UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURAS CENTRO UNIVERSITARIO REGIONAL DEL NORTE ASIGNATURA: AUDITORIA EN SISTEMAS DE INFORMACION I CATEDRÁTICO: LIC. FREDDY ORTIZ TEMA: AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA
SECCIÓN: 21:01 LUGAR: FECHA:
SAN PEDRO SULA, CORTES 22 DE AGOSTO DE 2005
INTRODUCCION El administrador de la seguridad en un entorno de proceso electrónico de datos, es el responsable de los aspectos de seguridad física que afectan a la instalación. En otras palabras, el administrador de la seguridad intenta garantizar que los recursos físicos en los cuales se basa el desarrollo, implantación y mantenimiento de sistemas están seguros frente a amenazas externas o internas que puedan afectar a la continuidad de la instalación, o puedan provocar perdida de activos de la organización, tanto materiales como datos. Por supuesto, la seguridad física y la de las aplicaciones van parejas. Si faltan los controles que tengamos establecidos para preservar la seguridad física, deben entonces dispararse los controles de aplicación con el intento de proteger las aplicaciones individuales.
OBJETIVOS El objetivo del presente trabajo es presentar de forma sintética los principales puntos de la planificación y revisión de la seguridad informática, así como los objetivos de control y las directivas de auditoria relativas a la seguridad en sistemas informáticos. También mencionar algunos instrumentos utilizados por los administradores de la seguridad para obtener la tan útil y ansiada seguridad lógica y física.
LA FUNCION DE LA SEGURIDAD EN UN SISTEMA DE INFORMACION La información constituye un activo más de las organizaciones y, en muchos casos, un elemento más de ventajas competitivas, por lo que debe de
“AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
2
protegerse mediante las políticas, procedimientos y planes adecuados de seguridad. Las amenazas a los activos que componen la instalación informática (personal, equipos, programas, etc.) deben identificarse, y estimar la probabilidad de que ocurran.
SEGURIDAD INFORMATICA La existencia de amenazas que afectan la disponibilidad, integridad y confidencialidad de los datos es real. Es crítico para las organizaciones poder identificar esas amenazas y adoptar recomendaciones que permitan prevenir, detectar y protegerse de ellas. La diversidad y la heterogeneidad de los sistemas de información que requieren las organizaciones actuales, sumado a la globalización a la que se enfrentan al conectar esos sistemas al mundo de internet, genera un sinfín de incertidumbres en lo referente a la seguridad de la información.
ANÁLISIS DEL RIESGO Cuando se crea una política de seguridad de red, es importante comprender que la razón para crear esta política es, en primer lugar, asegurar que los esfuerzos dedicados a la seguridad impliquen un costo razonable. Esto significa que se debe conocer cuales recursos vale la pena proteger, y cuales son más importantes que otros. También se debe identificar la fuente de amenazas de la cual se esta protegiendo a los recursos de la red. A pesar de toda la publicidad acerca de los intrusos que irrumpen en una red, muchos estudios indican que, en el caso de la mayoría de las organizaciones, las verdaderas pérdidas causadas por los usuarios internos son mucho mayores. El análisis de riesgo implica determinar lo siguiente: ¿Que necesita proteger? ¿De que necesita protegerlo? ¿Cómo protegerlo? Los riesgos deben clasificarse por nivel de importancia y gravedad de la perdida. No debe terminar en una situación en la que se gaste más en proteger algo que es de menor valor.
CONCEPTO DE HACKER Un Hacker es una persona que está siempre en una continua búsqueda de información, vive para aprender y todo para él es un reto; no existen barreras, y lucha por la difusión libre de información, distribución de software sin costo y la globalización de la comunicación. El concepto de Hacker, generalmente es confundido erróneamente con los mitos que existen acerca de este tema: Un Hacker es pirata, esto no es así ya que los piratas comercian con la información que obtienen, entre otras cosas, y un verdadero Hacker solo obtiene esa información para su uso personal. “AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
3
Un Hacker es el que entra en los sistemas ajenos y se dedica a destruir la información almacenada en ellos. El error consiste en que el que destruye información y sistemas ajenos, no es el Hackers sino el Cracker. Pero entonces veamos que sí es un hacker: Un verdadero hacker es curioso y paciente: si no fuera así terminarían por hartarse en el intento de entrar en el mismo sistema una y otra vez, abandonando el objetivo. Un verdadero hacker no se mete en el sistema para borrarlo todo o para vender lo que consiga. Quiere aprender y satisfacer su curiosidad. Un hacker es inconformista, ¿porqué pagar por una conexión que actualmente cuesta mucho dinero, y además es limitado? ¿Porqué pagar por una información que solo vamos a utilizar una vez en nuestra vida, por ejemplo, un articulo para un trabajo de la Universidad? Un hacker es discreto, es decir que cuando entra en un sistema es para su propia satisfacción, no van por ahí cantándolo a los cuatro vientos. La mayoría de los casos de "Hackers" escuchados son en realidad "Fantasming". Esto quiere decir, que si un amigo se entera que se ha entrado en cierto sistema; "el ruido de los canales de comunicación" hará que se termine sabiendo que se ha entrado en un sistema cinco veces mayor, que había destruido miles de ficheros y que había inutilizado el sistema. Un hacker disfruta con la exploración de los detalles de los sistemas programables y cómo aprovecha sus posibilidades; al contrario de la mayoría de los usuarios, que prefieren aprender sólo lo imprescindible. Un hacker programa de forma entusiasta (incluso obsesiva), rápido y bien. Un hacker disfruta del reto intelectual de superar o rodear las limitaciones de forma creativa. Antiguamente en esta lista se incluía: Persona maliciosa que intenta descubrir información sensible: contraseñas, acceso a redes, etc... Pero para este caso en particular los verdaderos Hackers han optado por el término Cracker y siempre se espera (quizás inútilmente) que se los diferencie. Nótese que ninguna definición define al Hacker como un criminal. En el mejor de los casos, los hackers cambian precisamente la fabricación de la información en la que se sustenta la sociedad y contribuyen al flujo de tecnología. En el peor, los hackers pueden ser traviesos perversos o exploradores curiosos. Los hackers no escriben dañinos virus de computadora. Quienes lo hacen son los programadores tristes, inseguros y mediocres. Los virus dañinos están completamente en contra de la ética de los Hackers.
