Seguridad y Auditoria de Sistemas de Información
Plan de Auditoria Auditores Bryson Egusquiza, Julio (AA) Chilque Truyenque, Antonio (AE) Espinoza Valderrama, José (AA) López Seminario, Julio (AA) Quiroz Quispe, Carlos (AA) Sam Murguía, Miguel (AA) Sánchez Castillo, Eduardo (AA) Veliz García, Roberto (AA) Zumaeta Carranza, Gustavo (AA) AE: Auditor Encargado AA: Auditor Asistente
Supervisor Encargado Ing. Martin Figueroa Revilla
Seguridad y Auditoria de Sistemas de Información
Contenido
Tabla de contenido
Contenido.................... ........................................... .............................................. .............................................. .............................................. .................................. ........... 2 Tabla de contenido...................... ............................................. .............................................. .............................................. ......................................... .................. 2 Objetivos..................... ............................................ .............................................. .............................................. .............................................. .................................. ........... 3 Plan de trabajo....................... .............................................. .............................................. .............................................. ................................... ....................... ........... 4 Requerimiento de información...................... ............................................. .............................................. ...................................... ...................... ....... 6 Cuestionarios..................... ............................................ .............................................. .............................................. ......................................... ........................... ......... 9 Otros Aspectos de Importancia...................... ............................................. .............................................. ........................................... .................... 24 Opinión sobre la Infraestructura..................... ............................................ .............................................. ...................................... ................... ....54 Observaciones.................... ........................................... .............................................. .............................................. ................................................ ......................... 56 Conclusiones...................... ............................................. .............................................. .............................................. ................................................ ......................... 59 Recomendaciones....................... .............................................. .............................................. .............................................................. ....................................... 60 Anexos ........ ................ ................ ................ ................ ................. ................. ................ ................ ................ ................ ................ ................ .............. .......... ........ ........ ...... ..61
2
Seguridad y Auditoria de Sistemas de Información
Objetivos El sigu siguien iente te info inform rme e de audi audito torí ría a real realiz izar ará á un co cont ntro roll basa basado do en buenas buenas prácti prácticas cas para para aspectos aspectos de infraestructura que mantiene Epen Epensa sa,, Empr Empres esa a Pe Peri riod odís ísti tica ca Na Naci cion onal al S.A. S.A... Pa Para ra es este te ca caso so,, se definen los siguientes objetivos: 1. Evalu Evaluar ar los aspect aspectos os de infrae infraestr struct uctura ura de TI, los cuales cuales puedan puedan cont co ntrribui ibuirr de la me mejo jorr ma mane nerra el logr logro o de objet bjetiv ivo os de la organización 2. Evaluar el plan de continuidad de negocio respecto a la infr infrae aesstruc tructtura ura de los los se serrvici vicio os de TI, así co como mo eval evalu uar la administración del ambiente físico en cuanto a la protección de los activos de TI. 3.
Realizar Realizar una evaluación evaluación continua continua de TI para aspectos aspectos de gerencia gerencia de comunicaciones y redes tanto físicas como lógicas y mejoras en las políticas de control de la organización.
3
Seguridad y Auditoria de Sistemas de Información
Plan de trabajo El plan de trabajo que seguirá el grupo auditor buscará evaluar el estado actual de la organización con respecto a las buenas prácticas determinadas por el Cobit en su Versión 4.0. En base a esto, el plan de trabajo ha sido dividido en las siguientes fases: •
Monitoreo
•
Planeación y organización
•
Adquisición e Implementación
•
Entrega y Soporte
Estas fases se detallan a continuación en el siguiente esquema:
4
Seguridad y Auditoria de Sistemas de Información
Luego de la verificación y análisis de la información obtenida, elaboramos nuestros hallazgos que hacemos como parte de la evaluación de control interno y luego las recomendaciones que a nuestro juicio podrían incrementar los niveles de seguridad, control, eficacia, eficiencia y calidad de servicios del Área de Informática, los sistemas de procesamiento de datos de la institución y la instalación computarizada. La documentación base que hemos utilizado ha sido proporcionada por la Dirección de Informática y Estadística; así como, resultado de las entrevistas realizadas al encargado de Sistemas, además de las inspecciones de verificación y comprobación que efectuamos.
5
Seguridad y Auditoria de Sistemas de Información
Requerimiento de información EMPRESA PERIODISTICA NACIONAL S.A., conocida generalmente como EPENSA, se fundó en 1963 por Luis Banchero Rossi. EPENSA es una corporación que edita los diarios Correo, Ojo, Ajá y el Bocón. Hoy en día está bajo la conducción de los hermanos Luis y Carlos Agois Epensa es una empresa dedicada a la edición de periódicos y revistas para varios sectores sociales de la capital e interiores.
Visión Ser una empresa multimedios con presencia en todas las regiones del país, con colaboradores comprometidos con el líder, que lo acompañan a hacer realidad la misión de Epensa
Misión Dirigir una cadena de medios de comunicación para informar, entretener, educar y servir con credibilidad, veracidad y objetividad. Ser portavoz de las necesidades de la comunidad a través de su conocimiento profundo de la realidad nacional, para promover el bienestar de la gran mayoría del país.
Objetivo Ser el más grande generador de contenidos informativos del Perú al más bajo costo
6
Seguridad y Auditoria de Sistemas de Información
Logo de la Institución
Nombre Comercial Epensa
Dirección de la empresa Jr. Jorge Salazar Ar #171 la Victoria – Lima
Empresa Periodística Nacional
7
Seguridad y Auditoria de Sistemas de Información
Razón Social: (EPENSA) Nombre Comercial: RUC: Tipo De Empresa: Actividad Económica: Inicio De Actividades: Dirección Completa: Catalina Ubicación Geográfica: Fax: Teléfono:
Empresa Periodistica Nacional S.A.. EPENSA 20100087945 Sociedad Anonima EDICION DE PERIODICOS Y REVISTAS 22-03-1962 Jr. Jorge Salazar Araoz #171 Santa Lima / Lima / La Victoria 6908127 6908080
Organigrama del área de TI
8
Seguridad y Auditoria de Sistemas de Información
Cuestionarios Se realizaron los siguientes Cuestionarios respecto a infraestructura de TI para Epensa
ENTIDAD: EPENSA - Empresa Periodística Nacional S.A. NOMBRE DEL FUNCIONARIO: Erick Garayar CARGO: Jefe del Área de Sistemas – Redes y Comunicaciones
Planear y Organizar ¿Se cuenta con un plan de infraestructura tecnológica? ¿Tiene usted un conocimiento de las tecnologías con las que cuenta su organización y como están
Contamos con Planes, mas no están documentados Si, si lo estoy, en estos momentos están planeando adquirir Servidores de la marca IBM, que por el momento no ha sido posible adquirirlos, por el hecho de que aun la empresa no ve la importancia del área de TI ¿Cuentan con planes de El procedimiento es como infraestructura de TI para la cualquier otro, se realiza una respectiva adquisición de nuevos orden la cual es evaluada por el componentes para la jefe de Area y /o responsable y organización y planes de luego es enviada a contabilidad contingencia? para ser evaluada ¿Qué planes? ¿Se cuenta con procesos, políticas administrativas y procedimientos para las funciones de seguridad? Mencione los más importantes
¿Cree usted que se designa de manera correcta y justa las tareas de soporte para los requerimientos de TI?
¿Determinan prioridades para los recursos de TI? ¿Bajo qué criterio?
Si, contamos con políticas para lo que respecta seguridad de la información. Cuando enviamos la información en PDF de los formatos de los periódicos a las diferentes partes del centro del País, esta información es enviada encriptado. En Epensa el personal es altamente calificado para asignarle las respectivas tareas de soporte de TI, esta es una área que no puede descansar es por eso que designamos a un personal el cual también puede dar soporte todo la noche. Si, dependiendo de los servidores y/op servicios los cuales se encuentren saturados o necesiten mayor capacidad de ”fierro” es mas ahora ultimo adquirimos una 9
Seguridad y Auditoria de Sistemas de Información
¿Cree usted que la estructura de TI con la que cuenta su organización es la más adecuada y satisface las necesidades de la organización?
¿Todos los miembros del área de TI cuenta con roles definidos y responsabilidades de acuerdo a la experiencia y necesidad de cada una de estas actividades? ¿Cree usted que la organización cuenta con la respectiva infraestructura y sistemas de información para salvaguardar los datos?
¿Qué tan preparada cree usted que se encuentra su personal de TI para garantizar las funciones de TI? Defina del 1 al 10 Donde 1 es Pésimo y 10 es excelente ¿Qué medidas, procedimientos y/o políticas se aplica con el personal de TI para garantizar la protección de los activos de información de la empresa?
proliant HP para que sirva como servidor de cámaras, el cual lo estamos implementando Contamos con una solución de Windows server 2003, y muchos de nuestros servicios están sobre plataforma libre lo cual nos ha ahorrado gastos con respecto a licencias y a mi parecer esta solución es la más adecuada mas no la única que satisface ala organización Si, cada miembro del área de redes, soporte y desarrollo tiene un cargo importante en Epensa, el cual motiva a nuestros miembros a ser participes del cambio y mejora del negocio. Se está implementando una nueva área para sistemas, pero por falta de apoyo económico de la misma empresa estos proyectos se encuentran algo olvidados. …¿con respecto al cableado? Usamos Cat5e para toda la organización y fibra óptica para los servidores y enlaces VPN con nuestras sucursales. …¿Cuentan con alguna estandarización sobre cables 568 o 568b? Sí, estamos en proceso de hacerlo, es mas estamos viendo la posibilidad de dar un curso de certificación CISCO para el área de soporte y redes. El personal es seleccionado por mi criterio, y hasta la fecha he podido encontrar personas muy capaces para realizar las tareas. 9 La mas común que usamos es el envío de correos y para la seguridad de información hemos pasado de almacenar en discos( DVD) a una solución de 10
Seguridad y Auditoria de Sistemas de Información
HP como lo que es Tape BackUps ¿Siguen buenas prácticas o algunos tipos de ejercicio para lo que administración y recursos humanos de TI? ¿Realizan evaluaciones permanentes al personal de TI? ¿Con que periodo?
