Maestría en Seguridad de Tecnología de Informació I nformación n
Materia: Políticas y Auditoría de Seguridad
Entregable Final Propuesta de Audi toría tor ía a la Segur Seguridad idad Infor mática en DomyLab
Autor: César Alejandro Juárez Juárez Vega Cuenta: 12533174
Profesor: Mtra. Jessica Hernández Romero
Universidad Tecnológica de México (Marina), 24 de junio de 2018
1
Índice 1. Resum Resumen en de la Prop Propuesta uesta .............................................................................................................. 3 2. Descripción General de la Empresa ............................................................................................ 5 Tabla 1. Información del Negocio .................................................................................................. 5 Figura 1. Organigrama de la empresa. ......................................................................................... 6
3. Descri Descri pción de la Propuesta Propuesta de Auditoria ................................................................................. 7
3.1 3.1 Objetivo s ................................................ .......................................................................... ................................................... ...................................... ............. 7 Figura 2. Propuesta de integración de seguridad. ...................................................................... 7
............................................................................ ................................................... ...................................... ............. 8 3.2 3.2 Alcanc e .................................................. 3.3 Identificación del proceso a auditar. .................................................. ................................................................... ................. 8 Tabla 2. Tabla de Procesos en DomyLab .................................................................................... 9
3.4 3.4 Identificación Identificación del dueño del proceso. ................................................ ............................................................... ............... 10 Tabla 3. Dueños del proceso ....................................................................................................... 10
3.5 3.5 Identificación Identificación de los contro les a auditar. .......................................................... ......................................................... 11 3.6 3.6 Elaboración del Plan de Trabajo. ............................................... ....................................................................... ........................ 12 4. La empresa y sus si tuaciones problemáticas ........................................................................ 14 5. Lo que qu e se revisará al al Gobiern o de TI ........................................................................................ 16 .......................................................... 17 6. Lo que se revisará del cumpli miento de un estándar estándar ..........................................................
7. La revisión de una norma en uno de sus pr ocesos .............................................................. 19 Figura 3. Fases para implantar la norma PCI DSS .................................................................. 20
8. La aplicación aplicación d e test test de intrusi ón .............................................................................................. 21 9. La revisión a código de las aplicaciones aplicaciones ................................................................................. 22 Figura 4. Prueba de caja Blanca. ................................................................................................ 23 Figura 5. Prueba de caja Negra. ................................................................................................. 23
10. La revisión a los m anuales anuales de los pr ocesos de empresa ................................................... 24 11. Revisió Revisió n de Hacking Ético ........................................................................................................... 24 12. Mejoras a los procesos de TI ......................................................................................................
26
13. Programa de prevención de fraudes ......................................................................................... 26 Figura 6. Medios de Detección .................................................................................................... 27
14. Programa de capacitación capacitación anual anual s obre manejo de infor mación .................. ................. .... 27 Conclusiones ..........................................................................................................................................
28
Bibliografía ...............................................................................................................................................
29
2
1. Resumen de la Propuesta La seguridad de la información en una organización es una variante realmente nueva que con el pasar del tiempo se ha hecho presente e imprescindible su implementación, ya que cada día son más las empresas que necesitan saber cómo mejorar la calidad en cada uno de sus procesos referentes a la informática y con esto dar valor a lo que ofrecen. El implementar la seguridad de informática no solo representa el hecho de llevar un control del inventario físico de toda la tecnología existente o de saber cuántos sistemas informáticos posee la organización, sino de saber implementar herramientas, técnicas y métodos especializados que reúnen ciertas características para medir, probar y garantizar que cada uno de los procesos que se encuentran involucrados directamente con la producción y operación de los bienes que tiene una organización, para ser puestos a prueba con metodologías acorde al giro de la empresa. Un experto en informática con habilidades en el campo de la seguridad, dispone de metodologías que se rigen por estándares internacionales con el fin de encontrar las mejores técnicas y herramientas que serán necesarias para explotar las amenazas y vulnerabilidades que pueda presentar dicha organización. Por lo tanto, para la presente propuesta de auditoría y con base en los conocimientos adquiridos, se seleccionaran dichas herramientas para poder trazar un flujo de trabajo que permita encontrar agujeros de seguridad o procesos mal diseñados y por ende dar una solución específica a cualquier riesgo de seguridad que pueda atentar contra la integridad de la información e incluso que pueda perjudicar a los activos de la empresa. Por lo tanto, en el siguiente proyecto de maestría se realizará una propuesta de auditoría ligada a los procesos informáticos de una empresa dedicada al desarrollo web y de aplicaciones, con el fin de implementar una metodología acorde con el giro de la organización y utilizándola como guía para facilitar el entendimiento y para saber realizar correctamente las actividades diarias en la empresa y por ende encontrar el mejor camino para realizar mejor las actividades diarias del trabajo apegado a las
3
normas y estándares de seguridad vigentes, además de seguir las mejores prácticas del Gobierno de TI. Además, en esta propuesta se pretende realizar un test de intrusión a los sistemas informáticos para evaluar el estado actual y la fortaleza de los sistemas ante un ataque, con la finalidad de prevenir una situación de fraude, robo de información o pérdida de datos, todo esto desde un esquema ético siguiendo lineamientos permitidos y controlados donde la integridad de la empresa no se vea afectada por pruebas mal elaboradas y sin las mínimas precauciones de seguridad en el equipo auditor.
Palabras Clave: Seguridad de la información, metodología de seguridad, riesgos de seguridad, integridad de la información, auditoría de seguridad, estándares de seguridad, test de intrusión, hacking ético.