¿QUÉ ES UN VIRUS? Es un pequeño programa escrito intencionalmente para instalarse en la computadora de un usuario sin el consentimiento o el permiso de este. Decimos que es un programa parásito porque el programa ataca a los archivos o sectores y se replica a sí mismo para continuar su esparcimiento.
“AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
4
Algunos se limitan solamente a replicarse, mientras que otros pueden producir serios daños que pueden afectar a los sistemas. Tienen diferentes finalidades: algunos sólo 'infectan', otros alteran datos, otros los eliminan, algunos sólo muestran mensajes. Pero el fin último de todos ellos es el mismo: PROPAGARSE. Es importante destacar que el potencial de daño de un virus informático no depende de su complejidad sino del entorno donde actúa. Un virus es un programa que cumple las siguientes pautas: es dañino, es auto reproductor, es secreto. Los 5 principales síntomas de infección son: Se nos cambia sola la página de inicio, error y búsqueda del navegador. Se nos abren ventanitas pop-ups o emergentes por todos lados, incluso sin estar conectados y sin tener el navegador abierto, la mayoría son de temas pornográficos. Barras de búsquedas de sitios como la de Alexa, Hotbar, etc. que no podemos eliminar. Botones que se aparecen la barras de herramientas del navegador y no podemos sacarlos. La navegación por la red se hace cada día más lenta.
¿QUÉ ES UN ANTIVIRUS? No para toda enfermedad existe cura, como tampoco existe una forma de erradicar todos y cada uno de los virus existentes. Es importante aclarar que todo antivirus es un programa y que, como todo programa, sólo funcionará correctamente si es adecuado y está bien configurado. Además, un antivirus es una herramienta para el usuario y no sólo no será eficaz para el 100% de los casos, sino que nunca será una protección total ni definitiva. La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora. Este es el aspecto más importante de un antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daños posibles. Adicionalmente, un antivirus puede dar la opción de erradicar un virus informático de una entidad infectada. Uno de los antivirus mas conocidos es el Norton Anti Virus, el Firewall, el Dr. Solomon's Toolkit. Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una política de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet).
PRUEBAS DE INTRUSIÓN (TEST DE PENETRACIÓN o ETHICAL HACKING) Los intrusos informáticos utilizan diversas técnicas para romper los sistemas de seguridad de una red. Básicamente buscan los puntos débiles del sistema para poder ingresar. El trabajo de los administradores y de los “Testers” no difiere
“AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
5
mucho de esto. En lo que si se diferencia, es en los objetivos: mientras un intruso penetra en las redes para distintos fines (investigación, daño, robo), un administrador lo hace para poder mejorar los sistemas de seguridad. Los intrusos cuentan con grandes herramientas como los scanner, los cracking de passwords, software de análisis de vulnerabilidades, los exploits y probablemente el arma más importante: la ingeniería social. Un administrador cuenta con todas ellas empleadas para bien, las contraseñas, los sistemas de detección de intrusos y los sistemas de rastreo de intrusiones. Al conjunto de técnicas que se utilizan para evaluar y probar la seguridad de una red se le conoce como “ethical hacking”, uno de los recursos más poderosos con los que se cuenta hoy para generar barreras cada vez más eficaces. Un test está totalmente relacionado con el tipo de información que se maneja en cada organización. Por consiguiente, según la información que deba ser protegida, se determinan las estructuras y las herramientas de seguridad; no a la inversa. El software y el hardware utilizados son una parte importante, pero no única. A ella se le agrega lo que se denomina “políticas de seguridad internas” que cada organización (y usuario) debe generar e implementar. El “Penetration test” o “ethical hacking”, es un conjunto de metodologías y técnicas para realizar una evaluación integral de las debilidades de los sistemas informáticos. Consiste en un modelo que reproduce intentos de acceso a cualquier entorno informático de un intruso potencial desde los diferentes puntos de entrada que existan, tanto internos como remotos. El objetivo general del ethical hacking es acceder a los equipos informáticos de la organización analizada e intentar obtener los privilegios del administrador del sistema, logrando así realizar cualquier tarea sobre esos equipos. También se podrán definir otros objetivos secundarios que permitan realizar pruebas puntuales sobre algunos ámbitos particulares de la empresa.
POLÍTICAS DE SEGURIDAD El software, el hardware y las conexiones entre redes de computadores nunca serán 100% seguras. Apuntando a la proporción para la seguridad total, una organización debe asignar un valor a la información que está intentando proteger y balancearla contra el ocultamiento de una violación de seguridad y el costo de implementar varias medidas de seguridad. Es importante tener una política de seguridad de red bien concebida y efectiva que pueda proteger la inversión y los recursos de información de la compañía. Vale la pena implementar una política de seguridad si los recursos y la información que la organización tiene en sus redes merecen protegerse. La mayoría de las organizaciones tienen en sus redes información delicada y secretos importantes; esto debe protegerse del acceso indebido del mismo modo que otros bienes valiosos como la propiedad corporativa y los edificios de oficinas.
“AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
6
Si los usuarios tienen acceso irrestricto a la red, puede ser difícil aplicar una política que limite ese acceso. También se debe tomar en cuenta que la política de seguridad que se debe usar es tal, que no disminuirá la capacidad de la organización. Una política de red que impide que los usuarios cumplan efectivamente con sus tareas, puede traer consecuencias indeseables: los usuarios de la red quizá encuentren la forma de eludir la política de seguridad, lo cual la vuelve inefectiva. La política de seguridad del sitio debe tomar en cuenta la protección de estos recursos. Debido a que el sitio está conectado a otras redes, la política de seguridad del sitio debe considerar las necesidades y requerimientos de seguridad de todas las redes interconectadas. Una política de seguridad en redes efectiva es algo que todos los usuarios y administradores de redes pueden aceptar y están dispuestos a aplicar. Podemos definir POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN como el conjunto de normas, reglas, procedimientos y prácticas que regulan la protección de la información contra la pérdida de confidencialidad, integridad o disponibilidad, tanto de forma accidental como intencionada. La Política de seguridad nos indica: Qué hay que proteger Qué Principios hemos de tener en cuenta Cuáles son los Objetivos de Seguridad a conseguir La asignación de cometidos y responsabilidades La Política de Seguridad se expresa mediante principios y objetivos. Un PRINCIPIO es una norma o idea fundamental que rige la Política de Seguridad, y que se acepta en esencia. Un OBJETIVO es la declaración expresa de la intención de conseguir algo que contribuye a la seguridad de la información, bien porque se opone a una de las amenazas identificadas o bien porque satisface una exigencia de la política de seguridad de la información.
ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD Dependiendo del tamaño de una organización, la función de administración de la seguridad puede ocupar cuatro posiciones:
“AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
7
En pequeñas organizaciones que utilizan sistemas “llave en mano” puede no haber personal informático y, como consecuencia, nadie asume el papel de administrador de la seguridad, sin embargo la administración de la seguridad es tan importante en las pequeñas organizaciones como en las grandes. Cuando una organización tiene su propio personal de proceso de datos, pero no hay suficiente trabajo como para justificar un puesto de trabajo de administrador de la seguridad. En organizaciones grandes puede haber suficiente carga de trabajo como para justificar un puesto de trabajo único de administrador de la seguridad. Dentro de las organizaciones grandes, y también en otros casos, dependerá del responsable de seguridad para todos los aspectos de seguridad de la organización.
COMO LLEVAR A CABO UN PROGRAMA DE SEGURIDAD Un programa de seguridad consiste en una serie de evaluaciones periódicas y sucesivas, que se llevan a cabo para asegurarse de que los recursos físicos de una instalación informática están adecuadamente salvaguardados. Una de las primeras tareas del administrador de seguridad es preparar y estudiar una lista amplia de las posibles amenazas o peligros a la organización, preparar un inventario de los activos, evaluar la adecuación de los controles, implantar nuevos controles. El programa de seguridad requiere que se lleven a cabo evaluaciones periódicas, para determinar si la siempre cambiante realidad de una organización continua cubierta en sus aspectos de seguridad. Existen seis pasos o fases a llevar a cabo cuando se evalúa la seguridad de una instalación: 1. Preparación de un plan: la preparación de un plan escrito, con objetivos claros y alcanzables, es el primer paso en la toma de conciencia de los aspectos de seguridad en una instalación informática y debe considerarse en primer lugar las áreas críticas una vez identificadas estas, podremos comenzar a considerar aspectos de seguridad para la instalación. Los puntos básicos de dicho plan son los siguientes: Objetivos y ámbito de la evaluación Tareas a realizar Organización del equipo del plan de seguridad Asignar y presupuestar los recursos Planificación de tareas 2. Identificación y valoración de los activos: para cada tipo de activo, el administrador de la seguridad debe preparar un inventario lo mas completo posible para identificar y valorar cada activo. La valoración es una referencia para que los usuarios desarrollen la sensibilidad necesaria a las posibles consecuencias de la amenaza de no disponer de ese activo en caso de fraude o desastre. “AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
8
3. Identificación de amenazas: una amenaza se define como una acción o suceso que puede conducir a una pérdida por eso el administrador de la seguridad debe: Identificarlas.(tipo y activos a los que afectara) Evaluar la probabilidad de que ocurra Después de identificar las amenazas a las que se debe estimar la probabilidad de que ocurran. 4. Análisis de riesgo: esta es la fase más difícil en una evaluación de seguridad y comprende tres tareas principales: Identificación de los controles y garantía de su fiabilidad. Evaluación de la probabilidad de que una amenaza se convierta en realidad, dada la fiabilidad de los controles diseñados para enfrentarse a ella. Establecimiento de las perdidas que tendrían lugar si la amenaza consigue saltarse los controles. 5. Ajuste de los controles: esta fase incluye tanto la revisión de los controles ya existentes, como el rediseño de los mismos, o incluso la implantación de nuevos controles. Por lo que el administrador de la seguridad debe realizar un análisis costo-beneficio de los riesgos a que se enfrenta la instalación, y de los controles a implantar. 6. Preparación del informe: esta es la fase final de la revisión de la seguridad en donde se documentan los hallazgos de la revisión y se realizan recomendaciones. Estas recomendaciones que realiza el auditor deben estar suficientemente justificadas técnica y económicamente, debido a que requerirán diseñar o implantar nuevos controles, realizar inversiones en seguridad adicionales o modificar la política de seguridad existente.