¿Qué procedimientos y/o métodos aplica la organización para la mejora continua del negocio? Detalle
Así es cada 3 meses se realiza una evaluación tanto de conocimientos como psicológica al personal de las respectivas aéreas de TI, no con el afán de asustarlos o poner en riesgo su trabajo, lo hacemos con el hecho de saber cómo se sienten al trabajar y si el trabajo está cumpliendo con las expectativas del personal. Capacitaciones constantes, adquisición de nuevas tecnologías, y bastante empeño y estudio para estar preparados para cualquier situación
Adquirir e Implementar ENTIDAD: EPENSA - Empresa Periodística Nacional S.A. NOMBRE DEL FUNCIONARIO: Ing. Erick Garay, Geiner Gardin CARGO: Jefe del Área de Sistemas – Redes y Comunicaciones y administrador de redes respectivamente Cuestionario de Control Interno
A. ANÁLISIS DE RIESGOS 1. ¿Se verifica un seguimiento periódico del plan estratégico? 2. ¿Se inspecciona cuál es el posicionamiento de la compañía respecto a la competencia? 3. ¿Se efectúan reuniones habituales de la alta dirección para tratar asuntos estratégicos del negocio? 4. ¿Se examina la rentabilidad de las diversas unidades de negocio? 5. ¿Se analiza el riesgo de crédito? 6. ¿Se analiza el riesgo de obsolescencia de las existencias? 7. ¿Se analiza la rentabilidad de las inversiones en activos fijos? 8. ¿Se controla la actividad y los resultados de las delegaciones y/o filiales? Cuestionario de Control Interno
SÍ
NO
x x x x x x x x
SÍ
NO 11
Seguridad y Auditoria de Sistemas de Información
B. CICLO DE COMPRAS, INVERSIONES, NÓMINAS Y PAGO 1. ¿Está centralizada la función de compras? 2. ¿Existe control presupuestario de las compras? 3. ¿Están autorizadas las compras e inversiones previamente a su solicitud? (en el caso de inversiones se analiza la suficiencia presupuestaria). 4. ¿Existe una lista de proveedores autorizados? 5. ¿Se verifican las existencias compradas en cuanto a número y calidad? 6. ¿Se cotejan en recepción las unidades registradas con las pedidas? 7. ¿Se cotejan en recepción las unidades recibidas? 8. ¿Se cotejan las unidades indicadas en factura? 9. ¿Se revisa la introducción de existencias y la valoración en el sistema de inventario permanente? 10. ¿Se cotejan los precios con la plantilla pactada? 11. ¿Se autorizan las facturas y la fecha de pago antes de pasarlas a tesorería? 12. ¿Se comunica a contabilidad las facturas debidamente autorizadas? 13. ¿Se autoriza, suficientemente, la emisión de notas de cargo a los proveedores en caso de discrepancias? 14. ¿Se concilian las notas de cargo con la nota de abono emitida por el proveedor? 15. ¿Se verifica la entrada de existencias previamente a la autorización de una devolución? 16. Al cierre, se registran las compras con facturas pendientes de recepción. 17. Al cierre, se analizan los gastos susceptibles del periodo contable por el responsable de contabilidad. 18. Semestralmente, se amortizan los elementos del inmovilizado. 19. ¿Se realiza inventario físico de existencias al cierre y rotativo de inmovilizado? 20. ¿Se analiza la obsolescencia de las existencias al cierre del ejercicio? 21. ¿Existe un criterio formalizado para distinguir las reparaciones de las mejoras? 22. ¿Se revisa la asistencia al puesto de trabajo previamente a la elaboración de la nómina y especialmente los finiquitos? 23. ¿Se autoriza el pago por persona independiente al preparador de la nómina? 24. ¿Las funciones de compra, pago y contabilidad están suficientemente segregadas o existen mecanismos de autorización que garanticen la independencia de funciones? 25. ¿Se cotejan por persona independiente las bases fiscales con los datos contables?
x x x x x x x x x x x x x x x x x x x x x x x x x
12
Seguridad y Auditoria de Sistemas de Información Cuestionario de Control Interno
C. CICLO DE INGRESOS Y COBRO 1. ¿Existe presupuesto de ventas? 2. ¿Los vendedores y directivos de venta no perciben su retribución en función de objetivos de venta y rentabilidad? 3. ¿Existe una tarifa oficial de precios y una política predefinida de descuentos y devoluciones? 4. ¿Se exige un nivel suficiente de autorización para separarse de las políticas preestablecidas en cuanto a precios y descuentos? 5. ¿Se autorizan las ventas por el nivel suficiente en función del riesgo crediticio derivado? 6. ¿Se analiza la concentración de crédito antes de aplazar una operación? 7. ¿Se comprueban las existencias pedidas por los clientes previamente a su envío? 8. ¿Se coteja el recibo emitido con la nota de pedido del cliente? 9. ¿Se comprueban los datos del cliente y se actualizan adecuadamente? 10. ¿Se mantiene un registro de cuentas a cobrar en función de la antigüedad de los saldos? 11. ¿Se autorizan adecuadamente los saneamientos de créditos por morosidad o descuentos? 12. ¿Se registran adecuadamente y se siguen los anticipos de clientes? 13. ¿Se cotejan por persona independiente las bases fiscales con los datos contables? 14. ¿Las funciones de venta, cobro y contabilidad se encuentran suficientemente segregadas? Cuestionario de Control Interno
D. CICLO DE CONVERSIÓN 1. ¿Se sigue un sistema de Inventario Permanente para existencias? 2. ¿Se utiliza un criterio aceptable para la valoración de las salidas de materias primas? 3. ¿Se utiliza un criterio aceptable para valorar los movimientos del Inventario Permanente de productos terminados? 4. ¿Se realiza un escandallo de producción para facilitar el cálculo de costes de producción? 5. ¿Se calcula el coste de los productos terminados en función de criterios históricos? 6. ¿Se realiza un inventario físico para contrastar las cifras del Inventario Permanente?
SÍ
NO
x x x x x x x x x x x x x x
SÍ
NO
x x x
x x
13
Seguridad y Auditoria de Sistemas de Información Cuestionario de Control Interno
E. INVERSIÓN Y FINANCIACIÓN 1. ¿Existe un presupuesto de tesorería? 2. ¿Las operaciones de inversión estratégica en otras compañías son autorizadas por el consejo de administración? 3. ¿Se realiza un seguimiento periódico de la cartera de inversiones financieras? 4. ¿Se monitorizan los riesgos derivados de la cartera de valores? 5. ¿Se revisan los intereses contratados con las liquidaciones periódicas? 6. ¿Se analizan al cierre las periodificaciones de ingresos financieros? 7. ¿Se revisa la liquidación de intereses en las operaciones de crédito? 8. ¿Se revisa al cierre la clasificación de la deuda entre corto y largo plazo? 9. ¿Se autorizan por el consejo de administración la aprobación de dividendos? Cuestionario de Control Interno
F. TESORERÍA 1. ¿El movimiento de caja se deja para importes mínimos? 2. ¿Existe un procedimiento de caja fija para los movimientos de caja? 3. ¿Se analizan al cierre los justificantes existentes en caja? 4. ¿Se arquea periódicamente la caja por personal independiente a la función de tesorería? 5. Los pagos se encuentran debidamente autorizados 6. ¿Se concilian periódicamente las cuentas corrientes bancarias, por personal independiente a contabilidad y tesorería? 7. ¿Se realiza un seguimiento de las diferencias detectadas en la conciliación? 8. ¿Se exige doble firma para disponer de fondos? 9. ¿Se autoriza suficientemente la apertura de nuevas cuentas corrientes? 10. ¿Se efectúa un control suficiente de las firmas autorizadas? 11. ¿Se revisa periódicamente la liquidación de intereses de las cuentas corrientes? 12. ¿Se revisa al cierre, las diferencias de conciliación con incidencia en contabilidad y se informa a la misma? 13. ¿Se controlan las cuentas inactivas?
SÍ
NO
x x x
x x x x x
SÍ
NO
x x x x x x x x x x x x x
14
Seguridad y Auditoria de Sistemas de Información
15
Seguridad y Auditoria de Sistemas de Información
CUESTIONARIO PARA AREAS USUARIAS 1. ¿Qué servicios del Área de Informática recibe usted? Es usuario de Red.............................................................. SI (x) NO ( ) Cuenta usted con servicio de Correo Electrónico ............. SI (x) NO ( ) Cuenta usted con Acceso a Internet ................................. SI (x) NO ( ) •
•
•
2. ¿Qué Sistemas informáticos utiliza ? Software de Oficina MS World MS Excel Adobe InDesign Adobe Photoshop
Sistemas Aplicativos
3. ¿En un MES cuan frecuentes son las pérdidas del servicio informático que utiliza? Es así en todos los servicios: Servicio de acceso a los Sistemas Aplicativos Servicio de correo electrónico Servicio de acceso a Internet Servicio de impresión Local y en red Servicio de disponibilidad de computadoras y periféricos
Nunc 1a5 a
6a 10
11 a +
x x x x x
4. ¿Cuánto tiempo demora en arreglarse el problema o restablecerse el servicio? Es así en todos los servicios: Servicio de acceso a los Sistemas Aplicativos Servicio de correo electrónico Servicio de acceso a Internet Servicio de impresión Local y en red Servicio de disponibilidad de computadoras y periféricos
< 1 Hora 1 Hora > 1 Día
x x x x x
5. ¿Cuándo realiza Usted requerimientos al Área de Informática, cuál es el tiempo de atención? Es así en todos los servicios:
< 1 Hora 1 Hora > 1 Día
16
Seguridad y Auditoria de Sistemas de Información
Servicio de acceso a los Sistemas Aplicativos Servicio de Soporte de Software de Oficina Servicio de Soporte de manejo del sistema Servicio de correo electrónico Servicio de acceso a Internet Servicio de impresión Local y en red Servicio de disponibilidad de computadoras y periféricos
x x x x x x x
6. ¿Cuándo realiza Usted requerimientos al Área de Informática, a que persona recurre? Recurre normalmente al Jefe de Sistemas, mediante un documento con formato diseñado por esa área que nos entregaron para atender nuestros requerimientos. 7. ¿Cuál es el procedimiento de aceptación, cuando hay una modificación, cambio o un nuevo requerimiento atendido de sistema? El procedimiento es siempre escrito y tiene que ser firmado y autorizado por el jefe de Sistemas 8. ¿Cubren sus necesidades de información los sistemas que utiliza del Área de Informática? No las cubre ( ) Parcialmente ( ) La mayor parte (x) Todas ( ) ¿Por que? Por que no siempre toda la información que utilizo para mis artículos provienen de nuestros sistemas, a veces recurro a mis conocidos en otros medios o al Internet.
9. ¿Hay disponibilidad del Área de Informática para atender sus requerimientos? Nunca (1), Rara vez (2), Ocasionalmente (3), Generalmente (4) y Siempre (5) 1 Es así en todos los servicios: Servicio de Soporte de Software de Oficina Servicio de Soporte de manejo del sistema Servicio de correo electrónico Servicio de acceso a Internet Servicio de impresión local o en red Servicio de disponibilidad de computadoras y periféricos
2
3
4 x
5
x x x x x
10. ¿Son entregados oportunamente los trabajos encargados al Área de Informática? Nunca (1), Rara vez (2), Ocasionalmente (3), Generalmente (4) y Siempre (5)
Es así en todos los servicios: Servicio de Soporte de Software de Oficina Servicio de Soporte de manejo del sistema
1
2
3 x
4
5 x
17
Seguridad y Auditoria de Sistemas de Información
Servicio de correo electrónico Servicio de acceso a Internet Servicio de disponibilidad de computadoras y periféricos Requerimiento de nuevas aplicaciones
x x x x
11. ¿Quién interviene de su departamento y/o oficina en el diseño de sistemas? La persona autorizada que es el Jefe Editor 12.
¿Qué sistemas desearía que se incluyeran? Mas que incluyeran, me gustaría que lo mejoren, por que es muy lento y a veces no se entienden bien sus opciones
13. ¿Qué piensa de la seguridad en el manejo de la información proporcionada por los sistema que utiliza? Nula ( )
Riesgosa ( )
Satisfactoria (x)
Excelente ( )
Desconoce ( )
¿Por que? Debido a que tengo entendido que no hace muchos meses, pudieron ingresar externamente a nuestros servidores pero no pudieron acceder a la información.
14. ¿Existen fallas de exactitud en los procesos de información que Ud. utiliza? ¿Cuáles? No, la información está bien respaldada por los sistemas. Pero demora 15. ¿Usted procesa la información o está a cargo del área de Informática, o alguna otra área? No la proceso, pero ingreso mis artículos que voy publicando 16. ¿Tiene acceso Ud., al Manual de Usuario del Sistema que maneja? SI (x) NO ( ) 17. 18.
¿Es claro y objetivo el manual del usuario? SI ( ) NO (x) ¿Qué opinión tiene del manual? Es muy técnico cuando los que la leemos no sabemos mucho de informática, sólo lo necesario.
