basados en WEB el Manual de Metodologiacutea Abierta de Evaluacioacuten de Seguridad

OSSTMM y la guiacutea de evaluacioacuten del OWASP pueden ser de gran utilidad


92

La tarea constante de adaptacioacuten de los POBC derivado del CAT es

responsabilidad de la organizacioacuten quien deberaacute definir la periodicidad de

revaloracioacuten y redefinicioacuten de los POBC En el mismo sentido se deberaacuten definir las

condiciones extraordinarias por las que se requeriraacute revalorar y redefinir de

manera anticipada los POBC como es el caso de la entrada en vigor de nuevas

normas y estaacutendares a los que la organizacioacuten se tuviese que alinear

Proceso de auditoriacutea de Seguridad de SI

El proceso de auditoriacutea de seguridad de SI se compone de 4 procesos principales

estos son

1 Planeacioacuten y Organizacioacuten

2 Ejecucioacuten de la Auditoriacutea

3 Dictamen de Auditoriacutea

4 Monitoreo de Cumplimiento

El proceso de auditoriacutea de seguridad empieza con la peticioacuten de auditoriacutea por

parte del propietario del SI el origen de la auditoriacutea se puede deber a 4 motivos

a) Creacioacuten del SI con el fin de obtener la autorizacioacuten de operacioacuten del SI

auditado

b) Peticioacuten de cambio a un SI que ya se encuentra operando con el fin de

obtener la autorizacioacuten de operacioacuten del SI modificado validando que los

cambios realizados en el SI no aportan nuevas vulnerabilidades al SI

c) Implementacioacuten de mejoras es solicitada por el propietario del SI una vez

que este ha implementado las actividades contempladas en el plan de

mejora13 con el fin de obtener la autorizacioacuten formal para que el SI

auditado sea puesto en operacioacuten14

d) Auditoriacuteas subsecuentes de manera programada para validar que los

controles implementados en el SI son eficientes a traveacutes del tiempo

13 El plan de mejoras es un documento generado por el liacuteder de la auditoriacutea en colaboracioacuten con el propietario

del SI en el cual se describen las medidas previstas para reducir el nuacutemero de vulnerabilidades y corregir los

aspectos negativos encontrados en la auditoriacutea del SI

14 esta peticioacuten se origina debido a que previamente se han realizado auditoriacuteas de seguridad al SI pero los

resultados indican que el SI no es apto para ser puesto en operacioacuten por lo que el equipo auditor emite un plan

de mejoras al propietario del SI para reducir las vulnerabilidades encontradas en este


93

Planeacioacuten y Organizacioacuten de la Auditoriacutea engloba las tareas de planeacioacuten

organizacioacuten y preparacioacuten de recursos asiacute como las actividades y

procedimientos necesarios para obtener la informacioacuten del SI que serviraacute de base

para ejecutar la auditoriacutea En esta fase se pretende identificar las razones por las

que se realizaraacute la auditoriacutea y se definiraacute el objetivo que se persigue De igual

manera se prepararaacuten los documentos e instrumentos que serviraacuten de apoyo en

la ejecucioacuten de la auditoriacutea Finalmente este proceso culmina con la elaboracioacuten

documental de los planes y programas de la auditoriacutea Una tarea importante del

equipo auditor en esta etapa es la determinacioacuten de los requerimientos miacutenimos

aplicables al SI auditado recordando que estos son establecidos en los POBC y se

determinan conforme a la clasificacioacuten de la informacioacuten y del SI auditado

Ejecucioacuten de la auditoriacutea se refiere al conjunto de actividades realizadas por el

equipo de auditores para evaluar exhaustivamente el nivel de cumplimiento del SI

con respecto a los requerimientos miacutenimos previstos y con ello determinar el nivel

de exposicioacuten del SI auditado El objetivo de esta etapa es recopilar la evidencia

de auditoriacutea necesaria mediante la aplicacioacuten de instrumentos y herramientas

disentildeadas para la auditoriacutea(definidas en los POBC) la cual permita determinar el

nivel de riesgo del SI auditado (conforme a los POBC) y con ello proponer las

medidas correctivas al SI

Dictamen de la auditoriacutea se refiere al conjunto de actividades realizadas para la

confeccioacuten y elaboracioacuten del informe y dictamen final En este proceso se

contempla la elaboracioacuten del plan de mejora del SI el cual define una serie de

tareas y actividades para eliminar o reducir el nuacutemero de vulnerabilidades y

aspectos negativos encontradas en la auditoriacutea del SI Este proceso concluye con

la entrega del informe de auditoriacutea a los propietarios del SI y al equipo de

desarrollo a cargo del SI Una de las tareas maacutes importantes de este proceso es la

toma de decisioacuten de operacioacuten del SI por parte del comiteacute autorizador de SI Esta

decisioacuten se toma con base en la evidencia obtenida y la determinacioacuten del nivel

de riesgo del SI los cuales se obtienen del proceso de ejecucioacuten de auditoriacutea

Las posibles decisiones de operacioacuten conforme a los POBC que pueden ser

otorgadas a un SI son

1 Autorizado para operar (APO)

2 No autorizado para operar (NAO)

3 Autorizado condicionado (SAC)

Si la decisioacuten de autorizacioacuten del SI es ldquoautorizado para operarrdquo (APO) o

ldquoautorizado condicionadordquo (SAC) el siguiente proceso dentro del modelo de


94

auditoriacutea es el Monitoreo de cumplimiento

Si la decisioacuten de autorizacioacuten del SI es ldquono autorizado para operardquo (NAO) el

propietario del SI tendraacute que realizar las actividades contenidas en el Plan de

Mejora del SI en la forma y tiempo acordados mediante el proceso de

Implementacioacuten de mejoras del SI15 Una vez que se implementen las acciones del

Plan de Mejora del SI el propietario del SI deberaacute solicitar una nueva auditoriacutea de

seguridad que evaluacutee el cumplimiento de las recomendaciones hechas en el plan

de mejora de SI (Implementacioacuten de Mejoras)

El comiteacute autorizador determinaraacute la decisioacuten de operacioacuten del SI auditado

conforme a los criterios de evaluacioacuten definidos en los POBC basaacutendose en el

anaacutelisis de los hallazgos obtenidos y el nivel de riesgo del SI auditado

Monitoreo del Cumplimiento se refiere a las actividades de seguimiento y

monitoreo de las actividades definidas en el Plan de mejora para el SI auditado

En este proceso se incluye

1 Programacioacuten de las auditoriacuteas subsecuentes del SI considerando que el

medio de operacioacuten del SI no es constante

2 Definicioacuten de las actividades y responsabilidades de monitoreo continuo a

los controles de seguridad implementados en el SI para determinar su nivel

de eficaces a lo largo del tiempo

3 El seguimiento al proceso de Implementacioacuten de mejoras a cargo del

propietario del SI

15 El proceso de Implementacioacuten de mejoras del SI es un proceso externo a la auditoriacutea de seguridad del SI Es

responsabilidad del propietario del SI definir las tareas y recursos requeridos para dar solucioacuten a las acciones

planteadas en el Plan de Mejora del SI


95

53 Aproximacioacuten del Proceso de auditoriacutea de seguridad de SI

A continuacioacuten se describe una aproximacioacuten de la ejecucioacuten de cada una de

las etapas del proceso de auditoriacutea de seguridad de SI que sugiere el modelo

propuesto Cada una de estas aproximaciones considera las entradas salidas

flujo del proceso y responsables de cada actividad

En la figura 12 se describe la aproximacioacuten de la etapa 1 del modelo propuesto

planeacioacuten y organizacioacuten de la auditoriacutea El actor que inicia el proceso con una

peticioacuten de auditoriacutea es el propietario del SI

Fig 12 Aproximacioacuten de la etapa 1 del modelo propuesto de auditoriacutea de seguridad de Sistemas de

Informacioacuten


las entradas a la etapa de ejecucioacuten de la auditoriacutea son los planes y programas

de auditoriacutea y las pruebas procesos e instrumentos disentildeados en la etapa 1


96


Informacioacuten


Las entradas a la etapa de dictamen de la auditoriacutea son el Informe y dictamen

preliminar y el paquete de evidencia de auditoriacuteas generadas en la etapa 2

Como se puede apreciar en la figura existen 2 posibles rumbos que puede tomar

la auditoriacutea de seguridad propuesta

Si al presentar el informe y dictamen final de auditoriacutea la decisioacuten es ldquoNo

autorizado para operardquo el propietario de auditoriacutea de seguridad tendraacute

que empezar el proceso (externo a la auditoriacutea) de ldquoImplementar el Plan

de Mejora del SIrdquo En este proceso el equipo de desarrollo implementaraacute

en tiempo y forma las actividades definidas dentro del plan de mejora Una

vez concluida la implementacioacuten del plan de mejora el propietario del SI

deberaacute solicitar nuevamente una auditoriacutea del SI cuyo origen es la

implementacioacuten de mejoras

Si al presentar el informe y dictamen final de auditoriacutea la decisioacuten es

ldquoAutorizado para operarrdquo o ldquoAutorizado condicionadordquo la siguiente etapa

de la auditoriacutea de seguridad es el monitoreo del cumplimiento del SI


97


Informacioacuten


Las entradas a la etapa de Monitorear cumplimiento del SI son el informe y

dictamen de auditoriacutea y el plan de mejora del SI generados en etapa 3

En esta etapa el equipo auditor en conjunto con el propietario del SI establecen

y documentan los lineamientos responsables y periodicidad de las actividades

del seguimiento de la implementacioacuten del plan de mejora programacioacuten de

auditoriacuteas subsecuentes y el monitoreo continuo del cumplimiento de los controles

de seguridad Las actividades de la etapa 4 se llevan de manera paralela y

concluyen con una peticioacuten de auditoriacutea con el origen ldquoAuditoriacutea Subsecuenterdquo


98


Informacioacuten

Para apoyar la correcta implementacioacuten del modelo propuesto se ha

desarrollado una metodologiacutea En los siguientes apartados se presenta el disentildeo y

definicioacuten de la metodologiacutea resultante


99

54 Aplicacioacuten del Meacutetodo cientiacutefico en la metodologiacutea propuesta

Para la elaboracioacuten de una metodologiacutea de auditoriacutea de seguridad de SI se hace

necesario aplicar en estricto sentido el meacutetodo cientiacutefico considerando todas las

etapas del proceso de auditoriacutea

Asiacute se deben considerar en el contexto de la auditoriacutea de seguridad de SI los

siguientes pasos que definen al meacutetodo cientiacutefico

Paso 1 Identificar e investigar sobre el problema Ocurre en la etapa de

Planeacioacuten y programacioacuten de la auditoriacutea cuando el equipo auditor se da a la

tarea de realiza el estudio preliminar del SI a auditar Se consideran los

componentes del sistema dependencias responsables posibles vulnerabilidades

y cualquier otro aspecto que considere importante para la ejecucioacuten de la

auditoriacutea

Paso 2 Formular una hipoacutetesis Ocurre en la etapa de planeacioacuten y programacioacuten

de la auditoriacutea cuando el equipo auditor determina cuales son los requerimientos

miacutenimos que deberiacutea cubrir el SI auditado para autorizar su operacioacuten

Paso 3 Probar la hipoacutetesis de manera empiacuterica16 y conceptual Una vez que se

haya generado la hipoacutetesis se hayan determinado los requerimientos miacutenimos del

SI a evaluar y se hayan generado los planes y programas de auditoriacutea se deberaacute

empiacuterica y conceptualmente probar la hipoacutetesis a traveacutes de la ejecucioacuten de la

auditoriacutea

En la ejecucioacuten de la auditoriacutea el equipo auditor se enfocaraacute a revisar el

cumplimiento de 1) requerimientos miacutenimos funcionales del SI 2) requerimientos

miacutenimos de seguridad conforme a la categoriacutea de seguridad del SI 3)

Cumplimiento documental del SI 4) Marco Normativo del SI y finalmente 5)

Revisioacuten de que el SI auditado estaacute libre de los errores de programacioacuten maacutes

comunes

Paso 4 Evaluar la hipoacutetesis con respecto a los resultados probados Una vez

revisado el cumplimiento de los requerimientos miacutenimos del SI el equipo auditor

identificaraacute los hallazgos obtenidos de la auditoriacutea del SI auditado y elaboraraacute un

informe y dictamen de auditoriacutea De igual manera conforme a los hallazgos

obtenidos el equipo auditor determinaraacute el nivel del riesgo del SI auditado

Paso 5 Si la hipoacutetesis se confirma evaluar su Impacto Consiste en aquellas

actividades contundentes (sentencias o toma de decisiones que se deben

16 Conocimiento Empiacuterico Conocimiento que fundamente sus conocimientos exclusivamente en la experiencia


100

respetar) que se generan una vez que la ejecucioacuten de la auditoriacutea se ha

completado

En el proceso de auditoriacutea estas actividades son producto de los resultados de la

decisioacuten de autorizacioacuten del SI informe y dictamen de auditoriacutea los cuales

confirman o rechazan la hipoacutetesis planteada

Las tareas que el propietario del SI deberaacute realizar para monitorear el

cumplimiento del SI yo implementar el plan de mejora del SI estaacuten en funcioacuten de

la decisioacuten de autorizacioacuten del SI auditado

Construccioacuten de la metodologiacutea propuesta

La construccioacuten de la metodologiacutea aquiacute propuesta considera los siguientes

aspectos

Aplicar los pasos anteriores del meacutetodo cientiacutefico a cada una de las fases

que constituyen la metodologiacutea propuesta

Disentildear de procedimientos operativos estandarizados (POE) definidos en el

capiacutetulo 2 uno para cada etapa de la metodologiacutea

Clasificar la seguridad de la informacioacuten y los SI (FIPS PUB 199) definidos en

el capiacutetulo 2

Determinar los requerimientos miacutenimos de un SI definidos en el capiacutetulo 4

Determinar la decisioacuten de operacioacuten del SI (basado en NIST SP 800-37)

definida en el capiacutetulo 4


101

55 Metodologiacutea de Auditoriacutea de Seguridad de SI para el modelo

propuesto

551 Antecedentes

La metodologiacutea propuesta se basa principalmente en la recopilacioacuten y

adaptacioacuten a la seguridad de las aplicaciones de estaacutendares y mejores praacutecticas

internacionalmente aceptados en el aacuterea de seguridad y Tecnologiacuteas de la

Informacioacuten (ISO 9126 FIPS PUB 200 FIPS PUB 199 NIST SP 800-37)

Esta metodologiacutea se ha disentildeado con base en la aplicacioacuten de los

procedimientos operativos estaacutendar POE Inicialmente se disentildearon 4 POEs

correspondiente a cada una de las etapas de la metodologiacutea para auditar la

seguridad de los SI pero la estructura de la metodologiacutea permite descomponer

cada uno de los 4 POEs en POE maacutes especiacuteficos para ser utilizados a la

conveniencia del auditor

552 Caracteriacutesticas de la Metodologiacutea Propuesta

Una metodologiacutea de auditoriacutea en seguridad para SI permite a los auditores y

evaluadores de seguridad obtener un informedictamen integral ordenado

claro y confiable que refleja el nivel de seguridad del SI evaluado Un aspecto

importante de la metodologiacutea propuesta es que parte de un miacutenimo de requisitos

de seguridad que deben cumplirse en un SI De igual manera a traveacutes de esta

metodologiacutea se establece un protocolo mediante el cual la evidencia de

auditoriacutea (papeles de trabajo) se obtiene reuacutene y maneja con alta calidad

contribuyendo con esto a la estandarizacioacuten de los procesos y obtencioacuten de

resultados repetibles De esta manera la evidencia tendraacute las condiciones de

custodia y calidad adecuadas para que pueda ser revisada e interpretada por

expertos ajenos al equipo de auditores

Trabajar sin una metodologiacutea puede arrojar resultados subjetivos y poco

confiables El eacutexito y profundidad de la auditoriacutea dependeraacute de la experiencia

conocimiento estilo y preferencias del grupo de auditores a cargo de evaluar los

aspectos de seguridad de los SI

A continuacioacuten se enumeran algunas de las caracteriacutesticas que presenta la

metodologiacutea propuesta


102

1 Congruente con lineamentos y metodologiacuteas internacionales Las aacutereas y

aspectos especiacuteficos a evaluar seguacuten se recomienda en la metodologiacutea

asiacute como los controles de seguridad sugeridos fueron tomados y

adaptados a la seguridad de los SI seguacuten los siguientes lineamientos

a Estaacutendar internacional utilizado para la evaluacioacuten de software ISO

9126 del cual se determinoacute una parte de los requerimientos

funcionales del SI

b Clasificacioacuten de seguridad de la Informacioacuten y SI FIPS PUB 199

c Requerimientos Miacutenimos de Seguridad para Informacioacuten y SI FIPS PUB

200 del cual se tomaron los requerimientos miacutenimos de seguridad

para los SI

d Guiacutea para la certificacioacuten y acreditacioacuten de SI federales de EUA NIST

SP 800-37

De esta manera la metodologiacutea estaacute construida con base en organizaciones

internacionales especializadas en el aacuterea de auditoriacutea TI y evaluaciones de

seguridad

2 Es de aplicacioacuten general No se enfoca a un entorno de desarrollo

especiacutefico Por lo que la metodologiacutea puede ser totalmente adaptable a

los diferentes tipos de SI y organizaciones a evaluar

3 Basada en POEs Los POEs aseguran la calidad de las actividades

realizadas y los documentos e informes que se pueden generar Involucran

y especifican la aplicacioacuten de mejores praacutecticas internacionales en

materia de seguridad Los POEs se conforman por un conjunto de tareas

que tienen el caraacutecter de directiva y se definen para asegurar y mantener

la calidad de los procesos que ocurren en un sistema Asiacute mismo permite la

reproducibilidad de las pruebas realizadas dentro de la auditoriacutea de

seguridad

4 Adaptable al cambio El entorno de operacioacuten no es constante las

amenazas a los SI y el nuacutemero de hallazgos de vulnerabilidad crecen diacutea

con diacutea Esta metodologiacutea permite adecuar la evaluacioacuten del SI al entorno

de operacioacuten del SI a lo largo del tiempo (CAT) Esta adaptacioacuten se hace

mediante la evaluacioacuten y redefinicioacuten de los POBC que soportan el

proceso de auditoriacutea de seguridad de SI Los requisitos miacutenimos de

seguridad del SI se derivan de la Clasificacioacuten de Seguridad del SI Se

establecen los requisitos miacutenimos a evaluar del SI conforme a su

clasificacioacuten de seguridad Se pueden exigir maacutes requerimientos de

seguridad que deben cubrir los SI auditados estos requerimientos seraacuten

resultado de los objetivos concretos y particularidades del SI


103

6 Sugiere el uso de diversas herramientas para automatizar procesos Las

tareas que se recomiendan dentro de esta metodologiacutea pueden realizarse

manual o automaacuteticamente mediante el uso de diversas herramientas de

apoyo

7 Sugiere la mejora continua Evidenciacutea las deficiencias encontradas en el SI

evaluado y sugiere acciones para mitigarlas o eliminarlas De igual manera

establece un compromiso con los propietarios del SI y el equipo

desarrollador para dar solucioacuten en un tiempo establecido a las deficiencias

encontradas para luego ejecutar una nueva auditoriacutea

8 La decisioacuten de puesta en operacioacuten del SI es flexible El resultado de la

auditoriacutea de seguridad del SI en evaluacioacuten tiene 3 posibilidades la primera

es que el SI cumple con los requerimientos miacutenimos de seguridad lo que

conlleva a la autorizacioacuten para poner en operacioacuten el SI La segunda

posibilidad es que el SI no cumpla con los requisitos miacutenimos de seguridad

por lo que eacutel Sistema no estaraacute autorizado para operar y debe regresarse al

equipo de desarrollo para que corrijan los hallazgos de vulnerabilidad y

den seguimiento a las recomendaciones realizadas por el equipo auditor

La tercera posibilidad es una autorizacioacuten condicionada es decir que el

sistema puede ser puesto en operacioacuten bajo ciertas condiciones que

deberaacuten estar expresadas sin ambiguumledad en el dictamen y deberaacuten ser

cumplidas en el tiempo establecido

9 El proceso de auditoriacutea es soportado por los POBC La organizacioacuten define

un conjunto de procedimientos organizacionales bien conocidos los

cuales sirven de soporte al proceso de auditoriacutea de seguridad de los SI

553 Alcance

Existen diversas propuestas de metodologiacuteas para guiar el proceso de evaluacioacuten

de seguridad de SI (ver apartado 53 de esta tesis) Sin embargo no se ha llegado

a ninguna conclusioacuten sobre cuaacutel es la maacutes apropiada cada una de ellas tiene

una orientacioacuten especifica y la mayoriacutea se enfoca a los aspectos de seguridad sin

tomar en cuenta los requerimientos funcionales A pesar de que cada marco de

trabajo podriacutea funcionar bien en el contexto de su aacuterea de especializacioacuten no

manejan la evaluacioacuten del SI de manera integral es decir en la metodologiacutea

propuesta se establece que la auditoriacutea debe considerar tanto el aspecto

funcional como de seguridad La metodologiacutea propuesta ha sido desarrollada

para apoyar a los auditores de seguridad al anaacutelisis revisioacuten evaluacioacuten y

propuesta de perfeccionamiento de los SI Este modelo intenta superar las

principales deficiencias de los modelos de TI y evaluacioacuten de seguridad de SI

existentes discutidos en las secciones anteriores logrando integrar las mejores

praacutecticas y aspectos propuestos en cada uno de ellos


104

En esta metodologiacutea de auditoriacutea de seguridad se verifica la seguridad de los SI

conforme al grado en que se garantiza los aspectos de confidencialidad

integridad y disponibilidad de la informacioacuten y la infraestructura que le da

soporte De igual manera se verifica la funcionalidad de los SI conforme a la

funcionalidad de negocio confiabilidad usabilidad eficiencia mejora continua y

portabilidad

Esta metodologiacutea ha quedado conformada de cuatro apartados los cuales se

muestran a continuacioacuten Objetivo Limitaciones Requisitos y Etapas Propuestas

554 Objetivo

El objetivo de la metodologiacutea es establecer un marco de trabajo vaacutelido estaacutendar

y aceptado La metodologiacutea estableceraacute procedimientos que permitan realizar

una auditoriacutea de seguridad de los SI Estos procedimientos estaraacuten basados en las

mejores praacutecticas definidas por distintos organismos internacionales reconocidas

en el aacuterea de TI seguridad y auditoriacutea

Los objetivos especiacuteficos de esta metodologiacutea de auditoriacutea de seguridad de los SI

son revisar el nivel de cumplimiento de los requerimientos funcionales y de

seguridad del SI verificar el cumplimiento del marco normativo al que se debe

someter el SI determinar el nivel de riesgo al que el SI se encuentra expuesto

elaborar un informe que contenga los resultados obtenidos de la auditoriacutea de

seguridad el dictamen de auditoriacutea y el plan de mejora para el SI

555 Limitaciones

La metodologiacutea presenta las siguientes limitaciones

El alcance de la metodologiacutea estaacute limitado a la seguridad en los SI no se

considera el aspecto de seguridad perimetral tal cual se definioacute en el alcance de

esta tesis

Esta metodologiacutea estaacute orientada a los SI en general sin importar la plataforma ni

el entorno de desarrollo utilizado por lo que seraacute trabajo del auditor adecuar la

metodologiacutea al entorno especifico que se requiera

556 Requisitos

Acerca del Personal


105

Debido a que la metodologiacutea estaacute disentildeada para SI en general el equipo de

trabajo debe contar con un perfil especializado debe contar con amplios

conocimientos en el aacuterea de informaacutetica entornos de desarrollo seguridad y

auditoriacutea para adaptar la metodologiacutea al entorno en especiacutefico en que se

desarrolla

Se recomienda que el personal que llevaraacute a cabo la auditoriacutea de seguridad

tenga como miacutenimo experiencia en alguacuten entorno de desarrollo lo que permitiraacute

tener nociones baacutesicas de la manera en que se encuentra integrado el SI y la

loacutegica de programacioacuten

Los equipos de trabajo de auditoriacutea de seguridad deben estar en constante

capacitacioacuten y actualizacioacuten debido a que diacutea con diacutea surgen nuevas amenazas

y brechas de seguridad que deben ser contempladas dentro de la evaluacioacuten de

la seguridad de los SI

Debe existir independencia entre aacutereas una de las premisas de la auditoriacutea es que

no se puede ser juez y parte por lo que el equipo auditor debe ser diferente al

equipo desarrollador Este punto garantiza que los resultados no han sido

manipulados para favorecer al SI evaluado

Esta metodologiacutea supone la conformacioacuten y actuacioacuten de un comiteacute autorizador

del SI el cual deberaacute ser conformado como miacutenimo por el liacuteder de la auditoriacutea los

responsables del aacuterea de seguridad de la informacioacuten y un representante

ejecutivo de la organizacioacuten con las facultades suficientes para respaldar la

decisioacuten tomada La funcioacuten de este comiteacute autorizador es la evaluacioacuten de los

hallazgos de vulnerabilidad en el sistema y el nivel de riesgo que se tiene para

que de esta forma se defina la decisioacuten de operacioacuten para el SI evaluado

Acerca de las Herramientas

El equipo de trabajo debe estar al tanto de las herramientas que existen en el

mercado para apoyar el trabajo de auditoriacutea de seguridad y que podriacutean

utilizarse en el trabajo diario

Esta metodologiacutea no sugiere una herramienta especiacutefica soacutelo hace mencioacuten que

la mayoriacutea de las revisiones de seguridad pueden automatizarse con el apoyo de

herramientas tecnoloacutegicas El uso y adopcioacuten de una herramienta es decisioacuten y

responsabilidad del equipo auditor


106

557 Etapas de la Metodologiacutea Propuesta

Debido a que cada sistema tiene su propio grado de complejidad y

caracteriacutesticas de disentildeo que lo hacen distinto de otros la definicioacuten de un

enfoque de procedimiento definitivo es una tarea complicada de realizar A

pesar de ello varias propuestas hacen referencia a los mismos aspectos de

evaluacioacuten en los SI como los presentados en el punto 47 Aunque cada modelo

resalta el grado de importancia en diferentes aspectos en este trabajo se

consideran 5 grupos fundamentales los requerimientos funcionales los

requerimientos de seguridad el cumplimiento documental el marco regulatorio y

la buacutesqueda de vulnerabilidades conocidas en los SI

La metodologiacutea aquiacute propuesta estaacute definida para ser empleada en aquellas

organizaciones e instituciones que deseen tener cierto grado de certeza en el

cumplimiento de los requisitos miacutenimos funcionales y de seguridad de sus SI antes

de ser puestos en operacioacuten

Con el propoacutesito de interpretar adecuadamente la aplicacioacuten de esta

metodologiacutea a continuacioacuten se presentan en forma geneacuterica todas aquellas

etapas y actividades que deben ser consideradas Inicialmente se ha dividido en

4 grandes apartados las etapas principales que serviraacuten de guiacutea para la

realizacioacuten de una auditoriacutea de seguridad de SI

Etapa 1 Planeacioacuten y Organizacioacuten de la Auditoriacutea

11 Identificar el Origen de la Auditoriacutea

12 Establecer contacto directo con los duentildeos o liacutederes a cargo del SI a

auditar

13 Clasificar la informacioacuten del SI con base en criterios de seguridad

14 Estudiar el SI objeto de la auditoriacutea

15 Definir objetivos y alcance de la auditoriacutea a realizar

16 Determinar los aspectos del objeto auditado que seraacuten evaluados

verificados y analizados durante el proceso de auditoriacutea

17 Elaborar el Plan y Programa de auditoriacutea

18 Identificar y seleccionar los meacutetodos herramientas instrumentos criterios

de evaluacioacuten metodologiacuteas de riesgo y procedimientos necesarios para

ejecutar la auditoriacutea

19 Asignar recursos humanos financieros y materiales para la realizacioacuten de

la auditoriacutea

110 POE propuesto para la etapa 1


107

Etapa 2 Ejecucioacuten de la auditoriacutea

21 Ejecutar las actividades programadas para la auditoriacutea de acuerdo al

calendario establecido

22 Identificar y elaborar los documentos que reportaraacuten los hallazgos

obtenidos de la auditoriacutea

23 Estimar el Riesgo del SI con los hallazgos obtenidos de la auditoriacutea

24 Elaborar el informe y dictamen preliminar de auditoriacutea

25 Presentar el informe y dictamen preliminar de auditoriacutea con las aacutereas

involucradas para su discusioacuten


Etapa 3 Dictamen de la auditoriacutea

31 Tomar la decisioacuten de operacioacuten del SI

32 Elaboracioacuten del informe y dictamen final de auditoriacutea

33 Elaborar el Plan de Mejora del SI

34 Presentar el informe y dictamen final de auditoriacutea

35 POE Propuesto para la etapa 3

Etapa 4 Monitorear cumplimiento del SI

41 Seguimiento a las acciones establecidas en el Plan de Mejora

42 Programar auditoriacuteas subsecuentes

43 Monitorear continuamente el cumplimiento de la atencioacuten de

observaciones hechas en el plan de mejora


A continuacioacuten se detalla cada una de las etapas propuestas en la metodologiacutea

y las actividades que conlleva cada una de ellas


Se define planea organiza y preparan los recursos actividades y procedimientos

necesario para obtener la informacioacuten del SI que serviraacute de base para ejecutar la

auditoriacutea de seguridad En esta etapa se deben identificar claramente las

razones por las que se realizaraacute la auditoriacutea y la determinacioacuten del objetivo de la

misma De igual manera se preparan los documentos que serviraacuten de apoyo para

su ejecucioacuten culminando con la elaboracioacuten documental del plan programa y

calendario de ejecucioacuten de la auditoriacutea


108

11 Identificar el Origen de la Auditoriacutea En esta fase se define la razoacuten que origina

la auditoriacutea de seguridad (nuevo SI peticioacuten de cambio implementacioacuten de

mejoras auditoriacutea subsecuente) de esta determinacioacuten dependeraacute el rumbo

tareas y enfoque que se le daraacute a la auditoriacutea de seguridad

En esta fase es de suma importancia determinar la forma de adquisicioacuten del SI a

auditar ya que con ello se determina si la auditoriacutea a realizar seraacute desde un

entorno interno (SI desarrollados a la medida) o desde un entorno externo (SI

comerciales)