SEGURIDAD FISICA Y LOGICA El acceso a los recursos de ordenador del departamento de informática debería estar limitado a aquellos individuos que tengan necesidad documentada y autorizada de efectuar dicho acceso. Para proteger los recursos de ordenador
“AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
9
contra utilización o modificación no autorizada, daño o perdidas, deberían establecerse niveles de controles de acceso lógico o físico. Es muy importante ser conciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos (hackers, virus, ataques de sistemas remotos, etc.); la seguridad de la misma será nula si no se ha previsto como combatir un incendio o cualquier otro tipo de desastre natural y no tener presente políticas claras de recuperación de desastres, las cuales nos ayudan a seguir una guía para restaurar el servicio de cómputo en forma rápida, eficiente y con el menor costo y pérdidas posibles. La Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial”. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del centro de cómputo, así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. En otras palabras se refiere a la protección del hardware y de los soportes de datos, así como los edificios e instalaciones que los albergan. Las principales amenazas que se prevén en Seguridad Física son: Desastres naturales, incendios accidentales, tormentas e inundaciones. Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos deliberados. Evaluar y controlar permanentemente la seguridad física de las instalaciones de cómputo y del edificio es la base para comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo. Tener controlado el ambiente y acceso físico permite: Disminuir siniestros. Trabajar mejor manteniendo la sensación de seguridad. Descartar falsas hipótesis si se produjeran incidentes. Tener los medios para luchar contra accidentes. Luego de ver como nuestro sistema puede verse afectado por la falta de seguridad física, es importante recalcar que la mayoría de los daños que puede sufrir un centro de cómputo no será sobre los medios físicos sino contra información por él almacenada y procesada. Como ya se ha mencionado, el activo más importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de la seguridad física que la asegure. La Seguridad Lógica consiste en la “aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo”. Es decir, la seguridad en el uso del software, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información.
“AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
10
Existe un viejo dicho en la seguridad informática que dicta que “todo lo que no está permitido debe estar prohibido” y esto es lo que debe asegurar la seguridad lógica. Los objetivos que se plantean serán: Restringir el acceso a los programas y archivos. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan. Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto. Que la información transmitida sea recibida por el destinatario al cual ha sido enviada y no a otro. Que la información recibida sea la misma que ha sido transmitida. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos. Que se disponga de pasos alternativos de emergencia para la transmisión de información. Aquí se mencionan los programas antivirus, la programación de los sistemas, las contraseñas, palabras de paso, la restricción de los accesos, etc. Es muy importante la adecuada selección de las herramientas que una organización necesita adquirir, así como su correcta implantación. Un adecuado proceso de selección permite encontrar un punto de equilibrio entre el costo que las herramientas tienen y el que ocasionan las violaciones de seguridad. De igual manera, el éxito de las herramientas depende de su correcta implantación, configuración y administración. La seguridad y la utilidad de una computadora son inversamente proporcionales; es decir que incrementar la seguridad en un sistema informático, su operatividad desciende y viceversa. Tenemos la también llamada informática forense, por investigación forense en computación se conoce al conjunto de herramientas y técnicas que son necesarias para encontrar, preservar y analizar pruebas digitales frágiles, que son susceptibles de ser borradas o sufrir alteración de muchos niveles. Quienes la practican reúnen esos datos y crean una llamada prueba de auditoría para juicios penales. Buscan información que puede estar almacenada en registros de acceso, registros específicos, modificación de archivos intencionalmente, eliminación de archivos y otras pistas que puede dejar un atacante a su paso. La idea principal en este tipo de análisis es contar completamente con todo el apoyo del afectado y depende exclusivamente del manejo inmediato que el atacado le haya dado al incidente, ya que al ingresar al sistema o apagar el servidor se puede perder información valiosa para análisis posteriores.
AUDITORIA DE ENTORNOS FISICOS Los riesgos más inmediatos y generalmente más fáciles de detectar están en los entornos físicos. Debe existir una protección física adecuada de las
“AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
11
instalaciones, los equipos, los programas y los datos respecto a cualquier acceso no autorizado o cualquier tipo de riesgo en general. 1. PUNTOS A REVISAR EN EL ENTORNO FISICO: En instalaciones importantes es frecuente que haya una persona o equipo responsable de la seguridad informática en general, función diferente de la auditoria informática. El auditor debe revisar los puntos siguientes: Instalaciones Accesos Salidas de evacuación Documentación Control de impresos Personal Contratación de pólizas de seguro adecuadas A continuación veremos con más detalle la revisión de estos puntos: 2. INSTALACIONES: Revisar la ubicación de los ordenadores: estos deben de estar protegidos de inundaciones u otras catástrofes y de la manipulación de empleados no autorizados. Sala de ordenadores y sus instalaciones auxiliares: estas deben de ser construidas con materiales adecuados y resistentes, el falso suelo y falso techo han de ser incombustibles y también deberían serlo las puertas y las paredes. Fuego: debe de haber detectores de humo, detectores de calor y extintores. Existencia de alarmas y sistemas de extinción: los extintores no deben ser nocivos, ni dañar los ordenadores y no deberían de ser ecológicamente dañinos. Las cajas de impresos: deben de estar en áreas distintas, no solo por el fuego sino porque su manipulación genera polvo y particulas perjudiciales para el procesador y disco. El tabaco: debe estar prohibido fumar y se debe recordar con carteles. Planes de adecuación: para facilitar la labor de los bomberos y equipos de extinción es necesario contar con planos, señalización adecuada e instrucciones. Personal: en cuanto a las personas, es necesario tener un botiquín de primeros auxilios, para quemaduras y cualquier emergencia. Pruebas: deben hacerse pruebas periódicas de detectores y extintores automáticos y revisar la carga. Aire acondicionado: necesario no solo por la temperatura y por la humedad sino por la pureza del aire; las particulas dañan dispositivos y soportes magnéticos. Medidores de corriente Falso suelo
“AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
12
3. ACCESOS: el auditor debe revisar las medidas de seguridad en los accesos de la forma siguiente: Control físico: Registro de visitas: se controla mediante contraseñas, tarjetas, huellas, firma o por reconocimiento de vos. Grabación de visitas en películas Control lógico: Paquete de seguridad y perfil de cada usuario según a que pueda y deba acceder. Terminales desconectadas después de un periodo de tiempo sin uso. Contraseñas de 5 a 8 caracteres alfanumérico, generados aleatoriamente y la protección de contraseñas que deberían memorizarse. 4. SALIDAS DE EVACUACION: se revisa a través de los aspectos siguientes: Entrenamiento y planes adecuados, pruebas y simulacros periódicos. Procedimientos de alerta “AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
13
Señalización adecuada
5. DOCUMENTACION: se revisa a través de: Documentación adecuada, completa y actualizada. Referida a operación normal 6. CONTROL DE IMPRESOS: se revisa a través del aspecto siguiente: Determinados impresos deben estar controlados de forma especial, e incluso las hojas que se estropean al posicionar el papel en la impresora, para evitar fraudes. Debe existir un control de al menos dos personas cuando dichos impresos se reciben. 7.