4
2. Descr ipci ón General de la Empresa La presente propuesta de auditoría está basada en una empresa denominada DomyLab servicios informáticos s. a. de c. v., en lo sucesivo DomyLab con giro en servicio y desarrollo de sistemas informáticos. Los datos principales de la empresa son los que a continuación se presentan: Tabla 1. Información del Negocio
Concepto Empresa Domicilio Teléfono: E – mail Funciones
Datos DomyLab Servicios informáticos s. a. de c. v. Av. Nezahualcóyotl No. 288 col. Las fuentes (55) 3073 - 5877
[email protected] Desarrollo de páginas web responsivas, CMS, desarrollo de aplicaciones, servicio técnico preventivo y correctivo.
DomyLab es una empresa que nació en el año 2007 como un servicio de mantenimiento preventivo y correctivo de equipo de cómputo que daba soporte al público en general. Cinco años después comenzó a tener presencia en el mercado con los servicios web y desarrollo de aplicaciones de escritorio a la medida. Con el aumento en el mercado de servicios de tecnología DomyLab comenzó a desarrollar software CMS para pequeñas empresas, duplicando sus ingresos para el año 2015. No se presenta un reporte de ganancias o diagrama de crecimiento ya que la empresa no facilito algún documento para sustentar los argumentos. De ser una empresa unipersonal pasó a contar con departamentos de contabilidad, jurídico, mercadotecnia, diseño, logística y recursos humanos. De realizar trabajos en una habitación paso a ocupar todo el predio para uso específico de la empresa. La visión de DomyLab es ser la mejor empresa de diseño y desarrollo de México dando calidad y precio, innovando en todo momento con productos y servicios que satisfagan las necesidades de los clientes. La misión de DomyLab es otorgar servicios y productos de calidad desarrollos específicamente para la empresa que solicita los servicios.
5
El objetivo principal de DomyLab es incrementar la cartera de clientes por medio de calidad en el servicio y mejora en los tiempos de entrega contando con los mejores desarrolladores capacitados y tecnología de punta que respalde un excelente servicio. En el siguiente diagrama se presenta la situación actual por departamentos de DomyLab. Figura 1. Organigrama de la empresa.
CEO
Gerente General
Administración y Contabilidad
Marketing y Ventas
Redes e Infraestructura
Departamento de Informática CIO
Desarrollo de sistemas
Departamento Jurídico
Soporte Técnico
Gestion de Redes
Desarrollo de aplicaciones
Mesa Técnica
Gestion de los Servidores
Desarrollo de Base de Datos
Soporte
Mantenimiento de redes
Testing
Mantenimiento Preventivo y Correctivo
Departamento de R. H.
Desarrollo y Operaciones
Administrador de BD
Al revisar la situación actual de la empresa y como está esta segmentada por departamentos, se puede observar que no cuenta con un departamento de seguridad de la información y por lo tanto, podría representar un problema al no contar con un área especializada. Más adelante se planteara en la propuesta de auditoría una solución para poder mejorar esta debilidad aparente. 6
3. Descr ipci ón de la Propuesta de Auditoria 3.1 Objetivos
Conocer la situación de la empresa para garantizar que los sistemas se encuentren funcionando de acuerdo con los parámetros requeridos.
Evaluar los recursos del departamento de sistemas (equipos de cómputo, servidores, switch, routers y periféricos) para determinar que estos estén cumpliendo con la función para lo que fueron adquiridos y de forma correcta.
Verificar los procesos existentes para evitar desastres.
Comprobar que existe un nivel de seguridad óptimo para garantizar la integridad de cada proceso de la empresa.
Evaluar los procesos, riesgos y controles verificando si existen vulnerabilidades de seguridad o procesos mal elaborados, buscando una solución con base en las normas ISO/IEC en su serie 20000 más específicamente la ISO/IEC 27001 y 27002.
Sugerir un cambio en la actual estructura organizacional de DomyLab agregando el área de seguridad de TI encargada de mantener la integridad y confidencialidad de la información de la siguiente forma: Figura 2. Propuesta de integración de seguridad. Junta Directiva
CEO
Gestion de Riesgos
Departamentode Seguridad
Personal de Seguridad
SeguiridadFísica
Comité de gestión de seguridad de la información
Informacionde Seguridad
Desarrollo de Sistemas
Departamentode Informatica
Administraciony Contabilidad
Redes e Infraestructura
Soporte Técnico
Consultoría de desarrollo de sistemas en seguridad
Departamento de Desarrollo
Gestion de Redes
Mesa Técnica
Planificaciónde contingencia del sistema
Departamento de Administracion de BD
Gestion de Servidores
Soporte
Respuesta de emergencia de la computadora
Testing
Mantenimiento de
Mantenimiento Preventivo y Correctivo
Redes
7
Marketing y Ventas
Jurídico
3.2 Alc ance Para llevar a cabo la siguiente auditoría es importante expresar el alcance que va a tomar, para esto se presenta a continuación lo siguiente:
En primera instancia se revisará el área de informática, la estructura organizacional que posee, las normas, políticas y estándares que utilizan para realizar sus actividades diariamente.
Se revisará el hardware de que cada equipo o dispositivo para ver la capacidad, la seguridad física o lógica, si tiene fallos y sus medidas de seguridad.
Se verificará que los sistemas se encuentren operado correctamente, para que el flujo de información sea el correcto con respecto al desempeño que este teniendo.
Además el alcance se encuentra definido bajo protesta de las políticas de la empresa y demanda de los directivos de la misma, siempre y cuando el trabajo realizado por el equipo auditor no se afecte.
3.3 Identificación del proc eso a auditar. DomyLab cuenta con procesos que van de la mano con el departamento de producción, por lo tanto, es importante desglosar cada uno de estos procesos para verificar si existe algún riesgo que atente contra los objetivos de la empresa. Cada proceso tiene una tarea importante en la empresa y si existen riesgos en la seguridad de alguno de los procesos puede provocar pérdidas económicas para la empresa además de bajar los niveles de eficiencia y eficacia.