Cuando la auditoriacutea se realiza desde un entorno interno la amplitud y

exhaustividad de la evaluacioacuten es mayor que la realizada en un entorno externo

ya que se tiene mayor acceso a la informacioacuten relacionada con la infraestructura

relaciones procedimientos documentacioacuten relaciones etc

12 Establecer contacto directo con los duentildeos o lideres a cargo del SI a auditar

Es imprescindible que el auditor establezca contacto directo con los propietarios

del SI y los liacutederes a cargo del SI a evaluar El propoacutesito de este primer contacto es

que el auditor obtenga una visioacuten maacutes amplia del SI a auditar relaciones

dependencias restricciones y la importancia del SI en el proceso productivo de la

organizacioacuten En realidad lo que se busca es que el auditor pueda vislumbrar el

panorama al cual se enfrenta para que de ello disentildee su estrategia para el

desarrollo de auditoriacutea

Si en el punto anterior de esta metodologiacutea se determinoacute que la auditoriacutea a

realizar es externa no es necesario establecer el contacto directo con los

propietarios del SI La estrategia para obtener informacioacuten acerca del SI consistiraacute

en recolectar la mayor cantidad de informacioacuten que el propietario del SI hace

disponible a los usuarios finales De la misma manera cuando se evaluacutee un SI

comercial esta se debe realizar de manera previa a la adquisicioacuten e

implementacioacuten del SI

13 Clasificar la informacioacuten del SI con base en criterios de seguridad En esta fase

se realiza la clasificacioacuten de la informacioacuten que maneja el SI Una vez obtenida la

clasificacioacuten de la informacioacuten se obtiene la clasificacioacuten del SI Esta etapa es de

vital importancia ya que con base en esta clasificacioacuten se determinaraacuten los

requerimientos miacutenimos de seguridad a evaluar en el SI

Cada organizacioacuten debe definir sus procedimientos para clasificar la seguridad

de la informacioacuten y del SI un buen punto de partida es utilizar los propuestos por

FIPS PUB 199 Para maacutes informacioacuten ver apeacutendice E


109

14 Estudiar el SI objeto de la auditoriacutea En esta fase se realiza el trabajo de

investigacioacuten y recopilacioacuten de informacioacuten propia del SI a auditar En este estudio

se determinan los aspectos esenciales del SI (misioacuten objetivo y funciones del

sistema) se define la arquitectura del SI se determina el ambiente de operacioacuten y

entorno de desarrollo e implementacioacuten del SI y finalmente se determina el marco

regulatorio al cual se debe apegar el SI

Para los SI que son auditados desde un ambiente externo no seraacute necesario

recopilar informacioacuten correspondiente al marco regulatorio ni los aspectos

relacionados con la funcionalidad del SI ya que se considera que estos aspectos

han sido considerados por la empresa que los desarrolloacute antes de ser puestos a

disposicioacuten de los usuarios finales

15 Definir objetivos y alcance de la auditoriacutea a realizar En esta fase se definen los

objetivos generales y particulares del trabajo de auditoriacutea a realizar asiacute como el

alcance de la auditoriacutea

El alcance de la auditoriacutea dependeraacute de la forma de adquisicioacuten del SI a evaluar

se consideran 2 opciones

o SI comerciales y

o SI desarrollados a la medida

Para el caso de auditoriacutea de SI comerciales la evaluacioacuten no se realizaraacute desde

un entorno interno sino como usuarios de la aplicacioacuten Es decir el alcance de la

auditoriacutea seraacute delimitado a los aspectos que se encuentran documentados y de

libre distribucioacuten por los duentildeos del SI (ya que el acceso a procedimientos

manuales disentildeos y cierta documentacioacuten especializada se encuentra restringida

a los usuarios finales)

16 Determinar los aspectos del objeto auditado que seraacuten evaluados verificados

y analizados durante el proceso de auditoriacutea En esta fase se definen los aspectos

a ser evaluados por la auditoriacutea de seguridad del SI

Al considerar los puntos a evaluar en la auditoriacutea es importante considerar dentro

de esta fase la forma de adquisicioacuten del SI a auditar

o Si el SI a audita es un SI desarrollado a la medida se considera que la

auditoriacutea seraacute realizada desde un entorno interno por lo que se

consideraraacuten la evaluacioacuten del grado de cumplimiento de los siguientes

aspectos


110

Cumplimiento documental

Requerimientos miacutenimos funcionales

Requerimientos miacutenimos de seguridad basados en la clasificacioacuten de

seguridad del SI

Marco regulatorio y

Revisioacuten de que el SI auditado estaacute libre de los errores de

programacioacuten maacutes comunes

o Si el SI a auditar es una adquisicioacuten de un SI comercial se considera que la

auditoriacutea seraacute realizada desde un entorno externo por lo que el alcance

de la auditoriacutea seraacute maacutes limitado que para un SI hecho a la medida ya

que se carece de informacioacuten concerniente al funcionamiento

arquitectura relaciones disentildeo comunicacioacuten y dependencias del SI En

este caso la evaluacioacuten del SI se limitaraacute a los siguientes aspectos



seguridad del SI



La importancia de esta fase radica en que es el antecedente para el

establecimiento de las herramientas procedimientos y la manera en que se

realizaraacute la auditoriacutea

Una guiacutea para determinar los requerimientos miacutenimos a evaluar en la auditoriacutea de

seguridad del SI se presenta en el capiacutetulo 4

17 Elaborar el Plan y Programa de auditoriacutea En esta fase se elaboran los

documentos que contemplan los planes formales para la ejecucioacuten de la

auditoriacutea asiacute como los programas en donde se delimita perfectamente las

etapas eventos actividades y los tiempos de ejecucioacuten para cumplir con el

objetivo

Los planes y programas de auditoriacutea se convierten en guiacutea para documentar los

diferentes pasos de la auditoriacutea que se realizaraacute el grado tareas y los aspectos

evaluados Provee un rastro del proceso usado para realizar la auditoriacutea asiacute como

tambieacuten a quien se debe adjudicar la responsabilidad de su realizacioacuten


111

18 Identificar y seleccionar los meacutetodos herramientas instrumentos criterios de

evaluacioacuten metodologiacuteas de riesgo y procedimientos necesarios para la

auditoriacutea En esta fase se determinan los documentos plantillas herramientas y

medios con los cuales se llevaraacute a cabo la auditoriacutea de seguridad del SI esto se

lograraacute mediante la seleccioacuten disentildeo de los meacutetodos procedimientos

herramientas e instrumentos necesarios de acuerdo con lo indicado en los planes

y programas de auditoriacutea establecidos De igual manera se establece dentro del

marco de la auditoriacutea los criterios de evaluacioacuten que seraacuten utilizados para

determinar el nivel de cumplimiento de los requerimientos miacutenimos del SI

auditado Es decir se define la forma en que el equipo auditor evaluaraacute y

determinaraacute si los Requerimientos miacutenimos del SI son cumplidos

En esta fase es de vital importancia evaluar y seleccionar la metodologiacutea de

anaacutelisis de riesgos que seraacute utilizada para estimar el riesgo del SI auditado y

posteriormente determinar que se haraacute con el riesgo

19 Asignar recursos humanos financieros y materiales para la realizacioacuten de la

auditoriacutea En esta fase se realiza la asignacioacuten formal de los recursos (humanos

financieros informaacuteticos tecnoloacutegicos etc) que son necesarios para llevar a

cabo la auditoriacutea de seguridad del SI

110 POE propuesto para la etapa 1 Para la aplicacioacuten de la etapa de Planeacioacuten

y Organizacioacuten de la auditoriacutea y las fases y actividades relacionadas a estas se

propone el uso del siguiente POE


112

Nuacutemero de POE 1 Tiacutetulo Planeacioacuten y Organizacioacuten de la Auditoriacutea

Revisioacuten nuacutemero Fecha de vigencia Hoja 1 de 6

PROCEDIMIENTO OPERATIVO ESTANDAR

a) Objetivo El objetivo de este POE es dar soporte a las actividades propias de la etapa

de Planeacioacuten y Organizacioacuten de la auditoriacutea

b) Alcance Este procedimiento es utilizado para apoyar las actividades de definicioacuten

planeacioacuten organizacioacuten y preparacioacuten de los recursos actividades y

procedimientos necesario para obtener la informacioacuten del SI que nos serviraacute de base

para ejecutar la auditoriacutea de seguridad

c) Responsable(s)

Cargo Liacutederes de Auditoriacutea

Habilidad Planificar Programar Ejecutar y Dirigir la auditoriacutea de seguridad del SI

mediante la aplicacioacuten y adaptacioacuten de la metodologiacutea de auditoriacutea propuesta

Nombre

Cargo Equipo de Auditoriacutea

Habilidad Amplio conocimiento teacutecnico en las aacutereas de seguridad SI y auditoriacutea asiacute

como el conocimiento y utilizacioacuten de muacuteltiples herramientas de trabajo que apoyen

sus actividades definidas en los planes y programas de auditoriacutea

Nombre

d) Definiciones

na

e) Materiales Hardware y Software

1 Editores de Texto

2 Plantillas de Instrumentos pruebas y procedimientos disentildeados para auditar el SI

f) Aspectos de seguridad La informacioacuten generada y recopilada por este POE deberaacute

ser resguardada ya sea de manera fiacutesica o digital por el equipo de auditores

APROBACIOacuteN

Elaboroacute Supervisoacute Autorizoacute

Fecha Fecha Fecha

INSTITUTO POLITEacuteCNICO NACIONAL ESIME CULHUACAacuteN

Laboratorio de Seguridad Informaacutetica


113



g) Procedimiento

1 Etapa 1 Planeacioacuten y Organizacioacuten de la Auditoriacutea


111 Definir el origen de la auditoriacutea(nuevo SI peticioacuten de cambio

implementacioacuten de mejoras auditoriacutea subsecuente)

112 Determinar la forma de adquisicioacuten del SI

1121 SI comercial la auditoriacutea se realizaraacute bajo un entorno externo

1122 SI desarrollado a la medida la auditoriacutea seraacute bajo un entorno interno

12 Establecer contacto directo con los duentildeos o liacutederes a cargo del SI a auditar

121 Identificacioacuten preliminar del SI y sus componentes

122 Identificacioacuten preliminar de las funciones del SI

123 Recolectar documentacioacuten teacutecnica y operativa del SI

124 Identificar posibles problemaacuteticas del SI

125 Prever los objetivos iniciales de la auditoriacutea

126 Determinar preliminarmente el no de recursos personas y perfiles

necesarios para la auditoriacutea del SI


131 Utilizar los procedimientos organizacionales para clasificar la seguridad de

la informacioacuten y del SI auditado (se propone utilizar el FIPS PUB 199)


La amplitud de este estudio dependeraacute del entorno bajo el que se realice la

auditoriacutea para un entorno externo la amplitud seraacute limitada

141 Determinar Aspectos Esenciales del SI

1411 Definicioacuten de la Misioacuten del SI

1412 Definicioacuten de los objetivos generales y especiacuteficos del SI

1413 Definicioacuten de la funcioacuten general del SI

14131 Determinar la tarea principal del SI

14132 Determinar procedencias y precedencias del SI

14133 Identificar perfiles validos para hacer uso del SI

141331 Determinar la totalidad de perfiles validos para el SI

1414 Definicioacuten detallada del disentildeo e implementacioacuten del SI

14141 Definicioacuten de la totalidad de moacutedulos que componen el SI

14142 Definicioacuten de procedencia y precedencia entre los moacutedulos

del SI

14143 Definicioacuten de la relacioacuten existente entre los moacutedulos que

componen el SI

14144 Definicioacuten de las dependencias del SI

14145 Definicioacuten de los recursos utilizados por el SI




114



1415 Tecnologiacutea utilizada para el desarrollo del SI

14151 Determinar el lenguaje y herramientas utilizadas para el

desarrollo del SI

14152 Determinar la plataforma considerada por el SI

14153 Determinar las Bases de datos y manejadores del SI

14154 Determinar cualquier otra tecnologiacutea u herramienta utilizada

en el desarrollo e implementacioacuten del SI

142 Determinar el marco regulatorio del SI

(Si la auditoriacutea se realiza desde un entorno externo no seraacute necesario

determinar el marco regulatorio del SI ya que se da por entendido que la

empresa propietaria del SI ya ha considerado estas regulaciones antes de

poner el SI a disposicioacuten de los usuarios finales)

1421 Regulacioacuten Internacional

1422 Regulacioacuten Nacional

1423 Regulacioacuten por Sector

14231 Sector Bancario Farmaceacuteutico Gubernamental etc

1424 Regulacioacuten Institucional

1425 Regulaciones de validez oficial

14251 Cumplimiento para procesos de certificacioacuten y acreditacioacuten


151 Definicioacuten de objetivos generales

152 Definicioacuten de objetivos especiacuteficos

153 Determinacioacuten del alcance de la auditoriacutea conforme a la forma de

adquisicioacuten del SI a evaluar(SI comerciales SI desarrollados a la medida)

16 Determinar los aspectos del objeto auditado que seraacuten evaluados verificados y

analizados durante el proceso de auditoriacutea

161 Cumplimiento documental

1611 Determinar los Procedimientos disentildeos manuales y formatos

requeridos del SI

16111 Considerar que si la auditoriacutea se realiza desde un entorno

externo el alcance de esta evaluacioacuten seraacute limitado a la

informacioacuten disponible

162 Requerimientos miacutenimos de seguridad conforme a la Clasificacioacuten de

Seguridad del SI auditado (ver apartado 412 de esta tesis)

1621 Considerar que si la auditoriacutea se realiza desde un entorno externo el

alcance de esta evaluacioacuten seraacute limitado a la informacioacuten disponible

163 Requerimientos miacutenimos funcionales (ver apartado 411 de esta tesis)

(Si la auditoriacutea se realiza desde un entorno externo se considera que la

funcionalidad ya ha sido probada y avalada por la empresa que lo

desarrolla puesto que ya estaacute disponible para los usuarios finales)

1631 Determinar si ya se realizo la evaluacioacuten de aspectos funcionales con

el propietario del SI usuario final o con la persona que se encargara




115



de dar el visto bueno del SI (ver apartado 42 de esta tesis)

16311 Si la evaluacioacuten funcional ya se llevo a cabo se debe

presentar la evidencia del visto bueno del propietario del SI

usuario final o persona encargada asiacute como las pruebas

funcionales realizadas al SI

16312 Si la evaluacioacuten funcional no se ha llevado a cabo seraacute

entonces necesario agendar y realizar una evaluacioacuten funcional

con la persona encargada de dar el visto bueno de la

funcionalidad del SI En esta etapa solamente se preveacute la

determinacioacuten de los puntos a considerar en esta evaluacioacuten

algunas sugerencias son las siguientes

163121 Determinar Requerimientos funcionales a evaluar

163122 Determinar Requerimientos no funcionales a evaluar

163123 Determinar Requerimientos de calidad a evaluar

163124 Determinar cualquier otro requerimiento miacutenimo funcional

a evaluar aplicable al SI diferente de los contenidos en este

apartado

164 De cumplimiento con el marco regulatorio del SI

1641 Definir los requerimientos regulatorios para el SI (conforme a la

informacioacuten obtenida en el punto 142 de este POE)

16411 Si la auditoriacutea se realiza desde un entorno externo se

considera que el cumplimiento del marco regulatorio para el SI

ya ha sido cubierto puesto que el SI ya estaacute disponible para los

usuarios finales

165 Buacutesqueda de vulnerabilidades conocidas maacutes comunes y peligrosas en los

SI(ver apartado 44 de esta tesis)


171 Disentildear y Elaborar el plan de auditoriacutea

1711 Determinar actividades que se van a realizar

1712 Conformar el grupo de auditoriacutea

1713 Determinar responsables de cada actividad

1714 Estimar los recursos materiales humanos informaacuteticos o de cualquier

otra iacutendole que se utilizaraacuten en la auditoriacutea

1715 Determinar los tiempos requeridos para cada actividad

1716 Determinar el tiempo necesario para realizar la auditoriacutea

172 Disentildear y Elaborar los programas de auditoriacutea

1721 Determinar de manera precisa las fases y etapas de la auditoriacutea

1722 Identificar concretamente los eventos que se llevaran a cabo en

cada fase y etapa de la auditoriacutea

1723 Delimitar claramente las actividades a realizar en la auditoriacutea

1724 Organizar y distribuir los recursos que seraacuten utilizados en las diferentes

actividades de la auditoriacutea




116



1725 Calcular la duracioacuten de las fases etapas actividades planeadas en

la auditoriacutea

1726 Determinar fechas de inicio y fin de las fases etapas y actividades de

auditoriacutea

173 Generar un calendario de ejecucioacuten el cual especifique la secuencia de

ejecucioacuten de cada una de las actividades de la auditoriacutea

18 Identificar y Seleccionar los meacutetodos herramientas instrumentos criterios de

evaluacioacuten metodologiacuteas de riesgo y procedimientos necesarios para ejecutar

la auditoriacutea

181 Determinar los criterios de evaluacioacuten que se utilizaraacuten en la auditoria para


1811 Establecer el procedimiento de ponderacioacuten de los puntos que seraacuten

evaluados para realizar la estimacioacuten del riesgo del SI auditado

182 Determinar las pruebas instrumentos procedimientos meacutetodos y

herramientas que se utilizaraacuten para ejecutar la auditoriacutea

183 Determinar las herramientas manuales y automatizadas que se ocuparaacuten

de apoyo a la ejecucioacuten de la auditoriacutea

184 Elaborar las pruebas instrumentos (documentos y formatos) y herramientas

necesarias para la auditoriacutea

1841 Disentildear los instrumentos y herramientas para evaluar el cumplimiento

documental (definidos en el punto 1611 de este POE)

18411 Definir criterios de evaluacioacuten y aceptacioacuten del cumplimiento

documental

1842 Disentildear las pruebas documentos y formatos para la evaluacioacuten de

los requerimientos miacutenimos de seguridad (definidos en el punto 162

de este POE)

18421 Disentildeo de Pruebas para la revisioacuten de los requerimientos

miacutenimos de seguridad especificados para el SI

18422 Definir criterios de evaluacioacuten y aceptacioacuten en la revisioacuten y

validacioacuten de los requerimientos miacutenimos de seguridad

especificados para el SI a evaluar


los requerimientos miacutenimos funcionales (definidos en el punto 163 de

este POE)


miacutenimos funcionales especificados para el SI


validacioacuten de los requerimientos miacutenimos funcionales


1844 Disentildear los instrumentos y herramientas para la evaluacioacuten de los

requerimientos regulatorios del SI (definidos en el punto 164 de este

POE)




117




validacioacuten de los requerimientos regulatorios para el SI auditado

1845 Disentildear las pruebas documentos y formatos para la buacutesqueda de

vulnerabilidades conocidas maacutes comunes y peligrosas en los

SI(definidos en el punto 165 de este POE)

18451 Disentildeo de Pruebas para la buacutesqueda de vulnerabilidades

conocidas maacutes comunes en el SI auditado

18452 Definir criterios de evaluacioacuten y aceptacioacuten en la buacutesqueda

de vulnerabilidades conocidas maacutes comunes en el SI auditado

185 Determinar los lineamientos y plantillas a utilizar para documentar las

acciones realizadas durante la auditoriacutea del SI

186 Evaluar y seleccionar la metodologiacutea de anaacutelisis de riesgos que seraacute

utilizada para estimar el riesgo del SI auditado

19 Asignacioacuten de recursos humanos financieros y materiales para la auditoriacutea

Asignacioacuten de recursos humanos informaacuteticos materiales y cualquier otro

recurso definido dentro del plan y programa de auditoriacutea

Referencias

FIPS 199

FIPS 200

NIST SP 800-53

ISO 9126

Guiacutea de Pruebas OWASP OSSTMM




118


El equipo de auditores realiza la evaluacioacuten exhaustiva del nivel de cumplimiento

de las funciones y controles implementados en el SI con respecto a los

requerimientos funcionales y de seguridad definidos para el SI de lo anterior se

logra determinar el nivel de exposicioacuten de los SI El objetivo de esta etapa es

recopilar la documentacioacuten y evidencia de auditoriacutea necesaria mediante la

aplicacioacuten de instrumentos y herramientas disentildeadas para la auditoriacutea dicha

evidencia nos permitiraacute identificar el nivel de exposicioacuten del SI auditado y con ello

proponer las medidas correctivas al SI


calendario establecido En esta fase cada integrante del equipo de auditoriacutea

debe de realizar las actividades que le corresponden conforme fueron disentildeas y

descritas en los planes programas y calendarios de ejecucioacuten de la auditoriacutea El

objetivo de estas actividades es obtener la evidencia necesaria para determinar

el grado de cumplimiento del SI con los requerimientos miacutenimos del SI conforme a

los criterios de evaluacioacuten establecidos en el marco de la auditoria

22 Identificar y elaborar los documentos que reportaraacuten los hallazgos obtenidos

de la auditoriacutea En esta fase se identifican las vulnerabilidades en el SI encontradas

y se procede a elaborar los documentos de los hallazgos obtenidos en la auditoriacutea

de seguridad en el los cuales se describen las situaciones encontradas las causas

que las originan y las posibles soluciones asiacute como los responsables de solucionar

dichas desviaciones

23 Estimar el Riesgo del SI con los hallazgos obtenidos de la auditoriacutea El propoacutesito

de esta fase es determinar si las vulnerabilidades conocidas en el SI representan

un nivel aceptable de riesgo para las operaciones activos e individuos de la

organizacioacuten La estimacioacuten del riesgo se realiza con base en la metodologiacutea de

riesgo evaluada y seleccionada en la etapa anterior

24 Elaborar el informe y dictamen preliminar de auditoriacutea El propoacutesito de esta

fase es elaborar el informe y dictamen preliminar de la auditoriacutea del SI Los

aspectos que el informe y dictamen preliminar de auditoriacutea debe contener son

Los resultados de la evaluacioacuten (es decir la determinacioacuten de la medida

en que los controles y funciones implementadas en el SI se aplican

correctamente funcionando seguacuten lo previsto y producir el resultado


119

deseado con respecto al cumplimiento de los requisitos funcionales y de

seguridad para el sistema)

Recomendaciones para corregir las deficiencias en los controles y

funciones implementadas en SI necesarias para reducir o eliminar las

vulnerabilidades identificadas en la auditoriacutea Se propone que estas

recomendaciones hechas por parte del equipo auditor sea utilizando los

estaacutendares y mejores praacutecticas de TI como son COBIT ISO 27002 NIST SP

800-53 etc

El dictamen de auditoriacutea del SI donde el equipo auditor declare

formalmente el estado de seguridad del SI basado en la evidencia

obtenida y la estimacioacuten de riesgo del SI

A la par de la elaboracioacuten del informe y dictamen de auditoriacutea se debe integrar

el paquete de evidencia de auditoriacutea obtenida de la ejecucioacuten de la auditoriacutea

del SI


involucradas para su discusioacuten El propoacutesito de esta fase es contactar al

propietario del SI y el equipo de desarrollo para presentar el informe y dictamen

preliminar de auditoriacutea de seguridad del SI auditado donde se muestran los

aspectos encontrados y el resultado de la auditoriacutea En caso de que el propietario

del SI o el equipo de desarrollo no coincidan con los aspectos encontrados y

sentildealados en los documentos se deberaacute presentar las pruebas o argumentos

validos que lo corroboren para que el equipo de auditores realice las

correcciones necesarias al informe y dictamen de auditoriacutea

25 POE propuesto para la etapa 2 Para la aplicacioacuten de la etapa de Ejecucioacuten

de la auditoriacutea y las fases y actividades relacionadas a estas se propone el uso

del siguiente POE


120

Nuacutemero de POE 2 Tiacutetulo Ejecucioacuten de la Auditoriacutea




de Ejecucioacuten de la auditoriacutea

b) Alcance Este procedimiento es utilizado para apoyar las tareas de ejecucioacuten de la

auditoriacutea mediante la ejecucioacuten de las actividades previstas en el plan y programa

de auditoriacutea generado en la etapa anterior

c) Responsable(s)

Cargo Liacuteder de Auditoriacutea



Nombre





Nombre

d) Definiciones

na


1 Herramientas y tecnologiacutea de apoyo para la buacutesqueda de vulnerabilidades y

pruebas de seguridad

2 Instrumentos pruebas y procedimientos disentildeados para auditar el SI



APROBACIOacuteN


Fecha Fecha Fecha




121



g) Procedimiento

2 Etapa 2 Ejecucioacuten de la auditoriacutea


calendario establecido (generado en el punto 173 del POE 1)

211 Evaluar el cumplimiento documental

2111 Recopilacioacuten de los Procedimientos disentildeos manuales y

documentacioacuten exigidos por la organizacioacuten (determinados en el

punto 1611)

2112 Documentacioacuten de las actividades realizadas y la evidencia

obtenida

212 Evaluar el cumplimiento de los requerimientos miacutenimos de seguridad

2121 Ejecucioacuten de Pruebas para la revisioacuten y validacioacuten de los

requerimientos miacutenimos de seguridad especificados para el SI

(disentildeadas en el punto 18421 del POE 1)


obtenida

213 Evaluar el cumplimiento de los requerimientos miacutenimos funcionales


requerimientos miacutenimos funcionales especificados para el SI



obtenida

214 Evaluar el cumplimiento de los requerimientos regulatorios del SI

2141 Recopilacioacuten de los procedimientos disentildeos manuales y


punto 1641 del POE 1)


obtenida


vulnerabilidades conocidas maacutes comunes y peligrosas en los SI

2151 Ejecucioacuten de Pruebas para la revisioacuten y validacioacuten de la buacutesqueda

de vulnerabilidades conocidas maacutes comunes y peligrosas en los SI

(definidos en el punto 18451 del POE 1)


obtenida




122



22 Identificar y elaborar los documentos de los hallazgos obtenidos de la

auditoriacutea

221 Analizar la evidencia obtenida de la auditoriacutea

222 Enlistar las vulnerabilidades encontradas en el SI

223 Determinar las causas que originaron las vulnerabilidades encontradas

224 Sugerir las posibles soluciones a las vulnerabilidades encontradas


231 Estimar el Riesgo Real del SI conforme a los hallazgos obtenidos de la

auditoriacutea y a la aplicacioacuten de la metodologiacutea de analisis de riesgos

seleccionada (definida en el el punto 186 de este POE)