PERSONAL: se revisa a través de: Descripción de funciones y que no exista incompatibilidad. Revisión de cumplimiento de objetivos y de salarios. Rotación periódica para poder cubrir vacantes y por seguridad. Si un empleado deja la entidad o la función hay que recuperar llaves, tarjetas de acceso y contraseñas.
8. CONTRATACION DE POLIZAS DE SEGURO ADECUADAS: los grandes riesgos a cubrir, al menos, deben ser los siguientes: Incendios Fenómenos naturales Inundaciones
AUDITORIA DE LA SEGURIDAD LOGICA La seguridad lógica complementa y se contrapone a la seguridad física. La clave de la seguridad lógica es el sistema operativo, que según los casos pueden reforzarse con medidas organizativas y de control interno. La seguridad lógica tiene dos dimensiones que son: 1. La autenticación o acreditación de usuarios: Necesidad acreditada, positiva, de acceso. Mínimo privilegio necesario. 2. El secreto de archivos y transmisiones En el caso de auditorias de seguridad lógica se diferencian dos escenarios: 1. Auditoria de penetración externa: se auditan los sistemas de forma que estén protegidos frente a ataques desde fuera de la organización. 2. Auditoria de penetración interna: consiste en el mismo estudio de la penetración externa, pero haciendo la suposición que el ataque procederá desde el interior de la empresa, es decir, por usuarios del sistema.
“AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
14
Algunas áreas de estudio que pueden formar parte de una auditoria de seguridad lógica: Virus: atentan contra la confidencialidad (troyanos), integridad y disponibilidad de los datos y el software. Hackers: atentan al menos contra la confidencialidad de los datos. Sistemas operativos inestables (no bien instalados, con caídas de sistema frecuentes): atentan al menos contra la disponibilidad. Copias de seguridad: incrementa la disponibilidad de los datos. Programas mal diseñados: atentan contra la integridad de los datos ya que producen resultados incorrectos (no corresponden a la realidad), pueden dejar datos incorrectos en caso de caídas. LA SEGURIDAD NO ES UN PRODUCTO, ES UN PROCESO CONSTANTE
RESPONSABILIDAD DE LA SEGURIDAD LOGICA Y FISICA OBJETIVO DE CONTROL La responsabilidad de asegurar la seguridad, tanto lógica como física, de los activos de información de la organización, debería estar asignada a un director dependiente de la alta dirección de la organización. Dicha persona no debe tener responsabilidades como: operación de equipos, o entrada de datos a ser tratados con el departamento de informática. DIRECTIVA DE AUDITORIA Deben revisarse los procedimientos de la organización para asegurar la seguridad, tanto lógica como física, de sus activos de información. Revisar el organigrama de la organización para determinar si se ha nombrado un director de seguridad de la información y si dicha persona depende de algún miembro de la alta dirección de la organización. Revisar la declaración de políticas de seguridad de la información de la organización. Entrevistar al director de seguridad de la información de la organización o a otros empleados a los que se le hayan asignado responsabilidades de la seguridad de la información. Entrevistar a personal seleccionado del departamento de informática. Revisar los procedimientos que la organización pueda tener para identificar riesgos potenciales para la seguridad de la información planteados por los miembros del departamento de informática.
ACCESO A LAS INSTALACIONES DE ORDENADORES OBJETIVO CONTROL
“AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
15
Deberían adoptarse medidas para asegurar que, el acceso a las instalaciones (o salas) de ordenadores del Departamento de informática, queda restringido a los individuos que han sido autorizados a tener dicho acceso. DIRECTIVA DE AUDITORIA Deben revisarse los procedimientos establecidos por el Departamento de Informática para restringir el acceso a sus instalaciones de ordenadores. Asegurar que se ha publicado una declaración escrita que define las restricciones de acceso a las instalaciones. Determinar si hay procedimientos adecuados para evitar que personas no autorizadas logren acceder a las instalaciones. Obtener un plano de la distribución física de las instalaciones de ordenadores del departamento de informática. Obtener una lista de todos los individuos autorizados atener acceso al departamento de informática y que dicho permiso sea necesario. Observar las actividades en el departamento de informática para asegurarse de que solamente entre personal autorizado. Asegurar que, cuando las instalaciones de ordenadores del Departamento de Informática están desocupadas, hay vigilancia periódica.