A continuación se presenta en la siguiente tabla una lista de procesos con los posibles riesgos de seguridad:
8
Tabla 2. Tabla de Procesos en DomyLab
Núm. Proceso 1 Revisión del control del 2 3 4 5 6 7 8 9 10 11 12
13 14 15 16 17
inventario Físico. Revisión de los equipos. Base de datos sin cifrado Revisión de ataque de intrusión en los equipos. Credenciales de acceso correctos. Verificar que exista un back up de la BD Revisar los equipos en busca de Malware Daño físico a los dispositivos. Sesiones de trabajo activas y abiertas. Perdida de datos e información. Perdida por incendios
Riesgo Que no coordinen los datos del inventario físico con el número real de inventario hecho por la auditoría. Tiempo de vida útil de los equipos puedan comprometer la información almacenada en ellos. Que no exista un cifrado que pueda provocar que la información se vea comprometida. Existencia de indicios de intrusión y que existan puertos abiertos. El activo Usuario o Contraseña se ven vulnerable por la falta de protección llevando al robo de credenciales. Perdida de datos si no existe respaldo alguno de la base de datos principal. La amenaza de malware produce una vulnerabilidad de protección en las BD. Que no existan reguladores de voltaje provoca riesgo irreparable de los equipos. Que no se den de baja al personal de la base de datos y que este siga entrando al sistema. Perdida de información se traduce en cantidades elevadas de ingresos para DomyLab. La naturaleza provoca pérdidas por incendios y que se pierdan los activos. Infección de los sistemas internos a consecuencia de un cortafuego deficiente o inactivo.
Código malicioso en los desarrollos de DomyLab. Búsqueda de Bugs en el Verificar que el código que está en proceso se código de venta. encuentre tenga errores de programación. Seguridad nula o Infiltración por agentes externos provocaría que se deficiente. comprometa la información en los sistemas. Instalación incorrecta de El mantenimiento de la infraestructura se puede ver la infraestructura. comprometida con el medio. Actualización de Amenazas, vulnerabilidades por puertos abiertos Sistemas Operativos. provoca ataques a la red completa de la empresa. Cracking Puertos abiertos puede provocar existencia de vulnerabilidades en la empresa.
9
3.4 Identificación del dueño del proceso. Tabla 3. Dueños del proceso
Núm. Proceso 1 Revisión del control del 2 3 4 5
6 7 8 9
10 11 12
13 14 15 16 17
inventario Físico. Revisión de los equipos. Base de datos sin cifrado Revisión de ataque de intrusión en los equipos. Credenciales de acceso correctos. Verificar que exista un back up de la BD Revisar los equipos en busca de Malware Daño físico a los dispositivos. Sesiones de trabajo activas y abiertas. Perdida de datos e información. Perdida por incendios Código malicioso en los desarrollos de DomyLab. Búsqueda de Bugs en el código de venta. Seguridad nula o deficiente. Instalación incorrecta de la infraestructura. Actualización de Sistemas Operativos. Cracking
Dueño del Proceso El contador de la empresa se encarga de llevar el control del inventario y de cada registro de la empresa. Equipo de mantenimiento preventivo y correctivo se hace cargo de revisar los dispositivos de la empresa. La base de datos no tiene a personal encargado del mantenimiento y pruebas para el soporte de las BD. No existe un equipo especializado que se encargue de bloquear intrusiones o ataques. El departamento de recursos humanos manda un oficio de levantamiento para nuevo empleado al área de sistemas para que este lo suba al sistema. Microsoft es el dueño del proceso que se encarga de administrar los servidores con tecnología de nube. Departamento de soporte en la empresa es el encargado de búsqueda de código malicioso. El departamento de soporte, levanta u n ticket de servicio para sustituir las piezas en mal estado. El departamento de mantenimiento se encarga de crear políticas de seguridad y acceso para que las sesiones caduquen por inactividad o después de la jornada. No existe un departamento encargado para desastres ante la pérdida de datos en la empresa. Al ser un agente externo, existe una aseguradora que cubre los costos por accidentes externos. El equipo de desarrollo cuenta con probadores de software que se encargan de buscar código implantado por programadores o agentes externos. Equipo de desarrollo en coordinación con los probadores de software buscan errores de sistema. No existe departamento de seguridad y la que se implementa no se apega a las normas actuales. El departamento de redes se encarga de administrar las redes de la empresa. El departamento de sistemas da soporte a todo lo referente a los sistemas operativos. No existe departamento alguno en DomyLab que se encargue del soporte anti cracking.
10
3.5 Identificación de los controles a auditar.
Asignación de ID de usuario. Es necesario asignar un ID a cada uno de los trabajadores que utilizan los ordenadores para llevar un mejor control de las personas que entran o salen de los sistemas internos de la empresa.
Acceso controlado a telnet. Proporcionar accesos a los trabajadores para registrar en la base de datos cuantas personas entran al sistema, tiempos, permisos o actividades.
Cifrado de base de datos. Verificar que la base de datos se encuentra desprotegida y cualquier persona puede modificarla sin autorización y si es el caso implementar soluciones.
Proteger los dispositivos con firewall y antivirus. Es importante implementar políticas de seguridad para evitar intrusiones no deseadas y asegurar la integridad de la información.
Servicio de Nube. Actualmente la empresa cuenta con un servicio de nube de Microsoft el cual administra toda la información, se recomienda verificar la disponibilidad de la información y la velocidad para tener acceso a ella.
Alta de usuarios. Verificar que los empleados que ya no laboran en la empresa se den de baja del sistema y que la sesión utilizada por cada uno, sea revisada por el personal de sistema para evitar perder información importante.