232 Documentar el nivel de Riesgo estimado para el SI


241 Elaboracioacuten del informe y dictamen preliminar de auditoriacutea

2411 Elaborar el documento correspondiente al informe y dictamen

preliminar incluir los resultados obtenidos en los puntos 22 y 23 de

este POE asiacute como una presentacioacuten formal del trabajo de

auditoriacutea realizado

24111 Incluir un resumen de los hallazgos obtenidos en el SI

evaluado (generado en el punto 22 de este POE)

24112 Incluir la estimacioacuten del riesgo del SI calculado con base en

los hallazgos obtenidos de la auditoriacutea

24113 Incluir el conjunto de recomendaciones para el SI utilizando

estaacutendares mejores praacutecticas en TI y procedimientos

organizacionales

24114 Incluir el dictamen preliminar y evaluacioacuten del riesgo del

SI(opinioacuten del equipo de auditoriacutea con respecto a los

resultados obtenidos)

2412 Integrar el paquete de evidencia de auditoriacutea obtenida de la

ejecucioacuten de la auditoriacutea del SI



251 Comunicar y lograr el comuacuten acuerdo respecto a los hallazgos

encontrados en la auditoriacutea

252 Documentar los resultados de la revisioacuten del informe y dictamen

preliminar

Referencias

COBIT ISO 2702 NIST SP 800-53

Documentacioacuten teacutecnica y especializada para auditar la seguridad del SI

Guiacuteas y procedimientos internos para determinar el caacutelculo del riego del SI




123


En esta etapa de la auditoriacutea de seguridad el equipo de auditores realiza la

confeccioacuten y elaboracioacuten del informe y dictamen final de auditoriacutea Se determina

la decisioacuten de operacioacuten del SI con base en la evidencia obtenida y la

determinacioacuten del nivel de riesgo del SI obtenidos de la fase anterior De igual

manera se contempla la elaboracioacuten del plan de mejora del SI el cual define una

serie de tareas y actividades para eliminar o reducir el nuacutemero de

vulnerabilidades encontradas en la auditoriacutea del SI Esta etapa concluye con la

entrega del informe de auditoriacutea a los propietarios del SI y al equipo de desarrollo

a cargo del SI

31 Tomar la decisioacuten de operacioacuten del SI En esta fase el Comiteacute autorizador de SI

determina con base en la evidencia y documentacioacuten obtenida criterios de

evaluacioacuten definidos grado de cumplimiento de los requerimientos miacutenimos del SI

y del valor estimado del Riesgo del SI si este es apto para operar


El SI auditado cumple con los requerimientos miacutenimos del SI por lo que se

autoriza la operacioacuten del SI

El SI auditado no cumple con los requisitos miacutenimos por lo que no se

autoriza la operacioacuten del SI y el SI es regresado al equipo de desarrollo para

corregir las vulnerabilidades encontradas y dar seguimiento a las

recomendaciones realizadas por el equipo auditor

El SI auditado no cumple con los requisitos miacutenimos del SI pero es una

prioridad para la organizacioacuten que el SI sea puesto en produccioacuten por lo

que se emite una autorizacioacuten condicionada es decir que el SI puede ser

puesto en operacioacuten bajo ciertas condiciones y limitaciones

32 Elaboracioacuten del informe y dictamen final de auditoriacutea En esta fase se prepara

el informe y dictamen final de auditoriacutea de seguridad para lo cual se hacen las

correcciones y adaptaciones al informe y dictamen preliminar realizado en la

etapa anterior

El informe y dictamen final de auditoriacutea se compone de los siguientes elementos



correctamente funcionando seguacuten lo previsto y producen el resultado


124





vulnerabilidades identificadas en la auditoriacutea



obtenida y la estimacioacuten de riesgo del SI el cual culmina con la decisioacuten

de autorizacioacuten del SI tomada por el comiteacute autorizador de SI

De igual manera se prepara el documento oficial de autorizacioacuten del SI auditado

el cual contiene el resultado de la decisioacuten de autorizacioacuten del SI auditado

33 Elaborar el Plan de Mejora del SI El equipo de auditoriacutea deberaacute elaborar el

Plan de mejora donde se describan las medidas a adoptar o previstas por el

propietario y equipo de desarrollo a cargo del SI para corregir las deficiencias en

los controles funcionales y de seguridad implementados en el SI en el que se

determine la forma en que las vulnerabilidades seraacuten abordadas (es decir

reducir eliminar o aceptar las vulnerabilidades)

El plan de mejora identifica las siguientes actividades

Tareas que necesitan llevarse a cabo

Recursos necesarios para llevar a cabo los actividades descritas en el plan

Fechas previstas de finalizacioacuten de las actividades y Plan de mejora

34 Presentar el informe y dictamen final de auditoriacutea En esta fase se presenta

formalmente el informe y dictamen final de auditoriacutea al propietario del SI equipo

de desarrollo y comiteacute autorizador de SI Tambieacuten se debe incluir el paquete de

evidencia obtenida y el Plan de Mejora elaborado

A partir de este punto pueden ocurrir 2 situaciones


ldquoautorizado condicionadordquo (SAC) la siguiente etapa de la metodologiacutea de

auditoriacutea es la de Monitoreo de cumplimiento (etapa 4)

Si la decisioacuten de autorizacioacuten del SI es ldquono autorizado para operardquo(NAO) el

propietario del SI tendraacute que realizar las actividades contenidas en el Plan

de Mejora del SI en la forma y tiempo acordado Una vez implementadas

las acciones del Plan de Mejora del SI el propietario del SI deberaacute solicitar

nuevamente una auditoriacutea de seguridad de su SI el origen de esta


125

auditoriacutea seraacute ldquoImplementacioacuten de mejorasrdquo

Una tarea crucial de esta etapa y en general del modelo de auditoriacutea es

resguardar y mantener disponible a otros usuarios autorizados los informes y planes

de mejora elaborados de tal manera que los usuarios autorizados puedan

consultar los aspectos auditados en SI similares y no repetir errores y

vulnerabilidades ya conocidas

35 POE Propuesto para la etapa 3 Para la aplicacioacuten de la etapa de dictamen


del siguiente POE


126

Nuacutemero de POE 3 Tiacutetulo Dictamen de Auditoriacutea




de Dictamen de Auditoriacutea

b) Alcance Este POE pretende proporcionar la documentacioacuten necesaria (evidencia

obtenida y la determinacioacuten del nivel de riesgo del SI) al Comiteacute autorizador de SI

para que se tome la decisioacuten de operacioacuten del SI auditado se genere el informe y

dictamen de auditoriacutea y el plan de mejora

c) Responsable(s)




Nombre





Nombre

d) Definiciones

Comiteacute Autorizador de SI Es un oacutergano conformado como miacutenimo por el liacuteder de la

auditoriacutea los responsables del aacuterea de seguridad de la informacioacuten y un representante

ejecutivo de la organizacioacuten el cual pueda dar respaldo a la decisioacuten tomada


1 Editores de Texto

2 Herramienta de planificacioacuten

3 Plantillas de Informes y Plan de Mejora



APROBACIOacuteN


Fecha Fecha Fecha




127



g) Procedimiento

3 Etapa 3 Dictamen de la auditoriacutea


311 Ubicar y convocar al comiteacute Autorizador de SI

3111 Preparar paquete para autorizar SI

3112 Evidencia y documentacioacuten obtenida de la auditoriacutea

312 Estimacioacuten del Riesgo del SI

313 Consenso y toma de decisioacuten de operacioacuten del SI auditado

3131 autorizado para operar (APO)

3132 -no autorizado para operar NAO)

3133 autorizado condicionado (SAC)

314 Documentar la decisioacuten de operacioacuten del SI auditado


321 En caso de ser necesario hacer las correcciones necesarias al informe y

dictamen preliminar de auditoriacutea

322 Agregar al informe y dictamen final de auditoriacutea la decisioacuten de

autorizacioacuten del SI auditado

323 Agregar al informe y dictamen final de auditoriacutea la evidencia obtenida

como resultado de la auditoriacutea

3231 Incluir la evidencia de la ejecucioacuten de las pruebas instrumentos y

resultado de las herramientas utilizadas para realizar la auditoriacutea

3232 Incluir los POE desarrollados los cuales fungen como evidencia de

auditoriacutea

33 Elaborar un plan de mejora para el SI

331 El liacuteder de auditoriacutea y el propietario del SI deberaacuten planificar las tareas

necesarias para dar seguimiento a las recomendaciones hechas por el

equipo auditor para eliminar o reducir las vulnerabilidades encontradas

3311 Determinar las tareas a realizar

3312 Determinar a los responsables de cada tarea

3313 Determinar los recursos que seraacuten necesarios para la ejecucioacuten de

cada tarea

3314 Estimar fechas de realizacioacuten para cada tarea

3315 Estimar fechas de inicio y fin del Plan de Mejora del SI




128




341 Entregar el informe y dictamen final de auditoriacutea el Plan de Mejora y el

paquete de evidencia obtenida a los propietarios del SI comiteacute

autorizador del SI y equipo de desarrollo

342 Resguardar la informacioacuten generada del proceso de auditoriacutea del SI

auditado

3421 Determinar los usuarios autorizados que pueden tener acceso a

esta informacioacuten

Referencias

ISO 27002 ISO 9126 NIST SP 800-53 COBIT


Estaacutendares Mejores Praacutecticas y Procedimientos internos para proponer las

acciones y controles necesarios en el Plan de Mejora del SI




129


El monitoreo de cumplimiento se deriva de que el proceso de auditoriacutea ha

concluido con la decisioacuten de operacioacuten del SI y de aquiacute en adelante se deberaacute

iniciar un nuevo proceso de mejora continua en el cual las acciones realizadas

contribuyan al continuo perfeccionamiento del SI

El propoacutesito de esta etapa es proporcionar la declaracioacuten formal y por escrito de

la supervisioacuten y seguimiento de las actividades definidas en el Plan de mejora

para el SI auditado En esta etapa se incluye la programacioacuten de las auditoriacuteas

subsecuentes del SI considerando que el medio de operacioacuten del SI es

cambiante En el mismo sentido se definen las actividades y responsabilidades

del monitoreo continuo a los controles de seguridad implementados en el SI de

manera que aseguren que los controles implementados son eficaces a lo largo

del tiempo

41 Seguimiento de las acciones establecidas en el Plan de Mejora Esta fase se

define y estructura el seguimiento a las acciones concretas descritas en el Plan de

Mejora previstas para corregir las deficiencias en los controles de seguridad para

reducir o eliminar las vulnerabilidades encontradas en la auditoriacutea de seguridad

del SI

42 Programar auditoriacuteas subsecuentes Debido a que el entorno de operacioacuten del

SI no es constante y a que las amenazas de los SI y sus deficiencias crecen diacutea

con diacutea es necesario realizar auditoriacuteas subsecuentes para determinar el nivel de

exposicioacuten del SI a lo largo del tiempo En el mismo sentido se deberaacuten definir las

condiciones especiales bajo las cuales se requeriraacute una auditoriacutea subsecuente

para refrendar la decisioacuten de operacioacuten del SI o la anulacioacuten de la decisioacuten en el

caso de que los controles de Seguridad implementados ya no sean eficaces

43 Monitorear continuamente el cumplimiento de los Controles de Seguridad del

SI En esta fase se deberaacute definir las acciones necesarias para monitorear el nivel

de cumplimiento de los controles y funciones implementados en el SI de manera

que aseguren que los controles implementados son eficaces a lo largo del

tiempo y cuando ya no sean eficaces daraacuten pauta a tomar acciones inmediatas

como una nueva auditoriacutea de seguridad para perfeccionar el SI

44 POE Propuesto para la etapa 4 Para la aplicacioacuten de la etapa del monitorear

cumplimiento del SI y las fases y actividades relacionadas a estas se propone el

uso del siguiente POE


130

Nuacutemero de POE 4 Tiacutetulo Monitorear Cumplimiento del SI




de monitoreo del cumplimento del SI auditado

b) Alcance Este POE pretende dar soporte al definicioacuten y documentacioacuten de

actividades relacionas con el seguimiento de la implementacioacuten del plan de mejora

de igual manera apoya asentando formalmente las bases del monitoreo continuo

del cumplimiento de los controles implementados por el SI y finalmente define

documentar y planifica las auditoriacuteas subsecuentes de seguridad al SI considerando

que el ambiente de operacioacuten es cambiante

c) Responsable(s)




Nombre

Cargo Propietario del SI auditado

Habilidad Coordinar las actividades y tareas destinadas a la adquisicioacuten

implementacioacuten y correcto funcionamiento del SI adquirido Asiacute como la gestioacuten de

los recursos informacioacuten y elementos del SI a su cargo

Nombre

d) Definiciones

na


1 Editores de Texto



ser resguardada ya sea de manera fiacutesica o digital por el equipo de auditores y por

los duentildeos del SI

APROBACIOacuteN


Fecha Fecha Fecha




131



g) Procedimiento

4 Etapa 4 Monitorear Cumplimiento del SI


411 Seguimiento de los controles y correcciones implementadas como

resultado del Plan de Mejora

4111 Determinar el personal a cargo del seguimiento y las fechas de

Revisioacuten de las correcciones e implementaciones realizadas

sobre el SI

4112 Determinar los lineamientos sobre los que se determinaraacute si los

controles y correcciones implementadas en el SI cumplen con los

objetivos y tareas establecidas en el Plan de Mejora

4113 Definir documentacioacuten requerida de las actividades derivadas

del seguimiento del Plan de Mejora

4114 Generacioacuten y entrega del Informe de seguimiento del SI donde

se describan las actividades realizadas para atender el Plan de

Mejora del SI y los resultados obtenidos


421 Planificar las auditoriacuteas subsecuentes del SI

4211 Determinar posibles fechas de auditoriacuteas subsecuentes

4212 Determinar responsables de esta actividad para dar el

seguimiento apropiado

42121 Determinar condiciones especiales sobre las cuales se

puede hacer una peticioacuten de auditoriacutea extraordinaria para

refrendar la decisioacuten de operacioacuten del SI

4213 Determinar aspectos adicionales que seraacuten presentados en una

auditoriacutea subsecuente

42131 Informes de seguimiento del SI

42132 Informes del monitoreo continuo de los controles de

Seguridad implementados en el SI

42133 Documentacioacuten adicional




132



43 Monitorear continuamente el cumplimiento de los Controles de Seguridad del SI

431 Determinar responsables del seguimiento de los Controles de Seguridad

implementados en el SI

432 Definir documentacioacuten requerida de las actividades derivadas del

seguimiento del Plan de Mejora

433 Generacioacuten y entrega del Informe del monitoreo continuo de los controles

de seguridad implementados en el SI

Referencias

ISO 27002

ISO 9126

COBIT




133

56 Recomendaciones para aplicar el Modelo Propuesto

El modelo de auditoriacutea de seguridad de SI que se propone debe ser considerado

como un proceso interno de la organizacioacuten que lo implementa Partiendo de

este punto existen algunas consideraciones previas que cualquier organizacioacuten

debe considerar antes de la ejecucioacuten del modelo de auditoriacutea de seguridad de

SI propuesto

1 Integrar formalmente el aacuterea responsable de auditar la seguridad de los SI

independiente del aacuterea de disentildeo y desarrollo

2 Determinar los lineamientos que guiaraacuten la forma de proceder del aacuterea

responsable de auditar la seguridad de los SI

3 Integrar el comiteacute autorizador del SI y definir las responsabilidades de este

4 Determinar los lineamientos que guiaraacuten la forma de proceder del comiteacute

autorizador del SI

5 Documentar dentro de los procedimientos organizacionales del aacuterea de

Sistemas la necesidad y obligatoriedad de realizar una auditoriacutea de seguridad

de los SI antes de su puesta en produccioacuten como el medio para obtener la

bdquoautorizacioacuten para operar el SI‟

6 Concientizar a los propietarios del SI de la importancia y obligatoriedad de

realizar la auditoriacutea de seguridad de sus SI antes de su puesta en produccioacuten

aceptando todas las consecuencias que se deriven de ella (considerar dentro

de su planeacioacuten las consideraciones en tiempo y recursos para gestionar el

proceso de auditoriacutea ejecucioacuten de la auditoriacutea correcciones al SI derivados

de la auditoriacutea etc)

7 Definir y documentar los procedimientos organizacionales para clasificar la

Informacioacuten y los SI (revisar punto 43 de esta tesis) ya que con base en ello se

definiraacute la severidad y extensioacuten de los aspectos a evaluar y se haraacute el

conjunto de recomendaciones para el SI

8 Definir conforme a la clasificacioacuten de la informacioacuten y los SI el conjunto de

requerimientos funcionales para cada clasificacioacuten de la informacioacuten y SI

(bajo moderado alto)


requerimientos de seguridad para cada clasificacioacuten de informacioacuten y SI



134

10 Difundir en la organizacioacuten la existencia del proceso de auditoriacutea y

concientizar al personal de la importancia en la consecucioacuten de los objetivos

organizacionales

11 Mantener disponibles los resultados e informes de la auditoriacutea ya que esto

contribuye en la mejora continua de los SI organizacionales y permiten la

comparacioacuten entre SI

12 Revisar y redefinir constantemente los Procedimientos Organizaciones Bien

Conocidos (POBC) que dan soporte al proceso de auditoriacutea de seguridad


135

57 Aplicacioacuten de la metodologiacutea propuesta en la auditoriacutea de

seguridad de un SI

Como se mencionoacute anteriormente el modelo de auditoriacutea presentado en la tesis

es un procedimiento interno por lo que no ha sido posible implementarlo dentro

de una organizacioacuten Idealmente la metodologiacutea propuesta deberiacutea ser utilizada

bajo el mismo contexto

En este apartado se realizoacute una prueba de la metodologiacutea para un SI comercial

de forma que se pueda apreciar la factibilidad y efectividad de las fases

propuestas por la metodologiacutea

Se ha planteado un escenario ficticio ya se considera que esta auditoriacutea se lleva

de manera interna

Auditoriacutea de Seguridad a un navegador comercial ldquoMozilla Firefoxreg 3613rdquo

La empresa ldquoMi empresardquo ha utilizado desde hace algunos antildeos el navegador

Mozilla Firefoxreg como el navegador autorizado dentro de la organizacioacuten

Recientemente el aacuterea de informaacutetica solicitoacute una auditoriacutea de seguridad al aacuterea

de Auditoriacutea de Seguridad para el navegador Mozilla Firefoxreg 3613 (uacuteltima

versioacuten en espantildeol) para determinar el nivel de exposicioacuten del mismo y determinar

si es buena opcioacuten seguir utilizaacutendolo o sustituirlo por otro navegador

Se utilizoacute la metodologiacutea planteada en esta tesis para auditar la seguridad del

navegador Mozilla Firefoxreg En el Apeacutendice G se muestra el llenado de cada uno

de los POE considerados para cada etapa de la metodologiacutea

Resultados Obtenidos de la Auditoriacutea

Se analizoacute la evidencia obtenida de la auditoriacutea entre los que se encuentran

reportes de seguridad emitidos por los propietarios de Mozilla Firefoxreg Las

vulnerabilidades reportadas para Mozilla Firefoxreg se agrupan respecto a su

criticidad en [54]

bull Criacutetico Una vulnerabilidad puede ser utilizada para ejecutar coacutedigo

malintencionado e instalar software sin necesidad de interaccioacuten del usuario maacutes

allaacute de la navegacioacuten normal En esta clasificacioacuten se encontraron 9

vulnerabilidades reportadas para Mozilla Firefoxreg 3613


136

bull Alta La vulnerabilidad puede ser utilizada para recopilar los datos sensibles de

los sitios en otras ventanas o inyectar datos o coacutedigo en esos sitios que no

requiere maacutes que acciones de navegacioacuten normal En esta clasificacioacuten se

encontroacute 1 vulnerabilidad reportada para Mozilla Firefoxreg 3613

bull Moderado Las vulnerabilidades que de otro modo seriacutea alto o criacutetico excepto

que soacutelo funcionan en configuraciones poco comunes no por defecto o requiere

que el usuario realice complicados yo pasos poco probables En esta

clasificacioacuten se encontroacute 1 vulnerabilidad reportada para Mozilla Firefoxreg 3613

Se determinaron las causas que originaron las vulnerabilidades encontradas en

Mozilla Firefoxreg el resultado es que se debieron a un mal disentildeo de la

arquitectura del navegador y una mala codificacioacuten por parte de los

desarrolladores

El equipo de auditores sugirioacute que para eliminar las vulnerabilidades encontradas

en la versioacuten actual del navegador seraacute necesario implementar las acciones

emitidas por los propietarios de Mozilla Firefoxreg Para ello se necesita actualizar a

la brevedad posible la versioacuten actual del navegador (3613) ya que las

actualizaciones incluyen las correcciones a las vulnerabilidades encontradas y

citadas anteriormente en el punto 221 Estas actualizaciones en las versiones de

los navegadores deberaacute ser de ahora en adelante una actividad primordial por

parte de los usuarios por lo que seraacute una tarea primordial de las aacutereas de

seguridad dar el seguimiento necesario y establecer las poliacuteticas y procedimientos

para su cumplimiento

El equipo de auditores sugirioacute realizar un esfuerzo para concientizar y capacitar a

los usuarios que utilicen el navegador como parte de sus funciones de trabajo en

los aspectos relacionados a los peligros y posibles amenazas a los que se

encuentren sometidos al utilizar un navegador asiacute como acciones preventivas

para evitar cualquier tipo de violacioacuten a la seguridad y divulgacioacuten de

informacioacuten confidencial

El equipo auditor se dio a la tarea de estimar el Riesgo del navegador Mozilla

Firefoxreg con el propoacutesito de determinar si las vulnerabilidades conocidas en el

navegador representan un nivel aceptable de riesgo para las operaciones

activos e individuos de la empresa el resultado fue el siguiente


137

Requerimientos a

Evaluar Ponderacioacuten

Cumplimiento

del navegador

Total por

Aspecto

evaluado

Funcionales 20 100 20

Normativos 20 100 20

Documentales 20 100 20

Seguridad NA

Libre de

Vulnerabilidades

conocidas

40 70 28

Cumplimiento

del navegador

= 88

Para determinar el riesgo estimado del navegador se tomaron en cuenta los

siguientes aspectos

Clasificacioacuten de Seguridad (CS) del navegador La CS del navegador fue

determinada como alta lo que conllevo a los integrantes del comiteacute

autorizador a ser maacutes estrictos en la decisioacuten a tomar

Cumplimiento del Navegador El navegador cumple con un 88 de los

aspectos evaluados el restante 12 corresponde a las vulnerabilidades

encontradas al evaluar que el navegador se encontraraacute libre de

vulnerabilidades conocidas

Facilidad para implementar mejoras al navegador para reducir las

vulnerabilidades encontradas El comiteacute autorizador tomo como base las

recomendaciones realizadas por equipo auditor y determino que no existe

complejidad alguna para implementar las mejoras propuestas

Prioridad del navegador de seguir en operacioacuten dentro de la organizacioacuten

La prioridad de utilizar el navegador por los usuarios de la empresa fue

considerada como alta debido a que la mayoriacutea de las aplicaciones

informaacuteticas que son utilizadas dentro de su trabajo diario son soportadas

por el navegador

Comparativa con otros navegadores Al ser un producto comercial el

comiteacute autorizador pudo darse una idea de que otros navegadores


138

podriacutean sustituir a Mozilla Firefoxreg considerando los aspectos funcionales

documentacioacuten soporte seguridad etc Lo anterior conllevo a consultar

diversas fuentes la mayoriacutea apuntaba a que la mejor opcioacuten en

navegadores es Mozilla Firefoxreg [53]

Despueacutes de evaluar estos puntos el equipo auditor determino que

El riesgo del navegador es Medio Se considero que si bien el cumplimiento del

navegador es de un 88 las vulnerabilidades encontradas son ya conocidas y

pueden ser explotadas por usuarios con los medios conocimientos y recursos

disponibles

El comiteacute autorizador evaluoacute la evidencia obtenida de la auditoriacutea el nivel de

riesgo estimado y algunos otros aspectos como




Porcentaje de cumplimiento del Navegador

Facilidad de implementacioacuten de mejoras al navegador para reducir las



Comparativa con otros navegadores

Y se llegoacute al siguiente resultado

Considerando que la CS del navegador es alta estrictamente hablando no

deberiacutea de permitirse la operacioacuten del navegador dentro de la empresa ya que

las vulnerabilidades encontradas presentan un gran riesgo en las operaciones

procesos e individuos de la empresa Pero considerando que

La prioridad de que el navegador siga operando es alta

Auacuten con las vulnerabilidades encontradas en el navegador Mozilla Firefoxreg es

considerado como la mejor opcioacuten comparado con productos similares y

finalmente

La implementacioacuten de mejoras para el navegador puede realizarse sin

complejidad alguna para disminuir el nuacutemero de vulnerabilidades encontradas


139

De lo anterior el comiteacute autorizador ha determinado que el navegador Mozilla

Firefoxreg estaacute AUTORIZADO CONDICIONADO PARA OPERAR es decir puede seguir

operando siempre y cuando atienda las recomendaciones emitidas por el equipo

auditor en el tiempo y forma que se le especifique

Una de las actividades maacutes importantes dentro de la auditoriacutea consistioacute en la

elaboracioacuten del Plan de Mejora del navegador Para ello se requirioacute la

colaboracioacuten del liacuteder de auditoriacutea del personal del aacuterea de informaacutetica y del

personal del aacuterea de seguridad los cuales

Definieron y planificaron las tareas necesarias para dar seguimiento a las

recomendaciones hechas por el equipo auditor para eliminar o reducir las

vulnerabilidades encontradas Las tareas principales que se definieron se

componen de

Programa de actualizacioacuten continuacutea del navegador ya que gran parte de

las vulnerabilidades encontradas en un navegador son eliminadas

mediante la actualizacioacuten o instalacioacuten de versiones maacutes recientes del

navegador

Campantildeas de concientizacioacuten y capacitacioacuten a los usuarios que utilicen el

navegador como parte de sus funciones de trabajo en los aspectos

relacionados a los peligros y posibles amenazas a los que se encuentren

sometidos al utilizar un navegador asiacute como acciones preventivas para

evitar cualquier tipo de violacioacuten a la seguridad y divulgacioacuten de


Determinaron a los responsables de cada tarea

Determinaron los recursos que son necesarios para la ejecucioacuten de cada

tarea

Estimaron y determinaron fechas compromiso para la realizacioacuten de cada

tarea

Estimar fechas de inicio y fin del Plan de Mejora del SI

Finalmente la etapa del monitoreo de cumplimiento se deriva de que el proceso

de auditoriacutea ha concluido con la decisioacuten de operacioacuten del SI y de aquiacute en

adelante se deberaacute iniciar un nuevo proceso de mejora continua en el cual las

acciones realizadas contribuyan al continuo perfeccionamiento del SI


140

Para lograr el perfeccionamiento del navegador evaluado el liacuteder de la auditoriacutea

en colaboracioacuten con los responsables de las aacutereas de informaacutetica y de seguridad

realizaron la declaracioacuten formal y por escrito de las tareas de supervisioacuten y

seguimiento de las actividades definidas dentro del Plan de mejora para el

navegador programacioacuten de las auditoriacuteas subsecuentes del SI y finalmente la

definicioacuten de actividades y responsabilidades del monitoreo continuo a los

controles de seguridad implementados en el SI de manera que aseguren que los

controles implementados son eficaces a lo largo del tiempo

Conclusiones

El navegador auditado es un SI comercial por lo que al llevar a cabo la auditoriacutea

de seguridad se encontraron varias limitaciones ya que la auditoriacutea paso de ser

considerada de un contexto interno (como es el caso de los SI desarrollados a la

medida) a un contexto externo es decir solo se pudo evaluar la seguridad

desde un enfoque limitado ya que no se contoacute con informacioacuten de ciertos

aspectos considerados como ldquorestringidosrdquo por parte de los propietarios del

navegador

Dentro de la ejecucioacuten de la auditoriacutea en primera instancia se considero la

evaluacioacuten del os aspectos funcionales normativos documentales seguridad y

que el SI estuviera libre de vulnerabilidades conocidas Al ir avanzando en la

ejecucioacuten de la auditoriacutea se encontroacute con limitaciones para poder evaluar ciertos

aspectos como lo fue para el caso de los requerimientos miacutenimos de seguridad

ya que dentro de los 17 requerimientos miacutenimos a evaluar considerados por el FIPS