18
Seguridad y Auditoria de Sistemas de Información
ENTIDAD: EMPRESA PERIODÍSTICA NACIONAL S.A. “EPENSA” NOMBRE DEL FUNCIONARIO: ERICK GARAYAR CARGO: Jefe del Área de Sistemas – Redes y Comunicaciones NOMBRE DEL FUNCIONARIO: GEINER GARDIN CARGO: Administrador de Redes
Entregar y dar soporte ¿Está desarrollado algún marco de trabajo de continuidad de TI que soporte la continuidad de negocio? ¿Se tienen plenamente identificados los eventos de interrupción de la continuidad de negocio? ¿Existen planes desarrollados de la continuidad de TI? ¿Se maneja algún tipo de rol o responsabilidad bajo este plan de continuidad de TI? ¿Se maneja algún criterio para identificar los recursos críticos de TI? ¿Existen procedimientos de control de cambios para asegurar que el plan de continuidad de TI se mantenga actualizado y maneje de manera continua el negocio? ¿Existe algún plan de pruebas para el plan de continuidad de TI? ¿Existe algún plan de entrenamiento a los trabajadores, indicando roles y responsabilidades en el plan de continuidad de TI? ¿Existen procedimientos distribución del plan de
SI (x) NO ( ) SI ( ) NO (x)
SI ( ) NO (x) SI ( ) NO (x) SI ( ) NO (x) SI ( ) NO (x)
SI ( ) NO (x) SI ( ) NO (x)
SI ( ) NO (x) 19
Seguridad y Auditoria de Sistemas de Información
continuidad de TI? ¿Existe algún planeamiento de acciones a tomar mientras los servicios de TI se recuperan? ¿Existe almacenamiento de respaldo fuera de las instalaciones como documentación y /o recursos de TI? ¿Existen revisiones post reanudación de los servicios de TI? ¿Se revisa y evalúa la posibilidad de un riesgo físico (acceso no autorizado, daño, robo) a los activos de TI? ¿Se tienen identificadas las zonas de seguridad y ubicación de equipo critico? ¿Existe responsabilidad formal para el monitoreo de la seguridad física? ¿Existe responsabilidad formal para la resolución de incidentes de seguridad física? ¿Se cuenta con procedimientos para otorgar, limitar y revocar el acceso a determinadas áreas de la empresa? ¿Existe un monitoreo constante de toda persona que acceda a la empresa y de lo que realiza en ella? ¿Se posee alguna medida de protección contra factores ambientales que dañen la infraestructura? ¿Se cuenta con lineamientos para la instalación de equipos de comunicaciones así como para el de suministro de energía? ¿Se ha evaluado la infraestructura de la empresa por parte de entidades que garanticen que se cumplan las regulaciones para la seguridad y la salud? ¿Se evaluó el riesgo al momento de diseñar el esquema del centro de datos? ¿Se han establecido
SI ( ) NO (x) No existe, pero planean implementarlo. SI ( ) NO (x) SI ( ) NO (x)
SI ( ) NO (x), aun no se ha completado de identificar todas las zonas de seguridad. SI ( ) NO (x) SI ( ) NO (x) SI ( ) NO (x)
SI ( ) NO (x), solo de algunos ambientes de la empresa. SI ( ) NO (x)
SI (x ) NO ( )
SI (x) NO ( ), se siguen las indicaciones de defensa civil.
SI ( ) NO (x) SI (x) NO ( ), se cuenta con un 20
Seguridad y Auditoria de Sistemas de Información
procedimientos para monitorear la infraestructura de TI? ¿Se realiza un mantenimiento preventivo de la infraestructura de TI? ¿Se tiene convenio con alguna empresa para ejecutar dicho mantenimiento? ¿Posee equipos proporcionados por terceros (alquilados, en concesión) que sean críticos para sus operaciones?
sistema de monitoreo para diversas áreas de la empresa. SI ( ) NO (x) SI ( ) NO (x) SI (x) NO ( )
ENTIDAD: EMPRESA PERIODÍSTICA NACIONAL S.A. “EPENSA” NOMBRE DEL FUNCIONARIO: ERICK GARAYAR CARGO: Jefe del Área de Sistemas – Redes y Comunicaciones NOMBRE DEL FUNCIONARIO: GEINER GARDIN CARGO: Administrador de Redes MONITOREO DEL PROCESO 1. Sabía UD., ¿Que el monitoreo del proceso asegura el logro de los objetivos establecidos para los procesos de TI? 2. Hay disponibles informes precisos en tiempo y forma
Si, si sabía, se están monitoreando todos los procesos del área de TI de la empresa
Si se tiene informes periódicos de sobre el estado de los procesos del área de TI 3. Los responsables de los No hubo un entendimiento claro procesos entendieron los de los procesos y los KGI y KPI KGI y KPI 4. Las medidas de No se cuenta con criterios claros rendimiento en TIC incluyen ni definidos para el aprendizaje 21
Seguridad y Auditoria de Sistemas de Información
criterios de aprendizaje económico, operacional, de usuarios y organizacional que aseguran la alineación con los objetivos de la organización y pueden ser conectados con los tableros de mando. 5. Los objetivos de los procesos están claramente entendidos y comunicados. 6. Existe un marco para definir e implementar requerimientos de informes de gobierno. 7. Se establece una base de conocimiento de rendimiento histórico.
operacional dando solo ciertas capacitaciones al usuario del área de TI
Si están claramente definidos y comunicados por la gerencia al personal del área de TI. No cuenta con un marco de definido para obtener información del gobierno. Cuenta con archivos históricos de rendimiento.
EVALUAR LO ADECUADO DEL CONTROL INTERNO 1. La administración define Si existe una asignación de claramente cuales control para los componentes los componentes deben ser cuales serán medidos y controladas. controlados. 2. Se comprenden claramente Si la asignación de roles está los controles internos, las dada internamente y cada uno del responsabilidades internas personal del área de TI cumple y su cumplimiento. con su función de control asignado. 3. La función de control Cuenta con una función de control interno existe, es interno detallada pero se controla competente y tiene al personal interno de acuerdo a autoridad, puede delegar sus funciones y desempeño. según corresponda. 4. Existe un marco de control Si tiene un marco e control TIC adecuado adecuado para evaluar el desempeño y control. 5. Se usa un proceso claro No cuenta con un proceso claro para reportar a tiempo las para reportar deficiencias de deficiencias de control control basándose solo en resultados y desempeño. 6. Hay un compromiso de la Si la alta gerencia está tratando administración de corregir de mejorar el proceso de control los defectos encontrados del área de TI 7. Riesgo y seguridad están Si están alineados. alineados. 8. Existe un proceso interno Si cuentan con un proceso para para asegurar que se intercambiar información sobre comparte información incidentes y soluciones. 22
Seguridad y Auditoria de Sistemas de Información
sobre los incidentes y sus soluciones.
1.
2.
3.
4.
5.
OBTENCION DE ASEGURAMIENTO INDEPENDIENTE La Empresa cuenta con una No cuenta con ninguna Certificación / Acreditación certificación ni acreditación sobre Independiente de Control y control de seguridad de TI Seguridad de los servicios de TI. Se cuenta con una No cuenta con ninguna Certificación / Acreditación certificación /acreditación sobre Independiente de Control y control y seguridad de Seguridad de proveedores proveedores externos. externos de servicios. Se ha hecho una Si se ha hecho evaluaciones sobre evaluación independiente efectividad de los servicios de TI de la efectividad de los logrando obtener beneficios y Servicios de TI. mejoras. Se ha hecho una No se ha hecho una evaluación evaluación independiente sobre efectividad de proveedores de la efectividad de externos. proveedores externos de servicios. Hay un aseguramiento Existe un aseguramiento para el Independiente del cumplimiento de las leyes y Cumplimiento de leyes y contratos hechos. requerimientos regulatorios y compromisos contractuales.
6. Hay un aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales de proveedores externos de servicios 7. Existe competencia de la función de aseguramiento Independiente 8. Existe participación Proactiva de Auditoria
Existe un cumplimiento de leyes y contratos con proveedores externos.
No existe competencia de la función de aseguramiento. No cuentan con una participación de auditoría.
PROVEER AUDITORÍA INDEPENDIENTE 1. Autoridades definen y No existe un plan de auditoría apoyan un plan de para el área de TI auditoría que provee 23
Seguridad y Auditoria de Sistemas de Información
2. 3. 4.
5.
6. 7.
independencia, responsabilidad y autoridad a la función de auditoria El planeamiento y realización de las auditorias es pro-activa Existen herramientas y técn técnic icas as de so sopo porrte a la auditoria Se establecen prácticas acordadas de auditoría entre la gestión y la auditoria para cerrar recomendaciones y estatus global. Los auditores asesoran sobre el impacto en la performance de sus recomendaciones incluyendo costos, beneficios y riegos. Se siguen las prácticas generalmente aceptadas de auditoría. Se usa planeamiento basado en riegos para defin efinir ir las las ac acttivid ividad ades es a auditar inicial y cíclicamente.
Existe una planeación y realización es proactiva. No existe un soporte de auditoría. No existen prácticas acordadas de auditoría.
No hay auditores que asesoren al área de TI.
Siguen algunas prácticas para control y planeamiento basadas en auditorias. No cuenta con un plan de riesgos para auditar.
Otros Aspectos de Importancia
24
Seguridad y Auditoria de Sistemas de Información
Como toda área de TI Epensa trata de mantenerse al día con las últimas tecnologías del mercado, las cuales iremos describiendo a continuación
Comunicaciones •
A nivel WAN, Epensa cuenta con 2 DNS los cuales le permiten una mayor cobertura para mantenerse constante sin problemas de conectividad para toda la organización, y contar con mayor rapidez respecto a la comunicaciones a través de VPN’s en las diferentes partes del país.
•
Epensa cuenta con una red LAN estable la cual conecta a todos los ordenadores de la institución a los servicios los cuales pueda brindar el área de TI.
•
Trabaja bajo una plataforma plataforma de WindowsServer 2003 2003 la cual le da una mayor flexibilidad para las cuentas y administración de la red; además de contar con servicios de DNS y DHCP
•
Cuentan con un servicio de correo basado enOpenSource, el cual es el openXchange
25
Seguridad y Auditoria de Sistemas de Información
•
Cuentan con servicios de Firewall e IDS basados en Linux los cuales son el IPtables y el snort los cuales son herramientas las cuales han demostrador ser muy eficaces para cumplir estas funciones
•
La red con la que cuenta Epensa no se encuentra realizado la operación de subnetting, pero utilizan la red privada 192.168.x.x para las distintas areas las cuales cuenta Epensa, un ejemplo es: Correo utiliza la dirección 192.168.3.2 – 192.168.168.3.255 y OJO usa la dirección 192.168.2.2 – 192.168.168.2.255.
•
La orga organi niza zaci ción ón no cuen cuenta ta co con n una una es esta tand ndar ariz izac ació ión n co con n resp respec ecto to al ca cabl blea eado do es estr truc uctu tura rado do,, pero pero se co cono noce ce que que se encuentra todo con cable categoría 5e, y para los servidores utilizan fibra óptica monomodo.
•
Cuenta con servidores proxy implementados para una mayor seguridad del caso.
26
Seguridad y Auditoria de Sistemas de Información
•
Cuentan con una conexión dedicada de 4 Mb y una de respaldo de 2 Mb Speedy Business
•
A continuación podemos apreciar parte de la red de Epensa y como esta constituida
Foto, izquierda a derecha: Percy Rojas, Administrador de redes; Erik Garayar,
Jefe de sistemas; y Geiner Gardín, Administrador de redes de EPENSA.