Código malicioso. Tener un mejor control del dispositivo infectado, aislándolo de la red y buscando evidencia que demuestren como se infectó el ordenador.
Errores constantes en los sistemas. Verificar que al ejecutar archivos, aplicaciones o documentos de alguno de los clientes mande una excepción y no deje abrir el documento y al reiniciar el sistema ya deja abrir de nuevo los documentos.
Desconfianza en los sistemas por parte del personal administrativo. Se debe corroborar si existen problemas en el sistema provocado por la red interna, verificar que se encuentre segmentada en redes virtuales y que no provoque colisiones en el sistema.
11
3.6 Elaboración del Plan de Trabajo. Carta de inici o de auditor ia para el direct or de TI
César Alejandro Juárez Vega
México CDMX, 23 de Junio de 2018
Director de Auditoria UNITEC, Campus Marina
Ref.: Inicio de Auditoría
A DIRECTOR DE TI
Con base a la documentación proporcionada por DomyLab servicios de informática s. a. de c. v., me complace informar que de acuerdo con las normas y políticas internas de nuestra casa auditora y con la autorización previa de su director general, se procede a llevar a cabo una auditoría que a solicitud de su compañía se dará inicio a las operaciones de la siguiente forma: Los auditores encargados de realizar la visita, está conformado de la siguiente manera:
NOMBRE César Alejandro Juárez Vega Emmanuel Simón Marcus Daniel Quintero Garay Francisco Roque Cruz Daniel Rivero Mon tes
PUESTO Director de Auditoria Gerente de Auditoria Supervisor de Auditoria Junior de Auditoria Trainee de Auditoria
DomyLab y el equipo auditor trabajaran en conjunto para determinar las actividades a realizar por cada una de las partes involucradas. Además, se asignara a un 12
encargado responsable para dar apoyo a las tareas de auditoría. El horario de trabajo se encontrara a la par con el horario de oficina de la empresa auditada, contando con toda libertad para extenderlo fuera del tiempo de trabajo para realizar las actividades y estas no se sujetaran a horarios fijos. Este equipo de trabajo se encontrará realizando la auditoría en DomyLab a partir del día 25 de Junio de 2018 hasta el 28 de Septiembre de 2018 con el propósito de evaluar al departamento de sistemas, los procesos y controles más importantes y los dispositivos que ingresan a la red interna para buscar vulnerabilidades o amenazas a la seguridad de la información. La presente auditoría se dará por terminada formalmente con el informe final avalado por el director de la auditoría y donde se exponen los puntos críticos, las recomendaciones, los riesgos y los hallazgos encontrados. Los honorarios para el personal de auditoría se fijan a la hora del pacto por escrito y estos amparan los sueldos para el equipo auditor, si existieran incrementos en los honorarios por retrasos, demoras o cancelación de reuniones por parte de DomyLab, este se incrementara proporcionalmente con respecto a la pérdida del tiempo. La fecha estimada para la entrega de los resultados es el día 29 de septiembre de 2018 y será acompañada con una junta donde se expondrán los puntos más importantes sobre los hallazgos encontrados. Esperando contar con su apoyo, agradecemos la aceptación de esta carta.
______________________________
______________________________
César Alejandro Juárez Vega
Ing. Raymundo Fabián Hernández
Director de Auditoria
Director General de DomyLab
13
4. La empresa y sus situaciones problemáticas Los avances en las tecnologías de la información y la creciente demanda de las empresas por adquirir las mejores herramientas ya sea para logística, minería de datos, pronósticos financieros, etc., hacen que la implementación de estas tecnologías sean más rentables y generen eficiencia en cada uno de los procesos de la organización. No importa si son pequeñas, medianas o grandes empresas, el implementar herramientas que faciliten las tareas de los empleados y eficiencia en los procesos de la empresa siempre mejora la calidad de la producción. Pero, ¿Qué representa la adquisición de esta tecnología? A criterio personal, generan riesgos que si no son atendidos por expertos, esta tecnología puede convertirse en un arma de dos filos y en vez de beneficiar a la organización puede perjudicarla. DomyLab al ser una empresa que ofrece servicios de desarrollo web y de sistemas, el uso de estas tecnologías va de la mano con la organización. Al indagar un poco en su estructura y sistemas, se nota la presencia de ciertos problemas que si bien son muy comunes en cualquier empresa, pueden provocar en cualquier momento un problema mayor si no se les da la importancia que debería. Las principales situaciones de problema en DomyLab con relación a informática son los siguientes:
No se observaron copias de seguridad de ciertos procesos básicos como en el área de análisis de datos para desarrollo web. Los documentadores y analistas mandan su información al servidor principal de la empresa, pero estos documentos no se almacenan en la nube de Microsoft, y aunque no es información aparentemente vital para la empresa si se puede representar en pérdida económica a causa de demora si la información se pierde.
Se observó que los antivirus y firewall de muchos ordenadores están desactivados, esto se debe a que los programadores al depurar su código es bloqueado por el corta fuegos y existe la necesidad de desactivarlo para ejecutar el desarrollo. Esto causa un gran problema de seguridad ya que al desactivar la
14
única herramienta en contra de software malintencionado se corre un gran riesgo en la seguridad.
Se encontró que en algunos ordenadores de la empresa no existen las actualizaciones de seguridad de los dispositivos, al no tener los parches de seguridad existen puertas traseras que son utilizadas para comprometer la información.
En cuestión de los controles físicos, existen problemas de mantenimiento en los ordenadores, el mantenimiento realizado se hace cada trimestre y es posible que esto provoque que el dispositivo se caliente e incluso se queme.
En los dispositivos inspeccionados se pudo observar que no cuentan con sesiones de usuario con contraseña, cada usuario ingresa al sistema sin la necesidad de credenciales especiales.