PUB 200 10 de ellos resultaron NO APLICABLES ya que no se contaba con la

informacioacuten necesaria para determinar su cumplimiento Por lo anterior se tuvo

que descartar a los requerimientos miacutenimos de seguridad de los aspectos a

evaluar en el navegador

Otra limitante que se encontroacute al evaluar los requerimientos miacutenimos de un SI fue

el aspecto funcional debido a que la funcionalidad como tal del navegador no

puedo ser acotada ya que el detalle de los requerimientos de usuario y de los

disentildeos funcionales no estaacuten a disposicioacuten de los usuarios finales Dada esta

situacioacuten se considero que tanto los requerimientos miacutenimos funcionales y

normativos del SI evaluado debieron evaluarse antes de ser puestos en operacioacuten

y a disposicioacuten de los usuarios finales por lo que para SI comerciales los

requerimientos miacutenimos funcionales y normativos son considerados como

cubiertos


141

Con respecto al cumplimiento de los requerimientos documentales se tuvo que

adaptar el concepto ya que al ser un SI comercial la uacutenica informacioacuten exigible

y disponible es la informacioacuten proporcionada en apoyo a la faacutecil utilizacioacuten por

parte de los usuarios finales y la informacioacuten concerniente a la instalacioacuten

requerimientos teacutecnicos y de soporte a la aplicacioacuten

De los puntos anteriores se puede concluir que para el caso de auditoriacutea de

seguridad a SI comerciales el enfoque que se le debe de dar a la auditoriacutea es el

de ldquocaja negrardquo donde no se cuenta con informacioacuten acerca de las relaciones

arquitectura flujos dependencias y demaacutes aspectos considerados como

confidenciales y de los que solo tienen conocimiento los propietarios del SI y que

por razones de seguridad no son de libre distribucioacuten

El caso ideal bajo el que tanto el modelo como la metodologiacutea propuesta se

debieran de aplicar es dentro de la comunidad de desarrollo del navegador es

decir con los propietarios Lo cual permitiriacutea evaluar todos los aspectos

considerados como miacutenimos dentro de un SI


142

143

CONCLUSIONES

Actualmente es un proceso muy comuacuten por parte de las organizaciones incluir

tecnologiacutea dentro de sus procesos productivos la mayoriacutea de estas adquisiciones

se realiza en la forma de SI que apoyen y automaticen gran parte de los procesos

del negocio Desafortunadamente estas adquisiciones de SI se realizan para un

mundo en condiciones ideales donde el entorno permanece estaacutetico a lo largo

del tiempo y los usuarios de los SI no representan alguacuten peligro alguno para la

operacioacuten normal del SI Partiendo de este uacuteltimo punto las metodologiacuteas

tradicionales de desarrollo de software utilizadas por los equipos de desarrollo

tanto internos como externos a la organizacioacuten soacutelo consideran estas condiciones

ideales no construyen SI capaces de asegurar la confidencialidad disponibilidad

e integridad de la informacioacuten y de los SI que manejan esta informacioacuten

Actualmente el mayor porcentaje de inversioacuten en seguridad es destinado a la

seguridad perimetral (infraestructura) dejando de lado a la seguridad en las

aplicaciones Paradoacutejicamente el mayor nuacutemero de vulnerabilidades en los SI se

encuentra en las propias aplicaciones y no en la infraestructura que la soporta

Asiacute como ha crecido el nuacutemero de adquisiciones de SI por parte de las

organizaciones tambieacuten los SI se han convertido en el blanco preferido por los

atacantes debido a que el mayor nuacutemero de vulnerabilidades encontradas en

estos SI son vulnerabilidades ya conocidas documentadas y ampliamente

difundidas Las publicaciones de vulnerabilidades maacutes comunes deberiacutean ser

tomadas como una herramienta de capacitacioacuten y sensibilizacioacuten para los

equipos de disentildeo y desarrollo de manera que les permita prevenir las diferentes

vulnerabilidades que afectan en la actualidad a la industria del software





144



Asiacute pues es responsabilidad tanto de propietarios desarrolladores y especialistas

de seguridad procurar y promover acciones dentro de los procesos

organizacionales que permitan reducir el nuacutemero de vulnerabilidades en las

aplicaciones desarrolladas dentro de la organizacioacuten como apoyo a los procesos

del negocio

Partiendo de la hipoacutetesis planteada hablando solamente de la seguridad en los

SI se tienen 2 opciones para dotar a los SI de seguridad la primera integrando la

seguridad como una caracteriacutestica de todo el ciclo de desarrollo de software lo

que conlleva a un cambio en la forma e ideologiacutea del trabajo de las

organizaciones y la segunda llevando una revisioacuten de seguridad exhaustiva de las

aplicaciones desarrolladas con la intencioacuten de encontrar el mayor nuacutemero de

vulnerabilidades para posteriormente hacer las sugerencias necesarias al

propietario del SI y equipo de de desarrollo para eliminar las vulnerabilidades

encontradas

Si bien parece maacutes faacutecil optar por un modelo de auditoriacutea de seguridad para

garantizar cierto grado de seguridad en las aplicaciones en realidad no lo es El

no cambiar la forma en que los equipos de desarrollo y departamentos asociados

trabajan y la concepcioacuten de la alta gerencia en la forma de adquirir los SI que

apoyen sus procesos a la larga trae consigo un mayor gasto en recursos esfuerzo

y tiempo derivados de la correccioacuten y en ocasiones el redisentildeo del SI La mayoriacutea

de las veces las deficiencias encontradas resultan de un mismo origen ldquoel

desconocimiento de las implicaciones y praacutecticas de seguridad por parte de los

equipos de trabajordquo

Sin duda alguna la opcioacuten ideal para dotar seguridad a los SI es mediante la

adopcioacuten de una metodologiacutea de CVDS Seguro de tal manera que el aspecto

de seguridad sea visto como parte integral del ciclo de vida de desarrollo de

software y no solo como parte final del proceso de desarrollo Desgraciadamente

este cambio no se logra de un diacutea para otro este se debe llevar a cabo de

manera gradual ya que la mayoriacutea de las organizaciones auacuten no cuentan con la

madurez tecnoloacutegica y cultura organizacional necesaria que les permita la

implementacioacuten de este modelo de desarrollo Los principales retos a los que la

adopcioacuten de un CVDS dentro de una organizacioacuten se enfrenta son los siguientes




145



Escaso compromiso por parte de la alta gerencia con respecto a las






Escasa sensibilizacioacuten y capacitacioacuten de la gerencia y equipo de liderazgo

de la organizacioacuten en los temas de seguridad informaacutetica lo que deriva en

la incomprensioacuten del incremento en tiempo recursos y esfuerzos derivado

de las acciones planeadas al incluir seguridad en los SI

Escaso entrenamiento en seguridad de los profesionales de TI no se

analiza disentildea y programa pensando en seguridad





desarrollo





Se requiere tiempo y esfuerzo para que una organizacioacuten absorba

cambios y maacutes cuando estos se reflejan en sus procesos internos y cultura

organizacional

Resistencia al cambio por parte de los propietarios de los SI y aacutereas de

disentildeo y desarrollo debido al trabajo adicional que conlleva el

implementar acciones de seguridad en cada una de las etapas del ciclo

de vida comparado con los tradicionales procesos de desarrollo

Auacuten se requiere mucho tiempo recursos esfuerzo trabajo de concientizacioacuten y

capacitacioacuten por parte de las organizaciones para lograr el cambio en la manera

de adquirir analizar disentildear desarrollar y probar los SI Pasaraacute todaviacutea alguacuten


146

tiempo para que las organizaciones integren totalmente el CVDS Seguro en sus

procesos de desarrollo de SI mientras tanto el uso de un modelo de auditoriacutea de

seguridad de SI seguiraacute siendo una buena y atractiva opcioacuten E incluso en un

futuro cuando las organizaciones hayan logrado implementar totalmente el

CVDS Seguro en sus procesos internos de desarrollo seriacutea importante

complementar y evaluar el resultado final de este proceso de CVDS Seguro con

la ejecucioacuten perioacutedica de auditoriacuteas de seguridad las cuales determinen el nivel

de exposicioacuten del SI desarrollado Es en este uacuteltimo punto donde entra en accioacuten

el modelo de auditoriacutea propuesto en esta tesis

No existe un modelo de auditoriacutea uacutenico y valido para todas las organizaciones la

seleccioacuten e implementacioacuten de estos modelos dependeraacuten de las

caracteriacutesticas necesidades infraestructura y reglas de negocio en cada

organizacioacuten El modelo de auditoriacutea propuesto en esta tesis centra su

importancia en la definicioacuten de los POBC los cuales reflejaraacuten e iraacuten acorde a la

cultura prioridades negocio y necesidades de la organizacioacuten que las define e

implementa por lo que es de vital importancia que los POBC sean definidos

formalmente antes de realizar cualquier proceso de auditoriacutea de SI Debido a que

los POBC son la base del proceso de auditoriacutea estos deberaacuten estar en continua

valoracioacuten y redefinicioacuten de manera que puedan responder a los cambios del

entorno a traveacutes del tiempo y ser fortalecidas con las lecciones aprendidas

recordando que el ambiente de operacioacuten de los SI organizacionales no es

constante

Debe ser una tarea primordial de cualquier organizacioacuten definir difundir y vigilar

el cumplimiento de poliacuteticas que impulsen la evaluacioacuten de los requerimientos

miacutenimos de un SI antes de que este sea adquirido o puesto en operacioacuten dentro

de la organizacioacuten de tal manera que se garantice la confidencialidad

integridad y disponibilidad de la informacioacuten que se maneja

Un punto muy importante de los modelo de auditoriacutea de seguridad es que

contribuye en la mejora continua de los SI organizacionales encontrando el

mayor nuacutemero de vulnerabilidades en el SI antes de que este sea puesto en

operacioacuten lo que permite corregir esta serie de vulnerabilidades conocidas antes

de que sean explotadas Como parte de la mejora continua del proceso de

desarrollo de SI organizacionales debe ser una tarea crucial del aacuterea responsable

de auditar la seguridad de los SI tener informacioacuten disponible y actualizada

acerca de las vulnerabilidades con mayor incidencia en sus SI asiacute como la forma

de resolver estas posibles vulnerabilidades con el fin de robustecer su SI y adoptar

las recomendaciones hechas para SI similares


147

A pesar de la aplicacioacuten del CVDS Seguro durante el desarrollo yo una auditoriacutea

de seguridad las praacutecticas de desarrollo maacutes avanzadas no consideran que se

pueda tener una SI libre de vulnerabilidad de seguridad Incluso aunque el

proceso de desarrollo pudiera eliminar todas las deficiencias de seguridad con el

transcurso del tiempo se descubririacutean nuevos ataques y el software considerado

seguro pasariacutea a ser vulnerable Por tanto los equipos de desarrollo de auditoriacutea

y de seguridad deben prepararse y estar en continua actualizacioacuten para hacer

frente a las nuevas amenazas que atenten a los SI y con ello comprometer la

informacioacuten y recursos asociados a estos


148

149

TRABAJOS A FUTURO

Implementar el modelo de auditoriacutea propuesto dentro de una organizacioacuten

como un procedimiento de auditoriacutea interno

Integrar al modelo el uso de meacutetricas que permitan evaluar de el nivel de

exposicioacuten de los SI

A la par los trabajos futuros en el aacuterea de seguridad en aplicaciones

deberaacuten encaminarse hacia la implementacioacuten de modelos de CVDS

Seguro es decir implementar modelos de CVDS que incluyan

consideraciones de seguridad en cada una de las fases del ciclo de vida


150

151

APEacuteNDICES

APEacuteNDICE A GENERALIDADES DE LOS SISTEMAS DE INFORMACIOacuteN

Sistema

Ian Sommerville [10] define un sistema como un conjunto de componentes inter-

relacionados trabajando conjuntamente para un fin comuacuten El sistema puede

incluir software dispositivos mecaacutenicos y eleacutectricos hardware y ser operado por

gente Los componentes del sistema son dependientes de otros componentes

De lo anterior se define un sistema como un conjunto de elementos

interrelacionados orientados a lograr un fin comuacuten Un sistema puede formar

parte de uno maacutes general que seriacutea su entorno yo estar formado por otros

sistemas lo que comuacutenmente llamamos subsistemas

Informacioacuten

Se puede definir a la informacioacuten como un conjunto de datos ordenados y

sistematizados que proporciona significado o sentido de las cosas

Sistemas de informacioacuten

Fernando Espinosa [11] define un sistema de informacioacuten como un conjunto de

procedimientos interrelacionados que forman un todo es decir obtiene procesa

almacena y distribuye informacioacuten datos manipulados para apoyar la toma de

decisiones y el control en una organizacioacuten Los elementos interactuacutean entre si

con el fin de apoyar las actividades de las empresas negocios u organizaciones

El NIST [12] define un sistema de informacioacuten como un conjunto discreto de

recursos de informacioacuten organizados para la recoleccioacuten procesamiento

mantenimiento uso diseminacioacuten o destruccioacuten de la informacioacuten

De las definiciones anteriores podemos decir que un sistema de informacioacuten es un

conjunto de elementos interrelacionados con el fin de obtener procesar

almacenar administrar formatear difundir y en determinado momento destruir la

informacioacuten procesada


Apeacutendice A

152

En el portal de la Red Nacional de Venezuela [13] como se aprecia en la figura 3

en un sistema de informacioacuten intervienen

Personas

Datos

Procedimientos

Hardware

Software

Fuente Red Escolar Nacional de Venezuela Sistemas de Informacioacuten

httpwwwrenaeduvecuartaEtapaInformaticaTema10html

Fig 3 Componentes de un sistema de Informacioacuten

Un sistema de Informacioacuten pude descomponerse en 4 subsistemas funcionales

Dos subsistemas internos

Tratamiento de la informacioacuten

Almacenamiento


Apeacutendice A

153

Dos subsistemas de enlace con el entorno

Obtencioacuten de datos

Salida de datos

El almacenamiento de los datos se refiere baacutesicamente al almacenamiento de

programas estructuras de datos archivos y bases de datos

El tratamiento de la informacioacuten consiste en recibir informacioacuten de entrada y bajo

la ejecucioacuten de ciertos procesos generar informaciones a la salida en forma de

resultados

La obtencioacuten de datos se refiere a la recepcioacuten de datos proporcionados por el

usuario del sistema o por alguacuten otro subsistema con el que se tenga

comunicacioacuten

La salida de datos se refiere a la transformacioacuten formateo y distribucioacuten de los

datos almacenados o resultantes de un tratamiento en una salida

Clasificacioacuten de los sistemas de informacioacuten


los sistemas de informacioacuten se han tornado aceleradamente maacutes especializados

dando origen a distintos sistemas de informacioacuten Los sistemas componen una

piraacutemide sirviendo de apoyo esencialmente a alguno de los niveles jeraacuterquicos

de la organizacioacuten

En la figura 4 se puede apreciar la clasificacioacuten de los sistemas de informacioacuten

conforme al nivel jeraacuterquico que dan soporte seguacuten la Red Escolar Nacional de

Venezuela [13]


Apeacutendice A

154



Fig 4 Categoriacuteas de los sistemas de informacioacuten organizacionales

Sin importar la clasificacioacuten a la que pertenezcan los sistemas de informacioacuten o la

forma de adquisicioacuten todos ellos convergen en que aportan valor a la

organizacioacuten

Seguridad

El Instituto Nacional de Estadiacutestica y Geografiacutea [14](INEGI) define seguridad como

aquellas reglas teacutecnicas yo actividades destinadas a prevenir proteger y

resguardar lo que es considerado como susceptible de robo peacuterdida o dantildeo ya

sea de manera personal grupal o empresarial

De lo anterior se puede definir a la seguridad como todas aquellas medidas

encaminadas para proteger y salvaguardar lo(s) activo(s)

La seguridad debe ser tomada como una caracteriacutestica de cualquier sistema que

nos indica que ese sistema estaacute libre de todo peligro dantildeo o riesgo


Apeacutendice A

155

Seguridad de la Informacioacuten

ISO en su norma 7498 define la seguridad de la informacioacuten como una serie de

mecanismos que minimizan la vulnerabilidad de bienes y recursos en una

organizacioacuten donde un bien se define como algo de valor y la vulnerabilidad se

define como la debilidad que se puede explotada [15]

ISOIEC en su norma 27002 define la seguridad de la informacioacuten como la

preservacioacuten de la confidencialidad la integridad y la disponibilidad de la

informacioacuten pudiendo ademaacutes abarcar otras propiedades como la

autenticidad la responsabilidad la fiabilidad y el no repudio[16]

El NIST define la seguridad de la informacioacuten como la proteccioacuten de los sistemas

de informacioacuten y la informacioacuten del acceso uso divulgacioacuten alteracioacuten

modificacioacuten o destruccioacuten con el fin de proteger la confidencialidad integridad

y disponibilidad [12]

De lo anterior podemos definir la seguridad informaacutetica como una serie de

mecanismos que minimizan la vulnerabilidad de bienes y recursos de una

organizacioacuten para preservar la confidencialidad integridad y disponibilidad de la

informacioacuten

Sistemas de informacioacuten seguros

Con base a los conceptos definidos anteriormente de seguridad sistemas de

informacioacuten y seguridad de la informacioacuten se puede definir un SI seguro como

Un SI que garantiza la confidencialidad integridad y disponibilidad de los recursos

del sistema y de la Informacioacuten que maneja mediante la aplicacioacuten de controles

de seguridad derivados del previo establecimiento de los requerimientos miacutenimos

de seguridad a satisfacer

La confidencialidad se refiere a que los objetos (informacioacuten moacutedulos recursos

etc) de un sistema han de ser accedidos uacutenicamente por elementos autorizados

a ello (personas procesos etc) y que esos elementos autorizados no van a

convertir esa informacioacuten en disponible para otras entidades

La integridad se refiere a que los objetos soacutelo pueden ser modificados o

eliminados por elementos autorizados y de una manera controlada

La disponibilidad se refiere a que los objetos del sistema tienen que permanecer

accesibles a elementos autorizados y en el tiempo esperado


Apeacutendice A

156

157

APEacuteNDICE B ISO 17799ISO 27002

La norma ISOIEC 27002 (resultante de la norma ISOIEC 17799) es una

compilacioacuten de las mejores praacutecticas de seguridad en TI aplicables a las empresas

y organizaciones de cualquier tamantildeo o cualquier sector de actividad

La norma se conforma de 11 dominios principales de seguridad la cual agrupa un

conjunto de objetivos de control y controles para cada uno de ellos Los 11

dominios principales son

a) Poliacutetica de Seguridad

b) Organizacioacuten de la Seguridad de la Informacioacuten

c) Gestioacuten de Activos

d) Seguridad de Recursos Humanos

e) Seguridad Fiacutesica y Ambiental

f) Gestioacuten de Comunicaciones y Operaciones

g) Control de Acceso

h) Adquisicioacuten Desarrollo y Mantenimiento de Sistemas de Informacioacuten

i) Gestioacuten de Incidentes de Seguridad de la Informacioacuten

j) Gestioacuten de la Continuidad Comercial

k) Conformidad

La norma ISO indica los objetivos de seguridad que deben lograrse pero no

describe los procesos de gestioacuten que deben aplicarse


Apeacutendice B

158

159

APEacuteNDICE C COBIT DS5 GARANTIZAR LA SEGURIDAD DE LOS

SISTEMAS


incluye los siguientes objetivos de control especiacuteficos [29]

DS51 Administracioacuten de la seguridad de TI Administrar la seguridad de TI al nivel

maacutes apropiado dentro de la organizacioacuten de manera que las acciones de

administracioacuten de la seguridad esteacuten en liacutenea con los requerimientos del negocio

DS52 Plan de seguridad de TI Trasladar los requerimientos de informacioacuten del

negocio la configuracioacuten de TI los planes de accioacuten del riesgo de la informacioacuten

y la cultura sobre la seguridad en la informacioacuten a un plan global de seguridad de

TI El plan se implementa en poliacuteticas y procedimientos de seguridad en conjunto

con inversiones apropiadas en servicios personal software y hardware

DS53 Administracioacuten de identidad Todos los usuarios (internos externos y

temporales) y su actividad en sistemas de TI (aplicacioacuten de negocio operacioacuten

del sistema desarrollo y mantenimiento) deben ser identificables de manera

uacutenica Los derechos de acceso del usuario a sistemas y datos deben estar

alineados con necesidades de negocio definidas y documentadas y con

requerimientos de trabajo Los derechos de acceso del usuario son solicitados por

la gerencia del usuario aprobados por el responsable del sistema e

implementado por la persona responsable de la seguridad Las identidades del

usuario y los derechos de acceso se mantienen en un repositorio central Se

implementan y se mantienen actualizadas medidas teacutecnicas y procedimientos

rentables para establecer la identificacioacuten del usuario realizar la autenticacioacuten y

habilitar los derechos de acceso

DS54 Administracioacuten de cuentas del usuario Garantizar que la solicitud

establecimiento emisioacuten suspensioacuten modificacioacuten y cierre de cuentas de usuario

y de los privilegios relacionados sean tomados en cuenta por la gerencia de

cuentas de usuario Debe incluirse un procedimiento que describa al responsable

de los datos o del sistema como otorgar los privilegios de acceso Estos

procedimientos deben aplicar para todos los usuarios incluyendo administradores

(usuarios privilegiados) usuarios externos e internos para casos normales y de

emergencia Los derechos y obligaciones relacionados al acceso a los sistemas e

informacioacuten de la empresa son acordados contractualmente para todos los tipos

de usuarios La gerencia debe llevar a cabo una revisioacuten regular de todas las

cuentas y los privilegios asociados


Apeacutendice C

160

DS55 Pruebas vigilancia y monitoreo de la seguridad Garantizar que la

implementacioacuten de la seguridad en TI sea probada y monitoreada de forma pro-

activa La seguridad en TI debe ser reacreditada perioacutedicamente para garantizar

que se mantiene el nivel seguridad aprobado Una funcioacuten de ingreso al sistema

(logging) y de monitoreo permite la deteccioacuten oportuna de actividades inusuales

o anormales que pueden requerir atencioacuten

DS56 Definicioacuten de incidente de seguridad Garantizar que las caracteriacutesticas de

los posibles incidentes de seguridad sean definidas y comunicadas de forma

clara de manera que los problemas de seguridad sean atendidos de forma

apropiada por medio del proceso de administracioacuten de problemas o incidentes

Las caracteriacutesticas incluyen una descripcioacuten de lo que se considera un incidente

de seguridad y su nivel de impacto

DS57 Proteccioacuten de la tecnologiacutea de seguridad Garantizar que la tecnologiacutea

importante relacionada con la seguridad no sea susceptible de sabotaje y que la

documentacioacuten de seguridad no se divulgue de forma innecesaria es decir que

mantenga un perfil bajo Sin embargo no hay que hacer que la seguridad de los

sistemas dependa de la confidencialidad de las especificaciones de seguridad

DS58 Administracioacuten de llaves criptograacuteficas Determinar que las poliacuteticas y

procedimientos para organizar la generacioacuten cambio revocacioacuten destruccioacuten

distribucioacuten certificacioacuten almacenamiento captura uso y archivo de llaves

criptograacuteficas esteacuten implantadas para garantizar la proteccioacuten de las llaves

contra modificaciones y divulgacioacuten no autorizadas

DS59 Prevencioacuten deteccioacuten y correccioacuten de software malicioso Garantizar que se

cuente con medidas de prevencioacuten deteccioacuten y correccioacuten (en especial contar

con parches de seguridad y control de virus actualizados) a lo largo de toda la

organizacioacuten para proteger a los sistemas de informacioacuten y a la tecnologiacutea contra

software malicioso

DS510 Seguridad de la red Garantizar que se utilizan teacutecnicas de seguridad y

procedimientos de administracioacuten asociados (por ejemplo firewalls dispositivos

de seguridad segmentacioacuten de redes y deteccioacuten de intrusos) para autorizar

acceso y controlar los flujos de informacioacuten desde y hacia las redes

DS511 Intercambio de datos sensitivos Garantizar que las transacciones de datos

sensibles sean intercambiadas solamente a traveacutes de una ruta o medio confiable

con controles para brindar autenticidad de contenido prueba de enviacuteo prueba

de recepcioacuten y no rechazo del origen

161

APEacuteNDICE D CRITERIOS COMUNES DE EVALUACIOacuteN ISOIEC 15408

ISOIEC 15408

La norma ISOIEC 15408(Common criteria)[30] define un criterio estaacutendar a usar

como base para la evaluacioacuten de las propiedades y caracteriacutesticas de seguridad

de determinado producto o sistema IT Proporciona un marco comuacuten con el que

determinar los niveles de seguridad y confianza que implementa un determinado

producto en base al conjunto de requisitos de seguridad y garantiacutea que satisface

respecto a esta norma obteniendo de esa forma una certificacioacuten oficial de nivel

de seguridad que satisface

Por tanto la norma ISOIEC 15408 proporciona una guiacutea muy uacutetil a diferentes

perfiles relacionados con las tecnologiacuteas de la seguridad

Por un lado desarrolladores de productos o sistemas de tecnologiacuteas de la

informacioacuten que pueden ajustar sus disentildeos

Por otro lado consumidores que pueden conocer el nivel de confianza y

seguridad que los productos de tecnologiacuteas de la informacioacuten y sistemas le

ofrecen

En uacuteltimo lugar los evaluadores de seguridad que juzgan y certifican en

que medida se ajusta una especificacioacuten de un producto o sistema IT a los

requisitos de seguridad deseados

El ISOIEC 15408 establece los criterios de evaluacioacuten basados en un anaacutelisis

riguroso del producto o sistema IT a evaluar y los requisitos que este satisface Para

ello establece una clasificacioacuten jeraacuterquica de los requisitos de seguridad Se

determinan diferentes tipos de agrupaciones de los requisitos siendo sus

principales tipos los que vemos a continuacioacuten

Clase Conjunto de familias comparten un mismo objetivo de seguridad

Familia un grupo de componentes que comparten objetivos de seguridad pero

con diferente eacutenfasis o rigor

Componente un pequentildeo grupo de requisitos muy especiacuteficos y detallados Es el

menor elemento seleccionable para incluir en los documentos de perfiles de

proteccioacuten (PP) y especificacioacuten de objetivos de seguridad (ST)


Apeacutendice D

162

La norma ISOIEC 15408 se presenta como un conjunto de tres partes diferentes

pero relacionadas

Parte 1 Introduccioacuten y modelo general

Define los principios y conceptos generales de la evaluacioacuten de la seguridad en

tecnologiacuteas de la informacioacuten y presenta el modelo general de evaluacioacuten