27
Seguridad y Auditoria de Sistemas de Información
28
Seguridad y Auditoria de Sistemas de Información
Equipos y Servicios Epensa S.A cuenta con un Centro de Cómputo adecuado especialmente para contener los servidores, equipos de red y equipos de telefonía. •
El diseño del centro de cómputo cuenta con sistemas de seguridad apropiados para resguardar la información de la empresa
. Área de servidores
Operadores 29
Seguridad y Auditoria de Sistemas de Información
•
Cuenta con una línea dedicada de 4 mb y una de 2mb SB
para respaldo •
El servicio es brindado por Telefónica del Perú
•
El servicio de correo se encuentra montado sobre una distribución Linux RedHat 5 Enterprise
•
Todo usuario perteneciente a Epensa cuentan con una dirección de correo electrónico
•
En el siguiente grafico podemos apreciar la infraestructura para el envio de correos
Transferencia de correo Electrónico •
El servicio de VPN’s
•
Los aplicativos de la empresa se utilizan en la parte de finanzas, RRHH etc, los cuales son producidos por la misma área de desarrollo
•
Epensa no cuenta con una solución holística como lo es SAP (por ejemplo)
•
La estructura de DNS de Epensa se encuentra de la siguiente manera 30
Seguridad y Auditoria de Sistemas de Información
31
Seguridad y Auditoria de Sistemas de Información
•
Lo cual hace más flexible para este tema, puesto que su Web esta alojada por Telmex y los demás servicios se encuentran registrados en DNS’s de Telefónica
Servidores Epensa S.A cuenta con servidores HP que cumplen las siguientes funciones: •
Servidor de correo (OpenXchange)
•
Servidor FTP
•
Servidores de DHCP y DNS montados em Windows Server
2003 •
Servidor de firewall sobre uma plataforma Linux usando
IPtables •
Servidor de Proxy en Linx RedHat 5 Enterprise
•
Servidor HP de BackUps TapeBackUp
Base de datos La base de datos de Epensa se encuentra centralizada en Lima la cual a su vez se encuentra duplicada en otra habitación del mismo local de Epensa, Esta base de datos se encuentra montada en Oracle 10G. Las Bases de datos sucursales se conectan a través de un enlace VPN para una mayor seguridad del caso. Utilizan métodos de encriptación avanzados como AAA puesto que la información que es enviada es crítica para la empresa, en este caso
32
Seguridad y Auditoria de Sistemas de Información
los periódicos en formato de PDF para la respectiva impresión en diferentes partes del país.
En lima se sigue un proceso de alta seguridad para lo que es respectivo almacenamiento de la información (fotos. PDF, XLS, etc de Epensa)
33
Seguridad y Auditoria de Sistemas de Información
34
Seguridad y Auditoria de Sistemas de Información
Análisis de Riesgos INTRODUCCION
I.
El presente análisis de los riesgos fue desarrollado con el propósito de determinar cuáles de los activos de la organización Empresa periodística Nacional EPENSA” tienen mayor vulnerabilidad por la presencia tanto de factores externos o internos que puedan afectar, identificando las causas potenciales que faciliten o impidan alcanzar los objetivos, calculando la probabilidad de su ocurrencia, evaluando sus probables efectos, y considerando el grado en que el riesgo puede ser controlado. Para generar esta información se realizaron las siguientes actividades: a.
Identificación de los activos de La Organización (Epensa) : se evaluaron los distintos activos físicos y de software de la organización, generando un inventario de aquellos que son considerados como vitales para su desenvolvimiento seguro.
b.
Asignación de importancia a los activos: los activos fueron clasificados según el impacto que sufriría la organización si faltase o fallara tal activo.
c.
Identificación de amenazas: acto seguido se listaron los factores de riesgo relevantes a los pueden verse sometidos cada uno de los activos arriba nombrados.
d.
Descripción de consecuencias y salvaguardas: se generó una descripción de las consecuencias que podría sufrir La Institución si los activos son afectados por sus respectivas amenazas, detallando la manera en que se protege al activo contra ese ataque en particular, y puntualizando en qué grado son efectivas estas medidas.
e.
Asignación de probabilidades de ocurrencia de las amenazas: teniendo en cuenta los datos arriba mencionados fue posible estimar la probabilidad de ocurrencia que cada una de las amenazas representaba con respecto a los activos listados, considerando para esta estimación las medidas tomadas por la institución para mitigar su acción.
35
Seguridad y Auditoria de Sistemas de Información f.
Cálculo de niveles de vulnerabilidad y riesgo: una vez identificados los riesgos, se procedió a su análisis. Con toda la información recolectada, se determinó el nivel de vulnerabilidad que se asocia con cada activo listado.
g.
Conclusiones: a partir de las actividades anteriormente descritas se pudo evaluar la situación actual de La Organización en relación a los incidentes que pueden afectarla, calculando las vulnerabilidades cubiertas y descubiertos, y un análisis sobre la escala de importancia de los activos.
h.
Consecuencias: luego de identificar, estimar y cuantificar los riesgos, la unidad de riesgos de La Organización deben determinar los objetivos específicos de control y, con relación a ellos, establecer los procedimientos de control más convenientes, para enfrentarlos de la manera más eficaz y económica posible. En general, aquellos riesgos cuya concreción esté estimada como de baja frecuencia, no justifican preocupaciones mayores. Por el contrario, los que se estiman de alta frecuencia deben merecer preferente atención. Entre estos extremos se encuentran casos que deben ser analizados cuidadosamente, aplicando elevadas dosis de buen juicio y sentido común.
II. ACTIVOS Y FACTORES DE RIESGOS Presentamos los distintos activos reconocidos en Epensa, asignando un valor al impacto que tienen en la organización, ponderada en una escala del 1 al 10. Este impacto es un valor subjetivo que refleja el nivel de Impacto que puede tener La Organización si un incidente afecta a los activos, sin considerar las medidas de seguridad que existan sobre los mismos.
CATEGORIA
ID
DEFINICION DEL ACTIVO
Instalaciones 01 Ambiente del área de Sistemas Personal 02 Personal del área de sistemas Equipamiento 03 Sistema de Aire Acondicionado auxiliar 04 Pozos a tierra y Sistema Eléctrico Estabilizado
Servicio
IMPACT O 8 8 7 6
05 Suministro de Energía Eléctrica
7
06 Cámaras de seguridad
3
07 Sistema de Telecomunicaciones
7
36
Seguridad y Auditoria de Sistemas de Información
Servidores centrales (Servidor de Dominio, Equipos informáticos/R 08 Terminal Services, Antivirus, Antispam y Firewall). edes de comunicacione 09 Servidor de base de datos s Dispositivos de conectividad y soporte en 10 comunicaciones (Cableado, switch, routers, access point módems.) 11 Ordenadores de Escritorio Aplicaciones 12 Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos) 13 Servicio de correos e intranet, DNS Servicio de VPN’s para oficinas en centro del 14 Perú 15 Aplicaciones de desarrollo de la empresa Data generada por los Sistemas de Datos e 16 Información Información 17 Data generada por los Usuarios. Documentación de programas, hardware, Soporte de información 18 sistemas, procedimientos administrativos locales, manuales, etc.
8 7 9 4 5 7 7 6 8 8 7
*La ausencia del jefe del área de sistemas impactaría de gran manera al área de sistemas, por lo que no solo es jefe del área, sino del área de redes y comunicaciones y ala vez también de soporte técnico 1 10
= =
Menor impacto Mayor impacto
A continuación se listan los factores de riesgo o amenazas que pueden afectar a dichos activos, indicando la probabilidad de que estas contingencias ocurran, en una escala del 1 al 5. Esta probabilidad fue evaluada teniendo en cuenta las medidas de seguridad existentes en la organización.
TIPO
ID
Accidentes 001 002 003 004 005
AMENAZA Incendios Inundación Terremotos Error de backups Error en el medio de almacenamiento
PROBABILI DAD
1 1 1 1 2
37
Seguridad y Auditoria de Sistemas de Información
TIPO
ID 006 007
Errores
008 009 010 011 012 013 014 015 016 017 018 019 020
021 022 Presenciale 023 024 s 025
Exterior
Remotos
Fallas físicas de los equipos (averías) Riesgo por el personal de limpieza o personal externo Administración inadecuada Entrenamiento inadecuado de usuarios Errores de configuración y operación del sistema. Falta de cuidado en el manejo de información. Mal uso de derechos de administración. Mala administración de passwords. Problemas con conexiones y electricidad Procesamiento de información inadecuado. Conocimiento insuficiente. Conexiones todavía activas. Documentación deficiente. Falta de backup. Faltas de herramientas utilizadas en los ordenadores. Deshonestidad y sabotaje. Pérdida (extravío). Pérdida de Laptops. Robo de claves. Robo de equipos.
PROBABILI DAD
2 2 2 1 2 1 1 2 1 1 1 1 3 1 1 2 1 1 1 2
026 Robo de información.
2
027 028 029 030 031
1 1 2 1 3
032
Exterior
AMENAZA
033
Vandalismo. Fraude. Uso sin autorización. Spoofing y sniffing LAN. Destrucción negligente de los datos. Retiro y/o ausencia intempestiva de personal. Entrada sin autorizaciones
ambientes seguros. 034 Accesos no autorizados datos con
2 1 2
corrupción. 38
Seguridad y Auditoria de Sistemas de Información
TIPO
ID
PROBABILI
AMENAZA
DAD
035 Infección de virus. Accesos no autorizados a datos con 036 modificación. 037 Modificación no autorizada. 038 Spoofing en WAN. 1 3
= =
2 1 2 1
Menor probabilidad Mayor probabilidad
III. POSIBLES CONSECUENCIAS Y MEDIDAS EXISTENTES En el presente cuadro se listan los activos de la organización (Epensa), las amenazas que los afectan directamente y las consecuencias que puede traer consigo la materialización de estas amenazas. Se describen también las salvaguardas o información referida a las medidas que ha tomado Epensa para mitigar estas consecuencias. Por último se han evaluado estas medidas, indicando si son deficientes (d), mejorables (m) o eficientes (e).
NOMBRE DE ACTIVO VITAL AMENAZA
CONSECUENCIAS
01 Ambiente del Área de Sistemas Pérdida de equipos y/o Entrada sin información / 03 autorizaciones Manipulación de los 3 ambientes seguros. sistemas y/o modificaciones Daño de servidores, Riesgo por personal de 00 UPS, cableado, limpieza o personal 7 Interrupción de externo sistemas.
02 5 Robo de equipos.
02 Robo de claves. 4
Paralización de los sistemas(Falta de sistemas) / Pérdida de equipos y/o información Paralización de ciertas actividades de producción
¿SE PROTE GE?
Si
Si
¿COMO? MEDIDAS APLICADAS
¿ES EFECTIVA ?
El personal cuenta con llaves de sus respectivas áreas a las cuales pertenecen Las sub-áreas pertenecientes al área de sistemas mantienen al menos una persona al momento de realizar las limpiezas
Media
Media
Si
Existen cámaras de seguridad en cada área
Media
Si
El personal cuenta con una clave la cual es única para cada usuario y se le advierte no compartir con nadie esta clave
Media
39
Seguridad y Auditoria de Sistemas de Información NOMBRE DE ACTIVO VITAL AMENAZA
CONSECUENCIAS
01 Mala administración de Paralización de una o 3 passwords mas PC’s 02 Personal del Área de Sistemas Mal uso de los 00 Entrenamiento servidores de 9 inadecuado de usuarios producción con los que cuenta la Organización 02 Robo de información 6 02 Deshonestidad y 1 sabotaje
Paralización de los sistemas(Falta de sistemas) / Robo, modificación de información
Divulgación, 01 Mal uso de derechos de modificación y robo de 2 administración la información.