ACOMPAÑAMIENTO DE VISITAS OBJETIVO DE CONTROL Las personas que no son miembros de la plantilla de explotación del departamento de Informática, deberán ser acompañadas por un miembro de dicha plantilla. DIRECTIVA DE AUDITORIA Deben revisarse los procedimientos de Departamento de Informática para asegurar que cualquier persona que no sea de la plantilla de explotación es acompañada por un miembro de la misma. El auditor debe revisar los procedimientos establecidos por el departamento de informática para identificar a las visitas a las instalaciones de ordenadores y para acompañarles mientras estén presentes en esas áreas.
ADMINISTRACION DE PALABRAS DE PASO OBJETIVO DE CONTROL El acceso lógico a los ordenadores del departamento de informática debería estar restringido mediante el uso de palabras de paso asociadas a regla de acceso. DIRECTIVA DE AUDITORIA Debe revisarse el procedimiento del departamento de informática para el empleo de palabras de paso y otras restricciones lógicas de acceso a los recursos de ordenador. Revisar el procedimiento del departamento de informática para añadir, cambiar o borrar personas a la lista de las autorizadas a tener acceso a los recursos del ordenador.
“AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
16
Revisar el procedimiento del departamento de informática para suministrar palabras de paso. Verificar que los procedimientos del departamento de informática aseguran que las palabras de paso no aparecen en pantalla durante el proceso de identificación del usuario. Determinar si los procedimientos del departamento de informática restringen a los usuarios a terminales, horarios y días de la semana específicos, cuando el riesgo justifica controles adicionales de acceso. Determinar si las palabras de paso tienen una longitud adecuada, que estas sean cambiadas periódicamente y que no sean utilizadas por la misma persona. Determinar si los usuarios quedan desconectados rápidamente, y si en caso de despido de alguna persona su identificación y palabra de paso quedan canceladas.
INFORMES DE VIOLACIONES Y ACTIVIDADES DE SEGURIDAD OBJETIVO DE CONTROL Los procedimientos de seguridad de la información del departamento de informática, deberían de asegurar que se revisan periódicamente los informes de violaciones y actividad de seguridad para identificar y resolver incidentes relativos a actividades no autorizadas. DIRECTIVA DE AUDITORIA Determinar si se vienen registrando cambios en los registros de violaciones de seguridad del departamento de informática, y verificar que existan los documentos autorizando los cambios. Revisar los procedimientos del departamento para revisar y resolver los informas sobre violaciones de seguridad y que se cumplan. Determinar si los registros de violaciones de seguridad del departamento de informática están protegidos contra destrucción accidental o intencional.
RESTRICCIONES DE ACCESO LOGICO OBJETIVO DE CONTROL El departamento de informática debería establecer reglas automáticas que regulan el acceso a sus recursos de ordenador. DIRECTIVA DE AUDITORIA Determinar si existe documentación que justifique la necesidad de la autorización para que el usuario acceda a recursos del sistema de información. Revisar los procedimientos para el acceso de emergencia o temporal a los recursos del sistema de información. Verificar que el acceso temporal solo se concede con la frecuencia estrictamente necesaria.
“AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
17
Verificar que la separación de funciones se mantiene mediante el sistema de control de acceso y determinar que los programadores de sistemas y los de aplicaciones no tienen acceso a programas y datos de explotación.
SEGURIDAD DE ACCESO A DATOS EN LINEA (ON LINE) OBJETIVO DE CONTROL En un entorno de tratamientos de datos en línea, los procedimientos del departamento de informática, deberían brindar controles de seguridad de los accesos basados en la necesidad probada del individuo de consultar, añadir, cambiar o borrar datos. DIRECTIVA DE AUDITORIA Debe revisarse los procedimientos del departamento de informática para autorizar el acceso a un entorno de tratamiento en línea de aplicaciones y datos. Determinar si los procedimientos del departamento de informática para autorizar el acceso permiten limitar las funciones de consultar, añadir, cambiar o borrar datos, y restringir el acceso individual. Determinar si la dirección de los departamentos usuarios valida periódicamente las libertades de acceso al entorno de tratamiento en línea actualmente concedidas a individuos de su departamento.
PROTECCION CONTRA EL FUEGO OBJETIVO DE CONTROL Las medidas de protección contra el fuego de la zona de explotación del departamento de informática, deberían ser conforme con los estándares generalmente aceptados para dichas medidas protectoras. DIRECTIVA DE AUDITORIA Revisar los estándares generalmente aceptados, publicados por organizaciones nacionales de protección contra el fuego. Determinar mediante entrevistas con la alta dirección de la organización y con la dirección del departamento de informática, su comprensión de la adecuación del cumplimiento del departamento con estándares de protección contra el fuego generalmente aceptados. Revisar las evaluaciones de la adecuación de las medidas de protección contra el fuego realizadas por la agencia de seguros o por el jefe de bomberos.
FORMACION Y CONCIENCIACION EN PROCEDIMEINTOS DE SEGURIDAD OBJETIVO DE CONTROL “AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
18
El personal de explotación del departamento de informática, debería recibir información periódica sobre los controles y procedimientos de seguridad que se espera que cumplan. DIRECTIVA DE CONTROL Determinar que los miembros de la plantilla del departamento de informática, han recibido periódicamente información adecuada sobre los procedimientos a seguir en caso de emergencias de fuego, agua o alarmas. Verificar que estos miembros conozcan los sitios en los que se encuentran las alarmas de fuego, los extintores, de los interruptores de energía eléctrica normales y de emergencia, etc.; además de saber si los miembros del departamento efectúan simulacros de incendio.