Tambieacuten establece coacutemo se pueden realizar especificaciones formales de

sistemas o productos IT atendiendo a los aspectos de seguridad de la informacioacuten

y su tratamiento

- Protection Profile (PP) un conjunto de requisitos funcionales y de garantiacuteas

independientes de implementacioacuten dirigidos a identificar un conjunto

determinado de objetivos de seguridad en un determinado dominio Especifica

de forma general que se desea y necesita respecto a la seguridad de un

determinado dominio de seguridad

- Security Target (ST) un conjunto de requisitos funcionales y de garantiacuteas usado

como especificaciones de seguridad de un producto o sistema concreto

Especifica que requisitos de seguridad proporciona o satisface un producto o

sistema ya basados en su implementacioacuten

Parte 2 Requisitos Funcionales de Seguridad

Este tipo de requisitos definen un comportamiento deseado en materia de

seguridad de un determinado producto o sistema IT y se agrupa en clases

Contiene las siguientes clases

FAU- Auditoriacutea

FCO- Comunicaciones





FPR- Privacidad


Apeacutendice D

163


evaluar




Parte 3 Requisitos de Garantiacuteas de Seguridad

Este tipo de requisitos establecen los niveles de confianza que ofrecen funciones

de seguridad del producto o sistema Trata de evaluar que garantiacuteas proporciona

el producto o sistema en base a los requisitos que se satisfacen a lo largo del ciclo

de vida del producto o sistema Contiene las siguientes clases

ACM- Gestioacuten de la configuracioacuten

ADO- Operacioacuten y entrega

ADV- Desarrollo

AGD- Documentacioacuten y guiacuteas

ALC- Ciclo de vida

ATE- Prueba

AVA- Evaluacioacuten de vulnerabilidades

APE- Evaluacioacuten de perfiles de proteccioacuten (PP)

ASE- Evaluacioacuten de objetivos de seguridad (ST)

AMA- Mantenimiento de garantiacuteas

Common Criteria o ISOIEC 15408 proporciona niveles de garantiacutea (EAL) como

resultado final de la evaluacioacuten Estos consisten en agrupaciones de requisitos

vistos anteriormente en un paquete de forma que obtener cierto nivel de

garantiacutea equivale a satisfacer por parte del objeto de evaluacioacuten ciertos

paquetes de requisitos Todo proceso de evaluacioacuten comienza con la definicioacuten

del objeto a evaluar que definimos a continuacioacuten


Apeacutendice D

164

Target of Security (TOE) Documento que realiza una descripcioacuten del producto o

sistema que se va a evaluar determinando los recursos y dispositivos que utiliza la

documentacioacuten que proporciona y el entorno en el que trabaja

El principal objetivo de la norma ISOIEC 15408 como hemos visto es establecer

de forma estaacutendar un criterio de evaluacioacuten de la seguridad de los productos y

sistemas IT Ya hemos visto como la medicioacuten se realiza en base a un conjunto de

requisitos y la demostracioacuten de que eacutestos son satisfechos Esta norma nos

proporciona dos tipos diferentes de evaluacioacuten

Evaluacioacuten de Perfiles de Proteccioacuten (PP)

El objetivo de tal evaluacioacuten es demostrar que un PP es completo consistente y

teacutecnicamente soacutelido Podraacute ser utilizado como base para establecer requisitos

destinados a definir un objetivo de seguridad (ST) Herramienta uacutetil ya que permite

definir especificaciones de seguridad independientes de implementacioacuten que

pueden ser utilizadas como base de especificaciones para productos o sistemas

Evaluacioacuten de Objetivos de Evaluacioacuten (TOE)

Utilizando un objetivo de seguridad (ST) previamente evaluado como base el

objetivo de la evaluacioacuten es demostrar que todos los requisitos establecidos en el

ST se encuentran implementados en el producto o sistema IT

Respecto a los niveles de seguridad que se pueden lograr voy a tratar

resumidamente de describir cada uno de ellos a continuacioacuten

EAL 1 Functionally tested

Proporciona un nivel baacutesico de seguridad realizado a traveacutes del anaacutelisis de las

funciones de seguridad usando especificaciones informales de aspectos

funcionales de interfaz y las guiacuteas y documentacioacuten del producto o sistema IT

para entender el comportamiento de seguridad

Es aplicable cuando se requiere confianza en la correcta operacioacuten pero las

amenazas de seguridad no se contemplan como un peligro serio Este tipo de

evaluacioacuten proporciona evidencias de que las funciones de seguridad del TOE se


Apeacutendice D

165

encuentran implementadas de forma consistente con su documentacioacuten y

proporcionan una proteccioacuten adecuada contra las amenazas identificadas

EAL 2 Structurally tested

Exige ademaacutes de los requisitos del nivel anterior haber realizado una descripcioacuten

informal del disentildeo detallado haber realizado pruebas en el desarrollo en base a

las especificaciones funcionales una confirmacioacuten independiente de esas

pruebas un anaacutelisis de la fuerza de las funciones de seguridad implementadas y

evidencias de que el desarrollo ha verificado la respuesta del producto o sistema

IT a las vulnerabilidades mas comunes Requiere de la cooperacioacuten del equipo de

desarrollo que entregue informacioacuten sobre el disentildeo y resultados de pruebas Este

tipo de evaluacioacuten es adecuado en circunstancias en donde desarrolladores o

usuarios requieren cierto nivel de garantiacuteas de seguridad cuando no tienen

acceso a toda la documentacioacuten generada en la fase de desarrollo

EAL 3 Methodically tested and checked

Este nivel establece unos requisitos que obligan en la fase de disentildeo a un

desarrollo metoacutedico determinando Este nivel antildeade a los requisitos del nivel

anterior el uso de controles de seguridad en los procesos de desarrollo que

garantizan que el producto no ha sido manipulado durante su desarrollo Por

tanto se realiza un anaacutelisis de las funciones de seguridad en base a las

especificaciones funcional de alto nivel la documentacioacuten guiacuteas del producto y

los test obtenidos en la fase de prueba

EAL 4 Methodically designed tested and reviewed

Requiere ademaacutes de los requisitos del nivel anterior un anaacutelisis de vulnerabilidad

independiente que demuestre resistencia a intrusos con bajo potencial de ataque

y una especificacioacuten de bajo nivel del disentildeo de la implementacioacuten

EAL 5 Semiformally designed and tested

Representa un cambio significativo respecto al nivel anterior puesto que requiere

de descripciones semiformales del disentildeo y la arquitectura ademaacutes de completa

documentacioacuten de la implementacioacuten Ademaacutes se realiza un completo anaacutelisis de

vulnerabilidad que pruebe la resistencia frente atacantes de potencial medio y


Apeacutendice D

166

mejora los mecanismos de control para garantizar y demostrar que el producto

no es manipulado con respecto a las especificaciones durante el desarrollo

EAL 6 Semiformally verified design and tested

Antildeade respecto a los requisitos del nivel anterior un detallado anaacutelisis de las

funciones de seguridad una representacioacuten estructurada de su implementacioacuten y

semiformal demostracioacuten de la correspondencia entre las especificaciones de

alto y bajo nivel con la implementacioacuten Ademaacutes debe demostrarse con un

anaacutelisis de vulnerabilidades independiente que en el desarrollo se ha probado la

robustez de las funciones de seguridad frente a atacantes de alto potencial de

dantildeo

EAL 7 Formally verified design and tested

Es el nivel de certificacioacuten maacutes alto Debe probarse formalmente las fases de

desarrollo y prueba Ademaacutes se exige una evaluacioacuten independiente de la

confirmacioacuten de los resultados obtenidos de las pruebas para detectar

vulnerabilidades durante la fase de desarrollo asiacute como sobre la robustez de las

funciones de evaluacioacuten Ademaacutes deberaacute realizarse un anaacutelisis independiente de

vulnerabilidades para demostrar resistencia frente a un atacante de alto

potencial

La aparicioacuten de la norma ISOIEC 15408 proporciona un criterio internacional que

permite evaluar bajo criterios rigurosos y estrictos que protecciones en materia de

seguridad nos proporciona un determinado producto o sistema IT Los acuerdos

firmados por diferentes paiacuteses permiten el reconocimiento mutuo de

certificaciones realizadas en los diferentes organismos de certificacioacuten

reconocidos internacionalmente Ello facilita que los principales fabricantes de

software esteacuten evaluando sus productos para proporcionar ldquovalor antildeadidordquo en la

confianza y seguridad que en ellos se puede depositar

Estos niveles de certificacioacuten seraacuten miacutenimos exigibles para la seleccioacuten y

adquisicioacuten de software Por otro lado la aparicioacuten de diferentes perfiles de

proteccioacuten para diversos entornos de seguridad proporcionaraacute conjuntos de

especificaciones teacutecnicas que se incorporaraacuten a futuros desarrollos

proporcionando requisitos de seguridad establecidos ya en las fases de disentildeo de

productos y sistemas IT Todo ello contribuiraacute seguramente al incremento de la

calidad y seguridad de los diferentes productos y sistemas IT y por tanto de la

confianza que podraacute depositarse en ellos

167

APEacuteNDICE E FIPS PUB 199

FISMA (Federal Information Security Management Act) es una ley por la que se

decretan las medidas que deben aplicarse con el fin de asegurar los bienes y la

informacioacuten federal de los Estados Unidos

El FISMA asigna al NIST(Nacional Institute of Normal and Technology) la

responsabilidad de desarrollar las normas y procedimientos de seguridad que las

agencias gubernamentales de los EUA deben respetar con el objetivo de reforzar

el nivel de seguridad de los sistemas de informacioacuten

Estas normas se publicaron en los documentos ldquoFederal Information Processing

Standards Publicationrdquo (FIPS PUB por sus siglas en ingleacutes)

FIPS PUB 199 describe las normas para la clasificacioacuten de seguridad de la

informacioacuten federal y los Sistemas de Informacioacuten (SI) en esta publicacioacuten se

detalla la forma en que las organizaciones pueden clasificar la informacioacuten y los

SI













Un sistema de bajo impacto es un sistema de informacioacuten en la que los tres

objetivos de seguridad son bajos


Apeacutendice E

168

Un sistema de moderado impacto es un sistema de informacioacuten en los que

al menos uno de los objetivos de seguridad es moderado y sin un objetivo

de seguridad es mayor que la moderada

Y por uacuteltimo un sistema de alto impacto es un sistema de informacioacuten en

los que al menos uno de los objetivos de seguridad es alto

Este documento y otros correspondientes a PUB FIPS puede ser consultado en la

paacutegina oficial de NIST

httpcsrcnistgovpublicationsPubsFIPShtml

169

APEacuteNDICE F FIPS PUB 200






agencias gubernamentales de los Estados Unidos de America deben respetar con

el objetivo de reforzar el nivel de seguridad de los sistemas de informacioacuten



En la publicacioacuten 200 (FIPS PUB 200) se describen los requerimientos miacutenimos de

seguridad para la informacioacuten y los sistemas de informacioacuten Las exigencias de

seguridad descritas en FIPS PUB 200 cubren 17 dominios estos son

1 Control de acceso

2 Sensibilizacioacuten y formacioacuten

3 Auditoriacutea y responsabilidad

4 Evaluacioacuten de los controles

5 Gestioacuten de las configuraciones

6 Plano de continuidad

7 Identificacioacuten y autentificacioacuten

8 Gestioacuten de los incidentes

9 Mantenimiento

10 Proteccioacuten de medios

11 Proteccioacuten material y del entorno

12 Planificacioacuten

13 Acreditacioacuten

14 Evaluacioacuten de los riesgos

15 Adquisicioacuten de los sistemas y servicios

16 Proteccioacuten de los sistemas y comunicaciones

17 Integridad de los sistemas y de la informacioacuten


Apeacutendice F

170

Descripcioacuten de los dominios sugeridos por FIPS PUB 200

1- Control de acceso (AC)

Las organizaciones deben limitar el acceso de la informacioacuten del sistema a los

usuarios autorizados procesos que actuacutean en nombre de los usuarios autorizados

o dispositivos (incluyendo otros SI) y los tipos de operaciones y funciones que a los

usuarios autorizados se les permite ejecutar

2- Sensibilizacioacuten y Formacioacuten (AT)

Las organizaciones deben (i) asegurar que los administradores y usuarios de los

sistemas de informacioacuten de la organizacioacuten son conscientes de los riesgos de

seguridad asociados con sus actividades y de las leyes aplicables oacuterdenes

ejecutivas directivas poliacuteticas normas instrucciones reglamentos o

procedimientos relacionados con la seguridad de los sistemas de informacioacuten de

la organizacioacuten y (ii) asegurar que el personal de organizacioacuten estaacuten

adecuadamente capacitados para llevar a cabo sus deberes y

responsabilidades asignadas con respecto a la seguridad de la informacioacuten

3- Auditoriacutea y Rendicioacuten de Cuentas (AU)

Las organizaciones deben (i) crear proteger y conservar los registros de auditoriacutea

del SI en la medida necesaria para permitir el seguimiento anaacutelisis investigacioacuten y

presentacioacuten de informes de actividades ilegales no autorizadas o inapropiadas

del SI y (ii) asegurar que las acciones de los distintos usuarios del SI uacutenicamente

puede ser rastreado a estos usuarios para que puedan ser responsables de sus

acciones

4- Certificacioacuten Acreditacioacuten y evaluaciones de Seguridad (CA)

Las organizaciones deben (i) evaluar perioacutedicamente los controles de seguridad

en los SI de la organizacioacuten para determinar si los controles son eficaces en su

aplicacioacuten (ii) desarrollar e implementar planes de accioacuten destinado a corregir las

deficiencias y reducir o eliminar las vulnerabilidades en los SI de la organizacioacuten

(iii) autorizar el funcionamiento de los SI de la organizacioacuten y las conexiones con SI

asociados y (iv) supervisar los controles de seguridad del SI de manera continua

para garantizar la continua efectividad de los controles


Apeacutendice F

171

5- Gestioacuten de la Configuracioacuten (CM)

Las organizaciones deben (i) establecer y mantener las configuraciones de base

y los inventarios de los SI de la organizacioacuten (incluyendo hardware software

firmware y documentacioacuten) a lo largo de los ciclos de vida de desarrollo del

sistema respectivo y (ii) establecer y aplicar los valores de configuracioacuten de

seguridad para los productos de tecnologiacutea de la informacioacuten empleada en los SI


6- Planes de Contingencia (CP)

Las organizaciones deben establecer mantener e implementar eficazmente los

planes de respuesta a emergencia las operaciones de backup y recuperacioacuten

de desastre de los SI de la organizacioacuten para asegurar la disponibilidad de

recursos de informacioacuten criacutetica y la continuidad de las operaciones en situaciones

de emergencia

7- Identificacioacuten y autenticacioacuten (IA)

Las organizaciones deben identificar a los usuarios del SI procesos que actuacutean en

nombre de los usuarios o dispositivos y autenticar (o comprobar) la identidad de

estos usuarios procesos o dispositivos como requisito previo para permitir el

acceso a los SI de la organizacioacuten

8- Respuesta a Incidentes (IR)

Las organizaciones deben (i) establecer el manejo de incidentes operacionales

para los SI de la organizacioacuten que incluye la preparacioacuten adecuada la

deteccioacuten anaacutelisis contencioacuten recuperacioacuten y actividades de respuesta del

usuario y (ii) rastrear documentar e informar los incidentes a los oficiales de

organizacioacuten yo autoridades

9- Mantenimiento (MA) Las organizaciones deben (i) realizar un mantenimiento

perioacutedico y puntual sobre los SI de la organizacioacuten y (ii) proporcionar un control

eficaz de las herramientas teacutecnicas mecanismos y personal utilizado para llevar a

cabo el mantenimiento del SI

10-Proteccioacuten de Medios (MP) Las organizaciones deben (i) proteger los medios

de informacioacuten del sistema tanto en papel como digitales (ii) limitar el acceso a

la informacioacuten sobre los medios de comunicacioacuten del SI a los usuarios autorizados


Apeacutendice F

172

y (iii) eliminar o destruir los medios de informacioacuten del SI antes de su disposicioacuten o

liberacioacuten para su reutilizacioacuten

11- Proteccioacuten fiacutesica y Ambiental (PE)

Las organizaciones deben (i) limitar el acceso fiacutesico a los SI el equipo y los

entornos operativos respectivos a las personas autorizadas (ii) proteger la planta

fiacutesica e infraestructura de apoyo para los SI (iii) proveer servicios de apoyo para

los SI (iv) proteger los SI contra riesgos ambientales y (v) proporcionar los

controles ambientales oportunos en las instalaciones que contienen los SI

12- Planificacioacuten (PL)

Las organizaciones deben desarrollar documentar actualizar perioacutedicamente e

implementar planes de seguridad para los SI de la organizacioacuten que describen los

controles de seguridad implementados o planeados para los SI y de las normas de

comportamiento para las personas que accedan a los SI

13- Personal de Seguridad (PS)

Las organizaciones deben (i) garantizar que las personas que ocupan puestos de

responsabilidad dentro de las organizaciones (incluidos los proveedores de

servicios) son confiables conocen y cumplen con los criterios de seguridad

establecidos para esas posiciones (ii) asegurar que la informacioacuten de

organizacioacuten y SI estaacuten protegidos durante y despueacutes de las acciones del

personal tales como terminaciones y transferencias y (iii) emplear sanciones

formales para el personal que no cumplan con las poliacuteticas de seguridad y

procedimientos de organizacioacuten

14- Evaluacioacuten de Riesgos (RA)

Las organizaciones perioacutedicamente deben evaluar el riesgo para las operaciones

de la organizacioacuten (incluyendo la misioacuten funciones imagen o reputacioacuten) los

activos de la organizacioacuten y los individuos como resultado de la operacioacuten de los

SI de la organizacioacuten y el consiguiente tratamiento almacenamiento o transmisioacuten

de informacioacuten de la organizacioacuten

15- Adquisicioacuten de sistema y servicios (SA)

Las organizaciones deben (i) asignar recursos suficientes para proteger

adecuadamente los SI de la organizacioacuten (ii) emplear los procesos del ciclo de

vida de desarrollo que incorporan consideraciones de seguridad de informacioacuten


Apeacutendice F

173

(iii) emplear el uso del software y las restricciones de instalacioacuten y (iv) garantizar

que los proveedores externos emplean las medidas de seguridad adecuadas

para proteger la informacioacuten aplicaciones yo servicios externos de la

organizacioacuten

16- Proteccioacuten de Sistemas y Comunicaciones (SC)

Las organizaciones deben (i) monitorear controlar y proteger las comunicaciones

de la organizacioacuten (es decir la informacioacuten transmitida o recibida por los SI de la

organizacioacuten) fuera de los limites internos y externos del SI y (ii) emplear disentildeos

de arquitectura teacutecnicas de desarrollo de software ingenieriacutea de sistemas y

principios que promueven la seguridad de la informacioacuten efectiva en los SI de la

organizacioacuten

17- Integridad de Sistema y la informacioacuten (SI)

Las organizaciones deben (i) identificar reportar y corregir de manera oportuna

los defectos encontrados en la informacioacuten y los SI (ii) proporcionar la proteccioacuten

apropiada contra coacutedigo malicioso en los SI de la organizacioacuten y (iii) monitorear

las alertas y avisos de seguridad del SI y tomar las acciones apropiadas en

respuesta





Para efectos de SI-bajo las organizaciones deben como miacutenimo emplear

debidamente los controles de seguridad definidos para la categoriacutea de seguridad

bajo en el NIST 800-53

Para efectos de SI-moderado las organizaciones deben como miacutenimo emplear


moderado en el NIST 800-53

Para efectos de SI-alto las organizaciones deben como miacutenimo emplear


alto en el NIST 800-53


paacutegina oficial de NIST httpcsrcnistgovpublicationsPubsFIPShtml


Apeacutendice F

174

175

APEacuteNDICE G APLICACIOacuteN DE LA METODOLOGIacuteA PROPUESTA










c) Responsable(s)




Nombre





Nombre

d) Definiciones

na


3 Editores de Texto




APROBACIOacuteN


Fecha Fecha Fecha

ldquoMI EMPRESArdquo Aacuterea de Auditoriacutea de Seguridad

176



g) Procedimiento


11 El equipo de auditores de ldquoMi empresardquo Identificaron el Origen de la Auditoriacutea

como una ldquoAuditoriacutea Subsecuenterdquo dado que el navegador ya ha sido utilizado

durante largo tiempo dentro de la empresa y se necesita determinar si los controles

de seguridad implementados por el navegador han sido eficaces a traveacutes del

tiempo

Debido a que el navegador a analizar es una aplicacioacuten comercial el enfoque

que se le dio a la auditoriacutea es el de un ldquoentorno externordquo o caja negra es decir

estaraacute limitado a la informacioacuten que los propietarios de Mozilla Firefoxreg han puesto

a disposicioacuten de los usuarios finales

12 Una vez determinado el origen de la auditoriacutea y el enfoque que se le dariacutea a la

auditoriacutea el equipo de auditores se dio a la tarea de recopilar informacioacuten

concerniente al navegador a evaluar esta informacioacuten se encontroacute de los sitios

destinados por los propietarios de Mozilla Firefoxreg para proveer informacioacuten de

utilidad a los usuarios

13 En ldquoMi empresardquo los empleados utilizan el navegador Mozilla Firefoxreg para correr

diversas aplicaciones que acceden a informacioacuten confidencial de la organizacioacuten

por lo que se ha clasificado la seguridad del navegador Mozilla Firefoxreg conforme

al impacto que tendriacutea sobre los objetivos de Confidencialidad Integridad y

disponibilidad de la Informacioacuten en caso de ocurrir una violacioacuten de seguridad La

Clasificacioacuten de seguridad calculada conforme al FIPS 199 arrojo que CS SI =

ldquoALTOrdquo

14 El equipo de auditores de ldquoMi empresardquo realizo el estudio Preliminar del SI

obteniendo informacioacuten concerniente a los manuales de usuario requerimientos

caracteriacutesticas del navegador aspectos de instalacioacuten entre otros Debido a que

Mozilla Firefoxreg es una aplicacioacuten comercial no se pudo tener acceso a

informacioacuten considerada como ldquorestringidardquo por lo que esto limitoacute el alcance de la

auditoriacutea No fue necesario recopilar informacioacuten correspondiente al marco

regulatorio ni los aspectos relacionados con la funcionalidad del SI ya que se

considera que estos aspectos ya han sido considerados por la empresa que los

desarrolloacute antes de ser puestos a disposicioacuten de los usuarios finales

15 El liacuteder del equipo auditor se dio a la tarea de definir el trabajo de auditoriacutea que se

realizariacutea

151 Objetivo General Auditar la seguridad del navegador Mozilla Firefoxreg para

determinar la conveniencia de seguir utilizando el navegador dentro de la

empresa o remplazarlo por otro

ldquoMI EMPRESArdquo Aacuterea de Auditoriacutea de seguridad

177



152 Objetivos Especiacuteficos

- Encontrar las vulnerabilidades de seguridad del navegador Mozilla

Firefoxreg

- Calcular en Nivel de Riesgo de Mozilla Firefoxreg sobre los individuos

procesos y activos que utiliza

- Tomar la decisioacuten de seguir utilizando Mozilla Firefoxreg

153 Alcance de la Auditoriacutea La auditoriacutea de seguridad a Mozilla Firefoxreg se

limitaraacute a realizar una auditoriacutea de caja negra es decir bajo un entorno

externo delimitado a los aspectos que se encuentran documentados y de


manuales disentildeos y cierta documentacioacuten especializada se encuentra

restringida a los usuarios finales)

16 El equipo de auditores de ldquoMi empresa rdquo establecioacute los puntos que seriacutean

evaluados en la auditoriacutea de Mozilla Firefoxreg para ello se consideroacute que la

auditoriacutea seriacutea realizada desde un entorno externo por lo que el alcance de la

auditoriacutea seriacutea limitado a los siguientes aspectos

Cumplimiento documental (orientado a documentacioacuten de apoyo a usuarios)

Requerimientos miacutenimos de seguridad basados en la clasificacioacuten de seguridad

del SI conforme al FIPS 200(limitado a la informacioacuten distribuida por los

propietarios de Mozilla Firefoxreg)


comunes

El cumplimiento funcional y normativo no se evaluaraacute dentro de la auditoriacutea

ya que por ser un producto que ya se encuentra a disposicioacuten de los usuarios

finales se puede considerar que satisfacen totalmente estos 2 requerimientos

17 El liacuteder del equipo de auditores elaboroacute el Plan y Programa de auditoriacutea para

evaluar el nivel de exposicioacuten de Mozilla Firefoxreg en los cuales definioacute

responsables de cada actividad establecioacute tiempos a cada actividad y los

recursos necesarios

18 El equipo de auditoriacutea definioacute que la auditoriacutea se llevariacutea a cabo mediante la

aplicacioacuten de cheklists para los aspectos contemplados anteriormente

(cumplimiento documental requerimientos miacutenimos de seguridad revisioacuten de SI

libre de errores maacutes comunes) De igual manera el liacuteder del equipo auditor

establecioacute los documentos plantillas medios y lineamientos con los cuales se

llevariacutea a cabo la auditoriacutea

19 ldquoMi empresardquo asigno al equipo de auditoriacutea los recursos necesarios para llevar a

cabo el Plan de auditoriacutea desarrollado

Referencias

FIPS 199 FIPS 200 Metodologiacutea de Auditoriacutea en Seguridad para SI

ldquoMi Empresardquo Aacuterea de Auditoriacutea de Seguridad

178



PROCEDIMIENTO OPERATIVO ESTANDAR 2






c) Responsable(s)




Nombre





Nombre

d) Definiciones

na







APROBACIOacuteN


Fecha Fecha Fecha


179



g) Procedimiento


21 El equipo auditor ejecuto las actividades programadas para la auditoriacutea

conforme a los planes y programas desarrollados en la etapa 1

211 Se evaluoacute el cumplimiento documental y se determino que Mozilla

Firefoxreg satisface los requerimientos documentales

Debido a que la auditoriacutea se realizoacute a un SI comercial solamente se

consideroacute indispensable la disponibilidad de documentacioacuten de apoyo

a las funciones y soporte al navegador La informacioacuten que los

propietarios de Mozilla Firefoxreg ponen a disposicioacuten de los usuarios finales

son

- Documentos de apoyo a la descarga e instalacioacuten

- Tutoriales de navegacioacuten

- Tutoriales para personalizar el navegador

- Tutoriales para solucionar problemas con la seguridad del

navegador

- Documentos para solucionar problemas frecuentes del navegador

212 Se evaluoacute el cumplimiento de los requerimientos miacutenimos de seguridad

de acuerdo al FIPS PUB 200 y se determino que para Mozilla Firefoxreg no

se puede determinar si se satisfacen los requerimientos miacutenimos de

seguridad debido a que no se cuenta con mucha informacioacuten

considerada como restringida y que es necesaria para validar el

cumplimiento

Debido a que la auditoriacutea se realizoacute desde un entorno externo no se

pudo evaluar el nivel de cumplimiento de todos los requisitos de

seguridad en algunos casos por falta de informacioacuten que se restringe

por los propietarios del SI y en otros No Aplica (NA) por la naturaleza del

SI

1) Sensibilizacioacuten y Formacioacuten Cumple Existe amplia documentacioacuten

para usuarios conforme al uso y soporte del navegador asiacute como

concientizacioacuten a los usuarios del aspecto de seguridad

2) Gestioacuten de la Configuracioacuten Cumple Se lleva la gestioacuten adecuada

entre las diversas versiones del navegador ademaacutes de que permite la

descarga de versiones anteriores a peticioacuten del usuario

3) Mantenimiento Cumple Se toman las medidas necesarias para dar

mantenimiento al navegador y dar respuesta a los incidentes

reportados


180



4) Integridad de Sistema y la informacioacuten Cumple La informacioacuten

consultada afirma que las funciones implementadas por el navegador

protegen la integridad de la informacioacuten y del navegador

5) Control de acceso NA la naturaleza de los navegadores no restringe

el acceso

6) Identificacioacuten y autenticacioacuten NA existe la identificacioacuten entre los

componentes del navegador pero por la naturaleza de los

navegadores no existe autenticacioacuten por parte de los usuarios la

autenticacioacuten propiamente se lleva en las aplicaciones que se

ejecutan sobre el navegador

7) Certificacioacuten Acreditacioacuten y evaluaciones de Seguridad NA la

informacioacuten obtenida de Mozilla Firefoxreg indica que existen

evaluaciones de seguridad antes de que cada versioacuten del navegador

sea liberada pero no se dispone de informacioacuten de la certificacioacuten y

acreditacioacuten de la seguridad del navegador

Para los siguientes requerimientos no se cuenta con la informacioacuten

necesaria para validar el cumplimiento

8) Auditoriacutea y Rendicioacuten de Cuentas NA

9) Planes de Contingencia NA

10) Respuesta a Incidentes NA

11) Proteccioacuten de Medios NA

12) Proteccioacuten fiacutesica y Ambiental NA

13) Planificacioacuten NA

14) Personal de Seguridad NA

15) Evaluacioacuten de Riesgos NA

16) Adquisicioacuten de sistema y servicios NA

17) Proteccioacuten de Sistemas y Comunicaciones NA

213 Al ser una auditoriacutea desde un entorno externo no se contempla la

revisioacuten del cumplimiento documental debido a que esta validacioacuten se

debioacute llevar a cabo por los propietarios del navegador antes de poner el

navegador a disposicioacuten de los usuarios finales Bajo este enfoque se

determina que Mozilla Firefoxreg satisfacen los requerimientos funcionales


revisioacuten del cumplimiento de los requerimientos regulatorios del

navegador debido a que esta validacioacuten se debioacute llevar a cabo por los

propietarios del navegador antes de poner el navegador a disposicioacuten

de los usuarios finales Bajo este enfoque se determina que Mozilla

Firefoxreg satisfacen los requerimientos regulatorios del SI


181



215 Se determino que el navegador Mozilla Firefoxreg no estaacute libre de las

vulnerabilidades maacutes comunes y peligrosas en los SI conforme a

reportes de seguridad emitidos por el sitio oficial del navegador [54]