Retiro / ausencia 03 intempestiva de 2 personal 01 Conocimiento 6 insuficiente
Aumento de vulnerabilidades e inestabilidad del sistema / Incremento de riesgos en caída de servicios Demoras en los procesos por falta de conocimiento
Demoras en la entrega de documentación de 03 Accesos no autorizados alta importancia a las 6 datos con corrupción. sedes en el centro de lima
¿SE PROTE No
¿COMO? MEDIDAS El personal no respeta siempre y comparte los passwords con compañeros
¿ES EFECTIVA Baja
No
Baja
No
Baja
Si
Póliza de Seguro por deshonestidad
Media
Si
Las contraseñas de los servicios críticos solo es de conocimiento del área de Redes y comunicaciones
Media
No
Débil
Si
Capacitaciones constantes
Alta
Si
Se aplican ciertos métodos de encriptación para que la información no este disponible a personal no autorizado
Alta
03 Sistema de Aire Acondicionado Las áreas se Pérdidas colosales del encuentran área de sistemas y subprotegidas 00 Incendios área como lo son Si reforzando los cables 1 servidores, ordenadores, y posibles averías, información, etc. además cuentan con extintores 04 Pozo a tierra y Sistemas Eléctricos Estabilizados, Extintores Perdida de 00 Inundación funcionamiento de No 2 servidores, PCs, etc. 00 Terremotos 3
Posible destrucción de las áreas
Si
Media
Baja alta
05 Suministros de energía Eléctrica 40
Seguridad y Auditoria de Sistemas de Información NOMBRE DE ACTIVO VITAL AMENAZA Problemas con 01 conexiones y 4 electricidad
CONSECUENCIAS Descontinuad de los servidores de producción por la ausencia de electricidad
¿SE PROTE
Si
¿COMO? ¿ES MEDIDAS EFECTIVA La organización cuenta con UPS de una duración de 40 Alta minutos para las respectivas precauciones
06 Cámaras de seguridad 02 Pérdida (extravío). 2
Problemas internos y posibles manipulaciones de los servidores
Si
La organización cuenta con cámaras las cuales monitorean todas las áreas de sistemas
Media
07 Sistema de Telecomunicaciones Uso de IDS para la 03 Suplantación de detección de Spoofing y sniffing LAN Si 0 identidades en la red intrusos en las Media redes Servidores centrales (Servidor de dominio, Terminal Services, Antivirus, antisp am, 08 Firewall) Modificaciones en los controladores de Capacitaciones y dominio de la sentido de la 00 Administración organización, Si responsabilidad del Media 8 inadecuada generando molestias, persona de redes y negando y permitiendo comunicaciones permisos a personas no autorizadas Se realiza monitoreo constante de las 01 Conexiones todavía Posibles robos de Si actividades Media 7 activas información realizadas y quien las realiza Generación de Problemas que pueden 03 Modificación no llaves administradas existir con controles de Si Alta 7 autorizada por el jefe del área acceso u otras servicios de sistemas 09 Servidor de base de datos Errores en las respectivas consultas Errores de 01 realizadas ala base de configuración y N Baja 0 datos por parte del área operación del sistema de desarrollo para respectivos controles 10 Dispositivos de conectividad y soporte en comunicaciones 02 Pérdida de Laptops. 3 Demoras para los 00 Error en el medio de procesos de backup, 5 almacenamiento generando así perdidas de información 11 Ordenadores de escritorio
No
Si
Baja Utilización de tecnologías (Tape backups) especializados (
Media
41
Seguridad y Auditoria de Sistemas de Información NOMBRE DE ACTIVO VITAL AMENAZA
CONSECUENCIAS
¿SE PROTE
00 Fallas físicas de los 6 equipos
Demoras en los procesos
Si
03 Infección de virus 5
Problemas con los ordenadores
Si
12 Herramientas de escritorio y desarrollo 02 Faltas de herramientas Disgusto de los utilizadas en los 0 usuarios finales ordenadores. 13 Servicio de correos e Intranet Perdidas de correos Errores de electrónicos generando 01 confusiones con las 0 configuración y operación del sistema actividades para cada responsable 14 Servicio de VPN para oficinas en centro del Perú Mala administración de 02 las oficinas del centro Uso sin autorización 9 del Perú, generando fallas de conectividad. 03 Spoofing en WAN 8
Robo de información por suplantación de usuarios
15 Aplicaciones de desarrollo de la empresa Desconocimiento de 01 Procesamiento de responsables de la 5 información inadecuado información 16 Data generada por los sistemas de información 00 Error de Backups 4
Perdidas de información de respaldo critica para la organización etc.
17 Data generada por los usuarios Retrasos en los 03 Destrucción negligente procesos de, 1 de los datos. generación de brechas en la organización 01 Falta de Backup 9
Paralización de los servidores en caso de un siniestro
18 Aplicaciones de desarrollo de la empresa Realizan los procesos 01 Documentación de manera confusa o 8 deficiente lenta
¿COMO? MEDIDAS El personal de soporte técnico recibe capacitaciones constantes para asistir ante eventualidades de esta tipo. Se tiene instalado una solución de antivirus a medida de negocio
¿ES EFECTIVA
Media
Media
Si
Mantenimientos constantes de los ordenadores
Media
Si
Monitoreo constante de las aplicaciones de correo e internet
Media
Si
Si
Generación de llaves administradas por el jefe del área de sistemas La organización cuenta con IDS para la detección de intrusos
No
Alta
Alta
Baja
Si
La información es guarda en discos duros externos y se copia también a DVDs
Si
Generación de backups
Baja
Si
Se realizan backups incrementales durante toda la semana
Alta
No
Baja
Baja
42
Seguridad y Auditoria de Sistemas de Información NOMBRE DE ACTIVO VITAL AMENAZA
CONSECUENCIAS
01 Falta de cuidado en el 1 manejo de información.
¿SE PROTE
¿COMO? MEDIDAS
¿ES EFECTIVA
No
Baja
IV. CÁLCULO DE NIVELES DE VULNERABILIDAD Y RIESGOS En este cuadro se calculan los niveles de vulnerabilidad y de riesgo en los que incurre cada activo vital identificado. Para esto se tiene en cuenta el nivel de importancia asignado a cada uno y la probabilidad de ocurrencia de estos riesgos. Para realizar dicho cálculo se desarrollaron las siguientes operaciones: •
•
PROBABILIDAD DE OCURRENCIA: representan la probabilidad de que se materialicen las amenazas identificadas, en una escala del 1 al 3. Esto se evaluó en el numeral 2.- Factores de Riesgo, teniendo en cuenta las medidas de seguridad existentes en Organización. NIVEL DE VULNERABILIDAD: se calcula el porcentaje de probabilidad de que se materialicen las amenazas, con respecto a la cantidad de amenazas identificadas para dicho activo. Esto es debido a que cada activo está afectado por un número diferente de amenazas posibles, de manera que este cálculo sirve para obtener un porcentaje de probabilidades equilibrado por igual para cualquier activo, independientemente de la cantidad de amenazas que lo afectan. Vulnerabilidad Ocurrencia
X
=
Probabilidad
de
100
Cantidad de Amenazas
•
NIVEL DE RIESGO: en este momento interviene el nivel de importancia que refleja el nivel de impacto que puede tener La Institución, si un incidente afecta a los activos, multiplicando al nivel de vulnerabilidad. De esta forma se obtiene el nivel de riesgo de cada activo con respecto a una amenaza. La suma de estos valores es el nivel de riesgo total que corresponde a cada activo. 43
Seguridad y Auditoria de Sistemas de Información
Riesgo
= Vulnerabilidad x Impacto
Entrada sin autorizaciones ambientes seguros. 007 Riesgo por personal de limpieza o personal externo 025 Robo de equipos. 024 Robo de claves. Mala administración de 013 passwords 033
01
Ambiente de área sistemas
8
1
20
160
2 2 1
40 40 20
320 320 160
2
20
160
1 2 2
14.3 28.6 28.6
114.4 228.8 228.8
1
14.3
114.4
2 1
28.6 14.3
228.8 114.4
1
14.3
114.4
001 Incendios
1
100
700
002 Inundación 003 Terremotos
1
50
300
1
50
300
1
100
700
Problemas internos y posibles 022 manipulaciones de los servidores
1
100
300
030 Spoofing y sniffing LAN
1
100
700
008 Administración inadecuada 017 Conexiones todavía activas 037 Modificación no autorizada
2
66.7
533.6
1
33.3
266.4
2
66.7
533.6
2
200
1800
1
50
450
Entrenamiento inadecuado de usuarios 026 Robo de información 021 Deshonestidad y sabotaje Mal uso de derechos de 012 administración Retiro / ausencia intempestiva 032 de personal 016 Conocimiento insuficiente Accesos no autorizados datos 036 con modificación 009
02
03
04
05
06
Personal del Área de Sistemas
Sistema de Aire Acondicionado Pozo a tierra y Sistemas Eléctricos Estabilizados Extintores Suministros de energía eléctrica
Cámaras de seguridad
Sistema de Telecomunicacio nes Servidores centrales (Servidor de dominio, 08 Terminal Services, Antivirus, antispam, Firewall) Servidor de base 09 de datos 07
10
8
7 6
7
3
014
Problemas con conexiones y electricidad
7
8
9 9
010
Errores de configuración y operación del sistema
023 Pérdida de Laptops.
44
Seguridad y Auditoria de Sistemas de Información
Dispositivos de conectividad y soporte en comunicaciones Ordenadores de 11 escritorio Herramientas de 12 escritorio y desarrollo 13
Servicio de correos e Intranet
Servicio de VPN 14 para oficinas en centro del Perú Aplicaciones de 15 desarrollo de la empresa Data generada 16 por los sistemas de información 17
Data generada por los usuarios
Documentación de programas, hardware, sistemas, 18 procedimientos administrativos locales, manuales, etc.
4
5
7
7
6
005 Error en el medio de almacenamiento
2
100
900
006 Fallas físicas de los grupos 035 Infección de virus
2 2
100 100
400 400
020
Faltas de herramientas utilizadas en los ordenadores.