INSTALACION DE CAMBIOS EN EL SOFTWARE DE SISTEMAS OBJETIVO DE CONTROL Los cambios del software del sistema realizados por el departamento de informática deberían ser probados detalladamente antes de comenzar su utilización y aplicación de tratamientos de datos reales. DIRECTIVA DE AUDITORIA Determinar si el departamento de informática ha establecido un plan escrito para la prueba de cambios en el software de sistemas. Determinar si los problemas puestos de manifiesto durante las pruebas fueron identificados y resueltos adecuadamente. Determinar si en el departamento de informática existen instalaciones e pruebas adecuadas para brindar una seguridad razonable. Determinar si a los programadores del departamento y a los usuarios del software de sistemas se les notifica adecuadamente del cambio en el producto.
MANTENIMIENTO DE SOFTWARE DE SISTEMAS OBJETIVO DE CONTROL Todas las actividades de mantenimiento del software del sistema deberían documentarse del modo que satisfagan los estándares del departamento de informática. DIRECTIVA DE AUDITORIA Revisar los procedimientos del departamento de informática para el mantenimiento del software de sistemas y determinar si todos los cambios obtenidos en estos productos están documentados. Verificar que la documentación contiene una historia de quien hizo el cambio, cuando se hizo el cambio y una descripción del mismo.
CONTROL DE CAMBIOS EN EL SOFTWARE DE SISTEMAS “AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
19
OBJETIVO DE CONTROL Todo el software de sistemas debería tenerse en bibliotecas de programas separadas y protegidas, en el departamento de informática. DIRECTIVA DE AUDITORIA Obtener una lista de las bibliotecas de pruebas y explotación utilizadas para almacenar el software de sistemas. Determinar si el acceso a las bibliotecas que almacenan el software esta limitado por la necesidad de cada individuo. Revisar los controles establecidos para asegurar que los programadores de sistemas no introducen cambios en dichos productos sin probarlos ni documentarlos adecuadamente.
GESTION DE PROBLEMAS CON EL SOFTWARE DE SISTEMAS OBJETIVO DE CONTROL Todos los programas de explotación experimentados por el departamento de informática que puedan ser atribuidos al software de sistemas deben registrarse, analizarse y resolverse. DIRECTIVA DE AUDITORIA Revisar los procedimientos del departamento de informática para identificar y documentar problemas con el software de sistemas. Determinar si los registros de problemas con el software de sistemas del departamento identifican la gravedad del problema, registran la asignación de su análisis y solución a individuos concretos y especifican la forma de resolución del problema. Revisar las causas y frecuencias de los problemas recurrentes con el software de sistemas y cerciorarse si el proceso de control de cambios debería haber prevenido tales problemas.
SEGURIDAD DEL SOFTWARE DE SISTEMAS OBJETIVO CONTROL El software de sistemas instalado por el departamento de informática no debería poner en peligro la integridad de los datos y programas almacenados en el ordenador. DIRECTIVA DE AUDITORIA Revisar las posibilidades de soslayar las restricciones de acceso de seguridad lógica ya existentes, de las brindadas por el software de sistemas utilizadas por el departamento de informática y determinar si el departamento ha establecido procedimientos para restringir tales posibilidades. Revisar las capacidades que el software de sistemas utilizado por el departamento tiene para interrumpir el entorno de explotación y determinar
“AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
20
si existe en el departamento un procedimiento para limitar el acceso a esas capacidades. Determinar que terminales han sido habilitados con posibilidad de ejecutar en la consola del sistema, y verificar que las medidas de seguridad física y lógica existentes restringen adecuadamente el acceso a dichas consolas de sistema. Determinar si las palabras de paso suministradas por el proveedor de software de sistemas, se cambiaron por el departamento en el momento de instalación, como un procedimiento de rutina.
SOPORTES MAGNETICOS Es esencial contemplar una única biblioteca –cincotecas (aunque sea virtual) de soportes magnéticos (cintas, discos, cartuchos, diskettes, etc.), que englobe bibliotecas de explotación, de pruebas, de usuarios finales, de seguridad remota, etc. Cualquier irregularidad que se cometa empleando la informática o que deje registro informático, aunque sea transitorio, tendrá probablemente una traza magnética. 1. RESPONSABILIDADES DE GESTION DE LA BIBLIOTECA DE SOPORTES MAGNETICOS OBJETIVO DE CONTROL Las responsabilidades de gestión de la biblioteca de soportes magnéticos deberían ser asignadas a miembros específicos del departamento de informática, y el departamento debería establecer procedimientos de gestión interna para proteger los contenidos de al biblioteca. DIRECTIVA DE AUDITORIA Asegurar que las responsabilidades de la biblioteca esta a cargo de empleados específicos de explotación del departamento de informática. Asegurar que la biblioteca de soportes esta situada en un área dentro del departamento de informática, que esta seguro de daños de fuego, agua y sabotaje. Determinar si hay procedimientos para controlar el acceso y el uso de todos los ficheros de programas de aplicación al departamento. Verificar la existencia de cualquier instalación remota que pueda ser utilizada para almacenar copias de ficheros de datos críticos que se encuentran en la biblioteca de soportes y que estos datos se encuentren realmente copias de ficheros seleccionados. Examinar los procedimientos del departamento para la creación de copias de ficheros a ser almacenados en instalaciones remotas.
