Auditoría informática6

Page 1

AUDITORÍA INFORMÁTICA Ing. Lisbeth Arévalo

PROTECCIÓN DE LOS ACTIVOS FIJOS

EXPOSICIONES Y CONTROLES DE ACCESO LOGICO • El factor mas critico para proteger los activos de información y la privacidad es establecer la base para una gestión efectiva de la seguridad de la información. • Los objetivos de seguridad para satisfacer los requerimientos del negocio de la organización incluyen los siguientes: • Asegurar la continua disponibilidad de sus SI • Asegurar la integridad de la información almacenada en sus SI • Preservar la confidencialidad de los datos sensibles. • Asegurar el cumplimiento de las leyes, regulaciones y estándares aplicables. • Asegurar el cumplimiento de la confianza depositada y con las obligaciones en relación a cualquier información relativa a una persona identificada o inidentificable. • Preservar la confidencialidad de los datos sensitivos almacenados y en transito.

ELEMENTOS CLAVE DE LA GESTION DE LA SEGURIDAD DE LA INFORMACION

• • • • • •

Compromiso y soporte de la alta gerencia Políticas y procedimientos Organización Conciencia de la seguridad y educación Monitoreo y cumplimiento Tratamiento y respuesta a incidentes.

EXPOSICIONES Y CONTROLES DE ACCESO LOGICO • • • • • • • • • • • • • • •

Los controles de acceso lógico son el medio primario para administrar y proteger los activos de información. EXPOSICIONES DE ACCESO LOGICO Fuga de datos Interceptación de línea (wire tapping) Puertas traseras (trap doors) Ataques asíncronos Redondeo hacia abajo Técnica del salami Caballos de troya (backdoors) Virus Gusanos (worms) Bombas lógicas Ataque de negación de servicio Paralización o caída de la computadora War driving

AUDITORIA DE LA ESTRUCTURA DE SEGURIDAD DE INFORMACION • Auditar la seguridad de información implica la auditoria de acceso lógico, el uso de técnicas para comprobar la seguridad y el uso de técnicas de investigación. • La estructura de administración de seguridad de información debería ser revisada según los elementos básicos en una estructura de seguridad de información. • La auditoria implica:

• Revisar las p políticas, procedimientos y estándares escritos • Las políticas y procedimientos proveen la estructura y las directrices para mantener la debida operación y control. El auditor de SI debe revisar las políticas y procedimientos para determinar si los mismos fijan el tono para la debida seguridad y proveen un medio para asignar responsabilidad para mantener un ambiente seguro de procesamiento de computadora. • Políticas de seguridad de acceso lógico • Estas políticas deben estimular la limitación de acceso lógico con base en la necesidad de conocer. Deben evaluar razonablemente la exposición a los puntos identificados

• Conciencia y entrenamiento formal de seguridad • La seguridad dependerá siempre de la gente. • Como resultado, la seguridad solo puede ser efectiva si los empleados saben que se espera de ello y cuales son sus responsabilidades. • Propiedad de los datos • Se refiere a la clasificación de los elementos de datos y la asignación de responsabilidades para asegurar su mantención en confidencialidad, completos y exactos.

• Los propietarios de los datos • Estas personas son generalmente gerentes y directores responsables de usar información para ejecutar y para controlar el negocio. Sus responsabilidades de seguridad incluyen autorizar el acceso, asegurar que estén actualizadas las reglas de acceso cuando ocurran cambios de personal e inventariar periódicamente las reglas de acceso para los datos de los que son responsables. • Los custodios de los datos • Estas personas son responsables de almacenar y salvaguardar los datos e incluyen a personal de SI como por ejemplo los analistas de sistemas y los operadores de computadora.

• El administrador de seguridad • Son responsables de proveer la seguridad física y lógica adecuada para los programas de SI, los datos y el equipo. Normalmente, la política de seguridad de información proveerá los lineamientos básicos bajo los cuales operara el administrador de seguridad. • Los nuevos usuarios de TI • Los nuevos usuarios de TI y, en general, todos los nuevos empleados a los que se les asignan PCs u otros recursos de TI deben firmar documentos que contengan las principales obligaciones de seguridad que ellos quedan por el mismo obligados a conocer y observar: • Leer y acordar seguir las políticas de seguridad • Mantener en secreto los logon ID y las contraseñas. • Bloquear sus pantallas de terminal cuando no estén en uso. • Reportar las violaciones de seguridad que se sospechen. • Mantener buena seguridad física manteniendo las puertas con cerrojo, • salvaguardando las llaves de acceso, no revelando las combinaciones del • cerrojo de puertas y a las personas extrañas que pregunten. • Ajustarse a las leyes y regulaciones aplicable

• Los usuarios de los datos • Los usuarios de los datos, incluyendo la comunidad interna y externa de usuarios y a las que a menudo se hace referencia como usuarios finales, son los verdaderos usuarios de los datos computarizados. Sus niveles de acceso deben ser autorizados por los propietarios de los datos y deben ser restringidos y monitoreados por el administrador de seguridad de información. • Autorizaciones documentadas • El acceso a los datos debe identificarse y ser autorizado por escrito. El auditor de SI puede revisar una muestra de estas autorizaciones para determinar si se proveyó el nivel apropiado de autoridad por escrito. Si las practicas facilitan la propiedad de datos, solo los propietarios de datos proveen autorización escrita.