1
100
500
010
Errores de configuración y operación del sistema
2
200
1400
029 Uso sin autorización
2
100
700
038 Spoofing en WAN
1
50
350
1
100
600
004 Error de Backups
1
100
800
Destrucción negligente de los datos. 019 Falta de Backup
3 1
150 50
1200 400
3
150
1050
1
50
350
015
Procesamiento de información inadecuado
8
031 8
018 Documentación deficiente Falta de cuidado en el manejo 011 de información. 7
V. CONCLUSIONES En este cuadro se calculan los niveles de vulnerabilidad y de riesgo en los que incurre cada activo vital identificado. Para esto se tiene en cuenta el nivel de importancia asignado a cada uno y la probabilidad de ocurrencia de estos riesgos. Para realizar dicho cálculo se desarrollaron las siguientes operaciones:
Niveles de Riesgo (R) y Vulnerabilidad (V) En el cuadro se listan los niveles de Riesgo y Vulnerabilidad para cada activo, considerando la importancia de 1 a 10, y 45
Seguridad y Auditoria de Sistemas de Información
sin tener en cuenta la importancia (es decir con un valor de 1). A la derecha los valores que observamos representan el número de los activos, ordenados en forma descendiente de acuerdo al riesgo y vulnerabilidad que corren dicho activos. R%
Valor del riesgo del activo X 100
=
Total del valor del nivel de riesgo V%
=
Valor de la vulnerabilidad del activo
X 100 Total del valor del nivel de vulnerabilidad ID ACTIVO
ACTIVOS
NIVEL DE VULNERABILIDA D (V) R % VALOR V %
NIVEL DE RIESGO (R) VALOR
01
Ambiente del Área de sistemas
1200
6.7
140
5.5
02
Personal del área de sistemas
1144
6.4
143
5.6
700
3.9
100
4.0
600
3.3
100
4.0
700
3.9
100
4.0
300
1.7
100
4.0
3.9
100
4.0
7.4
166.7
6.5
10.0
200
8.0
7.5
150
5.9
4.4
200
8.0
2.8
100
4.0
7.8
200
8.0
5.8
150
5.9
3.3
100
4.0
4.4
100
4.0
8.9
200
8.0
7.8
200
8.0
03 04 05
Sistema de Aire Acondicionado Pozos a tierra y Sistema Eléctrico Estabilizado Suministro de Energía Eléctrica
06
Cámaras de seguridad
07
700 Sistema de Telecomunicaciones Servidores centrales (Servidor de 1333.6 Dominio, Terminal Services, Antivirus, Antispam y Firewall). 1800 Servidor de base de datos Dispositivos de conectividad y soporte 1350 en comunicaciones (Cableado, switch, routers, access point módems.) 800 Ordenadores de Escritorio Herramientas de Escritorio y Desarrollo 500 (Programas fuente, sistemas operativos) 1400 Servicio de correos e intranet, DNS Servicio de VPN’s para oficinas en centro 1050 del Perú Aplicaciones de desarrollo de la empresa 600 Data generada por los Sistemas de 800 Información 1600 Data generada por los Usuarios. Documentación de programas, 1400 hardware, sistemas, procedimientos administrativos locales, manuales, etc
08 09 10 11 12 13 14 15 16 17 18
46
Seguridad y Auditoria de Sistemas de Información 17977.6 100% 2549.7 100%
09 Servidor de base de datos 17 Data generada por los Usuarios. Documentación de programas, hardware, sistemas, 18 procedimientos administrativos locales, manuales, etc 13 Servicio de correos e intranet, DNS Dispositivos de conectividad y soporte en 10 comunicaciones (Cableado, switch, routers, access point módems.) Servidores centrales (Servidor de Dominio, Terminal 08 Services, Antivirus, Antispam y Firewall). 01 Ambiente del Área de sistemas 02 Personal del área de sistemas 14 Servicio de VPN’s para oficinas en centro del Perú 16 Data generada por los Sistemas de Información 11 Ordenadores de Escritorio 03 Sistema de Aire Acondicionado 05 Suministro de Energía Eléctrica 07 Sistema de Telecomunicaciones 15 Aplicaciones de desarrollo de la empresa 04 Pozos a tierra y Sistema Eléctrico Estabilizado Herramientas de Escritorio y Desarrollo (Programas 12 fuente, sistemas operativos)
1800 1600
10 8.9
1400
7.8
1400
7.8
1350
7.5
1333.6
7.4
1200 1144 1050 800 800 700 700 700 600 600
6.7 6.4 5.8 4.4 4.4 3.9 3.9 3.9 3.3 3.3
500
2.8
17977.6 100%
ACTIVOS
VALOR
V%
09 Servidor de base de datos
200
8.0
11 Ordenadores de Escritorio
200
8.0
13 Servicio de correos e intranet, DNS
200
8.0
17 Data generada por los Usuarios. Documentación de programas, hardware, sistemas, 18 procedimientos administrativos locales, manuales, etc Servidores centrales (Servidor de Dominio, Terminal 08 Services, Antivirus, Antispam y Firewall). Dispositivos de conectividad y soporte en comunicaciones 10 (Cableado, switch, routers, access point módems.) 14 Servicio de VPN’s para oficinas en centro del Perú
200
8.0
200
8.0
166.7
6.5
150
5.9
150
5.9
47
Seguridad y Auditoria de Sistemas de Información
02 Personal del área de sistemas
143
5.6
01 Ambiente del Área de sistemas
140
5.5
03 Sistema de Aire Acondicionado
100
4.0
04 Pozos a tierra y Sistema Eléctrico Estabilizado
100
4.0
05 Suministro de Energía Eléctrica
100
4.0
06 Cámaras de seguridad
100
4.0
07 Sistema de Telecomunicaciones Herramientas de Escritorio y Desarrollo (Programas fuente, 12 sistemas operativos) 15 Aplicaciones de desarrollo de la empresa
100
4.0
100
4.0
100
4.0
16 Data generada por los Sistemas de Información
100
4.0
2549.7
100%
Análisis de Impacto Aquí vemos un análisis donde se tiene en cuenta el nivel de riesgo y el impacto con una ponderación de 1 a 10. Se calculó el porcentaje de los riesgos y el porcentaje del impacto respectivamente. I%
=
Impacto X 100 Valor total del impacto
Al calcular la diferencia entre estos porcentajes (Dif. de %) se obtiene el porcentaje que muestra cuán sobrevaluados o menospreciados están los activos de acuerdo a sus riesgos. A continuación se calcula una cifra (Dif. de importancia) que representan los porcentajes anteriormente mencionados, de la siguiente manera: •
Para aplicar la diferencia de porcentajes al impacto actual, se multiplican.
Impacto. x Dif. de %
•
Este resultado no está en escala de 1 a 10, por lo que con una regla de tres simple, se centran los valores:
48
Seguridad y Auditoria de Sistemas de Información
100 % ------------------------------------
10 puntos de
impacto Impacto x Dif. de % -------------
? (= Diferencia de
importancia) A este resultado se le suma (o resta de acuerdo al signo) al impacto actual, obteniendo el impacto que debería tener cada activo (impacto ideal), de acuerdo al nivel de riesgos encontrado.
Impacto ideal = Impacto actual + Diferencia de impacto
49
Seguridad y Auditoria de Sistemas de Información
01 Ambiente del Área de sistemas
1200
6.7
8
6.6
0.1
0.01
8.01
02 Personal del área de sistemas
1144
6.4
8
6.6
-0.2
-0.02
7.98
03 Sistema de Aire Acondicionado Pozos a tierra y Sistema Eléctrico 04 Estabilizado 05 Suministro de Energía Eléctrica
700
3.9
7
5.7
-1.8
-0.13
6.87
600
3.3
6
4.9
-1.6
-0.10
5.90
700
3.9
7
5.7
-1.8
-0.13
5.87
06 Cámaras de seguridad
300
1.7
3
2.5
-0.8
-0.02
2.98
07 Sistema de Telecomunicaciones Servidores centrales (Servidor de 08 Dominio, Terminal Services, Antivirus, Antispam y Firewall). 09 Servidor de base de datos Dispositivos de conectividad y soporte en comunicaciones 10 (Cableado, switch, routers, access point módems.) 11 Ordenadores de Escritorio Herramientas de Escritorio y 12 Desarrollo (Programas fuente, sistemas operativos) 13 Servicio de correos e intranet, DNS Servicio de VPN’s para oficinas en 14 centro del Perú Aplicaciones de desarrollo de la 15 empresa Data generada por los Sistemas de 16 Información 17 Data generada por los Usuarios. Documentación de programas, hardware, sistemas, procedimientos 18 administrativos locales, manuales, etc
700
3.9
7
5.7
-1.8
-0.13
6.87
1333.6
7.4
8
6.6
0.8
0.07
8.07
1800
10.0
7
5.7
4.3
0.30
7.30
1350
7.5
9
7.4
0.1
0.01
9.01
800
4.4
4
3.3
1.1
0.04
4.04
500
2.8
5
4.1
-1.3
-0.07
4.93
1400
7.8
7
5.7
2.1
0.15
7.15
1050
5.8
7
5.7
0.1
0.01
7.01
600
3.3
6
4.9
-1.6
-0.10
5.9
800
4.4
8
6.6
-2.2
-0.18
7.82
1600
8.9
8
6.6
2.3
0.18
8.18
1400
7.8
7
5.7
2.1
0.15
7.15
17977. 100 100 121.0 122 0.00 0.04 6 % % 4
50
Seguridad y Auditoria de Sistemas de Información
Valores Máximos, Mínimos y Reales Se muestran los valores máximos y mínimos de vulnerabilidad que pueden obtener los activos cuando las probabilidades son llevadas a puntos extremos. Este cálculo es necesario para compararlos con los valores relevados que figuran en la tercera columna. Estos cálculos se realizan sin tener en cuenta la influencia del impacto, es decir se representan exclusivamente las debilidades de cada activo, con las medidas de seguridad que actualmente existen en la institución.
01
Ambiente del Área de sistemas
02
Personal del área de sistemas
03 Sistema de Aire Acondicionado Pozos a tierra y Sistema Eléctrico 04 Estabilizado 05 Suministro de Energía Eléctrica 06
Cámaras de seguridad
07
Sistema de Telecomunicaciones Servidores centrales (Servidor de Dominio, Terminal Services, Antivirus, Antispam y Firewall). Servidor de base de datos Dispositivos de conectividad y soporte en comunicaciones (Cableado, switch, routers, access point módems.) Ordenadores de Escritorio Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos) Servicio de correos e intranet, DNS Servicio de VPN’s para oficinas en centro del Perú Aplicaciones de desarrollo de la empresa Data generada por los Sistemas de Información Data generada por los Usuarios. Documentación de programas, hardware, sistemas, procedimientos administrativos locales, manuales, etc
08 09 10 11 12 13 14 15 16 17 18
300 300 300
5.56 5.56 5.56
100 100 100
5.56 5.56 5.56
140
5.5
143
5.6
100
4.0
300
5.56
100
5.56
100
4.0
300 300 300
5.56 5.56 5.56
100 100 100
5.56 5.56 5.56
100
4.0
100
4.0
100
4.0
300
5.56
100
5.56
166.7
6.5
300
5.56
100
5.56
200
8.0
300
5.56
100
5.56
150
5.9
300
5.56
100
5.56
200
8.0
300
5.56
100
5.56
100
4.0
300
5.56
100
5.56
200
8.0
300
5.56
100
5.56
150
5.9
300
5.56
100
5.56
100
4.0
300
5.56
100
5.56
100
4.0
300
5.56
100
5.56
200
5.5
300
5.56
100
5.56
200
5.6
5400
100%
1800
100% 2549.7 100%
51
Seguridad y Auditoria de Sistemas de Información
Porcentajes de Vulnerabilidades Descubiertas Como consecuencia del cuadro anterior, se puede calcular que el porcentaje de vulnerabilidades descubiertas en La Institución es de 47.22% (2549.7 puntos), considerando el nivel máximo de riesgos como el 100% (5400 puntos), y sabiendo que el porcentaje mínimo es de 33.3% (1800 puntos). Por esto podemos concluir que Epensa debería reducir en 19.18% el porcentaje de vulnerabilidades descubiertas, para así conseguir el nivel mínimo de riesgos posible. Porcentaje de vulnerabilidades descubiertas: Porcentaje de vulnerabilidad mínimo: Desviación:
47.22% 33.33% 13.89%
El análisis de riesgos realizado a La Empresa periodística nacional “Epensa” constituye un análisis inicial para el desarrollo de las políticas, y así cumplir con la implementación de la normas ISO 17799. Es importante que una vez emitidas las políticas de seguridad y consolidada la estructura organizacional responsable de la seguridad de la información, se afinen los considerados de acuerdo con los objetivos de seguridad de Epensa. Este análisis en particular involucra un cierto grado de incertidumbre, puesto que la calificación de escenarios se basa en criterios cualitativos expresados por el personal de sistemas de la institución y no datos estadísticos particulares de escenarios (relación activo amenaza) similares ocurridos en Epensa. Sin embargo, los resultados permiten establecer un estado inicial de referencia sobre el cual comparar los riesgos en los escenarios identificados y que potencialmente pueden desarrollarse. Los resultados del análisis indican que los activos que presentan mayor riesgo, son el Sistema Transaccional, Dispositivos de conectividad y soporte en comunicaciones, el Ambiente del Área de Informática y los Servidores centrales (Dominio, Terminal Services, Antivirus, Desarrollo y Firewall) y de base de datos originados por un alto impacto que representaría para la INSTITUCIÓN, una baja del Sub estado de confidencialidad, integridad y disponibilidad de dichos activos. El análisis de los riesgos presentó como activos con mayor índice vulnerabilidad es el servicio de base de datos de la empresa (09), Los datos generados por los usuarios (17), Documentación de programas, hardware, sistemas,
52
Seguridad y Auditoria de Sistemas de Información
procedimientos, administrativos locales, manuales, etc. (18) y los servicios de correo, intranet y DNS (13).