Otro problema encontrado en DomyLab es el correo electrónico, el servicio de correo electrónico no filtra correos del tipo phishing para enviarlos a una carpeta de correo no deseado, esto puede provocar que los empleados abran algún correo que se encuentre infectado con malware y por ende infectar su máquina o en el peor de los casos que este malware se propague por la red corporativa.
Licencia de antivirus obsoleta. En algunos equipos el antivirus no tienen la licencia activa, otros no cuentan con las actualizaciones que exige el antivirus y en otros caso el antivirus se encuentra desactivado debido a que ya causaba conflictos en el sistema y en vez de llamar a sistemas para solucionar el caso, los empleados prefieren inhabilitarlo.
Hasta el momento estos fueron los problemas encontrados, que si bien son comunes y fáciles de resolver se pueden volver un dolor de cabeza para la empresa si estos no se resuelven a tiempo.
15
5. Lo que se revisará al Gobierno de TI Hablar de implementar Gobierno de TI en DomyLab es de suma importancia para obtener valor en lo que respecta a tecnologías de información como parte de las estrategias de negocio. En DomyLab aún no se encuentran familiarizados con el concepto de Gobierno de TI y los grandes beneficios que trae para cubrir sus necesidades actuales y futuras. A pesar de ser una empresa que suministra servicios de tecnología, es una empresa joven que necesita familiarizarse con estos términos. Aunque no existe conocimiento alguno de la forma de implementar el Gobierno de TI, en muchas ocasiones lo llevan a cabo en varios de sus procesos donde analizan la forma de reducir riesgos, minimizar los costos de desarrollo y gestionar todos los recursos tecnológicos adecuadamente pero sin seguir una guía, estándar o norma para las buenas prácticas de TI. En México existen muchas empresas que se dedican a desarrollar sistemas web, empresas que prestan servicios de soporte y tecnologías de la información, muchas otras que desarrollan aplicaciones a la medida y cada día se integran al mercado muchas otras con las mismas pretensiones. Por tal motivo, es importante revisar, analizar e implementar un buen gobierno de TI en DomyLab para crear una brecha de ventaja entre los cientos de competidores que entran al mercado informático cada año. A consideración para esta propuesta de auditoria, DomyLab necesita crear un comité especializado para crear estrategias de negocio ligadas al trabajo diario de la empresa para poder cumplir de una forma óptima los objetivos principales esta. Además es recomendable que existan líderes de TI que se encarguen de la seguridad de la información, de realizar auditorías internas a menudo y que planeen auditorías externas como la que se está realizando en este proyecto, todo esto con base en normas estandarizadas que vigilen las buenas prácticas de TI en la empresa. Para llevar un buen gobierno de TI se pueden implementar diferentes estándares como COBIT, CMMI, ITIL, ISO/IEC 38500 e incluso metodologías que son importantes implementar como RUP o SCRUM para cuando desarrollo de software se trate. Por tal
16
motivo, en el siguiente capítulo se revisara el cumplimiento de un estándar en los procesos de DomyLab.
6. Lo que se revisará del cumplimiento de un estándar Existen muchos estándares para el manejo de buenas prácticas de TI, como se vio en capítulos anteriores un buen Gobierno de TI se rige por normas estandarizadas que garantizan las buenas prácticas y la excelente coordinación entre el modelo de negocio y el uso de las tecnologías de la información. Para la propuesta de auditoria y con respecto a las necesidades encontradas en la empresa se puede sugerir la implementación del estándar ISO/IEC 38500 para mejorar los procesos del departamento de TI, en sus tres tareas principales:
Evaluar Antes de iniciar con la propuesta de Gobierno de TI existen los siguientes inconvenientes que deben ser evaluados.
No se observaron copias de seguridad de ciertos procesos básicos como en el área de análisis de datos para desarrollo web.
Se observó que los antivirus y firewall de muchos ordenadores están desactivados a causa de que interfieren con la depuración de los programas.
No existen las actualizaciones de seguridad de los dispositivos, abriendo puertas que favorecen a intrusiones.
Existen problemas de mantenimiento en los ordenadores, que provoca que el dispositivo se caliente e incluso se queme.
Dispositivos que no cuentan con sesiones de usuario con contraseña, y que cada usuario ingresa al sistema sin la necesidad de credenciales especiales.
Correo electrónico no filtra email esto puede provocar que los empleados abran algún correo que se encuentre infectado con malware e infectar su máquina o en el peor de los casos que este malware se propague por la red corporativa.
17
No hay protección de la información en la base de datos de la empresa. El ingreso de los datos no cuenta con políticas de seguridad para la protección de la información.
Después de evaluar los problemas en DomyLab se puede proponer lo siguiente:
Implementar back up del área de análisis y documentación ya que la información y los datos representan uno de los activos más importantes con los que cuenta la empresa y la perdida de uno de estos activos representa perdida de dinero por eso es importante invertir en la seguridad e integridad de toda la información.
Para resolver el problema de las firewall se propone depurar los desarrollos en máquinas virtuales que no afecten los procesos normales de seguridad de los sistemas operativos, con esto no hay necesidad de deshabilitar los firewall o antivirus ya que estos se ejecutan en entornos virtuales sin afectar el estado físico del ordenador.
Es necesario mantener todos los parches de seguridad instalados en cada uno de los ordenadores de la empresa y hacer todo lo posible para que las actualizaciones críticas de sistema se hagan periódicamente.
Es importante dar mantenimiento físico a todo el inventario de informática de la empresa ya que prolonga la vida útil de estos y reduce gastos innecesarios.
Se sugiere el uso de credenciales para cada uno de los empleados de DomyLab ya que esto disminuye el riesgo de robo de información.