22 El equipo de auditores identificoacute y elaboroacute los documentos concernientes a

los hallazgos obtenidos de la auditoriacutea de seguridad a Mozilla Firefoxreg

221 Se analizoacute la evidencia obtenida de la auditoriacutea entre los que se

encuentran reportes de seguridad emitidos por los propietarios de

Mozilla Firefoxreg Las vulnerabilidades reportadas para Mozilla Firefoxreg se

agrupan respecto a su criticidad en [54]


malintencionado e instalar software sin necesidad de interaccioacuten del

usuario maacutes allaacute de la navegacioacuten normal En esta clasificacioacuten se

encuentran las siguientes vulnerabilidades reportadas para Mozilla

Firefoxreg 3613

MFSA 2010-74 vulnerabilidades en la seguridad de memoria [42]

MFSA 2010-75 problemas asociados al desbordamiento de buacutefer

al pasar cadenas de gran tamantildeo [43]

MFSA 2010-76 aumento de privilegios de Chrome a traveacutes de

windowopen y un elemento isindex [44]

MFSA 2010-77 ejecucioacuten remota de coacutedigo utilizando las etiquetas

HTML dentro de un aacuterbol XUL[45]

MFSA 2010-78 Antildeade soporte OTS una libreriacutea para la

normalizacioacuten de fuentes descargables [46]

MFSA 2010-79 vulnerabilidad que permite evitar la seguridad de

Java de LiveConnect cargado a traveacutes de los datos URL meta

refresh [47]

MFSA 2010-80 vulnerabilidad de usar despueacutes de liberar los

recursos en nsDOMAttribute MutationObserver [48]

MFSA 2010-81 vulnerabilidad de desbordamiento de entero en

NewIdArray [49]

MFSA 2010-82 solucioacuten incompleta del CVE-2010-0179 [50]

bull Alta La vulnerabilidad puede ser utilizada para recopilar los datos

sensibles de los sitios en otras ventanas o inyectar datos o coacutedigo en esos

sitios que no requiere maacutes que acciones de navegacioacuten normal En esta

clasificacioacuten se encuentran la siguiente vulnerabilidad reportada para

Mozilla Firefoxreg 3613

MFSA 2010-83 suplantacioacuten del estado SSL de la barra de

localizacioacuten utilizando una paacutegina de error [51]


182



bull Moderado Las vulnerabilidades que de otro modo seriacutea alto o criacutetico

excepto que soacutelo funcionan en configuraciones poco comunes no por

defecto o requiere que el usuario realice complicados yo pasos poco

probables En esta clasificacioacuten se encuentra la siguiente vulnerabilidad

reportada para Mozilla Firefoxreg 3613

MFSA 2010-84 vulnerabilidad de XSS en la codificacioacuten de

muacuteltiples caracteres [52]

222 Se determinaroacuten las causas que originaron las vulnerabilidades

encontradas en Mozilla Firefoxreg el resultado es que se debieron a un

mal disentildeo de la arquitectura del navegador y una mala codificacioacuten

por parte de los desarrolladores

223 El equipo de auditores ha sugerido que para eliminar las

vulnerabilidades encontradas en la versioacuten actual del navegador seraacute

necesario implementar las acciones emitidas por los propietarios de

Mozilla Firefoxreg Para ello se necesita actualizar a la brevedad posible

la versioacuten actual del navegador(3613) ya que las actualizaciones

incluyen las correcciones a las vulnerabilidades encontradas y citadas

anteriormente en el punto 221 Estas actualizaciones en las versiones de

los navegadores deberaacute ser de ahora en adelante una actividad

primordial por parte de los usuarios por lo que seraacute una tarea primordial

de las aacutereas de seguridad dar el seguimiento necesario y establecer las

politicas y procedimientos para su cumplimiento

De igual manera el equipo de auditores sugirioacute realizar un esfuerzo para

concientizar y capacitar a los usuarios que utilicen el navegador como

parte de sus funciones de trabajo en los aspectos relacionados a los

peligros y posibles amenazas a los que se encuentren sometidos al utilizar

un navegador asi como acciones preventivas para evitar cualquier tipo

de violacioacuten a la seguridad y divulgacioacuten de informacioacuten confidencial

23 El equipo aditor se dioacute a la tarea de estimar el Riesgo del navegador Mozilla

Firefoxreg con el propoacutesito de determinar si las vulnerabilidades conocidas en

el navegador representan un nivel aceptable de riesgo para las

operaciones activos e individuos de la empresa el resultado fue el siguiente


183



Requerimientos a Evaluar Ponderacioacuten Cumplimiento

del navegador

Total por Aspecto evaluado




Seguridad NA

Libre de Vulnerabilidades conocidas

40 70 28

Cumplimiento del navegador = 88


siguientes aspectos

- Clasificacioacuten de Seguridad (CS) del navegador La CS del navegador fue

determinada como alta lo que conllevo a los integrantes del auditor a

ser maacutes estrictos en la estimacioacuten del riesgo

- Cumplimiento del Navegador El navegador cumple con un 88 de los




- Facilidad para implementar mejoras al navegador para reducir las

vulnerabilidades encontradas se encontroacute que no existe complejidad

alguna para implementar las mejoras propuestas

- Prioridad del navegador de seguir en operacioacuten dentro de la

organizacioacuten La prioridad de utilizar el navegador por los usuarios de la

empresa fue considerada como alta debido a que la mayoriacutea de las

aplicaciones informaacuteticas que son utilizadas dentro de su trabajo diario

son soportadas por el navegador

- Comparativa con otros navegadores Al ser un producto comercial el


podriacutean sustituir a Mozilla Firefoxreg considerando los aspectos

funcionales documentacioacuten soporte seguridad etc Lo anterior

conllevo a consultar diversas fuentes la mayoriacutea apuntaba a que la

mejor opcioacuten en navegadores es Mozilla Firefoxreg [53]


184




El riesgo del navegador es Medio Se considero que si bien el cumplimiento

del navegador es de un 88 las vulnerabilidades encontradas son ya

conocidas y pueden ser explotadas por usuarios con los medios

conocimientos y recursos disponibles

24 Una vez que el equipo auditor determino el riesgo del navegador se dio a la

tarea de elaborar el informe y dictamen preliminar de auditoriacutea el cual

incluyoacute

- Un resumen de los hallazgos obtenidos en el SI evaluado (obtenidos

en el punto 22 de este POE)

- La estimacioacuten del riesgo del SI calculado con base en los hallazgos

obtenidos de la auditoriacutea(obtenidos en el punto 23 de este POE)

- El conjunto de recomendaciones emitidas por el equipo auditor para

reducir las vulnerabilidades encontradas

- El dictamen preliminar (opinioacuten del equipo de auditoriacutea con respecto

a los resultados obtenidos)

Y finalmente se armo el paquete de evidencia de auditoriacutea obtenida de la

ejecucioacuten de la auditoriacutea del navegador Mozilla Firefoxreg

25 El lider de la auditoriacutea presento el informe y dictamen preliminar de auditoriacutea

con el aacuterea de informaacutetica y seguridad para su discusioacuten

Referencias

Metodologiacutea de Auditoriacutea en Seguridad para SI

Reporte de Vulnerabilidades para Mozilla Firefoxreg [54]

Comparacioacuten de navegadores de internet [53]


185










c) Responsable(s)




Nombre





Nombre

d) Definiciones





4 Editores de Texto





APROBACIOacuteN


Fecha Fecha Fecha

ldquoMi empresardquo Aacuterea de Auditoriacutea de Seguridad

186



g) Procedimiento


31 El comiteacute autorizador se dio a la tarea de tomar la decisioacuten de operacioacuten del

navegador Mozilla Firefoxreg para ello se realizaron las siguientes actividades

311 El liacuteder de la auditoriacutea ubico y convoco al comiteacute Autorizador de SI el

cual se conformo por el liacuteder de la auditoriacutea personal del aacuterea de

seguridad y un alto directivo de la empresa

312 El equipo de auditoriacutea preparoacute el ldquopaquete de autorizacioacutenrdquo que se

entrego a los integrantes del comiteacute autorizador el paquete de

autorizacioacuten se conformo de

La evidencia y documentacioacuten obtenida de la auditoriacutea

La estimacioacuten del Riesgo del navegador

313 El comiteacute autorizador evaluoacute la evidencia obtenida de la auditoriacutea el

nivel de riesgo estimado y algunos otros aspectos como

Clasificacioacuten de Seguridad (CS) del navegador La CS del

navegador fue determinada como alta lo que conllevo a los

integrantes del comiteacute autorizador a ser maacutes estrictos en la

decisioacuten a tomar


Facilidad de implementacioacuten de mejoras al navegador para


Prioridad del navegador de seguir en operacioacuten dentro de la

organizacioacuten




deberiacutea de permitirse la operacioacuten del navegador dentro de la empresa ya

que las vulnerabilidades encontradas presentan un gran riesgo en las

operaciones procesos e individuos de la empresa Pero considerando que


Auacuten con las vulnerabilidades encontradas en el navegador

Mozilla Firefoxreg es considerado como la mejor opcioacuten comparado

con productos similares y finalmente

La implementacioacuten de mejoras para el navegador puede

realizarse sin complejidad alguna para disminuir el nuacutemero de


De lo anterior el comiteacute autorizador ha determinado que el navegador

Mozilla Firefoxreg estaacute AUTORIZADO CONDICIONADO PARA OPERAR es decir

puede seguir operando siempre y cuando atienda las recomendaciones

emitidas por el equipo auditor en el tiempo y forma que se le especifique


187



36 Una vez emitida la decisioacuten de autorizacioacuten para el navegador Mozilla Firefoxreg

el equipo de auditores elaboroacute el informe y dictamen final de auditoriacutea para lo

cual

Se hicieron las correcciones necesarias sobre el informe y dictamen

preliminar de auditoriacutea

Se antildeadioacute al informe y dictamen final de auditoriacutea la decisioacuten de

autorizacioacuten del navegador Mozilla Firefoxreg

Y finalmente se armo el paquete de evidencia obtenida como

resultado de la auditoriacutea

361 Una de las actividades maacutes importantes dentro de la auditoriacutea consistioacute

en la elaboracioacuten del Plan de Mejora del navegador Para ello se

requirioacute la colaboracioacuten del liacuteder de auditoriacutea del personal del aacuterea de

informaacutetica y del personal del aacuterea de seguridad los cuales

Definieron y planificaron las tareas necesarias para dar

seguimiento a las recomendaciones hechas por el equipo auditor

para eliminar o reducir las vulnerabilidades encontradas Las tareas

principales que se definieron se componen de

- Programa de actualizacioacuten continua del navegador ya que

gran parte de las vulnerabilidades encontradas en un

navegador son elimindas mediante la actualizacioacuten o

instalacioacuten de versiones maacutes recientes del navegador

- Campantildeas de concientizacioacuten y capacitacioacuten a los usuarios

que utilicen el navegador como parte de sus funciones de

trabajo en los aspectos relacionados a los peligros y posibles

amenazas a los que se encuentren sometidos al utilizar un

navegador asi como acciones preventivas para evitar cualquier

tipo de violacioacuten a la seguridad y divulgacioacuten de informacioacuten

confidencial


- El aacuterea de informaacutetica seraacute responsable de llevar a cabo el

programa de actualizacioacuten continua del navegador

- El aacuterea de seguridad seraacute responsable de llevar a cabo las

campantildeas de concientizacioacuten y capacitacioacuten a los usuarios

finales

Determinaron los recursos que son necesarios para la ejecucioacuten de

cada tarea

Estimaron y determinaron fechas compromiso para la realizacioacuten

de cada tarea

Estimaron fechas de inicio y fin del Plan de Mejora del SI

ldquoMi empresardquo Laboratorio de Auditoriacutea de Seguridad

188


Revisioacuten nuacutemero Fecha de vigencia Hola 4 de 4

37 Finalmente el informe y dictamen final de auditoriacutea se presentado al

responsable del aacuterea de informaacutetica la persona que solicito la ejecucioacuten de

una auditoriacutea para el navegador Mozilla Firefoxreg De igual manera se hizo llegar

una copia de este informe y dictamen final al comiteacute autorizador

Una tarea crucial de esta etapa fue el resguardo y disponibilidad de consultar

los resultados obtenidos de las auditoriacuteas y los planes de mejora elaborados de

tal manera que uacutenicamente los usuarios autorizados puedan consultar los

aspectos auditados en SI similares y no repetir errores y vulnerabilidades ya

conocidas

Referencias





189












c) Responsable(s)




Nombre





Nombre

d) Definiciones

na


3 Editores de Texto





APROBACIOacuteN


Fecha Fecha Fecha


190



g) Procedimiento

Etapa 4 Monitorear Cumplimiento del SI

El monitoreo de cumplimiento se deriva de que el proceso de auditoriacutea ha concluido

con la decisioacuten de operacioacuten del SI y de aquiacute en adelante se deberaacute iniciar un nuevo

proceso de mejora continua en el cual las acciones realizadas contribuyan al continuo

perfeccionamiento del SI

Para lograr el perfeccionamiento del navegador evaluado el liacuteder de la auditoriacutea en

colaboracioacuten con los responsables de las aacutereas de informaacutetica y de seguridad

realizaron la declaracioacuten formal y por escrito de las tareas de supervisioacuten y seguimiento

de las actividades definidas dentro del Plan de mejora para el navegador

programacioacuten de las auditoriacuteas subsecuentes del SI y finalmente la definicioacuten de

actividades y responsabilidades del monitoreo continuo a los controles de seguridad

implementados en el SI de manera que aseguren que los controles implementados son

eficaces a lo largo del tiempo

41 Se definio un responsable del equipo de auditoriacutea quieacuten seraacute el

responsable de dar el seguimiento a las acciones previstas dentro del Plan

de Mejora Por lo que fue necesario definir los criterios y aspectos

necesarios para realizar el seguimiento entre ellos se tiene

- El establecimiento de fechas compromiso para comenzar con la

revisioacuten de las correcciones e implementaciones realizadas

- La determinacioacuten de los lineamientos necesarios con los que se

validaraacute si los controles y correcciones implementadas cumplen

con los objetivos y tareas establecidas en el Plan de Mejora

Entre los lineamientos maacutes importantes por mencionar alguno se

encuentra que para valida la completa y correcta actualizacioacuten

de las versiones de los navegadores se tomaraacute una muestra de

equipos al azar para validar que los navegadores que corren en

las computadoras de la empresa han sido actualizados

correctamente

- De igual manera se solicitoacute a las aacuteres de seguridad e informaacutetica

las cuales estaacuten acargo de la Implementacioacuten del Plan de mejora

del SI la documentacioacuten de las actividades realizadas y

problemas encontrados para atender el Plan de Mejora del SI


191



42 Programacioacuten de auditoriacuteas subsecuentes

Es bien sabido que el entorno de operacioacuten no es constante por lo que tanto

amenazas que atacan a los SI y vulnerabilidades encontradas en los SI crecen

diacutea con diacutea de ello se deriva la necesidad de realizar auditoriacuteas subsecuentes

para determinar el nivel de exposicioacuten del navegador a lo largo del tiempo

El lider de auditoriacutea planificoacute las auditoriacuteas subsecuentes al navegador para

refrendar la decisioacuten de operacioacuten del navegador se determinaron la fechas

de realizacioacuten y se establecieron los responsables a cargo de esta actividad

43 Monitoreo Continuo del cumplimiento de los Controles de Seguridad del SI

El liacuteder de la auditoriacutea determino conveniente establecer el monitoreo continuo

del navegador es decir de queacute manera se comporta el navegador con el paso

del tiempo

Por ello se establecieron las acciones necesarias para monitorear el nivel de

cumplimiento de los controles y funciones implementados en el SI mediante la

buacutesqueda de reportes de vulnerabilidades e incidentes asociados al

navegador lo cual nos permitiraacute soporta la decisioacuten de operacioacuten del

navegador o procederaacute en la ejecucioacuten de una nueva auditoriacutea para realizar

una evaluacioacuten exhaustiva del nivel de exposicioacuten del navegador

Referencias



192

193

APEacuteNDICE H PUBLICACIONES

Congresos Nacionales

1 Propuesta de una instancia en la APF que contribuya a mejorar la

seguridad de los sitios WEB del dominio MX M Rodriacuteguez-Argueta A

Santiago-Loacutepez R Vaacutezquez-Medina ROCampC 2010 Acapulco Meacutexico

Noviembre 2010

Congresos Internacionales

2 Alternativas para incorporar seguridad a los Sistemas de Informacioacuten A

Santiago-Loacutepez M Rodriacuteguez-Argueta A Castantildeeda-Soliacutes y R Vaacutezquez-

Medina VI Congreso de Telemaacutetica y telecomunicaciones CUJAE La

Habana Cuba Noviembre 2010

3 Metodologiacutea de Evaluacioacuten de la Seguridad de Sitios Web M Rodriacuteguez-

Argueta A Santiago-Loacutepez MA Morales-Santos LO Peacuterez-Gonzaacutelez R

Vaacutezquez-Medina VI Congreso de Telemaacutetica y telecomunicaciones

CUJAE La Habana Cuba Noviembre 2010

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

APENDICE I REFERENCIAS

[1] Vaacutezquez Jesuacutes Junio 2008 ldquoInseguridad de los sistemasrdquo ACIS Bogotaacute

Colombia

[2] Mandeep Khera Marzo 2010 ldquoWeb Application Security Trends Report Q3-Q4

2009rdquo Cenzic Inc

[3] Peacuterez Martiacuten ldquoInversiones en TIrdquo

httpsociedaddelainformacionwordpresscom20100122la-inversion-en-

tecnologias-de-la-informacion-crecera-un-46-por-ciento-en-2010-en-el-mundo

Fecha de consulta 2 de Febrero de 2010

[4] ITespresso ldquoSe aumentan los presupuestos para el desarrollo de aplicacionesrdquo

httpwwwmundo-contactcomenlinea_detallephprecordID=14242 Fecha de

consulta Noviembre de 2009

[5] Gasser Morrie 1988 ldquoBUILDING A SECURE COMPUTER SYSTEMrdquo Editorial Van

Nostrand Reinhold EUA

[6] SANS ldquoVulnerabilidades de las aplicacionesrdquo httpwwwsansorgtop-cyber-

security-riskstrendsphp Fecha de consulta Noviembre 2009

[7] Fernaacutendez de Lara Carlos rdquoUrge proteger aplicaciones Webrdquo

httpwwwnetmediainfosecurityurgen-a-proteger-aplicaciones-web Fecha de

consulta Noviembre 2009

[8] Mandeep Khera Noviembre 2009 ldquoWeb Application Security Trends Report

Q1-Q2 2009rdquo Cenzic Inc

[9] Feiman Joseph ldquoBuilding Secure Applicationsrdquo Gartner

[10]Sommerville Ian 2005 rdquoSoftware Engineeringrdquo

httpbooksgooglecommxbooksid=gQWd49zSut4Campprintsec=frontcoveramphl=e

sv=onepageampqampf=false Fecha de consulta Agosto 2010

[11] Espinoza Fernando rdquo20-SISTEMAS_INFORMACION_PRESENTACIONrdquo

httpingutalcacl~fespinos20-SISTEMAS_INFORMACION_PRESENTACIONpdf

Fecha de consulta Agosto 2010

[12] Gutieacuterrez Carlos M William Jeffrey Marzo 2006 ldquoFIPS PUB 200 Minimum

Security Requirements for Federal Information and Information Systemsrdquo NIST

216

[13] Red Escolar Nacional de Venezuela ldquoSistemas de Informacioacutenrdquo

httpwwwrenaeduvecuartaEtapaInformaticaTema10html Fecha de

consulta Agosto 2010

[14] Ciber Habitad Ciudad de la Informaacutetica INEGI ldquoSeguridad Informaacuteticardquo

httpwwwinegigobmxinegicontenidosespanolciberhabitatmuseocerquita

redesseguridadintrohtm Fecha de consulta Agosto 2010

[15] Villarrubia Jimeacutenez Carlos ldquoSeguridad y Alta Disponibilidadrdquo Universidad de

Castilla-La Mancha

[16] ISOIEC ldquoEstaacutendar ISOIEC 27002 Tecnologiacutea de la Informacioacuten ndash Teacutecnicas de

seguridad ndash Coacutedigo para la praacutectica de la gestioacuten de la seguridad de la

informacioacutenrdquo Publicacioacuten 2007

[17] CARO MCOBA L 2004 ldquoManual de procedimientos enfocados al sistema de

gestioacuten de calidad ISO 90012000 del aacuterea de control de calidad de laboratorios

Pronabell Ltdardquo Tesis de grado Microbiologiacutea industrial Pontificia Universidad

Javeriana Bogotaacute

[18] Peltier Thomas R ldquoInformatioacuten security and procedures rdquo Editorial Auerboon

Pulications

[19] Santes Galvaacuten Lucio ldquoPropuesta de una metodologiacutea de anaacutelisis forense

para dispositivos de telefoniacutea celularrdquo Tesis de grado Microelectroacutenica IPN ESIME

Culhuacan Meacutexico DF

[20] The Royal Pharmaceutical Society of Great Britain (RPSGB) ldquoDeveloping and

implementing standard operating procedures for dispensingrdquo

httpwwwpharmacycouncilorgnzsops Fecha de consulta Enero 2010

[21] MUNtildeOZ Razo Carlos ldquoAuditoriacutea de Sistemas computacionalesrdquo Editorial

Pearson Prentice Hall

[22] SOBRINOS Saacutenchez Roberto ldquoPlanificacioacuten y Gestioacuten de los Sistemas de

Informacioacutenrdquo Universidad de Castilla ndash La Mancha

[23] LOBOS Barrera Evelyn ldquoAUDITORIacuteA DE EMPRESAS EN EL AacuteREA DE

TELECOMUNICACIONESrdquo Tesis de grado Ingenieriacutea en Ciencias y Sistemas

Universidad de San Carlos de Guatemala

[24] RODRIGUEZ Peacuterez Antonio y Olga Lidia Leoacuten Burguera ldquoLa seguridad

informaacutetica y el control interno en Cuba Experiencias de la divisioacuten Copextel Villa

217

Clarardquo httpwwwgestiopoliscomadministracion-estrategiaseguridad-

informatica-y-su-controlhtm Fecha de consulta Agosto 2010

[25] PIATTINI Mario y Emilio del Peso 2003 ldquoAuditoriacutea Informaacutetica Un enfoque

praacutecticordquo Editorial RA-MA

[26] BSI ldquoStandardrdquo httpwwwbsieducationorgEducationaboutwhat-is-a-

standardshtml Fecha de consulta Agosto 2010

[27] GONZALEZ Baacuteez Imelda Caacutemara Nacional de la Industria Electroacutenica de

Telecomunicaciones y Tecnologiacuteas de la Informacioacuten (CANIETI) ldquoMejores

Praacutecticasrdquo

httpwwwamereiaforgmxcongresodeverano2009materialmiercoles_tecnolo

giapdf Fecha de consulta Agosto 2010

[28] RUIZ Francisco Macario Polo UPM ldquoMantenimiento de Softwarerdquo

httppersonalesunicanesruizfris2docteo1is2-t01-apuntes_masterupmpdf


[29] IT Governance Institute COBIT 41 EUA 2007

[30] ISSA ldquoISOIEC 15408-Evaluation criteria for IT securityrdquo

httpissaperuorgp=381 Fecha de consulta Agosto 2010

[31] LOCKE Gary y Patrick D Gallagher ldquoNIST SPECIAL PUBLICATION SP 800-53

Recommended Security Controlsfor Federal Information Systems and

Organizationsrdquo Tercera Revisioacuten NIST Enero 2010

[32] HERZOG Pete ldquoOSSTMM 21 Manual de Metodologiacutea abierta de testeo de

seguridadrdquo Versioacuten 21 ISECOM Agosto 2003

[33] MEUCCI Mateo ldquoGuiacutea de Pruebas OWASP V 30rdquo OWASP Noviembre 2008

[34] VAN Veenendaal Erik y Julie McMullan ldquoAchieving Software Product Qualityrdquo

httpwwwcsedcuieessiscopesm29126refhtml Fecha de consulta

Septiembre 2010

[35] ABUD Figueroa M Antonieta ldquoCalidad en la Industria del Software La Norma

ISO-9126rdquo revista UPIICSA enero-marzo 2004

httpwwwrevistaupiicsa20mcomEmiliaRevEneAbr04Antonieta1pdf Fecha

de consulta Septiembre 2010

218

[36] SANDERS Joc amp Eugene Curran ldquoSoftware Quality A Framework for Success in

Software Development and Supportrdquo Editorial Addison Wesley

[36-1] Universidad de Ginebra ldquoISO 9126rdquo

httpwwwisscounigechenresearchprojectsewg96node13html Fecha de

consulta Enero 2010

[37] MILANO PabloldquoSeguridad en el ciclo de vida de desarrollo de softwarerdquo

httpwwwprensariotilacompdfTutorialCybsec_0710pdf Fecha de consulta

Agosto 2010

[38] Microsoft ldquoSimplified Implementation of the Microsoft SDLrdquo Febrero 2010