53
Seguridad y Auditoria de Sistemas de Información
Opinión sobre la Infraestructura •
•
•
•
•
Es comprensible el hecho que EPENSA no cuente con servidores especializados como lo son servidores UNIX o AS/400, esto no es debido a la falta de conocimiento sobre las herramientas tecnológicas, si no por razones de presupuesto; EPENSA aun no se ha dado cuenta la importancia de las áreas de TI y los servicios que estas brindan La empresa que cuenta con una infraestructura apropiada, con un centro de cómputo el cual cuenta con sistemas de seguridad para el cuidado de información, con bases de datos centralizada donde se almacena la información contando también con copias de respaldo, diferentes servidores que le permiten una mejor gestión de la información si bien es una infraestructura sólida se han encontrado deficiencias que tendrán que ser mejoradas. Es alarmante la falta de control de acceso a las áreas de sistemas. Aun cuando se tenga plena confianza en los empleados del área, no se debe dejar que la información y los equipos informáticos estén expuestos a robos o daños físicos. Es preocupante que el jefe del área de sistemas no haya contemplado algo tan básico como la seguridad de acceso de personal. La Empresa trabaja activamente sobre su información, no solo en su sede central en lima, sino transfiriendo esa a sus otras sedes, en diversas provincias, cualquier pérdida en el flujo de las comunicaciones es intolerable, por lo que debe ser evitada siempre. Actualmente existen diversos estándares y patrones para un cableado seguro y de calidad, así como las herramientas y materiales requeridos. Opinamos que la empresa debe contratar un servicio de consultoría en redes, la cual indique la estructura de cableado, así como los materiales y servicios a adquirir de modo que toda su red interna sea correctamente estructurada, garantizando su correcta funcionalidad y ofreciendo la garantías respectivas ante una perdida de conectividad. La Empresa realiza mejoras en sus equipos para obtener un mejor desempeño de los mismos y mantener operativos sus servicios, evaluando siempre parámetros como el costo, el rendimiento y el beneficio que les pueda conllevar al momento de realizar estas mejoras. Así mismo, no solo se contemplan los 54
Seguridad y Auditoria de Sistemas de Información
servicios al momento de realizar un cambio, sino también se evalúa la salud de sus empleados; caso por ejemplo cuando se realizo un cambio en los monitores de trabajo del personal de Diseño Grafico al evaluarse que los existentes producían cansancio en los ojos en muy corto tiempo. •
La Empresa no toman medidas con respecto a los tres mayores riesgos que son: la indagación (Un mensaje puede ser leído por un tercero, obteniendo la información que contenga), la suplantación (Un tercero puede introducir un mensaje espurio que el receptor cree proveniente del emisor legítimo) y la modificación (Un tercero puede alterar el contenido de un mensaje).
55
Seguridad y Auditoria de Sistemas de Información
Observaciones 1.
Falta de medidas de seguridad del cableado estructurado de las áreas de TI El área de sistemas no ha realizado la instalación de canaletas para todo el recorrido del cableado de comunicaciones, aun se puede observar cables expuestos de los cuales se desconoce su origen y destino; asimismo muchos cables aun se encuentran mal ponchados. De acuerdo la ISO 17999:2005 en el dominio Seguridad Física y del Ambiente en los puntos seguridad del cableado y mantenimiento del equipo nos dice que el cableado de la energía y las telecomunicaciones que llevan la data deben protegerse contra intercepción o daño y se debiera mantener correctamente el equipo para asegurar su continua disponibilidad e integridad, el cual garantiza a la organización minimizar el costo para adquirir nuevos cables y/o conectores RJ-45 para el respectivo cableado. Esto sucede debido a que personal del área de soporte no cuenta con el conocimiento sobre las bases de cómo ponchar correctamente un cable bajo los estándares actuales y no considera que un cable expuesto pueda ocasionar algún tipo de problema en sus comunicaciones. Al estar el cable expuesto, este puede ser usado para interceptar información sensible de la Empresa; así también el realizar una mala instalación de los conectores produce un rápido desgaste de los mismos y de los filamentos del cable al cual fueron instalados. Ver recomendación Ver conclusión
2.
Deficiente Inventario General de los equipos de infraestructura Epensa aun no cuenta con procedimientos adecuados que le permita un control actualizado de los inventarios de los nuevos equipos de cómputo que las diferentes áreas de la empresa adquieren. De acuerdo al Cobit v4 en el dominio Adquirir e Implantar, en el control AI3 Adquirir y mantener infraestructura tecnológica y en el objetivo AI3.2 Protección y disponibilidad del recurso de 56
Seguridad y Auditoria de Sistemas de Información
infraestructura hay una cláusula que estipula que hay que realizar medidas de seguridad para proteger los recursos y una de esas medidas seria que las listas de inventario cubran todo el equipamiento de infraestructura, incluyendo módems, controladores, terminales, líneas, equipos relacionados; lo cual tiene que ser constantemente monitoreado y evaluado. Esto es debido a que el jefe del área de sistemas no ha designado formalmente a un trabajador la función o responsabilidad de actualizar los inventarios generales de la empresa. Esto genera un control inadecuado de los equipos de cómputo de la empresa, debido al inventario desactualizado con el que se cuenta. Cualquier acto de robo, sea este realizado por personas internas o externas a la empresa no será notificado dentro de un periodo de tiempo adecuado, de modo que puedan tomarse las medidas adecuadas, sean estas denuncias policiales o seguimiento de las personas al momento del hurto. Ver recomendación Ver conclusión
3.Falta de control de acceso a las zonas restringidas del área de sistemas El área de sistemas aun no cuenta con un control de acceso a zonas restringidas por parte de los empleados, siendo cualquier empleado capaz de ingresar libremente a las áreas de sistemas (redes, servidores, desarrollo, soporte), haciendo uso de las llaves de las áreas, las cuales se encuentran colgadas en una pared, indicando el área a la cual pertenecen. De acuerdo a la norma ISO 17799 bajo el dominio de “seguridad física y del entorno” en el punto 9.1 físico y ambientales, y en el subcontrol 9.1.2 control de las áreas seguras de acceso físico en el punto B dice: “El acceso a las áreas donde se procesa o almacena la información sensible debe ser controlada y restricta a las personas autorizadas solamente, como por ejemplo controles de autentificación. Estos se deben utilizar para autorizar y validar todo el acceso.” El jefe del área de redes y comunicaciones confía plenamente en sus empleados y no ve necesario la implementación de una política de control de acceso Esta falta permite que cualquier empleado tenga fácil acceso a cualquier zona importante de la empresa, obteniendo así facilidades para que sin autorización pueda tener acceso a información crítica de la empresa. 57
Seguridad y Auditoria de Sistemas de Información
Ver recomendación Ver conclusión 4.
Inexistente Almacenamiento de Respaldo de los recursos y servicios de TI fuera de las instalaciones No se cuenta aun con medios de almacenamiento de información, que sirvan de respaldos fueras de las instalaciones para sus aplicaciones o procesos críticos, en caso existiese algún desastre. El auditado no ha precisado una fecha establecida en la cual se contara con este sitio alterno. De acuerdo al COBIT v4 en el dominio de Entregar y Dar Soporte (DS), en su objetivo detallado “Almacenamiento de respaldos fuera de las instalaciones” (DS 4.9) dice: “Almacenar fuera de las instalaciones todos los medios de respaldo, documentación y otros recursos de TI críticos, necesarios para la recuperación de TI y para los planes de continuidad del negocio. El contenido de los respaldos a almacenar debe determinarse en conjunto entre los responsables de los procesos de negocio y el personal de TI. La administración del sitio de almacenamiento externo a las instalaciones, debe apegarse a la política de clasificación de datos y a las prácticas de almacenamiento de datos de la empresa. La gerencia de TI debe asegurar que los acuerdos con sitios externos sean evaluados periódicamente, al menos una vez por año, respecto al contenido, a la protección ambiental y a la seguridad. Asegurarse de la compatibilidad del hardware y del software para poder recuperar los datos archivados y periódicamente probar y renovar los datos archivados.” No fue contemplado en el diseño un almacenamiento de respaldo offsite. La situación descrita podría generar pérdidas irreparables, así como también económicas, para la organización ante una parada de sus servicios y/o pérdida parcial o total de su información. Ver recomendación Ver conclusión
5.Falta de licenciamiento de software para las computadoras de escritorio de Epensa EPENSA aun no cuenta con todas las licencias de los sistemas operativos que actualmente hacen uso sus computadoras de escritorio. De acuerdo a la norma ISO 17799:2005, en el dominio "Conformidad" y control "Derechos de propiedad intelectual" el cual 58
Seguridad y Auditoria de Sistemas de Información
indica que "Se debieran implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso del material con respecto a los cuales puedan existir derechos de propiedad intelectual y sobre el uso de productos de software patentado." El área de TI ha ido adquiriendo en el transcurso de los años nuevas computadoras de escritorio, y al realizar dichas adquisiciones, no considero que el sistema operativo viniera pre instalado por lo que para poner en estado operativo dichas computadoras se valió de software no licenciado. La empresa puede obtener una sanción por parte de la entidad reguladora INDECOPI de acuerdo a las normas que dicha institución posea para contra cualquier persona o institución que vaya en contra de los derechos de propiedad intelectual. Ver recomendación Ver conclusión
Conclusiones Falta de medidas de seguridad del cableado estructurado de las áreas de TI Epensa cuenta con un cableado estructurado en mal estado y deficiente, para la red LAN con la que cuenta, para los servidores y servicios de VPN cuenta con fibra óptica, la cual aun se mantiene en buen estado.
Inventario General de los equipos de infraestructura EPENSA no considera lo importante que es realizar una lista de inventario que cubra todo el equipamiento de infraestructura, incluyendo módems, controladores, terminales, líneas y equipos relacionados; al no realizar esto pierden el control sobre los activos que poseen dando lugar a que puedan ser victima de algún acto doloso por parte de los empleados.
Falta de control de acceso a las zonas restringidas del área de sistemas La falta de control de acceso del personal a las zonas del área de sistemas es un riesgo de cada día, ya que, cualquier empleado puede ingresar, pudiendo ocasionar algún perjuicio a
59
Seguridad y Auditoria de Sistemas de Información
la organización como hurto de información sensible y de equipos informáticos
Inexistente Almacenamiento de Respaldo de los recursos y servicios de TI fuera de las instalaciones Se concluye que la Empresa EPENSA esta consiente de lo importante que es la información para su negocio, pero no ha sabido cuantificar el riesgo justamente para su activo más crítico. Las alternativas de contingencia que han tomado sirven a la Empresa para que pueda continuar con sus operaciones más no para que puedan reducir el riesgo al mínimo considerando que su activo más valioso se encuentra centralizado.