Con respecto al filtro de correo electrónico, es importante desarrollar políticas de seguridad en el sistema para separar el correo que tenga malware que pueda afectar los dispositivos.
El cifrado de la base de datos es vital para preservar la integridad de los datos y la confidencialidad de los clientes que tiene la empresa, por eso es importante implementar un cifrado acorde con las necesidades de la empresa e incrementar la confianza del cliente al saber que su privacidad esta resguardada.
18
Dirigir Garantizar que los objetivos de la empresa se cumplan es prioridad para esta propuesta de auditoria, por lo tanto se puede implementar la norma ISO/IEC 27002 como guía para mejorar la seguridad y por ende reducir los riesgos descritos anteriormente. También se pudo apreciar que existen procesos que la empresa pone en marcha con varios puntos de la norma, pero estos se siguen por mera intuición y conocimientos profesionales de los directores o encargados del área y no por la base de buenas prácticas que proporcionan estas normas.
Por tal motivo se elaborará documentación que se utilizará como guía para mantener y mejorar los sistemas a los que se tiene acceso.
Es importante hacer una lista de todos los activos que maneja DomyLab y buscar soluciones para garantizar que estos guarden integridad y mantengan seguridad.
Como se mencionó anteriormente para poder tener un buen Gobierno de TI es importante dividir al personal y formar líderes de informática que guíen por un buen camino, que implementen políticas de seguridad y que salvaguarden la integridad de la información.
Es importante la capacitación constante en las buenas prácticas de TI ya que estas se traducen en factores económicos positivos para DomyLab.
Monitorizar Si estas propuestas se siguen y supervisan constantemente se puede mejorar los procesos de la empresa, cada uno de los controles, reducir los riesgos de producción y mejorar los recursos de TI dando resultados de competencia en el mercado.
7. La revisión de una norma en uno de sus procesos Uno de los procesos que desarrolla muy seguido DomyLab es el referente a los pagos vía internet, el envío de datos personales y el cobro con tarjeta de crédito estos
19
se realizan con implementación de plugins personalizados e incrustados en las páginas web que son proporcionados por los bancos. El marco de referencia COBIT es ideal para este proceso financiero que está sumamente relacionado con los procesos bancarios. Además de que es uno de los marcos de referencia más completos que integra principios, dominios y áreas de otros estándares como ISO/IEC 27001, COSO, ITIL, ISO/IEC 38500 entre otros y por tal motivo es un marco muy completo que se puede integrar al plan de trabajo de DomyLab. Siguiendo con el plan de propuesta también se puede implementar la norma PCI DSS que reúne los requerimientos necesarios y prioritarios para realizar cobros por vía electrónica, evita el fraude con las tarjetas bancarias, reduce los escenarios de riesgo y se acopla a COBIT ya que está respaldado por ISACA. Para implantar la norma debe seguir varias fases: Figura 3. Fases para implantar la norma PCI DSS Fase I. analisis preliminar
Fase II. analisis del riesgo
Fase III. Programa de Cumplimiento
Fase IV. Implantacion de REquerimientos
Fase V. auditoria
DomyLab al trabajar con la nube de Microsoft debe implementar con exactitud y apegado a los lineamientos que propone el estándar, cada uno de los requerimientos solicitados a continuación:
Configurar claves criptográficas de los módulos de la nube. Esto para proteger los datos de cada uno de los titulares de la tarjeta de crédito.
Una vez configuradas las claves es necesario desplegar azure, en primera instancia en un entorno virtual para no comprometer la maquina física y después de que la operación tenga éxito, realizarlo en un entorno real. Configurando scripts para el manejo de los servicios y realizando la validación de los datos cifrados o la firma electrónica.
Para incrementar la seguridad se pueden integrar con herramientas como Latch desarrollada por el equipo de trabajo del reconocido hacker Chema Alonso
20
donde el control de acceso es validado por un token o con un código de validación enviado al teléfono celular.
8. La aplicación de test de intrus ión Una vez analizado todas las vulnerabilidades y amenazas encontradas en los sistemas informáticos de DomyLab se realizara un test de intrusión o penetración para intentar explotar esas vulnerabilidades y verificar el grado de seguridad con el que se encuentran trabajando los empleados de la empresa. Al realizar la auditoria a la estructura de las redes corporativas, se procederá a verificar la seguridad lógica y física de la empresa. Esta prueba se podrá llevar a cabo en las instalaciones de DomyLab y de forma remota con ataques controlados para simular un intento de acceso a los sistemas de información y corroborar si se necesita implementar un plan de seguridad. Conseguido el acceso a los sistemas, se documentaran los resultados de la prueba exponiendo los riesgos encontrados y las soluciones pertinentes. Para realizar los ataques se utilizaran las mismas herramientas que usan los delincuentes informáticos. Se intentaran vulnerar la web de la empresa, metadatos de archivos provenientes de la empresa, mapa de red, servicios de sistemas operativos, vulnerabilidades en los sistemas a nivel de actualización del sistema, gestión de sesiones, firewall, IDS, IPS. En cumplimiento con la norma de seguridad ISO/IEC 27001 se llevara a cabo para la propuesta de auditoria los siguientes puntos: Objetivo y alcance Analizar, evaluar y monitorizar los procesos y controles de la empresa en busca de vulnerabilidades que puedan representar un riesgo a la seguridad de la información y a la integridad de los datos para encontrar una solución que se fundamente en el estándar de seguridad ISO/IEC 27001 y con base a las técnicas de seguridad para los diferentes controles encontrados en el ISO/IEC 27002. El alcance que maneja esta propuesta de auditoria se encuentra en armonía con las políticas de la empresa y siempre respetando la privacidad de la información
21
siempre y cuando no atente contra la integridad de la empresa y a los intereses y objetivos que persigue.