[39] GRANCE Tim Joan Hash y Marc Stevens ldquoNIST SPECIAL PUBLICATION SP 800-

64 Security Considerations in the Information System Development Life Cyclerdquo

NIST Octubre 2003

[40] CWEMITRE ldquoVulnerabilidades de los SIrdquo httpcwemitreorgtop25Brief


[41] ISOIEC ldquoISOIEC 17799 Tecnologiacutea de la Informacioacuten ndash Teacutecnicas de

seguridad- Coacutedigo para la praacutectica de la gestioacuten de la seguridad de la

informacioacutenrdquo Segunda Edicioacuten Junio 2006

[42] Mozilla Inc ldquoMFSA 2010-74rdquo

httpwwwmozillaorgsecurityannounce2010mfsa2010-74html Fecha de

consulta= Enero 2011













219



















[53] TechMediaNetwork ldquo2011 Internet Browser Software Review Product

Comparisonsrdquo httpinternet-browser-reviewtoptenreviewscom Fecha de


[54] Mozilla Inc ldquoReporte de Vulnerabilidades para Mozilla Firefoxregrdquo

httpwwwmozillaorgsecurityknown-vulnerabilitiesfirefox36htmlfirefox3613

Fecha de consulta= Enero 2011

220

221

APENDICE J ACRONIMOS

CAT Cambio a traveacutes del tiempo

CVDS Ciclo de Vida de Desarrollo de Software

CVDS Seguro Ciclo de Vida de Desarrollo de Software Seguro

FIPS Federal Information Processing Standards

ISO International Organization for Standardization

IEC International Electrotechnical Commission

NIST National Institute of Standards and Technology

POBC Procedimientos Organizacionales Bien Conocidos

SANS SysAdmin Audit Network Security Institute

SI Sistema de Informacioacuten

SP Special Publication

ii

iii

iv

v

vi

vii

AGRADECIMIENTOS





















viii

ix

RESUMEN































x










xi

ABSTRACT


































xii

xiii






tesis






























xiv

















xv

INDICE DE CONTENIDO

AGRADECIMIENTOS vii

RESUMEN ix

ABSTRACT xi






HIPOacuteTESIS xxv



ALCANCE xxix



Resumen 1


y seguridad 3





Resumen 15







xvi






Resumen 49





332 NIST SP 800-64 57




Resumen 65





de un SI 74










xvii



Resumen 85


SI 87





101



553 Alcance 103

554 Objetivo 104


556 Requisitos 104




un SI 135

CONCLUSIONES 143


APEacuteNDICES 151








xviii




xix









43






Informacioacuten 87


conocidos (POBC) 89









xx

xxi






ISO 9126 44


ISO 9126(2) 45









xxii

xxiii































xxiv

xxv

HIPOacuteTESIS



de seguridad










1





xxvi

xxvii

OBJETIVO GENERAL








informacioacuten















propuesto


xxviii

xxix

ALCANCE




desarrolladas









xxx

xxxi

JUSTIFICACIOacuteN










[1]














xxxii







aplicaciones












desarrollo de SI

2165

485


2009



xxxiii




xxxiv

1


Resumen









2


3







































4






















medida

















5












Aplicaciones

Bibliotecas SO

Transporte SO

Red

Nuacutem

ero

de V

ulne

rabi

lidad

es


6


















negociordquo







organizacionesrdquo








7





























8






2009 [6]







9










Madurez de

herramientas y

praacutecticas

Aportacioacuten de

vulnerabilidades















seguridad

Pruebas Bajo 10







Software CVDS











10


software




seguridad















11

13 Estado del arte












satisface



















desarrollo seguro






12






































13


orientados a la Web











seguridad




















14







impone












concepcioacuten

15


Resumen











16


17


































18











de Informacioacuten












tiempo


trabajo








19












Disentildeo de POE









realizar la tarea





actualizado



20








hojas





detenerse






convenientes









relevantes


21


Auditoriacutea






evaluacioacuten















administrativa





22
















Base Conceptual







organizacioacuten



software o hardware




23






empresas









calidad
















24

























nivel de seguridad






25












esta auditoriacutea








26


























ISO 27001







27




establecido











infinito






cuantitativas





hechos




los SI






28


Estaacutendar









resultados




para cada quien






especiacutefico












29













ISOIEC 12207






















30








Proceso Principales











31


















Procesos de soporte

















32


















actividades

















33


mantenimiento










34






15408







OWASP



ISO 27002







COBIT











35


























LOS SISTEMAS


36

ISOIEC 15408








que satisface




FAU- Auditoriacutea

FCO- Comunicaciones





FPR- Privacidad


evaluar







37

FIPS PUB 199
















FIPS PUB 200









transmitida




por estos sistemas




38


la seguridad son




















NIST SP 800-53








1 Control de acceso








9 Mantenimiento



39





























en este manual son








40



















10 Pruebas de AJAX


41































42
























praacutectica


43


ISOIEC9126

Funcionalidad

Confiabilidad

Usabilidad

Eficiencia

Mantenible

Portabilidad






por cierto tiempo



aprender


minimiza el uso

de recursos


y verificar el

software


transferir de un

ambiente a otro


44


tablas 3 y 4



Funcionalidad









Adecuacioacuten




Exactitud



Interoperabilidad



Cumplimiento



Seguridad



Confiabilidad







tiempo establecido

Madurez


Tolerancia a fallos




Recuperacioacuten




Usabilidad






Comprensibilidad







Operabilidad


sistema



45



Eficiencia





recursos usados







Mantenible







de funcionalidad




modificadas




ambiente diferente

Estabilidad



Facilidad de prueba


que fue modificado

Portabilidad




otro

Adaptabilidad





determinado

Conformidad








46







tiempos












aplicaciones















Seguro)


47









tesis


48

49


DESARROLLO SEGURO

Resumen














64)


50


51









reactiva










y esfuerzo











52
















de seguridad








53


















desarrollo








54














las organizaciones
























55










entrenamiento


disentildeo

implementacioacuten

verificacioacuten

liberacioacuten y

respuesta


SDL de Microsoft


Entrenamiento


Requisitos



Disentildeo



Implementacioacuten




Verificacioacuten



Liberacioacuten

Plan de respuestas



Respuesta



56





































57

332 NIST SP 800-64









son

Iniciacioacuten


Implementacioacuten


Disposicioacuten






58


Desarrollo


Mantenimiento

Disposicioacuten C

VD

S

Determinacioacuten

de necesidades

o Percepcioacuten

de una

necesidad

o Vinculacioacuten

de las

necesidades

con la misioacuten

y objetivos de

rendimiento

o Evaluacioacuten

de

Alternativas

de los Bienes

de Capital

o Preparacioacuten

para el

Anaacutelisis de

Inversioacuten y

Presupuesto

Declaracioacuten

funcional de la

necesidad


mercado

Estudio de

factibilidad

Anaacutelisis de

requerimientos

Anaacutelisis de

alternativas


beneficio

Estudio del

cambio de

software



administracioacuten

del riesgo

Planeacioacuten de

adquisiciones

Instalacioacuten

Inspeccioacuten

Pruebas de

Aceptacioacuten

Entrenamiento

inicial al usuario

Documentacioacuten

Medicioacuten del

Rendimiento

Modificaciones

Contractuales

Operaciones

Mantenimiento

Oportunidad

de

Disposicioacuten

Intercambio y

venta

Seleccioacuten

interna de la

Organizacioacuten

Transferencia

y Donacioacuten

Cierre de

Contrato

Co

nsi

de

rac

ion

es

de

Se

gu

rid

ad


la Seguridad

Evaluacioacuten

preliminar del

riesgo

Evaluacioacuten del

Riesgo

Anaacutelisis de

requerimientos

funcionales de

seguridad

Anaacutelisis de

requerimientos


seguridad

Consideraciones

de costos y

generacioacuten de

informes


seguridad

Desarrollo de

controles de

seguridad

Desarrollo de

Pruebas y

evaluacioacuten de

Seguridad

Otros

componentes de

planeacioacuten

Inspeccioacuten y

aceptacioacuten

Integracioacuten de

los controles de

seguridad


seguridad


seguridad

Administracioacuten

de la


controles

Monitoreo

continuo

Preservacioacuten

de la

Informacioacuten

Limpieza de

medios

Eliminacioacuten

de hardware

y software




59




Iniciacioacuten








para sus SI















seguridad funcional







60































Implementacioacuten




final


61


















organizacioacuten



tareas














global


62

Disposicioacuten












63






















el SI













64

65




Resumen













66























67






























68









la figura 9











CALIDAD




69












transmitida


























70













pruebas OWASP


71


om

inio

s su

ge

rid

os



FPR- Privacidad


evaluacioacuten







(CM)

10- Gestioacuten de

Comunicaciones y

operaciones




(IA)






informacioacuten





(PE)


ambiental




seguridad





servicios (SA)






Comunicaciones (SC)

10- Gestioacuten de

Comunicaciones y

operaciones

FCO- Comunicaciones







de usuario


200


72


om

inio

s su

ge

rid

os

FIPS PUB 200

COBIT













seguridad










seguridad



Comunicaciones (SC)


software malicioso



(SI)



seguridad


200(2)


73


om

inio

s su

ge

rid

os



autorizacioacuten



(AU)







(IA)

4 Pruebas de

autenticacioacuten










servicios (SA)


Comunicaciones (SC)

2 Seguridad de los

Procesos

3 Seguridad en las

comunicaciones




1 Seguridad de la

Informacioacuten


de datos


200(3)


74


Seguridad de un SI



























75











FIPS PUB 199


















76

























CWE muacuteltiples








7 httpcwemitreorg


77
















operativo (RNK-09)












(RNK-03)


78



(RNK-07)





13)







Wrapround (RNK-17)










ignoradas






79


sensibles (RNK-10)
































80
















Manual de Usuario






Etc






81




















82





conforman de

















200 de esta tesis











83





















un SI










equipo auditor


84






























de los EUArdquo

85




INFORMACIOacuteN

Resumen














86


87


seguridad para SI





88











POBC


















89




























90



















miacutenimos del SI
















desarrollador




91
































11






92









estos son








auditado

















93






































94





















propietario del SI





95










Informacioacuten





96


Informacioacuten


















97


Informacioacuten











98


Informacioacuten





99












auditoriacutea








auditoriacutea






comunes










100


completado









aspectos






el capiacutetulo 2





101


propuesto

551 Antecedentes






























102







funcionales del SI




para los SI


SP 800-37



seguridad











seguridad













103




apoyo





















553 Alcance
















104






portabilidad



554 Objetivo












555 Limitaciones




esta tesis




556 Requisitos

Acerca del Personal


105





desarrolla





























106























auditar











la auditoriacutea



107


































108








comerciales)





























109

















o SI comerciales y
















aspectos


110




seguridad del SI

Marco regulatorio y











seguridad del SI












objetivo






111























112










c) Responsable(s)




Nombre





Nombre

d) Definiciones

na


1 Editores de Texto




APROBACIOacuteN


Fecha Fecha Fecha




113



g) Procedimiento

































del SI


componen el SI






114





desarrollo del SI


























requeridos del SI

















115



















apartado







usuarios finales






















116




la auditoriacutea


auditoriacutea





la auditoriacutea














documental



de este POE)








este POE)








POE)




117



















Referencias

FIPS 199

FIPS 200

NIST SP 800-53

ISO 9126





118






















dichas desviaciones













119








800-53 etc






del SI












del siguiente POE


120









c) Responsable(s)




Nombre





Nombre

d) Definiciones

na







APROBACIOacuteN


Fecha Fecha Fecha




121



g) Procedimiento







punto 1611)


obtenida






obtenida






obtenida






obtenida







obtenida




122




auditoriacutea






















organizacionales











preliminar

Referencias







123










a cargo del SI



















etapa anterior






124




































125









del siguiente POE


126










c) Responsable(s)




Nombre





Nombre

d) Definiciones





1 Editores de Texto





APROBACIOacuteN


Fecha Fecha Fecha




127



g) Procedimiento






















auditoriacutea








cada tarea






128








auditado



Referencias








129













del tiempo





del SI


















130












c) Responsable(s)




Nombre





Nombre

d) Definiciones

na


1 Editores de Texto





APROBACIOacuteN


Fecha Fecha Fecha




131



g) Procedimiento







sobre el SI


























132










Referencias

ISO 27002

ISO 9126

COBIT




133






SI propuesto







autorizador del SI






















134



organizacionales







135


seguridad de un SI









de manera interna















criticidad en [54]






136












desarrolladores






















137

Requerimientos a


Cumplimiento

del navegador

Total por

Aspecto

evaluado




Seguridad NA

Libre de

Vulnerabilidades

conocidas

40 70 28

Cumplimiento

del navegador

= 88


siguientes aspectos
















por el navegador




138









disponibles



















finalmente




139












componen de




navegador









tarea


tarea







140









Conclusiones







navegador



















cubiertos


141

















142

143

CONCLUSIONES




























144







del negocio









encontradas






















145



















desarrollo







organizacional









146






















constante

















147











148

149

TRABAJOS A FUTURO










150

151

APEacuteNDICES


Sistema









Informacioacuten

















Apeacutendice A

152



Personas

Datos

Procedimientos

Hardware

Software







Almacenamiento


Apeacutendice A

153



Salida de datos





resultados



comunicacioacuten











Venezuela [13]


Apeacutendice A

154






organizacioacuten

Seguridad










Apeacutendice A

155

















informacioacuten

















Apeacutendice A

156

157


















k) Conformidad




Apeacutendice B

158

159


SISTEMAS



































Apeacutendice C

160



























software malicioso









161


ISOIEC 15408














ofrecen
















Apeacutendice D

162


pero relacionadas






y su tratamiento














FAU- Auditoriacutea

FCO- Comunicaciones





FPR- Privacidad


Apeacutendice D

163


evaluar











ADV- Desarrollo


ALC- Ciclo de vida

ATE- Prueba












Apeacutendice D

164






























Apeacutendice D

165
































Apeacutendice D

166










dantildeo








potencial

















167














SI
















Apeacutendice E

168









169














1 Control de acceso








9 Mantenimiento










Apeacutendice F

170






















acciones










Apeacutendice F

171













de emergencia




















Apeacutendice F

172


































Apeacutendice F

173




organizacioacuten







organizacioacuten






respuesta

















Apeacutendice F

174

175











c) Responsable(s)




Nombre





Nombre

d) Definiciones

na


3 Editores de Texto




APROBACIOacuteN


Fecha Fecha Fecha


176



g) Procedimiento






tiempo
















ldquoALTOrdquo











realizariacutea





177





Firefoxreg



















comunes







recursos necesarios









Referencias



178









c) Responsable(s)




Nombre





Nombre

d) Definiciones

na







APROBACIOacuteN


Fecha Fecha Fecha


179



g) Procedimiento










son





navegador







cumplimiento





SI









reportados


180







el acceso



































181
















Firefoxreg 3613












refresh [47]




NewIdArray [49]










182




































183




del navegador





Seguridad NA


40 70 28



siguientes aspectos























184










incluyoacute













Referencias





185










c) Responsable(s)




Nombre





Nombre

d) Definiciones





4 Editores de Texto





APROBACIOacuteN


Fecha Fecha Fecha


186



g) Procedimiento






















organizacioacuten



















187





cual

























confidencial






finales


cada tarea


de cada tarea



188











conocidas

Referencias





189












c) Responsable(s)




Nombre





Nombre

d) Definiciones

na


3 Editores de Texto





APROBACIOacuteN


Fecha Fecha Fecha


190



g) Procedimiento




























correctamente






191














del tiempo







Referencias



192

193






Noviembre 2010










194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215



Colombia




























216








Castilla-La Mancha









Pulications
















217









Praacutecticasrdquo

















Septiembre 2010





218





consulta Enero 2010



Agosto 2010




NIST Octubre 2003





















219

























220

221













iii

iv

v

vi

vii

AGRADECIMIENTOS





















viii

ix

RESUMEN































x










xi

ABSTRACT


































xii

xiii






tesis






























xiv

















xv

INDICE DE CONTENIDO

AGRADECIMIENTOS vii

RESUMEN ix

ABSTRACT xi






HIPOacuteTESIS xxv



ALCANCE xxix



Resumen 1


y seguridad 3





Resumen 15







xvi






Resumen 49





332 NIST SP 800-64 57




Resumen 65





de un SI 74










xvii



Resumen 85


SI 87





101



553 Alcance 103

554 Objetivo 104


556 Requisitos 104




un SI 135

CONCLUSIONES 143


APEacuteNDICES 151








xviii




xix









43






Informacioacuten 87


conocidos (POBC) 89









xx

xxi






ISO 9126 44


ISO 9126(2) 45









xxii

xxiii































xxiv

xxv

HIPOacuteTESIS



de seguridad










1





xxvi

xxvii

OBJETIVO GENERAL








informacioacuten















propuesto


xxviii

xxix

ALCANCE




desarrolladas









xxx

xxxi

JUSTIFICACIOacuteN










[1]














xxxii







aplicaciones












desarrollo de SI

2165

485


2009



xxxiii




xxxiv

1


Resumen









2


3







































4






















medida

















5












Aplicaciones

Bibliotecas SO

Transporte SO

Red

Nuacutem

ero

de V

ulne

rabi

lidad

es


6


















negociordquo







organizacionesrdquo








7





























8






2009 [6]







9










Madurez de

herramientas y

praacutecticas

Aportacioacuten de

vulnerabilidades















seguridad

Pruebas Bajo 10







Software CVDS











10


software




seguridad















11

13 Estado del arte












satisface



















desarrollo seguro






12






































13


orientados a la Web











seguridad




















14







impone












concepcioacuten

15


Resumen











16


17


































18











de Informacioacuten












tiempo


trabajo








19












Disentildeo de POE









realizar la tarea





actualizado



20








hojas





detenerse






convenientes









relevantes


21


Auditoriacutea






evaluacioacuten















administrativa





22
















Base Conceptual







organizacioacuten



software o hardware




23






empresas









calidad
















24

























nivel de seguridad






25












esta auditoriacutea








26


























ISO 27001







27




establecido











infinito






cuantitativas





hechos




los SI






28


Estaacutendar









resultados




para cada quien






especiacutefico












29













ISOIEC 12207






















30








Proceso Principales











31


















Procesos de soporte

















32


















actividades

















33


mantenimiento










34






15408







OWASP



ISO 27002







COBIT











35


























LOS SISTEMAS


36

ISOIEC 15408








que satisface




FAU- Auditoriacutea

FCO- Comunicaciones





FPR- Privacidad


evaluar







37

FIPS PUB 199
















FIPS PUB 200









transmitida




por estos sistemas




38


la seguridad son




















NIST SP 800-53








1 Control de acceso








9 Mantenimiento



39





























en este manual son








40



















10 Pruebas de AJAX


41































42
























praacutectica


43


ISOIEC9126

Funcionalidad

Confiabilidad

Usabilidad

Eficiencia

Mantenible

Portabilidad






por cierto tiempo



aprender


minimiza el uso

de recursos


y verificar el

software


transferir de un

ambiente a otro


44


tablas 3 y 4



Funcionalidad









Adecuacioacuten




Exactitud



Interoperabilidad



Cumplimiento



Seguridad



Confiabilidad







tiempo establecido

Madurez


Tolerancia a fallos




Recuperacioacuten




Usabilidad






Comprensibilidad







Operabilidad


sistema



45



Eficiencia





recursos usados







Mantenible







de funcionalidad




modificadas




ambiente diferente

Estabilidad



Facilidad de prueba


que fue modificado

Portabilidad




otro

Adaptabilidad





determinado

Conformidad








46







tiempos












aplicaciones















Seguro)


47









tesis


48

49


DESARROLLO SEGURO

Resumen














64)


50


51









reactiva










y esfuerzo











52
















de seguridad








53


















desarrollo








54














las organizaciones
























55










entrenamiento


disentildeo

implementacioacuten

verificacioacuten

liberacioacuten y

respuesta


SDL de Microsoft


Entrenamiento


Requisitos



Disentildeo



Implementacioacuten




Verificacioacuten



Liberacioacuten

Plan de respuestas



Respuesta



56





































57

332 NIST SP 800-64









son

Iniciacioacuten


Implementacioacuten


Disposicioacuten






58


Desarrollo


Mantenimiento

Disposicioacuten C

VD

S

Determinacioacuten

de necesidades

o Percepcioacuten

de una

necesidad

o Vinculacioacuten

de las

necesidades

con la misioacuten

y objetivos de

rendimiento

o Evaluacioacuten

de

Alternativas

de los Bienes

de Capital

o Preparacioacuten

para el

Anaacutelisis de

Inversioacuten y

Presupuesto

Declaracioacuten

funcional de la

necesidad


mercado

Estudio de

factibilidad

Anaacutelisis de

requerimientos

Anaacutelisis de

alternativas


beneficio

Estudio del

cambio de

software



administracioacuten

del riesgo

Planeacioacuten de

adquisiciones

Instalacioacuten

Inspeccioacuten

Pruebas de

Aceptacioacuten

Entrenamiento

inicial al usuario

Documentacioacuten

Medicioacuten del

Rendimiento

Modificaciones

Contractuales

Operaciones

Mantenimiento

Oportunidad

de

Disposicioacuten

Intercambio y

venta

Seleccioacuten

interna de la

Organizacioacuten

Transferencia

y Donacioacuten

Cierre de

Contrato

Co

nsi

de

rac

ion

es

de

Se

gu

rid

ad


la Seguridad

Evaluacioacuten

preliminar del

riesgo

Evaluacioacuten del

Riesgo

Anaacutelisis de

requerimientos

funcionales de

seguridad

Anaacutelisis de

requerimientos


seguridad

Consideraciones

de costos y

generacioacuten de

informes


seguridad

Desarrollo de

controles de

seguridad

Desarrollo de

Pruebas y

evaluacioacuten de

Seguridad

Otros

componentes de

planeacioacuten

Inspeccioacuten y

aceptacioacuten

Integracioacuten de

los controles de

seguridad


seguridad


seguridad

Administracioacuten

de la


controles

Monitoreo

continuo

Preservacioacuten

de la

Informacioacuten

Limpieza de

medios

Eliminacioacuten

de hardware

y software




59




Iniciacioacuten








para sus SI















seguridad funcional







60































Implementacioacuten




final


61


















organizacioacuten



tareas














global


62

Disposicioacuten












63






















el SI













64

65




Resumen













66























67






























68









la figura 9











CALIDAD




69












transmitida


























70













pruebas OWASP


71


om

inio

s su

ge

rid

os



FPR- Privacidad


evaluacioacuten







(CM)

10- Gestioacuten de

Comunicaciones y

operaciones




(IA)






informacioacuten





(PE)


ambiental




seguridad





servicios (SA)






Comunicaciones (SC)

10- Gestioacuten de

Comunicaciones y

operaciones

FCO- Comunicaciones







de usuario


200


72


om

inio

s su

ge

rid

os

FIPS PUB 200

COBIT













seguridad










seguridad



Comunicaciones (SC)


software malicioso



(SI)



seguridad


200(2)


73


om

inio

s su

ge

rid

os



autorizacioacuten



(AU)







(IA)

4 Pruebas de

autenticacioacuten










servicios (SA)


Comunicaciones (SC)

2 Seguridad de los

Procesos

3 Seguridad en las

comunicaciones




1 Seguridad de la

Informacioacuten


de datos


200(3)


74


Seguridad de un SI



























75











FIPS PUB 199


















76

























CWE muacuteltiples








7 httpcwemitreorg


77
















operativo (RNK-09)












(RNK-03)


78



(RNK-07)





13)







Wrapround (RNK-17)










ignoradas






79


sensibles (RNK-10)
































80
















Manual de Usuario






Etc






81




















82





conforman de

















200 de esta tesis











83





















un SI










equipo auditor


84






























de los EUArdquo

85




INFORMACIOacuteN

Resumen














86


87


seguridad para SI





88











POBC


















89




























90



















miacutenimos del SI
















desarrollador




91
































11






92









estos son








auditado

















93






































94





















propietario del SI





95










Informacioacuten





96


Informacioacuten


















97


Informacioacuten











98


Informacioacuten





99












auditoriacutea








auditoriacutea






comunes










100


completado









aspectos






el capiacutetulo 2





101


propuesto

551 Antecedentes






























102







funcionales del SI




para los SI


SP 800-37



seguridad











seguridad













103




apoyo





















553 Alcance
















104






portabilidad



554 Objetivo












555 Limitaciones




esta tesis




556 Requisitos

Acerca del Personal


105





desarrolla





























106























auditar











la auditoriacutea



107


































108








comerciales)





























109

















o SI comerciales y
















aspectos


110




seguridad del SI

Marco regulatorio y











seguridad del SI












objetivo






111























112










c) Responsable(s)




Nombre





Nombre

d) Definiciones

na


1 Editores de Texto




APROBACIOacuteN


Fecha Fecha Fecha




113



g) Procedimiento

































del SI


componen el SI






114





desarrollo del SI


























requeridos del SI

















115



















apartado







usuarios finales






















116




la auditoriacutea


auditoriacutea





la auditoriacutea














documental



de este POE)








este POE)








POE)




117



















Referencias

FIPS 199

FIPS 200

NIST SP 800-53

ISO 9126





118






















dichas desviaciones













119








800-53 etc






del SI












del siguiente POE


120









c) Responsable(s)




Nombre





Nombre

d) Definiciones

na







APROBACIOacuteN


Fecha Fecha Fecha




121



g) Procedimiento







punto 1611)


obtenida






obtenida






obtenida






obtenida







obtenida




122




auditoriacutea






















organizacionales











preliminar

Referencias







123










a cargo del SI



















etapa anterior






124




































125









del siguiente POE


126










c) Responsable(s)




Nombre





Nombre

d) Definiciones





1 Editores de Texto





APROBACIOacuteN


Fecha Fecha Fecha




127



g) Procedimiento






















auditoriacutea








cada tarea






128








auditado



Referencias








129













del tiempo





del SI


















130












c) Responsable(s)




Nombre





Nombre

d) Definiciones

na


1 Editores de Texto





APROBACIOacuteN


Fecha Fecha Fecha




131



g) Procedimiento







sobre el SI


























132










Referencias

ISO 27002

ISO 9126

COBIT




133






SI propuesto







autorizador del SI






















134



organizacionales







135


seguridad de un SI









de manera interna















criticidad en [54]






136












desarrolladores






















137

Requerimientos a


Cumplimiento

del navegador

Total por

Aspecto

evaluado




Seguridad NA

Libre de

Vulnerabilidades

conocidas

40 70 28

Cumplimiento

del navegador

= 88


siguientes aspectos
















por el navegador




138









disponibles



















finalmente




139












componen de




navegador









tarea


tarea







140









Conclusiones







navegador



















cubiertos


141

















142

143

CONCLUSIONES




























144







del negocio









encontradas






















145



















desarrollo







organizacional









146






















constante

















147











148

149

TRABAJOS A FUTURO










150

151

APEacuteNDICES


Sistema









Informacioacuten

















Apeacutendice A

152



Personas

Datos

Procedimientos

Hardware

Software







Almacenamiento


Apeacutendice A

153



Salida de datos





resultados



comunicacioacuten











Venezuela [13]


Apeacutendice A

154






organizacioacuten

Seguridad










Apeacutendice A

155

















informacioacuten

















Apeacutendice A

156

157


















k) Conformidad




Apeacutendice B

158

159


SISTEMAS



































Apeacutendice C

160



























software malicioso









161


ISOIEC 15408














ofrecen
















Apeacutendice D

162


pero relacionadas






y su tratamiento














FAU- Auditoriacutea

FCO- Comunicaciones





FPR- Privacidad


Apeacutendice D

163


evaluar











ADV- Desarrollo


ALC- Ciclo de vida

ATE- Prueba












Apeacutendice D

164






























Apeacutendice D

165
































Apeacutendice D

166










dantildeo








potencial

















167














SI
















Apeacutendice E

168









169














1 Control de acceso








9 Mantenimiento










Apeacutendice F

170






















acciones










Apeacutendice F

171













de emergencia




















Apeacutendice F

172


































Apeacutendice F

173




organizacioacuten







organizacioacuten






respuesta

















Apeacutendice F

174

175











c) Responsable(s)




Nombre





Nombre

d) Definiciones

na


3 Editores de Texto




APROBACIOacuteN


Fecha Fecha Fecha


176



g) Procedimiento






tiempo
















ldquoALTOrdquo











realizariacutea





177





Firefoxreg



















comunes







recursos necesarios









Referencias



178









c) Responsable(s)




Nombre





Nombre

d) Definiciones

na







APROBACIOacuteN


Fecha Fecha Fecha


179



g) Procedimiento










son





navegador







cumplimiento





SI









reportados


180







el acceso



































181
















Firefoxreg 3613












refresh [47]




NewIdArray [49]










182




































183




del navegador





Seguridad NA


40 70 28



siguientes aspectos























184










incluyoacute













Referencias





185










c) Responsable(s)




Nombre





Nombre

d) Definiciones





4 Editores de Texto





APROBACIOacuteN


Fecha Fecha Fecha


186



g) Procedimiento






















organizacioacuten



















187





cual

























confidencial






finales


cada tarea


de cada tarea



188











conocidas

Referencias





189












c) Responsable(s)