Falta de licenciamiento de software para las computadoras de escritorio de Epensa Se concluye de esta observación encontrada, que Epensa debería lo antes posible regularizar su situación para no entrar en un proceso legal ante las autoridades.
Recomendaciones Falta de medidas de seguridad del cableado estructurado de las áreas de TI Se sugiere al área de soporte técnico realizar un cableado con canaletas para todos los enlaces importantes que tenga la organización respetando los estándares definidos y supervisados por personal que conozca del tema o en el mejor de los casos contar con certificaciones para la respectiva infraestructura del cableado estructurado.
Inventario General de los equipos de infraestructura Es recomendable asignar la función de toma y control de inventarios a una persona o grupo de personas específicas. Esto ayudaría a garantizar un control adecuado de los equipos actuales de la empresa, el cual será capaz de apoyar en la toma de medidas en casos de hurto.
60
Seguridad y Auditoria de Sistemas de Información
Falta de control de acceso a las zonas restringidas del área de sistemas Es recomendable que las llaves de las oficinas sean guardadas y administradas por una persona que se responsabilice directamente por su seguridad, impidiendo de este modo que los empleados obtengan acceso directo a las zonas críticas de la empresa.
Inexistente Almacenamiento de Respaldo de los recursos y servicios de TI fuera de las instalaciones Recomendamos establecer un plan de almacenamiento de respaldo de los recursos y servicios de TI fuera de la organización. Este lugar físico de respaldo debería estar alejado de la organización para que no sea propenso a los mismos desastres. Este plan debe ser implementado lo más antes posible porque no se sabe en qué momento podría ocurrir un desastre. También podrá reanudar sus servicios rápidamente así como también evitará al 99.99% la pérdida de información.
Falta de licenciamiento de software para las computadoras de escritorio de Epensa Se recomienda a la empresa que regularice el licenciamiento faltante a través de una política para mantener las condiciones de licencias apropiadas
Anexos Deficiencias de Control Interno 1.
Falta de señalizaciones de zonas seguras y salidas de emergencia. Actualmente el área de desarrollo no cuenta con señales que indiquen las zonas seguras en casos de siniestro. Esta área si dispone con una zona segura en casos de sismo, así como una salida de emergencia. No obstante sus ubicaciones no se encuentran debidamente señalizadas. En el ANEXO se puede observar claramente lo mencionado. 61
Seguridad y Auditoria de Sistemas de Información
De acuerdo al dominio establecido en la ISO 17799:2005 “Seguridad Física y Ambiental” en los puntos “ Asegurar las oficinas, habitaciones y medios y Protección contra amenazas externas e internas” los cuales dicen: Se debiera diseñar y aplicar la seguridad física para las oficinas, habitaciones y medios y Se debiera asignar y aplicar protección física contra daño por fuego, inundación, terremoto, explosión, revuelta civil y otras formas de desastres naturales o causados por el hombre respectivamente. Dentro de los planes de seguridad generales, no se incluyó al área de desarrollo en los inicios de la misma sino que se priorizo otras áreas y oficinas. En su momento se solicitó realizar las señalizaciones respectivas, sin embargo, no se realizó esto debido a factores económicos. Actualmente la ubicación de estas zonas seguras solo es conocida por el personal de la misma área, más no para personas externas a esta ni para cualquier otra que inicie sus labores en ella. En caso de un siniestro, sea este un incendio o terremoto puede ocasionar confusiones entre el personal. Se recomienda a la jefa del área de Desarrollo tomar en cuanta esta observación y tener en cuenta los estándares y regulaciones de sanidad y seguridad relevantes; el equipo de reemplazo y los medios de respaldo debieran ubicarse a una distancia segura para evitar el daño de un desastre que afecte el local principal, Señalizar las zonas seguras en casos de siniestros que pueden suceder en la capital; se debiera proporcionar equipo contra-incendios ubicado adecuadamente.
2.Falta de documentación de restricciones de datos. No existe documentación que indique las restricciones de datos ni la estructura que estos deben de seguir antes de ser registrados en la base de datos de la empresa, de modo que las aplicaciones desarrolladas se comuniquen correctamente con esta. Toda indicación es realizada de forma puramente verbal Esta situación va en contra al dominio del COBIT v4.0 “Planear y organizar”, en el objetivo de control general “Administra la calidad”, el cual dice, en su objetivo de control detallado “Estándares de desarrollo y adquisición”: “Adoptar y mantener estándares para todo el desarrollo y adquisición que siguen el ciclo de vida, hasta el último entregable e incluyen la aprobación en puntos clave con base en criterios de aprobación acordados. Los temas a considerar incluyen estándares de codificación de software, normas de nomenclatura; formatos de archivos, estándares de diseño para esquemas y diccionario de 62
Seguridad y Auditoria de Sistemas de Información
datos; estándares para la interfaz de usuario; inter-operabilidad; eficiencia de desempeño de sistemas; escalabilidad; estándares para desarrollo y pruebas; validación contra requerimientos; planes de pruebas; y pruebas unitarias, de regresión y de integración”. Un estándar a ser aplicado es el de manuales de desarrollo, entre los cuales debe incluir uno de estructura y restricciones de datos. No se dio prioridad a este aspecto ya que en sus inicios la urgencia por desarrollar aplicaciones criticas de negocio obligo a dejar este punto de lado. Después, este aspecto fue olvidado, para confiar en la comunicación verbal entre el personal de desarrollo. Esto incurre en modificaciones redundantes, demoras en el desarrollo de aplicaciones, así como errores pasados por alto, que en un futuro ocasionaría retrasos en las actividades de los trabajadores. Se recomienda al jefe de desarrollo tomar las medidas del caso para estandarizar un conjunto de manuales de desarrollo, que sea aprobado por toda el área de TI, de modo que se comprometan a mantenerlo actualizado, de modo que sea posible desarrollar aplicaciones de calidad, y sin errores en el ingreso de datos. 3.
Revelaciones de usuarios y contraseñas. Los usuarios no guardan discreción sobre las cuentas de usuarios que manejan, dejando estas al descubierto en varias ocasiones, de modo que cualquier persona pueda verlas sin mayores problemas. Un ejemplo de esto se ve en notas adhesivas ubicadas en los monitores de las computadoras utilizadas por los usuarios. En el ANEXO se puede observar claramente lo mencionado Esta situación va en contra al dominio del COBIT v4.0 “Planear y organizar”, en el objetivo de control general “Definir los procesos, organización y relaciones de TI”, el cual dice, en su objetivo de control detallado “Propiedad de datos y sistemas”: “Proporcionar al negocio los procedimientos y herramientas que le permitan enfrentar sus responsabilidades de propiedad sobre los datos y los sistemas de información. Los propietarios toman decisiones sobre la clasificación de la información y de los sistemas y sobre cómo protegerlos de acuerdo a esta clasificación”. Los usuarios no guardan discreción sobre sus usuarios y contraseñas debido a que no guardan conciencia sobre lo que pueden incurrir en caso de que otros usuarios tengan conocimiento de estas. Esto puede incurrir en ingresos a operaciones no asignadas, con la manipulación de información respectiva, robos de información y 63
Seguridad y Auditoria de Sistemas de Información
alteraciones de las cuentas, ocasionando pérdidas del acceso a la cuenta por parte del usuario original Se recomienda realizar un programa de concientización a los trabajadores sobre las medidas y prácticas de seguridad que deben seguir, el cual incluya temas como el manejo de sus cuentas de usuario, así como su importancia.
4.No existe una adecuada separación entre las Redes de Telecomunicaciones y de Energía Eléctrica” Al realizar una inspección visual del Área de Sistemas, se pudo observar que los cables UTP que salían de las canaletas estaban junto a los cables eléctricos. Se pudo observar también que estos cables se encuentran en algunos lugares entrelazados e incluso tomacorrientes y TO’s (terminal outlet) defectuosos. En el ANEXO se puede observar claramente lo mencionado. De acuerdo la ISO 17999:2005 en el dominio Seguridad Física y del Ambiente, en el punto Seguridad del Cableado dice: “Se deberían de separar los cables de energía de los de comunicaciones para evitar interferencias”. Al realizar el bosquejo de la localización de equipos informáticos, no se contemplo un diseño del cableado de telecomunicaciones. Esto ocasionó que los cables UTP sean transportados a través de canaletas y que estén cerca de los tomacorrientes. Al tener cerca los cables de energía eléctrica y de telecomunicaciones, producirán interferencias e inestabilidad en la red. Se recomienda al Área de Sistemas seguir las buenas prácticas de los Estándares Internaciones de Cableado Estructurado como son: ANSI/TIA/EIA 569-B (Estándar para Edificios Comerciales, para Vías de Telecomunicaciones, Espacios y Barreras Contra fuegos). ANSI/TIA/EIA 570-A (Estándar para Cableado de Telecomunicaciones en Residencias u Oficinas). •
•
Así se podrán evitar interferencias e inestabilidad en la red de telecomunicaciones 5.
Falta de medidas de seguridad en cuanto a políticas de escritorio y de pantalla limpia
64
Seguridad y Auditoria de Sistemas de Información
En el área de sistemas, los escritorios de las PCS se encuentran cargados con demasiados iconos y archivos los cuales se encuentran a la vista de todos y sin ninguna protección ya sean claves o passwords que permitan bloquear el acceso a la información existente en las PCS, también se dejan las PCS prendidas en todo momento y sin mecanismos de protección de pantalla y teclado que no permita a extraños el acceso a la información ocasionando un riego en cuanto a perdida de información perjudicial para la empresa. En el ANEXO se puede observar claramente lo mencionado. De a cuerdo a la establecido la ISO 17799 en sus buenas prácticas, en el dominio “Control de Acceso “ el cual menciona que se debiera adoptar una política de escritorio limpio para papeles y medios de almacenaje removibles y una política de pantalla limpia para los medios de procesamiento de la información. Esto sucede debido a que el personal no tiene un conocimiento sobre seguridad Sobre políticas de escritorio y pantallas limpias según el estándar de la ISO 17799. Poniendo en riesgo de esta manera los archivos de información de la organización lo cual es un activo que debe estar protegido. Se sugiere al a la jefatura del área de sistemas concientizar al personal sobre la importancia de la información y de cómo controlar el acceso a la misma protegiéndola del acceso de terceros y su perdida. 6.
Falta de seguridad en las instalaciones Después de realizar un recorrido por la mayoría de áreas de la empresa EPENSA, se pudo observar que en el área de Soporte se encuentran apiñados los equipos (hardware) y varias cajas lo cual representa un peligro para todo el personal que trabaja en esta área. En el ANEXO se puede observar claramente lo mencionado. De acuerdo a la norma ISO 17799:2005, en el dominio “Seguridad física y ambiental” y control “Áreas Seguras”; en la sección de “El trabajo en las áreas seguras” se especifica que “el personal debe ser consciente de la existencia de actividad en áreas seguras”. El Área de Soporte fue diseñada inicialmente sin planificar la expansión que la Empresa iba a tener ni considerar que en un punto en sus operaciones el área se encontraría poblada de hardware en desuso o que presenten fallas. Las rumas de cajas, apiñamiento de los equipos (hardware) malogrados los cuales ocasionan un serio peligro en caso de un 65