9. La revisión a código de las aplicaciones DomyLab procesa información de clientes por medio de las páginas web que desarrolla, al realizar esta propuesta de auditoria es importante dejar en claro que las pruebas de penetración y las pruebas al código fuente son dos variantes distintas y muy importante que se lleven a cabo si se cuenta con el capital suficiente para ejecutarlas y tener defensa completa de varias capas. Si se trata de elegir alguna, en mi opinión prefiero las pruebas de penetración ya que no solo se basa en revisar las vulnerabilidades de la aplicación sino también del medio en el que se ejecuta como la red, los puertos, los medio físicos, periféricos que la aplicación utilice, el internet, máquinas virtuales, etc. Al analizar el código de una aplicación se puede ver como fluye la información por cada nodo del programa, encontrando alguna falla en la lógica de la programación además de analizar si los datos ingresados por los formularios se encuentran cifrados o pueden ser vulnerados con facilidad. Viendo esta breve reseña y con base a la autorización por parte de la dirección general de DomyLab y la siguiente propuesta se realizará la revisión al código a las aplicaciones de la siguiente forma:
Audi to ri a de c aja blan ca . El equipo de auditoria necesitara la colaboración del personal de desarrollo para poder buscar problemas en la lógica de programación. Es importante que la auditoria se familiarice con varios puntos necesarios para comprender el funcionamiento de la aplicación, como el código de las aplicaciones, el contexto que pretende marcar la aplicación y si está cumpliendo con los objetivos de negocio, usuarios que utilizan la aplicación a auditar, entre otros puntos muy importantes. Una vez conociendo estos puntos se podrá realizar la auditoria de una forma más rápida sobre el código.
22
Figura 4. Prueba de caja Blanca.
Audi to ri a de Caja neg ra. En esta prueba el equipo de auditoria realizara pruebas funcionales a los sistemas con casos de prueba ya que no tiene conocimiento del funcionamiento de programa además de no contar con documentación sobre el código o de apoyo por parte del personal que desarrollo la aplicación. Estas pruebas no utilizan información interna de los componentes sino se basan en el comportamiento que este tenga a la hora de la ejecución,
Figura 5. Prueba de caja Negra.
23
Las técnicas que se podr án usar en la auditoria pueden ser:
Partición de Equivalencias.
Análisis de Valores Borde.
Tablas de decisión.
Pruebas de caso de uso.
Historia de usuarios.
Cuando se inicie la auditoria, se determinara el tipo de técnica a utilizar.
10. La revisió n a los manuales de los pr ocesos de empresa Al realizar la auditoría se hará revisión a los manuales de procesos que acompañan las actividades diarias de la organización para analizar de forma detallada las operaciones directas con el departamento de TI, evaluar el control de cada proceso, conocer bajo que estándar de calidad está el proceso y definir las políticas generales que deberían de tener esos procesos para sugerir la capacitación del personal y con esto mejorar algunos procesos que tengan deficiencia en su desarrollo.
11. Revisión de Hacking Ético El hacking ético se vuelve cada vez más popular, existen empresas que pagan por que se intente vulnerar a sus sistemas como Facebook, Instagram y WhatsApp ya que entienden la importancia de mantener a salvo miles de datos que poseen de millones de personas en el mundo y que la perdida de esos datos representa pérdidas económicas, pérdida de credibilidad por parte de cada uno de los clientes e incluso la quiebra de su negocio. Por eso paga por revisar sus sistemas de información para evitar que otras personas utilicen las mismas técnicas e intenten borrar o utilizar esa información para fines personales o con fines de lucro. DomyLab al resguardar información de clientes a una escala menor (pero no menos importante) ya que es igual de importante la integridad de la información de diez personas que de un millón de ellas, es por eso que se realizara una solicitud en esta
24
propuesta de auditoria para realizar pruebas de hacking ético y comprobar que los sistemas se encuentran en condiciones favorables para el resguardo de la información. Para iniciar con el análisis, se debe responder ¿Qué se debe revisar? Y para esto se consideran tres puntos importantes de una lista que se desglosa en otros capítulos.
La base de datos.
La infraestructura de red.
Los puertos abiertos.
Después de analizar que se va a revisar es importante ahora hacer mención de las vulnerabilidades que serán explotadas:
Los puertos abiertos que se encuentren por uso de aplicaciones expuestos a ataques.
Inyección de SQL a la base de datos de la empresa por medio de inserción de código en los formularios de la página principal de la empresa o por medio de los desarrollos a los clientes
Equipos que tengan privilegios de súper usuario y que tengan los permisos para poder modificar archivos, base de datos o código sensible.
Las herramientas que serán de ayuda para llevar a cabo la intrusión a los sistemas, realizar las pruebas y evaluar las vulnerabilidades de las redes internas de la empresa, escaneo de puertos, o auditar los controles de acceso son los siguientes:
BACKTRACK, KALI o Linux en cualquier distribución.
NMAP. Escanea redes y rastreo de puertos.
NESSUS. Analiza vulnerabilidades en los servicios.
WIRESHARK. Revisa los protocolos para el análisis de tráfico.
METASPLOIT. Para realizar penetración y explotar vulnerabilidades.
NIKTO. Se utiliza para auditar un servidor web.
THC HYNDRA. Prueba la fuerza de una clave mediante ataques de diccionario o de fuerza bruta, especialmente de cara a páginas web.
OPENVAS. Audita controles de acceso físico y lógico.