• Acceso de empleado terminado • En caso de terminación de empleo, los derechos de acceso lógico y físico a la infraestructura de TI deben ser retirados o altamente restringidos tan pronto como sea posible, antes de que el empleado tenga conocimiento de la terminación de su contrato. • Bases de seguridad • Un plan de seguridad pretende ser usado como un primer paso a la seguridad de TI. El plan básico debe ser seguido por una evaluación y un plan completos de seguridad.

RECOMENDACIONES PARA LA SEGURIDAD BASICA DE TI

RECOMENDACIONES PARA LA SEGURIDAD BASICA DE TI

AUDITORIA DE ACCESO LOGICO • Cuando se evalúa los controles de acceso lógico el auditor de • SI debe: • Obtener un entendimiento general de los riesgos de seguridad que enfrenta el procesamiento de la información a través de una revisión de la documentación relevante, la consulta, observación, estimación del riesgo técnicas de evaluación. • Documentar y evaluar los controles sobre las vías potenciales de acceso al sistema para determinar si son adecuados, eficientes y efectivos, revisando las funciones apropiadas de seguridad del HW y SW e identificando cualesquiera deficiencias o redundancias. • Probar los controles sobre las vías de acceso para determinar que están funcionando y que son

AUDITORIA DE ACCESO LOGICO – cont. • Evaluar el ambiente de control de acceso para determinar si se logran los objetivos de control, analizando los resultados de las pruebas y otras evidencias de auditoria. • Evaluar el ambiente de seguridad para determinar si es adecuado revisando las políticas escritas, observando las practicas y los procedimientos y comparándolas con las normas apropiadas de seguridad o con las practicas y los procedimientos que usan otras organizaciones

AUDITORIA DE ACCESO LOGICO – cont. • Pasos que se tienen que realizar: Familiarizarse con el ambiente / entorno de TI Documentar vías de acceso PC, SW de telecomunicaciones, SW de procesamiento de transacciones, SW de aplicación, DBMS, SW de control de acceso.

• Entrevistar al personal de sistemas • Revisar reportes provenientes del SW de control de acceso • Revisar el manual de operaciones de los sistemas de aplicación.

TECNICAS PARA PROBAR LA SEGURIDAD

• Uso de tarjetas y llaves para el uso de terminales • Identificación de terminales • Identificadores de inicio de sesión (logon ids) y contraseñas:

• Probar requerimientos de cambios periódicos •Probar si los logon Ids y contraseñas inactivas están inhabilitadas han sido borradas • Probar la sintaxis de las contraseñas • Probar si hay logoff automático de las terminales no atendidas • Probar si hay desactivación automática de las terminales después de intentos infructuosos. • Probar si hay enmascaramiento de contraseña en las terminales

TECNICAS PARA PROBAR LA SEGURIDAD • Controles sobre los recursos de producción • Bitácora y reporte de las violaciones de acceso a las computadoras • Seguimiento de las violaciones de acceso • Evasión de la seguridad y controles compensatorios • Revisar los controles de acceso y la administración de contraseñas.

AUDITORIA DE SEGURIDAD DE INFRAESTRUCTURA DE RED • Cuando se efectúa una auditoria de la infraestructura de red, el auditor de SI debe: – Revisar los diagramas de red (LAN, WAN, MAN, SAN), incluyendo firewalls, routers, switches, hubs, servidores, etc. – Identificar el diseño de red implementado, incluyendo la estrategia de IP usada, la segmentación de routers y de switches para el entorno LAN y WAN. – Determinar que existen políticas, normas, procedimientos y orientación sobre la administración y uso de la red. – Identificar quien es el responsable de la seguridad y operación de las conexiones de internet. – Si el servicio es realizado por outsourcing, revisar los contratos de servicio. – Revisar los procedimientos del administrador de red para asegurar que los componentes de HW

Auditoria del acceso remoto • Los auditores de SI deben determinar todas las capacidades de acceso remoto usadas por una organización garanticen una seguridad efectiva para los recursos de información de la organización. • Los controles de seguridad de acceso remoto deben ser documentados e implementados para los usuarios autorizados que operan fuera del ambiente confiado de red. • Revisar puntos de entrada y si existen los controles adecuados (ejemplo: uso de VPNs, intercambio de autenticación, encripción, firewalls e IDs).