Nombre





Nombre

d) Definiciones

na


3 Editores de Texto





APROBACIOacuteN


Fecha Fecha Fecha


190



g) Procedimiento




























correctamente






191














del tiempo







Referencias



192

193






Noviembre 2010










194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215



Colombia




























216








Castilla-La Mancha









Pulications
















217









Praacutecticasrdquo

















Septiembre 2010





218





consulta Enero 2010



Agosto 2010




NIST Octubre 2003





















219

























220

221













iv

v

vi

vii

AGRADECIMIENTOS





















viii

ix

RESUMEN































x










xi

ABSTRACT


































xii

xiii






tesis






























xiv

















xv

INDICE DE CONTENIDO

AGRADECIMIENTOS vii

RESUMEN ix

ABSTRACT xi






HIPOacuteTESIS xxv



ALCANCE xxix



Resumen 1


y seguridad 3





Resumen 15







xvi






Resumen 49





332 NIST SP 800-64 57




Resumen 65





de un SI 74










xvii



Resumen 85


SI 87





101



553 Alcance 103

554 Objetivo 104


556 Requisitos 104




un SI 135

CONCLUSIONES 143


APEacuteNDICES 151








xviii




xix









43






Informacioacuten 87


conocidos (POBC) 89









xx

xxi






ISO 9126 44


ISO 9126(2) 45









xxii

xxiii































xxiv

xxv

HIPOacuteTESIS



de seguridad










1





xxvi

xxvii

OBJETIVO GENERAL








informacioacuten















propuesto


xxviii

xxix

ALCANCE




desarrolladas









xxx

xxxi

JUSTIFICACIOacuteN










[1]














xxxii







aplicaciones












desarrollo de SI

2165

485


2009



xxxiii




xxxiv

1


Resumen









2


3







































4






















medida

















5












Aplicaciones

Bibliotecas SO

Transporte SO

Red

Nuacutem

ero

de V

ulne

rabi

lidad

es


6


















negociordquo







organizacionesrdquo








7





























8






2009 [6]







9










Madurez de

herramientas y

praacutecticas

Aportacioacuten de

vulnerabilidades















seguridad

Pruebas Bajo 10







Software CVDS











10


software




seguridad















11

13 Estado del arte












satisface



















desarrollo seguro






12






































13


orientados a la Web











seguridad




















14







impone












concepcioacuten

15


Resumen











16


17


































18











de Informacioacuten












tiempo


trabajo








19












Disentildeo de POE









realizar la tarea





actualizado



20








hojas





detenerse






convenientes









relevantes


21


Auditoriacutea






evaluacioacuten















administrativa





22
















Base Conceptual







organizacioacuten



software o hardware




23






empresas









calidad
















24

























nivel de seguridad






25












esta auditoriacutea








26


























ISO 27001







27




establecido











infinito






cuantitativas





hechos




los SI






28


Estaacutendar









resultados




para cada quien






especiacutefico












29













ISOIEC 12207






















30








Proceso Principales











31


















Procesos de soporte

















32


















actividades

















33


mantenimiento










34






15408







OWASP



ISO 27002







COBIT











35


























LOS SISTEMAS


36

ISOIEC 15408








que satisface




FAU- Auditoriacutea

FCO- Comunicaciones





FPR- Privacidad


evaluar







37

FIPS PUB 199
















FIPS PUB 200









transmitida




por estos sistemas




38


la seguridad son




















NIST SP 800-53








1 Control de acceso








9 Mantenimiento



39





























en este manual son








40



















10 Pruebas de AJAX


41































42
























praacutectica


43


ISOIEC9126

Funcionalidad

Confiabilidad

Usabilidad

Eficiencia

Mantenible

Portabilidad






por cierto tiempo



aprender


minimiza el uso

de recursos


y verificar el

software


transferir de un

ambiente a otro


44


tablas 3 y 4



Funcionalidad









Adecuacioacuten




Exactitud



Interoperabilidad



Cumplimiento



Seguridad



Confiabilidad







tiempo establecido

Madurez


Tolerancia a fallos




Recuperacioacuten




Usabilidad






Comprensibilidad







Operabilidad


sistema



45



Eficiencia





recursos usados







Mantenible







de funcionalidad




modificadas




ambiente diferente

Estabilidad



Facilidad de prueba


que fue modificado

Portabilidad




otro

Adaptabilidad





determinado

Conformidad








46







tiempos












aplicaciones















Seguro)


47









tesis


48

49


DESARROLLO SEGURO

Resumen














64)


50


51









reactiva










y esfuerzo











52
















de seguridad








53


















desarrollo








54














las organizaciones
























55










entrenamiento


disentildeo

implementacioacuten

verificacioacuten

liberacioacuten y

respuesta


SDL de Microsoft


Entrenamiento


Requisitos



Disentildeo



Implementacioacuten




Verificacioacuten



Liberacioacuten

Plan de respuestas



Respuesta



56





































57

332 NIST SP 800-64









son

Iniciacioacuten


Implementacioacuten


Disposicioacuten






58


Desarrollo


Mantenimiento

Disposicioacuten C

VD

S

Determinacioacuten

de necesidades

o Percepcioacuten

de una

necesidad

o Vinculacioacuten

de las

necesidades

con la misioacuten

y objetivos de

rendimiento

o Evaluacioacuten

de

Alternativas

de los Bienes

de Capital

o Preparacioacuten

para el

Anaacutelisis de

Inversioacuten y

Presupuesto

Declaracioacuten

funcional de la

necesidad


mercado

Estudio de

factibilidad

Anaacutelisis de

requerimientos

Anaacutelisis de

alternativas


beneficio

Estudio del

cambio de

software



administracioacuten

del riesgo

Planeacioacuten de

adquisiciones

Instalacioacuten

Inspeccioacuten

Pruebas de

Aceptacioacuten

Entrenamiento

inicial al usuario

Documentacioacuten

Medicioacuten del

Rendimiento

Modificaciones

Contractuales

Operaciones

Mantenimiento

Oportunidad

de

Disposicioacuten

Intercambio y

venta

Seleccioacuten

interna de la

Organizacioacuten

Transferencia

y Donacioacuten

Cierre de

Contrato

Co

nsi

de

rac

ion

es

de

Se

gu

rid

ad


la Seguridad

Evaluacioacuten

preliminar del

riesgo

Evaluacioacuten del

Riesgo

Anaacutelisis de

requerimientos

funcionales de

seguridad

Anaacutelisis de

requerimientos


seguridad

Consideraciones

de costos y

generacioacuten de

informes


seguridad

Desarrollo de

controles de

seguridad

Desarrollo de

Pruebas y

evaluacioacuten de

Seguridad

Otros

componentes de

planeacioacuten

Inspeccioacuten y

aceptacioacuten

Integracioacuten de

los controles de

seguridad


seguridad


seguridad

Administracioacuten

de la


controles

Monitoreo

continuo

Preservacioacuten

de la

Informacioacuten

Limpieza de

medios

Eliminacioacuten

de hardware

y software




59




Iniciacioacuten








para sus SI















seguridad funcional







60































Implementacioacuten




final


61


















organizacioacuten



tareas














global


62

Disposicioacuten












63






















el SI













64

65




Resumen













66























67






























68









la figura 9











CALIDAD




69












transmitida


























70













pruebas OWASP


71


om

inio

s su

ge

rid

os



FPR- Privacidad


evaluacioacuten







(CM)

10- Gestioacuten de

Comunicaciones y

operaciones




(IA)






informacioacuten





(PE)


ambiental




seguridad





servicios (SA)






Comunicaciones (SC)

10- Gestioacuten de

Comunicaciones y

operaciones

FCO- Comunicaciones







de usuario


200


72


om

inio

s su

ge

rid

os

FIPS PUB 200

COBIT













seguridad










seguridad



Comunicaciones (SC)


software malicioso



(SI)



seguridad


200(2)


73


om

inio

s su

ge

rid

os



autorizacioacuten



(AU)







(IA)

4 Pruebas de

autenticacioacuten










servicios (SA)


Comunicaciones (SC)

2 Seguridad de los

Procesos

3 Seguridad en las

comunicaciones




1 Seguridad de la

Informacioacuten


de datos


200(3)


74


Seguridad de un SI



























75











FIPS PUB 199


















76

























CWE muacuteltiples








7 httpcwemitreorg


77
















operativo (RNK-09)












(RNK-03)


78



(RNK-07)





13)







Wrapround (RNK-17)










ignoradas






79


sensibles (RNK-10)
































80
















Manual de Usuario






Etc






81




















82





conforman de

















200 de esta tesis











83





















un SI










equipo auditor


84






























de los EUArdquo

85




INFORMACIOacuteN

Resumen














86


87


seguridad para SI





88











POBC


















89




























90



















miacutenimos del SI
















desarrollador




91
































11






92









estos son








auditado

















93






































94





















propietario del SI





95










Informacioacuten





96


Informacioacuten


















97


Informacioacuten











98


Informacioacuten





99












auditoriacutea








auditoriacutea






comunes










100


completado









aspectos






el capiacutetulo 2





101


propuesto

551 Antecedentes






























102







funcionales del SI




para los SI


SP 800-37



seguridad











seguridad













103




apoyo





















553 Alcance
















104






portabilidad



554 Objetivo












555 Limitaciones




esta tesis




556 Requisitos

Acerca del Personal


105





desarrolla





























106























auditar











la auditoriacutea



107


































108








comerciales)





























109

















o SI comerciales y
















aspectos


110




seguridad del SI

Marco regulatorio y











seguridad del SI












objetivo






111























112










c) Responsable(s)




Nombre





Nombre

d) Definiciones

na


1 Editores de Texto




APROBACIOacuteN


Fecha Fecha Fecha




113



g) Procedimiento

































del SI


componen el SI






114





desarrollo del SI


























requeridos del SI

















115



















apartado







usuarios finales






















116




la auditoriacutea


auditoriacutea





la auditoriacutea














documental



de este POE)








este POE)








POE)




117



















Referencias

FIPS 199

FIPS 200

NIST SP 800-53

ISO 9126





118






















dichas desviaciones













119








800-53 etc






del SI












del siguiente POE


120









c) Responsable(s)




Nombre





Nombre

d) Definiciones

na







APROBACIOacuteN


Fecha Fecha Fecha




121



g) Procedimiento







punto 1611)


obtenida






obtenida






obtenida






obtenida







obtenida




122




auditoriacutea






















organizacionales











preliminar

Referencias







123










a cargo del SI



















etapa anterior






124




































125









del siguiente POE


126










c) Responsable(s)




Nombre





Nombre

d) Definiciones





1 Editores de Texto





APROBACIOacuteN


Fecha Fecha Fecha




127



g) Procedimiento






















auditoriacutea








cada tarea






128








auditado



Referencias








129













del tiempo





del SI


















130












c) Responsable(s)




Nombre





Nombre

d) Definiciones

na


1 Editores de Texto





APROBACIOacuteN


Fecha Fecha Fecha




131



g) Procedimiento







sobre el SI


























132










Referencias

ISO 27002

ISO 9126

COBIT




133






SI propuesto







autorizador del SI






















134



organizacionales







135


seguridad de un SI









de manera interna















criticidad en [54]






136












desarrolladores






















137

Requerimientos a


Cumplimiento

del navegador

Total por

Aspecto

evaluado




Seguridad NA

Libre de

Vulnerabilidades

conocidas

40 70 28

Cumplimiento

del navegador

= 88


siguientes aspectos
















por el navegador




138









disponibles



















finalmente




139












componen de




navegador









tarea


tarea







140









Conclusiones







navegador



















cubiertos


141

















142

143

CONCLUSIONES




























144







del negocio









encontradas






















145



















desarrollo







organizacional









146






















constante

















147











148

149

TRABAJOS A FUTURO










150

151

APEacuteNDICES


Sistema









Informacioacuten

















Apeacutendice A

152



Personas

Datos

Procedimientos

Hardware

Software







Almacenamiento


Apeacutendice A

153



Salida de datos





resultados



comunicacioacuten











Venezuela [13]


Apeacutendice A

154






organizacioacuten

Seguridad










Apeacutendice A

155

















informacioacuten

















Apeacutendice A

156

157


















k) Conformidad




Apeacutendice B

158

159


SISTEMAS



































Apeacutendice C

160



























software malicioso









161


ISOIEC 15408














ofrecen
















Apeacutendice D

162


pero relacionadas






y su tratamiento














FAU- Auditoriacutea

FCO- Comunicaciones





FPR- Privacidad


Apeacutendice D

163


evaluar











ADV- Desarrollo


ALC- Ciclo de vida

ATE- Prueba












Apeacutendice D

164






























Apeacutendice D

165
































Apeacutendice D

166










dantildeo








potencial

















167














SI
















Apeacutendice E

168









169














1 Control de acceso








9 Mantenimiento










Apeacutendice F

170






















acciones










Apeacutendice F

171













de emergencia




















Apeacutendice F

172


































Apeacutendice F

173




organizacioacuten







organizacioacuten






respuesta

















Apeacutendice F

174

175











c) Responsable(s)




Nombre





Nombre

d) Definiciones

na


3 Editores de Texto




APROBACIOacuteN


Fecha Fecha Fecha


176



g) Procedimiento






tiempo
















ldquoALTOrdquo











realizariacutea





177





Firefoxreg



















comunes







recursos necesarios









Referencias



178









c) Responsable(s)




Nombre





Nombre

d) Definiciones

na







APROBACIOacuteN


Fecha Fecha Fecha


179



g) Procedimiento










son





navegador







cumplimiento





SI









reportados


180







el acceso



































181
















Firefoxreg 3613












refresh [47]




NewIdArray [49]










182




































183




del navegador





Seguridad NA


40 70 28



siguientes aspectos























184










incluyoacute













Referencias





185










c) Responsable(s)




Nombre





Nombre

d) Definiciones





4 Editores de Texto





APROBACIOacuteN


Fecha Fecha Fecha


186



g) Procedimiento






















organizacioacuten



















187





cual

























confidencial






finales


cada tarea


de cada tarea



188











conocidas

Referencias





189












c) Responsable(s)




Nombre





Nombre

d) Definiciones

na


3 Editores de Texto





APROBACIOacuteN


Fecha Fecha Fecha


190



g) Procedimiento




























correctamente






191














del tiempo







Referencias



192

193






Noviembre 2010










194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215



Colombia




























216








Castilla-La Mancha









Pulications
















217









Praacutecticasrdquo

















Septiembre 2010





218





consulta Enero 2010



Agosto 2010




NIST Octubre 2003





















219

























220

221













v

vi

vii

AGRADECIMIENTOS





















viii

ix

RESUMEN































x










xi

ABSTRACT


































xii

xiii






tesis






























xiv

















xv

INDICE DE CONTENIDO

AGRADECIMIENTOS vii

RESUMEN ix

ABSTRACT xi






HIPOacuteTESIS xxv



ALCANCE xxix



Resumen 1


y seguridad 3





Resumen 15







xvi






Resumen 49





332 NIST SP 800-64 57




Resumen 65





de un SI 74










xvii



Resumen 85


SI 87





101



553 Alcance 103

554 Objetivo 104


556 Requisitos 104




un SI 135

CONCLUSIONES 143


APEacuteNDICES 151








xviii




xix









43






Informacioacuten 87


conocidos (POBC) 89









xx

xxi






ISO 9126 44


ISO 9126(2) 45









xxii

xxiii































xxiv

xxv

HIPOacuteTESIS



de seguridad










1





xxvi

xxvii

OBJETIVO GENERAL








informacioacuten















propuesto


xxviii

xxix

ALCANCE




desarrolladas









xxx

xxxi

JUSTIFICACIOacuteN










[1]














xxxii







aplicaciones












desarrollo de SI

2165

485


2009



xxxiii




xxxiv

1


Resumen









2


3







































4






















medida

















5












Aplicaciones

Bibliotecas SO

Transporte SO

Red

Nuacutem

ero

de V

ulne

rabi

lidad

es


6


















negociordquo







organizacionesrdquo








7





























8






2009 [6]







9










Madurez de

herramientas y

praacutecticas

Aportacioacuten de

vulnerabilidades















seguridad

Pruebas Bajo 10







Software CVDS











10


software




seguridad















11

13 Estado del arte












satisface



















desarrollo seguro






12






































13


orientados a la Web











seguridad




















14







impone












concepcioacuten

15


Resumen











16


17


































18











de Informacioacuten












tiempo


trabajo








19












Disentildeo de POE









realizar la tarea





actualizado



20








hojas





detenerse






convenientes









relevantes


21


Auditoriacutea






evaluacioacuten















administrativa





22
















Base Conceptual







organizacioacuten



software o hardware




23






empresas









calidad
















24

























nivel de seguridad






25












esta auditoriacutea








26


























ISO 27001







27




establecido











infinito






cuantitativas





hechos




los SI






28


Estaacutendar









resultados




para cada quien






especiacutefico












29













ISOIEC 12207






















30








Proceso Principales











31


















Procesos de soporte

















32


















actividades

















33


mantenimiento










34






15408







OWASP



ISO 27002







COBIT











35


























LOS SISTEMAS


36

ISOIEC 15408








que satisface




FAU- Auditoriacutea

FCO- Comunicaciones





FPR- Privacidad


evaluar







37

FIPS PUB 199
















FIPS PUB 200









transmitida




por estos sistemas




38


la seguridad son




















NIST SP 800-53








1 Control de acceso








9 Mantenimiento



39





























en este manual son








40



















10 Pruebas de AJAX


41































42
























praacutectica


43


ISOIEC9126

Funcionalidad

Confiabilidad

Usabilidad

Eficiencia

Mantenible

Portabilidad






por cierto tiempo



aprender


minimiza el uso

de recursos


y verificar el

software


transferir de un

ambiente a otro


44


tablas 3 y 4



Funcionalidad









Adecuacioacuten




Exactitud



Interoperabilidad



Cumplimiento



Seguridad



Confiabilidad







tiempo establecido

Madurez


Tolerancia a fallos




Recuperacioacuten




Usabilidad






Comprensibilidad







Operabilidad


sistema



45



Eficiencia





recursos usados







Mantenible







de funcionalidad




modificadas




ambiente diferente

Estabilidad



Facilidad de prueba


que fue modificado

Portabilidad




otro

Adaptabilidad





determinado

Conformidad








46







tiempos












aplicaciones















Seguro)


47









tesis


48

49


DESARROLLO SEGURO

Resumen














64)


50


51









reactiva










y esfuerzo











52
















de seguridad








53


















desarrollo








54














las organizaciones
























55










entrenamiento


disentildeo

implementacioacuten

verificacioacuten

liberacioacuten y

respuesta


SDL de Microsoft


Entrenamiento


Requisitos



Disentildeo



Implementacioacuten




Verificacioacuten



Liberacioacuten

Plan de respuestas



Respuesta



56





































57

332 NIST SP 800-64









son

Iniciacioacuten


Implementacioacuten


Disposicioacuten






58


Desarrollo


Mantenimiento

Disposicioacuten C

VD

S

Determinacioacuten

de necesidades

o Percepcioacuten

de una

necesidad

o Vinculacioacuten

de las

necesidades

con la misioacuten

y objetivos de

rendimiento

o Evaluacioacuten

de

Alternativas

de los Bienes

de Capital

o Preparacioacuten

para el

Anaacutelisis de

Inversioacuten y

Presupuesto

Declaracioacuten

funcional de la

necesidad


mercado

Estudio de

factibilidad

Anaacutelisis de

requerimientos

Anaacutelisis de

alternativas


beneficio

Estudio del

cambio de

software



administracioacuten

del riesgo

Planeacioacuten de

adquisiciones

Instalacioacuten

Inspeccioacuten

Pruebas de

Aceptacioacuten

Entrenamiento

inicial al usuario

Documentacioacuten

Medicioacuten del

Rendimiento

Modificaciones

Contractuales

Operaciones

Mantenimiento

Oportunidad

de

Disposicioacuten

Intercambio y

venta

Seleccioacuten

interna de la

Organizacioacuten

Transferencia

y Donacioacuten

Cierre de

Contrato

Co

nsi

de

rac

ion

es

de

Se

gu

rid

ad


la Seguridad

Evaluacioacuten

preliminar del

riesgo

Evaluacioacuten del

Riesgo

Anaacutelisis de

requerimientos

funcionales de

seguridad

Anaacutelisis de

requerimientos


seguridad

Consideraciones

de costos y

generacioacuten de

informes


seguridad

Desarrollo de

controles de

seguridad

Desarrollo de

Pruebas y

evaluacioacuten de

Seguridad

Otros

componentes de

planeacioacuten

Inspeccioacuten y

aceptacioacuten

Integracioacuten de

los controles de

seguridad


seguridad


seguridad

Administracioacuten

de la


controles

Monitoreo

continuo

Preservacioacuten

de la

Informacioacuten

Limpieza de

medios

Eliminacioacuten

de hardware

y software




59




Iniciacioacuten








para sus SI















seguridad funcional







60































Implementacioacuten




final


61


















organizacioacuten



tareas














global


62

Disposicioacuten












63






















el SI













64

65




Resumen













66























67






























68









la figura 9











CALIDAD




69












transmitida


























70













pruebas OWASP


71


om

inio

s su

ge

rid

os



FPR- Privacidad


evaluacioacuten







(CM)

10- Gestioacuten de

Comunicaciones y

operaciones




(IA)






informacioacuten





(PE)


ambiental




seguridad





servicios (SA)






Comunicaciones (SC)

10- Gestioacuten de

Comunicaciones y

operaciones

FCO- Comunicaciones







de usuario


200


72


om

inio

s su

ge

rid

os

FIPS PUB 200

COBIT













seguridad










seguridad



Comunicaciones (SC)


software malicioso



(SI)



seguridad


200(2)


73


om

inio

s su

ge

rid

os



autorizacioacuten



(AU)







(IA)

4 Pruebas de

autenticacioacuten










servicios (SA)


Comunicaciones (SC)

2 Seguridad de los

Procesos

3 Seguridad en las

comunicaciones




1 Seguridad de la

Informacioacuten


de datos


200(3)


74


Seguridad de un SI



























75











FIPS PUB 199


















76

























CWE muacuteltiples








7 httpcwemitreorg


77
















operativo (RNK-09)












(RNK-03)


78



(RNK-07)





13)







Wrapround (RNK-17)










ignoradas






79


sensibles (RNK-10)
































80
















Manual de Usuario






Etc






81




















82





conforman de

















200 de esta tesis











83





















un SI










equipo auditor


84






























de los EUArdquo

85




INFORMACIOacuteN

Resumen














86


87


seguridad para SI





88











POBC


















89




























90



















miacutenimos del SI
















desarrollador




91
































11






92









estos son








auditado

















93






































94





















propietario del SI





95










Informacioacuten





96


Informacioacuten


















97


Informacioacuten











98


Informacioacuten





99












auditoriacutea








auditoriacutea






comunes










100


completado









aspectos






el capiacutetulo 2





101


propuesto

551 Antecedentes






























102







funcionales del SI




para los SI


SP 800-37



seguridad











seguridad













103




apoyo





















553 Alcance
















104






portabilidad



554 Objetivo












555 Limitaciones




esta tesis




556 Requisitos

Acerca del Personal


105





desarrolla





























106























auditar











la auditoriacutea



107


































108








comerciales)





























109

















o SI comerciales y
















aspectos


110




seguridad del SI

Marco regulatorio y











seguridad del SI












objetivo






111























112










c) Responsable(s)




Nombre





Nombre

d) Definiciones

na


1 Editores de Texto




APROBACIOacuteN


Fecha Fecha Fecha




113



g) Procedimiento

































del SI


componen el SI






114





desarrollo del SI


























requeridos del SI

















115



















apartado







usuarios finales






















116




la auditoriacutea


auditoriacutea





la auditoriacutea














documental



de este POE)








este POE)








POE)




117



















Referencias

FIPS 199

FIPS 200

NIST SP 800-53

ISO 9126





118






















dichas desviaciones













119








800-53 etc






del SI












del siguiente POE


120









c) Responsable(s)




Nombre





Nombre

d) Definiciones

na







APROBACIOacuteN


Fecha Fecha Fecha




121



g) Procedimiento







punto 1611)


obtenida






obtenida






obtenida






obtenida







obtenida




122




auditoriacutea






















organizacionales











preliminar

Referencias







123










a cargo del SI



















etapa anterior






124




































125









del siguiente POE


126










c) Responsable(s)




Nombre





Nombre

d) Definiciones





1 Editores de Texto





APROBACIOacuteN


Fecha Fecha Fecha




127



g) Procedimiento






















auditoriacutea








cada tarea






128








auditado



Referencias








129













del tiempo





del SI


















130












c) Responsable(s)




Nombre





Nombre

d) Definiciones

na


1 Editores de Texto





APROBACIOacuteN


Fecha Fecha Fecha




131



g) Procedimiento







sobre el SI


























132










Referencias

ISO 27002

ISO 9126

COBIT




133






SI propuesto







autorizador del SI






















134



organizacionales







135


seguridad de un SI









de manera interna















criticidad en [54]






136












desarrolladores






















137

Requerimientos a


Cumplimiento

del navegador

Total por

Aspecto

evaluado




Seguridad NA

Libre de

Vulnerabilidades

conocidas

40 70 28

Cumplimiento

del navegador

= 88


siguientes aspectos
















por el navegador




138









disponibles



















finalmente




139












componen de




navegador









tarea


tarea







140









Conclusiones







navegador



















cubiertos


141

















142

143

CONCLUSIONES




























144







del negocio









encontradas






















145



















desarrollo







organizacional









146






















constante

















147











148

149

TRABAJOS A FUTURO










150

151

APEacuteNDICES


Sistema









Informacioacuten

















Apeacutendice A

152



Personas

Datos

Procedimientos

Hardware

Software







Almacenamiento


Apeacutendice A

153



Salida de datos





resultados



comunicacioacuten











Venezuela [13]


Apeacutendice A

154






organizacioacuten

Seguridad










Apeacutendice A

155

















informacioacuten

















Apeacutendice A

156

157


















k) Conformidad




Apeacutendice B

158

159


SISTEMAS



































Apeacutendice C

160



























software malicioso









161


ISOIEC 15408














ofrecen
















Apeacutendice D

162


pero relacionadas






y su tratamiento














FAU- Auditoriacutea

FCO- Comunicaciones





FPR- Privacidad


Apeacutendice D

163


evaluar











ADV- Desarrollo


ALC- Ciclo de vida

ATE- Prueba












Apeacutendice D

164






























Apeacutendice D

165
































Apeacutendice D

166










dantildeo








potencial

















167














SI
















Apeacutendice E

168









169














1 Control de acceso








9 Mantenimiento










Apeacutendice F

170






















acciones










Apeacutendice F

171













de emergencia




















Apeacutendice F

172


































Apeacutendice F

173




organizacioacuten







organizacioacuten






respuesta

















Apeacutendice F

174

175











c) Responsable(s)




Nombre





Nombre

d) Definiciones

na


3 Editores de Texto




APROBACIOacuteN


Fecha Fecha Fecha


176



g) Procedimiento






tiempo
















ldquoALTOrdquo











realizariacutea





177





Firefoxreg



















comunes







recursos necesarios









Referencias



178









c) Responsable(s)




Nombre





Nombre

d) Definiciones

na







APROBACIOacuteN


Fecha Fecha Fecha


179



g) Procedimiento










son





navegador







cumplimiento





SI









reportados


180







el acceso



































181
















Firefoxreg 3613












refresh [47]




NewIdArray [49]










182




































183




del navegador





Seguridad NA


40 70 28



siguientes aspectos























184










incluyoacute













Referencias





185










c) Responsable(s)




Nombre





Nombre

d) Definiciones





4 Editores de Texto





APROBACIOacuteN


Fecha Fecha Fecha


186



g) Procedimiento






















organizacioacuten



















187





cual

























confidencial






finales


cada tarea


de cada tarea



188











conocidas

Referencias





189












c) Responsable(s)




Nombre





Nombre

d) Definiciones

na


3 Editores de Texto





APROBACIOacuteN


Fecha Fecha Fecha


190



g) Procedimiento




























correctamente






191














del tiempo







Referencias



192

193






Noviembre 2010










194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215



Colombia




























216








Castilla-La Mancha









Pulications
















217









Praacutecticasrdquo

















Septiembre 2010





218





consulta Enero 2010



Agosto 2010




NIST Octubre 2003





















219

























220

221













Modelo de Auditoria de Seguridad de SI

Documents

Transcript of Modelo de Auditoria de Seguridad de SI