25
12. Mejoras a los pro cesos de TI Para ayudar a los departamentos de TI a mejorar sus procesos, es importante implementar estrategias especiales que ayuden a generar valor al negocio. Estos procesos marcan un estándar para las empresas dando un plus de calidad en sus procesos. Lo más importante para DomyLab es implementar algún estándar para mejorar cada proceso que posee, una recomendación para la mejorar es ITIL ya que esta estandarizar procesos para llevar a cabo mejoras en el proceso de TI y DomyLab al ser una empresa que suministra servicios de desarrollo de aplicaciones es ideal ya que entre sus beneficios esta:
Organización . Evita tareas múltiples en la empresa, con mejores tiempos de entrega en el negocio y mejora los procesos operativos.
Costo . Es muy económico implementar ITIL en la empresa, y los costos – beneficios valen la pena.
Eficiencia. Mejora el trabajo, mejora el desempeño y la confiabilidad en la empresa.
Flexibilidad. Es bastante flexible para cuando de cambios se trata.
Integración. Utiliza tecnología, aplicaciones o plataformas que ya se tienen en la empresa para mejorar los tiempos de entrega y mejorar la experiencia tanto del cliente como del personal.
13. Programa de prevenció n de fraudes Los fraudes son un tema que toma más fuerza con el paso del tiempo, cada día crecen más las formas para cometer un fraude a una persona u organización. Por lo tanto, es importante tener las medidas necesarias para mitigar los riesgos para evitarlo y sancionarlo. Si se logra implantar un programa de prevención de fraudes este debe de ir más allá de los controles internos de la empresa para que el impacto en las finanzas sea nulo o imperceptible.
26
Para prevenir fraudes en DomyLab se elaborara un programa de prevención donde sus principales principios de encuentren en seguir: 1. Cultura de ética profesional, honestidad y excelente comportamiento ético. Se debe incentivar a los empleados para que tengan un sentimiento de solidaridad y amor a la organización. 2. Elaborar controles y procesos para eliminar el fraude. (Ambiente de trabajo positivo, Disciplina, Contratación de empleados apropiados, capacitación al personal, denuncias. 3. Elaborar procesos internos para vigilar conductas que propicien un fraude. Es importante medir el riesgo que contrae un fraude, implementar medidas que propician el fraude y mitigar los riesgos que pueda producir el fraude si se ejecuta. Figura 6. Medios de Detección
Medios de Detección 13% 52%
35%
Auditoria Interna
Denuncias
Otras
14. Programa de capacitació n anual sob re manejo de infor mación Por último, es de suma importancia capacitar al personal sobre las tecnologías de información y los cambios que estas sufren con el paso del tiempo, es importante garantizar que cada trabajador tenga los conocimientos necesarios para poder manejar la tecnología que tiene a su alcance para realizar sus actividades laborales en la empresa, con esto se pueden corregir errores, mejorar la eficiencia y eficacia en los procedimientos de la empresa y por ende mejorar el crecimiento de la empresa. 27
Conclusiones Todas las empresas, instituciones, corporaciones con o sin fines de lucro, públicas o privadas, poseen recursos informáticos que son difíciles de utilizar por un usuario común, para poderle sacar provecho a esos recursos se necesita que el usuario tenga noción de cómo utilizar esos recursos para poderlo traducir a la empresa como éxito y ese éxito se traduce en dinero. En el trabajo de investigación analizamos una propuesta de implementación de TI a una empresa que como muchas depende de la tecnología para poder realizar sus actividades diariamente, se vio la importancia de tener buenas prácticas de TI y como estas pueden presentar riesgos en la seguridad a causa de vulnerabilidades causadas en ocasiones por el mal manejo de los recursos de TI, la falta de capacitación o por no implementar una metodología que dar paso a la evolución de sus procesos. Se logró entender como una organización depende de la tecnología hasta para revisar un cliente existente o un número de teléfono y como esta tecnología puede beneficiar o perjudicar a quien la utiliza si no se hace de la forma correcta. Es por eso que una auditoría de TI es de suma importancia para poder analizar los sistemas que tienen riesgos de seguridad y que no se rigen por normas o estándares adecuados. Por eso concluyo que una auditoría de informática es vital para que una organización tenga un buen desempeño gracias a la implementación de controles para que los sistemas sean estables, confiables y con una excelente seguridad, brindando siempre integridad, confiabilidad y confidencialidad en los procesos que maneja. Este proyecto de investigación fue de gran aporte para mi formación academice ya que no conocía muchos de los términos manejados y los diferentes estándares de seguridad que las empresas tienen que implementar para poder ganar presencia en un mercado que ya se encuentra muy saturado y que la implementación de una norma, estándar o metodología de buenas prácticas, de Gobierno de TI pueden hacer la diferencia a la hora de buscar alguna empresa que nos garantice que nuestra información va a estar a salvo. 28
Bibliografía Hernández-Romero, J. (2017). Presentación para ilustrar el tema, Auditoría de seguridad. Clase de Maestría, UNITEC, CDMX
Local Billing Solutions Limited. (2009). implantación y certificación del estándar PCI DSS. 23/Junio/2018, de Local Billing Solutions Limited Sitio web: https://www.isecauditors.com/sites/default/files//files/SIC84_Local_Billing_implantacion_ PCI-DSS.pdf
Israel Pérez Gómez. (2016). Implementación de la norma de seguridad PCI-DSS versión 3.0 sobre aplicación web ASP.NET desplegada en Azure. 23/Junio/2018, de Universidad Politécnica Sitio web: https://riunet.upv.es/bitstream/handle/10251/71379/P%C3%89REZ%20%20Implementaci%C3%B3n%20de%20la%20norma%20de%20seguridad%20PCIDSS%20versi%C3%B3n%203.0%20sobre%20aplicaci%C3%B3n%20web%20ASP.NE T%20....pdf?sequence=2
PMOinformatica. (2017). Pruebas de caja negra y blanca ISTQB. 23/Junio/2018, de PMOinformatica Sitio web: http://www.pmoinformatica.com/2016/04/pruebas-cajanegra-istqb.html
29