Pruebas de penetración de la red • Las combinaciones de procedimientos, por las cuales un auditor usa las mismas técnicas de un hacker, se denominan pruebas de penetración, pruebas de intrusión o hacking ético. • Este es un método efectivo de identificar los riesgos de tiempo real para un entorno de procesamiento de información.

Revisiones totales de evaluación de la red • Al completarse la prueba de penetración, se debe

realizar una revisión comprensiva de todas las vulnerabilidades del sistema de red, para determinar si se han identificado todas las amenazas a la confidencialidad, integridad y disponibilidad. • Se deben realizar las siguientes revisiones: – Revisar las políticas y los procedimientos de seguridad – Evaluar la configuración de la red y del firewall – Asegurar que los controles de acceso lógico soporten la separación de funciones

Revisiones totales de evaluación de la red – cont.

• … mas revisiones: • Determinar lo siguiente: – – – – – –

Que este instalado el SW de detección de intrusos Que se realice el filtrado Que se use la encripción Que se usen formas robustas de autenticación Que los firewall, estén debidamente configurados Que los gateways a nivel de circuito o aplicación, ejecuten servidores proxy para todos los servicios legítimos (telnet, http,ftp, etc) – Que se use escaneo de virus – Que se tengan bitácoras/registros/logs de auditoria para los sistemas clave: firewalls, gateway, routers, etc.

Desarrollo y autorización de cambios en la red

• Los cambios de configuración de redes para actualizar líneas de telecomunicación, terminales, modems, entre otros dispositivos de red, deben ser autorizados por escrito por la gerencia e implementados a su debido tiempo. • Deben existir procedimientos de desarrollo y control de cambios para el HW y SW de los componentes de la red, los procedimientos deben abarcar: firewalls, routers, switches, bridges, gateways de aplicación, topología de red/ DNS, SW cliente, SW de administración de red, HW y configuración

Cambios no autorizados • Uno de los objetivos mas importantes de los procedimientos de control de cambio es prevenir o detectar los cambios no autorizados al SW, configuraciones o parámetros, y a los datos. Los controles para prevenir cambios no autorizados, incluyen: • Segregación de funciones entre el desarrollo del SW, administración del SW y las operaciones de computadora. • Restringir el acceso del equipo de desarrollo de SW al ambiente de desarrollo solamente. • Restringir el acceso a los códigos fuente.

Computo forense

• Definición: proceso de identificar, preservar, analizar y presentar evidencia digital en una forma que sea aceptable en cualquier proceso legal. • Para que la evidencia sea admisible en un tribunal judicial, la cadena de custodia necesita ser mantenida profesionalmente. • La cadena de videncia contiene esencialmente información respecto a: • Quien ha tenido acceso a la evidencia? (cronológicamente) • Que procedimiento siguieron para trabajar con la evidencia? • Disponer que el análisis este basado en copias que sean identificas a la evidencia original? • Es importante usar las mejores practicas especificadas por la industria, herramientas probadas y la debida diligencia para proveer garantía razonable de la calidad de la evidencia.

AUDITORIA A LOS CONTROLES AMBIENTALES • • • • • • • • • • •

Los auditores deben realizar pruebas a: Detectores de agua y humo Extintores manuales de incendio Sistemas de supresión de incendios Inspección periódica de los bomberos Paredes, pisos y cielorrasos a prueba de incendios alrededor del centro de datos Protectores de voltaje Líneas de energía provenientes de dos subestaciones Plan totalmente documentado y probado de la continuidad del negocio. Alambrado colocado en paneles y conductos eléctricos UPS/Generador Planes documentados y probados de evacuación durante emergencias Control de humedad / temperatura

AUDITORIA AL ACCESO FISICO • Muchas de las pruebas de seguridad física se pueden hacer observando visualmente las protecciones implantadas. • Las pruebas deben extenderse fuera del centro de datos y verificar: • Ubicación de todas las consolas de operador • Salas de impresión • Salas de almacenamiento de computadoras • UPS/Generador • Ubicación de todos los equipos de comunicación según el diagrama de red • Biblioteca de cintas • Facilidad de almacenamiento externo de copias de respaldo.

AUDITORIA AL ACCESO FISICO • Las vías siguientes de entradas físicas deben ser evaluadas para una seguridad apropiada: • Todas las puertas de entrada • Ventanas y paredes de vidrio • Paredes movibles y cubículos modulares • Por encima de los cielorrasos suspendidos y por debajo de los falsos pisos. • Sistemas de ventilación • Por encima de una cortina, pared falsa.

Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.