2. SISTEMA DE GESTION DE LA BIBLIOTECA DE SOPORTES OBJETIVO DE CONTROL
“AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
21
El departamento de informática debería de establecer procedimientos para asegurar que los contenidos de su biblioteca de soportes se inventarían periódicamente, que todas las discrepancias puestas de manifiesto por dicho inventario se corrigen a tiempo oportuno y que se adoptan medidas para conservar la integridad de los soportes magnéticos. DIRECTIVA DE AUDITORIA Determinar si los bibliotecarios de soportes verifican periódicamente la exactitud de la información creada y mantenida por un sistema de gestión de bibliotecas de soportes, y realizar muestreos selectivos de registros de este sistema para cerciorarse que son exactos y completos. Verificar que los registros de los inventarios de contenido de la biblioteca de soportes, especifican el numero de soporte, el periodo de retención, quien lo custodia actualmente y que las etiquetas internas empleadas, contienen los siguientes ítems: Nombre del fichero Fecha de creación Programa que lo creo Periodo de retención del soporte Numero de registros o bloques contenidos en el soporte Determinar si los procedimientos de conservación de los soportes magnéticos especifica un ciclo periódico de limpieza de los soportes de la biblioteca y revisar los registros pertinentes para asegurar que eso se esta haciendo. 3. IDENTIFICACION EXTREMA Y CONTROL DE SOPORTES MAGNETICOS OBJETIVO DE CONTROL El departamento de informática debería establecer estándares para la identificación externa de los soportes magnéticos y para el control de su movimiento físico. DIRECTIVA DE AUDITORIA Asegurar que el departamento tiene procedimientos y estándares adecuados para identificar externamente, conservar, controlar el movimiento y proteger sus soportes magnéticos. Observar los procedimientos del departamento para trasladar soportes magnéticos para ser procesados y devueltos a la biblioteca y verificar que los estándares y los procedimientos del departamento se están cumpliendo. Asegurar q e se llevan a cabo revisiones periódicas de las etiquetas externas de los soportes magnéticos. Determinar que el departamento conserva registros adecuados de todos los soportes magnéticos recibidos de o enviados a terceros.
CUESTIONARIO RAPIDO SOBRE SEGURIDAD INFORMATICA “AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
22
¿EN QUE GRADO SON VULNERABLES USTEDES? La siguiente es una lista de diez preguntas que le darán una indicación aproximada de la protección de su empresa en sus operaciones informáticas. Este cuestionario no pretende ser un sustituto de un análisis completo de exposición al riesgo. (Rodee con un círculo el número de cada respuesta correcta) 1. ¿Se prohíbe a los empleados de informática iniciar transacciones contables originales, ajustes o correcciones? 2. ¿Han identificado ustedes la existencia de individuos (programadores u otro personal técnico) que están en posición de ocasionar daño considerable, o de quienes la organización tiene una alta dependencia? 3. ¿Se niega la entrada a su sala de ordenador, a su biblioteca de discos y cintas y a su almacén de papel impreso, a toda persona que no tenga por su trabajo razón para entrar? 4. ¿Se basan en calendarios planificados las vacaciones de los empleados? (Lo cual le permitiría a usted a ustedes poner de manifiesto eventuales practicas no autorizadas) 5. ¿Usan ustedes un procedimiento formal, que incluya autorizaciones individuales firmadas, para controlar cambios y modificaciones en el software de aplicaciones? 6. ¿Contienen los ficheros de clientes y proveedores nombres señuelos (decoy) para controlar su uso no autorizado? 7. Como regla general, ¿prohíben ustedes que alguien trabaje solo en la sala del ordenador? 8. Para las principales aplicaciones financieras o contables ¿existe un diagrama de traza de auditoria (audit trail) y/o una descripción clara que indique como puede trazarse o seguirse una transacción a lo largo del sistema? 9. ¿Hay una posición de auditoria interna o de seguridad que reciba informes estándar de las diferencias en cajas o inventarios, de las transacciones de gran volumen económico, de los consumos de almacén inusualmente altos, o de otras actividades inusuales, inconsistentes o sospechosas? 10. ¿Procesarían ustedes a empleados a quienes hubieran descubierto culpables de una actividad delictiva seria premeditada contra la organización?
“AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
23
Si hay tres o mas respuestas negativas (números no rodeados), su organización puede tener una vulnerabilidad informática grave. Si hay al menos una respuesta negativa (números no rodeados), puede convenir una acción correctora.
RESUMEN
La información constituye un activo más de las organizaciones y, en muchos casos, un elemento más de ventajas competitivas.
“AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
24
El análisis de riesgo implica determinar lo siguiente: ¿Que necesita proteger? ¿De que necesita protegerlo? ¿Cómo protegerlo?
Un virus es un pequeño programa escrito intencionalmente para instalarse en la computadora de un usuario sin el consentimiento o el permiso de este. Un hacker no es un criminal.
La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora.
Al conjunto de técnicas que se utilizan para evaluar y probar la seguridad de una red se le conoce como “ethical hacking”.
Es importante tener una política de seguridad de red bien concebida y efectiva que pueda proteger la inversión y los recursos de información de la compañía.
El programa de seguridad requiere que se lleven a cabo evaluaciones periódicas, para determinar si la siempre cambiante realidad de una organización continua cubierta en sus aspectos de seguridad.
La seguridad física se refiere a la protección del hardware y de los soportes de datos, así como las instalaciones que los albergan.
La seguridad lógica se refiere a la seguridad en el uso del software, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información.
La seguridad y la utilidad de una computadora son inversamente proporcionales; es decir que incrementar la seguridad en un sistema informático, su operatividad desciende y viceversa.
Es muy importante la adecuada selección de las herramientas que una organización necesita adquirir, así como su correcta implantación.
Pese a todas las medidas de seguridad puede ocurrir un desastre, por lo tanto es necesario un plan de recuperación de desastres, el cual tendrá como objetivo, restaurar el servicio de cómputo en forma rápida, eficiente y con el menor costo y pérdidas posibles.
El trabajo del auditor de sistemas será conformar sistemas que no necesiten mantenimiento excesivo, que el sistema de cómputo será parte de la solución y no parte del problema.
“AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA”
25
